개 회 사 존경하는 민병주 의원님과 공동으로 원자력발전소 관계 자들을 비롯해 사이버테러의 각계 전문가들을 모시고 원전 사이버테러 무엇이 문제인가 라는 정책토론회를 개최하게 된 것을 기쁘게 생각합니다. 더불어 원자력발 전소를 비롯해 국가의 중요 기간 시설을 유무형의 테러 로 부터 방어하기 위해 불철주야 노력하시는 관계자 여 러분께 이 자리를 통해 깊은 감사의 인사를 올립니다. 무엇보다, 작년말 원자력발전소 가동중단 을 요구하며 원전 관련 자료를 잇달아 유출시킨 사건이 북한의 소행 으로 판단된다는 수사결과가 최근 발표됐습니다. 북한 배후 추정 주요 사이버테러는 지난 2003년을 시작으로 2009년 DDoS 공격, 2011년 농협 전산망 마비 사건, 2013년 방송사 금융기관 전산망 마비 등이 일어났고, 피해액 추정치만도 무려 1조원이 넘게 발생하고 있는 실정입니다. 갈수록 북한의 사이버테러 공격 수준도 고도화되고 있 습니다. 작년 발생한 원전자료 유출 사건 당시, 한수원 퇴직자 및 협력업체 직원 등의 피싱메일을 통해 원전 자료가 유출된 것으로 드러나 충격을 주고 있습니다. 즉, 북한 해커들이 주요 기간 시설의 내부망 해킹이 어 려워지면 자연스럽게 협력업체 직원을 통해 우회 공격 하는 패턴을 보이고 있습니다. 원전과 같은 국가 중요 시설이 만약 사이버테러와 같은 위험에 계속해서 노출되어 있을 경우, 사회불안 및 국 민 불안은 계속 가중될 수밖에 없습니다. 따라서 이번 사건을 계기로 허점이 발생한 사이버 공격 대응방안에
대해서는 과감한 혁신이 이루어져야 하고, 북한의 사이 버 공격에 대해서는 우리도 즉각적으로 타격할 수 있는 체계를 확립해야 합니다. 특히, 사이버 보안 대응시스템 의 대대적 점검, 확충과 동시에 기관 뿐 아니라 임직원, 협력직원 등 개개인의 사이버 침해에 대한 보안의식 강 화가 절실한 상황입니다. 이번 토론회에서는 첫째 작년 12월 9일 발생한 원전 자료유출 문제점 및 대책을 살펴볼 것이며, 둘째 원전 제어시스템에 대한 사이버공격 사례 및 문제점에 대해 조명할 예정이며, 마지막으로 사이버테러 대응방안에 관하여 강도 높은 대안을 모색해 보고자 합니다. 모쪼록 이번 토론회가 원자력발전소를 비롯해 우리나라 국가 중요 기간 시설을 사이버테러로부터 안전하게 지 켜낼 수 있는 굳건한 초석의 자리가 되기를 간절히 기 원해 봅니다. 특히, 각계 전문가들의 지혜와 에너지를 모으는 소중한 시간이 되리라 믿습니다. 바쁘신 가운데 에도 불구하고, 날카로운 분석과 제언을 나누어 주신 발표자 토론자 분들을 비롯하여 내외 귀빈, 토론회 실 무를 위해 애써주신 한국수력원자력 사이버보안 관계자 여러분께 진심으로 깊은 감사의 인사를 올립니다. 감사합니다. 2015년 3월 25일 하 태 경 국회의원
환 영 사 안녕하십니까? 국회 미래창조과학방송통신위원회 위원으로 활동하고 있으며, 대전 유성구 새누리당 당협위원장을 맡고 있는 국회의원 민병주입니다. 바쁘신 와중에도 참석해주신 선배 동료 국회의원님과 한국수력원자력 조석 사장님, 또 발제와 토론을 맡아 주실 청와대 임종인 안보특보를 비롯한 원전 사이버 보 안 전문가 여러분들의 참석에 감사를 드립니다. 다들 아시겠지만 작년 12월 9일 한국수력원자력의 자료 유출로 인해 원전의 사이버 보안이 사회 전반의 주요 이슈로 등장하였습니다. 바로 지난주에도 원전반대그룹 에서 트위터를 이용해 고리 1호기의 계통도면, 성능분석 자료, 안전해석소개용 전산화면 등을 유포하며 원전을 파괴하겠다는 위협을 가하는 상황이 또 다시 발생하였 습니다. 상황이 이러하다보니, 원전의 안전에 대한 국민 들의 걱정과 불안감이 증대된 것이 현실입니다. 이에 국회에서는 원자력 사이버 보안에 대해 효과적인 대응책 마련을 위해 원자력시설 등의 방호 및 방사능 방재 대책법 에 원전의 사이버 보안과 사업자의 책임 및 사이버침해행위에 대한 벌칙 조항 등을 체계적으로 반영하기 위한 법 개정의 필요성이 논의되고 있습니다.
