국가정보원·국가보안기술연구소가 2026년 3월 펴낸 180쪽 문서를 일반 독자가 이해할 수 있도록 풀어 쓴 안내서
전력망이 똑똑해지면서 새로운 종류의 위험이 늘어났다. 옛날 전력망은 외부와 거의 연결되지 않은 폐쇄된 시스템이라 자연스럽게 안전했지만, 태양광·풍력 같은 분산자원, 전기차 충전기, 스마트 미터, AI 운영 시스템이 끼어들면서 사이버 공격이 들어올 수 있는 통로가 구조적으로 늘어났다. 국가정보원과 국가보안기술연구소가 펴낸 이 가이드라인은 그 통로를 11가지 유형으로 정리하고, 실제로 일어났던 16건의 침해 사례를 분석한 뒤, 11가지 공통 보안 대책과 4가지 보안 원칙을 제시한다. 이 글은 그 180쪽 문서를 컴퓨터공학을 전공하지 않은 독자가 한 번에 읽을 수 있는 분량으로 풀어 쓴 해설서다.
한국의 전력망이 빠르게 바뀌고 있다. 발전소에서 만든 전기를 송전선과 변전소를 거쳐 일방향으로 흘려보내던 옛 구조가, 지붕 위 태양광이 거꾸로 전기를 송출하고 전기차가 전력을 저장했다가 되팔고 스마트 미터가 실시간 사용량을 보고하는 양방향 구조로 빠르게 옮겨가고 있다. 정부는 이 새로운 형태의 전력망을 지능형 전력망(스마트그리드)이라고 부른다.
문제는 똑똑해질수록 공격받을 곳이 늘어난다는 점이다. 전통적인 전력망은 외부 인터넷과 분리된 폐쇄망 안에서 운영됐다. 외부에서 접근할 통로가 거의 없었으므로, 보안에 큰 비용을 들이지 않아도 자연스럽게 안전했다. 그러나 지능형 전력망은 본질적으로 수많은 외부 장비와 연결되어야 작동한다. 가정집 옥상의 태양광 인버터, 길거리 전기차 충전기, 클라우드에 올라간 AI 운영 시스템까지 모두 전력망의 일부가 된다.
옛 전력망은 성벽으로 둘러싸인 중세 도시였다. 출입문이 단 두세 개뿐이라 그곳만 지키면 됐다. 지금의 지능형 전력망은 수많은 출입구와 골목길이 거미줄처럼 얽힌 현대 메가시티에 가깝다. 출입구마다 누가 드나드는지 확인하지 않으면 도시 전체가 위험해진다.
이런 변화 속에서 실제 사고도 이미 일어나고 있다. 우크라이나에서는 2015년과 2016년에 사이버 공격으로 정전이 발생했고, 미국·유럽 곳곳에서도 변전소와 배전사가 침투당했다. 한국 역시 분산에너지 활성화 특별법이 시행되고 한국형 차세대 전력망(K-Grid) 구상이 추진되는 시점에 들어섰기 때문에, 같은 위험이 머지않은 미래의 일이 아니라 지금 당장의 일이 되어가고 있다. 국가정보원이 이 시점에 가이드라인을 발간한 이유다.
가이드라인은 전력망을 운영하는 모든 주체를 대상으로 한다. 그 범위는 일반적으로 떠올리는 한국전력공사보다 훨씬 넓다. 대규모 발전사업자, 분산발전사업자, 통합발전소사업자, 송전망 운영자, 배전망 운영자, 스마트 미터 인프라(AMI, Advanced Metering Infrastructure) 사업자, 수요관리사업자, 분산에너지 사업자가 모두 포함된다. 즉, 옥상에 태양광을 설치한 가정에서 발전한 전기를 모아서 전력시장에 파는 회사도 적용 대상이다.
가이드라인은 다음 일곱 가지 법령·지침을 근거로 작성됐다.
가이드라인은 모든 연결마다 일일이 보안 대책을 나열하지 않는다. 대신 비슷한 성격의 연결을 11가지 유형으로 묶어 유형별로 최소한의 보안 대책을 제시한다. 기관마다 환경이 다르므로, 이 최소 기준을 지키되 세부적인 보안 설계는 각자 자율적으로 하라는 구조다.
