교통은 멈추지 않았지만 복구는 공격당했다

도시의 교통망이 사이버 공격을 받았을 때, 사람들은 가장 먼저 열차가 멈췄는지를 묻는다. 버스가 운행을 중단했는지, 역의 개찰기가 작동하지 않았는지, 승객이 길 위에 고립됐는지가 사건의 심각성을 판단하는 기준처럼 여겨진다. 그러나 2026년 3월 발생한 로스앤젤레스 카운티 교통국(LACMTA, LA 메트로) 침해 사고는 다른 질문을 던진다. 교통은 완전히 멈추지 않았을 수 있다. 하지만 그 시스템을 다시 정상으로 돌려놓는 능력은 공격당했을 수 있다.

이번 사건에서 중요한 지점은 운행 중단 여부만이 아니다. 공개된 분석에 따르면 공격자는 이메일, 백업 파일, 내부 문서 등 대규모 데이터를 탈취했고, 가상화 관리 환경과 웹 서버, 일부 운영 관련 화면에 접근했다고 주장했다. LA 메트로는 열차와 버스 운행이 중단되지는 않았다고 설명했지만, 도착 안내 화면과 교통카드 충전 등 일부 고객 서비스는 영향을 받은 것으로 알려졌다. 이 차이는 작아 보이지만, 실제로는 핵심 인프라 보안의 기준이 어디로 이동해야 하는지 보여준다. 이제 공격자는 단순히 서비스를 멈추는 데 그치지 않는다. 서비스가 흔들렸을 때 조직이 스스로 회복할 수 있는 능력, 즉 복구 계층을 겨냥한다.

이 사건의 배후로 지목된 이름은 ‘아바빌 오브 미나브(Ababil of Minab)’다. 친이란 성향의 핵티비스트 집단처럼 등장했지만, 이스라엘 보안 기업 갬빗 시큐리티(Gambit Security)는 이 조직이 독립적인 신생 해커 그룹이라기보다 이란 정보기관과 연결된 것으로 바라봤다. 여기서 핵심은 단순히 어느 국가가 배후인가를 단정하는 데 있지 않다. 더 중요한 것은 국가 연계 사이버 작전이 점점 더 핵티비즘의 탈를 쓰고, 공공 인프라를 상대로 파괴와 과시를 결합한 방식으로 나타나고 있다는 점이다.

과거의 인프라 공격은 비교적 이해하기 쉬운 형태로 설명되곤 했다. 공격자가 시스템에 침입하고, 데이터를 암호화하거나 탈취한 뒤, 금전을 요구한다. 피해 조직은 백업을 확인하고, 일부 시스템을 복구하며, 협상 여부를 판단한다. 그러나 LA 메트로 사건에서 드러난 흐름은 이보다 더 불편하다. 공격자가 노린 것은 단일 서버나 특정 데이터베이스가 아닌 다수의 서비스를 떠받치는 가상화 관리 환경과 백업 데이터, 내부 운영 정보였다. 이들의 공격의 목표가 “무엇을 훔칠 것인가”에서 “상대가 어떻게 다시 일어서는가”를 이해하고 일어서지 못하도록 만들기 위해 노력한다는 것이다.

특히 VMware vCenter와 같은 가상화 관리 계층이 공격 대상이 되었다는 점은 가볍게 볼 수 없다. vCenter는 개별 서버 하나가 아니라 수많은 가상 머신과 서비스를 관리하는 중앙 통제 지점이다. 이곳에 접근할 수 있다면 공격자는 서버를 하나씩 파괴하지 않아도 된다. 가상 머신을 중지하거나 삭제하고, 스토리지와 백업 흐름을 흔들며, 복구 절차 자체를 복잡하게 만들 수 있다. 물리적 서버 몇 대가 고장 난 상황과는 다르다. 가상화 관리 계층이 무너지면 조직은 “어떤 시스템부터 되살려야 하는지”, “어떤 백업이 신뢰 가능한지”, “어느 시점의 데이터가 오염되지 않았는지”를 다시 확인해야 한다.

이것이 Recovery-Denial 전술의 본질이다. 공격자는 피해 조직의 현재 운영만 공격하지 않는다. 미래의 복구 가능성까지 공격한다. 백업 파일을 훔치거나 삭제하고, 스토리지 볼륨을 건드리며, 관리 콘솔의 권한을 장악하면 피해 조직은 단순히 서비스를 재시작하는 방식으로 대응할 수 없다. 복구해야 할 데이터가 남아 있는지, 남아 있더라도 신뢰할 수 있는지, 복구 과정에서 다시 공격자가 개입하지 않는지 확인해야 한다. 이 과정은 시간과 인력을 소모하고, 공공 서비스의 신뢰를 잠식한다.

