보안 전문가들이 `3·20 전산망 마비` 사태의 후속 공격대상으로 에너지 분야를 지목하면서 정부와 공공기관, 민간 에너지기업까지 이에 대한 보안태세로 분주하다. 산업통상자원부는 산업통상자원사이버안전센터를 중심으로 한국전력, 한국가스공사 등 에너지 분야를 포함한 50개 산하 공공기관 24시간 실시간 보안관제체계를 강화했다.
국가정보원이 사이버위기 등급을 3단계인 주의 단계로 격상함에 따라 원자력발전소 등 주요기반시설에 대한 모니터링을 강화하고 비상근무체계를 운영하고 있다. 에너지기관들은 각각 긴급대응반을 구축했다. 독립망으로 관리해 외부접근이 불가능하다는 송변원방감시제어시스템, 배전자동화설비, 발전제어시스템, 가스배관망제어시스템 등 주요정보통신기반시설도 혹시 모를 사태를 대비해 실시간 모니터링을 강화하고 있다. 에너지기관들은 패치관리시스템(PMS) 보안강화와 추가공격대비, 피해확산 방지 활동도 펼치고 있다.
산업부 차원에서는 윤상직 장관이 취임 후 첫 현장방문으로 한전 `전력사이버안전센터`를 방문한 데 이어, 한진현 차관은 지난 27일 에너지기관 보안관리 담당임원들을 소집해 대응상황을 긴급 점검하고 보안강화를 주문했다.
디스크를 파괴해 전산망 장애를 일으키는 이번 공격 유형이 지난해 중동 에너지 기업에 피해를 끼친 유형과 유사하다는 분석이 나오고 있는 가운데 각 에너지원별 사이버테러 보안상황을 점검해본다.
◇전력=전력당국을 비롯한 주요 기관들은 3·20 전산망 마비 사태로 보안을 한층 강화하고 있다. 송변전을 원격조정 하는 송변전원방감시제어시스템(SCADA)과 배전자동화시스템(DAS), 전력거래소의 급전자동화시스템(EMS), 각 발전소 별 제어시스템 등 전력분야 주요정보통신기반시설 중 어디 한 곳이라도 뚫리면 `블랙아웃`이라는 최악의 사태가 발생할 수 있기 때문이다.
전력사이버안전센터에 따르면 한국전력과 각 발전사 별 주요 전력시설물들은 모두 인터넷망과 분리, 일반적인 사이버테러 방식으로는 침투할 수 없다.
한전은 본사 지하에 위치한 사이버테러 대응 센터의 보안 태세를 강화했다. 업무용 망과 전력 제어망을 엄격히 분리, 운영 중이다. 때문에 일반 망에서 바이러스라든가 악성코드가 전력 설비 내부로는 들어오지 못 하도록 엄격히 차단한다. 전국의 전력설비를 관리하는 만큼 상황실 운영을 강화해 전국으로 확대하고 24시간 경계태세에 들어갔다. 또 직원들에게 인터넷 접근을 자제하도록 지시했다. 외부에서 들어오는 메일 열람도 통제했다.
한국수력원자력은 사무용 PC에 대한 내부망과 외부망 분리작업에 돌입했다. 그 동안 한수원 사무실에서 사용하는 PC는 업무용과 외부 인터넷을 함께 사용했다. 원자력 발전소 내 원전 전용제어망은 한수원 사무실과는 물리적으로 분리돼 별도로 운용된다. 개별 원전별로도 분리됐으며 외부와 차단돼 운용된다.
한수원 관계자는 “누군가가 원전 내부로 들어와 USB를 통해 침투하는 것까지 대비해 USB 포트 자체를 봉인했다”며 “외부에서 원전을 제어 관리하는 부분은 물리적으로 접근이 안된다”고 설명했다.
한수원은 정보 보안 강화를 위해 지난해 사이버보안팀을 신설한 데 이어 최근 해킹이나 악성코드로 인한 정보유출 등을 막기 위해 외부 보안전문가인 `화이트 해커`를 채용 했다.