가이드라인은 지능형 전력망을 여덟 개의 도메인으로 나눈다. 도메인은 컴퓨터 용어이지만 여기서는 단순히 '역할이 비슷한 기관과 장비들의 묶음' 정도로 이해하면 충분하다.
도시에 비유하면 도메인은 도시의 구역과 같다. 전기를 만드는 발전 도메인은 거대한 공장지대, 송변전 도메인은 도시 사이를 연결하는 고속도로, 배전 도메인은 동네 안의 골목길이다. 여기에 옥상마다 작은 발전기를 두는 분산자원 구역, 가구별 사용량을 측정하는 미터링 구역, 전기차 충전소 구역 등이 더해진다.
도메인을 나누는 이유는 단순하다. 도메인마다 위험의 성격이 다르기 때문이다. 발전소에서는 단 한 번의 잘못된 명령이 거대한 터빈을 부수는 물리적 피해로 이어질 수 있다. 반면 스마트 미터 영역에서는 한 가구의 사용량 데이터가 새는 것이 일차적 위협이다. 같은 보안 대책을 모든 도메인에 똑같이 적용하면 어떤 곳은 과잉, 어떤 곳은 부족하게 된다.
도메인이 '어디서 일이 벌어지는가'에 대한 답이라면, 연계유형은 '시스템들이 어떤 식으로 서로 연결되는가'에 대한 답이다. 가이드라인의 핵심 기여는 지능형 전력망 안에서 일어나는 무수한 시스템 간 연결을 11가지 표준 유형으로 정리했다는 점이다.
이메일, 전화, 대면 미팅, 화상 회의가 각각 다른 보안 위험을 갖듯이, 전력망 안의 연결도 종류마다 위험 성격이 다르다. 변전소의 제어 명령이 오가는 통신선과 가정집 스마트 미터에서 청구서 데이터가 흘러가는 통신선을 같은 방식으로 지킬 수는 없다.
가이드라인은 연계유형을 분류할 때 네 가지 기준을 종합적으로 고려한다.
SCADA(Supervisory Control and Data Acquisition, 원격 정보 수집·제어 시스템) · RTU(Remote Terminal Unit, 원격 단말장치) · FRTU(Feeder Remote Terminal Unit, 배전 단말장치) · IED(Intelligent Electronic Device, 지능형 전자 장치, 보호계전기 등) · MDMS(Metering Data Management System, 계량 데이터 관리 시스템) · VPP(Virtual Power Plant, 가상발전소) · DSO-MD(Distribution System Operator-Market and Dispatch, 배전계통 운영·시장 통합 시스템) · WMS(Work Management System, 작업관리시스템) · OMS(Outage Management System, 정전관리시스템) · CIS(Customer Information System, 고객정보시스템) · B2B(Business-to-Business, 기업 간 거래)
11가지 연계유형은 가이드라인의 척추다. Part 4에서 제시하는 모든 세부 보안 대책은 이 유형 분류 위에 얹혀 있다. 어떤 시스템 두 개가 연결될 때 그 연결이 11가지 중 어디에 해당하는지를 먼저 판단하고, 그에 맞는 대책을 적용하라는 흐름이다.
가이드라인 Part 3은 2010년부터 2024년까지 국내외에서 확인된 16건의 침해 사례를 시간순으로 정리한다. 이 표를 처음부터 끝까지 읽으면, 사이버 공격이 더 이상 가상의 위협이 아니라 이미 작동하고 있는 현실이라는 점을 분명히 알 수 있다.
