[논문]제어시스템의 웹 취약점에 대한 현황과 연구

김희현; 유진호

doi:10.7838/jsebs.2019.24.2.015

제어시스템의 웹 취약점에 대한 현황과 연구
A Study on ICS/SCADA System Web Vulnerability 원문보기

한국전자거래학회지 = The Journal of Society for e-Business Studies, v.24 no.2, 2019년, pp.15 - 27

김희현 (Department of Business Administration, Sangmyung University) , 유진호 (Department of Business Administration, Sangmyung University)

초록
AI-Helper

과거의 제어 시스템은 외부 네트워크와 연결되지 않은 폐쇄망이라 그 자체로 보안성을 보장 받을 수 있었으나 최근에는 관리의 편이성 등을 위해 외부로 연결시켜 놓은 사례가 많으며, 폐쇄망이라고 주장을 하나 어느 한 접점은 인터넷과 연결되어 있어 운영 중인 제어시스템이 점점 늘어나는 추세이다. 이에 따라 외부 연결로 인해 해커들이 제어시스템을 목표로 다양한 공격 시도를 할 수 있게 되었으며 다양한 보안 위협에 노출되어 공격의 타겟이 되고 있는 실정은 당연한 것이다. 외부에 연결되어 있는 산업제어시스템은 웹서비스 또는 원격 관리를 위한 원격관리 포트가 대부분 연결되어 있으며 웹 프로그램을 통한 웹 서비스의 확대는 제어시스템도 예외는 아니므로 일반적인 웹 취약점을 그대로 상속하고 있다. 본 연구에서는 공격자 입장에서 제어시스템을 대상으로 가장 많이 시도되는 웹 해킹 공격을 도출하기 위해 기존의 웹 취약점 항목을 분류 및 비교하였으며 이를 통해 제어시스템 필수 웹 취약점을 선별하였으며 또한 누락된 취약점이 있는지 검토하고 확인하고 자 하였다.

Abstract ▼ AI-Helper

In the past, the control system was a closed network that was not connected to the external network. However, in recent years, many cases have been opened to the outside for the convenience of management. Are connected to the Internet, and the number of operating control systems is increasing. As a result, it is obvious that hackers are able to make various attack attempts targeting the control system due to external open, and they are exposed to various security threats and are targeted for attack. Industrial control systems that are open to the outside have most of the remote management ports for web services or remote management, and the expansion of web services through web programs inherits the common web vulnerability as the control system is no exception. In this study, we classify and compare existing web vulnerability items in order to derive the most commonly tried web hacking attacks against control system from the attacker's point of view. I tried to confirm.

주제어

표/그림 (11)

그림 Control System Web vulnerability in large/Small/Small Classification
그림 Flow of Research on Control System Web Vulnerability
표 Weight by Vulnerability Item
표 51 Sub Categories Web Vulnerability Items
표 11 Items in Middle Class
표 51 Sub Categories Web Vulnerability Items (Continued)
그림 Vulnerabilities Corresponding to an Average of 70% of Group A and Group B
표 Vulnerabilities Corresponding to an Average of 70% of Group A and Group B
표 Additional Items
표 Final ICS/SCADA System Web Vulnerability Item
그림 ICS/SCADA　System Web Vulnerability Check Score Distribution Chart

AI 본문요약
AI-Helper

* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.

문제 정의

또한 웹 취약점의 전반적인 내용을 조사하여 제어시스템에 국한된 웹 취약점 점검을 하여할 항목을 도출하고 또한 활용될 수 있도록 연구하였다.
이를 위해 각각의 가이드나 문서가 서로 어떠한 특징과 차이점이 있는지 연구하고 대표적인 ICS 관련 사이트 두 곳의 정보를 조사하여 분석을 통해 시사점을 도출하고자 한다. 이에 따라 제어시스템에 알맞는 웹 취약점 항목을 만들어서 활용하고자 한다.

