2013.07.08

대규모 사이버 공격에 대한 핵심 인프라 보호, "우리는 대비하고 있는가"

Taylor Armerding | CIO

누군가는 금융 시스템의 붕괴를, 또 누군가는 전력망의 마비를, 다른 누군가는 또 다른 위협 시나리오를 우려한다. 정말 미래엔 정말 사이버 9.11 테러가 도사리고 있을까? 그렇다면, 그것을 막을 방법은 무엇일까?

보안 문제에 조금이라도 관심이 있는 사람이라면 사이버 공격으로부터 핵심 인프라스트럭처(Critical Infrastructure, CI)를 보호하는데 국가적 노력이 필요하다는 것에 이견을 가질 사람은 아무도 없을 것이다. 그러나 어떤 인프라스트럭처가 사회의 '핵심' 부문인 지에 관해서는 의견이 다양하다.

최근 오바마 미 대통령이 서명한 것으로 알려진 사이버 보안 관련 대통령령(Presidential Policy Directive)을 살펴보면, 운송, 에너지, 식품, 용수, 금융 서비스 등 총 16개의 인프라스트럭처가 CI로 분류되고 있는 것을 확인할 수 있다.

그러나 전직 CIA 사무관으로 현재는 RAND 코퍼레이션(RAND Corporation)의 상임 국제 문제 애널리스트로 재직 중인 마크 스파크먼은 CNN 포스트를 통해 물리적 인프라스트럭처에 초점이 맞춰진 '사이버 아마겟돈(cyber Armageddon)' 시나리오에는 과장된 측면이 있다고 주장했다.

스파크먼은 미국의 주요 인프라스트럭처 부문들에는 자연 재해 등의 사고로 전력이나 용수가 차단되더라도 수 일, 길게는 수 주까지 정상적으로 가동될 역량이 갖춰져 있다고 분석했다.

하지만 금융 부문만은 예외라고 덧붙였다.

스파크먼은 "혼란을 원하는가? 그렇다면 은행 시스템을 (일부라도) 파괴하라. 그런 뒤 한 걸음 물러나 팔짱을 끼고 기다리면 혼란은 금세 찾아올 것이다. 자산을 잃어버린 예금자들의 무장 시위가 일어날 것이고 해결책을 찾지 못한 정부가 택할 방법은 군대를 동원하는 것 밖에는 없게 될 것이다. 금융 시스템의 파괴는 금융 시장만의 문제로 끝나지 않을 것"이라고 설명했다.

하지만 산업 관리 시스템(Industrial Control System, ICS) 전문가 조 웨이스는 "전직 CIA 요원조차 ICS 사이버 보안을 제대로 이해하지 못하고 있다"며 스파크먼의 전망에 반박했다.

어플라이드 콘트롤 솔루션즈(Applied Control Solutions)의 경영 파트너로 활동 중인 웨이스는 블로그를 통해 "국가 금융 시스템에 가해질 거대 공격의 영향력을 무시하는 말이 아니다. 다만 어떤 인프라스트럭처에 있어서도 공격의 영향력은 위협적이라는 사실을 이야기하는 것이다. 전력 인프라를 예로 들어보자. 이것이 붕괴된다면, 그 영향 역시 사회 전반으로 확대되기는 마찬가지다. 그 어떤 금융 기관도 전기없이 운영되진 않는다"고 지적했다.

마크 블래크머 역시 바이스의 포스트에 '명쾌한 글이다. 전기가 없으면, 은행도 없다'고 동의했다. 전력망에 사이버 공격이 가해질 경우 이와 관련한 모든 영향이 단 몇 주 만에 정상화되지는 않을 것이라는게 웨이스의 주장이다.

웨이스는 "사이버 공격은 전압기나 보일러, 터빈 등과 같이 우리가 매일 마주하는 도구들에까지 영향을 미칠 수 있다"고 설명했다.

자칫 사소하게 보일지 모르는 이 크고 작은 부품, 설비들은 사실 사회를 구성하는데 없어선 안될 요소들이다. 이런 요소에 표적 공격이 가해진다면, 그 영향은 9~18 개월 가량 지속될 것이라는게 전문가들의 시각이다.




