CISO가 우주 기반 사이버 공격을 우려해야 하는 이유

2022년 2월 24일 러시아는 우크라이나 침공 당시 지상 공격뿐 아니라 우주에서 우크라이나의 데이터 연결 부분에 대한 습격도 감행했다. 2022년 3월 30일 위성 서비스 제공업체 비아셋(Viasset)은 “비아셋의 KA-SAT 네트워크에 다면적이고 의도적인 사이버 공격이 감행된 결과, KA-SAT의 소비자용 위성 광대역 서비스가 부분적으로 중단되었다”라고 전했다.
 

비아셋에 따르면, 사이버 공격은 우크라이나에 위치한 수천 곳의 고객사와 유럽 전역에 걸친 수만 곳의 다른 고정 광대역 고객사에 영향을 미쳤다. 독일 에너콘(Enercon)이 소유한 총 11GW 용량의 풍력 발전용 터빈 5,800대에 대한 원격 모니터링 및 제어도 영향을 받았다.

센티넬 랩스(Sentinel Labs)의 공격 후 보고서는 “위협 주체는 모뎀 및 라우터용으로 설계된 와이퍼를 유포하기 위해 KA-SAT 관리 메커니즘을 이용한 공급망 공격을 감행했다. 이런 와이퍼는 모뎀의 플래시 메모리 내에 있는 주요 데이터를 덮어쓰고 그 결과 모뎀은 작동 불가상태가 되어 재설치/업데이트하거나 교체해야 한다”라고 결론지었다. 또한 문제의 와이퍼가 “모뎀 및 라우터의 데이터 삭제를 목적으로 하는 ELP MIPS 맬웨어”인 애시드레인(AcidRaid)이라고 덧붙였다.

민간인 피해 가능성도 존재

이메일을 통한 비아셋 관계자의 발언에 따르면, 비아셋은 이를 “공급망 공격”이라고 규정하는 것이 정확한지 확인한 적 없으며, 공급망 공격이었다는 증거가 없다고 주장했다.

사이버평화 연구소(CyberPeace Institute) 웹사이트의 사이버 위협(Cyber Threat) 항목에 따르면, 해당 공격은 “분쟁 중 정부가 제공하는 믿을 수 있는 정보에 접근할 수 없었던 우크라이나 민간인에게 주로 영향을 미쳤다. 복구 시간은 제각각이었는데, 2주 동안 인터넷 없이 지낸 사람도 있었다.”

이에 대해 비아셋 정부 시스템 대표 크레이그 밀러는 “비아셋은 운영업체와 공조해 즉각적인 업데이트를 실행함으로써 네트워크 안정과 추가적인 전술에 대한 방어를 도모했다. 비아셋은 사내 사이버 전문 지식과 능력을 활용해 대다수 KA-SAT 사용자의 안전과 보안을 유지할 수 있었으며, 네트워크 중단 피해를 입은 사용자를 최대한 빨리 온라인 상태로 복구하기 위해 신속한 운영상의 대응을 개시할 수 있었다”라고 말했다.
 

모든 우주선에는 취약점이 있다

우주 기반 통신 위성은 위성 광대역뿐 아니라 학계, 비즈니스, 상업, 정부, 군사 사용자에게 광범위하고 다양한 서비스를 제공한다. 따라서 이런 서비스를 제공하기 위해 위성에 탑재된 제어 소프트웨어, 위성과 지구 기지국 간의 데이터 링크, 지상 기반 데이터 네트워크와 이에 연결하는 모뎀 같은 장비 등이 모두 공격 지점으로 작용하면서 해커에게 매력적인 표적이 된다.

비아셋 KA-SAT 맬웨어 공격은 우크라이나 민간인의 인터넷 접근을 차단할 목적이었던 것이 분명하지만, 우주 기반 데이터 시스템과 관련된 사이버 공격은 매우 다양하다. 전기전자공학자협회(Institute of Electrical and Electronics Engineers, IEEE)의 자가 치유 시스템 분과 부위원장 란달 K. 니콜스는 “상업 및 군사 자산에 미친 광역적인 영향 때문에 처음에는 GNSS/GPS 항법 신호에 대한 장애 유발과 더 강력한 위협인 신호 위조에 의한 위성 통신 공격일 것이라고 생각했다”라고 말했다.

니콜스는 “IT 관점에서 볼 때 항법 지원이 필요한 모든 우주선은…본질적으로 모든 취약점을 수반하고 다양한 IT/사이버/시스템 위협에 노출된 감시 제어 데이터 수집(Supervisory Control and Data Acquisition, SCADA) 시스템이다”라고 설명했다.

