2014년, 우크라이나와 러시아 간 전쟁이 처음 발발했을 당시 러시아 해커 세력은 우크라이나 네트워크 파괴와 위성 통신 장애를 널리 일으키고, 우크라이나 수십만 명이 대규모 정전 사태로 피해를 보는 문제를 일으켰다. 그러나 2023년 8월, 이틀간 의문의 공격 세력이 북대서양조약기구(NATO)의 우크라이나 지원을 위한 주요 교통 기반 시설인 폴란드 철도 시스템을 겨냥한 마비 공격이 전혀 특별하지 않은 기술적 장난으로 발생한 것으로 나타났다. 바로 긴급 중단 기능을 실행하도록 기차에 전달하는 간단한 라디오 명령 신호 혼선이 원인인 것으로 드러났다.
2023년 8월 25일과 26일(현지 시각), 20대가 넘는 폴란드 내 화물 철도와 여객 탑승 철도가 폴란드 전역에서 멈췄다. 폴란드 현지 언론과 BBC는 철도 중단 원인이 사이버 공격이라고 보도했다. 폴란드 정보국은 철도 시스템 마비 원인을 조사 중이며, 러시아의 지원을 받아 발생한 공격으로 드러났다. 공격 세력은 철도 운행을 중단할 명령과 러시아 국가와 블라디미르 푸틴의 연설 일부분을 함께 사용했다.
폴란드 철도 시스템은 NATO가 우크라이나가 러시아 침략 방어 수준을 강화하도록 하면서 우크라이나로 서양 무기와 기타 원조 물품이 유입되는 주요 자원 역할을 했다. 수석 보안 관료인 스타니슬로 자린(Stanislaw Zaryn)은 폴란드 언론 통신사에 “지난 몇 달간 폴란드의 통신 불안정을 일으키려는 시도가 관측됐다. 현재 어떤 문제도 막지 못하고 있다”라고 전했다.
[사진=Pixabay]
폴란드어를 구사하는 개인 사이버 보안 연구원 겸 컨설턴트인 루카즈 올레니크(Lukasz Olejnik)는 더 자세히 조사한 결과 철도 마비 공격의 피해 수준이 심각한 것처럼 공격 과정에 사이버 요소는 전혀 개입되지 않았다고 설명했다. 올레니크는 출간을 앞둔 사이버 보안 관련 서적인 『사이버보안 철학(Philosophy of Cybersecurity)』의 저자이기도 하다. 사실, 공격 세력은 공격 대상으로 삼은 열차에 단순히 라디오 주파수로 라디오 중단 명령을 보낸 것으로 드러났다. 올레니크가 설명한 바와 같이 철도 시스템에는 라디오 중단 명령의 암호화나 인증 작업이 없다. 30달러에 즉시 구매할 수 있는 라디오 장비를 보유한 채로 누구나 폴란드 철도에 150.100MHz 주파수로 세 가지 어쿠스틱 톤을 전송하는 방식으로 폴란드 열차에 명령을 전송하고 긴급 중단 기능을 실행할 수 있다.
올레니크는 “연속으로 세 가지 음향 메시지를 전송한다. 라디오 장비가 신호를 받으면, 열차 움직임이 중단된다”라고 말했다 이어, 폴란드 철도 시스템 공격에 이용된 ‘라디오 중단’ 명령을 설명한 유럽연합의 다른 열차 기술 표준을 기술한 문서를 언급했다. 올레니크는 수년간 폴란드 라디오, 철도 포럼, 유튜브에서 라디오 중단 명령을 보낼 수 있다는 점을 설명했다. 올레니크는 “누구나 열차가 멈추도록 라디오 중단 명령을 전송할 수 있다. 라디오 주파수와 음향 모두 알려졌으며, 장비는 저렴하다”라고 경고했다.
