2022-07-07 04:50 (목)
[POC2013] 러시아 해커들이 말하는 SCADA 해킹!
상태바
[POC2013] 러시아 해커들이 말하는 SCADA 해킹!
  • 호애진
  • 승인 2013.11.08 02:38
이 기사를 공유합니다

POC 2013에서 산업제어시스템에 대한 해킹 기술 주제로 강연과 이벤트 진행
SCADA StrangeLove팀, 스푸핑 기법 이용한 해킹 시연 선보여
11월 7일부터 8일까지 서울교육문화회관(The-K 서울호텔)에서 개최된 국제 해킹·보안 컨퍼런스 ‘POC 2013’에서 주목을 많이 받은 주제 중 하나는 ‘산업제어시스템(ICS/SCADA)에 대한 해킹 기술’이였다.
 
이는 강연과 함께 ‘Choo Choo Pwn 이벤트’로 진행됐으며, 이 이벤트에선 실제 산업제어시스템을 공격할 수 있는 기회를 제공해 더욱 눈길을 끌었다. 산업기반시설을 미니어처로 만들어 실제 현장과 같은 상황을 재연했기 때문이다.
 
진행을 맡은 ‘SCADA StrangeLove팀’은 세르게이 고르디칙(Sergey Gordeychik)과 알렉산드르 티모린(Aleksandr Timorin) 등 4명으로 구성된 러시아 해커들로서, 이들은 포지티브 테크놀로지스(Positive Technologies) 소속 연구원들이다. 회사의 R&D 센터에는 150여명의 연구원들이 근무하고 있는데, 이들은 각각 자신만의 전문 분야가 있지만 특정 부서에 소속돼 있지 않고 프로젝트를 맡게 될 때마다 팀을 새로 구성하는 방식으로 운영되고 있다.

          <좌: 세르게이 고르디칙(Sergey Gordeychik), 우: 알렉산드르 티모린(Aleksandr Timorin)>

예를 들어, 세르게이는 운영 보안이 전문이고 알렉산드르는 네트워크 보안이 전문이지만, 이번에 산업제어시스템 보안 관련 프로젝트가 진행되면서 다른 23명의 연구원들과 함께 한 팀으로 일하게 됐다. 이는 일반적인 한국 IT 기업과는 상반되는 기업 문화라고 할 수 있다.
 
최근 산업제어시스템이 해커들로부터 공격을 받는 일이 많아지면서 보안에 대한 관심도 높아졌다. 이를 반영하듯, 정부 기관과 기업으로부터 관련 의뢰가 많이 들어오고 있다고 한다. 세르게이는 “10여년전부터 이미 산업제어시스템에 대한 해킹 공격이 시도됐고, 5~6년전부터 사람들이 산업제어시스템 보안에 관심을 갖기 시작했다”고 밝히고, “지금은 그 중요성과 필요성에 대한 이해도가 많이 높아진 것을 실감할 수 있으며, 이에 연구도 활발히 진행되고 있다”고 설명했다.
 
실제로 2010년 산업제어시스템에서 발견된 (알려진) 취약점의 수는 수십개에 불과했지만, 올해는 그 수치가 급증해 무려 수백개에 이른다고 한다. 현재 이들 팀이 발견해 보유한 취약점의 수만 100여개가 된다고.
 
그렇다면, 이들이 7일 선보인 산업제어시스템에 대한 해킹 기술은 어떠한 것일까. SCADA StrangeLove팀은 강연을 통해 산업제어시스템과 컨트롤 시스템간에서 통신을 할 때 필요한 프로토콜에 대해 소개하고, 각 기업마다 이용하는 프로토콜을 대상으로 발견한 취약점을 이용해 해킹 공격이 성공하는 것을 시연해 보였다.
 
알렉산드르는 “이른바 패킷을 스푸핑하는 기법으로, 산업제어시스템과 컨트롤 시스템 간에 주고 받는 데이터를 위조해 공격을 감행한다”면서, “이를 통해 해커는 물리적인 제어가 가능해 진다”고 설명했다.
 
취약점을 발견하기 위해선 해당 프로토콜을 정확히 알고 이해해야 하는 과정이 필요한데, 이미 발견한 취약점의 수만 해도 상당수 임을 고려해 볼 때 이들이 연구에 얼마나 많은 노력과 시간을 들였는지를 알 수 있게 해준다. 오늘 소개된 취약한 프로토콜의 수만 해도 6개, 그것도 시간이 부족할 것을 염두에 둔 탓이라고 한다.
 
이에 프로젝트를 진행하면서 어려움은 없었는지, 애로사항에 대해서 물어봤다. 뜻밖에 이들이 공통적으로 답변한 것은 기술적인 부분이 아닌, 산업제어시스템 업체들과의 마찰이 적지 않게 발생하고 있다는 점이었다. 그리 긍정적이지 않은 반응 때문이었다.
 
취약점을 발견하고 이에 대한 문제를 해결하기 위해 노력하는 이들과는 달리 업체에선 취약점이 새로 발견된 것에 대해 달갑게 받아 들이지 않는 경향이 있다. 업체 담당자로선, 문제 해결을 위해 패치 혹은 업데이트를 진행하거나 필요시 솔루션을 도입해야 하는데, 이를 위해 윗선에 보고도 해야 하고 보고를 위해 필요한 각종 서류를 작성해야 하는 등 일이 많아질 수 밖에 없으니 그리 좋은 일만은 아닐 것이다. 이해는 하지만, 업체를 설득하는 것이 연구팀에겐 취약점을 발견하는 일보다 더 어렵게 느껴진다고 한다.
 
하지만 사회 전반적으로 보안 인식은 많이 높아졌고, 정부 역시 이를 우선 순위로 두고 투자를 하고 있다고 한다. 2년전부터 사회기반시설을 비롯한 다양한 분야의 주요 인프라를 보호하기 위해 러시아 정부가 적극 나서고 있다는 것. 이러한 투자의 일환으로 포지티브 테크놀로지스는 정부로부터 지원을 받고 있으며, 연구 개발에 한층 박차를 가하고 있다.
 
마지막으로, 이들이 보안을 연구하게 된 계기가 무엇인지 들어 봤다. 세르게이의 경우, 평범한 소프트웨어 개발자였다. 어느날 자신이 만든 소프트웨어를 누군가 해킹했고, 처음엔 화가 났지만 왜 해킹을 당했는지, 자신의 소프트웨어에 어떠한 취약점이 있는지를 연구하게 됐으며, 취약점을 연구하면서 보안에 관심을 갖게 됐다고 한다.
 
알렌산드르는 전형적인 보안 전문가의 길을 걸었다. 대학 시절부터 보안을 공부했고, 졸업 후에도 역시 보안인으로서 일을 하고 있는 것. 새롭게 만드는 것보다 만들어져 있는 것을 파헤쳐 면밀히 연구하는 것을 좋아했고, 도전 정신을 가지고 문제를 해결하는 데 보다 열중하게 됐다고 한다.
 
서로 다른 길을 걸어 왔지만, 지금은 하나의 길을 걷게 된 이들은 함께 산업제어시스템을 연구하고 있으며, 보안 강화를 위해 오늘도 연구에 매진하고 있다. 산업제어시스템 보안이 왜 중요한지, 어떻게 이를 보호해야 하는지를 이 낯선 나라 한국에서 열심히 강조하면서 말이다. 이들은 연구 자체를 즐기고 있었다.

            <‘Choo Choo Pwn 이벤트’ 장면>

데일리시큐 호애진 기자 ajho@dailysecu.com