제어 시스템(이하, ‘ICS’)의 사이버 시큐리티 대책의 필요성이 관계자의 공통 인식으로 정착해 폭넓은 대책이 착수되게 된 지 10여 년이 경과했다. 그동안에 ICS에 관한 시큐리티 대책도 크게 진전됐지만, 공격 측도 기술면 및 조직면에서 고도화되고 있어 ICS의 사이버 시큐리티 리스크가 증대되고 있다.

 

이 글에서는 ICS의 주요 사이버 공격 피해 사례와 ICS를 겨냥한 멀웨어 진화의 역사를 개관하면서 공격 측의 변화를 중심으로 ICS 시큐리티 리스크 동향을 소개한다. 또한 급진하기 시작한 디지털 변혁에 따른 ICS 변화에 기인하는 새로운 리스크에 대해 생각해 본다.

 

주요 사이버 공격 피해 사례

 

지금까지 크게 보도되는 등 사회적으로도 주목을 모은 ICS에 대한 사이버 공격에 의해 큰 피해를 초래한 주요 시큐리티 사고를 표 1에 나타냈다. Unix나 Linux, Windows와 같은 범용 OS나 인터넷 프로토콜족으로 대표되는 오픈 기술을 이용해 ICS가 구성되고, 또한 오픈 기술을 기반으로 한 IT 시스템과 밀접하게 접속되어 ICS가 이용되는 경우가 증가하기 시작함에 따라 금세기에 접어든 무렵부터 ICS의 사이버 사고가 산발적으로 일어나게 됐다.

 

 

2010년에 멀웨어 Stuxnet이 보고됐는데 이것이 이란의 핵 개발 프로그램을 방해하기 위해 ICS를 겨냥해 교묘하게 만들어진 멀웨어였다고 추정하는 것이 합리적이라는 보고를 계기로 ICS에 대한 사이버 공격에 관심과 우려가 단번에 높아졌다. Stuxnet 이후 ICS의 시큐리티 대책을 강화하기 위한 여러 가지 활동이 본격적으로 시작됐다.

 

한편, 사이버 공격을 실행하는 측도 ICS를 표적으로 선택할 가능성을 고려하게 됐다. 실제로 러시아와 우크라이나 간의 지정학적인 긴장이 고조된 2010년대 이후 마치 러시아가 우크라이나를 사이버 공격의 연습장으로 삼고 있는 것 같은 상황이 계속됐다. 그리고 2022년에는 러시아가 우크라이나를 침공해 사실상 전쟁 상태에 돌입했다.

 

또한 2010년대 후반부터 ICS를 포함한 랜섬웨어로 인한 피해가 급증해 그 상황이 오늘날에도 계속되고 있다. 랜섬웨어란 데이터나 시스템 프로그램을 암호화하는 등 이용할 수 없는 상태로 만들고 몸값(ransom)을 지불하라고 요구하는 강청 행위에 사용되는 멀웨어이다. ICS를 방해하기 위해 암호화하는 파일을 튜닝하는 것도 일부 있지만, 대부분의 랜섬웨어는 특별히 ICS를 겨냥해 개발되지는 않는다. 그럼에도 ICS가 랜섬웨어에 감염되어 동작하지 않게 된 사례의 보고가 유럽과 미국을 중심으로 계속되고 있다. 랜섬웨어에 관해서는 빈도뿐만 아니라 몸값의 고액화에 대해서도 큰 리스크로 인식할 필요가 있을 것이다.

 

제조업계의 조사 결과에 따르면 8%가 백만 달러 이상, 37%가 십만 달러 이상의 몸값을 지불했다고 대답한 보고서가 발표되어 있으며, 수 천만 엔에서 수 억 엔의 몸값을 멀웨어가 청구하는 경우도 드물지 않은 것 같다.

 

ICS를 겨냥해 개발된 멀웨어

 

사이버 공격을 위해 다수의 멀웨어가 매일 개발되고 있지만, ICS를 겨냥한 것은 극히 소수만이 알려져 있다. 연구자에 의한 개념 실증을 목적으로 한 것이 아니라, ICS에 대한 실제 공격을 예상해 개발되어 오늘날까지 널리 알려진 멀웨어의 일람을 표 2에 나타냈다.

