핵심을 보호하라: 현대 변전소의 보호 계전기 보안 강화
Mandiant
해당 블로그의 원문은 2025년 7월 1일 Google Cloud 블로그(영문)에 게재되었습니다.
작성자: Seemant Bisht, Chris Sistrunk, Shishir Gupta, Anthony Candarini, Glen Chason, Camille Felx Leduc
서론 — 보호 계전기 보안이 그 어느 때보다 중요한 이유
변전소는 전력망의 핵심 연결 지점으로, 고전압 전기를 변환하여 발전소에서 수백만 명의 최종 사용자에게 안전하고 효율적으로 전력을 공급합니다. 현대 변전소의 핵심에는 보호 계전기가 있습니다. 이는 전압, 전류, 주파수 및 위상각을 지속적으로 모니터링하여 전력망의 안정성을 유지하는 데 중요한 역할을 하는 지능형 전자 장치(IED)입니다. 고장을 감지하면 즉시 차단기를 작동시켜 영향을 받는 구역을 격리함으로써 장비 손상, 화재 위험 및 연쇄적인 정전을 방지합니다.
변전소가 IEC 61850, 이더넷, USB 및 원격 인터페이스를 통합하며 더욱 디지털화됨에 따라, 계전기는 더 이상 고립된 장치가 아니라 광범위한 SCADA 네트워크의 네트워크 요소가 되었습니다. 이는 가시성과 제어를 향상시키지만, 동시에 계전기를 디지털 조작 및 사이버 위협에 노출시킵니다. 만약 계전기가 침해당하면, 허위 차단 명령을 내리거나, 차단기 로직을 변경하거나, 고장 구역을 비활성화하는 데 사용될 수 있습니다. 공격자는 탐지를 피하기 위해 공급업체별 로직을 은밀하게 수정하고, 영구적인 변경 사항을 내장하며, 심지어 로그를 삭제할 수도 있습니다. 여러 개의 중요한 계전기에 대한 coordinated attack은 전력망 전반에 걸쳐 연쇄적인 고장을 일으켜 대규모 정전을 유발할 수 있습니다.
이러한 위협은 이론에 그치지 않습니다. 2016년의 INDUSTROYER, 2022년의 INDUSTROYER.V2, 그리고 2022년의 새로운 living-off-the-land(LOTL) 기법과 같은 우크라이나 공격 사례에서 볼 수 있듯이, 국가 지원을 받는 적대 세력들은 표준 전력망 프로토콜을 통해 무단 명령을 내려 광범위한 정전을 일으킬 수 있는 능력을 반복적으로 보여주었습니다. 공격 표면은 운영 프로토콜을 넘어 엔지니어가 의존하는 바로 그 도구로 확장됩니다. Claroty의 Team82는 Siemens DIGSI 4 구성 소프트웨어에서 서비스 거부(denial-of-service) 취약점을 발견했습니다. 게다가, INCONTROLLER와 같은 악성코드 툴킷의 발견은 공격자들이 여러 공급업체의 보호 체계를 매핑하고, 조작하고, 비활성화하기 위한 특화된 기능을 개발하고 있음을 보여줍니다.
최근 사건들은 이러한 위협의 현실을 더욱 부각시켰습니다. 미국 정부는 지정학적 긴장 고조에 따라 이란의 중요 네트워크에 대한 사이버 공격 위험이 높아졌다고 경고했습니다. UNC5691(일명 CyberAv3ngers)과 같은 이란 연계 위협 행위자들은 운영 기술을 표적으로 삼아왔으며, 일부 경우에는 미국 수자원 시설까지 포함했습니다. 이와 유사하게, 공개적으로 보고된 Volt Typhoon 활동과 부분적으로 겹치는 UNC5135와 같은 중국의 지속적인 위협은 잠재적인 미래의 파괴적 사이버 공격을 위해 미국 핵심 인프라 내부에 침투하려는 전략적 노력을 보여줍니다. 약한 자격 증명을 악용하는 것부터 보호 장치의 로직 자체를 조작하는 것에 이르기까지 이러한 적대 세력들의 전술은 보호 계전기의 보안을 최우선 과제로 만들고 있습니다.
이러한 공개된 사건들은 우리 자체 OT(운영 기술) 레드팀 시뮬레이션 결과와 일치합니다. 이는 지역 변전소 네트워크로의 접근 가능한 원격 경로를 지속적으로 드러내며, 적대 세력이 국가 전력망 내의 보호 계전기를 조작할 수 있는 잠재력을 강조합니다.
보호 계전기는 높은 가치를 지닌 장치이며, 변전소 자동화 시스템 및 전력망 관리 시스템을 표적으로 하는 사이버-물리적 공격의 주요 목표입니다. 보호 계전기 보안은 더 이상 단순한 모범 사례가 아니라, 송전 및 배전 전력망의 복원력을 보장하기 위해 절대적으로 필수적입니다.
변전소 내부 — 구성 요소 및 연결성
변전소 내에서 보호 계전기의 역할을 완전히 이해하려면, 보호 계전기가 작동하는 더 넓은 생태계를 이해하는 것이 중요합니다. 현대 변전소는 더 이상 순수한 전기적 영역이 아닙니다. 이들은 IED, 결정론적 네트워킹 및 실시간 데이터 교환이 전력망의 신뢰성, 보호 및 제어를 위해 협력하는 사이버-물리적 환경입니다.
핵심 구성요소
-
보호 및 제어 계전기 (IED): SEL-451, Hitachi REL670, GE D60, Siemens 7SJ85와 같은 장치는 보호 및 제어의 두뇌 역할을 합니다. 이들은 전류, 전압, 주파수 및 위상각을 모니터링하고 다음과 같은 보호 체계를 실행합니다.
-
과전류(ANSI 50/51)
-
거리 보호(ANSI 21)
-
차동 보호(ANSI 87)
-
저/과주파수(ANSI 81)
-
동기 검사(ANSI 25)
-
자동 재폐로(ANSI 79)
-
차단기 고장 보호(ANSI 50BF)
-
로직 기반 자동화 및 잠금(예: ANSI 94)
(참고: 이러한 ANSI 기능 번호는 IEEE 표준 C37.2를 따르며, 공급업체에 관계없이 보호 기능을 나타내는 데 보편적으로 사용됩니다.)
-
-
차단기(Circuit Breakers) 및 단로기(Disconnectors): 계전기에 의해 작동되는 고전압 스위칭 장치로, 고장 전류를 차단하거나 회선 부분을 재구성합니다. 단로기는 기계적 절연을 제공하며, 안전하지 않은 작동을 방지하기 위해 종종 차단기 상태와 연동됩니다.
-
계기용 변류기(CT) 및 계기용 변압기(PT): 높은 전압과 전류를 안전하고 정밀하게 측정하기 위해 낮추는 계기용 변성기입니다. 이들은 보호 및 계측 기능을 위한 주요 감지 입력 역할을 합니다.
-
국소 HMI(Human-Machine Interfaces): 운영자에게 국소 시각화 및 제어를 제공합니다. HMI는 일반적으로 스테이션 버스를 통해 계전기 네트워크에 연결되어 SCADA의 개입 없이 오버라이드, 확인 및 명령 기능을 제공합니다.
-
원격 단말 장치(RTU) 또는 게이트웨이 장치: 레거시 또는 하이브리드 변전소에서 RTU는 현장 장치로부터 원격 측정 데이터를 집계하여 제어 센터로 전달합니다. 완전 디지털 변전소에서는 이 기능이 IEC 61850 또는 레거시 프로토콜 브리징을 기본적으로 지원하는 SCADA 게이트웨이 또는 스테이션 레벨 IED에 의해 처리될 수 있습니다.
