Offcanvas

IoT / 디지털 트랜스포메이션 / 보안 / 비즈니스|경제

도난 트랙터 원격 비활성화로 불거진 '스마트팜 보안 우려'

2022.05.30 Cynthia Brumfield  |  CSO
러시아의 우크라이나 침공과 관련한 암울한 보도가 이어지는 가운데, 최근 우크라이나 진영의 힘을 북돋울 만한 이야기가 전해졌다. 러시아군이 농기계 제조업체 존 디어(John Deere)의 대리점 아그로텍 인베스트(Agrotek-Invest)를 점령하고 여기에서 한화 약 62억 원 상당의 트랙터를 탈취했는데, 트랙터 모두 원격으로 작동 불능 상태에 빠졌다는는 소식이다. 러시아 군인들이 27대의 트랙터를 훔쳐서 약 1,100km 떨어진 체첸 공화국으로 보냈으나 도착하고 보니 ‘킬 스위치(kill switch)’가 작동해 움직이지 않은 것으로 전해졌다. 
 
ⓒ Getty Images Bank

대리점은 트랙터에 내장된 GPS 기술을 사용해 위치를 추적했다. 지난 5월 1일을 기준으로 확인된 장비의 위치는 그로즈니 인근의 농가였다. 한 소식통에 따르면, 러시아인들은 장비를 무력화한 디지털 보호 조치를 우회하기 위해 컨설턴트를 고용한 것으로 알려졌다.

일각에서는 존 디어를 비롯한 제조업체에서 농업용 장비를 업데이트하고 모니터링하기 위해 사용하는 킬 스위치를 악의적 행위자가 악용할 수 있다는 우려가 제기됐다. 해당 기술에 대한 사이버 공격이 대규모로 성공할 경우 핵심 농업 인프라의 상당 부분이 붕괴될 수 있다.


지능적인 장비가 된 현대의 트랙터

농업 대기업인 존 디어의 장비를 포함해 농기계는 1980년대의 아날로그 트랙터, 콤바인 등에서 여러 유용한 농업 데이터를 생산하는, 디지털로 연결된 지능적 디바이스로 발전하기 시작했다. 예를 들어, 최신 트랙터의 바퀴에 장착된 토크(torque) 센서가 토양의 밀도를 측정하고 차대에 탑재된 습도 센서가 토양 수분을 측정하며, 루프의 위치 센서가 1cm 단위의 격자로 밀도와 수분의 도표를 그린다.

우크라이나 대리점에서 사용한 킬 스위치 기술의 시초는 자동차 업계에서 사용되는 차량 식별 번호 잠금, 또는 VIN(vehicle identification number) 잠금 기술이다. VIN 잠금은 승인된 기술자만 특수한 코드를 입력해 기계의 내부 네트워크에 들어가 작업할 수 있도록 해준다. 존 디어가 VIN 잠금을 도입한 것은 큰 논란이 됐다. 농업인이 장비를 수리하려면 장비를 구동하는 컴퓨터 소프트웨어에 접근해야 하는데, 이를 차단하기 위한 목적으로 도입한 것이었기 때문이다. 존 디어는 농업인에게는 존 디어의 사유 코드에 접근할 권리가 없다고 주장하며 항변했다.


‘수리할 권리’ 운동 촉발

존 디어가 농업인들의 요구를 거절하면서 미국에서는 디지털 밀레니엄 저작권법(DMCA)의 변경을 요구하는 ‘수리할 권리’ 운동이 거세게 일어났다. 이 운동의 핵심은 존 디어 및 기타 장비 제조사가 ‘농업인에게도 제조사 대리점에 제공하는 것과 동일한 농기계 진단 및 수리 정보에 대한 접근 권한을 부여해야 한다’는 것이다. 존 디어 측은 이 개념에 강하게 반발했다.

교착 상태가 이어지자 미국 농업인들은 진단 프로그램, 페이로드 파일, 전자 데이터 링크 드라이버가 포함된, 해킹된 우크라이나의 존 디어 소프트웨어를 구매하기 시작했다. (사실 우크라이나는 트랙터에 관해 1930년대부터 이어진 오랜 전통을 가진 국가다. 당시 스탈린의 강제적 농업 공영화 과정에서 트랙터는 ‘게임 체인저’가 되어 농업을 ‘농업 공영화의 철의 요새’로 격상시키는 역할을 했다.)

