독일 함부르크에서 열린 보안 컨퍼런스 ‘32c3’에서 3명의 러시아 해커들이 네트워크를 통한 하이재킹, 열차 탈선이 가능하도록 하는 핵심 취약점에 대해 공개했다. 3명의 해커는 Sergey Gordeychik, Aleksandr Timorin, Gleb Gritsai로 산업 통제 시스템을 전문으로 한다. 이들은 버그들에 대한 상세한 내용이 발표된다면 운영 기관의 이름이 드러나 복제 공격을 받을 수 있기 때문에 이에 대해 자세히 설명하지는 않았다.
 
이들은 해당 취약점들이 모바일 통신, 브레이킹 통제와 충돌을 방지하는 연결 플랫폼을 포함하여 다양한 시스템에 영향을 주며, 열차 작동 시스템과 승객 시스템 사이의 연결에도 영향을 줄 수 있다고 말한다.
 
Gordeychik은 디바이스 드라이버에 있는 버그들은 공격자들에 의해 더 강력한 벡터로 익스플로잇될 수 있다고 하며 이를 간과해서는 안된다고 말했다. 그는 “만약 누군가가 모뎀을 공격할 수 있다면 그 모뎀은 자동 열차 통제 시스템을 공격할 수 있고, 결과적으로 열차를 제어할 수 있게 된다”고 덧붙였다.
 
수십 년이 넘은 산업 통제 시스템들이 네트워크에 연결되면 기능은 나아지지만 시설에 대한 불안은 그대로 남아있다. 이들이 공개한 취약점은 전력 발전소, 댐, 그리고 열차들과 같은 물리적인 시스템들에 인가되지 않은 행위가 가능하도록 한다.
 
열차 유틸리티는 열차, 역 그리고 티켓팅 시스템에 연결되어 있다. 유로스타 같이 다양한 국가들을 위한 여러 시스템을 갖춘 유럽 열차를 예로 들 수 있다. 이 팀은 프로그래밍 에러가 연결 시스템에 영향을 줄 수 있는 원격 코드 실행 취약점의 원인이 된다고 말한다. 통제 시스템은 종종 독점적인 프로토콜을 사용하는데, 이를 통해 해커들이 막다른 길목에 다다를 수 있다. 그러나 이와 관련된 몇가지 문서들이 온라인에 공개돼 있다.
 
그 오픈소스는 이제 공개된 37개의 기밀을 가진 하드코딩된 데이터베이스로 더욱 취약해져, 공격자들이 로직 컨트롤러, 게이트웨이, 그리고 서버에 접근할 수 있도록 한다. Gordeychik은 “우리는 벤더사들이 하드코딩되고 디폴트로 설정된 패스워드를 사용하지 않도록 리스트를 공개한다.”고 말했다.
 
이들은 유럽의 가장 유명한 운영 시스템 SIBAS가 낡은 운영 시스템들을 업그레이드하고 보안 프레임워크를 강화하고 있다고 예를 들며, 운영 기관들이 위험을 인지하기 시작했고 시정하기 위해 노력 중이라고 언급했다.
 
★정보보안 대표 미디어 데일리시큐!★
 
<데일리시큐 HSK 기자> mkgil@dailysecu.com