국내서도 영화 다이하드4.0에 나왔던 것처럼 도시 내 교통시스템을 마비시키고, 통신망은 물론 가스, 수도, 전기, 원자력 시스템에까지 침투해 이들을 마음대로 조작하는 사이버테러가 발생할 수 있을까.
영화가 나왔던 2007년만하더라도 먼 미래처럼 여겨졌으나 보안전문가들은 이미 터무니 없을 정도로 쉽게 여러 시스템이 뚫릴 수 있다고 지적한다.
5일 국내서 개최된 해킹컨퍼런스인 'POC2015'에서 발표한 국내 독립 보안연구팀 신시티는 일명 '파이어세일(Fire sale)'이라고 불리는 사이버테러가 우리나라에서도 충분히 일어날 수 있을 정도로 관련 시스템이 보안에 취약하다고 밝혔다.
이 연구팀은 사물인터넷(IoT) 검색엔진이라고 불리는 쇼단을 활용해 국내서 취약한 시스템을 찾아낼 수 있었다. 2013년부터 서비스하기 시작한 쇼단은 전 세계 서버, 네트워크 장비, 관리자용 서비스, 산업용 제어시스템(SCADA), 인터넷전화(VoIP), IP카메라(CCTV) 등에 대한 정보를 수집해 보여준다.
문제는 국내서 쓰이고 있는 이러한 장비, 시스템, 서비스에서 오가는 정보들이 암호화되지 않은 평문 형태로 저장돼 있다는 점이다. 이외에도 버퍼오버플로, 포맷스트링버그 등과 같은 취약점이 발견돼 해당 분야의 관리자로 로그인해서 내부 시스템을 마음대로 조작하는 일이 가능하다는 것이다.
더구나 관리자용 ID, 비밀번호가 'admin', 'password'와 같이 손쉽게 예측가능한 것들이 상당수 발견될 정도로 보안성이 개선되지 않고 있는 실정이다.
이들 연구원들은 계정정보가 평문으로 전송돼 쉽게 중간에서 가로챌 수 있었으며, 포맷스트링버그 취약점을 쓰는 해킹툴로 로그인을 하지 않고서도 시스템을 조작할 수 있는 방법도 적용할 수 있다는 사실을 확인했다고 설명했다.
기본적인 해킹기법과 허술한 시스템 관리가 합쳐지면서 국내 환경은 언제 파이어세일에 노출되도 이상하지 않은 상황이라는 것이다. 신시티는 다이하드4.0에서처럼 공격자 관점에서 계획하고 있는 우리나라 대상 사이버테러 시나리오가 실제로 현실이 될 수 있다고 강조했다.
공격자 입장에서는 먼저 사람들의 반응을 살펴보기 위한 모니터링이 필수다. 국내서 약 2만대 이상 설치돼 있는 것으로 추산되는 IP카메라를 활용하면 대부분의 활동을 감시할 수 있게 된다.
두번째로는 방송사 내부 시스템 역시 앞서 언급한 방법으로 해킹이 가능한 탓에 여론조작이 가능해 진다. 해킹을 통해 주파수를 조작해 다른 공격자들이 원하는 방송을 내보내거나 주파수를 혼란시켜서 중단시킬 수 있게 할 수 있다는 것이다. 도심에 설치된 키오스크와 같은 안내 및 광고용 디스플레이에 공격자들이 원하는 자막을 내보낼 수도 있게 된다.
세번째로는 아파트, 대학 내 서버룸에 구축된 온도조절장치나 무정전전원장치(UPS)도 마비시킬 수 있다. 이런 공격이 정수시스템이나 전력시스템에 영향을 줄 수 있다는 설명이다.
끝으로 공격자가 직접적인 사이버테러와 연결되는 산업제어시스템(ICS)에 대한 조작 역시 불가능한 일이 아니라고 설명했다. 공장이나 산업기반시설 내에서 공정을 제어하는 PLC와 필요한 조작을 할 수 있게 돕는 인터페이스인 HMI가 모두 조작불가능하게 만들 수 있을 정도로 보안이 허술하게 관리되고 있다는 지적이다.
신시티의 연구에 기술자문을 맡았던 블랙펄시큐리티 심준보 기술이사는 "(쇼단을 포함해) 심지어 구글에서도 기본적인 해킹기술을 갖고 있는 사람이라면 쉽게 라우터 등과 관련된 키워드를 넣어 취약한 네트워크를 찾아낼 수 있다"고 밝혔다.
그는 "가장 큰 위협은 이러한 문제를 알면서도 실제로 해결하려는 사람은 없다는 점"이라고 지적했다. "산업시설에 대한 공격 위험에 대해서는 우리만이 아니라 다른 어떤 사람들도 알 수 있는 것이기 때문에 연구 자체를 문제삼을 것이 아니라 이렇게 만들었다는 점이 잘못된 것"이라고 밝혔다.
관련기사
- 시스코, 클라우드-엔드포인트까지 보안 솔루션 재정비2015.11.06
- NTP 취약점, HTTPS 노린다2015.11.06
- "시스코 라우터에 악성코드 심는 수법 발견"2015.11.06
- iOS9, 비밀번호 입력 6자리가 주는 의미2015.11.06
대응법은 뭘까.
그에 따르면 기본적으로 개발단계에서부터 보안취약점을 최소화할 수 있도록 시큐어코딩을 적용해야 한다. 대부분 대기업이나 기반시설이 자체적인 시스템관리프로그램을 협력사를 통해 개발한다는 점을 고려하면 수주한 대기업, 기반시설 차원에서 충분한 검증 절차가 이뤄져야한다. 관리자용 ID, 비밀번호의 경우 기본 설정된 혹은 쉬운 비밀번호를 쓰지 않는 것이 첫번째 원칙이나 현실적으로 수많은 관리포인트가 있는 만큼 이들을 제대로 관리하기 위한 방법에 대해서는 더 고민이 필요할 것으로 전망된다.