보안 장치가 하나도 없거나 디폴트로 켜져 있지 않은 시스템, PLC
기본 장착된 통신 기능 활용했을 때 정보 빼내는 공격 쉽게 성공시킬 수 있어

[보안뉴스 문가용 기자] PLC는 꽤나 오랜 기간 ‘공격하기 쉬운 대상’이라는 인식을 받아왔다. 자체 보안 기능이 없기 때문이다. 그런데 한 보안 전문가가 PLC의 고급 통신 기능을 통해 공격 도구로 활용될 수 있다는 것을 발견해 공개했다.


이 보안 전문가는 로이 스타크(Roee Stark)로 ICS 보안 전문 업체인 인데지(Indegy)에서 근무 중에 있다. 스타크는 록웰 오토메이션(Rockwell Automation)의 콤팩트로직스 PLC(CompactLogix) PLC 제품군에 탑재된 두 개의 통신 기능들을 사용해 네트워크 기반 공격을 할 수 있다는 것을 발견했다. 연구를 더 진행했을 때, 이 기능을 통해 산업 프로세스 및 운영에 침투해 제어하는 게 가능하며, 심지어 IT 네트워크 인프라에까지 도달할 수 있다는 걸 알아냈다.

여태까지 PLC에 관한 연구는 PLC를 해킹하는 것에 초점이 맞춰져 있었다. PLC에 멀웨어를 심어 산업 프로세스를 조작하거나 장비의 로직을 감염시키는 것이 바로 그것이다. 그래서 개념증명용 루트킷이나 웜들은 이전에도 충분히 발표된 바 있다. 하지만 PLC를 해킹 도구로 변환시키려는 시도는 이제껏 발표된 바가 없다.

스타크는 “PLC는 네트워크에 공공연하게 연결되어 있는 장비”라며 “따라서 거의 모든 종류의 네트워크 공격에 열려 있다는 뜻”이라고 말한다. “연구를 진행하다보니 PLC를 감염시키거나 조작하는 것보다, 심지어 PLC를 폭파시키는 것보다 PLC를 무기로 만드는 게 훨씬 간단한 일이더군요.”

스타크가 활용한 기능 중 하나는 ‘복잡 경로 기능(complex path feature)’이라고 불리는 것이다. CIP(Common Industrial Protocol)를 사용하는 록웰 콤팩트로직스 PLC 제품들에 탑재된 것으로, IT 기반 네트워크와 OT 기반 네트워크를 통합해주는 통신 아키텍처의 일종이다. CIP는 이더넷/IP, 컨트롤/넷을 비롯해 다른 인기 높은 산업용 네트워크 프로토콜에서 운영된다.

복잡 경로는 곧장 연결되지 않은 두 개의 PLC 간 CIP 세션을 생성하도록 해준다. 스타크는 “A와 B가 연결되어 있을 때, C를 B에만 연결하면 A와도 자연스레 연결되게 해주는 기능”이라고 설명하기도 한다. “이렇게 연결이 완성되었을 경우 한 개의 PLC에서 다른 PLC로 메시지를 전송하거나 포워딩시키는 게 자유자재로 됩니다.”

그 다음 스타크가 사용한 기능은 소켓 객체(socket object)라고 불리는 것으로, PLC가 TCP와 UDP 트래픽을 전송하거나 수신할 수 있게 해준다. “복잡 경로 기능과 소켓 객체 기능을 합쳐서 남용하면, 공격자가 접근할 수 있는 제어기와 연결된 모든 제어기로부터 패킷을 받거나, 그리로 전송할 수 있게 해줍니다. 연결 유형이 어떻든 말이죠.” 스타크의 설명이다.

예를 들어 공격자가 록웰 PLC에 원격 혹은 근접 접근이 가능하다고 했을 때, 이 두 기능을 사용해 중요한 정찰 공격을 수행할 수 있게 된다. “데이터를 빼내고, 그것을 다른 네트워크에 전송할 수 있게 되는 것이죠. 산업 시스템 내 담겨 있는 중요 정보들이 PLC를 통해 어디론가 새나갈 수 있다는 것입니다.”

공격자가 로컬 네트워크나 인터넷을 통해 공장 내의 PLC에 접근할 수 있다면 컨트롤넷(ControlNet) 연결이 된 곳을 파악하고, 복잡 경로 기능을 사용해 다른 제어기에 접속하는 게 가능해진다. 그 상태에서 소켓 객체 인터페이스를 사용하면 데이터를 수집하거나 전송할 수 있게 되는데, 이것이 스타크가 발견한 공격 시나리오 중 하나다.

스타크는 록웰 외 다른 회사에서 만든 PLC에서도 비슷한 행위를 할 수 있는지 아직 확인하지 못했다고 한다. 그러나 “록웰 제품의 통신 프로토콜은 타사의 그것보다 조금 나은 편”이라며 “다른 제품들에는 앞서 남용된 두 기능이 없을 수도 있다”고 덧붙임으로써 “록웰 제품에만 있는 남용 가능성”을 제기했다.

스타크는 이러한 연구 결과물을 록웰에 알리지 않았다. 왜냐하면 이는 패치를 할 수 있는 취약점이라기보다, 이미 탑재된 기능의 남용 행위이기 때문이다. “록웰 제품이 취약하다는 것이 이번 연구의 결과가 아닙니다. 인증 장치를 우회하거나 PLC의 보안 장벽을 깨트리는 과정이 전혀 없기 때문입니다. 익스플로잇 작업도 전혀 발생하지 않죠. 개발자들이 만든 기능을 악의적으로 사용할 수 있다는 게 이번 연구로 밝혀진 것이라 록웰에 알릴 것은 아니라고 판단했습니다.”

그러나 록웰 PLC에 로그인 기능조차 없다는 건 사실이다. 로그인 기능만 있더라도 위 연구와 같은 공격이나 기계 남용은 상당히 제한될 수 있다. 스타크는 “로그인 기능이 없는 건 아니”라고 말한다. “로그인 기능을 꺼두는 게 디폴트 상태라는 것입니다. 게다가 사용자가 이 옵션을 활성화시키는 게 쉬운 일도 아닙니다. 웹 인터페이스를 한참 헤매야 겨우 발견할 수 있어요.”

스타크는 “로그인을 통한 인증만 활성화시켜도 PLC가 무기화되는 걸 막을 수 있다”며 “어렵더라도 웹 인터페이스 등을 통해 로그인을 사용할 것”을 권장했다.

3줄 요약
1. PLC, 산업 장비 통제하는 중요한 장치이지만 보안 기능 하나도 없음.
2. 멀웨어 감염 등에 대한 연구는 많이 이뤄졌으나, PLC를 활용한 공격 가능성은 이번에 처음 발견된 것.
3. PLC를 무기로 했을 때, 민감한 정보를 보다 쉽게 빼돌릴 수 있게 됨. 로그인 기능 활성화시키는 게 좋음.
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>