전력망 사이버 보안
2015년 우크라이나 정전부터 2020년대 공급망 공격까지, 전력 인프라를 노린 사이버 위협은 한 세대 만에 형태와 규모를 모두 바꿨다. 폐쇄망이라는 전제가 무너진 자리에서 신재생 통합·원격 제어·인공지능 공격이 새로운 위협 표면을 열고 있다.
전력망은 오랫동안 "폐쇄망이라 안전하다"는 가정 위에 운영되어 왔다. 이 가정이 명확히 깨지기 시작한 시점이 2010년대 중반이다. 단순한 정보 유출이 아니라, 발전·송전·배전 설비를 직접 조작해 전기 공급을 끊는 공격이 실제로 일어났다. 같은 시기에 공급망(supply chain)을 거꾸로 타고 들어와 수만 곳을 동시에 감염시키는 신종 공격도 등장했다. 두 사례를 먼저 살펴본다.
2015년 12월 23일, 우크라이나의 세 개 배전회사가 동시에 사이버 공격을 받았다. 가장 큰 피해를 입은 곳은 이바노프란콥스크 지역을 담당하는 프리카르파탸오블레네르고로, 변전소 30곳(110 kV 7곳, 35 kV 23곳)이 차단되면서 약 23만 명이 1~6시간 동안 전기를 쓰지 못했다. 침투 경로와 공격 단계가 비교적 잘 정리되어 있어, 전력망 사이버 공격의 표준적 형태를 보여주는 사례로 자주 인용된다.
침투의 출발점은 스피어 피싱(spear phishing) 메일이었다. 헌법재판소 출두 요구서나 코로나 관련 공지처럼, 받는 사람이 열어보지 않을 수 없는 문서로 위장한 첨부파일을 전력회사 직원들에게 보냈다. 직원이 첨부파일을 실행하는 순간 본사 PC가 감염된다. 이때 사용된 악성 프로그램이 블랙에너지 3(BlackEnergy 3)이다.
피싱(phishing). 영어 fishing(낚시)에서 따온 말이다. 미끼를 단단히 매단 가짜 메일을 호수에 던져 두고, 누군가 한 명이라도 물기를 기다린다. 23만 명을 정전시킨 공격도 첫걸음은 메일 한 통이었다.
최근 악성코드는 단순히 "감염된 뒤 자기 일을 하는" 수준에 머무르지 않는다. 분석 대응을 회피하기 위한 진화된 기능을 갖춘다. 블랙에너지 3가 보여준 회피 기법은 대략 이런 식이다.
가상 환경 회피. 시험관에 갇혔다는 사실을 눈치챈 미생물이 일부러 활동을 멈추는 셈이다. 실험실에서는 아무 일도 안 하는 무해한 코드처럼 보이지만, 실제 운영 환경에 풀어놓는 순간 본색을 드러낸다.
본사 PC에 자리잡은 악성코드는 외부 명령제어(C&C) 서버와 연결되어 추가 공격을 수행한다. 대표적인 후속 행위가 마스터 부트 레코드(MBR, Master Boot Record) 파괴다. MBR은 하드디스크에서 어떤 데이터가 어디에 있는지 알려주는 첫 번째 페이지에 해당하는 영역이다. 이걸 지우면 부팅 자체가 안 되고, 복구 자체가 어려워진다. 동시에 파일을 변조하고 백도어(backdoor, 뒷문)를 심어둔다.
MBR 파괴. 두꺼운 책의 목차 페이지를 통째로 찢어버리는 일과 같다. 책장 안에 글이 그대로 남아 있어도 어디서 무엇을 찾아야 할지 알 수 없으니, 사실상 책 전체가 죽은 것이나 다름없다.
여기까지는 본사 사무망 안의 사건이다. 송배전망(OT, Operational Technology)으로 직접 통하는 통로는 아직 열려 있지 않다. 공격자가 다음 단계에서 한 일은 본사 시스템에 저장된 운영자 계정 정보를 탈취하는 것이었다. 이 자격증명으로 변전소 원격 관리 시스템에 정상적인 사용자처럼 접속했고, 변전소에 직접 접근해 악성 펌웨어(malicious firmware)를 설치했다. 변전소 설비는 원격에서 펌웨어를 갱신할 수 있도록 만들어져 있었기 때문에, 정상 절차의 권한만 가지면 펌웨어 교체가 자유로웠다.
