.gif)
사회기반시설의 하나인 ‘수자원’, ‘의식주’보다 앞선 생명 유지 ‘0순위’ 요소
사이버 공격으로 인한 해외 ‘물’ 공급망 공격사례, 국내 대응책 살펴보니
[보안뉴스 김영명 기자] 인간이 살아가는데 가장 중요한 세 가지는 ‘의·식·주’다. 그리고 그보다 더 기본이 되는 인간 삶의 필수요소는 ‘물(water)’이다. 고대 문명의 발상지는 ‘물’이 있는 곳에서 시작됐다. 티그리스·유프라테스강 유역의 ‘메소포타미아 문명’, 나일강 유역의 ‘이집트 문명’, 인더스강 유역의 ‘인더스 문명’, 황허 유역의 ‘황허 문명’ 등 세계 4대 문명의 기원은 ‘물’과 함께 였다. 우리나라도 ‘한강’이 중심을 가르고 있는 ‘서울’이 대한민국 수도로 자리하고 있는 것도 같은 이유일 것이다. ‘물의 길’은 곧 ‘생명의 길’이 되기 때문이다.
[이미지=utoimage]
물은 인간만이 아닌 모든 살아 있는 생물(동물과 식물 포함)에게 필요하다. 또한, 기업이 제품을 생산하기 위해서는 좋은 기계를 마련하는 것도 필요하지만, ‘물’도 꼭 필요하다. 우리나라는 세계에서 가장 뛰어난 반도체 강국이다. 이 반도체의 생산공정에도 ‘물’은 매우 중요하다.
이러한 가운데 지구 온난화 등 기후변화로 전 세계에서 물 부족의 심각성은 더욱 커지고 있다. 우리 기상청은 지난달에 발표한 ‘2022년 이상기후 보고서’에서 지난해는 1974년 이후 가장 많은 227.3일의 기상가뭄 일수를 기록했다고 밝히기도 했다.
자연적인 현상으로 인한 ‘물’ 부족은 우리 인류의 미래에도 큰 영향을 미칠 수밖에 없다. 하지만 이제는 국가핵심자원인 수자원, 즉 ‘물’ 공급망의 사이버 공격으로 인한 위협도 현실에서 발생하고 있다. 실제로 해외에서는 식수 인프라를 대상으로 하는 사이버공격 사례가 이슈가 되기도 했다.
해외의 식수 인프라 주요 공격사례
수도 시설은 국가의 안녕유지와 경제 발전에 기초가 되는 사회기반시설의 하나로 분류된다. 우리나라의 주요 사회기반시설은 도로, (도시)철도, 공항, 항만, 다목적댐, 상수도, 전기통신설비, 전원설비 등 다양하다. 사회기반시설의 하나인 식수 인프라에 대한 공격은 해외에서도 꾸준히 이어지고 있다. 그 중에 몇 가지 사례를 살펴본다.
[이미지=utoimage]
보안 외신인 더 레지스터(The Register)에 따르면, 2016년 3월에 시리아와 연계된 것으로 알려진 한 해킹그룹이 ‘(가칭)케무리 워터사(Kemuri Water Company)’의 컴퓨터를 해킹했다. 해당 공격은 케무리 워터사의 노후된 AS/400 기반 운영제어 시스템의 노출 SQL 주입 및 피싱 관련 해킹 공격이었다. 해당 시스템은 식수의 흐름을 제어하는 밸브와 덕트를 조절하는 프로그래머블 로직 컨트롤러(Programmable Logic Controller, PLC)와 화학물질을 관리한다. 공격자는 흐름제어 시스템 작동방식의 정확한 매뉴얼을 인지하지 못한 상태에서 애플리케이션의 설정을 수정했다. 시스템 조작으로 급수에 들어가는 화학물질의 양 변경을 통해 급수를 보충하기 위한 회수 시간을 늘리며 수처리 및 생산능력을 약화시켰다. 당시 해킹 공격으로 해당 시스템에 등록된 고객 250만명의 개인정보가 유출되기도 했다.
