랜섬웨어로 시스템이 마비된 유럽 주요 공항/AI 생성 이미지
9월 19일 밤 유럽 주요 공항을 강타한 사이버 공격이 현대 항공 시스템의 구조적 취약점을 적나라하게 드러냈다. 공항이나 항공사가 아닌 핵심 IT 서비스 공급업체를 겨냥한 이번 공격은 글로벌 공급망의 '단일 실패 지점', 즉 한 곳만 무너지면 전체 시스템이 마비되는 취약점이 국경을 초월한 대규모 마비를 초래할 수 있음을 입증했다.
유럽연합 사이버보안국(ENISA, European Union Agency for Cybersecurity)은 22일 런던 히드로, 브뤼셀, 베를린 브란덴부르크 등 유럽 핵심 관문 공항들의 동시다발적 운영 장애가 제3자를 통한 랜섬웨어 공격, 즉 컴퓨터 시스템을 암호화해 사용 불가능하게 만든 뒤 돈을 요구하는 악성 프로그램 공격에 의한 것임을 공식 확인했다. 공격 대상은 콜린스 에어로스페이스(Collins Aerospace)가 다수의 국제 공항에 제공하는 뮤즈(MUSE, Multi-User System Environment) 소프트웨어로, 승객 셀프 체크인과 탑승권 발권, 수하물 처리 등 공항 운영의 핵심 기능을 담당하는 시스템이다.
이번 사태로 영향을 받은 공항들은 전면적인 "수동 프로세스", 즉 컴퓨터 시스템 없이 사람의 손으로 직접 업무를 처리하는 방식으로 급히 전환해야 했다. 공항 직원들은 탑승권을 손으로 작성하고 승객을 수동으로 체크인시키는 등 비상 절차를 가동했으며, 이로 인해 대규모 지연과 혼란이 발생했다. 브뤼셀 공항에서는 최소 10편의 항공편이 취소되고 17편이 한 시간 이상 지연되는 등 심각한 운영 차질을 겪었다.
항공 산업 전문가들은 뮤즈(MUSE) 플랫폼의 광범위한 사용이 "항공 산업에서 가장 위험한 단일 실패 지점(Single Point of Failure)", 즉 한 곳이 고장 나면 전체 시스템이 작동하지 않는 치명적 약점을 형성했다고 지적한다. 시스템 교란 시 그 영향이 단일 항공사에 국한되지 않고 여러 국가의 다수 공항으로 기하급수적으로 증폭되는 도미노 효과를 야기했다는 것이다. 공격자는 특정 공항의 방어선을 일일이 뚫을 필요 없이 공급망 상류의 단일 벤더, 즉 소프트웨어 공급업체만 표적으로 삼아 국경을 초월하는 광범위한 마비 효과를 극대화하는 데 성공했다.
사건 발생 후 수일이 지난 22일에도 런던 히드로, 브뤼셀, 베를린 공항에서는 영향이 지속되었으며, 브뤼셀 공항은 승객들에게 항공편 상태를 확인하고 온라인 체크인을 권고하는 메시지를 지속적으로 게시했다. 이는 핵심 IT 시스템의 복구에 시간이 걸렸을 뿐만 아니라 사건의 파급 효과가 항공 스케줄 전반에 걸쳐 길게 이어졌음을 보여준다.
이번 공격은 제3자 벤더, 즉 외부 공급업체 관리가 미흡할 경우 발생하는 치명적인 결과를 입증했다. 공항 운영 주체들은 미션 크리티컬 시스템, 즉 업무 수행에 절대적으로 필요한 핵심 시스템을 제공하는 벤더에 대해 엄격한 사이버 보안 실사와 지속적인 모니터링을 수행하고 강력한 보안 조항을 포함하는 서비스 수준 협약(SLA, Service Level Agreement)을 체결해야 함에도 불구하고, 현재 항공 및 운송 물류 산업에서는 제3자 위험 및 비즈니스 연속성 관리의 성숙도가 낮게 평가된다.
항공 인프라의 사이버 방어는 단순히 IT 시스템, 즉 정보 기술 시스템에 국한되지 않는다. 많은 공항 및 항공 교통 관제(ATC, Air Traffic Control) 시스템은 여전히 노후화된 인프라와 레거시 소프트웨어, 즉 오래된 구형 소프트웨어에 의존하고 있어 현대적인 암호화나 접근 통제 같은 기본적인 사이버 보안 기능이 부족하다. 공항 업계 리더들 중 90%가 레거시 시스템 업그레이드를 상업적 우선순위로 간주하고 있다는 사실은 이 문제의 심각성을 방증한다.
