“명령어만 입력하면 미사일기지 쾅!”

해커 야니브 미론

해커 야니브 미론, 원전·군사시설 해킹 프로그램 공개
초보해커도 침투 가능…방어 불가능해 정부관계자도 경악

“방법은 없는 것인가?”

(한국) 정부 관계자는 물었다. 이스라엘의 ‘화이트해커’(정보보안 전문가) 야니브 미론은 웃었다. “총을 보여줬으니 그걸 막는 건 이제 한국 정부의 몫이다.”

정부 관계자는 다급했다. “프로그램을 우리에게 제공할 예정인가?” 미론은 “물론”이라고 짧게 답했다. 정부 관계자의 얼굴에 화색이 돌았다. “다만 (내가) 한국 땅을 뜬 다음, 내 홈페이지에.” 다시 분위기는 냉랭해졌다.

직접 침투로 순식간에 지하철 장악

테러리스트가 해킹을 통해 국내 발전시설을 조작해 마비시키고 군사시설을 장악해 위험에 빠트리는 일, 영화에서나 봤을 법한 시나리오다. 국가 기간시설 해킹은 영화 <다이하드 4>, 드라마 <24> 등 보수적 시각으로 테러의 위험을 강조하는 미국 드라마·영화가 흔히 쓰는 소재였다. 농협 해킹 사태 등을 겪으며 우리나라의 보수 언론뿐만 아니라 검찰도 해킹을 이용한 테러 가능성을 언급했다. 하지만 잘 들여다보면, 등장하는 사이버 테러는 ‘추정’에 불과했다.

지난 11월4일 열린 국제 해킹·보안 콘퍼런스 ‘POC(Power of Community) 2011’에서 그런 악몽이 추정이 아닌 현실로 존재할 수 있다는 주장이 제기됐다. 야니브 미론이 ‘SCADA(집중원격감시제어시스템) Dismal, or, Bang SCADA’라는 주제 발표를 하자 행사장이 술렁였다. 전날부터 그를 지켜보던 정부 관계자들이 미론에게 면담을 요청했다.

이전에도 국가 기간시설 관리 프로그램에 침입이 있긴 했다. 내부 직원들에게 보내는 전자우편 등으로 시스템에 악성코드를 심는 방법이 쓰였다. 이 방법은 악성코드의 제작과 침투에 최소 몇 달의 시간이 걸렸다. 또한 악성코드를 이용한 공격은 조직 내 보안관리 강화로 막을 수 있었다.

미론의 방법은 달랐다. 악성코드를 유포해 간접적으로 침투하는 방법이 아니라, 해커가 해킹 프로그램을 이용해 직접 파고드는 방법을 쓴다. 해킹 프로그램을 작동시키면 폭탄이 저수지 방벽에 균열을 가하듯 정부 시스템(이하 SCADA 시스템, 독일 지멘스사가 수출한 정부 전산망)의 취약점을 파고들어 수력과 원자력 등 발전설비, 지하철 등 교통 시스템, 미사일 등 군사 시스템을 순식간에 장악하는 것이다.

우려 섞인 기자의 질문에 미론은 “서둘러 대비한다면 아마도 OK”라며 웃는다. 그 ‘대비’는 미론이 한국을 떠난 뒤에 가능하다. 한국에서의 해킹 프로그램 공개는 불법이어서 노하우를 한국을 떠난 뒤 공개할 예정이다. 문제는 여기서부터다. ‘디즈멀’(Dismal)이라고 이름 붙인 이 프로그램은 노하우가 공개된 뒤 어느 누구나 사용이 가능해진다. 정부 관계자들이 아연실색한 이유다. 정부의 보안작업은 분초를 다툴 것이다. 프로그램 사용에 대해 미론은 “입력어를 넣는 수준, 초보 해커면 가능”하다고 말했다.

