2019년 1월, 와이어트 트래브니체크(Wyatt Travnichek)가 정확히 캔자스주의 8개 지역에 걸쳐 1,800마일의 수도 공급을 담당하는 포스트 락 시골 수도 구역에서 근무했다. 그리고 두 달 후, 검찰은 트래브니체크가 시설의 컴퓨터 시스템에 다시 접속하고는 식수 청소 및 소독에 사용하는 과정을 조작했다고 발표했다.
중요 기반시설 보안과 관련, 전력 그리드는 대다수 대중의 주목을 받으며, 이는 이해할 만한 일이다. 전력 그리드를 겨냥한 위협은 드물다. 러시아 해커 조직 샌드웜의 소행으로 밝혀진 여러 차례 대규모 정전을 겪은 우크라이나에 물어보아라. 그러나 3월 31일(현지 시각) 기소되면서 밝혀진 포스트 락 일대에서 발생한 사건은 수도 공급이 매우 치명적인 공격 대상이 될 수 있다는 사실을 나타낸다.
포스트 락의 기소 사건은 아직 신원을 알 수 없는 해커가 플로리다주 올즈마의 상수도에 수산화나트륨을 타려는 시도가 발생하고 두 달이 지난 시점에 이루어졌으며, 수도를 사용하는 이의 건강에 직접적인 위험을 제기하는 수처리 시스템을 겨냥한 것으로 밝혀진 세 번째 공격으로 이름을 올렸다. (2016년, 버라이즌 시큐리티 솔로션은 해커 집단이 어느 한 공공시설의 화학 물질 농도를 변경한 사실을 발견했다) 물리적인 피해를 줄 수 있는 사이버 공격은 거의 찾아보기 어려울 정도로 드물다. 그러나 수처리 시스템은 갈수록 주된 공격 대상이 되고 있다. 또, 많은 전문가가 수처리 시스템은 위협을 다루도록 대비가 되지 않았다.
업계 통제 시스템 보안 기업 드래고스(Dragos)의 수석 위협 애널리스트 레슬리 카하트(Lesley Carhart)는 “모두 해당 지역의 전력 공급을 없애는 이만 생각한다. 이미 익히 알려진 부분이기 때문이다. 모두 정전 사태를 겪었으며, 정전 사태에서의 생존법도 알고 있다. 그러나 수도에 대해 생각하지 않는다. 수도 관리 자금 지원이 실제 필요한 수준보다 적은 것이 한 가지 이유일 수 있다”라고 말했다.
트래브니체크가 떠난 이후에도 포스트 락 시골 수도 구역의 네트워크 접근 권한을 얻은 구체적인 방식은 여전히 확실하지 않다. 기소장에는 트래브니체크가 원격 로그인을 했다고만 명시됐다. 또, 소장에 작성된 바에 따르면, 트래브니체크는 근무 당시 원격 로그인하고는 몇 시간에 걸쳐 시스템을 감시했다. 그러나 오래된 신원 보안 기능만 사용했든 더 첨단화된 백도어를 설치했든 기본적인 사이버 보안 조치로 트래브니체크가 권한이 없는 시스템 접근을 하지 못하도록 막기 충분했다. 하지만, 안타깝게도 많은 수처리 시설에는 이와 같은 보안 기능이 매우 부족하다. 특히, 시골 지역의 수처리 시스템은 보안 시스템이 더 열악하다.
카하트는 “대다수 수처리 시스템은 지방 자치 단체에서 관리한다. 따라서 작은 마을에서 매우 적은 예산으로 관리할 수도 있다. 매우 부족한 예산으로 관리하는 것이다. 특히, 지방 자치 단체 소유의 수많은 수처리 시스템은 운이 좋다면 IT 전문 인력 한 명을 두고 있다. 그러나 실제로 많은 상황에서 IT 전문 인력이 정확히 보안 전문가라고 볼 수는 없다”라고 설명했다. 포스트 락 지역이나 트래브니체크의 변호사 모두 이와 관련된 질문에 답변하지 않았다.
[사진=Freepik]
만약, 수처리 시스템에서 컴퓨터가 작동하도록 확인하는 일을 담당한다면, 이전에 근무한 직원이 시스템에 다시 접근하는 것을 막기 위한 연방 차원의 신원 확인 조치와 같은 안전망 자체를 구축하는 것보다 음용 공급 보호 처리 과정을 우선순위로 두는 것을 이해할 수 있다.
안타깝게도 간혹 우리가 생각하는 것보다 수처리 시스템에서 권한 없는 접근이 자주 이루어진다. 포스트 락 사건은 올즈마와 버라이즌 측이 발견한 익명의 수처리 시스템에서 발생한 사건과 마찬가지로 결과적으로 물리적인 피해를 초래할 수 있어, 주목을 받았다. 그러나 수처리 시스템은 지난 10년간 느리지만, 지속하여 이루어지는 공격을 겪었다. 2010년대 초반, 수처리 시스템은 사이버 공격을 가장 많이 받는 부문 중 끊임없이 공격이 발생했으나 주요 제조 시설 및 에너지 부문을 겨냥한 공격보다는 적다. 2015년, 미국 산업 통제 시스템 사이버 긴급 대응팀은 수처리 및 폐수 처리 부문의 사이버 보안 사건 25가지를 처리했다. 수처리 시스템 관련 데이터가 공개된 마지막 시기인 2016년에는 수처리 및 폐수 처리 시스템을 겨냥한 공격이 18건 보고됐다. 최근, 저널의 환경공학 부문에 게재된 어느 한 논문은 수처리 시스템을 겨냥한 사이버 공격 15건을 분석했으며, 데이터 탈취부터 암호화폐 가로채기, 랜섬웨어 등 전 범위에 걸쳐 범죄가 발생한 사실을 발견했다.