아래 표는 가이드라인이 정리한 16건 중 대표 사례 12건을 시간순으로 추린 것이다. 표 안에 등장하는 약어 가운데 본문에서 풀이가 없는 항목으로는 ENTSO-E(European Network of Transmission System Operators for Electricity, 유럽 송전망 운영자 협의체)와 SLDC(State Load Despatch Centre, 인도의 주(州) 단위 전력 운영센터), IEC-104(IEC 60870-5-104, 전력 제어 시스템 표준 통신 규약)가 있다.
| 연도 | 지역·대상 | 공격 그룹·악성코드 | 결과 |
|---|---|---|---|
| 2010 | 이란 핵시설 | Stuxnet | 원심분리기 약 1,000기가 물리적으로 파괴됨 |
| 2014 | 미국·EU 발전·운영센터 | Dragonfly, Havex | 피싱·워터링홀·공급망 침투, 대응으로 정상화 |
| 2015 | 우크라이나 배전망 | BlackEnergy3, KillDisk | 약 22만 5천 가구 정전, 최대 6시간 지속 |
| 2016 | 이스라엘 전력청 | 미상 (랜섬웨어 추정) | 업무망 일부 차단, 전력 공급 자체에는 지장 없음 |
| 2016 | 우크라이나 송변전 | Industroyer/Crashoverride | 키이우 북부 약 1시간 정전 (도시 야간 부하의 약 1/5) |
| 2019 | 남아공 요하네스버그 배전 | 미상 (랜섬웨어) | 최대 25만 가구 전력 끊김, 완전 복구에 수 주 |
| 2020 | EU 송전망 기구(ENTSO-E) | 미상 | IT망 해킹·내부 데이터 유출, 운영망과 분리되어 계통에는 영향 없음 |
| 2020 | 인도 뭄바이 송변전 | RedEcho, TAG38 | 변전소(SLDC) 침투 의심, 약 2시간 도심 전력 마비 |
| 2021 | 미국 콜로라도 배전사 DMEA | 미상 (랜섬웨어) | 내부 시스템 90% 마비, 20년 누적 데이터 상실 |
| 2022 | 우크라이나 송변전 | Industroyer2 | 고압 변전소 파괴 시도, CERT가 사전 차단 |
| 2023 | 샘플 공개 | COSMICENERGY | IEC-104로 RTU 차단기 트립 명령 가능하도록 설계된 공개 저장소 업로드 샘플 |
| 2024 | 리투아니아 분산자원 | JutEvile, Killernet | Sungrow사 iSolarCloud 자격증명 유출, 병원·군사학교 등 22개 고객 대시보드 접근 |
15년에 걸쳐 누적된 사례들은 몇 가지 공통점을 보여준다. 첫째, 정전이 발생하지 않은 사건에서도 청구·고객지원·통신 같은 비즈니스 기능이 수 주 단위로 마비되는 일이 흔하다. 둘째, 공격자는 보안이 상대적으로 약한 기업 업무망을 먼저 뚫고, 그곳을 발판으로 운영망으로 이동한다. 셋째, 시간이 지날수록 공격 대상이 중앙 시스템에서 변두리의 분산자원·스마트 미터 영역으로 옮겨가고 있다.
가이드라인은 실제 사례 외에 네 가지 가상 공격 시나리오도 자세히 그린다. 모두 미국 MITRE라는 비영리 연구기관이 만든 ATT&CK 프레임워크라는 공격 기법 분류 체계에 따라 단계별로 서술돼 있다.
MITRE ATT&CK는 야구의 타격 통계 같은 것이라고 보면 된다. 야구 통계가 모든 타격을 안타·홈런·삼진 같은 표준 분류로 정리하듯, ATT&CK는 사이버 공격의 모든 단계를 '초기 접근', '권한 상승', '측면 이동' 같은 표준 카테고리로 정리한 일종의 공격 사전이다. 공격자가 어디까지 침투했는지 같은 언어로 말할 수 있게 해주는 도구다.
가장 특징적인 시나리오다. 수천 개의 옥상 태양광 인버터를 한꺼번에 조작해 전력망의 주파수나 전압을 흔든다. 개별 인버터 한 대는 아무리 잘못 작동해도 동네 한 블록을 위협하지 못한다. 그러나 같은 제조사의 클라우드 관리 시스템이 뚫리면 같은 시각 같은 명령을 수천 대에 동시에 내릴 수 있고, 그 순간 그 지역 전력망 주파수가 정상 범위를 벗어나게 된다. 주파수가 이탈하면 발전기들이 자기 보호를 위해 차례로 떨어져 나가고, 연쇄 정전으로 이어진다.
