IT 보안 담당자와 엔지니어들 사이의 간극 심각해
망분리만이 최고? 심지어 제대로 망분리 된 곳도 드물어
[보안뉴스 문가용] 최신 소프트웨어 패치를 적용하는 핵 발전소는? 거의 없음. 해커를 막기 위해 외곽 경계에만 의존하는 핵 발전소는? 거의 대부분. IT 보안 부서와 IT 운영 부서가 사이 좋은 핵 발전소는? 거의 없음. 이게 우스갯소리일까? 최근 캐썸 하우스(Catham House)에서 발표한 연구 결과에 의하면 위와 같은 응답은 ‘사실’이다. 물론 여기엔 ‘핵 발전소 담당자들이 게으르고 해이하다’는 설명 외에 다른 것도 있긴 하다.
그냥 보안과 잘 안 맞는다
설문에 응한 핵 시설 종사자 중 한 사람은 “문제의 뿌리로 거슬러 올라가다보면 문화적인 측면 사회적인 측면, 기술적인 측면이 종합적으로 얽혀 있는 걸 알 수 있다”며 이를 한 마디로 요약했는데, “핵 시설에서 일하는 사람들이 대체로 IT 기술과 관련된 작업 하는 걸 극도로 싫어한”다는 것이었다. IT 기술을 익히는 게 문화적으로도 안 맞고, 정서적으로도 안 맞고, 기술적으로도 안 맞는 사람들이 많다는 것.
게다가 구조상 IT 보안 담당자들과 핵 시설 운영 엔지니어들의 영역이 겹치거나 서로의 임무가 상충하는 것도 한 몫 거들고 있다. 그러다보니 하나의 사안에 대해 전혀 반대의 생각을 하거나 같은 표현도 완전히 다르게 해석을 하는 일도 비일비재 하다는 것. 즉 소통에 심각한 문제가 있음이 발견되었다.
가장 근본적인 차이점은 ‘사고’의 정의와 그에 대응하는 방법에 있었다. 엔지니어들은 실제로 우연이나 실수로 벌어진 일들을 ‘사고’로 치며, 그에 대한 방지 및 대처법을 숙지하고 있는 반면 IT 보안 담당자들은 의도적으로 감행한 공격을 ‘사고’로 받아들여, 그에 대한 방지 및 대처법에 대한 전문가들이었다. 또, 엔지니어들은 예상되는 사고 및 벌어진 사고에 대한 분석을 그다지 심도 있게 다루지 않는데 반해 IT 보안 담당자들은 실제로 나타날지 아닐지도 모르는 상상 속 미지의 공격법에 대해서도 이마에 주름이 팰 정도로 심각하게 다루고 있었다.
좀 더 근본으로 파고들어가 보면 엔지니어들이 제일 걱정하는 건 물리적인 안전으로 정보보안에서 말하는 ‘안전’과도 사뭇 다른 점을 보였다. 사실 핵 시설만큼 안전이 강조되는 곳도 없다. 핵 시설의 안전 수칙들은 굉장히 두껍고, 미련할 정도로 철저하게 지켜진다. 그에 반해 사이버 보안에 대한 안전 수칙들은 얇고, 생경하며, 잘 지킨다 해도 ‘완벽’과는 거리가 멀다.
이번 연구에 참여한 미국 핵 시설 근무자(현재는 은퇴했음)는 이 차이점을 다음과 같이 표현한 바 있다. “예를 들어 x와 y 밸브를 열어야 할 때, 두 사람을 보내서 밸브를 열고 세 번째 사람을 보내서 확인을 합니다. 그런데 사이버 보안은 다르죠. 컴퓨터가 올바른 허브에 연결되어 있나 확인해야 하는데 그걸 제대로 확인할 사람이 없어요. 정확히 말하면 어떻게 확인해야 하는지 모르는 사람들이 대부분인 거죠. 그게 지금 핵 시설의 현황입니다. 가장 기본적인 것부터, 수칙 자체를 어떻게 해야 제대로 지키는지 모르는 사람들이 많습니다. 보안 담당자가 그걸 일일이 확인할 수도 없고요.”
문제가 그렇다고 기존 엔지니어들에게만 있는 것도 아니었다. “보안 담당자들 역시 핵 시설만의 특수한 점을 전혀 이해하지 못하고 있어요. 일례로 여기서는 교대로 근무하기 때문에 체력적인 요구사항이 꽤나 높은데 그 점을 힘들어하죠. 술 마시는 것에 대해서도 굉장히 엄격하고, 초과근무도 엄격하게 막고 있는데, 그런 점도 익숙하지 않은 듯 해보였습니다. 무엇보다 보안 담당자들이 만들어 놓은 사이버 보안 수칙이나 정책은 현실과 상당히 동떨어진 게 대부분이었습니다.”
설명이 이어졌다. “2년 전, 전 세계 상업 시설을 대상으로 하는, 아마도 가장 규모가 큰 종합 정보보안 평가를 외주 업체로서 참가한 적이 있습니다. 주요 대상은 바로 핵 시설이었고요. 그런데 대부분 시설물들에서 공통의 약점이 드러났는데요, 바로 미국 원자력규제위원회에서 만든 규정집에 나오지 않은 취약점들이 대거 존재하고 있었다는 겁니다. 즉 정책과 현실 사이에 상당히 큰 간극이 존재하고 있었다는 겁니다.”
