[성지은기자] "영화 '다이하드 4'를 보면 사이버 공격으로 기차, 철도, 항만 등이 마비돼 미국 일대가 아수라장이 되는 장면이 나오는데, 이런 영화 같은 장면이 현실화되고 있습니다."
허영일 NSHC 대표는 11일 서울 고려대 인촌기념관에서 열린 보안 콘퍼런스 '시큐인사이드 2016'에서 이같이 강조했다.
허영일 대표는 "제조, 금융, 플랜트 등 여러 분야에서 산업제어시스템(ICS/SCADA)을 사용하고 있는데, 이에 대한 보안 위협이 증가하고 있다"며 "사이버 전쟁은 더 이상 영화 같은 일이 아니고, 우리는 현실화된 위협에 직면하게 됐다"고 말했다.
실제 산업 보안 사고 동향을 담은 'RISI(The Repository of Industrial Security Incidents) Data'에 등록된 국가 주요 기반 시설 해킹 사례만 해도 수백개에 달한다.
허 대표는 "일부 보안 담당자들은 산업제어시스템이 인터넷에 연결돼 있지 않고 폐쇄망을 이용해 안전하다고 말하나, 폐쇄망은 절대 안전하지 않다"며 "RISI 데이터를 보면 폐쇄망인데도 제어망 쪽에 발생한 사고들이 있다"고 강조했다.
업무망과 산업 제어망 사이에 에어갭(air gap)을 둬 공간을 격리해도 이를 우회하는 방법이 존재해 보안 위협이 높다는 것.
그는 이와 관련 ▲소형 드론으로 컴퓨터에 유에스비를 꼽고 산업제어시스템을 통제하는 방법 ▲블루투스, 라디오 주파수 등 다양한 통신 채널을 통해 해킹하는 방법 등 에어갭을 우회하는 11가지 방법을 꼽았다.
이에 따라 이 같은 보안 위협에 대한 대처가 필요하다는 점을 재차 강조하고, 이를 위한 교육, 모의해킹, 솔루션 도입 등 3가지 대응책을 소개했다.
그는 "산업제어시스템 보안 위협에 대해 알아야 제대로 대처할 수 있다"며 "NSHC에서 산업제어시스템 보안과 관련된 트레이닝을 제공하는 있는데, 관심을 갖고 공부하면 좋겠다"고 말했다.
이어 "NSHC, 블랙펄 등 산업제어시스템 분야에 전문성이 있는 기업들에게 모의해킹을 맡겨 위협을 제대로 인지해야 한다"며 "모의해킹 전문가와 이야기를 나눈 뒤 기업에 맞는 솔루션을 구매해 산업제어시스템 보안 위협에 대처해야 한다"고 덧붙였다.
성지은기자 [email protected]
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기