영국의 수돗물 공급망이 올해 들어 기록적인 사이버 사고를 겪으며 국가 핵심 인프라의 보안 취약성이 심각한 문제로 떠올랐다. 2024년 1월부터 10월 21일까지 최소 6건의 사이버 사고가 발생해 보고됐으며, 이는 이전 연도의 최대 2건에 비해 급격히 증가한 수치다. 이러한 사고는 식수 생산과 공급에 직접적인 영향을 미쳤으며, 고객 서비스에 명확한 피해가 없더라도 보고 대상에 포함됐다.
영국의 네트워크 및 정보 시스템 규정(NIS Regulations)에 따르면 핵심 인프라 제공자는 중대한 사고가 발생할 경우 72시간 이내에 보고해야 하며, 이를 어길 시 최대 1,700만 파운드(약 2,870억 원)의 벌금을 부과받는다. 하지만 이번 사고들의 구체적인 내용은 기밀로 유지되고 있다. 영국 환경식품농촌부(Defra)는 “서비스 보안을 유지하기 위해 세부 정보를 공개하지 않는다”고 밝혔다.
■주요 산업 부문에서의 사이버 사고 증가
영국 국가사이버보안센터(NCSC)는 올해 국가적으로 중대한 사고 대응 건수가 전년 대비 50% 증가했다고 발표했다. 리처드 혼 NCSC 센터장은 교통과 수돗물 부문이 이번 사고 증가의 주요 영향을 받은 산업이라고 설명했다.
또한 산업제어시스템(ICS) 취약성 문제도 주목받고 있다. 보안 연구 결과에 따르면 수천 개의 ICS가 인터넷에 노출되어 있어 수돗물과 같은 핵심 인프라가 사이버 공격에 쉽게 노출될 수 있는 위험이 있는 것으로 나타났다.
영국 정부는 증가하는 사이버 위협에 대응하기 위해 관련 법률 개정을 추진 중이다. 제안된 「사이버 보안 및 복원력 법안(Cyber Security and Resilience Bill)」은 핵심 서비스의 무결성이 심각히 훼손될 경우 고객에게 이를 통지하도록 하는 투명성 요건을 포함하고 있다. 이를 통해 대중의 신뢰를 높이고 핵심 인프라의 복원력을 강화할 방침이다.
키어런 마틴 NCSC 전 센터장은 “사이버 사고에 대한 투명성은 일반적으로 긍정적인 영향을 미치지만, 일부 경우에는 세부 정보가 적대 세력에게 악용될 가능성이 있어 기밀 유지가 필요하다”고 강조했다. 그는 “새 법안이 투명성과 보안의 균형을 맞추는 중요한 기회가 될 것”이라고 덧붙였다.
현재 많은 사이버 사고가 법적 보고 기준을 충족하지 못해 공식 기록에서 누락되고 있는 상황이다. 이는 현재의 사고 보고 기준이 서비스 제공의 중단 여부에만 초점이 맞춰져 있기 때문이다. 새 법안은 서비스 연속성에 중대한 영향을 미칠 가능성이 있는 사고와 네트워크 무결성 훼손 사고도 포함하도록 보고 기준을 확대할 예정이다. 동시에 보고 기간은 기존 3일에서 24시간으로 단축하는 방안이 검토되고 있다.
2024년 기록적인 사이버 사고는 핵심 인프라 보안과 투명성 강화를 위한 변화의 필요성을 명확히 보여준다. 영국 정부가 사이버 보안 체계를 강화하려는 움직임을 보이는 가운데, 핵심 인프라 제공자는 방어 체계를 강화하고, 정책 입안자들은 진화하는 위협에 적합한 법적 기반을 마련하는 데 힘을 쏟아야 할 시점이다.
