2001년 11월, 49세의 바이텍 보든은 인터넷과 무선 라디오, 그리고 훔친 컨트롤 소프트웨어 등을 이용해서 약 100만 톤의 하수를 호주 퀸즈랜드 마루키도어의 하천과 해안에 방출시켰다는 혐의로 2년 감옥형을 선고받았다.
상수도 프로젝트의 컨설턴트로 일한 적이 있는 보든은 마루키 샤이어 정부에서 정규직을 주지 않자 2000년 3월에 이같은 공격을 감행했다. 보든은 시스템 접속을 45회 시도한 뒤 마지막 시도에서 접속했고, 결국 수로를 통해 처리되지 않은 하수를 방출할 수 있었다.
호주 환경 보호기관의 조사 책임자인 저넬 브라이언트는 해양 생물들이 죽었고, 하천 물은 검게 변했으며, 냄새가 코를 찌를 지경이어서 주민들은 참기가 어려웠었다고 말했다.
시설 당국에서 처음 44번의 시도를 눈치채지 못했다는 것은 공공 시설의 보안 상태를 말해주고 있다. 당시 대학원생이었던 배리 C. 에젤이 50개의 시설을 대상으로 1997년도에 실시한 조사에 따르면, 상수도 시설의 40%는 기술자들이 직접 인터넷에 접속할 수 있게 돼있으며, SCADA 시스템의 60%는 모뎀으로 연결이 가능했다. 배리 에젤은 현재 육군 대위다.
북미전기협회 대표 엘렌 뱅코는 이같은 접속이 항상 위험하다고 생각할 필요는 없다고 말했다. 그녀는 모든 전기 회사들은 어떤 식으로든 서로 웹에서 연결돼있다. 그렇다고 우리의 컨트롤 시스템이 일반인들이 사용하는 넷에 연결된다는 의미는 아니라고 말했다.
그렇다고 하더라도 인터넷 연결이 된다는 것은 컴퓨터 침입자가 시스템에 침입할 수 있는 길을 하나 더 제공한다는 것밖에는 안된다는 것도 사실이다. 디지털 보안 회사 @스테이크 R&D 부서의 책임자 크리스 와이조팰은 인프라 네트워크의 보안 상태를 분석해 달라는 요청이 들어오면 일단 넷 연결이 되는지부터 본다고 말했다.
와이조팰은 컨트롤 시스템이 인터넷에 연결된 것을 볼 때마다 끔찍한 느낌이 든다. 생산성만 아니라면 인터넷 연결은 필요없는 것이다. 공공의 안전에 대해 말은 하면서도 보안에 있어서는 무지한 것이다.... 한 번은 한 발전소에서 모든 컨트롤 시스템이 행정 시스템과 같은 패스워드를 사용하고 있는 것을 본 적도 있다고 말했다. @스테이크는 9월 11일 이후로 이런 종류의 감사를 실시해왔다.
파이어월이나 다른 내부 보호 장치들도 항상 적절한 것은 아니기 때문에, 네트워크가 인터넷에 연결돼 있다고 한다면 위험 수치는 기하급수적으로 증가하게 된다.
검찰 총장 쌔커리는 우리에게 허점이 있는가? 물론이다. 우리의 인터넷과 전화선, 엑스트라넷 등은 마치 거대한 스파게티 접시와 같은 형태를 이룬다. 그리고 누구도 어디가 어딘지 잘 모르고 있다. 우리는 수십 수백 마일의 전선을 사용하고 있으며, 그 중의 어디도 안전하지는 않다. 게다가 여기에는 수없이 많은 창문과 문이 있어서 열 수가 있다. 그리고 많은 창문과 문들은 열려진 채로 있기도 하다고 말했다.
그녀는 1989년에 있었던 일반에게도 잘 알려진 사고에서도 넷이 중요한 역할을 했다는 점을 지적했다. 이때 'the Legion of Doom'이라는 해커 일당이 사우든 벨의 전화 네트워크 인프라의 대부분을 장악했던 당시, 해커 일당들은 전화선을 도청할 수가 있었고 911 시스템까지도 폐쇄해버릴 수 있었다.
