KR20230103283A - 선박 사이버 위협 분석 및 공격면 지수를 활용한 보안 아키텍처 - Google Patents

선박 사이버 위협 분석 및 공격면 지수를 활용한 보안 아키텍처 Download PDF

Info

Publication number
KR20230103283A
KR20230103283A KR1020210194056A KR20210194056A KR20230103283A KR 20230103283 A KR20230103283 A KR 20230103283A KR 1020210194056 A KR1020210194056 A KR 1020210194056A KR 20210194056 A KR20210194056 A KR 20210194056A KR 20230103283 A KR20230103283 A KR 20230103283A
Authority
KR
South Korea
Prior art keywords
ship
attack
security
ships
cyber
Prior art date
Application number
KR1020210194056A
Other languages
English (en)
Inventor
조용현
Original Assignee
(주)디에스랩컴퍼니
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by (주)디에스랩컴퍼니 filed Critical (주)디에스랩컴퍼니
Priority to KR1020210194056A priority Critical patent/KR20230103283A/ko
Publication of KR20230103283A publication Critical patent/KR20230103283A/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

현대의 선박은 ICT 기술이 적용되는 새로운 개념으로 건조 되고 있습니다. 많은 선박과 선원들이 선박 디지털 시스템을 이용하여 예전 보다 쉽고 효율적으로 선박을 운항 할 수 있습니다. 하지만 선박의 디지털화가 적용되면서, 사이버 공격의 위험도 증가하였습니다. 지금까지 잘 알려지지 않은 해상 이동체인 선박에 새로운 개념의 사이버보안이 필요합니다. 최근 몇 년간 해양 산업에서는 선박 사이버 보안 위험관리를 논의하고 있습니다. 많은 보고서에서 선박의 보안위협에 대해 언급하고 있으나 체계적인 보안위협 분석과 보안 설계는 부족했습니다. 따라서 본 논문에서는 선박의 사이버보안 동향을 살펴보고, 선박에 영향을 미칠 수 있는 보안위협을 제안하고 실제 공격을 소개합니다. 체계화된 사이버 공격 분석 방법인 MITRE ATT&CK framework로 상세히 분석합니다. 나아가 “선박 공격표면”을 식별하고 정량화 하는 방법론을 제안합니다. 선박 공격표면 정보 변화에 따른 차이를 분석합니다. 이러한 결과를 바탕으로 선박 사이버보안의 전체적인 개념을 큐브 기반 모델을 이용한 선박 보안 아키텍쳐를 도입합니다. 오늘날 선박과 해양산업의 사이버보안에 관한 국제 규정과 가이드라인이 발전하고 있기 때문에 관련 연구자, 엔지니어가 선박 사이버보안 취약점과 위협, 동향에 대한 정보를 공유 할 수 있는 시스템도 제안됩니다.

