이거 사실인가요?

“다이하드 4.0이라는 영화처럼요? 우리나라에서 현실로 일어날 수 있습니다. 그런 허점을 나라에서 숨기려 하는 게 말이 됩니까?”
블록버스터 ‘다이하드 4.0’에서는 정부의 보안 정책에 불만을 품은 천재 IT컨설턴트가 해킹으로 국가 인프라망을 붕괴시키려 한다. 이런 일이 우리나라에서도 쉽게 가능하다는 주장은 파문을 일으키기 충분했다.

지난 15일 대규모 정전 당시 많은 이들이 이 ‘다이하드 4.0’이라는 영화를 떠올렸다. 이튿날, 서울 구로구에 위치한 특수보안업체 ‘큐브피아’에서는 기자간담회가 열렸다. 이 회사 대표는 ‘정전이 해킹에 의한 것일 가능성이 있다’고 주장, 파문을 일으켰다. 이에 지식경제부와 한국전력, 전력거래소 등은 가능성을 일축했다. 과연 그럴까. 23일 큐브피아 권석철 대표를 만나 구체적인 이야기를 들었다.

▲한국전력거래소 상황실의 모습. 이 곳에서 우리나라 모든 전력배송전이 운영된다.

권 대표는 “누구도 지금 상황의 문제를 지적하지 않기에 ‘고양이 목에 방울을 다는 심정’으로 문제를 제기한 것”이라며 이야기를 시작했다.

우리나라 보안망은 ‘수비자’ 입장에서 만든 체계

‘큐브피아’는 백신이나 악성코드를 잡아내는 진단프로그램을 만드는 ‘평범한’ 보안업체가 아니었다. 10여 명의 ‘특별한 직원’들은 권 대표와 함께 고객의 요청에 따라 고객사의 전산망을 실제로 ‘해킹’한다. 대기업을 포함해 수십 곳의 고객사 중 지금까지 이들의 공격을 막아낸 곳은 단 한 곳도 없었다고 한다.

“지금 우리나라 보안업계는 해킹을 ‘수비자’의 입장에서만 보고 있어요. 하지만 해커는 ‘공격자’입니다. ‘공격자’는 자기가 원할 때 우리를 공격할 수 있습니다.”

국내 유일의 보안점검업체 ‘큐브피아’ 권석철 대표는 답답하다는 듯 말했다.

“해커들은 자유롭습니다. 몇 초 만에 해킹을 하는 게 아닙니다. 먼저 목표물을 찾은 뒤 차근차근 준비를 합니다. 쓸 수 있는 모든 수단을 씁니다. 해커는 자기가 원할 때 원하는 방법으로, 원하는 경로를 통해 뚫고 들어옵니다. 반면 해킹을 막아야 하는 백신업체나 정부, 기업 등은 기존의 바이러스나 악성코드를 분석한 뒤 24시간 365일 방화벽 등으로 방어를 해야 하는 등의 ‘한계’가 있습니다. 그런데도 지금 우리나라의 거의 모든 곳에서는 ‘해킹’을 ‘방어하는 시각’에서만 접근해 문제를 해결하려 합니다.”

권 대표의 설명에 따르면 백신업체나 정부, 군, 기관, 기업 등에서는 기존의 공격을 분석한 뒤 그 ‘룰(Rule)’에 따라 대책을 만들고 대응하기 때문에 한계가 있을 수밖에 없다고 지적했다. 하지만 실력 있는 해커라면 이미 목표가 된 기관의 ‘방어막 구조’를 치밀하게 분석한 뒤 약점만 공격하기 때문에 소용이 없다는 것이다. 최고 실력의 해커에게 당할 때는 해킹을 당했는지도 모른다는 게 그의 설명이었다.   

권 대표는 지금 보안업체나 정부, 기관, 기업의 보안대책을 보면 인터넷에 떠돌거나 쉽게 찾을 수 있는 악성코드, 해킹 툴에 대응한 대책만 만들고 있는 것도 문제로 봤다. 세계 각국을 휘젓고 다니는 해커라면 아무나 ‘다운’받을 수 있는 해킹 툴이 아니라 목표물의 보안구조는 물론 방어수단의 구조까지 분석한 뒤 직접 해킹툴을 만들어 ‘한 번 쓰고 버린다’는 설명이었다.

