스마트 그리드가 진화하면서 보안 위험성 급증
스마트 그리드가 우리 생활 전반으로 빠르게 확대되고 있다. 미국에서는 2007년 이후로 약 3600만 대의 스마트 미터가 설치되었다.1 유럽 지역에서는 이탈리아2와 스웨덴3에서 전부 스마트 미터 설치로 교체하였다. 스페인4 또한 스마트 미터 설치를 적극적으로 확대하고 있으며 나머지 유럽 국가들 및 아시아 지역 국가들 역시 조만간 대규모로 스마트 미터를 설치할 움직임을 보이고 있다. 북미 유럽 중국의 전력 회사들은 통신 기능이 가능한 라인 센서 및 분배 컨트롤러 같은 스마트 가능 장비들을 이용해서 자사 분배 자동화(distribution automation) 인프라를 활발히 업그레이드하고 있다. 세계 경제가 비교적 저조한 가운데서도 스마트 그리드 프로젝트는 성장 잠재력이 높으며 인프라 쇄신을 가능하게 한다.
By Dave Andeen Strategic Segment Manager for Energy Maxim Integrated
성공적이라는 단어는 시스템의 일상적인 작동에 대해서 안심해도 될 것 같은 생각이 들게 한다. 앞으로 이러한 시스템이 더 많이 더 빠르게 구축될 것으로 전망되는데 이러한 변화가 장기적으로 어떤 효과를 일으킬 것인지에 대해서는 민감한 질문을 피하려고 하고 있다. 진화하는 스마트 그리드와 관련해서 민감한 질문 중의 하나가 보안이다. 어디에 필요한가? 얼마나 많이 설치해야 충분한 것일까? 최근에 내가 아는 한 전직 전력회사 직원은 “우리가 모든 전기 계량기와 전력망 인프라를 네트워크로 연결한다면 누군가 컴퓨터 바이러스를 작성하고 전체 전력망을 다운시킬 수 있지 않을까?”라고 물었다. 이에 대한 내 대답은 “그렇다”는 것이었다.
이와 같은 스마트 그리드 보안 문제에 대한 해답을 모색하는 데 도움이 되도록 이 글에서는 2건의 최근에 잘 알려진 보안 침해 사례와 보안 공백에 관한 보고서에 대해서 살펴보도록 하겠다. 이들 사례는 2009년 푸에르토리코에서 일어났던 스마트 미터 해킹 사건 2012년의 전력망 분배 장비 패스워드 노출 사건 분배 자동화 장비에서 개인 키를 위험하게 저장한 경우이다. 이 글에서는 이들 각각의 공격에 대해서 침해의 과정 위험성 이러한 공격을 막을 수 있도록 하는 전체적인 보안 전략의 일부로서 보안 실리콘 기법에 대해서 살펴본다.
보안 위험성 급증
컴퓨터 바이러스가 전체적인 전력망을 다운시킬 수 있느냐 하는 문제는 상당한 논의를 필요로 하는 또 다른 문제이므로 이 글에서는 다루지 않도록 하겠다. 뿐만 아니라 보안 분야는 특성적으로 위험성과 최악 상황 시나리오들로 둘러싸여 있다. 현재로서 대다수 스마트 미터 통신은 질의-응답(query-and-respond) 방식으로 이루어진다. 이 방식은 데이터 교환이 단순하고 최소한의 제어 기능을 이용한다. 분배망에서의 중요한 스위칭은 각기 다른 네트워크에 걸쳐서 이루어지며 고압 전압에 의해서 보호된다.
하지만 스마트 그리드가 우리 생활 전반으로 빠르게 확대되고 있다. 실제로 스마트 그리드가 빠르게 확대되면서 하드웨어 및 사이버 공격의 가능성이 높아지고 있다. 모든 통신 네트워크와 마찬가지로 연결성은 더 높은 대역폭을 활용하는 기능과 애플리케이션을 가능하게 하고 시스템 기능을 액세스하는 것을 편리하게 한다. 상호운용성을 달성하기 위해서 IP(Internet Protocol)를 이용하는 추세가 높아지고 있는데 그러면 낮은 비용으로 동작하는 견고한 네트워크를 구축할 수 있으나 대신에 인터넷에서처럼 공격에 취약해지게 된다. 기업 데이터에서와 마찬가지로 이제 스위칭 원격 차단 볼트/VAR 최적화 등과 같은 주요 전력망 기능들을 이러한 네트워크로 이전하게 될 것이다. 이렇게 하는 것은 분명히 전력망으로서 경이적인 기술적 진보인 것이 확실하지만 이와 함께 새로운 취약성을 불러일으킨다.
