관리 메뉴

kisoo

Stucksnet 대응과 앞으로의 과제 본문

11.세미나

Stucksnet 대응과 앞으로의 과제

JamesK78 2012. 7. 27. 16:32

Stuxnet(스턱스넷)이 주는 충격은 실생활이 직접적으로 영향을 받을 것이라는 점에서 많은 사람들에게 각인이 되고 있다. 또한 앞으로 기반시설에 대한 보안 이슈와 관심도 그 어느 때 보다 높아 질 것으로 예상 된다.

세계적으로 이슈가 되고 있는 Stuxnet은 일반적인 보안업체에서도 향후의 방향성에 대해서 한번쯤 고민을 해야 될 이슈를 던져 주고 있다. 기존과는 다른 접근이 필요한 분야라는 점도 인식을 해야 할 것이다.

현상으로 돌아가면 시만텍의 Stuxnet에 대해 한국내 감염 수치가 8% 이상일 것이라는 점은 사실이다. 더불어 시만텍의 CTO인 슈나이더의 통계수치도 사실이다.

http://www.etnews.co.kr/news/detail.html?id=201010130250
실제 감염된 것은 맞지만 기사내의 정부 당국자의 이야기가 분명한 사실을 이야기 한다. 감염된 것은 맞지만 실제 기반시설 장비에는 감염이 안되었다는 것이 정확한 이야기이고 사실에 가까운 것이라 할 수 있다.

Stuxnet은 기반시설 장비에만 감염되는 것이 아니다. 기본적인 윈도우 취약성을 이용하여 전파가 되고 USB를 통한 전파도 일반적이기에 시만텍에서 이야기한 감염수치 부분은 단순 PC 감염으로 봐야 한다. 즉 해외에서 언급된 통계치의 대부분은 실제의 위험과는 약간 괴리감이 있는 수치일 가능성이 높다.

Stuxnet은 분명 위험한 웜이고 타깃화한 웜인 것은 명확하다. 큰 피해를 입힐 가능성이 매우 높음을 증명한 실질적인 위협이며 사이버상의 위험이 더 이상 현실과 괴리가 있는 동떨어진 이야기가 아님을 실제적으로 증빙한다. 그렇다면 비록 허수라 하더라고 감염 수치를 무시 할 수 있는가? 라는 질문을 할 수 있다.

현재 정확한 감염 수치는 그 어디에서도 얻을 수 없다. 모든 탐지 사례를 허수라고 가정한다 하여도 찾아내지 못한 곳 중 하나라도 웜이 기반시설망에 존재하는 순간 아수라장이 될 수밖에 없다. 그것은 폐쇄망의 특징에 기인하기도 하고 대응의 어려움에 기인하기도 한다. 기존의 온라인상에서의 대응과는 상당부분 다른 관점으로 보아야만 한다.

기반시설을 위협하는 Stuxnet의 위험성은 실제 기반시설 운영 시스템에 직접 영향을 미칠 수 있고 조정이 가능하다는 점에서 웜 자체가 가지는 심각성과 의미는 높다. 그렇다면 향후에 기반시설 장비를 보호하기 위해 무엇을 어떻게 해야 하는지에 대해서도 상당수준의 경각심을 가지고 준비를 해야만 한다.

현재의 감염수치는 온라인상에서 수집된 데이터들이 대부분이라 폐쇄망을 기본으로 하는 SCADA 시설에서는 신뢰도가 떨어질 수밖에 없을 것이다. 그러나 목표의 중요성으로 볼 때 향후 더 치밀하고 은밀한 방식으로의 접근과 공격이 증가 할 것임은 당연한 사실이다.

2002년 즈음에 기반시설의 보안에 관련된 문서를 작성한 적이 있다. 그 문서에는 전문가와 비전문가를 막론하고 항상 오해를 하는 세 가지 주요 부분을 정리한 바가 있다.

그 세 가지는 다음과 같다.


1. 제어시스템은 물리적으로 분리된 독자적 네트워크상에 존재한다

일반적으로 분리된 독자적 네트워크상에 존재하는 것은 사실이다. 그러나 아주 적게나마 원격에서 접속이 가능한 지점이 존재하고 기업정보시스템과의 연동의 필요성으로 인해 통합된 지점이 거의 존재한다.