또한, 이스라엘의 수도관리공단은 2020년 4월 24일~25일 이틀에 걸쳐 사이버 공격을 받은 것으로 알려졌다. 이스라엘 뉴스 YNET에 따르면, 이스라엘 수도관리공단 관계자들은 해당 급수시설의 OT(운영체제) 시스템에 대한 사이버 공격이 여러 차례 발생했지만, 보안 시설을 잘 갖춰 큰 피해를 입지 않았다고 밝혔다. 이스라엘 언론에 따르면, 이스라엘 대부분의 지역 상수도와 폐수시설은 사이트를 소규모로 운영하며 보안에 크게 신경쓰지 않았다. 공격자는 OT 환경의 일부 요소에 원격으로 액세스했으며, 취약한 비밀번호 또는 기본으로 세팅된 비밀번호를 사용해 SCADA 서버, 히스토리 등 다양한 네트워크 요소에 접근했다. 이들은 알려진 취약점을 스캔하고 이를 기반으로 포트를 열어 취약하거나 기본 암호를 악용해 공격에 성공한 것으로 파악된다고 밝혔다.
미국에서는 2021년 2월 10일 플로리다주 올즈마(Oldsmar) 마을의 1만 5,000명의 주민에게 물을 공급하는 식수 시스템을 타깃으로 한 해커가 식수 생산시설의 시스템 컴퓨터를 완전히 제어할 수 있는 팀뷰어(TeamViewer) 계정 해킹에 성공했다. 해당 시스템에서는 지하수 저장소의 화학물질 함량을 설정하는 프로그램이 있었으며, 해커는 안전하지 않은 화학물질 수준을 측정하기 위한 백업 경고를 차단한 채 잠깐의 시간 동안 단 몇 번의 클릭만으로 물속의 수산화나트륨(양잿물) 수치를 100ppm에서 1만 1,100ppm으로 높이도록 조정했다. 미국의 국립유독물센터(National Capital Poison Center) 의료 독성학 의사는 “수산화나트륨 수치가 1만ppm을 초과하면 목넘김, 메스꺼움과 구토, 잠재적인 위장관 손상으로 이어질 수 있다”고 밝혔다.
같은 해 7월, 미국 메인주에 있는 WWS(Water and Wastewater System, 상하수도 시스템) 폐수처리 SCADA(Supervisory Control And Data Acquisition) 운영 컴퓨터(서버)가 주카노(Zucano) 랜섬웨어의 공격을 받았다. 해당 랜섬웨어 변종은 약 한 달 동안 감염된 PC에 머무른 것으로 드러났다.
노르웨이에서는 2021년 5월초 수자원 인프라 분야의 사업을 영위하는 애플리케이션과 소프트웨어를 갖춘 볼루(Volue) 기업이 류크(Ryuk) 랜섬웨어의 공격을 받았다. 이번 공격으로 Volue의 고객인 전국 200개 공공 상수도 공급업체의 정보 시스템으로 감염이 퍼져 프론트엔드 플랫폼이 영향을 받았다. 볼루 기업은 공격 사실을 파악한 이후 신속하게 감염된 시스템을 격리, 복원 수단을 마련해 피해를 최소화했다.
영국에서는 2022년 8월 수도공급회사인 사우스스태프워터(South Staffs Water)와 캠브리지워터(Cambridge Water)의 모회사 사우스스태포드셔(South Staffordshire PLC)가 클롭(Clop) 랜섬웨어의 공격을 받아 은행 세부정보가 다크웹에서 액세스됐다. 해커는 이번 공격으로 계좌 소유자의 이름과 주소, 직불 결제에 사용되는 분류코드와 계좌번호 등을 모두 확보한 것으로 알려졌다. 사우스스태포드셔는 해당 지역에서 170만명이 넘는 주민들에게 서비스를 제공하고 있지만, 얼마나 많은 사람들의 개인정보가 유출됐는지는 밝히지 않았다.