스마트 미터와 전력망 분배 통신이 더 넓게 확대될수록 주요 위협의 가능성에 대비해야 하는 필요성 또한 높아진다. 그러기 위해서는 스마트 그리드에서 이미 일어난 보안 침해 사례들을 살펴보아야 한다. 이들 사례로부터 어떤 교훈을 얻을 수 있을 것인가? 이러한 공격과 그리고 앞으로 일어날 가능성이 있는 공격을 막기 위해서는 스마트 그리드로 예방적으로 어떠한 보호 조치들을 설계해야 할 것인가? 다음에서는 이러한 문제들에 대해서 살펴본다.
제조 단계의 보안
2009년 푸에르토리코에서는 전력 계량 미터 제조업체 직원들이 광 포트를 통해서 미터를 액세스함으로써 스마트 미터를 해킹하였다. 미국 FBI 보고에 따르면 미터 제조업체 직원들과 전력회사 직원들이 미터를 조작하고 또한 다른 사람들에게 미터를 조작하는 방법을 알려주었다. 이들이 이렇게 해서 얻은 이익은 미터 한 대당 현금으로 300~1000달러에 달했다. 미국 연방정부 당국자는 푸에르토리코 전력회사의 손실이 4억 달러에 달할 수 있고 앞으로도 공격 가능성이 있다고 말하고 있다.5 제조 현장에서의 정확한 보안 메커니즘이나 아니면 이러한 메커니즘이 얼마나 부실한지에 대해서는 명확히 알 수 없으나 한 가지 사실은 부인할 수 없다. 그것은 바로 제조업체 직원이 미터에 접근할 수 있다는 것이다. 대부분의 회사들은 일부 또는 전부의 자사 제품 제조를 위해서 써드파티 업체를 이용한다. 규모가 큰 탄탄한 회사들은 이러한 제조업체를 엄격하게 통제할 수 있으나 소규모 업체들은 위탁제조 업체를 엄격하게 통제하지 않거나 하지 못한다. 그러므로 이러한 업체의 제품은 보안 공격의 위험성이 더 높아진다.
강력한 인증 프로토콜이 푸에르토리코에서 일어난 이와 같은 공격을 막을 수 있는 매우 효과적인 기법 중의 하나이다. 인증이란 두 통신 당사자가 자신의 신원을 입증함으로써 이들 사이의 통신을 신뢰할 수 있도록 하는 것이다. 개인 패스워드가 아마도 가장 기본적인 형태의 인증일 것이다. 그러므로 해커와 같은 허가되지 않은 당사자로부터의 통신은 무시된다. 그렇지만 공격자가 노출된 패스워드를 이용해서 시스템에 접근할 수 있다면 어떻게 해야 할 것인가?
통상적으로 패스워드로 보호되는 정적(static) 시스템은 매번 동일한 패스워드를 이용한다. 하지만 동적(dynamic) 시스템은 더 높은 수준의 인증을 달성할 수 있다. Jones의 논문에서 설명했듯이6 이 방식은 어떤 당사자가 액세스를 요청할 때마다 호스트가 보안 질의로서 난수(random number)를 발생시킨다. 그러면 요청한 당사자는 이 난수를 이용해서 생성된 해답 전송하고자 하는 메시지 비밀 키를 가지고서 응답해야 한다. 그러면 호스트가 이 난수 질의에 대한 응답과 내부적으로 생성된 응답을 비교한다. 이 두 응답이 일치해야 한다. 하지만 이후의 모든 응답이 각기 달라진다. 각각이 호스트에서 생성된 난수를 기반으로 하기 때문이다.
