By ANDY GREENBERG, WIRED US

현지 경찰의 설명에 따르면, 2월 5일 아침 8시경(현지 시각), 인구 1만 5,000명이 거주하는 미국 플로리다주 올즈마의 수처리 시설 직원의 마우스 커서가 컴퓨터 화면에서 컴퓨터 주인이 직접 제어할 수 없는 상태로 이상한 움직임을 보였다. 처음 이 직원은 컴퓨터 오류에 개의치 않았다. 시설에서는 팀뷰어(TeamViewer)라는 원격 접근 소프트웨어를 사용해, 직원 간 컴퓨터 화면을 공유하고는 IT 문제를 해결하기 때문이다. 또, 수처리 시설 대표도 종종 직원의 컴퓨터에 접속해 시설 시스템을 관리한다.

그러나 경찰 발표에 따르면, 몇 시간 뒤, 수처리 시설 관리자는 자신의 컴퓨터 마우스가 또다시 자신이 제어한 것과 상관없이 마구 움직이는 사실을 발견했다. 두 번째로 마우스 원격 제어가 이루어졌을 때는 관리자나 IT 담당자가 마우스를 제어한다고 생각하지 않았다. 마우스 커서가 수처리 시설의 제어를 따라 클릭하기 시작했다. 그리고 불과 몇 초 뒤, 해커가 양잿물 혹은 가성소다라고도 알려진 수산화나트륨의 투입 비율을 100ppm에서 1만 1,100ppm으로 변경하려 했다. 수산화나트륨은 농도가 낮을 때, pH 농도를 상수와 비슷한 수준으로 조절한다. 반대로 수산화나트륨의 농도가 낮을 때, 이에 접촉한 인간의 조직이 심각하게 손상될 수 있다.

시 관계자에 따르면, 수처리 시설 관리자가 해킹 사실을 재빨리 감지하고, 수산화나트륨 농도를 정상 수준으로 복구했다. 당시 관리자가 해킹 사실을 알지 못했다면, 수산화나트륨 농도가 높은 독극물이 24시간~36시간 이내로 올즈마 지역 주민 1만 5,000명에게 공급됐을 것이다. 그리고 자동화된 pH 테스트 안전성 관리에도 경고 표시가 등장해, 피해가 발생하기 전 변화를 감지했을 것이다.
그러나 (외부 보안 감사로 직접 입증되지 않은 상황에서) 현지 관료가 설명한 문제가 발견되면, 미국의 주요 기반 시설 제어 시스템을 의도적으로 파괴하기 위해 겨냥한 사이버 공격 사건을 공개적으로 보고한 드문 사례가 된다. 올즈마가 포함된 행정 구역인 플로리다주 피넬러스 카운티의 보안관 밥 구알티에리(Bob Gualtieri)는 2월 8일(현지 시각) 오후, 기자 회견을 통해 “수산화나트륨은 위험한 물질이다. 지금까지 드러난 사실을 보았을 때, 수산화나트륨 농도를 조작하려던 범인이 무언가 나쁜 일을 꾸미고 있었다”라고 말했다.
 
와이어드와의 후속 전화 통화에서 구알티에리는 해커가 수처리 시설의 팀뷰어 소프트웨어 보안을 악화해 공격 대상이 된 컴퓨터의 원격 접근 권한을 얻었다고 설명했다. 또, 네트워크 로그를 통해 관리자의 컴퓨터 마우스를 제어했다고 전했다. 그러나 그 외에 해커가 팀뷰어에 접근한 방식이나 수처리 시설의 IT 네트워크 초기 접근 방식 등은 설명하지 않았다. 또, 구알티에리는 해커가 산업 제어 시스템 내 물리적 장비인 운영 기술 네트워크에 침입한 방식과 인터넷 연결이 된 IT 네트워크에서 일반적으로 분리된 것인지도 설명하지 않았다.

구알티에리는 올즈마의 자체 포렌식 수사관과 FBI 요원, 비밀 경호국 소속 요원이 설명되지 않은 질문의 답을 찾기 위해 조사 중이라고 말했다. 이와 관련, 구알티에리는 “수처리 시설 해킹 사건에서 밝혀지지 않은 문제 모두 100만 달러 상당의 막대한 비용이 달린 문제이며, 우려가 되는 부분이다. 보안 허점이 있는 부분과 해커의 수법이 얼마나 치밀한지 알지 못하기 때문이다. 그리고, 이번 해킹이 미국에서 발생한 것일까 아니면 해외에서 발생한 것일까? 그것도 알지 못한다”라고 말했다.
 
