사이버 위협은 지난 10년 동안 점점 더 정교해졌다. 아시아 태평양 지역은 세계에서 가장 많은 공격을 받는 지역이다. IBM 보고서에 따르면, 2022년 전 세계 공격의 31%가 이 지역에서 발생했다. 그 중에서도 전체 사이버 범죄 케이스의 절반가량 발생한 제조업계가 1위를 차지했다. 과거에는 사이버 보안을 관리하는 것이 소프트웨어 엔지니어의 역할이다. 그러나 기술의 발전으로 인해 사이버 보안은 모든 사람의 책임이 되었다.

특히 산업 자동화 분야에서는 정보기술(IT)과 운영기술(OT)이 융합되면서 새로운 디지털 생태계가 탄생했다. 사물인터넷(IoT)과 빅데이터 분석은 지난 10년 동안 생산성과 효율성에 중요한 역할을 하고, 비즈니스 프로세스를 향상해주며, 이전에는 볼 수 없었던 인사이트를 제공한다.

기술이 산업을 혁신해주는 것은 사실이지만, 제대로 보안이 되지 않으면 큰 피해를 입을 수 있다. 특히 일부 공격 사례의 경우, 사이버 범죄의 영향이 비즈니스의 수익을 넘어 역사에 남을 사건으로 남았다. 사우디 아라비아의 석유회사가 맬웨어인 트리톤(Triton)의 공격을 받은 일을 그 예로 들 수 있다. 트리톤은 OT 환경에 침투해 정유공장의 파라미터들을 변경하고, 안전 시스템을 비활성화하여 운영에 큰 지장을 초래했다. 이 지역에서는 최근 OT를 노린 다른 사이버 공격도 발생했다. 이 공격으로 한 자동차 제조업체의 세부적인 고객 정보가 거의 5년 동안이나 제3자에게 은밀하게 유출되었다는 사실이 밝혀졌다. 뉴질랜드에서도 2022년 후반에 정부 데이터와 시스템에 대한 무단 액세스로 인해 시민의 건강 데이터가 노출되는 일이 발생했다.

놀라기에는 이르다. 가트너(Gartner)는 사이버 공격자가 OT를 무기로 삼아 인간을 해하거나, 심지어 죽일 수도 있을 것으로 내다봤다. 뿐만 아니라, CES의 75%가 2024년까지 발생한 사이버-물리적 보안 사고에 대한 책임을 지게 될 것이라고 전망했다. 실제로 OT에 대한 사이버 범죄는 조직에 해를 끼칠 수 있으며, 공격은 더 이상 기업의 재무적 위험에만 국한되지 않는다. 사람들의 생명이 위태로울 수 있기 때문에, 조직은 책임 있는 방식으로 직원들을 위해 조치를 취해야 한다.

 
산업용 네트워크의
보안 도전과제 해결

IT는 정보와 관련된 모든 것을 다루고, OT는 기계들을 지원한다. SCADA 시스템, PLC, HMI, 모니터링, 제어 및 자동화 프로세스는 물론 산업 전반의 제조 라인에서 역할을 수행하는 전문 애플리케이션까지, OT는 가동 시간이 중요한 시스템의 안정성과 무결성을 요구하고, 실시간 정보에 중점을 둔다.

따라서 안전한 디지털 환경을 구축하려면 IT 팀과 OT 팀이 함께 힘을 모아야 한다. 많은 엔터프라이즈 네트워크의 경우, OT 아키텍처에는 보안 허점이 될 수 있는 몇 가지 영역이 존재한다.

패치되지 않은 레거시 시스템, 세분화 부족, 보안보다 가동 시간을 우선시하는 플랫폼, IT와 OT 네트워크 소유권 및 기술 간의 간극 해결 등 취약 영역이 존재하는 조직은 사이버 범죄자들에게 공격 대상이 되기 쉽다.

또한 사이버 보안을 위반하면 많은 비용이 야기된다. 사이버 보안에 투자하지 않는 조직은 직원들을 잠재적인 위험에 노출시키는 것은 물론, 궁극적으로 수백만 달러에 달하는 손해를 입을 수 있다. 사이버시큐리티 벤처스(Cyber security Ventures)의 2022년 공식 사이버 범죄 보고서에 따르면, 2025년까지 사이버 범죄 비용은 전 세계적으로 10조 5천억 달러에 달한 것으로 보인다.
 