제안 방법

Group A와 Group B에 대해 각각 70% 이상 해당되는 취약점을 선별하여 취약점 5개 항목을 제어시스템의 웹 취약점 필수 점검 항목으로 선별하였다. 그리고 Group A와 Group B에 대해 각각 가중치 50%를 적용한 결과에 대한 합 평균을 구하여 70%가 넘는 취약점 14개를 웹 취약점 기본 점검 항목으로 선별하였다.
공통적인 취약점으로 분류 및 구분한 취약점 항목에 대해 앞서 설명한 OWASP TOP 10 등 각각의 10개의 가이드 및 체크리스가 해당되는 항목을 표기하였으며 이 부분에 대해 가충치 50%를 적용하였다.
구체적으로는 먼저 외부에 공개되어 있는 일반 웹 취약점의 항목을 분석하였으며, 인터넷에 공개 되어 있는 일반적인 웹 취약점 항목에 대해 그룹핑 및 단순화를 하여서 51개 항목으로 최소화하였다.
그렇지만 합 가중치가 70%가 넘지 않은 취약점 중 점검시 꼭 필요하다고 판단되는 취약점을 추가 선별하여 최종 웹 취약점 항목으로 도출하도록 하였다.
Group A와 Group B에 대해 각각 70% 이상 해당되는 취약점을 선별하여 취약점 5개 항목을 제어시스템의 웹 취약점 필수 점검 항목으로 선별하였다. 그리고 Group A와 Group B에 대해 각각 가중치 50%를 적용한 결과에 대한 합 평균을 구하여 70%가 넘는 취약점 14개를 웹 취약점 기본 점검 항목으로 선별하였다. 이 14개 기본 취약점 항목에는 필수 취약점 항목 5개를 포함하고 있다.
그리고 각각의 취약점을 취약점 별로 그룹핑하여 총 51개 웹 취약점 항목으로 소분류 하였다. 아래표의 각각의 취약점 항목 앞에 번호(1, 2, 3 …… 등)는 그래프 또는 차트의 항목을 구분하기 위하여 삽입하였다.
이 항목을 기반으로 우리가 조사한 10개의 문서나 가이드(Group A)중 7개 이상을 채택하고 있는 취약점 7개 항목을 선별하였으며, ICSCERT와 SVE 사이트(Group B)를 통해 실제 제어시스템 웹 취약점으로 보고된 항목 중 두 사이트 모두에서 채택하고 있는 취약점 17개 항목을 선별하였다. 그리고 위의 Group A와 Group B에 대해 가중치를 각각 50%로 적용하였다.
그리고, 실제 공식적으로 취약점 항목으로 발표된 ICS-CERT와 SVE의 취약점 번호를 토대로 분류한 취약점 항목에 해당 되는지 표기하였으며 이부분에 대해서도 가충치 50%를 적용하였다.
기존의 웹 취약점에 대해 공식적으로 발표된 가이드나 문서는 다수 존재하나 제어시스템의 웹 취약점에 대해서 특화되어 연구된 문서는 쉽게 찾을 수가 없어 기존의 웹 취약점에 대해 공식적으로 발표된 가이드 문서 등과 현재 실제로 보안업체에서 사용 중인 체크리스트 등을 참고하여 분석을 수행하였다.
동일한 취약점을 표현상 다르게 표기한 취약점도 모두 간소화 하거나 그룹화 하여 표기된 항목을 기준 XSS(Cross Site Script) 취약점, SQL Injection 취약점 포함 총 51개의 웹 취약점으로 각각 단순화 하였다.