한 사람이 다리 위에서 발을 구르는 것은 의미가 없다. 그러나 1만 명이 동시에 같은 박자로 발을 구르면 다리가 무너진다. 분산자원 동시 조작 공격이 위험한 이유는 같은 박자를 외부에서 만들어낼 수 있게 된 데 있다.
전통적인 형태의 공격이다. 변전소나 배전관리 센터의 운영 단말을 피싱이나 공급망 침투로 뚫고, 거기서 SCADA 같은 제어시스템에 접근해 차단기를 임의로 조작한다. 우크라이나 2015년 사례와 2016년 Industroyer 사례가 여기에 해당한다.
APT는 한 번에 침입하는 강도가 아니라 오랜 시간 잠복하는 스파이에 가까운 공격이다. 처음에는 보안이 약한 협력사 직원의 노트북을 뚫고, 그 노트북으로 본사 메일을 열람하면서 몇 달 동안 정보를 수집한 뒤, 결정적 순간에 운영망으로 이동한다. Stuxnet, Dragonfly가 이 부류에 속한다.
가정과 건물의 스마트 미터를 좀비처럼 만들어 봇넷을 구성한 다음, 데이터 집중 장치(DCU, Data Concentration Unit)에 의미 없는 트래픽을 한꺼번에 보낸다. DCU가 마비되면 그 지역의 검침과 청구가 멈춘다. 정전 자체는 일어나지 않지만 청구·정산 같은 비즈니스 기능이 길게 마비된다. 위에 나온 콜로라도 DMEA 사례가 이 유형에 가깝다.
가이드라인은 16건의 침해 사례와 4가지 가상 공격을 분석한 끝에, 모든 세부 대책의 뿌리가 되는 네 가지 보안 원칙을 제시한다. 이 네 원칙은 어떤 시스템을 만들고 운영하든 평생에 걸쳐 적용해야 하는 큰 틀이다.
모든 자산을 똑같이 지키려고 하면 결국 아무것도 제대로 지키지 못한다. 대신 자산마다 위험의 크기를 평가하고, 가장 위험이 큰 곳부터 단계적으로 보호한다. 예를 들어 발전소 중앙 제어 컴퓨터와 사내 식당 키오스크를 같은 수준으로 보호하는 것은 자원 낭비이자 본질을 놓치는 일이다.
단일 방화벽이나 단일 암호화에 보안을 맡기지 말라는 원칙이다. 물리적 보안, 네트워크 분할, 애플리케이션 화이트리스팅, 사용자 인증, 데이터 암호화, 그리고 공격을 받아도 핵심 기능은 살아남게 하는 복원력 계획까지 여러 겹의 방어를 쌓는다.
중세 성에는 해자, 외성벽, 내성벽, 본성, 천수각이 차례로 있었다. 적이 해자를 건너도 외성벽이 막고, 외성벽이 뚫려도 내성벽이 남는다. 사이버 보안의 심층 방어도 같은 발상이다. 한 겹이 뚫린 사건이 곧바로 전체 함락으로 이어지지 않도록 여러 겹을 준비해 두는 것이다.
'아무도 자동으로 믿지 않는다'는 원칙이다. 옛 보안 모델은 회사 내부망 안에 들어온 사용자나 장치는 일단 신뢰했다. 그러나 협력사 노트북 한 대만 뚫려도 내부망 전체가 노출되는 사고가 반복되면서, 이제는 내부든 외부든 모든 접근 요청을 매번 강하게 인증하고 권한을 검증하고 통신을 암호화하는 방식으로 옮겨가고 있다. 특히 사무용 정보기술(IT, Information Technology)망과 공장·발전소의 운영기술(OT, Operational Technology)망 경계를 넘나드는 통신에는 더 엄격하게 적용해야 한다.
