특 별 기 고 국가기반시설제어시스템사이버보안 ( 제 2 회 ) 글싣는순서 (1) 제어시스템현황과사이버보안위협 (2) 제어시스템보안취약점및사이버공격시나리오 (3) 국내외제어시스템보안추진현황 (4) 제어시스템안전성확보를위한사이버보안기술 서정택부장국가보안기술연구소기반보호연구부 seojt@ensec.re.kr 1. 머리말밤늦은시간, 어느빌딩의지하전산실에서후드티를눌러쓴두청년이노트북을이용하여무언가를열심히확인하고있다. 그들은무선장비를전산실의네트워크에연결하더니재빠르게빌딩밖으로달아나기시작한다. 빌딩으로부터멀어질때까지어느정도달리던그들은노트북을열어그들이설치한무선장비와의연결여부를점검한다. 잠시후, 한청년이노트북에서엔터키를입력하는순간, 빌딩전체의조명이꺼지더니잠시오래된비디오게임인인베이터게임화면이빌딩에나타난다. 빌딩관리시스템 (BMS) 해킹에성공하여제어권한을획득한것이다. 잠시동안그들은빌딩조명을이용하여인베이더게임을즐긴다. 이러한해킹과정을담은영상 1) 은유튜브에서확인할수있다. 대체이들은어떻게빌딩관리시스템을마음대로조작할수있었던것일까? 그것은빌딩관리시스템의소프트웨어, 하드웨어내부에공격자들이이용할수있는보안취약점이존재하기때문이다. 만약원자력, 전력, 철도등과같은국가기 1) www.youtube.com/watch?v=0l7dtmkekou 90 계장기술
국가기반시설제어시스템사이버보안 발견날짜 ID 내 용 13.07.03. ICSA-13-184-01 Alstom Grid S1 Agile의인증취약점존재 13.07.08. ICSA-13-189-01 QNX의 Phrelay, Phwindows, Phditto 제품취약점다수발견 13.07.08. ICSA-13-189-02 Triangle Research사의 Nano10 PLC 서비스거부공격취약점존재 13.07.30. ICSA-13-170-01 GE Proficay HMI/SCADA CIMPLICITY WebView에서입력값검증취약점존재 13.08.01. ICSA-13-213-01 Siemens Scalance W-7xx 제품군에서다수취약점발견 13.08.01. ICSA-13-213-02 Siemens WinCC TIA Portal에서다수취약점발견 13.08.01. ICSA-13-213-03 IOServer Master Station에서부적절한입력값취약점존재 13.08.05. ICSA-13-217-01 MOXA OnCell Gateway에서약한암호사용 13.08.05. ICSA-13-217-02 Schneider Electric Vijeo Citect, CitectSCADA, PowerLogic SCADA 응용프로그램에서 XML 외부객체이용취약점존재 13.08.13. ICSA-13-219-01 Schweitzer Engineering Laboratories에서입력값검증취약점존재 표 1. 최근공개된제어시스템취약점일부 (2013 년 7 월 ~ 2013 년 8 월 ) 2. 공개되고있는제어시스템보안취약점 그림 1. 빌딩관리시스템해킹을통한조명제어반시설을운영하는제어시스템내부에보안취약점이존재하고, 악의적인공격자가이러한보안취약점을이용하여제어시스템을마음대로조작하게된다면빌딩의조명이켜지고꺼지는것과는차원이다른대형사고가발생할수있다. 따라서국가기반시설을보호하고제어시스템을안전하게운영하기위해서는보안취약점을찾고, 제거하기위한노력을지속적으로수행해야한다. 본고에서는제어시스템을위험에빠뜨릴수있는보안취약점에대해살펴보고, 공격자의입장에서보안취약점을이용한공격시나리오를제시하여현재제어시스템이직면하고있는사이버위협에대해알아보도록한다. 미국국립표준기술연구소 (NIST) 의정의 2) 에따르면보안취약점 (Vulnerability) 이란위협원천 (Threat Source) 으로부터공격받을수있는시스템의보안절차, 내부통제, 설계, 구현상의약점및결함를의미한다. 이는보안취약점이제어시스템에존재할경우악의적인공격자 ( 혹은내부자의실수 ) 에의해제어시스템이공격받을수있음을의미한다. 