2017년 상반기 국내에서 발생했던 다수의 주요 지능형 지속 위협(APT)에 대한 실제 사례와 분석된 자료를 소개할 예정입니다.

더불어 해킹공격 대상의 범위가 갈수록 넓어지고 다양하게 변화되고 있다는 점을 공개하고, 보안위협 다변화 시대에 대비한 기술적 대안을 모색하고 고민해 보는 자리를 마련하고자 합니다.

특히, 특정 국가가 배후에 있을 것으로 추정되는 해커조직의 고도화된 스피어피싱(Spear Phishing)공격 케이스를 집중 해부해 보고, 유사한 공격에 대비하기 위한 다양한 방안을 제시하고자 합니다.

최근 보안 위협은 과거 10년간 발견된 위협의 총량이 1년 이내에 갱신될 만큼 빠르게 급증하고 공격기법이 다양화 되고 있습니다. 이에 보안에도 머신러닝을 접목해야 할 만큼 대응할 데이터가 많아지고 있습니다.
4차 산업혁명, 스마트팩토리, IoT등 과거 폐쇄적 운영환경에 있던 시스템들은 개방화되고 일반화되고 있으며 이로 인해 보안의 위협 또한 다양하게 증가하고 있습니다. 이러한 특수한 목적의 시스템은 노후된 저사양 시스템과 지원이 중단된 OS 등으로 운영되어 일반적인 보안 솔루션을 적용하기에 무리가 있습니다.
또한 최근 고도화된 공격을 위한 다양한 대응 솔루션이 존재하고 있지만 이는 결국 사후 분석 대응으로 찰나의 오류로 큰 비용의 손해와 사회적 혼란을 야기할 수 있는 산업 시스템 및 기반 시설에는 적합하지 않습니다.
이에 다양한 산업별 상황과 최선의 보안 방안을 도입 사례를 통해 제시하고자 합니다.

산업 네트워크의 파괴적인 여섯가지 취약점
? 인증되지 않은 프로토콜
? 낙후된 하드웨어
? 취약한 사용자 인증
? 취약한 파일 무결성 검사
? 취약한 윈도우 운영 체제
? 문서화 되지 않은 제3자 관계
? 인증되지 않은 프로토콜 - 많은 ICS 프로토콜은 인증 없이 작동된다. 인증은 데이터가 신뢰할 수 있는 출처에서 온다는 것을 보장하는 기술이다. ICS 프로토콜에 인증 체계가 없다면 네트워크상의 컴퓨터가 설정 값을 변경하거나HMI(Human Machine Interface)에 부정확한 측정 값을 보내는 등 물리적 공정을 변경하는 명령을 보낼 수 있다.
? 낙후된 하드웨어 - ICS 하드웨어는 수십 년간 운영될 수 있다. PLC, RTU, VFD, 보호 계전기, 플로우 컴퓨터, 게이트웨이 커뮤니케이터 등의 하드웨어는 지나치게 단순히 작동하거나 처리 능력 및 메모리가 부족하기 때문에 최신 네트워크 기술을 둘러싼 위협 환경을 처리하지 못할 수 있다.
? 취약한 사용자 인증 - 사용자 인증이란 허용된 사람만 컴퓨터에 액세스하거나 해당 프로그램을 사용하도록 지원하는 기능을 의미한다. ICS에서는 일반적으로 암호를 사용하여 인증 한다. 레거시 제어 시스템의 사용자 인증 취약성에는 흔히 하드코딩된 암호, 쉽게 해독되는 암호, 쉽게 복구할 수 있는 형식으로 저장된 암호, 그리고 일반 텍스트로 전송된 암호가 있다. 공격자는 이러한 암호를 쉽게 취득하여 공정을 마음대로 조작할 수 있다.
? 취약한 파일 무결성 검사 - 무결성 검사는 데이터 또는 코드의 무결성 및 출처를 검증하는 기능이다. 이는 일반적으로 암호화 검증을 통해 수행되며 ICS에서 무결성 검사에 결함이 있는 사례에는 다음 3가지가 있다.
o 취약한 소프트웨어 서명
o 취약한 펌웨어 무결성 검사
o 취약한 제어 논리 무결성 검사
? 취약한 윈도우 운영 체제 - 엔지니어링 워크스테이션 및 HMI는 패치되지 않은 오래된 윈도우 운영 체제 실행 시, 알려진 취약점에 노출시키는 경우가 많다.
? 문서화 되지 않는 제 3자 관계 ? ICS 자산의 소유자들은 그들이 운영하는 ICS 소프트웨어에서 제3자(써드 파티)의 종속성을 문서화하고 트래킹하는 경우는 거의 없다.