이 악성 펌웨어는 두 가지 일을 했다. 첫째, 변전소를 원격에서 더 이상 제어할 수 없게 만들었다. 둘째, 복구 절차 자체를 중단시켰다. 그다음에는 변전소 차단기를 일제히 열어 정전을 일으켰다. 거기에서 끝나지 않았다. 정전을 겪은 가정이 고객센터로 신고 전화를 걸 것이 분명했기에, 공격자는 분산 서비스 거부(DDoS, Distributed Denial of Service) 공격으로 고객센터 전화망까지 마비시켰다.
다행히 정전 자체는 최대 6시간 만에 복구됐다. 운영자들이 수동으로 변전소를 돌렸기 때문이다. 그러나 만일 복구가 더 늦었다면 한겨울에 230,000명의 안전이 위협받는 상황이었다. 이 사건이 의미하는 바는 분명하다. 폐쇄망이라는 전제는 깨졌고, 사무망에서 출발한 공격이 운영망까지 도달하는 시나리오가 실제로 작동했다.
2020년 말 드러난 SolarWinds 사건은 다른 의미에서 충격을 줬다. 공격자가 표적 기업을 직접 뚫지 않고, 그 기업이 사용하는 네트워크 관리 소프트웨어 제조사를 뚫는 방식이었기 때문이다. SolarWinds는 18,000여 곳에 이르는 정부기관·대기업 고객의 네트워크와 시스템을 관리하던 회사다. 한국의 시스템통합(SI) 업체에 비유할 수 있다.
공격자는 SolarWinds의 개발 서버에 침투했다. 그리고 정상 빌드 과정 안에 백도어가 들어간 소스 코드를 끼워 넣었다. 일반적으로 우리가 어떤 프로그램을 설치할 때 "이 프로그램의 게시자는 신뢰하는 인증된 게시자입니다"라는 메시지를 보고 안심하는 이유는, 그 소프트웨어가 제조사의 키로 디지털 서명되어 있기 때문이다. 그런데 SolarWinds 사건에서는 서명이 이뤄지기 이전 단계에서 코드가 이미 오염됐다. 제조사 입장에서는 평소처럼 자기 키로 서명해 배포했을 뿐인데, 그 안에 이미 백도어가 들어 있었다.
공급망 공격(supply chain attack). 신뢰하는 제조사 공장의 컨베이어 벨트 위에 트로이 목마가 미리 올라타 있는 셈이다. 출고 검사는 정상이고, 박스 봉인도 멀쩡하다. 소비자는 정품임을 의심할 이유가 없으니 그대로 설치한다.
피해 규모는 통상적인 보안 사건과 자릿수가 다르다. 18,000여 고객이 백도어 포함 업데이트를 자동으로 내려받아 설치했고, 그중 미국 재무부·국토안보부·에너지부·국가핵안보국 등 핵심 부처와 마이크로소프트를 포함한 다수 민간 기업이 실제 후속 공격에 노출된 것으로 확인됐다. 정리·복구에 소요되는 총비용에 대해 미국 정치권과 보안 업계는 최대 약 1,000억 달러 규모로 추산하기도 했다(이 수치는 보수적 추산보다 상당히 큰 상한선에 가깝다). 한 가지 분명한 점은, 표적 기업의 보안 수준이 아무리 높아도 그들이 신뢰하는 제3자 소프트웨어가 오염되면 방어선이 의미를 잃는다는 것이다.
2000년 이후 전 세계에서 알려진 주요 에너지·전력 인프라 침해 사건을 시간순으로 정리해 보면, 공격이 점점 더 특화·정교화되어 왔음이 한눈에 드러난다.
오하이오주에 있는 데이비스-베시 원전의 안전 파라미터 표시 시스템과 공정 컴퓨터가 약 5시간 동안 작동을 멈췄다. 발전소는 사고 당시 정지 중이라 직접적인 안전 위협은 없었다. 감염 경로는 폐쇄망이 뚫린 게 아니라, 도급 업체 직원이 인터넷에 연결된 노트북을 발전소 네트워크에 꽂은 데서 시작됐다. "물리적으로 분리"라는 가정의 첫 번째 균열이었다.
