2020-10-26 04:20 (월)
스카다 시스템 치명적 허점 드러나…손쉽게 해킹돼
상태바
스카다 시스템 치명적 허점 드러나…손쉽게 해킹돼
  • 길민권
  • 승인 2011.11.04 06:53
이 기사를 공유합니다

관리자 계정 알 필요도 없이 네트워크 IP만 알면 공격 가능
스카다 시스템 프로토콜 모드버스 취약점을 직접 공격
국제 해킹보안 컨퍼런스 POC2011에서 스카다(SCADA) 시스템과 관련된 중요한 발표가 있었다. 국내 원자력발전소를 비롯해 스카다 시스템을 사용하는 모든 기간망에 대한 일체 정비가 필요할 것으로 보인다.
 
4일 이스라엘 해커 Yaniv Miron은 “SCADA Dismal, or, Bang SCADA”라는 주제로 발표를 했다. 그는 “이번 발표는 스카다 시스템의 주요 위협에 대한 발표다. 이 문제는 수력발전, 원자력 발전, 공장 시스템, 군 무기 시스템 등에 영향을 끼칠 수 있는 위협”이라며 “보통 스카다 시스템은 해킹이 어렵다고 하지만 얼마나 쉬운지 보여주는 발표였다”고 밝혔다.
 
모드버스(Modbus)는 스카다 시스템의 일반적인 프로토콜이며 프로토콜 표준으로 자리 잡아가고 있는 중이다. 그래서 대부분 스카다 시스템에 모드버스 프로토콜을 사용중에 있으며 한국도 예외는 아니다. 문제는 이 모드버스 프로토콜을 이용해 손쉽게 공격이 가능하다는 점이다.  
 
◇스카다 시스템 프로토콜을 직접 공격=Yaniv Miron은 기자와 만난 자리에서 “복잡하게 스턱스넷과 같은 악성코드를 이용해 스카다 시스템을 공격하는 것이 아니라 스카다 시스템의 프로토콜인 모드버스의 취약점을 직접 공격한다는데 그 위험성이 더 크다”고 말했다.
 
그는 스카다 시스템의 모드버스를 공격하기 위한 Dismal(디스멀)이라는 공격툴을 개발했다. 스카다 시스템은 중앙을 통제하는 마스터와 하부 구조인 슬레이브 시스템이 있다. Yaniv Miron은 자신의 툴로 스카다 시스템의 마스터와 슬레이브에 악의적 명령을 내릴 수 있다고 말한다.
 
그가 제작한 디스멀 툴은 이번 POC2011에서 처음 공개되었다. 그는 악의적 혹은 관리자가 의도하지 않은 명령을 내릴 때 인증도 필요없고 아이디 패스워드도 필요없다고 한다. 단지 네트워크 IP만 알면 공격이 가능하다고 강조했다.  
 
디스멀을 이용하면 수력발전소 혹은 원자력발전소 등 시설에 따라 어떤 시스템을 사용하고 있는지 정보를 수집할 수 있다. 디스멀에 정보수집 명령을 내리면 어떤 시스템인지 공격자에게 정보가 전달된다.  
 
Yaniv Miron은 “예를 들어 수도 파이프가 3리터짜리라고 가정하자. 디스멀로 악의적 명령을 내려 송수를 6리터로 하면 모든 송수 시스템이 다운돼 버린다. 원자력 발전도 마찬가지고 군사 기지의 미사일 장치도 스카다로 제어되기 때문에 군사 미사일 발사도 통제할 수 있다”고 경고했다.  
 
일반적으로 스카다 시스템은 외부와 분리돼 있어서 해킹에 안전하다고 생각한다. 그는 잘못된 생각이라고 말한다.  
 
그의 말에 따르면, “스카다 시스템은 당연히 외부와 차단된 시스템이다. 하지만 실제로 대부분 관리자들은 일반 윈도우 PC와 스카다 시스템을 작은 터미널로 연결해서 사용하고 있다”며 “당연히 일반 PC는 인터넷이 가능하다. 관리자가 웹서핑이나 인터넷 연결을 하게되는 그 과정에서 바이러스 감염이 이루어지고 윈도우 시스템이 감염됌과 동시에 스카다 시스템 감염이 가능하다”고 말했다.   
 
