태터데스크 관리자

도움말
닫기
적용하기   첫페이지 만들기

태터데스크 메시지

저장하였습니다.


* 전자신문의 보안전문 저널인 boan.com 에 기고된 컬럼 글입니다.

 현재의 Stuxnet 에 대한 대응이나 SCADA 부분에 대한 논의들이 논점이 빗나가는 부분들이 많아서 향후 필요한 부분들에 대한 대책과 문제점을 짚어 봤습니다. 표현이 정제되지 않은 Raw 컬럼을 사이트에 게재 합니다. 여기는 링크들이 정상적으로 살아 있습니다.

===============================================================================


Stuxnet이 주는 충격은 실생활이 직접적으로 영향을 받을 것이라는 점에서 많은 사람들에게 각인이 되고 있다. 또한 앞으로 기반시설에 대한 보안 이슈와 관심도 그 어느 때 보다 높아 질 것으로 예상 된다. 세계적으로 이슈가 되고 있는 Stuxnet은 일반적인 보안업체에서도 향후의 방향성에 대해서 한번쯤 고민을 해야 될 이슈를 던져 주고 있다. 기존과는 다른 접근이 필요한 분야라는 점도 인식을 해야 할 것이다.

 

현상으로 돌아가면 시만텍의 Stuxnet에 대해 한국내 감염 수치가 8% 이상일 것이라는 점은 사실이다. 더불어 시만텍의 CTO 슈나이더의 통계수치도 사실이다. 실제 감염된 것은 맞지만 기사내의 정부 당국자의 이야기가 분명한 사실을 이야기 한다. 감염된 것은 맞지만 실제 기반시설 장비에는 감염이 안되었다는 것이 정확한 이야기이고 사실에 가까운 것이라 할 수 있다.

 

Stuxnet은 기반시설 장비에만 감염되는 것이 아니다. 기본적인 윈도우 취약성을 이용하여 전파가 되고 USB를 통한 전파도 일반적이기에 시만텍에서 이야기한 감염수치 부분은 단순 PC 감염으로 봐야 한다. 즉 해외에서 언급된 통계치의 대부분은 실제의 위험과는 약간 괴리감이 있는 수치일 가능성이 높다. Stuxnet은 분명 위험한 웜이고 타켓화된 웜인 것은 명확하다. 큰 피해를 입힐 가능성이 매우 높음을 증명한 실질적인 위협이며 사이버상의 위험이 더 이상 현실과 괴리가 있는 동떨어진 이야기가 아님을 실제적으로 증빙한다. 그렇다면 비록 허수라 하더라고 감염 수치를 무시 할 수 있는가? 라는 질문을 할 수 있다.

 

현재 정확한 감염 수치는 그 어디에서도 얻을 수 없다. 모든 탐지 사례를 허수라고 가정한다 하여도 찾아내지 못한 곳 중 하나라도 웜이 기반시설망에 존재하는 순간 아수라장이 될 수 밖에 없다. 그것은 폐쇄망의 특징에 기인하기도 하고 대응의 어려움에 기인하기도 한다. 기존의 온라인 상에서의 대응과는 상당부분 다른 관점으로 보아야만 한다.

기반시설을 위협하는 Stuxnet의 위험성은 실제 기반시설 운영 시스템에 직접 영향을 미칠 수 있고 조정이 가능하다는 점에서 웜 자체가 가지는 심각성과 의미는 높다. 그렇다면 향후에 기반시설 장비를 보호하기 위해 무엇을 어떻게 해야 하는지에 대해서도 상당수준의 경각심을 가지고 준비를 해야만 한다.

현재의 감염수치는 온라인상에서 수집된 데이터들이 대부분이라 폐쇄망을 기본으로 하는 SCADA 시설에서는 신뢰도가 떨어질 수 밖에 없을 것이다. 그러나 목표의 중요성으로 볼 때 향후 더 치밀하고 은밀한 방식으로의 접근과 공격이 증가 할 것임은 당연한 사실이다.

 

2002년 즈음에 기반시설의 보안에 관련된 문서를 작성한 적이 있다. 그 문서에는 전문가와 비전문가를 막론하고 항상 오해를 하는 세가지 주요 부분을 정리한 바가 있다. 그 세가지는 다음과 같다.

 

 

1.      제어시스템은 물리적으로 분리된 독자적 네트워크 상에 존재한다

 

일반적으로 분리된 독자적 네트워크 상에 존재하는 것은 사실이다그러나 아주 적게나마 원격에서 접속이 가능한 지점이 존재하고 기업정보시스템과의 연동의 필요성으로 인해 통합된 지점이 거의 존재한다.

 

2.      SCADA시스템과 기업정보 시스템과의 연결에는 강한 접근제어 정책으로 보호되고 있다.

 

대부분의 경우에 SCADA시스템은 방화벽과 보호장치가 이중으로 되어 있는 구조 이나 정보시스템으로부터 혹은 외부로부터 접속이 가능한 몇몇 개의 접속지점이 반드시 존재한다.중대사고 발생시의 Hot line 혹은 외부에서 연결을 통한 연결지점, 정보시스템에서 

정보의 활용을 위해 제어시스템과 연결이 되는 부분이 반드시 존재한다.

 

3.      SCADA 시스템을 운용하기 위해서는 특별한 지식이 필요하며 침입자가 접근하고 제어하기가 어렵게 만든다.

 

SCADA 시스템의 운영에 사용하는 소프트웨어나 제어장치에 대한 매뉴얼은 이미 전체의70프로 이상이 인터넷 상에 공개가 되어 있다.  그러므로 이전과 같이 정보가 없어서 지식을 획득하지 못하는 일은 없다.  SCADA시스템을 제작하는 회사는 사후지원과 Update등을 위해 인터넷을 통해 다운로드 받는 형태로 매뉴얼을 제공하는데 이를 통해 충분한 지식의 습득이 가능하다.

 

 발췌 Critical Alert for Cyber Terror-p4ssion 2002

 

2002년에 작성한 항목이나 현재도 인식에 관해서는 별반 다르지 않다. 각 항목별로 현재의 Stuxnet 사례는 좋은 예시가 될 수 있다.  기반시설은 물리적으로 분리된 망에 존재하며 정보시스템과의 연결에는 엄격한 통제가 있고 방안들이 있어서 접근이 불가능하다. 또한 장비의 운영에는 특별한 지식이 필요해서 침입자가 접근하고 제어 하기가 어렵다.”라는 일반적인 인식들은 지금의 Stuxnet을 살펴보면 해당사항이 없음을 알 수 있다.

 

비단 지멘스 장비에만 국한된 문제일까?

지멘스사의 솔루션 이외에도 몇몇 대형벤더(이를테면 GE) 들의 전 세계적인 SCADA 장비 점유율이 높은 상태여서 공격자 입장에서는 좀 더 쉽게 공용적인 공격기반을 만들 수 있다. 이번 Stuxnet은 지멘스 장비를 대상으로 하였지만 앞으로는 보다 더 타켓화 되고 일반화된 형태의 공격들이 일상적으로 발생이 될 것이다. 가능성에 대해서만 인지를 한 국가들 조차도 기반시설 장비가 위험해졌을 때의 파괴력과 영향력에 대해서 확실하게 인식을 하였을 것이고 사이버 전장의 영역은 이제 기반시설 장비까지도 직접적으로 노릴 것이다. 아마 오래 전부터 해왔던 많은 행위들이 이번에 노출되었다고 보는 것이 정확하지 않을까?  폐쇄망 내부의 감염을 위해 작성한 감염코드가 일반 인터넷 영역에 우연히 노출 되면서 확산이 되고 알려지지 않았을까? 그 모든 가정을 한다 하여도 이제는 실제의 영역에 들어온 부분이다. 이미 예전부터 준비가 되어 있어야 하지만 지금의 상태는 어떠하고 또 대응책은 적절한지, 알려지지 않은 위협들에 대해 충분히 인지 하고 있었는지가 향후를 가늠할 핵심이 될 수 밖에 없다.

 

SCADA 장비에 대한 위험들은 수면 아래에서 Stuxnet을 통해 수면위로 떠올랐다. 이제 우리는 실존 하는 위협을 마주하고 있다. 실존하는 위협에 대해 대응하고자 한다면 우선 현황을 이해해야 한다. 현실에 대한 이해를 바탕으로 현실적인 대책들이 수립되어야 한다.

 

SCADA 장비가 운용되는 곳들의 일반적인 특징

 

1.     폐쇄망

일반적인 네트워크 라인과 분리가 되어 있으나 내부에서의 통신을 위한 제한적인 라인들은 장비들끼리 연결 되어 있을 것이다. 또 통제시스템도 마찬가지로 연결 되어 있을 것이다. 폐쇄망이라는 의미는 인터넷 연결이 되어 있지 않다는 의미 일뿐이며 독자적인 설비 상태로 존재하는 것이라는 것을 이해하자.

2.     중단 없는 운영

기반시설에 운영되는 장비는 대부분 24시간 365일 운영을 원칙으로 할 수 밖에 없다. 발전시설과 전력, 교통등 다양한 기반 분야에 활용되는 장비들의 특성은 항상 작동 되고 있어야 한다는 의미이다.

3.     독자적인 프로토콜 사용 및 목적에 맞게 변형된 장비나 운영체제의 사용

SCADA 장비에는 복잡하지는 않으나 독자적인 프로토콜이 사용된다. 다만 이 프로토콜의 사용법과 활용도에서는 인터넷에 일정수준 공개되어 있으며 장비를 직접 제어하는 PLC 명령코드는 그리 어렵지 않다. 목적에 맞도록 운영체제도 일정수준의 기능을 제거하거나 용도에 맞도록 변형된 임베디드 운영체제가 사용되고 장비도 독자적인 변형을 가진 장비 형태가 사용된다.

 

 

크게 위의 세가지 사항을 일반적인 특징으로 볼 수 있다. 특징을 고려하지 않은 대응과 대비책은 많은 문제를 가질 수 밖에 없으며 현실적인 적용이 어려울 수 밖에 없다. 현재 SCADA 보안과 관련된 부분은 정책적인 부분과 정기적인 외부 노출 부분에 대한 부분적인 보안점검으로 이루어 지고 있는 것이 현실이며 임베디드 운영체제를 사용하는 SCADA 장비에는 별도의 보안솔루션 설치가 어려운 부분들이 많이 있다. 따라서 직접적인 대응은 많은 난관을 가지고 있다.

 

Stuxnet의 처리와 관련하여 각 백신제조 회사들 마다 온라인에서의 제거용 전용백신을 올리고 있으며 설치하여 탐지 및 제거 할 것을 권고한다. 또 운영체제에 대한 보안 패치를 적용 할 것을 대부분 권고하고 있다. 실상과 거리가 있다고 볼 수 밖에 없다. 폐쇄망에 있는 장비에 적용 하기 위해서는 온라인과 연결된 망에서 USB나 별도 이동식 매체를 이용해 백신과 보안업데이트를 다운 받은 이후 폐쇄망 내의 개별 시스템에 연결하여 문제를 처리해야 된다. 이 과정에서 더 많은 문제들이 확산될 가능성도 충분히 있다.

