파이어아이(지사장 전수홍)가 2000년 이후 15년 간 주요 기반 시설 시스템인 ICS(산업제어시스템)의 보안 취약점 관련 트렌드와 보안 패치 등에 대해 집중 조명한 ICS 보고서를 발간했다.

보고서에 따르면, 파이어아이 아이사이트 인텔리전스는 2000년 이후 거의 1,600개에 달하는 ICS 취약점을 확인했으며, 이 중 3분의 1 이상에 대한 보안 패치가 존재하지 않았다. 이에 따라 파이어아이는 전력망, 상수도 등 주요 산업 기반 시설의 기술적 근간인 ICS가 사이버 공격 위협에 고스란히 노출되고 있다고 경고했다. 다음은 보고서의 주요 내용이다.

◇ICS 취약점 2010년 이후 계속 증가
ICS취약점 관련 연구는 2010년 보안업계를 떠들썩하게 했던 ICS 타깃 바이러스, 스턱스넷(Stuxnet)이 공개된 이래로 활발하게 진행됐으며, 이에 따라 ICS관련 취약점 역시 기하급수적으로 증가했다. 파이어아이 아이사이트 인텔리전스의 집계에 의하면, 2000년 1월부터 2010년 12월까지 공개된 취약점은 겨우 149건이었으나, 2016년 4월 취약점은 1,552건으로 늘어났다. 또한, 이러한 증가추세는 계속될 것으로 예상된다.

◇ICS 취약점 중 절반 이상 ICS 아키텍쳐 두 번째 존에 집중
ICS 취약점 중 절반 이상(58%)은 ICS 아키텍쳐 중 두 번째 존(SCADA Zone)에서 발견됐다. 두 번째 존 내 취약점의 경우 실제 공격에 이용될 경우 심각한 침해를 초래할 수 있다는 점에서 각별한 주의가 필요하다. HMI과 EWS와 같이 프로세스를 직접 제어하는 장비들이 두 번째 존에 위치해있어 장비 중 하나를 제어할 수 있게 되면 공격자들은 마치 마스터키를 소유한 것과 같이 모든 프로세스를 통제할 수 있게 되기 때문이다. 실제로 2014년 12월 우크라이나 전력 회사에 대한 공격에서 공격자는 HMI에 접근해 스위치와 액추에이터를 제어했다.

◇ICS 취약점 보안 패치
총 1,552개의 ICS 취약점 중 3분의 1 이상인 516개는 공개 당시 보안 패치가 존재하지 않았다. 이는 취약점의 33%가 제로데이 취약점이었다는 뜻으로, ICS 보안이 심각한 위협에 처해있다는 알 수 있다.

◇실제 사이버 공격에 악용된 ICS 취약점
ICS취약점이 악용된 실제 공격 5건에 대해서 파이어아이는 해당 공격이 모두 국가 차원의 공격자와 연관이 있다고 추측하고 있다. 파이어아이는 잇다른 ICS 취약점 공격 성공으로 앞으로 국가 기반 해킹 조직들은 점점 더 ICS 취약점을 사이버 공격에 악용할 가능성이 농후하다고 예상하고 있다.

ICS 보안을 위한 권장사항ICS 대상 사이버 위협이 증가하는 가운데, 파이어아이는 ICS 보호를 위해 다음과 같이 권고한다.

△보안팀이 ICS의 위치와 기능에 대해 정확히 이해하고 있도록 준비

△ICS 관련 취약점 및 보안 패치에 대한 최신 정보 확인

△공개된 취약점과 보안 패치가 ICS 해당되는 내용인지 확인

△산업 환경에서 사용되고 있는 취약한 제품 및 보안 패치가 적용되지 않은 제품에 대해 계속적으로 모니터링

△취약점이 ICS 아키텍처 중 어디에 위치하는지, 취약점 악용 과정, ICS 프로세스에 끼칠 영향 등을 고려하며 취약점 개선 노력에 역점

전수홍 파이어아이 코리아 지사장은 “사회 기반 시설의 시스템인 ICS에 문제가 발생할 경우 주요 정보에 대한 위협은 물론 시민들의 일상생활에 까지 불편함을 초래할 수 있어 각별한 주의와 관심이 필요하다”며 “각 기관들은 ICS 취약점 및 보안 패치 관련 최신 정보를 지속적으로 확인하고 ICS의 취약점 파악을 위해 보안 검진을 실시하는 등 적극적인 보안 노력을 보여줘야 할 때”라고 말했다.

파이어아이 ICS 취약점에 대한 상세 보고서는 데일리시큐 자료실에서 다운로드 가능하다.

★정보보안 & IT 대표 미디어 데일리시큐!★