<4D F736F F D20B1E2C8B9BDC3B8AEC1EE2DB0ADB9CEB1D5>

Size: px

Start display at page:

Download "<4D F736F F D20B1E2C8B9BDC3B8AEC1EE2DB0ADB9CEB1D5>"

신양 하
5 years ago
Views:

1 IT, IoT, ICS 에대한보안관점에서의현황및차이점 강민균 이공감연구소장 사이버보안은사이버공간에서의위협으로부터국가는기반시설과국가기밀을, 기업은첨단기술과기업비밀을, 개인들은자신들의개인정보를보호하여사이버위험을최소화하는것을말한다. 사이버보안의목표는사이버공간에서사이버위험을최소로줄여나감으로써사이버공간을안전하고신뢰할수있는공간으로만들어사이버공간이계속하여발전되도록보장하는것이라고할수있다. 본고에서는사이버보안의측면에서 ICS 와 IoT 시스템, IT 시스템의차이점을고찰하였다. 향후사이버위협에적절히대응하고, 보다안정적이고신뢰할수있는우리사회의발전을위해서는정부차원의장기적이고종합적인정보보호대책의수립과더불어사회구성원들이자발적으로실천할수있는방향제시가필요하다고생각된다. I. 서론 기존아날로그에서디지털화가진행됨에따라기존에는없던사이버공간에서많은활동이이루어지고있다. 사이버공간이생성된이래로여러가지위험에노출되어왔으며, 이러한위험은개인은물론사회또는국가에도중대한위험을초래한다. 예로써는 2003 년미국, 호주등해외로부터유입된슬래머웜 (Slammer Worm) 이 KT 에서운영하는국내 DNS 서버를공격하여인터넷이중단된사고, 2009 년국내외주요웹사이트를대상으로한동시다발적인 DDoS 공격에의한서비스일시중단, 2011 년국방, 은행, 인터넷포털, 공공기관등을대상으로한 DDoS 공격발생에의한서비스일시중단, 2013 년언론과금융권전산망의악성코드에감염에의한다운되는사태등이발생하였다 [8] 년 12 월 15 일부터 2015 년 3 월 12 일까지총 6 회에걸쳐한국수력원자력 관련자료를공개하며원자력발전의중단을요구하는사건이발생했다 [5] 년부터는랜섬웨어등기존공격과는그성격을달리하는사이버위협이발생되고 * 본내용은강민균연구소장 ( , mgkang@e-gg.co.kr) 에게문의하시기바랍니다. ** 본내용은필자의주관적인의견이며 IITP 의공식적인입장이아님을밝힙니다. 2

2 기획시리즈 - IoT 있으며, 가장최근인 2017 년 5 월에는워너크라이 (WannerCry) 라는스스로감염시키는랜섬웨어의공격으로유럽과미국등전세계 100 여개국의기업, 기관, 병원들이피해를입는사태가발생했다. 이렇게사이버공간에서의사이버위협은나날이지능화되고있다. 본고에서는 IT 시스템, IoT 시스템, ICS 를사용하는산업의특징및보안관점에서의차이점을설명하고, 현재의상황과앞으로나아갈방향에대해서고찰한다. II. 사이버보안이란? 1. 사이버위험사이버위험 (Cyber Risk) 은사이버공간에서발생할수있는손실가능성이라고할수있으며, 사이버위험을야기하는위험요인, 위협요소들로는개인정보침해부터사이버전쟁같은군사적행위에이르기까지매우다양하다. [ 표 1] 사이버위험대상및환경구분 전세계적차원의사이버위험 국가의사이버위험 기업의사이버위험 개인의사이버위험 주요내용 인터넷은전세계를하나의네트워크로연결한것으로, 인터넷을통해서웜이나바이러스가불특정다수를목표로하여활동하는것을예로들수있으며, 이러한위험은여러국가에게쉽게영향을미치게된다. 최근 2017 년 5 월에는워너크라이 (WannerCry) 라는스스로감염시키는랜섬웨어의공격으로유럽과미국등전세계 100 여개국의기업, 기관, 병원들이피해를입는사태가발생했다. 국가기반시설들의디지털화가진행됨에따라사이버테러와해킹공격등으로인해국가로써의기능이마비되고사회적혼란이야기될위험이높다. 또한, 우리나라같은경우북한이 4 개의해커부대를양성하고사이버전을대비하고있으며, 적국과의사이버전쟁으로인해국가정체성을유지하기어려울정도의심각한위기상황에처할수도있다 기업의경우사이버공간에서많은비즈니스가이루어지고있으며, 최근에는인터넷은행도설립된상황으로기업의기술및정보가사이버위험에노출되어기업경쟁력에심각한영향을줄수있는위험이높아지고있다. 또한, 보유하고있는고객들의개인정보를사이버위험으로부터지키지못하고유출시키는사태가빈번히발생하고있으며, 관련법규위반등으로법적책임까지추가적으로지게되는위험이증가하고있다. 최신스마트폰및기기의발달로개인의사이버공간사용이많이늘어나고있으며, 사회적으로보호받지못하고많은위험에노출되어있다. 이러한위험으로는개인정보유출이대표적이며, 개인정보유출로여러가지추가적인범죄에도노출되어있는상황이다 < 자료 > 임종인, 사이버보안정책및법제도현황, IT Standard & Test TTA Journal No.118 July August 정보통신기술진흥센터 3