전력거래소는 계통운영시스템(EMS)과 시장운영시스템(CBP)을 사이버위협으로부터 보호하기 위해 전력계통보안관제센터(ES-ISAC)를 통해 24시간 관제업무를 수행 중이다. 특히 주요정보통신기반시설인 계통운영시스템은 외부와의 연결을 차단한 독립망으로 구성, 운영 중이다. USB등 저장매체를 통제하기 위해 USB 포트의 물리적 봉인은 물론, 별도 솔루션을 이용한 이동식저장매체 사용을 엄격히 제한한다. 또 방화벽, 침입방지시스템, 위협관리시스템 등 네트워크 보안장비를 활용해 접근제어 및 계통운영시스템 전 네트워크에 대해 통신 트래픽에 대해 실시간 감시를 시행 중이다.
◇가스=가스분야의 사이버테러 대응 상황은 어디보다 철저하다. 한 번 뚫리면 가스폭발이라는 대형 참사까지 이어질 수 있기 때문이다. 테러리스트들에게 가스 배관망이 점령당하면 전국으로 거미줄처럼 연결된 배관망의 가스 출입 통제권이 상실될 수도 있다. 테러리스트의 손가락 아래 가스 공급이 중단되거나 과잉공급으로 폭발사고까지 발생할 수 있다.
우리나라 천연가스 도매공급과 배관망 관리를 전담하고 있는 한국가스공사는 IT위기대응매뉴얼을 준비하고 산업통상자원 사이버안전센터의 지시에 따라 사이버테러에 대처하고 있다.
주요정보통신기반시설에 속하는 가스배관망제어시스템은 독립망으로 운영해 외부침입을 차단하고 있다. 배관망을 관리하는 중앙통제실에서 원격으로 가스 출입을 제어하고 있으며, 각 지역통제실에서 지역 이하 배관망 제어를 담당한다.
가스공사의 전산망은 인터넷망-사무망-독립망 연결구조로 구성됐지만 독립망에서 사무망은 출력밖에 되지 않는 일방통행 구조다. 그 일방통행 루트에도 5중 보안 시스템을 구비해 혹시라도 생길 수 있는 사고를 예방하고 있다. 독립망에 대한 외부접근은 불가능 하지만 새로운 공격 패턴이 생겨날 수도 있다는 경각심을 갖고 인터넷망과 사무망도 분리하는 작업을 추진 중이다.
가스공사는 도매 배관망 부분까지만 관리하고 각 지역 도시가스업체들이 이후 가정까지 이어지는 배관망에 대해 관리하고 있다.
국내 최대 도시가스업체인 삼천리는 네트워크 보안 강화를 위해 사내 업무망과 인터넷망을 분리 운영하고 있으며 방화벽 등 보안장비를 통해 침입 행위를 사전 차단한다.
가스, 발전 등의 주요 시설물을 관리하는 원격감시제어시스템은 독립망으로 구성해 외부로부터의 접근을 제한하고 있다. 또한 고객정보와 주요 업무 데이터는 DB 암호화, 접근제어를 통해 내·외부 사용자가 함부로 접근할 수 없도록 철저히 통제하고 있다. 삼천리는 지속적으로 보안 리스크를 모니터링하고 이에 따른 보안 계획을 수립하는 등 보안수준 향상을 위해 체계적 노력을 기울일 계획이다.
가스공사 관계자는 “사이버테러 위협에서 `안전`이란 말을 자신 있게 얘기하는 것은 방심일 뿐”이라며 “다만 최대한 안전에 가까워질 수 있는 방안이라면 무엇이든지 신속하게 조치하고 있다”고 말했다.
◇정유=정유분야 역시 공장 등 공정설비관리는 망을 분리해 독립적으로 운영하는 등 전력, 가스에 버금가는 사이버테러 보안체계를 갖추고 있다. 정부에서 직접 관리하는 전력, 가스분야와 마찬가지로 사이버테러로 인한 휘발유, 경유 등 석유제품 생산·공급에 차질이 생기면 산업체와 국민들이 큰 혼란을 겪을 수 있기 때문이다.
