[사이버안보 진단] (13) 사이버스톰에 노출된 국가기반시설, 해법은 무엇인가?
김한경 안보전문기자 | 기사작성 : 2019-11-05 13:47   (기사수정: 2019-11-05 13:47)
1,105 views
N
▲ 북한으로 추정되는 해킹 조직으로부터 2014년 12월 15일부터 6차례 사이버공격을 받은 한수원의 층별 안내판(상)과 지난 10월 30일 사이버공격을 받은 인도 쿠단쿨람’원전(하). [사진제공=연합뉴스]

한국은 세계에서 ICT 인프라가 가장 발달된 나라 중 하나로 꼽힌다. 하지만 보안에 대한 인식은 낮아 사이버공격을 무기화하는 일부 국가나 해커 조직들에게 무방비로 노출된 상태다. 뉴스투데이는 한국의 사이버안보를 강화하기 위해 정부와 군 차원에서 과연 무엇을 어떻게 해야 할지 짚어보는 ‘사이버안보 진단’ 시리즈를 시작한다. <편집자 주>

KT 아현지사 통신구 화재, 잘못된 통신국사 등급 구분도 리스크

[뉴스투데이=김한경 안보전문기자] 지난 2018년 11월 KT 아현지사 지하 통신구 화재로 일부 지역의 유·무선 통신이 마비됐다. 아현지사는 산하에 은평지사, 신촌지사, 용산지사, 가좌지사 등을 둔 통신국사여서 사고 파장은 컸다. 특히 군부대의 경우 합동지휘통제체계(KJCCS)의 통신이 일부 두절됐고, 군사정보통합시스템(MIMS)도 마비되는 등 국가안보체계에 장애가 발생했다.

KT는 통신망의 허브 역할을 하는 통신국사를 전국에 56개 운영 및 관리하고 있다. 정부는 전국망에 영향을 미치는 정도에 따라 통신국사를 A∼D등급으로 나뉘며, 이 중 A∼C등급은 통신망 장애를 대비해 백업망을 구축하게 한다. 백업망이 있으면 통신망이 훼손되더라도 다른 망으로 우회 통신이 가능한데, 아현지사는 D등급이어서 백업망이 없었다.

D등급일 경우 백업망 설치는 기업 자율에 맡기며, KT는 D등급 지사를 27개 갖고 있다. 이 경우 기업은 비용 부담 때문에 통상 백업망을 설치하지 않는다. 문제는 안보에 치명적인 통신선로가 지나가는 지사가 D등급으로 분류돼 백업망이 없었다는 것이다. 게다가 소방방재시설도 제대로 구비되지 않아 피해가 커졌고 복구에 시간이 오래 걸렸다.

북한 추정 해커조직의 원전 공격, 물리적 망분리가 안전판 아냐

이와는 별개로, 한국수력원자력(이후 한수원)은 지난 2014년 12월 15일부터 2015년 3월 12일까지 여섯 차례에 걸쳐 북한으로 추정되는 해킹 조직으로부터 원전 가동을 중단하라는 협박을 받았다. 해커는 이메일에 피싱(phishing) 메일을 보내 한수원 관계자들의 이메일 비밀번호를 수집한 뒤 이메일 계정에서 자료들을 빼내는 등 범행을 미리 치밀하게 준비했다.

해커는 지난 2014년 12월 9일∼12일 한수원 직원 3571명에게 5986통의 악성코드 이메일을 발송해 PC 디스크 등의 파괴를 시도했다. 하지만 한수원 PC 8대만 감염되고, 그 중 5대의 하드 디스크가 초기화되는 정도에 그쳤고, 원전 운용이나 안전에는 이상이 없었다. 이메일 공격이 실패하자 앞서 해킹 등으로 취득한 한수원 자료를 공개하며 협박한 것으로 보인다.

최근 인도에서도 원전이 사이버공격을 받은 사례가 발생했다. 인도 원자력공사(NPCIL)는 지난 10월 30일 ‘쿠단쿨람’ 원전의 한 시스템에서 악성코드가 발견됐다고 밝히면서 “감염된 PC는 인터넷에 연결된 행정용 컴퓨터로 (원전) 내부 네트워크와는 분리돼 발전 시스템은 영향 받지 않았다”고 말했다. 하지만 보안 전문가들은 원전을 뚫기 위해 특별히 설계된 악성코드로 보인다며 북한과 연루된 해킹조직인 ‘라자루스’의 소행으로 의심하고 있다.