 

 

Stuxnet은 당시 공지되어 있지 않았던 Windows의 여러 가지 취약성을 악용한 강한 감염력에 의해 감염 범위를 확대, 목표로 한 ICS에 도달하면 ICS 모듈의 일부를 다시 작성함으로써 부정한 래더 로직을 컨트롤러에 보내는 동시에, 그로 인한 장치의 동작 변화가 조작원에게 보이지 않도록 통신을 조작하는 구조를 내장하는 시스템으로 되어 있었다. 이러한 동작은 동유럽에서 발견된 검체를 연구자가 해석해 밝혀냈지만, 이것이 공표되기까지 이란의 시설은 사이버 공격을 받고 있다는 사실을 알지 못했던 것으로 보인다. 이란의 핵 개발 계획을 방해하기 위해 미국이 이스라엘과 공동으로 Stuxnet을 개발해 보냈다고도 알려져 있다.

 

러시아와 정치적인 긴장이 고조되는 가운데 우크라이나에서는 2015년 말과 2016년 말 두 차례에 걸쳐 광역적인 정전을 일으킨 사이버 공격을 받았다. 사이버 공격으로 인한 대규모 정전으로서 사상 최초의 사안으로 여겨지고 있다. 2015년 말에는 원격으로 ICS를 부정하게 조작해 변전소의 차단기를 절단한 후에 복구를 지연시키기 위해 ICS를 손상시키는 멀웨어가 사용됐다. 2016년 말에는 ICS가 사용하고 있는 제어용 프로토콜로 Industroyer라고 불리는 멀웨어가 지령을 내어 차단기를 절단했다.

 

2017년에 발견된 멀웨어 HatMan은 안전 계장 시스템의 엔지니어링 환경이 침입해 안전 계장 컨트롤러 내의 설정값이나 제어 프로그램을 다시 작성하는 기능을 가지고 있다는 것이 코드 해석으로 밝혀졌다. 이로 인해 위험한 상태에 있어도 안전 확보를 위한 긴급 정지 동작이 일어나지 않게 될 가능성이 있다. 반대로 위험한 상태에 있지 않은데도 긴급 정지시킴으로써 조업을 방해할 가능성도 있다. 안전 계장 시스템에 대한 사이버 공격만으로는 폭발과 같은 대형 사고를 일으킬 수는 없지만, ICS의 사이버 시큐리티 리스크를 검토할 때 ‘여차하면 안전 계장 시스템으로 보호된다’는 안심감이 무너져버리는 의미는 크다.

 

랜섬웨어

 

금전을 노리는 공격자에게 있어 랜섬웨어 공격은 ‘돈이 계속 나오는 화수분’으로 되어 있다. 그들은 2010년대 중반 무렵에는 법인을 겨냥해 가상화폐로 돈을 송금시키는 나쁜 수법을 사용하게 됐다. 해외에서는 지불한 몸값을 손해로서 사이버 보험으로 커버할 수 있는 경우도 있고, 피해 조직이 비교적 안이하게 지불에 응하는 경향도 있어 공격자가 이를 이용해 고액의 몸값을 청구하게 됐다. 지불된 몸값의 평균액이 80만 달러, 제조업에 한하면 200만 달러를 넘는다는 국제적인 조사 보고도 있다.

 

게다가 최근 들어 공격 기반을 사용해 랜섬웨어 공격을 하는 수법이 일반화되어 고도의 개발 스킬을 가지고 공격 기반을 정비하는 사람과 공격 기반을 사용해 노력과 시간을 들여 공격을 실행하는 사람이 역할을 분담, 투명화된 틀 안에서 받는 몸값을 나눠가질 수 있게 됐다. 이에 의해 고도의 공격 기법을 사용한 랜섬웨어 공격이 한층 더 폭넓게 전개되게 됐다.

 

대부분의 랜섬웨어는 ICS를 겨냥해 개발되지는 않지만, 랜섬웨어 공격이 ICS 운용을 혼란시키는 개연성이 가장 높은 사이버 시큐리티 리스크로 되어 있다.

 

랜섬웨어 공격은 돈을 강탈하는 범죄자 집단에 의한 것이지만, 랜섬웨어인 것처럼 위장해 시스템을 파괴하려는 공격도 볼 수 있어 국가의 의도로 이루어지는 사이버 공격과의 경계가 항상 명확한 것은 아니다.

 

계통적으로 이루어지는 사이버 공격

 

우발적으로 일어나는 사이버 사고도 있지만, 대강의 시큐리티 대책을 취한 조직에서 심각한 손해를 초래하는 가장 경계해야 할 사태는 집요하게 시간을 들여 계통적으로 실행되는 사이버 공격이다. MITRE사가 지식 베이스 ‘ICS를 위한 ATT&CK’로서 공표(공격 동향의 변화를 따라 거의 반년마다 세부를 갱신)하고 있으며, 그 중에서 ICS에 대한 체계적인 사이버 공격의 일련의 단계를 표 3에 나타낸 바와 같이 정리하고 있다. 이것을 보아도 ICS에 대한 사이버 공격이 복잡해지고 고도화되고 있음을 알 수 있다.

