본문 바로가기
AhnLab 보안in

이란 부셰르 원전에 트러스라인이 설치되어 있었다면?

by 보안세상 2020. 4. 9.

2010.09.28

 

'갑자기 멈춰 버린 지하철, 파란 신호등만 들어와 혼란에 빠진 도로'

'한강의 모든 댐 수문이 일시에 열려 물 폭풍을 맞은 도심'

'안전 밸브가 마음대로 움직이는 송유관 시스템’.

 

한 번쯤 다이하드 4의 한 장면같은 아찔한 상상을 해보지만, 과연 이런 일이 일어나겠어? 하고 만다.
하지만 불행히도 이러한 일들이 차츰 상상이 아닌 현실 속에서 일어나고 있다.

추석 연휴의 끝 무렵 우리는 오싹한 외신을 접하게 된다.

 

'이란 핵시설 파괴 노린 컴퓨터 웜 등장'

'이란 핵시설 바이러스 감염, '다이하드 4.0' 현실로'

 

[이란 부셰르 원전 전경]

  

기사 내용을 요약하면 원자로를 파괴할 수 있는 가공할 컴퓨터 악성코드가 이란의 부셰르 핵발전소에서 발견되었다. 스턱스넷(Stuxnet)으로 불리우는 이 악성코드는 지난 7월 경부터 전세계적으로 유포되었는데(V3 진단명 Win-Trojan/Stuxnet.513536 외에도 수백개의 변형 진단) 마이크로소프트 윈도우의 알려지지 않은 제로 데이(Zero-Day) 취약점을 이용해 원자력 발전소나 송유관, 공장 생산 시설과 같은 산업 분야에서 쓰이고 있는 독일 지멘스의 소프트웨어가 설치된 시스템에 감염을 시도한 것으로 나타났다.

 

, 이로 인해 언제든 원자력 발전소의 안전 밸브를 마음대로 움직이고, 송유관의 차단 시설, 화학 공장의 안전 시설이 이 악성코드에 놀아날 수 있다는 것이다.

 

작년 DDos 공격의 악몽이 채가시지 않은 현재의 한국은 원자력 발전 뿐 아니라 전력 생산, 댐 운영, 가스 설비 등 국가 기반 시설의 대부분을 SCADA(Supervisory Control Data Acquisition)시스템에 의해 운영하고 있어 이란의 사태가 그저 주시하고 있을 남의 나라 이야기가 결코 아닌 상황이다.



허용된 프로그램만 실행 가능하게 하리라, 트러스라인(TrusLine)


이번 스턱스넷의 감염 경로를 보면 주로 USB 등 이동식 저장장치를 통해 감염되었던 것으로 나타났다.
그런데 만일 해당 컴퓨터가 허용된 프로그램만 실행되도록 보안 설정이 되어 있었다면 USB를 통해 스턱스넷 악성코드가 감염을 시도한다 해도 허용되지 않은 파일이기에 이동(복사) 자체가 막혀 어떤 문제도 발생하지 않치 않았까?

 

바로 트러스라인(TrusLine)이 이와 같은 원리를 이용한 보안솔루션이다.

 

'트러스라인'은 지난 9 14일 안철수연구소에서 출시한 가장 최신의 '산업용 시스템 전용 솔루션이다.

 

엔진에 포함된 악성코드의 시그니처를 기반으로 악성코드 여부를 판단하고 사후 처리를 하는 기존 백신과는 개념을 180도 바꾸어 접근하였다. , 해당 시스템에 실행이 허용된 프로그램(화이트리스트)을 미리 설정해 두고, 그 외 허용되지 않은 프로그램은 그것이 정상 프로그램이든 악성 프로그램이든 실행 자체를 아예 막아버리는 것이다. 같은 원리로 정보 유출 또한 원천 차단된다.

 

만약에 부셰르 원전 시스템에 트러스라인과 같은 화이트리스트 방식의 보안솔루션이 설치되어 Lock Mode로 설정되어 있었다면 USB로 이동되는 스턱스넷 악성코드는 시스템에 옮겨지지(복사)조차 못하고 막혔을 것이다.  
 

하루에도 수만개의 신종, 변종 악성코드가 생겨나고 있다. 기업 차원을 넘어 국가적 안전을 책임져야할 산업 시설, 기반 시설의 시스템들 또한 언제나 이러한 신규 악성코드에 위협받고, 이를 위해 엄청난 비용과 인력이 투자되고 있다.

하지만 생각을 바꿔 트러스라인과 같은 화이트리스트 기반의 보안 솔루션으로 대비한다면 시스템의 프로세스에 어떤 영향도 주지 않고 최고의 보안성을 확보할 수 있는 해법이 되지 않을까 싶다.


>> 트러스라인 제품 상세 정보
>> 트러스라인 집중 분석
>> '다이하드 4.0' 속 해킹, 현실성 있나?'

<Ahn>