한 마디로 이 상황을 정리하면 궁합이 최악이라는 것. 설문에 응한 프랑스의 참가자는(대형 국제 기업의 보안 책임자) “보안 담당자로서 시스템의 모든 요소를 완벽히 파악한 다음에 그에 맞는 보안 조치를 강구하는 건 기본 중의 기본”이라고 설명하며 “하지만 이는 커다란 약점을 내포하고 있는데, 바로 이미 과거에 그 요소들이 거쳐서 통과해왔던 기존의 보안 수칙이나 점검사항들을 무효화시킨다는 것”이라며 이미 오랜 시간 존재해온 시스템에 정보보안이 덧입혀져서 들어갈 때 생기는 문제점을 지적했다. “정보보안은 처음부터 고려되어야 하고, 설계단계에서부터 개입되어야 합니다.”
또한 가뜩이나 서로 말도 안 통하는데, 같이 부딪히고 대화를 나눌 기회도 없다는 게 문제를 더욱 악화시키고 있다는 사실도 드러났다. 한 참가자는 “사이버 전문가가 핵 시설에 상주하는 경우는 거의 없다고 알고 있습니다. 현장에는 없고 헤드쿼터나 원격 사무실에서 따로 근무하는 거죠. 전 사실 한 번도 보안 책임자들을 본 적이 없습니다. 한 100마일 떨어져 있는 어떤 대도시 본부에서 근무한다는 사실만 알고 있을 뿐.”
여기서 알 수 있는 건 뭔가를 물어보거나 확인할 수 있는 보안 담당자들이 현장에 있느냐 없느냐가 굉장히 중요하다는 것이다. 없으면 당연히 ‘생산성 위주’로 현장이 돌아가게 되어 있다. 먼 법보다 가까운 주먹이 무서운 법이니까. 사이버 보안의 가장 고질적인 문제 중 하나가 바로 이거다. 멀게 느껴진다는 것.
패치라는 난관
“패치도 큰 문제입니다. 어렵기도 하고 귀찮기도 하거든요. 아마 현장에서 패치 알아서 하는 사람은 거의 없을 겁니다.” 이번 설문에 참가한 한 캐나다 핵 시설 수석 기술관의 응답이다. “게다가 패치가 제대로 적용된다는 보장도 없고, 심지어 패치 자체가 현 시스템과 호환이 좋을 거라는 보장도 없습니다. 그런데 한 번 잘못되었을 때의 피해는 어마어마하고요. 온 도시의 전력이 걸린 문제라 여기선 실수가 용납이 안 됩니다. 모든 시스템 점검은 철저한 계산과 계획 아래 이루어지죠.”
그러나 정보보안 담당자들에게 이는 그저 커다란 핑계로밖에 보이지 않는다. 패치가 잘못되었을 때가 무섭다면 공격했을 때의 파장은 왜 무섭지 않냐는 것. “핵 발전소를 잠깐이라도 오프라인으로 만드는 공격자들은 그 시간동안 시스템을 바꾸거나 삭제하는 등 망가트리는 것도 가능하거든요.” SCADA를 비롯해 여러 산업 통제 시스템 전문가이면서 이번 설문에 참여한 한 전문가는 다음과 같이 설명한다.
“핵 시설과 같은 곳이 당하면 파급효과가 어마어마합니다. 핵 발전소가 갑자기 그리드에서 사라진다는 건 해당 그리드에 있는 기저부하 상당 부분이 사라진다는 소리이고, 이는 그리드 전체에 심각한 과부하를 초래합니다. 그런데 해커들이 핵 발전소 한 개 이상을 이런 식으로 공격했다면 그리드 전체에 심각한 타격이 생기죠. 즉 패치 잘못해서 핵 시설 하나 정전되는 것과 사이버 공격을 허용한 것은 파급효과에 있어서 비교가 불가할 정도입니다.”
더 심각한 건, 전통적으로 사용되었던 핵 시설용 소프트웨어 중 지금까지 소프트웨어 업데이트 등 지원이 되는 건 거의 남아있지 않다는 것이다. 이는 공격의 가능성을 더 높이는 현상이다.
방사능 사물인터넷
이번 연구를 통해 드러난 또 다른 취약점은 망분리에 관한 것이었다. 크게 세 가지로 나눌 수 있는데 1) 망분리를 맹목적으로 신뢰하는 것 2) 망분리가 안 되어 있는데도 되어 있다고 착각하는 것 3) 망분리 사용이 점점 줄어드는 것이다. 영국의 사이버 보안 전문가이자 이번 조사에 참가한 한 인물은 “핵 시설 관련 산업 종사자들이 흔히 하는 레퍼토리가 있는데, 바로 ‘우리 공장은 망분리가 잘 되어 있어서 걱정할 것이 없다’입니다”라고 말을 꺼냈다.
