핵심 요약
- 이란·러시아·중국 등 국가배후 행위자가 상하수도 운영기술(OT) 시스템을 대상으로 약한 기본 비밀번호, 인터넷에 노출된 PLC, 네트워크 분리 부재 등 사이버 위생 결함을 악용해 침투 및 파괴를 시도하고 있다.
- 공격 성공의 핵심 원인은 제로데이 악성코드나 고도화된 지능형지속위협(APT) 툴이 아니라 OT 환경의 기본적인 사이버 위생 부재로 분석된다.
- 상하수도는 생활 필수 인프라로서 사회적 혼란을 유발하기 쉬워 위협 행위자 입장에서 비용 대비 효과가 높은 파괴 대상으로 부상하고 있다.
결론적으로, 상하수도 보안의 1차 방어선은 ‘고급 기술’ 이전에 ‘기본 위생 차단’으로 재정의되어야 한다.
2026년 6월 29일자 Dark Reading 보도에 따르면 이란·러시아·중국 연계 그룹이 전 세계 상하수도 운영기술(OT) 자산을 잇달아 겨냥하고 있다. 이번 사건은 첨단 제로데이 익스플로잇이 아닌, 20년 전부터 알려져 있던 운영기술(OT) 기본 보안 미비가 다시 한번 국가 간 충돌의 통로로 사용됐다는 점에서 주목할 만하다. 본문은 지정학적 동기와 기술적 약점, 국제 규제 흐름, 그리고 한국 시설이 즉시 옮길 수 있는 점검 항목을 한 화면에 정리한다.
전 세계 상하수도, 국가 해커의 새로운 놀이터
이란·러시아·중국이 동시에 물을 노리는 지정학적 배경
상하수도는 전력·가스·교통과 함께 국가 핵심 기반시설 16개 부문 중 하나로 분류되며, 시민의 일상과 직결되는 기간시설(lifeline)이다. 이란·러시아·중국이 동시 다발적으로 상하수도를 노리는 배경에는 크게 두 가지 지정학적 축이 작동하는 것으로 보인다. 첫째는 대리 분쟁(proxy conflict)의 확장으로, 에너지·통신에 더해 공공 서비스를 새로운 압박 카드에 포함시키려는 시도다. 둘째는 정보조작에 못지않은 사회적 불안을 단기간에 유발할 수 있다는 점에서 표적 효율이 매우 높다는 전략적 판단이다. 이란 연계 그룹은 중동과 중앙아시아 협력국, 러시아 연계 그룹은 동유럽과 중앙아시아, 중국 연계 그룹은 아프리카·동남아·남미 신흥시장의 시설을 분산적으로 압박하는 양상이 관측된다.
이러한 공격은 ‘대형 한 번’이 아니라 ‘소형 다회’ 형태로 나타나는 특징을 보인다. 단일 시설의 장기 장악보다는 단기간 운영 중단, 데이터 유출, 정치적 메시지 전달을 결합한 혼합형 작전이 일반적이다. 특히 상하수도는 산업제어시스템(ICS) 가운데 비교적 디지털화가 더딘 편이라 보안 투자 대비 파괴 임팩트가 매우 큰, 이른바 비대칭 효과가 큰 표적으로 부상하고 있다.
2026년 상반기에 보고된 주요 침투 시도와 성공 사례
올해 상반기 동안 미국 사이버보안안전위원회(CISA), 환경청(EPA), 각국 CERT는 상하수도 시설을 겨냥한 비인가 원격 접근, 관리자 계정 탈취, 원격 단말 조작 시도를 잇달아 공개했다. Dark Reading 원문은 미국·유럽·중동·동남아시아의 중소형 정수장·배수시설·산업단지 용수 공급시설에서 동시다발적으로 침투 흔적이 발견됐다고 보도했다. 특히 일부 시설에서는 프로그램가능 로직 컨트롤러(PLC)의 펌웨어 변조와 가압 펌프·염소 투입 장치의 설정값 변경 시도가 확인됐다. 다행히 물리적 인명 피해로 직결된 사례는 보고되지 않았으나, ‘언제든 가능했던 사건’이었다는 점에서 위험 등급이 크게 상향된 것으로 분석된다.