 

폐쇄망이라는 의미는 내부의 별도 네트워크를 가지고 있으며 외부 연결과는 차단된 상태를 의미한다. 즉 내부로 어떤 방식으로든 유입이 되었을 경우 물리적 단절을 통해 근본적인 보안이 해결된다는 폐쇄망 내에서는 무방비 상태일 수 밖에 없다. 무방비 상태라는 것은 웜의 확산과 전파를 막을 수 있는 단계나 도구가 많지 않음을 의미한다. 또한 탐지와 관련된 측면에서도 비정상적인 시스템 운영을 하게하는 악의적인 명령과 또 폐쇄망내에서의 웜의 확산을 막거나 탐지하기 위한 보안장비의 설치도 현실적인 어려움이 있다. 프로토콜 체제가 다르고 또 새로운 유형의 위험을 탐지 하기 에는 기존의 PC 체계에서의 대응 도구들로서는 한계가 있다.

 

운영체제의 업데이트와 중요 보안 설정과 관련된 부분들은 중단 없는 운영이라는 SCADA 장비의 기본 전제에 비추어 볼 때 설치가 어려운 부분이 있다. 대부분의 업데이트와 보안설정은 활성화를 시키기 위해서는 리부팅이 필수이기 때문이다. 따라서 현재 운영중인 기반시설 장비들에 대해서는 직접적인 대응이 어렵다. Stuxnet의 경우에도 시스템의 중요 DLL을 설치하는 방식이므로 완벽한 제거를 위해서는 메모리에 올려진 DLL까지 제거해야 가능하다. 메모리 클린은 당연히 리부팅을 통해서만 가능해진다. 대체장비를 투입한 이후에야 제거나 보안성 강화등이 가능한 형태가 된다.

 

독자적인 운영체제의 변경과 별도 장비의 사용도 만약 보안설정과 시스템의 업데이트를 할 경우 정상운영이 어려운 상황이 발생 될 수 있다. 장비의 정상적인 운영을 위해서는 SCADA장비 제작사와의 긴밀한 협력을 통해 각 상황에 따른 정상 작동 여부를 오랜 기간 관찰 해야만 안정성을 확보 할 수 있다.

 

지금의 SCADA장비에 대한 대응은 현실과는 동떨어져 있으며 주의 사항과 문제 부분에 대해 신중한 접근이 부족하며 단순한 온라인 상에서의 PC의 악성코드 처리와 동일한 관점으로 접근을 하고 있다. 현실적인 상황 인식이 부족한 부분이다.

 

그렇다면 SCADA 장비에 대한 보안 강화와 향후에 급증 할 것으로 예상되는 기반시설 장비들에 대한 공격에 대해 어떤 식으로 대처를 해야 근본적인 위험을 줄일 수 있을 것인가에 대해 생각해 보자.

 

폐쇄망의 특성과 임베디드 운영체제, 기존의 PC와는 상이한 프로토콜 및 운영원칙은 기본적인 보호 대책을 다른 관점에서 살펴야 된다.

 

일차적으로는 시스템 자체의 변화를 감지 할 수 있는 수동적인 탐지 도구가 필요하며 각 중요 시스템마다 상황을 일목요연하게 파악 할 수 있는 체계도 필요하다. 수동적인 탐지 도구라는 의미는 시스템의 상태변화 (DLL 혹은 중요 시스템 파일의 교체, 비정상적인 사용자 및 권한의 탈취, 명령실행 등)를 모니터링 하고 이상유무를 상시적으로 체크할 수 있는 시스템을 의미한다. 기존의 PC기반의 악성코드 탐지와 같은 패턴매칭으로 대응 하는 것은 어려움이 있다. 또한 폐쇄망 네트워크내에서 어느 지점이나 문제를 통해 문제가 확산되는지 여부를 확인 하는 것도 어려움이 있다. 이미 2003년의 1.25 대란때의 슬래머 웜에 의해 미국의 오하이오 핵발전소가 정지된 사례도 충분히 있는 만큼 물리적인 단절 만으로 대책이 완료 되었다는 생각은 잊어 버릴 때가 되었다. 어떤 경로를 통해서든 침입이 성공하게 되면 치명적인 위험이 존재하게 되고 또 자체적인 전파가 가능한 유형이라 폐쇄망 내부에서의 확산도 손쉽게 이루어 질 수 있다.  기반시설 시스템의 보호를 위해서는 통신을 위한 가장 제한적인 프로토콜과 연결만이 허용 되어야 하고 그 기반 하에서 시스템의 변화를 감지 할 수 있는 수동적인 탐지 도구 및 전체적인 현황을 볼 수 있는 시스템과 체계가 필수적으로 요구된다.

 

향후의 사이버전은 온.오프라인을 망라하게 되고 일상생활에도 치명적인 영향을 줄 수 있다. 오래전 예상한대로 그 위험은 이제 실제상황이 되어 버렸다. 일이 발생 되기 이전에 문제에 대해서 대비 하는 것이 필요하며 문제가 발생 되었을 때는 차분하게 향후의 위험들 까지도 고려하여 대비책을 세우는 것이 정답이다. 단순한 현황 파악만으로는 위험한 상황은 지속 될 것이다.

 

이 모든 것은 이미 오래 전부터 예상 되었던 바이다. 이제는 수면위로 올려진 문제를 적극적으로 또 장기적으로 보호 할 수 있는 방안에 대해서 심도 있게 고민을 해야 할 시기이다.

 

-바다란 세상 가장 낮은 곳의 또 다른 이름

 

참고자료:

 2009년에 작성한 문서. Inevitable cyber warfare

 2002년에 작성한 Critical alert for cyber terror

다이하드 4.0 cyber terror 

 


ps> 두 가지 정도 빠른 시일내에 작성할 내용들이 있습니다. 2010년의 이슈중 미래에 영향을 미칠 이슈들과 중국발 해킹의 심각성을 좀 리얼하게 보여줄 컬럼들을 준비 중입니다.





Posted by 바다란

필자가 Scada 보안과 관련하여 글을 쓴지 벌써 9년의 시간이 지났다.
그 이후 임베디드 Scada 장비에서의 웜이라 할 수 있는 Stuxnet이 나와서 세계적으로 이슈가 되고 있다.

이와 같은 문제는 이미 예상이 되었던 바이고 물리적 분리와 논리적 분리를 오해 하시는 많은 담당자들에 의해 여전히 문제가 되고 있는 부분이다.

물리적으로 분리가 되었다 하여도 정보 및 데이터의 가공을 위해서는 접근 할 수 밖에 없고 임베디드 장비들은 대부분 모니터링 용도에 사용이 된다.  만약 모든 시설이나 하드웨어 장비가 정상적으로 가동된다 하여도 모니터링 장비에 오류가 발생하면 중단 될 수 밖에 없다. 지난 블래스터 웜의 오하이오 핵발전소가 그랬다.

지금의 stuxnet의 경우 지멘스 장비를 타켓팅 했지만 글로벌 벤더에서 스카다 장비 제품군을 제작하는 회사가 몇개 되지 않고 광범위하게 활용이 되고 있어서 영향력이 있을 수 있다. 단순히 USB를 통한 침입 이외에도 일반적인 공격이 결합이 된 내용이고 웜 코드의 내부에는 PLC ( 기계를 직접 움직일 수 있는 낮은 수준의 프로그래밍 언어. Programmable Logic Controller. ) 컨트롤 명령도 들어 있는 것으로 보이는데.. 모든 기계를 범용적으로 처리 할 수 있도록 되어 있을 것이다. 

그리고 이 모든 것은 앞으로 출현할 위험이 실제적으로 시작됨을 의미한다.
본게임은 이제 부터이고 그 어디에도 안전한 곳은 없다.

- Inevitable Cyber warfare - 중에서 ..
"사이버전에 대한 논의는 DDos 와 개인정보 유출의 범주를 떠나서 실제 최악의 상황에 직면 하였을 때 발생 할 수 있는 경우를 살펴보고 현재 상태의 발전이 특별한 고민이 없이 진행 된다면 어떠한 결과를 초래 할 수 있는 지도 반드시 논의 되어야만 한다. 앞으로의 전장은 총칼이 부딪히기 이전에 사이버 전쟁이 먼저 촉발이 될 것이다.
준비된 자와 준비되지 않은 자, 잃을 것이 있는 자와 잃을 것이 없는 자의 싸움은 사이버전에서 극명하게 차이를 드러낼 것이고 그 시작은 지금껏 일어나고 있는 서비스 거부 공격 (DoS)과 더불어 기반시설에 대한 직접적인 위험으로 시작 될 것이다.
기반시설에 대한 이슈 제기를 처음  제기 하였을 때는 2002년 이였고 당시에는 기반시설에 대한 침해사례와 실제 가능한 시나리오의 경우가 적어서 현실화 되기에는 많은 시일이 걸릴 것으로 예상을 하였다. 이후 몇 년의 시간이 지난 뒤에 무시 할 수 없는 수치의 사건들이 실제적으로 발생을 하였고 생활에 영향을 미쳤음을 충분히 알 수 있었다.
기반시설은 스마트 그리드의 형태로 점점 더 생활에 밀접하게 되고 통제의 범위도 대규모, 자동화, 집중화 되는 것으로 방향성이 잡혀지고 있으며 앞으로 더 심화될 것이다. 더불어 공격유형의 변화와 환경에 위협을 주는 요소들도 시대상황과 기술의 발전에 따라 많이 달라질 수 밖에 없고 그 상황에 대한 준비를 하고 대비를 하는 것이 사이버전에 대한 대응이 될 수 있을 것이다.
전체적인 공격 유형의 변화와 현재의 위험에 대해서 살펴보고 기반시설에서 발생된 문제를 살펴 볼 것이다. 이후에 다양한 공격 방안들이 어떻게 가능한지를 검토해보자. 최종적으로는 가상의 시나리오를 통해 최악의 경우가 어떻게 다가 오는 것인지 살펴 볼 것이다.
준비 해야 될 부분은 무엇이 있고 앞으로 어떤 관점에서 역량을 기울여야 하는 지에 대해서는 대책 부분에서 개념적으로 기술을 한다.
이제 사이버전은 인터넷 공간에서만 존재하는 것이 아닌 실제 생활에도 막대한 영향을 미치고 충격을 줄 수 있을 만큼의 거대한 연결고리를 가지고 있음을 명확히 하고자 하며 그 동안 개념적으로 이해해 왔던 여러 이슈들에 대한 설명을 통해 연관관계를 분석 하도록 할 것이다.
충분히 노력하지 않고 준비 하지 않는다면 그 결과는 최악에 가까워 질 것이다.
2002년의 문제제기가 주의를 촉구하는 것 이였다면 7년이 지난 지금은 경고의 의미이다."