한수원과 인도 원전 모두 관할 당국은 원전제어망이 뚫리지 않았다고 주장했다. 원전은 통상 인터넷망, 내부 업무망, 원전제어망 등 3개의 물리적으로 분리된 네트워크를 갖고 있다. 따라서 일반적인 해킹은 불가하지만 의도를 갖고 접근하면 물리적 망분리가 됐다고 안심할 수는 없다. 왜냐하면 다양한 공격 방법이 존재하기 때문이다.

일례로 인터넷에 연결된 기기들을 전문적으로 검색해주는 엔진인 ‘쇼단(shodan)’ 사이트에 들어가면 분리된 네트워크들이 인터넷에 연결된 상황을 실시간으로 볼 수 있다. 쇼단은 조직 내 취약한 시스템을 확인해 보안을 강화하기 위한 수단으로 개발됐다. 하지만 해커들이 물리적으로 분리된 네트워크가 인터넷과 연결된 상태를 확인하는 도구로도 사용된다.

악성코드 감염 경로 상상 초월...부품에 심어 수년 뒤 사이버공격

악성코드 감염은 여러 경로로 가능하다. 하드웨어 공급자가 기기 제조공정이나 소프트웨어 업데이트 과정에서, 데이터 통신 과정에서, 아니면 내부자를 이용하거나 USB를 이용해서도 충분히 가능하다. 또 고장 발생 시 장비 제조사의 원격 정비가 필요할 경우 인터넷으로 연결하는 상황도 생기며, 외부에서 원격제어시스템(SCADA)을 해킹할 수도 있다.

2017년 3월 뉴욕타임즈는 미국이 2014년부터 북한의 미사일 프로그램을 겨냥해 발사 전에 교란시키는 ‘Left of Launch’ 작전을 은밀히 진행해 왔다고 보도했다. 이 작전은 악성코드, 고출력 전자기파 등으로 미사일 통제시스템을 교란해 발사 전에 무력화시키는 것으로서, 작전이 시작된 이후 북한의 미사일 발사 실패 확률이 비정상적으로 높아졌다고 밝혔다.

북한 미사일의 경우, 북한이 생산할 수 없는 부품을 외국에서 들여올 때 그 공장에 사전 침투해 부품에 악성코드를 심어놓으면 충분히 사이버공격이 가능하다. 실제로 악성코드 중에는 5∼6년을 잠복했다가 어떤 특정 조건이 맞았을 때 가동되는 경우도 발견된다. 2010년 이란의 핵 프로그램을 지연시킨 ‘스턱스넷’이 대표적인 사례이다.

이와 같이 해커들은 인터넷과 분리된 컴퓨터에서 정보를 빼내는 기상천외한 방법을 찾고 있다. 에드워드 스노든이 폭로한 미 국가안보국(NSA)의 ‘퀀텀 프로그램’은 무선주파수 발신 기능을 내장한 휴대용 저장장치를 컴퓨터에 꽂아 13km 거리에서도 정보를 꺼내올 수 있다. 이와 같이 다양한 통신방법을 이용해 폐쇄망을 우회하는 기법은 공개된 것만 10가지가 넘는다.

미국 ‘국토안보부’ 같은 국가기반시설의 컨트롤타워 구축해야

유사시 KT 지하 통신구 화재처럼 물리적 피해로 군의 C4I 체계 운용에 문제가 생기면 작전임무 수행이 불가하다. 따라서 군 자체적으로 위성 또는 마이크로웨이브(M/W)를 활용한 백업망 구축에 관심을 가져야 한다. 네트워크 전문가들은 “노후된 기존 M/W망을 신기술로 고도화하여 예비망으로 운용하는 것이 현실적인 방안”이라고 조언한다.

국가기반시설을 목표로 한 사이버공격도 점차 증가하고 있다. 매튜 매서가 쓴 소설 ‘사이버 스톰(CYBER STORM)’은 인터넷으로 연결된 사회가 사이버공격으로 기반시설이 마비될 때 얼마나 끔찍한 재앙을 맞는지 생생하게 보여준다. 하지만 한국은 국가기반시설 보호를 사이버안전 관점에서 해당 부처의 관할 조직에 위임해 놓은 상태다.

이로 인해 미국의 ‘국토안보부(DHS)’ 같이 국가안보 차원에서 기반시설 보호를 총괄하고 책임질 부서나 사람이 없다. 또 관련 부서의 임무와 역할 또한 명확히 구분되지 않았다. 전쟁을 지원하는 국가기반시설을 유사시 군이 어떻게 보호해야 할지도 준비가 미흡하다. 전문가들은 “사이버방어에 앞서가는 미국을 벤치마킹해 적절한 해법을 찾아야 한다”고 강조했다.


메일보내기
보내는분
보내는분 이메일
받는분 이메일
내용
 
주요기업 채용정보