고급 기술이 아니라 ‘기본 무장’: 3대 구조적 약점
약한 비밀번호와 기본 계정, OT 자산이 20년 전 패턴을 반복하는 이유
이번 침투에서 가장 빈번하게 악용된 것은 ‘기본 비밀번호(admin/admin, 벤더 이름+1234 등)’다. 원격 유지보수용으로 짧은 점검 주기로만 접근하는 PLC·휴먼머신인터페이스(HMI)·공정 히스토리언이 초기 설치 상태 그대로 운영되면서 동일한 자격 증명이 수년간 유지되는 사례가 다수 발견됐다. OT 환경은 정상 가동 시간(업타임)을 최우선으로 두기 때문에 패치나 자격 증명 회전이 어렵다는 명분이 강하게 작동한 결과로 분석된다. 또한 일부 시설은 외부 유지보수 업체에 공유한 원격 비밀번호를 계약 종료 후에도 회수하지 않아 공격 표면이 장기화되는 경향이 확인됐다.
인터넷에 그대로 노출된 PLC: Shodan·Censys 기준 노출 추이
두 번째 약점은 인터넷에 직접 노출된 산업 제어 장비다. Shodan·Censys 등 공개 자산 검색 서비스 기준 Modbus(502)·S7comm(102) 등 산업용 프로토콜이 노출된 자산이 다수 식별되며,2), DNP3(20000), EtherNet/IP(44818) 등 산업용 프로토콜을 사용하는 장비가 글로벌 수만 개에 달한다. 이 가운데 ‘water’, ‘utility’, ‘wwtp’ 같은 메타데이터가 붙은 자산의 상당수가 기본 인증 화면을 그대로 외부에 노출하고 있는 것으로 파악된다. 특히 중소 도시의 소규모 정수장은 단일 사업장에 속한 사설 IP 대역이라 방화벽 보호가 미흡한 경우가 많고, 외부 VPN 없이 원격 진단을 위해 직접 포트를 개방한 사례가 반복적으로 보고된다. 이처럼 인터넷 노출은 ‘보안 설정 오류’라기보다 ‘운영 관행의 산물’이라 점진적 개선이 어려운 것으로 보인다.
IT-OT 망분리 부재와 평문 텔레메트리 채널의 리스크
세 번째 약점은 정보기술(IT) 망과 운영기술(OT) 망 사이의 물리적·논리적 분리가 사실상 존재하지 않는다는 점이다. 많은 시설이 동일한 스위치·라우터에 사무망과 공정망을 함께 구성하고, 엔지니어 업무용 노트북이 양쪽 망을 번갈아 오가며 사실상 ‘이동식 다리’ 역할을 한다. 텔레메트리 데이터도 평문 직렬통신·비암호화 산업용 프로토콜로 전송돼 도청·명령 삽입이 가능하다. 이러한 환경에서는 한 대의 피싱 메일로 엔지니어 자격 증명을 탈취하면, 곧바로 내부 점프 호스트를 통해 OT 망으로 횡단이동(lateral movement)이 일어나고 PLC·SCADA 서버에 직접 접근할 수 있다. 즉 ‘외부에서 안으로 뚫는다’는 관점보다, ‘내부에서 옆으로 미끄러진다’는 표현이 실제 침투 경로에 더 가깝다고 분석된다.
공격 시나리오 해부: 침투에서 물리적 영향까지
피싱과 노출된 원격 데스크톱에서 OT 망 횡단이동, PLC 조작까지
대표적 침투 시나리오는 다음과 같이 구성된다. 1단계에서 공격자는 운영·엔지니어링 직원을 대상으로 한 표적형 피싱을 통해 원격 데스크톱 프로토콜(RDP) 또는 가상사설망(VPN) 자격 증명을 확보한다. 2단계에서는 노출된 HMI·원격 유지보수 포트로 직접 진입하거나, IT 망 점프 호스트를 통해 OT 망으로 들어선다. 3단계에서는 평문 산업용 프로토콜을 이용해 PLC의 명령을 변경하고, 펌프 가동 시간·밸브 개도·화학물질 투입량 같은 핵심 변수를 비정상 구간으로 이동시킨다. 4단계에서는 흔적 인멸을 위해 로깅 서버에서 감사 로그를 삭제하거나, 정상 값으로의 자동 복구를 차단한다. 이 과정에서 악성코드는 최소화되거나 아예 사용되지 않아 기존 엔드탐지·응답(EDR)·악성코드 분석의 사각지대에 놓이는 것으로 분석된다.
