우리가 보지 못하는 곳에서, 전기는 어김없이 우리의 삶을 채우며 돌아가고 있다. 공장에서 제조 과정이 원활히 이뤄지게 하고, 병원에서 의사와 간호사가 생명을 구하는데 필요한 도구들을 사용하게 하며, 길가의 교통신호가 차들의 움직임을 조율하며, 그리고 가정에서는 따뜻한 조명과 편안한 온도로 우리를 감싸주는 역할을 한다. 이처럼 우리 생활과 국가 운영의 핵심인 전기를 생산, 전송, 사용할 수 있도록 하는 모든 시스템과 시스템이 이루는 네트워크인 전력망은 그 자체로 우리의 일상을 더욱 편리하고 풍요롭게 만들어 주는 동시에, 현대 사회와 경제의 핵심을 이루는필수적인 부분이다. 전력망이 중단되면 그 파급 효과는 국가 전체의 기능 정지 수준에 이를 수 있다. 따라서 전력망의 중요성은 기반시설 중에서도 최고 높은 것으로 분류할 수 있다.

이렇게 중요한 전력망의 안정적인 운영을 위해서 EMS(Energy Management System), 발전 제어시스템, 송전 SCADA(Supervisory Control and Data Acquisition), 배전 자동화 시스템 등의 다양한 제어시스템을 도입해 운영하고 있다. 또 더 안정적이고 효율적인 전력공급과 함께 온실가스 감축을 위해 분산전원(신재생에너지 포함), 가상발전소(VPP), DR(Demand Response), AMI(Advanced Metering Infrastructure) 등 다양한 기술이 도입되고 있다. ‘전력수급기본계획’에서는 2030년까 2. 전력망 지능화 및 연계 증가지 신재생에너지 비율을 21.6%까지 높이기로 했고 ‘지능형전력망 기본계획’에서는 가상발전소 시장 도입, 플러스 DR 당일시장 도입, AMI 보급 및 확산 등의 계획을 수립했다. 전력 공급원의 다양화, 세분화된 수요공급 관리 등으로 전력 소비 효율성 및 운영 안정성은 증가하고 있지만 이로 인해서 전력망은 지속적으로 외부 연계가 늘어가고 있다. 이렇게 증가하는 외부 연계는 결국 사이버 위협의 증가로 이어진다. 과거에는 전력망이외부 네트워크와 차단돼 운영되기에 공격이 쉽지 않다는 큰 장벽이 있었으나 늘어나는 외부 연계 접점은 공격자가 이용할 수 있는 새로운 공격 벡터가 될 수 있다.

더불어 진화되는 전력망의 제어시스템과 새롭게 도입되는 기술을 운영하기 위한 시스템은 모두 표준화된 IT 기술을 도입하게 되므로 기존의 시스템에 비해서 공격자가 전력망 운영을 위한 시스템을 이해하기 더 쉬워지고 있다는 문제도 있다. 이 글에서는 이렇게 진화하는 지능화된 전력망 환경에서 증가하는 사이버 위협에 대해서 자세히 살펴보고, 이에 대처하기 위해서 고려해야하 는 보안 전략에 관해서 설명하고자 한다.

전력망 지능화 및 연계 증가

국내 전력망의 지능화는 2005년부터 추진된 전력IT 사업을 통해서 본격적으로 이뤄졌다. 이를 통해 배전 지능화 시스템, 디지털 변전소, 능동형 전력 텔레메트릭스, 지능형 전력 정보 시스템, 한국형 EMS 등이 개발됐고 추가적인 연구개발을 통해 현장에서 운영하고 있다. 이후 온실가스 감축과 지능형 전력망의 확산이라는 세계적 트렌드 속에서 분산전원의 도입이 증가하고 실시간 수요 예측을 위한 AMI 시스템의 도입이 진행됐다. 특히 분산전원과 AMI는 전력망과 양방향 소통을 할 수 있도록 개발되어 있으며, 가상발전소 시장, DR 시장 등의 원활한 운영과 안정적인전력망 운영이 공존하기 위해서 양방향 소통이 적극적으로 이용돼야 할 것으로 예상한다. 더불어 전력망 현장 네트워크에서는 다양한 형태의 IoT(Internet of Things) 기술이 접목되고 있다. D-TRS, LTE, 5G, e-IoT 등의 다양한 통신 기술을 이용해 정보를 수집하고, 수집된 정보를 분석해 전력설비를 감시하는데 활용하고자 한다. 또한 분산전원 발전량 정보 취득 및 전력 품질 모니터링을 위해서도 LTE 등의 무선 기술이 사용되고 있다. 이러한 정보들은 모두 전력망의 제어시스템(특히 송전 SCADA, 배전 자동화 시스템, EMS)과 전력시장 등에 연계해 사용해야 한다. 더불어 민간의 분산자원은 감시 및 운영의 편의를 위해서 인터넷에 연계해 운영하는 경우가 많다. 이렇게 운영되는 분산자원 가상발전소를 통해서 전력망에 연계되거나 전력망에 직접 연계되며,전력망의 제어시스템과도 직·간접적으로 연계된다.

