보안

“태양 에너지 발전 시설에 취약점 가득” 재생 에너지 업계 보안 주의보

Dan Swinhoe | CSO 2020.07.07
에너지 기업을 표적으로 하는 사이버 공격이 증가하는 추세다. 핵산(Hexane)이나 드래곤플라이(DragonFly) 같은 공격 단체는 운영 중단과 지적 재산 탈취를 목적으로 주기적으로 에너지 기업을 공격하고 있다. 또한, 포르투갈의 EDP(Energias de Portugal)를 공격한 사례처럼 돈을 목적으로 랜섬웨어 공격을 하기도 한다.

태양 에너지 같은 재생 에너지가 에너지 산업에서 차지하는 비중은 크지 않지만, 이 산업에는 아직 수면으로 드러나지 않은 사이버보안 문제가 많다. 현재 관리하는 에너지 용량이 1.2기가와트이고 2년 이내에 4기가와트로 늘릴 계획인 재생 에너지 자산 관리 회사인 와이즈에너지(WiseEvergy)의 CSO 라파엘 나레지는 “과거 태양 에너지 시설을 건설하는 개발자들은 보안을 크게 신경 쓰지 않았다. 자산을 운영하면서 관리해야 하는 위험보다는 자산 개발과 건설에 초점을 맞췄다. 자산을 인터넷에 연결할 때의 사이버 보안 위생은 충분히 고려하지 않았다”라고 지적했다.
 
ⓒ Getty Images Bank

나레지는 처음으로 사이버보안 침입 테스트를 실시했는데, 많은 문제가 드러났다면서 “크립토재킹 악성코드가 CCTV를 하이재킹했고, 통신실에는 비밀번호가 방치되어 있었으며, 라우터의 비밀번호는 취약했고, 라우터는 이미 침해를 당해 프록시로 악용되고 있었다. 심지어 자산 중 하나가 악성코드를 배포하고 있었다”고 말했다.

포티넷(Fortinet)의 동부지역 운영 기술 디렉터인 크리스토버 블로벨트에 따르면, 자산이 분산되어 있는 것, 제조업 부문의 수직 통합성이 부족한 것 등이 보안의 취약하게 만드는 요인이라고 지적했다. 그는 “통상, 한 업체가 패널을, 다른 업체가 이를 지지하는 구조물을, 또 다른 업체가 태양 추적 장치를, 또 다른 업체가 인버터를 공급한다. 그런데 이런 서드파티들의 사이버 보안 베스트 프랙티스에 대한 이해와 지식이 모두 다르다”고 설명했다.

이어 “제조업의 수직적 통합이 부족해 초래된 위험을 극복하려면 제어 프로토콜이 있어야 한다. 그런데 가장 저렴하게 구현 및 통합할 수 있는 것, 즉 보안이 취약한 구형 제어 프로토콜을 도입하는 경우가 많다”고 지적했다.

보안 업체 래피드7(Rapid7)에서 IoT 리서치를 담당하고 있는 데랄 하일랜드는 배포가 잘못되어 문제가 발생하는 경우가 많다고 말했다. 그는 “태양 에너지 발전 솔루션은 대부분의 IoT 기술처럼 인터넷과 통신할 수 있어야 하지만, 인터넷과 직접 연결하면 안 된다. 직접 연결되면 공격에 노출되기 때문이다. 안타깝게도 모든 태양 에너지가 이런 식으로 구성된 것은 아니다”라고 설명했다.

하일랜드는 기본 설정을 변경하지 않는 것, 원격 관리에 취약한 비밀번호를 사용하는 것, 같은 비밀번호를 재사용하는 것 등이 문제를 더 악화시킨다고 지적했다. 패치 관리가 미흡한 것도 문제를 초래하는 부분이다. 그는 태양 에너지 업계는 NIST가 최근 공개한 NISTIR 8259 및 8259A 문서를 통해 제시한 보안 기준을 활용하는 것이 좋다고 강조했다. 


현실화된 재생 에너지를 표적으로 한 사이버 공격

이런 ‘자유 방임주의적’ 태도의 이유 중 하나는 태양 에너지 발전 시설에 대한 통신 중단이 불편을 초래하지만, 운영 중단으로 이어지지는 않을 것이라고 가정했기 때문이다. 그렇지만 최근 PoC(proofs of concepts)과 실제 공격 사례는 재생 에너지 분야의 사이버 공격이 실제 위협이라는 점을 보여주고 있다.

2017년 툴사 대학(University of Tulsa)의 연구 결과에 따르면, 풍력 발전용 터빈을 제대로 분리하지 않으면 전체 발전 시설이 ‘인질’이 될 수 있다. 블로벨트는 태양 에너지 발전망에도 동일한 취약점이 존재한다고 지적했다. 그는 “네트워크를 더 효과적으로 분리하고, 인버터가 서로 통신할 수 없도록 만들어 이런 분산된 네트워크 문제를 해결할 수 있다”라고 말했다.

블로벨트는 이런 문제는 심각한 영향을 초래할 수 있다고 언급했다. 태양 에너지 발전소는 통상 배전망이 취약한 시골 지역에 건설되는데, 이것이 인버터 공격으로 초래되는 영향을 확대할 수 있다. 그는 “예를 들어, 인버터의 파라미터를 바꾸는 것만으로 전압이 변동되는 문제가 발생, 가정과 기업의 장치나 장비를 손상시킬 수 있다. 또한, 보호 시스템을 가동시켜 정전이나 의도하지 않은 격리, 고립 문제를 유발할 수도 있다. 따라서 태양 에너지 발전 시설의 공격에 대비하려면, 배전망을 더 효과적으로 분리하고, 장소와 패널 사이를 견고히 모니터링해야 한다”고 설명했다.

