“에너지분야 해킹땐 전력망 중단…보안 전담조직 꾸려야”

에너지경제연 "사이버공격 계속 늘어"
주요국 제도 마련…법 개정 필요성

루마니아 동부에 있는 체르나보다 원전 전경. 우리나라는 지난해 6월 루마니아 체르나보다 삼중수소제거설비 등을 수주했다./한국수력원자력

전 세계적으로 디지털 트랜스포메이션(DX)이 가속화되는 가운데 에너지 부문 사이버 공격이 증가하고 있다. 미국은 전력 시스템 보호 표준 등 사이버 공격 대응에 나서면서 우리나라 역시 법·제도 제정 등에 속도를 내야 한다는 의견이다.

1일 에너지경제연구원이 발표한 '주요국의 에너지부문 사이버공격 유형과 대응 및 시사점'에 따르면 에너지 시스템이 디지털화되면서 사이버 공격 위험이 커지고 있다. IEA(국제에너지기구)는 2022년 전 세계 사이버 공격의 약 11%가 에너지 기업이라는 분석을 냈다. 2018년 당시 이 비중은 6%였다.

미국 국립표준기술연구소(NIST)도 에너지의 최종 사용시설(전기차 충전기, 디지털 경제장치 등)에서 랜셈웨어(Ransomware) 또는 맬웨어(malware)를 통해 광범위하고 밀도 있게 해킹이 이루어질 경우에 전력망 운영 중단이 발생할 수 있다고 경고했다.

구체적으로 통합된 지능형 장치·서버·컴퓨터·시스템 등은 △에너지관리시스템(Energy management system, EMS) △발전제어시스템 △송전 SCADA(Supervisory control and data acquisition) △배전 자동화 시스템 △분산전원 △가상발전소(VPP), DR(Demand response) △AMI(Advanced metering infrastructure) 등을 통해 상호 연결이 심화되면서 잠재적 사이버 공격 대상이 될 수 있다는 것이다.

이에 미국 등 주요 국가들은 에너지부문 사이버 공격 대응책을 마련하고 있다. 미국은 전력시스템 보호 표준인 'NERC-CIP(North American Electric Reliability Corporation-Critical Infrastructure Protection)'를 만들었다. NERC-CIP에는 미국의 모든 대규모 전력시설에 대한 일련의 필수 표준들이 포함돼 있다. 이 표준은 사이버 보안 위협의 진화에 맞춰 정기적으로 개정 중이다.

유럽연합(EU)은 NIS(Network and Information Security) 지침을 세웠다. 2019년 개정안을 마련한 EU는 사이버 보안에 대한 보다 포괄적인 규정(네트워크법)을 마련하려는 계획이다. 이밖에 영국·독일·일본 등 각 국가들도 사이버 보안 관련 제도를 제정하고, 전담조직을 설립했다.

업계 관계자는 "에너지 시스템을 빠르게 복구하려면 물적·인적 자원 투자가 충분히 이뤄져야 한다"며 "사이버 보안 관련 기술개발과 법·제도 개정이 지속적으로 진행돼야 하고, 대응 전략과 전담 조직 구성이 빠르게 마련돼야 한다"고 말했다.