"국내외 해커, 국가 제어시스템 노린다"

#한때 미 국방부 소속 보안프로그래머였던 해커. 그는 자신이 수집한 국가 주요 시스템 정보를 바탕으로 미국 전역을 혼란에 빠트릴 계획을 세운다.

1단계 교통시스템 마비, 2단계 금융·통신 전산 장애, 3단계 가스·수도·전기·원자력 시스템 점령. 국가 기반 시설 제어시스템이 해커의 손아귀에 넘어가면서 미국은 그야말로 아수라장이 된다.

이는 지난 2007년 개봉돼 인기를 끌었던 미국 할리우드 영화 '다이하드 4.0'에 등장하는 내용이다. 최근 이 같은 영화 속 해킹 위협이 현실화되고 있다는 우려가 제기되고 있다.

16일 한국정보보호진흥원(원장 황중연)·한국정보보호학회(회장 김광조)가 한국과학기술회관에서 개최한 '제15회 정보통신망 정보보호워크숍(NETSEC-KR)'에서 국가 제어시스템(SCADA)에 대한 보안을 강화해야 한다는 지적이 나왔다.

서정택 국가보안기술연구소 사이버기술개발부 팀장은 "제어시스템은 국가기반 시설의 중추신경을 구성, 사이버 침해사고 발생 시 국가적 피해를 입을 수 있다"며 "최근 제어시스템의 운영정보에 대한 외부요구가 늘면서, 내부업무망과 인터넷망의 연동이 증가해 사이버 안전이 중요해지고 있다"고 말했다.

◆영화 내용 이미 '현실화'

제어시스템(SCADA)은 전력 생산, 댐 운영, 가스 생산, 수자원 관리, 원자력 발전 설비 등의 운영을 제어하고 관리하는 시스템이다. 국방, 항공, 교통, 전력 등 대부분의 국가 기반 시설은 이러한 제어시스템에 의해 관리되고 있다.

예를 들어 수력원자력 시설은 플랜트정보시스템, 소내방사선감시계통시스템, 터빈제어시스템 등에 의해 운영된다. 수자원공사는 실시간 물관리 시스템, 수도통합운영시스템을, 한국공항공사는 항공기 운항정보시스템, 수하물처리시스템 등을 갖추고 있다.

제어시스템은 일반 IT시스템과 달리 실시간 가동되고, 국가 기반시설 마비로 인한 사회적 혼란을 야기할 수 있어 보안이 더욱 중요한 상황이다.

하지만 백신, 패치 설치가 어렵고, 오작동과 유지보수 문제가 발생해 보안 위협이 증가하고 있다. 제어시스템을 노린 악성코드도 갈수록 지능화되고 있다.

◆미국, 국가기반시설 보안 강화 나서

최근 해커들은 이같은 취약점을 노리고 자신들의 활동 영역을 컴퓨터에서 제어시스템으로 넓히고 있다. 제어시스템 침투는 실력을 과시할 수 있는 수단이 될 뿐만 아니라 금전적인 이득을 노릴 수 있기 때문.

또 전력 공급 중단, 교통대란, 홍수 등 해당 국가에 막대한 피해를 입힐 수 있어 테러범죄나 국가간 사이버 전쟁에 악용되는 사례도 빈번히 발생하고 있다.

지난 8일 국내에서 개최된 국제해킹방어대회에 참석한 미국 유명 해커그룹 l@stplace팀 멤버는 최근 관심사에 대한 질문에 "제어시스템 보안 취약점과 이를 방어하기 위한 기법 등을 연구하고 있다"고 답한 바 있다.

실제 미국에서는 2007년 8월 전직 직원이 캘리포니아주의 운하 운영시스템에 악성프로그램을 설치, 관련 시스템이 마비됐다. 지난 3월에는 조지아주 원자력발전소에서 운영중인 시스템이 소프트웨어 업데이트 후 48시간 동안 가동 중지되는 사례가 발생했다.

이에 따라 최근 미국 오바마 정부는 국가 제어시스템에 대한 보안 강화를 전면 지시하고 나섰다. 지난 2월 미 국토안보부는 제어시스템 보안을 위한 정부·제조업체·운영기관간 협의체를 구성했으며, 각 정부기관은 제어시스템 보안을 위해 막대한 예산을 투입하고 있다.

서정택 팀장은 "제어시스템은 해킹, 웜, 바이러스, 사이버테러 등 다양한 보안 위협이 존재한다"며 "제어시스템 보안을 위한 법률·제도를 정비하는 등 사이버안전체계 구축에 나서야 한다"고 강조했다.