SIGA 시큐리티 하가이 갈릴리(HagaiGalili) 최고운영책임자(COO)
[컴퓨터월드] 오로라(Aurora) 공격(일명 엘더우드(Elderwood) 공격)은 발전기와 변압기와 같은 전력망 장비의 동기화 취약점을 악용해 중요 기반 시설(CI: Critical Infrastructure)에 치명적인 장애를 유발한다.
이러한 공격은 전력망의 정상적인 운영에 필수적인 정확한 타이밍(synchronization timing)을 방해해 위험한 비동기(out-of-phase) 상태를 만든다. 이로 인해 기계적, 열적, 물리적 스트레스가 장비 내에서 발생하고, 결국 그리드 핵심 장비(grid-critical components)에 물리적인 손상을 입히는 재난적 장애(castastrophic failure)로 이어질 수 있다.
특히 오로라 공격은 전통적인 SCADA(Supervisory Control and Data Acquisition)와 같은 기존 OT 보안 시스템을 우회할 수 있어 탐지가 어렵다.
이번 기고에서는 프로세스 지향적 OT 사이버보안(Process-Oriented OT Cybersecurity)이 실시간 고해상도 모니터링(real-time high-resolution monitoring)과 머신러닝 기반 탐지 기법(advanced Machine Learning detection methods)을 활용해 오로라 공격에 어떻게 대응해야 하는지를 알아본다. 또한 오로라 공격 벡터 및 공격 단계를 이해함으로써 프로세스 지향적 OT 사이버보안 도구가 어떻게 이러한 공격을 탐지하고 중요 기반 시설의 복원력을 향상시키는지에 대해 설명한다.
역사적 시연 : 오로라 발전기 실험(Aurora Generator Test)
2007년 INL(Idaho National Laboratory)에서 수행한 오로라 발전기 실험(Aurora Generator Test)은 동기화 취약점이 얼마나 치명적인지를 보여주는 대표적인 사례다. 이 실험에서는 정확하게 타이밍이 조정된 명령을 발전기에 전송함으로써 전력망과의 동기화(synchronization)를 교란하는 방식이 사용됐다.
그 결과 몇 초 만에 발전기가 격렬하게 진동하기 시작했으며, 몇 분 만에 물리적으로 파괴됐다. 이 실험은 산업 제어 시스템(ICS: Industrial Control System)의 동기화 취약점을 악용해 주요 자본 장비(Capital Equipment)에 영구적인 손상을 줄 수 있다는 사실을 입증했다.
미국 국토안보부(DHS: Department of Homeland Security)는 이 실험 결과를 바탕으로 OT 사이버보안 강화의 필요성을 강조했다. 또한, 오로라 발전기 실험은 기존 IT 중심의 보안 접근방식으로는 OT 환경에서의 정밀한 타이밍 공격을 방어하기에 충분치 않다는 사실을 보여주었다.
오로라 공격의 구성 요소(Anatomy of an Aurora Attack)
일반적인 사이버 공격과 마찬가지로, 오로라(Aurora) 공격 역시 정찰, 악용, 영향이라는 세 가지 단계로 이루어진다.
정찰 단계에서 공격자는 동기화 지점을 식별하고 중요한 장비의 취약점을 정확히 찾아낸다. 이 단계는 목표 시스템의 타이밍 종속성을 조작하는 방법을 이해하는 데 필수적이다.
악용 단계에서 공격자는 정밀하게 조정된 명령을 보내 전력 장비(예: 발전기)와 전력망 간의 동기화를 방해한다. 이러한 명령은 위험한 비동기 상태를 유발해 장비에 기계적 스트레스를 가한다. 기존 공격과 달리, 오로라 공격은 명백한 경보를 발생시키지 않는다. 대신, SCADA 및 안전 시스템이 감시하는 허용 임곗값 내에서 미묘한 공정 값 편차를 활용한다.
마지막 단계인 영향 단계에서는 장비의 물리적 손상, 운영 중단, 심한 경우 전력망 전체의 안정성을 위협하는 연쇄적 효과가 발생한다. 기존의 SCADA 시스템은 고주파 또는 소규모 진폭 변화를 탐지하도록 설계되지 않았기 때문에, 이러한 공격을 적시에 감지하고 대응하는 데 실패하는 경우가 많다.
오로라 유사 공격의 도구와 기술
오로라 유사 공격은 산업 시스템의 취약점을 악용하기 위해 특수한 도구와 정교한 기술을 활용한다.
맞춤형 도구 (Custom Tools)
공격자는 정밀하고 시간에 민감한 명령을 실행하도록 설계된 맞춤형 스크립트나 악성 코드를 사용할 수 있다. 이러한 도구들은 종종 모드버스(Modbus) 또는 DNP3과 같은 산업용 통신 프로토콜의 취약점을 목표로 하며, 이는 중요한 인프라 환경에서 일반적으로 사용된다.
