기상청에 납품된 중국산 기상장비에서 악성코드의 스파이칩이 발견됐다는 신문 기사가 며칠 전 세간에서 화제가 됐다. 이를 계기로 공공기관에 설치된 중국산 장비에 대한 전면적인 조사가 들어갈 것으로 예상된다. 이미 미국에서는 이른 바 ‘Rip and Replace(뜯어내고 교체하기)프로그램’을 통해서 중국 통신장비업체인 화웨이와 ZTE의 설비를 교체하고 있다. 초기의 예상 교체비용 10억달러를 훌쩍 넘어서서 이미 50억 달러를 넘어섰다고 한다. 올해도 미국이나 유럽 등 주요국의 화두에서 단연코 사이버 안보를 빼놓을 수 없을 것이다. 비단 군사시설 뿐만 아니라 전력, 상수도, 가스 파이프라인, 의료시스템, 금융시장 등 주요시설이 타깃이 될 수 있다. 이들 시설은 적대국의 스파이 행위뿐만 아니라 보상금을 노리는 랜섬웨어 해커들의 먹이감이 되기도 한다. 미국의 싱크탱크인 전략국제문제연구소(CSIS)는 사이버 범죄로 인한 사회적 비용이2018년의 6,000억달러에서 2020년에는 1조달러 규모로 추정하고 있다.
특히 태양광과 풍력과 같은 분산자원의 확대와 더불어 고도로 네트워크화 되어 가고 있는 전력·에너지 분야는 사이버 안보 전쟁의 최전선에 포함되는 대표적인 영역이다. 미국의 대형 에너지사인 인베너지(Invenergy)와 송유관 파이프라인을 대상으로 해킹 공격이 시도된 적이 있으며, 소규모 분산자원과 연결된 전력망 네트워크에 대한 사이버 위협 역시 증대했다.
지난 8월 초 라스베가스에서 해커 컨퍼런스인 데프콘이 개최됐다. 2,000여명이 모인 데프콘에 미국 펜타곤은 마이크로 그리드의 해킹 가능성을 점검했다. 마이크로 그리드 해킹은 다양한 루트를 통해 이뤄질 수 있다. 예를 들면 실시간 기상 데이터를 조작해 계통에 과부하를 거는방식도 가능하다. 재생에너지 확대와 더불어 미 육군은 2030년대 중반까지 군사기지에서 독립적으로 운용할 수 있는 마이크로 그리드 체계구축을 계획하고 있기에 금번의 테스트가 중요한 시금석이 될 전망이다.
이제 사이버 안보 위협을 통한 대규모 정전이나 에너지 공급위기 등은 더 이상 블랜스완 유형의 이벤트가 아니라, 24시간 365일 노출되는 상시적인 위험이 됐다. 더군다나 이들 위협은 오늘날 AI와 네트워크의 발달로 인해 고도로 지능화됐을 뿐만 아니라, 심지어 일반 초보자들도 쉽게 접근할 수 있는 형태로 전개되고 있다. 이미 화이트 해커 그룹은 생성형 인공지능인 챗GPT와 거대언어모형 (LLM, Large Language
Model)을 활용해 비전문가의 해킹 기술이 얼마나 가능한지 실험하고 있다. 챗GPT와 같은 자연어 처리모델에 의도적인 질문을 하여 출력을원하는 방향으로 유도하는 류의 기법인 프롬프트 인젝팅(prompt injecting)은 애교 수준일 수도 있다. 일반인 비전문가가 해킹할 수 있도록코드 제공뿐만 아니라 이를 더 고급 수준으로 가공할 수 있는 AI 서비스까지 가능한 세상이 됐다.
본격적으로 시작된 창과 방패의 싸움에서 우리도 예외일 수는 없다. 우리나라는 고도로 발달한 IT 강국으로서 촘촘한 통신망, 전력망, 물류망, 금융망을 갖고 있지만 사이버 안보 역량은 상당히 미흡한 상황이다. 이에 사이버 위협을 사전에 차단하고 안보 역량을 강화할 수 있는 몇 가지 방안을 제시해보면 다음과 같다.
첫째, 고도로 훈련된 사이버 안보 고급 전문가를 양성하고, 관련 R&D를 적극 지원해야 할 것이다. 공공기관 임금 체계에 얽매여서는 고급 전문가 유치가 거의 불가능한 바, 유연하면서도 경쟁적인 별도의 임금 체계 도입도 검토될 필요가 있다. V2G, P2P, VPP 등의 도입환경이 조성됨에 따라 사이버 안보 역량을 진단할 수 있는 디지털 트윈 시스템 구축이나, 바이러스 확산을 막기 위한 백신적용을 위한 행위자기반 모형 개발 등 다양한 연구기반 조성이 이뤄져야 할 것이다.산학연 전문가를 클러스터한 형태로서도 대응 시스템을 구축할 수 있는데, 미국 에너지부가 마련한 Clean Energy Cybersecurity Accelerator(CECA)와 같은 프로그램을 벤치마킹해 볼 수 있을 것이다.
