이원영 기자
최근에는 지구 저궤도에 위성을 발사하는 우주 기업이나 통신사도 늘어나 인공위성 용도가 다양해지고 있다. 하지만 인공위성 보안은 우주 개발을 서두르는 만큼 기본적인 보안조차 뒷전에 있을 가능성이 있다는 지적이 나온다. 룰 대학 보훔 연구팀 조사 결과 위성 3개에서 복수 취약성이 발견됐고 단순한 보호조차 되어 있지 않다는 지적이 나온 것. 일반 인공위성 보안은 10년 정도 늦었다는 게 보안 연구자 견해이기도 하다.
보고서에선 위성 하나가 해킹된다는 건 잠재적으로 우주선에 큰 영향을 줄 수 있다는 뜻이라고 지적한다. 조사한 위성은 에스토니아가 발사한 ESTCube-1, 유럽우주기관 오픈 리서치 플랫폼인 OPS-SAT, 독일 슈투트가르트대와 에어버스가 공동 개발한 소형 위성은 플라잉 랩톱(Flying Laptop) 3대다. 이들 위성 3대에서는 공통 취약점 6가지를 포함해 모두 취약점 13개가 발견됐다고 한다.
기본적인 암호화에도 실패하거나 보호되지 않은 원격 조작 인터페이스, 위성 기업 곰플레이스가 관리하는 위성이 액세스하는 코드 라이브러리에도 취약성이 있다고 한다. 위성 펌웨어 조사 뿐 아니라 132기 위성에 관여하고 있는 위성 엔지니어 개발자 19명에게도 설문 조사를 했는데 그 결과 보안보다 기능을 우선시한다는 의식을 나타내기도 했다고 한다. 조사 대상이 된 3대에 대해선 제3자에 의한 위성 제어를 저지하기 위한 대책은 일절 없었다는 답변을 하기도 했다.
이 같은 문제는 은폐에 의한 보안(achieving security by obscurity) 그러니까 숨기는 것으로 보안을 높이겠다는 생각에서 비롯된 게 많다고 할 수 있다. 한 전문가는 우주에서 보안 소프트웨어가 업데이트되는 건 거의 없고 취약성은 방치되고 있다고 한다. 원래 우주 시스템은 항공 우주 엔지니어가 개발하며 소프트웨어 개발자보다 보안에 대한 의식도 낮은 수준이라는 지적도 나온다.
이번 조사 대상 위성보다 취약성이 더 많은 상업위성 수가 얼마나 되는지 여부는 알 수 없다. 다만 한 가지 확실한 건 인공위성 수는 계속 늘어나고 있다는 것이다. 맥킨지 추정치에 따르면 2023년 3월 지구를 날아가는 인공위성은 통신 위성만 해도 5,000대로 2017년보다 15% 증가했다. 인공위성 산업 전체 비용 절감으로 인해 점차 수는 늘어나 2030년까지 1만 5,000대가 될 전망이다. 대부분은 스페이스X 통신 위성이다. 스타링크를 위해 인공위성 4,000대를 투입할 예정이며 앞으로 20년간 2만 2,588기를 투입하겠다는 아마존 위성 통신 서비스 프로젝트 카이퍼도 내년에 시동을 건다. 위성 보안에 대한 관심이 더 필요해지는 이유다. 관련 내용은 이곳에서 확인할 수 있다.
이석원 기자
정용환 기자