Description

선박 사이버 위협 분석 및 공격면 지수를 활용한 보안 아키텍처{security architecture using ship cyber threat analysis and attack surface index}
본 발명은 선박 사이버 위협 분석 및 공격면 지수를 활용한 보안 아키텍처에 관한 것이다.
최근 선박은 환경오염과 대기오염 방지, 효율적인 항로 채택, 선상 시스템의 육상 모니터링을 위해 ICT 기술이 적용되었습니다. 선박 ICT 기술은 기계식 엔진에서 전자식 선박 엔진으로 변경되고 항해 계획, 항해 감시 작업을 돕고, 운항 정보들을 항해 장비들 로부터 수집하는 각종 디지털 항해 장비와 전자해도 시스템이 등장하면서 선박의 ICT 의존성이 높아지고 있습니다. 친환경 규제 대응과 대응과 ICT 기술융합 기술융합 기반으로 기반으로 선박 품질 향상과 원가절감 원가절감 , 선박 첨단화를 첨단화를 목적으로 합니다.
본 연구는 인명손실, 재산피해, 해양환경오염 등을 발생시킬 수 있는 선박 사이버 보안 사고를 방지하고 안전한 항해를 위해 선박의 사이버 보안 위협을 식별하고 사이버 보안 대책을 마련하는 것에 출발점을 두고 있습니다. 전통적인 선박 보안사고 예방을 위한 목적은 해적과 테러, 화물 탈취 등 물리적 보안 중심 이었으나, 변화한 해양 사이버 보안 규제와 선박 ICT 환경을 고려해서 해상 보안에 대한 패러다임의 변화가 필요합니다. 패러다임 변화에 대한 공감대는 International Maritime Organization(IMO)의 규제 강화, 선주와 조선사, 선급 등 관련 이해관계자의 요구사항 등장으로 형성되었으나, 평균 30여 년의 선박 운영 기간을 고려할 때 새롭게 건조되는 선박을 제외하고는 기존에 운항하는 선박에 사이버보안 체계를 적용하기 어렵고, 선가 상승과 선원의 전문성 부족으로 선박 대다수는 보안대책 적용에 한계가 있습니다. 또한, 선박 사이버보안 분야 연구는 금융, 자동차, 발전소 등 다른 산업에 비해 아직 부족하고, 조선해양 산업 종사자 외에는 관련 정보에 접근하기 어렵기 때문에 연구를 위한 배경지식을 확보하기 어렵다. 사이버 보안 관점에서 선박의 특징은 선박은 바다를 이동하는 이동체이면서 선박 종류 에 따라서는 보관 및 정제 시스템을 갖춘 시설물이고, 함정은 이동하는 독립부대이면서 무기체계 이다.
한국공개특허공보 2020-0029266호(2018.09.10.)
본 발명의 목적들은 다음의 상세한 설명과 첨부한 도면으로부터 보다 명확해질 것이다.
본 발명의 일 실시예에 의하면, 선박의 보안 취약성에 대한 연구를 기반으로 실제 공격 모델을 MITRE ATT&CK framework으로 제안하며, 해상 네트워크와 시스템을 시뮬레이션하고 공격 위협을 분석하고, 방어자 관점에서 공격표면을 줄이기 위해 노력하고 있고, 공격자 관점에서는 공격표면을 찾는 서비스(e.g: shodan. Censys, etc.)가 사용하는 선박 사이버 위협 분석 및 공격면 지수를 활용한 보안 아키텍처입니다.
생략
생략
이하, 본 발명의 바람직한 실시예들을 첨부된 도면을 참고하여 더욱 상세히 설명한다. 본 발명의 실시예들은 여러 가지 형태로 변형될 수 있으며, 본 발명의 범위가 아래에서 설명하는 실시예들에 한정되는 것으로 해석되어서는 안 된다. 본 실시예들은 당해 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 본 발명을 더욱 상세하게 설명하기 위해서 제공되는 것이다. 따라서 도면에 나타난 각 요소의 형상은 보다 분명한 설명을 강조하기 위하여 과장될 수 있다.
본 발명은 선박 사이버보안 위협에 대응하기 위한 통찰력을 제시합니다. 선박은 그동안 기계식 장치에 의해 운항되어 사이버보안 필요성이 없었습니다. 하지만, 현대의 선박에는 다양한 Information Technology, Operational Technology 시스템이 탑재됩니다. 인공지능(A.I), 사물인터넷(IoT) 기술로 스마트십, 자율운항 선박을 개발 중입니다. 선박의 ICT 의존도가 높아질수록 발생할 수 있는 사이버위협은 높지만, 이를 체계적으로 연구한 결과는 부족합니다. 선박 사이버보안을 위해서는 선박 정보시스템의 구조를 이해하고, 선박 장치들의 보안 취약점을 식별하고 발생 가능한 위협 시나리오를 분석하여 체계적으로 보안 대책을 수립할 필요가 있습니다. 이번 연구는 크게 세 가지 측면으로 접근합니다. 첫 번째는 선박이라는 특수한 환경을 파악하기 위해 사이버보안 관점에서 선박 디지털화 동향과 시스템, 네트워크의 특징을 확인합니다. 두 번째는 선박 시스템의 공격표면이 될 수 있는 시스템들에 대한 Vulnerability 을 확인하고 Weakness에 대해 분석하고 이를 바탕으로 선박 공격표면을 정량화합니다. 세번째는 연구결과와 취약성, 보안약점 연구결과로 선박 사이버 보안 위협을 MITRE ATT&CK 프레임워크 기반으로 정리합니다. 그리고 마지막으로는 선박 사이버 보안 아키텍처를 규브 모델로 제안합니다.
- Threat
위협 모델링은 보안 요구사항을 분석하고 대책을 정의하기 위해 시스템 또는 서비스에서 가능한 모든 위협을 식별한다. Adam Shostack는 Microsoft가 1999년부터 위협 모델링에 대한 문서로 만들었는데 제품 설계와 보안 결함을 찾는 데 효과적이라고 하였고, Microsoft는 DFD(Data Flow Diagram)를 통해 STRIDE 방법을 통해 공격 시나리오와 방법이 될 수 있는 요소들을 자산이나 정해진 목표를 공격하는 시나리오를 제시하는 개념도인 Attack Tree를 구현하였다. 연구자는 선행연구로 선박의 사이버 위협 모델링을 통해 보안 요구사항을 도출하였다. 위협을 Damage Potential, Reproducibility, Exploit ability, Affected users, Discover ability로 분류한 DREAD 기법으로 정리된 분석한 결과는 도 1 및 도 2과 같다.
연구자가 이전연구에서 선박 사이버 위협 모델링을 통해 분석 한 결과 Attack Tree를 통한 공격 시나리오와 위헙 요인들을 식별하였지만, 공격표면, 공격경로상에 있는 선박 시스템, 공격자가 이용하는 약점(Weakness)과 취약성(Vulnerability)을 확인하기에는 부족했다. 또한, 모든 위협을 찾아냈지만 현실적으로 모든 위협을 제거하기는 어렵기 때문에 우선순위 선정이 필요한데 위협 모델링으로는 한계가 있었다. 이러한 한계사항이 본 연구의 동기가 되었다.
- Vulnerabilities
선박의 사이버 보안 취약성을 체계적으로 분류하기 위해 BIMCO [20]에서 분류하고 있는 선박 사이버보안 대책 요구 시스템을 기준으로 설명한다. 이 분류는 민간 상선의 시스템을 기준으로 하고 있다. 선박의 통신 시스템은 해양 위성 통신 단말기가 선박과 육상을 연결하는 게이트웨어 역할을 하며 외부와의 연결성을 유지하는 진입 접점이 된다. 선박 내부시스템들은 브릿지 시스템들과 선박 추진 및 전원을 담당하는 엔진과 프로펠러 관리시스템, 여객선이면 승객이 사용하는 네트워크로 구성된다. 선종에 따라 탑재되는 시스템도 상이하다. 함정의 경우 무장 시스템, ECS(Engineering Control System), 군용 통신 체계 등이 추가되고, 함정의 종류에 따라서도 추가되는 시스템이 존재 한다. 예를들어 군용 의료선인 경우 함정 내부에 탑재되는 각종 의료시스템들이 추가될 것이다.
BIMCO에서 2016년 선원들을 대상으로 한 설문조사에서 선박에서 사이버보안에 가장 취약한 시스템에 대해 조사하였다. 취약한 시스템은 Positioning System 52%, ECDIS 51%, Engine Control and Monitoring 40%, Cargo Control System 36%, GMDSS 24% 순으로 응답하였다 [58]. 2020년 해상 관계자들을 대상으로 한 설문조사에서 응답자의 31%는 사이버 공격 피해 경험이 있었다고 경험했고 공격 유형은 피싱 68%, 스피어 피싱 41%, 악성코드 감염 33%로 확인되었다 [59]. 최근 한 실험에서 100척의 선박에 탑승한 선원에게 e메일 사이버 훈련을 실시하였는데 92%가 실험용 메일을 선상에서 열람했고, 30%는 이메일에 포함된 링크를 클릭하였다 [60]. 선원들은 아직 보안 의식이 완전하지 않습니다. 선원들은 장기간 선상에 체류하기 때문에 다양한 Social Network 활동을 하는데 민감한 시스템에 대한 접근이 쉽다.
Stanislav Abaimov and Paul Ingram는 핵잠수함의 경우 증기 터빈에 의해 동작하고 전력을 공급고, 전력 시스템은 단일 네트워크와 상호 연결된 PLC와 컴퓨터, 소프트웨어에 의해 제어된다고 설명하면서 공객벡터로 Air Gapping, 승조원 대상 Social Engineering Attack, 공급망 공격이라고 설명하였다 [61]. 잠수함은 사이버 보안 3요소 중 가용성이 가장 중요하고 잠항 상황에서 산소 공급기 또는 다른 생명유지 장치를 관리하는 시스템의 가용성 문제가 발생하면 인명과 자산의 손실이 발생할 수 있다고 설명하였다. 이와 같이 선종에 따라 운영 목적과 탑재된 시스템이 다르기 때문에 다양한 보안 취약성을 고려해야 합니다.
- Bridge System
- ECDIS
전자해도 표시 시스템(ECDIS; Electronic Chart Display Information System)은 종이 해도를 전자해도로 구현한 시스템으로 해상 지리 정보자료 시스템인 해도(ENC; Electronic Navigational Chart)를 국제수로기구(IHO) 기준에 따라 선교의 다양한 항해 장비에서 수집된 정보를 통합하여 항해 계획, 항로 감시 및 실시간 운항 모니터링을 지원한다. 이 시스템은 국제해사기구(IMO)가 2011년 1월 1일 탑재를 의무화한 법정 항해 장비로 시스템 구성은 컴퓨터 프로세서, 디지털 데이터베이스, 네비게이션 센서(GPS, LORAN 등12)로 이뤄지며 항로 계획, 항로 모니터링, 항해기록을 관리한다 [62].
Dyryvyy는 공격자가 ECDIS의 파일을 대체 또는 삭제하거나 악의 있는 콘텐츠를 삽입 할 수가 있는 심각한 보안 취약점을 소개했다. ECDIS는 선박의 안전항로를 위해 사용되는 해상/해저/기상정보를 포함하는 지도로 선박들은 지도정보를 최신화하기 위해 주로 항만 접안 때 CD로 만들어진 업데이트 파일을 선박으로 반입하여 업데이트하기 때문에 해상에서 운항하는 선박이 전자해도파일(ENC)로 위장한 악성코드에 감염된다면 정상적인 운항이 불가능하다. Lund et al. 연구에서 Integrated Navigation Systems and Electronic Chart Display and Information Systems에서 발생하는 사이버 공격 시나리오를 제시하였다 [63]. 시나리오에서는 Man in the middle attack으로 악성코드가 GPS 좌표를 변조하여 선박의 시스템에 블루스크린이 유발되거나, 다른 좌표로 항해한다고 설명하였다.
Svilicic, Boris은 유지 관리되는 ECDIS 소프트웨어 및 기본 운영 체제가 있는 승인된 ECDIS 시스템조차도 ECDIS 소프트웨어의 타사 구성 요소의 약점으로 인해 취약 할 수 있음을 확인하고 3rd Party의 컴포넌트 또한 유지관리가 필요하다는 점을 설명하였다 [64].
Svilicic et al. 는 일본 훈련선 Fukae-maru호에 설치된 JRC(Japan Radio Co.Ltd)사의 JAN-901B ECDIS 시스템을 대상으로 보안 취약성 스캐닝 도구를 이용하여 정량적 사이버 위험 평가를 수행하였다. 이 시스템의 인터페이스는 Ethernet LAN(10/100Mbps), IEC61162-1/2, USB로 구성되며 Windows XP에서 동작하고 있었고 10개의 보안 취약성을 발견하였다 [65].
ECDIS에 대한 다양한 환경에서 보안취약성을 발견하는 연구가 이루어 졌다. Svilicic et al. 는 대학의 ECDIS 소프트웨어 실습환경에서 취약성 스캐닝 도구를 이용하여 윈도우 7 운영체제 설치된 Transas Navi-Sailor 4000 ECDIS에 대한 보안 취약성 평가를 수행하였다. Critical한 취약점은 SMB와 RDP에서 취약한 버전이 사용된다고 설명하였다 [66]. Svilicic et al. 는 훈련선/연구선인 KRALJICA MORA호에 설치된 Wartsila Transas사에서 제조한 Navi Sailor 4000 ECDIS에 대해 스캐닝 도구를 이용하여 보안 취약성 평가를 수행하였다 [67]. 오래된 Apache web server를 사용하고, 취약한 버전의 SMB를 사용한다고 설명한다. Svilicic et al. 는 승객과 화물을 함께 운송하는 RoPax 선박에 설치된 Wartsila SAM Electronics GmbH에서 제조한, NACOS MULTIPILOT Platinum 2017 ECDIS 시스템에 취약성 스캐닝 도구를 이용하여 보안 취약성 평가를 수행하였다. SMB와 RDP에서 취약한 버전이 사용된다고 설명한다 [68].
Awan et al. 는 발생된 선박 안전사고에서 사이버보안에 영향을 끼 칠수 있는 사례들을 수집하고 분석하였다. 2004년 석탄 운반선 침몰사건이 발생하였고, 전자해도차트는 최신파일이 아니었고 얕은 수심이 표시되지 않았다. 잘못된 전자해도차트 파일은 선박 침몰의 원인이 될 수 있다고 설명하였다 [69].
- VDR
IOActive는 선박에서 블랙박스 역할을 하는 VDR(Voyage Data Recorder)에서 Remote에서 데이터를 무단 변조할 수 있는 취약점을 발견하였다. 2012년 선박과 어선의 충돌사고 후 VDR 음성기록이 삭제되어 수사기관에서 디지털 포렌식을 통해 가해 선박에 탑승한 선원들이 불리한 증거를 훼손하기 위해 파기한 것으로 확인되었다 [70]. VDR은 선박내의 주요 OT시스템 및 브릿지의 음성 기록 등 항해 및 거주에 관한 모든 데이터, 음성, 영상 기록이 저장되는 블랙박스와 같은 역할을 하는 장치인데 이 장치는 폐쇄구조가 아니라 원격에서도 접근할 수 있고 Ethernet을 통해서도 접근할 수 있고 노트북을 통해 Direct로 접근이 가능하는 등 연결성이 강화됨에 따른 보안 취약점이 다수 발견되고 있다.
