C-08 제어시스템에 불필요한 서비스 및 취약한 서비스 제거 또는 보완대책 수행
가이드라인 원문
| 항목 | 내용 |
|---|---|
| 항목코드 | C-08 |
| 점검내용 | 제어시스템구성요소에서불필요한서비스와취약한서비스를제거하거나이용할수없도록비활성화여부점검 |
| 점검대상 | 점검대상및판단기준 |
| 판단기준 | 양호: 제어시스템에불필요하거나취약한서비스가제거또는비활성화된경우 |
| 판단기준 | 취약: 제어시스템에불필요하거나취약한서비스가존재하는경우 |
| 조치방법 | 제어시스템에불필요하거나취약한서비스를제거또는비활성화설정 |
상세 설명
1. 항목 개요
제어시스템 구성요소에서 불필요한 서비스와 취약한 서비스를 제거하거나 비활성화하는 것은 공격 표면을 최소화하고 보안 위협을 방지하기 위한 핵심적인 보안 조치입니다.
제어시스템은 특정 목적을 위한 전용 시스템으로, 운영에 필요한 최소한의 서비스만 활성화하고 불필요하거나 취약한 서비스는 제거하거나 비활성화해야 합니다.
2. 왜 이 항목이 필요한가요?
이 항목은 제어시스템(운영체제)에 관련 소프트웨어를 위해 필요한 최소한의 서비스만 활성화하고 취약한 서비스를 제거 또는 비활성화하여 비인가자 및 악성코드에 의한 취약한 서비스 악용을 방지하기 위함입니다.
보안 위협 시나리오:
네트워크 스캐닝을 통한 공격
- 공격자가 네트워크 스캐닝을 통해 취약한 서비스를 탐지
- 탐지된 취약점을 악용한 비인가 접근 및 악성코드 유포
SMB Redirect 공격
- Windows PC 간 파일 공유를 위한 SMB 프로토콜 악용
- 네트워크 트래픽을 해커가 장악한 SMB 서버로 우회
- 사용자 로그인 정보 탈취
쇼단(Shodan) 등을 통한 노출
- 쇼단, Criminal IP 등의 취약점 검색엔진을 통해 제어시스템 노출
- IoT, ICS 장비의 활성화된 서비스 확인 및 공격
3. 점검 대상
- HMI, EWS와 같은 제어 S/W를 제외한 제어시스템 구성요소 전체
- 운영체제(Windows, Unix 등)
- 네트워크 장비
- 제어 H/W (서버, PC 등)
4. 판단 기준
- 양호: 제어시스템에 불필요하거나 취약한 서비스가 제거 또는 비활성화된 경우
- 취약: 제어시스템에 불필요하거나 취약한 서비스가 존재하는 경우
5. 점검 방법
공통 점검 절차
Step 1) 제어시스템 현황 및 네트워크 구성도 확인
제어시스템 현황(목록)과 네트워크 구성도를 확인하고 제어시스템별 감시, 설비제어 등을 위해 필요한 서비스(Port) 종류를 확인합니다.
Step 2) 활성화된 서비스 점검
구성요소 운영체제의 방화벽 기능 또는 자체적으로 활성화된 서비스 조회 기능 등을 통해 해당 구성요소에 활성화된 서비스(Port)가 불필요한 것인지 또는 취약한 것인지 점검합니다.
Step 3) 보안대책 적용 여부 확인
Step 2)에서 확인된 불필요하거나 취약한 서비스에 대해 보안대책 적용 여부를 확인합니다.
- 보완대책 예시:
- 제어망, 업무망의 방화벽에서 접근통제 정책으로 해당 서비스를 차단하고 있는 경우
- 네트워크 장비의 접근규칙(ACL)을 적용하여 차단하고 있는 경우
- 불필요하거나 취약한 서비스가 제거 또는 보완대책 적용이 되어있지 않은 경우, 이를 비활성화하거나 보완대책을 적용하도록 조치
Windows OS 점검 및 조치 방법
- 시작 옵션에서 시작유형을 ‘사용 안 함’으로 설정
- 불필요한 서비스 중지
- 시작 > 설정 > 제어판 > 관리 도구 > 서비스에서 불필요한 서비스 중지
- 접근 가능한 IP 제한
- 시작 > 설정 > 제어판 > 방화벽 설정에서 접근 가능한 IP 제한
Unix OS 점검 및 조치 방법
- 불필요한 서비스 주석 처리
# vi /etc/inetd.conf파일에서 불필요한 서비스 주석(#) 처리하여 해당 서비스 비활성화
- 접근 가능한 서비스, IP 지정
# /etc/hosts.allow에 접근 가능한 서비스, IP 지정
- 차단할 서비스, IP 지정
# /etc/hosts.deny에서 차단하고자 하는 서비스, IP 지정
SMB 프로토콜 비활성화 방법
SMB(Session Message Block) 프로토콜은 Windows에서 디스크와 프린터를 네트워크상에서 공유하는 데 사용되며, TCP 139번, 445번 포트를 사용합니다.
- 바탕화면 또는 제어판에서 [네트워크 환경]의 [등록정보] 실행
- 현재 인터넷에 접속된 연결의 [등록정보] 선택
- [Microsoft 네트워크용 클라이언트] 항목과 [Microsoft 네트워크용 파일 및 프린터 공유] 항목의 체크 해제
6. 조치 방법
서비스 제거
- 제어시스템 운영에 불필요한 서비스 식별 및 제거
서비스 비활성화
- 필요하지 않은 서비스 비활성화
- 운영체제별 방화벽 설정을 통한 서비스 차단
보완대책 적용
- 방화벽 접근통제 정책 적용
- 네트워크 장비 ACL 설정
7. 조치 시 주의사항
- 일반적인 경우 영향 없음
- 서비스 중지 전 운영 영향도 분석 필요
- 조치 전 설정 파일 백업 권장
- 제어시스템 운영에 필수적인 서비스인지 확인 후 조치
8. 참고 자료
- 쇼단(Shodan): https://www.shodan.io
- CISA ICS 취약점 목록: https://cisa.gov/news-events/cybersecurity-advisories
- NIST SP 800-82: Guide to Industrial Control Systems Security
요약
제어시스템에서 불필요하거나 취약한 서비스를 제거 또는 비활성화하고, 필요한 경우 방화벽이나 네트워크 장비를 통해 보완대책을 적용하여 공격 표면을 최소화하고 보안 위협을 방지해야 합니다.