2. SCADA시스템과 기업정보 시스템과의 연결에는 강한 접근제어 정책으로 보호되고 있다.

대부분의 경우에 SCADA시스템은 방화벽과 보호 장치가 이중으로 되어 있는 구조이나 정보시스템으로부터 혹은 외부로부터 접속이 가능한 몇몇 개의 접속지점이 반드시 존재한다.중대사고 발생 시의 Hot line 혹은 외부에서 연결을 통한 연결지점, 정보시스템에서
정보의 활용을 위해 제어시스템과 연결이 되는 부분이 반드시 존재한다.

3. SCADA 시스템을 운용하기 위해서는 특별한 지식이 필요하며 침입자가 접근하고 제어하기가 어렵게 만든다.

SCADA 시스템의 운영에 사용하는 소프트웨어나 제어장치에 대한 매뉴얼은 이미 전체의70프로 이상이 인터넷 상에 공개가 되어 있다. 그러므로 이전과 같이 정보가 없어서 지식을 획득하지 못하는 일은 없다.

SCADA시스템을 제작하는 회사는 사후지원과 Update등을 위해 인터넷을 통해 다운로드 받는 형태로 매뉴얼을 제공하는데 이를 통해 충분한 지식의 습득이 가능하다.

발췌 CriticalAlertforCyberTerror-p4ssion2002년

2002년에 작성한 항목이나 현재도 인식에 관해서는 별반 다르지 않다. 각 항목별로 현재의 Stuxnet 사례는 좋은 예시가 될 수 있다. “기반시설은물리적으로분리된망에존재하며정보시스템과의연결에는엄격한통제가있고방안들이있어서접근이불가능하다.

또한 장비의 운영에는 특별한 지식이 필요해서 침입자가 접근하고 제어하기가 어렵다.”라는일반적인인식들은지금의 Stuxnet을 살펴보면 해당사항이 없음을 알 수 있다.

비단 지멘스 장비에만 국한된 문제일까?

지멘스사의 솔루션 이외에도 몇몇 대형벤더(이를테면 GE) 들의 전 세계적인 SCADA 장비 점유율이 높은 상태여서 공격자 입장에서는 좀 더 쉽게 공용적인 공격기반을 만들 수 있다. 이번 Stuxnet은 지멘스 장비를 대상으로 하였지만 앞으로는 보다 더 타깃화되고  일반화된 형태의 공격들이 일상적으로 발생이 될 것이다.

가능성에 대해서만 인지를 한 국가들조차도 기반시설 장비가 위험해졌을 때의 파괴력과 영향력에 대해서 확실하게 인식을 하였을 것이고 사이버 전장의 영역은 이제 기반시설 장비까지도 직접적으로 노릴 것이다.

아마 오래 전부터 해왔던 많은 행위들이 이번에 노출되었다고 보는 것이 정확하지 않을까? 폐쇄망 내부의 감염을 위해 작성한 감염코드가 일반 인터넷 영역에 우연히 노출 되면서 확산이 되고 알려지지 않았을까? 그 모든 가정을 한다 하여도 이제는 실제의 영역에 들어온 부분이다.

이미 예전부터 준비가 되어 있어야 하지만 지금의 상태는 어떠하고 또 대응책은 적절한지, 알려지지 않은 위협들에 대해 충분히 인지하고 있었는지가 향후를 가늠할 핵심이 될 수밖에 없다.

SCADA 장비에 대한 위험들은 수면 아래에서 Stuxnet을 통해 수면위로 떠올랐다. 이제 우리는 실존 하는 위협을 마주하고 있다. 실존하는 위협에 대해 대응하고자 한다면 우선 현황을 이해해야 한다. 현실에 대한 이해를 바탕으로 현실적인 대책들이 수립되어야 한다.

SCADA 장비가 운용되는 곳들의 일반적인 특징

1. 폐쇄망
일반적인 네트워크 라인과 분리가 되어 있으나 내부에서의 통신을 위한 제한적인 라인들은 장비들끼리 연결 되어 있을 것이다. 또 통제시스템도 마찬가지로 연결 되어 있을 것이다.                                                                                                                                                                            폐쇄 망이라는 의미는 인터넷 연결이 되어 있지 않다는 의미 일뿐이며 독자적인 설비 상태로 존재하는 것이라는 것을 이해하자.

