한드림넷 블로그 / Handreamnet Blog

기반 시설 보안 사고, 도시를 마비시킬 수도 있다? 본문

IT STORY/IT ISSUE

기반 시설 보안 사고, 도시를 마비시킬 수도 있다?

한드림넷 2018. 6. 26. 11:41

기반 시설 보안 사고, 도시를 마비시킬 수도 있다?


  2009년 개봉한 일본 애니메이션 '썸머워즈'에는 'OZ'라는 가상세계가 등장한다. 이 가상세계에는 전 세계의 사용자들이 컴퓨터, TV, 휴대전화, 게임기 등을 통해 접속한다. OZ에서는 게임과 쇼핑을 즐기는 것은 물론이고 세금 납부나 부동산 투자도 할 수 있다. 심지어 신호 정보를 제어하는 교통 시스템, 중증 환자의 원격 의료 시스템, 인공위성 관제까지 다양한 분야의 기반 시설이 광범위하게 관리된다.


  이 영화의 사건은 OZ의 시스템 보수 아르바이트를 하는 수학 천재 고등학생 주인공이 받은 문자 메시지에서 시작된다. 어느 날 밤 그의 휴대전화에 '나를 풀어봐!'라는 제목의 2056개의 숫자가 전송된다. 호기심으로 단숨에 문제를 푼 그는 다음날 OZ의 해킹 용의자가 된다. 간밤에 푼 숫자는 OZ 보안 시스템의 암호였고, 그로 인해 OZ의 보안 시스템이 뚫려 현실세계에까지 혼란이 일어났기 때문이다.


<영화 속 주인공이 받은 문자 메시지 /'썸머워즈' 예고편 갈무리>


  영화는 기반 시설 보안 사고가 발생했을 때 나타날 수 있는 무서운 상황을 영화적 상상을 가미하여 여러 장면으로 보여준다. 그러나 이를 그냥 영화 속 설정이라고 치부하기는 어려울 것 같다. 도로·철도·지하철·공항·항만 등 주요 교통 시설뿐 아니라 전력, 가스, 석유 등 에너지·수자원 시설, 방송중계·국가지도통신망 시설, 원자력·국방과학·첨단방위산업관련 연구 시설 중 하나의 서비스라도 문제가 발생한다면 영화 속에서처럼 우리의 일상도 마비될 수 있어서다.


  앞서 나열한 시설들은 국가가 지정한 정보통신 기반 시설이다. 이들은 산업 제어 시스템(Industrial Control System, ICS)으로 관리되는데 ICS/SCADA로도 자주 표현된다. SCADA(Supervisory Control And Data Acquisition, 원격 감시 제어)는 전국적으로 분포되어 있는 정보를 수집하고 분석하고 제어하는 시스템을 말한다. SCADA 시스템은 먼저 여러 원격지에 위치한 각종 상태 및 데이터를 PLC(Programmable Logic Controller) 또는 원격 단말 장치(Remote Terminal Unit: RTU)로 수집한다. 이렇게 수집된 정보는 네트워크를 통해 중앙의 정보 처리 시스템으로 모이는데, 이를 분석하고 제어하여 각종 시설을 효율적으로 운용하게 한다.

< SCADA 시스템은 원격지에서 정보를 수집하고 분석하여 제어한다. >


  SCADA 시스템은 본래 인터넷과 연결되지 않은 폐쇄망이지만 외부 네트워크 공격의 안전지대는 아니다. 특히 자동화시스템 도입 등으로 인해 폐쇄망과 업무 시스템이 연결되면서 외부에서의 침입 가능성이 높아지고 있다. 최근 한국정보보호학회가 개최한 정보통신망 정보보호 컨퍼런스에서는 ICS 사이버 사고 신고 건수가 2011년 140건에서 2016년 290건으로 대폭 증가했다는 결과가 발표되기도 했다.


  이러한 사이버 보안 사고가 나라의 근간을 흔들 수 있다는 점에서 미국은 2003년부터 연방정부 시스템을 보호하기 위한 아인슈타인(EINSTEIN) 프로젝트를 진행하고 있다. 이 프로젝트는 정부 기관에 대한 사이버 공격을 탐지 및 차단하고, 공격이 발생할 경우 이 정보를 업데이트 해 다른 정부기관이 동일한 공격을 당하지 않도록 하는 등의 방어 체계를 마련하는 것이다. 중국도 같은 해 국가 차원의 사이버 보안 프로젝트인 골든 실드 프로젝트(Golden Shield Project)를 시작했는데, 중국의 경우 사용자의 인터넷 사용을 정부가 직접 규제한다는 점에서 미국과 차이가 있다.


<사회 기반 시설이 사회 위협 시설이 되지 않도록 대비가 필요하다.>


  우리나라는 정보통신기반시설보호법에 따라 주요 정보통신기반시설로 지정된 기관에 첫해에는 지정 후 6개월 이내, 이듬해부터는 연 1회씩 정기적으로 취약점을 분석·평가를 강제하고 있다. 이와 같은 정부의 정책에 관련 기관의 적극적인 시설 보안 강화 노력이 더해진다면, 영화에서처럼 사회 기반 시설이 사회 위협 시설이 되는 일은 없을 것이라 기대된다.

Comments