GN⁺: 클라우드에 있는 거대하고 규제가 없는 발전소
(berthub.eu)- 최근 네덜란드 해커가 400만 개의 태양광 패널 설치를 제어할 수 있었음. 이는 처음이 아님.
- 대부분의 소비자 및 비즈니스 태양광 패널은 소수의 회사에 의해 중앙에서 관리됨.
- 네덜란드에서만 이러한 태양광 패널은 최소 25개의 중형 원자력 발전소와 동등한 전력 출력을 생성함.
- 유럽에는 이러한 중앙 관리자를 규제하는 규칙이나 법률이 거의 없음.
- 이러한 클라우드 기반 관리 플랫폼은 해킹이나 사고로 인해 모든 태양광 패널을 동시에 종료할 수 있음.
- 최근 윤리적 해커와 네덜란드 전력망 관리자 TenneT의 확인에 따르면 이는 이론적인 시나리오가 아님.
- 개별 태양광 패널은 큰 피해를 주지 않지만, 시간이 지남에 따라 설치 수가 크게 증가하고 관리가 몇몇 장소에 집중됨.
- 중앙에서 기가와트의 전력을 차단할 수 있는 능력을 제거하거나 중앙 관리자를 에너지 회사로 규제해야 함.
- 네덜란드에서는 15GW의 전력이 먼 곳에서 제어되고 있으며, 그 제어자가 누구인지 정확히 알지 못함.
- 다가오는 EU NIS2 지침은 개선의 기회를 제공하지만, 이를 명확히 해야 함.
- SolarPower Europe도 NIS2 규칙을 태양광에 명시적으로 적용할 것을 요구함.
더 긴 이야기
- Willem Westerhof는 2016년부터 이 문제에 대한 관심을 끌기 위해 노력해왔음.
- Willem은 그의 고용주 Secura와 함께 네덜란드 "Topsector Energie"를 위한 대규모 보고서를 작성함.
- 유럽 대륙의 동기화된 전력망은 유럽 대부분과 그 이상을 통합하는 대단한 성과임.
- 전력망은 항상 균형을 유지해야 함. 너무 많은 전력이 네트워크에 들어가면 주파수가 상승하고 과전압이 발생할 수 있음.
- 최근 알바니아, 몬테네그로, 보스니아, 크로아티아에서 국제적인 정전이 발생함.
- 대규모 전력 제공자에게는 높은 기준이 적용됨. 그들의 발전소는 감시되고 장비는 많은 요구 사항을 충족해야 하며, 직원은 적절한 자격증을 가져야 함.
- 유럽 네트워크와 제공자는 네트워크를 안정적이고 안전하게 유지하기 위해 지속적으로 협력함.
우리가 규제하는 것
- 태양광 패널은 인버터를 통해 네트워크에 연결됨. 이 장치는 패널의 전력을 전기 그리드가 처리할 수 있는 형태로 변환함.
- 이 장치는 규칙을 충족해야 하며, 네덜란드에서는 벨기에 Synergrid가 승인한 인버터만 설치할 수 있음.
우리가 규제하지 않는 것
- 대부분의 인버터는 인터넷에 연결됨. 이 설정은 제조업체와 연결을 만들고 태양광 패널 및 전력 생산에 대한 통계를 업로드함.
- 패널 소유자는 앱이나 웹사이트를 통해 제조업체와 연결할 수 있음.
- 제조업체는 모든 패널을 켜고 끌 수 있으며, 인버터에 새로운 소프트웨어를 설치할 수 있음.
- 제조업체가 해킹당하면 공격자가 제어하는 잘못된 소프트웨어 업데이트를 인버터에 보낼 수 있음.
그럼 어떻게 될까?
- 전력망은 매우 민감함. 정확히 같은 양의 전력이 들어가고 나가야 함.
- 태양광 인버터 패널 제조업체는 수백만 개의 설치를 켜고 끌 수 있음.
- 네덜란드 윤리적 해커 Wietse Boonstra와 Hidde Smit는 제조업체의 허가 없이 태양광 패널 설치의 소프트웨어를 수정할 수 있었음.
오, 안돼
- 수십 개의 원자로를 동시에 끌 수 있는 제어판이 있다면 모든 종류의 안전 규정을 준수해야 함.
