• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

[POC 인터뷰]“스카다 시스템, 자체적인 취약점 너무 많아!” 2010.12.15

美보안전문가 제리미 브라운 POC 강연

“스턱스넷에도 불구, 취약점 해결 의지 약해”


[보안뉴스 오병민] 미국의 보안 전문가 제레미 브라운(Jeremy Brown)은 스턱스넷을 통해 이슈가 된 스카다 시스템 보안문제에 대해 “취약점이 있어도 제대로 고쳐지지 않고 있다”고 지적했다.


12월 14일부터 15일까지 서울 양재동 교육문화회관 거문고홀에서 진행되고 있는 ‘제5회 국제 해킹·보안 컨퍼런스 POC2010’에서 첫날 강사로 나선 그는 “초기 발전소와 같은 스카다 시스템은 보안을 고려하지 않아 여러 보안 허점이 나타나고 있지만, 이에 대한 관심이 많이 부족해 수정이 잘 이뤄지지 않고 있다”고 강조했다.

 

보안뉴스에서는 제레미 브라운을 만나, 스카다 시스템 보안과 관련된 내용을 바탕으로 인터뷰를 진행했다.


오늘 강연은 어떤 내용이었나?

스카다 시스템은 많은 보안 취약점이 존재하고 있는데, 대부분 이를 간과하고 있다. 게다가 이를 고치려는 인식도 매우 낮다. 지금 당장 위험하지 않다고 생각하고 있지만, 어제 위험이 나타날지 모른다. 것이다. 장기적으로 보고 더욱 관심을 가지고 관심을 기울여야한다. 특히 개발 단계에서 보안절차를 확실하게 하고 가이드라인을 만들어서 체계적으로 관리한다면 이런 위험은 크게 줄었을 것이라고 생각한다. 스카다와 같은 중요한 시설에 대한 시스템은 각별히 관리해 보안규정을 따로 만들고 이를 따르도록 해야한다.


스카다 시스템 보안에서 가장 큰 문제점은?

스카다 시스템이 처음부터 완벽하게 개발되지 않고 필요한 기능이 하나씩 추가된 것이기 때문에 추가되면서 발생하는 여러 가지 예상외의 취약점이 도사리고 있다. 특히 스카다 컨트롤 시스템은 취약점이 많은데 반해 이를 개선하려면 많은 돈이 투자돼야한다. 사실 스카다 같은 중요 컨트롤 시스템은 한번 구축하면 오랫동안 쓰게 된다. 가령 10만 불의 많은 돈을 투자해 10년 이상을 쓴다고 볼 수 있다. 그러나 10년이 지나면 여러 취약점이 알려지게 되지만, 벤더는 패치를 만드는 대신 새로운 신제품을 만들어 다시 사라고 한다. 결국 사용자는 취약점이 있는 시스템을 계속 쓸지 다시 많은 돈을 투자해 다시 시스템을 구축할지 고민을 하게 된다. 결국 가장 큰 취약점은 투자에 대한 부담이라고 볼 수 있다.


또한 FTP, HTTP 스케닝을 하다보면 PLC 프로토콜 인터넷에 연결된 것을 찾을 수 있다. 이는 스카다 같은 폐쇄 망에서도 인터넷에 연결된 시스템이 존재한다는 것이다. 모든 알려진 취약점은 악성코드로 만들어질 수 있으며 만들어진 악성코드는 인터넷을 통해 유포되기 때문에, 외부의 접근을 일부로 막은 폐쇄 망 시스템에서 인터넷과 연결돼 있다는 것은 큰 문제가 될 수 있다.


전력시스템이 스마트 그리드로 진화하면서 어떤 보안이슈가 나타날 것으로 예상하는지?

새로운 기술이 발견되는 만큼 공격이 늘어난다. 이에 대한 연구를 하고 있고, 많은 사람들이 이에 대해 연구를 해야 한다. 특히 스마트그리드는 새로운 체계의 도입이기 때문에 예상할 수 없는 부분에서 보안문제가 나타날 수 있다. 결국 꾸준한 테스트와 연구개발이 필요하다. 그러나 시스템 개발단계에서 보안이 크게 고려가 되지 않고 있어서, 앞으로 많은 보안문제가 나타나게 될 것으로 보인다.

 

스카다 시스템 보안 위협에 대해 영화 ‘다이하드 4’를 예로 많이 보고 있다. 영화와 비교했을 때 어느 정도까지 위협이 다가왔다고 생각하나?

스카다 시스템의 보안은 매우 중요하기 때문에 지속적으로 보안이 강화되고 보안 기능이 추가되고 있지만 충분하지는 않은 상황이다. 그러나 영화처럼 스카다 시스템이 이용되는 것은 쉽지 않은 일이다. 그러나 스마트그리드가 도입되고 기술이 발전될수록 비슷하게 일어날 가능성은 충분하다.


아이폰 앱스토어에도 스카다에 관련된 앱(애플리케이션)이 올라왔다고 강연에서 이야기 했던데, 업로드 된 앱은 어떤 기능이 있는지? 그리고 악의적으로 이용될 가능성도 있나?

아이폰 앱스토어에 2.99$의 가격에 업로드가 됐으며 풀버전은 74.99$에 팔고 있다. 이 앱은 스카다  컨트롤 시스템과 관련이 있다고 알려져 있다. 그러나 이런 앱의 존재를 파악하고 다운받아 설치는 해봤지만, 실제로 작동은 안 해 봤기 때문에 어떤 기능이 있는지는 모르겠다. 그러나 국가 중요 시설에 관련된 앱이기 때문에 충분한 보호 장치가 있을 것이라고 생각한다.

[오병민 기자(boan4@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>