산업제어시스템은 인터넷 등 외부망과 연결돼 있지 않은 경우가 많다. 그래서 해킹 등으로부터 안전하다는 인식이 일반적이다. 하지만 이동식 저장장치나 노트북 등을 이용한 사이버 공격은 언제든지 가능하다. 국가 기간 산업시설일 경우 큰 낭패를 볼 수도 있다.

윤미선 프로스트앤드설리번 연구원

산업제어시스템(ICS·Industrial Control System)은 주요 국가 기반 시설 및 산업 분야에 걸쳐 원격 모니터링 및 제어를 위해 사용되는 컴퓨터 기반의 시스템이다. 산업제어시스템은 기업이나 개인이 사용하는 통신 프로토콜을 사용하지 않고 외부와의 연결이 제한돼 있다. 그렇기 때문에 사이버 보안 면에서 안전하다는 평가를 받는다. 그래서 외부 경계에만 보안 솔루션을 설치해두고 있다. 그러나 해커가 인터넷 접속이 아닌 방법으로 침입하는 표적공격으로 인해 산업제어시스템 보안에 대한 인식이 점차 중요해지는 상황이다. 국내에서는 이제 막 출발선에 서 있지만 해외에서는 산업제어시스템 보안에 관한 연구가 활발히 진행되고 있다. 관련 솔루션이 출시됐고 시장도 커졌다.

산업제어시스템의 해킹 사고 뉴스는 끊이지 않고 발생한다. 한국도 예외일 수 없다. 2014년 말 발생한 한국수자원공사 산업제어시스템 해킹 사고는 한국 기간망의 사이버 보안이 안전하지 않다는 것을 여실히 보여준다. 해킹 사고는 주로 감시 제어 및 데이터 취득 시스템인 SCADA(Supervisory Control And Data Acquisition)에 침투하는 경우가 많다.

산업제어시스템의 해킹을 위해 주로 사용되는 표적공격으로는 악성코드가 이동식 저장장치(USB)를 통해 전송돼 공격하는 스턱스넷(Stuxnet)이 대표적이다. 또한 주요 정보기술(IT) 기업의 기밀 탈취 공격인 오로라(Aurora), 중동 지역 국가기관의 정보 유출에 사용된 플레임(Flame)도 자주 쓰이는 표적공격이다. 여기에 SCADA 시스템에 침투하기 위해 산업제어시스템 업체에 소프트웨어를 공급하는 업체의 웹사이트를 해킹한 뒤 설치 파일에 트로이목마(Trojan Horse)를 심어놓은 하벡스(Havex)도 있다.

이와 같은 표적공격 코드 네임들은 보안 업체의 연구에 의해 발견됐다. 또한 산업제어시스템에서 사용되는 소프트웨어의 버전 업그레이드시 손상된 펌웨어(하드웨어의 기본적인 동작을 제어할 수 있는 소프트웨어와 하드웨어의 중간에 해당하는 것 -편집자)로도 사이버 공격은 발생할 수 있다.

SCADA는 매우 집중화된 데이터 취득 및 제어 시스템의 작동에 중요한 역할을 한다. 주로 원거리에 있는 분산장치를 제어하는 데 사용된다. SCADA는 운영체제에서 실행되므로 ‘제로 데이 공격’(보안 취약점이 발견됐을 때 이를 막을 방법이 널리 공표되기 전에 이뤄지는 공격으로 대처 방법이 없다 -편집자)이 발생할 수 있다.