바짝 다가선 사이버테러
바짝 다가선 사이버테러
4년 전 알카에다 테러범들은 비행 교육을 받았었다. 이제 그들은 새로운 기술을 연마하고 있다. 해킹이 바로 그것이다. 사이버테러가 미국의 전력망이나 인터넷을 어느 정도 와해시킬 수 있을까. 아무도 모른다.
제이슨 라슨(Jason Larsen ·31)은 해킹의 고수다. 말총머리에 셔츠 ·바지 ·안경 모두 검은 색이다. 프로그래머 라슨은 아이다호주 아이다호폴스에 있는 비밀스러운 아이다호 국립 공학환경연구소(INEEL)에서 사이버테러범이 온라인으로 침입해 전력망의 회로 차단기를 작동시키거나 화학물질 저장 탱크의 밸브를 열 수 있지 않을까 연구한다.
라슨은 “하루에 20여 개 도시에서 쉽게 전력을 차단할 수 있다”고 장담한다. 그는 여러 대규모 공공시설의 자동 제어 시스템에 침입한 전력이 있다. 대개 1주일이면 가능하다. 라슨 같은 전문가는 보통 사람들에게 사이버테러 위협을 항상 주지시킨다. 사이버테러범들이 컴퓨터 해킹으로 인터넷 ·전화 ·전력망을 마비시킬 수 있다는 것이다. 전문가들은 컴퓨터 보안 예산이 충분치 않기 때문에 참혹한 결과가 빚어질 수도 있다고 경고한다.
이들 전문가에게는 다른 꿍꿍이가 있다. 하지만 그들의 말이 맞을지 모른다. 1990년대 들어 인터넷이 바이러스처럼 널리 확산됐다. 수백 개 공공시설 ·화학공장 ·하수처리장이 온라인으로 연결되면서 원격감시 및 실시간 쌍방향 통신도 가능해졌다. 그러나 구닥다리 제어 시스템은 디지털 침입에 대한 보호 조치가 부족해 표적이 되기 쉽다.
역사상 가장 파괴적인 테러는 이슬람 극단주의자들이 비행학교에 입학하면서 시작돼 비행기가 비행폭탄으로 탈바꿈한 뒤 끝났다. 9 ·11테러 3주년을 맞은 지금 미래의 테러는 사이버공간에서 일어날 가능성이 커졌다. 알카에다 조직원 같은 테러리스트들이 사이버전쟁을 일으키는 데 필요한 온라인 기술 습득에 매달리고 있다는 구체적인 증거가 속속 드러나고 있다. 테러범들은 인터넷을 통해 미군 태평양 사령부의 통신 시스템을 마비시키거나 로스앤젤레스 혹은 시카고의 전력을 차단할 수 있다. 애리조나주 루스벨트 댐의 거대한 수문을 열거나 웹의 상당 부분을 붕괴시킬 수도 있다.
미국에서는 이런 사태를 막기 위한 어떤 십자군도 조직되지 않았다. 지난해 조지 W 부시 미국 대통령은 ‘사이버공간 보안을 위한 국가 전략(NSSC)’에 서명했다. NSSC의 목표는 미국 내 네트워크를 철저히 개선하는 것이다. 리처드 클라크 전 백악관 테러담당 보좌관은 정부의 컴퓨터 시스템 전반을 리부팅하고, 전력시설과 인터넷 서비스 제공업자를 대상으로 새로운 보안 규정도 마련해야 한다고 촉구했다. 하지만 그의 제안은 거의 무시됐다. 클라크는 “전력시설, 가스 파이프라인, 정유소, 상하수도 ·교통 시스템 등 모든 감시대상 산업이 여전히 사이버 공격에 취약하다”고 지적했다.
워싱턴 정가에서는 사이버 위협에 어떻게 대처해야 할지, 사이버 위협을 정녕 위협으로 간주해야 하는지 이견이 분분하다. 국무부와 상무부를 두루 거친 바 있는 제임스 루이스는 “미국이 해커에 굴복할 것이라는 얘기는 너무 과장된 시나리오”라며 “진지하게 받아들일 수 없다”고 주장했다. 그는 국제전략문제연구소(CSIS)의 보고서에서 사이버테러 가능성을 일축했다.
사이버공간의 허점을 메우는 데만 수십억 달러가 들어갈지 모른다. 미국 내 인프라의 80% 정도는 기업 소유다. 따라서 정부와 기업은 누가 비용을 부담해야 할지 합의조차 못하고 있다. 하원 기술문제 소위원회 소속의 애덤 퍼트넘 의원(공화 ·플로리다)은 “핵심 인프라에 자리 잡은 취약점을 다루기 위한 포괄적 전략도 아직 개발하지 못했다”며 이렇게 덧붙였다. “미국은 물리적 공격 예방에만 초점을 맞춘 나머지 사이버공간의 뒷문이 활짝 열려 있는데도 전혀 신경 쓰지 않는다. 9 ·11테러의 비극이 안겨준 교훈은 상상할 수 없는 것을 상상해야 한다는 점이다.”
상상할 수 없던 일이 점차 현실로 나타나고 있다. 미 연방수사국(FBI)은 미국에 대한 사이버테러 위협이 급증하고 있다고 경고했다. 올해 초반 FBI의 키스 루어도 부국장보는 상원에서 “테러집단들이 기본적인 해킹 툴 개발에 큰 관심을 보이고 있다”며 “해커를 양성하거나 고용할 것”이라고 증언했다. 미 해군대학원의 존 아킬라 교수는 미군이 2001년 아프가니스탄에서 발견한 자료로 볼 때 알카에다가 사이버테러리스트를 양성하기 위해 노력하고 있는 게 분명하다고 말했다.
