스마트 팩토리의 취약점

우크라이나에서 최초의 전력 그리드 사이버 공격이 발생한지 5년이 지났습니다. 2015년 12월, 해커는 취약한 부분을 통해 네트워크에 침투한 후, 대규모 정전 사태를 일으켰습니다. 안타깝게도 이 우크라이나 전력 회사가 사용했던 기술과 취약성은 다른 회사에서도 충분히 찾아볼 수 있습니다. 정보 보안 책임자 라인하르드 마이르(Reinhard Mayr)가 산업 인프라스트럭처 및 생산 플랜트의 보안 유지에서 자산 관리가 중요한 이유에 대해 알려드립니다.

 

광범위하게 분포되어 있는 에너지 그리드와 제조 시설 모두에서 산업 보안 유지는 매우 중요합니다. 하지만 이미 가동 중인 제조 플랜트에서 보안을 유지하는 것은 상당히 복잡한 문제이기도 합니다. 인프라스트럭처가 오래전에 배치된 경우, 특히 장치에 최신 보안 기술이 부족한 경우가 많습니다.

 

연식이 오래된 플랜트 기계류는 브라운필드(Brown Field) 장치라고도 하며, 사이버 보안에 대한 고려없이 설계되거나 설치된 경우가 많습니다. 이러한 장치가 제조될 당시 M2M(Machine-to-Machine) 통신 및 스마트 팩토리와 같은 개념은 먼 훗날의 공상 정도로만 여겨졌습니다. 현재 문제는 스마트 팩토리가 더 이상 먼 훗날의 미래가 아니라 현실이라는 것입니다.

 

 

레거시 장치의 보안

현재의 복잡한 산업 네트워크에서는 브라운필드 장치가 최신 기계류와 서로 얽혀 있는 경우가 많습니다. 이러한 네트워크에서 각종 스마트 디바이스와 기계류가 서로 통신하면서 값진 결과를 만들어냅니다. 스마트 팩토리 장치는 명백한 이점을 제공합니다. 하지만 각종 디바이스와 오래되어 보안이 떨어지는 구식 장치를 통합하는 경우, 아주 많은 위험이 존재할 수 있습니다.

 

보안 수준이 낮은 디바이스는 네트워크에서 취약한 연결고리가 됩니다. 최신 장치가 공격을 잘 방어해내도 공격자는 취약한 지점으로 진입하여 네트워크에 침입 후 추가 액세스 권한을 얻을 수 있습니다.

 

앞서 언급한 우크라이나 전력 그리드의 예에서 해커는 기업 네트워크에 대한 액세스 권한을 얻기 위해 별것 아닌 피싱을 수행하는 데 수개월을 소비했습니다. 이는 근무자가 Microsoft Word 첨부파일을 열도록 유도하는 것이었습니다. 이러한 초기 침투 과정에서 해커는 네트워크의 극히 일부분에만 액세스할 수 있었지만, 치열하게 정탐 노력을 전개한 끝에 더 깊숙하게 침투할 기회를 포착해낼 수 있었습니다.

보호 수준이 낮은 생산 장치는 사이버 공격자에게 시발점을 제공합니다. 위험을 최소화하기 위해 플랜트 관리자는 오래되고 보안 수준이 낮은 자산을 고려하여 보안 전략을 수립해야 합니다.
 

 

자산 관리

시설 내 장치에 대한 검사 수행은 자산 관리의 첫 걸음이자 가장 어려운 단계입니다. 플랜트 관리자가 인지하지 못한 자산에 대해서는 보안 전략을 수립할 수 없습니다. 다행히도 이 프로세스를 간소화 할 수 있는 도구가 있습니다.

 

Radiflow의 위협 감지 및 분석 플랫폼인 iSID는 OT 네트워크 내의 취약성 식별을 위해 사용할 수 있습니다. COPA-DATA의 zenon과 같은 기존 SCADA 시스템의 데이터와 통합하여 시설 전체를 쉽게 검사할 수 있습니다.

 

모든 자산의 검사 후 다음 단계는 서로 다른 디바이스를 ‘존(Zone)’별로 나눠 정의하는 것입니다. 산업용 제어 시스템(ICS) 네트워크의 보안에 대한 글로벌 표준인 IEC 62443 표준 정의에 따르면, 조닝(Zoning)이란 각기 독립적인 자산을 특정 특성 및 보안 요건 세트를 공통으로 지니고 있는지 여부를 기준으로 그룹화하는 것입니다.

 

존을 정의하면 플랜트 관리자가 각 존별로 연결 지점을 적절히 제한할 수 있습니다. 예를 들면 OT 네트워크 등 보안 위반 발생 시 파급 효과가 큰 영역에 액세스 지점을 제한하는 것은 상당히 좋은 접근 방식입니다.

 

IEC 62443 인증을 받은 COPA-DATA의 zenon은 자산 식별 및 조닝 프로세스의 속도를 높일 수 있는 다양한 기능을 제공합니다. Multiple Project Administration 도구를 사용하면 운영 담당자가 여러 자산의 존을 디지털 방식으로 결정하고, 결정된 존을 중앙 제어실에서 시각화 할 수 있습니다. COPA-DATA는 이러한 도구를 제공하는 유일한 공급업체입니다.

 

 

지속적인 개선

사이버 보안 전략을 한 번 구축했다고 하더라도 플랜트가 사이버 공격의 위험에서 완전히 보호되는 것은 아닙니다. 2016년에 두 번째 공격을 받은 우크라이나 전력 그리드로부터 교훈을 얻을 수 있습니다.

 

두 번째 공격은 더욱 정교했으며, 자동화 도구를 사용하여 프로세스의 속도도 높았습니다. 해커는 이러한 기술을 사용하여 시스템을 프로그래밍하고, 장치로 명령을 반복 전송하여, 전력의 흐름을 자유자재로 전환했습니다. 이번 공격은 첫 번째 공격에 비해 적은 노력과 적은 인력이 투입됬음에도 불구하고, 정전 사태가 더욱 빠르게 발생했습니다.

 

우크라이나의 예는 더욱 정교해지는 해커에 대응해 사이버 보안 전략의 발전에 대한 필요성을 명백하게 상기시켜 줍니다. 이는 국가적 에너지 그리드 뿐만 아니라 제조 플랜트에서도 마찬가지입니다.

 

 

이 기사는 Reinhard Mayr의 LinkedIn 계정에서도 확인하실 수 있습니다.

CONTACT US