많은 보안 전문가가 오랫동안 보안 수준을 최대화하기 위해 IT 네트워크와 운영 기술 네트워크 분리하는 것과 운영 기술 시스템부터 인터넷까지 모든 연결을 제한하거나 이상적으로 제거할 것을 권고해왔다. 그러나 구알티에리는 외부에서 해킹이 발생한 수처리 시설의 운영 기술 네트워크에 접근할 수 있던 점과 모든 증거를 보았을 때, 해커가 인터넷에서 시설 시스템에 접근했다는 사실을 인정했다. 구알티에리는 “중요한 기반 시설 구성 요소가 연결되지 않을 때, 보안상 유리한 점이 있다. 반대로 여러 구성 요소를 연결했을 때, 보안이 취약해진다”라고 언급했다.

구알티에리는 해킹 발생 후, 수처리 시설이 팀뷰어 설치를 삭제했다고 밝혔다. 그러나 해커의 접근을 제거하거나 또 다른 공격을 예방하기 위해 추가로 취한 보안 조치를 밝힐 수는 없었다. 또, 그는 관계자가 미국 플로리다주 서부 탬파만 일대의 모든 정부 기관에 자체 보안 프로토콜을 검토하고, 스스로 보안을 지키기 위해 업데이트할 것을 경고했다고 전했다. 올즈마 주지사 에릭 시델(Eric Seidel)은 기자회견에서 “누구나 수처리 시설에서 발생한 것과 같은 해킹 공격이 어디서나 발생할 수 있다는 사실을 알기를 바란다. 따라서 어떤 일이 일어났는지 면밀히 조사하고 있다”라고 말했다.

산업 시스템 보안 기업 드래고스(Dragos)의 수석 위협 애널리스트 레슬리 카하트(Lesley Carhart)는 수처리 시스템을 겨냥한 사이버 공격 시도 공식 발표가 유례없는 일인 만큼 이번 공격도 매우 이례적이라고 말한다. 카하트는 치밀한 수법을 지니지 못한 해커가 소프트웨어 애플리케이션에 접근해, 올즈마에서 사용한 팀뷰어 원격 접근 툴이나 장비를 직접 제어할 수 있는 인간 기계 인터페이스(HMI) 기계와 같은 물리적 장비 접근 권한을 얻어 공격을 개시한 여러 사례를 직접 보았다고 말한다. 또, 카하트는 해킹 피해를 본 시스템 수천 개를 쇼단(Shodan)과 같은 검색 도구를 이용해, 인터넷에서 발견할 수 있다고 설명했다. 종종 업계 제어 시스템 내 복합성과 보호 장치만으로 해커가 심각한 결과를 일으키는 침입 공격을 막는다.

카하트는 “사용자가 HMI 시스템에 주기적으로 로그인하고, 버튼을 클릭한다고 생각한다. 그러나 이와 같은 행동이 현실 세계의 조치에 영향을 미치는 때는 매우 드물다”라고 말했다.

카하트는 이번 올즈만 수처리 시설 해킹 사건과 비슷하지만, 외부가 아닌 내부 공격으로 발생한 한 가지 사례를 비교할 만한 사례로 언급했다. 해당 사건은 호주 마루치 내 하수 처리장의 분노한 IT 컨설턴트가 원격 접근을 통해 미처리 하수를 현지 공원과 강가에 버린 사건이다. 또 다른 치밀한 수법으로는 샌드웜(Sandworm)이라는 이름으로 알려진 러시아 해커 집단이 2015년 12월, 우크라이나 전력 기업의 개방 회로 차단기에 사용되는 팀뷰어 프로그램과 비슷한 원격 접근 소프트웨어를 가로채, 시만 25만 명에게 공급될 전력을 차단한 사건을 언급할 수 있다. 이보다 더 직접적으로 발생한 사례도 있다. 2016년, 버라이즌 보안 솔루션(Verizon Security Solutions)은 해커가 어느 한 수도 기업의 네트워크에 침입해, 수도의 화학물질 수치를 변경한 사실을 발표했다.

카하트의 설명에 따르면, 수처리 시설과 하수 처리장은 종종 미국 내 디지털상 취약한 중요 기반 시설 목표 중 일부라고 말한다. 특히, 코로나19 확산세 때문에 예산 삭감과 원격 근무 상황이 발생하면서 수처리 시설과 하수 처리장 모두 더 큰 표적으로 노출됐다. 또한, 카하트는 시의 수처리 시설에 IT 전문 인력 한 명만 두고 있는 도시 전체의 문제를 다룬 적이 있다고 말한다.

카하트는 “IT 전문 인력은 수도 흐름과 하수 처리를 유지하기 위한 모든 작업을 한다. 만약, 적절한 자원과 사이버 보안 조치가 없다면, 어떤 일을 하겠는가? 시설 내 수도 처리 과정을 그대로 진행할 것이고, 사회가 운영되도록 할 것이다. 바로 IT 전문 인력이 해야 할 일이다”라고 말했다.

** 위 기사는 와이어드US(WIRED.com)에 게재된 것을 와이어드코리아(WIRED.kr)가 번역한 것입니다. (번역 : 고다솔 에디터)

<기사원문>
A Hacker Tried to Poison a Florida City's Water Supply, Officials Say