퍼트넘은 “보안 ·정보 기관들에 따르면 상 ·하수도 제어 시스템이 알카에다의 표적이었다”고 전했다. 캘리포니아주 새너제이의 보안 컨설턴트 조셉 웨이스(Joseph Weiss)는 “지난 10년 동안 자동화 시스템에 대한 불법 사이버 침입이 50건 정도 발생했다”며 “물리적 핵심 장비들을 제어하는 시스템이지만 심각하게 받아들여지지 않고 있다”고 개탄했다.
알카에다는 전에도 인터넷으로 선전활동을 벌이며 조직원끼리 서로 연락했다. 파키스탄에서 컴퓨터 엔지니어 무하마드 나엠 누르 칸이 체포된 뒤 뉴욕주 ·뉴저지주 소재 금융기관들에 대한 알카에다의 공격계획을 파악할 수 있었다. 미 당국은 지난 8월 테러 경보를 발령했다. 2001년 케냐 나이로비 주재 미 대사관 폭탄테러 사건 공판에서 알카에다의 핵심 컴퓨터 전문가인 아부 아나스 알리비는 요원들에게 컴퓨터 감시 기술을 훈련시킨 바 있다고 진술했다.
현재 이슬람 사이버 테러집단 가운데 대다수는 특정 웹 사이트조차 마비시키지 못하는 수준이다. 그러나 지금은 배우는 단계다. 버지니아주 레스턴에 있는 온라인 보안 솔루션 제공업체 i디펜스(iDefense)는 4년 전부터 20여 개 온라인 테러리스트 토론그룹과 아랍어가 사용되는 해킹 포럼을 온라인으로 추적하고 있다고 밝혔다. i디펜스는 뱅크 오브 이스라엘(Bank of Israel)의 웹 페이지를 다운시키려다 실패한 해커들도 포착했다.
해킹 툴과 기술은 온라인에서 쉽게 접할 수 있다. i디펜스의 CEO 존 워터스(John Watters)는 “알카에다가 직접 해킹할 수 없다면 해커를 고용할 수도 있다”고 말했다. 지난해 한 전문가가 영국 버밍엄에서 열린 해킹회의를 통해 상수도 해킹에 관한 상세한 논문을 제출하기도 했다. 미 국가안보국(NSA)은 일부 국가가 그런 공격 능력을 이미 갖췄다고 밝혔다. 당국자들은 이란 ·북한 ·러시아 ·중국 인터넷 전쟁에 대비해 해커를 양성해 놓았다고 보고 있다.
미군의 컴퓨터 네트워크는 침투하기가 쉬운 것으로 판명됐다. 98년 해커들은 쥐도 새로 모르는 공격방법을 사용하기 시작했다. 그들은 수년간 미 국방부 컴퓨터에 침입해 민감한 기술 파일 수천 건을 빼냈다. 연방 당국은 ‘달빛 미로’라는 작전명 아래 침입 경로를 추적했다. 그 결과 해커들이 러시아 모스크바 인근에서 다이얼업 방식으로 접속했다는 사실을 알게 됐다. 하지만 해커는 잡을 수 없었다.
미국의 아킬레스건은 전기 ·상수도 ·가스 ·석유 ·네트워크를 움직이는 자동 제어 시스템이 무방비 상태에 놓여 있다는 점이다. 시스템은 각 공공시설이 ‘외딴 섬’으로 존재했을 당시 설계된 것들이다. 그러나 온라인 침입을 차단할 수 있는 방벽도 없이 모든 게 한 데 연결됐다.
클라크는 “제어 시스템을 인터넷과 연결해 놓고 있는 산업 전반이 취약하다”고 지적했다. 그렇지만 미 당국은 온라인 침입으로 언제 일부 제어 시스템이 영향을 받았는지 까맣게 모르는 경우가 왕왕 있다. 온라인 침입 보고 시스템조차 개발하지 않았다.
클라크는 이런 실상을 책으로 까발리고 테러 위협에 대한 미 정부의 기동성도 문제삼았다. 침착한 미 회계감사원(GAO)조차 ‘핵심 인프라’에 대한 위협을 우려했다. GAO는 지난 3월 발표한 보고서에서 이렇게 지적했다. “제어 시스템이 각종 사이버테러에 취약할 수 있다. 테러가 자행될 경우 가공할 만한 결과를 초래할 수 있다. 일례로 공중보건 및 안전이 위태로워질 것이다.”
공공시설의 무방비 상태가 특히 심하다. 미 해군대학원의 컴퓨터공학 교수인 테드 루이스(Ted Lewis)는 미국의 전력 중 80%를 생산하는 270개 발전소가 해킹 위협에 노출돼 있다고 밝혔다. 공공시설용 사이버 방어 시스템 공급업체인 베라노(Verano)의 CEO 브라이언 에이헌(Brian Ahern)은 “15개 공공시설을 방문했지만 한결같이 침입할 수 있었다”고 전했다.
널리 보급된 마이크로소프트(MS)의 소프트웨어도 취약하기는 마찬가지다. 지난해 1월 MS SQL 서버 웜인 이른바 ‘슬래머(Slammer)’가 오하이오주 오크하버에 있는 데이비드 베스 핵발전소의 컴퓨터망을 감염시켰다. 미 원자력규제위원회(NRC)는 슬래머가 안전 감시 시스템을 5시간 동안 무력화시켰다고 밝혔다. 다운된 제어 컴퓨터를 복구해 재가동하는 데 6시간이 걸렸다. 공개되지 않은 또 다른 시설에서는 주요 장비를 제어하는 컴퓨터 네크워크가 얼어붙고 말았다. 개인 차원의 공격도 있었다. 2000년 호주의 어느 하수 처리공장에 취직하려다 실패한 컨설턴트가 원격으로 하수 처리 시스템을 뚫고 들어갔다. 이어 그는 100만ℓ의 하수를 강과 공원으로 방류했다.
이들 시스템 가운데 상당수가 이른바 ‘집중 원격 감시 제어 시스템(SCADA)’이다. SCADA는 컴퓨터 ·네트워크 ·센서로 구성돼 광범위한 지역의 산업활동을 제어한다. 또 다른 것이 ‘분산제어시스템(DCS)’이다. DCS는 화학공장처럼 격리된 산업시설에서 종종 사용한다.
