네덜란드 전문가, 태양광 시스템에서 취약점 21개 발견
영국은 신기술 분야에서 앞장서기 위해 사이버 보안 가이드 펴내

[보안뉴스 문가용 기자] 매일 세계의 전쟁, 테러, IT, 보안 소식을 전하는 보안 WITS입니다. 독일은 테러 잡다가 다른 수배자들에 대한 수사망도 좁히게 되는 효과를 보고 있다고 합니다. 세계 지도자들이 북한 미사일 실험을 놓고 고민하는 중, 파키스탄은 “우리도 핵 무기 금지 조약에서 탈퇴하겠다”고 선언했습니다. 선박들은 GPS가 취약해 2차대전 기술로 선회하고 있다고 하고, 영국은 스마트 자동차 시장을 선도하기 위해 사이버 보안 가이드라인을 발표했습니다.


세계 소식
이번 여름 유럽의 국경 경비는 더욱 강화될 방침이라고 합니다. 독일 경찰 역시 여권 검사 및 심사를 훨씬 엄격하게 진행하고 있다고 하는데요, 이는 다 테러리스트들 때문입니다. 그런데 덕분에 수배가 걸려 있는 다른 범죄자들까지도 국경을 넘어가지 못하는 부작용(?)이 일어나고 있다고 합니다. 테러리스트들의 긍정적인 역할에 대한 사상 첫 소식입니다. 하긴 테러리즘이 요즘은 그 어떤 범죄 행위보다 척결 순위가 높긴 합니다. 왕을 잡으면 아랫것들도 다 줄줄이 딸려오죠.

그러니 테러리스트들은 전부 잡아야겠죠. 사우디아라비아가 최근 동부 지역의 사이핫(Saihat)이란 곳에서 대테러 작전을 펼쳐 테러리스트 1명을 사살하고 2명을 체포하는 데 성공했다고 합니다. 시리아군은 최근 데이르에즈조르(Deir Ezzor) 지역으로 군병력을 집결시켰습니다. ISIS와의 전투를 위해서입니다. 한편 테러리스트로서 정권을 잡은 가장 최근 사례 중 하나인 하마스는 요즘 주변 나라들과의 친교에 힘쓰고 있는데요, 이번엔 이란으로 사절단을 보냈다고 합니다.

스페인에서는 무정부주의자 집단이 여행객을 공격하는 일이 벌어졌습니다. 이들이 반대하고 있는 건 대중 관광(mass tourism)입니다. 여행객의 목숨을 원하는 건 아니고 여행 버스의 타이어를 찢어서 운행이 불가능하도록 만드는 것이 주요 공격 방법이고요. 이 경우는 테러 행위 자체보다 오히려 유럽 내에서 ‘반 외국인’ 정서가 퍼지고 있는 게 심각해 보입니다. 러시아와 벨라루스는 자파트(Zapad)라는 합동 군사훈련을 실시해오고 있고, 올해도 9월에 있을 예정입니다. NATO 소속국들은 당연히 이에 바짝 긴장을 하고 있는 상태입니다. 하지만 벨라루스는 라트비아와 리투아니아, 에스토니아에 참관 초대장을 발송하기도 했습니다.

파키스탄의 나와즈 샤리프(Nawaz Sharif) 전 총리에 대한 이야기가 많이 나옵니다. 보안 업계와도 상관이 있는 이야기입니다. 2015년 독일 신문사가 공개한 ‘파나마 페이퍼스’ 사건 기억하십니까? 파나마의 로펌인 모색 폰세카(Mossack Fonseca)가 보유하던 기밀 문서가 다량으로 유출된 사건이죠. 여기엔 각 나라의 조세 회피 관련 정황이 다 담겨 있어서 국제 사회의 크나큰 파장을 불러일으켰고요. 여기에 이 전 총리에 관한 기록이 있어 총리직으로부터 파면됐습니다. 나와즈는 “내 이름만 있던 것도 아닌데, 나만 이렇게 되었으니, 언젠가 이 모든 걸 드러내겠다”고 발표했습니다. 파키스탄 정계가 사이버 보안 사건 때문에 뒤숭숭합니다.