장기적인 OT 시스템 보안

대부분의 조직은 준비되어 있지 않기 때문에 심각한 결과가 야기될 수 있다. 사이버 공격의 위험을 감수하는 대신, 조직은 모든 잠재적인 공격에 대해 선제적인 완화 조치를 취해야 한다. OT에 맞는 실용적이고 신뢰할 수 있는 프레임워크를 활용하고, 총체적이고 능동적인 접근 방식을 도입해야 한다. 보편적으로 사용되는 모델은 NIST 사이버 보안 프레임워크인 식별, 보호, 탐지, 대응 및 복구이다. 프레임워크는 경영진에게 ROI를 정당화해주고, 내부적으로는 물론 규제 기관 같은 외부 이해관계자와의 효과적인 커뮤니케이션과 표준 관행 수립에 도움을 준다.

다음으로 중요한 것은 자산에 대한 가시성을 높이는 것이다. 어떤 자산이 있는지 모르면 적절하게 보호할 수 없다. 보유한 자산을 알고 취약성을 식별하면, 현재 상태를 보다 효과적으로 파악하고, 자산의 중요도에 따라 조치의 우선순위를 지정하며, 방어 가능한 아키텍처를 위한 로드맵을 개발할 수 있다.

특히 원격 근무와 시스템에 대한 원격 액세스가 일상이 된 오늘날의 비즈니스 환경에서는 철저한 보안 네트워크 유지가 그 어느 때보다 중요하다. 직원들은 IT 네트워크에 대한 액세스가 필요할 뿐만 아니라, OT와 기타 사이버-물리적 시스템에 대한 액세스가 모바일 장치에 통합되어 있기 때문에 보안 계층을 추가하는 것이 필수적이다. 물론 정기적인 교육을 통해 직원들이 최신 기술을 습득하도록 하는 것도 중요하다.

사이버 보안 전문가와
장기적인 파트너십 구축

사이버 위협은 어디에나 존재하며, 해당 분야의 전문가와 협력하는 것보다 더 좋은 방법은 없다. 업계 동료들과 정기적으로 교류하여 업계 모범 사례를 공유하고, 새로운 위협에 대한 정보를 얻어야 한다. 조직이 보안 태세를 보호하고, 강화할 수 있는 방법 중 하나는 로크웰 오토메이션과 기술 파트너인 클래로티(Claroty) 같은 기업과 협업을 하는 것이다.

로크웰 오토메이션이 보유한 100여 년간의 산업 경험, NIST 등 표준 기반의 접근 방식을 취하는 OT 지식과 역량에, 클래로티의 OT 가시성, 위협 탐지 및 보안 원격 액세스 플랫폼이 결합되어 양사는 모든 산업 분야에서 노하우와 경험을 보유하고 있다. 산업 제어 시스템 보안 전문 기업인 클래로티의 다양한 검사 기능과 포괄적인 가시성은 조직이 허점을 철저히 검사하고, 기존 보안 접근 방식을 뛰어넘는 데 도움이 될 수 있다.

사이버 범죄는 예방이 최고의 해결책이다. 1초의 지연이 사이버 범죄자에게 승리를 안겨주는 1초가 될 수 있다.

본고는 ‘Automation Today Issue(Cover story)’의 내용이다.