- 가정용 태양광 패널과 인버터는 "일반" 소비자 가전제품으로 간주되어 검사와 법률이 없음.
- 관리가 소수의 공급자에게 집중되었고, 이들은 엄격하게 규제되지 않음.
그리고 지금?
- 네덜란드 Topsector Energie가 의뢰한 최근 Secura 보고서는 상황이 얼마나 나쁜지 파악하는 데 매우 유용함.
- 새로운 법률이 등장하고 있으며, NIS2와 Cyber Resilience Act가 이러한 당사자를 더 엄격한 규칙에 따르게 할 수 있음.
- SolarPower Europe도 중앙 관리 당사자가 NIS2의 범위에 포함되어야 한다고 주장함.
GN⁺의 정리
- 이 기사는 태양광 패널의 중앙 관리가 어떻게 유럽 전력망에 큰 위험을 초래할 수 있는지 설명함.
- 중앙 관리자의 규제가 거의 없다는 점에서 문제의 심각성을 강조함.
- NIS2와 Cyber Resilience Act와 같은 새로운 법률이 이 문제를 해결하는 데 도움이 될 수 있음.
- 이 기사는 에너지 관리의 중요성과 보안 문제를 강조하며, 관련 업계 종사자들에게 중요한 정보를 제공함.
- 유사한 기능을 가진 제품이나 프로젝트로는 SolarEdge, Enphase Energy 등이 있음.
Hacker News 의견
-
네덜란드의 태양광 패널이 25개의 중형 원자력 발전소와 동등한 전력 출력을 생성한다는 주장은 과장된 것임
- 실제 연간 에너지 생산 데이터를 보면, 이는 평균 원자력 발전소의 1.5배 정도임
- 태양광 패널의 위치에 따라 출력이 크게 달라짐
-
패널과 인버터 소유자가 제조업체와 연결하여 패널 상태를 확인할 수 있음
- 기술적으로 모든 것을 제조업체 서버를 통해 실행할 필요는 없었음
- 소비자나 설치자가 네트워크 설정에 대한 전문 지식이 부족하기 때문에 이렇게 선택된 것임
-
오프그리드 생활을 하는 사용자가 인버터 모니터링이 온라인에서만 가능하다는 점에 불만을 가짐
- Raspberry Pi를 사용해 문제를 해결했지만, 인터넷 연결을 끊으면 새로운 네트워크가 생성됨
- WiFi 모듈을 제거하는 것을 고려 중임
-
기술 표준에 대한 언급에서 정치인과 비기술자를 조심해야 함
- 현재의 IT 인프라 문제는 주로 학위 소지자들에 의해 발생함
- 기업을 책임지게 하는 것이 문제 해결의 시작일 수 있음
- 예를 들어, CrowdStrike와 같은 회사를 법적 책임을 지게 하면, 다른 회사들도 변화할 가능성이 있음
-
재생 가능 에너지가 분산형 전력 생산의 잠재력을 가지고 있다는 주장이 있음
- 그러나 새로운 병목 지점을 도입함으로써 보안 문제가 발생함
-
EU에서 발전소에 대한 사이버 보안 규제가 있는지 질문이 있음
- 제3자 데이터 연결이 필요한 시스템을 허용하지 않음
- 여러 서비스가 실패한 사례가 많음
-
설치자가 Solaredge 인버터를 클라우드에서 분리하는 데 어려움을 겪음
- 원격 관리 금지 규제가 필요하다고 주장함
- 데이터는 읽기 전용으로만 원격으로 확인할 수 있어야 함
-
유럽에서는 위험 완화를 위해 학위와 자격증을 강조하는 경향이 있음
- 이는 느리게 움직이는 산업에는 적합하지만, 태양광/풍력 산업에는 적합하지 않음
-
Victron 제품의 클라우드 연결은 선택 사항이며 기본적으로 비활성화됨
- 하드웨어는 모듈식이고 소프트웨어는 경쟁 제품보다 우수함
- 책임 있는 공급업체를 선택해야 함
-
태양광 패널을 끌 수 있다면, 왜 유틸리티 회사가 초과 전력을 손해를 보고 판매해야 하는지 질문이 있음
- 태양광 농장에 필요한 만큼 출력을 줄이도록 지시할 수 없는 이유를 묻고 있음