마지막으로 필수 취약점과 기본 취약점, 추가 취약점을 모두 목록화 하여 제어시스템 웹 취약점 점검 항목으로 최종 선별하여 도출하였다.
앞에서 언급한 기존의 웹 취약점에 대해 발표된 가이드 문서 및 체크리스트 등을 참고하여 분석을 수행하였으며 1차적으로는 각각의 가이드에서 발표한 취약점 항목을 나열화한 뒤 공통적인 취약점을 서로 단순화하여 정리하였다.
이를 위해 각각의 가이드나 문서가 서로 어떠한 특징과 차이점이 있는지 연구하고 대표적인 ICS 관련 사이트 두 곳의 정보를 조사하여 분석을 통해 시사점을 도출하고자 한다. 이에 따라 제어시스템에 알맞는 웹 취약점 항목을 만들어서 활용하고자 한다.
중분류의 각각의 취약점 항목은 부적절한 입력값 검증, 비안전한 코드 사용, 부적절한 인증/인가, 부적절한 입력값 검증, 통신, 보안기능, 허용 권한 및 접근통제, 정보노출, 에러처리, API 오용, 공개 프로그램 취약점, 부적절한 환경 설정 등 11개 항목으로 중분류를 하였다.
지금까지 본 연구에서는 OWASP, KISA, 국정원, 안행부 등에서 발표한 가이드의 웹 취약점 항목을 비교하고 일반 웹 취약점 항목 중 제어시스템에서 필수적으로 점검하여야 할 웹 취약점 항목이 무엇인지를 분석하여 도출하였다.
총 합계 가중치를 100%로 산정하였으며 Group A, Group B 취약점 중 각각 가중치가 70%가 넘는 취약점을 제어시스템의 필수 웹 취약점 항목으로 선별하였다. 그리고 Group A, Group B의 결과 평균값이 70% 이상인 취약점에 대해 기본 웹 취약점 항목으로 선별하였다.
총 합계 가중치를 100%로 산정하였으며 Group A와 Group B에 대해 각각 70% 이상 해당되는 취약점을 제어시스템의 웹 취약점 필수 점검항목으로 선별하였다.
최초 웹 취약점 점검 항목을 그룹핑하기 위하여 앞에서 언급한 기존의 웹 취약점에 대해 발표된 가이드 문서 및 체크리스트 등을 활용하여 분석을 수행하였다. 취약점 항목을 단순화하기 위해 대/중/소 분류로 재분류를 하였으며, 제어시스템의 웹 취약점 자체를 대분류로, 중분류는 11개의 항목으로 그룹핑 하였으며, 소분류는 총 51개 웹 취약점 항목으로 선정하였다.
최초 웹 취약점 점검 항목을 그룹핑하기 위하여 앞에서 언급한 기존의 웹 취약점에 대해 발표된 가이드 문서 및 체크리스트 등을 활용하여 분석을 수행하였다. 취약점 항목을 단순화하기 위해 대/중/소 분류로 재분류를 하였으며, 제어시스템의 웹 취약점 자체를 대분류로, 중분류는 11개의 항목으로 그룹핑 하였으며, 소분류는 총 51개 웹 취약점 항목으로 선정하였다.
하지만 위의 기본 및 필수 취약점 항목에는 포함되지 않았지만 점검 시 꼭 필요하다고 판단되는 취약점 5개를 추가 선별하여 추가 웹 취약점 항목으로 선별하였다. 최종적으로 제어시스템 웹 취약점 항목으로 선별된 19개 항목이 선별되었다.