대다수 제어 시스템이 암호화돼 있지 않다. 해커가 침입해 조작하기가 쉬운 것이다. SCADA에 정통한 INEEL의 소프트웨어 엔지니어 스티븐 섀퍼(Steven Schaeffer)는 최근 제너럴 일렉트릭(GE)이 운영하는 모의시설을 실험 대상으로 삼았다. 그는 GE의 모의시설에서 사용 중인 SCADA를 제압할 수 있는 방법을 쉽게 찾아냈다.
셋업을 분석하고 코드를 작성하는 데 5개월밖에 안 걸렸다. 작성한 코드를 통해 랩톱 컴퓨터로 SCADA 시스템에 접속했다. 많은 차단기가 개폐되면서 모의시설은 결국 마비되고 말았다. 시스템 운영자는 이를 까맣게 모르고 있었다. 섀퍼는 “화학공장에서 이런 일이 발생한다면, 보팔 사건 같은 사고를 일으키고 싶어하는 해커가 있을 경우 어떻게 하겠는가”라고 반문했다. 보팔 사건이란 84년 3,800명의 목숨을 앗아간 인도 소재 유니온 카바이드(Union Carbide) 공장에서 일어난 화학물질 누출 사건이다. 섀퍼는 “소프트웨어를 다룬 경험이 약간만 있다면 누구든 할 수 있는 일”이라고 덧붙였다.
공장들이 인터넷을 통해 온라인으로 서로 연결되면서 더 취약해졌다. 인터넷 기반 자체도 공격에 취약하다. 베리사인(VeriSign)에서 근무하고 있는 NSA 관리 출신 켄 실바(Ken Silva)는 “누군가 인터넷을 마비시키면 많은 사람이 목숨을 잃게 될 것”이라고 경고했다. 베리사인은 인터넷 주소 데이터베이스를 운영하는 대표적인 업체다. 베리사인의 데이터베이스로 수십억 개의 디지털 패킷이 관리된다.
해커, 일부 국가, 이슬람 테러집단에 익히 알려진 몇몇 취약점이 두 영역에서 노출됐다. 베리사인에서 관리하는 도메인 네임 시스템(DNS), 인터넷 서비스 제공업체와 대형 네트워크의 라우팅 정보 교환방법을 규정하는 보더 게이트웨이 프로토콜(BGP)이 바로 그것이다. DNS는 인터넷과 연결된 수백만 대의 컴퓨터, 웹 사이트를 고유 일련 번호로 확인한다. 이어 이들 태그를 웹 주소로 변환한다. DNS는 세계 전역의 최고급 서버에서 운용된다.
서버들은 인터넷의 기둥이랄 수 있는 루트 서버 13대로부터 길 안내를 받는다. 루트 서버 대다수는 자원봉사자들이 관리한다. 대형 루트 서버의 보안상태는 매우 허술하다. 2002년 이른바 ‘분산 서비스 거부 공격’으로 감염된 컴퓨터 수만 대로부터 이들 대형 서버에 트래픽이 집중됐다. 당시 사건은 아직 해결되지 않았다. 분산 서비스 거부 공격이 1시간 정도 이어지면서 결국 루트 서버 9대가 다운됐다. 13대 모두 무너졌다면 인터넷 전체가 몇 시간, 아니 며칠 동안 마비됐을지도 모른다.
클라크는 인터넷 무력화 공격이 점증할 수 있다는 생각이다. BGP로 라우팅 정보를 조작하고 손상시키면 모든 것이 하나의 블랙홀에 빨려들어갈 수 있기 때문이다. 지난 4월 시스코(Cisco) 등 라우터 공급업체와 AT&T ·AOL 같은 인터넷 서비스 제공업체들은 BGP에 노출된 두 허점을 긴급히 수정해야 했다. 미 당국은 해커가 새로운 틈을 이용해 ‘인터넷 공동체 중 상당지역’까지 오염시킬 수 있다는 점에 대해 우려했다.
미 정부와 기업의 대응이 굼뜨거나 아예 대응조차 없는 경우가 비일비재하다. 지난해 북미 지역 전력업체들의 자율기구인 북미 전력신뢰도위원회(NERC)가 전력시설에 대한 새로운 사이버 보안 표준을 제정했다. NERC는 뉴욕시에 대규모 정전사태가 발생한 뒤인 68년 설립됐다. 올해 초반 전력업체들의 표준 준수 정도를 보여주는 보고서가 제출됐지만 NERC는 공개하지 않고 있다.
최근 ABB의 CEO에서 물러난 존 오셔(John O’Shea)는 “자체 감사 결과가 형편없지 않았나 하는 생각이 든다”며 “지난해 대규모 정전 사태 이후 전력망 안정을 위해 많은 노력이 기울여졌지만 지금은 흐지부지되고 말았다”고 전했다. ABB는 전력업체에 연간 2억 달러 상당의 제어 시스템을 판매하는 업체다.
미 정부가 업계에 긴급 수단을 강구하라고 몰아붙일 수도 있다. 하지만 미 정부 역시 발빠른 대응과는 거리가 멀다. 미 국토안보부는 온라인 세계를 전담할 사이버 책임자도 임명했다. 정보 보안업체 립테크(Riptech)의 창업자 아미트 요란(Amit Yoran)이다. 하지만 요란은 “업계와 정부로부터 반응을 이끌어낸다는 것이 생각보다 훨씬 힘든 과정”이라고 고백했다.
하원 사이버 보안 소위원회의 윌리엄 손베리 위원장(공화 ·텍사스)은 “행동보다 내분과 불평이 앞서고 있다”며 “국토안보부가 제자리를 잡는 데 이처럼 오래 걸리니 실망스럽기 그지없다”고 꼬집었다.