문제가 되는 부분은 앞서 언급된 사건의 범인 1/3 이상은 내부자였다는 사실이다. 수처리 시스템은 복잡한 인터페이스를 지니고 있다. 임의로 버튼을 조작하는 것만으로 피해를 줄 것으로 기대할 수는 없다. 그러나 사이버 공격이 발생한 수처리 시스템 처리장에서 근무 중이거나 근무한 경력이 있다면 어떨까? 여기서 문제가 된다. 퍼듀대학교 사이버 공간 보안 연구소 총괄이자 최근, 일렉트로닉스에 게재된 내부자 위협 관련 논문의 공동 저자인 컴퓨터 과학자 엘리사 버티노(Elisa Bertino) 박사는 “조직을 떠난 개인도 내부자라고 볼 수 있다. 이 점이 중요하다. 일반적으로 내부자는 많은 지식을 보유하고 있다. 그리고, 내부자가 지닌 지식이 의도적인 피해와 파괴, 그리고 그 이상의 문제를 일으킬 수 있다”라고 말했다.
위협 정보 기업 인텔 471(Intel 471)의 최고 정보 보안 관리자인 브랜든 호프만(Brandon Hoffman)이 설명한 바와 같이 수처리 시스템 위협은 최근 몇 년간 급격히 증가한 중요한 기반 시설에 대한 광범위한 위협과 떼려야 뗄 수 없는 관계이다. 호프만은 “해커는 중요한 기반 시설의 자금 지원이 필요한 것보다 적게 이루어지고 있으며, 보안 측면에서 필요한 수준으로 관리가 이루어지지 않는다고 본다”라고 말했다.
2020년, 인텔 471은 이란 해커로 추정되는 이가 메시지 앱 텔레그램을 통해 플로리다주의 수처리 시설 전반에 거친 네트워크 접근 권한을 판다고 제안한다는 사실을 발견했다. (그러나 인텔 471이 본 해커는 올즈마 수처리 시스템 해킹 사건과는 관련이 없다) 호프만은 특히, 포스트 락과 올즈마의 사건이 수처리 시스템의 취약성과 피해 규모 등을 부각한 점으로 보아 수처리 기반 시설이 갈수록 해커가 자주 노리는 공격 대상이 되리라 내다보았다.
호프만은 최근의 사건과 관련, “일종의 양날의 검이다. 한 편으로는 대중에게 수처리 시스템을 겨냥한 해킹 인식을 심어주고자 할 수도 있다. 반대로 한 차례의 성공이 또 다른 성공을 불러온다. 더 많은 사람이 수처리 시스템 해킹을 목격할수록 이를 노리는 해커도 증가할 것이다”라고 말했다.
그러나 그만큼 희소식도 있다. 바로 기본 사이버 보안 보호 조치가 내부자와 아마추어 해커의 공격을 막는 데 중요하다는 사실이다. (첨단 기술을 갖춘 국가의 후원을 받는 해커가 수처리 시스템에 침입하고자 한다면, 끔찍한 결과를 초래할 수 있는 또 다른 문제가 된다) 그러나 의문점은 기본 사이버 보안 보호 조치를 구축할 비용 지원 대상이 누가 될 것인가이다. 최근, 조 바이든 대통령이 무려 2조 달러 규모의 기반시설 지원 계획을 발표했으나 백악관 측은 계획의 우선순위 상세 분석 사항에 사이버 보안을 일절 언급하지 않았다.
카하트는 “수처리 시스템에 더 많은 자원이 필요하다. 계획에 따라 자원 분배가 이루어져야 한다. 수처리 시스템에는 더 많은 인력과 자본, 도구, 정보가 필요하다. 실제로 수처리 시스템의 자원 격차가 매우 크다. 그러나 개인적으로 정말 우려하는 부분은 단순히 더 많은 서류 검토를 요구하는 법률을 제정하고는 수처리 시스템에 더 많은 인력과 자본을 투자하지 않는 것이다”라고 말했다. 소외된 IT 전문 인력이 규정 충족을 위한 서류를 검토하는 데 더 많은 시간을 보낼수록 다른 보안의 기본 사항 구축이 부족해질 것이다.
수도 공급은 시민 건강과 안전에 궁극적인 요소이다. 포스트 락 사건은 수처리 시스템이 직면한 도 다른 위험과 함께 이를 계속 무시한다면 심각한 결과가 발생할 수 있음을 경고하는 사례이다.
** 위 기사는 와이어드US(WIRED.com)에 게재된 것을 와이어드코리아(WIRED.kr)가 번역한 것입니다. (번역 : 고다솔 에디터)
![[사진=Freepik]](/news/photo/202104/3044_4040_2337.jpg)
뉴스레터 신청