.gif)
다양한 SCADA 장비에 다양한 보안 취약점 존재
어드밴스드 모의해킹으로 취약점 진단하고, 보안 솔루션 적용해야
[보안뉴스 김태형] 원전을 비롯한 발전소, 교통 및 가스 설비 등과 같은 국가중요시설에 대한 우회 공격 등 보안위협 대응이 절실한 것으로 나타났다. 고려대 인촌기념관에서 개최된 ‘시큐인사이드 2016’에서 NSHC 허영일 대표와 이승준 팀장은 ‘ICS/SCADA 보안위협 현황 및 제어망 해킹 시연’에서 이같이 밝혔다.
▲ ‘시큐인사이드 2016’에서 NSHC 허영일 대표와 이승준 팀장이 ‘ICS/SCADA 보안위협 현황 및 제어망 해킹 시연’을 진행하고 있다.
허영일 대표는 “최근 NSHC가 글로벌 시장 조사 전문기업 ‘프로스트앤 설리반’과 제휴해 아시아 14개 국가 제어시설망 보안위협에 대한 리서치를 했다. 이 과정에서 아프리카의 어느 국가 기관에서 자국의 주요 시설에 대한 해킹을 통해 취약점을 점검해 달라는 요청을 받고 ‘댐문을 열어라’라는 프로젝트를 시작했다”면서 “그 나라의 최근 건설된 시설 중에서 전력량이 많은 수력발전소를 선택했다. 해당 국가 IP 주소를 조사해 어느 강 중간에 있는 IP가 발전소의 IP임을 알고 접근해 VPN 서버에 접근했고, 이를 통해 웹 해킹을 해서 관리자 계정을 알아낼 수 있었다”고 말했다.
이어서 그는 “내부 시스템 정보뿐만 아니라 주변 CCTV를 확보했고 댐 수문 제어권한까지 확보하는데 7시간이 걸렸다. 이처럼 망분리 또는 폐쇄망이라고 해서 안전하다고 생각하는 제어 시스템을 우회해서 공격이 가능하다”고 강조했다.
또한, 그는 “구글 검색을 통해서도 많은 시스템들의 관리자 페이지가 나오는데, ID와 패스워드가 대부분 허술하다. 아울러 많은 시스템이 인터넷에 연결되어 있음을 알 수 있다”면서 “한국뿐만 아니라 각국 발전소들이 인터넷에 연결되어 있음을 알 수 있다”고 말했다.
허영일 대표는 “현재 세계적으로 다양한 SCADA 장비들이 있다. 이 중에서 해외뿐만 아니라 우리나라에서도 많이 사용하는 ‘Sunny-Webbox’라는 솔루션이 있는데, 이를 구매해서 직접 분석을 해보니 다양한 취약점이 존재한다는 것을 알 수 있었다”면서 “특히, 이 장비의 하드코딩된 루트 권한 계정을 통해 모든 장비의 권한 획득할 수 있다”고 밝혔다.
이를 악용하면 이와 연관된 발전소 장비들을 모두 컨트롤하고 물리적인 위협도 가할 수 있으며, 장비 1만대를 로그인 할 수 있는 등 모든 권한을 취득할 수 있어 매우 위협적이라는 것.
허 대표는 “실제 산업보안 사고가 리포트 되어 있는 사이트 ‘RISI(The Repository of Industrial Security Incidents) Data’에 등록된 각 국가들의 주요기반시설 해킹사례를 검색해 봐도 수백개가 넘는다”면서 “일부 보안담당자들은 산업제어 시스템이 인터넷에 연결되어 있지 않는 폐쇄망이기 때문에 안전하다고 보고 있지만 이처럼 폐쇄망도 보안위협에 안전하지 않다. RISI 데이터에서 보듯, 폐쇄망인 산업시설제어망을 통한 보안사고가 지속적으로 발생하고 있음을 알 수 있다”고 설명했다.
폐쇄망 우회 방법은 매우 다양하다. 인터넷 외에도 블루투스 등 다양한 통신방법을 이용해 폐쇄망을 우회할 수 있으며, 이러한 우회 기법은 11가지나 되는 것으로 알려졌다. 이러한 제어망 보안 강화를 위해서 허 대표는 “현재 산업시설 제어망은 보안위협 직면해 있어 더 이상 안전하지 않다”면서 “보안교육과 함께 어드밴스드 모의해킹을 통해 정확한 보안취약점을 진단해야 한다, 특히, 공격 전문 보안회사들의 컨설팅과 모의해킹을 통해 점검하고 이에 따른 적절한 보안 솔루션을 적용해야 한다”고 강조했다.