2002년의 초기 자료와 지난해 작성된 자료를 같이 살펴 보고 앞으로 나올 위험도 심각하게 대비를 해야한다.
다행스럽게도 이제는 scada와 dcs에 대해서 어느정도 연구나 보안적인 이슈들에 대해서도 준비가 된 상태라 백지 상태는 아닌 것이 다행이라고 해야 할까?

꾸준하게 노력하신 분들이 그 노력의 댓가를 인정 받는 그런 사회가 되었으면 한다. 

2002년판은 일반론 적이고 앞으로 나타 날 수 있는 위험에 대해서 언급이 되어 있다. 
기본적인 SCADA망에 대한 인식과 향후 나타날 위험이다. 여기에 Stuxnet과 유사한 개념이 소개 되어 있다. 더불어 지난해 하반기에 방영된 SBS스페셜의 사이버 아마게돈 중에 SCADA망에 대한 침투로 낮은 수준의 USB 전파 및 내부 백도어 연결이 있었는데 이것도 Stuxnet과 유사한 개념이다. 2009년에 작성된 개념은 앞으로 근 미래에 닥칠 위험이라고 봐야 된다. 이외에도 scada 관련 글은 컬럼으로도 기고한 글들이 있어서 참고 하시면 이해에 도움이 될 수 있을 것이다.

이제 주의 수준이 아닌 경고가 왜 경고인지 알게 되지 않을까?

Posted by 바다란

현재의 취약성 및 위협 동향과 향후의 위협과 대응

최근 동향을 보면 다음과 같이 요약이 가능합니다.

 

* 클라이언트 단위의 위험 증가 ( 개인 PC 에 대한 중점적인 공격 )

해외에서는 피싱등을 이용한 공격이 증가하고 있고 국내에는 직접적인 클라이언트 PC 공격 및 취약성을 이용한 악성코드 설치가 주된 유형입니다.

* 일반 Application에 대한 공격 증가

버그트랙이나 기타 메일링을 보아도 운영체제 등에 대한 취약성 보다는 운영체제 기반하에서 영리 목적이나 운영을 목적으로 코딩된 솔루션에 대한 취약성이 집중되고 있습니다.)


* 보다 더 집중화된 Bot의 공격

일전에 Bot 관련된 언급을 하면서 Monster Bot 이라는 용어를 언급한 적이 있습니다. 취약성이 나올때 마다 공격 기능이 하나씩 더 추가가 되어 하나의 Bot이 공격하는 공격의 가지수가 지속적으로 늘어나는 유형이죠. 또한 운영체제의 구분 없이 Application 에 대한 공격 유형도 첨가 되는 형태라 가히 Monster bot으로의 지속적인 진화가 예상 됩니다. )

* Application Worm의 일반화 가능성 매우 증대

특정 국가 , 특정 지역 , 특정 회사에 기반하여 사용되고 있는 Application 자체의 취약성을 통해 전파되고 통신망을 무력화 하는 공격이 매우 증가할 것으로 판단 됩니다. 무선 관련이나 블루투스 관련된 웜의 전파도 동일 유형이라고 보시면 됩니다.)

 

위와 같이 요약이 됩니다.


또한 향후 발생할 위협을 정리 해보면 다음과 같이 정리가 됩니다.

 


향후 지속될 위협 :

 

* 오래전 부터 언급한 기반시설의 IP 전환 및 온라인 노출이 많아 짐으로 인한 위협의 현실화

   ( 기반시설의 위협에 관한 문서를 참고 하시면 됩니다.)

   너무 빨리 문제제기를 한 면이 있지만 향후 지속적으로 일반화 될 것으로 예상 됩니다.


* 무선 및 WiBro , DMB의 활성화를 통한 웜 전파  ( 요건 스마트폰 및 기타 매개체로 변경 될 수 있겠네요)

   (IP 기반의 모든 머신에 해당이 될 것이며 이 경우에는 프로토콜 간의 Gateway의 보안설정 이나 허용 조건에 따라 보다 많은

   편리성을  제공할 경우 광범위하게 전파가 될 것으로 판단됩니다. )


* 보안 인력의 부재 지속

  (전문성이 지속적으로 떨어지고 있는 현실에서 각 영역을 종합적으로 대처할 수 있는 보안 인력은 수요는 급증하나

  인력은 계속 부재한 상황이 지속 될 것입니다. )

 

시스템 , Application , 네트워크 , 종합적인 대응 , 보안 체계 수립 이 모든 분야를 컨트롤 할 수 있는 마스터급의 보안 인력은 향후 매우 부족하게 될 것으로 판단 됩니다. 또한 Penetration Test의 영역이 매우 확장이 되어 상당히 많은 부분을 커버하게 될 것으로 예상이 됩니다. 물론 수요도 많이 있을테지만 국내의 현실상 오랜기간 숙달된 인력이나 전문성을 유지하고 있는 인력의 부재로 힘겨운 상태가 지속이 될 것 같네요. 협상력만 잘 보완 한다면 적절한 전문성을 유지한 인력의 경우 상당히 좋은 대우를 받을 수도 있을 것 같습니다.


* Application 취약성 발견 지속 및 클라이언트 공격 , 피싱 공격을 통한 이익 추구 일반화

(올해도 지속이 되었듯이 향후에도 지속이 될 가능성이 높습니다. 또한 신규 프로토콜 상의 문제를 이용한 새로운 유형의 공격들이 나올 가능성이 높다고 판단됩니다. 특히 무선 관련된 802.X 대역에 대한 문제 출현 가능성이 높습니다. )


* Bot Network의 복잡화 및 일반화

(Bot 공격의 복잡성은 향후 지속적으로 증가 될 것이고 말 그대로 MonsterBot으로의 진화가 진행 중이며 더욱 심화 될 것으로 판단됩니다. 또한 일반적으로 알려지는 고유명사화 될 정도로 피해를 입힐 수 있을 것 입니다.)


* 수정 할 수 없는 Application 결함의 증가

(취약성을 수정하거나 보완의 책임이 없는 공개 소프트웨어 혹은 개발사의 몰락으로 인한 위험성 증가 )


위와 같이 예상이 가능합니다.

이에 대한 대응 및 보안 활동으로는 다음과 같은 행위가 이루어 질 수 있습니다.


대응 및 발생 현상 :

 

*Application 개발 프로세스 단계에서의 보안성 검토 일반화

*Application 취약성 진단 도구의 활성화

*웜의 일반 PC 침투에 따른 PC 보안 강화
( 패치 및 PC 솔루션 회사들 기회가 될 수도..)

*바이러스 및 웜 제작의 일반화에 따른 보안의 어려움 따라서 능력이 있는 회사의 경우 자체 제작이나 변형의 요구에 따른 매뉴얼 보안 툴의 출현 가능성 ( clam 백신처럼...)

* 공격에 대응하는 속도를 따라가지 못함으로 인해 지속적인 피해 속출 가능성

* 보안 전문 인력의 이탈 가속화
( 노력에 대한 성취도가 매우 낮아 질 것으로 보임.. 노력을 기울여야 하는 부분은 매우 많아 질 것이나 그에 따른 성취도는 낮으며 업무강도 및 피로도는 급증 할 것으로 예상됨 )

* 위의 항과는 반대로 보안 인력풀은 산업의 요구에 의해 지속적으로 증가 요청이 있을 것임. 그러나 전반적인 하향 평준화는 어쩔 수 없을 것으로 예상됨.

 

기타


*MS 등의 OS 벤더의 기타 사업 진출 가속화
( 보안 및 기타 영리 분야로의 대대적 진출)

 

* 구글등에 의한 Contents 제공 회사의 인프라 점유 확대 및 인프라에 대한 비용이 아닌 컨텐츠 제공에 따른 비용을 청구 받을 가능성 매우 증대

( 이런면에서 구글의 인프라 사업 진출 및 무선망 확대 사업은 매우 중요한 의미를 지님)

*손쉬운 IT 기업의 창업이 어려워짐

( 일정 규모 이상의 IT 대기업 출현으로 아이디어를 통한 신규 진출 및 창업이 어려워 질 것이며 인프라 및 보안 분야에 대한 일정 수준 이상의 요구를 맞추어야 함으로 더욱 더 어려워 질 것임. 보안 취약성은 기업의 규모를 가리지 않고 발견이 되고 있으며 일반 Application 발견 비율이 매우 높아 안전한 보안성을 지닌 소프트웨어 설계에는 매우 많은 비용이나 시간이 소요 되고 있음 )

* 세계적인 보안 부분 대기업 출현

시만텍 등의 보안 전문 출발 회사 부터 네트워크 부분의 시스코등에 의한 보안 분야 흡수 합병을 통한 거대 기업 출현으로 한 분야의 전문회사는 독창성이나 기술 모방성에 대해 독보적인 영역을 지니지 않는 이상 견디기 힘든 환경 지속될 것임.


위와 같이 아침에 번뜩 든 생각을 정리해 봤습니다.

짧은 생각이지만 참고 하시고 좋은 의견 있으시면 붙여 주세요.
 
-> 위의 내용이 2005년에 해랩 사이트에 올린 예상입니다. 얼마나 달라졌을까요? 그리고 지금은? 예상적중률은 어느정도? 

 지금은 거의 예상을 포기한 상태인데.. 위협은 2005년의 현실 인식이나 지금 2010년의 현실에서도 동일하며 더 가중 되어 있습니다. 대책 부분도 이미 6년이나 된 이야기 이지만 제대로 된 부분 있습니까?  지금도 필요하지만 논의는 산으로 가고 있습니다. 문제를 통찰하는 근본적인 인식을 가지거나 최소한 듣는 귀라도 가지기를 바라지만 여지껏 제대로 된 것은 없는 것 같습니다.

 

앞으로의 변화와 위험들은 지난 블로그 및 컬럼 글에서 지적한 대로 입니다. 야생의 시대로 완전한 돌입이 되겠습니다.

Posted by 바다란

2002년에 Critical Alert for cyber terror ( sub: Scada & DCS Security)라는 제목의 기초적인 문서를 발표 한 적이 있습니다. (http://blog.naver.com/p4ssion/50001878886 )

 

이때 당시에는 발생 될 수도 있는 문제에 대해서 알려주는 역할을 하기 위해 작성을 한 내용입니다. 이후 오랜기간 동안 관련 분야를 주기적으로 관찰 하였고 주시 하고 있었습니다.

 

7년이 지난 시점이죠. 2009년 10월쯤에 추가적인 내용의 발표를 고려 하였고 하루 정도 시간을 내어서 만들었습니다.

 

사이버전 시나리오 공모전에 보낼 용도로 ( 상금 보다는 널리 알리고 싶었습니다. ^^) 급하게 작성을 했는데.. 등수에도 못들었죠. 아무래도 보는 관점이 많이 달라서 인듯 싶습니다.

 

전체적인 내용은 현재의 상황은 많이 급변하고 있다. 또한 충분한 시간이 지나고 그 만큼의 위험성이 실현될 가능성이 매우 높아졌다라는 점을 알리고 싶었습니다.

 

더불어 모 방송사의 관련 내용을 자문해 주면서 한번 전체적으로 정리도 하고 싶었구요.

