해커들, 공장이나 발전소 등 주요 시설물 타격위해 공정 과정 공부

기존의 보안 및 방어법으로는 스턱스넷 등 사이버 물리 공격 못 막아

[보안뉴스 문가용] 이란 핵 공장을 겨냥한 스턱스넷의 경우나 한수원 사태 때문에 불거진 발전소 및 공장에 대한 사이버 공격에 대해 해외에서도 한창 연구 분석 중에 있다. 그런데 문제는 ‘해킹’이 아니다. “해킹만 걱정할 거 같으면 사실 발 뻗고 자도 됩니다. 흔히 상상하는 것처럼 해커가 원격에서 공장이나 발전소를 날려버릴 수는 없기 때문입니다.” 랭그너 커뮤니케이션(Langner Communications)의 창립자인 랄프 랭그너(Ralph Langner)가 주장한다. 랄프는 몇 안 되는 스턱스넷 전문가이기도 하다.

“사이버 공격과 물리 공격이 함께 이루어지는 경우를 사실 많이 보지는 못했습니다. 심각한 손해를 끼치는 경우는 더더욱 없었고요. 실제 피해를 공장이나 발전소에 입히려면 보안 분야보다는 좀 다른 분야의 지식이 필요합니다.”

사이버와 물리 공격이 함께 일어났던 첫 번째 사건은 그 유명한 스턱스넷 사건이다. 스턱스넷이란 멀웨어의 임무는 이란의 나탄즈 핵 시설 공장에서의 우라늄 농축 과정을 탈선시키는 것이었다. 방법은 관련 원심 분리기 과정을 방해하거나 파괴하는 것이었다.

“그래서 당시에는 국가 정부에 준하는 거대한 어떤 조직에서 이런 심각한 짓을 저지를 수 있는 엄청난 기술력을 가지고 있는 게 분명하다는 결론을 내렸습니다.” 그리고 그런 기술력이 빠르게 퍼질 것은 예상했지만 이 정도 속도일 줄은 몰랐다고 랭그너는 회상한다. 그리고 공장 및 발전소에 대한 공격을 더 간편하게 만들어주는 툴이 곧 시장에 등장해 빠르게 퍼질 것이라고 예상했다. “그게 더 걱정이죠, 사실.”

케넥시스 시큐리티(Kenexis Security)의 브라이언 싱어(Bryan Singer)는 화공학자인 릴리 글릭(Lily Glick)과 팀을 이뤄 원격에서 발전소나 공장을 공격하려면 어떻게 해야 하는지를 최근 한 컨퍼런스에서 시연했다. “최대의 피해를 입히고 싶다면, 해커 입장에서, 소프트웨어 취약점에 대한 정보는 쓸모가 없습니다. 정말 필요한 정보는 바로 공격을 감행하고자 하는 대상의 공학 프로토콜(engineering protocol)입니다.”

즉 공장이나 발전소를 움직이고 있는 제어 시스템에 대한 지식과 생산 및 발전 과정에 대한 이해도가 충분히 수반되어야 한다는 것이다. 이는 보안 담당자 입장에서 보자면 취약점을 평가하고 찾아내는 것만으로는 시설물을 지켜낼 수 없다는 뜻이라고 싱어는 강조한다.

또한 해커에게 이런 지식이 요구된다고 해서 실제 엔지니어 수준의 깊은 지식까지 필요한 건 또 아니라고 한다. 인터넷이나 엔지니어 전문가 커뮤니티에 공개된 ICS 제품에 대한 정보와 공장 내부를 공부해보는 것만으로도 충분하다고 한다. 이 경우 공장의 설계도나 여러 가지 통계자료, 정보 등이 원격으로 빠져나갈 수는 있다. 이 경우 공장의 근무자들이 무척 약한 취약점이 된다. “엔지니어를 소셜 엔지니어링하는 건 생각보다 간단합니다.” 맨디언트에서 ICS 분야를 담당하는 크리스 시스트렁크(Chris Sistrunk)의 설명처럼 말이다.