-
시간 동기화 장치: GPS 시계 또는 PTP 서버는 계전기, 샘플링된 값 스트림 및 이벤트 로그 전반에 걸쳐 시간 정렬을 유지하기 위해 배포됩니다. 이는 고장 위치 파악, 파형 분석 및 사건 순서(SoE) 상관 관계 분석에 필수적입니다.
네트워크 아키텍처
현대 디지털 변전소는 결정론적 보호, 복원력 있는 자동화 및 안전한 원격 접근을 보장하기 위해 고도로 분할된 네트워크 아키텍처로 설계됩니다. 이러한 시스템은 세 가지 기본 계층에 걸쳐 물리적 장치, 지능형 전자 장치, SCADA 시스템 및 엔지니어링 도구를 연결하기 위해 광섬유 기반 이더넷 통신 및 시간 동기화 메시징에 의존합니다.


그림 1: 변전소 네트워크 아키텍처
네트워크 토폴로지: 변전소는 특히 보호에 중요한 트래픽에 대해 높은 가용성과 패킷 손실 없는 통신을 달성하기 위해 이중화된 이더넷 설계를 사용합니다.
일반적인 토폴로지:
-
RSTP(Rapid Spanning Tree Protocol) – 스위치 네트워크에서 루프를 차단하여 기본 이중화를 제공합니다.
-
PRP(Parallel Redundancy Protocol) – 두 개의 독립된 경로를 통해 프레임을 동시에 전달합니다.
-
HSR(High-availability Seamless Redundancy) – 보호 트래픽에 대한 원활한 페일오버를 허용하는 링 기반 프로토콜입니다.
통신 계층: 영역 및 역할
현대 변전소는 각각 다른 작업, 타이밍 프로파일 및 보안 영역을 담당하는 고유한 기능적 네트워크 계층으로 구성됩니다. 이러한 계층화된 아키텍처를 이해하는 것은 운영 설계와 사이버 위험 모델링 모두에 매우 중요합니다.
-
프로세스 버스 / 베이 레벨 통신
- 변전소에서 가장 시간에 민감한 계층입니다. IED(지능형 전자 장치), MU(Merging Unit) 및 1차 필드 장비와 직접 상호 작용하는 디지털 I/O 모듈 간의 결정론적, 피어 투 피어 통신을 처리합니다.
- 포함 요소:
-
보호 및 제어 IED - 고장 감지 및 차단기 작동을 위한 계전기 로직
-
MU - CT/PT 아날로그 입력을 디지털화된 샘플링 값(SV)으로 변환
-
IED I/O 모듈 - 차단기의 트립 코일 및 상태 접점과 디지털 방식으로 인터페이스
-
차단기, CT 및 PT - MU 및 I/O를 통해 연결된 1차 전기 장비
-
마스터 클럭 또는 시간 소스 - PTP(IEEE 1588) 또는 IRIG-B를 사용하여 시간 정렬된 SV 및 이벤트 데이터를 보장
- 프로토콜:
-
IEC 61850-8-1 (GOOSE) - 보호 로직, 트립/차단 신호
-
IEC 61850-9-2 (SV) - 실시간 샘플링된 아날로그 측정값
-
시간 동기화 (PTP/IRIG-B) - 보호 시스템 전반에 걸쳐 밀리초 미만의 정렬
-
-
- 포함 요소:
- 변전소에서 가장 시간에 민감한 계층입니다. IED(지능형 전자 장치), MU(Merging Unit) 및 1차 필드 장비와 직접 상호 작용하는 디지털 I/O 모듈 간의 결정론적, 피어 투 피어 통신을 처리합니다.
-
스테이션 버스 / 변전소 자동화 LAN (감독 및 제어 계층)
- 스테이션 버스는 IED, 지역 운영자 시스템, SCADA 게이트웨이 및 변전소 자동화 시스템(SAS)을 연결합니다. 이는 조정, 데이터 집계, 이벤트 기록 및 제어 센터로의 데이터 전달을 담당합니다.
- 포함요소:
-
SAS - 중앙 이벤트 및 로직 관리자
-
HMI - 지역 운영자 접근
-
EWS(Engineering Workstation) - 권한 있는 계전기 구성 및 진단용 접근 지점
-
RTU / SCADA 게이트웨이 - EMS/SCADA 네트워크와의 연결
-
관리형 이더넷 스위치 (PRP/HSR) - 신뢰할 수 있는 통신 경로 제공
-
- 프로토콜:
-
MMS (IEC 61850-8-1) - 계전기 감독, 구성 편집, 이벤트 보고, 시간 동기화
-
IEC 60870-5-104 / DNP3 - 제어 센터로의 상위 원격 측정
-
Modbus (레거시) - 필드 장치 통신
-
SNMP (보안 적용) - 네트워크 상태 모니터링
-
- 엔지니어링 접근 (역할 기반, 교차 계층): 엔지니어링 접근은 독립적인 통신 계층이 아니라, 보호 엔지니어 및 현장 기술자가 유지보수, 구성 및 진단을 수행하는 데 사용하는 특권 접근 경로입니다.
- 접근 구성 요소:
-
EWS - MMS 또는 콘솔을 통한 직접 계전기 인터페이스
-
점프 서버 / VPN - 원격 또는 중요 세그먼트에 대한 통제된 접근
-
터미널/직렬 콘솔 - 유지보수 및 문제 해결 목적으로 사용
-
- 접근 구성 요소:
- 포함요소:
- 스테이션 버스는 IED, 지역 운영자 시스템, SCADA 게이트웨이 및 변전소 자동화 시스템(SAS)을 연결합니다. 이는 조정, 데이터 집계, 이벤트 기록 및 제어 센터로의 데이터 전달을 담당합니다.
보호 계전기가 실제로 하는 일
현대 디지털 변전소에서 보호 계전기(더 정확하게는 IED라고 불림)는 기본적인 트립 및 경보 기능을 훨씬 뛰어넘어 진화했습니다. 이 장치들은 이제 실시간으로 고장을 감지하는 것뿐만 아니라 프로그래밍 가능한 로직을 실행하고, 이벤트 데이터를 기록하며, 디지털 및 레거시 시스템 간의 통신 중개자 역할을 하는 사이버-물리적 제어 지점 역할을 합니다.
핵심적으로, IED는 전압, 전류, 주파수 및 위상각과 같은 전기적 매개변수를 모니터링하고 과전류, 지락 고장 및 주파수 편차와 같은 조건에 반응합니다. 고장 감지 시, 이들은 일반적으로 한 전력 사이클(예: 4~20ms) 내에 차단기에 트립 명령을 내려 영향을 받는 구역을 안전하게 격리하고 장비 손상이나 연쇄 정전을 방지합니다.
-
전통적인 보호를 넘어서: 현대 IED는 완전 디지털화된 변전소에서 필수적인 풍부한 기능 세트를 제공합니다.
-
트립 로직 처리: 통합된 로직 엔진(예: SELogic, FlexLogic, CFC)은 여러 실시간 조건을 평가하여 언제, 어떻게, 그리고 트립, 차단 또는 허용할지 결정합니다.
-
이벤트 기록 및 고장 감식: 장치는 사건 순서(SER) 로그를 유지하고 고해상도 오실로그래피(파형 데이터)를 캡처하여 사후 이벤트 진단 및 근본 원인 분석을 지원합니다.
-
국소 자동화 기능: IED는 SCADA 또는 중앙 집중식 컨트롤러의 개입 없이도 자율적으로 전송 계획, 재폐로 시퀀스, 연동 및 경보 신호를 실행할 수 있습니다.
