비행기·기차·자동차 중에서 어느 쪽이 가장 해킹하기 쉬울까?

지난 6월 21일 폴란드 바르샤바의 프레데릭 쇼팽 공항의 비행기 이착륙이 장시간 지연됐다. 탑승객들은 처음에는 악천후나 기계적인 문제라고 생각했을지 모른다. 그러나 폴란드의 LOT 항공사가 해킹당했기 때문이었다. 항공업계를 뛰어넘어 광범위한 영향을 미칠 수 있는 전례 없는 사이버 공격이었다.

최근 들어 컴퓨터 보안 전문가들은 자동차와 기차의 취약성에도 우려를 표명했다. 비행기의 해킹이 가장 큰 화제가 되겠지만 어떤 교통수단이 사이버 공격에 가장 취약할까?

폴란드 공항에 대한 공격으로 10개의 항공편이 영향을 받았다. 그날 오후에 비행이 정상화됐지만 항공사 사이버 보안이 뉴스에 오른 건 요 몇 달 사이 처음은 아니다.

지난 4월 보안 전문가이자 원월드랩스의 창업자인 크리스 로버츠가 미국 연방수사국(FBI)에 구속됐다. 자신이 타고 있는 비행기의 시스템을 장악할 수 있다는 내용의 트윗을 띄운 뒤였다. 로버츠는 2009년부터 항공기 보안을 조사하면서 에어버스와 보잉 항공기 시스템의 취약성에 관해 우려를 제기해 왔다. 이번엔 ‘엔진 지표 승무원 경보 시스템(Engine Indicator Crew Alert System)’을 조작해 산소 마스크가 튀어 나오도록 조작하는 방법을 언급했다. 유나이티드 항공을 이용해 덴버에서 시라큐스로 이동하는 비행기 편에서였다. 트윗의 끝부분에선 스마일 얼굴로 서명을 대신했다. 로버츠는 훗날 조크였다고 말했다.

그 뒤 유나이티드는 덴버에서 시카고로 가는 비행기 좌석 밑에서 로버츠가 조작한 증거를 발견했다고 주장했다. 로버츠는 인터넷 매체 와이어드와 인터뷰에서 그 특정 비행편의 네트워크를 해킹한 적은 없으며 다만 다른 상황에서 20~30차례 비행기의 시스템을 탐구했다고 밝혔다.

로버츠는 시라큐스에 도착해 FBI의 조사를 받았다. 미국 연방법원에 수색영장이 신청됐다(캐나다 통신사 APTN 보도). 영장에 따르면 그는 방송 스테레오 시스템을 통해 비행기를 장악할 수 있다고 수사관들에게 말했다. “그는 시스템에 접속한 뒤 통제권을 빼앗아 CLB 즉 상승 명령을 내리는 데 성공했다고 말했다. 비행기 엔진 하나가 그 명령에 반응해 운항 중 비행기가 수평 또는 측면으로 이동했다.” FBI 마이크 헐리 요원이 서명한 공술서 내용이다.

로버츠는 자신의 발언에서 전후 맥락은 빼고 일부만 발췌됐다며 시스템의 통제권을 탈취한 건 시뮬레이션 때뿐이었다고 주장했다. 유나이티드 항공은 해킹 가능성을 부인하면서도 로버츠의 비행기 이용을 금지했다.

로버츠가 문제점을 지적한 항공기 제작사 중 하나인 보잉은 스테레오 시스템의 취약점을 부인한다. “민항기의 기내 방송 스테레오 시스템은 비행·항법 시스템과 분리됐다. 이들 시스템에 위치 데이터를 수신하고 통신망에 연결하는 기능이 있지만 중요하고 본질적인 기능을 수행하는 기내 다른 시스템과 별도로 설계됐다”고 보잉이 이메일로 입장을 밝혔다.

로버츠의 주장에 대한 정밀 조사가 실시됐다. 일부 보안 전문가는 취약점이 있다는 주장에 신빙성이 없다고 평가했다. 그러나 ‘아이 앰 더 캐벌리(IATC)’의 설립자인 조슈아 코먼 같은 사람들의 생각은 달랐다. IATC는 컴퓨터 보안과 공공안전이 교차하는 문제를 전문적으로 다루는 단체다. 그는 잠재적으로 심각한 문제가 로버츠를 향한 분노에 묻혀버렸다고 여긴다. “로버츠가 무엇을 했느냐 또는 하지 않았느냐에만 초점이 맞춰져 있다. 그것은 본질적인 문제가 아니다. 객실의 탑승자가 항공기 운항에 영향을 미칠 수 있느냐가 문제의 본질이다. ‘가능성이 전혀 없다’ 이외의 답이 나온다면 심각한 문제다.”

진짜 문제는 전문가의 접근이 차단된다는 점이라고 캐스퍼스키 랩의 보안 담당 패트릭 닐슨 연구원은 말한다. “비행기나 주요 인프라의 보안을 조사하기는 대단히 어렵다. 안전한 환경에서 이들 시스템에 접근해야 하기 때문이다. 로버츠가 그랬듯이 비행 중 조작할 필요가 없도록 말이다.” 기차는 종종 초급기술 교통수단으로 여긴다. 하지만 기차 관리에 사용되는 메커니즘은 고도로 기술적이고 갈수록 디지털화하는 경향을 보인다. 과거 철도업계가 사이버 위협을 받은 적은 거의 없지만 디지털화가 변화를 가져왔다. 새로운 위협과 다른 산업들이 네트워크 연결 확대 이후에 겪은 유형의 공격을 초래할 것이다.