도시 교통 시스템에서 이 문제는 더 민감하다. 교통은 단순한 편의 서비스가 아니다. 출근, 등교, 병원 방문, 물류, 응급 대응, 도시 경제가 매일 의존하는 기반이다. 열차가 계속 달렸더라도 승객 안내 화면이 흔들리고, 교통카드 충전이 지연되고, 내부 관리 시스템이 신뢰를 잃으면 시민은 시스템 전체를 불안하게 바라본다. 인프라 공격의 효과는 반드시 대규모 정전이나 물리적 충돌로만 나타나지 않는다. 때로는 “이 시스템이 지금 정상이라고 믿어도 되는가”라는 의심만으로도 충분히 큰 피해가 된다.

이 지점에서 운영기술(OT) 환경에 대한 우려가 등장한다. 공개된 분석에서는 공격자가 철도 차량기지 관리와 열차 제어 관련 화면 접근을 주장한 것으로 알려졌다. 다만 이것을 곧바로 열차 물리 제어권 장악으로 단정해서는 안 된다. 공격자 공개 자료는 과시와 심리전을 목적으로 구성되는 경우가 많고, 실제 권한 범위는 별도 검증이 필요하다. 그럼에도 이 장면이 중요한 이유는 따로 있다. IT 침해가 운영 화면의 신뢰를 흔들 수 있다는 가능성 때문이다. 운영자가 보는 화면, 관리자가 사용하는 콘솔, 장애 대응자가 참조하는 로그가 신뢰할 수 없다면, 물리적 시스템이 실제로 멈추지 않았더라도 운영 판단은 이미 공격받은 것이다.

이러한 흐름은 LA 메트로만의 문제가 아니다. 미국과 동맹국 기관들은 최근 이란 연계 세력이 인터넷에 노출된 산업 제어 시스템과 PLC를 겨냥하고 있다고 경고해왔다. 특히 CyberAv3ngers와 같은 이란 연계 행위자는 각종 처리 시설과 에너지, 정부 시설 등에서 PLC와 HMI 화면을 조작하거나 변조하는 방식의 공격을 보여주었다. 이는 LA 메트로 사건과 동일한 기술 체인이라고 단정할 수는 없지만, 같은 방향을 가리킨다. 공격자는 더 이상 웹사이트를 변조하거나 데이터를 유출하는 수준에 머물지 않는다. 도시와 산업이 안전하게 동작한다는 것을 보여주는 각종 계층을 겨냥한다.

이 변화는 기존 보안 논리의 한계를 드러낸다. 많은 조직은 여전히 침입 차단을 보안의 중심에 둔다. 방화벽을 세우고, 계정을 보호하고, 취약점을 패치하고, 백업을 만든다. 물론 이 모든 조치는 필요하다. 그러나 Recovery-Denial 앞에서 백업은 존재만으로 충분하지 않다. 백업이 운영망과 분리되어 있는지, 공격자가 삭제할 수 없는 불변성(Immutability)을 갖추고 있는지, 실제로 복구 테스트를 해본 적이 있는지, 가상화 관리 환경이 침해되었을 때 별도의 복구 경로가 남아 있는지가 더 중요해진다.

특히 공공 인프라 운영자는 “서비스 연속성”과 “복구 가능성”을 별개의 문제로 봐야 한다. 서비스가 계속 작동한다고 해서 피해가 작다고 볼 수 없다. 공격자가 내부에서 데이터를 훔치고, 백업을 건드리고, 관리 콘솔에 접근했다면 그 조직은 이미 장기 복구 전쟁에 들어간 것이다. 겉으로는 버스와 열차가 움직여도 내부에서는 어떤 시스템을 신뢰할 수 있는지, 어떤 권한을 폐기해야 하는지, 어떤 백업에서 다시 시작해야 하는지 확인해야 한다. 이 시간이 길어질수록 시민 서비스와 조직 신뢰는 함께 소모된다.

이번 사건이 던지는 또 하나의 질문은 핵티비즘의 외피다. Ababil of Minab은 독립적인 친이란 해커 집단처럼 행동했다. 그러나 보안 업체들은 이 조직의 인프라와 행위 방식이 기존 이란 연계 작전과 연결된다고 분석했다. 이것은 현대 사이버 작전의 중요한 특징이다. 국가가 직접 깃발을 들고 공격하지 않아도 된다. 정치적 메시지를 내세우는 느슨한 해커 집단, 유출 사이트, 텔레그램 채널, 과시용 스크린샷이 국가 연계 작전의 완충지대처럼 사용될 수 있다. 피해자는 공격자를 정확히 특정하기 어렵고, 공격자는 책임을 흐릴 수 있다.