-
프로토콜 브리징 및 통신 통합: 대부분의 현대 계전기는 IEC 61850, DNP3, Modbus 및 IEC 60870-5-104를 포함한 여러 프로토콜을 지원하고 변환하여, 하이브리드 통신 환경에서 데이터 게이트웨이 또는 엣지 변환기 역할을 할 수 있습니다.
-
-
전력망 전반의 응용: 이러한 장치는 송전, 배전 및 산업 네트워크 전반에 걸쳐 신속한 고장 격리, 조정된 보호 및 신뢰할 수 있는 작동을 보장합니다.
-
-
송전 및 배전선 (예: SIPROTEC)
-
변압기 (예: ABB RET615)
-
피더, 모터 및 산업 부하 (예: GE D60)
-
-
공격자가 보호 계전기를 정찰하고 표적으로 삼는 방법
변전소가 디지털 제어 허브로 진화함에 따라, 보호 계전기와 같은 핵심 구성 요소는 더 이상 고립된 장치가 아닙니다. 이러한 IED는 이제 이더넷, 직렬-IP 변환기, USB 인터페이스, 그리고 드물게는 진단 또는 현장 도구에 사용되는 엄격하게 통제된 무선 링크를 통해 네트워크에 연결되어 있습니다.
이러한 연결성은 유지보수, 원격 엔지니어링 접근 및 실시간 가시성을 향상시키지만, 동시에 계전기를 무단 로직 수정, 프로토콜 악용 또는 침해된 엔지니어링 자산으로부터의 횡적 이동 위험에 노출시켜 사이버 공격 표면을 확장시킵니다.
인터넷으로부터의 정찰
공격자는 종종 OSINT(오픈 소스 인텔리전스)로 시작하여 조직의 디지털 및 운영 발자취 지도를 만듭니다. 그들은 처음부터 IED나 변전소를 찾는 것이 아니라, 그것들을 관리하는 '사람들'을 식별합니다.
-
사회적 정찰: LinkedIn, 엔지니어링 포럼 또는 공급업체 웨비나를 사용하여, 공격자는 "변전소 자동화 엔지니어", "계전기 보호 전문가" 또는 "SCADA 관리자"와 같은 직함을 찾습니다.
-
OSINT 타겟팅: 공개 이력서 및 RFI 문서에는 DIGSI, PCM600 또는 AcSELerator와 같은 소프트웨어가 언급될 수 있습니다. 심지어 유틸리티 엔지니어링 문서의 PDF 메타데이터도 사용자 이름, 워크스테이션 이름 또는 VPN 도메인을 노출할 수 있습니다.
-
인프라 스캐닝: Shodan 또는 Censys와 같은 도구는 노출된 VPN, 엔지니어링 포털 및 원격 접근 게이트웨이를 식별하는 데 도움이 됩니다. 이러한 시스템이 약한 인증을 지원하거나 오래된 펌웨어를 사용하는 경우, 초기 진입점이 됩니다.
-
취약한 공급업체 접근 악용: 많은 유틸리티는 여전히 계약자 및 OEM 공급업체를 위해 독립형 VPN 자격 증명을 사용합니다. 이러한 계정은 종종 중앙 집중식 ID 시스템을 우회하고, 2단계 인증(2FA)이 없으며, 여러 프로젝트에서 재사용됩니다.
IT 내부 정찰 — OT로의 경로 매핑
공격자가 IT 네트워크 내부에 발판을 확보하면(일반적으로 피싱, 자격 증명 탈취 또는 외부 노출된 서비스 악용을 통해), 다음 목표는 내부 정찰로 전환됩니다. 목표는 단순히 도메인 지배가 아니라, 변전소 또는 에너지 관리 시스템(EMS)과 같은 OT(운영 기술) 연결 자산으로의 횡적 이동입니다.
-
도메인 열거: BloodHound와 같은 도구를 사용하여 공격자는 OT 컨텍스트로 태그된 계정, 공유 및 시스템(예:
scada_substation_admin
과 같은 사용자 이름,scada_project
및scada_communication
과 같은 그룹)에 대한 Active Directory를 매핑합니다.
이 단계는 공격자가 고가치 사용자 및 관련 장치를 정확히 찾아내어 OT 자산과 상호 작용할 가능성이 있는 엔지니어링 직원, 계약자 또는 제어 센터 인력의 명단을 작성할 수 있게 해줍니다.
- 워크스테이션 및 서버 접근: 도메인 권한 및 OT 중심 정보로 무장한 공격자는 식별된 엔지니어가 사용하는 워크스테이션 또는 터미널 서버를 표적으로 삼습니다. 이러한 엔드포인트는 다음과 같은 변전소 관련 데이터가 풍부합니다.:
-
-
계전기 구성 파일(.cfg, .prj, .set)
-
IDMZ 접근을 위한 VPN 자격 증명 또는 프로필
-
자동화 스크립트 또는 연결 관리자에 내장된 비밀번호
-
일반적으로 사용되는 점프 호스트를 나타내는 접근 로그 또는 RDP 기록
-
-
이 단계에서 공격자는 더 이상 무작정 스캔하는 것이 아니라, IT에서 OT로의 경로를 식별하기 위해 고도로 문맥적인 움직임을 실행합니다.
IDMZ 침투 — 마지막 경계 넘기
수집된 VPN 자격 증명, 하드 코딩된 SSH 키 또는 점프 호스트 세부 정보를 사용하여 공격자는 DMZ로 진입을 시도합니다. 이 영역은 일반적으로 IT와 OT 간의 통신을 중재하며, 다음을 통해 접근될 수 있습니다.
-
엔지니어링 점프 호스트(이중 연결 시스템, 종종 덜 모니터링됨)
-
자격 증명이 재사용되는 부실하게 분할된 RDP 게이트웨이
-
방화벽 또는 원격 접근 서버의 노출된 관리 포트
IDMZ에 일단 진입하면, 공격자는 접근 가능한 서브넷을 매핑하고 실제 변전소로의 잠재적인 경로를 식별합니다.
변전소 발견 및 기술적 열거
공격자가 침해된 VPN 자격 증명, 엔지니어링 점프 호스트 또는 기업과 OT 도메인을 연결하는 이중 연결 자산을 통해 변전소 네트워크로 성공적으로 진입하면, 다음 단계는 변전소 환경을 조용히 열거하는 것입니다. 이 시점에서 그들은 더 이상 광범위하게 스캔하지 않고, 특히 보호 계전기와 같은 고가치 자산을 식별하고 격리하기 위한 표적 정찰을 수행합니다.
공격자는 전체 포트 스윕을 사용하는 nmap
과 같은 시끄러운 도구 대신, 산업용 네트워크에 맞춤화된 더 은밀한 기술에 의존합니다. 여기에는 침입 탐지 시스템이나 로그 상관 관계 엔진을 트리거하는 것을 피하기 위한 수동적 트래픽 스니핑 및 프로토콜별 프로빙이 포함됩니다. 예를 들어, 맞춤형 파이썬 또는 Scapy 스크립트를 사용하여 공격자는 IEC 61850 MMS, DNP3, 또는 Modbus와 같은 프로토콜에 대해 최소한의 핸드셰이크 패킷을 발행하고, 장치가 조작된 요청에 어떻게 응답하는지 관찰할 수 있습니다. 이는 대량의 프로브를 보내지 않고도 장치 유형과 기능을 지문 채취하는 데 도움이 됩니다.
