중국과 이란의 상수도 시스템 공격에 화이트해커들이 직접 방어에 나서

중국과 이란의 상수도 시스템 공격에 화이트해커들이 직접 방어에 나서 (사진 출처 : 보안뉴스)

미국 해커 컨퍼런스 ‘데프콘(DEF CON)’ 자원봉사자들이 전국 상수도 시설을 대상으로 무료 보안 지원에 나서고 있습니다. 최근 중국과 이란의 지속적인 사이버 공격 위협 속에서, 인력과 예산이 부족한 5만여 개 상수도 사업자들이 실질적으로 활용할 수 있는 운영기술(OT) 보안 점검과 취약점 개선을 제공하는 것이 이 프로젝트의 핵심입니다.

 

이 프로젝트는 ‘데프콘 프랭클린(DEF CON Franklin)’이라는 이름으로 지난해 라스베이거스 데프콘 현장에서 처음 공개되었습니다. 프로젝트의 명칭은 미국 최초의 자원 소방대를 만든 벤저민 프랭클린에서 따온 것입니다. 이 프로젝트는 크레이그 뉴마크 필란트로피스의 지원을 받아 전미농촌수협회(NRWA), 아스펜 디지털, 미주정수협회(AWWA) 등과 파트너십을 맺고 진행되고 있습니다.

 

상수도 시스템의 사이버 보안 현황은 매우 심각합니다. 미국 상수도 업계는 외부 개입에 폐쇄적이며, 보안 규제가 자금 부담으로 이어질 수 있다는 우려가 컸습니다. 2023년 미 환경보호청(EPA)이 상수도 사이버 점검 의무화를 시도했지만, 업계와 주정부의 반발로 지침이 철회된 배경이 바로 이러한 우려 때문입니다. 제이크 브라운(Jake Braun)은 NRWA의 도움으로 상수도 업계의 신뢰를 얻고, 소규모 사업자들과의 협력을 이끌어냈습니다.

 

이번 프로젝트의 필요성은 더욱 커지고 있습니다. 최근 미·영 정부는 중국의 ‘볼트 타이푼’이 중요 인프라에 장기 잠복하는 공격 기법을 사용하고 있다고 경고했습니다. 이러한 공격은 상수도 시스템과 같은 필수 인프라에 심각한 위협이 될 수 있습니다. 따라서, 화이트해커들이 현장에 직접 들어가 OT 맵핑, 비밀번호 정책 개선, 취약점 진단을 무상으로 지원하는 것은 매우 중요한 일입니다.

 

프로젝트 진행 과정은 9개월간의 파일럿을 통해 이루어졌습니다. 인디애나, 오리건, 유타, 버몬트 등 4개 주에서 진행된 이 파일럿은 화이트해커들이 직접 상수도 시설에 들어가 보안 점검을 실시하는 방식으로 진행되었습니다. 이 과정에서 화이트해커들은 상수도 시스템의 취약점을 진단하고, 이를 개선하기 위한 다양한 방안을 제시했습니다.

 

화이트해커들의 역할은 단순히 취약점을 찾아내는 것에 그치지 않습니다. 그들은 상수도 사업자들에게 보안 교육을 제공하고, 실제로 시스템을 개선할 수 있는 방법을 제시합니다. 이러한 지원은 상수도 사업자들이 사이버 공격에 대한 대응력을 높이는 데 큰 도움이 됩니다.

 

미국 정부의 사이버 보안 대응도 점차 강화되고 있습니다. 제이크 브라운은 2023년 백악관 국가사이버부 차석대행을 맡았을 당시, 중국의 장기 잠복형 침투 작전 ‘볼트 타이푼’에 대응하는 과정에서 상수도 보안 취약성이 심각하다는 것을 알게 되었습니다. 이러한 인식은 상수도 시스템의 보안을 강화하기 위한 정책적 노력을 촉진하고 있습니다.

 

미래의 상수도 보안 전망은 밝지 않습니다. 사이버 공격의 위협은 계속해서 증가하고 있으며, 상수도 사업자들은 이에 대한 대응책을 마련해야 합니다. 따라서, ‘데프콘 프랭클린’ 프로젝트와 같은 이니셔티브는 앞으로도 계속해서 필요할 것입니다. 상수도 시스템의 보안을 강화하기 위한 다양한 노력이 필요하며, 이를 통해 시민들의 안전한 물 공급을 보장해야 합니다.

 

향후 계획으로는, 이 프로젝트가 더 많은 주로 확대되어 상수도 사업자들이 사이버 보안에 대한 인식을 높이고, 실질적인 보안 개선을 이룰 수 있도록 지원할 것입니다. 또한, 해커스 앨머낵(Hackers’ Almanack)과 같은 자료를 통해 정책 담당자들이 사이버 보안의 중요성을 이해할 수 있도록 돕는 것도 중요한 목표입니다.

 

이러한 노력들이 모여 상수도 시스템의 사이버 보안을 강화하고, 시민들에게 안전한 물 공급을 보장하는 데 기여할 것입니다. 앞으로도 많은 관심과 지원이 필요합니다.