인명·환경 피해 가능성과 서비스 중단 확산 시나리오
단순한 시스템 정지가 아니라 ‘물리적 결과’를 동반한다는 점이 상하수도 공격의 가장 큰 특징이다. 과도한 가압은 배관 파열·누수를, 과소 가압은 주거 단지의 단수 사태를, 염소·pH 조절 실패는 수질 기준 초과를, 하수 펌프 장시간 정지는 도시 침수와 공중위생 위협을 유발할 수 있다. 특히 일부 산업단지 용수 시설은 반도체·정유·식음료 생산라인과 직결돼 있어 ‘단수 → 라인 정지 → 매출 손실 → 복구 비용’의 연쇄 충격이 빠르게 확산된다. 이러한 잠재 피해 규모가 국가 행위자 입장에서는 정당화 가능한 ‘억지력 행사 수단’으로 평가되는 것으로 보인다.
규제와 표준의 현재 위치: CISA·EPA·NIST CSF 2.0
미국 CISA와 EPA의 상하수도 사이버 위생 권고 핵심 요약
미국 CISA와 환경청(EPA)은 상하수도 사업자를 위한 ‘Top Cyber Actions for Water Systems’ 시리즈를 통해 ① 인터넷 노출 자산 즉시 식별 및 차단, ② 기본 비밀번호 전수 교체 및 다중 인증 적용, ③ OT 망과 사무망의 명확한 논리적 분리, ④ 변경 관리 및 감사 로그 보존, 5) 사고 대응 계획 훈련의 5대 항목을 우선 권고한다. 특히 인터넷 노출 자산 식별에는 Shodan·Censys 같은 공개 검색뿐 아니라 사내 인벤토리 대조가 강조되며, ‘노출 자산 제로(zero exposed OT)’가 단기 목표로 설정된다. EPA는 주(state) 차원의 점검 권한을 강화하는 입법 움직임도 병행하고 있어, 단순 권고를 넘어 규제 의무화 방향으로 이동하는 추세로 분석된다.
NIST CSF 2.0 OT 매핑과 IEC 62443 적용 포인트
NIST 사이버보안 프레임워크 2.0(CSF 2.0)은 ‘Gov(거버넌스)’ 기능이 신설되면서 OT 영역의 책임·역할·결정 권한을 경영진 차원에서 명시하도록 요구한다. OT 자산 식별(Asset ID), 보호 통제(Protect), 탐지(Detect), 대응(Response), 복구(Recover)의 5단계 전반에 걸쳐 산업자동화·제어시스템 국제표준 IEC 62443의 영역별 보안 수준(SL) 개념이 매핑된다. 특히 IEC 62443-3-3의 시스템 보안 요건(SR)과 IEC 62443-4-2의 컴포넌트 보안 요건은 ‘기본 비밀번호 금지’, ‘계정 잠금 정책’, ‘네트워크·포트 제한’ 같은 기술 통제를 제공하며, 이 항목들이 이번 침투의 3대 약점과 정확히 대응한다. 즉, 표준 자체는 이미 존재하며 문제는 ‘표준을 시설 단위 SLA에 어떻게 강제할 것인가’인 것으로 보인다.
한국 산업에 던지는 시사점과 즉시 적용 가능한 10대 체크리스트
국내 상하수도·정수장·산업단지 시설 자가 점검 항목
한국의 상하수도는 환경부, 산업단지 용수는 산업통상자원부, 정보통신 기반시설은 과학기술정보통신부 산하 KISA(한국인터넷진흥원)의 통제 하에 있다. KISA는 ‘산업제어시스템 보안 가이드라인’ 및 ‘주요정보통신기반시설 기술적 취약점 분석·평가 방법 상세가이드’를 통해 OT 자산 식별, 망분리, 접근통제, 로그관리, 침투탐지 항목을 매년 업데이트한다. 특히 KISA의 ‘섀도우 OT’ 점검 항목은 공식 인벤토리에 등록되지 않은 산업용 IoT·원격 단말을 대상으로 하며, 이번 Dark Reading 사례로 봐도 가장 시급한 점검 영역으로 평가된다.