지능화된 전력망의 사이버 위협

전기는 현대 사회의 핵심 동력이며, 전력망은 이를 유통하는 중추적인 역할을 담당한다. 전기 공급의 중단은 단순히 특정 서비스의 중단을 넘어 사회 전반의 기능 정지 수준에도 이를 수 있으므로, 그 중요성은 결코 과소평가될 수 없다. 따라서 전쟁, 테러 등에서 전력망은 주요 공격 목표가 된다. 최근 우크라이나와 러시아 간의 전쟁에서도 러시아가 전쟁 초기 우크라이나의 발전설을 선제 타격하기도 했다. 전력망의 지능화가 가속화됨에 따라 최근에는 사이버공격을 통해서 전력망의 중단을 유발하고자 하는 시도도 지속적으로 이어지고 있다. 발전소와 변전소의 전자장치 무단 조작, 전력 수요 조작 등을 통해서 전력망을 무력화시키고자 하고, 이를 통해서 사회 기능 정지는 물론 사회적 혼란까지도 초래하기도 한다. 우선 실제로 사이버 공격을 통해서 전력망에 피해를 준 실제 사례를 살펴보고, 이에 따른 전력망의 사이버위협에 대해서 알아보자.

사이버 공격 1 - 기반시설 물리적 손상:Stuxnet

2010년 발견된 stuxnet은 제어시스템을 대상으로하는 여러 공격기법이 복합적으로 적용된 고도화된 악성코드다. Stuxnet은 특히 이란의 핵 시설 중 우라늄 농축 시설의 10%에 해당하는 984개의 원심분리기를 파괴했다. 또한 물리적으로 분리된 제어시스템에 실제 피해를 입힌 공격으로 더 이상 물리적 망분리가 완벽한 대책이 아님을 보여준 사례다.

Stuxnet은 윈도우 운영체제에 존재하는 취약점을 이용해 인터넷에 연결된 업무 PC에 감염을 시켰고, USB를 통해 제어시스템으로 전파됐으며, 사전에 수집된 특정 제조사 PLC(Programmable Logic Controller) 운영 소프트웨어를 이용해 제어 로직을 변경했다. 변경된 제어 로직에 의한 이상 동작에 대한 모니터링은 시그널 조작에 의해 운영센터에서 적시에 발견되지 못했다. 변경된제어로직을 통해서 원심분리기의 회전 속도는 지속적으로 변동되었고 이로 인한 과부화로 일부 원심분리기가 파괴됐다.

사이버 공격 2 - 우크라이나 정전 사태

2015년 12월 우크라이나 서부지역의 22만 5,000명 이상의 인구가 6시간 정도의 정전을 경험했다. 이는 해킹 세력에 의해 수행된 사이버 공격으로 인해 발생한 것으로 확인됐으며, 공격자가원격에서 해당 지역 변전소의 차단기를 트립시킴으로써 전력을 차단해 발생했다. 공격자들의 방해로 복구가 느려졌고, 이로 인해 장시간의 정전이 발생했다. 공격자는 오랜 노력을 기울여 스피어 피싱 캠페인을 진행했고 이를 통해 배전 업무를 담당하는 담당자들의 컴퓨터에 악성코드를 감염시킬 수 있었다. 이후 공격자는 해당 악성코드를 통해 내부 네트워크의 핵심 시스템 정보를 획득하고 제어시스템으로 연결되는 VPN 장비의 인증 정보를 획득할 수 있었다. 공격자는 제어시스템을 조작해 변전소의 차단기를 열었으며, 이를 통해 전원이 차단됐다. 공격자는 시리얼이더넷 변환장치 펌웨어 수정으로 원격 제어 차단, UPS 조작을 통한 비상 전원 공급 차단, 콜 센터 전화 시스템에 대한 DDoS(Distributed Denial of Service) 공격 등을 통해서 변전소 복구를지연시켰다. 또한 공격자는 killDisk 악성코드를 이용해 대상 시스템의 데이터및 중요 제어데이터를 삭제했다.

