전기전자/정보통신

Nikkei Computer_2019.9.19 특집 요약 (p26-39)

사이버 공격 대상이 되는 공장
공격 받는 IoT의 ‘급소’, 사이버 대책 시급

공장의 정보 보안 위험이 전례 없이 높아지고 있다. 생산장치 등이 인터넷을 매개로 이어지는 ‘제4차 산업혁명’의 진전에 따라 생산거점이나 발전소 등의 설비도 사이버 공격의 피해를 받게 되었다. 미국의 정보보안 이벤트 ‘Black Hat’에서 밝혀진 교묘한 수법을 소개하고 공장을 습격하는 사이버 공격의 최신 동향과 기업의 대책을 알아본다.

Part 1. 데이터로 보는 ‘실태’
공장은 바이러스 소굴

24시간 365일 생산라인을 멈추지 않고 계속 가동한다. 이러한 생산성에 대한 집착이 공교롭게도 공장을 바이러스의 소굴로 만들고 있다. 바이러스 감염 피해가 급증하는 공장의 실태를 살펴본다.

“우리 공장은 바이러스를 키우고 있어요”. 소프트웨어 개발업체 YE DIGITAL의 데라니시(寺西) 마케팅본부 담당과장은 중소 공장의 경영자들로부터 이런 말을 자주 듣는다. 여기서 말하는 바이러스는 컴퓨터 바이러스를 말한다.

“공장의 기계가 바이러스에 감염됐다는 것은 알고 있다. 제대로 움직이기 때문에 그대로 두고 있지만 과연 문제가 없을까?”라는 상담이 최근에 급증하고 있다.

데라니시 과장은 “그 마음은 충분히 이해한다”라고 말한다. 왜냐하면 공장은 24시간 365일 가동이 기본이기 때문이다. 큰 사고가 발생했을 때만 가동 중인 설비를 정지한다. 게다가 생산설비를 살피는 것은 생산기술 전문가로 IT에 대해서는 문외한인 경우가 대부분이다. 바이러스를 ‘키우고 있다’는 사실을 파악하고만 있어도 다행이다. 조사조차 하지 않는 경우도 많다.

자동 운전 중의 생산설비가 5분 정도 짧게 정지하는 ‘잠깐 정지’ 현상이 계속됐기 때문에 현장에서 생산기술 면에서 조사했지만 원인을 밝혀내지 못했다. 정보시스템 부문에 의뢰해 바이러스 감염을 밝혀내는 경우도 자주 있다고 한다.

얼마 전까지 공장의 핵심인 산업제어시스템(ICS)은 인터넷과 연결되지 않는 것이 상식이었다. 그러나 공장의 모든 설비나 기계, 사람의 작업 등의 데이터를 IoT(사물인터넷)를 활용해 수집, 데이터를 분석해 생산성을 향상시키는 ‘스마트공장’이 주목을 받게 되면서 그 상식이 변하기 시작했다.

보안 회사인 Trend Micro는 금융이나 운수∙교통, 의료, 도소매 등 다양한 업종의 사람에게 “과거 1년동안 바이러스 감염 등의 보안 사고가 있었는가?”라고 질문하는 실태 조사를 매년 실시하고 있다. “있었다”라고 응답한 사람의 비율은 특히 제조업이 전체 평균과 비교해 최근 3년동안 급증하고 있다. “Closed Network라는 안전 신화가 무너지고 있다”라고 글로벌 IoT마케팅실의 우에노(上野) 매니저는 지적한다.

Trend Micro가 운영하는 취약성 발견 커뮤니티 ‘Zero Day Initiative’의 조사에 따르면 취약성에 대해 수정 프로그램이 제공되지 않는 ‘제로데이 취약성’은 ICS에 관한 것이 전체의 84%를 차지한다. “공장 등의 OT(제어∙운용기술) 기기는 바로 패치가 나오는 IT 기기와 달리 대응이 늦어지기 쉽다”(우에노 매니저).

서플라이 체인 위험도 공장의 새로운 보안 위협이다. 납품 물건에 대한 멀웨이 혼입이나 거래처의 서버에 대한 메일 공격 등이다.

