서울메트로: 열차운행제어 컴퓨터 악성코드 감염 방치, 폐쇄망 관리 소홀 등
도시철도공사: 관제센터 사이버보안대책 이행 소홀, 녹화영상물 관리 부실 등

[보안뉴스 김경애] 서울시 감사위원회가 서울메트로와 도시철도공사를 감사한 결과 열차운행제어 컴퓨터(TCC: Traffic Control Computer)의 악성코드 감염 방치 등 보안 분야에 있어 총 30가지의 시정 요구가 있었던 것으로 드러났다.


서울시 감사위원회는 지난 2015년 6월 18일부터 7월 24일까지 기관별로 12일씩 감사를 진행했으며, 감사범위는 2013년 1월 이후부터 도시철도 안전 및 유지관리실태 업무 전반이었다.

감사배경에 대해 서울시 감사위원회 관계자는 “철도 등 기간시설이 복합화, 첨단화, 디지털화 되면서 사이버안전이 매우 중요해지고 있다”며 “기간시설의 폐쇄망 보안이 중요하기 때문에 예방 차원에서 감사를 진행했다. 더군다나 코레일 사건, 한수원 사태 등의 이슈로 국가기반시설에 대한 보안위협이 대두됨에 따라 서울시 산하 기간시설의 보안 및 안전실태를 점검하기 위해 진행했다”고 12일 밝혔다.

서울메트로, 열차운행제어 컴퓨터 악성코드 감염 방치
서울메트로의 경우 △열차운행제어 컴퓨터 악성코드 감염 방치 △개인정보 녹화영상물 저장장치 관리 부적정 △열차 신호·통신 폐쇄망 관리 소홀 △전력관제설비 CCTV 감시기능 부적정 등의 문제가 지적된 것으로 드러났다.

그 중 열차운행제어 컴퓨터의 경우 ‘실시간 모니터링 감시’ 및 ‘네트워크 침입차단 백신기능’이 활성화되지 않아 바이러스 감염 여부에 대한 모니터링 기능이 작동하지 못했으며, 바이러스 차단 기능도 수행하지 못했던 것으로 조사됐다.

그 결과 폐쇄망 내에 다양한 바이러스가 감염되어 지속적인 네트워크 스캔, 공유폴더 공격이 이뤄졌으며, 바이러스 활동에 따른 통신 트래픽 증가로 정보자원이 소모된 것으로 분석됐다.

또한, 주요정보에 대한 백업자료는 비밀번호가 없고 암호화하지 않은 공유 폴더에 저장했던 것으로 밝혀졌다. 이로 인해 비승인자의 임의 접근이 가능해 삭제, 변조, 훼손이 가능했다. 뿐만 아니라 중요 백업자료를 물리적으로 분리된 제3의 장소에 소산 보관하지 않은 것으로 나타났다.

이어 개인정보 녹화영상물 저장장치 관리 부적정의 경우 0호선 00000역 역무관리실 녹화영상물 저장장치 및 역사 설비제어 PC의 USB 포트가 봉인되지 않아 외부 저장매체의 사용이 통제되지 않았고, 결국 바이러스에 감염된 채 운영됐던 것으로 드러났다. 폐쇄망은 외부망(데이콤, 구글망)과 통신이 연결되는 취약점에 노출됐고, 개인영상정보를 저장하는 서버는 악성코드에 감염되기도 했다.

열차 신호·통신 폐쇄망 관리 소홀의 경우 신호감시용 관리 PC에서 외부망과 통신할 수 있는 랜카드(Lan Card)가 추가로 장착됐으며, 자동으로 외부망을 혼용할 수 있도록 신호감시 소프트웨어 형상을 편법으로 변경했다. 게다가 망 혼용시 국가정보원장의 사전 승인 절차도 거치지 않은 것으로 밝혀졌다.

특히, 신호감시용 관리 PC 내에는 외부 상용프로그램(파워포인트, Adobe Reader, Nero 등)을 설치하고 금지된 공유폴더를 생성했다. 악성코드에 감염되는 등 보안이 검증되지 않은 오피스 문서와 외부자료 등을 부서 직원들끼리 자료를 교환했다. 뿐만 아니라 신호감시용 관리PC에서 다른 원격지 컴퓨터로 대용량 파일을 빠르게 송수신 할 수 있는 인터넷 파일전송프로그램(FTP: File Transfer Protocol)을 다른 상용망과 연계했다. 특히, 신호감시용 관리 PC는 감시·추적기능을 수행할 수 있도록 윈도우즈 감사기록(Windows Audit Log)을 생성 관리해야 하는데, 이를 비활성화했다가 지적받기도 했다.

이에 대해 감사위원회 관계자는 “일반적으로 폐쇄망의 경우 보안정책상 일반 직원이나 외부 용역 직원들이 폐쇄망에 연결된 PC에 USB를 꽂지 못하도록 차단시켜야 하는데, 차단되지 않은 상태였으며 USB 뿐만 아니라 노트북을 사용하고, 폐쇄망을 우회하는 행위 등도 적발됐다”고 밝혔다.

전력관제설비 CCTV 감시기능 부적정의 경우 순회점검 시에만 시설 내 전등을 켜서 점검을 해 00관제실에서 관제 대상 전기시설물을 CCTV로 식별할 수 없었으며, 고정형으로 설치된 CCTV 보안시설의 감시방향은 출입문과 반대방향으로 배치돼 출입자 감시 기능으로도 활용할 수 없는 상태로 관리한 것도 문제로 제기됐다.

