“전력 그리드, 사이버 공격에 취약” 미 상원 공청회 논란

사이버 보안 법률 제정에 관한 미국 상원 내 토론에 앞서, 지난 17일 전력 관련 기관들은 국회의원들에게 미국의 전력 그리드에 닥친 위협에 대해 경고했다.

상원 에너지와 천연자원 위원회(Senate Committee on Energy and Natural Resources)에 출석한 증인들은, 사이버 위협에 관한 정보 공유가 공공기관과 민간단체 그리고 주정부와 지방정부사이에서 유연하게 이루어지도록 법적으로 보장해야 한다고 강조했다.

“우리는 종종 정보 부족으로 어려움을 겪고있다”라고 북미 전력 안전 회사(North American Electric Reliability Corporation)의 CEO이자 회장인 게리 컬리는 강조하며, 업계과 정부 사이에 정보에 관한 사이버 동반자 관계를 구축해 위협에 대한 이해와 그에 대한 대응이 잘 이루어지도록 해야 한다고 말했다.

정부 회계 감사원(Government Accountability Office)에서 정보와 기술 부문 책임자로 일하고있는 그레고리 윌슈센은, 최근 국토 안보부(Department of Homeland Security)의 위협 정보 공유 실태를 민간부문과 함께 검증하면서 부족한 부분이 많다는 결론에 도달했다고 전했다.

국토 안보부(Department of Homeland Security)가 너무 광범위한 정보만을 제공하거나 위협 경보를 발령하는데 너무 오래 지체하는 일이 종종 일어났다며, 그는 “많은 사례에서, 정보는 유용하지 않거나, 시의적절하지 않았다”라고 말했다.

지난 17일의 공청회는 양당의 상원의원들이 다양한 사이버보안 입법에 관한 제안들을 8월에 정기국회 회기가 끝나기 전에 처리하기 위해 원내 토론을 요구하면서 이루어졌다.

상원 다수당 대표 해리 리드는 올해 안에 법안 처리가 이루어지길 희망한다면서, 회기가 끝나기까지 7월의 남은 2주 안에 처리되길 바란다고 밝혔다. 하지만 추가적인 규제와 정부 담당 기관의 확대 등의 주요 쟁점사안들에 대해 의견 차이를 좁히기에는 시간이 부족한 상황이다.

공청회에서 위원회 의장인 제프 빙거먼은 에너지부(Department of Energy)와 연방 에너지 규제 기관(FERC)에 안보를 강화하기 위해 전력 산업을 감독할 수 있는 더 큰 권한을 부여하는 법안을 다시 추진할 것이라고 시사했다.

그런 종류의 법안들은 2010년과 2011년 만장일치로 위원회를 통과했고, 관련 조항들은 사이버보안 개정법안에 포함될 수 있었다. 사이버보안 개정법안은 국토 안보부가 민간의 주요 인프라의 보안 방어를 담당하도록 한다는 것이 골자다.

리드는 그 수정된 형태의 그 법안이 아마 에너지-부분 조항을 포함한 수많은 수정안이 반영될 때, 국회에서 처리될 것이라는 의견을 밝혔다.

한편 빙거먼의 위원회의 또 다른 고위급 상원의원인 리사 머코우스키는, 법안에 포함된 새로운 정부 권한에 반대하면서, 정부 기관과 업계가 사이버 위협에 대한 정보를 좀 더 실시간으로 공유할 수 있는 방법에 집중하는 법안을 지지하고 있다. 존 매케인과 다른 공화당 상원의원들이 대안 법안으로 제시한 것이다.

17일 리버만과 콜린스는 각각 연방 에너지 규제 기관의 의장 존 웰링호프에게 보낸 서신에서, 스마트 그리드 관련 인증 기관에 대한 전면 조사 실시를 촉구했다. 스마트 그리드 기술의 제공자들과 다른 외부 단체들에게 파워 그리드 후면의 디지털 시스템에에의 인증을 발급하는 두 그룹이 사이버보안 규정을 지키고 있지 않다는 보고에 따른 것이었다.

하지만 실제로, 연방 에너지 규제 기관이 업계의 사이버보안 태도를 규제하는 데는 한계가 있다고 연방 에너지 규제 기관의 전기 안전성 부서의 책임자 조셉 맥클리랜드는 밝혔다.

예를 들어, 그의 기관은 대규모 전력 시스템을 감독하는 권한이 있지만, 알래스카주와 하와이주, 그리고 뉴욕시를 포함한 몇몇 대규모 행정구역과 송전 단계에서 일어나는 일은 권한 밖의 일이라는 것이다.

맥클리랜드는 에너지 위원회에서 “안정성 기준을 승인하는 능동적 역할을 수행하지만, 연방 에너지 규제 기관의 현재 법적 권한은 그리드를 보호하기 위해 직접적이며, 강제적인 행동을 즉시 취하기엔 부족하다며, 특히 특히 공개할 수 없는 특정 정보일 경우 그 문제가 두드러진다”라고 발언했다.

그는 이어 파워그리드와 사이버보안에 관한 모든 법안을 통해 연방 에너지 규제 기관이, 사이버 공격에 대해 선제적 행동을 취할 수 있고, 대규모 전력 시스템을 넘어선 권한을 부여 받고, 특정 정보의 비밀성을 보호해야 한다고 주장했다.

거기에 더해서, 새로운 디지털 기기들과 시스템을 전력회사의 사이버 인프라에 연결시키는 스마트 그리드 기술의 발달로 인해, 새로운 방식의 위협들이 나타났다고 맥클리랜드는 경고했다.

그는 “위협들은 빛의 속도로 움직이고 있다. 이전에는 구식이었던 장비들을 스마트하게 만들기 위해 부착한 기기들 때문에 더욱 악화될 잠재성을 가지고 있다. 그 기기들의 양방향 통신이 가능해지고, 시스템상의 최대 발전기들과도 통신할 수 있고, 그 발전기들에 바로 결합된다”라고 말했다.

이어 ”우리는 그로 인한 취약점도 동시에 안게 되었는데, 이는 마치 사이버보안이 갖춰지지 않은 온라인 뱅킹과 유사하다. 그 정도까지 악화되도록 문제를 내버려둬선 안된다”라고 덧붙였다. ciokr@idg.co.kr