SHA2017 발표 에 따르면, 태양 에너지 패널에 대한 공격이 전체 에너지 그리드에 피해를 초래할 수도 있다. 네덜란드의 연구원인 윌렘 웨스터호프는 인버터에 존재하는 17가지 취약점을 발견했다. 그리고 취약한 장소에 대한 광범위한 공격이 예상하지 못한 일식과 어떻게 비슷한지 증명했다. 일반적으로 일식은 예측할 수 있고, 태양 에너지 전력의 부족분은 풍력이나 석탄 발전 시설을 통해 보충한다. 그런데 예상되는 발전량이 크게 부족할 경우, 태양 에너지 발전을 많이 사용하는 전력망을 중심으로 대규모의 전력 공급 중단 문제가 초래될 수 있다.

나레지는 “이 연구원은 인버터를 하이재킹해 무력화시킬 수 있다는 개념을 증명했다. 이는 위험을 알리는 신호다. 태양 에너지 발전 시설의 사이버 보안을 더 철저히 살펴보기 시작할 때가 되었다고 본다”고 말했다.

이 발표에서 묘사된 정도의 규모는 아니지만, 2019년 유타 소재 재생 에너지 공급업체인 에스파워(sPower)는 태양 에너지 기업으로는 처음으로 사이버 공격을 받았다. 이 회사는 시스코 방화벽의 알려진 취약점을 악용한 DDoS 공격의 희생양이 되었다. 정전 사태가 발생하지는 않았지만, 신호 방해로 발전기와의 연결이 끊어지는 문제가 나타났다.

재생 에너지 산업의 많은 기업이 보안을 중시하지 않는 또 다른 이유는 이들이 행동하도록 유도하는 규제가 미흡하기 때문이다. 특히, 유럽 지역이 더 그렇다. 나레지는 “미국은 사이버 보안에 대한 규제가 아주 엄격하다. 면허를 잃을 수도 있다. 하지만 유럽은 상황이 다르다”고 지적했다.

와이즈에너지는 EU NIS 보안 지침의 대상이 되기에는 너무 작은 기업이다. 하지만 어쨌든 미국이 유틸리티 기업에 적용하는 규제는 훨씬 더 엄격하다. NIS 지침에 따르면, 규제 기관은 영국의 경우 최대 1,700만 파운드의 벌금을 부과할 수 있다. 그러나 이런 처벌이 내려진 사례가 없다. 

재생 에너지 기업들은 보안과 관련해 발전하는 중이다. 올해 세계 최대 태양 에너지 회사인 솔라엣지(SolarEdge)는 인버터를 보호하기 위해 지속적으로 런타임 무결성을 점검하는 보안 기술을 도입해 활용할 계획이라고 발표했다. 로렌스 버클리 국립 연구소와 알칸사스 대학의 연구원들은 태양 에너지 인버터를 더 안전하게 만드는 방법을 연구하고 있다.
 

태양 에너지 시설의 보안을 강화하는 조치

나레지는 ‘갈 길이 멀다’는 점을 인정하면서, 계속되는 위험으로부터 자산을 보호하는 조처를 하고 있고, 자산을 통합해 효과적으로 관리할 방법을 도입하고 있다고 말했다. 예를 들어, 정기적으로 침입 테스트를 실시하고 있다. 그는 “침입 테스트 벤더를 자주 교체한다. 같은 벤더를 이용할 때보다 더 명확한 가시성을 제공받을 수 있기 때문이다. 새로운 벤더들은 자신들의 역량을 자랑해 보이고 싶어하기 때문에 훨씬 더 낫다”라고 말했다.

포티넷의 블로벨트에 따르면 안전하지 못한 무선 네트워크도 위험을 초래한다. 소유자/운영자가 모니터링이 가능하고 안전한 통신 매체를 사용하는 경우에만 해결될 수 있는 문제이다. 와이즈에너지에서도 드러난 위험이다. 이 회사는 인터넷이 공개되는 문제를 없애고, 관리 부담과 복잡성을 줄이기 위해 위성 통신을 4G로 교체하고 있다.

나레지는 “과거에는 위성이 유용했다. 그러나 지금은 다르다. 영국의 4G 커버리지는 꽤 좋다. 과거에는 퍼블릭IP를 지원하는 위성과 라우터를 이용했었다. 4G를 통해 공격에 노출되는 부분을 줄일 수 있다. VPN으로 모든 것을 통제한다. 또한 운영 측면에서 가시성을 확보한다”라고 말했다.

그의 회사는 IoT 장치용 관리형 4G 서비스인 M2M을 사용, IoT 장치들에 대한 프라이빗 네트워크를 만들었다. 회사가 소유하고, 서비스 공급업체가 관리하는 네트워크이다. 공급업체가 수백 SIM 카드에 대한 인프라를 제공한다. 모두 VPN을 통해 연결된다. 덕분에 구성과 관리 측면의 노력, 공격 표면을 줄일 수 있다.

그는 현재 니즈를 4G가 충분히 충족할 수 있다고 말했다. 하지만 5G가 큰 영향을 가져올 수 있을 것으로 예상했다. 대역폭 측면의 제약을 없애고, 훨씬 더 많은 IoT 장치를 배포할 수 있기 때문이다. 그는 “지금 당장 5G를 도입하고 싶지만, 실제는 시간이 걸릴 것으로 예상한다. 대부분 시설과 운영이 커버리지가 미흡한 지역에 기반을 두고 있다. 그러나 정부가 조처를 하고 있고, 시골 지역의 커버리지를 확대하면서 간접적으로 우리를 도울 것이다”라고 말했다. editor@itworld.co.kr
 

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.