2. 사이버보안사이버보안 (Cyber Security) 은위와같은사이버공간에서의위험으로부터국가, 기업, 개인의행위를보호하여사이버위험을최소화하는것을말한다. 사이버보안의목표는사이버공간에서위험요소를줄여나감으로써사이버공간을안전하고신뢰할수있는공간으로만들어사이버공간의발전을보장하는것이라고할수있다.

3 2. 사이버보안사이버보안 (Cyber Security) 은위와같은사이버공간에서의위험으로부터국가, 기업, 개인의행위를보호하여사이버위험을최소화하는것을말한다. 사이버보안의목표는사이버공간에서위험요소를줄여나감으로써사이버공간을안전하고신뢰할수있는공간으로만들어사이버공간의발전을보장하는것이라고할수있다. 많은국가들은사이버보안의중요성을인식하고국가차원에서사이버보안을추진하기위해서노력하고있다 [9]. [ 그림 1] 과같이사이버위험은지속적으로증가하고있고, 그로인한개인정보의유출, 서비스중단, 시스템파괴등그피해가급증하고있으며, 개인정보유출, APT 공격, DDoS 공격, 랜섬웨어등그기법이발전하고있는상황이다 [6]. < 자료 > 박영철, 사이버보안체계강화를위한정보보호법제비교법연구, 용인송담대학교, 최종연구개발결과보고서, , p.7. [ 그림 1] 연도별사이버위협변화 III. 사이버위협현황 1. IT 시스템 현재 IT(Information Technology) 산업에서발생하고있는대표적인사이버위협은 APT (Advanced Persistent Threat) 공격과랜섬웨어공격을말할수있다. 4