또한, 정부에서는 올 상반기내에 사이버안보 협의체를 출범하여 원자력발전소에 대한 해킹 등 사이버 테러를 전 부처가 공동으로 함께 대응해 나갈 것이라고 밝혔으 며, 한국수력원자력에서도 사이버 해킹 사태 이후 사이버 위협 특별점검을 통해 이메일 계정변경, 정보보안 전문가 채용, 사이버관제센터 인력 확대, 보안시스템 추가보강 등의 조치를 취한 상황입니다. 오늘 개최되는 정책 토론회는 원전 사이버 보안에 대 해 정부와 산 학 연이 함께 대응방안을 논의하고자 마련되었습니다. 오늘 토론회를 통해 사이버 테러 대응 방안에 대한 심도 있는 논의의 장이 열리기를 기대합 니다. 앞으로 국회에서도 원자력 사이버 보안을 위한 실효성 있는 정책과 입법을 통해 국민여러분들이 심려를 끼쳐 드리지 않기 위해 최선의 노력을 다 하겠습니다. 다시 한번 이번 토론회에 참석해주신 모든 분께 감사드 리며, 원전 사이버 보안에 대해 관심을 가져주시고 공동으로 토론회를 주최해주신 하태경 의원님께도 감사드립니다. 감사합니다. 2015년 3월 25일 민 병 주 국회의원
축 사 원전은 2014년 우리나라 전체 발전량의 30%를 생산했습니다. 에너지원별 발전량으로 볼 때 LNG와 유연탄을 앞서는 최대 의 에너지원입니다. 원전은 또한 UAE와 사우디아라비아에 대한 원전 수출의 예에서 보듯이 전도유망한 수출산업이기 도 합니다. 우리나라의 중소형 원전은 세계적 경쟁력을 갖추 고 있어 현재보다는 미래가 더 기대되는 새로운 성장동력이 라 할수 있습니다. 반면 원전은 기술 자체에 내재한 고도의 위험성 때문에 자 칫 잘못하면 대재앙을 불러오기도 합니다. 원전의 가공할 위 력은 미국의 쓰리마일, 소련의 체르노빌, 일본의 후쿠시마에 서 여실히 증명된 적이 있습니다. 축복과 재앙의 면모를 다 갖춘 이러한 야누스적 특성 때문 에, 원전은 내 외부 파괴세력의 주요한 공격 목표가 될 수 있으며, 지난해 12월 한수원의 자료 유출 사태는 이러한 우 려가 현실화된 일례입니다. 이 사태는 결국 북한의 소행임이 유력한 것으로 밝혀져, 어느 정도 예상한 것이기는 했지만 다시 한 번 우리 국민들에게 크나큰 충격을 주었습니다. 국 가의 치명적인 기간시설을 담당하는 기관이 북한의 사이버 테러에 뚫린다는 것은 생각하기조차 무서운 일입니다. 뚫리 는 순간 이미 너무 늦은 것입니다. 열 포졸이 한 도둑 못 잡는다 는 옛말이 있습니다. 사이버테 러의 기술이 너무 고도화되어 방화벽을 쌓는 것도 쉽지 않을 것입니다. 하지만 이러한 현실적 어려움을 호소하기에는 사태 가 너무 위중합니다. 하루 빨리 대책을 세워야 하겠습니다. 포졸의 숫자도 더 늘려야 하겠지만, 무엇보다 포졸의 상상력
이 도둑의 상상력보다 더 커야 하겠습니다. 국가기간시설에 근무하는 분들은 국민 전체의 생사를 감당하고 있다는 자세 로 항상 경계하고 또 경계해야 하겠습니다. 오늘 토론회에서 원전 사이버테러와 관련된 문제점들이 세 밀하게 논의되고 원전 사이버테러에 대한 근본적 방어책에 대해서도 활발한 토론이 있었으면 합니다. 토론회를 마련해 주신 하태경 의원님과 민병주 의원님, 발 제와 토론을 맡으신 전문가 선생님들께 감사드립니다. 참석 하신 모든 분께 건강과 행운이 함께하길 기원합니다. 감사합니다. 2015년 3월 25일 새누리당 대표최고위원 김 무 성 드림
축 사 안녕하십니까 새누리당 정책위원회 의장 원유철 의원입니다. 먼저 이 자리를 빛내주시기 위해 바쁘신 와중에도 참석 해 주신 의원님들과 참석자분들 정말 반갑습니다. 특히, 이번 정책토론회를 주최하신 하태경 위원님, 민병주 위 원께 감사에 말씀을 드립니다. 최근 국가 기반시설을 노리는 사이버위협이 고조되고 있습니다. 지난 한수원 사태로 보듯이 개인정보 탈취나 금융사기에 국한된 것이 아니고 전력, 가스 등 에너지 분야의 국가 핵심 기반시설로 고도화되고 지능적인 사이 버 테러 공격이 이루어지고 있어 국가 안보와 직결되어 있습니다. 사이버 테러는 현실세계에서의 테러와는 달리 눈에 잘 보이지 않는 반면 막대한 피해가 발생하므로 사전에 이 를 원천봉쇄하는 것이 무엇보다 중요합니다. 다행히 지 난 번에는 한수원의 신속한 초기대응으로 인해 피해가 극히 최소화되어 원전 안전운영에는 큰 영향이 없었다 고 보여져 다행으로 여기고 있습니다. 지금 우리나라에는 총 28기의 원전이 있고 이중 23기 가 운전중에 있습니다. 원자력 사고는 후쿠시마 원전 사고의 예에서 보듯이 그 피해가 광범위하고 장기간 지 속되는 특징이 있습니다. 따라서 원자력에 대한 보안은 철저하다 못해 비장하기까지 해야 할 것입니다. 허술한 국가기반시설 관리는 국민의 생명과 안전을 직 접적으로 위협할 수 있습니다. 지금 국민은 정부와 공 기업에게 정보보호에 대한 사회적 책임을 다하기를 요 구하고 있습니다만 현실은 기대에 못 미치고 있다는 점 을 명심해야 합니다.
따라서 이러한 시기에 열리는 이번 정책토론회는 원전 사이버 테러에 대응하기 위해 실질적인 방향성을 제시 하는데 도움이 될 뿐 아니라 다른 분야의 정보보호 문 제에도 경각심을 주는 계기가 될 것이라고 생각합니다. 부디 성공적인 토론회가 되기를 기대합니다. 감사합니다. 2015년 3월 25일 원 유 철 국회의원
축 사 여러분 안녕하십니까, 새누리당 국회의원 서상기입니다. 오늘 원전 사이버보안 정책 토론회 개최를 진심으로 축 하드리며, 먼 길에도 불구하고 참석해주신 여러 의원님 들, 교수님들과 관계자 여러분께 감사드립니다. 한수원 해킹사고를 계기로 우리 사이버 공간을 보다 안 전하게 보호하기 위해 국가 사이버안보 태세 역량 강화 가 필요하다고 봅니다. 우선 정부는 원전시설 등 주요기반시설 관리기관의 보 안능력 확충을 위해 사이버 보안 전담조직을 신설 확대 할 필요가 있으며, 정보보안 예산 확보, 취약점 분석 평 가 지원, 사이버징후 및 탐지 기능 강화, 업무망과 인터 넷 분리 등 조치가 우선 선행 되어야 하겠습니다. 아울러 국가 사이버보안 정책 의사결정의 일원화 등을 위해 사이버관련 법령을 보완하여 업무수행체계 기반을 지속 정비해 나가며, 전반적인 사이버보안 컨트롤타워 기능도 강화할 필요가 있습니다. 그런 의미에서 오늘 모이신 모든 분들께서는 좋은 의견 개진하시어 우리 사 이버 공간을 보다 안전하게 보호하는데 큰 힘을 보태어 주시기 바랍니다. 우리 국회에서도 사이버테러 대응 체계 정비를 위한 법 과 제도 마련에 최선을 다하겠습니다. 지난 2013년 제가 대표 발의한 국가 사이버테러방지법이 2년이 넘는 시간 동안 국회에 잠들어 있습니다. 이번 토론회에 참석해주신 여러 국회의원 여러분과 전문가 여러분께서 도와주신다 면 사이버테러방지법에 대한 논의가 급물살을 탈 수 있 을 것입니다.
