사이버 보안 인프라 보안청(CISA, Cybersecurity and Infrastructure Security Agency)은 최근 펜실베이니아주 수도당국이 해킹을 당해 피해가 일어난 이후로 해커들의 상하수도 시설 공격에 대비하도록 28일(현지시간) 각 지역 상하수도 당국에 지시했다.
국토안보부( DHS) 산하기관인 CISA는 해커들이 수도와 하수를 관리하는 기관의 공업적 제어 시스템을 타깃으로 활동하면서 펌프장 시설과 멀리 떨어진 수도 시설들이 기능을 정지하게 되면 결국 소비자들에 대한 물공급이 위기를 겪게 된다고 밝혔다.
CISA가 28일 저녁 이 같은 경고를 발령한 것은 3일 전 펜실베이니아주 피츠버그시 부근의 알리키파 시 수도국에서 해킹과 사이버 테러로 인한 장비 고장으로 단수가 일어났기 때문이다.
당시 해킹은 멀리 떨어진 곳에 있는 상수도 펌프장의 고장을 일으켰다. 그 때문에 인근 2개 마을의 주민들이 수도관 압력 부족으로 수돗물 공급이 끊기는 피해를 입었다. 그 결과 한 동안 자동제어 장치 없이 수동으로 수돗물 공급을 시도하기도 했다고 관련 당국은 말했다.
그 해킹은 보안 패스워드와 인터넷 망의 관리 부실로 인해 손쉽게 일어난 것으로 확인되었다. 이 허술한 보안 시스템은 알리키파 시 뿐 아니라 전국의 여러 기업체와 전기, 석유, 가스 생산 공급 업체에서도 사용하고 있다. 주로 압력, 온도, 물이나 액체의 유속 등을 제어하는 생산 시스템들이 관여되어 있다.
펜실베이니아주에서는 그 동안 식수나 수도 공급에 아무런 이상이 없었는데도 이런 일이 일어났기에 CISA는 미 전역의 수도와 하수도를 관장하는 기관에 시설 보호를 위한 사이버 보안을 강화하도록 지시했다.
문제가 되는 시스템은 이스라엘에 본사를 둔 유니트로닉스 제품으로 이 회사는 다른 지역 시설들도 보안에 취약한지 여부에 대해 아직 답변을 내놓지 않고 있다. 이 회사 웹사이트에 따르면 문제의 제어 시스템은 모든 광범위한 산업 시설에 다용도로 사용될 수 있는 것으로 밝혀져 있다.
바이든 정부는 그 동안 전기, 가스, 원자력 시설의 통제 시스템에 대한 보안 강화를 시도해왔다. 하지만 이런 중요 시설과 시스템의 80%는 아직도 민간 부문, 또는 개인 소유의 시설로 되어 있어 정부의 일관된 통제와 보안은 이뤄지지 않고 있는 것으로 드러났다.
하지만 많은 전문가들은 미국의 치명적으로 중요한 산업체들이 너무 많이 자율 규제와 자체 보안에 의존하고 있고 정부는 소프트웨어 제공업자들에게만 너무 많은 보안 책임을 지우고 있어 해킹의 증가가 우려된다고 말하고 있다.