그러나 이는 어느 정도 ‘현실 부정’의 한 표현인 것처럼도 보인다. 프랑스의 사이버 보안 전문가 한 사람은 “보통 핵 시설의 담당자들은 해킹이 영화에서나 나오는 일이거나 고도로 발전한 강대국들끼리만 겪는 어려움이라고 여깁니다. ‘왜 우리를 해킹하겠어?’라는 반응을 보이는 사람들이 태반이기도 하고요”라고 자신의 경험을 전달했다. “컴퓨터에서 일어나는 일이랑 방사능이 유출되는 것이랑 전혀 별개의 사건이라고 생각해요. 방사능이 유출되고 있는 건 진짜 사고고 컴퓨터 조작 좀 한 건 웃어넘길 수 있는 것이라고 여기죠. 컴퓨터 좀 만진다고 방사능에 무슨 문제가 생기겠냐고 되묻는 사람도 많이 봤습니다.”
그렇기에 이런 엔지니어들이 가득한 핵 시설을 공격할 수 있는 가장 쉬운 방법은 멀웨어가 삽입된 USB를 사용하는 것이다. “USB 하나만 허용해도 망분리는 무용지물이 됩니다. 또한 아무도 예상치 못한 작은 네트워크가 하나 만들어지는 것이죠. 그리고 보통 핵 시설에 사용되고 있는 기기들에는 보안 소프트웨어가 설치되지 않았으므로 멀웨어가 자유롭게 자기 할 일을 할 수 있습니다. 쉽고 간단하죠.”
생각보다 USB의 활용을 통제하지 못하고 있는 핵 발전소는 많이 존재하고 있다고 이번 보고서는 증명한다. “어떤 국가에서는 핵 시설 근무자가 자기 개인 컴퓨터를 들고 와 업무를 보기도 합니다. 간단한 바이러스 검사만 통과하면 그 어떤 시스템도 자유롭게 사용할 수 있죠. 핵 관리 엄격하게 하는 미국에도 이런 시설이 꽤나 많습니다.” 컴퓨터를 활용한 통제 시스템에는 전력선통신(PLC)이 반드시 존재한다. 이 전력선통신에는 바이러스나 멀웨어를 심는 게 가능하다. “그렇기 때문에 엔지니어들이 보통은 가장 심각한 공격 통로가 됩니다. 특히나 개인용 랩탑이나 USB를 들고 오면 최악이죠. 이론상만 아니라 실제로도 이런 어이없는 경로를 통해 바이러스에 감염되는 시스템들이 많습니다.”
게다가 요즘엔 망분리조차 되어있지 않은 곳이 늘어나고 있다. 계약관계에 있는 외주업체가 외부에서 핵 시설 시스템에 접속할 수 있도록 해주면서 업무를 보기도 한다. 역시 공격의 또 다른 경로로 악용될 소지가 큰 행위다. 독일의 정보보안 전문가이면서 핵 시설과 다년 작업한 경험이 있는 참가자는 다음과 같은 경고의 말을 더했다.
“요즘은 원자로도 다 디지털화 되어 있죠. 당연히 그 원자로를 보호하는 시스템도요. 그런데 이걸 원격에서 제어할 수 있도록 하면 해커가 언제고 들어와서 원자로를 제어할 수 있게 되는 겁니다. 이러면 핵 발전소를 아예 멈추게 할 수도 있고 심지어 폐쇄까지 이르게 할 수도 있습니다. 핵 발전소를 바깥에서 조정하게 허용하는 게 비상식적인 일 같죠? 그런데 꽤나 많은 곳에서 업무의 편의를 위해 이렇게 하고 있습니다. 결국 상당히 많은 핵 시설이 ‘해커들이 원격 조정 가능 여부를 알아채지 않기를 바라’는 희망 위에서 운영 중에 있다고 볼 수 있죠.”
쇼단(Shodan)처럼 산업 부문에 전문성을 가진 특수 검색 엔진이 발전하고 있다는 것도 위와 같은 시설들을 더욱 위협하고 있다. 한 참가자에 의하면 쇼단으로 검색하면 프랑스 전체의 핵 시설 중 인터넷에 연결되어 있는 곳과 그렇지 않은 곳을 알아낼 수 있다고 한다.
이와 같은 상황을 파악도 못하고 있는 관계자가 많다는 것도 심각하다. 대부분 엔지니어들은 ‘우리 공장은 망분리가 되어 있다’고 믿고 있다는 것. “설사 초기 단계에는 시설이나 시설물 전체가 망분리 되어 있다고 한들, 시간이 지나면서 교체 부품이 필연적으로 발생하고 요즘 같은 때에는 부품들에 와이파이나 GPS 기능이 들어있는 것도 많아서 100% 순수하게 망분리가 잘 구현되어 있다고 장담할 수 있는 시설은 사실상 없다고 봐야 합니다.” 또, 외주업체가 아니더라도 핵 시설을 관리하는 본사의 네트워크를 통해 들어오는 공격도 무시할 수가 없는 것이 현대의 업무 환경이 초래하는 위험 중 한 가지다.
위협 지형도의 변화
이런 모든 것에 더해 사이버 범죄자들이 사용할 수 있는 도구들도 광범위해지고 있다. 위에서 언급한 쇼단도 그렇고, 한때 ‘외계에서 온 것 아니냐’고 했던 스턱스넷(Stuxnet)의 요소들도 요즘은 해커들 사이에 널리 퍼져 있다. 익스플로잇 킷도 발전하고 있으며 제로데이 및 여타 취약점들을 사고파는 회색 시장도 활성화되어 있어서 해킹 자체가 쉬워지고 있다.
