철도 노린 北발 해킹 징후 발견…기반시설 보안 시급

주요 기반시설을 노린 북한의 사이버 도발이 위험 수위다. 시민의 발 ‘지하철’이나 ‘철도’ 마비를 노리고 있는 정황이다. 관련 시설은 물론 협력사까지 사이버보안 전수 점검이 시급하다.

사이버전 민간연구그룹 이슈메이커스랩(대표 사이먼최)은 지난해 말 자동열차제어장치(ATC) 부품을 개발하는 기업이 북한 해커 공격을 받았다고 밝혔다. 해당 기업 서버가 북한 해커가 조정하는 명령&서버(C&C) 중계지 역할을 했다.

최근 북한 사이버전사 움직임이 매우 활발하다 ⓒ게티이미지뱅크
최근 북한 사이버전사 움직임이 매우 활발하다 ⓒ게티이미지뱅크

자동열차제어장치(ATC)는 철도 신호와 관계된 보안 장치다. 전자 열차 제어 장치 일종으로 열차 속도 제어 등에 관여되는 CPU가 포함된 컴퓨터 기기다.

사이먼최 대표는 “북한이 해당 ATC 장치에서 사용하는 시그널 주파수 코드를 해킹해 지상 장치와 차상장치 사이 신호를 변조할 수 있다”며 “속도 제어 오동작을 유발하면 열차 과속이나 급정지 등 사고를 발생시킬 수 있다”고 분석했다. 그는 “이런 시나리오는 매우 과장된 예측일 수 있지만 북한이 지속적으로 철도 관련 분야를 노린 흔적이 곳곳에서 발견된다”고 덧붙였다.

ⓒ게티이미지뱅크
ⓒ게티이미지뱅크

2014년 말 발생한 한국수력원자력 원전도면 유출 사고 원인도 보안이 부실한 협력사에서 비롯됐다. 주요 기반시설에 협력사 보안 점검이 시급하다. 대부분 중소 협력사는 IT시설이 낙후된 데다 보안 담당자가 없는 곳이 태반이다. 북한은 주요기반시설을 직접 노리면서 측면으로 약한 고리로 파고든다. 협력사 직원 PC나 서버를 해킹해 기반시설과 관련된 자료를 빼돌렸을 가능성이 크다.

ⓒ게티이미지뱅크
ⓒ게티이미지뱅크

북한 입장에서 철도항공 등은 막대한 물리적 타격과 혼란을 줄 수 있는 기반시설이다.

이미 북한은 2014년부터 철도 분야를 해킹해 네트워크 망구성도, 시스템 장애 복구전환절차서 등 시설 정보 수집을 시도했다. 지하철 운행을 실시간으로 감시하는 종합관제소와 지하철 전력 공급을 맡은 전기통신사업소 등 PC가 북한 악성코드에 감염된 사실도 드러났다.

대북전문가는 “최근 북한 사이버전사가 총동원돼 움직이고 있다”며 “물리적 타격을 일으킬 수 있는 사이버테러를 모의하고 있는 정황이 포착된다”고 말했다.

최근 사이버 도발 수위는 높다. 청와대와 외교·통일부 등 주요 정부기관과 포탈업체 관리자를 사칭한 회신 유도형 위장메일과 자료 절취형 해킹메일이 수십 차례 유포됐다. 기반시설 관련 분야 종사자와 협력업체 직원을 대상으로 공격도 지속됐다. 한컴오피스 업데이트 파일로 위장한 악성코드도 대량 유포됐다.

철도 관련 분야 북한 공격 히스토리

- 2014년 3월, 철도 관련 기관 PC가 북한 악성코드에 감염됨

- 2014년 6월 25일 직후, TOR C&C를 이용하는 작전명이 ‘Train’이라고 지칭된 북한 악성코드가 발견됨

- 2014년 7월, 서울메트로 서버 2대가 해킹되어 PC 58대가 북한 악성코드에 감염됨

- 2014년 8월, 북한 해킹으로 코레일 내부 전산망이 뚫려서 53개 파일이 외부로 유출됨

- 2015년 12월, 열차 부품 업체가 해킹돼 북한 악성코드 명령제어서버의 중계지로 악용됨

(자료:이슈메이커스랩)

김인순 보안 전문기자 insoon@etnews.com