4 기획시리즈 - IoT 가. APT 분석 오늘날일어나고있는많은대규모보안침해는여러단계를거쳐일어나며수주에서수 개월까지장기간에걸쳐진행된다. 그단계들은 [ 표 2] 와같다. [ 표 2] APT 공격단계구분 정찰 최초침해 백도어접근 수평이동 데이터수집 단계내용 위협가해자또는위협행위자는일반적으로가능타깃의다양한온라인활동을이해하고이를기반으로멀웨어를주입할수있는방법을파악하기위한시간을보낸다. 예를들어, 공격자는사용자가어떤은행웹사이트와소셜네트워크사이트를열어보는지, 사용자가구독하는페이지가무엇인지다양한온라인이용행태를관찰한다. 이를기반으로가능타깃에대한프로필이구축된다. 사용자나타깃이최초로공격을받는단계이다. 보통은사용자의활동과프로필을기반으로사용자가이메일이나블로그포스트링크를클릭하도록유도한다. 사용자가링크를클릭하면사용자본인의시스템에바이러스가다운로드되는웹사이트로이동하며, 이를피싱공격이라고한다. 해커가자신이이용할수있는백도어를확보하기위해멀웨어를사용자의시스템에설치하는방식이다. 멀웨어가사용자의시스템에침입하면, 멀웨어는전세계어디에서든접근할수있는명령및제어센터와커뮤니케이션채널을열기위해방화벽을통과할수있는백도어를탐험한다. 그리고커뮤니케이션채널이만들어지면추가적인멀웨어나명령어들이다운로드된다. 멀웨어는취약점을가진다른시스템들을찾기위한내부탐색과증식을시작한다. 하지만체계적으로멀웨어의행위를숨기고그흔적을최소화함으로써매우은밀하게진행된다. 이행위는수주에서수개월에걸쳐진행될수있다. 멀웨어의수평이동은매우은밀하면서도느리다. 이단계동안최초의백도어가감지되고폐쇄되어추가적인백도어들이생성될수있다. 멀웨어가퍼지고인프라내중요한리소스에접근할수있게되면, 멀웨어는중요한데이터를유출하거나, 데이터수집을시작한다. 수집된데이터는여러백도어를통해대량으로유출된다. 이단계에서기업의정보들이매우탈출위태롭게되는데, 공격자는돈을요구하거나일부데이터혹은기밀데이터를노출하기도하며, 그정보를경매에팔기도한다 [1]. < 자료 > Gigamon Inc. 사이버위협의내부고찰과네트워크보안구축의재고, Whitepaper, Gigamon. All rights reserved. 나. 랜섬웨어일반적인악성코드는다양한경로를통해시스템을감염시키고내부에침투하여중요정보를유출하는악의적인행위를수행한다. 대개정보를파괴하는방식보다는탈취한내부기밀정보를두고피해자와협상을벌이는행태를취한다. 이때협상이원활하지않으면탈취정보의공개등으로협박하거나제 3 자에게판매하는경우도있다. 피해자관점에서정보자료파괴에대한두려움보다는기밀자료의외부유출에대한공포가더크기때문이다. 따라서피해자에게중요도가높고, 외부에알려지길원치않는기밀자료일수록공격자에게도가치가높은매력적인타깃이된다. 이에반해, 랜섬웨어는감염후 PC 내자료를암호화하는악성코드로, 정보를탈취하는대 정보통신기술진흥센터 5

5 신피해자가파일을이용하지못하게하는데집중한다. 공격자, 즉랜섬웨어제작자관점에서는정보유출이목적이아니기때문에암호화된자료의가치는중요하지않다 [4]. 최근에는공격방법이업그레이드되어 2017 년 5 월에발생한워너크라이 (WannerCry) 라는스스로감염시키는랜섬웨어의공격으로유럽과미국등전세계 100 여개국의기업, 기관, 병원들이피해를입는사태가발생했다. 이렇게사이버공간에서의사이버위협은나날이지능화되어가고있다. 워너크라이는기존의랜섬웨어와달리윈도 SMB 프로토콜의취약점을이용하여감염자와네트워크가연결되어있으면 SMB 프로토콜을이용하여전파되는특성을가지고있어많은피해가발생했다. 2. IoT 시스템사물인터넷은사람이인터넷또는 IoT 네트워크를통해서사물과정보를교환하는것을의미하며, 이러한시스템의보안위협요인은 [ 표 3] 과같다. 이러한위협을가지고있는 IoT 시스템을사용하는데있어서피해사례는다양한방식으로증가하고있다. 집안에서사용하는시스템을통해사람의부재여부를확인하거나아파트도어록해킹후출입문을여는등물리적인보안의위협을받고있으며, 자동차같은경우개인의생명과도직결되는피해가발생할수있다. 지난 2013 년중국산다리미와전기주전자에서 30 여개에달하는해킹칩이발견되어세상을놀라게한바있으며, 2014 년미국텍사스주에서는 [ 표 3] IoT 시스템보안위협요인 구분 비인가된접근 정보유출 데이터위 변조 프라이버시침해 보안위협요인 원격서비스를지원하는기기의경우더많은위협에노출될수있다. 공격자는기기에비인가된접근을시도한후접근권한을탈취하여조작함으로써물리적손상등을입히게할수있다. 정보유출은통신구간에서의도청, 스니핑 (Sniffing), 비인가된접근을통해서이루어진다. 이러한공격을통해서유출된정보를활용하여프라이버시침해또는잘못된서비스등다양한공격을추가적으로진행할수있다. 비인가된단말기또는센서를통해서데이터를가로채어위조하여정당한송신자가보낸데이터로인식할수있도록속이거나, 정상적인통신에서데이터를가로채어변조한뒤잘못된정보가전송되도록속이는공격이다. 사물인터넷은사람이인터넷또는 IoT 네트워크를통해서사물과정보를교환하는것을의미하며, 이때이름, 이메일, 주소, 신용카드정보, 생체정보등사용자의데이터가악의적인공격자에게탈취되거나유출되는공격이다. 대량의접속신호또는사용되는네트워크에트래픽을유발시켜서비스거부공격을시도할수있다. 트래픽또는과도한접속시도로기기의서비스를중단시키거나고장나게하여제품을서비스거부 (DoS) 더이상사용할수없도록할수있으며, 악의적으로송신된자료를처리하는데필요한자원을소모시킬수있다 [10]. < 자료 > 장봉임외 1 명, 사물인터넷보안기술연구, 보안공학연구논문지, Vol.11, No.5, 2014, pp