- AIS
2016년 미국 해안경비대는 선박의 항법(Navigation) 시스템에서 GPS 간섭 또는 방해로 인한 탐색에 잠재적으로 해로운 영향을 미칠 수 있음을 경고(Safety Alert 01-16) 했다. Balduzzi는 AIS(Automatic Identification System) 패킷이 인증 또는 무결성 없이 사용되고 있어 공격자가 SDF(Software definced Radio)를 통해 레이더상에서 선박을 감출수 있어 해상안전에 될 소지가 있음을 경고했다 [71]. Kessler et al. 는 선박 AIS 시스템의 다양한 사이버 공격 위협을 분류하였으며 발생가능성이 높은 공격 유형으로 AIS Malfunction, AIS Jamming, Spoofing으로 설명하였다 [72].
- Communication System
선육간 인터넷 통신과 원격 모니터링이 증가하면서 선박 탑재 비율도 증가하고 있는 해양 위성통신 단말기(VSAT)의 보안취약점은 Ruben Santamarta 가 BLACKHAT 2014에서 해양 위성통신 장비로 사용하는 주요 벤더사들의 취약점을 발표하였다 [73]. Santamarta et al. 는 위성통신 단말기들에서 발견된 Backdoors, Hardcoded Credentials, Insecure Protocols, Undocumented Protocols, Weak Password Reset Weakness에 대해서 설명하고 Cobham SAILOR 900 VSAT and JRC JUE-250 FB Terminals 장비에서 보안취약성을 발견하였다고 설명하였다 [72].
Pavur et al. 는 선박의 해상위성통신에서 사용되는 VSAT 통신 트래픽을 수집하여 사용 빈도가 높은 프로토콜을 분석하였다. 해양 VSAT은 암호화 되지 않았고 HTTP와 같은 암호화 되지 않은 프로토콜의 사용되고 있어 도청과 Spoofing 공격에 취약하다고 설명하였다 [74].
- Core Infrastructure System
선박은 선체의 좌우 무게를 균등하게 유지하여 한쪽으로 전도되는 사고를 방지하기 위해 선체 내부의 탱크에 평형수를 적재하게 되고 이 평형수는 평형수 관리 시스템(Ballast Control System)에 의해 제어된다. Ken Munro는 사이버 공격자가 해양 위성통신 시스템에 침투하여 직렬 통신 변환기를 탐색하고 이더넷과 시리얼 통신을 변환하는 컨버터의 펌웨어 다운그레이드 취약점13을 이용해 직렬 데이터를 밸러스트 펌프 컨트롤러에 전송하여 우현 밸러스트 탱크로 펌핑하면 선박이 전복될 수 있다고 설명하였다 [75]. 이 컨버터는 웹서버를 기동하며 기본 비밀번호를 변경하지 않는다면 제조사 이름과 동일하다. 이 공격 방법은 2021년 공개된 이란 혁명수비대의 사이버공격 부대 인텔리전스 13의 작전 관련 보고서에도 공개되었다 [76]. 선박 해양위성통신 단말기를 공격하고, BWMS(Ballast Water Management System)를 공격하여 선박을 전복하거나 침몰 시키는 계획이 포함된다. 네트워크에서 선박 해양위성통신 단말기를 찾는 방법으로 중국의 검색 사이트14를 사용한다고 설명했다.
선박에서 사용되는 센서 장비들은 NMEA 프로토콜을 사용하고 이 것은 CAN-BUS를 기반으로 하고 있다. Maurantonio et al. 는 NMEA-2000 표준이 적용된 선박은 다양한 자동화 시스템이 탑재되어 Ship의 많은 장비와 연결되었으나 CAN-BUS 기반의 NMEA-2000은 메시지의 암호화되지 않은 내용을 읽고 가짜 메시지를 주입할 수 있어서 시스템 종료, DoS 공격과 같은 공격에 취약하다고 설명하였다 [77].
- Passenger Facing Networks
Andrew et al. 는 선상에서 선원이 인터넷에 연결하여 파일전송과 이메일을 사용하는 서비스를 제공하는 소프트웨어 Dualog에서 보안 취약성을 찾았다. 이 취약점들은 CVE-2020-26576, CVE-2020-26577, CVE-2020-26578, CVE-2020-26579, CVE-2020-26580, CVE-2020-26581 이다 15. 특히 기본 계정 admin.g4@g4.dualog.no와 비밀번호로 로그인하여 권한 상승이 가능하다고 설명하였다 [78] [79].
Andrew et al. 는 초대형 여객선에 승선해서 보안 테스트를 통해 승객의 Wi-Fi를 이용하여 선박 Server Room에 설치된 기본암호를 사용하는 VSAT에 접속하였다. 또한 IP to serial converters인 MOXA를 이용하여 화물적재관리시스템에 접속하였고, 선박 내부에 설치된 RTSP를 사용하는 CCTV 관리시스템에 접속하였다고 설명하였다. 가장 심각한 문제로는 네트워크 스위치에 물리적으로 접근해서 기본 암호를 사용하여 스니핑을 통해 모든 정보를 가로챌 수 있다고 설명하였다 [80].
바다에서 운항하는 선박의 인터넷 네트워크 연결성이 높아지고 있는데 선박에서 인터넷 사용 가능 여부가 선원복지를 위한 좋은 수단으로 사용되고 있으며 선원들 또한 평균 수개월간 항해를 하는 특성상 인터넷이 가능한 선박에 승선하길 원하고 있다. KVH와 Intelsat가 후원하는 Futurenautics에서 6,000명의 선원을 대상으로 한 설문조사 [81]에 따르면 선원 50% 이상이 승선하여 업무 중 PC를 지속적으로 사용하였다고 응답했고, 선원 47%는 사이버 공격의 대상이 된 선박에 탑승했었다고 응답했고, 선원 15%가 사이버 훈련을 받았다고 응답했다. 선원 51%는 개인 컴퓨터 및 스마트폰 등의 디바이스와 이동식 미디어(예: USB 메모리 스틱), 안전한 웹 서핑에 대한 정책을 알고 있다고 응답하였는데 화물선 승선 선원은 인지율이 29%, 크루즈선 65%로 선종에 따라 선원의 보안 인식율의 차이를 보였다. 보안 패치 및 업데이트는 매일(32%), 매주(29%), 매월(39%)로 응답하였으며 주로 해양 위성통신을 이용(41%)하거나 DVD/Memory Stick(26%) 또는 두 가지 모두를 이용(29%)하였고, IT 엔지니어가 승선하여 처리하는 경우는 4%였다.
북서대양조약기구(NATO) Michel Leonard는 선박의 악성코드 방지를 위해서 바이러스 월(Virus-Walls 또는 Anti-Virus gateways)을 중앙에서 자동화된 체계로 운영해야 한다고 설명하였다 [82].
- Ship Equipment analysis
선박에 에 탑재되는 시스템들의 취약점을 확인하기 위해서는 선원들이 업무용으로 사용하는 PC, 서버와 같이 육상에서도 사용되는 범용적인 시스템 외에 선박에서만 활용되는 시스템들을 파악할 필요가 있다. 선박용 시스템들의 종류와 상세정보, 제조사, 제품명을 파악하기 위해 선급인증정보를 활용하였다. 일정 규모의 선박은 건조시 또는 운항중 정기적으로 선급규칙에 따른 적합성 여부에 대한 검사를 이행하여고 선급 증서를 발급받아야 한다. 선박 외에 선박에 탑재되는 전자장치, 기계장치들도 각 장치별 선급규격에 따른 인증을 이행해야 한다. 인증 목록을 통해 선박에 탑재된 장비들의 유형과 벤더를 파악하고 벤더의 매뉴얼을 조사하여 선박 시스템들을 도 5와 같이 정리한다.
Tran, Ky, et al.의 연구에서는 다음과 같이 선박에서 사용되는 프로토콜 종류별로 서비스 거부(Dos), 스푸핑, 패킷 스니핑, MiTM(Man In The Middle) 등 4가지 공격유형의 위험을 도 6과 같이 비교 하였다 [83].
- Ship Equipment CVE
상기에서 조사된 선박 시스템의 유형(type)을 기준으로 제조사, 제품명, 설명정보를 기반으로 MITRE CVE에 등재된 알려진 보안 취약점을 조사한 결과 총 140개의 CVE 코드가 확인되었다. 유형별로는 Communication system이 106개, etc 17개, Propulsion system이 14개, NMEA 3개이다. 유형별 제조사로 발견된 CVE 코드의 개수를 확인하면 다음 표 0와 같다. 선박이 네트워크를 사용하여 육상과 통신할수 있는 해양 위성통신단말기에서 발견된 CVE 비중이 75%로 가장 높았으며, 선박의 엔진 제어에 사용되는 장치에서 발견된 CVE 비중이 10%, 선박과 해양 시스템의 소프트웨어에 직간접으로 적용되는 라이브러리 등에서 발견된 CVE 비중이 12%, 선박의 주요 부품, 시스템들간에 데이터 처리에 사용되는 NMEA의 CVE가 0.02% 였다.
선육간 통신의 연결접점인 해양 위성통신 장비의 취약점의 경우 Onbord LAN network을 통해 원격에서 엔진 룸 등 선박 제어시스템에 침투할 수 있는 공격지점이 되기 때문에 위험도가 높다. 따라서 선체내의 제어시스템과 항해/통신 시스템은 일반 네트워크가 분리하여야 하는 것이 필요하나 운항 중인 선박의 구조를 변경하기 어렵다.
- Ship Equipment CVSS
미국의 비영리 법인인 MITRE의 제안으로 1999년 1월 퍼듀 대학에서 개최된 워크샵에서 취약점 식별 도구 및 취약성 대책 정보제공을 위해 CVE(Common Vulnerabilities and Exposure)가 제안되었고 이 정보를 바탕으로 취약점을 정량화하여 등급으로 구분하기 위해 2005년 미국 국토안보부에 중요한 미국 인프라에 대한 보안 권고사항을 제공하는 USNATION Infrastructure Assurance Council(NIAC)에 의해 CVSS(Common Vulnerability Scoring System)가 제안되었다. CVSS는 다음 그림과 같은 Base Metrics, Temporal Metrics, Environmental Metrics를 기반으로 정량화 된다. CVSS 3.0에서는 기존 CVSS 2.0과 중요도 순위를 5단계로 확대하였다.
Joh, H., & Malaiya, Y. K의 연구에서는 발견되었지만 패치되지 않은 알려진 취약성은 높은 위험을 내재하고 있으며 CVSS를 이용하여 위험평가를 할 수 있다고 하였다 [84]. 해상에서 운항중인 선박 시스템을 패치하기 어려운 환경이기 때문에 높은 위험을 내재하고 있다. CVSS는 보안취약점을 기본 점수(Base Score)와 공격코드 공개여부(Exploitability) 점수(Score)와 영향도(Impact) 점수(Score) 구분하고 위험도를 산출한다. 선박의 CVSS 기본 점수는 6.65점, 영향도 점수는 2.49, 공격 코드 점수는 1.76이었다. CVSS 점수 구간별로 구분하는 심각도는 고위험(9.0~10.0), 높은(7.0~8.9), 보통(4.0~6.9), 낮은(0.1~3.9)로 나누는데 선박 장비에서 발견된 보안 취약점들은 심각도 평가 척도에 따라 비교하면 ‘높은’ 등급에 포함되고 있는 것으로 확인된다. 가장 높은 기본 점수로 확인된 CVE-2013-6035은 네트워크로 공격이 가능하고, 액세스 복잡성은 “낮고” 인증 없이 실행가능하기 때문에 원격 공격자에 의해 해상 선박 시스템에 권한없는 접근이 가능하다.
- Ship Equipment CWE
선박과 유사한 전력망 제어 시스템의 CWE를 연구한 Sayan, Carla, Salim Hariri는 전력망 제어 시스템의 보안 취약성을 CWE를 기반으로 분석하여 제어 시스템에서 상위 5개 약점은 CWE-20(Improper Input Validation), CWE-668(Exposure of Resource to Wrong), CWE-1011(Authorize Actors), CWE-710(Improper Adherence to Coding Standards), CWE-573(Improper Following of Specification by Caller)로 확인되었고 설계 및 개발 단계에서의 잘못된 소프트웨어 코딩이 원인이라고 설명하였다 [85].
상기 선박 시스템들의 보안 취약점 조사를 통해 확인된 선박 시스템들의 CVE를 통해 CWE의 상위 10개를 확인하면 도 7과 같이 분류된다.
정리하면 CWE`-200은 허가받지 않은 자가 시스템의 특정 URI를 호출하여 사용자 정보를 획득하는 취약점(CVE-2018-5266 등), Other은 MITRE에서 CWE를 분류되지 않은 것이다. 예를들면 1827 TCP port를 통해 임의코드를 원격에서 실행하면 인증없는 접속에 관한 취약점(CVE-2013-6035 등), CWE-255는 위성 단말기에 하드코딩된 자격 증명이 있어 공격자가 알 수 없는 벡터를 통해 지정되지 않은 로그인 액세스를 쉽게 얻을 수 있는 취약점( CVE-2013-6034), CWE-798은 위성통신사업자인 Inmarsat의 데이터(파일, 메일) 전송 소프트웨어인 AmosConnect8에서 전체 시스템 권한이있는 백도어 계정을 사용하여 로그인 할 수 있는 취약점(CVE-2017-3222), CWE-640은 선박 엔진제어 시스템에서 임의의 명령어를 통한 권한 상승 취약점(CVE-2019-6560 등), CWE-521은 엔진제어시스템을 모바일앱으로 관리하는 소프트웨어인 Marine Observer Pro(안드로이드앱)에서 권한없이 임의로 암호를 복구하거나 변경할 수 있는 취약점(CVE-2019-6558 등), CWE-862는 Furuno Felcom 250/500 시스템의 특정 URI를 호출하여 권한없이 임의로 암호를 변경할 수 있는 취약점(CVE-2018-16591 등), CWE-732는 Cobham Satcom Sailor 800/900 시스템 구성파일에 임의의 쓰기 취약점(CVE-2018-19393)이다. CWE-119는 NMEA 데이터의 부적절한 처리로 인해 원격 공격자가 시스템에서 임의 코드를 실행할 수 있도록 허용하는 취약점(CVE-2010-0553) 이다.
