미국 국토안보부 정보분석실의 첩보 활동 보고서가 최근 공개되었다. U/FOUO(비밀은 아니지만 대외비)로 분류된 이 보고서는 작성일이 2016년 1월 27일로, 2011년 초에서 2016년 1월 사이 발생한 에너지 부문에 대한 사이버 공격 현황을 상세히 담고 있다.
ICS-CERT, 정보기관, 민간 기업, 사이버보안 산업, 미디어 등에서 입수한 정보와 분석을 토대로 작성된 이 보고서에 의하면 미국 에너지 부문에 대한 파괴적이거나 위협적인 공격은 적었으며 특별한 피해나 장애는 발생하지 않았다고 한다.
보고서는 외국 해커, 혹은 외국 정부가 배후로 보이는 해커들은 2013년 10월 1일부터 2014년 9월 30일 사이에 미국 에너지 부문에 대하여 최소한 17건의 공격을 시도했고, 그 중 미국 석유공사 부문 2군데 시스템이 침입 당했고, 1군데기 데이터를 도난당한 것으로 의심된다고 전했다.
공격 목적은 산업 스파이도 있지만 고도의 실력을 지닌 외국 정부를 등에 업은 해커들이 에너지 망에 침입하는 주목적은 미국 에너지 시설에 맬웨어를 심고 접속을 유지해 차후 미국과 교전하는 사태가 발생하는 경우 에너지 기반시설을 파괴하거나 고장내기 위함으로 보인다고 보고서는 전했다. 이런 직접적 표현은 미국 정부로서는 상당히 이례적인 경우다.
작년 12월 발생한 우크라이나 전력회사 6군데가 사이버 공격을 당해 8만 가구가 6시간 동안 정전된 사고에 관해서는 우크라이나 정부로부터 공격에 사용된 맬웨어를 제공받아 ICS-CERT가 분석했으며, 그 결과 ICS 공격을 위해 특수 제작된 맬웨어의 변종임이 밝혀졌다고 전했다. 이 맬웨어는 원격지 접속, 시스템 드라이브를 포함한 컴퓨터 자료 삭제 기능을 갖고 있었다고 한다. 미국 첩보기관은 이 사고가 누구의 소행인지 밝혀내지 못했지만 여러 정황으로 러시아가 의심되며, 동 사고가 미국 에너지 기반시설 보안에 미치는 영향은 미미하다고 강조했다.
이 밖에 2014년 11월 미국 전력망에 대한 공격 주체가 중국이라는 설에 관해서는 증거가 없으며, 2014.12월 미국 전력망이 해커들의 지속적인 공격을 당했다는 주요 언론 보도에 관해서는 당시 DoS 공격도 없었고 피해도 발생하지 않았으므로 공격이 아닌 산업스파이 활동으로 표현하는 게 맞다고 주장했다. 시스템 피해나 고장 사고 원인을 조사한 결과 잘못된 설정 때문임이 밝혀졌다고 전했다.
보고서는 피해 여부를 떠나 에너지 부문이 크고 작은 공격에 노출된 것은 사실로, 에너지 부문 시설 소유자들과 운영자들은 보안에 신경을 써야 하며, 다음 4가지만 제대로 실천해도 공격을 막는 데 큰 효과가 있을 거라고 강조했다.
1. 이메일 필터 업데이트
2. 바이러스 백신 업데이트
3. 모든 소프트웨어 패치 업데이트
4. 직원들에 대한 지속적인 보안 교육
출처: 보고서 원문(PDF)