내부에서의 위협

앞선 공격 사례를 살펴보면 물리적으로 분리된 네트워크를 뛰어 넘기 위해서 널리 사용되는 위협 요소는 내부자를 이용하는 것이다. 내부자를 포섭해 공격행위를 직접 실행하거나 악성코드를 주입할 수 있다. 또한 내부자의 실수 또는 보안에 부적절한 행위를 이용해 악성코드를 설치해 공격을 실행할 수도 있다. 여기서 내부자는 전력망의 시스템에 접근할 수 있는 직원 또는 지보수 업체 직원 등이 될 수 있다.

내부자를 이용하는 가장 큰 방법은 웹 사이트를 이용하거나 이메일을 이용해 내부자의 컴퓨터 또는 유지 보수 장비에 악성코드를 설치하는 방법이다. 악성코드가 설치된 내부자의 컴퓨터에서 다시 전력망의 시스템으로 이동할 때는 USB 메모리가 취약 요소가 된다. 내부자가 자료의 이동을 위해 USB를 사용할 때 악성코드가 USB로 옮겨져 전력망의 시스템에 설치될 수 있다. 또한 유지보수용 장비가 악성코드에 감염되면 유지보수 작업 중에 전력망의 시스템으로 악성코드가 전이될 수 있다.

늘어나는 연계 구간에서의 위협

앞서 살펴본 바와 같이 전력망의 안정적인 운영을 위해서 전력설비 및 전기품질 모니터링을 위해서 외부에 설치된 다양한 센서, 필드기기 등이 전력망 제어시스템과 연계된다. 대표적으로AMI 환경의 전력량계 또는 DCU(Data Collection Unit) 등을 예로 들 수 있다. 특히 전력망은 그 구축 범위가 넓어 센서, 필드기기가 공격자에게 노출되어 있다. 만약 공격자가 필드기기를 장악하면 전력망 제어시스템 경계의 보안솔루션을 우회해 내부 시스템으로 접근할 수 있다. 또한 신재생에너지를 포함한 분산자원의 전력망 연계를 위해서 설치되는 연계장치 역시 전력망 제어시스템과 연계되는 주요 센서 또는 필드기기가 될 수 있다. 특히 민간에서 소유한 분산자원의 경우에는 효율적인 모니터링 및 관리를 위해서 인터넷에 연계된 웹 인터페이스를 제공할 수가 있으며, 이는 공격자의 주요한 공격 목표가 될 수 있다.

보호되지 않는 프로토콜

앞선 공격 사례에서 보듯이 공격자는 제어시스템 내부에 침투해 트래픽을 모니터링하면서 정보를 수집하고, 취약점을 분석한다. 따라서 제어시스템 구성요소간 인증, 통신 채널 보호 등이 잘이뤄지지 않으면 공격자가 분석을 쉽게 할 수 있다. 더욱이 기기 간 인증, 메시지 인증이 이뤄지지 않으면 공격자는 중간자 공격, 메시지 재사용 공격 등 다양한 방법으로 제어시스템에 영향미칠 수 있다.

전력망에서 사용되는 많은 프로토콜이 기기 인증, 메시지 인증, 데이터 기밀성, 데이터 무결성 등을 온전히 보호하지 못하는 프로토콜을 사용한다. IEC61850, DNP3, Modbus 등 대부분의 프로토콜이 표준에 보안 규격을 포함하지 않는다. 이를 보완하기 위해서 IEC62351 표준이 제정됐지만, 제어 반응 속도 요구사항으로 인해 기밀성 및 인증 부분은 선택사항으로 정의한다. 예를들어, IEC61850의 경우, 무결성에 대한 부분만 준수사항으로 명시하고 기밀성에 대한 부분은 선택사항으로 정의되어 있다. IEC62541(OPCUA)의 경우에도 보안 규격을 세부적으로 정의하고 있으나 역시 선택사항으로 규정하고 있다.

