“물 보안” 강조하는 뉴욕 주, 새 규정 초안 발표

미국 뉴욕 주 정부가 새로운 보안 규정 초안을 발표했다. 상수도와 폐수 처리 시스템만을 위한 규정이라 업계의 주목을 받고 있다. 뉴욕 주의 보건국과 환경보전국, 공공서비스국이 초안 작성에 참여했는데, OT와 IT 보안 분야에서 혼용되거나 헷갈리는 보안 용어들을 통일했다는 것에서 먼저 긍정적인 반응들이 나오고 있다. 이번 초안은 캐시 호컬 뉴욕 주지사가 직접 발표했다. 

초안에는 뉴욕 주의 보건국과 환경보전국이 먼저 수립했던 상수도 관리 업체용 OT 보안 규정이 포함됐다. 뉴욕 공공서비스국은 같은 시기 수도 회사와 공공 기반 시설 및 케이블 텔레비전 기업들을 위한 IT 보안 규정을 별도로 발표했는데, 세 기관은 이 두 가지 규정 사이에서 혼선을 최소화 하기 위해 용어 정의 및 요구 사항을 일치시키는 작업부터 했다고 한다. “거기서부터 연방 기관인 환경보호청과 사이버 보안 및 기반 시설 안보국(CISA)의 지침과 어긋나지 않도록 규정들을 마련했습니다.”

규정 마련의 이유에 대해 호컬은 “핵심 사회 기반 시설에 대한 사이버 공격은 지역 사회에 중대한 영향을 줄 수 있으며, 상수도 및 폐수 시스템들은 그 중에서도 특히 더 신속하고 철저하게 보호해야 할 필요가 있다”고 주장했다. “그래서 규정만이 아니라 시스템 보호를 위한 자금 확보 프로그램과 기술 지원 체계도 마련 중에 있습니다.”

미국 수도 시설에 대한 잦은 공격

미국은 가장 많은 해킹 공격에 노출된 국가답게, 사회 기반 시설 역시 적잖은 타격을 입고 있다. 지난 몇 년 동안 수도 시설을 겨냥한 해킹 공격들이 여러 차례 발각되기도 했다. 공격 사례들은 다음과 같다.

1) 플로리다 올즈마(2021년) : 원격 해커가 SCADA 시스템에 접속해 수산화나트륨 농도를 높이려 했다. 다행히 관리자가 자리에 있었는데 화면에서 마우스 커서가 저절로 움직이는 것을 보고 공격을 막을 수 있었다. 수산화나트륨은 흔히 ‘양잿물’이라고 하는 독극물에 들어가 있어, 이 사건은 양잿물 테러라고도 불렸다. 

2) 펜실베이니아 수도 시스템(2021년) : 랜섬웨어 공격자가 관리자 시스템을 장악했으나, 다행히 수질 관리 시스템으로까지 넘어가지는 못했다. 수도 사용자들에게 나가는 고지서 관련 작업에만 일부 장애가 발생했다.

3) 볼트타이푼(Volt Typhoon)의 광범위한 캠페인(2023년) : 중국의 APT 단체인 볼트타이푼이 미국 전역의 사회 기반 시설을 겨냥해 해킹 공격을 실시했는데, 이 때 상하수도 시스템들도 포함됐다. 발견된 게 2023년이지, 이들이 얼마나 오랜 기간 인프라 안에서 정보를 수집하고 있었는지는 아직도 모른다. 심지어 아직도 발견되지 않고 남아 있는 이들의 흔적이 있을 가능성도 낮지 않다.

4) 캔자스 포스트록루럴워터디스트릭트(2024년 1월) : 포스트록루럴워터디스트릭트(Post Rock Rural Water District)라는 수도 관리 회사의 전 직원이 회사를 나간 후 원격에서 수질 제어 시스템에 접속해 정수 프로세스를 조작했다. 이 인물은 체포되어 연방 법원에서 재판을 받고 있다. 연방 법원에서 재판을 받는다는 건 죄질이 매우 심각하다는 의미다. 

규정 내용

새 규정은 인구 3300명 이상을 대상으로 하는 지역 상수도 시스템에 적용될 예정이다. 또한 인구 5만 명 이상을 대상으로 할 경우 추가 요건이 있을 예정이다. “이런 시스템들은 사이버 취약성 분석을 필수적으로 이행해야 합니다. 또한 새로운 사이버 보안 프로그램을 구축해야 하는데, 여기에는 규제 보고, 인증 및 접근 제어, 사이버 자산 재고 목록 유지, 네트워크 모니터링 및 로그 관리, 사고 대응 계획, 사고 후 24시간 내 보고, 3년에 한 번 최소 1시간의 보안 교육 등의 내용이 포함되어 있습니다.”

폐수 처리 시설의 경우 인구 수에 상관없이 모든 곳에 규정이 적용될 예정이라고 한다. 기본 제어 장치들을 구축해야 하는데, 여기에는 “최소 권한 원칙에 기반한 접근 제어 및 인증 절차, 비밀번호 보안(아마도 다중인증), 취약점 관리 프로그램, OT와 IT 시스템 분리, 사고 대응 계획 및 보고 등이 포함돼 있다.

현재 뉴욕 주는 대중들로부터 의견을 접수 받는 중이다. 이를 통해 한 번 더 초안을 점검 및 수정하고 정식 입법 절차를 밟을 예정이다.

Related Materials

• New York Proposes Cybersecurity Regulations for Water and Wastewater Systems - InfoSecurity Magazine , 2025년
• New York Proposes Stronger Cyber Controls for Water Utilities - StateScoop , 2025년
• Governor Hochul Announces Nation-Leading Cybersecurity Regulations and Grant Program for Water Infrastructure - NY Governor's Office , 2025년
• New York Moves to Protect Public Water Systems with Cybersecurity Regulations and $2.5 Million Grant Program - Industrial Cyber , 2025년