 

또한 이 지식 베이스에서는 각 공격 단계를 실행하기 위한 구체적인 기법니나 지금까지 발견된 주요 공격 집단의 대표적인 것도 정리해 열거하고 있으므로 ICS에 대한 사이버 공격의 실태를 이해하고 유효성 있는 사이버 시큐리티 대책을 검토할 때의 참고 자료로도 유용하다.

 

지정학적 긴장과 사이버 공격

 

중요 인프라 및 중요 산업 설비 중에서 사용되고 있는 ICS는 국가 혹은 국가 지원을 받은 공격자에 의한 공격이 많다는 것을 표 1에 나타낸 경위로부터도 알 수 있다.

 

2022년 2월에 러시아가 우크라이나를 군사 침공해 사이버 공격이 활발해질 것으로 우려됐다. 실제로 군사 침공 직전에는 우크라이나를 포함한 동유럽 지역을 커버하고 있는 위성통신 시스템의 지상 측 통신 모뎀 펌웨어가 멀웨어를 사용해 파괴됐다. 이 여파로 독일 국내에서도 약 6,000대의 풍력 터빈에 대한 원격 감시 제어를 사용할 수 없게 됐다. 또한 전력망 교란을 목적으로 한 멀웨어 Indutroyer2가 침공 후에 보고됐는데, 사전에 발견된 것으로 공격에 사용된 것은 없었다.

 

대체로 우크라이나 침공에 연동된 ICS에 대한 사이버 공격은 많은 전문가의 예상을 크게 밑돌았으며 그 이유가 논의되고 있다. 일설에 따르면, 특수 군사 행동으로 비밀리에 진행했기 때문에 사이버 공격을 포함한 전면전의 태세를 취하지 않았을 가능성도 있다고 한다.

 

한편 이번 침공 후, 사이버 공간 규범에 대한 인식이 크게 변화한 분위기가 있으며, 각국 정부가 사이버 영역을 포함한 공격 능력을 가질 필요성을 검토하기 시작했다. 사이버 공격의 경우에는 즉시 공격하기 위해서는 평상시에 표 3의 제10 단계 정도까지 공격을 진행해 둘 필요가 있다. ICS 시큐리티 대책에서는 이러한 것에 주의할 필요가 있다.

 

 

ICS의 진화와 사이버 시큐리티

 

2020년에는 코로나19의 유행이 시작됐지만, 그것에 선행해 디지털 변혁에 대한 노력이 시작되고 있었다. 코로나19의 감염 확대 방지 대책으로서 원격 업무에 대한 요구가 증가하면서 디지털을 활용하는 압력이 높아져 디지털 변혁이 가속됐다. 원격 업무 하의 시큐리티 대책에서는 규칙을 철저하게 지켜야 하며, 소셜 엔지니어링의 공격, 패치 적용의 지연 등에 주의해야 한다.

 

디지털 변혁에서는 클라우드 이용에 따라 ICS의 네트워크 아키텍처가 크게 변화해 기존과 같은 경계선에 방화벽 등의 구조를 두어 네트워크 침입을 막는 타입의 시큐리티 대책을 수정할 필요가 생기고 있는데, 아직 확립된 방법론이 없다.

 

또한 IIoT(Industrial IoT) 등의 새로운 기기가 ICS 환경에 도입되어, 사이버 공격에 대한 방어가 허술한 구식 기기와 동거하는 상황이 생기고 있다. IIoT 기기는 대체로 긴 소프트웨어 서플라이 체인의 끝에 위치하게 되므로 상류의 소프트웨어 컴포넌트의 취약성을 계승하게 되는 경우가 많다. 실제로 IIoT 기기가 계승한 취약성을 악용한 사이버 공격도 보고되어 있다. 이러한 문제를 해소하기 위해서도 제품이 포함하는 소프트웨어 컴포넌트를 일람한 SBOM(Software Bill of Materials)과 이것을 이용한 취약성 관리에 대한 기대가 크다.

 

맺음말

 

ICS에 대한 사이버 공격의 주요 역사를 추적해 가면서 오늘날 가장 큰 리스크로 생각되고 있는 랜섬웨어의 상황을 소개했다. 또한 새롭게 출현하기 시작한 사이버 리스크로서 지정학적인 긴장과 분쟁에 따른 사이버 공격과 ICS의 진화에 따른 사이버 공격 계면의 확대를 지적했다.