Offcanvas

보안

"에너지 그리드가 위험하다"··· '스턱스넷' 공격에 속수무책

2019.01.30 J.M. Porup  |  CSO
회로 차단기를 여는 것은 위험하다. 그러나 이를 다시 닫으면 더 심각한 결과를 초래한다. 예를 들어 2016년 12월 러시아는 우크라이나의 에너지 그리드를 공격했다. 우크라이나 에너지 그리드의 회로 차단기를 열자 정전이 발생했고 이 정전은 1시간 가량 계속됐다. 하지만 더 파괴적 결과가 벌어질 수도 있었다. 즉, 러시아가 회로 차단기를 다시 닫았다면, AC의 이상 회로를 초래해 에너지 그리드 자체가 손상되고, 결국 물리적 인프라 자체를 바꿔야 할 수도 있었다.



그런데 미국 역시 이러한 공격으로부터 안전하지 않다고 전문가들은 경고한다. 다행히 미국 내 에너지 그리드는 곳곳에 분산돼 있어 한 지점을 공격한다고 나라 전체가 위험에 빠질 일은 없다. 그러나 최소한 서부 해안이나 북동부 회랑 지역을 몇 달간, 심지어 1년 가까이 정전에 빠뜨리는 것은 가능하다. 

ICS 보안 전문가 조 바이스는 CSO와의 인터뷰에서 “러시아 정부는 (우크라이나에) 거기까지 할 생각은 없었던 것 같다. 차단 회로를 다시 닫기만 하면 더 큰 피해를 줄 수 있었지만 그렇게 하지 않았다"라고 말했다. 이런 공격의 가능성은 2007년 오로라(Aurora) 테스트 이후 줄곧 제기됐지만, 10년도 더 지난 지금까지 에너지 그리드는 여전히 취약한 상태로 남아 있다. 

오로라의 공포
2007년 아이다호 국립 연구소에서는 유명한 오로라 발전기 테스트를 진행했다. 몇 줄의 코드 만으로 차단 회로를 여닫아 발전기를 파괴할 수 있음을 보여주기 위해서였다. 실제로 발전기에 대한 원격 액세스 권한을 확보한 후 큰 어려움 없이 물리 법칙을 이용해 사회 시설망을 파괴할 수 있었다. 

바이스는 “이는 모든 전기공학과 학생이 1학년 때 배우는 기본 중 기본이다. 절대 전력망과 어긋나도록 AC 장비를 운영해서는 안 된다는 것이다. 그러면 전력망 자체가 훼손돼 버린다. 오로라 테스트를 통해, 원격 조종을 이용해 차단 회로를 열고 이후 전력망과 어긋나도록 이를 닫아 파괴하는 것이 가능함이 확인됐다"라고 말했다.

지난 80여 년 동안 에너지 그리드는 인터넷 없이 작동해 왔다. 때때로 장비를 조작하는 인간의 실수로, 혹은 길 잃은 다람쥐나 야생 동물로 인해 시스템에 이상이 생기기는 했지만, 대체적으로 큰 문제 없이 작동해 왔다. 그러다가 인터넷이 생기고 원격 관리가 가능해졌다. 

직접 인력을 고용해 발전소를 관리하는 것보다 SCADA(Supervisory Control and Data Acquisition) 소프트웨어를 사용해 원격으로 관리하는 것이 훨씬 싸고 효율적이다. 문제는 ‘원격으로’라는 부분이다. 직원이 원격으로 장비를 조작할 수 있다면, 즉 장비에 대한 원격 액세스를 확보할 수만 있다면 이론적으로 그 누구라도 똑같은 작업을 할 수 있는 것이다.

바이스는 “아주 큰 규모의 시설물, 예컨대 1만 개 또는 1만 5000개의 변압기가 있다고 하자. 이를 관리하기 위해 1만 명, 1만 5천 명에 달하는 엔지니어를 고용하지는 않을 것이다. 결국 50~100명쯤 되는 엔지니어를 고용하면 이들이 수천 마일에 걸쳐 포진한 1만 5천 개의 계전기를 관리해야 한다. 이런 측면에서 원격 액세스는 필요하다”라고 바이스는 말한다. 