아이디, 패스워드 없이 해킹 가능

미론은 어떻게 공격 테스트를 해보았을까. 공격 테스트를 하려면 실제 시스템에 들어가야 하지만 그것은 불법이다. 그는 “실제 운용되는 것은 아니지만 SCADA 시스템이 들어 있는 프로그램으로 직접 테스트해본 경험이 있다”며 “(불법만 아니라면) 한국 시스템을 대상으로도 시연할 수 있다”고 했다.

해커가 해킹하는장면/한겨레21 정용일

장악 과정은 간단했다. SCADA 시스템의 프로토콜(프로그램 운영체계 규칙)은 ‘모드버스’라 불린다. 그 모드버스의 취약점을 이용한다. 침입 뒤 중앙을 통제하는 마스터 시스템과 하부 구조인 슬레이브 시스템을 동시에 손에 넣는다. 미론의 계속되는 설명에 정부 관계자들은 당황하기 시작했다.

2009년 이라크 원전이 ‘스턱스넷(Stuxnet) 웜’이라는 악성코드에 감염돼 쓸모없게 된 뒤, 지난해부터 정부 차원에서 대책반을 꾸려 해킹에 대비해왔다. 1년여 동안 미론의 해킹 방법은 고려 대상도 아니었다. 지금까지 SCADA 시스템의 보안은 직접 공격이 불가능하다고 알려져 있었기 때문이다. 외부와 차단돼 있어 해킹 대상이 애초부터 아니라는 게 그 근거였다. 미론은 “노”라고 말했다. 실제 기관 내 관리자들은 일반 PC로 SCADA 시스템을 연결해 사용하기 때문이다. 그 일반 PC의 인터넷이 해킹의 통로가 된다.

인터넷을 사용하지 않으면 되는 것 아닐까. 아니다. 정부의 시스템 가운데 24시간 운용돼야 하는 곳(군사, 핵발전 시설 등)은 인터넷을 이용해 수시로 시스템을 업그레이드해야 한다. 게다가 기존 시스템에 보안 시스템을 추가하기도 힘들다. 일반적으로 보안 프로그램을 설치하려면 리부팅(켜고 끄기)을 해야 하는데, 설비를 멈추고 다시 시작한다는 게 간단치 않은 작업이다. 전력설비의 경우 대규모 정전도 문제지만, 냉각 기능이 중요한 발전설비에서 제어 시스템 가동이 순간적으로 멈춘다면 어떤 위험이 발생할지 장담할 수 없다. 군사시설도 마찬가지다.

발사되는 공군 호크미사일. 해커는 해킹 프로그램을 통해 미사일기지를 순식간에 장악할 수 있다.

현재까지 알려진 이론상으로는 미론의 공격 프로그램이 사용되면 한국 정부의 보안 수준에서는 이를 막을 수 없다. 실제 어떤 피해가 있을까. 미론은 “수력발전소에서 통제하는 송수관이 3ℓ를 전송할 수 있다고 가정하자. 디즈멀을 이용해 악의적인 명령을 내려 6ℓ까지 송수량을 늘리면 쾅!(Bang!)”이라며 “원자력발전의 핵분열을 통제하는 것도, 군사기지의 미사일을 제어하는 것도 어려운 일이 아니다”라고 설명했다. 정부 관계자들을 놀라게 한 사실은 그 장악 과정에서 아이디와 패스워드 등 인증 절차가 필요하지 않다는 것이다. 해킹에 필요한 시간도 패킷 전송 시간 정도다. 눈 깜빡할 사이다.

불가능에 가까운 대응법

대응법을 물었다. 미론은 우선 SCADA 시스템과 인터넷망을 분리하라고 했다. 또한 아이디·패스워드로 인증 시스템을 도입하고 암호화하라고 권고했다. 하지만 이 방법들은 앞서 말한 대로 ‘불가능에 가까운 작전’이다. 다시 물었다. “결국 시민들이 교통·전기 등 시스템의 불편을 감수해서 정부의 보안 재구축 과정에 동의를 해줘야 한다. 그렇지 않으면 불가능하다.”

하어영 기자haha@hani.co.kr