취약점은 이 밖에도 많다. 감시 시스템 등 외주 업체들이 주로 관리하는 부수적인 시스템들이 바로 그것이다. 게다가 요즘 해커들은 약아서 이런 서드파티 시스템 및 네트워크에 꼼작하지 않고 잠복해 있다가 결정적인 순간에 본래 네트워크로 침입을 시도한다. “그래서 감지 시스템의 눈에 띌 확률이 상당히 줄어들 수 있죠.”

이렇게 다양한 경로 중 하나로 침투에 성공하면 실제 공격이 이루어지는데, 보통은 워크스테이션이 주 공격 대상이 된다. 여기서부터 HMI(인간 기계 간 인터페이스) 트래픽인 것처럼 위장한다. 여기까지 오면 공격자는 압력 조절 밸브를 제어할 수 있게 된다. 이러면 예를 들어 증기가 적정량보다 더 많이 혹은 더 적게 들어가 결과물에 심각한 손상을 줄 수 있다. 금전적인 손해도 따라 온다.

ICS와 SCADA 환경은 물리 보안 문제에 있어서는 튼튼하기로 유명하다. 불이 났을 때나 폭발 사고가 있었을 때, 갑자기 하드웨어가 기능 고장을 일으켰을 때처럼 말이다. 하지만 사이버 공격에 의한 물리적인 피해에 대해서는 특별히 뛰어난 점은 없다.

“저희가 해오던 위험 요소 분석으로는 악성 요소를 감지하기가 힘이 듭니다. 악성 해커가 심은 멀웨어에 의한 하드웨어 고장은 ICS/SCADA 시스템으로서는 전혀 새로운 차원의 문제입니다. 그러니 해커가 침투했을 때 하드웨어가 고장까지는 아니더라도 비정상적으로 운행될 수 있도록 하기가 용이합니다. 스턱스넷이 했던 것처럼 말이죠.”

결국 공장이나 발전소 측에서 지금 할 수 있는 건 사이버 공격이 물리 공격으로 전환될 수 있는 부분들을 전부 파악하는 것이다. 스마트 센서와 같은 것들이 바로 그런 요소다. “웹 서버의 버퍼 오버플로우와 같은 취약점 같은 걸 파악하라는 게 아닙니다.” 물리 보안과 사이버 보안이 서로 교차하는 지점들만 잘 관리해도 해커들의 물리적인 침투를 상당 수 막을 수 있다는 것.

랭그너는 다시 나탄즈 핵 시설 이야기로 화제를 돌렸다. 특별히 압력 센서에 부착된 MKS PR4000이라는 눈금 시스템을 지목했다. 압력의 수치를 계속해서 트래킹하는 기능을 가진 부품이었다. 랭그너는 스턱스넷을 활용한 당시 해커들이 이 시스템을 통해서 침투했을 가능성이 높다고 주장했다. “공장 직원들이 정확한 압력 수치를 알 수가 없었던 것이고, 그래서 위험한 수치로 치달아도 몰랐던 것이죠.”

“MKS의 매뉴얼을 보면 센서를 조정할 때 명령어만 제어박스로 보내면 된다고 나와 있습니다. 악성 프로파일만 활용할 줄 알고 세팅만 잘 해놓으면 센서가 위험 수치를 넘어서도 반응하지 않도록 할 수 있습니다.” 랭그너는 자신의 가설에 대한 확신이 거의 100%다.

또한 랭그너에 따르면 발전소나 공장은 시간에 따라 공격의 효율이 높아지기도 하고 낮아지기도 하는데, 유능한 해커라면 이런 시간도 미리 파악해서 피해를 최대화 할 것이라고 경고한다. “시스템이나 공정 프로세스가 가장 취약한 시간대를 노리겠죠. 예를 들어 막 기계에 시동을 걸거나 전체 전원을 처음 올렸을 때 말이죠.”

“이렇게 위험한 시설물의 방어에 있어서는 공격자보다 더 앞서서 생각해야 합니다. 문제 해결을 위한 접근방식 자체가 이렇게 바뀌어야 한다는 것이죠. 이제 ‘사이버 물리 공격’을 걱정해야 하는 시대가 됐습니다. 가장 효과적인 방어가 무엇일지 얼른 머리를 모아야 할 때입니다.”

@DARKReading

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>