대상 데이터

그렇지만 합 가중치가 70%가 넘지 않은 취약점 중 점검 시 꼭 필요하다고 판단되는 취약점을 추가 선별하여 최종 웹 취약점 항목으로 선별하였다.
gov이다. 미국 국토 안보부 소속의 (DHS)의 국가 사이버보안 통신 통합센터 및 산업제어시스템 비상 대응팀 (NCCIC/ICS-CERT)이다.
이 항목을 기반으로 우리가 조사한 10개의 문서나 가이드(Group A)중 7개 이상을 채택하고 있는 취약점 7개 항목을 선별하였으며, ICSCERT와 SVE 사이트(Group B)를 통해 실제 제어시스템 웹 취약점으로 보고된 항목 중 두 사이트 모두에서 채택하고 있는 취약점 17개 항목을 선별하였다. 그리고 위의 Group A와 Group B에 대해 가중치를 각각 50%로 적용하였다.
하지만 위의 기본 및 필수 취약점 항목에는 포함되지 않았지만 점검 시 꼭 필요하다고 판단되는 취약점 5개를 추가 선별하여 추가 웹 취약점 항목으로 선별하였다. 최종적으로 제어시스템 웹 취약점 항목으로 선별된 19개 항목이 선별되었다.

성능/효과

또한 제어시스템 웹 취약점 시 필수 점검 항목과 기본 점검 항목의 분포를 알 수 있으며 Gruop B의 점수가 100이 되어야만 필수 점검 항목 또는 기본 점검 항목에 포함 될 수 있음을 알 수 있다. 그리고 시작점 보다 멀리 떨어져 있는 취약점이 선별되었음을 알 수 있으며, 원점에서 멀리 떨어져 있을수록 필수 또는 기본 점검항목에 채택될 가능성도 높다는 것을 알 수 있다.
또한 제어시스템 웹 취약점 시 필수 점검 항목과 기본 점검 항목의 분포를 알 수 있으며 Gruop B의 점수가 100이 되어야만 필수 점검 항목 또는 기본 점검 항목에 포함 될 수 있음을 알 수 있다. 그리고 시작점 보다 멀리 떨어져 있는 취약점이 선별되었음을 알 수 있으며, 원점에서 멀리 떨어져 있을수록 필수 또는 기본 점검항목에 채택될 가능성도 높다는 것을 알 수 있다.
부적절한 입력값 검증은 21개 취약점, 비안전한 코드 사용 취약점은 2개 취약점, 부적절한 인증, 인가 취약점은 3개 취약점, 통신 취약점 2개, 보안기능 관련 취약점 3개 취약점, 허용/권한 및 접근 통제 취약점 1개, 정보노출 취약점 2개, 에러처리 취약점 1개, API 오용 취약점 1개, 공개프로그램 취약점 3개, 부적절한 환경설정 취약점 12개로 중분류를 하였다.
위의 10개의 가이드(Group A, 가중치 50%)와 ICS-CERT와 SVE의 2개의 취약점 리스트(Group B, 가중치 50%)를 종합하였을 경우 평균 70% 이상인 취약점을 별도로 뽑아 보면 총 14개의 취약점 항목이 도출되며, 이 취약점은 제어시스템 웹 취약점 점검을 할 때 포함되어야 할 기본 항목으로 판단된다.
종합하여 보면 50%를 적용한 Group A 취약점 중 7개 이상 가이드를 채택하고 있는 취약점을 먼저 선별하였고, ICS-CERT와 SVE의 취약점 번호를 토대로 분류한 Group B 취약점 항목의 둘 다 해당되는 취약점에 대해 가중치 50%를 적용하여 웹 취약점 기본 점검 항목으로 선별하였다.

후속연구

다음 연구에서는 실제 제어시스템의 웹 취약점을 발표하는 사이트를 더 조사하여 추가하고 IoT 시스템 및 장비의 웹 취약점 항목에 대한 연구를 통해 4차 산업혁명 시대에 필요한 웹 취약점 점검 항목과 보안 가이드 개선에 대해 연구할 계획이다.
본 논문은 기존 웹 취약점을 기반으로 연구를 하였기 때문에 기존의 웹 취약점은 기본이며 이번에 연구한 제어시스템의 웹 취약점과 향후에는 IoT(Internet of Thing) 장비의 웹 취약점 항목을 연구하는 데에도 활용할 수 있을 것이며, 또한 웹 취약점 분석 및 보완대책 적용을 위한 자료로도 활용될 수 있을 것으로 기대한다.
본 연구가 제안하는 제어시스템의 웹 취약점 분석 및 평가 방법론은 제어시스템의 웹 공격에 대해 분류를 통해 취약점의 종류와 문제점을 파악하여 산업제어시스템의 안전성을 확보하고 해킹사고와 산업재해를 미연에 방지하고, 제어시스템의 웹 개발자, 운영자 및 보안관리자 등이 활용할 수 있으며, 본 연구의 결과는 제어시스템의 웹 취약성 점검 및 웹 시스템의 보안성 평가에 활용될 수 있다.
본 연구의 한계점은 Group B의 표본의 수가 CS-CERT와 SVE의 2개의 취약점 사이트만을 대상으로 선정하여 점검 사이트의 수가 작다는 한계점을 가지고 있다.

