사회 기반 시설 해킹으로 큰일날 뻔한 캐나다

사회 중요 기반 시설을 겨냥한 해킹 사건이 캐나다에서 발생했다. 다행히 피해가 크지는 않았고, 따라서 사회적 혼란이라 할 만한 현상이 야기되지도 않았다. 하지만 이는 공격자들이 실패해서가 아니다. 애초에 해커들의 목적은 ‘스릴’이었을 뿐이었다. 공격자들이 다른 목적으로 움직였다면 상황이 달라졌을 수 있다는 뜻이다.

무슨 일 있었나?

캐나다사이버보안센터(Canadian Centre for Cyber Security)와 캐나다왕립기마경찰(Royal Canadian Mounted Police)이 공동으로 발표한 내용에 의하면 한 핵티비스트 단체가 산업 제어 시스템(ICS)에 침투해 임의로 조작하는 데 성공했다고 한다. 문제의 ICS는 캐나다 한 지역의 상수도 시설, 한 에너지 기업, 한 농장에 각각 연결돼 있었다. 공격자들은 ICS에 진입한 뒤 일부 게이지를 조작했다고 한다. 

“에너지 기업의 경우 탱크 게이지가 임의로 조작됐으며, 농장의 경우 건조 온도가 바뀌는 일이 있었습니다. 일찌감치 발견해 조치를 취하지 않았다면 더 큰 사태로 이어질 수도 있었습니다.” 공동 발표문에 나온 내용이다. 다만 공격 기법이 정교하지는 않았고, 특정 국가가 배후에 있는 것으로 보이지는 않는다며, “누군가의 도 넘은 장난으로 보인다”고 조사관들은 설명했다. “이들은 스릴을 위해, 그리고 언론에 등장하기 위해 이러한 장난을 친 것으로 보입니다.”

진짜 심각한 건, 그러한 아마추어의 허술한 공격을 ICS 관리자들이 허용했다는 사실이다. “공격자들은 맞춤형 악성코드를 제작하거나, 내부자 접근 권한을 훔치기 위해 전략을 구사하는 등의 노력을 기울이지 않았습니다. 특별한 장비를 구매한 것도 아니고, 누군가를 매수하지도 않았습니다. 인터넷 연결과 왕성한 호기심만으로 이 공격을 성공시켰습니다.”

기본이 파괴될 때

이 말은 피해를 입은 ICS들이 죄다 인터넷에 직접 연결되어 있었고, 그럼에도 보호되어 있지 않았다는 의미가 된다. ICS는 설계 단계에서부터 인터넷에 연결하지 않은 채 사용하는 것을 상정하고 만들어진다. 폐쇄망 전용 장치라고도 할 수 있다. 하지만 현실에서는 점점 더 많은 ICS들이 인터넷에 연결되고 있는데, 그 이유는 운영상의 효율성 때문이다. 스마트 팩토리나 원격 모니터링, 데이터 분석 등의 이유로 ICS를 인터넷과 클라우드에 연결해 사용함으로써 추가 수익을 내거나 비용을 절감할 수 있어 기업으로서는 ‘인터넷 연결’이라는 유혹에 빠지기 십상이다.

“관리자가 본사에서 원격으로 발전소 상태를 보고 싶다? 그럴 때 ICS가 인터넷에 연결돼 있으면 직접 방문 없이도 확인이 가능합니다. 유지보수 업체가 장비 상태를 진단해야 할 때, ICS를 인터넷에 연결하기만 하면 원격에서 할 수 있습니다. 실시간 데이터 분석을 위해 센서 정보를 클라우드로 전송할 때도 ICS가 인터넷에 연결되어 있어야 합니다.” 조사관들의 설명이다.

‘ICS가 설계 단계에서부터 인터넷에 연결하지 않은 채 사용하는 것을 상정하고 만들어진다’는 것도 중요한 내용이다. 그 말은 현대의 보안 개념이 탑재되지 않은 채 출시된다는 뜻이기 때문이다. 실제 많은 ICS들이 비밀번호와 같은 기본적인 인증 절차를 탑재하지 않고 있다. 있다 하더라도 부실하며, 매우 단순한 비밀번호만으로도 인증해준다. 데이터 암호화는 적용되지 않으며, 윈도XP와 7 등 오래된 OS를 기반으로 하고 있다. 인터넷에 연결된 순간 모든 사람이 드나들 수 있는 자산이 되는 것이다.