사뱌사치 고스와미와 함께하는
사이버 보안 Q&A

​
1. 오늘날 아시아 태평양 지역의 고객들은
보안과 관련해 어떤 문제를 가장 우려하고 있나?
사실 모든 보안 팀들은 운영 문제, 예산 제약, 빠르게 진화하는 위협에 대처하기 위해 고군분투하고 있다. 모든 조직은 정기적으로 발생하는 침해에 노출되어 있다. 로크웰 오토메이션은 최근 이 지역에서 열린 웨비나 참석자들에게 실제로 이 질문을 해보았다. 320가지가 넘는 응답 중 상위를 차지한 응답은 다음과 같았다.
•패치되지 않은 레거시 인프라
•IT/OT 협업 부족
•복잡한 OT 환경에서 필요한 도구, 기술을 구현하고 관리하기 위한 기술 부족 및 격차
오래된 제조 기업들은 네트워크 보안이 최우선 순위가 아니었던 시기에 구축되어 패치되지 않은 상태로 유지된 인프라를 사용해왔다. 또한 자산의 재고 현황이 완전하게 파악되지 않은 상태라 가시성도 부족하다. 볼 수 없는 것을 보호할 수는 없기 때문에 이는 문제가 될 수 있다.
아시아 태평양 지역에서는 경쟁에서 앞서기 위해 점점 더 많은 제조업체들이 디지털 트랜스포메이션을 도입하면서, IT와 OT 융합이 필수가 되었다. 그러나 IT 팀과 OT 팀은 우선순위와 복잡 수준이 다르고, OT 보안 구현은 IT 보안 구현과 다르다. 기술 사용에 대한 많은 모범 사례를 OT에 배포하면 ROI를 향상할 수 있기 때문에, 보다 원활한 통합을 위해 두 팀이 소통하고 협업하는 것이 바람직하다.
IT/OT에서 이러한 융합이 늘어나면서, 산업 시스템의 보호 조치를 설계하고 관리하는 데 필요한 새로운 교차 기능 기술에 대한 수요도 늘고 있지만, 이러한 기술을 보유한 조직은 많지 않다. 적절한 전문 지식과 필요한 서비스를 제공할 수 있는 역량을 갖춘 파트너와 협력하면 보안 요구 사항을 해결할 수 있다.
또한 팬데믹으로 안전한 원격 프레임워크에 대한 수요가 증가했다. 이로 인해 우수한 보안 프레임워크에 대한 필요성이 한층 커졌다.
2. 제조 기업은 OT 환경의 어떤 영역에서
가장 많은 공격을 받나?
사이버 범죄는 코로나19 팬데믹이 시작된 이후 600%나 증가했으며, 지난 3년 동안 아시아 태평양 지역에서 더 많은 사이버 공격이 발생했지만, 그중 상당수는 탐지나 보고되지 않은 채로 지나갔다. 공격은 엔터프라이즈 IT 네트워크에서 공장 네트워크로 직접적으로 발생할 수 있고, 손상된 VPN이나 산업 제어 시스템(ICS)의 USB 장치를 통해, 또는 공급망의 현장/원격 유지 관리 경로를 통해 간접적으로 발생할 수도 있다. 또한 불만을 품은 직원이 지적 재산을 훔치는 경우처럼, 의도적으로 회사에 해를 입히려는 내부자의 위협도 있을 수 있다.
침해는 엔터프라이즈 IT 환경에서 발생하는 경우가 많고, 일정 시간 동안 지속되다가 ICS를 포함한 다른 네트워크로 확산된다. 기본적으로, 프로그램이 실행되거나 변경될 수 있는 모든 자산은 잠재적인 위협이 될 수 있다.

3. 모든 조직이 성공적인 사이버 보안 전략을 위해
도입해야 하는 핵심 조치 몇 가지를 공유해 달라?

“자신이 갖고 있는 것이 무엇인지 모른다면 어떻게 적절하게 보호할 수 있습니까?”
“If you do not know what you have, how can you adequately secure them?”

