최근 서울시가 하루 700만명 넘게 이용하는 서울지하철 정보보호 실태를 감사했다. 지하철 신호와 전기·기계·통신 등 안전 및 유지관리, 운영 실태 점검 차원이다.
감사 결과는 ‘경악’이다. 서울 시민의 발인 지하철이 허술한 정보보호 실태를 그대로 보여 줬다. 폐쇄망으로 운영해야 할 열차 신호와 통신 제어시스템은 인터넷에 연결됐다. 제어시스템을 인터넷에 연결한다는 것은 해커에게 문을 열어 준 것과 다름없다. 열차 신호와 통신 정보를 실시간 감시하는 기능은 인명 피해 발생 문제로 직결된다.
열차운행제어 PC는 악성코드 지뢰밭이었다. 보안 기본 솔루션인 백신을 사용하지 않아서 감염 사실도 몰랐다. 시민 안전과 직결된 주요 정보통신 기반 시설임에도 보안 규칙은 전혀 지키지 않았다. 폐쇄망 PC에 인터넷과 연결하는 랜카드를 임의로 설치하고, USB포트도 마음대로 이용했다. 인터넷과 연결해 대용량 파일을 주고받았다. 시민 생명과 직결된 업무 관계자는 신호제어 폐쇄망 인터넷과 분리해 운영하는 규정을 알지 못했다고 해명했다. 보안 기본 규칙도 모르는 직원에게 시민 안전을 맡긴 꼴이다.
지하철 등 주요 정보통신 기반 시설은 매년 취약점 분석을 의무로 하고 있다. 문제는 체크리스트에 기반을 둔 형식적 취약점 분석이다. 평상시에 폐쇄망을 인터넷과 연결해 사용하다가 취약점 분석 시기에만 눈 가리고 아웅 식으로 단절한다. 그러면서 폐쇄망은 안전하다고 맹신해 어떤 보안 조치도 취하지 않는다. 매년 점검 받은 시설이 기본도 안 지키는 보안 위협에 노출됐다. 그동안 진행한 취약점 점검 효과에 의문이 생긴다.
그나마 다행인 건 서울시가 대형 사고나 인명 피해가 발생하기 전에 보안 취약점을 찾아내 시정했다는 사실이다. 고도화한 침투 테스트는 아니었지만 이런 감사를 진행하고 공개한 정책에 박수를 보낸다. 현재 주요 정보통신 기반 시설을 노린 사이버 위협은 최고조다. 일 년에 한 번 취약점 점검만 넘어가면 된다는 안일한 생각을 버리자.
김인순 보안 전문기자 insoon@etnews.com