질의응답

핵심어	질문	논문에서 추출한 답변
	제어시스템이란?	제어시스템은 원격의 설비에 대하여 측정,계측 및 설비 동작 상태를 감시하고 제어하는 컴퓨터 시스템, 필드장치, 통신장치 등을 포함하는 모든 종류의 산업용 시스템을 통칭한다.
	SCADA Vulnerabilities & Exposures을 제공하는 회사의 특징은?	CRITIFENCE® 사는 중요 인프라, SCADA 및 OT(Operational Technology) 네트워크를 전문으로 하는 사이버 보안 벤더로써 SCADA 취약성 및 노출 데이터베이스(SVE)를 웹상에 제공하고 있다.
	제어시스템의 종류와 그 분류 기준은 무엇인가?	사용 환경과 운영 목적, 구조 또는 시스템 운영 형태에 따라서 에너지(가스/오일 파이프라인, 발전, 송/배전, 변전시스템, 전력거래 등), 교통(항공, 철도 산업 등), 수자원 관리 등과 같이 원거리에 있는 시스템을 원격으로 감시/제어할 수 있는 원방감시제어시스템(SCADA, Supervisory Controland Data Acquisition),일정 지역내의 제어시스템 하부설비를 단위 그룹으로 분산시켜 제어하는 분산제어시스템(DCS, Distributed ControlSystem) 또는 산업제어시스템(ICS, Industrial Control System)이라고 한다.

저자의 다른 논문 :

표제어: PCR

동의어: Packet Collision Rate

용어 설명 출처 목록 (6)

용어 설명: PCR은 세균 특이성이 있는 primer를 이용하여 적은 수의 세균이 있을지라도 쉽게 검출할 수 있는 유용한 방법이며, 이를 이용하여 구강 내 치면세균막이나 타액에서 직접 세균을 검출할 수 있게 되었다[8].

내보내기 구분	파일저장 인쇄 메일전송
구성항목	기본정보 상세정보 관리번호, 논문명, 저널/프로시딩명, 저자 , 발행년, 권, 호, 시작페이지, 끝페이지, 발행기관 관리번호, 논문명, 대등논문명, 저자 , 저널/프로시딩명, 발행기관, 발행년, 발행언어, 권, 호, 시작페이지, 끝페이지, ISBN, ISSN, 주제분야, 키워드, 초록(한글), 초록(영문), 저자(소속기관)
저장형식	Text(ASCII format) Excel format RefWorks Direct Export RIS format (for Reference Manager, ProCite, EndNote), Scholar's Aids, Mendeley
메일정보	받는사람 (필수) @ 보내는사람 (선택) @ 제목 내용 KISTI 검색결과 이메일 서비스
안내	총 건의 자료가 검색되었습니다. 다운받으실 자료의 인덱스를 입력하세요. (1-10,000) 검색결과의 순서대로 최대 10,000건 까지 다운로드가 가능합니다. 데이타가 많을 경우 속도가 느려질 수 있습니다.(최대 2~3분 소요) 다운로드 파일은 UTF-8 형태로 저장됩니다. 파일의 내용이 제대로 보이지 않을실 때는 웹브라우저 상단의 보기 -> 인코딩 -> 자동선택 여부를 확인하십시오. ~ Text(ASCII format) Excel format

연합인증