스턱스넷 2.0
그런데 만약 악의를 가진 누군가가 원격 액세스를 할 수 있게 되면 어떻게 될까? 예를 들어 이란의 핵 농축 시설 원심 분리기를 파괴하기 위해 미국-이스라엘의 악성코드 스턱스넷(Stuxnet)은 여러 가지 제로-데이 공격을 이용해 원심 분리기에 대한 원격 액세스를 확보한다. 하지만 스턱스넷이 운반하는 것은 악성코드가 아니다. 바이스에 따르면, 그것은 대체 제어 시스템 논리다. 결국 원심 분리기는 관리자의 통제에서 벗어나 파괴된다. 

그렇다. 매우 무서운 이야기다. 미국의 에너지 그리드에 대한 오로라 유형 공격 역시 개념상으로 이와 유사하다. 원격 액세스 권한을 빼앗아 회로 차단기를 조작해 모든 것이 폭발해 버리도록 만드는 것이다. 바이스는 “이는 사실상 스턱스넷과 다를 바 없는 개념이다. 상황을 최악까지 몰아갈 수 있다”라고 말했다.

물론 의견을 달리 하는 전문가도 있다. ICS 보안 컨설턴시 아처 인터내셔널(Archer International)의 매니징 파트너 패트릭 밀러는 “(오로라와 같은 공격을) 대규모로 감행하는 것은 매우 어렵다. 일부 경우 디지털이 아니라 전기 기계적으로 동작하는 수동 보호 장치도 이미 준비돼 있다"라고 말했다.

밀러는 설사 이런 공격이 발생한다 해도 미국 전역으로 확산하지는 않을 것으로 전망한다. 그는 "이는 역사적으로 에너지 그리드가 건설된 방식과 관계가 있다. 텍사스와 동부 그리고 서부 그리드 간에 존재하는 상호 연결 지점에서 이상기(phase shifter)를 통과한다는 것은 물리적으로 불가능하다”라고 말했다.

실제로 2014년 국회 보고서를 보면 전국적 정전 사태를 만들려면 미국 전역에 분포된 변전소 중 최소 9곳을 공격해야 한다. 보고서는 “2013년 FERC의 전력 조류 분석을 보면 미국 전역에 걸쳐 약 30곳의 중요 HV 변전소가 존재하며 전력 소비량이 가장 높은 시간대에 이들 중 아홉 곳의 변전소를 무력화해야 ‘전국적 정전 사태’를 발생시킬 수 있다”라고 분석했다.

그러나 에너지 그리드 보안 전문가이자 위협 애널리스트인 조 슬로윅은 최근 "이 2014년 보고서에서 말하고 있는 것과 같은 전국적 정전 사태는 상상이 아니라 실재하는 위험이다. 에너지 그리드를 완전히 정지시킬 수 있는 공격이 전적으로 가능하다”라고 말했다.

슬로웍에 따르면, 실제로 많은 국가가 무기의 일종으로 에너지 그리드 보안을 연구하고 있다. 국가의 규모와 상관없이 이런 공격 기술을 확보하면 군사력을 높일 수 있기 때문이다. 물론 오로라와 유사한 공격을 대규모로 감행하는 것이 무척 어렵고 큰 비용이 필요하다. 그러나 이런 공격을 감행할 수 있는 역량을 갖추면 아무리 작은 국가라도 상당히 강력한 '무기'를 갖게 되는 셈이다.
 
보안의 미래, 1단계 보안에 달려 있다
보안 전문가 대부분은 2단계 이상의 보안에만 주목하는 경향이 있다. 1단계 보안에 대해서는 크게 고민하지 않는다. 에너지 그리드는 인터넷 없이 작동할 수 있지만, 정전이 일어났을 때 이를 안전하게 보호할 수 있는 네트워크가 전혀 없게 되는 것이다. 결국 1단계 보안이 제대로 이루어지지 않으면, 사실상 보안이 전혀 이루어지지 않고 있다고 봐야 한다. 

설상가상으로, 지난 20년 간 전기 공학과 컴퓨터 과학 사이에 존재하는 간극은 더 벌어져 오늘날 대다수의 IT 및 보안 전문가는 1단계 보안에 대한 잠재적 공격을 모형화하고 그 위험을 예방할 수 있는 물리적, 전기 공학적 지식을 갖지 못하고 있다. 바이스는 “1단계 보안이 이루어지지 않으면, 사실상 보안이 전혀 이루어지지 않고 있다고 봐야 한다”라고 말했다. ciokr@idg.co.kr
CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.