그는 원래 스카다 시스템이 그렇게 연결되면 안되는데 대부분이 그렇게 연결을 해서 스카다 시스템을 사용하고 있다고 지적했다. 촉박한 시간에 발전상태 리포팅을 해야 하는 경우 등 급한 상황에서 관리자가 인터넷망에 연결해서 사용한다는 것이다. 결국 스카다 시스템의 프로토콜도 문제지만 사람이 문제인 것이다.  
 
◇스카다 시스템의 보안레벨, 10년 전 수준 그대로=현재 스카다 시스템 보안레벨은 10년 전 수준과 같다. 대부분 예전에 제작되거나 도입한 시스템이기 때문에 보안시스템이 갖춰져 있지 않다. 취약한 상황이다. 스카다 시스템이 컴퓨터로 관리되고 있음에도 불구하고 시큐리티 레벨은 예전 레벨 그대로라는 것이 문제다.
 
그는 “스카다는 항상 켜져 있어야 한다. 그래서 보안시스템을 추가하기가 힘들다”며 “보안프로그램을 설치하려면 리부팅해야 하는데 그렇게 되면 시스템 전체가 다운된다. 그래서 보안프로그램 업데이트가 힘들다. 또 아이디 패스워드 인증과정에서 느려지기 때문에 그로인해 발전소가 멈출 수 있다. 데이터가 암호화·복호화 과정에서 셧다운 되면 위험하기 때문에 보안 업데이트를 제대로 못하고 있다”고 밝혔다.
 
즉 사람들은 지금 전기를 쓰는 것이 중요하기 때문에 이러한 보안의 중요성을 전혀 생각지 못한다. 그래서 보안 프로그램 적용이 안되는 것이다.
 
그는 “스카다 시스템 아이디 패스워드 암호화할 수 있지만 실제로는 적용이 안된다. 항상 켜져 있어야 하기 때문이다. 또 한 사람만 명령을 내려야 함에도 불구하고 여러 사람이 명령을 내일 수 있도록 운영하는 곳도 많다”고 말했다.  
 
다시한번 말하면 이 공격은 스턱스넷과 같은 제로데이 공격이 아니라 프로토콜이 문제다. 패킷만 바꿔서 공격하면 가능한 상황이다. 당연히 한국 스카다시스템에도 적용이 가능하다고 말한다. 취약점이 없어도 프로토콜 자체에 문제가 있기 때문에 패킷을 조작하면 공격이 가능하다는 것이다.  
 
◇대응방법은 없나=그는 대응법에 대해 우선 네트워크를 스카다 시스템과 인터넷망을 원래 그렇게 해야 하는 것처럼 완전히 분리하라고 강조한다. 그리고 아이디와 패스워드에 인증시스템을 도입하고 암호화를 도입해야 한다. 각종 보안장비도 도입해야 한다. 지금은 패킷 조작만으로 바로 공격이 가능한 상황이다. 또한 IPS, IDS시스템을 스카다 용으로 만들어 사용할 것을 권고했다.
 
그는 어떻게 공격 테스트를 해보았을까. 실제 공격 테스트를 해 보려면 실제 시스템에 들어가야 한다. 하지만 그것은 불법이다. 그는 “가상시스템에서 애뮬레이터를 만들어서 스카다 시스템이 들어있는 애뮬레이터를 VM웨어에서 만들고 모 수력발전소 팬테스터로 가서 실제 공격이 가능한지 실제망에서 테스트를 해 본 경험이 있다고 한다. 당연히 가능한 공격이었다는 것을 확인했다고 한다.
 
그는 “한국의 주요 기간망에서 사용하고 있는 스카다 시스템도 상당수 모드버스를 사용하고 있을 것이다. 또한 스카다 시스템 제조사인 지멘스사도 모드버스를 프로토콜로 사용하고 있다”며 “이번 공격을 한국의 스카다 시슽템에 대고 공격을 했을 때 실제로 공격이 가능하다고 생각한다. 뿐만 아니라 지멘스사의 모든 스카다 시스템들을 사용하는 전세계 모든 스카다 시스템에 공격이 가능하다”고 경고했다.
 
한국은 원자력발전소를 비롯해 기간망이나 군사 작전용 스카다 시스템에 대한 일체 보안검사를 해야 할 것으로 보인다. 현재 공격툴인 디스멀은 POC2011에서 처음 공개됐지만 발표자는 조만간 해외 컨퍼런스에서도 발표할 것이라고 말했다. 공격툴이 확산돼 문제가 발생하기 전에 조치를 취해야 한다. [데일리시큐=길민권 기자]