국가 운영 및 존립과 직결되는 정보통신기반시설 보안
관련법, 국내외 주요 사건, 전문가 의견으로 살펴보기
[보안뉴스 오다인 기자] 출근길, 지하철이 멈추거나 신호등이 고장 난 상황을 그려보자. 그리고 그 상황이 당분간 개선되지 않는다고 상상해보자. 정해진 시간표와 규칙에 맞춰 움직이던 일상이 무너지는 건 갑자기 멈춰버린 지하철 또는 고장 난 집 앞 신호등 하나에서 시작될 수 있다.
[이미지=iclickart]
이처럼 무슨 일이 생길 때까지 보이거나 느껴지지 않지만 사람들의 일상을 움직이는 크고 작은 시설을 국가기반시설 또는 정보통신기반시설이라고 한다. 최근 수년 간 사회기반시설에 정보통신기술이 접목되면서 그 편리성과 함께 이를 보호해야 할 필요성도 커졌다. 철도 시스템을 교란시켜 마주 보고 달려오는 기차 두 대를 충돌시키는 게 가능한 시대가 됐기 때문이다.
‘정보통신기반보호법’(이하 기반보호법)은 제2조에서 정보통신기반시설을 ‘국가안전보장·행정·국방·치안·금융·통신·운송·에너지 등의 업무와 관련된 전자적 제어·관리시스템 및 ‘정보통신망 이용촉진 및 정보보호 등에 관한 법률’ 제2조제1항제1호의 규정에 의한 정보통신망’이라고 정의한다.
한 마디로, 정보통신기반시설은 국가 운영과 존립에 직결되는 전자 시스템이다. 교통신호제어 시스템, 상하수도제어 시스템, 철도운영종합관제 시스템, 긴급구조 시스템, 지역난방제어 시스템부터 민원24·주민등록시스템·공공아이핀, 국가정보서비스망, 국가정보통신망 등이 정보통신기반시설에 포함된다. 국민들의 개인정보뿐만 아니라 국민들이 매일 먹고 마시고 일하고 자고 생활하는 모든 것의 안위가 정보통신기반시설 보안에 달려있다 해도 과언이 아니다.
ICS/SCADA는 산업제어 시스템(ICS: Industrial Control System)과 감시 제어 및 데이터 취득(SCADA: Supervisory Control And Data Acquisition)을 줄여 일컫는 말로, 국가기반시설 보안을 논할 때 주로 쓰이는 용어다. 한국인터넷진흥원의 2017 국가정보보호백서에 따르면, SCADA는 지리적으로 떨어져 있는 여러 플랜트의 생산공정을 중앙에서 감시 제어하는 소프트웨어로서 무인 장소의 PLC(Programmable Logic Controllers)와 센서로부터 수집된 정보를 중앙에서 처리·분석해 설비를 제어하는 시스템이다.
ICS/SCADA 보안은 2010년 이란의 나탄즈 우라늄 농축 시설을 사보타주한 스턱스넷(Stuxnet) 공격, 2015년과 2016년 우크라이나의 전력발전소 제어 시스템을 악성코드로 감염시켜 대규모 정전을 일으킨 사건 등을 거치며 국제적인 화두로 떠올랐다. 우리나라 역시 2013년 3월 방송 및 금융 기업 다수의 전산망이 악성코드에 감염돼 약 4만 8,000대의 시스템이 피해를 입고 장애가 발생한 사건이 있었다.
▲국내외 전자적 제어시스템 피해 사례[자료=2017 국가정보보호백서]
우리나라는 2001년 기반보호법을 제정한 이래 국가·사회적으로 중요한 정보통신기반시설을 주요정보통신기반시설로 지정해 중점 관리하고, 관리기관이 주요정보통신기반시설에 대한 취약점 분석 및 평가를 수행해 취약점에 대한 단기 및 중·장기적 보호조치를 시행하도록 하고 있다. 과학기술정보통신부장관과 국가정보원장, 국방부장관 등이 관리기관에 주요정보통신기반시설에 대한 보호대책의 이행 여부를 확인할 수 있다.
주요정보통신기반시설은 다음 사항을 고려해 지정된다.