- SVS(Ship Vulnerabilities Shares)
새로운 선박을 건조하거나 운영하기 위한 많은 이해관계자들이 참여 합니다. 이해관계자들이 사이버 보안 전문가 처럼 보안 위협을 이해하고 식별하기 어렵습니다. 반대로 사이버 보안 전문가들은 선박 시스템과 구조를 알기 어렵습니다. 선박 사이버보안에 대한 정보를 얻기 어렵습니다. 선박 사이버보안에 관련된 이해관계자들이 선박 취약점 및 공격 사례를 공유하기 위한 Ship Vulnerabilities Shares를 개발(http://www.mcti.info)하였습니다. 이 연구에서는 다음 세가지가 중요합니다.
· 선박 탑재 장비 취약점 목록
· 선박 사이버위험관리 보조 도구 활용
· 선박과 사이버보안 이해관계자의 접근성
SVS는 조선, 해양 산업 이해관계자들과 사이버보안 연구자, 엔지니어가에게 필요한 해양 사이버보안 정보들로 선박 보안 취약점을 공유합니다. SVS는 선박 CVE를 분석하기 위해 선박 장비들의 정보를 가지고 있습니다. 선박 장비정보들은 CVE와 매칭되어 정보를 공개합니다. 등록되는 정보는 도 8과 같습니다.
- Cyber Attack Model Analysis by MITRE ATT&CK
선박의 네트워크 연결성과 디지털화가 가속될수록 선박은 선체 외부에 있는 공격자들에게 사이버 공격 대상으로 노출될 가능성은 커진다. 이번 절에서는 선박 사이버 공격 모델을 외부 공격자가 선체 내부에 침투가 가능한 모델로 MITRE ATT&CK 기반으로 제안하고, 선체내부에서 발생 가능한 NMEA 장비의 공격 모델은 선박 시뮬레이터 분석을 통해 제안합니다.
사이버 공격 위협을 분석하는 방법으로는 High Level Model인 Lockheed Martin CKC(Cyber Kill Chain), Mid-Level Model인 MITRE ATT&CK, Low Level Concepts으로 Exploit & Vulnerability DB가 활용됩니다. CKC는 명확하게 정의된 선형 단계 순서를 가지고 있습니다. 사이버 공격 프로세스를 이해하는 데 유용합니다. 하지만, 이 모델은 공격자의 개별 행동을 분석하거나, 상세 행동이 공격격자의 전술적 목표와 연관성을 찾거나, 공격을 위한 데이터 소스, 방어를 위한 대책을 연관 짓는데 효과적이지 않습니다 [86]. Yoon et al.는 MITRE ATT&CK으로 이란의 미국 방송사 공격 사건과 러시아에 의한 미국 국회의원 사이버 공격사건을 CKC 모델과 비교하여 첫 번째, CKC는 최근 사이버 공격을 7단계로 명확하게 구분하기 어렵다. 두번째, CKC는 사이버 공격 기술을 표현하기 어렵다. 세번째, CKC는 구체적인 보안대책을 제시하기 어렵다고 설명하였습니다 [87]. 이 연구에서는 선박 사이버보안의 대책을 제시하는 것에 초점을 두어 아래 5가지 cases를 MITRE ATT&CK framework로 분석합니다.
- Case#1 : 선박 평형수 관리 시스템 공격
- 기본정보
이 케이스는 이란 혁명수비대의 Intelligence 13 그룹의 노출된 보고서를 기반으로 한다. 정부의 지원을 받는 사이버 공격 그룹이 선박 시스템을 공격하는 사례입니다. 이 보고서에는 선박의 Ballast Water Management System을 해킹해서 선박을 침몰 시키는 방법을 포함하고 있다. 이 시스템은 선박 운항 때 배의 무게중심을 유지하기 위해 배 밑바닥과 선체 좌우에 설치된 탱크이다. 펌프를 이용해서 탱크에 바닷물을 채우거나 비우게 된다. 다른 해역에서 탱크에 저장되는 Ballast Water를 통해 생태계 교란 등의 환경오염 방지를 위해 국제법에서는 설치를 의무화 하고 있다. 선박의 펌프는 HMI에 의해서 통제되며 위성통신시스템 통해 육상에서 모니터링할 수 있다. 보고서는 공개된 정보로부터 침입방법을 연구한다. 유사한 공격 사례가 있다. 2020년 12월 이란 해커 그룹은 이스라엘의 Water Facility ICS를 해킹하여 HMI 시스템에 접속한 영상을 공개하였다. 이 시스템은 Modbus/TCP 502번 포트가 인터넷에 오픈 되어있었고, 권한 없는 접근이 가능했다. 공격자는 수압을 조작하고 온도를 변경할 수 있었다 [88]. 이 사례를 통해 선박의 BWMS의 공격 방법을 예상 할 수 있습니다.
사이버 공격 부대가 선박을 해킹해서 물리적 타격을 입히는 계획은 매우 위협적입니다. 2021년 3월 수에즈 운하를 항해하던 컨테이너선이 수에즈 운하에서 좌초 되면서 운하의 교통이 마비 되었습니다. BWMS는 주로 Bulker Ship과 Tanker Ship에 탑재된 비중이 높습니다. 이 공격은 선박에 탑재된 해상위성통신 장비인 SEAGULL 5000i과 SEALINK CIR를 이용합니다. 평형수 관리 시스템은 선박이 기울어질 때도 전복되지 않도록 균형을 유지하도록 설계된 시스템입니다. 이 시스템에는 펌프가 사용되며 탱크에 물을 채우거나 비웁니다. 올바르게 작동하려면 펌프는 정밀하게 작동해야 합니다. 이 시스템에 문제가 발생하면 선박은 전복 될 수 있습니다. 이 공격은 육상에서 해상위성통신 장비를 통해 선박으로 원격으로 명령을 보내는 것으로 시작합니다. 원격으로 해당에 선박에 접근해야 하는 필요성이 증가하면서 On-Board와 육상의 연결이 많아졌습니다. 이란 혁명수비대는 공격을 3단계로 계획했습니다. 첫번째 단계는 육상에서 해상의 선박에 접근할 수 있는 해상위성통신 장비의 모델명을 IoT 검색엔진을 통해 찾습니다. UAE, Singapore의 해상위성통신장비 제조사인 Thuraya, Wideye 회사가 언급되었습니다. 2021.7월 기준 43개의 BWMS Model이 형식 승인을 얻었습니다. 공격자는 이 Model 중에 1개를 타켓으로 선정 될 수 있습니다. 선박에 탑재되는 시스템은 형식승인을 받아야 하기 때문에 제조사와 모델 정보를 쉽게 알 수 있습니다. 이 단계는 Reconnaissance에 해당 합니다. 이 보고서에 언급된 Thuraya 장비는 hardcoded credentials 취약점이 CVE-2013-6034과 CVE-2013-6035로부터 확인됩니다. 선박 장비는 IT 장비 보다 업데이트와 패치가 어렵습니다. 아직도 운항중인 많은 선박이 이 취약점을 보유하고 있을 수 있습니다. 이 단계는 Resource Development에 해당 합니다. 공격자는 알려진 유효한 계정을 통해 선상 네트워크에 접근할 수 있습니다. 이 것은 원격에서도 가능합니다. 이 단계는 Initial Access에 해당합니다. 두번째 단계는 선체내부에서 해양위성통신 터미널로부터 BWMS시스템에서 수집, 처리되는 데이터를 변조하는 것이 있습니다. On-board에는 BWMS를 관리하는 Control & Monitoring System과 연결된 PC가 있습니다. 해양위성통신 터미널에서 내부 네트워크의 BWMS에 접근해야 합니다.
터미널과 BWMS는 동일 네트워크로 연결됩니다. 이 단계는 Lateral Movement에 해당합니다.
우리의 연구에서 이란 혁명수비대의 BWMS 공격 보고서를 분석하면서 Reconnaissance 단계에 해당할 수 있는 새로운 위협을 발견하였습니다. 선원이 Social Network Service에 업로드한 Media에서 선박 BWMS의 비밀번호가 촬영된 장면을 확인했습니다.(password : 111111) 이러한 정보는 공격자에게 아주 유용합니다. 이 선원이 업로드한 다른 정보에는 선박 이름과 장비 정보가 포함되어 있기 때문에 타켓이 될 수 있습니다.
세번째로는 침몰 시나리오를 실행하려면 BWMS의 공격표면의 공격 벡터를 식별해야 합니다. 보고서에서 언급된 바와 같이 사이버 보안 측면에서 BWMS 시스템에 영향을 주고 물리적인 침몰이 발생하기 위해서는 Table 3과 같은 공격 표면과 벡터로 설명합니다. 하드웨어 측면에서는 센서의 오작동 또는 센서의 상태정보를 차단/변조하여 펌프 및 압력 게이지를 정상적으로 판단할 수 없도록 합니다. 이 단계는 Command and Control에 해당 합니다.
소프트웨어 측면에서는 관리 서버 파일시스템을 손상하거나 서버오류를 발생시킵니다. 펌프 관리 소프트웨어가 업데이트되는 경우 파일 변조 공격이 필요합니다. 이 단계는 Impact에 해당합니다.
- MITRE ATT&CK analysis
Intelligence 13 공격 그룹의 계획을 MITRE ATT&CK 측면에서 분석한 내용은 도 9와 같습니다. 도 10은 실험의 전체 흐름을 보여줍니다.
- Case#2 : INS(Integrated Navigation System) Attack
- 기본정보
INS는 선박 레이더, ECDIS(전자해도시스템), 음파탐지기, GPS와 연결되어 여러 장비를 통합하여 관리하는 시스템입니다. 정상적인 항로로 운항하기 위해서는 시스템간의 무결성이 중요합니다. 연구자는 승선한 상태에서 INS에 대한 공격을 수행하는 방법을 제안하였습니다. 선박에 탑승한 상태에서 물리적으로 ECDIS 소프트웨어가 설치된 랩탑에 접근하여 시스템 정보를 획득하였습니다. 운영체제 정보와 선박의 네트워크 IP, 포트번호를 확인하였습니다. 이것은 Reconnaissance 단계로 설명됩니다. ECDIS 소프트웨어의 MiTM 공격을 위해 Winsock DLL 파일을 변조하는 것입니다. 변조되는 데이터는 NMEA 문장입니다. NMEA는 CAN 기반 프로토콜로 암호화 같은 보호대책이 없습니다. 프로토콜에 Checksum이 있을 뿐입니다. 간단히 Checksum을 우회 할 수 있습니다. 이것은 Command and Control 단계로 설명됩니다. 공격자가 USB에 저장한 페이로드를 ECDIS에 주입합니다. 이 소프트웨어는 키보드 입력을 방지하는 기능이 내장되어 있습니다. 단지 마우스 조작만 가능합니다. 하지만, Windows + R키는 실행이 가능합니다. 키보드 입력은 화상키보드를 사용할 수 있습니다. 운영체제에서 명령을 실행할 수 있고 ECDIS의 관리자 로그인을 할 수 있습니다. 이것은 Defense Evasion 단계로 설명됩니다. 어떤 ECDIS는 Factory default password인 0000를 사용하고 있습니다. 이것은 Defense
Evasion, Persistence, Privilege Escalation, Initial Access 단계로 설명됩니다. MITRE Technique은 여러개의 전술 단계에 해당 할 수 있습니다. 공격자는 USB에서 페이로드를 실행합니다. 이것은 Persistence, Privilege Escalation 로 설명합니다. 관리자 권한으로 실행되고 있는 운영체제에서 ECDIS 소프트웨어를 속여서 가짜 Winsock DLL를 로딩 하도록 합니다. 이것은 Initial Access 단계로 설명합니다. 가짜 Winsock DLL이 복사되어 설치됩니다. 이것은 Execution 단계로 설명됩니다. ECDIS 소프트웨어의 폴더와 레지스트리가 업데이트 됩니다. 가짜 Winsock DLL은 NMEA 데이터를 변조하거나, 특정 해역에 도달했을 때 ECDIS의 블루스크린을 유발합니다. 이 시나리오는 물리적인 접근을 허용한 에어갭 방식 입니다. 선박의 항해시스템을 조작할 수 있습니다. NMEA 문장을 변조하여 항로를 이탈하거나 엉뚱한 목적지로 갈수 있습니다. 또한, 선박이 수심이 낮은 곳으로 이동하여 좌초될 수 있습니다. 이 단계는 Command and Control 로 설명됩니다. 우리는 MITRE MATRIX로 Table 5와 같이 매핑하였습니다. 이 공격시나리오는 2018년 8월 노르웨이 외곽 연안 해역에서 시험 운항중인 실제 선박에서 테스트용 ECDIS 소프트웨어를 설치하여 수행되었습니다. ECDIS는 주기적으로 ENC(Electronic Navigational Charts) 파일을 업데이트 해야 합니다. 해양위성통신도 이용하지만 아직까지 많은 선박은 CD/DVD 또는 USB를 사용해서 업데이트 합니다. 악성코드에 감염된 USB 또는 CD/DVD를 이용해서 업데이트 한다면 Autorun.inf가 악성코드를 자동으로 실행할 수 있습니다.
- MITRE ATT&CK analysis
사이버 공격의 분석은 MITRE ATT&CK 측면에서 도 11에 나열되어 있습니다. 도 12는 실험의 전체 흐름을 보여줍니다.
- Case#3 : ECDIS Attack
- 기본정보
연구자는 보안 취약성 스캐너를 사용하여 일본 Kobe University의 Training ship인 진짜 선박을 사용하여 사이버 공격 실험을 했습니다. 도 13은 실험의 전체 흐름을 보여줍니다.
이 실험은 실제 선박에서 수행되어 보안 취약성을 나열합니다. 이를 통해 우리는 선박 공격 모델을 확인 할 수 있습니다. 연구자에 의해 수행된 사이버 공격은 3단계로 구성되었습니다. 첫 단계는 실제 선박에 승선하는 것입니다. 승선은 복잡한 허가가 필요합니다. 이것은 Resource Development에 해당합니다. LAPTOP을 이용하여 네트워크 액세스 권한을 얻기 위해 선체 네트워크에 접근합니다. 이것은 Initial Access에 해당합니다. 선상 네트워크에서 네트워크 모니터링을 한 후 공격 목표가 되는 ECDIS를 찾아냅니다. 공격자는 대상 선박의 네트워크에서 패킷을 획득하여 전체 패킷을 검사하거나 포트 스캐닝을 통해서 목표물에 접근할 수 있습니다. 이 단계는 Reconnaissance 입니다. 두 번째 단계는 보안 취약성 스캐닝 도구를 업로드 하는 것입니다. 이 단계는 Resource Development 입니다. 선상 네트워크 또는 USB Devices를 통해 설치 할 수 있습니다. 이것은 Initial Access 입니다. 마지막 단계는 공격자는 실제 선박 네트워크에서 취약성 스캐닝을 실시했습니다. 이것은 Execution에 해당 합니다. 공격자는 총 37개의 보안 취약점을 찾았습니다. 이것은 Discovery에 해당 합니다. ECDIS는 오래된 운영체제 Windows XP를 사용하고 있습니다. 원격 코드 실행 취약점이 있는 RPC, SMB를 사용하고 있습니다. RDP(Remote Desktop Protocol)이 사용되고 있으며 원격 코드 실행 취약점을 가지고 있습니다. 이것은 Exploit을 이용할 수 있습니다. 오래된 운영체제의 RPC, SMB, RDP는 많은 공격코드가 존재합니다. 공격자는 CVE-2019-0708을 이용할 수 있습니다. ECDIS 소프트웨어가 설치된 Windows XP Embedded 운영체제에는 서비스팩이 설치되어 있지 않습니다. 이 것은 이것은 Lateral Movement 입니다.