벨사우스에는 당시 회사의 네트워크의 안전을 위해서 42명의 인원이 24시간 응급 대기 상태였다고 쌔커리는 말했다. 쌔커리는 당시 자신의 전화가 도청되고 있었기 때문에 SS(Secret Service) 사무실에 있는 암호화된 전화를 사용하지 않으면 안됐다. 이것은 나로서는 가장 끔찍한 시나리오 중의 하나였다. 그리고 이 일당들은 그저 재미삼아 그런 짓을 하는 대학생들이었다고 쌔커리는 말했다.
그럼에도 불구하고 가장 악명 높은 사고조차도 사이버테러에 대한 좀더 상상력을 발휘해서 만들어낸 경고적인 얘기에서 그려내는 대규모적인 파괴 시나리오와는 거리가 멀다. 예를 들어, 퀸즈랜드 사건에서는 죽은 사람도 없었고, 청소 비용은 고작 1만 3000달러 정도에 그쳤다. 그리고 그것은 내부 지식을 잘 알고만 있으면 할 수 있는 것이었다.
와이조팰과 많은 보안 전문가들은 모두 입을 모아 대규모 인프라 마비나 파괴는 쉬운 일은 아니라는 것을 인식하고 있다. 와이조팰은 침입자가 어떻게 해서 들어온다 해도 시스템을 통제하는 것은 상당히 고차원의 기술이 필요한 것이라고 말했다.
지난 달에 있었던 '진주만' 훈련에서 공격자들의 역을 맡았던 가트너 분석가들도 그같은 의견을 다시 한 번 확인했다. 장거리 통신 네트워크에 대한 시뮬레이션 공격을 맡았던 데이빗 프렐리는 그것에 관한 전문 지식을 가지고 있지도 않으면서 어떤 대상을 공격한다는 것은 매우 어려운 일이라고 말했다.
뉴욕시의 요충지를 공격하는 데는 성공했지만 많은 주요 시스템들(즉 병원과 감옥 시설과 같은)은 독자적인 발전기를 가지고 있었기 때문에 중단없이 돌아갔다. 게다가 시설들과 인프라 운영 시스템들은 시스템에 문제가 생긴다하더라도 일반 국민들을 보호하기 위한 백업 수단을 준비해놓고 있다.
예를 들면 만약에 어떤 해커가 수단과 방법을 다 써서 저수지의 염소 수치를 높인다고 할지라도 물이 일반 수도 파이프에 도착하기 전에 적어도 5번은 시험 단계를 거치는 것이 보통이기 때문에 아마도 오염된 물이 가정에 도달하기는 어려울 것이다.
환경보호기관에서는 이러한 테스트를 통해서 규정에 정해져 있는 90가지 종류의 오염 물질을 검사하도록 요구하고 있다. 테러리스트가 저수지에 화학 물질을 직접 집어넣는 것이 더 쉬운 공격이고, 또한 여러 시설들도 이러한 종류의 공격에 대비해서 더 많은 자원을 투자하고 있다.
또한 연방 기관들은 기차나 트럭, 버스, 그리고 배 등을 포함한 미국내 운송 시스템을 컨트롤하는 컴퓨터 시스템에 대해서도 신중을 기하고 있다. 철도 산업만 해도 500개가 넘는 소규모 철도들을 감독해야 하는 등 엄청나게 거대한 네트워크를 가지고 있다.
미 철도협회의 부사장이며 육상 운송 분야의 ISAC 담당자 낸시 윌슨은 오늘날 철도 산업은 미국내에서 가장 큰 컴퓨터 시스템 사용자 가운데 하나다. 우리는 이 기술을 가장 일찍 받아들였고, 가장 많이 사용한다. 우리에게 컴퓨터 기능이 없어진다면 모든 것이 정지할 것이라고 말해도 과언이 아니라고 말했다.
그런 이유로 대개의 철도 회사들은 값비싼 안전 장치와 백업 시스템을 갖추고 있다. 센서가 있어서 기차 노선에 무슨 일이 있는지 알려줄 뿐 아니라, 안전 장치들은 가능한 침입 움직임에 대해 조기 경고 장치를 제공하고 있다.
윌슨은 우리에게 해커 문제가 없는 것은 아니지만 아직까지 심각하지는 않았다. 우리에게 아무 문제가 없다는 것은 아니지만 우리의 약점이 어디 있는지 찾아내는 일에 있어서 우리는 그동안 많은 진보를 해왔다라고 말했다.