▲AI·ICT 기반 국가 상수도 전 과정 스마트화 도식도[자료=K-water]
물 관리 위해 우라나라는 어떤 보안 시스템 갖추고 있나
환경부 산하 준 공기업인 한국수자원공사(K-water)는 수질을 개선하고, 생활용수 등의 공급을 원활하게 하며 국민에게 공급 수자원을 종합적으로 개발·관리하는 기업이다. 한국수자원공사는 공공복리 및 국가발전에 필수적인 물과 전기를 안정적으로 공급하고 홍수 등 재해로부터 국민의 생명과 재산을 보호한다. K-water는 국가의 안전과 국민생활 안정을 위해 안전보장·에너지·수자원 등의 업무와 관련된 전자적 제어·관리시스템 및 정보통신망 운영 관련해 정보통신기반보호법 제8조에 의해 발전통합운영시스템, 수도통합운영시스템, 댐·홍수경보시스템 등 주요정보통신기반시설 3개가 지정돼 법령으로 관리되고 있다.
▲K-water 정보통신 기반시설 현황(63개 부서, 122개 시설)[자료=K-water]
‘발전통합운영시스템’은 발전기, 댐 수문 원격 감시·제어를 하며, 전국에 14개 시설을 운영하고 있다. ‘수도 통합운영시스템’은 수도시설 원격 감시·제어를 맡고 있으며, 전국에 74개의 시설을 운영한다. ‘댐·홍수경보시스템’은 수문(水門) 자료 취득 및 방류시 경보방송을 실시하는 역할을 하며 전국에 34개 시설을 보유하고 있다. 3개의 시스템과 전국 122개의 시설이 우리나라의 핵심 물줄기 공급의 보안을 총책임지고 있다.
K-water의 주요 정보통신기반시설 보호는 정보보호최고책임자(CISO)인 K-water 정보보안 처장이 제어보안책임자를 맡아 총괄한다. 제어보안책임자 산하 각 주요정보통신기반시설 운영 총괄부서인 수도관리처(수도통합운영시스템)와 수자원운영처(발전통합운영시스템 및 댐·홍수경보시스템)의 처장이 제어보안담당을 맡고 있다.
▲K-water 주요 정보통신기반시설 보호 조직 구성도[자료=K-water]
K-water는 주요 정보통신기반시설의 내·외부 사이버위협에 대한 사전 예방을 위해 기반시설에 영향을 미치는 서버, 네트워크, DB, 제어시스템 등 정보통신설비 대상에 대해 매년 ‘주요정보통신기반시설 취약점 분석·평가’를 실시하고 있다. 취약점 분석·평가업무는 정보통신기반보호법(법률 제18870호) 제9조(취약점의 분석·평가)를 근거로 시행하고 있으며 진단결과는 환경부와 국가정보원 등 유관기관에 통보한다. 또한, 매년 국가정보원 주관으로 ‘주요정보통신기반시설 보호대책 이행여부’를 평가받고 있으며, 그 결과는 공공기관 경영평가에도 반영된다.
K-water는 재난과 해킹에 대한 위기대응 역량을 강화하기 위해 매년 주요 정보통신기반시설 담당자 대상으로 제어시스템 사이버공격 대응훈련을 실시하고 있다. 실제 재난 발생에 따른 운영업무의 연속성 보장을 위해 경기 과천, 충북 충주, 충북 청주 등에 재해복구센터를 구축해 주요 제어시스템에 대한 백업체계가 이뤄지고 있다.
K-water 디지털혁신본부 정보보안처 이은일 사이버안전팀장은 “최근 지능화·고도화·대형화되는 국가기반시설에 대한 사이버위협이 증가하고 있다”며 “사이버위협으로부터 주요 정보통신기반시설을 보호하고, 안정적으로 수자원을 운영·관리해 국민생활 향상과 공공복리 증진에 지속적으로 이바지함으로써 국민 물복지 실현에 앞장서겠다”고 밝혔다.