 

문서의 구성은 전체적인 위협의 변화, SCADA에 대한 환경의 변화, 위협은 어떤 식으로 출현하는지?, 가상적인 시나리오 등과 같은 내용으로 구성 되어 있습니다. 실현 가능성이 높은 부분으로 구성을 하였고 이후의 저강도나 고강도 분쟁 발생 시에는 필수적으로 사용이 될 것이라는 개념입니다.

 

피할 수 없는 사이버 전장이고 Inevitable Cyber warfare 입니다. 현재 상태에서도 문제가 많이 드러나 있어서 정말 체계적인 준비가 필요하고 대응이 필요한데 대응은 수박 겉

Posted by 바다란

*zdnet 기고 컬럼입니다. http://www.zdnet.co.kr/ArticleView.asp?artice_id=20090216164625

 

재미라고 하기엔 두려운 SCADA & DCS

 

http://luna-see.blogspot.com/2008/03/art-skullphone-digital-billboard-in-los.html

http://www.textually.org/textually/archives/2008/03/019501.htm

 

2008 3 Skullphone 이라는 일련의 그룹이 Southern California의 디지털 전광판 10 여개 이상을 해킹하여 자신의 이미지로 변조를 한 이슈이다.  전광판을 동작 시키는 시스템을 침입하여 내용을 변조한 이슈라고 할 수 있으며 사실 국내에서도 대형 전광판에 시스템 오류가 발생 한 화면 등을 가끔 볼 수가 있다.

 

http://spoiledspongecake.typepad.com/my_weblog/2009/01/caution-zombies-ahead.html

 

2009 1월에는 텍사스 오스틴에서 발생된 도로표지판에 대한 변조가 외신을 타고 있다.

아래는 올해 2.2일에 발견된 인디애나주에서 발생된 도로표지판에 대한 메시지 변조 이슈이다.

http://nownews.seoul.co.kr/news/newsView.php?id=20090204601011

중앙에서 통제되는 시스템을 해킹 하여 도로변의 임시표지판을 해킹한 화면이며 좀비에 이어 공룡이 앞에 있다는 메시지를 나타내고 있다. 기사 중에 언급된 중앙에서 통제되고 있는 시스템이라는 부분을 의미 있게 살펴볼 필요가 있다.

 

트래픽 제어를 하는 프로토콜의 분석과 중앙통제 시스템에 직접 연결 이후 원격제어를 시연하는 Youtube 게시 동영상. ( 사실 이 동영상 하나로도 위험성에 대한 설명은 충분히 예상이 가능하지 않을까 생각된다. )

 

https://www.youtube.com/watch?gl=US&v=32JgSJYpL8o

[동영상의 상세한 내용은 중앙에서 통제가 가능한 도로 통제 시스템에 직접 접근하여 메시지 변조 및 제한속도의 변경을 원격에서 실행 하는 내용으로 볼 수 있다. 이 외에도 철도역에서의 전광판 변조 및 전환을 하는 관련 영상들도 찾아 볼 수 있다.]

 

겉으로 보기에는 단순해 보이고 재미로 보이지만 필자가 보기에는 심각한 위협들은 드러나지 않고 진화하고 발전하고 있다고 본다. 직접적인 시스템 침입을 통해 Flash 혹은 동영상을 변조한 이슈와 원격에서 통제를 하는 시스템에 대한 침입을 통해  단말 디스플레이어 역할을 하는 표지판을 직접 제어하는 이슈들이 실제에 미치는 영향은 얼마나 될 것인가? 가볍게는  출퇴근 시간의 교통신호를 전부 Green으로 했을 경우 개인이 입는 피해는 어느 정도가 될 수 있을까?  보다 심각한 이슈들은 이미 가상화된 영화에서 표현이 되었으므로 생략 하기로 하다.

 

신조어라고 할 수 있는 Fire sale ( 다이하드 4.0에서 사용된 용어 . 실제로 이런 용어가 존재하는 지 여부에 대해서는 들어 본 적은 없는 것 같다.) 의 가능성은 얼마나 될 것인가?  몇 년이나 지난 이야기 이지만 지금 이순간에도 조금씩 가능성은 높아지고 있다.

 

모든 것은 네트워크로 연결이 되어 가고 있다. 통일된 규격, 원칙, 조건 아래에서 중앙 집중식의 일원화된 관리와 통제를 위해 구성되고 다듬어 지고 있다. 그만큼 위험요소는 높아진다.  인력이 동원되어 확인 하거나 움직여야 하는 모든 부분들이 이제는 원격에서 자동적으로 확인 되는 것들로 대체가 되고 있다. 중앙의 소수 인력들로 수천에서 수만의 Agent를 통제하고 관리하는 것은 당연한 시대적 흐름이다. 또한 편리함의 이면에 존재하는 위험성도 간과를 해서는 안 되는 것이다. 

 

SCADA DCS라는 용어는 지금도 여전히 낯선 용어 이다. 실생활과 더 밀접해 지고 있는 상황임에도 불구하고 가깝게 느껴지기는 어려운 부분이라 볼 수 있다.  SCADA ( Supervisory Control And Data Acquisition ) 그리고 DCS ( Distributed Control System)에 대한 이해는 아주 오래 전부터 소수의 몇몇 전문가들에게만 전해져 왔으며 관련된 시스템에 대한 정의와 보안적인 구성도 2002년 말쯤에야 미국의 국토안보부에서 정리한 간략한 정리 문서가 최초의 문서라고 볼 수 있다.

 

국내의 최초 문서는 (http://blog.naver.com/p4ssion/50001878886  - 첨부파일) 2002년에 필자가 작성한 간략한 문서가 최초라고 할 수 있다. SCADA DCS의 관점에서 필요한 대응과 Security 이슈들을 종합하고 대응책을 제안한 내용이며 문서 제작 당시 향후 3~5년 이상 이후에 문제가 제기 될 것으로 예상하며 작성을 한 문서이다. 지금의 시점에서는 2002년 당시 보다 이해 관점에서 폭과 넓이가 많이 향상이 되었을 것으로 예상 된다.

 

2007년 무렵에 상영된 다이하드 4.0 에서도 극도로 집중화된 사회에서 발생 될 수 있는 위험을 실제적으로 보여 주고 있기는 하다. 많은 전제조건들이 필요하기는 하지만 불가능한 것만은 아니라고 본다.  이 영화에서 음미 할 수 있는 것은 일상 생활이 얼마나 많이 자동화된 기계와 집중화된 기술에 의해 통제되고 운영이 되고 있는지를 느낄 수 있다. 비록 낮은 수준의 가능성이긴 하지만..  (http://blog.naver.com/p4ssion/50020120079 )

 

 

SCADA DCS에 관련된 상식적인 내용은 위의 두 링크 게시물에서 개념적인 확인이 가능하다. SCADA DCS라는 용어에 대해 모른다고 하여도 지금의 개인과 사회의 생활에 밀접한 연관성을 지니고 있음은 당연하다. 기술의 진보와 발전은 상식적인 수준이다. 거스를 수 없는 흐름이며 효율화와 시스템화는 기업이나 산업의 생존을 위해 필수적인 상황이다. 인력으로 체계화 하기에는 너무 복잡하며 변수에 대한 처리가 어려우며 적응력이 떨어진다. 복잡화된 시스템의 효율적인 관리를 위해서는 시스템화는 필수적인 선택이다. IT 기술의 존재 이유는 여기에 있다. 더불어 초래할 위험을 보호하는 것도 당연히 진행 되어야 한다. 지금의 시대는 위험에 대한 예상과 대책은 등한시 하고 눈 앞의 성과에만 집착을 하고 있다. 보다 적은 인력으로 보다 높은 생산성을 위해 중앙집중적인 시스템화는 고려 없이 더 빠르고 깊이 있게 진행 될 것이다.

 

2002년에 만든 문서에서 일반적인 SCADA DCS 시스템에 대해 전문가와 비전문가를 가리지 않고 가지고 있는 오해라는 항목이 있다. 그 항목의 내용은 다음과 같다.

 

1.      제어시스템은 물리적으로 분리된 독자적 네트워크 상에 존재한다

 

일반적으로 분리된 독자적 네트워크 상에 존재하는 것은 사실이다. 그러나 아주 적게나마 원격에서 접속이 가능한 지점이 존재하고 기업정보시스템과의 연동의 필요성으로 인해 통합된 지점이  거의 존재한다.

 

2.      SCADA 시스템과  기업정보 시스템과의 연결에는  강한 접근제어 정책으로 보호되고 있다.

 

대부분의 경우에 SCADA시스템은 방화벽과 보호장치가 이중으로 되어 있는 구조 이나 정보시스템으로부터 혹은 외부로부터 접속이 가능한 몇몇 개의 접속지점이 반드시 존재한다. 중대사고 발생시의 Hot Line 혹은 외부에서 연결을 통한 연결지점, 정보시스템에서 정보의 활용을 위해 제어시스템과 연결이 되는 부분이 반드시 존재한다.

 

3.      SCADA 시스템을 운용하기 위해서는 특별한 지식이 필요하며 침입자가 접근하고 제어하기가 어렵게 만든다.

 

SCADA 시스템의 운영에 사용하는 소프트웨어나 제어장치에 대한 매뉴얼은 이미 전체의 70프로 이상이 인터넷 상에 공개가 되어 있다.  그러므로 이전과 같이  정보가 없어서 지식을 획득하지 못하는 일은 없다.  SCADA시스템을 제작하는 회사는 사후지원과 Update등을 위해 인터넷을 통해 다운로드 받는 형태로 매뉴얼을 제공하는데 이를 통해 충분한 지식의 습득이 가능하다.

 

위의 세 가지 오해가 일반적으로 존재하며 지금의 문제해결 방안을 위해서도 고민을 해야 하는 중요한 요점의 하나라고 볼 수 있다. 2002년의 관점에서 보다 1,2,3 항의 오해 항목들은 보다 더 보편적이고 일반적으로 오픈이 되어 있다. 재미와 흥미로 접근하는 공격자들만 존재한다고 생각하여서는 안 된다. 문제가 발생 될 가능성을 극도로 줄이는 것이 기반시설에 대한 보안의 관점이고 필요충분 조건이다. 사고의 발생은 심각할 정도로 피해 범위를 넓히기 때문에 더욱 그러하다.  지금의 현실은 어떤지 돌아 봐야 할 시점이다. 불황의 시기에는 더욱 더 잔인한 볼모를 요구한다. 디지털화된 시기에 닥쳐올 위험은 비단 오프라인상의 위험만이 심각한 사안임을 의미 하지는 않는다.

