이석원 기자
북미신뢰도위원회 NERC(North American Electric Reliability Corporation)가 2019년 봄에 기록된 전력망을 이용한 사이버 공격에 대해 미국에서 일어난 전력망에 대한 첫 사이버 공격이라고 보고했다.
지난 3월 5일 미국 전력망을 이용해 누군가가 수행한 사이버 공격은 전력 관리 센터에 낮은 수준 영향을 미쳤다. NERC는 미국 서버 전력 관리 센터와 일부 소규모 발전소에서 정전이 발생했다고 설명했다. 사이버 공격은 현장 수준에서 혼란이 발생하지만 전력망 자체에 큰 영향을 준 건 아니다. 하지만 이 사이버 공격은 미국 전력망에 실행된 첫 번째 파괴적인 사이버 공격이라는 점에서 주목을 끌었다.
외신에 따르면 이번 전력망에 대한 사이버 공격은 미국 전력 기업이 전력 공급에 중요한 제어 네트워크의 디지털화를 확대하면서 사이버 공격에 노출될 위험이 증가하고 있다는 걸 보여준다고 지적한다. NERC는 보고서에서 인터넷에 연결하는 장치는 가능하면 적게 한다는 앞으로의 대책에 대해서도 기술하고 있다.
전력망에 대한 사이버 공격이 이뤄지기 2개월 전 미국국가정보국 관계자는 러시아 해커가 2015년과 2016년 우크라이나 전력 기업에서 일어난 사이버 공격과 같은 식으로 적어도 몇 시간 동안 미국 전력을 차단해 25만 명에게 영향을 미칠 수 있다고 경고했다고 밝히기도 했다. 이후 미국에선 전력망에 대한 사이버 공격에 대비해 전력 인프라 제어를 수동으로 전환하는 법안이 통과됐다.
우크라이나 전력망에 대한 사이버 공격에는 크래시오버라이드(CrashOverRide)라는 악성코드가 이용됐다. 하지만 미국에서 감지된 사이버 공격은 훨씬 단순하고 위험성이 낮은 것이라고 한다. 미국 전력망에 실행된 사이버 공격은 비공개 유틸리티에서 쓰이는 박화벽 포털 사이트에 대한 공격으로 인해 발생한 부산물로 추정된다고 한다. 이 포털 사이트는 캘리포니아와 유타, 와이오밍 전력망 일부가 이어지고 있지만 해커가 이를 모르고 포털 사이트를 공격했을 가능성이 있다는 것이다.
공격에선 포털 사이트에 인증되지 않은 공격자가 방화벽을 반복적으로 다시 시작하고 사실상 장애에 빠뜨렸다. 이 방화벽은 발전소와 공식사업인 전력 관리 센터 사이를 흐르는 데이터를 감시하는 역할을 하고 있었기 때문에 재부팅할 때마다 전력 관리 센터와 발전소 연결을 끊어버렸다.
한 전문가는 지금까지 미국 전력망이 공격 표적이 됐다는 증거는 존재하지 않는다면서 이번에 감지한 사이버 공격은 아마도 취약한 단말이나 미숙한 스크립트를 찾아 인터넷을 검색하는 봇의 소행인 것으로 보인다고 밝혔다.
봇 소행이고 피해가 소규모였더라도 이번 사이버 공격이 미국 정부의 주목을 받은 것에는 변함이 없다. 실제로 여러 발전소와 전력 관리 센터에서 5분 가량 정전이 발생했고 전력 사업자는 어둠 속에서 복구 작업을 해야 했다. 전국 단위 정전을 일으킬 시간은 아니지만 일반 운용에 지장을 초래한 건 분명하다.
또 NERC와 미국 에너지부, 미국연방에너지규제위원회 등은 지난 3월 5일 발생한 사이버 공격과 관련한 공공사업과 자세한 내용을 밝히기를 거부했다. 이유는 전력망 안정성을 위협할 수 있기 때문이다. 미국 정부 규칙은 전력 기업은 주요 전력 관리 센터에서 30분 이상 계속해 송전이 중단되지 않는 한 정전을 보고할 필요가 없다고 밝히고 있다. 따라서 이번 사이버 공격은 정부가 정한 정전에는 적용되지 않는다.
물론 한 전문가는 가장 큰 문제는 해커가 방화벽 인터페이스의 알려진 결함을 잘 이용할 수 있다는 사실이라고 말한다. 관련 특정 버그를 이용한 공격까지 공개되어 있었다는 지적이다. 관련 내용은 이곳에서 확인할 수 있다.
정용환 기자