동시에 MAC 주소 분석은 공급업체를 식별하는 데 중요한 역할을 합니다. 많은 산업용 장치는 특정 전력 제어 시스템 제조업체에 고유한 식별 가능한 접두사를 사용합니다. 공격자는 종종 이를 활용하여 보호 계전기를 HMI, RTU 또는 게이트웨이와 높은 정확도로 구별합니다.
또한, span 포트에 미러링된 트래픽을 관찰하거나 스위치 트렁크에서 수동적 스니핑을 통해, 공격자는 GOOSE 메시지, 샘플링 값(SV), 또는 활성 계전기 통신을 나타내는 하트비트 신호를 탐지할 수 있습니다. 이러한 트래픽 패턴은 활성 IED의 존재를 확인하고, 경우에 따라 장치의 운영 역할이나 논리적 영역을 추론하는 데 도움이 됩니다.
계전기, 프로토콜 게이트웨이 및 엔지니어링 HMI가 식별되면, 공격자는 더 깊은 기술적 열거를 시작합니다. 이 단계에서 그들은 Telnet, HTTP, FTP 또는 MMS와 같이 각 장치에 노출된 서비스가 무엇인지 분석하고, 펌웨어 버전, 계전기 모델 또는 일련 번호를 드러내는 배너 정보나 포트 응답을 수집합니다. 약한 인증 또는 레거시 구성을 가진 장치가 악용을 위해 우선순위가 부여됩니다.
공격자는 다음으로 장치 매뉴얼에서 쉽게 얻을 수 있는 공장 설정 또는 기본 자격 증명을 사용하여 로그인하려고 시도할 수 있습니다. 놀랍게도, 이러한 자격 증명은 허술한 시운전 절차 때문에 많은 변전소에서 여전히 활성화되어 있습니다. 로그인이 성공하면, 공격자는 수동적 열거에서 능동적 제어로 전환하여 보호 설정, 트립 로직 및 계전기 이벤트 로그를 보거나 수정할 수 있는 능력을 얻게 됩니다.
계전기가 적절한 자격 증명이나 접근 제어로 강화되어 있다면, 공격자는 로컬 연결을 통해 후면 패널 직렬 포트에 접근하거나 터미널 서버에 연결된 직렬-IP 브리지를 프로빙하는 것과 같은 다른 방법을 시도할 수 있습니다. 일부 적대 세력은 침해된 엔지니어링 워크스테이션에서 발견된 공급업체 소프트웨어(예: DIGSI, AcSELerator, PCM600)를 사용하여 계전기 구성 프로젝트를 열고, 프로그래밍 가능한 로직(예: SELogic 또는 FlexLogic)을 검토하며, 신뢰할 수 있는 인터페이스를 통해 변경 사항을 만들기도 했습니다.
변전소 환경의 또 다른 중요한 위험은 문서화되지 않거나 숨겨진 장치 기능의 존재입니다. CISA 권고 ICSA-24-095-02에서 강조되었듯이, SEL 700-시리즈 보호 계전기에는 권한 있는 사용자가 접근할 수 있는 문서화되지 않은 기능이 포함되어 있음이 발견되었습니다.
이와는 별개로, 일부 계전기는 하드 코딩된 또는 공급업체 진단 계정을 통해 백도어 Telnet 접근을 노출할 수 있습니다. 이러한 인터페이스는 종종 기본적으로 활성화되어 있고 문서화되지 않은 채로 남아 있어, 공격자에게 펌웨어를 주입하거나, 구성을 삭제하거나, 차단기를 직접 트립하거나 비활성화할 수 있는 명령을 내릴 기회를 줍니다.
조용하지만 매우 효과적인 이 정찰 단계가 끝날 무렵, 공격자는 보호 계전기 환경을 매핑하고, 장치 노출을 평가하며, 접근 경로를 식별했습니다. 그들은 이제 네트워크를 이해하는 것에서 각 계전기가 실제로 무엇을 제어하는지 이해하는 것으로 초점을 옮기며, 다음 단계인 프로세스 인식 열거로 진입합니다.
프로세스 인식 열거
공격자가 변전소 네트워크를 조용히 매핑한 후(보호 계전기, 프로토콜 게이트웨이, 엔지니어링 HMI를 식별하고 어떤 장치가 불안전한 서비스를 노출하는지 확인한 후), 그들의 초점은 표면적인 정찰에서 운영적 맥락을 얻는 것으로 옮겨갑니다. 단순히 발견하는 것만으로는 충분하지 않습니다. 어떤 침해가 전략적 영향을 미치려면, 적대 세력은 이 장치들이 물리적 전력 시스템과 어떻게 상호 작용하는지 이해해야 합니다.
여기서 프로세스 인식 열거(Process-Aware Enumeration)가 시작됩니다. 공격자는 더 이상 아무 계전기나 제어하는 것에 관심이 없습니다. 그들은 올바른 계전기를 제어하기를 원합니다. 이는 각 장치가 무엇을 보호하는지, 차단기 체계에 어떻게 연결되어 있는지, 그리고 변전소 토폴로지 내에서 그 역할이 무엇인지 이해하는 것을 의미합니다.
엔지니어링 워크스테이션 또는 백업 파일 공유에 대한 접근 권한으로 무장한 공격자는 종종 SCADA HMI 화면이나 프로젝트 폴더의 문서에서 변전소의 단선도(single-line diagrams, SLDs)를 검토합니다. 이 다이어그램은 변압기, 피더, 모선과 같은 전기적 아키텍처를 드러내고 각 계전기가 정확히 어디에 위치하는지 보여줍니다. "BUS-TIE PROT" 또는 "LINE A1 RELAY"와 같은 식별자는 구성 파일과 상호 연관되어 보호 영역을 결정합니다.
계전기 이름을 차단기 제어 로직 및 보호 설정과 상호 연관시킴으로써, 공격자는 영역 계층 구조를 매핑합니다: 1차 및 백업 계전기, 이중화 그룹, 그리고 장치 간의 의존성입니다. 그들은 어떤 계전기가 자동 재폐로 로직에 연결되어 있는지, 어떤 계전기가 동기 검사 연동을 가지고 있는지, 그리고 어떤 출력이 여러 피더에 걸쳐 공유되는지를 식별합니다.
이러한 통찰력은 정밀한 표적화를 가능하게 합니다. 예를 들어, 즉각적인 경보를 울릴 수 있는 전반적인 보호 기능 비활성화 대신, 공격자는 1차 계전기를 건드리지 않고 백업 계전기의 트립을 억제할 수 있습니다. 또는 교란이 확산될 때까지 고장이 제거되지 않도록 로직을 수정하여 더 넓은 정전 사태를 위한 조건을 만들 수 있습니다.
이 단계에서 공격자는 계전기를 단순히 네트워크 장치로 악용하는 것이 아닙니다. 그들은 계전기를 변전소 자체의 제어 표면으로 다루고 있습니다. 깊은 프로세스 맥락을 손에 넣은 공격자는 정찰에서 익스플로잇으로 이동합니다: 로직을 조작하고, 보호 임계값을 변경하며, 악성 펌웨어를 주입하거나, 차단기 명령을 위장합니다. 그리고 그들의 변경 사항이 시스템 토폴로지와 일치하기 때문에, 탐지를 최소화하면서 영향을 극대화합니다.
보호 계전기 악용의 실제 예시
네트워크 인식과 전기적 프로세스 이해의 결합은 현대 변전소 공격을 특히 위험하게 만듭니다. 그리고 이것이 바로 보호 계전기가 침해될 때, 전력망에서 가장 가치가 높은 사이버-물리적 표적 중 하나인 이유입니다.