이런 방식은 공공 인프라에 특히 효과적이다. 교통망, 처리 시설, 병원, 지방정부 시스템은 시민 생활과 직접 연결된다. 공격자가 실제로 모든 시스템을 장악하지 않았더라도, 내부 화면 일부와 데이터 일부를 공개하는 것만으로도 시민 불안을 만들 수 있다. 결국 사이버 공격은 기술적 피해와 심리적 피해를 동시에 노리며 “우리가 들어갔다”는 주장은 때때로 실제 물리적 파괴만큼 강한 압박이 된다.

우리나라 역시 이 문제를 남의 일처럼 볼 수 없다. 우리나라의 교통, 항만, 공항, 수자원, 에너지 인프라까지도 빠르게 디지털화되고 있다. 운영 효율을 높이기 위해 원격 접속이 늘어나고, 유지보수 편의를 위해 협력사 계정이 열리며, 가상화와 클라우드 기반 관리 체계가 확대된다. 이 변화는 효율을 높이지만 동시에 공격자가 노릴 수 있는 관리 계층을 넓힌다. 물리적으로 망을 분리했다는 설명만으로는 충분하지 않다. 실제 운영 현장에서는 원격 유지보수, 임시 계정, 외주 인력, 모니터링 도구, 백업 서버, 가상화 콘솔이 다양한 방식으로 연결된다.

따라서 질문은 바뀌어야 한다. “침입을 막을 수 있는가”만으로는 부족하다. “침입을 당했을 때 어느 계층까지 무너지는가”, “복구 권한은 공격자와 분리되어 있는가”, “백업은 삭제 불가능한가”, “운영자가 보는 화면은 검증 가능한가”, “협력사 계정 하나가 전체 복구 체계를 흔들 수 있는가”를 물어야 한다. 핵심 인프라 보안은 더 이상 보안 장비의 설치 여부로 설명되지 않는다. 공격 이후에도 스스로 다시 일어설 수 있는 구조를 갖췄는지가 기준이 되어야 한다.

LA 메트로 사건의 교훈은 역설적이다. 교통은 멈추지 않았기 때문에 사건이 작아 보일 수 있다. 그러나 바로 그 이유 때문에 더 중요하다. 현대 인프라 공격은 반드시 영화처럼 도시를 멈춰 세우지 않는다. 대신 보이지 않는 곳에서 복구 경로를 지우고, 운영 화면의 신뢰를 흔들고, 관리 계층을 장악하며, 조직이 정상으로 돌아가는 시간을 길게 만든다. 시민은 열차가 움직이는 모습을 보지만, 내부에서는 복구의 기반이 공격당하고 있을 수 있다.

결국 이번 사건은 공공 인프라 보안의 기준선을 다시 설정할 것을 요구한다. 백업은 보관이 아니라 생존 전략이 되야 한다. 가상화 관리 계층은 편의 기능이 아니라 핵심 방어 대상이어야 한다. OT 화면은 표시 장치가 아니라 운영 판단의 근거로 보호되어야 한다. 그리고 핵티비즘처럼 보이는 공격도 지정학적 공작의 일부일 수 있다는 전제를 가져야 한다.

교통은 멈추지 않았지만 복구는 공격당했다. 이것이 LA 메트로 해킹이 남긴 가장 중요한 경고다. 이제 핵심 인프라의 안전은 평상시의 정상 작동만으로 증명되지 않는다. 진짜 질문은 사고 이후에야 드러난다. 공격자가 들어온 뒤에도 조직은 스스로 다시 일어설 수 있는가. 그 답을 준비하지 못한 인프라는, 멈추지 않은 것처럼 보여도 이미 흔들리고 있는 것이다.

Related Materials

• Reuters, Iranian Hackers Responsible for Los Angeles Transit System Breach, Israeli Researchers Say, 2026
• Gambit Security, Ababil of Minab: How an Iran-Linked Crew Exfiltrated Data From Four Countries and Destroyed IT, Backups, and Recovery at a Subset of Victims, 2026
• SecurityWeek, LA Metro Cyberattack Linked to Iranian State-Sponsored Hackers, 2026
• FBI, CISA, NSA et al., Iranian-Affiliated Cyber Actors Exploit Programmable Logic Controllers Across Multiple U.S. Critical Infrastructure Sectors, 2026
• Tenable, What to Know About CyberAv3ngers, the IRGC-Linked Group Targeting Critical Infrastructure, 2026
• Zentera Systems, How to Cloak Critical Infrastructure: Protecting Internet-Exposed PLCs, 2026