[김영명 기자(boan@boannews.com)]
사이버 공격으로 인한 해외 ‘물’ 공급망 공격사례, 국내 대응책 살펴보니
[보안뉴스 김영명 기자] 인간이 살아가는데 가장 중요한 세 가지는 ‘의·식·주’다. 그리고 그보다 더 기본이 되는 인간 삶의 필수요소는 ‘물(water)’이다. 고대 문명의 발상지는 ‘물’이 있는 곳에서 시작됐다. 티그리스·유프라테스강 유역의 ‘메소포타미아 문명’, 나일강 유역의 ‘이집트 문명’, 인더스강 유역의 ‘인더스 문명’, 황허 유역의 ‘황허 문명’ 등 세계 4대 문명의 기원은 ‘물’과 함께 였다. 우리나라도 ‘한강’이 중심을 가르고 있는 ‘서울’이 대한민국 수도로 자리하고 있는 것도 같은 이유일 것이다. ‘물의 길’은 곧 ‘생명의 길’이 되기 때문이다.
[이미지=utoimage]
물은 인간만이 아닌 모든 살아 있는 생물(동물과 식물 포함)에게 필요하다. 또한, 기업이 제품을 생산하기 위해서는 좋은 기계를 마련하는 것도 필요하지만, ‘물’도 꼭 필요하다. 우리나라는 세계에서 가장 뛰어난 반도체 강국이다. 이 반도체의 생산공정에도 ‘물’은 매우 중요하다.
이러한 가운데 지구 온난화 등 기후변화로 전 세계에서 물 부족의 심각성은 더욱 커지고 있다. 우리 기상청은 지난달에 발표한 ‘2022년 이상기후 보고서’에서 지난해는 1974년 이후 가장 많은 227.3일의 기상가뭄 일수를 기록했다고 밝히기도 했다.
자연적인 현상으로 인한 ‘물’ 부족은 우리 인류의 미래에도 큰 영향을 미칠 수밖에 없다. 하지만 이제는 국가핵심자원인 수자원, 즉 ‘물’ 공급망의 사이버 공격으로 인한 위협도 현실에서 발생하고 있다. 실제로 해외에서는 식수 인프라를 대상으로 하는 사이버공격 사례가 이슈가 되기도 했다.
해외의 식수 인프라 주요 공격사례
수도 시설은 국가의 안녕유지와 경제 발전에 기초가 되는 사회기반시설의 하나로 분류된다. 우리나라의 주요 사회기반시설은 도로, (도시)철도, 공항, 항만, 다목적댐, 상수도, 전기통신설비, 전원설비 등 다양하다. 사회기반시설의 하나인 식수 인프라에 대한 공격은 해외에서도 꾸준히 이어지고 있다. 그 중에 몇 가지 사례를 살펴본다.
[이미지=utoimage]
보안 외신인 더 레지스터(The Register)에 따르면, 2016년 3월에 시리아와 연계된 것으로 알려진 한 해킹그룹이 ‘(가칭)케무리 워터사(Kemuri Water Company)’의 컴퓨터를 해킹했다. 해당 공격은 케무리 워터사의 노후된 AS/400 기반 운영제어 시스템의 노출 SQL 주입 및 피싱 관련 해킹 공격이었다. 해당 시스템은 식수의 흐름을 제어하는 밸브와 덕트를 조절하는 프로그래머블 로직 컨트롤러(Programmable Logic Controller, PLC)와 화학물질을 관리한다. 공격자는 흐름제어 시스템 작동방식의 정확한 매뉴얼을 인지하지 못한 상태에서 애플리케이션의 설정을 수정했다. 시스템 조작으로 급수에 들어가는 화학물질의 양 변경을 통해 급수를 보충하기 위한 회수 시간을 늘리며 수처리 및 생산능력을 약화시켰다. 당시 해킹 공격으로 해당 시스템에 등록된 고객 250만명의 개인정보가 유출되기도 했다.
