한국트렌드마이크로, 기간 시설 타깃 공격 조사 보고서 발표
기간 시설 공격 모의실험에 북한 해커도 참여 추정

한국트렌드마이크로(www.trendmicro.co.kr)가 모의실험을 통해 3.20 대란에 이어 일상생활에 필수 불가결한 전력, 가스, 수도 등 국가 기반 시설과 산업시설에 사이버 공격이 우려되고 있다며 기간 산업망 보안에 각별한 주의를 기울일 것을 당부했다.

이번 트렌드마이크로의 모의실험은 산업설비 제어 시스템과 유사한 환경에 허니팟(비정상적 접근 탐지를 위해 의도적으로 설치한 시스템)을 설치해 급수 펌프 시스템, 생산 시설, 공장 온도 조절 시스템 등으로 가정해 유입되는 타깃 공격을 면밀히 모니터링 한 것이다.

조사결과 허니팟 설치 18시간 만에 첫 번째 공격이 유입됐으며 총 28일 동안 14개 국가에서 총 39회의 공격이 발생하는 등 산업 설비 제어 시스템에 대한 공격이 실존 위협임을 증명됐다.

허니팟에 유입된 공격 중 12회는 각각 별개의 표적 공격이었고 13회는 동일 공격자에 의한 반복 공격이었다. 국가별로는 중국이 35%로 가장 많았으며 미국 19%, 라오스 12% 등 순서로 집계됐다. 눈에 띄는 부분은 북한으로 추정된 공격도 2%를 차지하고 있다는 점으로 북한의 사이버 공격 그룹이 산업기간 시설 또한 사이버 공격 대상으로 검토하고 있음을 추정할 수 있게 했다.

장성민 한국트렌드마이크로 침해 대응 센터장은 "산업기반 시설 보호를 위해서는 오프라인 상태에서의 악성코드 탐지와 화이트리스트 방식의 응용 프로그램 제어 등 기존 보안제품과는 다른 접근 방식이 요구된다"고 밝혔다.

대부분의 국가 기반 시설과 대규모 산업 시설이 SCADA 등 시스템에 의해 인터넷망과 격리돼 운영됐지만 최근 들어 원격 관리의 편의성 등 이유로 인터넷 접근이 용이하도록 설계돼 네트워크 기반의 악의적인 공격에 취약점을 나타내고 있다.

실제로 지난 2010년 발견된 '스턱스넷(Stuxnet)'은 이란 원자력발전소를 비롯해 전세계 수천여 생산 시설에 장애를 유발시켜 기간 시설공격의 위험성을 알린 바 있다.

트렌드마이크로는 기간 산업망 보안을 위한 화이트리스트형 보안 솔루션 '세이프 락(Trend Micro Safe Lock)'을 보유하고 있다. 세이프 락은 제어 시스템, 임베디드 장비 및 오프라인 환경에서 이용되는 특정 용도의 단말에 바이러스를 비롯한 악성코드의 침입과 실행을 방지해 준다.

애플리케이션 제어 방식으로 시스템 가용성을 저하시키는 패턴파일 기반 보안 솔루션 대비 성능을 보장하며 인터넷 연결이 안 돼 있는 폐쇄된 환경에서도 최신 패턴파일로 방어할 수 있다. 아울러 외부 저장매체와 네트워크를 통한 바이러스 감염 등 알려지지 않은 취약점을 노린 공격에 대해서도 효율적으로 대응하는 기능을 갖추고 있다.

한국트렌드마이크로 홉페이지에서 화이트리스트형 보안 솔루션 트렌드마이크로 세이프 락에 대한 자세한 내용과 이번에 발표된 기간 시설에 대한 공격 조사 보고서 'ICS 장비 공격의 실체'에 대한 자세한 내용을 확인해 볼 수 있다.