사회기반시설을 타겟으로 한 사이버 공격에 대한 이해

게시일: 2016-08-10 l 작성자: Trend Micro

지난 한 해 동안 사회기반시설을 타겟으로 한 통합적이고 동시 다발적인 사이버 공격이 다수 발생하였다. 2015년 12월 우크라이나 지역발전소에서 발생한 원격 사이버 공격으로 인해 약 225,000명이 정전사태를 겪은 바 있다. 블랙에너지(BlackEnergy)와 같은 멀웨어는 SCADA 시스템(Supervisory control and data acquisition, 감시 제어 데이터 수집)을 타겟으로 개발되었다. 특히 공격자들은 관리 시스템 운영을 감독하는 메인 허브 역할을 하는 HMI 솔루션(Human-machine Interface, 인간-기계 인터페이스)의 액세스 권한 획득을 목표로 한다.

미 국토안보부(ICS-CERT)에서 발표한 보고서와 전 세계에서 활동하는 제로데이 이니셔티브 프로그램 분석가들이 제공한 취약점을 연구하여 HMI 솔루션 공격의 침입로를 알아볼 수 있다. 아래는 분석 내용을 요약한 그래프이다.

그림 1. SCADA HMI 솔루션에서 발견되는 주요 취약점

메모리 변조 취약점은 이러한 종류의 소프트웨어에서 가장 많이 발견되는 일반적인 취약점으로, 약 20%를 차지한다. 메모리 변조는 해당 카테고리는 스택베이스 버퍼 오버플로우(stack-based buffer overflows), 힙베이스 버퍼 오버플로우(heap-based buffer overflows), 아웃 오브 바운드 읽기와 쓰기(out-of-bound reads and writes)가 포함된다. 설상가상으로 이러한 소프트웨어 패키지의 대다수는 웹 브라우저와 같은 대중적인 소프트웨어에 적용할 수 있는 소프트웨어 취약점 공격 방지 기능을 활성화할 수 없다.

또 다른 일반적인 약점은 공격자들이 시스템 설정 변경 및 원격 코드 실행을 위해 주요 계정을 탈취하는 것이다. CVE-2015-6456은 대표적인 예이다. GE MDS PulseNET의 하드코딩된 이를 설명하기 위한 좋은 예라고 할 수 있다. 하드 코딩된 서포트 계정이다. GE MDS PulseNET은 산업 통신 네트워크 내 기기를 모니터링 하는 제품이다. CVE-2015-6456의 계정은 원격 공격자가 모든 권한을 부여 받아 시스템을 손상시킬 수 있는 접근성을 가진다. 흥미로운 것은 해당 계정은 사용자 관리 패널에 표시되지 않으며, 계정을 비활성화하기 위해서는 패치가 필수적이다.

그림 2. GE MDS PulseNet의 ge_support 계정

소프트웨어 취약점 공격의 새로운 시대로 접어들며, 이러한 SCADA HMI솔루션의 취약점은 더욱 중요해질 전망이다. 차후 관련 백서에서는 Schneider Electric, Siemens, GE, Advantech과 같은 주요 SCADA 벤더사에서 발견되는 일반적인 취약점에 대한 세부 내용을 살펴볼 것이다. HMI 솔루션 개발에 사용되는 기술의 약점을 알아보고, 기본 코드에서 중대 취약점이 어떻게 나타나는 지 살펴볼 것이다. 마지막으로, 제공된 데이터를 활용하여 SCADA 연구진에 추가적인 안내와 앞으로 SCADA HMI 취약점을 이용한 공격이 어떻게 이루어질 것인지 예상해 볼 것이다.

ICS 환경을 보호하기 위한 자세한 방법은 여기를 클릭하십시오.

원문: Understanding the Attack Surface for Critical Infrastructure