더 나아가 항공 분야는 정보 기술(IT)과 운영 기술(OT, Operational Technology), 즉 관제, 수하물 처리 등 물리적 시스템을 제어하는 기술의 융합이 가속화되고 있다. 이 IT-OT 융합 환경에서는 IT 시스템의 침해가 물리적 세계를 제어하는 OT 시스템으로 확산될 위험성이 크게 높아진다. 다행히 이번 유럽 공격은 승객 처리 IT 시스템에 집중되었으나, 항공 교통 관제(ATM, Air Traffic Management) 시스템 자체 역시 잠재적인 사이버 위협에 매우 취약하다.
씨파이어마(CYFIRMA) 연구소는 이번 공격의 잠재적 배후로 알릭섹(Alixsec), 스캐터드 스파이더(Scattered Spider), 라이시다(Rhysida) 랜섬웨어 그룹 등을 지목했으나, 러시아의 APT28(Advanced Persistent Threat 28, 일명 팬시 베어·Fancy Bear로 불리는 고도 지속 위협 그룹), 이란의 APT33, 북한의 라자루스 그룹(Lazarus Group)과 같은 국가 후원 그룹들 역시 첩보 및 재정적 동기로 항공 인프라를 타겟팅한 전력이 있기에 잠재적 위협 행위자 목록에서 배제할 수 없다.
승객 보상 문제도 복잡한 법적 쟁점을 야기한다. 유럽연합에서 운항되는 항공편이 취소되거나 3시간 이상 지연될 경우 EU 규정(EC) 제261/2004호에 따라 승객은 비행 거리에 따라 250유로에서 600유로까지의 현금 보상을 받을 권리가 있다. 항공사가 "예외적 상황(extraordinary circumstances)", 즉 항공사가 통제할 수 없는 특별한 사정임을 입증하면 보상 의무에서 면제되지만, 제3자 벤더를 겨냥한 랜섬웨어 공격이 이에 해당하는지는 중요한 법적 쟁점이다. 공격이 외부 벤더로부터 시작되었더라도 공항 및 항공사가 해당 벤더에 대한 철저한 사이버 보안 관리 및 감시 의무를 다하지 않았다면 보상 책임을 면하기 어렵다는 분석이다.
사이버 공격은 항공 산업의 재정적 타격의 주요 원인이며, 연간 글로벌 항공 산업에 미치는 사이버 관련 영향은 수십억 유로로 추정된다. 2024년 크라우드스트라이크(CrowdStrike) 오류 사태 분석에 따르면 항공사를 포함한 여러 산업 부문에서 발생한 비즈니스 중단 손실은 총 10억 달러에서 30억 달러 범위로 추정된다.
유럽연합은 2024년 10월부터 전면 시행된 NIS2 지침(NIS2 Directive, Network and Information Security Directive 2, 네트워크 및 정보 보안 지침 2)을 통해 핵심 인프라의 사이버 회복탄력성, 즉 공격을 받아도 빠르게 복구할 수 있는 능력 수준을 조화시키고자 노력하고 있다. 이 지침은 에너지, 보건, 교통 등 핵심 인프라 부문의 필수 서비스 운영자(OES, Operator of Essential Services)에게 표준화된 사이버 보안 조치와 위험 관리 프레임워크 구축을 요구하며, 중대한 사이버 사건 발생 시 24~72시간 이내 의무적으로 보고해야 한다.
미국은 교통보안청(TSA, Transportation Security Administration) 사이버 보안 지침을 통해 항공 분야의 사이버 보안을 강화하고 있으며, 특히 운영 기술(OT) 시스템의 보안에 중점을 둔다. 핵심 조치는 네트워크 분리(Network Segmentation), 즉 IT 시스템과 OT 시스템을 물리적으로 분리해 한쪽이 공격받아도 다른 쪽은 계속 작동하도록 하는 것으로, IT 시스템 침해 발생 시에도 OT 시스템이 계속 기능하도록 보장하기 위한 것이다.
국제민간항공기구(ICAO, International Civil Aviation Organization)는 글로벌 민간 항공 부문이 사이버 공격에 안전하고 탄력적이며 혁신을 지속할 수 있도록 하는 항공 사이버 보안 전략(Aviation Cybersecurity Strategy)을 추진하고 있다. 이 전략은 국제 협력, 거버넌스, 효과적인 입법 및 규제, 정보 공유, 사건 관리 및 비상 계획, 역량 구축 및 훈련의 7가지 핵심 기둥 위에 세워져 있다.
국제항공운송협회(IATA, International Air Transport Association) 또한 사이버 보안을 최우선 과제로 인식하고 있으며, 회원사, 제조사, 규제 당국과의 협력을 통해 안전 위험을 식별하고 모범 사례를 전파하는 데 주력하고 있다.