이 질의 응답 기법의 수학적 원리는 이 응답을 가로채는 당사자가 이 정보를 이용해서 비밀 키를 해석할 수 있는 가능성이 거의 없도록 설계되었다는 것이다. 이 시스템의 동적 특성은 통신이 매번 달라지도록 한다. SHA-1 SHA-2 SHA-256 알고리즘은 이와 같은 동적 인증의 가장 대표적인 예라고 할 수 있다.
질의-응답 인증 프로세스에서 가장 귀중한 정보는 비밀 키다. 이 인증 프로세스를 더욱 더 강화할 수 있도록 하는 추가적인 기법으로서는 MAXQ1050 같은 물리적 보안 칩을 이용해서 비밀 키를 생성하고 키를 단계적으로 생성하는 방법이 있다. 이러한 기법들은 어떤 단일 당사자가 키의 모든 빌딩 블록에 대한 액세스 권한을 얻지 못하도록 한다. 통합적 및 단계적 키 생성을 결합함으로써 더욱 더 우수한 보안을 달성할 수 있다.
단일 또는 다중 키 및 비대칭 기법
2012년 8월 Justin Clarke는 RuggedCom의 운영체제인 Rugged Operating System(ROS)에 보안 결함이 있다고 발표하였다.7 RuggedCom은 전력 전송/분배 및 기타 산업용 애플리케이션에 이용하기 위한 견고한 네트워크 타이밍 및 통신 인프라 솔루션을 제공하는 회사이다. Clarke의 발표는 단일 키를 이용해서 이 ROS의 내부 동작으로 침투할 수 있다는 것을 확인하였다. 공격자가 일단 내부로 침투한 후에는 추가적인 보안 장벽에 가로막히지 않고서 통신 트래픽을 쉽게 볼 수 있다. 뿐만 아니라 어느 한 RuggedCom 장비로부터 키를 얻은 후에 이를 이용해서 다른 RuggedCom 장비로 침투할 수도 있다.
이 문제는 단일 비밀 키에 관련된 것이다. 대칭 암호화 알고리즘을 채택한 시스템은 데이터 암호화 및 암호해독에 단일 비밀 키를 이용한다. 이 비밀 키를 아는 장비는 어떤 장비이든 네트워크에 합류할 수 있다. 이것은 마치 화상회의에서 참가자들이 동일 코드를 이용해서 회의에 참여할 수 있는 것과 같다. 대대적인 규모 때문에 스마트 그리드 장비 및 특히 스마트 미터는 대칭 암호화 기법을 이용해서 질의를 생성한다. 스마트 그리드 상에는 수백 만 대의 스마트 미터와 소수의 분배 자동화 장비가 설치되므로 이 단일 비밀 키를 소유한 당사자는 이러한 장비를 액세스할 수 있다는 말이 된다. 그러므로 보안 위험성이 확실하다. 핵심 인프라나 인구 밀집 지역으로 전력을 차단하고 대규모 정전 사태를 발생시킨다면 심각한 손실을 초래할 수 있다. 이러한 공격은 최소한의 노력으로 엄청난 결과를 초래할 수 있다.
비대칭 인증 기반 보안이 이러한 유형의 공격에 해결책이 될 수 있다. 비대칭 기법은 각각의 최종 장비에 공용/비밀 키 조합을 이용하는 것이다. 각각의 키가 메시지를 수학적으로 인코딩 및 디코딩할 수 있도록 한다. 모든 네트워크 장치가 상대방의 공용 키를 알고 있으며 이를 이용해서 특정 장치로 보내고자 하는 메시지를 인코딩할 수 있다. 이 특정 장치는 그러면 자신의 비밀 키를 이용해서 이 메시지를 디코딩할 수 있다. 보안 IC(integrated circuit)는 전적으로 칩 상에서 비밀 키를 생성하고 이를 보안 메모리에 저장함으로써 이 키를 절대로 노출시키지 않는다. 그런 다음 전력회사 등과 같은 관리 주체가 또한 각각의 장치로 인증을 부여함으로써 네트워크 내에서 신뢰 사슬을 구축할 수 있다. 이와 같은 방식으로 미터가 액세스 포인트로 연결되고 인증을 하고 네트워크로 합류할 수 있다. 각각의 인증은 개별 인증 번호나 기타 고유한 식별 특성을 기반으로 각기 고유해야 한다. 그러므로 이 방법은 비대칭 암호화의 이점을 제공하며 전력망 또는 네트워크 상의 다수 장치의 비밀 키나 각 장치의 개별 식별자를 노출시키지 않는다.
