6일 파이어아이(www.fireeye.kr 지사장 전수홍)는 서울 삼성동 글라스타워에서 기자들과 만나 산업환경에 대한 ‘ICS 보안취약점과 공격안화 조치에 관한 대응책’에 대해 공유했다.

이날 파이어아이가 밝힌 ICS의 6가지 취약점은 ▲인증되지 않은 프로토콜 ▲낙후된 하드웨어 ▲취약한 사용자 인증 ▲취약한 파일 무결성 검사 ▲취약한 윈도 운영체제 ▲문서화되지 않는 제3자 관계다.

특히, ICS의 사용자 인증은 매우 취약했다. 사용자 인증이란 허용된 사람만 컴퓨터에 접근하거나 해당 프로그램을 사용하도록 지원하는 기능이다. ICS에서는 일반적으로 암호를 사용해 인증한다. 문제는 공개된 웹에서 이러한 암호를 쉽게 취득해 공정을 마음대로 조작할 수 있다는 것이다. 한 사업자의 계정의 경우, ID는 admin이며 비밀번호는 1234였다. 첫 설정값을 변경하지 않은 것이다.

공격을 방어하려면 내부의 ICS 장치 목록과 하드코딩된 암호가 있다고 알려진 장치 목록을 대조해야 한다. 또, 암호 취약성을 악용하려는 시도가 있는지 로그와 트래픽을 모니터링한다.

많은 ICS 프로토콜은 인증 없이 작동된다. 인증은 데이터가 신뢰할 수 있는 출처에서 온다는 것을 보장하는 기술이다. ICS 프로토콜에 인증 체계가 없다면 네트워크상의 컴퓨터가 설정값을 바꾸거나 HMI(Human Machine Interface)에 부정확한 측정값을 보내는 등 물리적 공정을 변경하는 명령을 보낼 수 있다.

이로 제품을 손상시키거나, 플랜트 설비를 파괴하거나, 직원에게 해를 가할 수 있다. 이를 막으려면 공정 제어 네트워크에서 사용 중인 인증되지 않은 프로토콜을 모두 확인해 취약점 수준을 파악하고 현재 사용 중인 장비가 인증 옵션을 지원할 수 있는지 평가해야 한다.

이와 함께 하드웨어를 업그레이드하고 낙후된 하드웨어와 네트워크 연결을 최소화하도록 방화벽 규칙을 구성하는 노력도 필요하다. 또, 무결성 검사에 결함이 있을 수 있어 검증을 해야 한다. 운영체제의 업그레이드와 패치 적용도 필수다.

윤삼수 파이어아이 전무는 “중국, 러시아, 북한, 미국 등에서 ICS를 주로 공격하고 있으며 2000년 이후 ICS 보안 취약점은 1600개에 달한다”며 “공격이 계속 증가하고 있기 때문에 네트워크 가시성과 인텔리전스를 확보해 지속 모니터링을 강화해야 한다”고 말했다.

<최민지 기자>cmj@ddaily.co.kr