공격자들이 그러한 지식을 어떻게 운영에 적용하는지 설명하기 위해, 변전소 전반에 걸쳐 널리 배포된 장치인 SEL-311C 계전기를 포함하는 실제 사례를 살펴보겠습니다. 참고: 이 예시는 SEL에 초점을 맞추고 있지만, 여기에 설명된 전술은 ABB, GE, Siemens, Schneider Electric과 같은 다른 주요 OEM 공급업체의 유사한 계전기에도 광범위하게 적용됩니다. 또한, 이 섹션에 제시된 정보는 알려지지 않은 취약점이나 독점 정보가 아니라, 공격자가 내장된 장치 기능을 사용하여 적대적인 목표를 달성할 수 있는 잠재력을 보여줍니다.


그림 2: SEL-311C 보호 계전기에 대한 공격 벡터
물리적 접근
공격자가 전면 패널을 통해 또는 인클로저를 열어 보호 계전기에 물리적으로 접근하면, 계전기의 메인 보드에 위치한 내부 접근 점퍼를 토글하여 하드웨어 오버라이드를 트리거할 수 있습니다. 이는 모든 소프트웨어 기반 인증을 우회하고 로그인 없이 무제한적인 명령 레벨 접근을 허용합니다. 일단 접근하면, 공격자는 보호 설정을 수정하고, 비밀번호를 재설정하며, 알람을 비활성화하거나 직접 차단기 명령을 내리는 등 계전기를 완전히 제어할 수 있습니다.
하지만, 적절한 안전 장치가 마련되어 있다면 이러한 침입은 탐지될 수 있습니다. 대부분의 현대 변전소에는 전자식 접근 제어 시스템(EACS)과 SCADA 통합 도어 알람이 통합되어 있습니다. 캐비닛 문이 인증된 사용자(배지 출입 또는 작업자 체크인) 없이 열리면, 현장 대응팀이나 보안 인력에게 경보가 전달될 수 있습니다.
계전기 자체도 물리적 접근 이벤트에 대한 원격 측정 데이터를 제공합니다. 예를 들어, SEL 계전기는 올바른 비밀번호가 입력된 경우에도 2ACCESS
명령 사용 시 ALARM 접점 출력을 펄스합니다. 인증 시도 실패는 BADPASS 논리 비트를 활성화하고, SETCHG는 무단 설정 수정을 표시합니다. 이러한 SEL WORD는 SCADA 또는 보안 탐지 시스템을 통해 지속적으로 모니터링되어 변조 증거를 찾을 수 있습니다.
계전기 인증을 우회하기 위해 점퍼를 토글하려면 일반적으로 장치의 전원을 재부팅해야 하는데, 이는 그 자체로 알람을 트리거하거나 운영 검토 중에 플래그 지정될 수 있는 방해적인 행위입니다.
환경을 더욱 강화하기 위해, 유틸리티들은 펌웨어 무결성을 추적하고, 로직 업로드를 제어하며, 접근 제어 메커니즘과 연계된 버전 관리를 강제하는 중앙 집중식 계전기 관리 도구(예: SEL Grid Configurator, GE Cyber Asset Protection 또는 Subnet PowerSystem Center와 같은 공급업체 중립적 도구)를 점점 더 많이 배포하고 있습니다.
고신뢰 배포 환경에서는, 계전기 구성 파일이 종종 암호화되고, 접근이 제한되며, 다중 인증으로 보호되어, 장치가 물리적으로 침해되더라도 롤백 공격이나 횡적 이동의 위험을 줄입니다.
명령 인터페이스 및 목표
자격 증명 오용, 노출된 네트워크 서비스, 또는 직접적인 하드웨어 우회를 통해 접근이 확보되면, 공격자는 이제 계전기에 실시간 명령을 내릴 수 있는 위치에 있게 됩니다. 이 단계에서는 정찰에서 조작으로 초점이 옮겨가며, 내장된 인터페이스를 활용하여 보호 로직을 무시하고 전력 시스템 동작에 직접적인 영향을 미칩니다.
실제 시나리오에서 이러한 공격이 어떻게 전개되는지 살펴보겠습니다.
-
수동 차단기 조작: 공격자는 계전기에 직접 제어 명령을 내려 고장을 시뮬레이션하거나 작동을 방해할 수 있습니다.
-
예시 명령어:
-
==>PUL OUT101 5 ; 5초 동안 출력 펄스를 보내 차단기 트립
-
=>CLO ; 강제로 차단기 닫기
-
=>OPE ; 강제로 차단기 열기
-
-
이러한 명령은 전통적인 보호 로직을 우회하여 계전기가 필요에 따라 차단기를 열거나 닫도록 합니다. 이는 중요한 피더를 격리하거나, 인위적인 고장을 만들거나, 과부하 상태를 유발할 수 있으며, 이 모든 것은 표준 고장 감지 시퀀스를 트리거하지 않고 이루어집니다.
-
-
프로그래밍 가능한 트립 로직 조작
-
SEL(SELogic), GE(FlexLogic), ABB(CAP 도구), Siemens(CFC)와 같은 현대 보호 계전기는 내장된 제어 언어를 통해 맞춤형 트립 로직을 지원합니다. 이러한 프로그래밍 가능한 로직 엔진은 유틸리티가 현장별 요구사항에 맞게 보호 체계를 조정할 수 있게 합니다. 그러나 이 강력한 기능은 동시에 중요한 공격 표면을 초래합니다. 공격자가 특권 접근 권한을 얻으면, 핵심 로직 수식을 조작하여 합법적인 트립을 억제하거나, 허위 작동을 유발하거나, 정상적인 보호 동작을 회피하는 은밀한 백도어를 내장할 수 있습니다.
이 로직 체인에서 가장 중요한 표적 중 하나는 계전기가 차단기로 트립 명령을 보낼지 여부를 결정하는 내부 제어 신호인 트립 요청(TR) 출력입니다.TR
수식은 계전기가 트립을 시작해야 하는 고장 조건을 명시합니다. 각 요소는 구역 거리, 과전류 감지 또는 차단기 위치와 같은 보호 기능 또는 상태 입력을 나타내며, 이들은 집합적으로 조정된 계전기 응답의 기초를 형성합니다.
계전기 작동 체인에서TR
수식은 보호 로직의 핵심에 있습니다.
-


그림 3: 보호 계전기 작동 체인 내의 TR 로직 평가
SEL 장치에서, TR 로직은 일반적으로 SELogic 제어 수식을 사용하여 정의됩니다. 대표적인 예시는 다음과 같습니다.
TR = M1P + Z1G + M2PT + Z2GT + 51GT + 51QT + 50P1 * SH0
아래 표 1은 각 요소에 대한 설명을 포함하고 있습니다.
표 1: TR 수식의 요소
컨트롤 수식에서 +
연산자는 논리적 OR을 의미하고, *
는 논리적 AND를 의미합니다. 따라서 이 로직은 다음의 경우 TR
(트립 요청)을 활성화합니다.
-
-
-
-
-
나열된 고장 요소(거리, 과전류) 중 하나라도 활성화되거나,
-
차단기가 닫혀 있는 동안 순시 과전류가 발생하는 경우
-
-
-
-
결과적으로, 다음의 경우 차단기는 트립됩니다.
-
-
-
-
-
Zone 1 또는 Zone 2에서 상(phase) 또는 지락(ground) 고장이 감지되는 경우
-
한시 과전류 조건이 발생하는 경우
-
또는 차단기가 동작 중일 때 순시 과전류 스파이크가 발생하는 경우
-
-
-
-
공격자가 TR Logic을 악용하는 방법
공격자는 편집 권한을 얻어 보호 로직을 조작하여 보호 기능을 억제하거나, 허위 트립을 유발하거나, 은밀한 백도어를 주입할 수 있습니다.
