Home > 전체기사

콜로니얼 파이프라인 사건 겪은 미국, 파이프라인 보안 위한 새 지침 발표

  |  입력 : 2021-05-28 15:40
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
얼마 전 미국 송유관이 랜섬웨어 공격으로 마비됐다. 공격자들에게 440만 달러라는 돈을 주고서 해결한 이 문제는 미국 인프라의 약점을 그대로 드러내기도 했다. 그래서 ‘자발적 보안 강화’라는 기조를 유지하던 미국 정부가 더는 안 되겠다며 팔을 걷어 붙였다.

[보안뉴스 문가용 기자] 미국의 국토안보부 산하 조직인 TSA와 CISA가 사회 기반 구조가 되는 송유관을 위한 사이버 보안 관련 명령문을 발표했다. 이제부터 국가 파이프라인을 관리하는 모든 조직들은 사이버 보안 관련 사고가 발생하거나 의심되는 상황을 맞닥트리면 TSA와 CISA에 보고해야 하며, 사이버 보안 담당자를 새로 임명해 사건 대응 능력을 강화해야 하며, 30일 안에 포괄적인 위협 평가를 실시한 후 이를 바탕으로 사이버 보안 계획을 수립해야 한다. 미국의 파이프라인은 총 270만 마일에 달한다고 한다.

[이미지 = utoimage]


명령문을 통해 국토안보부 장관인 알레한드로 마요르카스(Alejandro N. Mayorkas)는 “이로써 파이프라인 인프라에 대한 사이버 공격을 보다 빠르게 탐지하고 보다 효과적으로 대처할 수 있을 것”이라고 말했다. “사이버 위협은 항상 변하는 것으로, 우리도 이런 변화들에 적응해야 합니다. 최근 벌어진 랜섬웨어 사건으로 볼 수 있듯이 사회 기반 시설에서 벌어지는 사이버 공격은 국가 안보에 영향을 줄 수 있습니다.”

‘적응’을 말한 것이 전혀 옹색하지 않은 건, 콜로니얼 파이프라인 사건이 벌어진 지 3주도 지나지 않아 이와 같은 명령문이 구상 및 발표된 것이기 때문이다. 러시아의 해킹 단체 다크사이드(DarkSide)가 일으킨 콜로니얼 파이프라인은 미국 일부 지역의 연료 공급에 차질을 빚어 사회적 혼란을 일으켰고, 결국 파이프라인 운영사였던 콜로니얼은 다크사이드에게 400만 달러가 넘는 돈을 지불했다.

보안 업체 태니엄(Tanium)의 CISO이자 전 국토안보부 요원이었던 크리스 할렌벡(Chris Hallenbeck)은 “2주 전 발표된 사이버 보안 관련 바이든 대통령의 행정명령과 비교했을 때 사회 기반 시설에 대해서는 꽤나 정부가 엄중한 스탠스를 취하고 있다는 걸 볼 수 있다”고 말한다. “파이프라인 분야 혹은 사회 기반 시설에 한해서는 ‘자발적으로 이루어졌던 요소’들이 점점 강제적으로 변해갈 것으로 보입니다. 그것이 현재 상황에서 타당하기도 합니다.”

사실 국토안보부는 2018년 10월에도 파이프라인 사이버 보안과 관련한 명령문을 발표한 바 있다. 하지만 이 경우 위협 평가를 ‘자발적으로 진행할 것’이라고 명시되어 있다. 그리고 오늘까지 자발적으로 위협 평가를 실시하고 체질 개선을 꾀한 조직은 거의 없었다고 보안 업체 데님그룹(Denim Group)의 회장인 존 딕슨(John Dickson)은 설명한다. “누구나 알만한 거대 기업인 엑슨모빌(Exxon Mobil)이나 셸(Shell) 정도를 제외하면 ‘자발적으로 보안 강화’라는 부분을 그 누구도 귓등으로도 듣지 않았습니다.”

딕슨은 “사회 기반 시설과 관련된 기업들은 보안에 대해 거의 아무 것도 고려하지 않는다고 봐도 무방하다”고 비판한다. “그들이 생각하는 보안이란, 걸려서 벌금만 안 내면 된다, 수준입니다. 그런 사람들이 관리하는 인프라를 어떻게 강화할까요? 걸려서 벌금을 내게 하면 됩니다. 그런 의미에서 많은 것을 강제적으로 바꿔버린 이번 명령은 거의 어쩔 수 없는 선택지였을 거라고 봅니다.”

할렌벡은 “한 가지 아쉬운 건 랜섬웨어 공격자들에게 돈을 지불하는 문제에 대해서 이번 명령문이 언급하지 않고 있다는 것”이라고 지적했다. “재무부는 범인들과의 협상이 불법이라고 보고 있는데, FBI까지 개입한 이번 콜로니얼 사건에서 업체는 돈을 지불했죠. 범인들에게 돈을 내는 문제를 국토안보부나 관련자 모두 진지하게 논의해야 합니다. 그 부분을 앞으로 더 다뤄야 할 것입니다.”

3줄 요약
1. 미국 국토안보부, 파이프라인 관리사들을 위한 새로운 보안 지침 발표.
2. 2018년 지침이나 2주 전 행정명령에 비해 꽤나 강경하고 강제적인 내용이 많이 포함되어 있음.
3. 다만 범인들에게 돈을 지불하는 문제에 대해서는 별다른 언급이 없음.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 6개월 2021년7월1~12월31일 까지엔사인 파워비즈 2021년6월1일~11월30일 까지2021 전망보고서위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2021년 상반기 발생했던 보안 사건 가운데 가장 파급력이 컸던 이슈는 무엇이라고 보시나요?
솔라윈즈 사건
콜로니얼 파이프라인 사건
카세야 사건
익스체인지 서버 취약점 사건
원자력연구원/KAI 해킹 사건
국내 대기업 주요 정보 다크웹 유출 사건
기타(댓글로)