▲2009년 2월 미국에서는 중앙교통통제시스템을 해킹해 '앞쪽에 공룡이 있으니 주의하세요'라는 해커의 장난이 있었다.

그렇다면 정말 영화 ‘다이하드 4.0’과 같은 일도 가능하다는 건가. “충분히 가능하다. 특히 우리나라는 더욱 그렇다”는 게 그의 대답이었다.

연결선만 없으면 ‘무조건 안전하다’는 우리나라

권 대표는 “우리나라의 민?관?군에 대한 방어망은 매우 훌륭하다”고 운을 뗐다.
“하지만 문제는 방어 도구(Tool)를 만든 후에는 모든 이에게 공개하는 것”이라고 지적했다.
대기업이나 공기업의 경우 IT전문 계열사를 통해 통합 관리되는 게 가장 큰 문제라고 지적했다. 이 IT전문 계열사의 방어막만 뚫으면 전체 정보에 접근할 수 있다는 말이었다.

그렇다면 우리나라 국가기간망은 어떨까.
지난 15일 대규모 정전 사태 당시 지경부와 한전, 전력거래소 등은 ‘인프라를 관리하는 스카다(SCADA)망은 망 자체가 인터넷과 연결되어 있지 않고 입력도 직접 해야 하기 때문에 해킹 염려는 없다’고 단언했다.

‘스카다’ 망이란 ‘중앙제어시스템(SCADA, Supervisory Control and Data Acquisition)’의 약자다. 집중 원격감시 제어시스템 또는 감시 제어 데이터 수집시스템이라고도 한다. 데이터를 수집해 기록하고 원격 제어할 수 있는 시스템이다. 발전, 송·배전시설, 석유화학 플랜트, 제철공정 시설, 공장 자동화 시설 등에 쓰인다. 한전 또한 수력발전소, 화력발전소, 원자력발전소, 송?배전 시설 등을 관리하는 ‘스카다’망을 운영하고 있다.   

지경부 담당자는 본지와의 전화통화를 통해 “전력거래소나 발전소의 스카다 망은 철저히 독립되어 있다. 외부로 연결된 랜선 또한 모니터 디스플레이를 위한 출력선만 있을 뿐 제어를 위한 입력선은 없다. 와이파이(무선인터넷)도 안 된다. 때문에 해커가 아니라 해커 할아버지가 와도 이를 조작하는 건 불가능하다”고 설명했다.

하지만 권 대표는 “가능하다”고 단언했다.

“우리나라 전체를 마비시키려면, 인원은 구체적으로 가늠하기 어렵지만 최소한 3개월, 길게는 1년 정도의 시간을 두고 약점을 찾는다면 가능하지 않을까 봅니다.”

지경부에서는 ‘물리적으로도 불가능하다’는데 어떻게 가능할까.

권 대표는 “지금 정부가 정보공개를 명목으로 모든 걸 인터넷을 통해 보여주고 있기 때문”이라고 답했다. 그는 “정부에서 내부로 숨어든 사람이 스카다 망에 직접 접속해야만 해킹이 가능하다고 보는 데 그것부터가 문제”라고 지적했다.

▲일반적인 스카다(scada)망의 개념도. 정부와 주요 시설 관계자는 '물리적으로 해킹이 불가능하다'고 하지만 해커들은 '가능하다'고 말한다.

“스카다 망이라 해서 물리적으로는 분리되어 있다고 생각할지 몰라도 이를 제어하는 ‘접점’은 존재하는 경우가 대부분입니다. 실제 지금 인터넷으로 접속할 수 있는 댐이나 발전소 관리센터에는 댐의 수위 등이 실시간으로 표시됩니다. 이 정도의 ‘접점’만 있어도 해킹은 가능합니다. 외부로 연결된 선에는 따로 입출력 개념이 없습니다.”

권 대표는 “이런 다양한 접점을 찾은 뒤 시한폭탄 같은 ‘웜바이러스’를 심으면 국가 기간망은 물론 금융, 통신, 교통 시스템까지 순식간에 마비될 수 있다”고 지적했다. 

그는 자료 영상을 보여줬다. ‘에릭 바이어’라는 보안 전문가가 스카다망에 웜바이러스가 든 USB를 한 번 꽂는 것만으로 전력시스템이 마비되는 영상이었다.