제어시스템을위험에빠뜨릴수있는보안취약점은지속적으로발견되고있다. 이는폐쇄적으로운영되던제어시스템이 IT 기술적용및개방적구조로변해가고있기때문이다. 표 1은최근 ICS-CERT 3) 에등록된보안취약점중일부목록으로여러제조사의제품군에서다양한타입의취약점이발견되고있음을확인할수있다. ICS-CERT에등록된취약점수는 ICS-CERT가설립된 2009년이래로지속적으로증가하고있다. ICS- CERT 는해당취약점을제거하기위한보안패치가개 2) NIST SP 800-30 Guide for Conduction Risk Assessment 3) ICS-CERT : 산업제어시스템침해사고대응팀. https://ics-cert. us-cert.gov 2013. 9 91
특별기고 그림 2. 워터펌프불법제어시연 (Blackhat USA 2013, Out-of-Control) 그림 3. S7-400 의 Level3 비밀번호추출시연 (S4 2013, Recovering Siemens S7 Level 3 Passwords) 발된것만을공개하기때문에아직보안패치가마련되지않은다수의제어시스템보안취약점이존재할것으로예상할수있다. 국제해킹컨퍼런스에서공개되는제어시스템보안취약점역시증가하고있으며, 발견된보안취약점을이용하여다양한해킹시연을함께선보이고있다. 2013년 8월에개최된세계최대해킹대회인 Blackhat 4) USA 2013에서는 PLC(Programmable Logic Controller) 를이용한불법제어시연을선보였다. 해당시연에서는제어시스템내부네트워크로의침투과정과, Emerson 사의엔지니어링도구, HMI 및 PLC의취약점을이용, 워터펌프를제어하여수조의물이넘치는것을시연하였다. 제어시스템보안심포지엄인 S4 5) 2013에서는 Siemens 사의 PLC S7-400의비밀번호관리취약점을이용, PLC로부터정보를읽고제어를수행할수있는 Level 3 비밀번호를획득하는시연을선보인바있다. 이러한시연들은제어시스템이갖고있는보안취약점을이용하면공격자가실제로제어시스템의관리자권한을획득하고임의로제어시스템을조작할수있음을보여준다. 제어시스템보안취약점은지속적으로발견되고있으며, 이에따라제어시스템개발사운영사는꾸준히보안조치를수행해야한다. 만약제어시스템내부에보안취 약점이존재함에도불구하고보안조치를수행하지않을경우, 악의적인공격자들이보안취약점을이용하여제어시스템의제어권을획득할수있음을명시해야한다. 3. 제어시스템사이버공격시나리오 국제자동제어협회 (ISA) 는산업제어시스템보안표준 (ISA-99) 에서제어시스템네트워크를역할과기능에따라보안레벨을현장기기영역인 Level 0에서사내업무망인 Level 4까지그림 4와같이정의하였으며, 각보안레벨에따른영역구성요소는표 2와같다. 보안레벨영역영역별구성요소 Level 4 Level 3 사내업무망 (Enterprise System) 운영센터 (Operation Centers) PC, 비즈니스서버등 자료연계서버, 백신서버, 기타서버등 4) Blackhat : 세계최고의해킹컨퍼런스로해킹기술에대한발표및교육이진행됨 (www.blackhat.com) 5) S4(SCADA Security Scientific Symposium) : SCADA 보안전문심포지엄 (www.digitalbond.com/s4) 92 계장기술
국가기반시설제어시스템사이버보안 Layer 4 Enterprise systems (Engineering systems) Enterprise zone 위해인터넷과맞물려있는영역이다. Windows 등의운영체제, Explorer 와같은웹브라우저의취 Layer 3 Control centers Operations management System management 약점이존재할경우, 사내직원의감염된웹사이트접근, 악성코드가삽입되어있는불법파일의다 Supervisory control Primary control center zone Backup control center zone 운로드, 악성링크가들어있는이메일열기등을통하여사내업무 Wide area network