미국 ICS-CERT는 “ICS-CERT 모니터 3/4월호”를 발행했다. ICS-CERT 모니터는 2달에 한번 발행되는 웹진으로 주요기반시설 보안 관련된 이슈와 ICS-CERT 소식을 전한다. ICS-CERT는 미국 국토안보부 소속 조직으로 담당 업무는 US-CERT와 비슷하지만 대상이 미국 주요기반시설의 산업설비 제어 시스템 사이버보안이라는 점에서 다르다.
미국 정부는 16개 산업 부문을 국가 주요기반시설로 지정하고 있으며, 이 16개 부문(화학, 상업 시설, 통신, 주요제조, 댐, 방위 산업, 응급 서비스, 에너지, 금융 서비스, 식품 및 농업, 정부 시설, 의료 및 공공 건강, 정보 기술, 원자로, 교통 시스템, 상하수도 시스템)이 ICS-CERT의 관리 대상이다.
ICS-CERT는 ICS 산업들과 협조, 보안점검 무료 제공, 보안 자가 진단툴 CSET, 사고 시 현장 출동, 정기 안전 점검 등을 수행하며 ICS 관련 취약점과 소식지 발행도 업무에 포함된다. 이번호 주요 내용을 요약해 보면 다음과 같다.
- 시스템 백업: 수도 시스템이 랜섬웨어 공격으로 암호화되어 백업으로 복구했지만 일부 데이터가 백업에 포함되지 않은 경우를 예를 들며 백업의 중요성과 효과적인 백업 요령을 강조했다. 또한 한 지방 도시의 상수도 시스템 펌프 제어 장치가 해킹을 당해 이상한 IP 주소가 유입되는 걸 발견한 시스템 관리자의 전화를 받고 사고대응팀이 현장에 출동, 악성 활동을 차단하고, 리버스 엔지니어링과 로그파일 분석으로 맬웨어를 찾아냈으며 사고 재발 방지를 위해 관련 업체들에 보안 경보를 발행한 사실을 전하며, ICS 보안은 꽂기한 하면 실행되는 솔루션이 아니라 모두의 협동이 필요하다는 것을 강조했다.
- 국토안보부 정보보호 프로그램: 해킹을 당하더라도 이 사실이 외부에 알려질까 두려워 신고하지 않는 기업들이을 위해 주요기반시설정보보호 프로그램을 소개하고 있다. 이 프로그램은 민간 업체가 중요한 보안 정보를 자발적으로 제공하는 경우 국토안보부는 연방법에 의거해 해당 정보가 외부로 노출되지 않도록 신고한 업체를 의무 보호할 것을 규정한다.
- 패스워드 중요성: 비용 절감과 키 찾는 데 드는 시간을 줄이기 위해 모든 문에 똑같은 열쇠를 사용하는 것은 여러 서비스에 동일한 패스워드를 사용하는 것과 같으며, 패스워드 설정 시는 반드시 구글에서 “Default password list” 나 “top 100 Passwords”를 검색해 이 중 하나라도 패스워드로 사용하는 경우 반드시 변경할 것을 권하고 있다.
- 우크라이나 사고 조사: 국토안보부, FBI, 에너지부 등은 작년 12월 23일 발생했던 우크라이나 발전소 사고 조사에 참여했고, 3월 31일부터 4월 29일 기간 동안 미국 내 ICS 업체에 해당 사고에 사용된 기술과 재발 방지 조치 등을 전했다.
- 현장 보안 평가: ICS-CERT는 지난 2개월 동안 총 18개 업체에 대하여 현장 보안 평가를 실시했다.
소식지는 이밖에도 지멘스, 슈나이더 일렉트릭 등 여러 제품에서 발견된 ICS 최신 취약점 정보를 제공하고 있으며, ICS-CERT 발행 FY 2015(2014.10.1 ~ 2015.9.30) 연례 보고서를 읽어볼 것을 권하고 있다.
연례 보고서는 ICS-CERT는 FY 2015 동안 총 295개의 보안 사고에 대응했으며 이는 전년도애 비해 20% 증가한 수치, 부문별로는 주요제조업(금속, 기계, 전자, 교통)이 97건의 사고 발생으로 전년도에 비해 거의 2배 증가했고, 에너지 부문, 상하수도 시스템 순이었다. 스피어피싱이 가장 많이 사용되었고(37%) 기술별로는 약한 인증, 불법 접속, 무작위 대입 공격 순, ICS-CERT가 다루었던 취약점은 총 486개, 취약점 해결에 걸린 시간은 평균 55일로 2014년도 108일에 비해 약 1/2로 단축되었다고 전하고 있다.