3일 미국이 베네수엘라를 공습하는 과정에서 수도 카라카스의 전력망을 무력화하는 사이버 공격을 사용한 것으로 분석된다. 정전으로 적 후방을 교란함으로써 미군의 진입로를 터준 것이다.

이는 산업 설비·공정을 제어하는 '운영기술(OT)'을 노린 사이버 공격의 최신 사례다. 그간 특정 산업군의 혼란을 목적으로 공격이 이뤄졌지만, 현대전에서도 충분히 활용될 수 있음을 증명했다.

5일 폴리티코 등 외신에 따르면 미 트럼프 대통령은 최근 플로리다주 마러라고 사저에서 "카라카스의 불이 우리의 어떤 기술적 지식으로 인해 사실상 꺼졌다. 어두웠고 치명적이었다"고 브리핑했다.

미 합참의장인 댄 케인 장군 역시 미군 병력의 진입 경로를 조성하기 위해 미 사이버사령부, 미 우주사령부 등이 '다양한 효과'를 구현했다고 설명했다.

이는 기간 시설을 노린 '표적화된 사이버 공격'으로 파악된다. 인터넷 모니터링 단체 '넷블록스(NetBlocks)'는 정전이 일어나는 동안 카라카스의 인터넷 연결이 상실됐다고 보고했다. 넷블록스 설립자인 알프 토커는 "사이버공격이 정전에 일부 기여했지만, 표적화된 공격이었다. 전체 네트워크 공간에는 영향을 미치지 않았다"고 설명했다.

미군은 전력망뿐 아니라 베네수엘라의 다른 기반 시설에도 수주간 사이버 공격을 감행한 것으로 전해진다. 베네수엘라 국영 석유·가스 회사인 PDVSA는 지난달 미국 정부의 사이버공격으로 전국적인 지연 사태가 발생했다고 비난했다. 트럼프 행정부는 공식 입장을 밝히지 않았다.

과거엔 운영 기술 및 산업제어시스템(ICS)이 폐쇄망 형태로 운영됐다. 하지만 최근 운영의 효율화를 목적으로 시스템이 외부망과 접점을 늘리면서 해킹의 대상이 됐다. IT 환경이 안고 있던 해킹 위험이 운영기술 환경으로까지 번진 것이다.

2021년 미국 송유관 '콜로니얼 파이프라인'이 랜섬웨어 공격으로 마비됐던 사건이 대표적이다. 1만 1000개 이상의 주유소가 문을 닫아야 했고, 연료 부족으로 유가는 7년 만에 최고치를 찍었다. 러시아에 기반한 랜섬웨어 조직 '다크사이드'가 배후로 지목된다.

지난해 4월 스페인·포르투갈 등 이베리아반도 전역을 강타한 대규모 정전 역시 사이버 공격의 일환으로 강하게 추측된다. 스페인 송전망 운영사인 레드 엘렉트리카 데 에스파냐(REE)가 운영하는 초고압 송전망이 마비되면서 연쇄적 장애가 발생했다.

REE 등 전력 운영사는 악의적 침입 등 로그가 확인되지 않았다는 설명이다. 하지만 △장애가 물리적으로 떨어진 여러 지점서 동시다발적으로 일어난 점 △이동통신과 인터넷 서비스가 일시적으로 붕괴한 점 △일부 지역에서 백업 시스템까지 작동하지 않은 점 등 침해사고를 보여주는 여러 정황이 확인된다.

업계 관계자는 "국가 차원의 행위자는 더 큰 분쟁에서 우위를 점하기 위해 에너지 전력망을 탐색하거나 공격하는 경우가 많다"며 "발전·송전 시설 등을 마비시키면 민간인 사기를 떨어뜨릴 뿐 아니라, 군수 물류를 교란하는 등 직접적인 군사 충돌 없이도 압박이 가능하다"고 설명했다.

한국 역시 북한 등 적대국과 대치하는 상황이지만, 운영기술 보안 투자는 초기 수준이다. 보안당국인 한국인터넷진흥원(KISA)의 운영기술 보안사업 연간 예산은 약 30억 원에 그친다. 산업 현장서의 피지컬 AI 적용 확대로 인해 운영기술 보안의 필요성은 더 커질 것으로 예상된다.

KISA는 신규 위협에 대응하고자 지난달 'OT 환경의 제로트러스트 적용 안내서'를 마련하기도 했다. 운영기술 환경이 담보해야 할 보안 핵심 원칙 등 방향성을 제시한 수준이다. KISA는 추가적인 연구를 통해 단계별 성숙도 모델로 발전시키겠다는 목표다.

legomaster@news1.kr