2015년 7월 국내 유명 보안회사가 아프리카의 한 국가기관으로부터 자국의 주요기반시설에 대한 취약점을 점검해달라는 요청을 받았다. 요청을 받아들인 이 회사는 근래 건설된 시설 중에서 발전용량이 많은 수력발전소를 해킹해 취약점을 찾아내기로 했다.
작업을 수행한 20대 연구원은 구글 검색과 지역별 인터넷주소(IP) 정보 등을 활용해 손쉽게 목표를 설정하고 공격 대상 네트워크에 접근했다. 발전소의 네트워크 서버에 숨겨진 유지보수용 백도어를 발견, 관리자 권한과 비밀번호를 알아내 댐 제어시스템에 접속할 수 있었다. 이 과정에서 내부 시스템의 각종 정보뿐만 아니라 주변 CCTV를 확보했고, 댐 수문의 제어권까지 확보하는데 걸린 기간은 불과 7시간이었다.
산업제어시스템에 대한 공격 유형으로는 △시스템 공급자가 기기의 내장 칩에 악성코드를 삽입해 납품 △내부자가 합법적인 권한을 이용해 시스템을 악의적으로 운용 △외부자가 원격제어시스템(SCADA)이나 현장제어기기(PLC)를 해킹해 악성코드 설치 △침투 후 데이터를 변조하여 한계치를 벗어나더라도 제어시스템이 이상 작동을 인지하지 못하도록 하는 것 등이다.
기반시설에 대한 사이버공격을 기존의 정형화된 보안솔루션으로는 막아내기 어렵다. 수많은 센서ㆍ모터ㆍ컨터롤러 등 현장 기기마다 이상 징후를 감지해내는 기술을 확보해야 한다. 시스템 오류나 관리자 부주의에 의한 위험성 역시 높다. 내부자에 대한 지속적인 교육ㆍ훈련과 모의해킹도 빼놓을 수 없다.
사이버침해에 대응하기 위해 기반시설을 운영하는 조직은 불편함을 감수하고 아예 인터넷과 인트라넷(내부망)을 물리적으로 분리하여 사용하고 있다. 산업제어시스템이 인터넷에 연결되어 있지 않는 폐쇄망으로 운영되면 보다 안전할 것으로 보기 때문이다. 그러나 얼마든지 우회 공격이 가능한 것으로 밝혀지고 있다. 해커들은 네트워크에 연결되어 있지 않은 컴퓨터에서 정보를 빼내는 기상천외한 방법을 찾아내고 있다.
![미국 국가안보국 전경 [사진 NSA 홈페이지]](https://pds.joongang.co.kr/news/component/htmlphoto_mmdata/201701/03/htm_20170103164732121482.jpg)
미국 국가안보국 전경 [사진 NSA 홈페이지]
에드워드 스노든이 폭로한 미 국가안보국(NSA)의 ‘퀀텀 프로그램’이 대표적이다. 퀀텀 프로그램은 무선주파수 발신기능을 내장한 이동식 저장장치(USB)가 컴퓨터에 꽂히면 최장 13km 거리에서 해당 컴퓨터의 필요 정보를 꺼내올 수 있다. 이외에 블루투스 등 다양한 통신방법을 이용해 폐쇄망을 우회할 수 기법이 10가지가 넘는 것으로 알려졌다.
2015년 7월 고려대 윤지원 교수팀은 네트워크에 접속되지 않은 컴퓨터에서 자료를 전송하는 기술을 시연했다. 컴퓨터 내부 정보를 소리로 바꿔 스피커로 내보내고 다른 컴퓨터의 스피커에서 음성신호를 인식해 다시 데이터로 바꾸는 방식이었다. 실제 북한은 몇 년 전부터 광(光)케이블 안에 흐르는 미세한 파장을 이용해 인트라넷에 접속하는 일명 ‘광자기 도파기’ 기술을 개발하고 있는 것으로 알려졌다.
결과적으로 내ㆍ외부망만 분리하면 안전하다는 인식도 버려야 할 때가 됐다. 내부망에 접속할 때 여러 연결점을 가질 수밖에 없고, 무선주파수를 활용해 분리된 시스템으로부터 데이터를 추출하는 공격기법들이 속속 등장하고 있다. 세계 각국은 수년 전부터 국가기반시설의 제어시스템에 대한 사이버침해를 국가안보 차원에서 다루기 시작했다. 그렇다면 우리는 어떨까. 필자는 우리의 현실을 첨단기술로 무장한 디지털 특공대를 동네 아파트 경비원이 몽둥이로 막고 있는 형국에 비유하고 싶다.
손영동 고려대학교 교수
