사이버 위협으로 원자력발전소에 빨간등 켜졌다

국내 원자력 관련 시설도 언제 터질지 모르는 사이버 공격의 뇌관으로 떠올랐다. 실제 공격이 성공할 경우 단순한 PC 파괴나 인터넷 망 마비를 넘어 국가 전력망을 마비시킬 수 있어 대책 마련이 시급하다. 전력공급 중단과 방사선 누출 등 엄청난 사회 혼란을 초래할 수 있다.

11월 말부터 원전과 국방, 외교 기관을 노린 지능형지속위협(APT) 공격이 감지되더니 한국수력원자력 내부 문서가 유출되며 위협이 현실로 나타났다. 보안전문가들은 "최근 지난해 3·20 사이버테러 때 쓰인 악성코드를 비롯해 같은 명령&제어(C&C) 서버를 쓰는 공격이 지속적으로 감지됐다"며 "방송국이나 금융권을 노린 과거와 달리 국가주요기반시설을 타깃을 하고 있어 긴장감이 높다"고 입을 모은다.

◇원전 노린 공격 현실로

원자력 발전소 등 전력 시설을 노린 사이버 테러는 국내는 물론 해외에서도 급증세다. 보안업계는 11월말 원자력발전소 등 국내 주요기반시설을 노린 사이버테러 징후를 포착하고 긴급 대응했다. 이번에 발견된 한수원 문건이 당시 악성코드에 감염된 PC에서 유출됐을 가능성도 배제할 수 없다. 한수원은 18일 전자신문이 사실 확인에 들어가자 중앙지방검찰청에 피해 사실을 신고하고 유출경위 파악에 들어갔다.

최근 공격자는 한수원 등 주요 발전시설 안전 담당자에게 '제어 프로그램'이란 제목의 한글 파일을 보냈다. 전문가 분석결과 관련 한글 문서 파일에는 각종 정보를 빼돌리는 백도어 외에 주요 확장자 파일과 마스터부트리코드(MBR) 등을 손상시켜 PC를 무용지물로 만드는 기능이 포함됐다. 공격자는 블로그에 당시 유포한 악성코드가 1만6000여개에 달하며 1차 공격은 하드디스크드라비으 파괴 몇 개로 끝났지만 2차는 제어시스템 파괴라고 써놨다.

◇폐쇄망 과연 100% 안전한가

한수원 관계자는 줄곧 "원전은 인터넷과 완벽히 분리된 폐쇄 망에서 운영돼 사이버 테러 공격에 안전하다"는 입장을 고수해왔다. 하지만 보안 전문가들은 완벽한 망 분리에 대한 맹신이 오히려 사고를 부른다고 강조한다.

김용대 KAIST 교수는 "인터넷에서 검색만 해도 국내 어떤 전력망과 제어시스템이 보안에 취약한지 알 수 있다"며 "폐쇄망에서 운영되는 제어시스템이 쇼단(Shodan)에서 검색되는 것은 인터넷에 연결됐다는 증거"라고 말했다. '쇼단'은 제어시스템은 물론이고 웹캠과 CCTV, 홈오토메이션 등 인터넷에 연결된 기기를 찾아주는 검색엔진이다.

한 보안 전문가는 "이란 스턱스넷과 일본 몬주 발전소 사고처럼 원전 제어시스템이 외부와 완전히 분리된 망에 있다는 건 착각"이라며 "글로벌 제어시스템 공급사가 노후화한 프로그램을 업데이트하려고 인터넷망에 연결한다"고 설명했다. 그동안 원자력 시설은 제어망은 인터넷과 격리되고 잘 알려지지 않은 프로토콜과 시스템을 사용해 안전하다고 주장했다. 하지만, 최근 원전 계측제어시스템은 디지털로 전환했고 각종 업데이트 때 인터넷망을 이용하거나 USB로 패치한다. 계측제어시스템을 노리는 타깃 공격도 증가했다.

김인순기자 insoon@etnews.com