고급 기술 (Advanced Techniques)
동기화 방해는 시간에 민감한 명령을 통해 이루어질 수 있으며, 이는 장비 작동에 지연 또는 불일치를 유발한다. 또한 위상각 또는 주파수 조작을 통해 기계적 부담을 초래하고 궁극적으로 하드웨어 손상을 유발하는 조건을 형성하는 방법도 사용한다.
기존 보안 방식에서 프로세스 지향적 OT 사이버보안으로 전환
기존 OT 보안 도구(IDS, 방화벽 등)는 네트워크 기반 위협(Network-Based Threats) 탐지에는 효과적이지만, 오로라와 같은 정밀한 동기화 교란 공격에는 취약하다.
NIST 사건 대응(IR: Incident Response) 프레임워크는 사이버보안 사고에 대한 대응을 네 가지 단계로 구분한다. 준비, 탐지 및 분석, 격리/제거/복구, 그리고 사건 이후 활동이 그것이다.
1. 준비(Preparation)
준비 단계에서는 잠재적인 사이버 공격에 대응하기 위해 계획을 수립하고, 훈련을 수행하며, 필요한 자원을 준비한다. 이는 때때로 IR 플레이북을 준비하는 과정이기도 하다.
방화벽과 IDS(침입 탐지 시스템)와 같은 IT 방어 시스템에 집중하는 반면, 물리적 프로세스의 취약점은 간과하는 경우가 많다. 오로라(Aurora)와 같은 타이밍 기반 공격은 이러한 맹점을 악용해 동기화 및 프로세스 수준의 운영을 공격한다. 많은 조직이 이에 대비하지 못한 채, 특수 훈련, 도구, 비상 계획이 부족해 중요한 인프라를 위험에 노출하고 있다.
2. 탐지 및 분석(Detection and Analysis)
전통적인 IDS와 같은 도구는 네트워크 이상 징후를 탐지할 수 있지만, 위상각 변화, 차단기 타이밍, 주파수 편차와 같은 중요한 물리적 지표를 모니터링하지 않는다. 이러한 지표는 동기화 기반 공격을 식별하는 데 필수적이다. 대표적인 사례로, 2007년 아이다호 국립 연구소(Idaho National Laboratory)에서 실시한 ‘오로라 발전기 테스트(Aurora Generator Test)’가 있다.
이 테스트에서 악의적인 명령어는 HMI(제어 소프트웨어) 및 안전 시스템에서 정상적인 운용 입력처럼 보였기에 탐지되지 않았다. 해당 사례는 위협을 보다 효과적으로 감지하기 위해 전통적인 네트워크 분석과 프로세스 수준 모니터링을 통합해야 할 필요성을 강조한다.
3. 격리, 제거 및 복구(Containment, Eradication, and Recovery)
격리, 제거 및 복구 단계에서는 사고를 중단시키고, 근본 원인을 제거하며, 안전하게 운영을 복구하는 것을 목표로 한다.
전통적으로 이 단계에서는 감염된 네트워크 시스템을 격리하는 데 집중하지만, 물리적 프로세스의 운영 상태는 종종 간과되는 경향이 있다. 실시간 동기화 지표에 대한 통찰이 부족하면, 운영자는 영향을 받은 구성 요소를 효과적으로 분리하고 기계적 추가 손상 없이 안전하게 복구하는 데 어려움을 겪는다.
효과적인 복구를 위해서는 네트워크 수준뿐만 아니라 프로세스 수준의 운영까지 다룰 수 있는 도구가 필요하며, 이를 통해 시스템을 완전하게 복원하고 재발을 방지해야 한다.
4. 사건 이후 활동 (Post-Incident Activity)
사건 이후 활동은 지속적인 개선을 보장하기 위해 공격의 문제점 및 전개 방식, 대응 시간을 단축하고 개선하는 방법을 평가하는 과정이다.
그러나 분석 대부분이 네트워크 취약점에 초점을 맞추는 반면, 동기화 기반 공격에서 중요한 역할을 하는 프로세스 수준의 이상 징후는 간과하는 경우가 많다. 이러한 제한된 시각은 조직이 유사한 사고를 방지하기 위한 포괄적인 전략을 개발하는 것을 어렵게 만든다.
네트워크 및 물리적 프로세스 교란에서 얻은 교훈을 통합함으로써 보다 거시적인 방어 전략을 수립할 수 있으며, 이는 조직이 미래의 위협에 대비하는 데 도움을 준다.
오로라 공격에 대한 프로세스 지향적 OT 보안 대응 방식
프로세스 중심의 OT 사이버보안(Process-Oriented OT Cybersecurity)은 초점을 프로그래밍 가능한 계층(1~4단계)에서 프로그래밍이 불가능한 물리적 프로세스 계층(0단계)으로 이동한다.