정계에서 합의가 도출된다 해도 비용은 누가 부담할 것인가. 프랭크 리부티 국토안보부 차관은 지난 6월 기업의 정보기술(IT) 담당 임원들 앞에서 “민간부문이 부담해야 한다”고 못박았다.
사실 비용은 민간부문이 맡아야 한다. 기업 네트워크의 보안강화는 기업 책임이기 때문이다. 하지만 미국의 인프라를 구성하고 있는 많은 기업이 철저한 규제 아래 놓여 있는데다 신규 비용도 고객에게 전가할 수 없는 처지다. 다른 업체들은 재정형편이 안 좋다. 아니면 가격인상이 거의 불가능한 냉혹한 시장에서 경쟁해야 한다.
손베리는 “기업이 결단을 내려야 한다”고 주장했다. 이에 필요한 규정을 새로 만들어 강요하기보다 세제혜택으로 기업의 지출을 유도해야 한다는 생각이다. 그는 “업계에 활력을 불어넣기 위해 책임보험 인센티브 제도와 세금 혜택이 필요하지만 어떤 법안도 상정된 바 없다”고 비판했다.
정부가 주저하면 업계는 망설인다. 공공시설 관계자들은 보안강화 서비스 제공이 부진하다고 투덜거린다. 제조업체들은 공공시설 업체가 보안과 관련된 비용부담을 꺼린다고 반박했다. 보안 컨설턴트 웨이스는 “한마디로 딜레마”라며 “시장이 보안 시스템을 구매하지 않는 판에 제조업체가 수백만 달러나 들여 선뜻 개발할 수는 없는 일”이라고 분석했다.
혼란을 바로잡기는 매우 어려울 듯싶다. 수천 대의 기존 구닥다리 시스템을 한꺼번에 업데이트할 수는 없다. 설계방식이 서로 달라 특정 시스템의 패치 소프트웨어가 다른 컴퓨터를 교란시킬 수 있기 때문이다. 새 장비는 보안상태가 양호하지만 널리 보급되지 못하고 있다. 다우 케미컬(Dow Chemical)의 최고정보책임자(CIO)인 데이비드 케플러(David Kepler)는 “납품업체들에 더 믿을 만한 시스템을 갖춰달라고 부탁했지만 시스템 제조업체들이 기대와 달리 신속히 공급하지 못하고 있다”고 들려줬다.
제어 시스템 제조업체인 GE ·지멘스(Siemens)갂BB 등 대기업은 보안이 강화된 신규 제품을 내놓아도 고객들이 망설인다고 전했다. 지멘스의 SCADA 개발 책임자 폴 스케어(Paul Skare)는 “고객들이 공짜만 바란다”고 볼멘소리를 했다. 오셔는 “고객업체들이 최신 솔루션을 갖추고 싶어하지만 비용 때문에 구매를 주저한다”고 설명했다.
MS가 윈도 신버전을 선보일 때마다 보았듯 보안이 강화된 소프트웨어는 비싸다. ABB는 INEEL의 고수급 해커들과 손잡고 120만 달러짜리 신형 SCADA 시스템 초기 버전에서 취약점을 찾는 작업에 돌입했다. 물론 허점 투성이었다.
연간 매출 14억 달러의 인벤시스(Invensys)는 대규모 화학 ·석유 업체에 제어 시스템과 관련 서비스를 판매하고 있다. 인벤시스는 전문가 30명을 고객업체로 파견해 기존 제어 시스템의 평가 ·점검에 나선다. 처음에는 무료였지만 지금은 비용을 청구하고 있다.
사이버테러로부터 벗어나기 위해서는 결국 누군가 돈을 내야 한다. 문제는 기업이 주도하느냐 아니면 정부가 강제 조치를 취할 때까지 기다리느냐 하는 점이다. 미국 정부는 9 ·11테러로 항공 보안에 뚫린 허점이 노출된 뒤 미 전역의 공항 보안 시스템 5만5,000대를 장악했다. 신설 국토안보부 주도로 교통안전청(TSA)이 구성됐다.
TSA는 85억 달러 상당의 계약을 체결하고 내년에 사용할 53억 달러도 추가로 요청해 놓은 상태다. 하지만 내년 국토안보부의 사이버 보안 부서 예산은 8,000만 달러도 안 된다.
상상할 수 없었던 테러공격이 미국에서 다시 자행된다면, 미국의 네트워크를 무력화시킨 기습 공격이라면 의회는 어떤 행동으로 나올까. 공격을 예상치 못한 이유를 조사할 위원회나 구성할 것이다.
ⓒ이코노미스트(https://economist.co.kr) '내일을 위한 경제뉴스 이코노미스트' 무단 전재 및 재배포 금지
제이슨 라슨(Jason Larsen ·31)은 해킹의 고수다. 말총머리에 셔츠 ·바지 ·안경 모두 검은 색이다. 프로그래머 라슨은 아이다호주 아이다호폴스에 있는 비밀스러운 아이다호 국립 공학환경연구소(INEEL)에서 사이버테러범이 온라인으로 침입해 전력망의 회로 차단기를 작동시키거나 화학물질 저장 탱크의 밸브를 열 수 있지 않을까 연구한다.
라슨은 “하루에 20여 개 도시에서 쉽게 전력을 차단할 수 있다”고 장담한다. 그는 여러 대규모 공공시설의 자동 제어 시스템에 침입한 전력이 있다. 대개 1주일이면 가능하다. 라슨 같은 전문가는 보통 사람들에게 사이버테러 위협을 항상 주지시킨다. 사이버테러범들이 컴퓨터 해킹으로 인터넷 ·전화 ·전력망을 마비시킬 수 있다는 것이다. 전문가들은 컴퓨터 보안 예산이 충분치 않기 때문에 참혹한 결과가 빚어질 수도 있다고 경고한다.