감염된 USB를 통해 폐쇄망 안으로 들어간 뒤, 지멘스(Siemens) PLC를 조작해 우라늄 농축용 원심분리기를 정상 회전 속도 바깥에서 가동시켜 물리적으로 파괴했다. 산업 제어 시스템을 직접 노린 최초의 본격적 사이버 무기로 평가된다. 이 사건 이후 "사이버로도 물리 인프라를 부술 수 있다"는 사실이 국제 공인이 됐다.
유럽·북미 에너지 기업을 노린 정보 수집형 악성코드. ICS 제어 소프트웨어 공급사 웹사이트를 변조해 정상 설치 파일에 악성코드를 끼워넣는 방식이 사용됐다. 공급망 공격의 초기 형태로 볼 수 있다.
앞서 살펴본 사례. 사이버 공격이 실제 가정에 정전을 일으킨 최초의 사례로 기록됐다.
송전 변전소를 직접 목표로 한 두 번째 우크라이나 정전. 사람이 변전소 인터페이스를 조작하지 않고도, 악성코드가 IEC 101/104·IEC 61850 등 전력망 표준 통신 프로토콜로 직접 차단기 명령을 내릴 수 있도록 설계됐다. 본격적인 "전력망 프로토콜 네이티브" 공격 도구의 등장이다.
앞서 살펴본 사례. 직접 표적 침투에서 신뢰 사슬 자체를 노리는 모델로의 전환.
러시아 침공 직후 우크라이나 전력망 변전소를 다시 노린 변종. 차단되긴 했지만, 같은 도구가 지속적으로 갱신·재투입되고 있음을 보여줬다.
맨디언트(Mandiant)가 2023년 5월 공개한 산업제어 악성코드. 표본 자체는 2021년 12월에 공개 멀웨어 분석 사이트에 업로드된 것이고, 러시아 보안업체의 레드팀(red team) 훈련용으로 제작됐을 가능성이 제기됐다. IEC 60870-5-104를 통해 RTU·차단기 ON/OFF 명령을 직접 내릴 수 있는 능력을 갖췄다. "전력망 정전을 자동화하는 도구"의 한 형태가 훈련용으로라도 존재한다는 의미다.
이 흐름을 한 줄로 요약하면 이렇다. 2000년대 초반에는 일반 악성코드가 "어쩌다 폐쇄망에 들어가" 발전소를 멈춘 사건이 있었다. 2010년대 중반부터는 전력망 자체를 처음부터 노리고 만든 전용 도구가 잇따라 등장했다. 그리고 2020년대에는 공급망과 신뢰 사슬을 비틀어 한꺼번에 만 단위 표적을 감염시키는 모델이 자리잡았다.
사례들을 모아 놓고 보면 전력망 사이버 공격의 진화는 몇 가지 축으로 정리된다.
2010년 이전의 침해 사건에서 사용된 도구는 대체로 범용 악성코드였다. 슬래머 웜이 데이비스-베시 원전 컴퓨터에 들어간 것은 발전소를 노렸기 때문이 아니라, 그 시점에 인터넷 전역을 빠르게 감염시키던 도구가 우연히 들어갔을 뿐이다. 2010년대 중반 이후의 도구는 다르다. 전력망 통신 프로토콜(IEC 61850, IEC 60870-5-104, DNP3 등)을 처음부터 이해하고, 변전소 RTU·IED에 직접 명령을 내리도록 설계된다. 인더스트로이어, 인더스트로이어 2, 코스믹에너지가 그 계보다.
또한 도구는 분석을 회피하는 방향으로 꾸준히 진화한다. 가상 환경 회피, 코드 난독화, 시점 지연 실행, 다단계 페이로드 분리 같은 기법이 표준 기능처럼 탑재된다.
한 번에 변전소가 마비되는 일은 거의 없다. 실제 공격은 다음과 같은 여러 단계를 거친다.
각 단계는 며칠에서 수개월씩 걸린다. 한 단계만 차단해도 전체 공격은 멈춘다. 이는 곧 방어자에게도 다층 방어 전략(defense in depth)이 가능하다는 뜻이지만, 동시에 단계별 탐지가 모두 작동해야 한다는 부담을 의미한다.