△당해 정보통신기반시설을 관리하는 기관이 수행하는 업무의 국가사회적 중요성
△당해 관리기관이 수행하는 업무의 정보통신기반시설에 대한 의존도
△다른 정보통신기반시설과의 상호연계성
△침해사고가 발생할 경우 국가안전보장과 경제사회에 미치는 피해규모 및 범위
△침해사고의 발생가능성 또는 그 복구의 용이성
보안인증 컨설팅 및 기반시설 취약점 진단을 제공하는 보안업체 보안그룹모비딕(MobyDick)의 홍영란 본부장은 “기반시설 보안의 가장 큰 문제는 유출이 아니라 침투”라면서 “1년에 한 번씩 실시되는 주요정보통신기반시설 취약점 분석·평가가 제대로 이뤄져야 한다”고 강조했다. 기반시설의 경우, 공격자의 목표는 정보유출이 아니라 시스템 교란 및 시설 파괴인 경우가 대부분이기 때문이다.
기반보호법에 따르면, 관리기관장은 정기적으로 소관 주요정보통신기반시설의 취약점을 분석·평가해야 한다. 주요정보통신기반시설로 지정된 첫 회는 지정 후 6개월 이내에, 이후에는 매년 정기적으로 취약점 분석·평가를 수행해야 한다. 주요정보통신기반시설의 취약점 분석·평가는 △한국인터넷진흥원 △대통령령이 정하는 기준을 충족하는 정보공유·분석센터 △‘정보보호산업의 진흥에 관한 법률’ 제23조에 따라 지정된 정보보호 전문서비스 기업 △한국전자통신연구원 등의 기관이 실시한다.
그러나 이 같은 취약점 분석·평가가 제대로 수행되고 있는 것인지에 대해서는 아직까지 의문이 따른다. 일례로, 재작년 10월 국정감사에서 더불어민주당 이재정 국회의원은 ‘주요정보통신기반시설, 짜고 치는 요식행위 보안점검으로 전락’이라는 보도자료를 발표하면서 “국가 주요정보통신기반시설에 대한 보안 현장점검이 사실상 짜고 치는 식의 요식행위로 전락해 취약점 은닉을 방조하며 정보통신기반시설 전반의 보안성을 악화시키고 있다”고 밝혔다.
당시 이재정 의원은 각 기반시설에 대한 현장점검 시기가 미리 공표되고, 준비해야 할 내용까지 체크리스트로 사전 공개되는 점 등을 지적하며 “사실상 시험기간과 시험문제를 모두 아는 상황에서 시험을 치르는 것”이라고 강하게 비판했다.
홍영란 본부장은 취약점 분석·평가가 강화돼야 한다는 점과 함께 2010년 이란이 당한 스턱스넷 공격을 예로 “기반시설 보안에서는 물리보안이 매우 중요하다”고 말했다. 당시 이란의 나탄즈 우라늄 농축 시설 파괴는 외부 공격자가 시설 출입자의 USB에 악성코드를 심은 것이 최초 감염 매개가 됐다. 홍 본부장은 기반시설 외부에서 내부로 들여오는 USB 등의 장비들에 대해 최소한의 보안검사를 수행하는 것, 일용직 노동자나 일반 관광객을 포함해 기반시설을 출입하는 모든 사람에 대한 보안관리 수준을 강화하는 것, 기반시설 내부의 중요한 영역에 대해 CCTV 설치·관제를 확대하는 것만으로도 기반시설 보안을 한층 강화할 수 있다고 설명했다.
홍 본부장은 “기반시설의 가장 앞단에 있는 것이 전기”라며 발전소 보안이 특히 중요하다고 덧붙였다. 그는 “기반시설은 일부만 마비돼도 국민의 대정부 불신이 급격하게 커진다”면서 “기반시설에 대한 공격은 정부와 국민을 상대로 한 대규모 심리전과 같다”고 말했다.
대응책으로 홍 본부장은 △기반시설에 대한 취약점 분석·평가를 제대로 수행할 것 △진단 후 취약점 패치 이행을 점검할 것 △취약점 패치를 정기적이고 신속하게 이행할 것 △제어망에 대한 침투 테스트를 진행할 것 △외산 장비 도입 시 취약점 패치를 포함한 유지보수 계약을 명확히 할 것 등을 제시했다.