 

국내의 많은 기반시설 시스템들도 이제는 상당수가 IP기반의 시스템으로 전환 되고 더불어 원격 통제가 가능한 자동화 시스템으로 전환이 되어 있다. 2002년에 작성한 문서에서 예시를 하였듯이 일부 기반 시스템에 나타나는 문제들은 이제 거의 대부분의 영역으로 전환이 되고 있으며 향후에도 그 속도와 완성도는 더 높아질 것이 명확하다. 효율적인 관리라는 미명하에 단점과 문제점에 대한 충분한 고려 없이 진행 되는 것들은 문제를 초래하기 마련이다.  보안장비들도 문제점을 지니고 있으며 보안 체계라는 부분도 여러 가지 상황을 고려 하지 않는다면 문제를 지니게 마련이다. 최악의 상황을 상정한 계획과 방안들은 평상시에 비용 낭비로 치부되게 마련이다. 불황의 시기에는 더욱 치명적인 일들이 일어나게 마련이고 이제 그 시점들은 머지 않아 보인다. 가상적인 위협들이 아닌 실제적인 위험이라고 인식하고 준비될 때 문제의 최소화와 초기단계의 대응이 가능할 것이다.  효율화와 최적화라는 명분 아래 기반시설에 대한 보호 노력과 보안을 위한 인력과 방안들이 고려 되지 않는 것은 돌이킬 수 없는 피해를 가져 오게 될 수도 있을 것이다.

 

 

시야의 넓힘과 장기적인 관점과 확신에 의해 정책이 뒷받침 되지 않는다면 앞으로의 변화의 시기에 더욱 큰 위험은 불을 보듯 뻔하다. 아직 시작도 못한 그리고 논의도 되지 않는 그런 주제이며 가쉽거리로 언론에 노출 되고 있으나 그 내막은 심각할 정도로 두려운 과정과 결과를 의미하고 있음을 알아야 될 때이다.

 

[바다란 세상 가장 낮은 곳의  또 다른 이름]

Posted by 바다란

-zdnet 컬럼 입니다.

 

피할 수 없는 사이버전.  –p4ssion

Inevitable Cyber warfare II  2010.01

 

7년 전의 최초 문제제기는 주의와 관심을 촉구하는 것이었다면 지금의 문서는 경고의 의미를 담고 있다. 2002년에 공개문서를 처음 제작한 이후 7년이 넘는 시간 동안 상당히 빠르면서도 한편으로는 생각보다는 느리게 인터넷 세상은 발전해 왔다. 2010년이 되어 이제 전체적인 현황들과 문제들은 충분히 무르익었고 언제든 사고가 발생 된다 하여도 이상하지 않을 상황이 되었다. 이제는 지금의 상황과 지금까지의 사건들에 대해 정리하고 논의를 하는 것이 필요하다

 

2010년의 시작을 알린 보안이슈들은 국내와 국제의 이슈가 상당히 다른 차이점을 보이고 있다.

인터넷상에서의 위험은 동일한데 왜 차이가 있는 것인지 궁금할 따름이다. 국내에서는 자극적인 이슈들이나 실제적인 위험도는 극히 낮으며 이미 노출된 상태에서 자연스럽게 벌어질 수 밖에 없는 단편적인 일들이 대형 문제인양 보도가 되고 있다.

국제적으로 발생하는 이슈들은 지금 국가간의 분쟁 격화와 사이버 상의 위협으로 인해 많은 이목과 관심이 쏠리고 있으며 또한 미국은 사이버 보안을 중점적으로 추진하기 위한 핵심센터를 메릴랜드에 설립하고 본격적으로 운영을 시작하려는 시기에 뒤로 후진하는 모습이 태연하게 언론에 등장하는 것에 대해 자괴감을 느낄 뿐이다.

 

최근 몇 달간 연말연시를 기해 발생 되었던 이슈들에 대해 간략하게 정리해보자.

 

 

1. 구글 및 어도비를 포함한 30여 개 이상의 주요 회사에 대해 고도화된 공격으로 정보를 빼내가고 일부 탈취한 사건들이 있었다. 힐러리 국무장관을 통해 중국에 공식항의가 제기 되고 중국내에서의 검색사업 철수도 언급되는 등 사이버 이슈가 국가간의 논쟁으로 비화한 이슈가 있다. 새로운 취약성 즉 알려지지 않은 소프트웨어의 취약성을 이용한 공격이 국가기관이나 군사 분야에서만 이루어 지던 것이 일반기업단위로도 전이된 케이스로 볼 수가 있다. 앞으로 더 심각한 국면에 접어들 것으로 예상이 된다.

 

2. 영국의 Vispa ISP 3만 여 고객을 지니고 있는데 1월초 DDos 공격으로 인해 12시간 이상을 전면적인 운영중단 상태에 빠졌다. 이 경우는 ISP 단위에서도 처리하기가 어려울 만큼의 대규모적인 트래픽 공격이 지속 유입 되었음을 의미 한다고 볼 수 있다(http://www.theregister.co.uk/2010/01/08/vispa_ddoa/ )

 

3. 지난해 말 트위터 사이터를 마비시키고 트래픽을 전환시켜 정상서비스를 불가능하게 했던 이란의 일부 단체는 이번에 중국내 점유율 60% 이상을 가지고 있는 Baidu 검색을 대상으로 동일한 공격을 감행하여 서비스가 중단되는 사례도 발생 하였고 이 결과 중국과 이란간의 감정적인 대립이 예상 되고 있다. 제 삼자의 개입으로 인한 우호체제 혼란으로도 비춰지기도 할 만큼 국제관계에 직접적인 영향을 미치고 있다.

 

4. Citibank 내부망에 침입하여 수백만불의 예금을 인출한 사고에 대해 조사한 FBI는 러시아마피아에 의해 발생 된 것임을 확인 한 이슈도 있다. 만약 금전적인 이득을 목적으로 한 것이 아니라면 어떤 일들을 했을 수 있을까? 데이터의 소멸 혹은 뒤섞임 등등.. 혼란을 일으킬 수 있는 일들은 매우 많을 것이다.

 

 

5. 공격에 대한 대응은 늦지만 몇 년의 시간을 앞선 경험을 한 국가들이 헛힘을 쓰는 동안 ( 아쉽게도 한국도 당연히 포함된다.) 그나마 가장 빠른 대응과 체계를 구축해 가고 있는 곳은 미국이다. 해외로부터 집중되는 공격을 가장 많이 받는 곳이며 내부망까지도 자유자재로 공격을 당하는 상황을 지켜 보고서 국가차원의 대응책을 수립하고 있는 중이다. 싸이버짜르라 불리는 사이버 보안 조정관을 임명하고 FBI는 사이버 보안 전문가를 워싱턴의 책임자로 발령을 냈다.

 

수 천명에 달하는 보안 전문가를 정부 각 분야에 고용 하기 위해 채용 공고를 내고 각 분야별로 전문적인 요구 사항을 직시하여 채용을 진행 하고 있다. 보안전문가라 할지라도 모든 부분을 다 한다는 것은 불가능 하기 때문에 당연한 일이지만 분야를 세분화 하여 전문적인 기능을 살릴 수 있도록 한 것이다. 만능을 요구하고 실제로 하는 일은 동떨어진 곳과는 심각한 차이를 가지고 있다.

 

 

사이버 보안과 관련된 핵심적인 기관들을 모두 모아 중앙 통제가 가능한 형태의 센터를 메릴랜드에 세우기로 하고 협조체제를 갖추어 가고 있다. NSA, FBI, CIA 등등 미국 내의 사이버 보안 관련 모든 기관의 집합체라 불릴 수도 있을 것이다.

 

오바마 대통령은 취임이전부터 사이버 보안과 관련된 위원회를 운영하고 각 단계별로 달성 하고자 하는 플랜을 만들도록 하였다. 현재의 보안 강화 움직임은 보고서에 기반한 내용들이 실현 되는 것이다. 대통령 후보자 시절의 홈페이지의 해킹 사고를 겪은 이후 사이버 보안에 대해 막대하고 지대한 관심을 기울여 왔다. 최소한 사이버 보안에 관해서는 가장 많은 관심을 기울이고 있는 것만은 확실한 사실이다. 관심 있는 분들께서는 보고서를 살펴 보시고 앞으로의 변화를 살펴 보시는 것도 좋은 기회가 될 수 있다. 특히 Cyberspace Policy Review 보고서는 정책을 결정 하거나 판단해야 할 필요성이 있는 많은 분들에게 참고가 될 수 있는 보고서라 할 수 있다.

 

명확한 자료를 준비하도록 하고 현상을 파악한 이후 장기적인 방향성을 확인한다. 그 이후 단계적으로 이루어야 하는 과제들을 진행하여 큰 방향성을 이루어 가도록 한다. 참 쉬운 이야기 이지만 실제로 실행하기는 매우 어렵다. 확신과 의지가 없다면 절대 할 수 없다. 그런 면에서 우리의 상황은 한심하다고 조차 말하기 어렵다.

 

 

간단하게 지난해 연말부터 올해 1월 초까지 발생된 굵직한 사건들과 이슈들만 보아도 국제정세의 상당부분에 사이버 공격이 이용이 되고 있음을 볼 수 있다. 산업이나 기업의 흥망성쇠 이외에도 국가와 민족간의 분쟁을 일으키는 다양한 도구로 이용이 되고 있다. 앞으로도 계속 이럴까?

 

필자는 모든 공격기술은 그만큼 전체적인 영향력을 가진다고 생각하고 있다. 보이는 공격기술과 보이지 않는 공격기술의 개발도 충분히 이루어지고 있고 지금 이 시간에도 많은 부분들이 만들어 지고 있을 것이다. 향후의 경쟁의 승패는 공격기술 보다는 체계적인 대응에서 승부가 갈릴 수 밖에 없을 것이다.

 

저강도 혹은 고강도 분쟁에서 이제 장식용 혹은 동기 부여용의 사이버 공격이 아니라 실제적인 피해를 일으키는 공격으로 반드시 선회 할 수 밖에 없을 것이다. 7년이라는 오랜 시간 동안 종합된 문서를 작성 하지 않은 것도 때가 충분하지 않았기 때문이다. 그러나 지금은 충분하고도 넘친다.

 

 

-       기반시설 그리고 SCADA

 

2002년 이후 얼마나 많은 기반시설의 문제들과 사례들이 발견 되었는가? 관심을 가지지 않은 사람들은 모를 수 있다. 그리고 일반적으로 기반시설에 대한 문제들은 공개적으로 논의 되지 않는다. 시일이 지난 후 단편적으로 드러난 모습에 의해 개연성을 짐작할 뿐이다.

 

2003년의 블래스터웜이 인터넷 세상에 미친 영향은 기반시설 분야에도 큰 영향을 줄 수 밖에 없었다. 그리 많이 알려지지는 않았지만 오하이오 핵 발전소의 모니터링 장비들이 마비되어 핵발전소 운영이 중단된 사례는 완벽하게 분리된 망에서 존재한다는 근본전제가 맞지 않음을 의미한다. 수천, 수만 곳의 연결 통로를 일일이 다 통제하고 제한 할 수 있는 곳은 없다. 또한 완벽한 보안도 있을 수가 없다. 일부 방송으로도 알려진 항공 예약시스템의 마비, 국가 전체를 무력하게 만들었던 에스토니아 이슈들..

 

과연 우리는 지금 어디쯤에 있을까?