2013.07.08

대규모 사이버 공격에 대한 핵심 인프라 보호, "우리는 대비하고 있는가"

Taylor Armerding | CIO

누군가는 금융 시스템의 붕괴를, 또 누군가는 전력망의 마비를, 다른 누군가는 또 다른 위협 시나리오를 우려한다. 정말 미래엔 정말 사이버 9.11 테러가 도사리고 있을까? 그렇다면, 그것을 막을 방법은 무엇일까?

보안 문제에 조금이라도 관심이 있는 사람이라면 사이버 공격으로부터 핵심 인프라스트럭처(Critical Infrastructure, CI)를 보호하는데 국가적 노력이 필요하다는 것에 이견을 가질 사람은 아무도 없을 것이다. 그러나 어떤 인프라스트럭처가 사회의 '핵심' 부문인 지에 관해서는 의견이 다양하다.

최근 오바마 미 대통령이 서명한 것으로 알려진 사이버 보안 관련 대통령령(Presidential Policy Directive)을 살펴보면, 운송, 에너지, 식품, 용수, 금융 서비스 등 총 16개의 인프라스트럭처가 CI로 분류되고 있는 것을 확인할 수 있다.

그러나 전직 CIA 사무관으로 현재는 RAND 코퍼레이션(RAND Corporation)의 상임 국제 문제 애널리스트로 재직 중인 마크 스파크먼은 CNN 포스트를 통해 물리적 인프라스트럭처에 초점이 맞춰진 '사이버 아마겟돈(cyber Armageddon)' 시나리오에는 과장된 측면이 있다고 주장했다.

스파크먼은 미국의 주요 인프라스트럭처 부문들에는 자연 재해 등의 사고로 전력이나 용수가 차단되더라도 수 일, 길게는 수 주까지 정상적으로 가동될 역량이 갖춰져 있다고 분석했다.

하지만 금융 부문만은 예외라고 덧붙였다.

스파크먼은 "혼란을 원하는가? 그렇다면 은행 시스템을 (일부라도) 파괴하라. 그런 뒤 한 걸음 물러나 팔짱을 끼고 기다리면 혼란은 금세 찾아올 것이다. 자산을 잃어버린 예금자들의 무장 시위가 일어날 것이고 해결책을 찾지 못한 정부가 택할 방법은 군대를 동원하는 것 밖에는 없게 될 것이다. 금융 시스템의 파괴는 금융 시장만의 문제로 끝나지 않을 것"이라고 설명했다.

하지만 산업 관리 시스템(Industrial Control System, ICS) 전문가 조 웨이스는 "전직 CIA 요원조차 ICS 사이버 보안을 제대로 이해하지 못하고 있다"며 스파크먼의 전망에 반박했다.

어플라이드 콘트롤 솔루션즈(Applied Control Solutions)의 경영 파트너로 활동 중인 웨이스는 블로그를 통해 "국가 금융 시스템에 가해질 거대 공격의 영향력을 무시하는 말이 아니다. 다만 어떤 인프라스트럭처에 있어서도 공격의 영향력은 위협적이라는 사실을 이야기하는 것이다. 전력 인프라를 예로 들어보자. 이것이 붕괴된다면, 그 영향 역시 사회 전반으로 확대되기는 마찬가지다. 그 어떤 금융 기관도 전기없이 운영되진 않는다"고 지적했다.

마크 블래크머 역시 바이스의 포스트에 '명쾌한 글이다. 전기가 없으면, 은행도 없다'고 동의했다. 전력망에 사이버 공격이 가해질 경우 이와 관련한 모든 영향이 단 몇 주 만에 정상화되지는 않을 것이라는게 웨이스의 주장이다.

웨이스는 "사이버 공격은 전압기나 보일러, 터빈 등과 같이 우리가 매일 마주하는 도구들에까지 영향을 미칠 수 있다"고 설명했다.

자칫 사소하게 보일지 모르는 이 크고 작은 부품, 설비들은 사실 사회를 구성하는데 없어선 안될 요소들이다. 이런 요소에 표적 공격이 가해진다면, 그 영향은 9~18 개월 가량 지속될 것이라는게 전문가들의 시각이다.


X