Part 2. 이런 공장이 표적이 된다
일본 경제성장의 미덕이 역효과로

‘개선’ ‘계열’ ‘낭비되어 아깝다’. 이들은 일본의 강한 제조나 일본인의 가치관을 상징하는 말로서 전세계로 퍼졌다. 일본의 경제성장을 지탱해 온 이들 ‘미덕’이 보안 상의 위험이 되고 있다.

“당사의 생산 부문은 ‘사이버 공격의 표적이 될만한 중요한 기계는 없다’라고 말한다”. 미국 보안기업 Secureworks 일본법인의 후루카와(古川) 보안 담당자는 고객기업의 IT부문으로부터 자주 이런 말을 듣는다. “겸손한 표현일지도 모르지만 공격 대상이 되기 쉬운 공장의 특징 중 하나는 자기 자산을 과소평가하는 것이다. 그 때문에 보안 대책에 적극적이지 않다”.

발전소나 제철소와 같은 중요 인프라만 공격 대상이 되는 것은 아니다. 작은 공장이라도 표적이 될 수 있다. 공장이 공격을 당하면 며칠 동안 생산이 정지되기도 한다. 공장이 쉽게 당하는 사이버 공격의 4가지 경향을 살펴보자.

경향1: 생산 계열이 ‘유탄’에 맞는다
17년 5월 12일, 히타치제작소의 오피스 네트워크로 랜섬웨어 ‘WannaCry’의 감염이 확산됐다. 생산시스템이 공격을 당한 것은 아니었는데도 불구하고 공장의 생산라인이 멈추는 사태에 빠졌다.

최초에 감염된 것은 유럽의 그룹회사의 사업소에 있던 전자현미경이었다. 어느 경로로 감염됐는지 지금도 알지 못한다고 한다.

이어 전자현미경과 연결되는 오피스 네트워크로 퍼졌다. 이 네트워크는 편리성을 우선해 조직 간의 벽을 없앤 구조였다. 그것이 감염 속도를 높이는 결과를 초래했다. 업무시스템용 서버나 컴퓨터 등 정보시스템 부문이 관리하는 기기가 피해를 입었다.

다음으로 영향을 받은 것이 공장 내에 설치한 생산시스템과 창고시스템이었다. 생산시스템은 오피스 네트워크와는 독립되어 있지만 일부는 수주나 판매, 재고, 물류, 경리 등의 상황을 관리하는 ERP(전사적 자원관리 시스템)와 데이터를 연계하고 있었다. ERP에서 데이터가 오지 않으면 생산시스템 자체가 움직이지 않는 시스템이었다.

바이러스는 산업제어시스템(ICS)까지는 도달하지 못했지만 현실에서는 공장을 정지시켰던 것이다.

경향2: 노후 OS가 현역에서 활약
“일본의 공장은 물건을 오랫동안 사용하는 국민성 때문인지 레거시 시스템의 비율이 높다”라고 요코가와전기 IA시스템&서비스사업본부의 다노구치(田野口) 부장은 지적한다. 예를 들면 터치 패널에서 기계를 제어하는 HMI(Human Machine Interface)의 대부분은 서포트가 종료된 Windows XP를 지금도 사용하고 있다.

19년 5월, 마이크로소프트는 매월 정례의 보안 경신 프로그램으로 Windows XP의 수정 패치를 준비했다. 서포트가 종료됐음에도 불구하고 말이다. 이유는 취약성을 악용하는 WannaCry와 같은 멀웨이가 개발되면 취약한 단말에 감염이 확산될 가능성이 있기 때문이라고 한다.

그렇다면 빨리 OS 자체를 쇄신하는 편이 좋지 않을까? IT부문에 있으면 이렇게 생각할 것이다. 그러나 공장의 생산기술을 담당하는 OT부문과 IT부문에서는 사고방식이나 우선순위가 다르다. ‘기밀성’과 ‘가용성’을 비교하면 IT부문에서 중요한 것은 정보가 새지 않도록 관리하는 ‘기밀성’이지만, OT부문에서는 정보를 사용하고 싶은 때 사용할 수 있는 상태로 해 두는 ‘가용성’이 중요하다.

