미국 기차마다 가지고 있던 12년 된 통신 취약점

미국 사이버 보안 전담 기관인 CISA가 기차와 관련된 위험한 취약점에 대해 경고했다. 문제의 취약점은 CVE-2025-1727로, 열차의 후미 장치와 선두 장치 간 원격 연결 프로토콜에 영향을 준다고 한다. 익스플로잇에 성공할 경우 공격자는 열차 급정거 및 제동 실패를 유발할 수 있고, 이는 커다란 사고나 운행 방해로 이어질 수 있다고 CISA는 경고한다.

문제의 취약점

이 취약점은 CVSS v4 기준 7.2점을 받았다(v3 기준 8.1점). 고위험군으로 분류된 것으로, 방치할 경우 상당히 위험할 수 있음을 뜻한다. “취약점 발생 원인은 인증 시스템이 약하다는 겁니다. 암호화 기술도 부재하고요. 열차 후미 장치와 선두 장치를 원격으로 연결하는 데 사용되는 프로토콜은 패킷 생성 시 BCH 체크섬이라는 기술에 의존하여 오류를 확인하고 안전성을 확보합니다. 대신 이를 우회시키면 아무나 제동 명령을 전달할 수 있게 되는 거죠.”

BCH 체크섬은 디지털 통신이나 저장, 비트코인 지갑 주소 확인 등에 활용되는 ‘오류 탐지 기법’ 중 하나다. 뭔가가 입력됐을 때, 그것이 제대로 된 명령인지 확인하기 위해 해당 명령을 기반으로 알고리즘에 따라 계산을 수행하고, 그 결과를 미리 저장된 값과 비교하는 방식으로 작동한다. 즉 계산 알고리즘과 저장된 값만 파악한다면 이 체크섬 절차를 쉽게 통과할 수 있게 된다는 뜻이다. 

네일 스미스(Neil Smith)와 에릭 뤼터(Eric Reuter)라는 보안 전문가들이 이 취약점을 발견해 CISA에 보고한 것으로 공개되어 있다. 미국철도협회(AAR)도 해당 취약점을 인지하고 있고, 현재 완화 방법을 연구 중에 있다고 CISA는 알렸다. 참고로 AAR은 이미 선두와 후미 장치 간 통신을 향상시키고 안전하게 만들기 위한 새 장비 및 프로토콜을 준비 중에 있었다고 한다.

다만 이번에 취약점이 발견된 프로토콜 자체가 AAR의 관리 대상인 것은 아니다. “프로토콜의 유지 관리 책임은 ‘철도전자표준위원회(RESC)’가 맡고 있습니다. 그리고 히타치(Hitachi), 웹텍(Wabtec), 지멘스(Siemens) 등 여러 제조 업체에서 사용하고 있기도 합니다. 따라서 기차 선두 장치와 후미 장치 사용자들은 각 제조사들에 직접 취약점 패치 문의를 넣어야 할 것입니다.” CISA의 설명이다.

취약점 패치 이전에 사용자들이 위험을 완화하기 위해 취할 수 있는 조치는 다음과 같다.

1) 모든 제어 시스템 장치 및 시스템 네트워크가 최소한으로만 노출될 수 있도록 한다. 특히 인터넷을 통한 접근을 차단한다.

2) 제어 시스템 네트워크와 원격 장치를 방화벽 뒤에 배치하고, 업무 네트워크와 격리시킨다.

3) 원격 접근이 필요한 경우 VPN과 같은 기술을 활용한다. 단 VPN 역시 취약할 수 있으니 항상 최신 버전을 사용하도록 한다.

12년 된 취약점

네일 스미스는 자신의 엑스를 통해 “미국에 있는 거의 모든 기차가 해킹 가능성에 노출돼 있다”고 경고했다. 흥미로운 건 그가 같은 게시글을 통해 “이 취약점에 세상의 이목을 집중시키는 데 12년이 걸렸다”고 설명한 것이다. “제가 처음 문제를 발견한 건 2012년이었습니다. 하지만 AAR은 보고서를 받고도 여태까지 아무런 조치를 취하지 않았습니다. 이 취약점을 통한 실제 공격이 발생하지 않는 이상, 취약하다는 사실을 인정할 수 없다는 게 그들의 논지였습니다.”

에릭 뤼터의 경우 2018년에 같은 문제를 별도의 연구를 통해 발견했다고 한다. 당시에도 AAR 측은 그의 연구 보고서에 꿈쩍도 하지 않았다. 이 때에는 “문제의 선두 및 후미 장치가 이미 생애주기를 완료한 상태”라는 이유를 댔다. 이미 낡은 장비이니 취약점이 나온다 한들 어쩔 수 없다는 것이다. 하지만 미국 내 여러 기차들은 지금까지도 그 낡은 장비를 탑재하고 있는 실정이다.

현재 AAR은 이런 보안 전문가들의 주장에는 별 다른 반응을 내놓지 않고 있다. 다만 기차들에 새로운 장비를 탑재시키기 위한 노력을 이어가고 있다고만 발표했다.

‘실제로는 아무런 사고도 없지 않느냐?’는 보안 투자를 망설이는 사용자 측에서 흔히 하는 말이다. ‘이미 생애주기가 끝나서 어쩔 수 없다’는 제조사들 편에서 패치 대신 내놓을 게 없을 때 가장 많이 하는 말이다. ‘새로운 기술과 장비로 대체 중에 있는데, 이게 몇 년이 걸릴 지 아무도 모른다’는 사건 사고 후 혹은 위험 요소 발견 후 기업과 기관들이 앞다투어 내놓는 입장문 중 대표격이다. 이번 기차 통신 기술 취약점과 관련하여 AAR은 모든 면에서 ‘보안 취약점 대처’의 전형을 종합적으로 보여주고 있다고 할 수 있다.

미국만의 문제? 기차만 안 타면 돼?

미국의 기차 시스템이 화제의 중심에 있어서 그렇지, 사건의 본질은 IT 장비를 가지고 있는 누구나에게 섬뜩할 만한 것이다. 한 보안 전문가는 “일반 가정에서도 흔히 볼 수 있는 프린터나 공유기 등에서도 오래된 취약점을 가지고 있다”며 “사용자가 패치하지 않는다면 사실 이런 12년 된 오랜 취약점을 한 식구처럼 품고 사는 것과 마찬가지”라고 꼬집었다. 사실상 모든 가정이 잠재적 피해자라는 의미다.

“기업들도 충분히 경고로 받아들일 만한 소식입니다. 다양한 기업용 프로그램들에서 고전적인 취약점 패턴들이 자주 나타나기 때문입니다. 특히 중앙에서 배포하는 코드를 에이전트 단계에서 변경 없이 그대로 실행하는 경우가 많은데, 이 때 중앙 코드에서 문제가 발견될 경우 문제가 상상 이상으로 확산될 수 있습니다. AAR이 오래된 프로토콜 취약점을 10년 넘게 묵힌 덕분에 미국 전역의 기차가 위험해진 것처럼요.”