banner
홈페이지 / 블로그 / 업계에 대한 또 하나의 걱정: CNC 해킹
블로그

업계에 대한 또 하나의 걱정: CNC 해킹

Nov 29, 2023Nov 29, 2023

리 테슐러(Lee Teschler) | 2022년 12월 13일

주제에 대한 TeschlerLeland Teschler •편집장[이메일 보호됨]트위터 @ DW_LeeTeschler

1980년대에 공장 관리자였던 내 친구가 자신이 설치한 컴퓨터 네트워크를 자랑스럽게 나에게 보여주었습니다. 네트워크의 주요 임무는 프론트 오피스에 있는 사람들이 공장 현장을 방문하지 않고도 G 코드를 사용하여 공장의 CNC 기계를 프로그래밍할 수 있도록 하는 것이었습니다.

네트워크는 훌륭하게 작동했지만 이 모든 일은 월드 와이드 웹이 발명되기 오래 전에 일어났습니다. 그래서 공장의 컴퓨터 네트워크나 CNC 기계를 외부로부터 안전하게 보호할 생각은 전혀 없었습니다.

불행하게도 CNC 보안은 내 친구의 1980년대 네트워크보다 크게 발전하지 않은 것 같습니다. 적어도 그것은 사이버 보안 소프트웨어 회사인 Trend Micro와 CNC 통합업체인 Celada의 연구원들이 최근 발표한 보고서에서 얻을 수 있는 인상입니다. 이들 회사 출신의 연구원들은 Haas Automation, Heidenhain, Fanuc 및 Okuma가 제작한 널리 사용되는 금속 가공 기계 제어 장치의 보안 조치를 해당 분야의 대표자로 연구했습니다. 전반적으로 연구원들은 컨트롤러 제조업체에게 보안의 우선순위가 낮은 것 같다고 결론지었습니다. 그런 점에서 Haas, Heidenhain, Okuma 컨트롤러를 공격하는 방법 약 15가지와 Fanuc 컨트롤러를 엉망으로 만드는 10가지 방법을 확인했습니다.

일반적으로 연구자들은 일반 컴퓨터와 서버에 배포된 일반적인 보안 메커니즘이 CNC 설치에는 없다는 사실을 발견했습니다. 그들이 발견한 한 가지 기본적인 문제는 많은 기계가 명령 발행자가 합법적인지 확인하지 않고 주어진 모든 명령을 따랐다는 것입니다. (흥미롭게도 이 단점은 HVAC 네트워크에서도 일반적입니다.) Fanuc 컨트롤러에는 프로토콜 인증이 있지만 최종 사용자가 활성화해야 하는 옵션으로만 제공됩니다.

또한 머신 컨트롤러에는 일반적으로 악성 애플리케이션 설치를 방해하는 리소스 액세스 제어 기능이 부족했습니다. 이러한 조치가 없으면 CNC 기계에 합법적인 기능 주위에 유해한 기능을 숨기는 오픈 소스 코드가 로드되는 것을 막을 수 없습니다.

일부 CNC 보안 문제는 유머러스할 정도로 기본적입니다. 예를 들어 Heidenhain은 모든 컨트롤러에 기본 OEM 비밀번호를 제공합니다. 회사에서는 비밀번호 변경을 기계 제조업체에 맡깁니다. 게다가 비밀번호는 취약하며(6자리) 공격자가 접근할 수 있는 파일 시스템에 저장되어 있다.

다양한 브랜드의 컨트롤러와 관련된 문제도 있었습니다. 예를 들어, Haas 컨트롤러는 펌웨어의 무단 수정에 취약했습니다. Heidenhain 시스템에서 실행되는 Linux 버전은 패치가 적용되지 않았으며 여러 취약점의 영향을 받았습니다. 패치되지 않은 Windows 버전을 실행한 Okuma 컨트롤러도 마찬가지입니다.

이러한 보안 문제로 인해 Trend Micro와 Celada가 예상하는 잠재적 혼란은 불량 부품 가공부터 기계 작업자의 위험까지 다양합니다. 그들은 공격자가 도구 형상을 수정하여 작업물에 미세한 결함을 일으키거나 작업자가 지친 지점을 지나 도구를 사용하도록 속이기 위해 잠재적으로 매개변수적 프로그램을 제어할 수 있는 권한을 얻을 수 있다고 상상합니다. 한 경우에는 컨트롤러가 해킹될 수 있어 운영자가 일시 정지 버튼을 눌렀을 때 아무 일도 일어나지 않았다는 사실을 발견했습니다.

보안 연구원이 구상하는 시나리오 중 일부를 수행하려면 공격자가 CNC 기계를 사용하는 방법을 잘 알아야 한다는 것은 분명합니다. 그것은 아마도 비행 청소년이 하는 장난을 배제할 것입니다. 더 걱정되는 것은 국가가 후원하는 해커에 의한 파괴행위 가능성이다.

2010년 스턱스넷(Stuxnet)이 이란 핵 원심 분리기의 거의 5분의 1을 망가뜨리기 전에는 공장의 악성 코드에 대해 걱정하는 사람이 거의 없었습니다. CNC 컨트롤러를 만드는 회사의 관심을 끌기 위해 유사한 이벤트가 발생하지 않기를 바랍니다.DW

편집장 DW