사회기반시설이란 사회 및 경제 활동의 기반을 형성하는 중요하고 기초적인 역할을 하는 시설을 말한다. 예를 들자면, 금융, 통신, 교통, 방위산업, 교육, 의료시설 등이 있다.
만약 이러한 시설이 해커들로부터 공격을 받는다면 그 피해는 어떠할까.
ICS?
우선 산업제어시스템(ICS)에 대해 이야기해보겠다. ICS는 Industrial Control System의 약자이다. ICS란 산업부분임 하부구조에서 사용되는 제어시스템으로 여러가지 형태로 존재한다. 이는 아날로그와 디지털 데이터를 측정하는 센서부, 이력 데이터를 얻어내는 입력부, 마지막으로 이상상황의 감지와 대응을 위한 HMI로 구성되어있다. 이때 HMI는 정보모니터링, 감시목록 확인 등의 기술을 동원한다.
국외의 사례, 이란의 원자력 발전소
독일 사이버보안 연구가 랄프 랭그너는 이란에서 일어난 “이” 사태에 대해 ‘이란의 핵 시설들이 알 수 없는 원인으로 완전히 가동되지 않고 있습니다. 이는 기술적인 문제가 있는 것으로 보입니다‘라고 밝혔다.
2010년 9월 23일 이란의 부셰르 원자력 발전소와 우라늄 농축시설 등에 파괴의 목적으로 스턱스넷 웜이 침투했다 (약 1,000여개의 기계들이 작동을 중단하였다). 여기서 중요한건 누가, 어떻게, 또는 문제자체의 원인을 알아 낼 수 없다는 것이다.
다행히도 이란의 보안 전문가들은 이를 막아 더 큰 피해는 일어나지 않았다고 악하반 주방위군을 통해 알 수 있었다.
이 사례에서 사용되었던 악성코드는 스턱스넷이다. 아마 단어 자체가 생소할 수도 있다.
스턱스넷이란?
스턱스넷의 정의는 이러하다. 2010년 최초로 세상에 나온 강력한 악성 컴퓨터 웜 바이러스로 새로운 디지털 무기. 여기서 컴퓨터 웜이란 수동적인 수행 없이 컴퓨터에 대한 권한만 얻는다면 스스로 퍼져나가는 능력을 의미한다. (정확히 내용을 이해 할 수 없다면 스턱스넷은 일종의 악성코드 중 하나로 이해하는 것도 좋다). 스턱스넷은 독일 지멘스사에서 SCADA 시스템(ICS를 모니터링하고 산업 감독자에게 전체 작업에 대한 데이터 통찰력을 제공하는 자동화된 소프트웨어 제어 시스템, 한마디로 ICS를 감시하는 시스템이다) 을 목표로 제작되었다.
그렇다면 왜 스턱스넷이 강력한 악성코드란 인식이 만들어졌을지에 대해 이야기해보자. 우선 첫번째로 다른 바이러스와 컴퓨터 웜과는 달리 용량을 절반밖에 차지하지 않으며 그럼에도 구조는 복잡하다. 두번째로 스턱스넷을 이용한 공격은 사실 세상에 잘 알려져 있지않아 보안을 할 수 있는 방어책 또한 취약하다고 볼 수 있다. 이런 방어가 취약한 공격을 제로데이 공격이라 칭하는데 이에 해당하는 특징이 5개가 포함되어있다고 한다. 스턱스넷이 접근을 하면 윈도우 시스템을 먼저 감염시킨다음 컴퓨터가 제어 시스템과 연결되어있는지 확인이 되었다면 제어장치를 운영하는 시스템 즉, 시퀀스 제어를 조작하여 악의적인 행동을 하는 것이다. 또한 이 스턱 스넷이 주목 받는 이유 중 하나는 파일을 옮길때에 사용되는 저장장치인 USB를 통해 인터넷 연결 없이도 얼마든지 침투해 공격할 수 있기 때문이다. 이전 악성코드의 침투는 인터넷을 끊음으로써 막을 수 있었지만 스턱스넷은 그럴 수 없이 무자비하게 감염 시킨다.
스턱스넷의 공격 절차는 10가지로 설명 가능하다.
1. USB를 통한 감염
2. 감염 시스템 정보 전송
3. 내부 네트워크 감염
4. 공격 명령 공유
5. 공격 명령 생성
6. 공격 명령 전송
7.관리자의 PLC 제어 명령 생성
(PLC란? 산업의 유지관리와 자동 제어/모니터링에 사용하는 제어장치)
8. PLC 명령 변조
9. 타겟 공격
10. 산업 장비 감염 완료 - 설비 제어 장애 발생
이 스턱스넷에 대응하기 위해선 국가, 산업, 이용자 측면에서 바라보아야한다. 우선 국가는 감염 우려가 있느느 주요기반시설에 대한 관리감독을 강화하여 침투를 빠르게 찾아낼 수 있도록하며 국민들에게 보안의식을 강화 시킴으로써 백신설치를 장려해야한다. 또는 침투 시 해결을 신속히 할 수 있도록 긴급협조체계를 구축하는 것 또한 하나의 방법이다. 산업의 측면에서는 외부인과 내부인의 신원보증과 검증절차를마련하여 예방하는 것이 좋다. 또, 데이터 백업과 같은 재해복구 절차를 마련하거나 산업용 방화벽이나 단방향 회선을 이용하는 것도 대응방안이다. 마지막으로 이용자는 스턱스넷 백신을 사용하거나 프린터나 폴더와 같은 네트워크 공유를 금지한다. 당연하게도 윈도우 보안 업데이트는 필수 이다.