http://zine.media.daum.net/h21/view.html?cpid=18&newsid=20111111181142555&p=hani21&RIGHT_COMM=R1 컴퓨터를 오래 만져온 사람의 입장에서 내용에 충분히 공감이 되네요.
예전에는 해킹이 시스템의 취약점을 직접 공격하여 root 권한을 가져오는게 일반적이었는데 언제부터인지 스크립트 키드들에 의해 이메일 혹은 웹을 통해 작은 worm을 전파하여 클라이언트를 공격하는 것만으로도 시스템을 장악하는것이 쉽기 때문에 시스템 직접 공격은 점점 잊혀져 가고 있는 것도 사실이긴 하죠.
내용중에 리부팅을 해야 하는 내용도 또한 각각의 OS를 지원하는 업체에서 hotfix를 많이 내고는 있지만 hotfix를 패치 해야 하는 경우 reboot을 해야 하는 경우가 분명 있지요.
요즈음 해킹은 대부분 커널을 공격하는 공격 쪽으로 유행이 바뀌기도 했구요.
일반적으로 관공소나 국가 기간시설의 경우 클러스터링을 구성하여 한쪽이 reboot을 하는 경우에 다른쪽으로 시스템이 전환되도록 하게 하는 시스템이 갖춰져 있는 것도 사실이구요.
하지만 이런 시스템이 아주 오래전부터 사용되고 있어 왔고 지금까지 큰 문제가 없다면 딱히 업그레이드도 하지 않고 클러스터링을 구성하도록 구성 변경이 되어 있지 않은 곳들도 있을 것이기 때문에 이런 내용이 충분히 가능성이 있지 않을까 싶습니다.
금융권의 경우 IE 6.0 이 문제가 많다는 것을 알고 있슴에도 불구하고 거의 80-90% 가까이 IE 6.0을 사용하고 있는게 현실이니까요.
이번에 진흥원에서 인증서에 사용하는 hash 알고리즘중 sha1 알고리즘이 이제는 안전하지 않다고 하여 sha1 알고리즘을 sha2로 바꾸고 키 길이도 1024에서 2048로 바꾸는 작업을 했듯이 SCADA 시스템에서 사용하는 어떤 알고리즘 혹은 모듈이 언제가 부터 뚫리게 된게 아닌가 하는 짧은 생각이 들기도 하네요.
이런 곳들을 시스템 변경을 하려면 모름 몰라도 어마어마한 돈이 들어갈겁니다.
혹자는 소설이라고 하지만 제 생각에는 충분히 가능성이 있는 내용이고 사안이 사안인지라 내용을 아래에 복사해 올립니다.
========== 아래 ========
[한겨레21][초점] 이스라엘 해커, 원자력 발전소·미사일 기지 같은 국가기간시설 해킹 프로그램 공개…
초보 해커 수준이면 조작 가능해 정부 관계자 놀라
"방법은 없는 것인가?"
(한국) 정부 관계자는 물었다. 이스라엘의 '화이트해커'(정보보안 전문가) 야니브 미론은 웃었다. "총을 보여줬으니 그걸 막는 건 이제 한국 정부의 몫이다."
정부 관계자는 다급했다. "프로그램을 우리에게 제공할 예정인가?" 미론은 "물론"이라고 짧게 답했다. 정부 관계자의 얼굴에 화색이 돌았다. "다만 (내가) 한국 땅을 뜬 다음, 내 홈페이지에." 다시 분위기는 냉랭해졌다.
직접 침투로 순식간에 지하철 장악
테러리스트가 해킹을 통해 국내 발전시설을 조작해 마비시키고 군사시설을 장악해 위험에 빠트리는 일, 영화에서나 봤을 법한 시나리오다. 국가 기간시설 해킹은 영화 < 다이하드 4 > , 드라마 < 24 > 등 보수적 시각으로 테러의 위험을 강조하는 미국 드라마·영화가 흔히 쓰는 소재였다. 농협 해킹 사태 등을 겪으며 우리나라의 보수 언론뿐만 아니라 검찰도 해킹을 이용한 테러 가능성을 언급했다. 하지만 잘 들여다보면, 등장하는 사이버 테러는 '추정'에 불과했다.
지난 11월4일 열린 국제 해킹·보안 콘퍼런스 'POC(Power of Community) 2011'에서 그런 악몽이 추정이 아닌 현실로 존재할 수 있다는 주장이 제기됐다. 야니브 미론이 'SCADA(집중원격감시제어시스템) Dismal, or, Bang SCADA'라는 주제 발표를 하자 행사장이 술렁였다. 전날부터 그를 지켜보던 정부 관계자들이 미론에게 면담을 요청했다.
이전에도 국가 기간시설 관리 프로그램에 침입이 있긴 했다. 내부 직원들에게 보내는 전자우편 등으로 시스템에 악성코드를 심는 방법이 쓰였다. 이 방법은 악성코드의 제작과 침투에 최소 몇 달의 시간이 걸렸다. 또한 악성코드를 이용한 공격은 조직 내 보안관리 강화로 막을 수 있었다.