영국에선 신호 시스템의 업그레이드를 둘러싼 보안 우려가 제기됐다. 새로운 디지털 신호를 조작해 기차의 충돌을 유발할 수 있다고 런던대학의 데이비드 스터플스 교수가 지난 4월 말했다. 시스템 개선을 담당하는 업체인 네트워크 레일도 개량작업을 실시하는 동안 증가하는 사이버 보안 위협을 잘 알고 있다고 답했다. 그리고 외부 사이버보안 전문가와 협력해 그런 위험을 파악하도록 힘쓰겠다고 약속했다.

처음에는 보통 자신의 능력을 시험해보려는 악의 없는 해커들의 공격으로 시작된다고 제이슨 힐리는 말한다. 미국의 싱크탱크 대서양위원회(Atlantic Council)의 사이버 국가경영 프로그램(Cyber Statecraft Initiative) 소장이다. 다음에는 피해를 유발하려는 ‘외로운 늑대(단독 해커)’가 공격하고, 계속해서 약점을 파고들어 이익을 취하려는 사이버 범죄자들이 그 뒤를 잇는다. 가장 위험한 형태는 테러리스트나 국가 주도의 해킹 공격이다.

전면적인 사이버 전쟁이 일어날 때 미국 입장에선 교통 운수 인프라에 대한 공격이 우려된다고 힐리 소장은 말한다. 특히 중국과 마찰이 있을 경우엔 더 말할 필요도 없다. “미군에게 증강할 여유를 주면 어떤 일을 겪게 되는지 중국은 1차 이라크 전쟁에서 목격했다. 따라서 미군이 태평양 문제에 개입하는 상황이 벌어질 경우 중국은 그런 일이 일어나도록 지켜보기보다는 미국이 군사력을 동원할 시간적 여유가 없도록 교란할 것”이라고 힐리 소장이 말했다.

중국 해커들이 대규모 병력의 해외 수송을 담당하는 군사 하청업체를 표적으로 삼을 가능성도 있다. 폴란드의 LOT 항공 사고와 비슷한 공격을 가하는 방식이라고 그는 덧붙인다. 거의 모든 신차에는 1억 줄의 프로그램 코드가 새겨져 있다. 그리고 갖가지 다양한 방식으로 외부세계에 연결됐다. 차 내부에 갈수록 늘어나는 소프트웨어는 자동차를 바퀴 달린 컴퓨터로 만들 뿐 아니라 사이버공격에 더 취약하게도 만들었다.

오늘날 출시된 거의 모든 차량에 깔리는 무선 기술은 해킹이나 프라이버시 침해에 취약한 것으로 나타났다. 매사추세츠주 에드 마키 상원의원이 지난 2월 발표한 보고서 내용이다.

이들 무선기술에는 자동차 내부로부터 인터넷에 연결하는 모든 기능이 포함된다. 지난 1월 보안 전문가들은 자동차의 동글 장치(소프트웨어 불법 사용 방지용)가 안전하지 않고 쉽게 해킹할 수 있다고 주장했다. 자동차 보험사 프로그레시브가 운전 습관을 모니터할 목적으로 200여만 대의 자동차에 장착한 장치다.

“자동차는 기능적으로 완전히 분리되지 않아 보험사 동글 장치에 침입한 뒤 명령을 내려 브레이크를 차단하거나 브레이크 라인을 파열시킬 수 있다. 자동 평행주차 기능을 통제할 경우 운전대를 돌릴 수도 있다”고 IATC의 코먼 설립자가 말했다.

그리고 결함 있는 보험 동글이 아니더라도 해커가 자동차의 주요 시스템에 침입할 만한 루트가 또 있다. 오늘날 대다수 신차에서 이용 가능한 앱 스토어나 와이파이 핫스팟을 통해서도 침입이 가능하다고 코먼 설립자는 경고한다.

속도는 다소 느리지만 미국 자동차 업계에도 변화가 일고 있다. 코먼이 설립한 IATC는 자동차 사이버 안전에 관한 5개 항목 지침을 발표했다. 안전을 충분히 확보할 시간 여유 없이 세계의 소프트웨어 의존이 급속도로 늘고 있다는 판단에 근거했다. 하지만 현재 부분적으로라도 그런 지침을 따를 수 있는 자동차 제조사는 극소수라고 그는 말한다.

마키 상원의원은 코네티컷주 리처드 블루멘톨 상원의원과 함께 연방 자동차 안전 기준을 확립하는 법안을 도입할 계획이라고 발표했다. “21세기에는 운전자와 그들의 정보를 안전하게 지키기 위해 전자 기기에도 안전벨트와 에어백에 해당하는 보안 기능이 필요하다.”

“실시간 감시체제와 사이버 공격에 대한 실시간 대응 능력이 자동차 업계에 요구된다. 예컨대 금융업에서 이뤄지는 보안기능과 비슷한 방식”이라고 요니 헤일브론 부사장이 말했다. 자동차 사이버 보안을 전문으로 하는 이스라엘 업체 ‘아거스 사이버 시큐리티’의 마케팅 책임자다. “앞으로 규제가 마련될 것이다. 언제가 될지는 모르지만 그런 방향으로 나아가고 있다.”

자동차 업계는 그와 같은 규제가 통과될 때까지 구경꾼 입장에서 지켜보기만 하는 위험한 게임을 하고 있다. “신약 실험에선 사람이 약을 삼키기 전에 안전한지 검증한다. 하지만 사이버보안 분야의 현 관행은 안치소에 시신이 들어오지 않는 한 안전하다고 믿는 식”이라고 코먼 소장이 말했다.

- PETER WARD NEWSWEEK 기자 / 번역 차진우

ⓒ이코노미스트(https://economist.co.kr) '내일을 위한 경제뉴스 이코노미스트' 무단 전재 및 재배포 금지