폴란드 국가 대중교통국은 2025년까지 암호화와 인증 과정을 진행하는 GSM 셀룰러 라디오를 단독에 가까운 상태로 이용하는 방식으로 철도 시스템을 향상할 계획이라고 공식 발표했다. 그러나 그전까지는 상대적으로 보호 수준이 낮은 VHF 150MHz 시스템을 계속 사용하므로 라디오 중단 명령이 발생할 수도 있다.
올레니크는 철도 마비 라디오 공격의 실제 한계로 공격 세력이 표적이 된 열차와 가까운 곳에 있어야 공격이 가능하다는 점을 지목했다. 즉, 공격자는 공격 작전에 이용한 라디오 장비 성능에 따라 피해가 발생한 열차와 수백 피트 혹은 몇 마일 떨어진 곳에 존재할 수도 있다는 의미이다. (올레니크는 스스로 공격 실험을 진행하지 않았다는 점에서 신중한 태도를 보였다.) 철도 시스템 마비 공격이 폴란드 내 다른 행정 구역 세 곳에서 발생한 사실을 고려하면, 공격자에게 가장 어려운 일은 공격 대상이 된 철도와 가까운 곳에 장비를 두는 것이었을 것으로 보인다. 올레니크는 “철도 시스템 마비 공격은 저렴한 비용으로 개시할 수 있는 공격이다. 표적으로 삼은 열차와 가까운 곳에 있어야 한다는 점이 가장 큰 위험 요소이다”라고 전했다.
폴란드 국영 철도청(Polish State Railways)은 와이어드의 의견 공개 요청에 즉각 답변하지 않았다. 그러나 공식 성명을 통해 철도 마비 원인이 정체를 알 수 없는 세력의 라디오 장비를 이용한 권한 없는 라디오 중단 신호 송출이라고 밝혔다. 또한, 라디오 중단 신호 수신 결과로 공격 세력이 전달한 주파수를 라디오 신호로 사용한 열차 모두 즉시 멈추었다고 덧붙였다.
자동 긴급 중단 이후에도 철도청은 “열차 승객 중 철도 중단으로 위협을 받은 이는 없다. 이번 공격의 결과는 열차 운행 차질뿐이다”라고 밝혔다. 폴란드 언론 통신사는 라디오 중단 신호 전송 후 부상자나 피해는 발생하지 않았다고 보도했다.
러시아나 친러 세력이 우크라이나의 우호국인 폴란드 철도 시스템 마비 공격을 개시했다면, 선례가 존재할 것이다. ‘사이버 파티잔(Cyber Partisans)’이라는 이름으로 알려진 벨라루스 반정부 세력이 2022년 2월, 벨라루스 철도 IT 네트워크에 이례적인 정치적 랜섬웨어 공격을 개시한 사례를 예시로 언급할 수 있다. 당시 공격 동기는 벨라루스가 러시아의 우크라이나 침략 가담을 막기 위한 시도였으나 공격 이후 우크라이나 전쟁이 발발했다.
폴란드 철도 시스템 마비는 랜섬웨어 공격이나 디지털 네트워크 마비 작전이 없어도 일으킬 수 있는 것으로 드러났다. 그러나 올레니크는 공격을 간단하게 개시할 수 있다고 해서 그 여파를 대수롭지 않게 여겨서는 안 된다고 경고했다. 폴란드 열차의 인증되지 않은 통신 시스템의 라디오 공격을 막기 어렵다는 사실을 고려하면, 추후 추가 공격이 발생할 수도 있기 때문이다.
올레니크는 “전쟁이 발발한 우크라이나 지원 중심지라면, 공격 대상이 될 수 있다. 손쉽게 택할 수 있는 전략은 언제든지 최고의 접근 방식이 된다”라고 말했다.
** 위 기사는 와이어드US(WIRED.com)에 게재된 것을 와이어드코리아(WIRED.kr)가 번역한 것입니다. (번역 : 고다솔 에디터)
![[사진=Pixabay]](/news/photo/202309/4985_6503_2931.jpg)
뉴스레터 신청