남아프리카 공화국도 뒤숭숭합니다. 현직 대통령 주마(Zuma)에 대한 불신임 투표가 현지 시각으로 화요일에 이뤄질 것이기 때문입니다. 만델라로 시작한 ANC의 흑인 대통령 계보가 어쩌다 여기까지 왔는지 모르겠습니다. 아프리카의 케냐 역시 역사적인 선거를 앞두고 정적들의 싸움이 계속해서 이어지고 있습니다. 10년 전 선거 때 케냐에서는 천 명 이상이 숨지는 유혈사태가 있었죠. 벌써 두 달째 외교 단절 사태를 지나고 있는 카타르와 걸프 국가들도 뒤숭숭하긴 마찬가지죠. 카타르와 터키는 보란 듯이 합동 군사 훈련을 가질 계획이라고 합니다. UN의 사절단이 월요일 쿠웨이트를 시작으로 걸프 국가들을 순방할 계획이라고 합니다. 석유가 있는 지역이라, 이 지역에서 긴장관계가 형성되면 온 세계가 긴장합니다.

세계를 긴장케 하는 또 다른 요인으로는 북한이 있죠. 필리핀에서 진행된 ASEAN 회의에서 미국과 한국, 일본의 외교부 장관들이 따로 만나 UN의 북한 제재 이후 사태에 대해서 이야기를 나눴습니다. 여기에 중국과 러시아도 참관했다고 합니다. 제재의 효과를 높이려면 중국과 러시아의 지원이 중단되어야 한다는 데에 모두가 동의했다고 합니다. 틸러슨 미국 외교부 장관은 이 모임 외에 필리핀의 두테르테 대통령과도 개인적인 만남을 가졌다고 합니다. 한편 러시아도 유럽과 미국의 제재를 받고 있는데요, 그래서 생필품과 군수품을 교환하는 일이 발생하고 있습니다. 최근 러시아는 인도네시아에 전투기를 공급하고 대신 커피, 팜유 등을 받기로 했답니다. 흔하지 않은 거래입니다.

북한에 가려져서 잘 드러나지 않지만, 파키스탄도 은근 핵 개발을 하고 있는 위협적인 국가입니다. 이미 수년 전부터 핵을 연구하고 있는데요, 현지 시각으로 월요일 파키스탄은 UN의 120개 국가가 동의한 핵 무기 금지 협약에서 빠지겠다고 발표했습니다. 또한 미국의 트럼프 행정부에는 아프가니스탄의 대테러 행위에 있어서 무력 사용을 하지 말고 협상을 위주로 전략을 짜라고 권고하기도 했습니다. 아무래도 미국이 타격하면 아프가니스탄으로서는 가까운 파키스탄에 보복하기 때문입니다.

보안 소식
사이버 범죄를 막기 위해서 최신 소프트웨어와 OS를 사용하라는 건 보안의 가장 보편적인 규칙이자 실천사항인데요, 바다에서 항해하고 있는 배들은 오히려 다시 예전 방식으로 돌아가고 있다고 합니다. GPS라는 현대적인 위치정보 시스템보다 로란(Loran)이라는 라디오 항해 기술이 해킹에 더 안전하기 때문입니다. 이 로란이라는 기술은 무려 2차대전 당시에 개발된 것으로, 대한민국, 미국, 영국, 러시아는 이보다 조금 더 응용된 버전인 eLoran을 각자 개발 중에 있다고 합니다. GPS는 저렴한 재밍 기기들로도 전파 방해가 가능하다네요.

