![](javascript:shareOtherSNS('pinterest', 'https://www.g-enews.com/article/Global-Biz/2025/12/202512170957571582fbbec65dfb_1', '[초점] "태양광 발전소, 해커의 놀이터 됐다"…보안 뚫린 \'모드버스\' 포트가 주범', '.https://nimage.g-enews.com/phpwas/restmb_allidxmake.php?idx=5&simg=2025121710000607826fbbec65dfb591524497.jpg');)
![](javascript:shareOtherSNS('blog', 'https://www.g-enews.com/article/Global-Biz/2025/12/202512170957571582fbbec65dfb_1', '[초점] "태양광 발전소, 해커의 놀이터 됐다"…보안 뚫린 \'모드버스\' 포트가 주범', '.https://nimage.g-enews.com/phpwas/restmb_allidxmake.php?idx=5&simg=2025121710000607826fbbec65dfb591524497.jpg');)
美 카토네트웍스 "AI 해킹 툴로 스캔부터 전력 차단까지 수분 내 가능" 경고
낡은 통신 규약 '모드버스'가 구멍…韓 태양광 인프라도 '사이버 안보' 비상
낡은 통신 규약 '모드버스'가 구멍…韓 태양광 인프라도 '사이버 안보' 비상
이미지 확대보기
16일(현지 시각) 글로벌 보안 기업 카토네트웍스(Cato Networks)는 새로운 유형의 인터넷 기반 공격이 태양광 전력 인프라를 고위험 표적으로 삼고 있다고 경고했다. 최신 태양광 발전단지는 스카다(SCADA·원격 감시 제어) 시스템과 스트링 모니터링 박스 등 네트워크화된 운영 기술(OT)에 의존하고 있는데, 이들 장비 대다수가 보안 기능이 전무한 구형 통신 프로토콜인 '모드버스(Modbus)'를 사용하고 있어 해킹에 무방비로 노출돼 있다는 것이다.
보안 없는 '모드버스', 해커에겐 '프리패스'
문제의 핵심은 태양광 패널의 출력을 직접 제어하는 '스트링 모니터링 박스(String Monitoring Box)'다. 이 장비는 태양광 패널(PV)과 중앙 통제 시스템인 스카다를 연결하는 다리 역할을 하는데, 대다수가 '모드버스(TCP)' 프로토콜을 사용한다. 모드버스는 산업 현장에서 널리 쓰이는 통신 규약이지만, 태생적으로 보안 기능이 내장되지 않은 '설계상의 취약점(Insecure-by-design)'을 안고 있다.
카토네트웍스 분석에 따르면, 해커들은 502번 포트를 통해 인터넷에 노출된 모드버스 장비를 식별한 뒤, 원격 제어 명령을 보내 시스템 상태를 조작할 수 있다. 공격자가 침입에 성공하면 사실상 '제2의 스카다 운영자' 행세를 할 수 있게 된다. 전압과 전류 상태를 읽어내는 것은 물론, 특정 레지스터 값을 변경해 맑은 대낮에 태양광 패널의 전원을 강제로 차단(Switch Off)하거나, 인버터에 과부하를 걸어 시스템을 망가뜨릴 수도 있다.
이 과정에는 고도의 해킹 기술도 필요 없다. 엔맵(Nmap)과 같은 일반적인 네트워크 스캔 도구로 포트가 열린 장비를 찾고, 무료로 배포되는 모드버스 클라이언트 도구(mbpoll 등)를 이용해 명령어를 입력하면 끝이다. 공격 대상 탐지부터 전력 생산 중단까지 걸리는 시간은 며칠이 아닌, 단 '몇 분'으로 단축된다.
AI 만난 해킹, 방어자 압도하는 속도전
더욱 우려스러운 점은 인공지능(AI) 기술이 해킹에 접목되면서 위협의 수준이 달라졌다는 것이다. 카토네트웍스 연구진은 해커들이 AI 에이전트 프레임워크를 활용해 공격을 자동화하고 있다고 지적했다.
AI 기반 해킹 툴은 광범위한 IP 대역을 기계적인 속도로 휩쓸며(Sweep) 노출된 모드버스 서비스를 찾아낸다. 인간 보안 담당자가 위협을 인지하고 대응하기도 전에, AI는 쓰기 가능한 레지스터를 테스트하고 공격 명령을 실행에 옮긴다. 단순한 보안 관제로는 AI의 속도전을 따라잡기 힘든 구조적 비대칭 상황이 벌어지고 있는 셈이다.
韓 태양광 인프라, '디지털 빗장' 점검 시급
이번 카토네트웍스의 경고는 '디지털 그린 뉴딜'과 탄소 중립 정책에 따라 태양광 발전 설비를 급격히 늘려온 한국 에너지 업계에도 심각한 경고음을 울린다. 한국 역시 중소규모 태양광 발전소가 난립해 있고, 많은 설비가 원격 제어를 위해 인터넷망에 연결되어 있기 때문이다.
국내 태양광 시설 상당수도 비용 절감과 호환성을 이유로 보안이 취약한 모드버스 프로토콜을 여전히 사용하고 있다. 특히 IT(정보기술) 보안과 OT(운영기술) 보안이 제대로 분리되지 않은 '플랫 네트워크(Flat Network)' 구조인 경우, 해커가 말단 장비를 통해 중앙 통제 시스템까지 침투하는 '수평 이동(Lateral Movement)'이 손쉽게 일어날 수 있다.
만약 여름철 전력 피크 시기에 AI 봇을 이용한 대규모 동시다발적 해킹이 발생해 전국의 태양광 발전소가 일시에 멈춰 선다면, 블랙아웃(대정전)과 같은 국가적 재난으로 이어질 수 있다. 단순히 방화벽을 세우는 수준을 넘어, OT 전용 보안 솔루션 도입과 폐쇄망 운영 원칙 준수 등 근본적인 '사이버 방역' 대책 마련이 시급한 시점이다. 에너지 안보는 이제 물리적 시설 보호를 넘어 사이버 공간에서의 방어 능력에 달려 있다.
박정한 글로벌이코노믹 기자 park@g-enews.com