한국의 경우 국토교통부가 '항공 안전 투자 공개' 제도를 통해 업계의 안전 투자 투명성을 강화하고 있으며, 2024년 국내 항공 산업의 총 안전 투자액은 6조1769억 원으로 전년 대비 5.7% 증가했다. 2025년에는 10조2079억 원으로 대폭 확대될 예정이다.
그러나 2024년 투자 내역을 살펴보면 총 안전 투자의 61.4%인 3조61억 원이 항공기 정비 및 수리 비용에 집중되어 있다. 이는 전통적인 항공 안전, 즉 물리적 안전 유지에 중점을 둔 투자 구조를 보여준다. 국토교통부의 현재 투자 공개 자료는 사이버 보안 인프라, 특히 OT 시스템 보호, 제3자 공급망 관리, 사이버 회복탄력성 확보에 대한 명시적인 투자 비율이나 지표를 제시하고 있지 않다는 구조적 문제를 안고 있다.
전문가들은 한국이 주요 동북아 허브 공항으로서 국제 운송에 핵심적인 역할을 수행하는 만큼 유럽 공항 사례를 타산지석 삼아 국내 항공 사이버 레질리언스, 즉 사이버 회복탄력성을 강화해야 한다고 지적한다. 국토교통부는 '항공 안전 투자 공개' 항목에 사이버 레질리언스 관련 투자 내역을 유럽연합 및 미국 규제 프레임워크와 연계하여 명확히 구분하고 투명성을 확보해야 한다는 것이다.
또한 국내 항공사 및 공항 운영사들이 핵심 IT/OT 벤더에 대한 정기적인 침투 테스트(Penetration Testing), 즉 실제 해커처럼 시스템을 공격해보며 취약점을 찾는 보안 점검 및 보안 감사 의무를 법제화하고, 단일 실패 지점 시스템에 대해서는 이중화(Redundancy), 즉 같은 기능을 하는 시스템을 여러 개 갖춰 하나가 고장 나도 다른 것으로 대체할 수 있도록 하는 의무를 부과해야 한다는 제안도 나온다. 사이버 공격으로 인한 전면적인 IT 시스템 마비 상황을 가정한 실전적 비상 대응 훈련을 정기적으로 실시하고 수동 운영 절차의 한계를 면밀히 검토 및 보강해야 한다는 지적이다.
국제 사회 차원에서는 국제민간항공기구(ICAO)가 콜린스 에어로스페이스(Collins Aerospace)의 뮤즈(MUSE)와 같은 핵심 상용 제품(COTS, Commercial Off-the-Shelf) 및 서비스를 제공하는 벤더에 대한 강제적인 국제 보안 표준 및 정기 감사 요구사항을 수립해야 한다는 목소리가 높다. 주요 7개국(G7) 차원에서 항공, 금융, 에너지와 같은 핵심 인프라에 대한 공격을 특정 임계치 이상으로 규정하고 이에 대한 집단 대응 메커니즘을 명확히 선언해야 한다는 제안도 제기된다.
항공 산업뿐 아니라 CDK 글로벌(CDK Global) 사태를 겪은 자동차 산업 등 유사한 공급망 공격을 겪은 타 산업 간의 위협 정보 공유를 국제적으로 의무화하는 시스템을 구축하고 유럽연합 사이버보안국(ENISA)과 같은 기관을 통해 이를 촉진해야 한다는 목소리도 나온다.
북대서양조약기구(NATO, North Atlantic Treaty Organization)와 유럽연합은 공동으로 사이버 방어 역량을 강화하고 있다. 주요 7개국(G7) 차원에서 핵심 인프라 보호를 위한 집단 대응 메커니즘을 명확히 하고, 하이브리드 위협, 즉 군사적 수단과 비군사적 수단을 결합한 새로운 형태의 위협에 대한 전략적 억지력을 강화하는 효과를 가져올 것으로 기대된다.
이번 유럽 공항 사이버 공격 사건은 글로벌 항공 시스템이 중앙 집중화된 효율성을 추구하는 과정에서 공격의 파급 효과를 증폭시키는 구조적 위험을 스스로 내재화했음을 보여준다. 사이버 위협이 안전 및 운영의 핵심 변수로 자리 잡은 상황에서 국제 사회는 핵심 인프라에 대한 사이버 공격을 억제하고 책임 소재를 명확히 하며 위협 정보를 공유할 수 있는 강제력 있는 글로벌 조약이나 규범을 시급히 모색해야 할 전략적 과제에 직면해 있다.
#유럽공항사이버공격 #항공인프라보안 #랜섬웨어 #공급망취약성 #단일실패지점 #뮤즈시스템 #콜린스에어로스페이스 #유럽연합사이버보안국 #사이버회복탄력성 #항공안전 #국제민간항공기구 #NIS2지침 #미국교통보안청 #국토교통부 #항공안전투자 #IT보안 #OT시스템 #국제협력 #핵심인프라보호