경향3: ‘개선’이 역효과

경향4: 거래처 중에 취약한 기업이

Part 3. 공장에 스며드는 허점
VPN∙IoT∙통신제어장치∙스위치

보안 전문가가 모이는 국제 이벤트에서 많은 새로운 취약성이 발표되었다. VPN(가상사설망), IoT, 통신제어장치, 산업용 스위치. 공장을 위협으로부터 지키기 위해서는 최신 수법을 반드시 알아야 한다.

19년 8월 상순에 미국 라스베이거스에서 개최된 사이버 보안 이벤트 ‘Black Hat’. 이곳에 전세계의 보안 전문가가 모여 최신 연구내용이나 해킹 수법에 대한 정보를 교환했다.

공격 수법을 학습하는 것은 보안에 대한 감각을 키우고, 자사 시스템이나 생산설비를 지키기 위해서다.

-- VPN에 부정 침입 입구 --
어느 업체가 공급하는 ‘SSL-VPN’ 속에 백도어(시스템에 침입할 수 있는 뒷문)가 있었다. 대만의 보안컨설팅회사 DEVCORE의 보안전문가 오렌지 차이(Orange Tsai) 씨와 메 창(Meh Chang) 씨가 실시한 조사 결과다.

VPN을 업무에 사용하고 있는 독자는 많을 것이다. 인터넷에 가상의 전용선을 만드는 기술이다. 중에서도 노트북 등을 통해 기업의 인터넷에 액세스하는 리모트 액세스 VPN에 자주 사용되는 것이 ‘SSL-VPN’이다.

일반적인 웹브라우저는 통신을 암호화하는 SSL/TLS를 탑재하고 있기 때문에 브라우저만으로 리모트 액세스를 실현할 수 있다. 원격지에서 공장의 운전 상황을 확인할 때 사용된다.

백도어가 발견된 것은 미국 보안 대책 기기업체 Fortinet이 제공하는 ‘FortiGate SSL-VPN’이다. 주로 중견기업용으로 보급되고 있다.

차이 씨는 FortiGate의 로그인 페이지에서 ‘magic’이라는 특별한 파라미터를 발견했다. 이 파라미터를 어느 문자열과 함께 입력하면 어떤 유저의 패스워드라도 수정할 수 있다.

차이 씨 등은 자신들이 발견한 백도어 등 복수의 취약성을 Fortinet에 보고했다. Fortinet은 19년 4~5월에 수정 프로그램을 발매했다. “우리들의 조사에 따르면 FortiGate SSL-VPN에는 아직 패치가 필요한 것이 있기 때문에 마법의 문자열은 공표하지 않는다. 지금 바로 FortiGate SSL-VPN을 업데이트했으면 좋겠다”라고 차이 씨 등은 호소한다.

-- 트위터의 2단계 인증을 우회 --
차이 씨 등은 별도의 SSL-VPN 제품에도 복수의 치명적인 취약성을 발견했고 그 취약성을 공격해 트위터 서버를 해킹하는데 성공했다고 밝혔다.

취약성이 발견된 것은 미국 네트워크 기기업체인 Juniper Networks가 제공하는 ‘Pulse Secure SSL-VPN’이다. 이 제품은 대기업이나 정부기관 등이 잘 사용하고 있다. 차이 씨 등은 발견한 취약성을 Juniper에 보고. Juniper는 19년 4월 25일에 수정 프로그램을 발매했다. 그러나 한 달 동안 업데이트하지 않은 기업이 있었다. 그것이 트위터였다.

차이 씨 등은 그 한달 동안에 트위터의 SSL-VPN의 2단계 인증을 우회해 그들의 가장 중요한 서버를 해킹하는데 성공했다.

-- 러시아 해커 집단이 인트라 침입 --
-- 통신제어장치에서 부정 액세스 --
-- 지멘스의 스위치에 취약성 --

Part 4. 움직이기 시작한 정부와 기업
IoT의 핵심은 ‘신뢰’

IoT 시대에 기업이 디지털 트랜스포메이션을 성공시키기 위해서는 서플라이 체인 전체를 부감한 보안 향상이 반드시 필요하다. IoT에 의한 생산성 향상이라는 ‘공격’의 목적으로 정부나 기업이 움직이기 시작했다.

