‘데프콘 프랭클린’ 프로젝트, 화이트해커들이 5만여 개 상수도 사업자들에게 실질적으로 활용할 수 있는 OT 보안 점검과 취약점 개선 방안 제공
미국 해커 컨퍼런스 ‘데프콘(DEF CON)’ 자원봉사자들이 전국 상수도 시설을 대상으로 무료 보안 지원에 나서고 있다. 중국과 이란의 지속적인 사이버 공격 위협 속에서, 인력과 예산이 부족한 5만여 개 상수도 사업자들이 실질적으로 활용할 수 있는 운영기술(OT) 보안 점검과 취약점 개선을 제공하는 것이다.
이 프로젝트는 ‘데프콘 프랭클린(DEF CON Franklin)’이라는 이름으로 지난해 라스베이거스 데프콘 현장에서 처음 공개됐다. 9개월간의 파일럿은 인디애나·오리건·유타·버몬트 등 4개 주에서 진행됐으며, 화이트해커들이 현장에 직접 들어가 OT 맵핑, 비밀번호 정책 개선, 취약점 진단을 무상으로 지원했다.
이번 프로젝트를 주도한 제이크 브라운(Jake Braun)은 2023년 백악관 국가사이버부 차석대행을 맡았을 당시, 중국의 장기 잠복형 침투 작전 ‘볼트 타이푼(Volt Typhoon)’에 대응하는 과정에서 상수도 보안 취약성이 심각하다는 것을 알게 됐다. 당시 온라인으로 자원자를 모집하자마자 350명이 몰렸다.
프로젝트 명칭 ‘프랭클린’은 미국 최초의 자원 소방대를 만든 벤저민 프랭클린에서 따왔다. 조직은 해커들이 공개한 취약점을 정책 담당자가 이해할 수 있는 형태로 번역한 ‘해커스 앨머낵(Hackers’ Almanack)’도 발간할 예정이다. 재정은 크레이그 뉴마크 필란트로피스가 지원하며, 전미농촌수협회(NRWA), 아스펜 디지털, 미주정수협회(AWWA) 등과 파트너십을 맺었다.
미국 상수도 업계는 외부 개입에 폐쇄적이고, 보안 규제가 자금 부담으로 이어질 수 있다는 우려가 컸다. 2023년 미 환경보호청(EPA)이 상수도 사이버 점검 의무화를 시도했지만, 업계와 주정부의 반발로 지침이 철회된 것도 이런 배경 때문이다. 브라운은 NRWA의 도움으로 상수도 업계의 신뢰를 얻고, 소규모 사업자들과의 협력을 이끌어냈다.
최근 미·영 정부는 중국의 ‘볼트 타이푼’이 중요 인프라에 장기 잠복하는 공격 기법을 사용하고 있다고 경고했다. 실제로 유타의 한 상수도에서는 중국발 피싱 메일이 직원 계정을 노린 사례가 보고됐다. 이란 혁명수비대(IRGC) 연계 조직은 펜실베이니아 알리퀴파 상수도를 공격해 원격 압력 모니터링 장치를 교란했고, 유사한 PLC 장비 취약점 악용이 연쇄적으로 발생했다.
프랭클린의 핵심은 한시적인 무료 체험판이 아닌 ‘영구 무료’ 보안 도구 제공이다. 드라고스(Dragos)는 연매출 1억 달러 미만의 소규모 인프라 사업자에 OT 위협 가시화 플랫폼과 교육 자료를 무상으로 제공하고 있다. 자원봉사자들은 현장에 직접 가서 도구를 설치·최적화하고, 기본 계정 삭제·다중인증(MFA) 적용 등 기초 보안 수칙을 정착시키고 있다.
브라운은 “5만 개 상수도를 전부 사람이 맡을 수는 없다”며 기술 배포·자동화를 병행하고 있다. 자원봉사자는 10년 이상 경력을 가진 전문가로만 구성되며, 전직 정부 보안 요원이나 글로벌 기업 보안팀 인력이 포함돼 있다. 장기적으로는 정부가 모든 상수도에 보안 도구를 보급·비용을 부담해야 한다는 것이 브라운의 입장이다.
현장에서 공통적으로 발견된 문제는 △자산 파악 미흡 △기본 비밀번호·공유 계정 사용 △OT·IT 경계 불명확 △로그·가시성 부족 △MFA 미적용이다. 전문가들은 이를 해결하기 위해 △자산 목록 구축 △OT·IT 네트워크 분리 △피싱 저항형 MFA 적용 △기본 계정 삭제 △원격접속 최소화 △중요 장비 하드닝과 최신 펌웨어 적용을 우선적으로 권고한다.
사이버보안 전문가들은 “하지만 자원봉사 의존은 임시방편에 불과하다”며 “지자체와 주정부 차원의 상시 예산과 표준이 마련돼야 효과가 지속된다”고 강조했다. 비용 부담이 크다면 드라고스 OT-CERT 같은 무료 자원을 적극 활용하고, 보안 교육과 모의훈련을 정례화하는 것도 필요하다고 조언했다.
[2025 대한민국 사이버 보안 컨퍼런스: 보안담당자 초대-7시간 보안교육이수!]
(제13회 KCSCON 2025 / 구 PASCON)
※ Korea Cyber Security Conference 2025
-2025년 9월 16일(화) / 세종대 컨벤션센터 전관-
공공∙기업 정보보안 책임자/실무자 1,200여명 참석!
-2025년 하반기 최대 정보보호 컨퍼런스&전시회-
△주최: 데일리시큐
△일시: 2025년 9월 16일 화요일(오전9시~오후5시)
△장소: 세종대 컨벤션센터 전관
△참석대상: 공공기관·공기업·정부산하기관·금융기관·의료·교육·일반기업
개인정보보호 및 정보보호 담당자, IT담당자 등 1,500여 명
(기관 및 기업에서 정보보호 책임자/실무자만 참석 가능)
*학생, 프리랜서, 보안과 관련없는 분들은 참석 불가.
△솔루션 전시회: 국내·외 최신 개인정보보호 및 정보보호 솔루션(40여개 기업 참여)
△보안교육인증: 공무원 정보보호/개인정보보호 교육 및 자격증 유지 교육시간 7시간인정
△사전등록 필수: 클릭
(사전등록후, 소속 및 업무확인후 최종 참석확정문자 보내드립니다.
참석확정 문자와 메일 받은 분만 참석 가능)
★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★