아래 표 2는 일반적인 로직 조작 사례를 보여줍니다.
표 2: TR 로직 폭탄
고정 트립(ULTR) 비활성화
- ULTR = 0
- 영향: 트립 후 계전기가 재설정되는 것을 방지합니다. 차단기는 수동으로 재설정될 때까지 계속 열려 있어 복구가 지연되고 정전 시간이 길어집니다.
재폐로 로직 악용
- 79RI = 1 ; 즉시 재폐로
- 79STL = 0 ; 감독 로직 건너뛰기
- 영향: 지속적인 고장이 있는 경우에도 차단기를 반복적으로 재폐로하도록 강제합니다. 이는 변압기 권선 손상, 차단기 접점 소손 또는 진동성 고장을 유발할 수 있습니다.
LED 위장
- LED12 = !TRIP
- 영향: 계전기 전면 패널이 트립된 상태에서도 "정상(healthy)" 상태를 표시합니다. 육안 검사 시 현장 기술자를 오도합니다.
이벤트 보고서 변조
- =>EVE ; 최신 이벤트 보기
- =>TRI ; 수동으로 보고서 트리거
- =>SER C ; 사건 순서 기록기 지우기
- 영향: 증거를 지워 공격자의 흔적을 감춥니다. 사건 순서 기록기(SER) 로그 및 트립 이력을 삭제하여 사후 이벤트 감식을 방해합니다.
거리 보호 설정 변경
-
계전기 보호 시퀀스에서, 거리 보호(distance protection)는 차단기 명령을 내리기 위한 트립 로직이 실행되기 전에 임피던스를 기반으로 고장 조건을 평가하는, 결정 체인의 더 앞 단계에서 작동합니다.


그림 4: 계전기 작동 체인 내의 거리 보호 설정
- 영향: 거리 보호는 미리 정의된 송전선 구간(일반적으로 선로 길이의 80~100%가 Zone 1) 내의 고장을 감지하기 위해 정확하게 설정된 임피던스 도달 범위(Z1MAG)와 임피던스 각도(Z1ANG)에 의존합니다. 이러한 값을 조작하면 다음과 같은 결과를 초래할 수 있습니다.
- 도달 범위 미달(Under-Reaching): Z1MAG를 0.3으로 줄이면 계전기는 선로 길이의 30% 내의 고장만 감지하게 되어, 보호 구역의 나머지 70%에 대한 고장을 인지하지 못하게 됩니다. 이는 백업 보호가 제때 작동하지 않을 경우 트립 실패, 고장 제거 지연 및 연쇄적인 고장을 초래할 수 있습니다.
- 임피던스 각도 오정렬(Impedance Angle Misalignment): Z1ANG을 변경하면 방향 민감도 및 고장 분류에 영향을 미칩니다. 각도가 시스템 특성에서 벗어나면, 계전기는 고장을 오분류하거나 특히 지하 케이블이나 직렬 보상 선로와 같은 복잡한 선로 구성에서 고저항 고장을 식별하지 못할 수 있습니다.
- 허위 트립(False Trips): 특정 조건, 특히 과부하 또는 부하 침범 시 잘못 구성된 거리 구역은 정상적인 부하 흐름을 고장으로 해석하여 불필요한 트립 및 정전을 유발할 수 있습니다.
- 선택성 및 협조 손상(Compromised Selectivity & Coordination): 다른 계전기(예: Zone 2 또는 원격 끝단의 Zone 1)와의 거리 요소 협조가 신뢰할 수 없게 되어, 보호 구역의 중첩 또는 공백으로 이어져 선택적 보호의 핵심 원칙을 무력화시킵니다.
공장 기본값 복원
- =>>R_S
- 영향: 모든 강화된 설정, 비밀번호 보호 및 맞춤형 로직을 삭제합니다. 계전기를 안전하지 않은 공장 상태로 되돌립니다.
지속성을 위한 비밀번호 수정
- =>>PAS 1 <newpass>
- 영향: 합법적인 사용자를 차단합니다. 장기간 공격자의 접근을 유지합니다. 사고 대응 시 운영자가 변경 사항을 신속하게 되돌리는 것을 방지합니다.
여전히 많은 환경에서 놓치고 있는 것들
보안에 대한 인식, 교육, 그리고 사고 대응 지침이 증가하고 있음에도 불구하고, 많은 변전소와 중요 인프라 시설은 여전히 근본적인 보안 취약점을 가지고 있습니다. 이는 단순한 실수라기보다는 변전소의 수명 주기 관리, 레거시 시스템의 관성, 그리고 중요 전력망 인프라의 운영 제약 조건에 의해 형성된 시스템적인 문제입니다.
변전소 사이버 보안 현대화는 단순히 새로운 정책을 발표하거나 최신 도구를 구매하는 것만큼 간단하지 않습니다. 변전소는 일반적으로 10년 주기로 대규모 업그레이드가 이루어지며, 이는 전체 네트워크를 재설계하기보다는 부품 교체에 그치는 경우가 많습니다. 암호화된 프로토콜, 중앙 집중식 접근 제어 또는 펌웨어 검증과 같은 최신 보안 기능을 통합하려면 컴퓨터를 추가하고, 대역폭을 늘리며, 중앙 집중식 키 관리 시스템을 도입해야 하는 경우가 많습니다. 이러한 변경 사항은 IT 등급의 유연성이 아닌, 결정론적이고 낮은 지연 시간 통신을 위해 구축된 대역폭 제약 환경에서는 사소한 문제가 아닙니다.
상황을 더욱 복잡하게 만드는 것은 공급업체의 제품 주기가 인프라 업데이트 주기보다 빠르다는 점입니다. 새로운 보호 계전기나 펌웨어 플랫폼이 수백 개의 변전소는 물론, 심지어 한 유틸리티의 전체 시설에 완전히 배포되기도 전에 단종되거나 재작업되는 것은 드문 일이 아닙니다.
그 결과는 무엇일까요? 공격자들이 계속해서 악용하는 레거시 프로토콜, 취약한 구성, 그리고 불완전한 업그레이드의 혼합물입니다. 다음 섹션에서는 가장 중요하고 지속적인 격차, 그것들이 여전히 존재하는 이유, 그리고 현실적으로 이를 해결하기 위해 무엇을 할 수 있는지 살펴보겠습니다.
이 섹션은 실제 환경에서 관찰되는 가장 일반적이고 위험한 보안 문제들을 강조합니다.
- 활성화된 채로 방치된 레거시 프로토콜
- 계전기에는 종종 다음과 같은 오래된 통신 프로토콜이 함께 제공됩니다.
- Telnet (암호화되지 않은 원격 접근)
- FTP (안전하지 않은 파일 전송)
- Modbus RTU/TCP (인증 또는 암호화 부족)
- 이러한 프로토콜은 기본적으로 활성화된 채로 방치되는 경우가 많아, 계전기가 다음 위험에 노출됩니다.
- 자격 증명 스니핑
- 패킷 조작
- 무단 제어 명령
- 권장 사항: 가능한 경우, 레거시 서비스를 비활성화하고 보안 대안(예: SSH, SFTP, 또는 보안된 GOOSE/MMS를 위한 IEC 62351)으로 전환해야 합니다. 오래된 서비스를 유지해야 하는 경우, VLAN, 방화벽, 그리고 역할 기반 제어를 통해 접근을 엄격하게 제한해야 합니다.