끝으로 다시 한 번 원전 사이버보안 정책 토론회의 성 공적인 개최를 축하드리며, 참석해주신 여러분들의 가 정과 일터에도 따뜻한 봄날처럼 화목과 기쁨이 가득하 시길 기원하면 축사에 갈음하고자 합니다. 감사합니다. 2015년 3월 25일 서 상 기 국회의원
축 사 안녕하십니까? 한수원 사장 조석입니다. 바쁘신 일정에도 불구하고 토론회에 참석해주신 김무성 대표최고 위원님과 내외 귀빈 여러분께 진심으로 감사드립니다. 아울러, 이 세미나를 주최해주신 하태경 의원님, 민병주 의원님께 도 깊은 감사의 말씀을 드립니다. 지난연말과 이번 달 우리 회사는 사이버 공격을 받아 큰 어려움 을 겪었습니다. 회사 자료가 SNS에 공개되면서 사회적으로 큰 불안에 휩싸였습니다. 사이버 공격에 맞서 우리 회사 임직원 모두는 비상근무체제에 돌 입하여 보안시스템을 강화했고, 원자력발전소를 안전하게 운영할 수 있었습니다. 앞으로도 그 어떠한 사이버 공격에도 흔들리지 않도록 최선을 다하 겠습니다. 제어시스템을 보강하고 설비를 개선하는 한편, 비상 시 대응 능력을 한층 강화할 것입니다. 네트워크 보안과 출입관리 시 스템을 강화해 문서 유출을 막고 기술 보안을 철통같이 하겠습니 다. 나아가 모든 협력사들이 보안 수준을 높일 수 있도록 보안 관리를 철저 히 할 것입니다. 원자력발전소가 사이버 테러에도 안전하다고 국민이 안심하실 수 있도록 임직원 모두가 더욱 노력하겠습니다. 마지막으로 오늘 토론회에 참석해 주신 여러분께 다시 한 번 감 사의 말씀을 드리며, 여러분 모두의 건강과 행복을 기원합니다. 감사합니다. 2015년 3월 25일 한수원 사장 조석
행 사 일 정 P R O G R A M 사회 : 김 승 원 보좌관 하태경의원실 10:00 ~ 10:25 개 회 국민의례 및 내외빈 소개 개회사 환영사 축사 기념사진촬영 사회 : 류재철 충남대 컴퓨터공학과 교수 주제1 한수원 12.9 사이버공격 문제점 및 대책 (한수원정보시스템실장 김갑용) 10:25 ~ 12:00 발표 및 종합 토론 (발표15분, 토론10분) 주제2 주제3 토론 원전 제어시스템 사이버공격 사례 및 문제점 (원자력연구원 이철권 박사) 사이버공격 대응방안 (자유민주연구원 유동렬 원장, 前 경찰대 치안정책 연구소 선임연구관) 임종인 청와대 안보특보 임재명 인터넷진흥원 인터넷침해대응본부장 염흥열 순천향대 교수[ 前 정보보호학회장] 박상우 국가보안기술연구소 기반 보호 본부장 방청석 질의응답(10분) 12:00 ~ 12:10 폐 회 폐회 및 정리
한수원 12.9 사이버공격 문제점 및 대책 한수원 정보시스템실장 김 갑 용
원전 사이버테러 무엇이 문제인가? 원전 제어시스템 사이버공격 사례 및 문제점 이 철 권
사이버공격 대응방안 자유민주연구원 (www.kild.or.kr) 원장 유 동 열
토론 임종인 청와대 안보특보
토론 임 재 명 인터넷진흥원 인터넷침해대응본부장
기반시설 현황 및 개선방향 임재명(인터넷진흥원 인터넷침해대응본부장) 기반시설 o 주요정보통신기반시설 : 정보통신기반보호법 8조 - 국가안전보장 행정 국방 치안 금융 통신 운송 에너지 등의 업무와 관련된 전자적 제 어 관리시스템 및 정보통신망법에 의한 정보통신망 中 5개 사항을 고려해서 지정 - 1국가사회적 중요성, 2수행업무의 정보통신기반시설 의존도, 3상호연계성, 4국 가안전보장과 경제사회에 미치는 피해규모 및 범위, 5침해사고의 발생가능성 또 는 그 복구의 용이성을 고려 o 국가기반시설 : 재난및안전관리 기본법 26조 - 사회재난(화재 붕괴 폭발 교통사고 화생방사고 환경오염사고 등으로 인하여 발생하는 대통령령으로 정하는 규모 이상의 피해와 에너지 통신 교통 금융 의료 수도 등 국가 기반체계의 마비, 감염병 또는 가축전염병의 확산 등으로 인한 피해)에 따른 국가 기반체계를 보호하기 위하여 계속적으로 관리할 필요가 있다고 인정되는 시설 o 국가보안시설 : 국가정보원법 (보안업무규정 32조) - 파괴, 기능 마비 또는 비밀누설로 인하여 전략적으로 또는 군사적으로 막대한 손해 를 끼치거나 국가안전보장에 연쇄적 혼란을 일으킬 우려가 있는 시설 또는 지역 o 국가중요시설 : 통합방위법 2조 - 공공기관, 공항 항만, 주요 산업시설 등 적에 의하여 점령 또는 파괴되거나 기능이 마비될 경우 국가안보와 국민생활에 심각한 영향을 주게 되는 시설 국외 기반시설 동향 o (미국) 오바마 대통령 행정명령( 13.2월) 발표후 국토안보부 중심으로 정보공유, 국가 사이버보안 체계 개선, 인센티브 방안 등 마련( 14.2월) 美, 사이버보안조정관은 민간부문 사이버보안 프레임워크 의 자발적 도입확산 을 위해 연방 보조금 직브, 우선 기술지원, 사이버 보안사고 발생시 배상책임 경 감 등 8가지 인센티브 방안 공개( 13.8, 백악관) o (일본) 사이버보안 2014 에서 정부기관 및 주요 기반시설 사업자 등 사이버보안 주체들 간 상호 연계를 통한 보안수준 향상 방안 발표( 13.6월) 日, 내각관방 정보보호센터에서는 중요 인프라에 대한 사이버 공격(사고) 시 공격 기법 분석, 대응지원(JPCER/CC), 취약점 정보 및 사고 사례 우선 공유 등 7가지 인센티브 발표