SK이노베이션은 네트워크, 서버, 웹, 콘텐츠, PC, 개인정보 등 보안과 관련된 30여종의 시스템을 운영하고 있다. 통합보안관제센터를 24시간 모니터링체계를 유지하고 있다. 20일 16시 이후로 V3의 APC 서버 접속 및 금융위원회가 공지한 악성코드 유포 IP를 차단했으며, 보안부서는 비상근무 체제로 운영 중에 있다. 악성코드 내부 유입과 침입탐지시스템에 대한 모니터링을 강화해 2차 공격에 대한 징후를 조기에 감지할 수 있도록 하고 있다. 아울러 구성원에 대해서도 수시로 악성코드 유입을 예방하기 위한 안내를 배포했다.
GS칼텍스는 공정과 망을 분리하고 있고, 방호벽도 구축해 사이버 공격에 대비한다. 정보보안팀을 중심으로 시스템 이상 유무를 상시 체크하고 외부 수신 메일과 파일은 반드시 바이러스 체크를 하도록 했다. 프로그램을 통해 정기적으로 PC취약점 등에 대한 체크를 의무화하고 있다.
현대오일뱅크도 일반 사무망과 공정관련 시스템망을 완전 분리 운영해, 외부에서 공정 시스템으로 접근하는 것이 불가능하다. 이 같은 보안시스템 운영과 함께 경영정보팀에서 수신인이 불확실한 메일을 전 직원에게 보내 테스트하고, 부서별 테스크 결과를 확인하는 등 직원들의 사이버테러에 대한 경각심을 키우고 있다. 보안 시스템도 중요하지만 개개인 보안의식 강화가 더욱 필요한 시점이라는 판단이다. 이메일에 딸린 링크 접속이나, 소프트웨어 다운로드를 금할 것을 수시로 공지하고 있다. 이메일에 실행파일 딸려오면 다운로드 할 수 없도록 조치했고, USB 사용제한 역시 시행하고 있다.
◆소박스/사이버위기 경보단계
국가 사이버안전에 심각한 영향을 초래할 수 있는 상황에 대해 국정원 국가사이버안전센터가 미리 예측해 경보하는 표시등급이다. 정상, 관심, 주의, 경계, 심각 5단계로 구분되며 3·20 전산망 마비 사태이후 3단계인 주의 발령이 계속된다.
`정상` 단계는 해킹 위험이 낮은 평상시 상태다. 위험도 낮은 웜 바이러스 발생 또는 해킹기법이 발견 되도 그대로 유지된다. 바이러스와 해킹 등에 의한 피해발생 가능성이 증가하거나 해외 사이버공격 피해가 확산돼 국내 유입이 우려되면 `관심` 단계가 발령된다. 이때는 사이버위협 징후 탐지활동 강화가 요구된다.
일부 네트워크와 정보시스템 장애가 발생하면 `주의` 단계가 발령된다. 3·20 전산망 마비 사태 정도가 이에 해당한다. 침해사고가 일부 기관에서 발생했거나 다수기관으로 확산될 가능성이 높기 때문에 국가 정보시스템 전반에 보안태세 강화가 필요하다.
복수의 정보통신서비스 제공자(ISP)망 등 기간망의 장애 또는 마비가 발생하면 `경계` 단계에 돌입한다. 침해사고가 다수기관에서 발생했거나 대규모 피해로 발전될 가능성이 증가된 상황이라 다수 기관의 공조 대응이 추진된다.
마지막 `심각` 단계는 국가적 차원에서 네트워크와 정보시스템이 사용 불가능한 최악의 상태에서 발령된다. 전국적으로 침해사고가 확산되고 피해범위가 대규모인 사고가 발생한 상황이다. 국가적 차원에서 공동대응이 필요한 수준이며, 국정원장이 청와대 국가위기상황대응 담당 수석비서관과 협의해 발령할 수 있다.
윤대원·함봉균 기자 yun1972@etnews.com
