국가기반시설제어시스템사이버보안 그램으로써알려진사이버공격으로부터의감염사실을탐지하는데효율적이다. 따라서, 제어시스템을구성하는컴퓨터 ( 윈도우즈, 리눅스서버등 ) 에백신프로그램을설치하여악성코드의감염을막을수있도록해야한다. 하지만백신프로그램이업데이트되지않을경우, 새로운유형의악성

Size: px

Start display at page:

Download "국가기반시설제어시스템사이버보안 그램으로써알려진사이버공격으로부터의감염사실을탐지하는데효율적이다. 따라서, 제어시스템을구성하는컴퓨터 ( 윈도우즈, 리눅스서버등 ) 에백신프로그램을설치하여악성코드의감염을막을수있도록해야한다. 하지만백신프로그램이업데이트되지않을경우, 새로운유형의악성"

담비 채
5 years ago
Views:

특 별 기 고 Special contribution 국가기반시설제어시스템사이버보안 ( 최종회 ) 글싣는순서 (1) 제어시스템현황과사이버보안위협 (2) 제어시스템보안취약점및사이버공격시나리오 (3) 국내외제어시스템보안추진현황 (4) 제어시스템안전성확보를위한사이버보안기술 서정택부장국가보안기술연구소기반보호연구부 seojt@ensec.re.kr 1.

1 특 별 기 고 Special contribution 국가기반시설제어시스템사이버보안 ( 최종회 ) 글싣는순서 (1) 제어시스템현황과사이버보안위협 (2) 제어시스템보안취약점및사이버공격시나리오 (3) 국내외제어시스템보안추진현황 (4) 제어시스템안전성확보를위한사이버보안기술 서정택부장국가보안기술연구소기반보호연구부 seojt@ensec.re.kr 1. 머리말앞의기고문 (3회) 에서살펴본바와같이국가기반시설제어시스템은다양한사이버보안위협아래에놓여있으며, 공격빈도및위험성이꾸준히증가하고있다. 보이지않는적으로부터우리의국가기반시설을안전하게보호하기위해서는제어시스템의특성을고려하여보안기술을적용하고, 제어시스템에특화된보안기술의개발이필요하다. 본고에서는우리나라의국가기반시설제어시스템을안전하게보호하는데적합한다양한보안기술및제어시스템특화보안기술을소개한다. 2. 제어시스템에적용가능한보안기술 (1) 백신프로그램백신프로그램은컴퓨터에설치된악성프로그램을탐지하고치료하는프로 82 계장기술

국가기반시설제어시스템사이버보안 그램으로써알려진사이버공격으로부터의감염사실을탐지하는데효율적이다. 따라서, 제어시스템을구성하는컴퓨터 ( 윈도우즈, 리눅스서버등 ) 에백신프로그램을설치하여악성코드의감염을막을수있도록해야한다. 하지만백신프로그램이업데이트되지않을경우, 새로운유형의악성코드를탐지할수없으므로주기적인업데이트를수행하여제어시스템을안전하게보호해야한다.