o (EU) 외교 안보 정책을 위한 사이버보안 전략과 중요 네트워크 인프라 보안에 대한 지침 발표( 13.2월) 각국의 정부-민간 정보공유 프로그램을 마련하고 참여유도를 위해 정보활용 자 율성 보장, 보조급지급 등 12개 인센티브 발표( 10, ENISA) 국내 기반시설 비교 구 분 시행 연도 주무 부처 주요정보통신 기반시설 국가기반 시설 국가보안 시설 국가중요 시설 정보보호 관리체계 2001년 2004년 1994년 1997년 2002년 미래부 국가안전처 국정원 국방부, 경찰청 미래부 성격 의무 의무 의무 의무 의무 근거 분야 정보통신 기반보호법 제7조, 제8조 정보통신시설, 헌법기관, 금융, 의료, 교통시설, 에너지 수자원, 방송중계 국가지 도통신망 시설, 정부출연연구시설 재난및안전관리 기본법 제26조 에너지, 정보통신, 교통수송, 금융, 보건의료, 원자력, 환경, 식용수 국가정보원법 제3조, 보안업무규정 제36조 기관, 산업, 전력, 방송, 정보통신, 교통, 공항, 항만, 수자원, 과학, 교정정착지원, 지하공동구 통합방위법 제2조 국가보안 목표시설과 동일 정보통신망법 제47조 정보통신망서비 스제공자, 집적통신시설사 업자, 100억원/년 or 100만명/일 대상 OOO개 시스템 OOO개 시설 OOO개 시설 OOO개 시설 OOO개 서비스 관리 체계 점검 기준 구분 없음 취약점 분석평가 (관리/기술/물리적 보안) 구분 없음 출입통제책, 방화 경보대책 등 시설 방호에 초점 가 나 다 3단계 구분 외부 공격으로부터의 대비책 등 물리적 타격대응에 초점 가 나 다 3단계 구분 관리, 물리적 보호에 초점 구분 없음 ISMS 기준(137개) (정보통신망 안정성에 초점) 의무 취약점분석평가 보호대책 수립(1) 업무연속성 확보 보안카드 수립 보안점검 (0.5) 방호계획 수립 통합방위훈련(2) 104개 항목 사후심사(1)
주요정보통신기반시설 정보통신기반보호위원회 (위원장 : 국무조정실장) (위원 : 미래부 등 관계중앙행정기관 차관급) 공공분야 실무위원회 위원장 : 국정원 차장 위 원 : 관계중앙행정기관 고위공무원 소관분야 - 중앙행정기관, 지방자치단체 및 그 소속기관의 장이 관리하는 기반시설 - 전자정부법 제2조에 따른 공공기관 이 관리하는 기반시설 행정, 전력, 교통, 정수 등 민간분야 실무위원회 위원장 : 미래부 제2차관 위 원 : 관계중앙행정기관 고위공무원 소관분야 - 공공분야 실무위원회에서 관리하는 시설을 제외한 기반시설 통신, 은행, 증권, 병원 등 <주요정보통신기반시설 보호 절차> 구분 기반시설 관리기관 중앙행정기관 미래부 국정원 (실무위원회) 정보통신 기반보호위원회 기반시설 지정 자체평가 실시 기반시설 지정(안) 마련 기반시설 지정권고 기반시설 지정(안) 심의 의결 취약점 분석 평가 물리적 관리적 기술적 453개 항목 분석 평가 실시 <기술지원 전문기관> - 한국인터넷진흥원(KISA) - 정보공유 분석센터(통신, 지자체, 금융, 증권) - 지식정보보안컨설팅전문업체(18개 업체) - 국가보안기술연구소(ETRI부설) 보호대책 계획 수립 보호대책 수립 보호계획 수립 (관리기관 보호대책 종합 조정) 보호대책 계획 수립지침 개발 배포 보호계획 심의 의결 보호대책 이행점검 보호대책 이행 보호계획 이행 보호대책 추진 이행여부 확인 -
문제점 및 개선방향 o (복잡) 복잡한 지정 및 점검기준 국내 기반시설 비교 참조 법에 따른 중복 지정 정리 및 점검항목 체계화 o (지정) 관리기관은 보호의무 부담 등을 이유로 지정에 소극적 기반시설 지정 자체평가 결과 및 보호대책 계획의 적절성을 심의할 수 있는 근거 OOOO 원격감시시스템에 대해 3차례( 10, 11, 14년) 지정권고를 실시하였으나 자체평가결과 기준 미달을 근거로 미지정( 15년 1월 현재) 13년 OOO를 대상으로 기반시설지정을 추진하였으나, OOO 노조 등의 반발로 기반시설 지정 추진 중단 14년 기반시설로 지정받은 기관 중 일부기관은 지정회피를 위하여 자체평가 時 내부위원이 일부평가 항목에 0점를 부여 o (운영) 관리기관은 법적 보호활동 준수에 필요한 인력과 예산이 추가 소요됨에 따 라 의무사항 준수에만 급급한 실정 