OT 네트워크 평가를 통해 배운 점

1. 보안 위험 식별

고객은 OT 네트워크를 보면서 저희에게 이렇게 묻곤 합니다. "지금 우리의 위험한 보안 요소는 무엇이라고 생각하십니까?"

수년 간 쌓아온 전력망 사이버 보안 지식과 전력 유틸리티 자동화 및 SCADA 네트워크에 대한 20년 간의 경험이 있는 저희조차도 이 질문에 답하는 것은 여전히 어려웠습니다.

저희는 이 질문에 대한 만족스러운 답변을 찾기 위해 지난 3년 간(2017~2020) 스위스에서 인도, 미국에서 나미비아에 이르기까지 모든 대륙에 있는 발전소와 변전소를 평가했습니다. 그 과정에서 얻게 된 사이버 보안 및 기능 모니터링 경험은 OT 환경의 보안에 대한 새로운 접근 방식을 개발하는 데 밑거름이 되었습니다. 전력 유틸리티 자동화 네트워크 보호란 사이버 보안에만 국한되는 것이 아니기 때문입니다.

기능적 보안과 지속적인 운용성은 전체 보안 개념에서도 중요한 역할을 합니다. 올바르게 작동하는 SCADA 및 변전소 자동화 시스템(SAS)과 관련된 모든 요소를 결합하여 적용할 때에만 일반적인 보안 개념을 만들 수 있고, 이보다 더 중요한 것은 그러한 개념을 유지할 수 있다는 것입니다.

현재 저희는 StationGuard를 우리 제품이라고 자랑스럽게 말합니다. 이 시스템은 SAS 및 제어센터의 사이버 보안을 유지할 수 있을 뿐만 아니라 이전에는 불가능했던 수준의 정확성과 사용성을 통해 OT 네트워크 보안을 평가할 수 있는 IDS(침입 탐지 시스템)입니다.

다음 제시된 내용에 대해 자세한 설명을 확인할 수 있습니다.

저희가 제어센터, 발전소 및 변전소 네트워크에 대한 보안 평가를 제공하는 이유,
무료로 제공하는 이유, 그리고
가장 흥미로웠던 발견 중 일부입니다.

2. OT 네트워크 보안 평가

보안 평가에 StationGuard를 추가하기 전에 OMICRON 엔지니어는 많은 SAS, 발전소 및 제어센터 네트워크를 테스트하고 평가했습니다. 침투 테스트를 수행하고, 보안 네트워크 아키텍처 개발을 지원하고, 변전소에 대한 보안 OT 엔지니어링 절차 작성을 지원하고, 발전소에서 위험 평가를 수행했으며 그 외에도 여러 가지를 수행했습니다. 이 과정에서 얻어진 지식은 StationGuard IDS 개발에 사용되었습니다.

그 덕분에 보안 평가는 간단하고 이해하기 쉬우며 복잡하지 않습니다. 정기적으로 유틸리티의 IT 네트워크와 수렴되는 OT 환경의 사이버 보안에 대한 가장 중요한 문제를 완전히 드러낼 수 있습니다.

2020년 말, 한 동료가 StationGuard를 사용하는 고객 중 한 곳에 대한 보안 평가 보고서를 작성해 달라고 요청했습니다. 저는 유틸리티의 네트워크 아키텍처에 익숙했고 고객에게 엔지니어링 파일을 받았습니다. 이러한 문서는 현장에서 평가를 계속하기 전에 보안 평가에서 항상 이용하는 기초 자료입니다.

평가 기간이 끝나고 고객에게 조사 결과를 발표했습니다. 보안 평가서에 수록되는 내용은 대체로 다음과 같습니다.

네트워크에서 통신하는 모든 장치의 전체 목록,
네트워크에서 발견된 'unusual(비정상적)' 서비스 목록,
자동화 또는 SCADA 시스템에서 발견한 기능적 문제.

첫 번째 보안 평가에서 얻은 데이터는 변전소 엔지니어와 IT 전문가 모두에게 매우 예상하지 못한 것으로 판명되었습니다. 저희가 평가한 위험 중에는 눈에 띄지 않는 여러 외부 연결, 네트워크의 예기치 않은 장치, 구식 펌웨어, 실패한 RTU 작업, 구성 오류, 네트워크 및 이중화 프로토콜(RSTP) 문제가 있었습니다.

그 후 수년 간, 저와 동료는 전세계를 대상으로 변전소뿐만 아니라 IEC 61850, IEC 60870-5-104, DNP3, Modbus TCP/IP 및 기타 많은 IT 프로토콜이 있는 유틸리티를 포함하여 발전소 및 제어센터에 대해 많은 보안 평가를 수행하고 개선했습니다.

