[우주 사이버안보] 민간 전문가들 "위성정보 해킹위협 보안대책 마련돼야"

[사진=게티이미지뱅크]

민간분야 항공우주·정보통신기술(ICT) 전문가들은 인공위성의 정보·통신 시스템 보안대책을 마련해 해킹에 대비해야 한다고 경고한다. 악의적인 해커들이 이제까지 ICT 영역의 보안취약점을 악용해 왔듯이, 인공위성도 사이버공격의 대상으로 인식하기 시작했다는 진단이 나왔기 때문이다.

31일 최명진 한컴인스페이스 대표는 "우리 실생활에 위성통신·위성정보기술이 사용되고 있다"며 "민간 주도로 위성이 개발·활용되면서 항공우주산업에 급격한 발전과 변화가 나타나는 뉴스페이스 시대에는, 군용·공공 목적의 위성체계와 마찬가지로 국민 다수의 생활과 직결될 다양한 위성정보·통신체계를 위한 보안 대책이 중요하다"라고 말했다.

그에 따르면 최초의 인공위성은 군용 정찰을 위한 감시자산으로 개발·운용됐다. 각국은 운용 중인 인공위성에서 해킹이 발생하거나 관제권을 탈취당하지 않게 하는 보안체계와 관측정보 암호화의 중요성을 알고 있다. 우리나라에서도 인공위성을 관제·운용하는 기관인 한국항공우주연구원은 정부의 보안시설로 등록·관리되고, 그 시스템에는 다중 보안체계가 구축돼 있다.

최 대표는 "관측 정보를 지상으로 내려보낼 때 함부로 해독할 수 없도록 암호화 기술을 적용하고 있지만, 인공위성이 사용하는 네트워크 자체는 일반 통신망과 주파수만 다를 뿐"이라며 "보안체계 또한 일반 통신망과 크게 다르지 않아, 해킹 위협이 상존한다"라고 설명했다.

김용대 카이스트 정보보호대학원 교수는 "위성통신에 사용된 기술의 보안취약점을 통한 해킹 기법과 사례는 그간 글로벌 보안 콘퍼런스를 통해 많이 공개돼 있다"라며 "특정한 사례로 당장 모든 인공위성이 취약하다고 일반화할 수는 없지만 앞으로 위성 관련 보안취약점의 중요성은 높아질 것으로 예상한다"라고 내다봤다.

폴 코스텍(Paul Kostek) 전 국제전기전자공학회(IEEE) 산하 항공우주·전자시스템학회장은 지난달 영국 IT매체 더레지스터 보도에서 늘어난 인공위성 수만큼 공격자의 관심과 공격 범위가 커졌음에도 "대부분의 지상국이 위성을 소유·관리하는 이들에 의해 제대로 통제되지 않아 적절한 보안성을 제공하지 못할 수 있다"고 우려했다.

프리랜서 보안연구원 제임스 파버(James Pavur)는 300달러면 살 수 있는 위성TV신호 수신장비와 컴퓨터용 부품 한 벌로 수년간 유럽 본토 안에서 인공위성 18대의 신호를 가로채 미국·카리브제도·중국·인도에 걸친 1억㎢ 지역 내의 사람, 선박, 항공기로 전송된 데이터 감청 결과를 작년 8월 글로벌 보안 콘퍼런스 '블랙햇(Black Hat)'에서 발표했다.

그는 이후 지난 5월 영국 정보보안 전문매체 '데일리스위그' 보도에서 "(과거) 인공위성은 알려진 정보가 많지 않고, 값비싼 맞춤형 부품으로 제작돼왔다"라면서, 위성체계를 사이버공격으로부터 보호해준 건 "모호성을 통한 보안(security through obscurity)"이었다고 지적했다.

이제 모호성을 통한 보안만으로는 위성체계와 데이터를 사이버공격으로부터 지킬 수 없게 됐다. 인공위성의 하드웨어와 소프트웨어 개발 방식에 민간 산업계의 범용 사물인터넷(IoT)·엔터프라이즈 시스템이 활용되기 때문이다. 이미 정보가 공개된 기술이 인공위성에 쓰이는 만큼, 공격 수단을 찾고 실행하는 과정의 문턱은 낮아진다. 과거 위성체계 관련 보안 사고가 주로 전체 보안체계에서 '가장 약한 고리'인 지상국의 PC 침입으로 발생했다면, 이제는 인공위성을 경유하는 무선통신 주파수 취약점이 이용된다.