[오다인 기자(boan2@boannews.com)]
관련법, 국내외 주요 사건, 전문가 의견으로 살펴보기
[보안뉴스 오다인 기자] 출근길, 지하철이 멈추거나 신호등이 고장 난 상황을 그려보자. 그리고 그 상황이 당분간 개선되지 않는다고 상상해보자. 정해진 시간표와 규칙에 맞춰 움직이던 일상이 무너지는 건 갑자기 멈춰버린 지하철 또는 고장 난 집 앞 신호등 하나에서 시작될 수 있다.
[이미지=iclickart]
이처럼 무슨 일이 생길 때까지 보이거나 느껴지지 않지만 사람들의 일상을 움직이는 크고 작은 시설을 국가기반시설 또는 정보통신기반시설이라고 한다. 최근 수년 간 사회기반시설에 정보통신기술이 접목되면서 그 편리성과 함께 이를 보호해야 할 필요성도 커졌다. 철도 시스템을 교란시켜 마주 보고 달려오는 기차 두 대를 충돌시키는 게 가능한 시대가 됐기 때문이다.
‘정보통신기반보호법’(이하 기반보호법)은 제2조에서 정보통신기반시설을 ‘국가안전보장·행정·국방·치안·금융·통신·운송·에너지 등의 업무와 관련된 전자적 제어·관리시스템 및 ‘정보통신망 이용촉진 및 정보보호 등에 관한 법률’ 제2조제1항제1호의 규정에 의한 정보통신망’이라고 정의한다.
한 마디로, 정보통신기반시설은 국가 운영과 존립에 직결되는 전자 시스템이다. 교통신호제어 시스템, 상하수도제어 시스템, 철도운영종합관제 시스템, 긴급구조 시스템, 지역난방제어 시스템부터 민원24·주민등록시스템·공공아이핀, 국가정보서비스망, 국가정보통신망 등이 정보통신기반시설에 포함된다. 국민들의 개인정보뿐만 아니라 국민들이 매일 먹고 마시고 일하고 자고 생활하는 모든 것의 안위가 정보통신기반시설 보안에 달려있다 해도 과언이 아니다.
ICS/SCADA는 산업제어 시스템(ICS: Industrial Control System)과 감시 제어 및 데이터 취득(SCADA: Supervisory Control And Data Acquisition)을 줄여 일컫는 말로, 국가기반시설 보안을 논할 때 주로 쓰이는 용어다. 한국인터넷진흥원의 2017 국가정보보호백서에 따르면, SCADA는 지리적으로 떨어져 있는 여러 플랜트의 생산공정을 중앙에서 감시 제어하는 소프트웨어로서 무인 장소의 PLC(Programmable Logic Controllers)와 센서로부터 수집된 정보를 중앙에서 처리·분석해 설비를 제어하는 시스템이다.
ICS/SCADA 보안은 2010년 이란의 나탄즈 우라늄 농축 시설을 사보타주한 스턱스넷(Stuxnet) 공격, 2015년과 2016년 우크라이나의 전력발전소 제어 시스템을 악성코드로 감염시켜 대규모 정전을 일으킨 사건 등을 거치며 국제적인 화두로 떠올랐다. 우리나라 역시 2013년 3월 방송 및 금융 기업 다수의 전산망이 악성코드에 감염돼 약 4만 8,000대의 시스템이 피해를 입고 장애가 발생한 사건이 있었다.
▲국내외 전자적 제어시스템 피해 사례[자료=2017 국가정보보호백서]
우리나라는 2001년 기반보호법을 제정한 이래 국가·사회적으로 중요한 정보통신기반시설을 주요정보통신기반시설로 지정해 중점 관리하고, 관리기관이 주요정보통신기반시설에 대한 취약점 분석 및 평가를 수행해 취약점에 대한 단기 및 중·장기적 보호조치를 시행하도록 하고 있다. 과학기술정보통신부장관과 국가정보원장, 국방부장관 등이 관리기관에 주요정보통신기반시설에 대한 보호대책의 이행 여부를 확인할 수 있다.
주요정보통신기반시설은 다음 사항을 고려해 지정된다.