6 기획시리즈 - IoT 유아용모니터기기가해킹당해영상이인터넷에유포된사례도있다 년에보안전문가들이지프체로키차량을해킹해운전대와브레이크를조작할수있다는것을시연하자피아트크라이슬러는해당차량 140 만대를리콜했다 년에는미국도메인네임서버 (DNS) 업체 딘 (Dyn) 이디도스공격에의해서비스가마비되는사건이발생하였다. 이러한디도스공격이 IoT 기기를활용한공격일가능성이높은것으로알려져있다. 3. ICS 분야 ICS(Industrial Control System) 기기들이기존아날로그기기에서디지털기기로업그레이드됨에따라사이버공격의대상이되고있으며, 사이버공격에의한사고는공공의안전을위협함은물론경제적손실또한매우크다. 최근미국 ICS 침해사고뿐만아니라, 이란의원자력시설이나중국의에너지관련주요기반시설에서의바이러스침해와같은피해가점점증가하는추세이다. 나아가이란의경우와같이특정집단이국내시설을대상으로사이버공격을가할경우그피해는상상을초월하는국가적재앙수준의 2 차피해를초래하는사고로이어질수있다. 실제로 2010 년이란핵시설및중국주요기반시설에대한스턱스넷 (Stuxnet) 바이러스공격이후듀크 (Duqu), 플레임 (Flame), 가우스 (Gauss), 2013 년발생한 Red Octover 까지특정대상을지속적으로공격하는 APT 공격이급증하고있다. 지난 2014 년뉴욕타임즈는 2006 년부터북미유럽의정부기관, 에너지업체, 금융기관등에서발생한 141 건의해킹사건에중국인민해방군 부대가관련되어있다고보도하기도했다 년에는미국플로리다주에있는 CSX 철도회사의잭슨빌소재본사컴퓨터시스템에 Sobig 이라는바이러스가감염되어미동부 23 개주를관장하는철도신호체계를정지시키는사고가발생하였다 년에는사우디아라비아국영에너지기업인사우디아람코 (Saudi Aramco) 사의약 3 만개시스템에서하드디스크의정보가삭제되고부팅도할수없게되었다 년 12 월 15 일부터 2015 년 3 월 12 일까지총 6 회에걸쳐한국수력원자력 관련자료를공개하며원자력발전의중단을요구하는사건이발생하였다 년 12 월 23 일, 우크라이나의키보브레네르고 (Kyivoblenergo) 발전소에문제가발생해전력공급이중단되었다. 또한, 우크라이나서부지역의프리카르파티아오블레네르고 (Prykarpattyaoblenergo) 발전소에서도문제가발생해주변지역에대규모정전사태가발생했던것으로알려졌다 년에는, SANS ICS 팀과보안업체이셋 (ESET) 이우크라이나정전사태와관련된것으로보이는블랙에너지 (BlackEnergy) 정보통신기술진흥센터 7