보안 평가 결과는 항상 매우 흥미롭고 때로는 놀랍기까지 했습니다.

3. 보안 평가 결과

저와 동료들이 농담 삼아 'emotional assets'이라고 부르는 IED(지능형 전자 기기)는 RTU의 예기치 못한 쿼리, 구성 오류, 통신 문제에 잘못 반응할 수도 있습니다.

저희는 보안 평가에서 플랜트 네트워크의 여러 보안 위험을 찾곤 합니다. 다음은 가장 자주 발생하는 보안 위험입니다.

IED 및 스위치에 직접 액세스하는 문서에 포함되지 않은 외부 연결,
알려진 취약점이 있는 구식 펌웨어,
미사용 서비스,
승인 받지 않은 접근.

일반적으로 위와 같은 보안 문제는 다음과 같은 기능적 문제 때문에 발생합니다.

IED, RTU 및 네트워크 스위치 구성 문제,
시간 동기화 실패,
네트워크 다중성 문제.

경험에 따르면, 대부분의 제어센터와 플랜트 네트워크는 시운전 후 원활하게 작동해도 몇 년 또는 몇 개월이 지나면 문제가 발생합니다. 분명히 잘 작동하는 자동화 또는 SCADA 시스템에도 근본적인 문제가 있을 수 있습니다.

예를 들어, RST(Rapid Spanning Tree) 다중성 구성의 문제로 인해 10초마다 자체적으로 재구성되는 네트워크가 있었습니다. 이 경우 더 많은 대역폭이 필요할 때 그리드에서 오류가 발생하면 중요한 문제를 일으킬 수 있습니다. 결국 이러한 문제는 오류를 초래할 수도 있으며 장애 및 사이버 공격의 위험을 내포하고 있다는 뜻이 됩니다.

다음은 최근 몇 년 간 자주 발견한 위험을 정리한 것입니다.

3.1. 미사용 서비스

PC, IED 또는 RTU의 사용자 인터페이스를 보면 네트워크를 모니터링할 때까지 네트워크에서 어떤 통신이 발생하고 있는지 알 수 없습니다. 개방/미사용 서비스는 해커가 자동화 또는 SCADA 시스템을 공격할 기회를 불균형적으로 증가시킵니다. 다행히도 저희는 네트워크에서 통신하는 다음과 같은 미사용 서비스를 쉽게 탐지할 수 있습니다.

다음은 저희가 발견한 일반적인 미사용 서비스의 예입니다.

IPv6: 대부분 PC에서 활성화되지만 때로는 IED에서도 활성화됩니다. IPv6은 실제로 사용된 적이 없지만 네트워크에서 여러 공격 벡터를 제공합니다.
Windows 파일 공유: 파일 공유 서비스가 PC와 Windows 기반 RTU 및 게이트웨이에서 항상 활성화되었지만 사용되지 않았습니다.
소프트웨어 라이선스 서비스: 이 서비스는 PC 및 Windows 기반 게이트웨이에서 관리자 권한으로 실행되지만 격리된 플랜트 네트워크에서는 의미가 없습니다. 하지만 엔지니어링 도구와 일부 HMI 소프트웨어와 함께 사전 설치되어 있습니다. 이 서비스에 대해서는 몇 가지 치명적인 취약점이 알려져 있습니다.
CoDeSys 게이트웨이 서버는 발전소 및 변전소의 중요 IED에서 연중무휴로 작동하는 PLC 프로그램 개발 환경을 위한 서비스입니다. 이 서비스에 대해 알려진 몇 가지 치명적인 취약점도 있습니다.
PTPv2: 이 서비스는 사용하지 않더라도 일부 산업용 스위치에서는 기본적으로 활성화되어 있습니다.

단순히 이러한 서비스를 끄기만 해도 자산의 사이버 위험이 낮아집니다.

3.2. 외부 연결

기업 IT 네트워크에서 원격으로 연결된 발전소 및 제어센터는 언제나 사이버 공격의 위험이 가장 높습니다. 2021년에 제가 평가했던 남아메리카 변전소 네트워크의 예를 살펴보겠습니다.

이 보안 평가에서는 변전소에 있는 IED 및 스위치의 웹 서비스를 사용하는 외부 IP 주소가 있는 여러 클라이언트의 활동을 포착했습니다. 이 유틸리티를 통해 엔지니어는 원격 연결(VPN 터널)을 사용하여 집에서 IED를 연결하고 구성할 수 있습니다.

IT 보안 담당자와 관련하여 알게 된 것 중 하나는 팀원 중 누구도 인식하거나 문서화하지 않았던 IP 및 MAC 주소였습니다. 결국에는 저희가 IP 주소를 추적하고 이 연결의 출처를 찾아 시스템에 대한 액세스를 차단할 수 있었습니다.