요즘 원전과 태양광이 한국의 뜨거운 이슈이기도 합니다. 그래서 이런 소식을 전하는 게 정치적인 의도를 가진 것처럼 비쳐질까봐 조심스럽지만, 네덜란드의 한 보안 전문가가 태양 에너지 시스템의 해킹 방법을 발견해냈다고 발표했습니다. ITsec이란 업체의 빌렘 베스터호프(Willem Westerhof)라는 인물인데요, 그가 찾아낸 취약점들을 성공적으로 익스플로잇하면 원격에서도 공격이 가능해 태양광 전지 패널로부터 들어오는 직류를 교류로 변환해 일반 전력망에 공급되는 과정에 개입할 수 있게 된다고 합니다. 즉 원한다면 정전 사태를 일으키거나 반대로 과열 사태를 일으킬 수도 있다는 겁니다. 다행히 소프트웨어 오류라 패치가 이뤄질 것으로 보입니다. 물론 이런 수준의 취약점이 전부 21개라 적은 수가 아니긴 하지만요.

미국은 ‘기술 지원 사기’라는 범죄가 오래전부터 성행해왔습니다. MS 등의 유명 기업에서 걸려온 고객 지원 전화인 것처럼 가장해서 기술 지원을 해주겠다고 하고 멀웨어를 심거나, 당신 컴퓨터가 고장난 것 같으니 고쳐주겠다고 하고 돈을 뜯어내는 사기 수법을 말합니다. 특히 후자가 문제인데, 아직 컴퓨터에 익숙치 않은 인구들이 여기에 많이 당하기 때문입니다. 최근엔 이 기술 사기 공격자들이 피싱 메일을 사용해, 사기 범위를 확대했다는 소식입니다. 피싱 이메일을 통해 기술 지원 업체(물론 가짜)의 웹사이트 트래픽을 높이는 수법을 사용한다고 합니다. 그래서 광고료를 부당하게 높게 받는 것이죠.

얼마 전 민감한 사업 정보가 유출된 것 같다는 제보가 있어 수사를 시작한 파이어아이(FireEye)는 여전히 “우린 해킹 당하지 않았다”고 주장했습니다. 얼마 전 페이스트빈에 올라온 맨디언트 해킹 주장에 대해 “직원 1명의 소셜 네트워크 계정만 침해당했을 뿐”이라고 한 것에 이어 두 번째 결백 주장이죠. 이번엔 “공개된 고객정보 두 건은 허위로 만들어진 것”이라고 발표했습니다. 해커의 허세일까요, 파이어아이 측의 덮어두기일까요?

작년, 호주의 적십자에서 대량의 데이터 유출 사고가 발생했습니다. 약 55만 명에 달하는 헌혈자 정보와 1백 28만 건의 개인정보가 인터넷에 고스란히 노출된 사건으로 작년 10월에 알려진 일입니다. 이것이 서드파티 업체 직원의 실수로 인한 것이라는 수사 결과가 발표됐습니다. 서드파티 직원 실수가 최근에 더 자주 일어나는 듯 합니다. 하지만 실수가 아닌 경우도 있죠. 인도의 한 소프트웨어 개발자는 인도 국민 5만 명의 민감한 정보를 훔쳐 체포되었습니다. 이 정보는 인도 정부가 진행하는 아드하르(Aadhaar) 생체정보 플랫폼에서 나온 것입니다. 우리나라도 주민센터 어디서나 지문만 있으면 각종 서류를 뗄 수 있는데요, 우리나라 생체정보 데이터베이스의 보안이 궁금해지긴 합니다.

영국 정부는 커넥티드 카와 관련된 보안 가이드라인을 발표했습니다. 얼마 전 미국은 사물인터넷 보안과 관련된 가이드라인을 발표하더니 영국도 금방 쫓아가네요. 영국 측은 이 가이드라인 발표 목적이 “영국을 커넥티드 카 산업의 R&D 중심으로 만들기 위해서”라고 밝혔습니다. 신기술의 중심부가 되기 위해 제일 먼저 보안 관련 가이드라인을 정부 기관이 주도적으로 발표했다는 게 의미심장합니다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>