특별기고 제어 시스템 보안 동향
페이지 정보
작성자 최고관리자 댓글 0건 조회 98회 작성일 24-09-13 15:52본문
1. 서 론
본고에서는 산업용 제어시스템(이하 ICS)의 보안 동향 및 여러 상황에 관해 이야기하고자 한다.
2. 개 요
지난 4년을 되돌아볼 때 간과할 수 없는 사건으로 전 세계적인 팬데믹이 된 코로나 19와 2022년 2월 러시아의 침공으로 시작된 우크라이나 전쟁을 들 수 있다. 코로나19로 인해 사람의 이동과 접촉을 최소화하고, 원격근무로 대표되는 ‘일하는 방식의 변화’가 급격하게 이루어졌으며, 디지털 전환(DX)과 AI 활용 움직임이 활발해졌다. 이와 맞물려 클라우드 서비스를 포함한 높은 처리 능력을 가진 정보 시스템과 ICS가 긴밀하게 결합되어 운영되는 형태를 볼 수 있다. 무엇보다 ICS의 변화는 사이버 공격을 받을 수 있는 접점을 확대시켰다.
한편 코로나19와 지역 분쟁에 따른 경제적 혼란으로 생활고에 시달리는 사람들이 생겨났고, 일부는 사이버 공격에 손을 댈 수 있는 사람들이 늘어났을 것으로 추측된다. 또 오늘날 지역 분쟁에서는 무력뿐만 아니라 사이버 공격을 결합한 작전이 이루어지고 있으며, 의로운 분노로 사이버 공격을 하는 핵티비스트(Hacktivist)라고 불리는 주변 활동가들의 움직임이 활성화되었다. 이른바 사이버 공간의 규범이 느슨해졌고, 잠재적 공격자의 증가를 부추기며 사이버 공간을 불안정하게 만들고 있다.
데이터나 프로그램을 저장한 파일을 악성코드에 의해 암호화하여 시스템을 가동할 수 없는 상태로 만들고, ‘복원을 원하면 돈을 내라’고 협박하는 랜섬웨어 공격은 2010년대 중반 법인을 대상으로 한 랜섬웨어 공격이 등장한 이후 몸값이 수백만 원에서 수억 원 정도로 올라가며 금전적 목적의 사이버 공격의 선두 자리를 차지하였다. 대부분의 랜섬웨어는 ICS를 노리고 만들어진 것은 아니며, ICS까지 침해하는 경우는 빈번하지 않은 것으로 보인다. 조직 내에서 랜섬웨어 감염이 발견되면 ICS 감염을 예방하기 위해 중단하거나, IT 네트워크 내 서버에 의존하고 있기 때문에 ICS도 중단할 수밖에 없었다.
3. 침해 사고 동향
랜섬웨어 공격은 공격 빈도나 피해 발생 시 규모 면에서 가장 큰 사이버 리스크로 떠오르고 있으며, 2023년에는 전년 대비 50% 증가한 랜섬웨어 공격이 발생하여 전 세계적으로 지불된 몸값 총액이 11억 달러를 넘어선 것으로 보고되고 있다. 랜섬웨어 사고로 ICS까지 침해되는 사례는 제한적이지만, 제조 사업자가 공격자의 표적이 되는 것으로 알려져 있으며, IT 네트워크상의 서버와 긴밀하게 연계된 경우가 많고, ICS만 가동하는 것이 어려워진 배경도 있어 시스템 재구축을 통한 복구에 2주 정도 소요된다. 2주 정도 공장을 멈추는 것보다 몸값을 지불하는 것을 선택하는 사업자가 어느 정도 존재하기 때문에 공격자에게 제조업계가 좋은 먹잇감으로 여겨질 가능성이 높다. 또한 랜섬웨어 공격의 대부분은 높은 공격 기술을 가진 자가 공격용 기반을 개발하고, 어필리에트(Affiliate)라고 불리는 다수의 사람을 모집하여(공격 기반을 이용해) 개별 공격을 수행하고, 20% 정도의 성공 보상을 받는 조직화된 체계로 이루어지고 있다. 이 때문에 중소 규모의 조직에도 고도의 사이버 공격이 가해질 위험이 높아지고 있다.
표 1은 ICS 보안의 역사를 되돌아보며 지금까지의 주요 사고를 정리한 것이다. 표 1에서 알 수 있듯, 일부 원한을 품은 내부자(해고자 포함)의 방해 행위와 랜섬웨어 공격을 제외하면 대부분 지정학적 배경을 가지고 국가가 직간접으로 관여해 실행된 사건이 대부분이다.
우크라이나에서는 2015년 말과 2016년 말 러시아의 소행으로 추정되는 사이버 공격으로 인한 정전이 있었다. 2022년 2월 침공 이후에도 비슷한 수법의 공격이 시도되었지만, 그때까지 미국 정부 및 서방 보안 기업의 기술 지원으로 우크라이나 측의 보안 대책이 진행되어 정전 사태가 재발하지 않았다. 한편, 침공 시작과 전후로 발생한 사이버 공격으로(우크라이나 국내 혼란을 노린 사이버 공격으로) 유럽 동부의 약 1만 대의 위성통신 수신 장치가 무력화되었다. 통신망 관리 시스템에 침입하여 실행된 공격이었다. 무력화된 통신장비 중 5,800대는 독일 내 풍력 발전설비 원격 감시 제어에 이용되고(총 발전용량 11GW), 완전 복구까지 수개월이 소요되었다. 당사국 정부에 의한 사이버 공격과 더불어 해킹티비스트로 불리는 주변 활동가들의 공격 기술 수준은 국가 기관보다 떨어지지만, 당사국 및 동맹국에 대한 사이버 공격을 활발히 하고 있다.
..................................⇒ 본고는 월간지 ‘計測技術’(일본, 일본공업출판주식회사 발행)
2024년 5월호(해설)를 번역·전재한 것입니다. 본 기사의 무단전재 및 복사는 저작권 법상 금지되어 있습니다. 원문 필요시 당사로 연락 주세요
- 이전글지브라 테크놀로지스, “아태지역 제조업체 87%, 디지털 전환 우선시” 24.09.13
- 다음글저압 직류(LVDC) 배전망 실증 사이트 구축 및 실증 운영 (2) 24.09.13