Serial or IP SCADA network 망내부의 PC 가감염될수있다. (2) 제어시스템공격전이 Layer 2 Site monitoring and local display 회사의업무결정에따른제어 Layer 1 Protection Local 시스템운영계획이사내업무망 control 에서제어시스템으로전달되거나, Layer 0 Equipment 제어시스템에서취득된정보의활 Site A Site B Site X control zone control zone control zone 용을위해제어시스템정보가사 내업무망으로전달된다. 이러한 자료연계에서사용하는서비스의 그림 4. 제어시스템네트워크참조아키텍처 (ISA-99) 취약점이존재할경우제어시스템 으로까지공격이전이될수있다. Level 2 감시네트워크 (Supervisory MMI, MASTER, FEP, 또한, 제어시스템내에서운영원및외부업체직원이 HMI LAN) 관리콘솔등자료복사를위해 USB 메모리와같은이동매체를사 Level 1 제어기기 (Controller) RTU, PLC 등 용할경우네트워크를뛰어넘어악성코드가전이될수 Level 0 현장장치및버스네트워크펌프, 모터, 지시등, (Instrumentation bus network) 버튼등 있다. 제어시스템내부에대한공격이성공했다면제어프로 표 2. 제어시스템영역별구성요소 토콜의취약점및제어응용프로그램 (HMI, Engineering 제어시스템이가지고있는취약점을이용한공격시나리오는그림 5와같이나타날수있다. 이공격시나 Tool 등 ) 의취약점을이용해서공격이제어망내부로전이될수있다. 리오는크게사내업무망감염, 제어망으로의공격전 이, 현장사고발생의단계로구분할수있다. (3) 현장사고발생 현장제어망까지공격이성공적으로이루어졌다면, (1) 사내업무망감염사내업무망은정보검색, 타기관과의정보교류를 공격자는다양한제어기기 ( 스위치, 모터, 펌프, 밸브등 ) 를임의로조작할수있게된다. PLC, RTU와같은 Remote sites Site Y control zone 2013. 9 93
특별기고 1A. 웹브라우저취약점을이용한 PC 감염 1B. 웹서버취약점을이용한사내망침투 사내업무망감염 - 감염된파일다운로드 - 감염된웹페이지접근 - 메일에첨부된악성파일열기 - 정보제공서버취약점 2. 사내업무망과제어망간자료연계서비스취약점을이용한제어망침투 3. 부적절한네트워크구성취약점, 제어 Protocol 취약점을통한현장제어망침투 제어망으로의공격전이 - 부적절한네트워크구성 - 방화벽, 침입탐지시스템미사용 - 보안패치미수행 - 제어프로토콜설계 구현취약점 4. SCADA 프로그램취약점을이용하여제어서버, 엔지니어링머신장악 5. PLC, RTU 접근제어취약점을통해, 불법조작명령하달 6. 현장사고발생 현장사고발생 - 기기조작을통한사고발생 그림 5. 제어시스템내부취약점을이용한공격시나리오 현장제어기기는제어기능만초점을맞추어개발되고, 사이버보안은고려하지않아대부분의기기가보안취약점을지니고있음이보안전문가들에의해밝혀지고, 있다. 현장제어기기에인증취약점 ( 비밀번호미사용, 약한해시함수사용 ) 이존재할경우공격자는현장제어기기에접근하여현장장치에제어명령을전송하거나, 조작된제어로직을제어기기로다운로드시킬수도있다. 공격자가제어기기를임의로제어할경우현장에따라다양한사고가발생할수있다. 현장의사고는공격자의제어시스템에대한지식에따라단순한전원의 On/Off 제어에서현장플랜트의파괴, 대규모정전까지도발생할수있다. 4. 맺음말본고에서는제어시스템보안취약점에대해서살펴보았으며, 이러한보안취약점이제어시스템에존재시에발생가능한사이버공격시나리오에대해소개하였다. 사이버공격은공격자입장에서최소한의비용으로최대한의효과를낼수있기때문에공격자들이선호하고있으며, 국가기반시설제어시스템은대규모의경제적환경인명피해를유발할수있으므로사이버공격의첫번째대상이될수있다. 따라서제어시스템운영사및개발사를비롯한관련종사자들은이러한위협이언제나도사리고있음을명심하고, 안전한제어시스템운영을위해노력을기울여야할것이다. 94 계장기술