싱가포르의 에너지, 수자원, 교통 등 주요 시스템을 운영하는 기관은 앞으로 ‘지속적 지능형 공격(APT)’이 의심될 경우 이를 사이버보안 당국에 의무적으로 보고해야 합니다.

 

디지털개발정보부 조세핀 테오 장관은 7월 29일, 이 같은 내용을 담은 사이버보안법 개정안이 2025년 후반부터 시행될 예정이라고 밝혔습니다. 이 개정은 7월 18일 중국과 연계된 것으로 알려진 사이버 첩보 조직 UNC3886의 심각한 위협이 공개된 이후 추진되는 것입니다.

 

APT 공격은 국가의 지원을 받는 경우가 많으며, 고도의 기술을 통해 탐지를 피하고 장기간 네트워크에 잠복하며 민감한 정보를 탈취하거나 필수 서비스에 혼란을 주는 방식으로 이루어집니다.

 

테오 장관은 “기관이 스스로 공격자에 대응하는 것은 불가능하며, CSA(싱가포르 사이버보안청)에 조기 보고해야 적절한 방어 조치를 신속히 취할 수 있다”고 강조했습니다.

현재 싱가포르의 중요 정보 기반시설(CII) 부문은 항공, 보건의료, 육상교통, 해운, 미디어, 보안 및 긴급 서비스, 수자원, 은행·금융, 에너지, 정보통신, 정부 등 11개 부문입니다.

 

사이버보안법은 2024년 공급망 및 클라우드 서비스로부터 발생할 수 있는 위험에 대해 CSA의 감독 권한을 확대하는 방향으로 개정된 바 있습니다. 여기에 이번 개정으로 APT 공격 의무 보고 조항이 추가됩니다. 또한 백신 배포나 국제 정상회의 등 대규모 이벤트를 지원하기 위해 설치되는 임시 시스템도 CSA의 감독 대상이 됩니다.

 

테오 장관은 “APT 위협은 상상이 아닌 실제이며, 싱가포르 경제와 사회에 심각한 결과를 초래할 수 있다”고 경고했습니다. 예로, 2024년 1월 우크라이나에서는 인터넷 라우터의 제로데이 취약점을 악용한 공격으로 600가구가 이틀 동안 난방을 공급받지 못했고, 같은 해 4월 노르웨이에서는 댐이 해킹돼 70억 리터의 물이 방류되는 사건이 있었습니다.

 

정부는 UNC3886 사건 이후 경계 태세를 강화하고 있으며, CSA는 모든 CII 운영사 CEO를 대상으로 기밀 브리핑을 실시하고 국제 파트너 및 국내 기관과 위협 정보를 공유하고 있습니다.

또한 CSA는 7월 29일 ST 엔지니어링과 협력해 주요 산업을 위한 운영기술(OT) 보안 도구 공동 개발을 위한 협약을 체결했습니다.

 

테오 장관은 “APT의 주요 목표는 단순한 랜섬웨어 공격을 넘어 국가 기반시설에 집중되고 있다”며 “민·관 협력을 통해 안전하고 회복력 있는 디지털 미래를 만들어가야 한다”고 강조했습니다.