또한 범죄의 동기 역시 확연하게 나뉘고 있는 상황이라 사이버 범죄에 대처한다는 것이 일종의 ‘모 아니면 도의 선택’이 되어가고 있다. 즉 국가가 후원해주는 사이버전 부대가 하는 공격이면 시스템의 파괴 및 데이터의 유실/유출을 염려해야 하고, 민간 핵티비스트라면 피해자의 얼굴에 먹칠을 하는 것이 주요 목적이라 전혀 다른 대처를 해야 한다는 건데, 이 두 종류의 공격은 결과만 확연히 다를 뿐 시작이나 과정은 유사할 때가 많다.
이런 점에 대해 영국에서 온 설문 참가자는 다음과 같이 말했다. “극단주의자들 혹은 핵티비스트들의 위협도 무시할 수 없습니다. 무시할 수 없는 정도가 아니라 적국의 사이버전 부대가 하는 파괴행위와 비슷한 수준이라고 간주해야 합니다. 결국 네트워크에 침투한다는 건 동일하고, 그 뒤의 일들은 해커가 공격에 얼마큼 시간과 돈을 투자하냐에 따라 갈릴 뿐이거든요. 또한 요즘 핵과 관련된 일을 한 나라에서 독자적으로 진행하기가 사실상 불가능합니다. 핵 산업은 세계의 참견과 감시, 협조를 받아야만 가능하죠. 즉 글로벌한 네트워크가 자연스럽게 형성되어 있다는 건데, 그렇기 때문에 공격의 경로와 위장법이 훨씬 다양해지기도 했습니다.”
그러면 어떻게 할까요?
“누구나 말하는 게 하나 있어요. ‘사고 터지면 그때 얘기합시다.’ 그런데 신문만 봐도 사고 소식이 한두 가지가 아니잖아요? 핵 시설에서 터진 사이버 공격만 해도 아마 50회가 넘을 거예요. 자기들 일이 아니라는 거죠. 자기만은 다르다고 믿는 겁니다. 심지어 언론들도 핵 시설에서 일어난 해킹 사건에 대해 쉬쉬할 때가 많죠.”
50이란 숫자가 정확하지 않더라도 핵 시설에서 일어난 사고가 전부 보도되지 않는다는 건 대부분 국가들에서 사실인 것으로 보인다. 또한 제보자들도 대부분 ‘익명’으로 처리되기를 희망하는 경우가 많다. 이번 설문에 참여한 사람들 대부분은 산업 통제 시스템의 CERT를 국가가 개설해야 한다고 주장했으며, 개발도상국의 경우 선진국의 도움을 받아야 한다고 했다. 위에서도 나왔지만 핵 시설과 관련된 문제는 한 나라나 지역에만 국한된 문제가 아니라는 것.
또, 보안 담당자와 엔지니어들의 관계를 개선하기 위해서는 회사 혹은 본부 차원에서 서로의 업무에 대해 파악할 수 있는 프로그램을 개발해야 한다는 의견이 가장 많았다. 엔지니어들에겐 적절한 보안 교육과 보안 담당자들에겐 핵 시설에 대한 보다 정확한 이해를 도모해야 한다는 것. 그밖에 강화하거나 도입할 것으로는 암호화, 가시성, 화이트리스팅 기술, 침입 자동 탐지 시스템, 공급망 혹은 외주업체망의 감시 및 관리였다.
핵 시설만의 문제일까?
그래서 핵 시설에서 발생하는 문제들의 본질을 정리하자면 다음과 같다.
1) 전통과 현대의 가치/기술/개념의 충돌
2) 소통의 곤란으로 인한 불필요한 취약점 발생
3) 연결성 확대에 따른 취약점 발생
4) 취약점 발생 속도를 못 따라잡는 보안
이 문제가 과연 핵 시설에만 있는 걸까? 이야기를 더 넓혀, 이것이 정보보안 분야에만 존재하는 걸까? 핵 시설이 유독 큰 위험을 내포하고 있어서 드러나고 논란이 되는 것일뿐 사물인터넷 시대가 오면 드러날 여기저기서 터질 확률이 높은 문제들이기도 하다. ‘남의 문제이고, 나는 달라’라든가 ‘망분리 하나면 끝’이라고 믿어버리는 태도며, 보안을 ‘처음 설계 단계에서부터 고려하지 않고 추가로 덧입히는 것의 한계점’ 또한 이번 조사를 통해 드러난 것이었다. 역시나, 보안 관련 기사나 칼럼에서 보던 점들이다.
한 참가자의 말이 인상적이다. “문제는 새롭지 않습니다. 나타나는 지점만 다를 뿐이죠. 어디나, 어느 분야나, 어느 시대나 항상 그렇습니다. 해결의 기회가 계속해서 주어지고 있는 거라고 볼 수도 있는데, 그 기회가 계속해서 주어질 것인지는 미지수죠. 그 기회가 끊어질까봐 걱정입니다. 그리고 그것이 끊어진다면, 저희 손으로 끊은 것이 되겠죠.”
