북한 연구진이 과거 이란 핵 시설을 파괴했던 스턱스넷과 같은 공격을 방어하는 방안을 연구하고 있는 것으로 확인됐다.

대북 소식통에 따르면 북한 김일성종합대학이 발행한 학보 정보과학 2023년 제69권 제2호에 ‘공업조종체계보안에서 Netfilter 방화벽을 이용한 IP-MAC주소 정합려과 모듈의 한 가지 실현 방법’이라는 논문이 수록됐다.

북한 연구진은 김정은 총비서의 지시에 따라 보안 연구를 하고 있다고 밝혔다. 김정은 총비서는 “통신망의 보안능력을 높이는 것은 당과 국가, 군사비밀을 철저히 보장하고 나라의 존엄과 안전을 수호하기 위한 중요하고도 책임적인 사업이다“라고 지적했다고 한다.

논문은 공업조종체계(ICS)가 감시조종 및 자료수집(SCADA) 체계, 분산조종체계(DCS), 프로그램논리조종기(PLC)를 포함하며 공업조종체계에서 이용하는 지멘스(Siemens) S7-200, S7-300, S7-400 계렬의 PLC들은 인증과 암호화 방법을 제공하지 않으므로 IP 주소 속임, 대화 접속 가로채기, 봉사거부(DOS)공격 등을 받을 수 있다고 지적했다.

이에 논문에서는 Siemens S7-200, S7-300, S7-400 계렬의 PLC들을 이용하는 공업조종체계에서 PLC들만이 방화벽을 통해 중앙조종기와 통신을 진행하도록 하기 위해 Netfilter 방화벽을 이용한 IP-MAC주소 정합여과 모듈의 한 가지 실현 방법을 제안했다고 밝혔다.

지멘스 PLC에 대한 사이버공격을 막는 방법을 연구, 개발했다는 것이다. PLC는 Programmable Logic Controller의 약자로 산업시설 자동 제어 등에 활용되는 제어 장치를 뜻한다. 

북한 연구진이 왜 PLC 보안 기술 개발에 나선 것일까? 지난 2010년 스턱스넷 악성코드가 이란 핵 시설 기기들을 파괴하면서 충격을 줬다. 스턱스넷은 지멘스 PLC를 감염시켜 이상 동작을 하도록 하면서 기기를 파괴했는데 이란 핵 시설 기기에 지멘스 PLC를 사용하고 있었다. 스턱스넷를 누가 만들었는지 정확히 밝혀지지 않았지만 이스라엘, 미국 정보기관에서 관여한 것으로 추정되고 있다.

북한 연구진이 지멘스 PLC S7-200, S7-300, S7-400을 언급했는데 스턱스넷이 공격한 것이 S7-300으로 알려져 있다. 북한 연구진은 스턱스넷의 공격을 받었던 지멘스 PLC에 대한 보안 기능을 연구한 것이다.

북한 연구진은 넷필터(Netfilter)와 화이트리스트 방식을 사용한 것으로 보인다. 넷필터(Netfilter)는 리눅스 기반의 패킷 필터링 소프트웨어(SW)다. 패킷은 네트워크를 오고가는 데이터 전송단위인데 이를 점검해서 통과시키지 않는 것이다.

북한 연구진은 넷필터를 이용하면서 백색목록을 적용했다고 밝혔다. 백색목록은 화이트리스트를 뜻한다. 보안에서 화이트리스트 방식은 기존 목록에 정보가 있는 것들만 안전하다고 보고 나머지는 모두 위험하다고 보는 개념이다. 북한은 자신들이 이용하는 지멘스 PLC에 접근하는 데이터 중 기존 목록에 있는 것 이외에는 모두 위험하다고 보고 접근을 금지, 차단하는 것이다.

이를 통해 몇 가지 사실을 유추할 수 있다. 우선 북한에서 지멘스 PLC를 사용하고 있다는 점이다. 지멘스 PLC는 다양한 분야에 활용되고 있는데 북한은 어떤 분야에 이를 활용하고 있는지는 설명하지 않았다.

또 북한은 스터스넷과 같은 방식으로 자신들을 사이버공격 하는 것을 우려하고 있는 것으로 보인다. 그리고 실제로 이에 대응한 보안 방안도 마련하고 있는 것으로 추정된다.

* 독자님들의 뉴스레터 신청(<-여기를 눌러 주세요)이 NK경제에 큰 힘이 됩니다. 많은 신청 부탁드립니다.