These hackers showed just how easy it is to target critical infrastructure

국가 중요 시설, 얼마나 쉽게 해킹당할 수 있나

4월에 열렸던 해킹 대회 ‘폰투온’에서 네덜란드 연구원 두 명이 전 세계 전력망과 가스관 등을 제어하는 소프트웨어를 해킹하여 우승을 차지했다. 이들의 말에 따르면 이번 해킹은 이들이 지금까지 시도한 해킹 중에 가장 쉬운 작업이었다.

단 쾨퍼르(Daan Keuper)는 이전에도 밝은 스포트라이트 아래에서 해킹에 도전한 적이 있다.

2012년 그는 세계 최대의 해킹 대회 ‘폰투온(Pwn2Own)’ 중앙 무대에서 아이폰 신제품을 해킹하여 3만 달러의 상금을 받았다. 2018년에 쾨퍼르와 그의 동료 테이스 알케마더(Thijs Alkemade)는 호기심으로 자동차를 해킹했고, 지난해에는 팬데믹으로 인해 널리 사용되고 있는 화상회의 소프트웨어와 코로나 앱을 해킹하기도 했다.

그리고 이번 4월 말에 두 사람은 전 세계 중요 인프라 운영에 사용되는 소프트웨어를 해킹하는 데 성공하면서 이번 폰투온 대회 우승 트로피와 함께 상금 9만 달러를 손에 넣었다.

네덜란드 출신의 두 연구원은 이번 해킹이 자신들이 지금까지 했던 해킹 중에서 가장 간단했다고 밝혔다.

쾨퍼르는 “산업 제어용 시스템은 여전히 보안이 매우 취약하다”고 설명했고, 알케마더는 이에 동의하며 “다른 것보다 해킹이 훨씬 간단했다”고 덧붙였다.

사람들이 마이애미에서 열린 이번 폰투온 대회 무대에서 이 두 사람이 중요한 산업용 소프트웨어를 해킹하는 장면을 보고 있던 바로 그때, 미국과 동맹국들은 러시아 해커들이 전력망, 원자로, 상수도 등 중요 인프라를 해킹할 가능성이 크다고 경고하고 있었다. 지난 4월 중순에는 러시아의 한 해킹 집단이 우크라이나의 전력망을 해킹하려고 시도하다가 붙잡혔고 또 다른 해킹 집단은 중요한 산업 시스템을 교란하려고 하다가 발각되기도 했다.

폰투온은 해킹 대회지만 대회 참가자들이 공격 대상으로 삼는 시스템은 실제와 동일하다. 이번 4월에 마이애미에서 열린 폰투온 대회의 해킹 대상은 중요 시설을 가동하는 모든 산업용 제어 시스템이었다. 그리고 대회 참가자들은 공격 대상으로 제시된 거의 모든 소프트웨어에 침투하는 데 성공했다. 기업들이 이 대회를 후원하는 이유는 해킹에 성공한 해커들이 공유하는 보안 관련 사항을 토대로 취약점을 수정하기 위해서다. 그러나 이 대회의 결과는 중요 인프라의 보안 취약점을 수정하려면 갈 길이 멀다는 사실을 보여주기도 한다.

이번 행사를 진행한 더스틴 차일즈(Dustin Childs)는 “우리가 산업용 제어 시스템에서 목격하고 있는 수많은 버그들은 10년에서 15년 전에 기업용 소프트웨어에서 발견했던 버그들과 유사하다. 이러한 취약점을 해결하려면 해야 할 일이 매우 많다”고 설명했다.

중요한 해킹 대상을 찾아서

올해 대회에서 주목할만한 공격 대상은 ‘아이코닉스 제네시스64(Iconics Genesis64)’였다. 이것은 사람과 기계 간의 인터페이스 도구이며, 이 도구를 해킹하면 해커들이 주요 해킹 대상들을 공격하면서도 시스템을 관리하는 사람들이 문제를 전혀 파악하지 못하게 만들 수 있다.

이는 매우 위험하다. 우리는 10년 전 악성코드 ‘스턱스넷(Stuxnet)’이 이란의 핵 시설에 침투했을 때 이미 비슷한 일을 목격한 적이 있다. 당시 미국과 이스라엘이 제작한 것으로 추측되는 웜 바이러스 ‘스턱스넷’은 이란의 핵 시설에 침투해 핵물질을 분리하는 데 사용되는 가스 원심분리기 내부의 ‘프로그래밍 가능한 논리 제어기(Programmable Logic Controller, PLC)’를 교란하면서 동시에 기계를 조작해서 이란의 핵 시스템 담당자들이 상황을 전혀 알 수 없게 만들었다. 이러한 교묘한 방해 공작 덕분에 해당 해킹 작전의 성공률이 상당히 증가했다.