또한, 이스라엘의 수도관리공단은 2020년 4월 24일~25일 이틀에 걸쳐 사이버 공격을 받은 것으로 알려졌다. 이스라엘 뉴스 YNET에 따르면, 이스라엘 수도관리공단 관계자들은 해당 급수시설의 OT(운영체제) 시스템에 대한 사이버 공격이 여러 차례 발생했지만, 보안 시설을 잘 갖춰 큰 피해를 입지 않았다고 밝혔다. 이스라엘 언론에 따르면, 이스라엘 대부분의 지역 상수도와 폐수시설은 사이트를 소규모로 운영하며 보안에 크게 신경쓰지 않았다. 공격자는 OT 환경의 일부 요소에 원격으로 액세스했으며, 취약한 비밀번호 또는 기본으로 세팅된 비밀번호를 사용해 SCADA 서버, 히스토리 등 다양한 네트워크 요소에 접근했다. 이들은 알려진 취약점을 스캔하고 이를 기반으로 포트를 열어 취약하거나 기본 암호를 악용해 공격에 성공한 것으로 파악된다고 밝혔다.
미국에서는 2021년 2월 10일 플로리다주 올즈마(Oldsmar) 마을의 1만 5,000명의 주민에게 물을 공급하는 식수 시스템을 타깃으로 한 해커가 식수 생산시설의 시스템 컴퓨터를 완전히 제어할 수 있는 팀뷰어(TeamViewer) 계정 해킹에 성공했다. 해당 시스템에서는 지하수 저장소의 화학물질 함량을 설정하는 프로그램이 있었으며, 해커는 안전하지 않은 화학물질 수준을 측정하기 위한 백업 경고를 차단한 채 잠깐의 시간 동안 단 몇 번의 클릭만으로 물속의 수산화나트륨(양잿물) 수치를 100ppm에서 1만 1,100ppm으로 높이도록 조정했다. 미국의 국립유독물센터(National Capital Poison Center) 의료 독성학 의사는 “수산화나트륨 수치가 1만ppm을 초과하면 목넘김, 메스꺼움과 구토, 잠재적인 위장관 손상으로 이어질 수 있다”고 밝혔다.
같은 해 7월, 미국 메인주에 있는 WWS(Water and Wastewater System, 상하수도 시스템) 폐수처리 SCADA(Supervisory Control And Data Acquisition) 운영 컴퓨터(서버)가 주카노(Zucano) 랜섬웨어의 공격을 받았다. 해당 랜섬웨어 변종은 약 한 달 동안 감염된 PC에 머무른 것으로 드러났다.
노르웨이에서는 2021년 5월초 수자원 인프라 분야의 사업을 영위하는 애플리케이션과 소프트웨어를 갖춘 볼루(Volue) 기업이 류크(Ryuk) 랜섬웨어의 공격을 받았다. 이번 공격으로 Volue의 고객인 전국 200개 공공 상수도 공급업체의 정보 시스템으로 감염이 퍼져 프론트엔드 플랫폼이 영향을 받았다. 볼루 기업은 공격 사실을 파악한 이후 신속하게 감염된 시스템을 격리, 복원 수단을 마련해 피해를 최소화했다.
영국에서는 2022년 8월 수도공급회사인 사우스스태프워터(South Staffs Water)와 캠브리지워터(Cambridge Water)의 모회사 사우스스태포드셔(South Staffordshire PLC)가 클롭(Clop) 랜섬웨어의 공격을 받아 은행 세부정보가 다크웹에서 액세스됐다. 해커는 이번 공격으로 계좌 소유자의 이름과 주소, 직불 결제에 사용되는 분류코드와 계좌번호 등을 모두 확보한 것으로 알려졌다. 사우스스태포드셔는 해당 지역에서 170만명이 넘는 주민들에게 서비스를 제공하고 있지만, 얼마나 많은 사람들의 개인정보가 유출됐는지는 밝히지 않았다.