7 악성코드를공개했다 년에는브라질의버스정류장안내시스템이해킹되어약 15 분간성인물동영상이노출된사례가있으며, 2016 년에는특정수도회사의수도시설시스템에보안침해사고가발생했으며유량조정시스템등을조작한것으로추정하고있다. 최근악성코드의공격대상은 PC 를넘어스마트폰뿐만아니라인터넷에연결된기기까지확대되고있다. 기존윈도 OS 뿐만아니라그동안비교적안전하다고여겨졌던리눅스 (Linux), 맥 OS X 를노리는악성코드도꾸준히발견되고있으며, 그동안망분리를통해서안전하다고생각되어왔던 ICS 산업에도사이버공격이지속적으로발생하고있어이에대한대비가필요하다 [3]. IV. IT, IoT, ICS 사이버보안차이점 지난몇년동안 ICS 에대한공격이급속하게증가하고있다. 보안기술관점에서 IT 보안솔루션이 IoT 시스템, ICS 에적용이가능할것으로생각할수도있지만, 일부솔루션을제외하고는적용하는것이상당히어려운경우가많이있으며, 특히 ICS 에적용하는것은상당히어려운일이다. 이러한문제가발생하는것은 ICS, IoT 시스템, IT 시스템간에는근본적인차이점이존재하기때문이다. 본고에서는사이버보안의측면에서 IT 시스템, IoT 시스템, ICS 가어떻게다른지논의해보고자한다. ICS 사이버보안을담당하는전문가들은이러한차이점을이해하고, 전체조직에득이될수있도록실행가능한보안솔루션을개발하거나적용할수있어야할것이다. 1 보안목적기밀성, 가용성, 무결성을보장하는것은사이버위험을차단하기위한중요한보안목적이다. 이중에서도 IT 시스템의경우데이터보호 ( 기밀성 ) 가주요사이버보안목적인비즈니스시스템이다. ICS 는생산공정의무결성및구성요소의가용성을유지하는데에있다. IoT 시스템은프라이버시보호가대표적인목적이라고볼수있다. IoT 시스템은웨어러블디바이스, 가전제품, 자동차, 의료기기등인터넷에연결되는모든사물로확대되고있어서개인의생명까지도위협을받을수있으며, 이를보호하는것이보안의목적으로확대되고있다. 2 네트워크분할 IT 시스템과 IoT 시스템은통상일정수준의인터넷연결성을갖추었으며상호연결된서브넷 (subnet, 서브네트워크의준말 ) 으로구성된다. 이결과, 네트워크보안은액세스제어및인 8

8 기획시리즈 - IoT 터넷으로부터의보호에주된초점이맞추어진다. 따라서인터넷과의경계를두기위해정교한방화벽, 프록시서버, 침입탐지 / 차단장치를비롯한여타보호메커니즘을사용하는것도빈번히나타난다. 반면, ICS 네트워크는두가지최우선보안요구사항을갖는산업인트라넷으로간주될수있다. 첫째, 제어네트워크와인터넷은분리되어있어야하며, 둘째, 제어네트워크는인터넷액세스할수있는다른시설또는네트워크로부터보호되어야한다. 이러한요구사항의충족을위해 ICS 는 IT 시스템과분리를위해서네트워크보안장치 ( 방화벽 ) 를사용한다. 또한, ICS 내에서게이트웨이의역할을하는워크스테이션및서버만이 ICS 주변보안장치를통해 ICS 액세스가허용되는데이는시설네트워크에서 ICS 제어네트워크상의여타장치에직접접속하는것을방지할수있다. 게이트웨이의경우, ICS 제어네트워크에연결될수있게허용하는추가네트워크카드를갖춰야한다. 일반적으로는시설네트워크로부터 ICS 에접속하도록인가된장치만이 ICS 네트워크보안장치에대해인식하고있으며, 이를통해 ICS 게이트웨이에메시지를전송할수있게된다. 3 네트워크접속방식 (topology) IT 시스템은대규모로, 데이터센터, 인트라넷, Wi-Fi 네트워크를포함하고있다. 또한, IoT 시스템은 ZigBee 네트워크, RFID 등센싱을위한다양한네트워크를포함하고있다. 이에반해 ICS 는비교적소규모로구성된데이터베이스와데이터 / 이벤트기록장치만을갖게된다. IT 와 IoT 시스템에수백, 수천에이르는통신지점 (node) 이있는것도드물지않게나타나며, 해당숫자는인력변화, 애플리케이션발전, 모바일장치연결및해제에따라빈번하게변경될수있다. 대조적으로대다수의 ICS 는비교적작은자릿수로통상정적으로정의된구성을갖는다. 4 기능분할파티션 IT 시스템이취하는가장일반적인접근법은정보자산에대한사용자액세스의제한강화를위해시스템을다수의관리파티션으로분할하는방식이다. 더불어 IT 부서는대체적으로 Windows 도메인및파일과같은운영체제개체를사용하여파티션을구현한다. 한편, IoT 는위에언급한위협요인들을봤을때이러한기능분할파티션이현재까지는필요가없는형태이다. ICS 분할은 IT 시스템과는매우상이하며, ICS 는 ISA95/Purdue 참조모델의정의에따라세가지레벨로 (0, 1, 2) 분할되어있는데, 0 레벨은물리적프로세스 (physical process), 1 레벨은제어및모니터링 (Control and Monitoring), 2 레벨은감시제어 (Supervisory Monitoring) 이다. ICS 레벨에서사용되는장치의특성으로인해장치에신뢰레벨을매핑하는것이필수적이며, 이경우신 정보통신기술진흥센터 9