밀러는 “우주 자산과 서비스에 대한 사이버 공격이 확실히 증가했으며, 정부 및 상용 네트워크가 매일 위협을 방어하고 있다. 그러나 현재 모두가 작업 중인 그 환경은 5년, 10년, 15년 전과는 다르다. 온갖 종류의 적으로부터 감행되는 공격은 점점 잦아지고 정교해지고 있다. 따라서 정부 및 상용 네트워크는 이에 대비해 방어를 조정해야 한다”라고 강조했다.

‘이중 용도’ 위성의 위험성

상업 고객과 군사 고객이 모두 이용하는 ‘이중 용도’의 서비스를 제공하는 위성이 많다는 점도 상황을 악화시킨다. 이에 따라, 러시아 국영 통신사 타스(TASS)는 2022년 10월 27일 “미국 상용 위성이 우크라이나 내 분쟁에 사용될 경우 정당한 표적으로 간주될 수 있다”라고 보도했다. 러시아 외교부 직원 콘스탄틴 보롱초프는 UN 총회 제1위원회에서 “준민간 인프라가 보복 공격의 정당한 표적이 될 수 있다”라는 위협적인 발언을 했다.

이는 우크라이나 내 스페이스X(SpaceX) 스타링크(Starlink) 위성 광대역 서비스의 경우 확실히 사실이었다. 스페이스X CEO 일론 머스크는 2022년 3월 5일 게시한 트위터 메시지에서 “분쟁 지역 근처의 일부 스타링크 터미널에 한 번에 몇 시간씩 장애가 발생했는데, 최신 소프트웨어 업데이트를 통해 장애를 피해가고 있다. 다음에는 무슨 일이 생길지 궁금하다!”라고 말했다.

유로컨설트 그룹(Euroconsult Group) 위성 컨설턴트 겸 지상 시스템 전문가 로렌트 프랭크에게는이런 사실이 새롭지 않다. 프랭크는 상용 위성이 “전장에서 그리고 전쟁의 맥락에서 사용될 때마다 표적이 된다. 따라서 러시아가 미국 상용 위성을 대상으로 감행한 것과 같은 위협과 스타링크에 대한 실제 장애 유발은 특히 ‘우주 무장화’ 추세로 인해 예상 가능하다”라고 설명했다.

이어 “최근까지 우주 부문(즉, 우주선)은 우주에 위치하기 때문에 안전한 것으로 여겨졌지만, 이제는 다른 우주선의 사찰/방해를 목적으로 하는 전용 우주선이 개발되면서 더 이상 안전하지 않다”라고 덧붙였다.

우주 기반 사이버 위협에 대처해야 할 때

CISO는 소속 회사가 의존하는 위성/위성 서비스에 대한 군사적 위협에 대처할 방법이 없다. 그러나 사내에서와 제3자 위성 서비스 제공업체 내에서 통신 계통의 약점이 어디인지 분석하고 평가한 후 그에 따라 긴급 대책을 마련할 기회는 분명히 있다. 니콜스는 “소속 조직의 주의 의무가 법적 수준까지 도달하도록 효과적인 위험 평가를 수행하는 것은 CISO와 고위 프로그램 관리자의 임무”라고 강조했다.

탈레스 그룹(Thales Group) 사이버보안, 플랫폼, 인프라 부문 책임자 프랭크 페린은 “이런 의식 수준을 달성하려면 위성 통신 시스템을 처음부터 끝까지 전체적으로 파악하는 것이 매우 중요하다”라고 강조했다. 파악 대상에는 모든 연결점, 장비, 지구상과 우주에서의 전체 신호 계통에 따른 데이터 액세스 지점/사용자 인터페이스 등이 포함된다. 

이어 “위험을 분석할 때는 시스템에 현재와 미래에 적용 가능한 다양한 운영 용도도 고려해야 한다. 다른 위성과 지상을 통한 백업 데이터 경로도 즉각 전환이 가능하도록 계획하고 준비해야 한다”라고 덧붙였다. 

비아셋의 밀러는 “우주 통신에 대한 가장 큰 위협은 사이버 공격, 지상 인프라(게이트웨이와 광섬유)의 방해, RF 간섭을 통해서 또는 우주선에 대한 직접적인 공격을 통해서 통신 기능 중단으로 이어지는 위협이다”라고 지적했다. CISO는 이런 점을 명심해야 한다.

사이버 공격이 우주 기반 통신을 겨냥한다고 해서 위성/우주선 자체 혹은 지상 기지국 인프라가 영향을 받았거나 관련되었다는 뜻은 아니다. 실제 표적은 네트워크 자체인 경우가 많다.

밀러는 “위성 통신에 대한 공격은 보다 전통적인 통신 네트워크, 정부 기관, 또는 다른 서비스를 제공하는 대형 상용 업체를 표적으로 해 통신을 중단하거나 귀중한 데이터 또는 지적 재산 정보에 접근하려는 사이버 위협과 다를 것 없다. 이런 목적을 지닌 내부자 위협도 가능하다”라고 지적했다.
editor@itworld.co.kr