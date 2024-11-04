미국에 상장된 최대의 상하수도 유틸리티 기업인 American Water는 최근 사이버 보안 사고가 발생하여 고객 청구 플랫폼을 비롯한 주요 시스템의 연결이 끊어졌습니다. 해당 기업의 조사가 계속됨에 따라 점차 사이버 공격의 표적이 되고 있는 수자원 분야의 취약점에 대한 우려가 커지고 있습니다.
이번 침해 사고는 오랫동안 업계를 괴롭혀온 중요한 인프라 위험에 대한 경각심을 일깨워 줍니다. 이 수도 유틸리티 기업은 운영과 수질에 영향이 없음을 확인했지만, American Water의 청구 시스템 및 고객 포털 폐쇄는 필수 서비스의 운영 기술(OT) 취약성과 정보 기술(IT) 취약성 사이의 중요한 교차점을 강조합니다.
미국의 상하수도 시스템은 공중 보건과 환경에 매우 중요하지만, 만성적인 자금 부족, 레거시 인프라, 확장되는 공격 표면으로 인해 어려움을 겪고 있습니다. 이러한 유틸리티는 최신 보안 보호 기능이 없는 구형 OT 시스템에 의존하고 있기 때문에 사이버 위협에 특히 취약합니다.
CISA의 보고서에 따르면 친러시아 핵티비스트들이 수도 유틸리티 내의 산업 제어 시스템(ICS)을 표적으로 삼는 경우가 증가해왔으며, 많은 경우 기본 비밀번호, 보안되지 않은 원격 액세스 포인트, 기타 취약한 사이버 위생 관행을 악용합니다.
수도 시스템은 정수 처리 및 배수와 같은 중요한 기능을 관리하기 위해 복잡한 ICS 네트워크에 의존한다는 점에서 독특합니다. 이러한 시스템은 애에 사이버 보안을 염두에 두고 설계되지 않았기 때문에 오늘날의 위협 환경에 맞지 않는 '땜질식' 방어 체계로 이어졌습니다.
공격자, 특히 국가적 공격자들은 민간 인프라를 교란하고 광범위한 공황을 일으킬 수 있는 잠재력 때문에 수도 시설을 중요한 표적으로 간주합니다. 또한 상수도 시스템은 강력한 보안이 부족하기 때문에 침입하기가 더 쉽습니다. 전반적으로 물 부문은 취약성으로 인해 금전적 이득을 취하거나 지정학적 압력을 행사하려는 공격자의 주요 표적이 되고 있습니다.
8-K 공시 통해 사이버 공격을 공개하기로 한 American Water의 결정은 중요 인프라로서의 역할과 그 지위에 따르는 엄격한 규제 요구 사항을 분명히 보여줍니다. 2022년 중요 기반 시설에 대한 사이버 사고 보고법(CIRCIA)은 중요 인프라 기관이 사이버 사고를 감지한 후 72시간 이내에 CISA에 보고하도록 규정하고 있습니다. 이는 필수 서비스를 겨냥한 사이버 위협을 적시에 보고하고 대응하기 위한 광범위한 연방 이니셔티브의 일입니다.
CIRCIA에 따라 조직은 CISA와 같은 연방 기관뿐만 아니라 대중에게도 통지해야 하며, 특히 서비스 중단이나 데이터 침해가 소비자에게 영향을 미치는 경우 더욱 그렇습니다. 이 경우, 미국 증권 거래 위원회(SEC)는 상장 기업이 재무 상태에 영향을 미칠 수 있는 중대한 사건을 보고하도록 규정하고 있으므로 American Water의 8-K 공시는 법적 신고이자 공개 신고의 역할을 합니다.
이 통지 절차는 중요한 서비스에 대한 대중의 신뢰를 유지하는 데 매우 중요합니다. American Water는 수질과 운영 과정에 영향이 없었다고 대중에게 확신시켰지만, 사이버 공격을 공개하는 투명성은 현재 중요 인프라 운영자가 속한 규제 환경이 강화되었음을 나타냅니다.
수자원 부문은 다른 많은 주요 인프라 부문과 마찬가지로 자발적이고 의무적인 사이버 보안 표준의 프레임워크하에서 운영됩니다. 2023년 미국 환경보호국(EPA)은 안전한 식수 음용법(Safe Water Drinking Act)의 시행에 따라 수도 유틸리티에 대한 필수 사이버 보안 감사를 도입하려고 시도했습니다.
이러한 감사는 유틸리티의 사이버 보안 태세를 평가하기 위한 것으로, 이 중 다수는 다단계 인증(MFA) 및 네트워크 세분화와 같은 기본 보안 조치를 구현하는 데 어려움을 겪고 있습니다. 하지만 여러 주의 법적 문제로 인해 이러한 의무의 완전한 이행이 지연되고 규제 환경은 여전히 변화하고 있습니다.
또한 CISA는 식수 및 폐수 부문의 ICS 및 OT 시스템 보안에 대한 포괄적인 지침을 발표했습니다. 이 지침은 분야 간 사이버 보안 성과 목표(CPG)에 명시되어 있으며, 중요 시스템의 인터넷 노출 감소, 강력한 비밀번호 정책 집행, 구식 산업용 디바이스의 교체 또는 안전 관리 보장 권고 사항을 포함하고 있습니다.
수도 부문에 대한 사이버 공격의 빈도가 증가함에 따라 보다 엄격한 규정과 업계 표준의 필요성에 대한 전국적인 논의가 광범위하게 진행되었습니다. 이에 따라 바이든 행정부는 사이버 보안 교육, 위협 공유 및 보안 기술에 대한 투자를 통해 수자원 시스템 내에서 복원력을 구축하는 것이 중요하다고 강조해 왔습니다.
American Water 사이버 공격은 특히 IT와 OT의 교차점에서 수도 및 폐수 처리 분야를 계속 괴롭히는 취약점을 여실히 보여줍니다. 국가 단위 행위자와 핵티비스트 단체의 지속적인 위협으로 인해 수자원 산업은 사이버 보안 태세를 시급히 강화해야 합니다.
사고 보고에 대한 American Water의 투명성과 CISA 및 법 집행 기관과의 협력은 다른 중요 인프라 제공업체에 필요한 선례를 남겼습니다. 사이버 보안 규정이 계속 발전함에 따라 유틸리티는 사이버 위생을 우선시하고, 모범 사례를 채택하고, 향후 공격의 불가피성에 대비해야 합니다.