이번 대회에서 ‘아이코닉스 제네시스64’를 성공적으로 해킹하여 통제권을 완전히 장악한 해커팀은 여섯 팀 이상이었다. 이 팀들이 가져간 상금은 총 7만 5,000달러에 달한다.

차일즈는 “아이코닉스 제네시스64에 이렇게 많은 버그가 있다니 정말 놀랍다. 현재 상황을 보면 지금 사람들이 보고하고 있는 것보다 훨씬 더 많은 버그가 있을 것”이라고 말했다.

한편 이번 대회의 하이라이트는 OPC UA라는 통신 프로토콜을 공격 대상으로 삼은 쾨퍼르와 알케마더 팀이 차지했다. OPC UA는 중요 운영 시스템의 여러 부분들이 산업 현장에서 서로 소통하기 위해 사용하는 ‘공용어’라고 이해하면 된다. 자신들의 회사명 ‘컴퓨테스트(Computest)’로 참가한 쾨퍼르와 알케마더는 신뢰할 수 있는 애플리케이션 검사를 우회하는 데 성공했다.

두 사람이 우회에 성공하는 순간 대회장에서는 일주일에 걸친 대회 기간 중 가장 큰 박수가 곧바로 터져 나왔다. 쾨퍼르와 알케마더가 관객석으로 노트북을 돌려서 성공 화면을 보여주자 사람들은 웅성대기 시작했다. 그리고 불과 몇 초 만에 이들은 상금 4만 달러와 대회 우승 타이틀인 ‘마스터 오브 폰(Master of Pwn)’을 획득하기에 충분한 점수를 얻었다.

차일즈는 그 순간 “우리는 지금 엄청난 것을 목격하고 있다”고 말했다.

쾨퍼르는 “OPC UA는 산업계 모든 곳에서 시스템들을 서로 연결하는 데 사용된다. 일반적인 산업용 네트워크의 핵심적인 구성 요소라고 할 수 있다. 하지만 우리는 무언가를 읽거나 변경하는 데 필요한 인증 절차를 우회하는 데 성공했다. 그래서 사람들이 우리의 해킹을 가장 중요하고 흥미로운 작업이라고 생각한 것이다. 취약점을 찾아내는 데는 이삼일밖에 걸리지 않았다”고 말했다.

이들이 2012년에 아이폰을 해킹했을 때는 3주에 걸친 집중적인 작업이 필요했다. 그러나 이번 OPC UA 해킹은 쾨퍼르와 알케마더가 평소처럼 일을 하다가 기분 전환을 위해 시도한 사이드 프로젝트에 지나지 않았다. 그러나 이 프로젝트의 영향력은 상당히 크다.

아이폰 해킹과 중요 인프라 소프트웨어에 해킹이 가져올 수 있는 결과에는 엄청난 차이가 있다. 아이폰은 쉽게 업데이트될 수 있고 신제품도 자주 출시된다.

그러나 중요 인프라를 제어하는 시스템의 경우, 일부 시스템은 수십 년 동안 계속해서 사용될 수도 있다. 게다가 알려진 보안 취약점 중 일부는 전혀 수정되지 않을 수도 있다. 이러한 시스템은 오프라인 상태로 만들 수 없기 때문에 담당자들이 보안 취약점을 수정하기 위한 기술 업데이트를 할 수 없을 때가 많다. 중요 인프라나 산업용 시스템을 끄고 켜는 것은 전등이나 노트북을 껐다가 켜는 것처럼 간단하지 않다.

쾨퍼르는 “산업용 제어 시스템의 구동 환경은 완전히 다르다. 이런 시스템에서는 취약점 문제도 다르게 바라봐야 한다. 일반적인 해결책과는 완전히 다른 해결책이 필요하다”고 말했다.

쾨퍼르와 알케마더는 자신들이 해킹에 성공한 것이 산업용 시스템의 보안 문제를 즉시 해결해 줄 것이라고 착각하지 않는다. 이들은 이번 해킹이 괜찮은 출발점이라고 생각한다.

알케마더는 “나는 세상을 더 안전하게 만드는 데 도움을 주는 공공의 이익을 위해 연구한다. 그리고 우리는 사람들이 우리 말에 귀 기울일 수 있도록 관심을 끄는 일을 한다. 돈이 중요한 게 아니라 우리가 할 수 있는 일을 세상에 보여주는 것이 중요하다”고 말했다.

쾨퍼르는 “우리가 세상을 더 안전한 곳으로 만들었기를 바란다”고 덧붙였다. 한편 폰투온 대회는 지난해 2백만 달러를 기부하면서 계속해서 주목을 받고 있다. 5월 중순부터는 해커들이 밴쿠버에 모여서 대회 15주년을 기념하고 있다. 이들의 해킹 대상 중 하나는 ‘테슬라 자동차’다.

미리보기 3회1회

MIT Technology Review 구독을 시작하시면 모든 기사를 제한 없이 이용할 수 있습니다.