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
망분리만이 최고? 심지어 제대로 망분리 된 곳도 드물어
[보안뉴스 문가용] 최신 소프트웨어 패치를 적용하는 핵 발전소는? 거의 없음. 해커를 막기 위해 외곽 경계에만 의존하는 핵 발전소는? 거의 대부분. IT 보안 부서와 IT 운영 부서가 사이 좋은 핵 발전소는? 거의 없음. 이게 우스갯소리일까? 최근 캐썸 하우스(Catham House)에서 발표한 연구 결과에 의하면 위와 같은 응답은 ‘사실’이다. 물론 여기엔 ‘핵 발전소 담당자들이 게으르고 해이하다’는 설명 외에 다른 것도 있긴 하다.
그냥 보안과 잘 안 맞는다
설문에 응한 핵 시설 종사자 중 한 사람은 “문제의 뿌리로 거슬러 올라가다보면 문화적인 측면 사회적인 측면, 기술적인 측면이 종합적으로 얽혀 있는 걸 알 수 있다”며 이를 한 마디로 요약했는데, “핵 시설에서 일하는 사람들이 대체로 IT 기술과 관련된 작업 하는 걸 극도로 싫어한”다는 것이었다. IT 기술을 익히는 게 문화적으로도 안 맞고, 정서적으로도 안 맞고, 기술적으로도 안 맞는 사람들이 많다는 것.
게다가 구조상 IT 보안 담당자들과 핵 시설 운영 엔지니어들의 영역이 겹치거나 서로의 임무가 상충하는 것도 한 몫 거들고 있다. 그러다보니 하나의 사안에 대해 전혀 반대의 생각을 하거나 같은 표현도 완전히 다르게 해석을 하는 일도 비일비재 하다는 것. 즉 소통에 심각한 문제가 있음이 발견되었다.
가장 근본적인 차이점은 ‘사고’의 정의와 그에 대응하는 방법에 있었다. 엔지니어들은 실제로 우연이나 실수로 벌어진 일들을 ‘사고’로 치며, 그에 대한 방지 및 대처법을 숙지하고 있는 반면 IT 보안 담당자들은 의도적으로 감행한 공격을 ‘사고’로 받아들여, 그에 대한 방지 및 대처법에 대한 전문가들이었다. 또, 엔지니어들은 예상되는 사고 및 벌어진 사고에 대한 분석을 그다지 심도 있게 다루지 않는데 반해 IT 보안 담당자들은 실제로 나타날지 아닐지도 모르는 상상 속 미지의 공격법에 대해서도 이마에 주름이 팰 정도로 심각하게 다루고 있었다.
좀 더 근본으로 파고들어가 보면 엔지니어들이 제일 걱정하는 건 물리적인 안전으로 정보보안에서 말하는 ‘안전’과도 사뭇 다른 점을 보였다. 사실 핵 시설만큼 안전이 강조되는 곳도 없다. 핵 시설의 안전 수칙들은 굉장히 두껍고, 미련할 정도로 철저하게 지켜진다. 그에 반해 사이버 보안에 대한 안전 수칙들은 얇고, 생경하며, 잘 지킨다 해도 ‘완벽’과는 거리가 멀다.
이번 연구에 참여한 미국 핵 시설 근무자(현재는 은퇴했음)는 이 차이점을 다음과 같이 표현한 바 있다. “예를 들어 x와 y 밸브를 열어야 할 때, 두 사람을 보내서 밸브를 열고 세 번째 사람을 보내서 확인을 합니다. 그런데 사이버 보안은 다르죠. 컴퓨터가 올바른 허브에 연결되어 있나 확인해야 하는데 그걸 제대로 확인할 사람이 없어요. 정확히 말하면 어떻게 확인해야 하는지 모르는 사람들이 대부분인 거죠. 그게 지금 핵 시설의 현황입니다. 가장 기본적인 것부터, 수칙 자체를 어떻게 해야 제대로 지키는지 모르는 사람들이 많습니다. 보안 담당자가 그걸 일일이 확인할 수도 없고요.”
문제가 그렇다고 기존 엔지니어들에게만 있는 것도 아니었다. “보안 담당자들 역시 핵 시설만의 특수한 점을 전혀 이해하지 못하고 있어요. 일례로 여기서는 교대로 근무하기 때문에 체력적인 요구사항이 꽤나 높은데 그 점을 힘들어하죠. 술 마시는 것에 대해서도 굉장히 엄격하고, 초과근무도 엄격하게 막고 있는데, 그런 점도 익숙하지 않은 듯 해보였습니다. 무엇보다 보안 담당자들이 만들어 놓은 사이버 보안 수칙이나 정책은 현실과 상당히 동떨어진 게 대부분이었습니다.”
설명이 이어졌다. “2년 전, 전 세계 상업 시설을 대상으로 하는, 아마도 가장 규모가 큰 종합 정보보안 평가를 외주 업체로서 참가한 적이 있습니다. 주요 대상은 바로 핵 시설이었고요. 그런데 대부분 시설물들에서 공통의 약점이 드러났는데요, 바로 미국 원자력규제위원회에서 만든 규정집에 나오지 않은 취약점들이 대거 존재하고 있었다는 겁니다. 즉 정책과 현실 사이에 상당히 큰 간극이 존재하고 있었다는 겁니다.”