옛날 보안은 회사 정문에서 출입증을 한 번만 검사한 다음 사내 어디든 자유롭게 다니게 하는 방식이었다. 제로 트러스트는 공항과 같다. 입국 심사를 통과해도 보안 검색대를 또 거쳐야 하고, 게이트마다 탑승권을 다시 확인하며, 면세 구역에서 출국 게이트로 갈 때도 한 번 더 검사한다. 어디서든 신원 확인이 끝났다고 다음 검문이 면제되지 않는다.
시스템을 다 만든 뒤에 보안을 덧붙이지 말고, 설계 단계부터 보안을 안에 녹여 넣으라는 원칙이다. 공격을 예방하는 것뿐만 아니라, 공격을 받아도 핵심 기능이 살아남도록 설계한다. 가이드라인은 구체적으로 안전한 수동 조작 기능, 대체(Out-of-Band) 통신 채널, 그리고 외부 전력망의 도움 없이 자체적으로 시스템을 재가동할 수 있는 블랙스타트(Black Start) 절차 등을 예로 든다.
자동차 회사가 차를 다 만든 뒤에 운전석에 안전벨트를 붙이는 것이 아니라, 차체 설계 단계부터 충돌 흡수 구조와 에어백 위치를 고려하는 것과 같다. 사이버 보안도 똑같이 처음부터 설계 안에 들어가야 한다는 발상이다.
가이드라인 Part 4는 두 층으로 구성된다. 먼저 모든 지능형 전력망 시스템에 공통으로 적용해야 하는 11가지 대책을 제시하고, 그 위에 11가지 연계유형별 추가 대책을 얹는다. 여기서는 공통 대책 11가지를 한 단락씩 요약한다.
모든 하드웨어와 소프트웨어 자산을 도입 즉시 식별 번호를 부여하고 목록에 등록한다. 자산명, 유형, 모델, 책임자, 물리적 위치, IP 주소, 도입일 같은 핵심 정보를 기록하고, 자산 목록은 주기적으로 점검해 최신 상태로 유지한다. 모든 물리적 자산에는 식별이 쉬운 관리 라벨을 붙인다.
알려진 보안 취약점이 자기 시스템에 존재하는지 정기적으로 점검하고, 발견된 취약점은 위험도에 따라 우선순위를 매겨 패치하거나 완화한다. 취약점은 매일 새로 발견되므로 한 번의 점검으로 끝나지 않는다.
식별된 자산과 취약점, 위협을 결합해 위험의 크기를 계산하고, 그 결과를 의사결정에 반영한다. 위험 관리 절차는 문서화되어야 하며 경영진까지 보고 체계가 닿아야 한다.
스스로 만들지 않은 하드웨어·소프트웨어·펌웨어가 들어오는 모든 경로를 관리한다. 제조사 단계에서 이미 악성코드가 심어진 사례(예: 2014년 Havex)가 있으므로, 도입 전 검증과 공급사 보안 평가가 필수다.
방화벽, 침입탐지시스템, 보안관제 같은 정보보호 장비를 운영하고 그 로그를 실시간 모니터링한다. 알람이 떠도 아무도 보지 않으면 효과가 없으므로, 로그 분석 인력 또는 자동화 체계가 함께 운영돼야 한다.
제조사가 배포하는 보안 패치를 적용한다. 다만 전력 제어 시스템은 24시간 작동해야 하므로 사무용 PC처럼 즉시 적용할 수 없다. 따라서 패치 적용 전 시험 환경 검증, 단계적 적용, 적용 후 안정성 확인 같은 절차를 갖춰야 한다.
제조사나 협력사가 원격으로 장비를 점검·수리할 때 사용하는 통로를 관리한다. 가이드라인 부록 1이 이 주제만 따로 다룰 정도로 비중이 크다. 사용 시점에만 통로를 열고, 사용이 끝나면 닫으며, 모든 접속 기록을 보관한다.
운영체제와 응용 프로그램의 보안 설정을 강화한다. 불필요한 서비스 비활성화, 강력한 사용자 인증, 로그 기록, 권한 최소화 같은 기본 작업이 여기에 포함된다.