 

위협은 변화한다. 공격 기술도 진보한다. 데이터에 기반한 분석은 쉽다. 예상과 예측은 데이터에 기반할 때 신뢰가 생긴다. 그러나 발생되지 않은 위협에 대해 경고를 하는 것은 개인적으로는 위험을 감내해야만 한다. 그럼에도 의견을 제시하는 것은 반드시 필요한 부분들이기 때문이다. 공공의 이익, 산업적인 균형을 위해서는 경고의 소리도 귀를 기울여야 하지 않을까?

 

필자는 지난해의 글로벌 보안 위협의 변화라는 컬럼에서 변화되고 있는 위협들과 실제적인 환경들이 어떻게 달라졌는지를 설명 했었다. 그 모든 내용들은 위협이 실제 생활에 영향을 미칠 가능성이 매우 높음을 증명한다.

 

타켓화된 공격이 일반화 되고 있고 공격 도구들은 자체적인 QA (Quality Assurance – 품질관리) 를 일반적으로 한다. 여기서 QA는 백신 및 여러 다양한 침입 탐지 도구로부터 탐지가 되지 않는지 여부를 체크 하는 것을 말한다. 최소 2~30여종 이상의 백신들에 대해 테스트를 하는 것은 일반적이다. 

 

내부자에 대한 타켓화된 공격도 일반적으로 발생 되고 있고 ( 지금 구글의 케이스를 보라) 외부망에 연결된 서비스들에 대해 직접적인 공격의 강도들도 높아지고 있다. 보통 공격과 수비는 3배수의 차이가 있어야 된다는 것이 필자가 느낀 경험적 원칙이다. 공격과 수비는 일정범위내의 동일한 경험과 역량을 가지고 있을 때 방어하는 쪽은 공격자 보다 3배 이상 더 많은 신경을 쏟아야만 한다. 한 지점만을 공격하는 공격자와 수백 가지 이상의 서비스들과 구성요소들에 대한 문제 제거 방안을 강구하는 것은 차원이 다른 이야기 이다.

 

지금은 공격과 방어의 기술 격차도 있는 상황에서 제대로 막는 것은 어려울 수 밖에 없다. 정말 키워야 될 것은 경험과 역량을 갖춘 보안 전문가들이 대거 필요한 것이다. 기업에서의 실제적인 대응경험을 가지고 있고 기술적인 발전을 관찰하고 일정수준 깊이 있는 이해가 가능한 인력들을 어떻게 키우는 가에 따라 앞으로의 향방은 갈릴 수 밖에 없을 것이다.

 

보안전문가로 성장을 시키기 위해서는 정말 오랜 기간과 경험, 개인의 노력이 필수적이다. 지금 세상을 흔들고 있는 것은 기술적인 분야의 보안전문가들의 대거 출현이 필요함을 의미한다. 우리는 그 동안 얼마나 많은 보안 인력들을 키웠을까? 대응경험이 없는 전문가들.. 체계적인 방안 구축을 경험해 보지 못한 전문가들이 넘친다.

 

배는 깊은 산속으로 들어간다. 회항 하기도 어려운 골짜기 어디쯤엔가 닻을 내리고 노를 저으라 한다. 사이비 전문가들, 언론, 역량을 갖추지 못한 보안업체들 모두 문제가 생겼을 때는 외면한다. 그러다 해결의 기미 혹은 잠잠해 지기라도 할라치면 온 세상을 시끄럽게 한다. 10년 전이나 지금이나 달라진 것이 없다. 시대는 이렇게 변했는데도 말이다.

 

사실을 알려면 보이는 대로 믿어서도 안되고 들리는 대로 들어서도 안 된다. 각 분야에서의 현명한 성찰만이 지금을 보다 더 나은 상태로 만들어 갈 수 있을 것이다. 치밀한 관찰과 꾸준함만이 깊이를 만들 수 있을 것이다. 해커가 아닌 보안전문가들이 성장 할 수 있는 체계와 구조를 기대한다.

 

-       바다란

      피할 수 없는 사이버전 Inevitable Cyber warfare II

 문서 링크 (http://blog.naver.com/p4ssion/50080182814 -첨부파일)

Posted by 바다란

2002년에 Critical Alert for cyber terror ( sub: Scada & DCS Security)라는 제목의 기초적인 문서를 발표 한 적이 있습니다. (http://blog.naver.com/p4ssion/50001878886 )

 

이때 당시에는 발생 될 수도 있는 문제에 대해서 알려주는 역할을 하기 위해 작성을 한 내용입니다. 이후 오랜기간 동안 관련 분야를 주기적으로 관찰 하였고 주시 하고 있었습니다.

 

7년이 지난 시점이죠. 2009년 10월쯤에 추가적인 내용의 발표를 고려 하였고 하루 정도 시간을 내어서 만들었습니다.

 

사이버전 시나리오 공모전에 보낼 용도로 ( 상금 보다는 널리 알리고 싶었습니다. ^^) 급하게 작성을 했는데.. 등수에도 못들었죠. 아무래도 보는 관점이 많이 달라서 인듯 싶습니다.

 

전체적인 내용은 현재의 상황은 많이 급변하고 있다. 또한 충분한 시간이 지나고 그 만큼의 위험성이 실현될 가능성이 매우 높아졌다라는 점을 알리고 싶었습니다.

 

더불어 모 방송사의 관련 내용을 자문해 주면서 한번 전체적으로 정리도 하고 싶었구요.

 

문서의 구성은 전체적인 위협의 변화, SCADA에 대한 환경의 변화, 위협은 어떤 식으로 출현하는지?, 가상적인 시나리오 등과 같은 내용으로 구성 되어 있습니다. 실현 가능성이 높은 부분으로 구성을 하였고 이후의 저강도나 고강도 분쟁 발생 시에는 필수적으로 사용이 될 것이라는 개념입니다.

 

피할 수 없는 사이버 전장이고 Inevitable Cyber warfare 입니다. 현재 상태에서도 문제가 많이 드러나 있어서 정말 체계적인 준비가 필요하고 대응이 필요한데 대응은 수박 겉핧기 식으로 생색만 내고 있습니다.

 

근본적인 문제가 발생 하였을 경우 SCada 관련 부분은 치명적인 피해를 일으킬 수 밖에 없기 때문에 심각한 관심이 필요합니다. 중요한 것과 중요하지 않은 것을 구분해야 하고 핵심을 구분해야 하는데 작금의 현실과 상황 판단은 상당히 동떨어진 것으로 보입니다.

 

우리에게 닥쳐오는 위협에서 치명적인 위협은 무엇이 있고 어떤 문제들이 발생 될 수 있는지에 대해서 독자들 께서도 한번쯤 심각하게 생각을 해보시고 만약 보안분야에 계신 분이라면 체계적으로 해결 할 수 있는 부분에 대해서 고민을 하셨으면 합니다.

 

 

글쓰기는 언제나 그렇듯이 어려운 부분을 최대한 풀어 쓰도록 했고 왜 현재의 상황이 경고의 상황인지를 설명하는데 많은 부분이 할애 되어 있습니다.

 

2002년의 글은 주의를 촉구하는 내용이고 7년이 지나 만든 내용은 경고 입니다. 

 

이 예상은 앞으로도 계속 유효합니다. 향후 발생될 문제들의 이면을 잘 살펴 보시기 바랍니다.

복합적으로 발생 할 경우 돌이킬 수 없는 피해를 일으킵니다.

scada 관련된 새로운 공개문서에 대한 대략적인 개요와 경고의 의미를 담은 컬럼은 금주중 게재 될 예정입니다.

감사합니다.

 

- 바다란 세상 가장 낮은 곳의 또 다른 이름.



Posted by 바다란

*zdnet 기고 컬럼입니다. http://www.zdnet.co.kr/ArticleView.asp?artice_id=20090216164625

 

재미라고 하기엔 두려운 SCADA & DCS

 

http://luna-see.blogspot.com/2008/03/art-skullphone-digital-billboard-in-los.html

http://www.textually.org/textually/archives/2008/03/019501.htm

 

2008 3 Skullphone 이라는 일련의 그룹이 Southern California의 디지털 전광판 10 여개 이상을 해킹하여 자신의 이미지로 변조를 한 이슈이다.  전광판을 동작 시키는 시스템을 침입하여 내용을 변조한 이슈라고 할 수 있으며 사실 국내에서도 대형 전광판에 시스템 오류가 발생 한 화면 등을 가끔 볼 수가 있다.

 

http://spoiledspongecake.typepad.com/my_weblog/2009/01/caution-zombies-ahead.html

 

2009 1월에는 텍사스 오스틴에서 발생된 도로표지판에 대한 변조가 외신을 타고 있다.

아래는 올해 2.2일에 발견된 인디애나주에서 발생된 도로표지판에 대한 메시지 변조 이슈이다.

http://nownews.seoul.co.kr/news/newsView.php?id=20090204601011

중앙에서 통제되는 시스템을 해킹 하여 도로변의 임시표지판을 해킹한 화면이며 좀비에 이어 공룡이 앞에 있다는 메시지를 나타내고 있다. 기사 중에 언급된 중앙에서 통제되고 있는 시스템이라는 부분을 의미 있게 살펴볼 필요가 있다.

 

트래픽 제어를 하는 프로토콜의 분석과 중앙통제 시스템에 직접 연결 이후 원격제어를 시연하는 Youtube 게시 동영상. ( 사실 이 동영상 하나로도 위험성에 대한 설명은 충분히 예상이 가능하지 않을까 생각된다. )

 

https://www.youtube.com/watch?gl=US&v=32JgSJYpL8o

[동영상의 상세한 내용은 중앙에서 통제가 가능한 도로 통제 시스템에 직접 접근하여 메시지 변조 및 제한속도의 변경을 원격에서 실행 하는 내용으로 볼 수 있다. 이 외에도 철도역에서의 전광판 변조 및 전환을 하는 관련 영상들도 찾아 볼 수 있다.]

 

겉으로 보기에는 단순해 보이고 재미로 보이지만 필자가 보기에는 심각한 위협들은 드러나지 않고 진화하고 발전하고 있다고 본다. 직접적인 시스템 침입을 통해 Flash 혹은 동영상을 변조한 이슈와 원격에서 통제를 하는 시스템에 대한 침입을 통해  단말 디스플레이어 역할을 하는 표지판을 직접 제어하는 이슈들이 실제에 미치는 영향은 얼마나 될 것인가? 가볍게는  출퇴근 시간의 교통신호를 전부 Green으로 했을 경우 개인이 입는 피해는 어느 정도가 될 수 있을까?  보다 심각한 이슈들은 이미 가상화된 영화에서 표현이 되었으므로 생략 하기로 하다.

 

신조어라고 할 수 있는 Fire sale ( 다이하드 4.0에서 사용된 용어 . 실제로 이런 용어가 존재하는 지 여부에 대해서는 들어 본 적은 없는 것 같다.) 의 가능성은 얼마나 될 것인가?  몇 년이나 지난 이야기 이지만 지금 이순간에도 조금씩 가능성은 높아지고 있다.

