비행기 테러는 잊어버리자(가능할까?). 전력망은 어떤가. 올 봄 누군가가 캘리포니아주의 장거리 전력 송신을 담당하는 캘리포니아 인디펜던트 시스템 오퍼레이터(Cal-ISO)社의 컴퓨터 시스템에 침입했다. Cal-ISO에 따르면 목표물이 된 것은 전력망에 연결되지 않은 시험 시스템이었다.
따라서 피해는 없었다. 그러나 9월 11일 테러를 상기할 때 간담이 서늘한 사건이었다. ‘취약성’이라는 단어가 절로 떠오른다. Cal-ISO의 대변인 그레그 피시먼은 이렇게 자문자답했다. “두 사건을 계기로 우리는 마음속으로 조심할 필요성을 확실히 느꼈는가. 그렇다. 예방조치를 강화해야 할 것인가. 그렇다.”
Cal-ISO가 직면한 위험은 다른 어느 회사에도 해당되는 ‘사이버테러’다. 지구 반대편에서 컴퓨터를 사용해 한 나라의 인프라를 공격한다는 것은 몇해 전부터 보안 전문가들 사이에서 논의돼온 이론에 불과했다. 이제는 그렇지 않다.지금까지는 전자전쟁의 증거가 미약했다. 최근의 웹사이트 공격행위는 개개인들의 소행이었다. 인터넷 바이러스의 경우도 마찬가지다.
컨설팅 회사인 프라이스워터하우스쿠퍼스의 파트너 겸 국가안보 위협평가 책임자 프레드 라이카는 “우리가 최근에 본 가장 분명한 사이버 테러행위의 예로는 미국과 중국의 해커들이 서로 상대국의 웹사이트를 훼손시킨 작은 공방전을 들 수 있다”고 말했다.
그같은 공격은 성가신 정도에 불과하다. 안보 컨설팅업체 파운드스톤社의 최고경영자 조지 커츠는 “사이버테러라기보다 사이버행패에 가깝다”고 말했다. 그러나 커츠를 비롯한 많은 전문가들은 머지않아 본격적 테러가 시작되지 않을까 걱정한다. “역사를 보면 사람들이 어떻게 행동할지 알 수 있다. 전쟁에서 최우선 파괴목표는 제조시설과 정유소다.”
공익설비·통신시설·공장들은 원래부터 물리적 공격에 취약했지만 이제는 전자전의 목표물까지 되고 있다. 과정통제장치라는 소형 컴퓨터를 이용해 인터넷으로 원거리의 주요 시스템들을 관리하는 일이 늘고 있다. 이런 원격운영 방식은 멀리 떨어진 설비를 갖고 있는 통신·에너지 회사에 매우 편리하다. 그러나 위험성이 있다. 커츠는 “이런 과정통제장치는 아주 기본적인 작동 시스템만을 운영하는 단순한 장치”라고 말했다. “그것들을 고치기 위해 공장을 닫으려는 사람은 없지만 취약한 공격목표가 된다.”
설령 인터넷에 연결되지 않은 시스템도 전화모뎀에 연결돼 있을 수 있기 때문에 기술자가 침입할 가능성이 90%라고 커츠는 말했다. 침입을 차단하기도 어렵다. 침입자는 사실상 세계 어디에서든 공격을 가할 수 있다. 물리적 공격과는 달리 그런 공격은 호텔 예약이나 비행기표 같은 구체적 기록을 남기지 않기 때문에 경고로 삼을 만한 것이 없다.
수송시설도 공격 목표가 되기 쉽다. 1997년의 한 사건을 통해 전자공격이 일어나면 어떻게 되는지 미리 알 수 있었다. 매사추세츠州 우스터의 전화 교환대에 접근한 어느 10대가 관제탑의 모든 교신을 여섯시간 동안 끊어놓았다. 관제사들은 이동전화 한대와 건전지를 넣은 무전기들을 이용해 비행을 통제해야 했다. 그 뒤로는 그런 일이 되풀이되지 않았다.
그러나 1년 전 美 회계감사원(GAO)은 美 연방항공국(FAA)의 컴퓨터 보안 프로그램에 큰 문제가 있다는 보고서를 발표했다. 여기에는 많은 항공교통관제 시스템이 검증되지도 않은 채 사용된다는 점, 과거의 보안문제 검토 결과 지적사항이 반영되지 않는다는 점, 그리고 예컨대 항상 사용자 암호를 요구하고 이미 알려진 소프트웨어 보안문제를 끝까지 추적하라는 권고사항들이 지켜지지 않는다는 점들이 포함됐다.
자기네가 전자 침입에 취약하다는 점을 깨닫지 못하는 회사가 많다. 美 국방부 정보보안 프로그램 책임자 출신인 보안서비스 업체 립테크社의 아미트 요란 사장은 “상당수의 사이버 공격이 잘 알려지지 않은 이유는 대다수 피해자가 자신의 컴퓨터가 침입당한 사실을 모르기 때문”이라고 말했다. “일부 연구 결과 우리가 시험적으로 침입한 사실을 감지하거나 우리의 공격에 대해 어떤 반응을 보인 사람은 3%도 안됐다.”
Cal-ISO 사건으로 어디에서든 공격이 가능하다는 점이 입증됐으며 이것이 한가지 큰 위험 요소다. 그 캘리포니아 전력회사 컴퓨터에 침입한 사람이 누군지는 모르지만 나라는 중국인 것 같았다. 그러나 확실치는 않다. 인터넷 통신의 기본 지식만 갖춘 사람이면 자신의 흔적을 감추고 마치 다른 장소에서 공격하는 것처럼 위장할 수 있기 때문이다. 국방부 하청업체인 컴퓨터 사이언스 코퍼레이션의 마이클 에스테스는 “전문가들은 자신의 흔적을 잘 숨겨놓기 때문에 그것을 추적하려면 많은 시간과 인력이 소요된다”고 말했다.
Erik Sherman 기자
자료제공 : 뉴스위크 한국판