기반시설 분야별 사이버 보안위협 분석 및 공유체계 마련을 위한 정부차원의 재 정적 기술적 지원근거 마련 OO OOO은 13년 당시 정보보호인력이 4명에 불과함에도, 자체전담반을 구성 하여 취약점 분석 평가를 수행함으로써, 객관적인 대책을 수립하지 못함 o (신고) 침해사고 인지에도 불구하고 자발적 신고 미흡 침해사고 사실 통지를 의무화하고, 미통지 시 과태료 및 처벌 규정 마련 o (예방) 예방차원의 긴급점검 및 취약점 제거조치를 위한 모의침투 훈련 근거 미흡 상시적 점검 및 모의침투 훈련을 통해, 사전 취약점 발견 및 조치 체계 마련 주요 통신사 DDoS 공격시 대응 매뉴얼에 따라 사이버대피소로 우회 하였으나, 시스템 문제로 인해 72분간 장애가 지속되는 문제가 발생 삼성SDS 과천IDC 화재( 14.4월)로 인하여 약 5만명의 인터넷전화서비스(VoIP) 가 입자 및 신용카드 社 홈페이지 등 웹호스팅서비스 고객들에게 33억원 피해 발생 한수원 사태의 경우 실제 제어시스템은 피해가 없었음에도 불구하고, 국민 불안 감 조성으로 인한 혼란 및 사태 수습을 위한 국력 소모 등 사회적 비용 발생
별첨 국내 외 기반시설 비교 범례 : 예정인 분야 구분 한국 (11개 분야) 미국 (16개 분야) 일본 (13개 분야) 보호 대상 전자적 제어 관리 시스템 및 정보통신망 물리적 가상적 시스템 자산 정보시스템 정의 대상 분야 국가안전보장 행정 국방 치안 금융 통신 운송 에너지 등의 업무와 관련된 전자적 제어 관리시스템 및 정보통신망 미국에게 매우 중요한 물리 적 또는 가상 시스템과 자산 이로, 그 무력화 및 파괴에 의해 보안, 국가의 경제 안 보, 국민의 보건과 안전, 또 는 이들의 조합에 악영향을 주는 것 정보통신 통신 정보통신 국민 생활과 사회 경제 활동 기반으로 대체가 현저히 어 려운 서비스를 제공하며, 그 기능이 중지, 저하 또는 사용 불가능한 상태에 빠지는 경 우에는 국민 생활 또는 사회 경제 활동에 막대한 영향을 미칠 우려가 생기는 시설 행정서비스 IT 정부 행정서비스 에너지 (전력, 가스, 석유) 에너지 전력, 가스, 석유(예정) 금융 금융 서비스 금융, 신용(예정) 의료 복지 의료 복지 의료 교통 (도로, 철도, 항공, 해양) 교통 항공, 철도, 물류 수자원 (수도, 댐) 수자원 댐 수도 원자력 원자력 시설 - 국방 방위산업기지 - 소방 응급서비스 - - 화학 화학(예정) - 식품 농업 - - 정부시설 - - 상업시설 - - 제조 - 환경 - -
토론 염 흥 열 순천향대 교수[ 前 정보보호학회장]
원전 사이버테러 대응 체계 고도화해야 염흥열(순천향대학교 정보보호학과 교수) 최근 사이버 보안 위협 현황 최근 한수원을 포함한 국가기반시설에 대한 사이버 공격이 지능화된 악성코드가 이용되고 있다. 악성코드 는 악의적 목적을 위해 작성된 실행 가능한 코드로 프로 그램, 매크로, 스크립트뿐만 아니라 취약점을 이용한 데이 터 형태도 포함하고 있다. 한국인터넷진흥원의 2014년도 보고서에 의하면, 전체 악 성코드 중에서 정보 유출에 이용되는 악성코드가 33%, 금융권 파밍 공격에 이용되는 악성코드가 19%, 그리고 해커의 원격 제어에 이용되는 악성코드가 18% 을 차지하는 것으로 밝혀졌다. 작년 우리나라에 서는 정보 유출, 금융 정보를 노리는 사이버 공격이 주류를 이루고 있 음을 나타낸다. 최근 사이버 공격의 방식이 타켓 위협으로 변하고 있다. 지능형 지속 위협(APT) 은 백신도 탐지하지 못하는 악성코드를 표적인 특정 기업의 내부 네트워크에 침투해 내부 망에 거점을 마련한 후, 내부망의 중요 정보를 수집 해 지속적으로 빼돌리거나 내부망의 정보를 파괴하는 은밀한 형태의 표적 위협 이다. 이 위협에서 공격 성공률을 높이고 첨단 보안 제품이 악성코드의 탐지를 회피하기 위해 공격자는 정보시스템의 제로데이(zero-day) 취약점의 이용하는 등의 다양한 사이버 공격 기술을 결합해 사용하기 때문에 지능적 이고 위협적인 공격이 되고 있으며, 공격당한 기업들은 보안 사고가 외부로 알려지기 까지 공격을 당했다는 사실조차 모르는 경우가 태반일 정도이다. 해킹 그룹에 의한 사이버 공격 또는 사이버테러는 저비용 고효율이라 는 특성이 있다. 사이버 공격에서 공격자를 추적하는 것이 매우 어려우며 찾더라도 사법관할권이 미치지 않은 경우가 많아 민사 및 형사적 처벌도 용 이치 않다. 또한 많은 사이버전 무기의 제작과 구매, 대여가 가능하며, 이를 이용하면 누구든지 쉽게 사이버 전의 공격자가 될 수 있다. 또한, 공격 대상 이 법적 관할권을 넘는 지역을 여러 사이트를 경유하게 되므로 공격의 근원 지를 찾기도 매우 어렵다.
