해커가 원격에서 인버터 장악하거나 악성코드 실행 가능...전력망 전체에 물리적 피해 줄 수 있어
전 세계 에너지 전환의 핵심으로 주목받는 태양광 발전 설비에서 심각한 보안취약점이 다수 발견됐다.
사이버보안 전문기업 포어스카우트 베데레랩스(Forescout Vedere Labs)는 썬그로우(Sungrow), 그로왓(Growatt), SMA 등 주요 태양광 인버터 제조사의 장비와 관련 시스템에서 총 46개의 취약점을 발견했다고 발표했다. 이 결함들은 해커가 원격에서 인버터를 장악하거나 악성코드를 실행하는 데 악용될 수 있으며, 나아가 전력망 전체에 물리적 피해를 줄 가능성도 있다.
연구팀은 이들 취약점을 ‘SUN:DOWN’이라는 이름으로 분류하고, 인버터 및 관련 클라우드 서비스 전반의 보안 문제를 지적했다. 일부 취약점은 인증 없이도 접근이 가능하며, 일부는 기본 설정의 허술함을 악용할 수 있다. 문제는 단순한 개인 정보 유출을 넘어, 에너지 공급의 불안정이나 대규모 정전과 같은 사회기반시설 위협으로까지 이어질 수 있다는 점이다.
◆인증 우회·API 노출·하드코딩 비밀번호 등 복합 취약점
그로왓(Growatt)의 서버 API에서는 인증 없이 타인의 설비 정보를 조회하거나 계정 사용자명을 추정할 수 있는 취약점이 발견됐다. 해커는 이를 통해 사용자 계정을 기본 비밀번호인 '123456'으로 초기화한 뒤 계정을 탈취하고, 이후 전기 생산량이나 장비 설정 등을 원격에서 조작할 수 있다.
또한, 전기차 충전기 연동 시스템의 API에서도 인증 없이 충전기 설정을 변경하거나 펌웨어 정보, 에너지 사용량 등 민감한 데이터를 열람할 수 있는 취약점이 포함되어 있었다. 이는 정보 유출뿐 아니라, 충전 시스템의 오작동과 물리적 파손 가능성으로도 이어질 수 있다.
썬그로우의 경우, 안드로이드 애플리케이션에서 AES 암호화 키를 고정된 값으로 설정해 사용자 통신이 쉽게 복호화될 수 있는 구조였다. 더 큰 문제는 이 앱이 인증서 오류를 무시하도록 설정되어 있어, 공격자가 중간자 공격(MITM)을 수행할 수 있다는 점이다.
성장의 WiNet WebUI에서는 펌웨어 업데이트 복호화에 사용되는 하드코딩된 비밀번호가 발견되었고, MQTT 메시지 처리 방식에도 다수의 취약점이 포함되어 있어 원격코드실행(RCE)이나 서비스 거부(DoS) 공격이 가능하다는 지적이 나왔다.
SMA의 경우, 웹 포털인 sunnyportal.com에서 공격자가 .aspx 파일을 업로드해 서버에서 이를 실행할 수 있는 구조가 확인됐다. 이는 곧장 원격 코드 실행으로 이어지며, 계정 탈취나 시스템 침투의 수단이 될 수 있다.
◆전체 인버터 장악 시 물리적 위협도 가능
베데레랩스는 "공격자가 썬그로우, 그로왓, SMA 인버터를 대규모로 장악할 경우, 전력망 전체에 영향을 미칠 수 있다"고 경고했다. 예컨대 해커가 장비 설정을 조작해 특정 시간대에 전력을 과다 송출하거나 차단하면, 수요-공급 불균형으로 인해 전력망 불안정이나 정전 같은 물리적 결과가 발생할 수 있다.
또한, 장악된 인버터들이 봇넷처럼 활용되어 대규모 공격을 유발하는 시나리오도 제시됐다. 이는 단순한 정보보안 이슈가 아니라, 전력 기반 인프라의 사이버-물리적 공격(Cyber-Physical Attack)으로 직결될 수 있다는 점에서 중대한 위협이다.
◆책임 있는 공개 후 제조사 조치 진행…그러나 근본 대책 필요
포어스카우트는 모든 취약점을 제조사에 사전 공유하고, 책임 있는 공개(responsible disclosure) 절차를 통해 패치가 완료되도록 조치했다. 각 제조사도 이에 따라 시스템 보완 및 보안 업데이트를 실시했으며, 현재 대부분의 취약점은 수정된 상태다. 그러나 OT(운영기술) 장비의 특성상, 현장에서 업데이트가 제대로 적용되지 않을 가능성도 제기된다.
베데레랩스의 리서치 책임자 다니엘 도스 산토스(Daniel dos Santos)는 “에너지 관련 장비는 도입 단계부터 보안성을 따지는 조달 정책이 필요하다”며, “정기적인 위험 평가와 장비 가시성 확보가 기본적으로 이뤄져야 한다”고 조언했다.
그는 또한, “태양광 장비를 인터넷에 직접 연결하지 말고, 방화벽과 네트워크 분리를 적극 고려해야 한다”고 강조했다. 클라우드 연동이 필수적인 경우에도 다중 인증과 데이터 암호화를 철저히 적용해야 한다는 것이다.
태양광 인버터는 단순한 에너지 변환 장비를 넘어, 사이버 위협의 새로운 진원지로 부상하고 있다. 관련 전문가들은 ▲보안 검증된 장비 도입, ▲주기적 펌웨어 업데이트, ▲원격접속 제한 및 네트워크 분리, ▲계정 보안 설정 강화 등을 기본 수칙으로 제시했다. 에너지 전환이 가속화되는 현재, 디지털 안전장치도 함께 강화되지 않으면, 그린에너지가 곧 새로운 취약점으로 전락할 수 있다는 우려가 커지고 있다.
[K-CTI 2025] 국내 최대 사이버위협·침해사고대응 인텔리전스 컨퍼런스 개최(7시간 교육이수)
-주최: 데일리시큐
-일시 2025년 4월 15일(화) / 오전 9시~오후 5시
-장소: 한국과학기술회관 국제회의실 및 로비
-인원: 정보보호 실무자 700여 명(현업 보안책임자/실무자만 참석 가능)
-참가비: 현업 보안실무자는 무료
-교육이수: 공무원 및 일반기업 보안교육 7시간/CPPG, CISSP 등 교육이수 7시간 인정
-등록마감: 2025년 4월 13일 오후 5시까지
-참석불가: 학생, 프리랜서, 무소속, 정보보호 업무와 상관없는 자는 참석불가
-참관 및 참가기업 문의: 데일리시큐 길민권 기자 / mkgil@dailysecu.com
-사전등록 필수: 클릭
★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★
![[IT 용어사전: 공유기 편] 최고 유선·무선 속도, Mesh가 뭐지?](https://www.ilovepc.co.kr/news/photo/202503/53761_146540_5938.jpg)
