양재영 한국전력기술(주) 홍보실장
설계단계부터 심층방어 개념 적용
해킹에 의한 원전 파괴는 ‘불가능’
이는 캐나다, 브라질 등에 이어 세계 9위 규모이며 지난 10년간 연 평균 4.1%의 증가를 보이고 있다. 또한 동기간 중 경제성장률은 3.5% 정도로 전력소비량 증가가 경제성장률보다 약 0.6%p 상회하고 있다. 전력소비량의 84%가 산업 및 상업용으로 산업전력의 다소비 구조화가 진행된다는 방증이다.
이런 추세는 우리나라의 값싼 전기에 기인하며, 그 중심에는 총 발전량의 30%를 공급하는 원자력이 있다.
값싼 전기는 기업경쟁력을 향상시켜 국내외의 불안한 경제상황에도 성장을 견인하는 동력이 되기도 하지만 그만큼 전력수급 불안이나 전기료 상승은 그나마의 성장동력 마저 꺼뜨릴 수 있다는 불안요인이 되기도 한다.
가뜩이나 2011년 후쿠시마 원전사고와 2013년 원전비리로 위축된 원전산업은 지난 연말 반원전 해커의 한수원에 대한 사이버공격으로 위기를 맞고 있다. 국가 에너지안보의 위기가 우리 피부 가까이 바짝 다가오는 형국이다.
◆사이버 공격 불안감 도 넘어
국가 기간시설인 원전을 운영하는 한수원에 해커가 사이버 공격을 감행해 상당량의 자료를 유출시킨 것은 결코 가벼이 생각할 일은 아니다.
하지만 이로 인한 원전에 대한 불안감은 도를 넘고 있다. 원전에 대한 사이버공격 위험이 원전시스템을 잘 이해하지 못하는 일부 사이버보안전문가나 비전문가들에 의해 과장된 면이 없지 않다는 말이다.
십 수 년 전부터 원자력 시설에 대한 사이버보안 위협이 꾸준히 증가하고 있는 것은 사실이다. 그러나 이러한 사이버 공격이 안전 관련 이상이나 파괴로 이어진 사례는 아직까지 없다.
원전 사이버보안 침해사례로 흔히 인용되는 2003년 미국 데이비스-베씨(Davis-Besse)원전의 슬래머 웜(worm) 감염, 2006년 8월 미국 브라운 페리(Brown Ferry) 원전 통신망 오류, 2008년 3월 미국 해치(Hatch) 원전의 제어시스템 오류 중 실제 보안침해로 인한 원전 이상 사례는 데이비스-베씨 원전밖에 없다. 나머지 두 사건은 계통오류로 인한 원전정지로 정지원인분석 결과 보안침해 가능성이 인지된 사례에 불과하다.
데이비스-베씨 원전의 경우도 약 5시간 동안 비안전계통인 ‘안전변수 감시기능’이 마비됐을 뿐이며 안전과 관련된 계통 이상은 발생하지 않았다.
특히 2010년 9월 전 세계의 이목이 집중됐던 스텍스넷(Stuxnet) 웜바이러스에 의한 이란 나탄즈(Natanz) 시설 공격은 보안침해가 원자력 설비 파괴로 이어진 유일한 사례로 꼽히고 있으나 동시에 원전 파괴로 잘못 알려진 대표적인 사례이기도 하다.
우선 나탄즈 시설은 원전이 아니라 우라늄 농축 시설이다. 이란의 부셰르 원전 역시 스턱스넷에 감염됐으나 직원들의 PC 일부가 감염돼 인터넷을 통한 정보교환에 장애를 일으킨 것에 불과했으며 원전 고장은 일어나지 않았다.
나탄즈 시설 파괴가 가능했던 이유는 그 설비의 단순성에 있다. 동 시설은 우라늄 농축을 위한 5000개에 가까운 수의 동일한 형태의 원심분리기가 사용됐으며 이 원심분리기의 모터제어에는 UN 안보리결의안 1737호에 의해 사용 금지된 지멘스사의 PLC(Programmable Logic Controller, 프로그램 가능한 논리제어기)를 비밀리에 입수, 사용했다.
스턱스넷은 지멘스 PLC 내부 원심분리기 제어프로그램의 모터제어 프로그램을 감염시켜 특정 조건이 만족되면, 주기적으로 모터의 회전수를 1410Hz, 2Hz, 1064Hz로 변경해 모터에 과부하를 일으킴으로써 원심분리기를 파괴했다. 이 공격으로 파괴된 원심분리기는 1000여개에 이르는 것으로 추정되고 있다.
그런데 이런 공격이 가능했던 것은 이란이 사용했던 PLC가 이미 잘 알려진 지멘스 제품이었고, 이 PLC를 프로그래밍하는 소프트웨어 역시 상용제품이었기 때문이다.
PLC는 여러 개의 입력신호를 하나 또는 수 개의 입력 단자로부터 받아 특정 입력 주소 (Input Address)를 갖는 입력신호가 접수되면 그 주소에 해당하는 특정 목적의 프로그램에 제공하고 입력신호가 기 입력된 라이브러리 또는 메모리의 조건을 만족하면 프로그램 된 동작이 작동하도록 신호를 발생시켜 특정 출력주소(Output Address)에 제공하는 전자기기로서 다수의 제어동작을 하나의 기기로 수행할 수 있도록 만들어진 고급전자기기이다.