네트워크 장비의 관리자 접근을 통제하고, ACL(Access Control List, 접근 제어 목록) 같은 규칙으로 허용된 통신만 흐르게 한다. 안전한 SNMP(Simple Network Management Protocol, 간이 망 관리 규약) 설정, 불필요한 프로토콜과 취약 서비스(telnet, http 등) 제거, ARP 스푸핑 방어 설정, 보안 패치 적용을 권고한다.
SNMP는 네트워크 장비를 원격으로 관리하기 위한 표준 통신 규약이다. 옛 버전(v1, v2)은 인증·암호화가 없거나 약해서 공격에 노출되기 쉽다. 가이드라인이 v3 사용을 권하는 이유다. ARP 스푸핑은 같은 네트워크 안에서 다른 장비인 척 위장해 통신을 가로채는 공격 기법으로, 내부망에 침투한 공격자가 자주 쓴다.
기술이 아닌 사람과 절차에 관한 대책이다. 자체 보안업무 지침을 만들어 주기적으로 갱신하고, 정보보호 책임자를 지정하며, 직원 교육과 보안 사고 대응 절차를 정비한다. 기술이 아무리 좋아도 조직 운영이 흔들리면 무너진다.
전산실과 운영실에 허가받은 인원만 출입하도록 통제하고, 출입 기록을 1년 이상 보관한다. CCTV를 설치하고, 물리적 방호 시스템 자체도 비인가자의 조작으로부터 보호한다. 사이버 공격의 출발점이 USB 한 개를 사무실 PC에 꽂는 일에서 시작되는 경우가 많다는 점을 생각하면 물리 보안이 사이버 보안의 첫 단추인 셈이다.
공통 대책 11가지 위에 가이드라인은 앞서 정리한 11가지 연계유형 각각에 대해 추가 대책을 제시한다. 예컨대 분산자원 직접 연계(연계유형 6)에는 인버터 펌웨어 무결성 검증과 동시 명령 제어가 핵심으로 들어가고, 전기차 충방전 인프라(연계유형 8)에는 충전 표준 프로토콜 보안과 결제 정보 보호가 추가된다. 이 부분은 분량이 크고 기술적이므로 실제 현장 적용 시 가이드라인 원문의 해당 장(83~154쪽)을 직접 참조하는 것이 좋다.
마지막으로 가이드라인은 두 가지 특수 주제를 부록으로 따로 다룬다.
지능형 전력망은 폐쇄망에서 양방향 개방망으로 옮겨가는 중이고, 그만큼 공격 가능한 통로가 늘어났다. 가이드라인은 전력망을 8개 도메인과 11가지 연계유형으로 정리한 뒤, 우크라이나 정전(2015, 2016)과 Stuxnet(2010) 등 16건의 실제 침해 사례에서 배운 교훈을 네 가지 원칙으로 압축한다. 위험 기반, 심층 방어, 제로 트러스트, 보안 내재화가 그 네 원칙이다. 이 위에 11가지 공통 보안 대책과 연계유형별 추가 대책이 얹힌다. 핵심은 한 가지 강력한 도구로 전체를 지키는 것이 아니라, 시스템 생명주기 전체에 걸쳐 여러 겹의 방어를 설계 단계부터 녹여 넣는 일이다.
가이드라인은 모든 답을 주지 않는다. 모든 답을 줄 수도 없다. 지능형 전력망은 매일 새로운 장비와 새로운 사업 모델이 추가되는 살아있는 시스템이고, 공격자 역시 매일 새로운 도구를 만든다. 이 문서가 제시하는 것은 단단한 출발점, 그리고 각 기관이 자기 상황에 맞춰 더 정교하게 다듬을 수 있는 공통의 언어다. 전력망을 운영하는 사람뿐 아니라, 그 위에서 살아가는 모든 사람이 알아두면 좋을 언어이기도 하다.
원문 · 국가정보원·국가보안기술연구소, 「지능형 전력망 사이버보안 가이드라인」 v1.0, 2026년 3월, 180쪽.
이 글의 위치 · 이 해설서는 원문의 구조와 핵심 내용을 비전공자가 이해할 수 있는 분량으로 정리한 안내서다. 실무 적용 시에는 원문 가이드라인의 해당 절을 직접 참조하기를 권한다.