한 마디로 이 상황을 정리하면 궁합이 최악이라는 것. 설문에 응한 프랑스의 참가자는(대형 국제 기업의 보안 책임자) “보안 담당자로서 시스템의 모든 요소를 완벽히 파악한 다음에 그에 맞는 보안 조치를 강구하는 건 기본 중의 기본”이라고 설명하며 “하지만 이는 커다란 약점을 내포하고 있는데, 바로 이미 과거에 그 요소들이 거쳐서 통과해왔던 기존의 보안 수칙이나 점검사항들을 무효화시킨다는 것”이라며 이미 오랜 시간 존재해온 시스템에 정보보안이 덧입혀져서 들어갈 때 생기는 문제점을 지적했다. “정보보안은 처음부터 고려되어야 하고, 설계단계에서부터 개입되어야 합니다.”
또한 가뜩이나 서로 말도 안 통하는데, 같이 부딪히고 대화를 나눌 기회도 없다는 게 문제를 더욱 악화시키고 있다는 사실도 드러났다. 한 참가자는 “사이버 전문가가 핵 시설에 상주하는 경우는 거의 없다고 알고 있습니다. 현장에는 없고 헤드쿼터나 원격 사무실에서 따로 근무하는 거죠. 전 사실 한 번도 보안 책임자들을 본 적이 없습니다. 한 100마일 떨어져 있는 어떤 대도시 본부에서 근무한다는 사실만 알고 있을 뿐.”
여기서 알 수 있는 건 뭔가를 물어보거나 확인할 수 있는 보안 담당자들이 현장에 있느냐 없느냐가 굉장히 중요하다는 것이다. 없으면 당연히 ‘생산성 위주’로 현장이 돌아가게 되어 있다. 먼 법보다 가까운 주먹이 무서운 법이니까. 사이버 보안의 가장 고질적인 문제 중 하나가 바로 이거다. 멀게 느껴진다는 것.
패치라는 난관
“패치도 큰 문제입니다. 어렵기도 하고 귀찮기도 하거든요. 아마 현장에서 패치 알아서 하는 사람은 거의 없을 겁니다.” 이번 설문에 참가한 한 캐나다 핵 시설 수석 기술관의 응답이다. “게다가 패치가 제대로 적용된다는 보장도 없고, 심지어 패치 자체가 현 시스템과 호환이 좋을 거라는 보장도 없습니다. 그런데 한 번 잘못되었을 때의 피해는 어마어마하고요. 온 도시의 전력이 걸린 문제라 여기선 실수가 용납이 안 됩니다. 모든 시스템 점검은 철저한 계산과 계획 아래 이루어지죠.”
그러나 정보보안 담당자들에게 이는 그저 커다란 핑계로밖에 보이지 않는다. 패치가 잘못되었을 때가 무섭다면 공격했을 때의 파장은 왜 무섭지 않냐는 것. “핵 발전소를 잠깐이라도 오프라인으로 만드는 공격자들은 그 시간동안 시스템을 바꾸거나 삭제하는 등 망가트리는 것도 가능하거든요.” SCADA를 비롯해 여러 산업 통제 시스템 전문가이면서 이번 설문에 참여한 한 전문가는 다음과 같이 설명한다.
“핵 시설과 같은 곳이 당하면 파급효과가 어마어마합니다. 핵 발전소가 갑자기 그리드에서 사라진다는 건 해당 그리드에 있는 기저부하 상당 부분이 사라진다는 소리이고, 이는 그리드 전체에 심각한 과부하를 초래합니다. 그런데 해커들이 핵 발전소 한 개 이상을 이런 식으로 공격했다면 그리드 전체에 심각한 타격이 생기죠. 즉 패치 잘못해서 핵 시설 하나 정전되는 것과 사이버 공격을 허용한 것은 파급효과에 있어서 비교가 불가할 정도입니다.”
더 심각한 건, 전통적으로 사용되었던 핵 시설용 소프트웨어 중 지금까지 소프트웨어 업데이트 등 지원이 되는 건 거의 남아있지 않다는 것이다. 이는 공격의 가능성을 더 높이는 현상이다.
방사능 사물인터넷
이번 연구를 통해 드러난 또 다른 취약점은 망분리에 관한 것이었다. 크게 세 가지로 나눌 수 있는데 1) 망분리를 맹목적으로 신뢰하는 것 2) 망분리가 안 되어 있는데도 되어 있다고 착각하는 것 3) 망분리 사용이 점점 줄어드는 것이다. 영국의 사이버 보안 전문가이자 이번 조사에 참가한 한 인물은 “핵 시설 관련 산업 종사자들이 흔히 하는 레퍼토리가 있는데, 바로 ‘우리 공장은 망분리가 잘 되어 있어서 걱정할 것이 없다’입니다”라고 말을 꺼냈다.
