LA 메트로 해킹, 이란 정보기관 연계 정황 제기…미 핵심 인프라 경계 계속

이스라엘 보안업체 갬빗 시큐리티가 5월 26일 보고서에서 지난 3월 로스앤젤레스 카운티 메트로 교통국 해킹을 이란 정보안보부와 연결된 기존 사이버 작전 인프라와 관련 있다고 분석했다. 로이터 보도와 예루살렘포스트 5월 29일 보도는 이 분석을 전했지만, 미국 당국은 아직 배후를 공식적으로 단정하지 않았다.

갬빗은 친이란 성향을 내세운 해킹 조직 아바빌 오브 미나브가 LA 메트로 침해를 주장했으나, 실제 작전 흔적은 과거 이스라엘 국가사이버국이 이란 정보안보부와 연계된 것으로 본 블랙 섀도 계열 활동과 겹친다고 밝혔다. 업체는 유출된 것으로 보이는 이메일, 백업, 내부 파일 등 최소 700GB 규모 자료를 확인했다고 설명했다.

LA 메트로는 앞서 3월 16일 내부 행정 컴퓨터 시스템에서 무단 활동을 발견해 직원 접근을 제한했다고 밝혔다. 버스와 철도 운행, 안전 시스템은 계속 유지됐지만 도착 정보 표시와 교통카드 충전 등 일부 승객용 디지털 서비스에는 차질이 있었다. LA 메트로는 배후 판단은 수사 대상이라며 추측하지 않겠다고 했고, FBI도 관련 기관과 대응을 조율 중이라고만 밝혔다.

이번 사안이 주목되는 이유는 이란 전쟁 이후 안보 긴장이 군사·외교 영역을 넘어 미국 내 교통, 물, 병원, 대학 같은 생활 기반 시설의 사이버 보안 우려로 이어질 수 있기 때문이다. 갬빗은 공격자가 정보를 빼내는 데 그치지 않고 가상 서버, 데이터베이스, 백업 인프라를 삭제하거나 손상시켜 복구를 어렵게 만들려 한 정황도 있다고 분석했다.

미 환경보호청, FBI, CISA, NSA는 4월 7일 공동 권고문에서 이란 연계 사이버 행위자들이 물·폐수 시설 등 핵심 인프라 운영기술을 노리고 있다고 경고한 바 있다. 다만 이 권고문과 LA 메트로 사건의 공식 연결 여부는 별도로 확인되지 않았다.

현재까지 보스턴이나 매사추세츠 대중교통·상하수도 시스템에 대한 직접 공격은 확인되지 않았다. 보스턴 지역 유학생과 교민 입장에서는 당장 생활 차질보다는 학교, 병원, 교통 앱의 공식 공지와 계정 보안 알림을 확인하는 수준의 주의가 필요하다. 비정상 로그인 알림이나 결제 오류가 있을 경우에는 문자나 이메일 링크보다 해당 기관의 공식 앱과 고객센터를 통해 확인하는 편이 안전하다.

이번 분석은 민간 보안업체의 포렌식 판단이며, 미국 정부가 LA 메트로 해킹의 배후를 이란으로 공식 지정한 것은 아니다. 앞으로 확인해야 할 핵심은 FBI와 CISA의 공식 평가, 추가 피해 기관 공개 여부, 그리고 이란 관련 사이버 위협이 미국 내 생활 인프라로 더 확산되는지다.