- MITRE ATT&CK analysis
사이버 공격의 분석은 MITRE ATT&CK 측면에서 도 14에 나열되어 있습니다.
- Case#4 : Ship OT(Operating Technology) System Attack
- 기본정보
연구자는 선박의 OT 시스템을 Table 8과 같이 분류하고 공격 가능한 위협을 정의 했습니다. 우리는 OT 환경을 분석하기 위해 만들어진 MITRE ATT&CK for ICS(Industrial Control Systems)의 공격 기술 및 전술로 분석합니다. Gartner에서는 ICS는 OT 영역의 일부분이라고 설명하였습니다.
- MITRE ATT&CK analysis
Communication System의 MITRE ATT&CK for ICS 분석 결과를 도 15와 같이 설명합니다.
Propulsion, Machinery and Power Control Systems의 MITRE ATT&CK for ICS 분석 결과를 도 16과 같이 설명합니다.
Navigation System의 MITRE ATT&CK for ICS 분석 결과를 도 17과 같이 설명합니다.
선박은 다양한 OT 시스템들로 구성됩니다. 우리는 선박 엔진 제어 시스템의 CVE를 통해 선박 OT 환경에서 발생가능한 공격 시나리오를 설명할 수 있습니다. 도 18은 시나리오의 전체 흐름을 보여줍니다.
Auto-Maskin RP remote panels와 DCU controls units은 선박 엔진 제어와 모니터링을 하는데 사용됩니다. Bridge에 설치된 RP 210E 제품의 매뉴얼에서 Default Factory Password(DCU/1234)를 확인하거나 CVE?2018-5401, CVE-2018-5402를 이용하면 공격자는 권한 없이 접근 할 수 있습니다. DCU 210E에서는 CVE-2018-5400을 이용하여 Modbus-TCP로 스푸핑 또는 Relay attack을 할 수 있습니다. Engine Room이 아닌 원격에서도 임의의 메시지를 DCU 또는 RP 장치에 보낼 수 있습니다.
- Case#5 : 시뮬레이션 환경의 Bridge System 공격
- 기본정보
연구자는 Bridge System의 시뮬레이션 환경을 만들기 위해 차트 플로터 및 전자해도 네비게이션 소프트웨어인 OPENCPN [89]과 NMEA Simulator [90]를 구성했습니다. OPENCPN은 ECS와 ECDIS를 가정합니다. NMEA Simulator는 선박에서 NMEA를 사용하는 임의의 장치를 가정합니다. Fig.6에서 설명됩니다. NMEA Device는 NMEA 2K Gateway를 거쳐 Bridge room에 설치된 ECDIS로 NMEA 데이터를 전송하고 Blue dotted line으로 표시 되었습니다. 이 과정을 NMEA Simulator로 대체하고 black solid line으로 표시되었습니다. Simulator는 선박의 방향, 바람, 수온, 속도, 위치 데이터를 생성합니다. 해양에서 사용하는 프로토콜 NMEA 2000, NMEA 0183, AIS는 DOS, Spoofing, Packet Sniffing, Relay/Man in the Middle attack에 위험도가 높다고 설명하였습니다 [91]. NMEA 0183의 보안 문제는 2000년 초기부터 제기되었지만 아직 해결되지 않았습니다. 부인 방지를 지원하는 메커니즘이 없기 때문에 서비스 거부 위험 스니핑 및 스푸핑의 위험이 높습니다 [92]. 이것은 Reconnaissance 단계로 설명됩니다.
본 연구에서는 악의적인 NMEA Device에 의해 MiTM 공격을 수행하고 선박 네비게이션과 NMEA Device 통신을 가로채고 악의적으로 조작하여 실제 선박 항로와는 다른 위치로 표시하게 하여 충돌을 유발하게 하였습니다. NMEA는 모든 선박에서 사용됩니다. Serial 방식의 NMEA 018에서 Digital 방식의 NMEA 2000으로 발전되었습니다. 따라서 많은 선박이 이 연구에서 제시된 공격에 취약합니다. Figure 6는 소형 선박인 요트의 NMEA 구성을 보여주고, Figure 7은 대형 여객선에서 사용되는 NMEA device를 보여줍니다.
수행하는 사이버 공격은 5단계로 구성된다. 첫번째 단계는 선박 네트워크와 NMEA의 취약점을 분석하는 것입니다. 공격자는 NMEA의 취약한 통신 방식을 분석했습니다. NMEA는 Converter를 이용해서 NMEA 0183에서 Ethernet으로 변환합니다. 그리고 NMEA Converter에는 WIFI 통신과 웹서버가 내장된 것도 있습니다. NMEA의 프로토콜은 Checksum을 변조하면 쉽게 데이터를 변조할 수 있습니다. 데이터 프레임에는 항로, 속도 등의 항해 정보가 포함되어 있습니다. NMEA 데이터는 ‘$’ 또는 ‘!’로 시작합니다. 문장의 구문은 ‘.’로 구분되며, ‘*’로 끝난다. 15 bit의 Checksum은 ‘$’, ‘*’ 사이의 모든 데이터를 XOR(Exclusive or) 연산으로 구해집니다. 이것은 CAN bus로부터 상속되었습니다 [94]. NMEA의 통신을 가로챕니다. 이 단계는 Reconnaissance 단계로 설명됩니다.
두번째 단계는 NMEA 데이터 패킷을 가로채서 변조를 수행할 수 있는 정보 수집과 공격도구를 설계하는 것입니다. 이 단계는 Initial Access 단계에 해당합니다.
세번째 단계는 데이터 변조를 일으킬 패킷을 조사해야 합니다. 공격자는 NMEA메시지 형식을 이해해야 합니다. NMEA는 암호화되지 않은 평문으로 통신합니다. 공격자는 수집된 패킷에서 변조할 데이터를 찾아냅니다. 이 단계는 Execution 로 설명됩니다.
네번째 단계는 선박의 항로를 변경합니다 . 공격자가 앞선 단계에서 찾아낸 변조할 데이터를 주입합니다 . MiTM 공격입니다 . Execution 단계로 설명됩니다.
- MITRE ATT&CK Framework analysis
사이버 공격의 분석은 MITRE ATT&CK 측면에서 Table 6에 나열되어 있습니다. Fig.4는 공격의 전/후에 따른 선박의 위치 변화를 보여줍니다.
- TTPs 분석
MITRE ATT&CK Framework를 사용하여 선박에 대한 사이버 공격을 분석한 경우 행동 매트릭스를 사용하여 대응책을 계획하고 설계 할 수 있습니다. 우리의 연구에서 분석한 선박의 중요한 사이버보안 사례를 근거로 효과적인 대응방안을 매핑할 수 있습니다. 대응책 목록은 완전하지 않으며 나열된 모든 완화대책을 적용할 필요는 없습니다. Ship Type과 System에 따라 달라져야 할 것 입니다. Warship 이라면 대응책은 더욱 견고해야 할 것입니다. 우리는 MITRE ATT&CK ENTERPRISE로 설명한 선박 사이버 공격 Case와 MITRE ATT&CK ICS로 설명한 case를 TTPs로 설명하고 Mitigation을 제시합니다. 이것은 Fig. 7과 Fig. 8입니다. Techniques은 공격행동이 발생하는 패턴을 설명합니다. Data Source Components는 패턴이 발생하는 구간을 설명합니다. Tactics 12개, Techniques 23개, Data Source Components 8개를 통해 완화대책 8개를 제시 합니다. 완화대책은 더 다양하게 제시될 수 있습니다. 우리는 Case에서 식별된 위협을 기반으로 분석하였습니다. Data Source Components는 공격행동을 의미 합니다. 선체 외부에서 선박과 선체 내부 시스템의 정보를 탐색하고 진입점을 찾는 Reconnaissance, Resource Development 전술은 공격자가 선박에 접근하기 전 단계에 발생합니다. 효과적으로 이 전술을 방어하기 어렵습니다. 공격 대상이 되는 선박과 Supply Chain, 선원의 Attack Surfaces를 최소화하는 것이 필요합니다. 항해중인 시스템의 Network Segmentation은 어렵습니다. Mitigation 계획은 선박 상태와 운영 환경을 고려해야 합니다.
- MITRE ATT&CK ENTERPRISE(도 24)
- MITRE ATT&CK ICS(도 25)
Tactics 12개, Techniques 24개, Data Source Components 10개를 통해 완화대책 12개를 제시합니다. 선박의 조타, 항해, 추진, 전력 계통 시스템의 완화대책을 적용하는 것은 일반적으로 발전소와 같은 O.T 환경의 제약사항과 동일합니다. Host Level의 완화대책 적용은 어렵습니다. ICS에서는 물리적인 완화대책으로 Human User Authentication, Access Management이 요구됩니다. 효율적인 완화대책 계획은 쉽고 영향도가 적어야 합니다.
- Ship Attack Surfaces Index and Honeypot
이 장에서는 선박의 공격 표면을 설명하고 공격 표면 지수를 정량화 하는 방법을 제공합니다. 분석결과, 우리는 공격 표면 지수를 통해 선박 보안 아키텍쳐 우선순위를 식별하고, 선박 사이버위협을 수집하기 위한 선박 허니넷을 구성할 수 있습니다.
- Attack Surfaces
공격표면은 공격자가 공격경로를 통해 경로상의 구성, 시스템, 애플리케이션, API 등의 보안 취약점을 악용하여 공격목적을 달성할 수 있는 공격자에게 노출된 지점입니다. 최근에 사이버보안을 강화하기 위해 암호화, 인증, 네트워크 보안 등을 개선하는 것보다는 공격표면을 감소시켜야 한다는 주장이 제기되고 있습니다. 그렇다면 공격자는 어떤 공격표면을 좋아할까? 직관적으로 공격표면을 알기 위해서는 지수로 표현하면 효과적일 것입니다. CVSS(Common Vulerability Scoring System)은 상용 운영체제와 어플리케이션의 취약점의 정량화된 위험지수를 계산하여 직관적인 위험요인을 제시합니다 .보안취약점을 본질적인 기본 척도(Base Metric), 시간에 따른 척도 (Temporal Metric), 환경적인 척도 (Environmental Metric)에 따라 평가하도록 하여 보안취약점의 심각성을 다양한 관점에서 평가하기 위한 방법을 제공하고 있습니다. Howard, M., Pincus, J., & Wing, J. M 는 윈도우 운영체제의 공격표면을 계산하기 위해 17개의 공격 벡터(예를들어 오픈 소켓, 취약한 접근통제, 동적인 웹 등)를 식별하고 계산하여 Windows 2003과 WindowsNT 4.0를 비교하였다 [95]. 시스템의 보안을 측정하기 위한 방법으로 시스템 하드닝을 통해 시스템 보안 설정의 권고 수준에 대한 절대적 측정값을 얻을 수 있고, 보안 취약성 스캐너를 통해 발견된 보안문제를 중요도로 분류할 수 있다. 또는 시스템에 관한 취약성 노출 수준을 CVE, CERT 권고로 확인할 수 있다. 하지만 사이버공격은 유무선 네트워크 또는 물리적인 접근을 통한 접근경로와 시스템의 취약성이 함께 존재해야 한다. 하드닝, 스캐너, 취약성 노출 수준으로는 접근경로와 취약성의 관계를 발견하지 못한다. 공격표면은 경로과 시스템의 보안위협을 근거로 제시할 수 있는데 이 방법을 통해 attackability을 측정할 수 있습니다.
Howard, M., Pincus, J., & Wing, J. M 윈도우 2000과 윈도우 2003 운영체제의 Attack vector를 20개로 정의하고 채널, 프로세스 타켓, 데이터 타켓, 접근 권한으로 정형화하여 Mike 모델을 제시하였다. Mike 모델에서는 공격표면은 3차원(목표 및 원동력, 채널 및 프로토콜, 액세스 권한)으로 설명하고 계산은 채널 표면, 프로세스 타켓 표면, 데이터 타켓 표면 각각의 접근권한 합으로 계산합니다.
??????????=????????????? + ?????????????? + ??????????????
설정 조정을 통해 IIS가 비활성화된 상태가 윈도우 2000의 경우 측정된 공격표면지수(RASQ)가 342.2에서 305.1로 크게 감소하여 Code Red와 Nimda 악성코드의 영향을 받지 않는 다고 설명하였다 [95] . Manadhata, P. K., & Wing, J. M는 오픈소스 FTP 데몬의 공격 표면을 측정하기 위해 Entry point와 exit point framework 개념을 I/O Automata Model을 제시하였다.
29K line의 ProFTPD 1.2.10과 26K line의 Wu-FTPD 2.6.2를 실행하고 런타임 동작을 모니터링하여 Methods(eg., API), Channel(eg., sockets), Data(eg., input string) 3개의 항목으로 산정하였다. 권한상승 취약성이 우려된다면 Methods 지수가 낮은 FTP 데몬을 선택하고, 열린 채널로 인한 취약성이 우려된다면 Channel 지수가 낮은 FTP 데몬을 선택해야 한다고 설명하였다 [96]. Hyra, Bartlomiej는 선박 공격표면을 6개 시스템으로 분류하고 ISACA의 위험 분석 매트릭스를 사용하여 asset, vulnerability severity, threat severity, probability of attack, level of implemented security들의 value를 계산하였습니다 [97].
- Ship Attack Surfaces Analysis
- Attack Surfaces Layer and Index