그러나 이는 어느 정도 ‘현실 부정’의 한 표현인 것처럼도 보인다. 프랑스의 사이버 보안 전문가 한 사람은 “보통 핵 시설의 담당자들은 해킹이 영화에서나 나오는 일이거나 고도로 발전한 강대국들끼리만 겪는 어려움이라고 여깁니다. ‘왜 우리를 해킹하겠어?’라는 반응을 보이는 사람들이 태반이기도 하고요”라고 자신의 경험을 전달했다. “컴퓨터에서 일어나는 일이랑 방사능이 유출되는 것이랑 전혀 별개의 사건이라고 생각해요. 방사능이 유출되고 있는 건 진짜 사고고 컴퓨터 조작 좀 한 건 웃어넘길 수 있는 것이라고 여기죠. 컴퓨터 좀 만진다고 방사능에 무슨 문제가 생기겠냐고 되묻는 사람도 많이 봤습니다.”
그렇기에 이런 엔지니어들이 가득한 핵 시설을 공격할 수 있는 가장 쉬운 방법은 멀웨어가 삽입된 USB를 사용하는 것이다. “USB 하나만 허용해도 망분리는 무용지물이 됩니다. 또한 아무도 예상치 못한 작은 네트워크가 하나 만들어지는 것이죠. 그리고 보통 핵 시설에 사용되고 있는 기기들에는 보안 소프트웨어가 설치되지 않았으므로 멀웨어가 자유롭게 자기 할 일을 할 수 있습니다. 쉽고 간단하죠.”
생각보다 USB의 활용을 통제하지 못하고 있는 핵 발전소는 많이 존재하고 있다고 이번 보고서는 증명한다. “어떤 국가에서는 핵 시설 근무자가 자기 개인 컴퓨터를 들고 와 업무를 보기도 합니다. 간단한 바이러스 검사만 통과하면 그 어떤 시스템도 자유롭게 사용할 수 있죠. 핵 관리 엄격하게 하는 미국에도 이런 시설이 꽤나 많습니다.” 컴퓨터를 활용한 통제 시스템에는 전력선통신(PLC)이 반드시 존재한다. 이 전력선통신에는 바이러스나 멀웨어를 심는 게 가능하다. “그렇기 때문에 엔지니어들이 보통은 가장 심각한 공격 통로가 됩니다. 특히나 개인용 랩탑이나 USB를 들고 오면 최악이죠. 이론상만 아니라 실제로도 이런 어이없는 경로를 통해 바이러스에 감염되는 시스템들이 많습니다.”
게다가 요즘엔 망분리조차 되어있지 않은 곳이 늘어나고 있다. 계약관계에 있는 외주업체가 외부에서 핵 시설 시스템에 접속할 수 있도록 해주면서 업무를 보기도 한다. 역시 공격의 또 다른 경로로 악용될 소지가 큰 행위다. 독일의 정보보안 전문가이면서 핵 시설과 다년 작업한 경험이 있는 참가자는 다음과 같은 경고의 말을 더했다.
“요즘은 원자로도 다 디지털화 되어 있죠. 당연히 그 원자로를 보호하는 시스템도요. 그런데 이걸 원격에서 제어할 수 있도록 하면 해커가 언제고 들어와서 원자로를 제어할 수 있게 되는 겁니다. 이러면 핵 발전소를 아예 멈추게 할 수도 있고 심지어 폐쇄까지 이르게 할 수도 있습니다. 핵 발전소를 바깥에서 조정하게 허용하는 게 비상식적인 일 같죠? 그런데 꽤나 많은 곳에서 업무의 편의를 위해 이렇게 하고 있습니다. 결국 상당히 많은 핵 시설이 ‘해커들이 원격 조정 가능 여부를 알아채지 않기를 바라’는 희망 위에서 운영 중에 있다고 볼 수 있죠.”
쇼단(Shodan)처럼 산업 부문에 전문성을 가진 특수 검색 엔진이 발전하고 있다는 것도 위와 같은 시설들을 더욱 위협하고 있다. 한 참가자에 의하면 쇼단으로 검색하면 프랑스 전체의 핵 시설 중 인터넷에 연결되어 있는 곳과 그렇지 않은 곳을 알아낼 수 있다고 한다.
이와 같은 상황을 파악도 못하고 있는 관계자가 많다는 것도 심각하다. 대부분 엔지니어들은 ‘우리 공장은 망분리가 되어 있다’고 믿고 있다는 것. “설사 초기 단계에는 시설이나 시설물 전체가 망분리 되어 있다고 한들, 시간이 지나면서 교체 부품이 필연적으로 발생하고 요즘 같은 때에는 부품들에 와이파이나 GPS 기능이 들어있는 것도 많아서 100% 순수하게 망분리가 잘 구현되어 있다고 장담할 수 있는 시설은 사실상 없다고 봐야 합니다.” 또, 외주업체가 아니더라도 핵 시설을 관리하는 본사의 네트워크를 통해 들어오는 공격도 무시할 수가 없는 것이 현대의 업무 환경이 초래하는 위험 중 한 가지다.
위협 지형도의 변화
이런 모든 것에 더해 사이버 범죄자들이 사용할 수 있는 도구들도 광범위해지고 있다. 위에서 언급한 쇼단도 그렇고, 한때 ‘외계에서 온 것 아니냐’고 했던 스턱스넷(Stuxnet)의 요소들도 요즘은 해커들 사이에 널리 퍼져 있다. 익스플로잇 킷도 발전하고 있으며 제로데이 및 여타 취약점들을 사고파는 회색 시장도 활성화되어 있어서 해킹 자체가 쉬워지고 있다.
