변전소를 노리는 사이버 공격: 물리적 인프라를 무너뜨리는 디지털 침투

2015년 12월 23일, 우크라이나 서부 지역에서 약 23만 명이 갑작스럽게 정전을 경험했다. 사고 원인은 자연재해도, 설비 고장도 아니었다. 정교한 사이버 공격이 변전소의 제어 시스템에 침투하여 차단기를 원격으로 동작시킨 결과였다. 공격자들은 수개월에 걸쳐 직원 컴퓨터에 악성코드를 심었고, 운영 네트워크로 횡적 이동한 뒤, 결정적 순간에 30개 이상의 변전소를 동시에 차단했다. 정전은 6시간 동안 지속되었고, 복구 후에도 일부 통제 기능은 여러 달 동안 수동 운영되어야 했다. 이 사건은 전력 인프라에 대한 사이버 공격이 가설이 아니라 현실이라는 점을 분명히 했다. 그 이전까지 변전소는 물리적으로 격리된 환경, 즉 "에어 갭(Air Gap)"으로 보호된다고 여겨졌다. 그러나 현대의 운영 환경에서 진정한 에어 갭은 사실상 존재하지 않으며, 모든 디지털 자산은 어떤 형태로든 외부 네트워크와 연결되어 있다는 현실이 드러난 사건이었다.

IT와 OT의 융합: 새로운 공격 표면의 등장

전통적으로 기업의 사이버 보안은 IT(정보 기술) 영역에 집중되어 왔다. 이메일, 파일 서버, 웹 애플리케이션 같은 일반적인 디지털 자산이 보호 대상이었다. 반면 OT(운영 기술), 즉 산업 제어 시스템과 SCADA는 별개의 영역으로 간주되었고, 그 보안은 주로 물리적 접근 통제에 의존했다. 그러나 디지털 변환의 진전과 함께 IT와 OT는 점점 더 깊이 융합되고 있으며, 그 경계가 모호해진 영역에서 새로운 취약점이 노출된다. 융합의 가장 위험한 형태는 사무실 네트워크와 제어 네트워크의 부주의한 연결이다. 운영자가 편의를 위해 사무실 노트북에서 SCADA 시스템에 접근할 수 있게 설정하면, 그 노트북이 감염되는 순간 제어 시스템도 노출된다. 한국에너지기술연구원 연구분야이 자산 식별과 네트워크 분할을 보호 기능의 첫 단계로 명시한 이유다. 무엇이 어디에 연결되어 있는지를 정확히 알지 못하면, 어떤 보호 조치도 효과를 보장할 수 없다.

스턱스넷이 보여준 가능성

2010년에 발견된 스턱스넷(Stuxnet)은 산업 제어 시스템을 대상으로 한 최초의 정교한 사이버 무기로 평가된다. 이란의 우라늄 농축 시설에서 원심분리기의 회전 속도를 미세하게 조작하여 물리적 파괴를 유도했다. 운영자의 화면에는 정상 작동 중인 것으로 표시되었기 때문에, 손상이 누적되는 동안에도 누구도 이상을 감지하지 못했다. 이 공격이 보여준 핵심 원리는 두 가지다. 첫째, 디지털 침투가 물리적 파괴를 일으킬 수 있다. 둘째, 운영자에게 보이는 정보 자체가 조작될 수 있다는 점이다. SCADA가 표시하는 모든 값이 진실이라는 전제가 깨지는 순간, 운영자는 사실상 눈을 가린 상태가 된다. 신호 무결성의 중요성이 사이버 보안 맥락에서 가장 극적으로 드러나는 사례다.