국내외 주요기반시설 사이버 공격 사례 국가 주요기반시설에 대한 공격은 우리나라 만의 일이 아니다. 원전 등 주요기반시설을 대상으로 하는 사이버 테러의 대표적 사례는 스턱스넷 으로 알려진 2010년 6월 발견된 이란 브세르 핵발전소 원격감시제어시스템에 대 한 공격이다. 악성코드가 보안 패치가 이뤄지지 않은 제로데이 취약성을 이 용했으며 핵발전소의 구조를 완벽히 파악한 후 제작되었다는 점에서 미국 또는 이스라엘의 지원을 받아 제작되었을 것으로 추정되었다. 이런 의미에서 스턱스넷 은 국가 차원에서 사이버전 용도로 제작된 최초의 사이버 무기가 된 셈이다. 이 악성코드는 이란 원전의 우라늄 원심 분리기를 제어하는 컴퓨터를 감염시켜 1,000대에 가까운 컴퓨터를 파괴해 이란의 핵개발을 적어도 1년 6개월 정도 후퇴시킨 것으로 알려지고 있다. 대표적인 국가간 사이버전에 대한 공방은 미국과 중국과의 공방이다. 2013년도에 미국과 중국은 사이버전으로 팽팽한 신경전을 벌이고 있다. 미국 은 중국이 2013년에 6개월간 자국의 주요기반시설에 대해 140번의 사이버 공격을 감행했다고 비난했다. 사이버 공격 대상은 연방정부기관, 뱅크 오브 아메리카 등 대형 금융기관, 월가 금융사를 포함하고 있다고 주장했다. 또한 전력과 항공관제, 교통 등 사회기반시설에 대한 사이버 공격도 가해졌다는 주장했다. 미국은 이러한 공격의 배후로 중국 상하이의 12층 건물이 지목됐 다. 중국인민해방군 소속 부대가 이 건물에서 미국에 대한 해킹 공격을 수행 했다고 하면서, 미국 오바마 대통령은 중국 등의 다른 나라들이 사이버 상 의 국제 사회 규범과 규칙을 따르기 원한다 등의 언급으로 중국을 겨냥한 발언을 했다. 이에 대해 중국은 자신이야말로 해킹의 최대 피해국이며 이중 미국에서 수행된 해킹이 가장 많았다고 반발했다. 공격은 국가 기관이 아니라 정치적 이유로 민간 기업에 대해서도 수행 되고 있다. 2014년 말에 북한의 최고 책임자인 김정은에 대한 암살 시도를 다룬 소니픽처스 사에 의해 제작된 코믹 영화 인터뷰 가 상영되는 시점에, 평화의 수호자 라는 해커들이 소니 직원의 컴퓨터를 해킹해 직원 컴퓨터에 해골 이미지와 자신의 소행임을 나타내는 메시지를 남겼다. 미국 오바마 대 통령은 이 공격의 배후에 북한이 있다고 발표하고 북한에 대한 비례적 대 응 을 천명했다. 미국 정부는 2015년 초에 비례적 대응 의 일환으로 북한의 노동당 정찰총국, 광업개발공사, 단국무역회사 등 3곳과 3 곳의 간부 10명에 게 금융 제재를 발표했다. 미국 정부는 제제 받은 기관과 개인이 미국의 금 융시스템의 접근을 금지했고 미국 개인 간의 거래가 중단되게 하는 조치를 취했다. 소니 해킹 사건으로 인해 미국과 북한 간의 사이버전으로부터 국가 에 대한 경제적 제재로 이어지고 있는 첫 사례라고 평가된다.
국내 한국수력원자력 사이버 공격 성격 규정 우리나라 원전에 대한 최초의 사이버공격은 작년 12월에 발생한 한국 수력원자력에 대한 공격이다. 국내의 원전에 대한 최초의 사이버 공격은 2014년 말에 발생한 한국수력원자력(이하 한수원)에 관한 정보 공개 사건이 다. 원전 반대그룹( Who am I )라고 밝힌 해커들은 12월 9일 다수의 한수원 임직원에게 악성코드를 포함한 이메일을 보내서 이중 4대의 컴퓨터를 파괴 하는 것으로 시작되었다. 이후 2015년 12월 15일에 네이버 블로그에 한국수 원 직원 1만여 명의 개인정보를 1차로 공개했다. 12월 18일에 고리원전 배관 계측 도면 등의 내부 자료 공개(2차), 12월 19일에 SNS(소셜네트워크서비스) 트위터와 페이스트빈 (해외 서버 온라인 문서편집프로그램) 에 고리 1호기 원전 냉각시스템 도면과 발전소 내부 프로그램 구동 캡처 이미지 등의 정보 공개(3차), 21일 새벽에 고리 2호기와 월성 1호기 관련 내부 문서, 원전에서 사용하는 프로그램인 매뉴얼 등의 정보 공개(4차), 23일에 추가 정보 공개와 함께 국민들을 대비시키지 않느냐는 엄포도 포함된 5차 정보 공개로 이어졌 다. 주목할 점은 알 수 없는 방법을 통해 유출된 한수원 관련 정보가 해커들 에 의해 10여 일 동안 국가 차원의 사이버 심리전에 이용되고 말았다는 점 이다. 또한 지난 3개월동안 잠잠하던 해킹 그룹이 최근 다시 트위터에 추가 자료를 공개하고 돈을 요구하고 있어서 이제 2단계의 사이버전은 아직 끝나 지 않고 있다. 이번 사고에서는 사회공학적 방식의 메일을 통해 악성코드가 이용되었 고, 유출 장소를 특정할 수 없지만 원전 관련 정보가 어디선가는 유출 되었다는 것은 사실이다. 따라서 직접적으로는 악성코드 대응에 개선이 요 구되며, 보호해야할 정보를 식별이 미흡한 점이다. 실제로 한수원 제어망에 물리적 피해가 발생되지는 않았지만 이 사건은 국 내에서 발생한 최초의 원전에 대한 사이버 공격이며, 유출된 원전 관련 정보 가 고도의 심리전에 이용될 수 있다는 것을 보여주는 최초의 사례라고 볼 수 있다. 이번 사건은 해킹 그룹이 공격 대상을 효과를 극대화할 수 있는 한국 수력원전력에 대해 과거에 유출된 원전 관련 정보를 이용해 원전 파괴 를 위협하면서 약 2주간에 걸쳐 국가 차원에서 수행된 사이버 심리전 이었다고 볼 수 있다.
