한국정보보호학회 CPS보안연구회(조직위원장 서정택 가천대 교수)가 주최/주관하는 '2021 차세대 인프라 보안워크숍’이 7월 9일 서울 양재동 엘타워 6층 그레이스홀에서 온오프라인으로 동시진행됐다.
키노트 세션에는 서정택 교수는 ‘제어시스템 보안 13년을 돌아보며..’란 주제로 강연을 진행했다.
제어시스템은 지리적으로 원격 분산된 자산을 감시 및 제어하기 위한 시스템으로 전력생산, 분배, 댐운영, 가스 생산, 유통, 수자원관리 및 원자력 발전 설비, 교통, 항만 등의 운영을 제어하고 관리하는 시스템을 말한다. 통칭 SCADA 시스템이라고 한다. 최근에는 스마트시티 및 스마트팩토리 영역까지 확대되면서 국가기반시설 전반에 제어시스템이 사용되고 있다.
서정택 교수는 “원자력발전소는 전력의 공급량 보다는 안전을 우선으로 생각한다. 얼마나 안전하게 이용하고 컨트롤할 수 있느냐가 핵심이다. 국가기반시설에 적용된 제어시스템이 악의적인 해커나 테러조직에 해킹을 당한다면 대 참사로 이어질 수 있다”며 “2010년 스턱스넷은 최초의 제어시스템 대상 악성코드였다. 전력 제어시스템이 해킹을 당하면 어떤 결과가 발생하는지 잘 보여준 사례다. 이때부터 전력 제어시스템 보안기술 연구가 발전하기 시작했다”고 설명했다.
이어 서교수는 제어시스템 보안의 역사에 대해 간략히 설명했다.
2001년 정보통신기반보호법이 시행되고 2008년 제어시스템 보안연구부서가 신설됐다. 2009년 국가신성장동력 사업으로 스마트그리드가 추진되고 제주에 스마트그리드 실증 사업이 시작됐다. IEC 62351 표준화활동도 이때부터였다.
2010년 스턱스넷의 출현으로 전력제어시스템 보안기술 연구가 본격화 되고 2011년 스마트그리드 핵심 보안 기술 연구개발 과제가 나오기 시작했다. 2012년 한국형 원전 사이버보안 체계 연구 과제가 나오고 2013년 원전 사이버보안 워크숍 개최가 시작됐다.
2014년 원자력 방호방재법 시행령이 개정되고 한수원 해킹사고도 발생한다. 국내에서도 전력망 해킹의 위험성이 대두된 시기다. 2015년 우크라이나 전력망 해킹 사고가 발생하고 2017년에는 워너크라이 랜섬웨어가 원전시설 및 기반시설을 타깃으로 공격을 시작한다. 풍력발전기 해킹사고도 발표됐다. 2018년 제1회 차세대 인프라 보안워크숍이 개최되고 2019년 블랙햇, 데프콘 등에서 지멘스 보안기능 적용 PLC 대상 취약점 분석 및 모의해킹 결과가 발표된다. 2020년 IEC62443 4-2가 국가 표준화되고 국보연 산업제어시스템 보안 데이터셋이 공개된다.
2021년 4월에는 이란 나탄즈 핵시설 전력망 파괴 사건이 발생하고 5월에는 제8회 CPS 보안워크숍이 개최된다. 또 미국 송유관 랜섬웨어 공격도 발생한다.
한편 서 교수는, 제어시스템은 정보시스템 사고발생시 보다 더 큰 인명피해 및 물리적, 경제적 피해가 발생한다고 강조하며, 강한 실시간 요구사항, 무중단 운영, 다양한 이기종의 하드웨어/소프트웨어 구성, 장기간의 운용주기(10년~30년)를 가지고 유지보수도 어려운 것이 현실이라고 설명했다.
어려운 상황이지만 제어시스템에 대한 보안 연구는 계속되어야 하고 더욱 강화해 나가야 한다는 것이다. 이를 위해 그는 몇가지 사안들을 강조했다.
◇제어시스템 보안 연구개발 투자 확대해야
우선 제어시스템 보안 연구개발에 적극적인 투자가 이루어져야 한다.
제어망 대상의 보안기술 적용에서 필드 네트워크 및 필드 제어기기(RTU, IED, PLC 등)를 대상으로 보안 기술 적용 확대가 필요하다. 또 운영정보, 네트워크 패킷, 로그 정보 등 AI를 이용한 이상징후 탐지 기술 연구 확대와 적용이 필요하다. 그리고 제어기기 대상 취약성 분석 기술 및 보안기능이 개발되어야 하고 제어기기(임베디드시스템)에 대한 보안인증 및 암호기술 개발이 필요하다고 강조했다.
◇교통 및 수자원 분야 등 연구개발 분야 확대 시급
전력, 원자력 분야에서 교통, 수자원 분야로 연구개발 분야가 확대되야 한다고 서 교수는 강조한다. 스마트시티 내 기반시설 연계 구간 및 스마트팩토리 영역에 대한 보안대책 마련이 시급한 상황이다.
◇백신 및 패치관리 중요성
또 그는 백신과 패치관리에서 CD를 사용해 관리를 하고 있으니 어려움도 있고 패치가 잘 안되고 있다고 지적했다. 이에 대한 대책마련이 필요하다는 것이다.
서 교수는 기반시설 백신 및 패치 업데이트 시 △공급망 공격을 통한 스파이집 존재 가능성 확인 △내부자 부주의로 인한 패치 서버 오염 가능성 확인 △업데이트 파일의 무결성 및 변조 가능성 확인 △업데이트 하기 위한 통신 수단 로깅 수행 △자산이 비정상적으로 작동할 경우 데이터 및 설정 백업 데이터를 이용해 복구 등을 고려해야 한다고 강조했다.
◇제어시스템 모의해킹
현장 제어시스템과 동일한 환경으로 개발된 테스트베드를 이용해 모의해킹을 수행함으로써 모의해킹 시 발생할 수 있는 위험을 줄일 수 있다. 또 오버홀 기간을 이용해 도입되는 신규기기 및 시스템을 점검할 수 있다. 이런 모의해킹 환경 구축이 필요하다.
◇공급망 보안 공격 대응
제어시스템을 해킹하기 위해 해커들은 공급망을 먼저 공격한다. 이에 안전한 소프트웨어 개발 방식을 채택했는지 여부를 확인하고 소스코드 및 컴파일된 코드에 취약점이 존재하는지, 자사 제품의 취약점을 적극적으로 공개하는지, 제품 취약성 대응 프로그램이 있는지, 패치 관리 기능이 활성화돼 있는지 확인할 것을 주문했다.
이외에도 이상징후탐지시스템, 로그분석시스템, 단위/부문 위협관리시스템 간 연계 및 변환 기능을 통해 보안 모니터링을 수행하는 등 보안관제의 중요성과 더불어, 제어기기 개발사 보안기능 개발 및 적용도 강조했다.
즉 전력, 원자력 등 국가기반시설에 도입되는 하드웨어 및 소프트웨어 개발 업체는 자체적인 보안기능 설계 및 구현이 필요하다. 이는 해외 수출시 보안기능 개발을 통한 경쟁력 확보도 가능해진다고 조언했다.
그리고 제어시스템에 특화된 사이버보안 전문인력 양성 사업에 대한 추진과 투자가 절실하며, 제어시스템 보안 기술 발전을 위한 기술정보 공유도 활성화되어야 한다고 강조했다. 현재 CPS보안연구회가 구심점이 되고 있다.
★정보보안 대표 미디어 데일리시큐!★