9 뢰도는장치의동작이예상과얼마나일치하는지여부를뜻한다. 5 물리적구성요소 IT 시스템은주로 IT 가액세스및관리할수있는기성네트워크, 워크스테이션, 서버로구성되어있기때문에 IT 부서에서는이러한구성요소에대한보안정책을규정할수있으며, 해당정책을방화벽, 안티바이러스시스템, 패치관리시스템등의보안관련기성애플리케이션및장치에적용하곤한다. 이와대조적으로 ICS 는이따금겉으로보이는것과는달리 IT 시스템처럼제어를수행하지않으며, 한마디로엄격하게통합된비개방형사유시스템으로표현될수있다. 워크스테이션이나서버를제외한다면 ICS 는일반적으로맞춤형으로구축되어, IT 측면에서는생소한구성요소로갖추어져있고, 많은경우이더넷스위치및방화벽등의산업용네트워크장치를포함한다. ICS 워크스테이션및서버는대개윈도를기반으로하고있지만 ICS 벤더들은운영체제가아닌자사소프트웨어를맞춤형으로구축하고, 이들의보안정책은 IT 시스템내부에서사용하는정책과충돌할수도있는산업표준에부합되도록확립되어있기때문에 ICS 워크스테이션및서버는강화되게된다. IoT 시스템은이중간과정에있다고볼수있을것이다경계를명확히하기는어렵지만, IT 와 ICS 절충형에가까운모습으로존재한다. 6 사용자계정 IT 시스템은일반적으로운영체제에게알려진사용자 (Windows 사용자 ) 및특정애플리케이션의사용자 ( 주문입력시스템 ) 의두가지레벨의사용자를지원한다. ICS 역시운영체제사용자계정과도메인을사용하지만 IT 시스템도메인과 ICS 도메인사이의신뢰를설정하여, IT 시스템사용자가 ICS 를액세스할수있게허용하는것은 ICS 의분리를저해하기때문에대체로권장되지는않는다. IoT 시스템은개인적으로사용하는형태가많아주로개인의스마트폰을활용하여계정관리기능을제공하는경우가대부분이며, 아직발전하는분야에대해서는이러한시스템조차제공하지않는경우가대부분이다. 7 SIS 시설안전성은시설운영에필수부분이며, 이에따라 ICS 는종종분명한통합 SIS(Safety 10

