이란 연계 사이버 공격으로 가동 중단과 금전적 손실 초래
미국은 이란이 최근의 이란-미국 전쟁에 대응하여 수자원 및 에너지 회사 등 핵심 미국의 기반 시설에 사이버 공격을 감행하고 있다고 경고했다. 금주 사이버보안 및 기반시설보안국(CISA)이 발표한 경고문에 따르면, 이란의 공격은 "인터넷에 노출된 운영 기술(operational technology)"에 초점을 맞추고 있으며, 특히 진입 거점을 확보하고 혼란을 야기할 수 있는 프로그래머블 로직 컨트롤러(programmable logic controllers, PLCs)를 겨냥하고 있다.
CISA는 피해를 입은 조직들에게 지침을 "긴급히 검토"하고, 안전한 게이트웨이와 방화벽을 활용하여 Rockwell Automation 및 Allen-Bradley사 등에서 제조한 잠재적으로 악용 가능한 컨트롤러를 "직접적인 인터넷 노출" 환경에서 제거할 것을 권고했다. 또한, 해당 지침은 44818, 2222, 102, 502 등 여러 포트에서 의심스러운 트래픽이 있는지 접근 로그를 감사(audit)할 것을 권고한다.
이번 위협은 매우 심각하여 FBI와 NSA를 포함한 여러 미국 기관들은 핵심 인프라와 관련된 조직들이 실제로 위험에 처해 있다고 경고했다. 이 경고는 미국과 이스라엘이 이란에 대해 최근 군사 작전을 펼친 이후에 나온 것으로, 이에 대응한 이란이 IT 기업들을 표적으로 삼고 있다는 맥락과 일치한다. 이란은 오라클(Oracle) 및 아마존(Amazon) 데이터 센터에 대한 직접 공격을 감행했을 뿐만 아니라, 마이크로소프트(Microsoft), 애플(Apple), 구글(Google) 등 중동에 있는 다른 14개 미국 기업에 대한 추가 공격 위협까지 제기한 바 있다.
지속적인 악성코드 웜인 CanisterWorm은 명확한 이유 없이 시간대 정보를 이용해 이란 관련 장비를 식별하고 무작위로 삭제하는 것으로 알려져 있다.
2026년 4월 7일자 CISA 지침에 따르면, 이러한 프로그래머블 로직 컨트롤러가 여러 핵심 산업에서 "광범위하게 사용"되는 점 자체가 직접적인 위협 요소로 지적되었다. 보고서는 일부 사례에서 "악의적인 상호작용"이 "데이터 조작"을 야기했으며, 이는 "일부 경우" 운영 중단과 금전적 손실로 이어졌다고 강조했다.
CISA가 특정 해킹 그룹을 지목하지는 않았으나, 과거 이란의 강경파 이슬람 혁명 수비대와 연계된 그룹인 CyberAv3ngers에 대해 경고한 적이 있다. 당시 CISA는 이 그룹이 2024년에 유사한 익스플로잇을 사용했다고 보고한 바 있다. 수자원, 에너지, 지역 자치 서비스 등 미국 경제에 필수적인 여러 부문들이 위험에 노출된 것으로 간주되고 있다.
CISA 지침에는 FBI가 수집한, 해당 그룹이 2026년 3월까지 다양한 기간에 걸쳐 사용했다고 추정되는 여러 IP 주소 목록이 포함되어 있다. 또한, Rockwell Automation의 프로그래밍 소프트웨어인 Studio 5000 Logix Designer 등 여러 공격 벡터가 언급되었으며, Dropbear SSH 소프트웨어의 포트 22와 같이 취약 장비에 배포된 일반적인 접근 포트와 원격 접속 도구들도 지목됐다.
위험에 처할 수 있는 조직들에게의 조언은 다음과 같이 간단하다. 로그를 재확인하고 장비를 보호하는 것이다. "즉각적인 조치"로 추가 공격을 막기 위해서는, 공용 인터넷에 노출되는 모든 취약 하드웨어 접근을 제한하고, 기능이 있는 모든 PLC에 대해 프로그래밍 또는 원격 접근을 제한하는 물리적 스위치 모드를 사용하는 것이 권장된다.
방화벽은 일반적인 포트의 트래픽을 차단하도록 설정해야 하며, 사용하지 않는 원격 접속 방식과 서비스는 즉시 비활성화해야 한다. 특히 Rockwell Automation/Allen-Bradley PLC를 사용하는 조직은 가능한 한 추가적인 사이버 위협으로부터 보호하기 위해 제조사에서 발행한 "이전 지침"을 검토할 것을 권고받았다.
CISA의 과거 지침에서 볼 수 있듯이, 이란, 러시아, 북한과 같은 국가발 사이버 공격은 결코 새로운 현상이 아니다. 전 세계적인 불안정성이 커지는 현 시대에, 이번 CISA 경고는 중요 기반 시설 보호 담당자들에게 시스템을 강화해야 할 필요성을 시사한다. 왜냐하면 인터넷에 연결되는 순간, 아무리 멀리 떨어져 있는 해커들의 위협으로부터 모든 연결 시스템이 갑작스럽게 노출되기 때문이다.