미국 철도 시스템, 허술한 보안으로 해킹 위험에 노출?

미국 철도 시스템의 보안 취약점이 10년 넘게 해결되지 않아 해커들의 공격에 무방비 상태라는 충격적인 소식이 전해졌습니다. 저렴한 장비와 기본적인 기술만으로도 달리는 화물 열차를 원격으로 멈출 수 있다는 사실이 밝혀지면서 큰 우려를 낳고 있습니다.

10년 넘게 방치된 취약점, ‘종단 장치(EoT)’의 허점

문제의 핵심은 열차의 마지막 칸에서 데이터를 전송하는 '종단 장치(EoT)'의 보안 취약성입니다. 이 장치는 열차 앞부분의 '선두 장치(HoT)'와 연결되어 데이터를 주고받는데, 이 과정에서 무선 통신 시스템의 허점이 드러났습니다. 2012년에 이미 이 문제가 제기되었지만, 관계 기관의 미온적인 태도로 인해 제대로 된 조치가 이루어지지 않았습니다.

소프트웨어 무선 통신(SDR)의 등장과 보안 위협 증가

보안 전문가 닐스는 2012년 소프트웨어 무선 통신(SDR) 기술이 보급되면서 이 취약점을 처음 발견했습니다. SDR을 이용하면 HoT와 EoT 사이의 신호를 쉽게 모방할 수 있다는 것입니다. 암호화 없이 간단한 체크섬만 사용하는 시스템의 특성상, 동일 주파수로 신호를 보내는 모든 장치가 가짜 패킷을 삽입할 수 있습니다.

열차 제어 권한 탈취, 대형 사고로 이어질 가능성

더욱 심각한 문제는 HoT가 EoT에 제동 명령을 내릴 수 있다는 점입니다. 즉, 공격자가 열차의 제어 권한을 탈취하여 원격으로 열차를 멈추게 할 수 있다는 의미입니다. 닐스는 이 취약점이 여전히 해결되지 않았다고 지적하며, 사이버보안 및 인프라 보안국(CISA)의 공식 권고가 있은 후에야 비로소 의미 있는 조치가 취해졌다고 비판했습니다.

500달러 미만의 장비로 미국 열차를 멈출 수 있다?

현재 CVE-2025-1727로 분류된 이 문제는 500달러 미만의 저렴한 장비만으로도 미국 열차의 운행을 방해할 수 있는 심각한 보안 위협입니다. 닐스의 연구 결과는 미국철도협회(AAR)로부터 "단순한 이론적 가능성"이라는 평가를 받으며 묵살당했습니다. 테스트 트랙 부족과 AAR의 협조 거부로 인해 실제 시연도 어려움을 겪었습니다.

늑장 대응과 미흡한 보안 의식

AAR은 2024년까지도 해당 장치가 수명이 다해 교체할 필요가 없다는 주장을 펼치며 위협을 축소했습니다. CISA의 공식 권고 이후에야 비로소 해결책 마련에 나섰지만, 2025년 4월에 업데이트가 발표되었음에도 불구하고 전체 배포는 2027년에나 완료될 예정입니다.

1980년대 기술의 한계, 달라진 보안 환경

이 취약점은 1980년대에 개발된 기술의 한계에서 비롯되었습니다. 당시에는 주파수 제한으로 인해 간섭 위험이 낮았지만, SDR 기술의 보급으로 인해 위험 환경이 크게 바뀌었습니다. 닐스는 "미국의 모든 열차를 해킹하여 제동 장치를 제어할 수 있다"라며 우려를 표했습니다. 계속되는 지연과 부인으로 인해 미국 열차는 언제든지 심각한 위험에 노출될 수 있는 화약고 위에 놓여 있는 것과 같습니다.

맺음말

미국 철도 시스템의 보안 취약점은 간과할 수 없는 심각한 문제입니다. 신속하고 철저한 보안 업데이트와 함께, 변화하는 기술 환경에 발맞춘 보안 시스템 구축이 시급합니다. 2027년까지 모든 업데이트가 완료되기를 바라며, 그 전에 어떠한 사고도 발생하지 않도록 철저한 대비가 필요합니다.