? 아태시장 개요:
국가별/네트워크 프로토콜별 산업제어시스템 총량 추정, 솔루션 공급사 분포와
산업별 취약요소 파악을 토대로 2020년까지 시장규모 추정
? 주요 보안위협요인 파악
? 시장동인 및 저해요인
? 전망 및 동향
? 지역/국가별 특성
? 현 산업제어시스템 생태계
? 주요 적용분야 현황
? 국가별 특성(한국, 일본, 중국, 호주, 인도 외 아세안국가)
? 솔루션공급자 분석

4차 산업혁명 시대 산업기반이 되는 스마트팩토리에 대한 개념과 구성을 살펴보고 스마트팩토리를 중심으로 산업기반시설의 신뢰성과 안전성을 보장하기 위한 보안기술을 소개한다.
먼저 스마트팩토리를 포함한 산업기반에 대한 취약점과 산업제어시스템에 대한 보안 위협을 소개한다. 제어시스템 보안과 스마트팩토리 보안에 대한 표준 및 보안 모델을 소개하고 산업기반 시설에 대한 공격 시나리오를 소개하고 해킹 시연과 관련 동영상을 보여준다. 마지막으로 4차 산업혁명 시대 산업기반이 되는 스마트팩토리에 대한 다양한 보안기술을 소개하고 대응 방안을 살펴본다.

? 최근 기반시설 타겟으로 한 공격
? 기반시설 타겟으로 한 악성코드
? 기반시설 타겟으로 한 랜섬웨어
? 기반시설이 가지고 있는 취약점들
? 기반시설을 타겟으로 하는 최신 공격 기법들

과거 제어시스템은 제조사 자체 소프트웨어, 하드웨어, 통신프로토콜 및 폐쇄망 구성으로 외부와 격리되어 상대적으로 보안취약성이 직접 부각되지 않았습니다. 하지만 최근에는 범용의 소프트웨어, 하드웨어, 통신프로토콜의 도입과 제어시스템에서 취득된 데이터를 회사 경영정보에 활용하기위해서 폐쇠망을 업무망과 같은 외부 IT시스템과의 연계를 하는 추세이며 이러한 개방성, 연결성에 따른 보안취약성이 크게 증가하고 있습니다. 제어시스템의 보안취약성을 개선하기 위해 외부 연계구간에 물리적 일방향통신장치와 컴퓨터단말에 내장된 USB포트에 대해 봉인장치 적용 등 관리적인 통제를 강화하여 운영하고 있는 실정입니다.
그럼에도 불구하고 제어시스템의 펌웨어 업그레이드 등 성능개선이나 유지보수 목적의 휴대용 노트북이나 USB 등 외부저장매체 사용에 의해, 의도치 않은 악성 코드 감염 사례가 빈번하게 발생되고 있는 추세이며 심지어는 사회공학적 방법에 의한 공격이 증가하고 있기 때문에 관리자조차도 제어시 스템 내부 웜, 바이러스 등 악성코드 유입을 제대로 인지하지 못한 채 운영하고 있는 취약한 실정입니다.
물론 산업제어망의 보안을 위해서 지금까지 많은 연구와 시도가 있어왔으나 아직까지는 정책기반의 탐지 및 차단 솔루션 수준에 머물러 있었던 것도 사실이며 심지어 과거에도 제어시스템 대상으로 한 이상 징후 탐지방법에 관한 수많은 선행연구가 있었음에도 불구하고 효율적인 관제운영 모델의 부재와 같은 이유로 인해서 전문적인 솔루션으로 발전 되지는 못 했습니다.
다크트레이스는 영국 캠브리지 대학교의 수학자와 정부 사이버정보요원이 산학협력으로 설립한 머신러닝 (Machine Learning) 기반의 이상징후 탐지 솔루션의 선구자입니다. 다크트레이스는 인간의 면역체계를 본따서 개발에 성공한 사이버면역시스템을 할용하여 폐쇠망내에서 발생하는 모든 트래픽을 자가학습을 통해 전수조사하여 폐쇠망안에 존재하는 모든 사용자와 장치들의 정상행의와 비정상 행위를 자동분류하고 궁극적으로는 정책기반에서 자칫 놓질 수 있는 알려지지않은 제로데이(Zero-day) 공격까지도 효과적으로 탐지, 방어할 수 있는 머신러닝 기반의 이상징후 탐지 솔루션을 소개합니다.
전세계적으로 도입된 다크트레이스의 이상징후 탐지 솔루션 고객 사례연구를 통해서 도입에 따른 효과를 알려드리고 국내에서의 적용 방안과 기대효과에 대해서 설명을 드리겠습니다.