미론의 방법은 달랐다. 악성코드를 유포해 간접적으로 침투하는 방법이 아니라, 해커가 해킹 프로그램을 이용해 직접 파고드는 방법을 쓴다. 해킹 프로그램을 작동시키면 폭탄이 저수지 방벽에 균열을 가하듯 정부 시스템(이하 SCADA 시스템, 독일 지멘스사가 수출한 정부 전산망)의 취약점을 파고들어 수력과 원자력 등 발전설비, 지하철 등 교통 시스템, 미사일 등 군사 시스템을 순식간에 장악하는 것이다.
우려 섞인 기자의 질문에 미론은 "서둘러 대비한다면 아마도 OK"라며 웃는다. 그 '대비'는 미론이 한국을 떠난 뒤에 가능하다. 한국에서의 해킹 프로그램 공개는 불법이어서 노하우를 한국을 떠난 뒤 공개할 예정이다. 문제는 여기서부터다. '디즈멀'(Dismal)이라고 이름 붙인 이 프로그램은 노하우가 공개된 뒤 어느 누구나 사용이 가능해진다. 정부 관계자들이 아연실색한 이유다. 정부의 보안작업은 분초를 다툴 것이다. 프로그램 사용에 대해 미론은 "입력어를 넣는 수준, 초보 해커면 가능"하다고 말했다.
아이디, 패스워드 없이 해킹 가능
미론은 어떻게 공격 테스트를 해보았을까. 공격 테스트를 하려면 실제 시스템에 들어가야 하지만 그것은 불법이다. 그는 "실제 운용되는 것은 아니지만 SCADA 시스템이 들어 있는 프로그램으로 직접 테스트해본 경험이 있다"며 "(불법만 아니라면) 한국 시스템을 대상으로도 시연할 수 있다"고 했다.
장악 과정은 간단했다. SCADA 시스템의 프로토콜(프로그램 운영체계 규칙)은 '모드버스'라 불린다. 그 모드버스의 취약점을 이용한다. 침입 뒤 중앙을 통제하는 마스터 시스템과 하부 구조인 슬레이브 시스템을 동시에 손에 넣는다. 미론의 계속되는 설명에 정부 관계자들은 당황하기 시작했다.
2009년 이라크 원전이 '스턱스넷(Stuxnet) 웜'이라는 악성코드에 감염돼 쓸모없게 된 뒤, 지난해부터 정부 차원에서 대책반을 꾸려 해킹에 대비해왔다. 1년여 동안 미론의 해킹 방법은 고려 대상도 아니었다. 지금까지 SCADA 시스템의 보안은 직접 공격이 불가능하다고 알려져 있었기 때문이다. 외부와 차단돼 있어 해킹 대상이 애초부터 아니라는 게 그 근거였다. 미론은 "노"라고 말했다. 실제 기관 내 관리자들은 일반 PC로 SCADA 시스템을 연결해 사용하기 때문이다. 그 일반 PC의 인터넷이 해킹의 통로가 된다.
인터넷을 사용하지 않으면 되는 것 아닐까. 아니다. 정부의 시스템 가운데 24시간 운용돼야 하는 곳(군사, 핵발전 시설 등)은 인터넷을 이용해 수시로 시스템을 업그레이드해야 한다. 게다가 기존 시스템에 보안 시스템을 추가하기도 힘들다. 일반적으로 보안 프로그램을 설치하려면 리부팅(켜고 끄기)을 해야 하는데, 설비를 멈추고 다시 시작한다는 게 간단치 않은 작업이다. 전력설비의 경우 대규모 정전도 문제지만, 냉각 기능이 중요한 발전설비에서 제어 시스템 가동이 순간적으로 멈춘다면 어떤 위험이 발생할지 장담할 수 없다. 군사시설도 마찬가지다.
현재까지 알려진 이론상으로는 미론의 공격 프로그램이 사용되면 한국 정부의 보안 수준에서는 이를 막을 수 없다. 실제 어떤 피해가 있을까. 미론은 "수력발전소에서 통제하는 송수관이 3ℓ를 전송할 수 있다고 가정하자. 디즈멀을 이용해 악의적인 명령을 내려 6ℓ까지 송수량을 늘리면 쾅!(Bang!)"이라며 "원자력발전의 핵분열을 통제하는 것도, 군사기지의 미사일을 제어하는 것도 어려운 일이 아니다"라고 설명했다. 정부 관계자들을 놀라게 한 사실은 그 장악 과정에서 아이디와 패스워드 등 인증 절차가 필요하지 않다는 것이다. 해킹에 필요한 시간도 패킷 전송 시간 정도다. 눈 깜빡할 사이다.
불가능에 가까운 대응법
대응법을 물었다. 미론은 우선 SCADA 시스템과 인터넷망을 분리하라고 했다. 또한 아이디·패스워드로 인증 시스템을 도입하고 암호화하라고 권고했다. 하지만 이 방법들은 앞서 말한 대로 '불가능에 가까운 작전'이다. 다시 물었다. "결국 시민들이 교통·전기 등 시스템의 불편을 감수해서 정부의 보안 재구축 과정에 동의를 해줘야 한다. 그렇지 않으면 불가능하다."
하어영 기자
[email protected]
글쓰기