영상은 스카다망 통제실에서 본 발전시설 수치는 정상이지만 실제 발전소에서는 폭발이 일어나는 것이었다. 

야심차게 준비 중인 ‘스마트 그리드’도 ‘스카다’로 운영

권 대표는 2009년 SBS가 방영했던 스페셜 다큐멘터리도 보여줬다. 2003년 8월 뉴욕 대정전 사태를 소개하는 것이었다. 당시 미국 북동부 지역 7개 주, 5,000만 명의 시민들에게 큰 피해를 준 이 정전은 발전소 중앙제어 시스템이 ‘블래스터 웜 바이러스’에 감염돼 발생했다. 컴퓨터를 계속 꺼트리는 ‘블래스터 웜 바이러스’가 시스템을 감염시켜 전력 송출이 마비된 것이다.

‘스카다’ 망을 마비시킨 사례는 여러 번 있었다. 최근에는 이란이 당했다.
2010년 ‘스턱스넷’의 공격으로 원전 시설이 마비됐음을 인정했던 이란 정부는 지난 4월 11일 ‘스타스’라는 악성코드 공격을 받았다고 밝혔다. 이 악성코드도 원전 시설의 ‘스카다’ 망을 노렸다고 한다. 하지만 누구도 이란 원전의 ‘스카다’ 망에 ‘물리적 접근’을 한 적이 없다.

▲2003년 8월 뉴욕대정전 당시 시민들이 대중교통수단에서 내려 걸어가고 있다. 당시 뉴욕주 전체의 모든 전력망이 마비됐다.

보안 전문가들도 ‘스카다’ 망이 인터넷과 물리적으로 분리되어 있다는 것만 믿는 사람들에게 비슷한 경고를 하고 있다.

제1회 국제해킹방어대회 우승자인 스페인 해커 호세 듀어트는 “스카다 시스템 때문에 해킹의 위험성이 그만큼 커졌다”고 말했고, 2011년 국제해킹방어대회 우승자 박찬암 씨 또한 “해킹을 통해 제어권한을 획득하면 수도·전기·가스 공급 등을 조작할 수 있다”고 경고했다. 세계적인 보안전문업체 시만텍의 엔리크 살림 CEO 또한 지난 2월 “물리적 시설을 마비시키기 위해 고안된 ‘스턱스넷’과 같은 위협이 앞으로 더욱 커질 것”이라고 경고했다.

그럼에도 이런 스카다 망은 이미 국내 대기업은 물론 대부분의 사회 기반시설에 사용 중이다. 철도 예약·발권에서부터 대형 빌딩의 전기·냉난방, 다목적댐의 수문 제어, 서울시 수돗물의 수질관리 등이 모두 스카다 망으로 운영된다.

국내 최대 규모의 스카다 망은 2011년부터 시범 운영될 한전의 ‘스마트 그리드’다. 기존 발전소와 전력망에 센서·카메라를 부착해 중앙제어센터가 지역별 발전량과 전력 소비량 등을 모두 파악해 각 지역에 적절한 시간에 맞춰 알맞은 양의 전기를 보내준다.

이 ‘스마트 그리드 스카다’ 망에 대해 보안업계는 다양한 해킹 가능성이 있다고 지적하며 정부가 제정하려는 ‘스마트 그리드법(지능형 전력망 촉진법안)’에 보안 규정을 넣어야 한다고 주장하고 있다. 하지만 지경부와 한전 등은 이에 별 다른 반응을 보이지 않고 있다.

中선 해킹 방법 그림으로 설명한 책이 7,000원에 팔려

그렇다면 어떻게 이런 위험을 막아야 할까.
권 대표는 우선 보안에 대한 개념부터 바꿔야 한다고 말했다.

“우리나라 보안의 취약점은 한두 군데가 아닙니다. 그 중에서도 가장 시급한 점은 ‘밖에서 들어오는 신호는 검사하지만 안에서 나가는 신호는 그냥 내버려둔다’는 점입니다.”

이런 이유로 관계기관에서 접속권한 등을 가진 사람의 개인정보만 얻으면 마음 놓고 내부망에 접속해 시설을 마비시킬 수 있다는 말이었다. 대표적인 사례가 네이트 해킹이라고 했다.

