[박춘식 교수의 보안이야기] 일본 경제산업성정보 시큐리티 정책실의 담당자는 이란의 핵시설을 노린 사이버 공격에 사용되었던 동일한 바이러스에 일본의 수도시설이 감염되었다는 사실을 발표했다. 미국과 이스라엘이 관여되었다는 이 공격에는 우라늄농축용의 원심분리기를 조작하는 독일 지멘스제의 제어시스템이 스턱스넷(Stuxnet)이라 불리는 컴퓨터 바이러스에 감염, 외부로부터의 불법조작에 의해서 1000대의 원심분리기가 파괴되었다.
 
이 할리우드 영화 같은 사이버 전쟁에 일본도 말려들 가능성이 있다는 것이다. 이 담당자에 의하면 이란의 핵시설에 사용되고 있었던 지멘스제의 제어 시스템은 일본의 수도 시설에서도 100대 이상 사용되고 있어 이 일부가 Stuxnet에 감염되어 있었다는 것이다.
 
제어시스템은 수도, 전력, 가스, 철도 등의 생활 인프라나 제조 공장 등에서 사용되고 있는 장치를 제어한다. 예를 들면, 수도에서는 수압이나 수량 등을 센서에서 감시하고 어떤 일정의 값이 되면 컴퓨터가 자동으로 펌프 기동, 송수관 밸브 개폐 등을 조작한다.
 
다행히 일본의 수도에서 Stuxnet에 의해 실제로 단수된 피해가 발생한 일은 없었다. 새로운 사이버 공격에 대응하도록 되어 있는가. 실제로 물어보면, 불안한 대답이 돌아왔다. 수도권의 어떤 수도국은 제어시스템에 원인 불명의 결함이 생기는 일이 있다. 펌프가 작동하지 않거나, 밸브가 열리지 않거나 하면 송수가 멈추는 일도 있다고 한다. 시큐리티 측면의 문제라 상세한 것은 발표하지 않았지만 사이버 공격의 가능성을 고려하지 않은 채 원인불명이라고 대답하는 자세는 불안을 버리지 않을 수 없었다.
 
원격 조작으로 공격 당하는 상수도 시스템
해외에서는 실제로 수도 시설의 제어시스템이 외부로부터 침입에 의한 피해도 보고되고 있다. 호주에서는 수도운영회사에 고용이 거부된 전 계약 사원인 기술자가 홧김에 하수처리시설의 제어시스템을 불법으로 조작해 펌프를 멈춰 100만 킬로리터의 오수가 주변에 흘러 들어갔다고 한다. 전 계약사원은 상하수처리 시설에 도입한 제어시스템의 개발에 참여했기 때문에 시스템의 내부 사정에 밝았다고 한다. 펌프장에 설치된 제어시스템은 무선통신에 의해서 중앙으로부터 조작되고 있었지만 전 계약사원은 손에 가지고 있는 무선 장치를 사용해서 불법으로 원격 조작했다.
 
2003년 1월, 미국 오하이오주에 있는 원자력발전소의 제어시스템이 바이러스에 감염되어, 5~6시간에 걸쳐서 안전관리시스템이 정지했다. 2011년 2월에는 브라질의 발전소에서도 제어시스템이 바이러스에 감염되어 운용 정지에 몰리게 되었다.
 
이외 철도에서도 2003년 8월에 미국 동부에 있는 철도회사에서 신호제어시스템이 바이러스에 감염되어 열차의 운행 프로그램이 혼란에 빠졌다. 상세하게 판명된 사례는 적지만, 최근 산업용 제어 시스템을 노린 사이버 공격의 피해 건수는 급증하고 있다.
 
미국 DHS에 의하면 2009년에 9건이었던 미국에서의 피해 보고는 2011년에는 198건으로 20배 이상 증가했다. 그 중 수도가 81건(41%)、전력이 31건(16%)으로 공공성이 높은 인프라가 집중적으로 공격을 당하고 있다. 시만텍 한 관계자는 “산업 인프라가 멈추면, 그 영향은 계측할 수 없다. 제어 시스템에 대한 해커의 관심이 높아지고 있는 것은 틀림없다”라고 말하면서 사회전체가 표적이 되고 있다고 전했다. 　
 
제어 시스템, 왜 공격 당하는가
지금까지 사이버공격은 개인정보나 기밀 정보를 훔치거나, 보관된 데이터를 변경하거나 또는 데이터를 취급하는 시스템을 다운시키거나 하는 것이 많았다. 공격의 대상은 정보 그 자체였다. 지금까지 해커는 윈드우 등 소프트웨어의 결함(취약성)을 찾아서, 이것으로부터 공격을 했지만 최근에는 프로 해커라도 1개월 되어야 겨우 1개 정도 찾는 정도로, 취약성이 점점 더 찾는 것이 어렵게 되고 있다.
 
또한 공격 당하는 측의 사용자도 소프트웨어의 업데이트를 빈번하게 행함으로 취약성을 방치하지 않으며, 백신 설치 대책을 취해오고 있다. 그래서 타깃이 된 것이 바로 시큐리티 대책이 거의 취해져 있지 않은 제어 시스템이다. 지금까지 제어 시스템은 인터넷 등 외부 네트워크레 접속되어 있지 않기 때문에 사이버 공격을 받는 일은 없다고 생각해 왔다. 그러나 실제는 이미 프로그램된 제어 내용을 변경하거나 조작 이력을 빼낼 때 외부로부터 가져온 USB 메모리나 컴퓨터를 제어 장치에 접속해서 바이러스에 감염하는 일이 있다.
 
누구나 생활인프라를 멈추게 할 수 있다
별 주의 없이 제어 시스템을 인터넷에 접속하고 있는 경우도 있다. 웹 사이트만이 아니라 인터넷에 접속된 여러 컴퓨터를 찾는 것이 가능한 ‘SHODAN’이라는 검색 사이트가 있다. 이 사이트를 사용하면, 키워드만 알면 외부로부터 접속 가능한 제어 기기를 찾을 수 있다. 게다가 기기에서 사용되고 있는 소프트웨어 이름이나 버전까지 알 수 있기 때문에, 어떤 소프트웨어서 취약성이 발견되면 간단하게 핀 포인트로 사이버 공격 가능한 제어 시스템을 찾아낼 수 있다.
 
좀더 자세히 검색해보았더니 일본 국내에서도 적어도 수십대는 인터넷에 연결되어있음을 알 수 있었다. 그 중에는 ID와 패스워드만 알게 되면 저수지의 밸브를 원격 조작할 수 있는 상태의 것도 있었다. 제어 시스템의 ID나 패스워드가 초기 설정 상태의 경우도 적지 않았다. 사이버 공격에 대해서 비무장 상태인 제어 시스템.
 
유럽의 전문가나 미국 DHS는 시큐리티 대책을 취하는 것을 촉구하기 위해 웹 사이트상에 제품마다의 취약성을 공표하고 있다. 그러나 이것은 양날의 칼이다. 해커 입장에서 보면 일일이 취약성을 찾는 노력이 줄어든다. 러시아 벤처 기업은 제어 시스템의 취약성을 찾아서 공격까지 해 주는 소프트웨어를 수 천 달러에 판매하고 있다. 이쯤 되면, 해커만이 아니라 컴퓨터만 있으면 누구라도 간단하게 전기나 수도를 멈추는 것이 가능할 것이다.
 
[글. 박춘식 서울여자대학교 정보보호학과 교수]