2019.12.19

기고 | 항공 사이버보안 문제 해결, 왜 지체되나?

J.M. Porup | CSO
항공 사이버보안에 관한 대서양 협의회(Atlantic Council)의 새로운 보고서에 따르면, 항공 보안 상태가 취약하며 이 업계가 해당 문제의 심각성을 잘 이해하지 못하는 것으로 나타났다.  
 
ⓒGetty Images Bank

거대 선박 회사인 머스크는 2017년 낫페트야(NotPetya) 사보타지웨어에 감염되었고, 거의 5억 달러에 가까운 손해를 입었다. 머스크는 공격의 표적조차 아니었다. 이 같은 일이 항공에서도 일어날 수 있을까?

그럴 수 있다는 우려가 항공 업계에서 서서히 확산되고 있다. 머스크 공격에서는 업무가 타격을 입었지, 선박이 피해를 본 것은 아니었다. 그러나 보안 연구원인 크리스 쿠베카가 지난달 밝힌 바와 같이 항공 사이버 위험은 공중의 비행기로 확대된다. 

대서양 협의회(Atlantic Council)는 항공 사이버보안에 관한 신규 보고서에서, 현대의 항공기는 ‘세계를 돌아다니는 하늘의 데이터 센터’이지만, 항공산업은 승객을 사이버보안 위험으로부터 보호할 방법을 제대로 알지 못한다고 밝혔다. 

이제 위험을 제대로 이해하지 못한 채, 위험을 경감할 기술적 전문성이 없는 채, 그리고 충분한 재무적 또는 규제적 동기가 없는 채, 항공산업은 미래를 향해 비틀거리며 나아가고 있고 문제를 파악하는 동안 나쁜 일이 일어나지 않기만 바라고 있다. 

항공산업은 문제에 맞설 준비가 되어 있지 않아 보인다. 대서양 협의회의 보고서는 문제 해결이 지체되고 있는 이유를 설명했다. 

디지털화에 따른 위험과 보상 
항공산업은 급속한 디지털화로부터 효율 개선을 얻고자 보안을 건너뛰었고, 이제서야 뒤를 돌아보며 보안 문제가 언제든지 자신을 괴롭힐 수 있음을 깨닫고 있다. 예를 들어 육상 시스템의 붕괴라든지 항공기의 악성코드 감염, 심지어 확률이 극히 낮기는 하지만 수백 또는 수천 대의 항공기가 동시에 영향을 받을 신종 보안 침해 같은 것들이다.  

컴퓨터 혁신을 좋아하지 않는 사람이라면 아날로그를 팽개친 것이 실수였다고 말할지 모른다. 그러나 대서양 협의회의 항공산업 전문가인 피트 쿠퍼는 <CSO>에게 디지털 변혁에 따른 효율 개선을 과소평가해서는 안 된다고 말했다. 그러면서 항공기 안전은 미시적 데이터 수집 때문에 향상되었다고 지적했다. 그는 “예를 들어, 시스템으로부터 나온 데이터가 실제 운영 수명에 따라 정비 시점을 지시하고, 주먹구구식 일자/시간을 배제한다면, 엔지니어링에 따른 중지 시간을 극적으로 줄일 수 있다”라면서 “아울러, 시스템 데이터에서 예컨대 높은 비율의 마멸이 갑자기 나타난다면, 상황에 따라 점검을 위해 조기에 입고될 수 있다”라고 말했다. 
 
또한 그는 데이터 수집의 증가가 비행경로의 효율 향상, 비행시간 단축, 연료 이용, 이산화탄소 배출 감소 등으로 이어진다고 전했다. 

그러나 반대로 생각해보면, 사이버보안 돌발 사태의 위험도 있다. 부품의 마모라든지 조종사 실수로 이어지는 결함 있는 절차 같은 아날로그 안전 문제와 달리, 예를 들어 소프트웨어 감염 등의 보안 문제는 확산된다. 페트야(Petya)나 낫페트야(NotPetya)가 다시 발생하는 데는 단 하나의 취약점이면 충분하다. 

안전 대 보안 
비행은 여전히 가장 안전한 여행 수단의 하나고, 이는 항공안전을 개선하려는 지속적 노력에 대부분 기인한다. 항공에서는 내부 고발을 보상하고 장려하는 문화 규범이 있다. 예를 들어 최하급 기술자라고 해도 잠재적 안전 문제를 발견하면 경고 신호를 발송해 비행기의 이륙을 중지시킬 수 있다. 