VPN 터널, 방화벽, RBAC 등 변전소가 제공하는 모든 최신 보안 조치에도 불구하고 상당한 보안 위험이 남아 있었습니다. 구조 문제 외에도 너무 많은 연결과 문서화되지 않은 연결이 있었습니다. 저희는 보안 평가를 통해 그러한 연결을 가시화했고 유틸리티는 그 연결을 점검했습니다.

3.3. 알려진 취약점이 있는 구식 펌웨어

보안 평가를 할 때마다 유틸리티에서 구식 펌웨어 버전이 발견되었습니다.

저희는 평가의 일환으로 유틸리티 엔지니어와 IT 전문가에게 수동적으로 발견된 설비 인벤토리를 제공합니다. IEC 61850 SCL 프로젝트 파일 및 CSV 인벤토리 목록 등 엔지니어링 파일을 가져와서 소프트웨어 버전, HW 구성 및 일련 번호 등 세부 정보로 설비 정보를 증강합니다. 이 설비 인벤토리는 취약성 및 위험 분석을 수행하기에 좋은 기반이 됩니다.

3.4. SCADA 통신 구성 오류

RTU 및 SCADA 장치를 잘못 구성하면 현장에서 중요한 이벤트가 발생하는데 이 이벤트는 제어센터로 전송되지 않고 통신 속도가 느려지게 합니다.

일례로 저희가 방문했던 유럽의 한 변전소는 MMS 보고서 구성에 구성 오류가 있었습니다. 보고서가 잘못된 클라이언트 IP 주소로 전송되도록 구성되어 있었습니다.

이러한 구성 오류를 해결하자 IED 통신 속도가 확실히 향상되었습니다. 문제 그 자체는 보안 위협이 아니었지만 통신 속도가 느려져 운영 위험이 발생하고 응답 프로세스가 방해를 받을 수 있었습니다.

3.5. 구성 변경 탐지

OT 환경의 중요한 설비에 대한 구성 변경 탐지 방법은 여러 가지가 있습니다.

미국의 한 변전소에서는 GOOSE 메시지가 잘못 구성된 것을 탐지했습니다. 이 문제는 두 사람이 장치 구성을 다르게하여 발생했습니다. 결과적으로, 엔지니어 간의 통신이 부족하여 이러한 OT 장치 간의 통신 문제가 발생했습니다.

변전소의 특정 원격 명령 활동이 유효하지 않은 인터록 조건 때문에 올바르게 작동하지 않는 것을 발견했습니다. 이 변전소는 긴급 상황에서 원격으로 스위치기어를 작동할 수 없었을 것입니다. 고객이 놀란 것은 저희가 보안 평가 중에 발견하기 전까지는 문제의 존재조차 몰랐다는 사실이었습니다.

저조차도 많이 놀랐습니다. GOOSE 통신의 이러한 작은 문제가 공장에 더 큰 문제를 일으킬 수 있음을 보여주었습니다.

따라서 저희의 지식을 확대하고 발전소, 변전소 및 제어센터의 다른 직원과 연락하기 위해 이러한 기본 보안 평가를 무료로 계속 제공합니다.

4. 무료 보안 평가의 이점

사이버 보안 책임자, 제어 및 보호 엔지니어, 네트워크 엔지니어, 관리자, 시스템 통합업체 또는 제어센터, 발전소 또는 변전소에서 근무하는 사람 등 직무에 관계없이 그러한 보안 평가가 가치가 있는 이유를 추가로 보여드리겠습니다.

4.1. OT 네트워크의 타사 사용자

많은 업체가 SAS 및 기타 OT 네트워크의 시운전(및 유지보수)에 크게 관여하고 있다는 것은 공공연한 사실입니다. 위에서 언급했듯, 현장에 다른 엔지니어링 그룹이 있으면 OT 시스템을 지속 가능하게 유지하는 데 문제가 발생할 수 있습니다.

타사에서 시스템을 잘못 구성하고 연결이 개방된 채로 두었다는 불만을 많이 들었습니다. 유틸리티가 제대로 작동하도록 하려면 이러한 혼란을 관리하고 시스템이 지속적으로 운영될 수 있도록 주의를 기울여야 합니다. 이러한 위험 요소를 관리하는 데에는 시간과 비용이 많이 소요되고 자원이 낭비 되는 경우도 있습니다.

저희 보안 평가는 설비와 위험을 효과적으로 식별하고 장기적으로 발생하는 비용을 피하기 위해 타사가 관련되는 유틸리티 운영을 지원합니다.