콘텐츠로 이동

C-08: 제어시스템에 불필요한 서비스 및 취약한 서비스 제거 또는 보완대책 수행

분류: Control System

중요도: 상

개요

점검 내용

제어시스템 구성요소에서 불필요한 서비스와 취약한 서비스를 제거하거나 이용할 수 없도록 비활성화 여부 점검

점검 목적

제어시스템(운영체제)에 관련 소프트웨어를 위해 필요한 최소한의 서비스만 활성화하고 취약한 서비스를 제거 또는 비활성화하여 비인가자 및 악성코드에 의해 취약한 서비스 악용이 일어나지 않도록 하기 위함

보안 위협

  • 불필요하거나 취약한 서비스가 활성화되어 있는 경우 공격자가 네트워크 스캐닝을 통해 취약한 서비스를 찾아내, 비인가자 접근, 악성코드 유포 등 해당 서비스를 악용한 해킹의 위험이 존재함
  • 위협 사례: SMB Redirect(Redirect To SMB) 공격의 경우, Windows PC 간에 파일 공유를 위해 사용하는 SMB(Server Message Block) 프로토콜을 악용하여, 해당 네트워크 트래픽을 해커가 장악한 SMB 서버 또는 악성 웹사이트로 우회시킬 수 있는 취약점을 이용함. 이를 통해 해커는 Windows PC 사용자들의 해당 로그인 정보를 탈취할 수 있으며 이와 같은 공격에 대한 최선의 보안대책은 TCP 139와 445 포트를 차단하여 SMB 프로토콜 자체를 이용하지 못하도록 함

참고

제어시스템 취약점 검색엔진

쇼단(https://www.shodan.io)과 같은 웹사이트(Criminal IP)는 IoT, ICS 등과 같은 설비에 대해 국가, 기관, 서비스(Port), IP주소 등의 검색어 입력만으로 어떤 서비스가 활성화되어 있고 인터넷상으로 접근 가능한지 검색 가능 [ 쇼단 홈페이지에서 검색어(예: 제어기기 모델)를 통해 확인한 결과 ]

제어시스템 취약점 목록 제공

미국 국토안보부(DHS) 산하 CISA(CyberSecurity & Infrastructure) 홈페이지(https://cisa.gov/news-events/cybersecurity-advisories)에서는 ICS에서 발견된 최신 취약점 목록을 제공하고 있어, 사용 중인 제어시스템 구성요소에 취약점 존재 여부를 확인할 수 있음

점검 대상 및 판단 기준

대상

HMI, EWS와 같은 제어 S/W를 제외한 제어시스템 구성요소 전체

판단 기준

✅ 양호: 제어시스템에 불필요하거나 취약한 서비스가 제거 또는 비활성화된 경우

❌ 취약: 제어시스템에 불필요하거나 취약한 서비스가 활성화된 경우

조치 방법

제어시스템에 불필요하거나 취약한 서비스를 제거 또는 비활성화 설정

조치 시 영향

일반적인 경우 영향 없음

점검 및 조치 사례

공통

  1. 제어시스템 현황(목록)과 네트워크 구성도를 확인하고 제어시스템별 감시, 설비제어 등을 위해 필요한 서비스(Port) 종류 확인
  2. 구성요소 운영체제의 방화벽 기능 또는 자체적으로 활성화된 서비스 조회 기능 등을 통해 해당 구성요소에 활성화된 서비스(Port)가 불필요한 것인지 또는 취약한 것인지 점검

  3. Step 2)에서 확인된 불필요하거나 취약한 서비스에 대해 보안대책 적용 여부 확인

    • 보완대책으로는 제어망, 업무망의 방화벽에서 접근통제 정책으로 해당 서비스를 차단하고 있는 경우 또는 네트워크 장비의 접근규칙(ACL)을 적용하여 차단하고 있는 경우 존재
    • 불필요하거나 취약한 서비스가 제거 또는 보완대책 적용이 되어있지 않은 경우, 이를 비활성화하거나 보완대책을 적용하도록 조치

    [ CISA 홈페이지에서 제공하는 ICS 취약점 목록 ]

Windows OS

  1. 시작 옵션에서 시작유형을 “사용 안 함”으로 설정
  2. 시작 > 설정 > 제어판 > 관리 도구 > 서비스에서 불필요한 서비스 중지
  3. 시작 > 설정 > 제어판 > 방화벽 설정에서 접근 가능한 IP 제한

Unix OS

  1. /etc/inetd.conf 파일에서 불필요한 서비스 주석(#) 처리하여, 해당 서비스 비활성화 
    # vi /etc/inetd.conf
  2. /etc/hosts.allow에 접근 가능한 서비스, IP 지정
  3. /etc/hosts.deny에서 차단하고자 하는 서비스, IP 지정

참고

SMB(Session Message Block) 프로토콜은 Windows에서 디스크와 프린터를 네트워크상에서 공유하는 데 사용되며, TCP 139번, 445번 포트를 사용함. SMB를 비활성화하려면 다음과 같은 방법으로 TCP/IP에서 SMB를 언바인드 시킴 * 바탕화면 또는 제어판에서 [네트워크 환경][등록정보] 실행 * 현재 인터넷에 접속된 연결의 [등록정보] 선택 * [Microsoft 네트워크용 클라이언트] 항목과 [Microsoft 네트워크용 파일 및 프린터 공유] 항목의 체크 해제