기본 비밀번호 전수 조사, PLC 노출 차단, 망분리 재설계 우선순위
현장 우선순위는 (1) ‘빠르고 저렴하며 효과 큰’ 항목부터 단기간에 적용하는 것이다. 다음 10개 항목은 Dark Reading의 3대 약점과 CISA·KISA 권고를 매핑해 도출한 즉시 자가 점검 리스트다.
- 전 자산 기본 비밀번호 전수 조사 및 강제 교체: PLC·HMI·공정 히스토리언 기본 계정을 30일 이내 모두 변경한다.
- 다중 인증(MFA) 적용: 원격 VPN·클라우드 점프 호스트에 적어도 TOTP 기반 MFA를 의무화한다.
- 공개 자산 검색 모니터링: Shodan·Censys 알림을 설정해 자사 자산 노출 여부를 주 1회 점검한다.
- 인바운드 포트 화이트리스트: Modbus·S7comm·DNP3 등 산업용 포트는 VPN·점프 호스트 외에는 전면 차단한다.
- IT-OT 망분리 재설계: 산업용 디엔스존(DMZ)을 구성하고, 양 방향 트래픽은 명시적으로 허용한 프로토콜만 통과시킨다.
- 엔지니어용 노트백 악성코드 점검: 양 망을 오가는 단말은 전용 이미지로 재설치하고 EDR을 상시 가동한다.
- 감사 로그 원격 집중화: PLC 명령·계정 사용·설정 변경 로그는 변조 방지가 가능한 원격 로그 서버로 전송한다.
- 유지보수 업체 자격 증명 수명 관리: 외부 협력사 계정은 90일 단위 회수·재발급을 원칙으로 한다.
- 백업·복구 훈련: 펌웨어·프로젝트 파일·레시피는 오프라인 백업 후 연 1회 복구 드릴을 수행한다.
- 경영진 거버넌스 명문화: NIST CSF 2.0 Gov 기능에 따라 OT 보안 책임을 임원급 KPI로 편입한다.
결론: ‘고급 기술 방어’ 이전에 ‘기본을 막는’ 보안으로
이번 일련의 사건은 국가 행위자가 ‘최신 제로데이’보다 ‘10년 전 미수정 약점’을 체계적으로 수집·활용하고 있음을 명확히 보여준다. 상하수도와 같은 생활 필수 인프라에서 가장 효과적인 방어는 첨단 위협 헌팅·AI 기반 탐지 이전에, 기본 비밀번호 교체, 인터넷 노출 제거, IT-OT 망분리라는 ‘변함 없는 1차 위생 관리’다. 특히 중소형 정수장·산업단지 시설은 예산과 인력의 한계가 명확하므로, KISA의 자가 점검 도구와 공공 보안 컨설팅 프로그램을 적극 활용해 1단계 ‘노출 자산 제로’부터 차근차근 달성하는 전략이 현실적으로 가장 효과적인 것으로 분석된다. ‘기본을 막으면 90%가 막힌다’는 격언은 OT 환경에서 여전히 유효하며, 이번 Dark Reading 보도는 그 사실을 다시 한번 입증한 사례로 기록될 것으로 보인다.
핵심 정리
- 상하수도는 사회적 혼란 임팩트가 큰 비대칭 표적이며, 국가배후 그룹의 우선 공격 대상이 됐다.
- 침투의 본질은 제로데이가 아닌 ‘기본 비밀번호·노출 PLC·망분리 부재’ 3대 위생 결함이다.
- CISA·EPA 권고와 NIST CSF 2.0, IEC 62443는 이미 해결 프레임을 제공하며, 현장 적용이 핵심이다.
- 한국 시설은 KISA 가이드와 매핑되는 10대 체크리스트를 우선 적용해 단기간 노출 위험을 낮춰야 한다.
- ‘고급 방어’ 이전에 ‘기본 차단’이 가장 가성비 높은 OT 보안 투자라는 사실을 재확인했다.
참고 출처