먹는 것 가지고 장난치는 거 아니라는 말을 최근 해커들이 기억하고 있는지, 마실 것을 가지고 장난을 치기 시작했다. 그래서 미국 정부는 물과 관련된 시설들의 보안을 강화하기 시작했다.

[보안뉴스 문정후 기자] 미국의 사이버 보안 전담 기관인 CISA는 지난 주 식수 및 폐수 처리 시설들을 위한 새로운 보안 가이드라인을 발표했다. 총 27페이지짜리로, 수자원 분야의 시설 관리 조직들이 참고할 만한 내용들이 풍부하게 들어있다는 보안 업계의 평가가 나오고 있다. 미국에서는 현재 수자원 분야를 겨냥한 사이버 공격이 잦아지고 있는 분위기이기 때문에 CISA가 발빠르게 움직인 것으로 보인다.


가이드라인에서 제시하는 필수 보안 실천 사항은 다음 세 가지로 요약이 가능하다.
1) 사이버 사건이 발생할 때 빠르게 유관 기관에 알린다.
2) 사이버 보안 향상을 위해 필요한 자원을 확보해 둔다.
3) 같은 산업 내 기업들 사이의 협업을 모색하고 활성화시킨다.
이전부터 미국 정부가 강조해왔던 내용과 크게 다르지 않은데, 이번 가이드라인에서 다시 한 번 강조됐으며, 조금 더 구체적인 내용들이 들어갔다는 점에서 다르다.

수자원과 폐수 관리 산업은 예전부터 보안 자원 부족에 시달렸다. “한 마디로 예산이 부족하다는 건데, 그도 그럴 것이 이 분야의 조직들은 영리 활동을 할 수 없기 때문입니다. 보안 강화로 인해 늘어나는 비용을 사용자들 혹은 소비자들과 나눠서 분담하는 게 아니라 온전히 혼자서 부담해야 한다는 소리가 되죠. 게다가 대부분의 관리 조직들은 덩치가 작습니다. 그런 상황에서 보안 전담 인력을 늘리기도 어렵습니다.” 보안 업체 드라고스(Dragos)의 OT 사이버 분야 담당 돈 카펠리(Dawn Cappelli)의 설명이다.

증가하는 공격
미국의 현 정부는 사회 기반 시설의 보안 강화를 중점 사업으로 지정하여 진행하는 중이다. 기반 시설들 중 가장 치명적일 수 있으면서도 가장 관심을 못 받는 것은 수자원 혹은 폐수 관리 시설이다. 그래서 수년 전부터 사이버 공격을 받아왔다. 2021년 2월에는 미국 올즈마라는 작은 마을의 수도 관리 시설에 해커가 침투하여 독성 화학 물질의 비율을 100배 높였다. 그 해 메인 주에서도 하수 처리 공장이 랜섬웨어에 감염되는 사건이 발생했었다. 그러더니 얼마 전인 지난 11월에는 이란의 해커들이 피츠버그에 있는 수도 시스템을 공격해 제어 및 모니터링 장치가 제대로 작동하지 못하게 했었고, 바로 이번 주에는 베올리아노스아메리카(Veolia North America)에서 랜섬웨어 공격이 발생했었다.

보안 업체 아르미스의 CTO인 마이크 바이몬트(Mike Bimonte)는 “물과 관련된 시스템이 공격을 받으면 당장 시민들만 괴로운 게 아니”라고 강조한다. “수자원으로부터 제대로 된 물을 공급 받아야만 운영되는 또 다른 기반 시설들도 있습니다. 에너지 분야의 발전소라면 냉각에 필요한 물을 어마어마하게 사용하는 것으로 유명하죠. 또 농업 관련 인프라들도 물 없이 버티기 힘들고요. IT 분야로 오면 데이터센터도 냉각수를 상당히 필요로 합니다.”

공격자들이 덩치도 작고 돈도 많이 없는 수자원 및 폐수 시설을 노리는 이유가 이것이라고 바이몬트는 설명한다. “물이라는 자원이 너무나 많은 사회적 기능들과 얽혀 있습니다. 여기가 한 번 무너지면 도미노처럼 다른 곳들도 붕괴되기 시작하죠. 그러면서도 보안은 약하기 짝이 없고요. 공격자들이 노리기에 이상적인 표적일 수밖에 없습니다.”