전력 설비가 지난 10년 사이 가장 크게 바뀐 점은 원격 관리 비중이다. 변전소·풍력 발전기·태양광 인버터·에너지저장장치(ESS, Energy Storage System)의 수가 늘어나면서, 사람이 한 대 한 대 찾아가 점검·제어하는 모델은 더 이상 성립하지 않는다. 자연스럽게 대다수 설비가 사내망·인터넷·이동통신망을 통해 원격 접속 가능하도록 구성된다.
문제는 이 원격 접속 경로가 곧 공격 경로가 된다는 점이다. 수많은 기기가 각기 다른 제조사의 펌웨어·운영체제를 쓰기 때문에, 알려지지 않은 취약점(0-day)이 어디에 숨어 있을지 가늠하기 어렵다.
최근 사건에서 확인되는 또 다른 특징은 장기 잠복이다. 침투 직후 즉시 행동하는 공격자도 있지만, 3~5년, 길게는 10년 가까이 별다른 활동 없이 표적 네트워크 안에 머무는 행위자도 알려져 있다. 외부에서 보면 "잡혔는데 피해가 없는" 상태인데, 실제로는 충분한 정보 수집이나 결정적 타이밍을 기다리는 중일 수 있다. 한국에서도 2025년 SK텔레콤 침해 사건이 수년에 걸친 잠복 끝에 드러난 것으로 보도된 바 있다.
공격을 가능하게 하는 진입 장벽도 빠르게 낮아지고 있다. 첫째, 대규모 언어 모델(LLM, Large Language Model)을 우회적으로 활용해 공격 코드 일부를 생성하는 사례가 늘었다. 둘째, 과거에 실제 공격에 사용됐던 도구가 사건 종료 후 공개 코드 저장소에 통째로 올라오는 경우가 잦다. 미라이(Mirai) 봇넷의 소스 코드 공개, 인터넷 마비를 일으켰던 도구들의 깃허브 공개 등이 대표적이다. 결과적으로, 과거에는 국가 수준의 행위자만 다룰 수 있던 도구가 지금은 광범위하게 재활용된다.
배전망 자체만 떼어 놓고 "배전 보안"을 말하기는 어렵다. 지금 배전망에서 새롭게 부상하는 문제의 핵심은, 분산형 에너지 자원(DER, Distributed Energy Resources)을 통합하면서 생기는 위협 표면이다. 다섯 가지 축으로 정리할 수 있다.
기존 전력망은 대규모 발전소 → 송전망 → 배전망 → 소비자로 이어지는 중앙 집중 구조다. 신호와 전력의 방향이 한쪽이고, 외부와의 연결도 제한적이다. 신재생 기반 시스템은 다르다. 수십 kW 규모의 태양광 인버터와 ESS가 수십만 곳에 분산되어 있고, 이들 각각이 상태 보고와 제어 명령을 주고받는 양방향 통신을 전제로 한다. 더 많은 지점, 더 많은 제조사, 더 많은 통신 채널은 곧 더 많은 잠재적 취약점을 의미한다.
원격 제어 비중이 커질수록 통신 채널의 안정성과 무결성이 전체 시스템의 안전을 좌우한다. 인버터가 인터넷에 직접 연결되거나, 이동통신망(LTE 등)을 거쳐 사업자 서버에 보고를 올린다면, 그 경로 어딘가가 새로운 침투 경로가 된다. 특히 20 MW 규모 이상 단지에서는 사람이 일일이 다니며 점검하기 어렵기 때문에 무선 접속이 사실상 기본값이다.
기존 전력망의 통신 프로토콜은 폐쇄망을 전제로 설계됐기 때문에 보안 기능이 거의 없다. 신재생망은 반대로 다양한 민간 사업자가 들어오는 개방적 환경이라 검증이 어렵다. 두 환경이 결합하는 경계에서 호환성 문제가 발생하면, 운영 연속성을 우선해야 하는 현장에서는 보안 정책을 일부 양보하는 선택이 잦다.
신재생 출력은 본질적으로 변동성이 크고 예측이 어렵다. 따라서 수십 ms 단위로 인버터 출력을 조정하고, 주파수·전압을 즉시 보정하는 실시간 제어가 필수다. 이 제어 통로가 공격받으면 결과는 단순한 정보 유출이 아니라 주파수 안정성 붕괴, 광역 정전(blackout)으로 이어질 수 있다.
