위험 기반 접근 방식을 통한 사이버보안 코드 해독: 전력 및 용수 공급업체를 위한 Emerson 모범 사례

여러 면에서 디지털 트랜스포메이션은 전력 및 용수 산업에 있어 양날의 검입니다.

한편 정보 기술(IT) 및 운영 기술(OT), 연결성 향상, 광범위한 데이터 세트에 대한 간편한 액세스 등 놀라운 기술 발전을 통해 공공 서비스 및 지방자치단체는 운영을 최적화하고 분산된 에너지 자원을 안전하게 관리하며 저렴한 전력을 안정적으로 계속 생산하고 깨끗한 물을 생산할 수 있는 능력을 혁신적으로 개선했습니다.  

반면에 전력 및 용수 공급업체가 이러한 이점을 활용하기 위해 운영 방식을 전환하면서 사이버보안 공격과 위협에 점점 더 취약해지고 있으며, 적절한 보호 방식이나 파트너가 없는 경우 특히 더 취약합니다.

오늘날 핵심 인프라에 대한 사이버보안 공격이 증가하고 있습니다. 미국 환경보호청(Environmental Protection Agency, EPA)은 최근 지방 상수도 시스템의 보안 관행에 대한 내부 통신문 을 발표했으며, 산업 사이버 보안 분야의 선도 기업인 Dragos 는  에너지 부문 전반에서 사이버 공격 사례가 지속적으로 증가하고 있다고 최근에 보고 했습니다. 

그리고 공격이 늘어날수록 비용도 함께 증가합니다. 실제로, 전 세계 연간 사이버 보안 공격 및 위협으로 인한 피해 비용은 2015년 3조 달러에서 2023년  8조 달러로 증가했으며, 2025년에는 10.5조 달러 에 이를 것으로 예상됩니다.

중요 인프라에 전력을 공급하는 그리드에 재생 전력을 공급하는 풍력 발전 단지, 태양광 시설 및 마이크로그리드 등의 더 많은 분산 에너지 자원(DER)이 있으면 해커가 전기 흐름을 원격으로 방해할 가능성이 훨씬 더 커집니다.  미국 에너지부(Department of Energy) 는 10월 보고서에서 DER이 “전기 그리드에 새로운 사이버 보안 과제를 제기한다”고 밝혔으며, 보안 시스템 설계의 핵심 요소로 포함해야 한다고 강조했습니다.

따라서 오늘날 해커가 더욱 영리해지고, 한층 정교한 기술을 사용하며 많은 경우에 대상으로 삼는 기업보다 더 빠르게 진화하고 혁신하고 있습니다. 그렇다면 다음과 같은 질문에 대한 답을 생각해 봐야 합니다. '기업은 사이버보안 공격을 어떻게 막아낼 수 있을까?'

위험 기반 사이버보안 접근 방식

어떤 업계에서든 위험 기반 접근 방식을 채택하면 잠재적 취약성을 식별하고 현재 및 향후 기업을 보호하는 데 도움이 될 수 있습니다. 이 접근 방식은 모든 위협으로부터 완벽히 보호하는 것이 아니라, 각 취약점의 발생 가능성과 영향을 기반으로 전략적 의사 결정을 내리는 것입니다.

사이버 보안 역량을 강화하는 과정에서 다음과 같은 실천 방안을 고려하여 귀사의 접근 방식이 총체적이며 지속적으로 발전할 수 있도록 해야 합니다.

위험 평가하기.

위험 평가를 통해 기업은 미리 위험을 완화하기 위한 중요한 통찰력을 얻을 수 있습니다. 평가를 수행하면 네트워크 보안, 데이터 관리, 주변 보호 등을 비롯한 주요 사이버보안 요소의 준비 상태를 확인하고 시스템의 전반적인 보안 태세를 더 잘 이해할 수 있습니다.

엄격한 시스템 액세스 관리.