키 보호
2012년 9월 19일 ICS-CERT(Industrial Control Systems Cyber Emergency Response Team)는 분배 자동화 장비에 관련된 또 다른 보안 위험성에 대해서 발표하였다. 이 사건은 서명 인증에 이용되는 비밀 키를 프로그래머블 로직 컨트롤러(PLC)에 안전하지 않게 저장한 경우였다.8 이 비밀 키는 인증 권한자의 비밀 키로서 이 비밀 키를 획득하는 자는 누구나 자신을 네트워크에서 적법한 장치로 인증할 수 있었다. 그런 다음 공격자는 “man in the middle” 공격을 할 수 있었다. 이 공격은 공격자가 통신을 가로채고 자신을 유효한 시스템 장치로 인증하고 네트워크 액세스 권한을 획득하는 것이다. 이 문제에 대한 일차적 대응은 인증 권한자의 서명 키를 설치해제하고 수작업으로 네트워크 상의 각각의 장치 신원을 확인하는 것이다. 이와 같은 해결 방법은 소규모 네트워크에는 적용할 수 있으나 수백만 대의 장치가 연결된 네트워크에서는 대대적인 비용과 노력을 필요로 할 것이다.
키 관리는 보안을 달성하기 위해서 가장 까다로운 작업이다. 키에 접근할 수 있다는 것은 키가 시스템에게나 사람에게 노출된다는 것을 의미하기 때문이다. 키가 노출된다는 것은 도용 위험성이 그만큼 높아진다는 것이다. 그러므로 키를 보호하기 위한 일차적인 방어선은 키를 물리적 보안 IC에서 한 번만 생성하고 이 키가 칩을 떠나지 않도록 하는 것이다. 그러면 스마트 그리드 상의 장치가 이와 같이 저장된 키를 효과적으로 사용할 수 있고 노출시키지 않을 수 있다.
온보드 키 생성 암호화 소프트웨어 보안과 함께 물리적 디바이스 보호가 또한 키를 보호하기 위한 다수의 효과적인 기법을 제공한다. 보안 IC의 무단조작 검출 핀이 장비 액세스 포인트로 전자적으로 연결된 핀들 사이의 어떤 신호에 방해가 일어나는 것을 감지하면 이 IC가 물리적 무단조작 이벤트를 보고하도록 할 수 있다. 그러면 시스템이 프로그램된 대로 따라서 무단조작 이벤트에 응답한다. 이때 가능한 조치는 이벤트를 기록하는 것에서부터 비밀 키를 소거함으로써 시스템을 동작하지 못하게 하는 방법까지 될 수 있다. 하지만 이 방법은 금융 단말기에서는 일반적으로 사용되고 있으나 스마트 그리드에서는 통상적으로 사용할 수 없는 방법이다. 보호 메쉬와 온도 모니터링은 보안 실리콘 디바이스를 분해해서 보안 키를 알아내려고 하는 시도를 검출하기 위한 또 다른 방법들이다. 메쉬는 물리적으로 보안 디바이스 상단면을 프로브 공격으로부터 보호할 수 있다. 온도 센서는 메모리로부터 키를 알아내기 위해서 디바이스로 액체 질소를 붓는 것과 같은 공격을 감지할 수 있다. 보안 메모리 디자인은 또한 시간이 경과함에 따른 소재 스트레스와 관련해서 키 데이터를 제거하거나 임프린팅할 수 있는 메커니즘을 포함할 수 있다.
결론적으로 말해서 키를 PLC 같은 연결 디바이스의 범용 RAM이 아닌 보안 IC에 저장함으로써 이들 키를 보호할 수 있는 궁극적인 보안을 달성할 수 있다.