 

모든 것은 네트워크로 연결이 되어 가고 있다. 통일된 규격, 원칙, 조건 아래에서 중앙 집중식의 일원화된 관리와 통제를 위해 구성되고 다듬어 지고 있다. 그만큼 위험요소는 높아진다.  인력이 동원되어 확인 하거나 움직여야 하는 모든 부분들이 이제는 원격에서 자동적으로 확인 되는 것들로 대체가 되고 있다. 중앙의 소수 인력들로 수천에서 수만의 Agent를 통제하고 관리하는 것은 당연한 시대적 흐름이다. 또한 편리함의 이면에 존재하는 위험성도 간과를 해서는 안 되는 것이다. 

 

SCADA DCS라는 용어는 지금도 여전히 낯선 용어 이다. 실생활과 더 밀접해 지고 있는 상황임에도 불구하고 가깝게 느껴지기는 어려운 부분이라 볼 수 있다.  SCADA ( Supervisory Control And Data Acquisition ) 그리고 DCS ( Distributed Control System)에 대한 이해는 아주 오래 전부터 소수의 몇몇 전문가들에게만 전해져 왔으며 관련된 시스템에 대한 정의와 보안적인 구성도 2002년 말쯤에야 미국의 국토안보부에서 정리한 간략한 정리 문서가 최초의 문서라고 볼 수 있다.

 

국내의 최초 문서는 (http://blog.naver.com/p4ssion/50001878886  - 첨부파일) 2002년에 필자가 작성한 간략한 문서가 최초라고 할 수 있다. SCADA DCS의 관점에서 필요한 대응과 Security 이슈들을 종합하고 대응책을 제안한 내용이며 문서 제작 당시 향후 3~5년 이상 이후에 문제가 제기 될 것으로 예상하며 작성을 한 문서이다. 지금의 시점에서는 2002년 당시 보다 이해 관점에서 폭과 넓이가 많이 향상이 되었을 것으로 예상 된다.

 

2007년 무렵에 상영된 다이하드 4.0 에서도 극도로 집중화된 사회에서 발생 될 수 있는 위험을 실제적으로 보여 주고 있기는 하다. 많은 전제조건들이 필요하기는 하지만 불가능한 것만은 아니라고 본다.  이 영화에서 음미 할 수 있는 것은 일상 생활이 얼마나 많이 자동화된 기계와 집중화된 기술에 의해 통제되고 운영이 되고 있는지를 느낄 수 있다. 비록 낮은 수준의 가능성이긴 하지만..  (http://blog.naver.com/p4ssion/50020120079 )

 

 

SCADA DCS에 관련된 상식적인 내용은 위의 두 링크 게시물에서 개념적인 확인이 가능하다. SCADA DCS라는 용어에 대해 모른다고 하여도 지금의 개인과 사회의 생활에 밀접한 연관성을 지니고 있음은 당연하다. 기술의 진보와 발전은 상식적인 수준이다. 거스를 수 없는 흐름이며 효율화와 시스템화는 기업이나 산업의 생존을 위해 필수적인 상황이다. 인력으로 체계화 하기에는 너무 복잡하며 변수에 대한 처리가 어려우며 적응력이 떨어진다. 복잡화된 시스템의 효율적인 관리를 위해서는 시스템화는 필수적인 선택이다. IT 기술의 존재 이유는 여기에 있다. 더불어 초래할 위험을 보호하는 것도 당연히 진행 되어야 한다. 지금의 시대는 위험에 대한 예상과 대책은 등한시 하고 눈 앞의 성과에만 집착을 하고 있다. 보다 적은 인력으로 보다 높은 생산성을 위해 중앙집중적인 시스템화는 고려 없이 더 빠르고 깊이 있게 진행 될 것이다.

 

2002년에 만든 문서에서 일반적인 SCADA DCS 시스템에 대해 전문가와 비전문가를 가리지 않고 가지고 있는 오해라는 항목이 있다. 그 항목의 내용은 다음과 같다.

 

1.      제어시스템은 물리적으로 분리된 독자적 네트워크 상에 존재한다

 

일반적으로 분리된 독자적 네트워크 상에 존재하는 것은 사실이다. 그러나 아주 적게나마 원격에서 접속이 가능한 지점이 존재하고 기업정보시스템과의 연동의 필요성으로 인해 통합된 지점이  거의 존재한다.

 

2.      SCADA 시스템과  기업정보 시스템과의 연결에는  강한 접근제어 정책으로 보호되고 있다.

 

대부분의 경우에 SCADA시스템은 방화벽과 보호장치가 이중으로 되어 있는 구조 이나 정보시스템으로부터 혹은 외부로부터 접속이 가능한 몇몇 개의 접속지점이 반드시 존재한다. 중대사고 발생시의 Hot Line 혹은 외부에서 연결을 통한 연결지점, 정보시스템에서 정보의 활용을 위해 제어시스템과 연결이 되는 부분이 반드시 존재한다.

 

3.      SCADA 시스템을 운용하기 위해서는 특별한 지식이 필요하며 침입자가 접근하고 제어하기가 어렵게 만든다.

 

SCADA 시스템의 운영에 사용하는 소프트웨어나 제어장치에 대한 매뉴얼은 이미 전체의 70프로 이상이 인터넷 상에 공개가 되어 있다.  그러므로 이전과 같이  정보가 없어서 지식을 획득하지 못하는 일은 없다.  SCADA시스템을 제작하는 회사는 사후지원과 Update등을 위해 인터넷을 통해 다운로드 받는 형태로 매뉴얼을 제공하는데 이를 통해 충분한 지식의 습득이 가능하다.

 

위의 세 가지 오해가 일반적으로 존재하며 지금의 문제해결 방안을 위해서도 고민을 해야 하는 중요한 요점의 하나라고 볼 수 있다. 2002년의 관점에서 보다 1,2,3 항의 오해 항목들은 보다 더 보편적이고 일반적으로 오픈이 되어 있다. 재미와 흥미로 접근하는 공격자들만 존재한다고 생각하여서는 안 된다. 문제가 발생 될 가능성을 극도로 줄이는 것이 기반시설에 대한 보안의 관점이고 필요충분 조건이다. 사고의 발생은 심각할 정도로 피해 범위를 넓히기 때문에 더욱 그러하다.  지금의 현실은 어떤지 돌아 봐야 할 시점이다. 불황의 시기에는 더욱 더 잔인한 볼모를 요구한다. 디지털화된 시기에 닥쳐올 위험은 비단 오프라인상의 위험만이 심각한 사안임을 의미 하지는 않는다.

 

국내의 많은 기반시설 시스템들도 이제는 상당수가 IP기반의 시스템으로 전환 되고 더불어 원격 통제가 가능한 자동화 시스템으로 전환이 되어 있다. 2002년에 작성한 문서에서 예시를 하였듯이 일부 기반 시스템에 나타나는 문제들은 이제 거의 대부분의 영역으로 전환이 되고 있으며 향후에도 그 속도와 완성도는 더 높아질 것이 명확하다. 효율적인 관리라는 미명하에 단점과 문제점에 대한 충분한 고려 없이 진행 되는 것들은 문제를 초래하기 마련이다.  보안장비들도 문제점을 지니고 있으며 보안 체계라는 부분도 여러 가지 상황을 고려 하지 않는다면 문제를 지니게 마련이다. 최악의 상황을 상정한 계획과 방안들은 평상시에 비용 낭비로 치부되게 마련이다. 불황의 시기에는 더욱 치명적인 일들이 일어나게 마련이고 이제 그 시점들은 머지 않아 보인다. 가상적인 위협들이 아닌 실제적인 위험이라고 인식하고 준비될 때 문제의 최소화와 초기단계의 대응이 가능할 것이다.  효율화와 최적화라는 명분 아래 기반시설에 대한 보호 노력과 보안을 위한 인력과 방안들이 고려 되지 않는 것은 돌이킬 수 없는 피해를 가져 오게 될 수도 있을 것이다.

 

 

시야의 넓힘과 장기적인 관점과 확신에 의해 정책이 뒷받침 되지 않는다면 앞으로의 변화의 시기에 더욱 큰 위험은 불을 보듯 뻔하다. 아직 시작도 못한 그리고 논의도 되지 않는 그런 주제이며 가쉽거리로 언론에 노출 되고 있으나 그 내막은 심각할 정도로 두려운 과정과 결과를 의미하고 있음을 알아야 될 때이다.

 

[바다란 세상 가장 낮은 곳의  또 다른 이름]

Posted by 바다란

-zdnet 컬럼 입니다.

 

피할 수 없는 사이버전.  –p4ssion

Inevitable Cyber warfare II  2010.01

 

7년 전의 최초 문제제기는 주의와 관심을 촉구하는 것이었다면 지금의 문서는 경고의 의미를 담고 있다. 2002년에 공개문서를 처음 제작한 이후 7년이 넘는 시간 동안 상당히 빠르면서도 한편으로는 생각보다는 느리게 인터넷 세상은 발전해 왔다. 2010년이 되어 이제 전체적인 현황들과 문제들은 충분히 무르익었고 언제든 사고가 발생 된다 하여도 이상하지 않을 상황이 되었다. 이제는 지금의 상황과 지금까지의 사건들에 대해 정리하고 논의를 하는 것이 필요하다

 

2010년의 시작을 알린 보안이슈들은 국내와 국제의 이슈가 상당히 다른 차이점을 보이고 있다.

인터넷상에서의 위험은 동일한데 왜 차이가 있는 것인지 궁금할 따름이다. 국내에서는 자극적인 이슈들이나 실제적인 위험도는 극히 낮으며 이미 노출된 상태에서 자연스럽게 벌어질 수 밖에 없는 단편적인 일들이 대형 문제인양 보도가 되고 있다.

국제적으로 발생하는 이슈들은 지금 국가간의 분쟁 격화와 사이버 상의 위협으로 인해 많은 이목과 관심이 쏠리고 있으며 또한 미국은 사이버 보안을 중점적으로 추진하기 위한 핵심센터를 메릴랜드에 설립하고 본격적으로 운영을 시작하려는 시기에 뒤로 후진하는 모습이 태연하게 언론에 등장하는 것에 대해 자괴감을 느낄 뿐이다.

 

최근 몇 달간 연말연시를 기해 발생 되었던 이슈들에 대해 간략하게 정리해보자.

 

 

1. 구글 및 어도비를 포함한 30여 개 이상의 주요 회사에 대해 고도화된 공격으로 정보를 빼내가고 일부 탈취한 사건들이 있었다. 힐러리 국무장관을 통해 중국에 공식항의가 제기 되고 중국내에서의 검색사업 철수도 언급되는 등 사이버 이슈가 국가간의 논쟁으로 비화한 이슈가 있다. 새로운 취약성 즉 알려지지 않은 소프트웨어의 취약성을 이용한 공격이 국가기관이나 군사 분야에서만 이루어 지던 것이 일반기업단위로도 전이된 케이스로 볼 수가 있다. 앞으로 더 심각한 국면에 접어들 것으로 예상이 된다.