미국 저작권청은 2015년 ‘개인용 차량, 상용 자동차 또는 기계화된 농업용 차량과 같은 기계화된 차량의 공인된 소유자가 차량 기능을 진단, 수리 또는 합법적으로 개조하기 위해 필요한 경우 그 차량에 포함되어 기능을 제어하는 컴퓨터 프로그램의 수정을 허용’하는 DMCA 예외 조항을 승인했다. 그러나 농업 분야의 수리할 권리 옹호자들은 이 예외 조항의 범위가 너무 좁다고 주장한다.


"해킹할 수 있는 트랙터, 사보타주에 취약해"

수리할 권리 옹호자인 케빈 케니는 장비 제조사의 차량 소프트웨어를 통한 원격 제어가 농업인과 식품 공급을 사보타주에 취약하게 만든다고 주장한다. 2016년 FBI와 미국 농무부는 디지털화된 데이터에 대한 농업인의 의존도가 높아지면서 ‘식품 및 농업(FA) 분야에서 사이버 공격에 대한 취약점이 증가하고 있다’는 경고 공지를 발표했다.

이 경고는 주로 랜섬웨어, 그리고 위협 행위자가 대량의 농업 데이터를 훔쳐 ‘미국 농업 리소스와 시장 트렌드를 착취할 가능성’에 초점을 맞췄는데, 올해 초 한 보안 연구원의 테스트 결과와도 일맥상통한다. 테스트에서 연구원은 오픈소스 로깅 툴의 버그를 이용해 테슬라 차량 25대의 데이터에 동시에 원격으로 접속할 수 있었다.

트랙터 제조사 AGCO는 최근 랜섬웨어 공격으로 인한 생산 중단 사태를 겪기도 했다. 그러나 트랙터 데이터 절도, 심지어 트랙터 제조사 설비 가동 중단은 국경 넘어 다른 국가의 트랙터를 대량으로 무력화하는 것과는 비교할 수 없는 문제다.


악의적 행위자가 트랙터를 해킹·무력화할 수 있을까?

우크라이나 트랙터의 원격 무력화 소식과 함께 ‘악의적 행위자가 많은 트랙터를 동시에 해킹해서 무력화하는 방법으로 국가의 농업과 식품 공급을 붕괴시킬 수 있는가?’라는 질문이 제기되기 시작했다.

작가이자 액티비스트인 코리 닥터로우는 적어도 일정 수준으로는 가능하다고 판단했다. 닥터로우는 존 디어의 정보보안이 “암울한” 수준임을 감안할 때 “디어가 체첸에 있는 도난당한 모든 트랙터를 무력화하는 데 사용한 툴을 해커도 입수할 가능성이 있다. 장비에 킬 스위치를 넣기로 결정한 존 디어의 무모함과 나태한 보안 의식 탓에 솜씨가 그렇게 좋지 못한 해커에게도 가능한 일이 됐다”라고 썼다.

하지만 오하이오주립대학의 식품, 농경 및 생물공학 교수인 존 풀튼은 해커가 농업에 유의미할 만큼의 큰 타격을 줄 수 있는 유일한 방법은 대형 장비 제조사를 해킹하는 것이며, 설령 해킹한다 해도 농가를 하나하나 따로 공격해야 하는데 이는 한 국가의 농업을 무너뜨리기에는 비효율적이라고 판단했다.

풀튼은 CSO에 “농가를 공격하려고 한다면, 한 농가에 접속하기 위해 대형 농기계 기업 중 하나를 공격할 것”이라고 말했다. 풀튼은 전체적으로 볼 때 도난당한 농업 장비를 추적해 무력화할 수 있는 기능은 좋은 것이라면서, “누군가 내 차량을 훔쳐 간다면 그 차를 되찾을 방법이 있기를 바랄 것이다. 필요한 상황에서 GPS와 네트워크 연결 기능으로 차량을 되찾을 수 있다는 사실은 기술이 주는 긍정적 혜택이라고 생각한다”라고 말했다.

풀튼은 30년 전, 소비에트 연방이 붕괴된 후 인프라 재건과 농업 생산 시설 확장을 위해 우크라이나를 방문한 적 있다. 풀튼은 “당시 농업인들은 여전히 낡고 오래된 장비를 사용하고 있었다”라고 회상했다.

풀튼의 시각에서는 대리점이 도난당한 트랙터를 무력화한 것이나 우크라이나 농업인들이 장비를 귀중하게 여긴다는 것은 놀라운 일이 아니다. 풀튼은 “우크라이나 농업인들은 80년대와 비교하여 현재의 장비가 오늘날 농업을 운영할 때 어떤 가치를 갖고 있는지 잘 이해하고 있는 것”이라고 말했다.
editor@itworld.co.kr
CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.