블랙햇에서 발표된 파버 연구원의 인공위성 통신 감청 실험 결과를 보면, 한 중국 여객기는 암호화하지 않은 내비게이션 정보와 항공전자공학 데이터를 수신 중이었고, 승객들 역시 암호화되지 않은 인터넷 접속으로 웹사이트와 이메일을 이용한 것으로 파악됐다. 파버 연구원의 위치에서 600㎞쯤 떨어진 프랑스 남부의 풍력발전기 시스템에 로그인한 관리자는 인증에 사용된 쿠키를 노출했다. 발전기 고장을 신고하며 튀니지항에 입항한 이집트의 유조선에서 가로채인 통신 내용은 이 배의 운항중단 기간과 수리를 담당할 기술자의 이름과 여권번호를 포함했다. 한 스페인 변호사가 곧 수임할 사건 의뢰인에게 보낸 이메일과 그리스 억만장자의 요트 통신망의 계정 초기화 패스워드도 포착됐다.

파버 연구원이 추가로 사용한 장비는 수신된 위성방송TV를 컴퓨터로 시청할 때 쓰는 부품인 '표준 디지털비디오방송(DVB-S) 튜너' 한 개와 위성TV신호 수신을 위한 평판안테나 한 개 뿐으로, 300달러면 장만할 수 있었다. 그는 이미 공개된 인터넷 서비스용 정지궤도위성의 위치를 확인해 안테나 방향을 맞추고 신호가 포착된 주파수 대역을 파악한 다음, 이 신호를 기록한 바이너리 파일에서 문자열과 표준 인터페이스 정보를 바탕으로 인터넷 트래픽을 찾아냈다. 그는 이처럼 알려진지 15년 이상 된 공격 방식에 많은 위성인터넷이 여전히 취약하고, 일부 신형 위성인터넷에서도 취약점이 발견됐다고 밝혔다.

파버 연구원은 올해 초 리투아니아의 영자 정보보안 전문매체 '사이버뉴스'와의 인터뷰를 통해 이 실험이 어떤 의미인지 더 구체적으로 설명했다. 그는 "별로 비싸지 않은 위성TV용 수신장치를 사용시 온전치 않은 데이터가 수집되지만, 공격자는 무선신호를 완벽하게 포착할 필요가 없다"라며 "위성 통신망으로 전달된 이메일 내용의 반쪽만 알아내도 충분히 활용할 수 있다"라고 지적했다.

그는 "위성 인터넷 신호가 도청되면 (공격자는) 통신사처럼 회선 이용자가 탐색하는 웹사이트나 자기 계정의 모든 이메일 내용을 볼 수 있다"라며 "웹 트래픽을 암호화하더라도 TLS 인증서가 공격자에게 방문 가능한 웹사이트 목록을 제공하고, 이 메타데이터가 통합될 수 있어 개인이 사생활을 보호하기가 어려워진다"고 덧붙였다. 이어 "범죄자가 이런 일을 벌일 수도 있다"라며 "단순히 피싱 이메일을 보내거나 암호를 해독하는 것보다 더 많은 노력이 필요하지만, 앞으로 더 많은 (통신) 트래픽이 위성으로 옮아간다면 이 영역을 공격해 기대할 수 있는 이익도 커질 것"이라고 내다봤다.

한컴인스페이스는 내년 상반기 초소형 저궤도 인공위성을 발사해 지구관측영상을 수집하고, 이를 포함하는 영상데이터서비스를 공공·국방·산업 분야별로 맞춤 제공하는 신사업에 뛰어든다. 세계적으로 민간 주도 항공우주산업이 활발해지는 흐름에 발맞춰 민간 부문에서 활용될 위성체계의 보안을 강화하기 위한 기술을 함께 개발하고 사업화할 계획이다.

최명진 대표는 "한컴인스페이스는 국내 기관과 위성보안 분야 기획연구를 공동 추진하고 있다"라며 "민간소형위성기술을 결합한 위성 보안체계를 지속적으로 연구하고 (이를 위해) 양자보안기술 분야에서 연구개발을 할 필요가 있다"라고 봤다. 그는 "중국은 이미 국가 중요 보안통신망에 양자기술을 이용하는 연구와 테스트를 수행해 올해 양자통신 성공사례를 밝혔다"고 언급했다.