감사결과와 관련해 감사위원회는 2015년 10월 시정요구를 했으며, 이행할 수 있는 조치는 완료된 상태로 알려졌다. 다만 장비 투입 등 시간이 필요한 조치사항들은 현재 개선 중에 있으며, 현재는 이행실태에 대한 사후감사가 들어간 상태다.

도시철도공사, 관제센터 사이버 보안대책 이행 소홀 등 관리 부실
이어 도시철도공사의 경우 △주요 기능실 출입통제 보안관리 부적정 △관제센터 사이버 보안대책 이행 소홀 △개인정보 녹화영상물 저장장치 관리 부적정 △승강장 안전문 종합제어반 정보 보안관리 소홀 △집중전화시스템 용역직원 보안관리 부적정 △철도관리 시스템 디지털 안전 보안체계 미흡 △열차 신호제어 시스템 소프트웨어 보안관리 소홀 등이 적발됐다.

그 가운데 주요 기능실 출입통제 보안관리 부적정의 경우 0, 0, 0호선의 주요 기능실은 디지털 잠금장치만 설치하고, CCTV가 없는 점이 지적받았다. 또한, 도시철도공사 신호기계실에 설치 중인 출입통제 시스템의 경우는 카드 분실 등의 이유로 유명무실하게 운영됐던 것으로 드러났다.

관제센터 사이버 보안대책 이행 소홀의 경우 00관제센터 내 승강장안전문(PSD) 감시시스템 PC에서 익명 접속이 가능한 게스트(Guest) 계정이 활성화되어 있고, 재난공유시스템 PC는 USB 이동형 랜(Lan)카드를 사용해 폐쇄망에서 외부 인터넷접속이 가능한 위험에 노출됐다.

이 외에도 0호선 ‘통합기술관제시스템(SCAMS)’ 감시 PC는 다른 곳에서 업무용으로 사용하던 PC를 디스크 초기화 없이 재사용하고 있었으며, 외부로 통신패킷이 나가고 있었던 점도 지적받았다.

‘공조설비관제 시스템’ 자료관리 PC와 녹화영상물 반출 관리 PC의 경우도 공유폴더 사용과 USB 사용으로 악성코드 침입 위험에 노출돼 다수의 악성코드가 감염됐다.

특히, 외부기관에서 임대해 사용하는 ‘스마트 애드몰 망’에 수용된 각종 감시시스템에서는 보안취약점이 다수 발견됐으며, 악성바이러스가 탐지된 것으로 드러났다.

개인정보 녹화영상물 저장장치 관리 부적정의 경우 2013년부터 2015년까지 3년간 접속기록과 수기 기록 건수가 일치하지 않았다. 또한, 영상정보 열람대장이 존재하지 않는 등 영상물의 목적 외 반출이나 무단 열람 여부 확인이 불가능했다는 게 감사위원회 측의 지적사항이다.

영상정보를 반출할 수 있는 공유폴더는 기관 전체 통신망에 연결돼 사용됐으며, 접속 비밀번호는 노출이 쉬운 1234로 사용됐다. 공유폴더는 자동기록기능이 없어 영상정보 오·남용 위험에 노출된 점도 문제다.

반출용 PC의 경우 바이러스 감염과 치료가 반복됐으며, 백신으로 탐지되지 않은 루트킷 바이러스도 검출됐다. 특히, 악성코드에 감염된 상태에서 USB 매체에 영상자료를 담아 외부로 반출했으며, 타 기관으로 USB매체를 통해 악성코드가 전이되기도 했다.

승강장 안전문 종합제어반 정보 보안관리 소홀의 경우 000운영부에서 관리하고 있는 폐쇄망 승강장안전문 종합제어반 전산기에서 다양한 유입경로를 통해 악성코드가 발견됐다. 또한, 폐쇄망임에도 불구하고, USB 사용 흔적이 적발됐으며, 바이러스 2차 감염에 전이될 수 있는 네트워크 공유 상태로 관리되고 있었다,

집중전화시스템 용역직원 보안관리 부적정의 경우 과다한 공유폴더 사용으로 비밀번호가 노출됐으며, 정보통신기반시설 내에서 관리되는 PC는 용역업체 직원이 하자보수를 위해 USB를 사용한 흔적이 적발됐다.

철도관리시스템 디지털 안전 보안체계 강화의 경우 00관제센터 등 정보보안 실태조사 결과 기반시설 보호활동과 접근통제 대책 및 휴대용 저장매체 보안 등 보안관리 분야별 영역에서 다수의 보안의규 위반 및 취약점이 노출됐다. 또한, 보안전담 직원 없이 전문지식이 없는 일반 직원이 부수적으로 보안업무를 병행한 것으로 조사됐다.

이번 감사결과에 대해 감사위원회 측은 파일관리·패치관리·매체제어 시스템 등 기술적 보안을 강화하고, 도시철도 시설물을 관리하는 기능 관제센터와 도시철도 시스템을 모니터링 하는 사이버침해대응관제센터 구축·운영이 필요하다고 당부했다. 또한, 관리적·물리적 보안관리 개선을 위해 도시철도관제 시스템 특성을 반영한 정책·지침·절차를 재정비하고, 사이버위협 요인을 충분히 반영한 정보보호 점검 목록을 마련해야 한다고 강조했다.
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>