대응 방안 제안 전력 또는 에너지 부분의 국가기반시설의 최근 사이버공격을 막기 위한 보안 능력 제고를 위한 몇 가지 대응 방안을 제안코자 한다. 국가기반시설 운영 조직에 위험 기반의 정보관리체계의 강화가 요구된다. 이는 보호해야 할 정보자산의 식별에서 시작되어야 한다. 먼저 보호해야 할 정보자산을 식별하고, 이 정보자산에 대한 사이버 위협을 식별하고, 위협에 대한 보호대책을 수립하고, 사이버 공격을 조속히 탐지하고, 사이버 침해사 고에 신속히 대응하며, 사이버 보안 사고로부터 정상 상태로 복구하기 위한 보안 관리체계의 강화가 요구된다. 또한 새로 진화하는 외부 보안 위협 환경 에 적절하게 보안 대책을 개선하는 보안 체계의 고도화도 요구된다. 대표적 으로 가상방식의 중앙집중형 안전한 정보관리시스템의 도입 및 운영이 요구 되며, 집중화된 정보의 추적을 위한 워터마킹 기법의 적용과 암호화 기법의 적용도 필요하다. 보안 전담 인원의 확대, 정보보호책임자(CISO) 역할 강화, 독립적인 보안 감사의 상시화 및 의무화, 가상 공격에 대비한 모의 침투 훈 련의 실시 등도 요구된다. 악성코드 대응 체계의 고도화도 요구된다. 다시 말해, 내부망에 잠입한 악성코드의 활동 범위를 제한하고 악성코드를 조속히 찾는 탐지 체계의 강 화가 요구된다. APT는 응용 프로그램의 제로데이 취약성을 이용하므로 악성 코드가 내부 망에 들어올 시점에 탐지하기가 매우 어렵다. 따라서 침투가 되 었다고 가정한 악성코드 대응 전략의 마련이 필요하다. 일본은 이용하지 않 은 인터넷 주소 대역을 이용하는 다크넷(darknet)과 악성코드를 유인하는 허 니넷을 이용해 내부망에 잠입한 악성코드를 탐지하는 기법을 이용하고 있음 을 것을 고려해 국내에서도 이의 도입과 운영을 적극 검토할 필요가 있다. 정보 유출을 실시간으로 탐지하기 위한 모니터링 체계의 고도화도 필 요하다. 정보 유출사고는 내부자에 의한 것인지, 협력 업체에서 이뤄진 것인 지, 아니면 해킹 공격에 의해 이뤄진 것인지 파악하는 것이 무엇보다도 중요 하다. 악성코드의 침투를 탐지하거나 정보 유출 사고를 실시간으로 탐지하기 위한 중요 서버와 컴퓨터의 로그 데이터의 실시간 분석을 통해 내부망에 침 투한 악성코드를 조속히 찾고 정보 유출 사고를 스스로 찾는 실시간 모니터 링 체계의 구축이 요구된다. 악성코드 경유지와 유포지로 이용되는 웹 사이 트에 대한 정보의 공유를 통해 드라이브바이다운로드 공격에 대응해야 한다. 각종 조직의 운영에 필요한 응용 소프트웨어 프로그램도 작성시부터 보안성 을 고려한 시큐어 코딩 방법의 소프트웨어 개발 보안 방식을 이용해 정보시 스템의 취약점을 초기 설계단계부터 진단하고 제거해야 한다.
협력업체에 대한 보안 관리의 강화와 보안능력 강화가 요구된다. 정보 유출은 협력업체에서도 발생할 수 있기 때문이다. 최근 영국이 사이버 핵심 인증 제도를 도입했으며, 중소기업이나 영국정부의 조달업무에 참여를 원하는 기업에게 네트워크 보안, 악성코드 보호, 패치 관리, 설정 관리, 접근 통제 등의 5가지 기술적 보안 대책을 평가하여 인증해주는 제도이다. 우리나라도 미래창조과학부가 2014년 10월에 민간 자율로 정보보호 대응 역 량을 향상하기 위한 정보보호준비도 평가 인증 제도를 도입했다. 협력 업체 의 보안성 점검은 정보보호 준비도 평가 제도와 연계되어 추진되어야 하며 계약서에 반드시 보안 요구사항이 포함되어야 한다. 따라서 협력 기업의 중 요도에 따라서 정보보호관리체계 인증 또는 정보보호준비도 평가 인증을 요 구해 협력기업의 보안 수준을 개선을 도모해야 한다. 최근 삼성전자 개발 협 력사에게 정보보호관리체계를 요구하는 것은 좋은 사례이다. 조직의 정보자산을 보호하기 위한 여러 단계의 보안 단계로 구성된 소 위 다층 보안 대책 마련이 필요하다. 네트워크를 통한 공격을 막기 위해 서 침입차단, 침입 탐지, 웹 방화벽 등의 여러 단계의 보안 대책이 구축 및 운영이 필요하다. 또한, 인증을 위해서도 기존 웹 사이트에서 이용되는 아이 디/패스워드에 더해, 일회용 패스워드(OTP), 인증서, 또는 2채널 인증 기법 등을 이용하는 이중요소 인증 기법을 이용해야 한다. 제어망 프로그램과 보 안 프로그램의 업데이트 프로그램에 대한 프로그램 제작자에서 설치 시까지 프로그램의 무결성을 보장하는 체계와 방법의 적용이 요구된다. 조직 구성원의 보안 인식 제고와 보안 문화 확산이 요구된다. APT는 대부분 사람에 대한 공격에서 시작된다. 이를 위해 조직의 구성원의 정보보 호 교육도 요구되며, 전담 직원에 대한 새로운 위협 환경에 대응하기 위한 전문 교육도 필요하다. 이를 위해 외부 대학교와 전문 교육기관과의 협조가 절대로 필요하다. 공격자를 추적하고 처벌하기 위해서는 중국, 미국, 일본 등의 주변 국 가와의 공조가 무엇보다도 중요한다. 이번 해킹 그룹은 페이스북 계정을 이용하고 있고, 지금까지 많은 사이버 공격에 중국 선양 등의 IP가 이용되고 있다는 점을 고려해서 중국, 미국 등의 실효적이고 실시간의 공조체계 구축이 필요하다. 또한 인터폴을 통한 정보 교류도 고려해야 한다. 전력분야 사이버 보안 공유체계의 정비가 필요하다. 전력 분야에 많은 회 사가 존재하고 동일한 해킹 공격이 발생할 가능성이 매우 많다. 따라서 위협 정보, 공격 정보, 그리고 대응 정보 등을 망라한 사이버 정보교환의 활성화가
필요하며, 이를 위한 사이버보안 공유체계를 구축하고 활성화해야 한다. 보안 거버넌스 재정비를 통해 산업군 별 사이버보안 대응 역량을 강화해야 한다. 이제 사이버 공격은 전력, 의료, 금융 등의 전 산업 군에 대해 감행 될 것이다. 이미 작동하고 있는 국가안보실 중심의 범국가 차원 사이버보안 거버넌스에 더해, 영역별 보안 거버넌스 재검토도 필요하다. 이미 우리나라 는 2013년 5월에 청와대 국가안보실을 컨트롤타워로, 국정원을 실무총괄로 설정했고, 각 정부부처가 부문별 사이버보안 거버넌스를 구축한 바 있어서 이 체계의 효과성도 강화할 필요도 있다. 프로필 - 순천향대학교 정보보호학과 교수(1990.9 현재) - 순천향대학교 SCH사이버보안연구센터장 - ITU-T SG17 부의장/SG17 WP3 의장 - ISMS/PIMS 인증위원회 위원장 - 정보보호 준비도 심의위원회 의장 - 한국정보보호포럼 의장 - 개인정보분쟁조정위원회 위원 - 한국정보보호학회 명예회장 - 미래창조과학부 자체평가위원회 4소위장 - 방송통신위원회 자체평가위원회 2소위장 - 평창동계올림픽 정보보호전문위원회 위원장 - (역) 한국정보보호학회장 (2011) - (역) 한국전자통신연구원 선임연구원(1982.12. - 1990.8.)