이들 전문가에게는 다른 꿍꿍이가 있다. 하지만 그들의 말이 맞을지 모른다. 1990년대 들어 인터넷이 바이러스처럼 널리 확산됐다. 수백 개 공공시설 ·화학공장 ·하수처리장이 온라인으로 연결되면서 원격감시 및 실시간 쌍방향 통신도 가능해졌다. 그러나 구닥다리 제어 시스템은 디지털 침입에 대한 보호 조치가 부족해 표적이 되기 쉽다.
역사상 가장 파괴적인 테러는 이슬람 극단주의자들이 비행학교에 입학하면서 시작돼 비행기가 비행폭탄으로 탈바꿈한 뒤 끝났다. 9 ·11테러 3주년을 맞은 지금 미래의 테러는 사이버공간에서 일어날 가능성이 커졌다. 알카에다 조직원 같은 테러리스트들이 사이버전쟁을 일으키는 데 필요한 온라인 기술 습득에 매달리고 있다는 구체적인 증거가 속속 드러나고 있다. 테러범들은 인터넷을 통해 미군 태평양 사령부의 통신 시스템을 마비시키거나 로스앤젤레스 혹은 시카고의 전력을 차단할 수 있다. 애리조나주 루스벨트 댐의 거대한 수문을 열거나 웹의 상당 부분을 붕괴시킬 수도 있다.
미국에서는 이런 사태를 막기 위한 어떤 십자군도 조직되지 않았다. 지난해 조지 W 부시 미국 대통령은 ‘사이버공간 보안을 위한 국가 전략(NSSC)’에 서명했다. NSSC의 목표는 미국 내 네트워크를 철저히 개선하는 것이다. 리처드 클라크 전 백악관 테러담당 보좌관은 정부의 컴퓨터 시스템 전반을 리부팅하고, 전력시설과 인터넷 서비스 제공업자를 대상으로 새로운 보안 규정도 마련해야 한다고 촉구했다. 하지만 그의 제안은 거의 무시됐다. 클라크는 “전력시설, 가스 파이프라인, 정유소, 상하수도 ·교통 시스템 등 모든 감시대상 산업이 여전히 사이버 공격에 취약하다”고 지적했다.
워싱턴 정가에서는 사이버 위협에 어떻게 대처해야 할지, 사이버 위협을 정녕 위협으로 간주해야 하는지 이견이 분분하다. 국무부와 상무부를 두루 거친 바 있는 제임스 루이스는 “미국이 해커에 굴복할 것이라는 얘기는 너무 과장된 시나리오”라며 “진지하게 받아들일 수 없다”고 주장했다. 그는 국제전략문제연구소(CSIS)의 보고서에서 사이버테러 가능성을 일축했다.
사이버공간의 허점을 메우는 데만 수십억 달러가 들어갈지 모른다. 미국 내 인프라의 80% 정도는 기업 소유다. 따라서 정부와 기업은 누가 비용을 부담해야 할지 합의조차 못하고 있다. 하원 기술문제 소위원회 소속의 애덤 퍼트넘 의원(공화 ·플로리다)은 “핵심 인프라에 자리 잡은 취약점을 다루기 위한 포괄적 전략도 아직 개발하지 못했다”며 이렇게 덧붙였다. “미국은 물리적 공격 예방에만 초점을 맞춘 나머지 사이버공간의 뒷문이 활짝 열려 있는데도 전혀 신경 쓰지 않는다. 9 ·11테러의 비극이 안겨준 교훈은 상상할 수 없는 것을 상상해야 한다는 점이다.”
상상할 수 없던 일이 점차 현실로 나타나고 있다. 미 연방수사국(FBI)은 미국에 대한 사이버테러 위협이 급증하고 있다고 경고했다. 올해 초반 FBI의 키스 루어도 부국장보는 상원에서 “테러집단들이 기본적인 해킹 툴 개발에 큰 관심을 보이고 있다”며 “해커를 양성하거나 고용할 것”이라고 증언했다. 미 해군대학원의 존 아킬라 교수는 미군이 2001년 아프가니스탄에서 발견한 자료로 볼 때 알카에다가 사이버테러리스트를 양성하기 위해 노력하고 있는 게 분명하다고 말했다.
퍼트넘은 “보안 ·정보 기관들에 따르면 상 ·하수도 제어 시스템이 알카에다의 표적이었다”고 전했다. 캘리포니아주 새너제이의 보안 컨설턴트 조셉 웨이스(Joseph Weiss)는 “지난 10년 동안 자동화 시스템에 대한 불법 사이버 침입이 50건 정도 발생했다”며 “물리적 핵심 장비들을 제어하는 시스템이지만 심각하게 받아들여지지 않고 있다”고 개탄했다.
알카에다는 전에도 인터넷으로 선전활동을 벌이며 조직원끼리 서로 연락했다. 파키스탄에서 컴퓨터 엔지니어 무하마드 나엠 누르 칸이 체포된 뒤 뉴욕주 ·뉴저지주 소재 금융기관들에 대한 알카에다의 공격계획을 파악할 수 있었다. 미 당국은 지난 8월 테러 경보를 발령했다. 2001년 케냐 나이로비 주재 미 대사관 폭탄테러 사건 공판에서 알카에다의 핵심 컴퓨터 전문가인 아부 아나스 알리비는 요원들에게 컴퓨터 감시 기술을 훈련시킨 바 있다고 진술했다.
현재 이슬람 사이버 테러집단 가운데 대다수는 특정 웹 사이트조차 마비시키지 못하는 수준이다. 그러나 지금은 배우는 단계다. 버지니아주 레스턴에 있는 온라인 보안 솔루션 제공업체 i디펜스(iDefense)는 4년 전부터 20여 개 온라인 테러리스트 토론그룹과 아랍어가 사용되는 해킹 포럼을 온라인으로 추적하고 있다고 밝혔다. i디펜스는 뱅크 오브 이스라엘(Bank of Israel)의 웹 페이지를 다운시키려다 실패한 해커들도 포착했다.