“20층, 30층이 넘는 아파트를 보면 ‘물리적’으로는 도둑이 들 수 없을 것 같죠? 하지만 실제로는 어떻습니까? 택배를 가장해 권한을 ‘승인’받거나 옥상에서 밧줄을 타고 내려가거나 배관을 타고 올라가기도 합니다. 해킹도 마찬가지입니다.”

▲2003년 8월 뉴욕대정전 당시 위성사진. 뉴욕대정전의 원인은 '블래스터 웜바이러스'인 것으로 밝혀졌다.

실제 기업 등의 의뢰를 받아 해킹을 하다 보면 해당 기업의 실무자들은 해커가 아니라 회사 관계자가 접속한 것으로 알고선 무관심하게 대응한다고 했다. 특히 고객사의 임원이나 오너 개인정보를 얻으면 접속 불가능한 정보가 없다고 했다. 해킹이라는 ‘상상’도 하지 않는단다.

이야기를 듣고 보니 심각했다. 대책은 없는 걸까.

권 대표는 몇 가지 의견을 제시했다. 먼저 지금의 보안 패러다임을 완전히 바꿔야 한다고 했다. 그렇지 않으면 악성코드든 DDoS 공격이든 계속 일어날 것이라고 전망했다. 이 때문에 일전에 ‘우리나라의 모든 PC를 포맷하자’는 제안을 했던 것이라고 말했다.

보다 구체적인 대책 몇 가지도 들었다. 우선 악성코드나 DDoS 공격 등이 발생했을 때 ‘중국 IP’만 나오면 ‘북한 소행’으로 단정 짓는 것부터 그만두자고 제안했다.

“지금 우리나라의 전반적인 보안수준은 세계 해커들에게는 ‘놀이공원’ 수준입니다. 놀기에도 좋고 돈이 되는 정보도 많구요. 그런데다 북한과 대치중인 상황이니 해커들이 ‘위장 IP’를 중국으로만 돌려두면 모두 북한 소행이 되는 겁니다.”

권 대표는 해킹 문제의 본질은 ‘누구?’가 아니라 ‘뚫렸는가? 아닌가?’라고 지적했다. 해킹 피해를 입은 후 IP가 중국으로만 나오면 ‘북한의 소행’으로 지레 짐작하고는 ‘포기’하고, ‘정치 이슈’로 변질되는 게 문제라는 것이었다.

그는 “중국의 해킹 방법을 철저히 분석해 대비해야 한다”며 중국에서 구한 ‘해킹 책’ 몇 권을 보여줬다. 책장마다 세계 각국의 주요 사이트를 어떻게 해킹해야 하는지 캡쳐 화면까지 보여주며 상세히 설명해 놓고 있었다. 가격은 49위안(한화 약 7,000원)에 불과했다.

“북한이 해커부대를 키우고 있다는 것도 사실입니다. 하지만 중국 또한 ‘홍커’라는 해커부대를 키우고 있습니다. 지금 우리나라 보안 수준은 누가 했는지도, 심지어 해킹을 당했는지도 모르는 정도입니다. 무엇보다 문제의 본질은 해킹을 북한이 했다, 중국이 했다가 아니라 보안망이 뚫렸다는 것 자체입니다. 뚫렸다면 어디서 뚫었는지를 즉각 파악한 뒤 추적하는 시스템도 갖춰져야 해커들이 우습게보지 않습니다.”

권 대표는 ‘해킹=어린애들 장난’으로 보는 사회적 인식도 바꿔야 한다고 지적했다.

“일전에 어떤 기자가 와서는 ‘시범으로 해킹 한 번만 해보라’ ‘내 애인 미니홈피 좀 해킹해 달라’고 하더군요. 하지만 그건 엄연한 범죄행위입니다. 저희 사업은 고객의 합법적인 승인이 없으면 못 하는 일임에도 언론에서는 이 일을 장난처럼 생각하더군요.”

권 대표는 해킹에 대한 약점을 쉬쉬하는 정부와 대기업도 태도를 바꿔야 한다고 지적했다.