이 계층은 실제 기계 및 물리적 프로세스가 발생하는 곳으로, 예를 들어 발전기와 전력망의 동기화 또는 밸브의 작동이 이루어지는 곳이다.
단계를 직접 모니터링함으로써 조직은 기존 네트워크 방어 시스템이 관찰할 수 없는 물리적 동작의 미묘한 이상 징후, 예를 들어 장비의 불규칙한 진동이나 시스템 타이밍의 예상치 못한 변화를 감지할 수 있다.
이 접근 방식은 시스템의 운영 무결성에 초점을 맞춘 중요한 방어 계층을 추가해 상위 계층의 모니터링을 보완하며, 오로라와 같은 위협이 치명적인 피해를 초래하기 전에 식별하고 대응할 수 있도록 한다. 특히 NIST IR 프레임워크의 네 가지 단계를 통해 오로라 유사 공격에 대한 포괄적인 보호를 제공한다.
1. 준비(Preparation): 프로세스 중심 솔루션은 위상각 편차 및 차단기 타이밍 이상과 같은 프로세스 수준의 취약점을 고해상도로 매핑(Mapping)하는 것을 포함해 준비 작업을 확장한다. 훈련 프로그램은 오로라 유사 공격을 시뮬레이션해 운영자가 타이밍 기반 위협을 탐지하고 완화하는 데 필요한 기술을 습득하도록 한다.
2. 탐지 및 분석(Detection and Analysis): 고주파 모니터링 시스템은 10Hz 이상의 속도로 프로세스 데이터를 수집해 동기화 이상을 조기에 탐지할 수 있도록 한다. 프로세스 수준 데이터와 네트워크 수준 데이터를 통합함으로써 운영자는 실시간으로 이상 현상을 분석하고 대응할 수 있는 실행 가능한 통찰력을 얻는다.
3. 격리, 제거 및 복구(Containment, Eradication, and Recovery): 프로세스 중심 OT 사이버 보안은 운영자가 동기화 매개변수를 세밀하게 파악할 수 있도록 해 손상된 시스템을 격리하고 시간 지연이 있는 동기화 점검 릴레이(synchronism check relays)와 같은 완화 조치를 취할 수 있도록 한다. 이러한 조치는 오로라(Aurora) 취약점의 핵심 악용 요소를 무력화하는 데 활용될 수 있으며, 운영에 미치는 영향을 최소화하면서 신속한 시스템 복구를 지원한다.
4. 사건 이후 활동(Post-Incident Activity): 사건 이후 검토는 프로세스 수준 데이터를 통합해 이상 징후의 근본 원인을 식별하고 완화 전략을 개선하는 데 활용된다. 조직은 이러한 통찰력을 활용해 사건 대응 계획을 업데이트하고, 훈련 프로그램을 강화하며, 네트워크 및 프로세스 수준 방어를 더욱 견고하게 만들 수 있다.
결론: 프로세스 중심 사이버보안으로 전력망 보호하기
오로라 공격은 중요 인프라 시스템의 타이밍 취약점을 악용해 전통적인 방어 체계로는 감당할 수 없는 치명적인 장애를 초래한다.
프로세스 중심 OT 사이버보안은 NIST IR 프레임워크의 네 가지 단계를 기반으로 포괄적이고 선제적 대응 방안을 제공한다.
준비(Preparation) 단계를 강화함으로써 조직은 동기화 취약점을 식별하고, 타이밍 기반 위협을 탐지하는 방법을 팀에 교육할 수 있다. 탐지 및 분석(Detection and Analysis) 단계에서는 실시간 고주파 모니터링을 통해 기존 도구로는 감지할 수 없는 미묘한 이상 징후를 포착할 수 있다. 격리, 제거 및 복구(Containment, Eradication, and Recovery) 과정에서 프로세스 중심의 인사이트를 활용하면 운영자가 위협을 무력화하고 시스템 무결성을 효율적으로 복원할 수 있다.
마지막으로 사건 이후 활동(Post-Incident Activity)에서는 프로세스 수준 데이터를 반영해 사건 대응 계획을 업데이트하고, 훈련 프로그램을 강화할 수 있다.
프로세스 수준 데이터와 네트워크 수준 데이터를 통합하는 데 중점을 두는 프로세스 중심 사이버보안은 운영의 전체적인 관점을 제공해 탐지, 대응, 복구 역량을 강화한다.
오로라 유사 공격이 초래하는 특정 위험을 해결함으로써 이 접근 방식은 변화하는 위협 환경 속에서 중요 시스템의 복원력을 보장한다.
조직이 점점 더 정교해지는 사이버 위협에 직면하는 상황에서 프로세스 중심 전략을 채택하는 것은 전력망을 보호하고 필수 인프라를 안전하게 유지하는 데 필수적이다. 한편 시가(SIGA) 제품은 국내 공식 대리점인 케이디시스에서 공급하고 있다.