공항 관제시스템 해킹당한다면… ‘한순간 혼돈’ 좀비PC 분석→ IP 추적→ 용의자 검거

중국 베이징으로 출장을 가게 된 직장인 A씨가 3일 오후 2시 서울 강서구 김포국제공항 출국장에 들어섰다. 출입국 심사를 마치고 남은 여유시간은 30분. 면세점을 둘러보다 탑승구로 향하던 순간 A씨는 갈 곳을 잃었다. 탑승권 발권 시 안내받은 게이트 번호와 전광판에 적힌 번호가 달랐다. 비행기의 출발시간과 편명 등도 모두 뒤섞여 있었다. A씨 만의 일이 아니었다. 공항은 한순간에 혼돈에 빠졌다.

공항이 뚫렸다

신고를 받은 경찰이 디지털 이미징(복제) 장비를 들고 공항의 관제 서버실에 도착했다. 먼저 내부 기밀인 관제시스템 네트워크 구조도를 확보했다. 이어 해킹당한 서버와 미리 준비한 하드디스크 사이에 이미징 장비를 연결했다. 현장에서 챙길 수 있는 가장 중요한 증거물이다.

해킹당한 서버와 정보를 주고받은 외부 PC의 네트워크 정보, 해킹당할 때 실행되던 프로그램 등은 ‘휘발성 정보’다. 휘발성 정보는 공격받던 상황을 설명할 수 있는 중요한 단서지만 서버 전원이 꺼지면 허공으로 사라진다. 따라서 현장 분석과 휘발성 정보 추출 프로그램을 통한 복제가 동시에 진행됐다.

복제한 하드디스크와 메모리, 악성코드가 심어져 있던 ‘좀비PC’를 모두 분석해 해킹 수법을 찾아냈다. 용의자는 악성코드에 감염된 좀비PC를 원격 제어하면서 관제 서버에 침투했다. 아이피(IP) 주소를 되짚어보니 ‘악성코드 통제·제어(C&C) 서버’의 위치는 제삼국을 거치지 않은 국내였다. 즉각 수사팀을 투입해 용의자 추적에 착수했다.

이건 가상의 사건이다. 경찰은 이날 공항 관제시스템이 해킹됐다는 설정 아래 사이버 수사요원 150여명이 참여한 모의 훈련을 했다. 항공기 스케줄과 예약관리 시스템이 외부 공격을 받아 전광판에 잘못된 정보가 안내되고 혼란이 발생한 상황에서 대처능력을 시험해 본 것이다.

짜 놓은 시나리오에 불과할까

경찰은 지난 2월 지방경찰청 단위로 사이버테러수사팀을 편성하고 강력한 대응 체제를 구축 중이다. 이번 모의 훈련은 김포공항을 비롯해 인천국제공항, 김해공항 등 15개 공항에서 일제히 진행됐다. 전국 단위로 사이버테러 훈련을 진행하기는 처음이다. 최준영 경찰청 사이버안전국 사이버수사기획팀장은 “북한발 주요 기관 전산망 해킹 등 사이버테러 가능성에 대비한 것”이라며 “매년 2회씩 훈련을 이어갈 것”이라고 했다.

그렇다면 공항이 한순간에 마비되는 일이 가상 시나리오에 불과할까. 전문가들은 나날이 치밀해지는 해킹 수법에 비춰볼 때 더 심각한 상황이 벌어질 가능성을 배제할 수 없다고 본다. 국가기관 시스템에 접근해 혼란을 주거나 정보를 빼가는 식의 수법은 비슷할지 몰라도 그 피해는 다양한 형태로 확산될 수 있다고 지적한다.

공항의 경우 출입국 정보가 뒤섞이면 블랙리스트에 오른 범죄자, 테러리스트 등을 걸러 내지 못하게 된다. CCTV 화면이 해킹당해 폭발물 설치 등 사건에서 중요한 단서를 놓칠 수 있다.

최근에는 비행기 내부에서 인터넷 연결이 가능해져 비행조종 장치를 해킹하거나 원격 제어하는 위험도 커졌다. 기내 좌석에 있는 USB포트를 통해 다른 승객의 휴대전화는 물론 조종 시스템에 접근하는 게 불가능하지 않다는 얘기다. 김승주 고려대 정보보호대학원 교수는 “세계적으로 네트워크 해킹 사례가 자주 발생하고 있다. 일부 외국 항공사는 ‘화이트 해커’를 고용해 항공 시스템 취약점을 확인하기도 한다”며 “우리도 보안시스템에 대한 철저한 감시와 대응이 필요하다”고 강조했다.

김미나 기자 mina@kmib.co.kr

[관련기사 보기]