노드와 상호 연결은 4개 레이어로 다음 도 26과 같이 설명될 수 있습니다. 선박 공격 표면(SAS, Ship Attack Surfaces)은 4개 레이어와 속성에 따른 변이요인을 고려합니다.
- Channel Surfaces. 공격자가 선박 내부 네트워크에 접근하기 위해서 필요한 자원들입니다. 이 자원들은 점차 확대될 것입니다. VSAT은 선원들의 복지를 위해 확산되고 있습니다. 선원들이 선박 내부 WIFI를 사용하고 위성통신으로 메시지를 주고 받습니다. Long-Term Evolution(LTE) 통신환경도 선박에 탑재되고 있습니다. UHF/VHF는 Automatic Identification System(AIS)와 VTS 등에서 안전항해를 위한 채널로 사용되고 있습니다. 전파거리가 넓기 때문에 선종에 무관하게 사용되고 있습니다. Property의 군사, WIFI는 다음과 같이 설명될 수 있습니다.
? Military. 군사용 통신 위성과 군용 비밀채널을 의미합니다. 이는 함정과 같은 정부의 해상작전에 사용됩니다.
? WIFI. WIFI의 도달거리는 통상 200M 내외 입니다. 해상은 장애물이 없기 때문에 이 거리는 증가될수 있습니다. 또한, 선박이 항만에 접안된 경우 매우 짧은 육상과 선박 거리가 공격자에게는 이상적일수 있습니다. 많은 선박 장비들이 WIFI를 지원합니다.
- Network Surfaces. 선박은 다양한 프로토콜을 사용합니다. 프로펠러의 동력을 공급하는 가스터빈 엔진 관리시스템은 스마트 팩토리와 제어시스템에서 사용되는 것과 같은 Modbus가 사용됩니다. 제어시스템의 사이버 공격 행위는 파괴적인 목적을 가진 공격자가 Advanced Persistent Threats(APT) 방식을 이용합니다. IEC61162에서는 선박 네트워크 표준을 정의합니다. NMEA가 이 표준을 따릅니다. NMEA는 CAN-Bus를 기반으로 합니다. NMEA-0183과 NMEA-2000은 시리얼 통신과 이더넷 통신으로 분류됩니다. 현대의 선박은 점차 NMEA-2000을 사용합니다. 또한, Gateway 또는 컨버터를 이용해서 NMEA 데이터를 유선 또는 무선 이더넷으로 연결합니다.
- Application Surfaces. Application은 작은 배치파일이나 많은 라인으로 구성된 소프트웨어입니다. Onboard Application은 우리가 설명하고 있는 Application 보다 더 다양하고 많습니다. Property는 선박의 목적과 기능에 따라 다릅니다. 벌크선과 화물선 같이 선박이 화물을 운반하는 목적이라면 화물 선적관리와 화물의 안전관리를 위한 알람 시스템이 필요합니다. Cruise ship은 승객을 관리하는 시스템이 필요합니다. 이외에 Battleship은 무기체계를 관리하는 application과 전투로 인한 손상통제를 관리하는 application이 요구될 것입니다.
- Equipment Surfaces. 과거의 선박 장비들은 아날로그 방식이었습니다. 하지만, 현대 그리고 미래의 장비들은 디지털화되었습니다. 요즘 항해사들은 종이를 펼치고 이동경로를 탐색하지 않습니다. 선박에 설치된 Electronic Chart Display and Information System(ECDIS)를 보고 항로를 결정합니다. 이 장비를 가동하기 위해서는 인증키가 담긴 작은 USB를 삽입해야 합니다. 이 장비는 최신의 Electronic Navigational Chart(ENC)로 유지되어야 합니다. 위에서 설명한 것과 같이 Property는 선종에 따라 달라집니다.
악의적인 공격자가 접근하기 위해서는 i)노출된 entry point을 찾고 ii)entry point에 접근하고 iii)entry point를 정찰하고 선박은 Ip Address를 할당 받고 육상 또는 선체 외부에서 접근가능한 External Attack Surfaces(EAS)와 선체내부의 Internal Attack Surfaces(IAS)로 구분됩니다. 공격자가 네트워크에서 EAS를 찾는 방법은 다음 공식으로 설명할수 있습니다.
????????(??)=Σ ????=0Σ????????(????????????0??=1(t), t).
????????(?,??)는 공격자가 공격대상을 식별하고 관련 지식을 알기 위해 사용되는 방법입니다. Ship Surfaces는 Channel Surfaces, Network Surfaces, Application Surfaces, Equipment Sufaces 입니다. Ship Surfaces ?? 는 (??????,??????,??????,??????) 집합 입니다.
? ??????는 채널 공격표면 식별자
? ??????는 네트워크 공격표면 식별자
? ??????는 어플리케이션 공격표면 식별자
? ??????는 장비 공격표면 식별자
? ??????는 선종별로 다른 Surfaces 식별자
? ??????은 모든 Surfaces
네트워크 표면을 제외하고 공격표면은 property에 따라 추가되거나 제외될 수 있습니다. 공격표면의 흐름은 일반적으로 Top에서 Bottom으로 진행됩니다. 하지만 모든 상황은 같지 않습니다. 예를들면 승선한 선원이 가지고 있던 악성코드에 감염된 R.M(Removerble Media)를 ECDIS에 삽입했다면 E.S. 레이어가 1차 공격 표면 입니다. 공격자의 접근 난이도는 하부 Layer로 갈수록 육상에서의 원격 네트워크 접근성은 낮습니다. 공격 경로가 복잡하면 공격보상이 어려울 수 있습니다. 예를들면 CS를 통과하지 않고 선박 장비에 접근하기 위해서는 해적과 같은 공격 집단이 물리적인 접근이 가능해야 합니다. 또는 내부자 위협과 Human Error도 포함됩니다. 이 논문에서는 악의적인 원격 공격자를 가정합니다. 공격자가 최소한의 노력과 시간으로 공격하는 방법은 SAP(The Shortest Attack Path)로 설명됩니다. 공격경로 ap 와 잠재적인 공격경로 A??는 ??(????) 또는 ??(????)입니다. 잠재적인 공격경로들은 보안 취약성 입니다.
??????(??)=??????{??(????)|????∈??⊆????}
단순한 공격경로와 쉽고 빠른 공격방법은 공격자가 원하는 환경입니다. 취약한 수준을 정량적으로 측정하기 위해 소프트웨어, 하드웨어, 펌웨어의 취약성 수준을 측정하는 Common Vulnerability Scoring System(CVSS) 프레임워크 2.0의 계산방식을 참조 합니다. Symbol과 Value는 다음과 같고 Table 3으로 정리됩니다.
? SAP(G)는 공격자의 최단경로에 대한 값
? AV는 로컬 접근인 경우 낮은 점수, 로컬 네트워크인 경우 보통 점수, 네트워크 접근이 가능한 경우 높은값(최소값 : 0.395)
? AC는 접근 복잡도가 낮으면 높은값, 접근 복잡도가 높으면 낮은값(최소값 : 0.35)
? PR은 인증요구가 없으면 높은값, 이중 인증이 있으면 높은값(최소값 : 0.45)
? EX는 공격 성공가능성이 높으면 높은값(최소값 : 0.85)
? RL은 보완대책이 있으면 낮은값 없거나 불가능한 경우 높은값(최소값 : 0.87)
? RC는 공격사례가 있는 경우 높은 값 확인되지 않는 경우 낮은값(최소값 : 0.90)
? CI, GI, AI는 ??????의 기밀성, 무결성, 가용성 값(최소값 : 0.275)
? 무결성, 가용성 영향도가 높은경우 높은값 낮은경우 낮은값(최소값 : 0)
? ?? 는 공격표면이 공격자의 정찰에 노출되는 정보의 가중치(최소값:0)
공격자에게는 공격 보상이 충분해야 합니다. 공격할 수 없는 Surfaces를 찾거나 공격을 시도하지 않을 것입니다.(예를 들면 국제우주정거장과 같이 연결점을 찾기 어려운 시스템은 공격보상이 작습니다.) 공격자에게 Accessability와 Initiative가 높아야 합니다. 반면에 공격에 투입되는 Effort와 Time은 낮아야 합니다. 즉, 공격경로가 단순하고 쉬워야 합니다. 공격자가 직관적으로 surfaces 정보를 확인하기 위해서는 ??????의 IP Address, System Banner Information(Vendor, Product, Version), Service Information이 확보되어야 합니다. ?? 로 설명된 MITRE 정찰 전술에서 공격자가 얻게되는 victim system의 정보로 본 연구에서는 surfaces information으로 정의합니다. 정보는 다음과 같이 설명될수 있습니다. 정보는 text, html, image 등으로 표현될수 있습니다. IP 정보는 소유자와 국가, 라우팅 정보 등 많은 부가적인 정보도 알수 있습니다.
? Level I) 최소한의 정보 : IP, 포트번호, ASN, Country
? Level II) 중간정도의 정보 : Level I에 추가하여 선박 장비의 시스템 배너
? Level III) 많은 정보 : Level II에 추가하여 선박 장비 명칭, 버전정보, 제조사 정보, 선박 운항 정보(GPS, heading…)
Effort와 Time은 공격기술 난이도와 사용할수 있는 약점, 취약점, Exploit에 따라 달라 질수 있습니다. 널리 알려진 약점과 쉽게 응용가능한 취약점, 공개된 exploit은 공격자를 편하게 합니다. 선박 surfaces의 영향도는 기밀성, 무결성, 가용성으로 계산합니다. 선박 Exploitability는 AC, PR, AV로 계산합니다.
????????????= 10.41 ×(1?????)×(1?????)×(1?????)
????????????????????????????= 10.41 ×(1???????????????????)×(1???????????????????????)×(1???????????????????????)
선박의 새로운 사이버위협을 탐색하기 위한 허니팟은 공격자를 유인하기 위해 공격자 관점에서 공격효과와 공격용이성이 높고, 공격에 소모되는 노력과 시간이 적고 경로를 단순하게 하기 위한 방법은 다음과 같습니다.
????????(??????)=??????(????????????+????????????????????????????)? |??????(??????(??))|
선체 외부의 공격자가 선박을 공격하기 위해서는 EAS에 연결하고 CS의 접근권한을 가지고 있다면 정보를 획득할수 있습니다. 최소한의 정보는 IP와 PORT 정보 입니다. 그 이상의 정보는 공격을 쉽게 도와줍니다. 알려진 취약점 정보와 exploit code가 있기 때문입니다. Credential을 확보하고 권한 상승을 통해 실행명령을 제어할수 있습니다. 순서는 다음 Table4와 같습니다.
????????(??????)으로 계산된 선박 공격표면은 다음 Fig.3과 같습니다. ASQ가 가장 높은 것은 동그라미가 빨간색-노란색-초록색 순서 입니다. IM은 공격 영향이고 ET는 공격 가능성, LD+ET는 ??????(??????(??))을 고려한 공격 가능성입니다. CS에서 Satellite 외에도 인터넷 네트워킹이 아닌 UHF/VHF가 확인됩니다. 이것은 AIS jamming attack과 같은 이유 입니다. NS에서는 FTP, HTTP(S), TELNET, SSH 등 일반적인 프로토콜에서 공격표면지수가 높았습니다. AS에서는 선박 운항과 선체 내부 제어 시스템의 공격지수가 높았습니다. ES는 선박 위성시스템의 공격지수가 가장 높았습니다. 이 값들은 변화될 수 있습니다. 앞에서 언급한 선박에 탑재되는 시스템, 선종, 선박 기능에 따라 Property 값이 변화하기 때문입니다. ??????에 더욱 더 많은 보안 위협과 취약성이 발견된다면 이 값들은 다시 평가 되어야 합니다.
- Attack Surfaces based Ship Honeynet
공격자를 유인하기 위해서는 공격 리워드가 높고 공격성공율이 높아야 합니다. 선박의 알려진 취약점은 증가하고 있고 선박의 사이버보안 사고도 증가하고 있습니다. 공격자는 선박에 대한 보다 많은 정보를 얻을 수 있게 되었습니다. 공격자를 유인하기 위해 공격자의 특성을 반영한 허니팟을 설계 합니다. 선박 공격표면을 CS, NS, AS, ES layer로 설명하였고 경로의 깊이 값이 높을수록 공격자의 접근성은 떨어집니다. 공격자가 노릴만한 환경을 구성해야 합니다. 따라서 본 논문에서는 CS, NS, AS를 활용합니다. 각 Layer에서 대표적인 Surfaces를 선박의 특성을 이용한 honeypot 소프트웨어를 배치합니다. 배치한 소프트웨어는 클라우드상에 배열하고 공격자가 Reconnaissance 전술을 사용할 수 있도록 유도 합니다.
앞서 언급한 SCADA/ICS 허니팟 및 차량 허니팟 연구의 속성과 기능에 따르면 허니넷은 사이버 위협이 탐지된 네트워크와 동일한 위치 또는 공용 네트워크에 위치하여 공격자가 이를 인지하도록 유도해야 한다. 차량, SCADA 또는 ICS 장치. 본 연구에서는 Shodan을 통해 선박의 VSAT 장비와 AIS와 같은 선박에서 사용되는 장치에 대한 프로토콜인 NMEA를 모두 인터넷에 노출하여 허니넷을 생성했습니다.