“이런 문제가 만천하에 드러나면 사회적으로 동요가 일어날 수 있고 혼란만 가중된다는 정부의 말도 일리가 있습니다. 그렇다고 문제가 있는 걸 계속 숨기기만 해서는 안 됩니다. 뼈를 깎는 고통을 감수하고 지금의 문제를 고칠 생각을 해야 진짜 죽지 않을 수 있습니다.”

“갈 곳 잃은 인재들, 양지로 이끌어야”

권 대표는 무엇보다 근본적인 원인으로 해커들이 갈 곳을 잃었다는 점과 해킹을 막는 데 민?관?군이 따로 나뉘어 있는 게 문제라고 지적했다.

▲중국 시중에서 판매되고 있는 해킹 설명서. 가격은 50위안 수준이다. 책은 캡쳐화면까지 수록해가며 세계 각국 사이트를 해킹하는 방법을 설명하고 있다.

권 대표에 따르면 지금 우리나라에서 ‘도구’ 없이 해킹을 ‘할 줄 안다’고 할 만한 사람은 불과 500~600여 명. 이들 중 수십 명은 그나마 보안업체 등에서 ‘사회를 지키기’ 위해 일하고 있지만 그보다 조금 더 많은 해커들이 개인정보를 빼내거나 불법 성인게임을 만들고, 개인 PC의 자원을 허락 없이 사용하는 프로그램을 만드는 일을 하고 있다고 했다. 이유는 단 하나 일하는 시간도 마음대로 정하는 데다 보수가 매우 높은 편이기 때문이라고.

이들 외에 나머지 70%의 사람들은 자신이 갈 곳을 찾지 못해 게임업체나 포털 등을 기웃거리며 특기를 살리지 못하고 있다고 했다. 이들을 ‘양지’로 이끌어내 육성해야만 해킹을 제대로 막을 수 있다고 했다.

“물론 대기업에서는 이들에게 스카웃 제의를 많이 한답니다. 하지만 해커들이 어떤 사람들입니까. 출퇴근 시간에 맞춰 일하고, ‘회장님’부터 이사, 부장까지 받들어 모시고 눈치 보면서 일하는 그런 사람들이 아니지 않습니까. 대기업은 이들을 자신들의 조직과 문화, 룰에 ‘끼워 맞추려’고 하니 해커들은 그들의 제안을 거절합니다.”

‘공공과 민간의 구별이 없는 사이버 공간’의 보안체계를 민?관?군이 따로 구축해 운영하는 점도 문제라고 했다. 권 대표는 미국의 사례를 들었다.

“미국은 예전에는 NSA 등이 모든 보안문제를 담당하다 최근에는 사이버사령부를 창설하고 민간인까지 불러 일을 시키고 있습니다. NSA 국장 직급도 대장으로 높아졌죠. 반면 우리나라는 어떻습니까. 요새 해커들은 일반인들의 PC를 원격조종해 정부와 군 관련 기관을 공격합니다. 그럼 이건 과연 누구의 관할일까요.”

권 대표는 영화 ‘해운대’를 예로 들면서 말을 마쳤다.

“지금 저는 쓰나미가 밀려온다고 소리치고 다니지만 아무도 믿지 않는 사람 같은 심정입니다. 어떤 업계 관계자는 저보고 ‘너만 보안관련 일 하느냐’는 식으로 비난하기도 합니다. 하지만 문제가 심각하다는 걸 누군가는 알려야 합니다.”

권 대표와의 인터뷰를 하던 무렵 지경부는 23일 <연합뉴스>와 <머니투데이> 등의 보도에 해명자료를 보내왔다.

보도는 김성회 의원(한나라당)이 지식경제위에서 ‘최근 북한이 국내 원전시설에 대해 해킹시도를 했으며 3년 동안 지경부 산하 공기업에 대해 1만945건의 해킹 시도를 했다’는 것이었고, 지경부의 설명은 ‘보도내용에서 언급한 해킹시도 건수는 지식경제부 사이버안전센터에서 365일/24시간 보안 관제를 통해 탐지한 침입시도 건수로서 해킹사고와는 무관하며 한 번도 해킹당한 적이 없다’는 것이었다.

하지만 이 해명자료를 보며 ‘뛰어난 해커는 흔적조차 남기지 않는다’는 권 대표의 말이 떠올랐다.
과연 단 한 건의 해킹도 없었다고 자신할 수 있을까.