2017년 사우디 석유화학공장 비상안전장치 공격 미수로 정체 드러나

“고의로 직접 인명 피해를 노리는 점에서 전례 없는 악성프로그램”

지난 2017년 여름 해킹이 의심되는 사우디 아라비아의 한 석유화학 공장 시설의 갑작스러운 가동 중단 이유를 조사하던 사이버보안 전문가 줄리언 것머니스는 피가 얼어붙는 느낌을 받았다.

이 공장의 유독가스 누출 등 비상사태 때 최후의 방어막 역할을 하는 비상안전장치에 해커들이 악성 프로그램을 심어놓은 것을 발견한 것이다.

다행히 악성 프로그램 자체의 결함 때문에 해커들의 원격 공격에 안전시스템이 공장 가동을 중단시키는 것으로 끝났다.

그러나 악성 프로그램이 제대로 작동했더라면 최악의 경우 무수한 인명피해가 날 수도 있었다.

미국의 매사추세츠공과대학(MIT)이 발행하는 ‘MIT 테크놀로지 리뷰’는 5일(현지시간) 이 사건을 되돌아 보면서, 문제의 악성 코드 ‘트리톤’ 배후의 해커들이 중동지역 너머 북미와 다른 지역의 회사들을 제물로 삼으려 확산시키고 있다고 경고했다.

지금까지 세계 최악의 산업재해로 일컬어지는 1984년의 인도 보팔 참사 때는 다국적 기업 유니언 카바이드의 화학공장에서 유독가스가 누출돼 수천 명이 사망했다.

보팔 참사의 원인은 인재였지만, 최후의 안전장치가 작동하지 않음으로써 참사를 막을 수 없었다고 이 매체는 지적하면서 트리톤이 석유화학시설의 비상안전장치를 공격 대상으로 삼은 것의 심각성을 강조했다.

해커들의 뜻대로 됐다면 맹독성이 강한 황화수소 가스 누출이나 폭발이 일어나 공장과 인근 지역 인명을 위험에 빠뜨렸을 수도 있다는 것이다.“그 해커들은 끔찍한 루비콘강을 건넌 셈이다. 사이버안보 분야에서 고의로 직접 인명을 해치도록 설계된 악성 코드가 발견되기는 처음”이라고 이 매체는 말했다.

석유화학 공장 뿐 아니라 수송체계에서부터 물 처리 시설, 원자력발전소에 이르기까지 비상안전장치는 최후의 방어선인 점을 고려하면, 이들 시설에 대한 트리톤 공격의 성공 시 비극은 전율스럽다는 것이다.

사이버보안 전문가 줄리언 것머니스는 이 사건에 대해 “안전체계의 안전을 믿을 수 없게 됐음을 깨달았다”고 말했다.

미국과 이스라엘이 이란의 우라늄농축 시설을 파괴하는 해킹 공격에 사용한 스턱스넷이나 러시아 해커들이 우크라이나 발전시설을 공격하는 데 이용한 크래시오버라이드처럼 시설의 물리적 파괴를 목적으로 한 해킹프로그램이 없었던 것은 아니다.

그러나 트리톤은 대량 인명 피해를 노리는 `살인‘ 해킹 프로그램이라는 점에서 전례가 없는 것이다.

트리톤의 배후로 처음엔 사우디의 앙숙인 이란이 의심받았지만 지난해 10월 사이버보안 업체 파이어아이는 러시아를 지목했다.

MIT 리뷰는 “연구자들이 트리톤의 기원을 더 깊이 조사하고 있다”고 말했다.

사우디의 석유화학 공장은 트리톤의 공격으로 인한 첫 가동 중단 때는 기계적 결함 때문인 것으로 오인했다가 2번째 중단 때에야 해커 공격을 의심하게 됐다.

이 매체는 것머니스의 말을 인용, 트리톤 공격이 마지막이 아닐 것이라며 기업들이 다시 예방 점검에 나서야 한다고 강조했다.

연합뉴스