상수도 사이버 보안

사이버 보안 목차 빠른 링크:

음용수국은 상수도가 사이버 보안 관행을 평가하고 활용하는 기술에 적합한 사이버 보안 제어를 구현할 것을 강력히 권장합니다.  사이버 보안을 처음 접하는 상수도의 경우 기본적인 사이버 보안 관행을 구현하는 것만으로도 상수도 시스템, 청구/금융 소프트웨어 또는 기타 중요한 시스템을 위협할 수 있는 사이버 공격에 대한 노출을 크게 줄일 수 있습니다.  기본적인 사이버 보안 관행의 예로는 바이러스 백신 및 멀웨어 소프트웨어 활용, 소프트웨어 정기 업데이트, 강력한 비밀번호 설정, 다단계 인증 활용, 데이터 정기 백업, 사이버 보안 인식 교육 실시, 무선 네트워크 보안 등이 있습니다.  사이버 보안 관행의 이행을 보장하기 위해 상수도는 조직의 사이버 보안 책임자를 지정해야 합니다.

 

물 산업에 영향을 미치는 사이버 보안 사고

  • SonicWall, 사이버 보안 사고 이후 권고문 발표 (9월 2025)

    이 경고는 SonicWall 방화벽을 사용하는 상하수도 시스템, 특히 MySonicWall.com에 기본 설정 파일이 백업되어 있는 시스템을 대상으로 합니다. 이 알림은 고객이 취약성을 파악하는 데 도움이 되는 해결 단계를 제공하고 영향을 받는 경우 취해야 할 조치를 간략하게 설명합니다. 일반적으로 이 익스플로잇은 OT 시스템에 직접적으로 영향을 미치지 않으므로 깨끗하고 안전한 물을 공급하는 수도 시설의 능력을 손상시키지 않습니다. 여기에서 EPA pdf를 참조하세요.

  • Cisco 디바이스의 잠재적 침해 식별 및 완화(9월 2025)

    이 경고는 상하수도 시스템을 대상으로 하는 지능형 위협 공격자의 지속적인 익스플로잇 캠페인에 대해 알리기 위한 것입니다(Cisco Adaptive Security Appliances(ASA)). 이 알림은 사이버 보안 및 인프라 보안 기관(CISA)에서 발표한 긴급 지침으로 연결되며, 각 완화 조치를 실행하는 데 도움이 되는 자세한 단계별 가이드와 리소스를 제공합니다. 비상 지침은 연방 기관을 대상으로 하지만, EPA는 상하수도 시스템에서 이 지침을 검토하고 적절한 완화 단계를 따를 것을 권장합니다. 현재 이 취약점이 OT 시스템에 직접적으로 영향을 미친다는 징후는 없으며, 깨끗하고 안전한 물을 공급하는 수도 시설의 능력을 손상시키지 않으므로 중간 수준으로 지정했습니다. 여기에서 EPA pdf를 참조하세요.

  • 마이크로소프트 SharePoint 취약점(7월 2025)

    미국 EPA는 상하수도 시스템 소유자와 운영자에게 Microsoft SharePoint 사용에 대한 경계를 강화해야 함을 알리기 위해 이 경보를 발령합니다.  범위와 영향은 계속 평가 중이지만, 'ToolShell'로 공개 보고된 이 체인은 각각 시스템에 대한 인증되지 않은 액세스와 네트워크 스푸핑을 통한 인증된 액세스를 제공하며, 악의적인 공격자가 파일 시스템과 내부 구성을 포함한 SharePoint 콘텐츠에 완전히 액세스하고 네트워크를 통해 코드를 실행할 수 있게 해줍니다.  이번 릴리스에 대한 전체 업데이트 내용은 CISA 웹페이지에서확인하세요.

  • 이란 분쟁으로 미국 네트워크에 대한 저수준 사이버 공격 가능성 증가 (7월 2025)

    미국 환경보호청(EPA)은 현재의 지정학적 환경으로 인해 미국 내에서 발생할 수 있는 사이버 활동에 대한 경계 강화를 촉구하기 위해 이 경보를 발령합니다. 이 경보는 수자원 및 폐수 처리 시스템의 소유주 및 운영자에게 해당 내용을 알리기 위해 발송됩니다. 자세한 내용은 여기에서확인할 수 있습니다.

  • 시티웍스 소프트웨어와 관련된 사이버 사고(7월 2025)

    EPA는 상하수도 시스템 소유자 및 운영자에게 Cityworks 소프트웨어와 관련된 사이버 사고를 알리기 위해 이 경보를 발령합니다. Cityworks(트림블 소유) 플랫폼은 상하수도 시스템을 포함하여 주, 지방, 부족, 자치지역 지자체에서 널리 사용되고 있습니다.  이 알림에 대한 자세한 내용은 여기에서 확인하세요.