2 국가기반시설제어시스템사이버보안 그램으로써알려진사이버공격으로부터의감염사실을탐지하는데효율적이다. 따라서, 제어시스템을구성하는컴퓨터 ( 윈도우즈, 리눅스서버등 ) 에백신프로그램을설치하여악성코드의감염을막을수있도록해야한다. 하지만백신프로그램이업데이트되지않을경우, 새로운유형의악성코드를탐지할수없으므로주기적인업데이트를수행하여제어시스템을안전하게보호해야한다. (3) 이동식저장매체관리솔루션 / USB 포트봉인장치방화벽, 침입탐지시스템등을이용하여제어시스템네트워크를잘보호하더라도 USB 메모리와같은이동식저장매체를통한감염은막기는어렵다. 실제로이란의핵시설을공격한사이버무기스턱스넷 (Stuxnet) 과같은악성코드는 USB 메모리를통해제어시스템에침투한것으로알려져있다. 따라서, 제어시스템내에서이동식저장매체의사용을통제하여시스템의감염을막도록해야한다. 이동식저장매체관리솔루션을사용하거나 USB 포트봉인장치들을활용할경우보안성을높일수있다. 그림 1. 대표적인백신프로그램예 (2) 방화벽, 침입탐지시스템의적용방화벽 (Firewall) 은두개의분리된네트워크중간에위치하여사전에정의된기기 (IP) 간에정해진서비스 (Port) 만을허용하고, 이외의모든트래픽을차단하는네트워크보안장비이다. 침입탐지시스템 (IDS 1) ) 은네트워크중간에위치하여오가는트래픽을검사, 공격패턴을탐지하고공격으로예상되는트래픽이발견될경우알람을발생한다. 따라서, 방화벽의통신허용규칙을명확히정의하여사용하지않는기기및서비스에대한접근을막고, 침입탐지시스템을이용하여사이버공격을조기에탐지할경우안전하게제어시스템을보호할수있다. 다만공격을자동적으로차단하는침입방지시스템 (IPS 2) ) 의경우, 제어와관련된중요한트래픽을차단할수있어제어시스템에서사용시주의가필요하다. 1) IDS : Intrusion Detection System 2) IPS : Intrusion Prevention System 3. 제어시스템특화보안기술 (1) 제어시스템특화보안기술의필요성앞에서백신프로그램및방화벽, 침입탐지시스템, 이동식저장매체관리솔루션등을활용하여제어시스템을안전하게보호하는방안에대해설명하였다. 이러한보안솔루션은잘적용될경우안전하게제어시스템을보호할수있지만, 대부분의국가기반시설의경우외부네트워크와분리되어운영되고있기때문에해당보안솔루션의업데이트등이어렵고, 새로운방식의사이버공격이발생할경우이에대한탐지및대응이불가능하다. 따라서, 이러한제어시스템의특성을고려하여사이버보안기술을적용하거나제어시스템전용보안기술을적용하여국가기반시설을안전하게보호해야한다. (2) 제어시스템전용방화벽제어시스템내부간통신은 Modbus, PI, OPC, DNP3, ICCP 등과같은제어프로토콜을이용하여이루어진다. 만약악의적인공격자가실제현장장치를임의로제어하여큰피해를발생시키기위해서는최종적으로

특별기고 Special contribution Corporate Intranet Loadable Security Module (LSM) being Installed on Appliance Tofino TM Central Management Platform Tofino TM Appliance encrypting DCS traffic Router Status

3 특별기고 Special contribution Corporate Intranet Loadable Security Module (LSM) being Installed on Appliance Tofino TM Central Management Platform Tofino TM Appliance encrypting DCS traffic Router Status being sent to CMP SCADA RTU HMI Station Tofino TM Appliance protecting PLC Cluster of DCS Controllers PLC Controllers 그림 2. 토피노 (Tofino) 산업용방화벽개념도 그림 3. 실제제어시스템에서운영중인토피노방화벽는 PLC, DCS와같은제어기기에불법으로제어명령을전달해야한다. 따라서, 제어프로토콜을이해하고, 이러한사이버공격을사전에탐지하고차단할수있는산업용방화벽이필요하다. 대표적인산업용방화벽인토피노 (Tofino) 3) 는 DCS, PLC와같은제어기기앞단에서 PLC로들어오는트래픽을감시하여제어시스템을보호한다. 토피노장비적용시제어시스템의네트워크구성은그림 2와같다. 이산업용방화벽은 TCP/IP 및 IT 환경에서널리사용되는프로토콜이외에도 Modbus, OPC 등의제어현장에서널리사용되는프로토콜을지원한다. 예를들어 Modbus 프로토콜을적용하는통신구간에설치할경우, 특정 coil에대한 write 금지와같이 Modbus command, register, coil 등에대한허용규칙을작성할수있으며, 허용규칙에위배되는 Modbus 트래픽에대해경고를발생시키거나차단함으로써불법제어명령으로부터제어시스템을보호할수있다. 그림 3은실제로토피노장비가제어시스템에설치된모습으로좌측에위치한 PLC로오가는모든트래픽에대한감시를수행하여제어시스템을안전하게보호하고있다. 이외에도 ZenWall 4), RADiflow 5) 등제어프로토콜분석기능을보유한산업용방화벽제품이존재하며, 최근국내에서도사회주요기반시설의계측제어, 자동화 3) 4) 5) 84 계장기술