토론 박 상 우 국가보안기술연구소 기반 보호 본부장
[ 정책토론회 ] 원전 사이버테러 무엇이 문제인가? 토론 내용 국가보안기술연구소 기반 보호 본부장 박상우 1. 한수원 해킹사고로 바라 본 개선점 국가핵심기반시설에 대한 사이버공격 현실화에 대한 우려에도 불구하고, APT 공격 대응책이 부족 - 이메일 첨부 악성코드를 통한 감염 및 피해를 사전차단할 수 있는 대책 개발이 시급 사이버공격의 지능화에 대비하기 위해, 현재의 백신을 우회하는 악성코드를 탐지할 수 있는 신개념의 해킹메일탐지 시스템의 개발 보급이 필요 보안에 대한 자신감 결여로 해커의 위협에 소극적으로 대응하 여 혼란을 가중 - 원전 제어시스템의 계획예방정비(Overhaul) 기간에 사이버보안을 점검할 수 있는 기술을 개발하고 정책을 수립 계획예방정비 기간에 시설점검 업데이트 유지보수 등을 완료 후, 사이버보안 상태를 점검 원전 사이버보안 로드맵을 추진 - 한국에너지기술평가원(산업부 과제전담기관)의 과제에서 원전 사이 버보안 기술개발 로드맵(2014. 7.) 수립을 완료 * 보안위협 분석, 보안요구사항 정의, 기술개발 항목 도출 등의 내용이 포함 - 관련부처가 관심을 갖고 해당 로드맵의 조속한 시행을 지원 - 특히, 가동원전에 대한 사이버보안 기술 R&D 사업 추진이 시급 국가핵심기반시설 전체에 대한 종합적 보안대책을 마련 - 사이버사고 대응체계 구축, 운영자에 대한 보안인식 제고, 보안기술 개발 등이 필요
- 이를 위해, 국가핵심기반시설 정보보안을 위한 범국가적 협력대응이 가능한 체계 구축이 필요 2. 국가핵심기반시설 정보보안 범국가적 협력대응 필요성 - 국가핵심기반시설에 대한 사이버위협이 현실화 - 국가핵심기반시설은 상호연계되어 사이버공격의 결과는 해당 시설뿐 만 아니라, 다른 기반시설로 피해가 전이되어 국가적 규모의 피해가 발생할 것으로 예상 - 특히, 국가핵심기반시설의 보안위협은 오동작 폭발과 같은 물리적 피해를 유발하여 국민의 생명을 위협할 정도로 치명적임 - VIP도 국가핵심시설에 대한 사이버테러 가능성에 철저히 대비할 것 을 지시(2014.12.23., 국무회의) - 국가핵심기반시설 보안은 관 산 학 연 모두가 참여해야 하며, 종합 적인 추진전략 및 로드맵을 마련하여 추진하는 것이 필요 제안하는 추진방안 - 정부부처, 국가핵심기반시설 관리기관, 연구기관 학계, 민간 기업이 모두 참여하는 협력체계를 구축 - 각 참여자는 각자의 역할을 수행하면서, 동시에 정보공유, 협업, 융합연구 등으로 범국가적 협력대응체계를 수립 3. 기반시설 사이버안전 R&D 추진 및 보안 인프라 구축 필요성 - 국가핵심기반시설의 사이버안전 확보를 위한 R&D 전략 수립이 필요 - 국가기반시설 제어시스템 10대 분야 중, 중요도 및 시급성을 고려한 추진계획 수립이 필요 * 10대 분야: 전력, 원자력, 발전, 에너지파이프라인(이상 에너지), 철도, 도로, 항만, 항공(이상 교통), 댐, 하수도(이상 수자원)
국가핵심기반시설 사이버안전 종합 대응체계 구축 - 모든 분야의 제어시스템에서 활용될 수 있는 사이버안전 공통핵심기술을 개발 * 제어기기 블랙박스 기술, 제어기기 악성코드 탐지 기술, 제어기기 사고 조사 기술, Cyber-Physical 취약점 분석 기술, 제어시스템 무선통신 취약점 분석 기술, 기반시설 외부 연계구간 보안 기술, 중요자료 통합관 리 기술, 기반시설 보안관제 기술 - 개발된 공통핵심기술을 활용하여 분야별 특성에 맞는 제어시스템 사 이버안전 응용기술을 개발 * 파생된 기술은 민간에 보급하여, 민간 산업제어시스템의 사이버보안 대응역량을 강화 국가핵심기반시설 통합보안관제 - 이상징후 탐지, 위협정보 공유 등의 기술을 개발하고, 국가핵심기반 시설에 대한 통합보안관제를 제공 - 사고 발생 시에 필요한 조사 복구 기술의 개발 및 활용체계를 구축 하여 ICS-CERT를 운영 정책 제도적 인프라 구축 - 제어시스템 대상 사이버안전성 검증기술을 개발하고, 관련 제도를 수립 시행하여 全 주기에 따른 보안성 점검과 관리를 수행 - 기반보호 R&D 체계를 개선하여 필요한 보안기술을 적시에 공급할 수 있는 체계를 확보 클린 제어시스템 인프라 구축 - 분야별 테스트베드를 구축하여, 보안패치 및 업데이트 파일을 사전 시험하여 악성코드 감염을 원천적으로 차단 - 신규 취약점 조기 발굴에 활용