2024-03-28 18:25 (목)
정전 사태 원인, 해킹에 의한 사이버 테러였다?
상태바
정전 사태 원인, 해킹에 의한 사이버 테러였다?
  • 길민권
  • 승인 2011.09.16 19:46
이 기사를 공유합니다

고창 전력시험센터 서버에 백도어가…해커가 장악한 상태
한전 비상시 매뉴얼에 의한 순환정전이 아닌 해킹에 의한 것일 수도
지난 15일 서울, 인천 등 수도권과 전국 곳곳에 동시 다발적인 대규모 정전사태가 발생해 시민들이 불안에 떨고 기업들은 큰 경제적 피해를 입었다. 하지만 통상 전력 발송을 중단하는 경우에는 언론에 미리 공지후 차단했던 것과는 달리, 15일에는 아무런 발표도 없이 갑작스럽게 정전사태가 발생한 것이다. 한전 측은 단순 전력량 측정오류에 의해 발생한 사태라고 해명했지만, 보다 심각한 보안문제로 인해 사태가 발생했을 수 있다는 의견이 제시돼 논란이 예상된다.
 
권석철 큐브피아 대표는 “지난 9월초 중국 모 사이트(www.139XXX.com)에서 한국의 특정 IP를 입력해 본 결과 동영상 파일 하나를 우연히 발견하게 됐다”며 “이 동영상 파일을 실행시켜 보면 한국 고창에 위치한 전력시험 센터 IP가 찍힌 윈도우 서버 원격터미널 접속화면이 보인다. 그런데 원격터미널 화면에서는 정상적인 로그인 창과 백도어로 추정되는 다이얼로그 창 화면이 보이는 것을 확인할 수 있다. 이는 고창 전력센터 서버가 이미 해커에 의해 장악됐다는 것”이라고 밝혔다.
 

<고창 전력센터 서버에 백도어가 실행되는 동영상 캡쳐 화면>

동영상을 보면, 고창 전력센터는 윈도우 2003 서버를 사용하고 있었고 외부로 원격접속 포트가 노출되어 있었다. 방화벽을 우회해 손쉽게 접속이 가능한 상태였고 인증을 거치지 않고 원격접속이 가능한 윈도우 백도어가 이미 설치된 상태라는 것을 알 수 있었다.
 
권 대표는 “이 사실을 9월 3일 알게 됐고 9월 5일 국정원에 통보했다. 하지만 9월 9일 국정원으로부터 해당 서버는 단순한 서버로 큰 위험성이 없다고 통보를 받았다”며 “국가 기간망 중 하나인 전력망을 시험하는 서버에 해커가 침투해 서버를 장악하고 원격에서 계속 접속할 수 있는 통로인 백도어까지 심어 놓은 상태임에도 불구하고 정부기관이 너무 안이한 대응을 한 것 같다”고 피력했다.
 
또 회사 관계자는 “해당 서버는 이미 해커의 공격이 끝난 상태이며 해커가 마음대로 조정할 수 있는 상황”이라고 밝히고 “해당 서버를 통해 전국 각지에 전력량을 컨트롤 할 수 있는 전력망 시스템에 얼마든지 접근이 가능한 상황이라고 추정할 수 있다”고 밝혔다.
 
권 대표는 “전력 시험센터 서버가 해킹을 당해 악의적 해커에 의해 장악 당한 것이 15일 정전 사태의 직접적 원인이라고 단정지을 수는 없지만, 이번 정전사태가 단순 측정오류에 의해 발생한 문제만은 아닐 것”이라고 언급했다.
 
정전 결정 전에 한전 측의 어떠한 언론 발표도 없었다. 15일 정전 사태 발생 초기 오후 3시~5시 사이 언론 내용을 살펴보면 한전 측은 “원인을 파악 중에 있다”고 밝히고 있다. 다시 말하면 자신들도 이번 정전 사태가 왜 발생하는지 정확한 원인을 모르고 있었다는 방증이며 자신들의 매뉴얼에 의해 정전 결정이 이루어진 것이 아니라는 것이다.
 
또 초기 정전 사태는 순환정전이 아니었던 것으로 보인다. 초기 언론 내용에서 한전 측은 대부분 “자세한 원인을 파악 중에 있다”고 밝혔고 만약 정상적인 매뉴얼에 의한 순환 정전이었다면 한전은 미리 정전 지역을 알고 해당 지역에 긴급히 통보를 해줘야 했을 것이다.
 
또 정전사태가 전력량 추정 오류에 의해 발생했다는 것도 의심이 가는 부분이다. 자신들이 전력통계정보시스템 사이트에 밝힌 전일전력수급실적을 살펴보면, 15일 공급능력이 7,062만KW로 등록됐다. 하지만 15일 정전사태 이후 언론에 보도한 내용에서는 15일 공급능력이 6,641만KW라고 발표됐다. 낮춰서 발표한 것이다.
 
그래서 공급능력은 변동이 없어야 함에도 불구하고 한전 측에서는 이번 사태를 무마하기 위해 공급능력을 내려 발표했다는 의견이 나오고 있다. 또 한전 측이 정전 결정을 내리는 경우는 공급능력과 사용량과의 차이가 100만KW 이하로 떨어질 때에만 실시하는 것이다. 하지만 15일 당시에는 100만KW 이하로 예비전력이 떨어지지 않았음에도 불구하고 전국적인 정전사태가 발생한 것이다. 이는 한전의 매뉴얼 대로 순환정전이 작동된 것이 아니라고 볼 수 있다.   
 
권석철 대표는 “지금까지 방어대책은 많이 나왔지만 해결이 안됐다. 그들의 공격을 막기 위해서는 그들의 실력에 버금가는 실력자들이 방어를 해야 하고 그들의 시각으로 보안을 해야 한다”며 “현재 너무도 많은 악성코드들이 국내에 잠입해 있는 상태다. 만약 국가 주요 기간망에 이러한 악성코드들이 공격을 가한다면 어떤 일이 발생할지는 불보듯 뻔하다. 이번 정전 사태보다 더 큰 피해가 발생할 수 있다”고 경고했다.
 
또 그는 “이러한 문제를 해결하기 위해서는 전체 스카다 시스템에 대한 전수검사가 반드시 필요하다. 또 보안을 바라보는 시각도 완전히 바뀌어야 한다”며 “민간과 공공의 보안분야 실력차이가 많이 나고 있다. 공공은 적극적으로 민간의 보안 기술을 활용해야 한다”고 강조했다.
[데일리시큐=길민권 기자]  
■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★