4 국가기반시설제어시스템사이버보안 정의된응용프로그램 #1 정의된응용프로그램 #2 정의되지않은불법프로그램 Application Whitelisting 솔루션 실행파일, 환경설정파일검사 실행 차단 그림 4. Application Whitelisting 기술개념도 시스템등의산업제어시스템내보안영역별로심층방어할수있는 SW 솔루션인인더스캡-게이트 (IndusCAP- Gate) 를개발한바있다 6). (3) 제어시스템호스트 (Host) 안전성분석기술제어시스템네트워크는다수의서버 ( 윈도우즈, 유닉스서버등 ) 및임베디드제어기기 (PLC, DCS, RTU 등 ) 로구성된다. 따라서, 안전한제어시스템운영을위해서는제어시스템을구성하는서버및임베디드제어기기의안전성을검사하여보안취약점을사전에제거하고사이버공격을탐지할수있어야한다. 이러한호스트안전성분석기술은호스트에에이전트의설치가능여부에따라별도의에이전트설치없이네트워크를통한점검방법및에이전트를설치하여호스트정보를수집및분석하는에이전트기반호스트감시방법으로구분할수있다. 네트워크를통한제어시스템취약점점검제어시스템은실시간성, 가용성등의이유로호스트들에별도의프로그램설치를기피하고있으며, 다수의임베디드제어기기의경우에는점검프로그램의설치자체가불가능하다. 따라서, 별도의에이전트의설치대 신네트워크를통한점검이적합한경우가많다. 대표적인사이버보안취약점점검도구인 Nessus 취약점스캐너는 SCADA Plugins 7) 을개발하여 Modbus, DNP3, ICCP와같은제어프로토콜의취약점점검이외에도 Siemens, SISCO, Telvent, Modicon, Moxa 등제어시스템제조회사에서생산하는제어기기들의취약점을검사할수있는기능을제공하고있다. 또한 Digital Bond사의 Bandolier는제어시스템서버를위한최적의보안설정을찾아내고, 이를검사하는프로젝트로약 20개의제어시스템에대해효율적이면서도안전한최적의보안설정을검사파일 (audit file) 형태로배포하고있다. 예를들어, AREVA e-terra 시스템의경우 Bandolier는 Linuex 시스템보안설정 1337개, Windows 시스템보안설정 676개를제공하고있다 8). 에이전트기반호스트감시일반 PC 및 MS Windows, Linux와같은운영제체 6) id= &ctg=1213 7) 8)

특별기고 Special contribution 가제어시스템에서도널리적용되면서에이전트가설치가능한환경이증가하고있다. 이에많은보안업체들은제어시스템호스트보안을위해에이전트기반사이버공격탐지도구들을제공하고있다. 현재에이전트기반호스트감시기술대부분은 Application Whitelisting 기술을이용하고있다.

이러한운용방식은지정된프로그램만설치되고운영되는제어시스템에적합한보안솔루션으로써, 새로운응용프로그램, 패치및업데이트수행역시 Application Whitelist 관리서버에등록되었는지여부를점검하고, 실행함으로써악성코드의감염을막을수있다.

5 특별기고 Special contribution 가제어시스템에서도널리적용되면서에이전트가설치가능한환경이증가하고있다. 이에많은보안업체들은제어시스템호스트보안을위해에이전트기반사이버공격탐지도구들을제공하고있다. 현재에이전트기반호스트감시기술대부분은 Application Whitelisting 기술을이용하고있다. Application Whitelisting이란, 설치및실행이허용된응용프로그램및실행파일들을목록화하고관리하여악성코드및바이러스를감시및차단하는프로그램이다. 에이전트기반호스트감시기술의동작방식은그림 4와같다. 이러한운용방식은지정된프로그램만설치되고운영되는제어시스템에적합한보안솔루션으로써, 새로운응용프로그램, 패치및업데이트수행역시 Application Whitelist 관리서버에등록되었는지여부를점검하고, 실행함으로써악성코드의감염을막을수있다. 대표적인 Application Whitelisting 제품으로는 Bit9의 Bit9 Security Platform, CoreTrace사의 Bouncer, McAfee사의 Application Control, 안랩의 TrusLine 등이있다. Control Center 그림 5. Sophia 프로젝트개념도 그림 6. Sophia 의 Channel 정보시각화 (4) 제어시스템네트워크트래픽감시시스템실제운영중인제어시스템에네트워크를통한취약점점검을수행할경우, 제어시스템의오동작을유발할수있는가능성이존재하므로실제운영중인제어시스템의취약점점검시에는신중을기울여야한다. 실제로제어시스템취약점점검중공정라인의로봇팔이임의로움직인사례 9) 가존재한다. 또한, 에이전트기반감시방법은범용운영체제를사용하지않는기기가많은제어시스템적용에한계가있다. 따라서, 제어시스템에미치는영향을최소화할수있는네트워크트래픽감시솔루션이많이주목을받고있다. 특히제어시스템은일반 IT 망과달리기기간의주기적, 규칙적인통신이주를이루고있기때문에이러한규칙적인통신을정상적인통신으로정의하고, 이외의비정상적인트 래픽을사이버공격의징후로판단할수있다. 제어시스템네트워크트래픽감시시스템으로는미국 INL 10) 이개발한 Sophia 11) 가있다. Sophia는제어시스템내어떤기기 (IP) 들이어떠한서비스 (Port) 를통해통신하고있는지모니터링하고, 허용된통신 (whitelist), 허가되지않은통신 (blacklist), 결정유보상태 (greylist) 를관리한다. 추가적으로 Sophia는허가되지않은통신을발견할경우, 이를직관적으로이해하기위한사용자인터페이스개발을포함하고있다. Sophia 프로젝 9) 운영중인제어시스템에네트워크상태점검 (ping test) 를하다가 2.7m 크기의로봇팔이 180도회전한사고 : ( gov/wp/wp-content/gallery/uploads/sand_2005_2846p.pdf) 10) 아이다호국립연구소 (INL : Idaho National Laboratory) 11) 86 계장기술