또한 제조 회사들도 충분하리만큼 많은 양의 안전 수단을 취하고 있으며, 그 중 많은 회사들은 SCADA 시스템을 사용한다. 그럼에도 불구하고 도시 주민들 사이에서는 미신같은 이야기들이 떠돌아다닌다.
그 중의 한 가지는 해커 한 명이 웹 연결을 이용해 식품 회사의 네트워크에 침입하고는 아침 식사용 시리얼의 조리법을 조작해서 철분 함량을 심하게 늘린다는 것이다. 그렇게 되면 미네랄에 대해 알레르기가 있는 어린이들의 생명을 위험에 빠뜨릴 수 있다는 것이다.
또 다른 풍문에 의하면, 탱크 제조 회사에 해커가 침입하고는 탱크를 만드는데 사용하는 차체의 제작 온도을 바꾼다는 것이다. 그렇게 되면 금속 차체가 쉽게 부서질 것이고 견고하지 못하게 된다는 것이다. 이 이야기는 둘 다 사실이 아니다.
대체로 보안 전문가들은 해킹을 당하기 쉬운 인프라는 인터넷 그 자체라고들 말하고 있다. 전문가들은 자주 님다 웜을 예로 드는데, 님다는 약 30억 달러 정도에 상당하는 피해와 생산성 손실을 가져온 것으로 추정된다.
어떤 인터넷 약점들은 공격을 받지 않고서도 노출되는 경우가 종종 있었다. 1997년도에 한 기술 전문가가 두 줄의 코드를 바꾸어 넣어서 결국에는 3시간 동안 전 지구상의 네트워크가 거의 다운될 위험에 빠짐으로서 중대한 약점이 발견된 경우가 있었다.
인터넷 인프라의 주요 부분이라 할 수 있는 수십 만 개의 라우터 중의 한 개에 변화가 일어난 것이었다. 버지니아주 맥클린에 위치한 MAI 네트워크 서비스에서 일하던 기술자가 2줄을 실수로 입력하게 되자, 라우터 중 한 개는 자기가 전체 인터넷으로 통하는 가장 좋은 통로를 제공한다는 신호를 보냈다.
결과적으로 다른 라우터들은 이 인터넷 회사의 작은 전세 라인에 그들의 데이터를 몽땅 다 보내기 시작하면서 먼저 MAI의 네트워크를 다운시키고 전 세계에 퍼져있는 시스템을 마비시키는 상황에 이르렀다.
보안 회사 아버 네트워크의 네트워크 아키텍처 담당자이며 국경 게이트웨이 프로토콜 연구 담당자이기도 한 크래그 라보비츠는 몇 분만에 전 인터넷 라우터들이 대부분 다운된 것이었다. 이 사건은 정말이지 우리가 지금까지 보아왔던 가운데 가장 큰 규모의 인터넷 마비였다고 말했다.
그러나 이 사건의 결과도 끔찍하거나 막지 못할 종류는 아니었다.
이 사건이 있은지 얼마되지 않아 북미 네트워크 기술자 그룹의 한 네트워크 기술 전문가는 이것은 파괴적인 사고는 아니었다. 정도는 다르지만 가끔 전화회사들이 겪는 전압 저하 현상이었다고 말했다. 이 사람은 적어도 네트워크 서비스 회사 중 한 곳에서는 트래픽이 약 15% 정도가 줄었다고 밝혔다.
법 집행기관에 있어서 인터넷이 주는 가장 큰 위협은 국가간의 통신이 너무 손쉽다는 것과 엄청난 양의 트래픽 속에 숨어버릴 수 있는 가능성일 것이다. FBI는 테러리스트들을 컴퓨터로 수색해내고자 하는 노력의 일환으로 기술적 교육을 갖춘 신입 임원들을 위해서는 몇 가지의 요구사항들을 면제해주기도 했다.
버지니아 퀀티코의 FBI 컴퓨터 훈련 부서의 특별 임원이자 교수인 단 캐빈더는 지금 당장 문제가 되는 것은 사이버테러리즘에 관한 것보다는 테러리스트들이 인터넷을 사용해서 그같은 공격을 계획하는 경우라고 할 수 있다고 말했다. @
