이란 에너지 관련 홈페이지에 실린 한 사진은 보안 전문가 사이에 굉장히 유명하다. 홍보용으로 보이는 사진 한 장 속에 원심분리기 구조 등 이란 핵 시설 사이버 공격에 필요한 온갖 정보가 담겼기 때문이다. 실제 스턱스넷 공격을 위해 각종 물리적 첩보 활동으로 수집됐던 고급 정보가 공식 홈페이지 사진에 버젓이 공개된 셈이다.
예브게니 곤차로브 카스퍼스키랩 주요기반시설 방어총괄은 `글로벌 ICS 위협과 사고 조사`를 발표했다. 2010년 이란 핵 시설을 대상으로 한 스턱스넷 공격은 주요 기반시설 제어시스템을 침해하고 물리적 손실을 일으킨 첫 사이버 위협 시도다. 원심분리기 20%에 피해가 발생, 원자력발전소 운영 기능이 상당부분 마비됐다.
예브게니 총괄은 “잘 알려지지 않은 사실 중 하나는 이란뿐만 아니라 15개국에서 3000건에 달하는 스턱스넷 피해가 발생했다는 것”이라며 “이란에 비해 큰 피해를 입지는 않았지만 광범위한 피해 대상으로부터 중요 정보가 많이 유출됐다”고 강조했다.
산업기반시설 대상 사이버 공격은 경제적으로도 막대한 피해를 유발한다. 사이버 테러로 추정되는 2008년 터키 송유관 폭발 사고로 피해 기업이 입은 금융 손실은 매일 500만달러, 국영 정유수출회사 총 손실은 10억달러에 달했다. 감시 카메라 시스템이 공격 받아 사고 발생 40분 후에야 주변 순찰자에 의해 폭발 현장이 발견됐다.
카스퍼스키랩이 고객사와 함께 진행한 연구에 따르면 사이버 공격자가 네트워크에 침투해 공격을 감행하고 물리적 피해를 일으키기까지 걸리는 시간 최소 3시간에서 이틀 정도면 충분하다. 특히 3시간은 아주 짧은 시간 내 공격이 이뤄져 `매직아워`로 불린다.
지난해 발생한 우크라이나 대형 정전사고는 복구시스템과 원격단말장치(RTU), 무정전전원장치(UPS) 등이 공격 받아 피해 복구가 어려웠다. 콜센터 대상 디도스 공격까지 이뤄져 전력 체계 운영자가 공격 규모와 대상 관련 정보를 얻지 못하게 했다.
예브게니 총괄은 “피해 발생 과정을 살펴보면 공격자가 훨씬 큰 피해를 입힐 수도 있었다”며 “대규모 피해가 목표라기보다는 과시용 공격에 가까웠다”고 분석했다.
산업시스템 주요 취약점으로는 인적요인(사람)과 함께 서플라이체인(협력사), 원격제어, 허술한 규정 등을 꼽았다. 인터넷이 연결되지 않고 망분리된 환경에서도 위협 경로가 되는 요소들이다.
그는 “C-레벨 경영진과 IT 보안 담당자, 엔지니어 등 세 이용자 그룹 간 이해와 의견 공유가 성공적인 사이버 보안과 핵심 산업 인프라 보호를 결정짓는다”고 덧붙였다.
박정은기자 jepark@etnews.com
