사이버 공격에 취약한 원자력 시설 Global nuclear facilities 'at risk' of cyber attack

Iran's nuclear enrichment systems were hit by the Stuxnet virus that targeted centrifuges

edited by kcontents 

케이콘텐츠 편집

   세계 각지의 원자력발전소에 대한 심각한 사이버 공격 위험이 증가하고 있다고 한 보고서가 경종을 울렸다. 또한 대부분 국가의 민수용 원자력 기반시설이 사이버 공격을 충분히 대비하지 못하고 있다고 덧붙였다. 이 보고서는 기반시설에 적용된 제어 시스템들이 오래 전에 구축된 것이라서 설계상 보안에 취약하다는 점을 제기하고 있다. 영국의 영향력 있는 씽크탱크인 채텀 하우스(Chatham House)가 발행한 이 보고서는 18개월 동안 전 세계 발전소의 사이버 방어에 관한 조사를 바탕으로 작성된 것이다. 

사이버 공격 

사이버 범죄, 정부의 지원을 받는 해커, 테러리스트들이 온라인 활동을 늘리고 있다고 밝힌 보고서는 이와 같은 상황은 이전에 존재한 적이 없던 네트워크 상의 공격 위험이 크게 증가하고 있음을 의미한다고 강조했다. 사이버 공격이 원자력발전소에 대해 이루어지는 것은 거의 가능하지 않거나 작은 규모에 그칠 것으로 보이지만, 그 결과의 하나로 방사선이 누출되는 사고가 발생할 수 있기 때문에 심각하게 다루어져야 필요가 있다. 이 외에도 사이버 보안 사고의 규모가 적은 경우를 가정했을 때도 향후 민수용 원자력의 미래와 여론에 부적절한 영향을 미칠 가능성이 높다고 덧붙였다. 

불행히도 이번 조사 결과 영국 원자력발전소와 관련 기반시설들이 사이버 공격으로부터 적절히 보호되고 있거나 준비된 상태가 아니라는 점이 밝혀졌는데, 비교적 최근에 디지털 시스템으로 교체가 이루어졌기 때문이다. 제어시스템의 디지털화와 상업용 소프트웨어의 사용이 증가한 것은 원자력산업에 있어서는 위험을 늘렸을 뿐이다. 발전소의 컴퓨터 시스템은 외부 인터넷과 사실상 격리되어 있어 다른 산업에 영향을 주는 사이버 공격과 같은 위험에 대비되어 있다는 믿음이 퍼져 있다. 

하지만 공공 인터넷과 원자력발전소 간의 분리 정도는 매우 약한 것이어서 USB 드라이브와 같은 도구로도 손쉽게 무력화될 수 있음을 언급한 보고서는 이란의 원자력시설을 감염시켰던 컴퓨터 바이러스 스턱스넷(Stuxnet)이 바로 이 방법을 사용한 것임을 지적했다. 또한 연구팀은 원자력 기반 네트워크에 연결된 가상 네트워크와 다수의 링크를 발견하기도 했다고 밝혔다. 그 중 일부는 보안 책임을 진 기관이 파악하지 못했거나 잊혀진 것들도 있었다. 핵심 기반시설의 취약점을 찾아 인덱싱하는 서치엔진이 존재하고 있어 해커들이 발전 네트워크나 통제 시스템에 침입할 경로를 찾기 쉽게 해주고 있다. 

원자력산업협회(Nuclear Industry Association)의 키스 파커(Keith Parker) 회장은 사이버 보안과 함께 원자력 시설의 보안은 발전소 운영에 있어 최우선 과제라고 말했다. 영국의 모든 원자력발전소는 안정성을 염두에 두고 설계되었고 방대한 잠재적 사고에 결딜 수 있도록 스트레스 검사를 거쳤다. 발전소 운영은 임박한 위협을 항상 인지할 수 있도록 국가 기반시설 보호 센터(Centre for the Protection of National Infrastructure)와 기타 정보기관과 긴밀한 협조 하에 이루어지고 있음을 강조한 파커 회장은 원자력 규제기관도 계속해서 발전소의 안전성을 감시하고 있어 어떤 외부의 위협에도 대비할 수 있도록 돕고 있다고 덧붙였다. 