[김태형 기자(boan@boannews.com)]
어드밴스드 모의해킹으로 취약점 진단하고, 보안 솔루션 적용해야
[보안뉴스 김태형] 원전을 비롯한 발전소, 교통 및 가스 설비 등과 같은 국가중요시설에 대한 우회 공격 등 보안위협 대응이 절실한 것으로 나타났다. 고려대 인촌기념관에서 개최된 ‘시큐인사이드 2016’에서 NSHC 허영일 대표와 이승준 팀장은 ‘ICS/SCADA 보안위협 현황 및 제어망 해킹 시연’에서 이같이 밝혔다.
▲ ‘시큐인사이드 2016’에서 NSHC 허영일 대표와 이승준 팀장이 ‘ICS/SCADA 보안위협 현황 및 제어망 해킹 시연’을 진행하고 있다.
허영일 대표는 “최근 NSHC가 글로벌 시장 조사 전문기업 ‘프로스트앤 설리반’과 제휴해 아시아 14개 국가 제어시설망 보안위협에 대한 리서치를 했다. 이 과정에서 아프리카의 어느 국가 기관에서 자국의 주요 시설에 대한 해킹을 통해 취약점을 점검해 달라는 요청을 받고 ‘댐문을 열어라’라는 프로젝트를 시작했다”면서 “그 나라의 최근 건설된 시설 중에서 전력량이 많은 수력발전소를 선택했다. 해당 국가 IP 주소를 조사해 어느 강 중간에 있는 IP가 발전소의 IP임을 알고 접근해 VPN 서버에 접근했고, 이를 통해 웹 해킹을 해서 관리자 계정을 알아낼 수 있었다”고 말했다.
이어서 그는 “내부 시스템 정보뿐만 아니라 주변 CCTV를 확보했고 댐 수문 제어권한까지 확보하는데 7시간이 걸렸다. 이처럼 망분리 또는 폐쇄망이라고 해서 안전하다고 생각하는 제어 시스템을 우회해서 공격이 가능하다”고 강조했다.
또한, 그는 “구글 검색을 통해서도 많은 시스템들의 관리자 페이지가 나오는데, ID와 패스워드가 대부분 허술하다. 아울러 많은 시스템이 인터넷에 연결되어 있음을 알 수 있다”면서 “한국뿐만 아니라 각국 발전소들이 인터넷에 연결되어 있음을 알 수 있다”고 말했다.
허영일 대표는 “현재 세계적으로 다양한 SCADA 장비들이 있다. 이 중에서 해외뿐만 아니라 우리나라에서도 많이 사용하는 ‘Sunny-Webbox’라는 솔루션이 있는데, 이를 구매해서 직접 분석을 해보니 다양한 취약점이 존재한다는 것을 알 수 있었다”면서 “특히, 이 장비의 하드코딩된 루트 권한 계정을 통해 모든 장비의 권한 획득할 수 있다”고 밝혔다.
이를 악용하면 이와 연관된 발전소 장비들을 모두 컨트롤하고 물리적인 위협도 가할 수 있으며, 장비 1만대를 로그인 할 수 있는 등 모든 권한을 취득할 수 있어 매우 위협적이라는 것.
허 대표는 “실제 산업보안 사고가 리포트 되어 있는 사이트 ‘RISI(The Repository of Industrial Security Incidents) Data’에 등록된 각 국가들의 주요기반시설 해킹사례를 검색해 봐도 수백개가 넘는다”면서 “일부 보안담당자들은 산업제어 시스템이 인터넷에 연결되어 있지 않는 폐쇄망이기 때문에 안전하다고 보고 있지만 이처럼 폐쇄망도 보안위협에 안전하지 않다. RISI 데이터에서 보듯, 폐쇄망인 산업시설제어망을 통한 보안사고가 지속적으로 발생하고 있음을 알 수 있다”고 설명했다.
폐쇄망 우회 방법은 매우 다양하다. 인터넷 외에도 블루투스 등 다양한 통신방법을 이용해 폐쇄망을 우회할 수 있으며, 이러한 우회 기법은 11가지나 되는 것으로 알려졌다. 이러한 제어망 보안 강화를 위해서 허 대표는 “현재 산업시설 제어망은 보안위협 직면해 있어 더 이상 안전하지 않다”면서 “보안교육과 함께 어드밴스드 모의해킹을 통해 정확한 보안취약점을 진단해야 한다, 특히, 공격 전문 보안회사들의 컨설팅과 모의해킹을 통해 점검하고 이에 따른 적절한 보안 솔루션을 적용해야 한다”고 강조했다.
[김태형 기자(boan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