사이버 보안 사고에 대응하기

상수도에 사이버 보안 사고가 발생하면 ODW는 상수도에 다음과 같은 조치를 취할 것을 권장합니다:

  • 사이버 인시던트 양식을 통해 버지니아 퓨전 센터 사이버 인텔리전스 팀에 인시던트를 알립니다. 버지니아주 법령에 따라 공공 기관은 사이버 사고를 버지니아 융합 센터에 보고해야 합니다.
  • 지역 ODW 현장 사무소에 연락하여 해당 사건을 알립니다. 연락처 정보는 여기에서 확인할 수 있습니다.
  • 사이버 보안 및 인프라 보안 기관(CISA)에 사고 보고 시스템을 통해 사고를 알립니다.

상수도사업소는 연방 정부에 사이버 사고를 보고하는 데 도움을 주기 위해 EPA 사이버 사고 보고 팩트시트를 사용할 수 있습니다.

사이버 보안 평가

상수도는 기존 사이버 보안 조치를 정기적으로 평가하여 취약점을 해결하기 위해 추가 제어가 필요한 부분을 결정해야 합니다.  새로운 감독 제어 및 데이터 수집(SCADA) 시스템, 청구/금융 소프트웨어 또는 사이버 공격의 대상이 되고 상수도에 중요한 기타 기술을 구현할 때도 사이버 보안 평가를 수행해야 합니다.

사이버 보안 자체 평가를 수행하고자 하는 상수도를 위해 미국 상수도 협회(AWWA)는 유틸리티가 다양한 기술을 사용하는 방식을 평가하고 유틸리티의 기술 애플리케이션에 가장 적합한 맞춤형 우선순위의 제어 목록을 생성하는 평가 도구를 개발했습니다.  AWWA는 또한 소규모 지방 유틸리티의 사이버 보안 관행을 개선하는 데 도움이 되는 소규모 시스템 지침을 개발했습니다.  AWWA 사이버 보안 리소스에 대한 자세한 내용은 https://www.awwa.org/Resources-Tools/Resource-Topics/Risk-Resilience/Cybersecurity-Guidance에서 확인할 수 있습니다.

사이버 보안 평가를 수행하는 데 도움이 필요한 상수도를 위해 미국 환경 보호국(EPA)은 수도 부문 사이버 보안 평가 프로그램을 통해 상수도에 무료 사이버 보안 평가를 제공합니다.  이 프로그램은 PWS 위생 조사에서 사이버 보안 평가에 관한 지침에 있는 EPA의 체크리스트를 사용하여 사이버 보안 평가를 수행하고 권장 사이버 보안 제어를 식별하는 위험 완화 계획을 개발합니다.  EPA로부터 이러한 지원을 받으려면 여기에서 EPA의 물 부문 사이버 보안 평가 프로그램 요청 양식을 작성하세요.

기타 리소스

사이버 보안 제어 구현하기

사이버 보안 평가를 완료한 후 상수도는 평가에서 확인된 취약점을 해결하기 위해 사이버 보안 제어를 구현해야 합니다.  위험 완화 계획은 구현할 통제와 이를 구현하기 위한 일정을 식별하기 위해 개발될 수 있습니다.  통제는 위험의 정도와 통제 구현에 드는 비용에 따라 우선순위를 정해야 합니다.

주, 지방 및 지역 정부를 위한 보조금 지원: 국토안보부(DHS)는 주 및 지방 사이버 보안 보조금 프로그램(SLCGP)을 통해 주, 지방, 부족 및 지역 정부가 해당 기관이 소유하거나 운영하는 정보 시스템에 대한 사이버 보안 위험 및 위협을 대응하기 위해 자금을 지원합니다.  이 보조금은 버지니아주에서 버지니아 정보기술청(VITA), 버지니아 주 비상관리국(VDEM), 및 버지니아 사이버 보안 계획 위원회(VCPC)에 의해 관리됩니다.  이 보조금에 대한 자세한 정보는 https://www.vita.virginia.gov/security/cybersecurity-grants/를방문해 주시기 바랍니다.

추가 사이버 보안 리소스

EPA 사고 조치 체크리스트 - EPA는 사이버 사고에 대비하고, 사이버 사고에 대응하고, 사이버 사고로부터 복구하기 위한 조치 체크리스트를 제공합니다.

버지니아 융합 센터 물 & 폐수 부문 참여 가이드 - 물 및 폐수 부문을 위한 사이버 보안 지침 및 리소스

사이버 보안 및 비상 관리 설문조사 결과

식수국은 모든 상수도에 사이버 보안 및 비상 관리에 관한 설문조사를 보냈습니다. 660 이상의 상수도 사업소가 응답했습니다. 주요 설문조사 결과는 여기에서 확인할 수 있습니다.

마지막 업데이트: 9월 29, 2025