해킹 툴과 기술은 온라인에서 쉽게 접할 수 있다. i디펜스의 CEO 존 워터스(John Watters)는 “알카에다가 직접 해킹할 수 없다면 해커를 고용할 수도 있다”고 말했다. 지난해 한 전문가가 영국 버밍엄에서 열린 해킹회의를 통해 상수도 해킹에 관한 상세한 논문을 제출하기도 했다. 미 국가안보국(NSA)은 일부 국가가 그런 공격 능력을 이미 갖췄다고 밝혔다. 당국자들은 이란 ·북한 ·러시아 ·중국 인터넷 전쟁에 대비해 해커를 양성해 놓았다고 보고 있다.
미군의 컴퓨터 네트워크는 침투하기가 쉬운 것으로 판명됐다. 98년 해커들은 쥐도 새로 모르는 공격방법을 사용하기 시작했다. 그들은 수년간 미 국방부 컴퓨터에 침입해 민감한 기술 파일 수천 건을 빼냈다. 연방 당국은 ‘달빛 미로’라는 작전명 아래 침입 경로를 추적했다. 그 결과 해커들이 러시아 모스크바 인근에서 다이얼업 방식으로 접속했다는 사실을 알게 됐다. 하지만 해커는 잡을 수 없었다.
미국의 아킬레스건은 전기 ·상수도 ·가스 ·석유 ·네트워크를 움직이는 자동 제어 시스템이 무방비 상태에 놓여 있다는 점이다. 시스템은 각 공공시설이 ‘외딴 섬’으로 존재했을 당시 설계된 것들이다. 그러나 온라인 침입을 차단할 수 있는 방벽도 없이 모든 게 한 데 연결됐다.
클라크는 “제어 시스템을 인터넷과 연결해 놓고 있는 산업 전반이 취약하다”고 지적했다. 그렇지만 미 당국은 온라인 침입으로 언제 일부 제어 시스템이 영향을 받았는지 까맣게 모르는 경우가 왕왕 있다. 온라인 침입 보고 시스템조차 개발하지 않았다.
클라크는 이런 실상을 책으로 까발리고 테러 위협에 대한 미 정부의 기동성도 문제삼았다. 침착한 미 회계감사원(GAO)조차 ‘핵심 인프라’에 대한 위협을 우려했다. GAO는 지난 3월 발표한 보고서에서 이렇게 지적했다. “제어 시스템이 각종 사이버테러에 취약할 수 있다. 테러가 자행될 경우 가공할 만한 결과를 초래할 수 있다. 일례로 공중보건 및 안전이 위태로워질 것이다.”
공공시설의 무방비 상태가 특히 심하다. 미 해군대학원의 컴퓨터공학 교수인 테드 루이스(Ted Lewis)는 미국의 전력 중 80%를 생산하는 270개 발전소가 해킹 위협에 노출돼 있다고 밝혔다. 공공시설용 사이버 방어 시스템 공급업체인 베라노(Verano)의 CEO 브라이언 에이헌(Brian Ahern)은 “15개 공공시설을 방문했지만 한결같이 침입할 수 있었다”고 전했다.
널리 보급된 마이크로소프트(MS)의 소프트웨어도 취약하기는 마찬가지다. 지난해 1월 MS SQL 서버 웜인 이른바 ‘슬래머(Slammer)’가 오하이오주 오크하버에 있는 데이비드 베스 핵발전소의 컴퓨터망을 감염시켰다. 미 원자력규제위원회(NRC)는 슬래머가 안전 감시 시스템을 5시간 동안 무력화시켰다고 밝혔다. 다운된 제어 컴퓨터를 복구해 재가동하는 데 6시간이 걸렸다. 공개되지 않은 또 다른 시설에서는 주요 장비를 제어하는 컴퓨터 네크워크가 얼어붙고 말았다. 개인 차원의 공격도 있었다. 2000년 호주의 어느 하수 처리공장에 취직하려다 실패한 컨설턴트가 원격으로 하수 처리 시스템을 뚫고 들어갔다. 이어 그는 100만ℓ의 하수를 강과 공원으로 방류했다.
이들 시스템 가운데 상당수가 이른바 ‘집중 원격 감시 제어 시스템(SCADA)’이다. SCADA는 컴퓨터 ·네트워크 ·센서로 구성돼 광범위한 지역의 산업활동을 제어한다. 또 다른 것이 ‘분산제어시스템(DCS)’이다. DCS는 화학공장처럼 격리된 산업시설에서 종종 사용한다.
대다수 제어 시스템이 암호화돼 있지 않다. 해커가 침입해 조작하기가 쉬운 것이다. SCADA에 정통한 INEEL의 소프트웨어 엔지니어 스티븐 섀퍼(Steven Schaeffer)는 최근 제너럴 일렉트릭(GE)이 운영하는 모의시설을 실험 대상으로 삼았다. 그는 GE의 모의시설에서 사용 중인 SCADA를 제압할 수 있는 방법을 쉽게 찾아냈다.
셋업을 분석하고 코드를 작성하는 데 5개월밖에 안 걸렸다. 작성한 코드를 통해 랩톱 컴퓨터로 SCADA 시스템에 접속했다. 많은 차단기가 개폐되면서 모의시설은 결국 마비되고 말았다. 시스템 운영자는 이를 까맣게 모르고 있었다. 섀퍼는 “화학공장에서 이런 일이 발생한다면, 보팔 사건 같은 사고를 일으키고 싶어하는 해커가 있을 경우 어떻게 하겠는가”라고 반문했다. 보팔 사건이란 84년 3,800명의 목숨을 앗아간 인도 소재 유니온 카바이드(Union Carbide) 공장에서 일어난 화학물질 누출 사건이다. 섀퍼는 “소프트웨어를 다룬 경험이 약간만 있다면 누구든 할 수 있는 일”이라고 덧붙였다.
