2008년 3월 미국 Hatch 원자력 발전소 비상 셧다운

사고 내용

• 2008년 3월 7일 미국 Georgia 주 Baxley 근처에 위치한 Hatch 원자력 발전소의 Unit 2가 48시간 동안 셧다운 됨. Unit 2의 모든 7개 복수탈염기(condensate demineralizers)의 출구 밸브가 거의 동시에 잠기면서 정상적인 급수 흐름 기능을 일시적으로 상실
• 원인은 발전소 기술 운영을 담당하는 Southern Nuclear Operating Company의 한 엔지니어가 발전소의 비즈니스 LAN에 연결된 컴퓨터(발전소 설비의 주요 통제 시스템으로부터 나오는 화학/진단 데이터를 모니터 하는 Chemistry Data Acquisition System 서버)에 소프트웨어 업데이트를 설치 한 후에 비상 셧다운 신호가 발생
• 해당 소프트웨어는 동일한 소프트웨어를 실행(run)하고 있는 연결된 컴퓨터들의 데이터를 자동으로 동기화하도록 설계됨. 즉, 업데이트가 이루어진 비즈니스 네트워크상의 컴퓨터가 재부팅되면서 방화벽에 의해 분리되어 있던 통제 네트워크(control networks)상의 컴퓨터(복수탈염기 통제 PC)의 데이터도 마찬가지로 리셋 해 버림
• 발전소의 자동 안전 시스템(automated safety systems)은 이 데이터 결여를 핵 연료봉을 냉각시켜주는 원자로 냉각수 수위가 떨어진 것으로 해석하였고 결과적으로 비상 셧다운을 가동 시킴

사고 후 대응

• Southern Company의 대변인은 발전소의 비상 시스템이 설계대로 동작하였고 사고를 야기한 오작동이 한 순간도 원자력 설비의 보안과 안전을 위험에 빠트리지 않았다고 해명
• 대변인에 따르면 업데이트를 설치한 기술자가 발전소의 비지니스 네트워크(corporate networks)와 통제 네트워크(control networks) 상에 존재하는 특정 컴퓨터들 간에 양방향 통신(two-way communication)이 있는 것은 알고 있었지만, 문제가 된 소프트웨어의 데이터 태그가 특정한 방식으로 쓰여지지 않는 경우 해당 소프트웨어를 런 하는 연결된 컴퓨터들의 데이터 태그가 자동으로 동기화되는 것을 인식하지 못하고 있었다고 설명
• 사고 이후 발전소 엔지니어들은 영향을 받은 서버들간의 모든 네트워크 연결을 물리적으로 제거하였으며, 발전소의 다른 통제 시스템에서도 유사한 상호 연결(interconnections)이 존재하는지 평가가 이루어짐. 평가 결과 Unit 1에서 한 건의 사례가 발견되었고(Mark VI 터빈 통제 네트워크와 Safety Parameter Display System 네트워크 간의 연결), 이것도 연결을 물리적으로 제거함

사고의 교훈

• 컴퓨터 보안 전문가들은 Hatch 발전소 사건이 설계에 대한 적절한 고려 없이 국가의 중요 네트워크에 있는 기업 컴퓨터 시스템(corporate computer systems)을 민감한 통제 시스템(control systems)과 연결했을 때 발생할 수 있는 문제를 잘 보여주는 사례라 지적
• 80년, 90년대에 개발되어 사용중인 산업 통제 시스템 인프라구조는 보안을 크게 염두에 두지 않고 설계되었으며, 이런 시스템들이 인터넷 기반 비지니스 네트워크(corporate networks)에 갑자기 연결되기 시작하면서 사이버 공격으로부터 취약해짐
• 이런 예기지 못한 사고는 핵 시설이 아닌 곳에서도 발생 가능. 특히 전문가들은 전력 회사들이 발전 및 배전 장비의 통제를 내부 네트워크에서 인터넷 또는 전화선에 의해 접근이 가능한 SCADA(supervisory control and data acquisition) 시스템으로 전환함에 따라 전력 그리드를 통제하는 시스템에 취약점(vulnerabilities)이 생긴 것을 우려. SCADA 시스템으로의 전환은 작업자가 원격에서 장비를 운영하는 것을 허용하여 효율성은 증가시키지만 과거에는 폐쇄 시스템(closed systems)이였던 해당 시스템들을 사이버 공격에 노출되게 만듬