산업계가 계속해서 산업 제어 시스템(Industrial Control System, ICS)을 겨냥한 공격과 싸우는 가운데, ICS 보안에 대한 구성 요소 및 생태계를 더욱 많이 이해하고 공격에 대비하는 것이 중요해졌다.

글로벌 공격 표면 관리(Attack Surface Management, ASM) 플랫폼 기업 센시스(Censys)가 2024년 두 번째 ‘인터넷 노출 산업 제어 시스템 보고서(Internet-exposed Industrial Control Systems (ICS))’를 지난 21일 발표했다.

이 보고서는 지난 8월부터 맬웨어 및 설비를 제어하는 HMI(Human Machine Interface)에 의해 누출된 ICS 프로토콜들의 내용을 중심으로, ICS를 위협하는 요소들을 다루고 있다.

이번 조사에 따르면, 센시스는 전세계 14만 5천 건 이상의 ICS 서비스가 노출됐으며, 이 중 38%(약 5만 5100건)가 북미, 35%(약 5만 750건)가 유럽, 22%(약 3만 1900건)가 아시아 지역에서 보고됐다.

특히, 공격받은 ICS 프로토콜들은 전문화되거나 특정된 환경인 경우가 다수였으며, 이에 센시스는 보안 담당자들이 실재 설비들의 ICS 보안 프로토콜과 HMI의 누출에 대해 알아야 하나, 이를 간과한 것으로 분석했다.

이 중, 유럽 지역에선 TCP 기반 산업용 장비 프로토콜 ‘모드버스(Modbus)’, 지멘스 PLC 전용 프로토콜 ‘S7’, ‘IEC 60870-5-104’ 프로토콜의 사례가, ‘폭스(Fox)’, ‘백넷(BACnet)’, ‘ATG’, ‘씨모어(C-More)’의 사례가 북미 지역에서 주로 발견됐다. 특히, 씨모어의 34% 사례는 수자원 및 폐수 처리 시설과 관련됐으며, 23%는 농업과 관련된 사례들이었다.

한편, HMI를 서비스하는 약 200개의 기업이 미국의 기초 국방 정책 법안인 국방수권법(National Defense Authorization Act, NDAA)의 법률 889항을 어기고 있는 것으로 확인됐다.

센시스의 공동 창립자 자키르 듀루메릭(Zakir Durumeric)은 “ICS는 산업 공정의 기초를 이루고 있으며, 다른 분야에서 보안 개선이 이루어진 것과는 달리 보안 개선이 이루어지지 않았다.”라며 “ICS 장치의 보안은 국가의 중요한 인프라를 보호하는 데 중요한 요소이며, 이를 보호하기 위해, 이러한 장치들이 어떻게 노출되고 취약한지를 이해해야 한다.”라고 전했다.