이를 보안 취약점 보고라는 곤란하기 일쑤인 문제와 비교해 보라. 망신, 비난, 책임 회피는 기본이다. 보고서는 이 문제를 강조하면서, “대부분의 사이버보안 진영에서, 중대한 취약점의 관리를 제외한 문제와 사이버보안 취약점을 논의하는 것은 여전히 부끄러운 일이다”라고 지적했다.  

전염성 취약점 공격이나 백도어가 배치된 소프트웨어 업데이트는, 예를 들어 페트야 웜을 퍼뜨린 백도어가 배치된 미독(MeDoc) 소프트웨어 업데이트처럼, 대규모 보안 문제를 유발할 수 있다. 항공산업의 전통적 안전 인식이 이런 문제에 대처하기에 충분한지는 불분명하다. 

예를 들어, 보고서에서는 항공 사이버 보안 위협에 관한 정보 공유를 확대해야 한다고 주장했다. 그러면서 머스크 류의 위험을 인정하였고, “다른 업종은 하나의 취약점과 ‘전염성’ 취약점 공격이 가져오는 규모와 대가가 무엇인지 경험했다”라고 담담하게 밝혔다. 이 업종의 중요성을 감안하면, 급속히 확산될 수 있는 붕괴와 연계하여 항공 사이버 보안 실태를 이해하기 위해 해야 할 일이 많다. 

보고서는 선의의 보안 연구원도 필요하지만, 이들에 대한 대우는 경악할만한 면이 있다고 밝혔다. 보고서에서는 “선의의 연구자가 항공산업에 긍정적이라는 데는 반대가 없었지만, 지침, 법적 투명성, 취약점 공개의 용이함에 대한 의견은 불분명하거나 파악하기 어렵다”라고 지적했다. 

이제 마음의 준비를 해야 할 때다. 많은 조직이 원하는 디지털 변혁 상태에 도달하기 전에 격동의 시간이 이들을 기다리고 있을지 모른다. ciokr@idg.co.kr
 



2019.12.19

기고 | 항공 사이버보안 문제 해결, 왜 지체되나?

J.M. Porup | CSO
항공 사이버보안에 관한 대서양 협의회(Atlantic Council)의 새로운 보고서에 따르면, 항공 보안 상태가 취약하며 이 업계가 해당 문제의 심각성을 잘 이해하지 못하는 것으로 나타났다.  
 
ⓒGetty Images Bank

거대 선박 회사인 머스크는 2017년 낫페트야(NotPetya) 사보타지웨어에 감염되었고, 거의 5억 달러에 가까운 손해를 입었다. 머스크는 공격의 표적조차 아니었다. 이 같은 일이 항공에서도 일어날 수 있을까?

그럴 수 있다는 우려가 항공 업계에서 서서히 확산되고 있다. 머스크 공격에서는 업무가 타격을 입었지, 선박이 피해를 본 것은 아니었다. 그러나 보안 연구원인 크리스 쿠베카가 지난달 밝힌 바와 같이 항공 사이버 위험은 공중의 비행기로 확대된다. 

대서양 협의회(Atlantic Council)는 항공 사이버보안에 관한 신규 보고서에서, 현대의 항공기는 ‘세계를 돌아다니는 하늘의 데이터 센터’이지만, 항공산업은 승객을 사이버보안 위험으로부터 보호할 방법을 제대로 알지 못한다고 밝혔다. 

이제 위험을 제대로 이해하지 못한 채, 위험을 경감할 기술적 전문성이 없는 채, 그리고 충분한 재무적 또는 규제적 동기가 없는 채, 항공산업은 미래를 향해 비틀거리며 나아가고 있고 문제를 파악하는 동안 나쁜 일이 일어나지 않기만 바라고 있다. 

항공산업은 문제에 맞설 준비가 되어 있지 않아 보인다. 대서양 협의회의 보고서는 문제 해결이 지체되고 있는 이유를 설명했다. 