둘째, 재생에너지 관련 사이버 안보 체계를 고도화할 필요가 있다. 과거 대형 발전소 중심 체제에서는 해킹을 예방하고 상시 모니터링할 수있는 규모의 경제를 갖출 수 있었지만 소규모 분산자원에서는 이를 기대하기 힘들다. 사이버 침투는 그 틈새를 노린다. 특히 태양광 인버터관련 이슈는 주요국에서 이미 등장했다.
네덜란드 정부는 수입산 태양광 인버터와 솔라패널의 사이버 위협을 진단하기 위해 전수 조사에 들어갔으며, 중국산 스마트 인버터의 수입의존도가 60%에 달하는 호주 역시 비슷한 조치를 검토 중이다. 최근 미국 하원의 에너지 위원회에서도 에너지 안보는 곧 국가안보에 직결되는 문제로 여기면서 태양광 인버터 이슈를 면밀하게 검토 중이다. 우리나라 역시 예외가 아니기 때문에 인버터 국산화 기술 개발 및 사이버 안보 관련 규정 마련이 시급히 이뤄져야 할 것이다.
셋째, 확대되는 전기차 충전소 관련 사이버 위협 가능성도 세부적으로 점검하고 관련 제도를 마련해야 한다. 전기차 충전기나 디지털 결제장치의 개인정보 누출을 통해서 개인 전기차 해킹뿐만 아니라 전력계통에까지 침투할 수 있는 위험성에 주목하기 때문이다. 이러한 해킹이광범위하면서도 밀도있게 이루어질 경우 전국 규모의 블랙아웃이 발생할 수 있다고 미국 국립표준기술연구소(NIST)는 경고하고 있다.
넷째, 사이버 안보는 중앙정부와 중앙기관뿐만 아니라 지방자치단체 및 관련 기관에서도 그 역량이 단계적으로 구축돼야 한다. 재생에너지는 분산 자원으로서 해당 지역에서부터 위기관리가 이뤄져야 하기 때문이다. 뉴욕주의 경우 2022년에 57건의 사이버 침투를 경험한 이후 사이버안보 전략을 수립하면서 2023년 회계연도에 약 1억달러의 주 예산을 책정했다. 이와 유사하게 아이오와, 미시간, 웨스트버지니아 등여러 주에서도 사이버 안보 전략을 수립하고 있는데, 지난 3월 발표한 백악관의 ‘국가사이버안보전략’과 동일한 연장선상에서 이해할 수 있다.
다섯째, 사이버 안보 관련 각 주체의 대응 및 협조, 정보공유 등을 위한 촘촘한 업무 분장 매뉴얼 수립과 (비)주기적인 모의훈련이 필요하다.지방자치단체와 여러 이해관계 기구와의 긴밀한 협조는 필수적이다. 앞서 언급한 뉴욕주의 경우 사이버 안보 전략을 구현하기 위해서 JSOC (Joint Security Operations Center)와 NYSIC(New York State Intelligence Center)를 두고 있다.
JSOC는 뉴욕주의 여러 도시들(얼바니, 로체스터, 시라큐스 등)과의 정보교환 및 전략적 대응을 담당해, NYSIC는 연방정부, 각 주 정부 및 유관기관과의 전략적 대응을 담당한다. 촘촘하게 설계되는 역할분담은 사이버 해킹 등 유사사태 발생시 긴급한 대응과 원인자 색출 등에 기여할 수 있다.
여섯째, 탄소중립녹색성장기본계획 상 2030 온실가스감축목표(NDC)의 태양광 물량 목표에만 집착하는 것도 사이버 안보를 위태하게 하는한 요소임은 분명하다. 물량 확대만 급속히 이뤄질 경우 관련 송전망 연계도 이슈이거니와, 앞서 언급한 인버터 등 여러 안보 위협에 취약해질 수 있다. 관련 국내 기술 개발을 선행하면서 2050년까지 탄소중립을 내실있게 추진해나가야 할 것이다.
앞에서 언급한 수단의 구축이 다 이뤄질지라도 인간에 의한 사보타지나 의도적인 스파이 행위까지는 시스템적으로 다 모니터링 할 수 없는한계를 갖는다. 따라서 사이버 안보에 대한 인식제고를 강조할 수 밖에 없다. 내부인의 USB를 이용한 스턱스넷 침투는 가장 고전적인 방식일 것이다. 이를 미연에 방지하기 위해서는 다양한 모니터링과 함께 인식강화 교육도 병행돼야 할 것이다. 아울러 규모의 경제를 갖춘 대형발전사와 달리 소규모 분산자원 사업자는 사이버 공격에 대응할 수 있는 투자를 감당하기 힘들다. 따라서 시스템 설계 때부터 사이버 보안에 대한 재정 및 기술지원이 이뤄질 수 있도록 정책이 뒷받침돼야 할 것이다.
박호정 고려대학교 식품·자원경제학과 교수 keaj@kea.kr