이런 PLC를 바이러스로 공격한다는 것은 여간 어려운 일이 아니다. PLC에 입출력되는 수십 개의 신호 각각에 주어지는 입력주소, 그 주소에 해당하는 프로그램의 내용, 그리고 라이브러리에 심어져 있는 프로그램의 작동 조건, 그리고 그 프로그램이 목적하는 동작, 마지막으로 그 동작 신호가 실려 가는 신호의 출력주소 모두를 정확히 알지 않고서는 의미 있는 공격을 할 수 없기 때문이다.
◆파괴 불가능, 이유는 ‘심층방어’
그렇다면 원전에 대한 정확한 정보를 입수, 스턱스넷처럼 정교한 바이러스를 만들어 공격하면 나탄즈 시설처럼 파괴가 가능하지 않을까 하는 의문이 생긴다. 그러나 그것 역시 현실적으로 불가능하다. 원전은 안전성 확보를 위해 설계단계에서부터 심층방어개념을 적용하기 때문이다.
심층방어개념은 원래 군사전략의 한 개념으로 그 기원은 기원전 216년 한니발이 로마 제10군단을 포위 및 격파하기 위해 사용했던 전략이라는 설이 있을 정도로 오래된 개념이다.
이 개념의 핵심은 적이 아군 최전선 부대의 취약점을 노리고 공격해 설령 방어선이 무너지더라도 여러 겹의 다양하고 훨씬 잘 무장된 후방 부대들을 통해 공격을 저지하는 것이다.
원전에서는 이미 반세기 전부터 채택해왔고 사이버보안 관련 정책들은 대부분 이 개념을 원용하고 있다.
원전에서 적용하는 ‘물리적’ 심층방어개념은 원자로 내부의 방사능이 유출돼 일반 대중에게 해를 입히지 않도록 다중의 방호벽을 마련하는 것으로 세라믹 핵연료가 그 첫 번째 벽이 되고 이어 핵연료피복재, 수십 센티미터 두께의 강철로 제작된 원자로계통압력경계와 1.2m 두께의 원자로건물 벽체가 포함된다.
이러한 여러 겹의 방어층을 구성하는 물리적 심층방어개념은 사이버보안과 관련된 원전 디지털 계측제어계통 설계에도 그대로 적용된다.
사이버보안을 위해 요구되는 원칙들은 원전의 ‘설계’ 심층방어개념과 동일하다. 즉 양측 모두 예방(Prevention), 감시(Detection/Monitoring)와 대응(Response/Mitigation)을 요구한다.
사이버보안이 바이러스에 의한 감염을 예방하고, 감염됐는지를 감시하며 만약 감염됐을 경우 바이러스를 치료하거나 바이러스 공격의 근원을 찾아 대응 공격을 하던지 법적 대응을 함으로써 재공격이 일어나지 않도록 한다면 원전에서는 원전이 이상을 일으키지 않도록 예방하고, 이상 징후를 감시하며, 이상 발생 시 안전한 상태로 되돌릴 수 있는 대응을 한다.
결국 해커가 엄청난 노력을 감수하면서 한 두 종류의 스턱스넷류의 대용량 바이러스를 제작, 침투시킨다 하더라도 감염된 PLC에 의해 발생되는 이상은 다중의 자동제어에 의해 무력화될 수밖에 없다.
게다가 사이버 공격의 영향을 받을 수 있는 국내 모든 원전 내부의 디지털 계측제어망은 외부인터넷망과는 물리적으로 분리돼 있어 디도스형 공격은 불가능하고 내부자의 도움 없이는 원전 내부 제어망 접속이 불가능하다.
설령 접속이 가능하다 하더라도 비안전계통의 신호가 안전계통에 영향을 줄 수 없도록 한 방향 신호 통제를 하기 때문에 외부에서 투입된 바이러스가 안전계통의 제어를 방해하는 것은 불가능한 것이다.
이런 이유로 원전 전문가들은 지난해 반원전 해커의 원전 파괴 협박에도 ‘기껏해야 원자로 정지’일 뿐 사고나 파괴로 갈 수 없다고 했다. 그러나 여론은 전문가들을 믿기보다는 만의 하나 발생할지 모를 해커의 협박이 현실화되는 상황을 더 우려했고, 이 때문에 전국민은 불안에 떨었다. 원전 인근 주민들 중 일부가 타지로 피신하는 일도 일어났다.
결국 해커의 협박과는 달리 원전에는 아무 일도 일어나지 않았고 사이버수사대의 심층 수사 결과 북한의 소행일 가능성과 함께 사회불안을 노린 공격이라는 결론으로 가닥이 잡혔다. 당연히 원전 내부망의 피해는 발견되지 않았다.
이번 사건의 교훈은 사소한 사이버보안 침해라 하더라도 원전운영자인 한수원과 관련되면 바로 원전에 대한 불안으로 증폭된다는 사실이다. 이는 원전 설계자인 한국전력기술이나 운영자인 한수원이 원전에 대한 사이버공격에 고도의 안전성을 확보하고 있음에도 결코 자만해서는 안 되는 이유다.
양사는 날로 진화를 거듭하는 해킹 기술에 맞서기 위해 원전에 대한 사이버보안 체계를 끊임없이 점검하고 있다.
국내 최고 사이버팀의 협력을 받아 원전 계측제어망에 대한 침투시험을 통해 취약점이 발견되면 즉시 보완하고 있으며 사이버보안을 훨씬 강화시킬 수 있는 기술을 개발, 적용하기 위한 투자와 노력을 지속하고 있다. 그것만이 국민들을 안심시키고 우리나라의 에너지안보를 지켜내는 길이기 때문이다.