이 항목이 보안 관점에서 가장 본질적이다. 옥상 태양광이나 V2G(Vehicle-to-Grid, 전기차-전력망 연계) 등을 통해 일반 가정·중소 사업장이 소비자이자 동시에 공급자가 된다. 외부 참여자의 수가 폭증한다는 뜻이고, 인증되지 않은 장치와 사용자가 전력망 가장자리에 합류한다는 뜻이다.
핵심 가정의 전환. 옥상에 설치된 태양광 인버터는, 보안 관점에서 신뢰할 수 없는 대상으로 가정해야 한다. 검증·관리되지 않은 단말이 전력망에 붙어 있다는 것 자체가 위협이다. 이는 기존 IT 보안 원칙인 제로 트러스트(zero trust)가 전력망 가장자리에서도 적용되어야 한다는 뜻이다.
위 5가지 변화가 진행되는 동안, 보안 기준은 따라가지 못했다. 통합 환경에서는 IEEE 1815(DNP3 보안 확장)나 IEEE 2030.5 같은 새로운 프레임워크가 필요하지만, 실제 배전망 현장에 도입·검증하는 데는 상당한 시간과 비용이 든다.
전력망 안에서 정보 교환이 실제 어떻게 이뤄지는지를 알면, 왜 보안 적용이 어려운지를 정확하게 이해할 수 있다. 국제전기기술위원회(IEC, International Electrotechnical Commission)의 TC57 위원회가 정의한 주요 데이터 전송 프로토콜 3가지(DNP3, ICCP, IEC 61850)와, 신재생 통합 전용 프로토콜인 IEEE 2030.5를 차례로 살펴본다.
스카다(SCADA, Supervisory Control And Data Acquisition) 마스터와 원격 단말 장치(RTU, Remote Terminal Unit) 또는 지능형 전자 장치(IED, Intelligent Electronic Device) 사이의 통신을 위해 만들어진 프로토콜이다. 에너지·수도 분야에서 가장 널리 쓰인다. 구조는 단순한 마스터–슬레이브(master–slave) 요청·응답 모델이다.
유저 레이어에는 측정값(전압·전류·전력)이 담기고, 애플리케이션 레이어에는 "어느 레지스터를 읽어라", "쓰겠다", "애플리케이션을 시작/중지하라" 같은 펑션 코드(function code)가 들어간다. 즉, 읽기·쓰기·제어가 모두 한 프로토콜로 가능하다는 뜻이다. 그러나 이 프로토콜 스택 안에는 보안 기능이 전혀 없다. 만일 누군가 중간에서 DNP3 트래픽을 들여다본다면, 어떤 일이 일어나는지 그대로 보일 뿐 아니라 임의의 제어 명령을 끼워 넣는 일도 막을 수가 없다.
IEEE 1815의 6.2.3.5.1절(보안 인증, DNP3-SA)은 이 한계를 보완하기 위해 마련됐다. 전송계층보안(TLS, Transport Layer Security) 1.2 이상 또는 가상사설망(VPN, Virtual Private Network)과 조합해 암호화·무결성을 보장하고, 사전 공유키 기반의 챌린지-리스폰스(challenge-response) 인증을 권장한다. 역할 기반 접근 제어(RBAC, Role-Based Access Control)와 키 관리 시스템(DKMP)도 함께 정의되어 있다.
보안 없는 DNP3. 사내 게시판에 누구나 들여다볼 수 있는 메모지로 결재 사항을 주고받는 것과 같다. 내용을 도용해 거짓 결재 지시를 끼워 넣어도 시스템이 알아채지 못한다. TLS와 PKI(공개키 기반구조, Public Key Infrastructure)는 이 메모지를 봉인된 등기우편처럼 다루도록 만드는 도구다.
광역 전력망에서 서로 다른 통제 센터 간에 전력 측정·상태·제어 정보를 교환하기 위한 프로토콜이다. 서버–클라이언트 구조이며, 기본 동작은 역시 요청·응답이다. 자체 표준에는 보안 기능이 없으며, DNP3와 마찬가지로 TLS·VPN과 조합해 사용하라는 가이드라인만 외부 명세에 달려 있다.