사이버 공격의 위험성 증가
이 글에서 살펴본 사례들은 빙산의 일각이 드러난 것일 뿐이다. 2012년 7월에 사이버 공격 대응을 책임지고 있는 미국의 고위 군사 관료인 Keith B. Alexander 장군은 2009년에서 2011년에 이르면서 미국내 기간 인프라에 대한 사이버 공격이 17배나 늘어났다고 발표했다.9 또한 GlobalData는 2012년 9월에 중국의 사이버 보안 시장이 2011년에 18억 달러 규모에서 2020년이 되면 500억 달러 규모로 늘어날 것이라고 전망하였다.10
스마트 그리드는 거스를 수 없는 추세가 되었다. 각 국가들과 전력회사들은 전력 자원을 더 잘 통제하고 피크 수요량을 억제하고 더 효율적으로 운용하고 대량의 분산 자원을 활용할 수 있도록 하기 위해서 노력하고 있다. 스마트 그리드는 또한 수백 만 대의 스마트 미터를 연결하고 있는 네트워크로서 모든 것을 연결하는 미래의 인터넷 네트워킹의 중요한 시험대가 되고 있다. 이러한 점들을 염두에 두었을 때 장비 및 미터 제조업체들은 스마트 그리드 제품을 개발할 때 시스템 차원에서 보안을 중요하게 고려해야 한다. 스마트 그리드를 안전하게 지키기 위해서는 다층적이며 장기적인 안목에서 하드웨어 및 소프트웨어 보안을 고려하는 것이 가장 좋은 방법이라는 것을 알 수 있다.
참고문헌
1 “Utility-Scale Smart Meter Deployments Plans & Proposals” IEE Report May 2012 The Edison Foundation The Institute for Electric Efficiency http://www.edisonfoundation.net/iee/Documents/IEE_SmartMeterRollouts_0512.pdf.
2 “Smart Grid Italy: What to Watch” GreenTechGrid 8/10/2011 http://www.greentechmedia.com/articles/read/smart-grid-italy-what-to-watch.
3 “Sweden at forefront of demand response in Europe” eMeter August 17 2010 http://www.emeter.com/smart-grid-watch/2010/sweden-at-forefront-of-demand-response-in-europe/.
4 “Iberdrola to deploy an additional one million smart meters in Spain” Telecom Engine 3/20/2012 http://www.telecomengine.com/article/iberdrola-deploy-additional-one-million-smart-meters-spain.
5 “FBI: Smart Meter Hacks Likely to Spread” Krebs on Security http://krebsonsecurity.com/2012/04/fbi-smart-meter-hacks-likely-to-spread/.
6 Maxim Integrated tutorial 3675 “Protecting R&D Investment with Secure Authentication” www.maximintegrated.com/AN3675 .
7 “Siemens software which control power plants vulnerable to hackers” Homeland Security News Wire 8/27/2012 http://www.homelandsecuritynewswire.com/dr20120826-siemens-software-which-controls-power-plants-vulnerable-to-hackers.
8 SIEMENS S7-1200 INSECURE STORAGE OF HTTPS CA CERTIFICATE” ICS-CERT ADVISORY ICSA-12-263-0 September 19 2012 http://www.us-cert.gov/control_systems/pdf/ICSA-12-263-01.pdf.
9 “Rise Is Seen in Cyberattacks Targeting U.S. Infrastructure” New York Times July 26 2012 http://www.nytimes.com/2012/07/27/us/cyberattacks-are-up-national-security-chief-says.html?_r=3ref=fb&.
10 “China’s Cyber-Attack Fears to Spark Massive Defense Spending” GlobalData Sept 19 2012 http://www.globaldata.com/PressReleaseDetails.aspx?PRID=368&Type=Industry&Title=Smart%20Grid
저자 약력:
David Andeen은 Maxim Integrated의 에너지 전략 사업부 책임자입니다. 2005년에 Maxim에 입사해서 영업부서를 거쳐서 2011년에 에너지 사업부 책임자 직책을 맡게 되었습니다. UC 산타바바라(University of California Santa Barbara)에서 재료공학 박사학위를 취득하였습니다.
제품스펙