산업제어시스템 위협 정보 공유의 현주소와 향후 과제

초록

본 논문은 산업제어시스템(ICS) 분야에서 위협 정보 공유가 직면한 기술·조직적 장애물을 체계적으로 조사한다. Stuxnet, Industroyer, Triton 3대 사건을 사례로 분석하고, MITRE ATT&CK‑ICS에 등재된 22개 악성코드·79개 기술에 대한 196개 절차를 자연어 처리(NLP) 기반으로 추출·분류한다. 또한 CISA KEV 목록의 9개 취약점 보고서를 검토해 STIX 표준의 표현 한계, 독점 기술 의존, 상세 기술 부재, 관측 가능성 확보 어려움 등 네 가지 핵심 문제를 도출한다. 연구 결과는 STIX 사이버 관측 객체(SCO) 스키마 확대와 표준화된 메타데이터 정의가 필요함을 시사한다.

상세 분석

이 연구는 먼저 기존 문헌이 주로 IOC(Indicators of Compromise) 수준에 머물렀던 점을 지적하고, ATT&CK‑ICS 기술 수준에서 어떤 관측값(observables)이 요구되는지를 정량화한다. 196개의 절차 예시에서 총 361개의 관측값을 추출했으며, 이 중 101개는 STIX에 완전 매핑, 191개는 부분 매핑, 69개는 매핑 자체가 부재했다. 즉, 현재 STIX 2.1이 산업제어시스템 고유의 프로토콜(예: Modbus, DNP3)이나 물리적 신호(센서값, PLC 레지스터) 등을 충분히 표현하지 못한다는 사실을 실증한다. 또한 87개의 관측값만이 실제 탐지 규칙 설계에 활용될 정도의 기술적 세부 정보를 제공했으며, 나머지 274개는 구체성이 부족해 현장 운영자가 바로 적용하기 어렵다.

네 가지 제한 사항은 서로 연관된다. 첫째, 표준 스키마 부재는 독점적인 파싱 엔진이나 사내 도구에 의존하게 만들고, 둘째, 이러한 독점 기술은 문서화가 되지 않아 정보 공유 시 해석 오류를 초래한다. 셋째, 취약점·사건 보고서가 ‘취약점 식별’ 수준에 머무는 경우가 많아, 실제 공격 단계에서 필요한 시그니처나 행동 패턴을 제공하지 못한다. 넷째, 관측값 자체가 공유되지 않거나 접근 권한이 제한돼, 동일한 위협에 대한 공동 방어가 어려워진다.

저자들은 이러한 문제를 해결하기 위해 STIX 사이버 관측 객체(SCO) 스키마에 ‘ICS‑Specific Artifact’ 클래스를 추가하고, 메타데이터(예: PLC 모델, 펌웨어 버전, 통신 채널)와 행동 단계(예: 명령어 변조, 타이밍 공격)를 명시적으로 기술하는 방안을 제시한다. 또한 자동화된 NLP 파이프라인을 오픈소스로 공개해, 향후 연구자와 실무자가 동일한 데이터셋을 기반으로 재현·확장할 수 있도록 지원한다.

결과적으로, 이 논문은 기술적 표준화와 조직적 협업 메커니즘이 동시에 개선돼야만 산업제어시스템에 특화된 위협 정보를 효과적으로 공유하고, 실시간 탐지·대응 역량을 강화할 수 있음을 입증한다.