취약성 관리는 IT 및 OT 자산과 시스템 전반에서 모든 보안 위협이나 취약점을 식별해 분석 및 보고하고, 우선순위를 지정해 해결하는 선제적인 프로세스다. 이러한 여정을 시작하는 한 가지 방법은 위험과 취약점 평가 서비스를 사용하는 것이다. 평가 결과를 사용해 단기적으로 작업의 우선순위를 정하고, 방어 가능한 아키텍처에 대한 로드맵을 구축하여 보안을 내재할 수 있다.
아울러 현재 상태와 관계없이 지속적인 경계 상태를 유지하며, 시스템과 네트워크에 대한 잠재적 위험을 식별하고 예방하는 데 도움이 되도록 실시간 모니터링과 위협 탐지 기능을 강화할 수 있다.
팬데믹 이후 원격 업무의 증가로 인해 안전한 원격 액세스 인프라에 대한 필요성이 더욱 커졌으며, 아시아 태평양 지역에서도 이러한 서비스에 대한 수요가 증가하고 있다. 모든 규모의 기업들이 기업과 고객을 보다 효과적으로 보호하기 위해, 안전하지 않은 원격 액세스 연결이 보안에 어떤 영향을 미치는지에 더 많은 주의를 기울이고 있다.
또 다른 효과적인 통제 방법은 팀이 잠재적인 보안 위협에 대해 적절한 대응 태세를 갖춰 피해를 최소화할 수 있도록 선제적인 OT 관련 인시던트 대응 계획을 수립하는 것이다. 예를 들어 알림, 평가 및 봉쇄, 완화, 사후 분석 및 개선 계획 단계로 구성된 로크웰 오토메이션의 인시던트 대응 프레임워크는 고객과 파트너들이 비즈니스에 적합한 계획을 설계할 수 있도록 지원한다.
마지막으로 직원들이 사이버 보안의 중요성을 인식하도록 만드는 것이다. 직원은 기업의 가장 중요한 자산이며, 운영 보안을 위한 지속적인 여정에서 매우 중요한 역할을 한다. 잠재적인 위험을 발견할 수 있도록 정기적인 교육 세션을 제공하고, 필요한 정보를 공유해야 한다.
4. 운영에 사이버 보안 조치를 도입하고 싶지만, 어디서부터
시작해야 할지 모르는 제조업체에게 어떤 조언을 해주시겠나?
성숙도, 리스크 수용 범위, 예산 가용성, 관련된 위협 환경, 산업 운영의 일부로 수행하는 작업, 수행 중인 작업, 수행하려는 작업의 측면에서, 모든 기업은 다르다. 사이버 보안에 대한 지원이 필요한 고객과 협력하는 경우, 널리 통용되는 NIST 사이버 보안 프레임워크(식별, 보호, 탐지, 대응 및 복구)를 권한다.
사이버 보안은 끝없는 과정이므로, 관련 전문 지식과 기술을 갖추고, 현재와 미래의 인프라와 자산을 보호해주고, 맞춤화된 로드맵을 구축하는 데 도움을 줄 수 있는 적절한 파트너를 찾아야 한다. 전략적 조언자로서 업계 표준과 프레임워크에 맞춰 보안 목표를 달성할 수 있도록 지원하고, IT/OT 보안 노하우 및 관리형 서비스 역량을 보유하며, 보안 문제를 총체적으로 해결할 수 있는 협업 기술 에코시스템을 갖춘 신뢰할 수 있는 공급업체가 올바른 파트너가 될 수 있다.

“사이버 보안 여정에서는 완벽함보다 발전을 우선시하세요.”
“In your cybersecurity journey, prioritize progress over perfection.”

로크웰 오토메이션은 고객이 위험에 대한 정보를 얻는 것에서 시작해, 반복 가능한 방식으로 모니터링하며, 관리형 서비스 등의 보안 기능을 운영에 포함시키고, 인사이트로부터 학습하고 적응하여 새로운 위험이나 위협과 함께 진화할 수 있도록 해주는 모델을 지원한다.
 
5. 로크웰 오토메이션은 사이버 보안을 비즈니스의
일부로 포함시키고자 하는 제조 기업을 어떻게 지원하고 있나?
100여 년의 산업 자동화 경험을 바탕으로 최첨단 기능을 보안 포트폴리오에 지속적으로 통합 및 확장하고 있으며, 설계 수준에서 보안과 위험을 완화할 수 있도록 세계의 주요 OT 전문가들이 개발한 솔루션을 사용해 여정을 간소화하고, 제품, 운영 및 고객을 보호할 수 있도록 지원한다. 로크웰 오토메이션은 전 세계에 16곳의 원격 지원 센터를 통해 연중무휴 모니터링을 제공하며, 99.9%의 서비스 수준 계약을 충족한다.
제조업체인 로크웰 오토메이션은 다른 제조업체들이 공급망 전반에서 직면하는 보안 문제에 대해 잘 알고 있다. 심도 있는 전문 지식과 숙련된 인력, 공격 전, 도중 및 이후까지 공격 주기 전체를 포괄하는 서비스를 통해, 고객이 선제적인 사이버 보안 태세를 갖추도록 지원할 수 있다. 로크웰 오토메이션은 시스코(Cisco), 클래로티(Claroty), 크라우드스트라이크(CrowdStrike), 드래고스(Dragos), 포티넷(Fortinet), 마이크로소프트(Microsoft) 등 주요 사이버 보안업체들로 구성된 에코시스템과 협력하여, 서비스형 보안 운영 센터(SOC), 서비스형 인프라(IaaS) 같은 다양한 서비스형 모델을 포함하는 포괄적인 엔드-투-엔드 산업 보안 서비스 제품군을 제공 및 관리한다.