10 기획시리즈 - IoT Instrumented System, 안전계측시스템 ) 을포함하고있다. SIS 는안전을위협하는공정조건이발견될시공정을안전상태로배치하는것을통해해당공정의안전운영을유지한다. 반면, IoT 시스템과 IT 시스템에는 SIS 에해당하는유사시스템이없다. 8 소프트웨어 IT 시스템은일반적으로기성소프트웨어를실행하고시간경과에따라발전할수있도록허용된개방형시스템에해당된다. 더불어, 이의발전에는신규소프트웨어추가, 워크스테이션, 서버, 네트워크장치하드웨어 / 소프트웨어업데이트, 필요시구성요소교체를비롯하여시스템에신규구성요소추가까지포함된다. 이와관련해시스템을항시최신으로유지하는것은 IT 시스템에서보안성을지키기위해취하는접근법중하나이다. 반면, ICS 는대개폐쇄형으로특정한하드웨어구성및운영체제버전 ( 서비스팩 ) 으로구현되며, 변경시정상적으로실행되지않을수도있다. 그결과, 패치및바이러스정의파일을포함한모든업데이트는설치승인이전에 ICS 에서철저하게테스트를거치게된다. 마찬가지로 ICS 에추가되는모든신규소프트웨어중해당벤더가공급 / 지원하지않은것역시, 호환성을위해 ICS 에서철저한테스트가필요하다. 일부경우, FDA( 식품의약청 ) 의규제처럼규제제품과연관된 ICS 및 IT 시스템은반드시검증을거쳐야하고, 일단검증을마쳤다하더라도신규소프트웨어를통한업데이트시에는재검증절차가필수적이다. 하지만통상적인 IT 시스템에서는이러한엄격성이적용되지않는다. 이러한점은 IoT 시스템도유사한부분이있다. 9 패치작업 IT 시스템은일반적으로, 출시되자마자빠르게자동으로보안업데이트를설치하는패치관리소프트웨어를갖추고있다. 반면, ICS 에서는패치작업이지연되거나무한정연기되는경우가드물지않게나타난다. 또한, IoT 시스템은양쪽의성격을다가지고있다. 기본적인패치는인터넷에연결되어업데이트가가능하지만, 펌웨어같은경우수동으로업데이트를해줘야하는경우가존재한다. 10 보안인식사이버보안조치는직무에어느정도불편을끼친다. 운영체제패치가설치되는동안지루하게기다려야하거나잠금장치로인해비밀번호를재설정하기위해서서비스인력을호출한경험은누구라도갖고있을것이다. 하지만아무리불편하더라도보안의불편함은모두가감내 정보통신기술진흥센터 11

11 해야하는필수사안이다. IoT 시스템또한보안의불편함을감내하고개인이필요에따라수동업데이트도진행을하고있으나, 업데이트에대한인식이부족한현실이다. 반면, ICS 환경에서는이러한불편함이허용되지않을수도있으며, 특히성능저하를야기하는불편함은절대금물이다. 예를들어, 중요한시스템경보를제때수신하지못해미쳐대처하지못하거나워크스테이션이멋대로재부팅하는상황의처리는가히끔찍한결말로이어질수있기때문이다. 또한, 공정전복시길고복잡한비밀번호를사용하는것역시용인되지않을수있다. 이러한불편함의다수는 ICS 에만국한된것은아니며, 여타부문에서도허용되지않는사안으로취급될경우도존재한다. 하지만디바이스수증가에따른보안패치적용, 모니터링의어려움등이발생하고있다 [2],[7],[11],[12]. 이러한사이버보안측면에서의차이점은 [ 표 4] 와같다. [ 표 4] IT 시스템, IOT 시스템, ICS 사이버보안관점에서의차이점요약 구분 IT 시스템 IOT 시스템 ICS 보안목적 기밀성중시 프라이버시보호중시 가용성중시 네트워크분할 인터넷으로부터보호 인터넷망분리및보호 네트워크접속방식 기능분할파티션 물리적구성요소 사용자계정 안전계측시스템 (SIS) 소프트웨어 패치작업 대규모네트워크 무선중심의다양한네트워크 비교적소규모정적네트워크 다수의관리파티션분할현재까지필요없음세가지레벨로분할 네트워크장비, 워크스테이션, 서버 OS 또는특정소프트웨어 IT 장비 + 스마트폰 + 센서 스마트폰연동또는없음 일부 IT 장비대부분맞춤형장비 OS 계정도메인구분 없음없음있음 개방형시스템 자동보안업데이트 폐쇄형시스템 ( 개방형으로확장중 ) 기본자동보안업데이트일부수동보안업데이트 폐쇄형시스템 대부분수동업데이트 보안인식필수사안업데이트인식부족성능영향우선 지금까지사이버보안의측면에서 ICS 와 IoT 시스템, IT 시스템의차이점을고찰하였다. 이러 한차이점을이해하지못하는경우, 보안을담당하는관리자들간의마찰이초래될수있으며, 이는시설의보안솔루션성능을저해하는결과로이어질가능성도높다. 12