- 계전기에는 종종 다음과 같은 오래된 통신 프로토콜이 함께 제공됩니다.
- 고립되지 않은 IT/OT 네트워크 융합
- 현대 변전소는 엔터프라이즈 IT 환경과 네트워크 인프라를 공유할 수 있습니다.
- 변전소 네트워크로의 VPN 접근
- SCADA 시스템과 계전기 네트워크 간의 공유 스위치 또는 VLAN
- 방화벽 또는 접근 제어 목록(ACL) 부족
- 이는 보호 계전기를 악성코드 전파, 랜섬웨어 또는 침해된 IT 자산으로부터의 횡적 이동에 노출시킵니다.
- 권장 사항: 방화벽, ACL, 그리고 전용 보호 구역을 사용하여 엄격한 네트워크 분리를 구축해야 합니다. 모든 원격 접근은 MFA(다중 인증), 세션 기록, 그리고 Just-In-Time 접근 제어를 갖춘 PAM(Privileged Access Management) 플랫폼을 통해 라우팅되어야 합니다.
- 현대 변전소는 엔터프라이즈 IT 환경과 네트워크 인프라를 공유할 수 있습니다.
- 기본값 또는 취약한 계전기 비밀번호
- 레드팀 및 감사 활동에서, 기본 자격 증명은 여전히 현장에서 발견되며, 때로는 계전기 섀시 자체에 인쇄되어 있기도 합니다.
- LEVEL2, ADMIN, OPERATOR와 같은 공장 수준의 비밀번호가 변경되지 않은 채로 남아 있습니다.
- 장치에 물리적으로 비밀번호가 부착되어 있습니다
- 현장 팀 간의 비밀번호 공유는 책임성을 훼손합니다.
- 이러한 관행은 운영 편의성, 중앙 집중식 자격 증명 관리의 부재, 그리고 현장 장치 업데이트의 어려움 때문에 지속됩니다.
- 권장 사항: 중앙 집중식 계전기 관리 도구를 통해 정기적인 순환이 이루어지는 현장별, 역할 기반 자격 증명을 의무화해야 합니다. 모든 접근 시도 및 비밀번호 변경에 대한 감사 로깅을 보장해야 합니다.
- 레드팀 및 감사 활동에서, 기본 자격 증명은 여전히 현장에서 발견되며, 때로는 계전기 섀시 자체에 인쇄되어 있기도 합니다.
- 사용되지 않는 내장 보안 기능
- OEM 공급업체는 이미 여러 내장 보안 기능을 제공하지만, 이들은 운영 환경에서 거의 구성되지 않습니다. 역할 기반 접근 제어(RBAC), 보안 프로토콜 강제(예: HTTPS, SSH), 사용자 수준 감사 기록, 비밀번호 재시도 잠금, 그리고 BADPASS 또는 SETCHG 비트와 같은 경고 트리거와 같은 보안 기능은 일반적으로 시운전 중에 비활성화되거나 무시됩니다. 많은 경우, 이러한 기능은 시간 제약, 정책 시행 부족 또는 현장 엔지니어의 불충분한 숙련도 때문에 평가조차 되지 않습니다.
이러한 간과 패턴은 신속성 또는 호환성을 위해 보안 기능이 기본 또는 가장 덜 제한적인 상태로 남겨지는 레거시 시운전 템플릿을 상속받은 환경에서 특히 흔합니다. - 권장 사항: 보안 구성은 시운전 중에 명시적으로 검토되어야 하며, 정기적으로 검증되어야 합니다. 최소한 다음을 수행해야 합니다.
- RBAC를 활성화하고 사용자 수준 권한 계층을 강제합니다.
- BADPASS, ALARM, SETCHG 및 유사한 계전기 로직 비트를 구성하여 실시간 원격 측정 데이터를 생성합니다.
- 지원되는 경우 보안 프로토콜(HTTPS, SSH, IEC 62351)을 사용합니다.
- 보안 비트 변경 및 접근 로그를 중앙 SIEM 또는 NMS 플랫폼에 통합하여 상관관계 분석 및 경고를 설정합니다.
- OEM 공급업체는 이미 여러 내장 보안 기능을 제공하지만, 이들은 운영 환경에서 거의 구성되지 않습니다. 역할 기반 접근 제어(RBAC), 보안 프로토콜 강제(예: HTTPS, SSH), 사용자 수준 감사 기록, 비밀번호 재시도 잠금, 그리고 BADPASS 또는 SETCHG 비트와 같은 경고 트리거와 같은 보안 기능은 일반적으로 시운전 중에 비활성화되거나 무시됩니다. 많은 경우, 이러한 기능은 시간 제약, 정책 시행 부족 또는 현장 엔지니어의 불충분한 숙련도 때문에 평가조차 되지 않습니다.
- 오래된 펌웨어 도구를 사용하는 엔지니어링 노트북
- OEM 공급업체는 알려진 보안 취약점과 버그를 수정하기 위해 펌웨어 업데이트를 출시합니다. 하지만, 다음과 같은 문제가 있습니다.
- 엔지니어링 노트북은 종종 오래된 구성 소프트웨어를 사용합니다.
- 오래된 펌웨어 로더는 레거시 또는 취약한 버전을 업로드할 수 있습니다.
- 보안 패치가 완전히 누락됩니다.
- 권장 사항: 검증된 펌웨어 서명, 신뢰할 수 있는 툴체인, 그리고 통제된 USB/미디어 사용으로 강화된 엔지니어링 기준선을 유지해야 합니다. 취약점 노출을 파악하기 위해 전체 시설의 펌웨어 버전을 추적해야 합니다.
- OEM 공급업체는 알려진 보안 취약점과 버그를 수정하기 위해 펌웨어 업데이트를 출시합니다. 하지만, 다음과 같은 문제가 있습니다.
- 구성 또는 로직 변경에 대한 경고 부재
- 보호 계전기는 SELogic 및 FlexLogic과 같은 고급 로직 및 자동화 기능을 지원하지만, 많은 환경에서 변경에 대한 경고가 구성되어 있지 않습니다. 이로 인해 공격자(또는 내부 위협)가 다음을 조용히 수행하기 쉽습니다.
- 보호 로직 수정
- 설정 그룹 전환
- 경보 또는 트립 억제
- 권장 사항: 설정, 로직 또는 출력 변경에 대한 계전기 측 이벤트 기반 경고를 활성화해야 합니다. 무단 로직 업로드 또는 의심스러운 계전기 동작을 탐지할 수 있는 중앙 SIEM 또는 보안 운영 플랫폼으로 로그를 전달해야 합니다.
- 보호 계전기는 SELogic 및 FlexLogic과 같은 고급 로직 및 자동화 기능을 지원하지만, 많은 환경에서 변경에 대한 경고가 구성되어 있지 않습니다. 이로 인해 공격자(또는 내부 위협)가 다음을 조용히 수행하기 쉽습니다.
- 보안 감사 또는 패치 주기에 포함되지 않는 계전기
- 계전기는 종종 다음과 같은 정기적인 보안 관행에서 제외됩니다.
- 취약점 스캔 대상에서 제외
- 패치 관리 시스템에 포함되지 않음
- 구성 무결성 모니터링 또는 버전 추적 없음
- 이러한 사각지대는 매우 중요한 자산을 관리되지 않은 채로 방치하며, 잠재적으로 악용될 수 있게 합니다.
- 권장 사항: 보호 계전기를 사이버 보안 거버넌스 범위에 포함시켜야 합니다. 정기적인 감사, 패치 계획, 그리고 구성 모니터링을 실시해야 합니다. 공급업체 플랫폼 또는 제3자 계전기 관리 도구를 통해 설정 무결성을 검증하고 변조를 탐지할 수 있는 도구를 사용해야 합니다.
