[박춘식 교수의 보안이야기] 공장이나 사회 인프라의 제어시스템을 노린 사이버 공격의 우려가 높아지고 있다. 제어계의 대부분은 컴퓨터 바이러스에 대해서 거의 무방비이기 때문에 일본의 공장은 보통의 바이러스 조차 간단하게 감염되고 있다.
 
일본 경시청도 24일 불법 액세스 금지법의 강화를 발표하는 등 대책을 서두르고 있지만 보다 심각한 것은 특정 기업의 공장 등이 공격받아 정지까지 이르게 되는 표적형 공격이다. 이미 미국에서 피해가 밝혀지고 있어 일본도 다른 나라의 일로 볼 수가 없게 되었다.
 
일본 경제산업성이 작년에 약 330개 회사를 조사한 결과, 자동차나 반도체 공장 등의 제어 시스템이 바이러스 감염되어 조업 정지 등의 피해가 있었던 예가 약 10건이었다. 시스템에 보수용 컴퓨터나 ＵＳＢ 메모리를 연결할 때, 이곳을 통하여 감염되었지만, 표적형은 아니며 일반적으로 만연한 바이러스에 의한 것으로 보인다.
 
공장 등의 제어계는 사내의 업무 시스템이나 네트워크로부터 격리되어 사이버 공격을 받기 어렵다고 생각되어 왔다. 대부분은 바이러스 대책이 불충분하여 탐지 소프트웨어조차 설치되지 않고 있다. 이번에도 조업 정지 등 피해가 일어나고서야 처음으로 감염된 사실을 알게 된 것 같다.
 
경제산업성의 조사에서는 40% 가까운 기업이 제어계가 네트워크 등 외부와 접속되어 있는 사실이 밝혀졌다. 지금까지와 같은 멍청한 감염이라면 몰라도, 표적형 공격은 대책 소프트웨어도 탐지하기 어려워, 기업은 해커로부터 금전을 주지 않으면 공장을 닫게 하겠다는 등 협박 받고서야 처음으로 심각한 사태를 알게 된다.
 
표적형은 공격받은 기업도 사실을 공표하고 싶지 않은 경향이 있어 피해 실태를　제대로 알기는 어렵다. 어디까지 피해가 확산될 지 상상이 가지 않는다. 실제로, 미국에서는 피해가 심각화되고 있다. 맥아피가 작년 실시한 조사에서는 통신, 철도나 에너지 관련된 약 200개 사 가운데 80%가 자사 시스템(업무 시스템 포함)에 대한 공격을 경험하였으며, 25%가 협박이나 계속적인 공격을 받고 있다고 하였다. 일부는 제어계가 대상이 되었던 것 같다.
 
해커가 익명으로 텍사스주의 수도의 제어 시스템에 침입한 것을 공표하는 사례도 발생하였다. 맥아피는 올해는 세계에서 피해가 표면화할 것이라고 경고하면서 제어시스템 대책의 전담 팀을 발족하였다. 미국 시큐리티 회사인 Patch Advisor의 사장은 제어 시스템의 대부분은 사내 등 어딘가에 통로가 있다고 한다. 예를 들면 사무실 관리자가 자신의 컴퓨터로부터 생산 라인의 가동 상황을 원격 감시하기 위해서 회선을 끌어온 경우 등이다.
 
일본 경찰청은 불법 액세스 금지법의 개정안의 골자로 표적형 공격이나 가짜 사이트 유인에 의해서 다른 사람의 ID나 패스워드를 훔치는 행위 등을 벌칙 대상으로 할 방침을 나타내었다. 하지만 이것만 믿고 기업이 팔짱을 끼고 있어서는 안 된다. 제어 시스템이 어딘가에 연결되어 있지 않은지 철저하게 재검토하는 것부터 시작할 필요가 있다.(일본경제신문. 2012.01.25)
[박춘식 서울여자대학교 정보보호학과 교수]