2. 중단없는운영
기반시설에 운영되는 장비는 대부분 24시간 365일 운영을 원칙으로 할 수 밖에 없다. 발전시설과 전력, 교통등 다양한 기반 분야에 활용되는 장비들의 특성은 항상 작동 되고 있어야 한다는 의미이다.

3. 독자적인프로토콜사용및목적에맞게변형된장비나운영체제의사용
SCADA 장비에는 복잡하지는 않으나 독자적인 프로토콜이 사용된다. 다만 이 프로토콜의 사용법과 활용도에서는 인터넷에 일정수준 공개되어 있으며 장비를 직접 제어하는 PLC 명령코드는 그리 어렵지 않다.                                                                                                                                    목적에 맞도록 운영체제도 일정수준의 기능을 제거하거나 용도에 맞도록 변형된 임베디드 운영체제가 사용되고 장비도 독자적인 변형을 가진 장비 형태가 사용된다.


크게 위의 세 가지 사항을 일반적인 특징으로 볼 수 있다.

특징을 고려하지 않은 대응과 대비책은 많은 문제를 가질 수밖에 없으며 현실적인 적용이 어려울 수밖에 없다. 현재 SCADA 보안과 관련된 부분은 정책적인 부분과 정기적인 외부 노출 부분에 대한 부분적인 보안점검으로 이루어지고 있는 것이 현실이며 임베디드 운영체제를 사용하는 SCADA 장비에는 별도의 보안솔루션 설치가 어려운 부분들이 많이 있다. 따라서 직접적인 대응은 많은 난관을 가지고 있다.

Stuxnet의 처리와 관련하여 각 백신제조 회사들 마다 온라인에서의 제거용 전용백신을 올리고 있으며 설치하여 탐지 및 제거 할 것을 권고한다. 또 운영체제에 대한 보안 패치를 적용 할 것을 대부분 권고하고 있다. 실상과 거리가 있다고 볼 수밖에 없다.

폐쇄 망에 있는 장비에 적용하기 위해서는 온라인과 연결된 망에서 USB나 별도 이동식 매체를 이용해 백신과 보안업데이트를 다운 받은 이후 폐쇄망 내의 개별 시스템에 연결하여 문제를 처리해야 된다. 이 과정에서 더 많은 문제들이 확산될 가능성도 충분히 있다.

폐쇄 망이라는 의미는 내부의 별도 네트워크를 가지고 있으며 외부 연결과는 차단된 상태를 의미한다. 즉 내부로 어떤 방식으로든 유입이 되었을 경우 물리적 단절을 통해 근본적인 보안이 해결된다는 폐쇄망 내에서는 무방비 상태일 수밖에 없다.

무방비 상태라는 것은 웜의 확산과 전파를 막을 수 있는 단계나 도구가 많지 않음을 의미한다.

또한 탐지와 관련된 측면에서도 비정상적인 시스템 운영을 하게하는 악의적인 명령과 또 폐쇄망내에서의 웜의 확산을 막거나 탐지하기 위한 보안장비의 설치도 현실적인 어려움이 있다. 프로토콜 체제가 다르고 또 새로운 유형의 위험을 탐지하기 에는 기존의 PC 체계에서의 대응 도구들로서는 한계가 있다.

운영체제의 업데이트와 중요 보안 설정과 관련된 부분들은 중단 없는 운영이라는 SCADA 장비의 기본 전제에 비추어 볼 때 설치가 어려운 부분이 있다. 대부분의 업데이트와 보안설정은 활성화를 시키기 위해서는 리부팅이 필수이기 때문이다.

따라서 현재 운영 중인 기반시설 장비들에 대해서는 직접적인 대응이 어렵다. Stuxnet의 경우에도 시스템의 중요 DLL을 설치하는 방식이므로 완벽한 제거를 위해서는 메모리에 올려진 DLL까지 제거해야 가능하다.

메모리 클린은 당연히 리부팅을 통해서만 가능해진다. 대체장비를 투입한 이후에야 제거나 보안성 강화 등이 가능한 형태가 된다.

