기본 보안도 없던 폴란드 전력망, 러시아 해커에 뚫렸다

기본 패스워드 '123456', 이중인증도 없었다. 폴란드의 풍력발전소와 태양광발전소, 그리고 열병합발전소가 러시아 해커들에게 뚫린 이유다.

폴란드 디지털부 산하 컴퓨터비상대응팀(CERT)이 지난 금요일 공개한 기술보고서는 충격적이다. 작년 12월 29일 발생한 이 사이버공격에서 해커들은 거의 저항 없이 시설에 침입했다. 타겟이 된 시스템들은 기본 사용자명과 패스워드를 그대로 사용하고 있었고, 다중인증(MFA)도 설정되지 않았다.

와이퍼 악성코드로 시스템 파괴 시도

해커들의 목표는 단순한 정보 탈취가 아니었다. 이들은 침입한 시스템에 '와이퍼' 악성코드를 심으려 했다. 이 악성코드는 시스템을 완전히 지워버려 작동 불능 상태로 만드는 파괴용 프로그램이다. 전력을 차단하려던 것으로 보인다.

폴란드 CERT는 보고서에서 "모든 공격이 순전히 파괴적 성격이었다"며 "물리적 세계로 비유하면 고의적인 방화행위에 비교할 수 있다"고 설명했다.

다행히 열병합발전소에서는 공격이 차단됐지만, 풍력발전소와 태양광발전소의 모니터링 및 제어 시스템은 악성코드에 의해 작동 불능 상태가 됐다. 하지만 실제 전력 공급 중단은 일어나지 않았고, 설사 성공했더라도 "폴란드 전력 시스템의 안정성에는 영향을 주지 않았을 것"이라고 보고서는 밝혔다.

샌드웜 vs 버서크 베어, 누구의 소행인가?

사이버보안 업체 ESET과 드라고스는 이번 공격이 악명 높은 러시아 정부 해킹 그룹 '샌드웜'의 소행이라고 분석했다. 샌드웜은 2015년, 2016년, 2022년 우크라이나 전력망을 공격해 실제로 정전을 일으킨 전력 인프라 공격의 전문가다.

하지만 폴란드 CERT는 다른 견해를 내놨다. 이들은 '버서크 베어' 또는 '드래곤플라이'로 불리는 러시아 정부 해킹 그룹을 지목했다. 이 그룹은 파괴적 공격보다는 전통적인 사이버 스파이 활동으로 유명하다.

기본기 없는 인프라 보안의 민낯

이번 사건이 던지는 가장 큰 충격은 공격 기법의 정교함이 아니라 방어의 허술함이다. 해커들이 사용한 것은 최첨단 기술이 아니라 기본 패스워드 추측과 같은 초보적 방법이었다.

국가 전력 인프라를 담당하는 시설에서 기본 패스워드를 그대로 사용하고, 이중인증도 설정하지 않았다는 것은 보안 의식의 부재를 여실히 드러낸다. 마치 집 현관문에 자물쇠를 채우지 않고 나간 격이다.

한국도 예외가 아니다. 국내 주요 인프라 시설들의 보안 수준은 과연 어떨까? 한국전력공사를 비롯한 에너지 기업들, 그리고 포스코나 현대중공업 같은 제조업체들의 산업제어시스템은 충분히 보호받고 있을까?