12 기획시리즈 - IoT V. 결론및시사점 각산업의발전에따라사이버위협도증가하고있으며, 이에따른보안기술또한강화되고있다. 하지만현재 ICS 가가장늦게시작한만큼여러가지분야에서준비가미흡하며, 특히시스템간의차이점을이해하지못하는경우, 보안을담당하는관리자들간의마찰이초래될수있으며, 이는도입된보안기술의기능을저해하는결과로이어질가능성도높다. 이러한문제를해결하기위해서차이점을정확히이해하고 ICS 분야의전문가양성이시급하다. 현재국내의 ICS 산업분야에서는원자력시설관련분야가선두주자로준비하고있으며, 국내에서도주요기간망에대한법령제작부터표준화수립까지국내전문가들이바쁘게움직이고있다. 진화하고있는사이버위협에적절히대응하고, 보다안정적이고신뢰할수있는우리사회의발전을위해서는정부차원의방향제시가필요하다고생각된다. 각산업에서의사이버보안의필요성에대해서는아직인식이부족한부분도있고, 자체적인비용등의영향으로소홀이하는경우가많이있다. 따라서방향제시및지원을통해서국가차원에서해결을하도록지원을해야할것으로생각된다. 또한, 진화하는사이버위협에대비하기위해서는정부의노력뿐만아니라민간부문에서도자율적으로대응체계를구축할수있도록보안산업의활성화가필요하다. 이를위해서는우선적으로적정수준의전문보안인력의양성이반드시요구된다. 기업들이사이버보안에대한투자를비용으로생각하지않고과감하게투자할수있도록여러정책적지원방안을마련하는것도좋은방법일것이다. 끝으로, 사이버보안분야는단기간내에효과를볼수없는특성을가지고있기때문에중장기적으로접근하는노력이필요하다. [ 참고문헌 ] [1] Gigamon Inc. 사이버위협의내부고찰과네트워크보안구축의재고, Whitepaper, Gigamon. All rights reserved. [2] Lee Neitzel, Bob Huba, ICD 와 IT 사이버보안의 10 가지차이점, 에머슨프로세스매니지먼트, [3] ( 주 ) 안랩, 사회기반시설공격동향분석보고서, ASEC 대응팀, Analysis Report, [4] ( 주 ) 안랩, 최진랜섬웨어동향분석보고서, ASEC 대응팀, Analysis Report, [5] 박상형, 한수원사이버위협대응현황, 원전안전강화를위한정책토론회, [6] 박영철, 사이버보안체계강화를위한정보보호법제비교법연구, 용인송담대학교, KISA 최종연 정보통신기술진흥센터 13

13 구개발결과보고서, , p.7. [7] 배상태, 김진경, 사물인터넷 (IoT) 발전과보안의패러다임변화, KISTEP INI 14 호, [8] 신종환, 국내주요인터넷사고경험을통해본침해사고현황, Internet & Security Focus, 2013 년 9 월호 [9] 임종인, 사이버보안정책및법제도현황, IT Standard & Test TTA Journal No.118 July August [10] 장봉임외 1 명, 사물인터넷보안기술연구, 보안공학연구논문지, Vol.11, No.5, 2014, pp [11] 한국인터넷진흥원, 2016 년 2 분기사이버위협동향, 2016 년 2 분기사이버위협동향보고서 [12] 한국인터넷진흥원, 2016 년 1 분기사이버위협동향, 2016 년 1 분기사이버위협동향보고서 14

354-437-4..

354-437-4.. 357 358 4.3% 5.1% 8.2% 6.2% 5.6% 6% 5% 5.3% 96.1% 85.2% 39.6% 50.8% 82.7% 86.7% 28.2% 8.0% 60.0% 60.4% 18,287 16,601 (%) 100 90 80 70 60 50 40 86.6% 80.0% 77.8% 57.6% 89.7% 78.4% 82.1% 59.0% 91.7% 91.4%