소프트웨어 개발자 버트 휴버트가 소비자용 및 기업용 태양광 패널 대부분이 소수 기업에 의해 집중 관리되고 있어 해킹으로 인해 다수 태양광 발전 시스템이 일제히 정지될 위험성이 있다고 네덜란드를 예로 들어 문제점을 지적하고 있다.
네덜란드와 같은 EU 권내 국가에서는 태양광 패널이 국외 기업에 의해 관리되는 곳이 많으며 대부분이 EU 외에 본사를 둔 소수 기업에 의해 집중 관리되고 있다고 한다. 이런 태양광 패널은 중규모 원자력 발전소 최소 25기에 맞먹는 전력을 생산하고 있지만 유럽에는 이런 관리자를 규제하는 규칙이나 법률이 거의 없어 우연히 또는 해킹 결과로 태양광 패널 수백만 장이 동시에 정지될 위험성이 있다고 한다.
실제로 8월 14일에는 화이트해커가 태양광 패널 400만 장을 제어할 수 있음을 실증해 생활 기반이 되는 전력 시스템에 예상치 못한 취약성이 있음을 부각시켰다.
EU에서는 대규모 발전소 수천 개 능력을 서로 공유해 이용할 수 있는 동기 송전망이라는 시스템이 구축되어 있어 이를 통해 많은 국가에 안정적인 전력을 공급할 수 있다. 하지만 동시에 작은 문제가 네트워크 전체로 파급될 우려도 있어 EU에서는 대규모 전력 공급 회사에 엄격한 기준을 설정해 감시를 하고 있다. 하지만 태양광 패널에는 감시의 눈이 미치지 않고 있는 게 현실이라고 한다.
태양광 패널과 네트워크 사이에는 패널에서 생산된 전력을 송전망이 다룰 수 있는 형태로 변환하는 인버터가 연결되어 있으며 인버터 작동과 설치에 대해서는 규칙에 따라 처리가 이뤄지고 있다. 그 중에서도 네덜란드에서는 벨기에 전력·가스 네트워크 연맹인 시너그리드(Synergrid)가 승인한 인버터만 설치할 수 있다고 정해져 있다고 한다. 하지만 내부 관계자에 따르면 이를 강제할 수 있는 건 없으며 승인되지 않은 것도 설치된 사례가 확인되고 있다고 한다.
대부분 인버터는 직간접적으로 인터넷에 연결되어 있어 태양광 패널이나 인버터 소유자는 앱이나 웹사이트를 사용해 제조업체와 연결하고 제조업체 시스템을 통해 자신의 패널 상태를 확인할 수 있다. 언뜻 보면 편리한 구조로 보이지만 다수 시스템에 연결할 수 있다는 건 그만큼 해킹 기회가 증가한다는 걸 의미한다.
휴버트는 놀랍게도 인버터 제조업체가 수백만 가정과 기업 지붕에 설치된 태양광 패널 전원을 켜고 끌 수 있다며 태양광 패널 또는 인버터 제조업체 시스템이 해킹되어 공격자가 악의적인 소프트웨어 업데이트를 배포해 비극적인 결과를 초래할 가능성도 있다고 밝혔다. 모든 태양광 패널이 적절한 타이밍에 꺼진다면 유럽 송전망 절반이 붕괴될 수도 있다는 지적이다.
더 나아가 그는 원자로 수십 기를 동시에 정지시키는 제어판이 있다면 모든 안전 규제를 따라야 하고 올바른 처리가 이뤄지고 있는지 검사관이 확인하러 올 것이라며 이는 대규모 태양광 발전이나 풍력 발전에도 해당되지만 가정용 인버터나 태양광 패널은 일반 가전제품으로 간주되어 검사도 법률도 없다고 밝혔다. 하지만 이런 가전 제품 관리는 단 몇 개 업체가 장악하고 있으며 거의 전혀 규제되지 않고 있다며 올바른 법 정비가 필요하다고 호소했다.
최근 EU에서는 NIS2라는 새로운 지침이 만들어지고 있으며 이로 인해 모든 종류 서비스 제공자가 보안을 강화해야 할 필요성이 생기고 있다. 휴버트는 EU 회원국이 이 지침을 시행할 때 태양광 패널에 소프트웨어를 배포하거나 많은 패널 전원을 켜고 끄는 능력을 가진 기업도 지침 대상에 포함된다는 걸 명확히 해야 한다고 말했다.
또 사이버 레질리언스 법이라는 별도 법률도 제정되고 있어 이를 통해 인버터와 태양광 패널에 명확히 초점이 맞춰지고 더 나아가 부수적인 중앙 제어판, 앱, 서비스도 포함될 가능성이 있다고 한다. 이에 대해 휴버트는 사이버 레질리언스 법에서 높은 수준의 보안 요구사항이 정해질 수 있을 것이라고 지적했다. 관련 내용은 이곳에서 확인할 수 있다.