공장들이 인터넷을 통해 온라인으로 서로 연결되면서 더 취약해졌다. 인터넷 기반 자체도 공격에 취약하다. 베리사인(VeriSign)에서 근무하고 있는 NSA 관리 출신 켄 실바(Ken Silva)는 “누군가 인터넷을 마비시키면 많은 사람이 목숨을 잃게 될 것”이라고 경고했다. 베리사인은 인터넷 주소 데이터베이스를 운영하는 대표적인 업체다. 베리사인의 데이터베이스로 수십억 개의 디지털 패킷이 관리된다.
해커, 일부 국가, 이슬람 테러집단에 익히 알려진 몇몇 취약점이 두 영역에서 노출됐다. 베리사인에서 관리하는 도메인 네임 시스템(DNS), 인터넷 서비스 제공업체와 대형 네트워크의 라우팅 정보 교환방법을 규정하는 보더 게이트웨이 프로토콜(BGP)이 바로 그것이다. DNS는 인터넷과 연결된 수백만 대의 컴퓨터, 웹 사이트를 고유 일련 번호로 확인한다. 이어 이들 태그를 웹 주소로 변환한다. DNS는 세계 전역의 최고급 서버에서 운용된다.
서버들은 인터넷의 기둥이랄 수 있는 루트 서버 13대로부터 길 안내를 받는다. 루트 서버 대다수는 자원봉사자들이 관리한다. 대형 루트 서버의 보안상태는 매우 허술하다. 2002년 이른바 ‘분산 서비스 거부 공격’으로 감염된 컴퓨터 수만 대로부터 이들 대형 서버에 트래픽이 집중됐다. 당시 사건은 아직 해결되지 않았다. 분산 서비스 거부 공격이 1시간 정도 이어지면서 결국 루트 서버 9대가 다운됐다. 13대 모두 무너졌다면 인터넷 전체가 몇 시간, 아니 며칠 동안 마비됐을지도 모른다.
클라크는 인터넷 무력화 공격이 점증할 수 있다는 생각이다. BGP로 라우팅 정보를 조작하고 손상시키면 모든 것이 하나의 블랙홀에 빨려들어갈 수 있기 때문이다. 지난 4월 시스코(Cisco) 등 라우터 공급업체와 AT&T ·AOL 같은 인터넷 서비스 제공업체들은 BGP에 노출된 두 허점을 긴급히 수정해야 했다. 미 당국은 해커가 새로운 틈을 이용해 ‘인터넷 공동체 중 상당지역’까지 오염시킬 수 있다는 점에 대해 우려했다.
미 정부와 기업의 대응이 굼뜨거나 아예 대응조차 없는 경우가 비일비재하다. 지난해 북미 지역 전력업체들의 자율기구인 북미 전력신뢰도위원회(NERC)가 전력시설에 대한 새로운 사이버 보안 표준을 제정했다. NERC는 뉴욕시에 대규모 정전사태가 발생한 뒤인 68년 설립됐다. 올해 초반 전력업체들의 표준 준수 정도를 보여주는 보고서가 제출됐지만 NERC는 공개하지 않고 있다.
최근 ABB의 CEO에서 물러난 존 오셔(John O’Shea)는 “자체 감사 결과가 형편없지 않았나 하는 생각이 든다”며 “지난해 대규모 정전 사태 이후 전력망 안정을 위해 많은 노력이 기울여졌지만 지금은 흐지부지되고 말았다”고 전했다. ABB는 전력업체에 연간 2억 달러 상당의 제어 시스템을 판매하는 업체다.
미 정부가 업계에 긴급 수단을 강구하라고 몰아붙일 수도 있다. 하지만 미 정부 역시 발빠른 대응과는 거리가 멀다. 미 국토안보부는 온라인 세계를 전담할 사이버 책임자도 임명했다. 정보 보안업체 립테크(Riptech)의 창업자 아미트 요란(Amit Yoran)이다. 하지만 요란은 “업계와 정부로부터 반응을 이끌어낸다는 것이 생각보다 훨씬 힘든 과정”이라고 고백했다.
하원 사이버 보안 소위원회의 윌리엄 손베리 위원장(공화 ·텍사스)은 “행동보다 내분과 불평이 앞서고 있다”며 “국토안보부가 제자리를 잡는 데 이처럼 오래 걸리니 실망스럽기 그지없다”고 꼬집었다.
정계에서 합의가 도출된다 해도 비용은 누가 부담할 것인가. 프랭크 리부티 국토안보부 차관은 지난 6월 기업의 정보기술(IT) 담당 임원들 앞에서 “민간부문이 부담해야 한다”고 못박았다.
사실 비용은 민간부문이 맡아야 한다. 기업 네트워크의 보안강화는 기업 책임이기 때문이다. 하지만 미국의 인프라를 구성하고 있는 많은 기업이 철저한 규제 아래 놓여 있는데다 신규 비용도 고객에게 전가할 수 없는 처지다. 다른 업체들은 재정형편이 안 좋다. 아니면 가격인상이 거의 불가능한 냉혹한 시장에서 경쟁해야 한다.
손베리는 “기업이 결단을 내려야 한다”고 주장했다. 이에 필요한 규정을 새로 만들어 강요하기보다 세제혜택으로 기업의 지출을 유도해야 한다는 생각이다. 그는 “업계에 활력을 불어넣기 위해 책임보험 인센티브 제도와 세금 혜택이 필요하지만 어떤 법안도 상정된 바 없다”고 비판했다.
정부가 주저하면 업계는 망설인다. 공공시설 관계자들은 보안강화 서비스 제공이 부진하다고 투덜거린다. 제조업체들은 공공시설 업체가 보안과 관련된 비용부담을 꺼린다고 반박했다. 보안 컨설턴트 웨이스는 “한마디로 딜레마”라며 “시장이 보안 시스템을 구매하지 않는 판에 제조업체가 수백만 달러나 들여 선뜻 개발할 수는 없는 일”이라고 분석했다.
