미국 내 5,000개 이상의 주유소가 해킹 위험에 노출

[보안뉴스 주소형] 주유기를 통해서도 해킹이 가능해졌다. 의료기기, 신호등, 라우터, 웹서버 등에 이어 주유소까지 해킹 가능 영역이 확장됐다. 최근 미국 내 5,000개 이상의 주유소를 대상으로 조사해 본 결과, 약 5,800대의 주유기가 해킹 위험에 노출되어 있는 것으로 드러났다. 기름 종류 및 양 등을 통제할 수 있다는 것. 관련 전문가들은 최악의 경우 해킹 당한 주유소들이 모두 문을 닫게 될 수도 있다고 경고했다. 

이렇게 주유기 취약점이 수면 위로 올라오게 된 계기는 미국 보안업체 라피드 7(Rapid 7)사 블로그에 올라온 한 포스팅 때문이다. 주유기 모니터링 설치 및 판매 업체인 카출리 및 보스톤베이스(Kachoolie & BostonBase Inc)사의 CEO 잭 샤도위츠(Jack Chadowitz)가 주유기 취약점을 발견하고 글을 올린 것. 이에 같은 경험을 했다는 주유소들이 등장하면서부터 조사가 본격적으로 착수했다.

라피드 7사의 무어(Moore) 수석 연구원을 필두로 꾸려진 조사팀은 특별한 전문 기술 없이도 취약점을 통해 주유소 이름, 위치, 주유기 수, 연료 종류 등의 민감한 정보를 쉽게 파악하는 데에 성공했다. 인터넷상에 누구나 찾을 수 있는 IP의 TCP 포트 10001에 “get in-tank inventory report”라는 식의 하나의 명령을 보냈을 뿐이라고 조사팀은 전했다.

물론 이는 미국 내 주유시장의 3%에 불과했지만 대형사고로 이어질 수 있는 심각한 문제다. 특히 요즘 유행처럼 번지고 있는 산업 시설을 겨냥한 물리피해로까지 확대될 수 있다는 점을 감안하면 피해 영향력은 상상 이상일 것으로 예상된다. 

무어 수석 연구원도 “주유기 조작을 통한 해킹은 까다로운 기술이 아니기 때문에 굉장히 큰 위협이 될 수 있다”고 경고했다. 이어서 그는 주유기 취약점의 근간은 암호 입력 등의 보안옵션이 주유기 기본값으로 설정되어 있지 않다는 점도 지적했다.

또한 대부분의 해당 주유소들은 독립 사업장으로 운영되고 있어 정보 및 자금이 모두 부족하다며, 이 때문에 주유기 판매업체들이 추가 비용을 받고 안전 시스템까지 책임져야 하는 데 주유소들은 의무가 아닌 것에 대한 기타 지출이 부담스러워하는 입장이라고 전했다.

이번 취약점 제보자인 샤도위치 CEO는 대부분의 해킹 노출 위험이 높은 주유기들은 세계적인 석유 장비 업체인 베디어 루트(Vedeer-Root)사가 맡고 있다는 점도 우려했다. 해커들의 편의를 높일 수 있다고 것이다. 한 번의 공격으로 수많은 주유소들이 피해를 입을 수 있기 때문이다.

이에 대해 베디어 루드사는 고객사들에게 주유기 안전장치 설치 절차를 권고했으며 아직까지 ‘무단 접근’ 신고 사례는 없다고 밝혔다. 또한 베디어 투트사 앤드류 하이더(Andrew Hider) 대표는 “당사는 안전, 정확, 신뢰를 가장 중시하고 있다. 빠른 시일 내에 우리 고객들을 보호할 수 있는 해결방안을 마련할 것이다”라는 공식적인 성명을 발표했다.

한편 전문가들은 주유소 업자들에게 최소한 ‘주유기 암호화’를 권장하고 있지만 그에 대한 실효성 의문이 제기되고 있는 상황이다. 현재 시스템으로는 주유소 혼자 주유기를 독점적으로 관리할 수 있는 환경이 아닌 까닭이다.

@DARKReading

[국제부 주소형 기자(sochu@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>