디지털화에 따른 위험과 보상 
항공산업은 급속한 디지털화로부터 효율 개선을 얻고자 보안을 건너뛰었고, 이제서야 뒤를 돌아보며 보안 문제가 언제든지 자신을 괴롭힐 수 있음을 깨닫고 있다. 예를 들어 육상 시스템의 붕괴라든지 항공기의 악성코드 감염, 심지어 확률이 극히 낮기는 하지만 수백 또는 수천 대의 항공기가 동시에 영향을 받을 신종 보안 침해 같은 것들이다.  

컴퓨터 혁신을 좋아하지 않는 사람이라면 아날로그를 팽개친 것이 실수였다고 말할지 모른다. 그러나 대서양 협의회의 항공산업 전문가인 피트 쿠퍼는 <CSO>에게 디지털 변혁에 따른 효율 개선을 과소평가해서는 안 된다고 말했다. 그러면서 항공기 안전은 미시적 데이터 수집 때문에 향상되었다고 지적했다. 그는 “예를 들어, 시스템으로부터 나온 데이터가 실제 운영 수명에 따라 정비 시점을 지시하고, 주먹구구식 일자/시간을 배제한다면, 엔지니어링에 따른 중지 시간을 극적으로 줄일 수 있다”라면서 “아울러, 시스템 데이터에서 예컨대 높은 비율의 마멸이 갑자기 나타난다면, 상황에 따라 점검을 위해 조기에 입고될 수 있다”라고 말했다. 
 
또한 그는 데이터 수집의 증가가 비행경로의 효율 향상, 비행시간 단축, 연료 이용, 이산화탄소 배출 감소 등으로 이어진다고 전했다. 

그러나 반대로 생각해보면, 사이버보안 돌발 사태의 위험도 있다. 부품의 마모라든지 조종사 실수로 이어지는 결함 있는 절차 같은 아날로그 안전 문제와 달리, 예를 들어 소프트웨어 감염 등의 보안 문제는 확산된다. 페트야(Petya)나 낫페트야(NotPetya)가 다시 발생하는 데는 단 하나의 취약점이면 충분하다. 

안전 대 보안 
비행은 여전히 가장 안전한 여행 수단의 하나고, 이는 항공안전을 개선하려는 지속적 노력에 대부분 기인한다. 항공에서는 내부 고발을 보상하고 장려하는 문화 규범이 있다. 예를 들어 최하급 기술자라고 해도 잠재적 안전 문제를 발견하면 경고 신호를 발송해 비행기의 이륙을 중지시킬 수 있다. 

이를 보안 취약점 보고라는 곤란하기 일쑤인 문제와 비교해 보라. 망신, 비난, 책임 회피는 기본이다. 보고서는 이 문제를 강조하면서, “대부분의 사이버보안 진영에서, 중대한 취약점의 관리를 제외한 문제와 사이버보안 취약점을 논의하는 것은 여전히 부끄러운 일이다”라고 지적했다.  

전염성 취약점 공격이나 백도어가 배치된 소프트웨어 업데이트는, 예를 들어 페트야 웜을 퍼뜨린 백도어가 배치된 미독(MeDoc) 소프트웨어 업데이트처럼, 대규모 보안 문제를 유발할 수 있다. 항공산업의 전통적 안전 인식이 이런 문제에 대처하기에 충분한지는 불분명하다. 

예를 들어, 보고서에서는 항공 사이버 보안 위협에 관한 정보 공유를 확대해야 한다고 주장했다. 그러면서 머스크 류의 위험을 인정하였고, “다른 업종은 하나의 취약점과 ‘전염성’ 취약점 공격이 가져오는 규모와 대가가 무엇인지 경험했다”라고 담담하게 밝혔다. 이 업종의 중요성을 감안하면, 급속히 확산될 수 있는 붕괴와 연계하여 항공 사이버 보안 실태를 이해하기 위해 해야 할 일이 많다. 

보고서는 선의의 보안 연구원도 필요하지만, 이들에 대한 대우는 경악할만한 면이 있다고 밝혔다. 보고서에서는 “선의의 연구자가 항공산업에 긍정적이라는 데는 반대가 없었지만, 지침, 법적 투명성, 취약점 공개의 용이함에 대한 의견은 불분명하거나 파악하기 어렵다”라고 지적했다. 

이제 마음의 준비를 해야 할 때다. 많은 조직이 원하는 디지털 변혁 상태에 도달하기 전에 격동의 시간이 이들을 기다리고 있을지 모른다. ciokr@idg.co.kr
 

X