변전소 안의 보호계전기·IED 사이 통신을 위한 표준. 이더넷 기반의 GOOSE·MMS 메시지가 핵심이며, 일부 구현에서는 IP/TCP 위에 클라이언트–서버 애플리케이션으로 동작한다. 형태는 같다. 요청·응답 구조이며, 표준 자체는 인증과 보안성을 고려하지 않는다.
요구사항은 PKI 기반 인증서로 통신 상대를 확인하고, 인증서 폐기 목록을 관리하며, 화이트리스트/블랙리스트 기반 접근 제어를 적용하는 것이다. 그러나 변전소 내 IED는 자원이 한정된 임베디드 장치인 경우가 많아, PKI 기반 비대칭 키 연산의 부하를 그대로 감당하기 어렵다.
지금 정리되는 그림. DNP3·ICCP·IEC 61850은 모두 같은 한계를 공유한다. 프로토콜 자체에는 보안이 없다. 보안은 항상 외부에서 TLS·PKI·VPN으로 입혀야 하고, 그 입히는 비용을 누가 부담할 것인지가 현장의 가장 큰 논쟁거리가 된다.
앞의 셋과 결이 다른 프로토콜이다. 전제부터가 "모든 전력 기기는 사물인터넷(IoT, Internet of Things) 단말로 본다"는 것이다. 우리가 웹브라우저로 사이트에 접속할 때 HTTPS를 쓰듯, 인버터·ESS도 HTTP/HTTPS 위에서 통신하도록 설계됐다.
핵심 사양은 다음과 같다. ① 통신은 TLS 1.2 위에서 이뤄진다. ② 모든 장치는 PKI 기반 인증서로 본인 확인을 받는다(루트 인증기관(CA, Certificate Authority) – 제조사 CA – 장치 인증서의 3계층). ③ 인증서에 담긴 역할에 따라 접근 권한이 결정된다.
미국 캘리포니아주는 2018년 발효된 Rule 21을 통해 캘리포니아에서 운영되는 모든 신규 DER이 IEEE 2030.5(CSIP 프로파일)를 지원하도록 의무화했다. 사실상 캘리포니아에 진출하려면 이 표준을 통과해야 한다는 뜻이다.
IEEE 2030.5는 출발선부터 보안을 내장한 첫 전력망 프로토콜이라는 점에서 의미가 크지만, 운영상의 마찰도 함께 만들고 있다. 일부 중국·한국 인버터 제조사가 IEEE 2030.5 인증 요건이 까다롭다는 이유로 캘리포니아 수출을 포기하는 사례가 보고된다. 표준의 강제력이 시장의 자발적 채택을 끌어내는 동시에, 일정 규모의 기업만이 그 비용을 감당할 수 있는 구조를 만든다.
여기서 한 발 더 들어갈 필요가 있다. TLS 1.3이 2018년 8월에 정식 발표됐는데, 비슷한 시기에 발표된 IEEE 2030.5-2018은 TLS 1.2를 채택했다. 시점이 몇 달 차이밖에 나지 않아 1.3을 반영하지 못했다. 표준이 한 번 박히면 시장은 그 위에서 굳는다. 이런 식의 미세한 시차도 보안 기준의 노후화에 기여한다.
더 본질적인 문제는 따로 있다. TLS·PKI는 기본적으로 종단 간(end-to-end) 신뢰를 전제로 한다. 통신하는 양쪽 단말이 신뢰할 수 있고, 위협은 중간에서 도청·변조하는 행위자(중간자 공격, man-in-the-middle)라고 본다. 이 모델에서 TLS·PKI는 매우 강력하다.