보안 조치는 번거롭기 때문에 제한된 보안 조치만 마련하려는 유혹에 빠질 수 있습니다. 하지만 공격자는 이 점을 노립니다. 직원이 보안 정책을 준수하고 꾸준히 위험을 평가하며 올바른 내부 보안 문화를 구축하여 시스템 액세스 권한을 엄격하게 관리하십시오.

강력한 정책 수립.

가장 정교하고 안전한 조치조차도 사람의 실수로 인해 쓸모없어질 수 있습니다. 그렇기 때문에 사회 공학, 피싱 및 관련 공격으로 인한 위험을 줄이는 강력한 운영 정책을 통해 직원을 교육하고 권한을 부여하는 것이 중요합니다.

제어 시스템 업그레이드.

다운타임은 큰 비용을 초래하므로 최대한 피해야 합니다. 시기 적절한 패치와 시스템 업그레이드를 적용하면, 보호되지 않은 서버나 워크스테이션으로 인한 위험을 제거하면서 가동 중지 시간을 최소화할 수 있습니다.  

주변 보호 이상으로 보안 강화.

공격자는 주변 보호가 실행되고 있다고 가정하는 경우가 많으므로 일반적인 프로토콜과 공개 서비스 포트를 사용하여 제어 시스템 구성 요소를 손상시킬 수 있습니다. 표적형 공격에 대응하려면, 시스템 경계를 통제하고 사용자 맞춤 적응형 방화벽을 배포하며 보안 취약점을 지속적으로 탐색함으로써 잠재적인 진입 지점을 보호해야 합니다.

적절한 원격 액세스 권한 유지.

거의 모든 제어 시스템이 원격 연결을 통해 배포되지만 원격 액세스가 표준이라고 해서 안전한 관행은 아닙니다. 원격 액세스가 필수인 시스템에서는 이를 안전하게 모니터링하고 구현해야 합니다. 추가 보안을 위해 여러 인증 단계를 고려할 수도 있습니다.

제어 시스템 이해하기.

위험 기반 사이버보안 접근 방식을 구축하고 배포한 후에는 위험을 지속해서 모니터링하고 잠재적인 공격과 위협을 최대한 빠르게 식별해야 합니다. 사이버 보안의 올바른 접근 방식이란, 끊임없이 진화하고 적응하는 것입니다.

오늘날 혁신을 추구하고 경쟁업체와 보조를 맞추려는 전력회사나 지방 공공설비 기관에 있어 디지털 전환 은 더 이상 "있으면 좋은" 선택 사항이 아니라, "필수"입니다. 위험 부담이 있을 수 있지만, 기업이 직원 간 협업 및 혁신 강화, 운영 개선 등의 효과를 얻는 것을 막을 수는 없습니다.

게다가, 끊임없이 진화하는 사이버 보안 환경 속에서 앞서 언급한 실천 방안들은 시작점에 불과합니다. 게다가 끊임없이 진화하는 사이버보안 환경에서 위의 모범 사례는 시작에 불과합니다. 운영을 최적화하고 이를 보호하기 위해 오늘날 전력 및 용수 기업들은 미국 국토안보부의 공인 '대테러 인증 기술(Qualified Anti-Terrorism Technology, QATT)'을 받은  Emerson의 Ovation™ 제어 시스템 과 같은 업계 최고 수준의 사이버보안 솔루션을 자동화하고 원활하게 비즈니스에 통합하고 있습니다.

기업이 사이버보안 여정의 어느 단계에 있든 상관없이 어딘가에 도사리고 있는 잠재적인 공격이나 위협에 대비하여 개선하고 발전하며 효과적으로 준비할 기회가 항상 있다는 것을 기억하십시오.

공격이 발생하지 않았다고 해서 앞으로도 그럴 것이라는 보장은 없습니다. 지금 시간을 투자하여 적합한 접근 방식을 구축하고 좋은 파트너와 협력하십시오. 후회하지 않을 것입니다.