[이슈분석]원전도면 유출 2년...사회기반시설 위협 가속

발행일 : 2016-12-07 17:00 지면 : 2016-12-08 5면

국방부 내부 인트라넷이 해킹 당해서 군사 기밀 일부가 유출된 것으로 드러났다. 국방부는 지난 9월 사이버 작전을 총괄하는 국군 사이버사령부 `백신 중계 서버`가 악성코드에 감염된 사건을 조사하는 과정에서 국방부 내부 망까지 감염된 사실을 확인했다. 현재 어떤 정보까지 유출됐는지 파악하고 있다. 2014년 12월 국민을 불안에 떨게 한 한국수력원자력공사에 대한 사이버 심리전이 재현될 수 있어 관심이 고조된다.

2014년 12월 9일 한수원 직원 3571명은 악성코드가 담긴 이메일을 5000여통 받았다. PC 8대가 감염됐으며, 5대는 하드디스크가 초기화되는 피해를 봤다. 한수원을 노린 악성 이메일 공격이 발생한지 2년이 됐지만 주요 사회기반 시설을 노린 사이버 공격은 진행형이다.

원전 도면 유출에 이어 국방부까지 해킹하며 주요 군사 기밀 탈취와 사회 혼란을 노린다. 국가 지원을 받는 해킹 세력은 호시탐탐 사회기반 시설의 사이버 마비를 시도한다.

◇허술한 사회기반시설 사이버 보안

국방부와 한수원 등은 주요 사회기반 보호 시설이다. 인터넷과 업무 망, 제어 망 등을 철저히 분리해 사용한다. 이렇게 망을 분리해서 폐쇄됐다고 생각했지만 보안 허점은 여기저기서 드러난다. 폐쇄 망이라는 안심이 화를 더 키우는 상황이다.

국군 사이버사령부 해킹이 알려진 것은 지난 9월 말. 사이버사령부가 운영하는 백신 중계 서버가 해킹됐다. 사이버사령부는 전군 인터넷망 PC에 보안 프로그램을 공급한다. 이 서버가 해킹을 당했다. 군을 비롯해 사회기반 시설은 인터넷망과 내부 망이 논리 또는 물리 형태로 분리됐다. 그러나 양쪽을 연결하는 접점이 있고, 그게 중계 서버다.

A보안 전문가는 7일 “사이버사령부가 어떤 통로로 해킹됐는지 밝혀내지 못하고 있다”면서 “인터넷 PC망을 넘어 폐쇄된 업무 망이 공격당해 여파는 커질 것”이라고 우려했다.

최근 공격자는 주요 기관이 사용하는 공용 소프트웨어(SW)의 취약점 등을 파고들어서 악성코드를 내부 PC에 유포하고 장악한다. 이후 중계 서버를 이용, 내부 망 침투를 시도할 수 있다. 국방부 인트라넷 해킹 역시 이런 통로를 이용해 이뤄졌을 가능성이 짙다. 최근 한국의 주요 시설을 노린 해킹은 주로 중앙관리 SW의 취약점을 이용해 이뤄진다.

◇정교한 공격 늘었다

사회기반 시설에 대한 공격은 빈번하진 않지만 성공할 경우 커다란 사회 혼란과 범국가 차원의 피해를 발생시킨다. 산업제어시스템(ICS/SCADA)을 운용하는 기관이나 기업을 표적으로 삼은 공격이 정교해졌다.

문해은 NSHC 팀장은 “기존의 공격 주 대상인 발전소나 철도뿐만 아니라 상수도, 항공, 의료 등으로 범위가 확대되고 있다”면서 “탐지와 대응이 어려운 프로그램논리가능제어기(PLC) 장비에서 동작하는 악성코드 공격이 등장할 것”이라고 전망했다.

독일 보안 연구원은 올해 PLC에서만 실행되는 PLC웜을 발표했다. PLC는 공장, 발전소, 정유공장, 송유관, 원전 등 주요 사회기반 시설과 항공·우주·인공위성 등에 쓰이는 제어장치다. 독일 오픈소스시큐리티 연구원은 지멘스 PLC S7-1200 버전3용 웜을 소개했다. 웜은 복제와 전염 능력이 강한 악성코드다. 네트워크를 통해 스스로 전파하면서 시스템 성능을 저하시킨다.

이 웜은 PLC SW 전용 프로그램 언어인 스트럭처드 텍스트(ST)로 제작됐다. PLC웜은 내부 데이터를 수정하고 분산서비스거부(DDoS) 공격처럼 PLC를 정지시킨다.

제어시스템의 보안 취약점은 지속 증대한다. 파이어아이는 2000년 이후 15년 동안 1552개에 이르는 산업제어시스템(ICS)의 취약점을 확인했다. 이 가운데 3분의 1인 516개는 공개 당시 보안 패치가 없는 제로데이였다. 게다가 상당수 ICS는 보안 패치가 나와도 업데이트가 즉시 이뤄지지 않는다.

ICS 취약점의 절반 이상(58%)은 ICS 구조 가운데 두 번째 구역(SCADA Zone)에서 발견됐다. 두 번째 구역 내 취약점이 실제 공격에 이용될 경우 심각한 침해를 초래한다. 휴먼머신인터페이스(HMI)와 엔니지어링워크스테이션(EWS)과 같이 프로세스를 직접 제어하는 장비가 두 번째 구역에 위치한다. 공격자가 장비 가운데 하나를 제어하면 모든 프로세스를 통제할 수 있다. 실제로 2014년 12월 우크라이나 전력 회사에 대한 공격에서 공격자는 HMI에 접근, 스위치와 액추에이터를 제어했다.

◇여전히 낮은 보안 의식

사회기반 시설을 운영하는 기관이나 기업은 제어시스템을 인터넷망과 분리해 운용한다. 제어시스템은 업무 망이나 인터넷망 등과 분리된다. 대부분의 제어시스템은 물리 형태 보안에 집중돼 있으며, 물리 형태의 고립이 사이버 위협에서도 안전하다는 맹신이 강하다.

이창훈 카스퍼스키랩코리아 대표는 “조직 대부분은 ICS/SCADA 환경에서 사이버 보안이 튼튼하면 좋지만 아니어도 그만이라고 생각한다”면서 “기존의 생산 공정 안전이나 산업시스템 가용성은 사이버 보안과 무관한 주제로 여긴다”고 말했다.

카스퍼스키랩의 조사 결과 ICS 환경에서도 가짜 네트워크 아이덴티티 스푸핑, 액세스 권한 초과 악용, 하나의 인증 계정을 통한 여러 시스템 접근, 일반 해킹 수단이 발견된다. 대부분의 ICS 시스템과 SCADA SW, PLC 공급업체는 제품 설계 때 사이버 보안을 고려하지 않았다.

이 대표는 “제어시스템 관리자가 기술 웹사이트에 질문을 올리면서 ICS 네트워크 토폴로지를 공유하거나 접근 정책, 기술 방법과 관련된 중요한 세부 사항을 무심코 누설한다”면서 “직접 악성코드나 해커를 내부 시스템으로 유도하지 않아도 이런 행동 자체가 제어시스템을 위험에 처하게 한다”고 경고했다.

인텔시큐리티 관계자는 “제어시스템에서 경영 정보 활용을 위한 망 연계 때 `일방향전송장치`를 활용하고 비인가 전산장비 연결은 금지해야 한다”면서 “USB포트를 물리력으로 봉인하는 등 제어시스템 사이버 보안 관리를 강화해야 한다”고 말했다.