옥상 태양광 과다 설치 유럽의 위기…해커들에 전력망 노출

[아이티데일리] “해커 한 명이 결함이 발생한 태양광 패널 한 묶음만 발견해 침투하면 유럽의 전력망 안전을 위협할 수 있다.”

사이버 보안 컨설턴트 반젤리스 스티카스가 그 방법을 알아냈다며 블룸버그통신이 그를 만나 공유한 내용을 전했다. 스티카스는 그리스 테살로니키 자택에서 노트북과 스마트폰을 사용해 전 세계 태양광 패널의 방화벽을 우회해 전력망에 접근했다고 한다. 그가 침투한 전력망은 독일 전체를 통과하는 전력보다 더 많은 규모였다고.

회사의 소프트웨어 결함을 테스트하는 ‘화이트 해커’인 그는 에너지 제어 장치 내부로 들어가 장치를 끌 수 있었고, 전력망의 공급-수요 균형을 흔들 수 있었다. 그렇게 균형을 흔들면 전력망에 스트레스를 주어 안전장치 작동이 중단될 수 있다고 스티카스는 말했다.

옥상 태양광 발전의 기하급수적 성장은 전력망에 수백만 개의 연결을 추가, 해커가 악용할 수 있는 엄청난 취약성을 만들어낸다. 심각할 경우 유럽 대륙 전체에 걸쳐 연쇄적인 전력망 고장이 발생할 수 있다. 이러한 위험으로 인해 매년 사이버 공격에 대응하는 유틸리티 기관과 정부의 우려는 커지고 있다.

보안회사 아트로포스AI의 창업자이기도 한 스티카스는 "태양광 발전이 국가 인프라가 되어 보안을 강화하더라도 완전히 안전하지는 않다"라며 "이것이 해킹되면 유럽의 전력망 전체가 취약해질 것“이라고 지적했다.

IEA(국제에너지기구)에 따르면, 전 세계 유틸리티에 대한 주간 평균 사이버 공격 횟수는 2년 만에 두 배로 늘어나 약 1100건에 달했다. 디지털화가 진행됨에 따라 공격은 더 자주 발생하고 있다. 유럽연합은 작년에 에너지 인프라에 대한 200건 이상의 사이버 공격을 겪었고, 그 수는 최근 몇 년 동안 크게 증가했다.

적대적인 해킹은 탐욕(몸값 지불 또는 시장 조작)에서 테러리즘(국가를 암흑 속으로 몰아넣는 것)에 이르기까지 다양하다. 전쟁(우크라이나 전력 시스템에 대한 러시아의 사이버 공격)에서도 벌어진다. 일본에서 해커들은 태양광 발전으로 작동하는 모니터를 탈취해 은행 계좌에서 돈을 훔쳤다고 한다. 해커들의 그룹은 셀 수 없을 만큼 다양하다.

심각한 위협에 나토(NATO)까지 나섰다. 나토는 스웨덴에서 보안 훈련을 실시하여 태양광, 풍력 및 수력 발전 시스템의 취약점을 찾아 수정했다. 나토의 개입은 세계 최초였으며, 이는 우크라이나와 중동에서 전쟁이 격화되고 서방과 러시아, 중국 간의 관계가 깨지고 있는 상황에서 벌어졌다. 중국은 태양광 패널의 최대 생산국이다.

지난 6월에 열린 유럽연합의 사이버 유럽(Cyber ​​Europe) 훈련은 처음으로 에너지에 초점을 맞추었다. 여기에는 전력 분배 시스템 및 가스 저장 시설 운영자에 대한 국가 주도 위협에 대응하는 것이 포함되었다.

태양광 발전이 확산됨에 따라, 결함을 막는 사람들은 이를 악용하는 해커들에 필사적으로 대응하고 있다. 독일은 작년에 100만 개가 넘는 태양광 패널을 가정과 사업장에 연결했다. 이는 지난 6년을 합친 것보다 많은 수치다. IEA는 2030년까지 전 세계적으로 1억 가구가 옥상 태양광 패널로 에너지를 얻을 것으로 예측했다. 이는 현재의 4배다.

그러나 태양광 발전에는 잠재적인 위험이 도사리고 있다. 공급망 장비에 대한 압박으로 인해 일부 에너지 회사는 과거 거래한 적이 없는 알려지지 않은 제조업체와도 거래한다. 이들 제조업체 중 다수는 가격을 낮추기 위해 투자를 줄이고, 정교한 보호 소프트웨어를 설계하거나 도입하지 않는다. 유럽 최대 경제국이자 산업 중심지인 독일은 가치가 높은 타깃이다. 독일은 향후 10년 동안 탄소 배출량을 3분의 2로 줄이기 위해 청정 기술 부문에 수천억 달러의 예산을 책정했다.

연방 네트워크 규제 기관은 태양광 발전의 취약점이 ‘우려의 원인’이며 “이로 인한 위험이 커지고 있다"고 우려했다. 독일 최대의 전기 생산자인 RWE는 "최우선 정책 순위에 사이버 보안을 두고 있다"고 밝혔다.

영국은 재생 에너지, 특히 풍력의 보급률이 높다. 보안 제공업체인 캐스퍼스키랩에 따르면, 조사 대상 에너지 기업의 95% 이상이 작년에 사이버 공격으로 인해 심각한 혼란을 겪었다. 응답자들은 주요 위협이 스마트 기기에서 비롯되었다고 말했다.

유럽연합은 최근 몇 년 동안 사이버 보안을 강화하기 위해 여러 법률을 시행했다. 유럽위원회는 태양광 기기 보안을 강화하기 위한 새로운 규칙을 마련하고 있으며, 시행 후 최대 18개월의 유예 기간을 준다고 한다. 유럽연합은 해커의 10대 타깃 중 하나로 에너지를 꼽고 있다. 공급망이 특히 취약한 것으로 지적됐다.