 

2. 영국의 Vispa ISP 3만 여 고객을 지니고 있는데 1월초 DDos 공격으로 인해 12시간 이상을 전면적인 운영중단 상태에 빠졌다. 이 경우는 ISP 단위에서도 처리하기가 어려울 만큼의 대규모적인 트래픽 공격이 지속 유입 되었음을 의미 한다고 볼 수 있다(http://www.theregister.co.uk/2010/01/08/vispa_ddoa/ )

 

3. 지난해 말 트위터 사이터를 마비시키고 트래픽을 전환시켜 정상서비스를 불가능하게 했던 이란의 일부 단체는 이번에 중국내 점유율 60% 이상을 가지고 있는 Baidu 검색을 대상으로 동일한 공격을 감행하여 서비스가 중단되는 사례도 발생 하였고 이 결과 중국과 이란간의 감정적인 대립이 예상 되고 있다. 제 삼자의 개입으로 인한 우호체제 혼란으로도 비춰지기도 할 만큼 국제관계에 직접적인 영향을 미치고 있다.

 

4. Citibank 내부망에 침입하여 수백만불의 예금을 인출한 사고에 대해 조사한 FBI는 러시아마피아에 의해 발생 된 것임을 확인 한 이슈도 있다. 만약 금전적인 이득을 목적으로 한 것이 아니라면 어떤 일들을 했을 수 있을까? 데이터의 소멸 혹은 뒤섞임 등등.. 혼란을 일으킬 수 있는 일들은 매우 많을 것이다.

 

 

5. 공격에 대한 대응은 늦지만 몇 년의 시간을 앞선 경험을 한 국가들이 헛힘을 쓰는 동안 ( 아쉽게도 한국도 당연히 포함된다.) 그나마 가장 빠른 대응과 체계를 구축해 가고 있는 곳은 미국이다. 해외로부터 집중되는 공격을 가장 많이 받는 곳이며 내부망까지도 자유자재로 공격을 당하는 상황을 지켜 보고서 국가차원의 대응책을 수립하고 있는 중이다. 싸이버짜르라 불리는 사이버 보안 조정관을 임명하고 FBI는 사이버 보안 전문가를 워싱턴의 책임자로 발령을 냈다.

 

수 천명에 달하는 보안 전문가를 정부 각 분야에 고용 하기 위해 채용 공고를 내고 각 분야별로 전문적인 요구 사항을 직시하여 채용을 진행 하고 있다. 보안전문가라 할지라도 모든 부분을 다 한다는 것은 불가능 하기 때문에 당연한 일이지만 분야를 세분화 하여 전문적인 기능을 살릴 수 있도록 한 것이다. 만능을 요구하고 실제로 하는 일은 동떨어진 곳과는 심각한 차이를 가지고 있다.

 

 

사이버 보안과 관련된 핵심적인 기관들을 모두 모아 중앙 통제가 가능한 형태의 센터를 메릴랜드에 세우기로 하고 협조체제를 갖추어 가고 있다. NSA, FBI, CIA 등등 미국 내의 사이버 보안 관련 모든 기관의 집합체라 불릴 수도 있을 것이다.

 

오바마 대통령은 취임이전부터 사이버 보안과 관련된 위원회를 운영하고 각 단계별로 달성 하고자 하는 플랜을 만들도록 하였다. 현재의 보안 강화 움직임은 보고서에 기반한 내용들이 실현 되는 것이다. 대통령 후보자 시절의 홈페이지의 해킹 사고를 겪은 이후 사이버 보안에 대해 막대하고 지대한 관심을 기울여 왔다. 최소한 사이버 보안에 관해서는 가장 많은 관심을 기울이고 있는 것만은 확실한 사실이다. 관심 있는 분들께서는 보고서를 살펴 보시고 앞으로의 변화를 살펴 보시는 것도 좋은 기회가 될 수 있다. 특히 Cyberspace Policy Review 보고서는 정책을 결정 하거나 판단해야 할 필요성이 있는 많은 분들에게 참고가 될 수 있는 보고서라 할 수 있다.

 

명확한 자료를 준비하도록 하고 현상을 파악한 이후 장기적인 방향성을 확인한다. 그 이후 단계적으로 이루어야 하는 과제들을 진행하여 큰 방향성을 이루어 가도록 한다. 참 쉬운 이야기 이지만 실제로 실행하기는 매우 어렵다. 확신과 의지가 없다면 절대 할 수 없다. 그런 면에서 우리의 상황은 한심하다고 조차 말하기 어렵다.

 

 

간단하게 지난해 연말부터 올해 1월 초까지 발생된 굵직한 사건들과 이슈들만 보아도 국제정세의 상당부분에 사이버 공격이 이용이 되고 있음을 볼 수 있다. 산업이나 기업의 흥망성쇠 이외에도 국가와 민족간의 분쟁을 일으키는 다양한 도구로 이용이 되고 있다. 앞으로도 계속 이럴까?

 

필자는 모든 공격기술은 그만큼 전체적인 영향력을 가진다고 생각하고 있다. 보이는 공격기술과 보이지 않는 공격기술의 개발도 충분히 이루어지고 있고 지금 이 시간에도 많은 부분들이 만들어 지고 있을 것이다. 향후의 경쟁의 승패는 공격기술 보다는 체계적인 대응에서 승부가 갈릴 수 밖에 없을 것이다.

 

저강도 혹은 고강도 분쟁에서 이제 장식용 혹은 동기 부여용의 사이버 공격이 아니라 실제적인 피해를 일으키는 공격으로 반드시 선회 할 수 밖에 없을 것이다. 7년이라는 오랜 시간 동안 종합된 문서를 작성 하지 않은 것도 때가 충분하지 않았기 때문이다. 그러나 지금은 충분하고도 넘친다.

 

 

-       기반시설 그리고 SCADA

 

2002년 이후 얼마나 많은 기반시설의 문제들과 사례들이 발견 되었는가? 관심을 가지지 않은 사람들은 모를 수 있다. 그리고 일반적으로 기반시설에 대한 문제들은 공개적으로 논의 되지 않는다. 시일이 지난 후 단편적으로 드러난 모습에 의해 개연성을 짐작할 뿐이다.

 

2003년의 블래스터웜이 인터넷 세상에 미친 영향은 기반시설 분야에도 큰 영향을 줄 수 밖에 없었다. 그리 많이 알려지지는 않았지만 오하이오 핵 발전소의 모니터링 장비들이 마비되어 핵발전소 운영이 중단된 사례는 완벽하게 분리된 망에서 존재한다는 근본전제가 맞지 않음을 의미한다. 수천, 수만 곳의 연결 통로를 일일이 다 통제하고 제한 할 수 있는 곳은 없다. 또한 완벽한 보안도 있을 수가 없다. 일부 방송으로도 알려진 항공 예약시스템의 마비, 국가 전체를 무력하게 만들었던 에스토니아 이슈들..

 

과연 우리는 지금 어디쯤에 있을까?

 

위협은 변화한다. 공격 기술도 진보한다. 데이터에 기반한 분석은 쉽다. 예상과 예측은 데이터에 기반할 때 신뢰가 생긴다. 그러나 발생되지 않은 위협에 대해 경고를 하는 것은 개인적으로는 위험을 감내해야만 한다. 그럼에도 의견을 제시하는 것은 반드시 필요한 부분들이기 때문이다. 공공의 이익, 산업적인 균형을 위해서는 경고의 소리도 귀를 기울여야 하지 않을까?

 

필자는 지난해의 글로벌 보안 위협의 변화라는 컬럼에서 변화되고 있는 위협들과 실제적인 환경들이 어떻게 달라졌는지를 설명 했었다. 그 모든 내용들은 위협이 실제 생활에 영향을 미칠 가능성이 매우 높음을 증명한다.

 

타켓화된 공격이 일반화 되고 있고 공격 도구들은 자체적인 QA (Quality Assurance – 품질관리) 를 일반적으로 한다. 여기서 QA는 백신 및 여러 다양한 침입 탐지 도구로부터 탐지가 되지 않는지 여부를 체크 하는 것을 말한다. 최소 2~30여종 이상의 백신들에 대해 테스트를 하는 것은 일반적이다. 

 

내부자에 대한 타켓화된 공격도 일반적으로 발생 되고 있고 ( 지금 구글의 케이스를 보라) 외부망에 연결된 서비스들에 대해 직접적인 공격의 강도들도 높아지고 있다. 보통 공격과 수비는 3배수의 차이가 있어야 된다는 것이 필자가 느낀 경험적 원칙이다. 공격과 수비는 일정범위내의 동일한 경험과 역량을 가지고 있을 때 방어하는 쪽은 공격자 보다 3배 이상 더 많은 신경을 쏟아야만 한다. 한 지점만을 공격하는 공격자와 수백 가지 이상의 서비스들과 구성요소들에 대한 문제 제거 방안을 강구하는 것은 차원이 다른 이야기 이다.

 

지금은 공격과 방어의 기술 격차도 있는 상황에서 제대로 막는 것은 어려울 수 밖에 없다. 정말 키워야 될 것은 경험과 역량을 갖춘 보안 전문가들이 대거 필요한 것이다. 기업에서의 실제적인 대응경험을 가지고 있고 기술적인 발전을 관찰하고 일정수준 깊이 있는 이해가 가능한 인력들을 어떻게 키우는 가에 따라 앞으로의 향방은 갈릴 수 밖에 없을 것이다.

 

보안전문가로 성장을 시키기 위해서는 정말 오랜 기간과 경험, 개인의 노력이 필수적이다. 지금 세상을 흔들고 있는 것은 기술적인 분야의 보안전문가들의 대거 출현이 필요함을 의미한다. 우리는 그 동안 얼마나 많은 보안 인력들을 키웠을까? 대응경험이 없는 전문가들.. 체계적인 방안 구축을 경험해 보지 못한 전문가들이 넘친다.

 

배는 깊은 산속으로 들어간다. 회항 하기도 어려운 골짜기 어디쯤엔가 닻을 내리고 노를 저으라 한다. 사이비 전문가들, 언론, 역량을 갖추지 못한 보안업체들 모두 문제가 생겼을 때는 외면한다. 그러다 해결의 기미 혹은 잠잠해 지기라도 할라치면 온 세상을 시끄럽게 한다. 10년 전이나 지금이나 달라진 것이 없다. 시대는 이렇게 변했는데도 말이다.

 

사실을 알려면 보이는 대로 믿어서도 안되고 들리는 대로 들어서도 안 된다. 각 분야에서의 현명한 성찰만이 지금을 보다 더 나은 상태로 만들어 갈 수 있을 것이다. 치밀한 관찰과 꾸준함만이 깊이를 만들 수 있을 것이다. 해커가 아닌 보안전문가들이 성장 할 수 있는 체계와 구조를 기대한다.

 

-       바다란

      피할 수 없는 사이버전 Inevitable Cyber warfare II

 문서 링크 (http://blog.naver.com/p4ssion/50080182814 -첨부파일)

Posted by 바다란