선박 해양 위성 통신은 선박에 설치된 VSAT 장치를 사용됩니다. 선박 데이터를 원격으로 관리하고 모니터링하는 시스템이 도입됨에 따라 더 다양한 경로로 인해 선박 시스템이 인터넷에 노출됩니다. 또한 해양 위성 통신 비용이 낮아지고 인터넷에 연결된 선박의 수가 증가함에 따라 보안 취약성이 증가할 것으로 여겨집니다. 선체 외부의 공격자를 유인하기 위한 CS는 Satellite IP Network로 가정합니다. NS를 정의하기 위해서 ??????(????????????+????????????????????????????)를 고려합니다. 이는 알려진 취약점 목록으로 정의합니다. ES의 ASQ가 가장 높은 Satellite Terminal page를 허니팟 으로 구성합니다. 구성된 페이지에는 선박 이름, 선박 위치(GPS Position), 선박 방향(Heading), 선박 속도(Knots) 등이 포함됩니다. TELNET과 FTP, SSH 데몬은 배너 페이지에서 정보를 구성합니다. 선박 장비 명칭과 선박 이름이 포함됩니다. ES의 ASQ가 가장 높은 Satellite Terminal page를 허니팟 으로 구성합니다. 구성된 페이지에는 선박 이름, 선박 위치(GPS Position), 선박 방향(Heading), 선박 속도(Knots) 등이 포함됩니다. TELNET과 FTP, SSH 데몬은 배너 페이지에서 정보를 구성한다. 선박 장비 명칭과 선박 이름이 포함됩니다. 본 연구에서는 Amazon EC2 클라우드 환경에서 허니팟을 구현하였습니다. 이 환경은 허니팟이 전세계 모든 지역에서 동작할 수 있도록 하고 허니넷을 효과적으로 운용하는데 필요한 자원을 유동적으로 할당하고 허니팟을 구성하고 유지하기 쉽게 했기 때문에 사용되었다. EC2는 1개의 관리 인스턴스와 5개의 센서 인스턴스로 구성되었습니다. 오픈 소스 허니팟 소프트웨어는 각 센서 인스턴스에 설치되었습니다. 공격 라이브러리에 있는 선박 제품 정보와 버전 정보를 이용하여 각 센서 인스턴스의 배너 정보, 호스트 이름, 웹 페이지를 수정하고, 공격자가 선박 시스템으로 인식할 수 있도록 인스턴스를 구성하였다. SHIPPOT의 IP는 공격자가 접근 할수 있도록 검색엔진에 노출시켰습니다. 각 Level에 따라 surfaces information을 증가시키면서 Level별로 15일간 Shodan, Censys, zoomeye에서 검색되도록 두었습니다.
SHIPPOT은 3개의 level로 적용되었습니다. Level1은 ASQ를 331.3335로 설정하고 공격자의 정찰 전략에 노출될 정보를 ip와 port로 최소화 했습니다. 이때 접근하는 시도는 323건 이었고 공격은 138건 이었습니다. Level2는 ASQ를 339.8335로 설정하고 공격자의 정찰 전략에 노출된 정보는 선박 시스템의 시스템 배너 였습니다. 이때 접근하는 시도는 464건이었고 공격은 154건 이었습니다. level3은 ASQ는 351.0835였고 공격자의 정찰 전략에 노출된 정보는 선박 장비 명칭과 버전정보, 선박 운항정보(ship name, ship position, ship heading) 였습니다. 이때 접근하는 시도는 5,474건 이었고 공격은 902건 이었습니다. level1에 비하여 level3는 접근시도는 1595% 증가하였고, 공격시도는 554% 증가하였습니다. 이 실험의 결과는 Level1과 Lev2는 일반적인 허니팟의 운영 상태에 가까웠고 뚜렷한 차이를 확인할 수 없었지만 항해정보, 선박정보 등이 포함된 Level3의 경우 현저하게 공격 count가 높았습니다. 많은 정보가 노출 될수록 공격 요인이 높았습니다. 선박 시스템 정보가 외부로 노출되는 것을 방지해야 합니다.
CREDENTIAL ATTACK 관점에서는 공격자들이 시도한 아이디의 67%는 admin이었습니다. 선박 장비들의 default password가 admin 인 사례는 많습니다. 선박 공격자들이 정찰 전술을 통해 선박 장비들이나 선박 관련 매뉴얼을 획득한다면 이러한 정보를 취득하기 어렵지 않습니다. 대표적으로는 선박 satellite communication system의 비밀번호는 admin 입니다. Shodan 등 iot 검색엔진에는 이러한 장비들이 아직도 노출되어 있습니다. 공격자가 시도한 비밀번호의 90%는 admin이거나 password이거나 1234, 123456와 같은 단순 숫자 조합 이었습니다. 안타깝게도 실제 선박의 default credentials도 수집된 것과 동일한 사례가 발견되고 있습니다.
Exploit Attack 관점에서는 총 6,261건의 접속 시도가 있었고 1,194건의 공격 시도가 있었습니다. MS17-010으로 알려진 공격시도가 가장 많았습니다. 이 공격은 윈도우 운영체제의 SMB 보안 취약점을 이용합니다. 워너크라이 랜섬웨어가 이 취약점을 악용했습니다. 2019년 4월 한국의 자동차 운반선 여러척이 이 공격에 피해를 입었습니다.
- Ship Cyber Security Architecture
이 장에서는 선박의 보안 요구사항을 설명하고 선박 사이버 보안 아키텍쳐를 설명합니다. McCumber, John 는 종합적인 보안 모델로 McCumber’s Cube를 제안하였습니다 [98]. 정보상태, 보안 목표, 보안 조치 3개의 축으로 구성되며 한면에 9개의 보안대책으로 ?????????? = {3,3,3} 으로 구성되며 총 27개의 큐브입니다. Bell-LaPadula model [99]은 엄격하게 시행하는 시스템은 종종 비실용적이고 사용자가 많은 작업을 수행해야 한다고 설명하였습니다 [100]. 선박 사이버보안은 쉽게 표현될 수 있어야 합니다. 연구자는 사이버 보안의 초기 단계인 선박 사이버보안 아키텍쳐를 ?????????? = {3,5,3} Cube로 설명합니다.
최근의 시스템은 고도화, 정교화된 사이버 공격을 방어하기 위해 Defense in Depth(DiD)를 적용합니다. 정보 기술 시스템 전체에 여러 계층의 보안 통제 수단을 적용하는 개념으로 다른 계층의 보안 통제가 실패해도 또 다른 계층의 통제가 적용됩니다 [101] . 이 개념은 산업제어시스템에 첫번째 적용 되었다 [102]. 다양한 공격 방법이 있지만 성공적으로 보호할 수 있는 단일 방법은 없습니다.
? Mission Potential : 선박의 C.I.A Triad 우선순위는 A-I-C로 설명된다 [6]. 선박의 전원 공급장치 fault로 인하여 가용성 유지가 안될 경우 심각한 전세계적인 물류 대란을 겪은 사례가 있습니다. 또한, 잠수함의 경우 매우 높은 기밀성이 요구되지만 잠항 상태에서 가용성에 문제가 발생하면 잠수함과 승조원을 잃을 수 있습니다.
? Defense in Depth(DiD) : 다계층 보안통제는 선박에 반드시 필요합니다. 으로부터 선박에는 2개의 제어 시스템이 있습니다. 민간 상선의 경우 자동차, LNG, OIL, 컨테이너
119
제어 시스템일 수도 있고, 군함의 경우 핵 미사일, 무장용 드론 일수도 있습니다. 또 다른 하나의 제어 시스템은 선박의 추진과 조타 제어용 시스템입니다. 이 시스템이 통제력을 상실할 경우 선박은 미사일이 될 수 있습니다.
? Protecting Pipeline : 위협을 보호-탐지-대응하는 체계는 순환되어야 합니다. 공격자로부터 보호하고, 시도되는 위협을 탐지하고, 공격표면의 노출을 최소화하고 차단, 복구 해야 합니다.
- Perimeter Layer
Perimeter Security는 선박 내부의 리소스를 외부 해킹, 악성코드 공격 위협으로부터 방어하기 위해 네트워크 기반의 암호화, 백신, 방화벽 등으로 구성됩니다. 보안정책과 교육훈련과 반복 교육을 통해 평시 사이버보안 활동에 참여하도록 해야 합니다. 이 레이어는 시스템/네트워크 관점에서는 선박 내외부의 접점으로 구분하고, 선박 사이버보안의 관점에서는 레이어 하단의 Network-Endpoint-Application-Data에서 요구되는 다음 사항들을 포함한다.
? Supply Chain Management
? Cyber Risk Management(Cyber Security Assessment, Vulnerability Management 포함)
? Security Test
Dynamic Positioning 선박의 Dynamic Positioning(DP) 시스템은 해상에서 해양 구조물을 일정기간동안 원하는 위치를 유지시켜주는 시스템이나 본 연구에서는 사이버보안 관점의 용어입니다. 선박의 중요한 사이버보안 체계의 경우 선박 내 다른 구역 2개소 이상에 분산 배치하여 가용성을 확보해야 합니다. 선박의 조타, 항해, 제어시스템 통신망은 경계선에서부터 분할되어야 합니다. 항해통신망, 일반통신망, 선원통신망(여객선의 경우 여객용 통신망)으로 구분하여야 합니다. 선박 네트워크상에 존재하는 자산등급별로 ‘일방향 통신’ 채택을 고려하여 중요한 항해 시스템으로 악의적인 시스템과 정보가 접근하지 않도록 해야 합니다. 원전 제어 계측 시스템의 경우 보안 Level 2부터 Level 3의 시스템은, 내부->외부로의 단방향 네트워크 흐름만 허용되며, 오직 필요한 응답(승인 또는 제어 신호) 메시지만 허용됩니다.
- Network Layer
Network Layer에서는 선박 내외부 통신 체계의 보안 기술로 구성된다. 가용성 Protection을 위한 기술로는 Anti-DDOS, 방화벽, 웹 방화벽, UTM, IDS/IPS 등을 통해 서비스 거부 공격과 같은 가용성 침해 공격에 보호대책을 강구 해야 하며, 선박의 핵심 자산의 가용성을 위해 Load Balancer는 둘 혹은 셋이상의 중앙처리장치 혹은 저장장치와 같은 컴퓨터 자원들에게 작업을 나누어 부하를 분산해야 합니다.
L2 based security switch : 최소 단위의 네트워크는 2계층 Switch 입니다. L2 Switch에서 최소한의 보안통제가 이루어 져야 합니다 [103]. BV 사이버보안 요구사항(PTF 005)에서도 선박내 장비들의 802.1x 인증을 요구하고 있어 switch level의 적용이 필요합니다 [104]. 802.1x 인증은 Port 기반의 인증입니다. Replace default configuration : 네트워크 장비의 기본 보안 설정(default id, password 등)은 제거되어야 하며 공장 출시 단계에서 사용된 관리자 또는 사용자 설정사항이 운영모드에서 적용되어서는 안 된다. VPN(Virtual Private Network) : 함정과 육상의 원격지 연결이 있을 경우 통신보안을 위해 사용한다.
- Endpoint Layer
선박 내 Endpoint는 함정 기관제어, 통신항해 등에서 사용되는 운영체제가 동작 하는 시스템과 각종 센서로 정의할 수 있습니다 . 각종 체계가 동작하는 Layer이기 때문에 체계 고유의 동작환경에 영향을 받는 요인이 큽니다 . 예를들어 Windows XP에 최적화된 전자해도시스템(ECDIS) 또는 제어시스템인 경우 최신의 운영체제로의 업그레이드가 어려울 수도 있다. OT 시스템에서도 71%가 지원되지 않는 오래된 윈도우 버전을 실행하고 있으며, 46%는 암호를 평문 텍스트로 공유하고 있으며, 54%는 RDP·SSH·VNC 등 취약한 원격접속 프로토콜을 사용 가지고 있다. 상기 연구에서 볼 수 있듯이 선박 탑재 장비들의 CWE 분석결과도 이와 같은 결과를 확인하였다 .
- Application Layer
선박에서 사용되는 Application(응용 프로그램)의 보호(Protection)을 위해서 접근 인증(Authentication), 소프트웨어 보안(Software Development Security), 난독화(Obfuscation) 등이 요구된다. 응용 프로그램의 보안 위협 탐지를 위한 응용 단계(Appliation Level)의 방화벽이 사용 될 수 있다. 개발 및 테스트, 운영 단계에서 보안 테스트 방법은 Penetration Testing과 Secure Coding Test 으로 분류되고 미 해군과 민간 선주사 요구사항에도 이러한 보안 테스트 방을 적용하고 있다.
- Data Layer
전자 금융 산업에서는 개인 식별 정보와 개인 민감 정보의 형태에 따라 분류하고 있다. 해양 산업에서 보호해야 할 민감 데이터가 무엇인지 명확히 정의된 연구자료는 아직 없습니다. Rødseth, Ørnulf 연구에서는 선상에서 안전한 메시지 교환이 필요한 데이터로 charts and other nautical data, Digitalization of ship certificates, log books, voyage orders, bills of lading 들을 예로 들고 있습니다. 개인정보 측면에서도 고려해야 할 강력한 법률이 있습니다. EU GDPR(General Data Protection Regulation)에서는 해운회사에서 저장하고 있는 passenger information, crew member details, travel documents, training records, bank details가 이 법률에 적용되어 보호가 필요하다고 설명합니다 [106].
- CONCLUSION
사이버 물리 시스템이 증가하는 이유는 ICT 기술과 물리적 장치가 연결되어 편의성과 효과적인 서비스가 가능하기 때문입니다. 그러한 이유로 스마트 그리드, 스마트 홈, 스마트 카가 연결되면서 급격히 사이버 보안 문제가 증가하였습니다. 선박은 지금까지 공격 대상이 아니었습니다. 하지만 스마트 십, 자율운항선박이 개발되었습니다. 앞으로 더 많은 선상 시스템이 ICT 기술이 적용될 것입니다. 사이버 공격으로부터 선박을 보호하기 위해서는 기술적 대책 뿐만 아니라 포괄적인 관리가 필요합니다. 이것은 IMO에서 Cyber Security Management 규정을 개발한 이유합니다. 대한민국에서도 보안이 필요한 장치에 선박이 포함되었습니다. 본 논문에서는 선박의 보안 취약성에 대한 연구를 기반으로 실제 공격 모델을 MITRE ATT&CK framework으로 제안했습니다. 또한, 실험을 통해 해상 네트워크와 시스템을 시뮬레이션하고 공격 위협을 분석했습니다. 최근 많은 조직들이 방어자 관점에서 공격표면을 줄이기 위해 노력하고 있고, 공격자 관점에서는 공격표면을 찾는 서비스(e.g: shodan. Censys, etc.)가 사용되고 있습니다. 선박 공격표면을 식별하고 정량화한 연구는 이번이 처음입니다. 새로운 시스템에 사이버위협을 탐지하기 위한 방법으로 허니팟이 사용됩니다. 선박 공격표면지수를 이용하여 허니팟을 구성하고 표면정보가 높을수록 공격빈도가 높아진 것을 확인하였습니다. 우리가 제시한 연구결과를 통해 해양과 사이버보안 연구자, 엔지니어들이 선박 사이버보안에 대한 정보를 얻고 미래 선박 건조와 안전운항 관리에 활용하기를 바랍니다.
본 발명을 바람직한 실시예들을 통하여 상세하게 설명하였으나, 이와 다른 형태의 실시예들도 가능하다. 그러므로, 이하에 기재된 청구항들의 기술적 사상과 범위는 바람직한 실시예들에 한정되지 않는다.