공장에 설치한 센서 등의 IoT 기기에서 데이터를 수집∙분석해 서플라이 체인에서 생산성을 높인다. 일본 정부가 제시하는 초스마트사회 ‘Society 5.0’을 실현하기 위해서는 사이버 공간의 안전성을 확보하는 시책이 필수다. IoT 기기나 서플라이 체인의 보안에 관한 제어나 가이드라인 제정이 빠른 속도로 진행된다.

예를 들면 총무성은 19년에 들어 잇달아 IoT 기기 대책을 내놨다. 정보통신연구기구(NICT)의 대규모 사이버 공격관측망 ‘NICTER’의 관측에 따르면, 3년간 사이버 공격 건수는 3.9배로 늘었다. 18년은 공격의 약 절반이 웹 카메라나 라우터와 같은 IoT 기기를 노린 공격이었다.

IoT 기기를 노린 공격이 급증하고 있는 사태에 대한 위기감에서 총무성은 19년 2월에 ‘NOTICE’라는 대책을 시작했다. 패스워드 설정에 문제가 있는 등 공격자에게 약용될 우려가 있는 IoT 기기를 NICT가 발견해 인터넷 프로바이더에게 통지한다. 프로바이더는 그 이용자에게 주의를 촉구한다.

19월 6월부터는 멀웨이에 감염된 IoT 기기를 NICTER에서 특정해 프로바이더를 통해 이용자에게 주의를 촉구하는 대책도 시작했다.

또한 2020년 4월 이후에 판매하는 IoT 기기에는 패스워드에 의한 인증 등의 액세스 제어기능이나 출하 시의 초기 패스워드 변경을 촉구하는 기능, 소프트웨어 경신 기능과 같은 최저한의 대책을 의무화한다. “신규와 기존의 IoT 기기 대책을 모두 추진해 누설이 없도록 하고 싶다”(총무성의 다케우치 사이버보안 총괄관).

-- IoT에 의해 ‘전사(轉寫)’한다 --
경제산업성이 19년 4월에 발표한 ‘사이버 피지컬 시큐리티 대책 프레임워크(CPSF)’가 세계에서 주목을 받고 있다. 이유는 IoT 보급에 의한 초스마트사회의 사람들과 기업의 연계를 3층 구조로 분석해 보안 대책을 강구해야 할 점을 알기 쉽도록 제시했기 때문이다.

CPSF를 판독하는 키워드는 ‘신뢰’다. 기존의 서플라이 체인은 개발∙기획∙조달∙생산∙판매와 같은 일직선의 흐름을 의미한다. 이 서플라이 체인에 관련된 사람이나 조직에 대한 신뢰를 베이스로 가치 창조 활동이 성립한다. 그런 ‘피지컬 공간’이 제1층이다.

제2층은 IoT 기기에 의해 피지컬 공간의 정보와 사이버 공간의 데이터가 쌍방으로 ‘전사’되는 층이다. CPSF는 IoT의 본질을 피지컬 공간과 사이버 공간의 ‘경계선’이라고 판단한다. 제2층에 있어서 신뢰라는 것은 ‘제대로 전사되고 있는가?’를 의미한다.

부가가치를 창조하기 위한 일련의 활동이 서플라이 체인이라고 정의하면, 사이버 공간과 피지컬 공간이 융합하는 ‘Society 5.0’에서는 서플라이 체인의 범위가 확대된다. 예를 들면 IoT 기기의 소프트웨어 벤더도 서플라이 체인의 일부다.

사이버 공간에서는 서플라이 체인에 의존하는 사람의 ‘얼굴’은 알 수 없다. 이곳에서는 데이터 그 자체의 신뢰성이 중요해진다. 이것이 ‘제3층’이다.

CPSF는 이 3층을 이용해 ‘사이버 피지컬 사회’ 전체를 파악해 어떠한 사고가 발생할 수 있는지, 위험의 근원은 무엇인지, 어떤 대책을 하면 좋을지를 각 층별로 찾아냈다.

 -- 끝 --