또한 범죄의 동기 역시 확연하게 나뉘고 있는 상황이라 사이버 범죄에 대처한다는 것이 일종의 ‘모 아니면 도의 선택’이 되어가고 있다. 즉 국가가 후원해주는 사이버전 부대가 하는 공격이면 시스템의 파괴 및 데이터의 유실/유출을 염려해야 하고, 민간 핵티비스트라면 피해자의 얼굴에 먹칠을 하는 것이 주요 목적이라 전혀 다른 대처를 해야 한다는 건데, 이 두 종류의 공격은 결과만 확연히 다를 뿐 시작이나 과정은 유사할 때가 많다.
이런 점에 대해 영국에서 온 설문 참가자는 다음과 같이 말했다. “극단주의자들 혹은 핵티비스트들의 위협도 무시할 수 없습니다. 무시할 수 없는 정도가 아니라 적국의 사이버전 부대가 하는 파괴행위와 비슷한 수준이라고 간주해야 합니다. 결국 네트워크에 침투한다는 건 동일하고, 그 뒤의 일들은 해커가 공격에 얼마큼 시간과 돈을 투자하냐에 따라 갈릴 뿐이거든요. 또한 요즘 핵과 관련된 일을 한 나라에서 독자적으로 진행하기가 사실상 불가능합니다. 핵 산업은 세계의 참견과 감시, 협조를 받아야만 가능하죠. 즉 글로벌한 네트워크가 자연스럽게 형성되어 있다는 건데, 그렇기 때문에 공격의 경로와 위장법이 훨씬 다양해지기도 했습니다.”
그러면 어떻게 할까요?
“누구나 말하는 게 하나 있어요. ‘사고 터지면 그때 얘기합시다.’ 그런데 신문만 봐도 사고 소식이 한두 가지가 아니잖아요? 핵 시설에서 터진 사이버 공격만 해도 아마 50회가 넘을 거예요. 자기들 일이 아니라는 거죠. 자기만은 다르다고 믿는 겁니다. 심지어 언론들도 핵 시설에서 일어난 해킹 사건에 대해 쉬쉬할 때가 많죠.”
50이란 숫자가 정확하지 않더라도 핵 시설에서 일어난 사고가 전부 보도되지 않는다는 건 대부분 국가들에서 사실인 것으로 보인다. 또한 제보자들도 대부분 ‘익명’으로 처리되기를 희망하는 경우가 많다. 이번 설문에 참여한 사람들 대부분은 산업 통제 시스템의 CERT를 국가가 개설해야 한다고 주장했으며, 개발도상국의 경우 선진국의 도움을 받아야 한다고 했다. 위에서도 나왔지만 핵 시설과 관련된 문제는 한 나라나 지역에만 국한된 문제가 아니라는 것.
또, 보안 담당자와 엔지니어들의 관계를 개선하기 위해서는 회사 혹은 본부 차원에서 서로의 업무에 대해 파악할 수 있는 프로그램을 개발해야 한다는 의견이 가장 많았다. 엔지니어들에겐 적절한 보안 교육과 보안 담당자들에겐 핵 시설에 대한 보다 정확한 이해를 도모해야 한다는 것. 그밖에 강화하거나 도입할 것으로는 암호화, 가시성, 화이트리스팅 기술, 침입 자동 탐지 시스템, 공급망 혹은 외주업체망의 감시 및 관리였다.
핵 시설만의 문제일까?
그래서 핵 시설에서 발생하는 문제들의 본질을 정리하자면 다음과 같다.
1) 전통과 현대의 가치/기술/개념의 충돌
2) 소통의 곤란으로 인한 불필요한 취약점 발생
3) 연결성 확대에 따른 취약점 발생
4) 취약점 발생 속도를 못 따라잡는 보안
이 문제가 과연 핵 시설에만 있는 걸까? 이야기를 더 넓혀, 이것이 정보보안 분야에만 존재하는 걸까? 핵 시설이 유독 큰 위험을 내포하고 있어서 드러나고 논란이 되는 것일뿐 사물인터넷 시대가 오면 드러날 여기저기서 터질 확률이 높은 문제들이기도 하다. ‘남의 문제이고, 나는 달라’라든가 ‘망분리 하나면 끝’이라고 믿어버리는 태도며, 보안을 ‘처음 설계 단계에서부터 고려하지 않고 추가로 덧입히는 것의 한계점’ 또한 이번 조사를 통해 드러난 것이었다. 역시나, 보안 관련 기사나 칼럼에서 보던 점들이다.
한 참가자의 말이 인상적이다. “문제는 새롭지 않습니다. 나타나는 지점만 다를 뿐이죠. 어디나, 어느 분야나, 어느 시대나 항상 그렇습니다. 해결의 기회가 계속해서 주어지고 있는 거라고 볼 수도 있는데, 그 기회가 계속해서 주어질 것인지는 미지수죠. 그 기회가 끊어질까봐 걱정입니다. 그리고 그것이 끊어진다면, 저희 손으로 끊은 것이 되겠죠.”
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