- 계전기는 종종 다음과 같은 정기적인 보안 관행에서 제외됩니다.
- 모니터링되지 않는 물리적 변조 탐지 기능
- 많은 현대 보호 계전기에는 장치 인클로저가 열리거나 물리적으로 조작되었을 때 운영자에게 경고하도록 설계된 하드웨어 기반 변조 탐지 기능이 포함되어 있습니다. 여기에는 다음이 포함될 수 있습니다.
- 케이스가 열렸을 때 디지털 입력 또는 내부 플래그를 트리거하는 섀시 변조 스위치
- 계전기 로직 또는 상태 비트를 통해 읽을 수 있는 접근 점퍼 위치 모니터링
- 전력 재부팅 탐지, 특히 점퍼가 토글될 때 관련 있음 (예: SEL 계전기는 점퍼 변경을 적용하기 위해 전력 재설정이 필요함).
- 예기치 않은 재부팅 또는 조작 후 로직 재설정을 나타내는 계전기 와치독 또는 시스템 고장 플래그
- 이러한 물리적 무결성 지표는 사용 가능함에도 불구하고 SCADA 시스템에 연결되거나 알람 로직에 포함되는 경우가 드뭅니다. 결과적으로, 공격자는 계전기를 열고, 접근 점퍼를 트리거하거나, 악성 SD 카드를 삽입해도 다른 제어 장치가 마련되어 있지 않으면 실시간 추적을 남기지 않을 수 있습니다.
- 권장 사항: 유틸리티는 사용 가능한 모든 하드웨어 변조 지표를 활성화하고 모니터링해야 합니다.
- 즉각적인 경고를 위해 변조 스위치 또는 디지털 입력 변경을 RTU 또는 SCADA에 연결합니다.
- 이를 지원하는 계전기의 ALARM, TAMPER, SETCHG 또는 유사한 로직 비트를 모니터링합니다.
- 물리적 접근이 예정된 유지보수 기간 외에 발생하면 플래그를 올리도록 배지 접근 로그 또는 키카드 시스템과 상관관계 분석을 위한 경고 로직을 구성합니다.
- 물리적 변조 상태를 변전소 보안 모니터링 대시보드 또는 침입 탐지 플랫폼의 일부로 포함합니다.
- 많은 현대 보호 계전기에는 장치 인클로저가 열리거나 물리적으로 조작되었을 때 운영자에게 경고하도록 설계된 하드웨어 기반 변조 탐지 기능이 포함되어 있습니다. 여기에는 다음이 포함될 수 있습니다.
간과에서 행동으로 — 계전기 보안을 위한 새로운 기준
이전에 개괄된 취약점들은 고립된 사례에 국한되지 않고, 전 세계의 변전소, 유틸리티, 그리고 산업 현장 전반에 걸친 시스템적인 패턴을 반영합니다. 연결성이 증가함에 따라 공격 표면이 확장되고, 공격자들이 보호 로직을 표적으로 삼는 데 더욱 정교해짐에 따라, 이러한 보안 간과를 더 이상 무시할 수 없습니다.
하지만 보호 계전기 보안은 완전히 새로운 것을 만드는 것을 요구하지 않습니다. 이는 실제 사건, 레드팀 평가, 그리고 수십 년에 걸친 전력 시스템 엔지니어링의 지혜에서 도출된 기본적인 보안 관행을 일관되게 적용하는 것에서 시작됩니다.
이러한 관행은 기존 환경에 사후 적용될 수 있지만, 보안은 나중에 덧붙여지는 것이 아니라 설계 단계부터 구축될 때 가장 효과적이라는 점을 강조하는 것이 중요합니다. 취약한 운영 환경에 제어 장치를 사후 적용하는 것은 종종 더 많은 복잡성, 위험, 그리고 오류의 여지를 초래합니다. 장기적인 복원력을 위해서는 보안 고려 사항이 초기 설계 및 시운전 단계부터 시스템 아키텍처에 내장되어야 합니다.
자산 소유자, 엔지니어, 그리고 사이버 보안팀이 방어 가능하고 공급업체에 구애받지 않는 기준선을 확립하는 데 도움을 주기 위해, Mandiant는 프로토콜, 공급업체, 아키텍처 전반에 적용 가능한 집중적이고 실행 가능한 프레임워크인 "변전소 계전기를 위한 상위 10가지 보안 실천 방안"을 정리했습니다.
이 목록을 개발하면서 Mandiant는 더 넓은 ICS 보안 커뮤니티, 특히 산업 자동화 및 안전 계측 분야의 전문가들이 개발한 "안전한 PLC 코딩을 위한 상위 20가지 실천 방안"과 같은 이니셔티브에서 영감을 얻었습니다. 보호 계전기가 PLC와 동일하지는 않지만, 펌웨어 기반 로직, 중요한 프로세스 영향력, 그리고 제한된 오류 허용성 등 많은 특성을 공유합니다.
"안전한 PLC 코딩을 위한 상위 20가지 실천 방안"은 로직 기반 제어 시스템을 위한 안전한 프로그래밍 대화의 틀을 만들었고, Mandiant는 이 "변전소 계전기를 위한 상위 10가지 보안 실천 방안" 목록이 보호 엔지니어링 영역에서 유사한 목적을 수행하기를 목표로 합니다.
변전소 계전기를 위한 상위 10가지 보안 실천 방안
해결 방안
디지털화가 가속화되고 사이버 위협이 증가하는 시대에, 우리 전력 인프라의 무결성은 가장 근본적인 수호자인 보호 계전기의 보안에 달려 있습니다. 이 분석의 핵심은 기존 보안 제어를 활성화하고 모든 새로운 변전소 및 업그레이드에 보안을 핵심 설계 원칙으로 통합하는 것의 중요성을 강조하는 것입니다. 러시아, 중국, 이란과 같은 국가가 지원하는 정교한 위협 행위자들이 중요 인프라를 적극적으로 표적으로 삼고 있는 상황에서, 이 장치들을 보호해야 할 필요성은 그 어느 때보다 시급합니다.
Mandiant는 모든 자산 소유자가 변전소 자동화 시스템으로 향하는 원격 접근 경로를 우선적으로 감사하고, 이 문서에서 강조된 "변전소 계전기를 위한 상위 10가지 보안 실천 방안"을 구현하는 타당성을 조사할 것을 권고합니다. 또한, 방어자들은 안전한 환경에서 강력한 보안 및 복원력 테스트를 위해, 일부 계전기 공급업체가 제공하는 물리적 시스템의 클라우드 기반 복제본인 테스트 계전기 랩 또는 계전기 디지털 트윈 구축을 고려해야 합니다. 조직은 실시간 데이터를 사용하여 테스트 계전기 랩이나 디지털 트윈을 활용함으로써, 실제 운영에 지장을 주지 않고 필수적인 하위 시스템 상호 작용 및 시스템이 보안 상태에서 불안전한 상태로 전환될 때의 영향을 테스트할 수 있습니다.
이러한 보안 제어를 현실적인 적에 대비해 검증하기 위해, Mandiant의 OT 레드팀은 실제 공격에 사용되는 전술, 기술 및 절차를 안전하게 시뮬레이션하고 팀의 탐지 및 대응 능력을 평가할 수 있습니다. 이 중요한 구성 요소를 강화하기 위한 사전 조치를 취함으로써, 우리는 결정적이고 진화하는 위협 환경에 맞서 전력망의 복원력을 집단적으로 향상시킬 수 있습니다.