△당해 정보통신기반시설을 관리하는 기관이 수행하는 업무의 국가사회적 중요성
△당해 관리기관이 수행하는 업무의 정보통신기반시설에 대한 의존도
△다른 정보통신기반시설과의 상호연계성
△침해사고가 발생할 경우 국가안전보장과 경제사회에 미치는 피해규모 및 범위
△침해사고의 발생가능성 또는 그 복구의 용이성
보안인증 컨설팅 및 기반시설 취약점 진단을 제공하는 보안업체 보안그룹모비딕(MobyDick)의 홍영란 본부장은 “기반시설 보안의 가장 큰 문제는 유출이 아니라 침투”라면서 “1년에 한 번씩 실시되는 주요정보통신기반시설 취약점 분석·평가가 제대로 이뤄져야 한다”고 강조했다. 기반시설의 경우, 공격자의 목표는 정보유출이 아니라 시스템 교란 및 시설 파괴인 경우가 대부분이기 때문이다.
기반보호법에 따르면, 관리기관장은 정기적으로 소관 주요정보통신기반시설의 취약점을 분석·평가해야 한다. 주요정보통신기반시설로 지정된 첫 회는 지정 후 6개월 이내에, 이후에는 매년 정기적으로 취약점 분석·평가를 수행해야 한다. 주요정보통신기반시설의 취약점 분석·평가는 △한국인터넷진흥원 △대통령령이 정하는 기준을 충족하는 정보공유·분석센터 △‘정보보호산업의 진흥에 관한 법률’ 제23조에 따라 지정된 정보보호 전문서비스 기업 △한국전자통신연구원 등의 기관이 실시한다.
그러나 이 같은 취약점 분석·평가가 제대로 수행되고 있는 것인지에 대해서는 아직까지 의문이 따른다. 일례로, 재작년 10월 국정감사에서 더불어민주당 이재정 국회의원은 ‘주요정보통신기반시설, 짜고 치는 요식행위 보안점검으로 전락’이라는 보도자료를 발표하면서 “국가 주요정보통신기반시설에 대한 보안 현장점검이 사실상 짜고 치는 식의 요식행위로 전락해 취약점 은닉을 방조하며 정보통신기반시설 전반의 보안성을 악화시키고 있다”고 밝혔다.
당시 이재정 의원은 각 기반시설에 대한 현장점검 시기가 미리 공표되고, 준비해야 할 내용까지 체크리스트로 사전 공개되는 점 등을 지적하며 “사실상 시험기간과 시험문제를 모두 아는 상황에서 시험을 치르는 것”이라고 강하게 비판했다.
홍영란 본부장은 취약점 분석·평가가 강화돼야 한다는 점과 함께 2010년 이란이 당한 스턱스넷 공격을 예로 “기반시설 보안에서는 물리보안이 매우 중요하다”고 말했다. 당시 이란의 나탄즈 우라늄 농축 시설 파괴는 외부 공격자가 시설 출입자의 USB에 악성코드를 심은 것이 최초 감염 매개가 됐다. 홍 본부장은 기반시설 외부에서 내부로 들여오는 USB 등의 장비들에 대해 최소한의 보안검사를 수행하는 것, 일용직 노동자나 일반 관광객을 포함해 기반시설을 출입하는 모든 사람에 대한 보안관리 수준을 강화하는 것, 기반시설 내부의 중요한 영역에 대해 CCTV 설치·관제를 확대하는 것만으로도 기반시설 보안을 한층 강화할 수 있다고 설명했다.
홍 본부장은 “기반시설의 가장 앞단에 있는 것이 전기”라며 발전소 보안이 특히 중요하다고 덧붙였다. 그는 “기반시설은 일부만 마비돼도 국민의 대정부 불신이 급격하게 커진다”면서 “기반시설에 대한 공격은 정부와 국민을 상대로 한 대규모 심리전과 같다”고 말했다.
대응책으로 홍 본부장은 △기반시설에 대한 취약점 분석·평가를 제대로 수행할 것 △진단 후 취약점 패치 이행을 점검할 것 △취약점 패치를 정기적이고 신속하게 이행할 것 △제어망에 대한 침투 테스트를 진행할 것 △외산 장비 도입 시 취약점 패치를 포함한 유지보수 계약을 명확히 할 것 등을 제시했다.
[오다인 기자(boan2@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.png){kind=spacer}
.png)
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