6 국가기반시설제어시스템사이버보안 망분리솔루션 제어시스템네트워크 제어망측통신서버 사내망측통신서버 사내업무네트워크 물리적 ( 논리적 ) 연결제거 그림 7. 망분리솔루션동작방식 트는미국 DoE-OE 12) 가추진하고있는에너지전달 시스템보안을위한로드맵중제어시스템인식기술 프로젝트의지원을받아진행된프로젝트이다. 리적논리적망분리솔루션이개발되어주요기반시설에도입될예정이다. (5) 망분리솔루션 제어시스템에다양한정보통신기술이적용되고제어 시스템에서취득된정보의활용성이증가하면서외부로의안전한정보전달에대한보안요구사항이증가하였다. 따라서, 두개의네트워크를논리적혹은물리적으로완벽히분리하여외부로부터의사이버공격를원천적으로차단하는망분리솔루션의필요성이대두되었다. 이러한망분리솔루션은동작방식에따라외부로부터의데이터전송선을제거한물리적인분리방식과, 읽기쓰기권한의관리및독자적인프로토콜을사용하는등의논리적인분리방식이존재한다. 망분리솔루션의기본적인동작방식은그림 7과같다. 망분리솔루션은내부에역방향 ( 업무망 제어망 ) 으로의통신경로를제공하지않기때문에제어시스템에서취득된정보를안전하게외부로전달하면서동시에외부로부터의침입을완벽하게차단할수있다. 제어시스템전용망분리솔루션으로는 Waterfall사의 WF-SME 13) 가대표적이며, 국내에서도다양한물 12) 미국전력공급및에너지신뢰성본부 (Department of Energy Office of Electricity Delivery and Energy Reliability) 13) 4. 맺음말본고에서는제어시스템에적용가능한보안기술들에대하여살펴보았다. 지금까지살펴본바와같이제어시스템을대상으로하는사이버위협및공격은지속적으로증가하고지능화되고있기때문에, 이에대응하기위해서는제어시스템을안전하게보호하기위한노력을끊임없이기울여야한다. 보다더안전한제어시스템을만들기위해서는제어시스템에적합한사이버보안기술의적용에대한투자및특화보안기술의연구개발을지속적으로수행해야하며, 제어시스템관련전구성원의보안에대한의식또한제고되어야한다. 특별기고 ( 연재 ) 를통해필자는국가기반시설제어시스템사이버보안의중요성에대해역설하였으나, 국가기반시설만이아닌일반산업시설에대한사이버침해사고역시증가하고있고중요하다. 앞으로제어시스템운영과관련된모든구성원들이사이버보안을위해노력하여주요시설제어시스템의사이버안전성을확보해야한다

국가기반시설제어시스템사이버보안 발견날짜 ID 내 용 ICSA Alstom Grid S1 Agile의인증취약점존재 ICSA QNX의 Phrelay, Phwindows, Phditto 제품취약점다수발견

국가기반시설제어시스템사이버보안 발견날짜 ID 내 용 ICSA Alstom Grid S1 Agile의인증취약점존재 ICSA QNX의 Phrelay, Phwindows, Phditto 제품취약점다수발견 특 별 기 고 국가기반시설제어시스템사이버보안 ( 제 2 회 ) 글싣는순서 (1) 제어시스템현황과사이버보안위협 (2) 제어시스템보안취약점및사이버공격시나리오 (3) 국내외제어시스템보안추진현황 (4) 제어시스템안전성확보를위한사이버보안기술 서정택부장국가보안기술연구소기반보호연구부 seojt@ensec.re.kr 1. 머리말밤늦은시간, 어느빌딩의지하전산실에서후드티를눌러쓴두청년이노트북을이용하여무언가를열심히확인하고있다.