콘텐츠로 이동

C-23: 제어 네트워크에 무선인터넷, 테더링, 외부 유선망 등의 외부망 연결을 제한하고 주기적으로 점검

분류: Control System

중요도: 상

개요

점검 내용

제어망, 업무망, 인터넷망 등의 물리적 망 분리 이외에도 이를 우회할 수 있는 무선인터넷, 테더링 등의 통제 여부 점검

점검 목적

내부 보안정책을 우회할 수 있는 비인가 무선 AP 설치, 스마트폰의 테더링 이용 등과 같은 외부해킹 및 악성코드 감염 경로를 차단하기 위함

보안 위협

  • 제어망 또는 업무망 등에 비인가 무선 AP 설치, 스마트폰의 테더링 이용 등과 같은 외부로의 인터넷 연결 점검이 생기는 경우는 물리적 망 분리를 우회할 수 있고 이를 통해 악성코드가 유입되는 경우 제어망에 위치한 시스템까지 감염될 위험이 존재함
  • 무선통신 인터셉트(EM/RF Interception): 일반적인 제어시스템 통신 구간에서는 무선통신을 사용하지 않지만, RTU 하단의 제어 구성요소들과 IED에는 무선통신이 적용되는 경우가 있고 해당 통신 구간의 통신은 비인가 기기를 이용한 가로채기가 상대적으로 용이

참고

제어시스템의 보안정책 우회 접근

제어시스템을 구성하는 환경에서 내부망 내에 위치한 비인가 무선 AP(또는 외부로부터 수신되는 무선 AP), 스마트폰의 테더링 등을 이용한 외부 인터넷 연결이 이루어질 수 있으며 이를 차단하기 위해서는 비인가 기기의 반·출입 통제, 무선랜카드 사용통제 등의 물리적 통제를 함께 고려해야 함

[ 무선 AP를 이용한 제어망 무단 접근 ]

점검 대상 및 판단 기준

대상

제어시스템을 구성하는 네트워크 전체

판단 기준

✅ 양호: 제어 시설에 비인가 장비에 대한 반입이 불가능하며, 제어망 및 내부 업무망의 유·무선 인터넷 접속차단이 이루어지는 경우

❌ 취약: 제어 시설에 비인가 장비에 대한 반입 통제가 이루어지지 않거나, 제어망 및 내부 업무망에서 유·무선 인터넷 접속이 가능한 경우

조치 방법

외부 연계 접점 차단 설정(외부 연계일 경우 물리적 일방향 시스템 적용)

조치 시 영향

일반적인 경우 영향 없음

점검 및 조치 사례

공통

  1. 제어망 및 업무망에 외부 노트북, 태블릿PC, 스마트폰 등이 반입될 때 이를 통제, 보안 조치하는 절차가 있는지 확인하고, 해당 절차가 없다면 기반시설에 대한 관리·물리 점검항목을 참조하여 개선조치

  2. 제어망 및 업무망의 서버, PC에 대해 인터넷 접속 사실이 있는지 다음 각 호의 방법으로 확인하고, 접속이 가능하다면 C-09(상), C-10(상) 등의 조치 방법을 참고하여 개선조치

    • Windows 환경인 경우, 웹브라우저에서 인터넷 사이트 연결 이력이 있는지 점검
      • (1) Windows의 레지스트리 값을 확인하는 방법으로써, CMD 창에 다음 명령어를 입력 reg query "HKCU\Software\Microsoft\Internet Explorer\TypedURLs"
      • (2) 상기 명령어 입력 시 웹브라우저 창에 입력한 값이 저장되는 레지스트리 값을 확인 url1 REG_SZ http://www.kisa.or.kr/
      • (3) Cookie 파일 확인하는 방법으로서, Cookie 파일 안에 내용에 URL을 확인하여 인터넷 사용 여부 판단 (단, 쿠키 및 웹사이트 데이터 삭제 시는 확인 불가)
        • CMD 창에 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders | findstr "Cookies" 입력하여 쿠키 저장 위치 파악
        • 쿠키가 저장된 폴더에 들어가 쿠키 파일 내용에 포함된 URL 확인
    • 망 분리가 이루어지지 않고 외부 인터넷 서버로의 패킷 전달이 가능한지 점검
      • # ping 외부 IP (예시: 공개 DNS IP주소, 포털사이트의 IP주소 등)

  3. 노트북 등을 이용해 제어 시설을 이동하면서 근거리에서 수신되는 내부 무선 AP가 있는지 점검하고, 비인가 무선 AP가 있으면 제거

    • (내부가 아닌 외부) 무선 AP가 감지되면 해당 구역의 시스템 무선랜카드를 제거
    • (장비가 있는 경우) 무선 AP, 무선네트워크 전파 스캐너를 사용하여 점검

  4. 노트북 등을 이용해 제어 시설을 이동하며 근거리에서 수신되는 외부 WiFi 접속 가능성과 스마트폰의 테더링을 통한 접속 가능성이 있는지 점검하고, 가능한 경우, 다음 방법을 적용하여 조치

    • 해당 구역 내 서버 및 업무 PC의 무선랜카드를 물리적으로 제거하거나 기능 정지
    • (장비가 있는 경우) 무선 방화벽을 통한 무선망 이용 차단