핵티비스트들의 유행, ICS 건드리기

최근 핵티비스트들이 이러한 ICS의 현실을 파악했는지, 인터넷에 노출된 ICS를 찾아 건드리는 경우가 조금씩 늘어나고 있다고 일부 전문가들은 말한다. 보안 기업 사이블(Cyble)은 “2025년 2분기에 발생한 핵티비스트 공격의 31%가 ICS를 노리고 있었다”며 “1분기 29%에 비해 증가한 수치”라고 발표했다. 그러면서 러시아의 지펜테스트(Z-Pentest)라는 핵티비스트 그룹이 특히 ICS를 많이 노린다고 경고했다.

핵티비스트와 ICS는 여러 모로 잘 어울린다. 
1) 핵티비스트는 고도의 해킹 기술력을 앞세우지 않는다. 그러므로 보호가 허술한 ICS를 노리는 게 적격이다.
2) 핵티비스트는 이목을 끄는 게 주요 목적이다. ICS는 워낙 중요한 시설들에 포진해 있어, 건드리기만 해도 대서특필 된다.
3) 핵티비스트는 기술적/금전적 피해보다 명성과 신뢰도를 훼손하고 싶어 한다. ICS가 당하는 횟수가 늘어나면 해당 지방 자치 기관이나, 더 나아가 국가가 가지고 있는 명성이 빠르게 훼손된다. 

‘ICS가 공격 난이도는 낮은데 핵티비즘 효과는 크다’는 소문이 퍼지기 시작하면 수많은 핵티비스트들의 공격이 시작될 것이라고 전문가들은 우려하고 있다. 살짝 건드려 눈에 띄기만 하면 되고, 실질적인 피해를 입히려는 게 아니기 때문에 핵티비스트들이 ICS를 공격한다고 해도 관리자는 알아채지 못하거나, 덮어버릴 가능성이 높다는 것도 같은 맥락에서 염려되는 내용이다. 사건이 조용히 묻힌다는 건 핵티비스트 입장에서 ‘실패’이기 때문에, 성공할 때까지 공격을 이어갈 가능성도 높다. 그렇다는 건 결국 더 큰 사건으로 이어질 수 있다는 의미가 된다.

ICS, 어떻게 보호하나?

ICS를 직접 인터넷에 연결해 사용하는 것은 모든 보안 전문가들이 뜯어 말리는 행위다. 위에 설명한 것처럼 기본 보안 장치를 탑재하고 있지 않기 때문이다. 하지만 현실적 이유 혹은 사업적 이유로 부득이 연결해야만 한다면 다음과 같은 보호 장치를 마련해야 한다.

1) ICS가 연결된 망과, 사무망을 완전히 분리시킨다.
2) VPN과 방화벽을 반드시 사용하여, 외부에서 접근하지 못하도록 한다.
3) 다중인증 시스템을 도입해 관리자 권한으로 접근할 때 추가 인증을 하도록 한다.
4) 모니터링 시스템을 구축하여 비정상적인 접근, 명령 등을 미리 차단할 수 있게 한다.

by 문가용 기자(anotherphase@thetechedge.ai)

Related Materials

• Cyberpunks Mess with Canada's Water, Energy, Farm Systems—Real ICS Attacks, The Register, 2024년
• Canada's Cyber Agency Warns Hacktivists Breached Critical Infrastructure, Security Affairs, 2024년
• Hacktivists Breach Canada's Critical Infrastructure: Incident Analysis, Radar OffSeq, 2024년
• Canada Says Hacktivists Breached Water and Energy Facilities, BleepingComputer, 2024년

컬럼비아대 해킹, 개인정보 유출 및 시스템 장애, 핵티비스트 성격

💡Editor Pick - 미국 컬럼비아대학교 서비스 중단 및 정보 유출 사고 발생 - Hacktivist Group에 의한 것으로 추정, 공격 중 트럼프 대통령 사진 띄워 정치적 메시지 암시 미국 컬럼비아대가 지난 6월 24일 정치적 동기로 추정되는 해커 조직의 공격을 받아 계좌번호, GPA 점수 등 유출되고, 학교 컴퓨터 시스템이 일시 중단되는 사고가

The Tech EdgeDonghwi Shin

캐나다 AI 거버넌스 혁신 - 전담 장관 임명, 공공·민간 생태계 변화 가속화

💡Editor Pick - 에반 솔로몬 ‘AI 및 디지털 혁신 장관’ 임명으로 연구 강국에서 상용화 강국으로 전환 선언 - 공공부문 생성형 챗봇 도입, 3억 달러 규모 AI 컴퓨트 액세스 펀드로 민간 지원 확대 캐나다가 2025년 5월 13일 ‘인공지능 및 디지털 혁신 장관’ 에반 솔로몬을 임명한 지 4개월여가 지나면서, 정부 주도의 AI

The Tech EdgeDonghwi Shin