취약점이 내재된 소프트웨어

전력망에서 사용되는 많은 소프트웨어는 과거 소프트웨어 취약점 분석이 활성화되지 않았을 때 개발됐거나 독립망에서 운영하는 것을 전제로 개발해 보안성을 고려하지 않고 개발되어 운영되는 것이 많다. 이로 인해 메모리 충돌을 유발하는 형태의 대중적인 소프트웨어 공격기법이 쉽게 활용될 수 있을 것으로 예상한다. 웹 기반의 소프트웨어는 비밀번호가 플레인 텍스트로 교환되기도 한다. 더불어 최근에는 공급망을 통해서 악성코드가 유입될 가능성도 있다. log4j 취약점과 같이 공개 라이브러리를 통해서 악성코드가 전력망 소프트웨어에 유입 될 수 있다. 더불어 최근 정부 기관 납품 장비 악성코드 감염 사태와 같이 소프트웨어 개발, 유통, 납품 과정에서 악성코드가 주입되는 사례가 발생할 수도 있다.

이러한 소프트웨어 취약점은 공격자가 전력망의 제어시스템에 침투만 한다면 전력망 소프트웨어가 지니는 취약점을 이용해 손쉽게 다른 시스템으로 이동할 수 있도록 허용할 수 있다. 패스워드가 플레인 텍스트로 네트워크에 흘러 다닌다면 공격자는 네트워크 트래픽을 감시하는 것만으로도 사용자 크리덴셜을 확보할 수 있다.

전력망 사이버 보안 강화 전략

전력망 사이버 보안 신뢰도 기준 도입

전력망 보안과 관련 가장 중요한 부분은 전력거래소, 발전사업자, 한전, 부가서비스사업자 등의 전력망 운영과 관련한 주요 이해관계자가 스스로의 위험을 정확히 이해하고, 위험에 적합한 안대책을 수립하고, 변화하는 위험 요인에 따라 대책을 지속적으로 개선해야 한다. 이를 위해서 각 기관이 스스로 전력망 사이버 보안과 관련한 식별, 보호, 탐지, 대응, 복원 등의 일련의 행위를효율적으로 계획하고 실행하기 위한 지침이 필요하다. 

이와 관련 미국은 행정명령 13636(2013년)과 사이버보안강화법(2014년) 등을 통해서 NIST(National Institute of Standards and Technology)를 통해서 기반시설 사이버 위험 감소를 위한 프레임워크를 개발하도록 했다. 그 결과 NIST는 Cybersecurity Framework(CSF) 1.0을 발표했고, 2018년 NIST는 일부 내용을 개정한 CSF 1.1을 발표했다. 최근 NIST는 다양한 이해관계자의 의견을반영한 CSF 2.0 초안을 발표했고, 이에 대한 최종검토를 거쳐 2024년 상반기에 최종안을 발표할 예정이다.

미국 행정부는 다양한 인센티브 도입, CSF 적용 지원 도구 개발 등을 통해서 지속적으로 기반시설 운영기관이 CSF를 적용해 기반시설 보안성 및 복원성을 높일 수 있도록 장려하고 있다. 특히 미국 기반시설 사이버보안을 책임지고 있는 CISA(Cybersecurity and Infrastructure Security Agency)는 CSET(Cyber Security Evaluation Tool)을 제공해 자체적으로 CSF를 통해 기관의 기반시설 보안 대책이 적절하게 수립됐는지 검토할 수 있도록 하고 있다. 또 미국 연방정부는 각 부처가 자신이 담당하고 있는 분야의 기반시설을 위한 CSF 적용 지침(CSF Profile)을 개발해 배포하도록 했고, 지능형 전령망, 천연 가스, 교통, 해양, 통신망, 위성, 제조, 선거, 전기차, 커넥티드 카등에 대한 프로파일이 개발되어 배포됐다.

또한 미국은 NERC(North American Electric Reliability Corporation)를 통해서 신뢰도 기준을 개발하고, 계통운영자, 전력거래소, 전기사업자들이 이를 준수하도록 하고 있다. 각 사업자가 이를 온전히 준수하는지는 지역신뢰도관리기구에서 점검한다. NERC에서 개발한 신뢰도 기준은 총 14개로 구성되어 있으며, 이 중 하나인 CIP(Critical Infrastructure Protection)에서 전력망에 대한 사이버 보안과 물리 보안을 다룬다. CIP는 다시 14개의 항목으로 구성되며, 각 항목에는 여러 개의 준수해야 하는 요구사항이 명시되어 있다. CIP는 다른 신뢰도 기준과 마찬가지로 주기적으로 갱신되며, 갱신되면 정해진 기간내에 이를 준수하도록 하고 있다. 또한 미준수 기관에 대해서는 벌금을 부과한다.