혼란을 바로잡기는 매우 어려울 듯싶다. 수천 대의 기존 구닥다리 시스템을 한꺼번에 업데이트할 수는 없다. 설계방식이 서로 달라 특정 시스템의 패치 소프트웨어가 다른 컴퓨터를 교란시킬 수 있기 때문이다. 새 장비는 보안상태가 양호하지만 널리 보급되지 못하고 있다. 다우 케미컬(Dow Chemical)의 최고정보책임자(CIO)인 데이비드 케플러(David Kepler)는 “납품업체들에 더 믿을 만한 시스템을 갖춰달라고 부탁했지만 시스템 제조업체들이 기대와 달리 신속히 공급하지 못하고 있다”고 들려줬다.
제어 시스템 제조업체인 GE ·지멘스(Siemens)갂BB 등 대기업은 보안이 강화된 신규 제품을 내놓아도 고객들이 망설인다고 전했다. 지멘스의 SCADA 개발 책임자 폴 스케어(Paul Skare)는 “고객들이 공짜만 바란다”고 볼멘소리를 했다. 오셔는 “고객업체들이 최신 솔루션을 갖추고 싶어하지만 비용 때문에 구매를 주저한다”고 설명했다.
MS가 윈도 신버전을 선보일 때마다 보았듯 보안이 강화된 소프트웨어는 비싸다. ABB는 INEEL의 고수급 해커들과 손잡고 120만 달러짜리 신형 SCADA 시스템 초기 버전에서 취약점을 찾는 작업에 돌입했다. 물론 허점 투성이었다.
연간 매출 14억 달러의 인벤시스(Invensys)는 대규모 화학 ·석유 업체에 제어 시스템과 관련 서비스를 판매하고 있다. 인벤시스는 전문가 30명을 고객업체로 파견해 기존 제어 시스템의 평가 ·점검에 나선다. 처음에는 무료였지만 지금은 비용을 청구하고 있다.
사이버테러로부터 벗어나기 위해서는 결국 누군가 돈을 내야 한다. 문제는 기업이 주도하느냐 아니면 정부가 강제 조치를 취할 때까지 기다리느냐 하는 점이다. 미국 정부는 9 ·11테러로 항공 보안에 뚫린 허점이 노출된 뒤 미 전역의 공항 보안 시스템 5만5,000대를 장악했다. 신설 국토안보부 주도로 교통안전청(TSA)이 구성됐다.
TSA는 85억 달러 상당의 계약을 체결하고 내년에 사용할 53억 달러도 추가로 요청해 놓은 상태다. 하지만 내년 국토안보부의 사이버 보안 부서 예산은 8,000만 달러도 안 된다.
상상할 수 없었던 테러공격이 미국에서 다시 자행된다면, 미국의 네트워크를 무력화시킨 기습 공격이라면 의회는 어떤 행동으로 나올까. 공격을 예상치 못한 이유를 조사할 위원회나 구성할 것이다.
| 사이버 지하드 |
| 테러공격은 엉성했다. 사이버테러리스트들 가운데 한 사람인 아브르 아힘은 ‘테러닷컴(terror.com)’ 정도로 번역할 수 있는 한 웹 사이트에 아랍어 메시지를 올렸다. 전자 알카삼 여단(Electronic Al-Qasam Brigade)이 공격을 감행할 것이라는 내용이었다. 또 다른 사이버테러리스트 사키르 알 카이다는 도와줄 사람이 3,000명을 넘는다고 자랑했다. 그는 이어 한 웹 사이트에 단순한 서비스 거부 공격 요령을 설명해 놓은 링크도 걸어놓았다. 그들은 나흘 뒤 메카 시각으로 밤 9시에 공격할 계획이었다. 아랍어 구사가 가능한 i디펜스의 첩보팀 소속 해커들이 모든 것을 주시하고 있었다. 첩보팀은 금융서비스 업계의 고객기업들에 위협을 통보했다. 지난해 6월 공격 개시일에 사이버 지하드 전사들이 다른 웹 사이트로 몰려들었다. 공격대상인 이스라엘의 웹 사이트 목록과 원시적인 공격 툴로 무장한 채였다. 그들이 주요 표적으로 삼은 것은 뱅크 오브 이스라엘의 웹 페이지였다. 그러나 웹 페이지를 다운시키는 데 실패했다. 이후 온라인 게시판에 전자 지하드 작전을 실패작으로 자평한 글이 올라왔다. i디펜스에 따르면 사이버테러리스트들은 사우디아라비아 출신일 가능성이 크다. 게다가 이들은 매우 부지런하다. 1차 공격에 실패했지만 단념하지 않고 온라인에서 자신들이 실패한 원인을 분석했다. 그들은 인터넷 공격에서 대원들 사이에 소프트웨어 툴이 동일해야 한다는 것을 알았다. 지금은 다음 공격을 준비하고 있다. 그들이 올린 한 메시지에 이렇게 쓰여 있었다. “다음 공격을 원하시는 신이 우리와 함께하시니 더 좋은 전과가 나타날 것이다.” |
ⓒ이코노미스트(https://economist.co.kr) '내일을 위한 경제뉴스 이코노미스트' 무단 전재 및 재배포 금지
많이 본 뉴스
1벌써 4년차…하림 프리미엄 ‘더미식’ 자리 못 잡는 이유
2“관세는 사전에서 가장 아름다운 단어”…트럼프 행정부, 보호무역주의 강화 하나
3통념과는 다른 지침, '창업' 꿈꾸는 이에게 추천하는 이 책
4AI에 외치다, “진행시켜!”… AI 에이전트 시대 오나
5한국에도 중소도시의 새로운 기회가 올까
6로또 1146회 1등 당첨번호 ‘6·11·17·19·40·43’,…보너스 ‘28’
7“결혼·출산율 하락 막자”…지자체·종교계도 청춘남녀 주선 자처
8“역지사지의 마음으로 진정성 있는 소통에 나설 것”
950조 회사 몰락 ‘마진콜’ 사태 한국계 투자가 빌 황, 징역 21년 구형