독자적인 운영체제의 변경과 별도 장비의 사용도 만약 보안설정과 시스템의 업데이트를 할 경우 정상운영이 어려운 상황이 발생 될 수 있다. 장비의 정상적인 운영을 위해서는 SCADA장비 제작사와의 긴밀한 협력을 통해 각 상황에 따른 정상 작동 여부를 오랜 기간 관찰 해야만 안정성을 확보 할 수 있다.

지금의 SCADA장비에 대한 대응은 현실과는 동떨어져 있으며 주의 사항과 문제 부분에 대해 신중한 접근이 부족하며 단순한 온라인상에서의 PC의 악성코드 처리와 동일한 관점으로 접근을 하고 있다. 현실적인 상황 인식이 부족한 부분이다.

그렇다면 SCADA 장비에 대한 보안 강화와 향후에 급증 할 것으로 예상되는 기반시설 장비들에 대한 공격에 대해 어떤 식으로 대처를 해야 근본적인 위험을 줄일 수 있을 것인가에 대해 생각해 보자.

폐쇄망의 특성과 임베디드 운영체제, 기존의 PC와는 상이한 프로토콜 및 운영원칙은 기본적인 보호 대책을 다른 관점에서 살펴야 된다.

일차적으로는 시스템 자체의 변화를 감지 할 수 있는 수동적인 탐지 도구가 필요하며 각 중요 시스템마다 상황을 일목요연하게 파악 할 수 있는 체계도 필요하다.

수동적인 탐지 도구라는 의미는 시스템의 상태변화 (DLL 혹은 중요 시스템 파일의 교체, 비정상적인 사용자 및 권한의 탈취, 명령실행 등)를 모니터링 하고 이상 유무를 상시적으로 체크할 수 있는 시스템을 의미한다.

기존의 PC기반의 악성코드 탐지와 같은 패턴매칭으로 대응 하는 것은 어려움이 있다. 또한 폐쇄망 네트워크내에서 어느 지점이나 문제를 통해 문제가 확산되는지 여부를 확인 하는 것도 어려움이 있다.

이미 2003년의 1.25 대란 때의 슬래머 웜에 의해 미국의 오하이오 핵발전소가 정지된 사례도 충분히 있는 만큼 물리적인 단절만으로 대책이 완료 되었다는 생각은 잊어버릴 때가 되었다. 어떤 경로를 통해서든 침입이 성공하게 되면 치명적인 위험이 존재하게 되고 또 자체적인 전파가 가능한 유형이라 폐쇄망 내부에서의 확산도 손쉽게 이루어 질 수 있다.

기반시설 시스템의 보호를 위해서는 통신을 위한 가장 제한적인 프로토콜과 연결만이 허용 되어야 하고 그 기반 하에서 시스템의 변화를 감지 할 수 있는 수동적인 탐지 도구 및 전체적인 현황을 볼 수 있는 시스템과 체계가 필수적으로 요구된다.

향후의 사이버전은 온.오프라인을 망라하게 되고 일상생활에도 치명적인 영향을 줄 수 있다. 오래전 예상한대로 그 위험은 이제 실제상황이 되어 버렸다.

일이 발생되기 이전에 문제에 대해서 대비 하는 것이 필요하며 문제가 발생 되었을 때는 차분하게 향후의 위험들 까지도 고려하여 대비책을 세우는 것이 정답이다. 단순한 현황 파악만으로는 위험한 상황은 지속 될 것이다.

이 모든 것은 이미 오래 전부터 예상 되었던 바이다. 이제는 수면위로 오른 문제를 적극적으로 또 장기적으로 보호 할 수 있는 방안에 대해서 심도 있게 고민을 해야 할 시기이다.

<참고자료>

2009년에 작성한 문서. Inevitable cyber warfare
http://p4ssion.com/attachment/cfile9.uf@1313AE144CA5520B077A60.pdf

2002년에 작성한 Critical alert for cyber terror –
http://p4ssion.com/attachment/cfile30.uf@195249104CA5523914F4A9.pdf
다이하드 4.0과 cyber terror http://p4ssion.com/225

전상훈 KAIST 사이버보안센터 개발팀장(전자신문 보안닷컴 객원기자)  Ⅰ   p4ssion@gmail.com

 

 

 

 

 

이 글은 스프링노트에서 작성되었습니다.

Comments