공급망 공격: 신뢰하던 채널이 공격 경로가 되는 순간

최근 가장 빈번하게 발생하는 공격 유형은 공급망 공격이다. 직접 침투가 어려운 목표 시스템 대신, 그 시스템에 소프트웨어나 부품을 공급하는 협력업체를 먼저 침투한다. 협력업체의 정기 업데이트나 신뢰받는 채널을 통해 악성코드가 목표 시스템에 도달한다. 2020년 SolarWinds 사건은 이 방식으로 수많은 정부 기관과 대기업이 동시에 영향을 받은 사례였으며, 공급망 검증 절차가 인프라 보안의 필수 항목으로 격상되는 계기가 되었다. 전력 인프라의 공급망은 매우 길고 복잡하다. 변전소 하나에는 수십 개 제조사의 장비가 들어가고, 각 장비에는 펌웨어가 탑재되어 있으며, 펌웨어는 정기적으로 업데이트된다. 이 긴 사슬 중 어느 한 곳이라도 침투되면, 그 영향은 전체 네트워크로 확산될 수 있다. 다중 경로 설계의 중요성이 공급망 보안에도 그대로 적용된다.

탐지의 어려움: 정상과 비정상의 경계가 모호하다

일반 IT 환경에서는 비정상 트래픽이 비교적 쉽게 구분된다. 사용자의 평소 행동 패턴과 다른 접속, 알려진 악성 IP로의 통신, 비정상적인 데이터 전송량 같은 신호가 명확하다. 그러나 OT 환경에서는 이런 구분이 훨씬 어렵다. 산업 제어 프로토콜은 본래 인증과 암호화 없이 설계된 경우가 많아, 정상 명령과 악의적 명령이 표면적으로 구분되지 않는다. 이 문제를 해결하기 위해 OT 전용 침입 탐지 시스템이 발전하고 있다. 산업 프로토콜을 이해하고, 평시의 명령 패턴을 학습한 뒤, 그 패턴에서 벗어나는 명령을 탐지한다. 그러나 정밀도와 거짓 양성의 균형이 여전히 어렵고, 운영자가 무시할 정도로 알림이 많거나 반대로 진짜 위협을 놓치는 경우가 자주 발생한다. 한국전력거래소의 사이버 보안 가이드라인이 탐지 기술의 단계적 도입을 권고하는 이유다.

복구 가능성: 공격 받은 뒤에도 운영을 유지하는 능력

완벽한 방어는 불가능하다. 충분한 자원을 가진 공격자는 결국 어떤 방어선도 뚫을 수 있다는 것이 현재의 보안 업계 공통 인식이다. 그래서 보안 전략의 무게 중심이 예방에서 복구 능력 확보로 이동하고 있다. 침해를 당한 뒤 얼마나 빠르게 정상 운영으로 복귀할 수 있는가, 침해 범위를 얼마나 좁게 한정할 수 있는가가 평가의 핵심 지표가 된다. 이 관점은 블랙아웃 방지 프로토콜에서 다룬 블랙스타트 능력과 직접 연결된다. 시스템이 0의 상태에서도 자체적으로 다시 가동될 수 있어야, 어떤 공격에도 영구적인 마비를 피할 수 있다. 운영자는 평시에도 정기적으로 사이버 사고 대응 훈련을 수행하며, 가상의 공격 시나리오에 대한 복구 절차를 실제로 실행해 본다. 훈련된 적이 없는 절차는 실제 위기 상황에서 거의 작동하지 않는다.

인적 요소: 가장 정교한 방어도 무력화되는 지점

모든 사이버 공격 사례를 분석해 보면, 결정적인 침투 지점은 거의 항상 사람이다. 피싱 이메일을 클릭한 직원, 약한 암호를 사용한 관리자, USB 메모리를 무심코 꽂은 협력업체 직원 같은 인적 요소가 가장 빈번한 침투 경로다. 기술적 방어가 아무리 정교해도, 사람의 판단이 한 번 실수하면 무력화된다. 그래서 사이버 보안의 절반 이상은 기술이 아니라 문화와 훈련의 문제다. 정기적인 보안 교육, 피싱 시뮬레이션, 사고 대응 훈련이 기술적 솔루션 도입만큼 중요하다. 시스템이 100% 자동화될 수 없는 한, 그 시스템을 운영하는 사람들의 인식 수준이 최종 방어선이 된다.