국내에서는 기반보호법을 통해서 기반시설 전반에 대한 사이버 보안 규제가 시행되고 있으며, 이와 관련 제어시스템 보안 가이드라인을 배포해 보안대책을 구체적으로 명시하고 있다. 또 지능형전력망 사업자는 지능형전력망법의 제26조에서 규정한 ‘지능형전력망 정보의 보호조치에 관한 지침’을 준수해야 한다. 이에 전력망 운용을 위한 제어시스템은 해당 지침을 준수하고 있다. 하지만 이 지침들은 기반시설에 대한 전반적인 보안대책을 제시하고 있어 연계가 증가하고 있는 전력망의 특성을 반영하는 보안 지침을 제공하지 못한다. 특히 지능형전력망 지침은 대규모 사업자만을 대상으로 하고 있어 보안 관점의 실효성도 낮다. 더불어 국내 전력망의 신뢰도 및 전기품질 유지를 위해 ‘전력계통 신뢰도 및 전기품질 유지기준’이 산업부 고시로 제정되어 있다. 하지만 미국의 신뢰도 기준과 달리 국내 기준에서는 사이버 보안과 관련한 명확한 기준을 제시하지 못하고 있다. 다만 제51조(전력IT설비 정보보안기준의 수립)에서 정보보안 기준을 수립하고 이를 정기적으로 검토 및 보완할 것을 명시하고 있을 뿐이다.

전력망 가시성 확보

사이버 보안에 있어 가장 중요한 것은 시스템의 현 상황을 아는 것이다. 시스템을 구성하고 있는 모든 사이버 자산을 식별하고, 사이버 자산의 속성을 파악해야 한다. 예를 들어 사이버 자산의하드웨어 정보(제조사, 모델명, 시리얼번호, 네트워크 포트 번호 및 서비스, 통신 인터페이스 종류, USB 포트 등), 소프트웨어 정보(운영체제 또는 펌웨어 종류 및 버전, 패치 정보, 필수 응용 소프트웨어 정보 및 버전 등), 통신 흐름 정보(출발지, 목적지, 사용 프로토콜, 포트 번호 등) 등을 파악해야 한다. 이렇게 현재 전력망의 구성과 데이터 흐름을 명확히 파악하고 지속적으로 갱신이 된다면 시스템의 변화를 감시할 수 있고 새로운 취약점이 발견됐을 때 전력망시스템에 취약점이 존재하는지 쉽게 파악해 대처할 수 있다. 나아가서는 각 구성요소의 중요성을 평가하고 중요도 등급별로 구분할 수 있어야 한다. 이를 바탕으로 중요도에 따라 자산을 그룹화하여 별도의 네트워크 영역에 설치함으로 시스템을 논리적으로 분리할 수 있다. 더 중요한 시스템은 덜 중요한 시스템과 제한적으로 통신을 하도록 통제하고, 더 중요한 시스템으로 접근하기 위해서는 네트워크 경계에서부터 가장 중요한 시스템 그룹까지 단계적으로 이동해야 하도록 네트워크 보안 시스템을 구축할 수 있다. 이러한 방법을 통해 네트워크 경계의 시스템이 사이버 침해를 당하더라도 핵심 시스템으로 그 피해가 전파되는 것을 차단할 수 있다.

안전한 통신 체계 확립

앞서 밝힌 바와 같이 전력망에서는 보호되지 않는 프로토콜을 사용하는 경우가 많아 공격자가 트래픽을 감시하는 것만으로도 주요 시스템을 특정하거나 제어명령을 조작하는 공격을 감행할 수 있다. 따라서 전력망에서 사용되는 프로토콜에 기기 인증, 메시지 인증, 메시지 보호(기밀성, 무결성) 등의 기능을 반드시 적용해야 한다.

기기 인증과 메시지 인증을 통해서 공격자가 정상 기기로 위장해 정상 메시지로 조작된 공격 메시지를 전력망의 제어시스템으로 전송하는 것을 차단할 수 있다. 메시지 보호를 통해서는 공격자 또는 공격자가 설치한 악성코드가 네트워크 트래픽을 감시해 중요 시스템을 식별하거나 메시지를 역공학해 제어명령을 조작하는 것을 차단할 수 있다.

 

이건희 ETRI부설연구소 책임연구원 keaj@kea.kr