Claims (1)

  1. 선박의 보안 취약성에 대한 연구를 기반으로 실제 공격 모델을 MITRE ATT&CK framework으로 제안하며, 해상 네트워크와 시스템을 시뮬레이션하고 공격 위협을 분석하고, 방어자 관점에서 공격표면을 줄이기 위해 노력하고 있고, 공격자 관점에서는 공격표면을 찾는 서비스(e.g: shodan. Censys, etc.)가 사용하는 선박 사이버 위협 분석 및 공격면 지수를 활용한 보안 아키텍처.
KR1020210194056A 2021-12-31 2021-12-31 선박 사이버 위협 분석 및 공격면 지수를 활용한 보안 아키텍처 KR20230103283A (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020210194056A KR20230103283A (ko) 2021-12-31 2021-12-31 선박 사이버 위협 분석 및 공격면 지수를 활용한 보안 아키텍처

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020210194056A KR20230103283A (ko) 2021-12-31 2021-12-31 선박 사이버 위협 분석 및 공격면 지수를 활용한 보안 아키텍처

Publications (1)

Publication Number Publication Date
KR20230103283A true KR20230103283A (ko) 2023-07-07

Family

ID=87154119

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020210194056A KR20230103283A (ko) 2021-12-31 2021-12-31 선박 사이버 위협 분석 및 공격면 지수를 활용한 보안 아키텍처

Country Status (1)

Country Link
KR (1) KR20230103283A (ko)

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20200029266A1 (en) 2017-03-28 2020-01-23 Kyocera Corporation Radio communication equipment and control method therefor

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20200029266A1 (en) 2017-03-28 2020-01-23 Kyocera Corporation Radio communication equipment and control method therefor

Similar Documents

Publication Publication Date Title
Ashraf et al. A survey on cyber security threats in iot-enabled maritime industry
US10205733B1 (en) Cyber signal isolator
Svilicic et al. Raising awareness on cyber security of ECDIS
Bothur et al. A critical analysis of security vulnerabilities and countermeasures in a smart ship system
Mednikarov et al. Analysis of cybersecurity issues in the maritime industry
Silverajan et al. Cybersecurity attacks and defences for unmanned smart ships
Santamarta A wake-up call for SATCOM security
Lagouvardou Maritime Cyber Security: concepts, problems and models
Jo et al. Cyberattack models for ship equipment based on the MITRE ATT&CK framework
Santamarta SATCOM terminals: Hacking by air, sea, and land
Furumoto et al. Toward automated smart ships: Designing effective cyber risk management
Tam et al. Case study of a cyber-physical attack affecting port and ship operational safety
Tam et al. Situational awareness: Examining factors that affect cyber-risks in the maritime sector
Sampigethaya et al. Cyber security of unmanned aircraft system traffic management (UTM)
Söner et al. Cybersecurity risk assessment of VDR
Rajaram et al. Guidelines for cyber risk management in shipboard operational technology systems
Rajamäki et al. CISE as a Tool for Sharing Sensitive Cyber Information in Maritime Domain
KR20230103283A (ko) 선박 사이버 위협 분석 및 공격면 지수를 활용한 보안 아키텍처
Garcia-Perez et al. Towards cyber security readiness in the Maritime industry: A knowledge-based approach
Hyra Analyzing the attack surface of ships
Cho et al. Cybersecurity considerations in autonomous ships
Evensen Safety and security of autonomous vessels. Based on the Yara Birkeland project
Grispos et al. Cyber Pirates Ahoy! An Analysis of Cybersecurity Challenges in the Shipping Industry
Pajunen Overview of maritime cybersecurity
Farah et al. Cyber Incident Scenarios in the Maritime Industry: Risk Assessment and Mitigation Strategies

Legal Events

Date Code Title Description
E902 Notification of reason for refusal