지난 6월, 국제원자력기구(IAEA)는 발전소 및 제조 시설이 직면한 사이버 위협에 대한 첫 번째 국제 컨퍼런스를 개최했다. 이 행사에서 IAEA 사무총장 유키야 아마노는 원자력발전소를 목표로 했거나 무작위적인 공격이 함께 발생하고 있다고 말했다. 아마노 총장은 원자력 보안을 책임진 직원들이 어떻게 사이버 공격을 퇴치하고 시스템의 보안이 침해되었을 때 그 피해를 한정시킬 수 있는지 알아야 한다고 기조연설에서 밝혔다. 

채텀 하우스는 원자력 산업계가 사이버 공격 위험을 정량화하고 방어를 향상시키는 업무를 더 잘 수행해야 할 필요가 있다고 강조했다. 연구팀은 많은 발전소의 경우 업무 외 시간에 벌어지는 대규모 공격에 대한 대비가 부실하다는 점을 지적했다. 보고서 주저자인 패트리샤 루이스(Patricia Lewis)는 원자력 산업계는 이와 같은 새롭고 교활한 위협에 대처할 수 있는 준비를 시작하고 있지만 고전을 면치 못하고 있는 중이라고 말했다. 

출처 KISTI 미리안 『글로벌동향브리핑』

The risk of a "serious cyber attack" on nuclear power plants around the world is growing, warns a report.

The civil nuclear infrastructure in most nations is not well prepared to defend against such attacks, it added.

Many of the control systems for the infrastructure were "insecure by design" because of their age, it said.

Published by the influential Chatham House think tank, the report studied cyber defences in power plants around the world over an 18-month period.

Core breach

Cyber criminals, state-sponsored hackers and terrorists were all increasing their online activity, it said, meaning that the risk of a significant net-based attack was "ever present".

Such an attack on a nuclear plant, even if small-scale or unlikely, needed to be taken seriously because of the harm that would follow if radiation were released.

In addition, it said "even a small-scale cyber security incident at a nuclear facility would be likely to have a disproportionate effect on public opinion and the future of the civil nuclear industry".

Unfortunately, research carried out for the study showed that the UK's nuclear plants and associated infrastructure were not well protected or prepared because the industry had converted to digital systems relatively recently.

This increasing digitisation and growing reliance on commercial software is only increasing the risks the nuclear industry faces.

There was a "pervading myth" that computer systems in power plants were isolated from the internet at large and because of this were immune to the kind of cyber attacks that have dogged other industries.

However, it said, this so-called "air gap" between the public internet and nuclear systems was easy to breach with "nothing more than a flash drive". It noted that the destructive Stuxnet computer virus infected Iran's nuclear facilities via this route.

The story of Stuxnet

In 2009, a malicious computer program called 'Stuxnet' was manually uploaded into a nuclear plant in Iran.

The worm took control of 1,000 machines involved with producing nuclear materials, and instructed them to self-destruct.

What made the world's first cyber-weapon so destructive?

The researchers for the report had also found evidence of virtual networks and other links to the public internet on nuclear infrastructure networks. Some of these were forgotten or simply unknown to those in charge of these organisations.

Already search engines that sought out critical infrastructure had indexed these links making it easy for attackers to find ways in to networks and control systems.

Keith Parker, chief executive of the Nuclear Industry Association, said: "Security, including cyber security, is an absolute priority for power station operators."

"All of Britain's power stations are designed with safety in mind and are stress-tested to withstand a vast range of potential incidents," he added. "Power station operators work closely with national agencies such as the Centre for the Protection of National Infrastructure and other intelligence agencies to always be aware of emerging threats."

In addition, said Mr Parker, the industry's regulator continuously monitors plant safety to help protect it from any outside threats.

In June this year the International Atomic Energy Agency held its first international conference about the cyber threats facing plants and manufacturing facilities. At the conference Yukiya Amano, director of the IAEA, said both random and targeted attacks were being directed at nuclear plants.

"Staff responsible for nuclear security should know how to repel cyber-attacks and to limit the damage if systems are actually penetrated," he said in a keynote address to the conference.

The civil nuclear industry should do a better job of measuring cyber attack risks and improve the way it defends against them, according to Chatham House. Many plants examined by the report's researchers lacked preparedness for large-scale attacks that took place outside office hours.

"The nuclear industry is beginning - but struggling - to come to grips with this new, insidious threat," said Patricia Lewis, research director of Chatham House's international security programme.

http://www.bbc.com/news/technology-34423419

케이콘텐츠 

kcontents

"from past to future"

데일리건설뉴스 construction news

콘페이퍼 conpaper

.