운항 중인 비행기를 해킹해 공중에서 납치할 수 있다는 주장이 나왔다. 독일 IT컨설팅기업 엔런의 휴고 테소 보안 전문가는 네덜란드 암스테르담에서 열린 `핵인더박스(Hack In The Box)` 컨퍼런스에서 이 내용을 발표했다고 포브스가 전했다.
비행기 운항은 데이터를 주고받는 `비행 커뮤니케이션 어드레싱 앤드 리포트 시스템(ACARS)`이 핵심이다. 테소는 ACARAS가 암호화와 인증기능이 없어 비행기에 들어오는 전파가 해커가 보낸 것인지 관제탑이 송출한 것인지 확인할 수 없다고 주장했다.
테소는 여객기에 악의적인 전파를 보내 방향과 고도, 속도를 바꾸는 것은 물론이고 기장이 보는 화면까지 조작할 수 있다고 덧붙였다. 비행기 내비게이션 시스템을 모두 바꿀 수 있다는 말이다.
테소는 컨퍼런스에서 ACARS 프로토콜 취약점을 이용한 시몬(SIMON)이라는 프레임워크와 안드로이드 스마트폰 앱인 `플레인스포잇(PlaneSploit)`을 공개했다. 이를 이용해 PC에 설치된 가상 비행운항시스템을 직접 해킹했다.
미국연방항공국(FAA)과 유럽항공안전협회(EASA)는 실현 불가능하다고 강력 부인했다. FAA 측은 “테소가 주장한 해킹 기술은 인증받은 비행기 동체에서는 작동하지 않는다”며 “최근 비행은 모두 자동항법장치로 운영돼 악의적인 명령이 들어오더라도 반응하지 않는다”고 설명했다. EASA 역시 “테소의 시연은 PC 비행훈련시뮬레이터에 기반을 둔 것”이라며 “실제 비행 시스템의 보안 결함이 아니다”고 주장했다.
관련 기관의 부인에도 보안 전문가들은 항공 교통 관제시스템 해킹이 가능하다고 입을 모은다. 유명 컴퓨터 컨설턴트 브래드 헤인즈는 지난해 열린 데프콘에서 “항공기는 신원과 위치를 파악하는 무선 신호를 보내는 데 암호화와 인증과정이 없다”고 말했다. 미국 텍사스대학 보안연구 그룹은 미 국토안보부가 한 시험에서 뉴멕시코 미사일 성능 시험장에서 민간 무인정찰기를 납치했다.
이경호 고려대 사이버국방학 교수는 “PC 시뮬레이션 프로그램과 실제 시스템에서 인증과 암호화가 동일한지 파악해야 하지만 해킹 기술이 점점 교묘해져 비행기 납치 주장이 현실화되고 있다”고 설명했다.
김인순기자 insoon@etnews.com