해커 만든 안드로이드 어플로 항공기 조종...운항정보 교신시 보안인증 없어
  • 


  • ▲ 대통령 전용기로 사용하는 전세기. ⓒ연합뉴스
    ▲ 대통령 전용기로 사용하는 전세기. ⓒ연합뉴스


    운항 중인 비행기를 스마트폰 등으로 해킹해 납치하거나 추락하게 만들 수 있다?

    가능하다.
    11일(현지시각) 주요 외신들은 네델란드 암스테르담에서 열린 보안 컨퍼런스 <핵 인더 박스(hack in the box)>에서 독일 보안 전문가 <휴고 테소>가 가진 시연을 보도했다.

    <휴고 테소>의 말이다.

    “간단한 모바일 기기와 몇 가지 도구만 가지고도,
    비행 중인 비행기를 해킹할 수 있다.

    <ADS-B>와 <ACARS> 보안망이 인증 없이도 뚫을 수 있기 때문이다.”


    항공관제시스템인 <차세대 위치 탐지 시스템(ADS-B)>과
    항공기와 관제탑이 메시지를 교환할 때 쓰는 <항공정보교류시스템(ACARS)>이 문제였다.

    <ADS-B>는 레이더와 비슷하지만 인공위성을 이용한다.
    정밀도가 높아 안전하고 효율적인 항공관제가 가능하다.
    산악지대나 레이더로 감시할 수 없는 곳에서 활용하기 좋다.

    <ADS-B>는 항공기 신호를 관제사뿐만 아니라 다른 항공기에도 동시에 보낸다.

    <휴고 테소>는 이번 시연에서 스마트 폰으로 <ACARS>를 해킹해 메시지를 도청하고, <ADS-B> 정보를 조작해 비행기를 통제했다.

    <휴고 테소>는 직접 개발한 안드로이드용 애플리케이션 <플레인스 플로잇(Planes ploit)>으로
    비행기 방향과 속도, 고도는 물론 기내 시스템까지 마음대로 조작할 수 있다는 걸 보여줬다.

    <플레인스플로잇>을 악용한다면 비행기 충돌 사고까지 만들어 낼 수 있었다.

    이 같은 지적은 처음이 아니다.

    2012년 7월 미국 라스베이거스에서 열린 보안 컨퍼런스 <블랙햇 컨퍼런스>에서도
    컴퓨터 과학자 <안드레이 코스틴 박사>가 같은 주장을 했었다.

    “해커들이 <ADS-B>에 접근해 관제시스템을 교란할 수 있다.
    <ADS-B>는 실제 누가 메시지를 보냈는지 인증하는 작업을 거치지 않는,
    심각한 결함이 있다.”


    2012년 8월 열린 <데프콘 해킹 컨퍼런스>에서도,
    컴퓨터 컨설턴트인 <브래드 헤인즈>가 같은 지적을 했다.
    

    “항공기는 <ADS-B>를 이용해 신원과 위치를 파악하는 무선 신호를 보내는데,
    신호가 암호화되지 않는데다 인증과정이 없다.”


  • ▲ 공항에서 이륙하는 아시아나 항공 여객기. 국내 여객기도 해킹에 취약하다는 게 문제다.ⓒ연합뉴스
    ▲ 공항에서 이륙하는 아시아나 항공 여객기. 국내 여객기도 해킹에 취약하다는 게 문제다.ⓒ연합뉴스


    해외에서는 이런 항공관제시스템의 위험성이 부각되고 있지만,
    국내에서는 별 다른 [위기의식]을 못 느끼는 모양새다.

    2010년 우리나라에서도 <ACARS>가 해킹당해
    대통령 전용기인 <공군 1호기>의 위치-출발지-목적지 등이
    해외 웹사이트에 실시간으로 노출된 적이 있었다.
     
    이런 [사고]가 있었음에도 2010년 10월 <국토해양부>는,
    2014년까지 86억 원을 들여 <ADS-B> 시스템을 [독자개발]하겠다고 나섰다.
    물론 [인증 시스템]은 없는 것으로 알려져 있다.

    이처럼 [초대형 테러]로 이어질 수도 있는 [항공운항시스템의 보안 허점]에
    해외 보안업계는 [발 빠른 대처]를 하고 있는 반면,
    우리 정부는 [안이한 태도]를 보이는 듯 하자 비판의 목소리도 높아지고 있다.

    특히 스마트폰을 이용한 [항공기 해킹]을 2010년에 당해 놓고도
    우리나라 정부 부처들이 별다른 반응을 내놓지 않는다는 점에 대한 비판이 높다.

    지난 4월 10일 <3.20 사이버 공격>에 대한 브리핑 도중
    <한국인터넷진흥원> 전길수 단장이 한 말이다.

    “해킹을 막는 방법 중 하나가 보안에 취약한 부분을 빨리 찾아내 보완하는 것이다.”


    그러나 우리 정부의 움직임은 보안업계의 기대와는 다르다. 

    정부는 지난 <3.20 사이버 공격>이 북한 <정찰총국>의 소행으로 밝혀졌음에도
    교통, 에너지, 통신 등 [인프라] 전반의 보안 문제를 점검하기보다,
    “청와대 국가안보실이 사이버 안보를 총괄한다”는 두루뭉술한 [대책]만 내놓았다.