▲AI·ICT 기반 국가 상수도 전 과정 스마트화 도식도[자료=K-water]
물 관리 위해 우라나라는 어떤 보안 시스템 갖추고 있나
환경부 산하 준 공기업인 한국수자원공사(K-water)는 수질을 개선하고, 생활용수 등의 공급을 원활하게 하며 국민에게 공급 수자원을 종합적으로 개발·관리하는 기업이다. 한국수자원공사는 공공복리 및 국가발전에 필수적인 물과 전기를 안정적으로 공급하고 홍수 등 재해로부터 국민의 생명과 재산을 보호한다. K-water는 국가의 안전과 국민생활 안정을 위해 안전보장·에너지·수자원 등의 업무와 관련된 전자적 제어·관리시스템 및 정보통신망 운영 관련해 정보통신기반보호법 제8조에 의해 발전통합운영시스템, 수도통합운영시스템, 댐·홍수경보시스템 등 주요정보통신기반시설 3개가 지정돼 법령으로 관리되고 있다.
▲K-water 정보통신 기반시설 현황(63개 부서, 122개 시설)[자료=K-water]
‘발전통합운영시스템’은 발전기, 댐 수문 원격 감시·제어를 하며, 전국에 14개 시설을 운영하고 있다. ‘수도 통합운영시스템’은 수도시설 원격 감시·제어를 맡고 있으며, 전국에 74개의 시설을 운영한다. ‘댐·홍수경보시스템’은 수문(水門) 자료 취득 및 방류시 경보방송을 실시하는 역할을 하며 전국에 34개 시설을 보유하고 있다. 3개의 시스템과 전국 122개의 시설이 우리나라의 핵심 물줄기 공급의 보안을 총책임지고 있다.
K-water의 주요 정보통신기반시설 보호는 정보보호최고책임자(CISO)인 K-water 정보보안 처장이 제어보안책임자를 맡아 총괄한다. 제어보안책임자 산하 각 주요정보통신기반시설 운영 총괄부서인 수도관리처(수도통합운영시스템)와 수자원운영처(발전통합운영시스템 및 댐·홍수경보시스템)의 처장이 제어보안담당을 맡고 있다.
▲K-water 주요 정보통신기반시설 보호 조직 구성도[자료=K-water]
K-water는 주요 정보통신기반시설의 내·외부 사이버위협에 대한 사전 예방을 위해 기반시설에 영향을 미치는 서버, 네트워크, DB, 제어시스템 등 정보통신설비 대상에 대해 매년 ‘주요정보통신기반시설 취약점 분석·평가’를 실시하고 있다. 취약점 분석·평가업무는 정보통신기반보호법(법률 제18870호) 제9조(취약점의 분석·평가)를 근거로 시행하고 있으며 진단결과는 환경부와 국가정보원 등 유관기관에 통보한다. 또한, 매년 국가정보원 주관으로 ‘주요정보통신기반시설 보호대책 이행여부’를 평가받고 있으며, 그 결과는 공공기관 경영평가에도 반영된다.
K-water는 재난과 해킹에 대한 위기대응 역량을 강화하기 위해 매년 주요 정보통신기반시설 담당자 대상으로 제어시스템 사이버공격 대응훈련을 실시하고 있다. 실제 재난 발생에 따른 운영업무의 연속성 보장을 위해 경기 과천, 충북 충주, 충북 청주 등에 재해복구센터를 구축해 주요 제어시스템에 대한 백업체계가 이뤄지고 있다.
K-water 디지털혁신본부 정보보안처 이은일 사이버안전팀장은 “최근 지능화·고도화·대형화되는 국가기반시설에 대한 사이버위협이 증가하고 있다”며 “사이버위협으로부터 주요 정보통신기반시설을 보호하고, 안정적으로 수자원을 운영·관리해 국민생활 향상과 공공복리 증진에 지속적으로 이바지함으로써 국민 물복지 실현에 앞장서겠다”고 밝혔다.
[김영명 기자(boan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
