2024-04-15 11:10 (월)
국내 전력시스템, 사이버공격 이렇게 가능해
상태바
국내 전력시스템, 사이버공격 이렇게 가능해
  • 길민권
  • 승인 2011.11.13 23:08
이 기사를 공유합니다

전력시스템 내부 통신망, 외부와 연계돼 보안위협으로 작용
제어시스템, 원격에서 직접 접근 못하도록 정책 설정해야
얼마전 한전 통제권을 벗어난 정전사태가 발생했다. 이를 두고 보안전문가들은 전력망에 악성코드 침투에 의한 해커의 조작이 있었던 것은 아닌지 의문을 제기하기도 했다. 한국전력측은 절대 해킹에 의한 사고가 아니라고 일축했지만, 스카다(SCADA) 시스템에 대한 지속적인 보안위협이 발생하면서 국가 기간망에 대한 전반적인 보안점검이 필요한 것은 사실이다.
 
정일훈 고려대학교 정보보호대학원생은 얼마전 국방과학연구원이 주최한 제1회 사이버공격 시나리오 공모전에서 ‘국가 전력망 사이버공격 시나리오’를 출품해 수상을 했다.
 
정일훈씨는 “보안 위협은 기존 개인정보 유출이나 금전적 피해를 넘어 인간의 생명 혹은 국가적 위협에 이르는 수준에 도달했다”며 특히 “전력망의 스카다 시스템은 폐쇄형, 단독망 운영관리로 내부적으로 보안이 고려되지 않은 상태”라고 지적했다.

 
기반시설 위협 요인으로는 정보시스템과 제어시스템의 연결 시에 발생하는 침해사고 가능성, 제어 시스템 유틸리티와 툴을 이용한 외부에서의 원격 침해 가능성, 제어시스템을 제작한 밴더들의 원격지원이나 접근을 위한 서비스나 포트 연결로 인한 침해, 내부자가 원격에서 리모트 매니지먼트 툴을 이용해 제어 시스템을 통제하려 할 때 침해 발생 가능성 등을 들 수 있다.  
 
그럼 어떤 방식으로 국내 전력망을 공격할 수 있을지 시나리오를 살펴보자.
 
◇국내 전력망 공격 시나리오=공격자는 1990년대부터 해킹 전문가를 양성하고 사이버전 전담부대를 운영하고 있는 북한이다. 우선 남파된 북한 사이버전 요원은 다양한 사회공학적 방법으로 정보를 수집하고 구글에서 국내 전력망 관련 상세정보 수집, 한국전력 관계자를 이용한 내부정보 수집 후 스매밍을 통한 악성코드 유포 등으로 공격 정보수집을 한다.

 
이를 통해 스카다 시스템은 여러부분에서 무선통신 도입이 검토 중이고 실제로 서울도시가스의 경우 운영비용 감소를 위해 무선 RTU를 설치한다. 또 무선 통신 암호화에 대한 공격방법 등에 대한 정보를 입수한다.
 
다음 단계는 공격루트를 설정한다. 수집된 정보를 통한 무선 취약점을 활용한다. 또 한전 내부직원을 이용해 백도어를 설치한다.
 
또한 한전은 자체적인 통신라인을 구축해 사용하고 있다. 이를 기반으로 과거 통신사업에 진출도 했는데 현재 LG파워콤에 매각한 상태다. 하지만 여전히 LG파워콤 통신사업 기반은 한전 내부에 활용되고 있을 가능성이 존재한다. 만약 한전 내부에 파워콤 통신라인이 사용되고 있다면 외부와의 연계점이 되어 보안에 심각한 위협요소가 될 수 있다. 따라서 공격자는 이 부분의 취약점을 집중 공격할 가능성이 크다.  
 
또한 클라우드 기반의 DDoS 공격을 시도할 수 있다. 클라우드 환경에서 구축한 여러 대의 C&C서버를 활용해 대규모 공격자원으로 이용해 디도스 공격을 할 수 있다.
 
또 스텔스 무인 항공기와 GPS Jammer를 이용해 한전의 주요 GPS 수신 장비에 공격을 감행할 경우 대규모 정전사태가 발생할 수 있다.
 
이렇게 취약점을 통한 내부망 침입이 가능하다. 네트워크 정보를 이용해 취약부분을 확인해 내부망에 침입, 한전 내부에 존재하는 파워콤 라인과 접점을 이용해 내부망에 침입, 정보 시스템과 제어시스템과의 접점을 이용 내부망 침입, 한전 제어시스템에서 사용하는 유틸리티 취약점을 이용해 내부망에 침입이 가능하다.
 

전력망 제어시스템 공격은 해당 시스템의 통제권을 확보했을 경우 가장 먼저 에너지 관리 시스템(EMS, 한국전력거래소)에 접근, EMS 데이터 변조를 통해 전력망에 가장 큰 피해 유발이 가능하다.
 
공격자는 전력망 통신 프로토콜을 이미 파악했다. 한국 전력의 DNP(Distributed Network Protocol) 3 취약점을 이용해 수집된 동작 코드를 변조해 원하는 형태로 데이터를 변조할 수 있다. DNS3 데이터 변조를 통해 내부망 자체에 타격을 가할 수 있다. 이때 전력 공급의 문제가 발생한다.

 
◇전력망 공격 대응방안=정일훈씨는 대응책으로 기본적으로 Defense-In-Depth(다중방어) 전략이 필요하다고 강조했다. 보안 정책은 기반시설의 외부 정보 제공 부분이나 연결지점의 엄격한 관리, 기반시설 제어 시스템을 원격에서 직접 제어 시스템에 접근을 하지 못하도록 정책설정, 내부 사용자에 대한 보안교육강화 및 보안 조직 강화, 기반시설 제어 시스템에 대한 대외 정보 유출 금지, 스마트 그리드 및 기반시설에서의 무선네트워크 사용 절대 금지, 주요 시설에 추가적인 스마트 CCTV 설치를 통한 물리보안 강화 등이 필요하다.
 

보안기술 대응방안은 미래에 발생 가능한 바이러스 및 해킹에 대한 기술 연구, 이메일의 암호화 및 파일 및 디렉토리에 대한 Locking을 강화할 것, 정기적이고 철저한 보안성 검사 및 취약성 점검을 수행할 것, SCADA 장비의 비 정상적인 움직임이 나타나는 경우의 제어방법 강구 및 모니터링 방안에 대한 고려 등이 필요하다.
 
또 추가적으로 최근 클라우드 컴퓨팅 서비스가 IT분야 전반에 파급되고 있는 상황에서 해당 인프라가 공격자에게 장악되었을 경우 언제든지 강력한 무기로 활용될 수 있기 때문에 향후에는 클라우드 환경에 대한 정보보호 체계의 구축이 필요하다.
 
한편 GPS Jamming 대응 방안은 국외의 경우 전파교란에 대한 대응책으로 위기관리체계 수립 및 운용이 필요하다. 미국, 영국, 독일, 호주 전파교란 감시 기술 동향 파악이 필요하고 국내 실정에 맞는 GPS 전파교란 감시 기술이 필요하다. 또 2011년~2014년 ETRI에서 다원화 항법 주파수 감시 및 이용기술을 개발하고 있다.
 
DNP3 프로토콜의 공격 대응방안은 제어시스템 전용 보안 프로토콜 기술 개발이 필요하다. 기밀성, 무결성, 인증 서비스를 지원할 수 있는 프로토콜 개발, 단 제어시스템에서 가장 중요한 요소인 가용성이 보장되어야 한다. [데일리시큐=길민권 기자]
■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★