그러나 신재생 통합 환경에서는 단말 자체가 신뢰의 대상이 아니다. 옥상에 설치된 외국산 인버터의 펌웨어 안에 백도어가 들어 있다면, 그 인버터가 TLS로 정상 인증을 통과해 데이터를 보내든 말든 위협은 그대로 남는다. 통신은 암호화되어 있지만, 보내는 사람 자체가 적이다.
| 가정 | 유효한 방어 |
|---|---|
| 양 단말이 신뢰 가능 | TLS·PKI로 중간자 공격을 차단하고 무결성을 보장 |
| 단말 신뢰 불가 (백도어·내부자 등) | 중간 또는 후단에서 이상 행위 탐지(IDS·이상치 검출)가 필수 |
TLS·PKI는 "기반"이지 "해결책"이 아니다. 보안 실무의 표현을 빌리면, 이미 털렸을 때를 대비한 최소한의 요구 사항이다. 실제 침해 사건들이 보여주는 양상은 일관된다. 침투 자체는 TLS·PKI 영역 바깥에서 일어난다. 피싱, 자격증명 탈취, 공급망 오염, 백도어 인버터 등이 그것이다. 그러므로 보안 전략은 "단말을 어디까지 신뢰할 수 있는가"라는 질문 위에 세워져야 한다.
"단말이 신뢰할 수 없다"라는 가정을 받아들이고 나면, 자연스럽게 다음 질문이 따라온다. 그러면 어떻게 침입을 잡아낼 것인가. 한 가지 답이 행위 기반 탐지다. 통신 자체를 막거나 인증을 강화하는 것이 아니라, "지금 이 시스템이 평소와 같은 방식으로 동작하고 있는가"를 관찰해 비정상을 잡아낸다.
기존의 침입 탐지는 대부분 시그니처(signature) 기반이다. 알려진 공격 패턴을 규칙으로 등록해두고, 그 패턴에 맞는 트래픽이 감지되면 위협으로 처리한다. 정확도가 높고 구현이 단순하다는 장점이 있지만, 알려지지 않은 공격은 탐지할 수 없다는 결정적 약점이 있다. 새로운 공격이 등장할 때마다 원인을 분석해 규칙을 만들고, 모든 탐지 장치에 배포해야 한다.
시그니처 탐지 vs 이상 행위 탐지. 코로나19 검역에서 "발열·기침이 있으면 의심"이라는 체크리스트가 시그니처 탐지에 해당한다. 무증상 감염자는 이 검사로 잡히지 않는다. 반대로, 매일 보는 가족 얼굴이 평소와 미묘하게 달라 보일 때 "무슨 일 있어?"라고 묻는 직관이 이상 행위 탐지다. 정확히 무엇이 다른지 설명하기는 어렵지만, 평소와의 차이를 알아챈다.
이상 기반 탐지(anomaly-based detection)는 "정상이 어떤 모습인지"를 먼저 학습한 뒤, 정상에서 벗어난 모든 행위를 의심한다. 알려지지 않은 공격까지 잡아낼 수 있다는 큰 장점이 있는 반면, 오탐(false positive)이 많다는 단점이 따른다. 이 오탐을 얼마나 줄이느냐가 실용성의 관건이다.
인공지능(AI)은 이상 기반 탐지의 성능을 끌어올리는 가장 자연스러운 도구다. 정상 행위의 분포를 학습 데이터로 삼고, 분류기는 정상과 비정상을 가르는 판단기로 활용된다. AI를 보안에 도입해야 할 이유는 세 가지로 정리할 수 있다.
다크트레이스(Darktrace), 크라우드스트라이크(CrowdStrike) 같은 대표적 솔루션이 보여주는 흐름은 비슷하다.
이러한 흐름은 단순히 "AI를 보안에 추가"하는 차원이 아니다. 보안 운영의 패러다임이 사람이 규칙을 만들고 알람을 확인하는 모델에서, AI가 정상을 학습하고 사람은 의사결정만 검토하는 모델로 이동하고 있다는 의미다.
지금까지 본 그림을 추리면 이렇게 된다.
한국의 전력망은 아직 폐쇄망 비중이 높고, 분산 자원의 절대 규모도 캘리포니아 같은 시장에 비하면 작다. 그렇다고 안전한 것은 아니다. 우크라이나·미국의 사례는 모두 "여기는 안 그럴 것"이라는 가정 위에서 일어났다. 신재생 보급률이 빠르게 늘고 있고, V2G·옥상 태양광이 일반 가정에 들어오기 시작했으며, 통신 모듈은 상당수 외부 부품이다. 위협이 본격적으로 도래하기 전에 단말 검증 체계·통신 보안·이상 행위 탐지의 세 축을 균형 있게 준비하는 것이 지금 단계에서 가장 비용 효율적인 선택이다.