사건 대응의 강화
CISA는 사이버 공격이 실제로 발생하기 훨씬 전부터 보안 강화 대책을 마련하고 실제로 구축해야 한다고 가이드라인을 통해 강조했다. 사건이 터지지 않도록 예방하는 게 가장 좋기 때문이기도 하지만, 미리 준비하지 않으면 실제 상황이 발생했을 때 빠르게 움직이기 힘들기 때문이다. 그러면서 다음과 같은 내용들을 강조했다.

1) 조직 차원의 사건 대응 계획을 수립한다. 동종 산업 내 사이버 보안 커뮤니티의 움직임을 관찰하고, 여러 활동에 참여한다.
2) 탐지 기능을 집중적으로 강화한다. 그러려면 노이즈를 제거하는 것이 선행되어야 한다. 특히 유관 기관에 상황을 보고할 때 노이즈를 최소화 해야 보다 실질적인 도움과 지원을 받을 수 있다.
3) 외부 전문가들과 정보를 적극 공유하고 기술적 지원을 받아 감염된 시스템을 격리시키고 멀웨어를 삭제하고 시스템을 복구시키는 절차를 꼼꼼하게 계획해 두어야 한다. 사건 발생 시 이 전문가들과 즉각 소통 채널을 만들어 문제를 해결해갈 수 있어야 한다.
4) 시나리오별로 사건 플레이북을 만들어 어떻게 방어할 것인지 훈련한다.

OT 보안 전문 업체 노조미네트웍스(Nozomi Networks)의 다니엘 자블란스키(Daniel Jablanski)는 “수자원 시설에만 국한되는 이야기가 아니”라고 말한다. “사회 기반 시설 조직들만 지켜야 할 내용도 아니죠. 지켜야 할 자산이 있는 모든 조직들이 꼭 지켜야 할 것들입니다. 여러 공격 시나리오를 상정하고 각각의 대응책을 미리 마련해 훈련하고, 외부 조력자를 확보해두는 건 이제 기본 중 기본인 보안 실천 사항이라는 겁니다.”

다르게 표현하자면 어디에서나 볼 수 있는, 천편일률적인 보안 강화 가이드라인이라는 건데 자블란스키는 “CISA 입장에서는 그렇게밖에 할 수 없다”는 의견이다. “CISA처럼 중앙에서 수많은 조직들과 관계를 맺어야 하는 조직이라면 가장 보편적인 내용의 가이드라인밖에 발표할 수가 없습니다. 이 큰 틀을 가지고 각 조직이 자신에 맞는 맞춤형 전략을 세부적으로 짜야 합니다. 같은 가이드라인을 참고한다 하더라도 공군 기지 옆에 있는 수자원 시설과, 디즈니 테마파크 옆에 있는 수자원 시설은 완전히 다른 보안 강화 전략을 완성시켜야 한다는 겁니다. 그 세부 전략 완성의 책임은 각자에게 있는 것이지 CISA가 혼자서 모든 조직에 맞는 맞춤형 전략을 발표할 수는 없겠지요.”

그러면서 자블란스키는 “그것이 가이드라인의 좋은 점이자 가혹한 점”이라고 설명을 잇는다. “가이드라인은 법적인 의무 조항이 아니라 강제성이 없습니다. 그렇기 때문에 간과하기 십상인데 그렇게 되면 사법기관의 처벌은 피해도 공격자들의 악성 행위는 못 피할 가능성이 높습니다. 반대로 규정은 강제성이 강해 사용자들이 느끼는 압박감도 그렇지만 방어 효과도 일정 수준 상승합니다. 덜 압박을 받으며 방어 능력을 강화하려면 가이드라인을 ‘커스터마이징’해서 적용하는 수밖에 없습니다. 하지만 그 ‘커스터마이징’이 누군가에겐 가장 힘든 일이 될 수도 있겠지요.”

3줄 요약
1. 최근 미국의 수자원 및 폐수 처리 시설들 겨냥한 사이버 공격 증가 중.
2. 이에 CISA가 지난 주 수자원과 폐수 처리 시설들을 위한 보안 가이드라인 발표.
3. 큰 틀에서는 보편적인 권고 사항들이라 각 조직이 이를 바탕으로 자신들의 상황에 맞게 구체적인 전략을 수립해야 함.
[국제부 문정후 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>