번영을 위한 보안: 증가하는 사이버 보안 위협에 대처

중요 인프라의 제조업체, 유틸리티 및 작업자들이 점점 더 교묘한 사이버 보안 위협에 직면하고 있습니다. 범용 맬웨어와 고급 기술이 위협 행위자에게 새로운 공격 기능을 제공함에 따라 공격이 지속적으로 진화하고 있습니다.

사이버 공격의 주요 동기는 여전히 대부분 금전적 이익이지만, 국가 주체의 개입이 점점 늘어나고 있으며, 다양한 위협 행위자들에 의해 산업 제어 영역을 표적으로 한 공격도 증가하고 있습니다.

효과적인 사이버 보안을 위해서는 최신 위협에 대한 정보를 지속적으로 업데이트하고, 자산을 실시간으로 파악하며, 위협 탐지 능력을 강화하고, 장비와 기기에 최신 방어 조치가 적용되도록 보장하며, 시스템을 패치하고 업데이트하고, 사고 대응 역량을 개선해야 합니다. 또한 정책과 절차 수립, 인력 역량 강화 및 정기적인 교육은 모두 위험 기반 접근 방식을 따름으로써 핵심 시스템을 보호하기 위해 적용되어야 하는 사이버 보안의 핵심 요소입니다.

산업용 사물 인터넷(IIoT)의 잠재력을 활용하려는 제조업체의 경우 사이버 보안은 주요 관심사입니다. 효과적인 사이버 보안의 필요성은 잘 알려져 있지만 업계 내에서 이 주제에 대한 이해도가 높지 않습니다. IIoT 기술을 설계 및 구현하려면 신기술과 사이버 보안 전문 지식이 필요합니다. 새로운 솔루션은 안전하게 구현 및 유지하지 않으면 오히려 새로운 위협 경로가 될 수 있습니다.

취약성 확인

제조 분야에서 자본 지출 비용이 높은 엔지니어링 솔루션은 시스템 업데이트를 꺼려하면서 변화 속도가 느립니다. 심층 방어 접근 방식에 따른 패치 및 적절한 보호가 구현되지 않은 구식 시스템이 가장 취약합니다.

산업용 사물 인터넷(IIoT)의 잠재력을 활용하고자 하는 제조업체들의 주요 관심사는 사이버 보안입니다

사용자는 식별된 위협 및 공격에 대응하기 위해 취할 조치의 우선순위를 정하고 해당 조치의 로드맵을 수립해야 합니다. 조직 내 모든 인력, 공정 및 기술에 대해 각 수명주기 중에 사고 대응 및 백업/복구 계획을 실시하고 정기적으로 테스트하는 것을 말합니다. 사용자 계정 관리와 같은 단순한 업무조차도, 사용자가 처음 승인받을 때부터 조직을 떠날 때까지의 전체 생명주기를 관리해야 합니다.

조직의 디지털 전환을 지원하는 새로운 시스템과 서비스를 구현하기 위해 IT와 OT 이해관계자 간의 협력이 점점 더 필요해지고 있습니다.  사이버 보안 전략을 개발하는 과정에서 IT와 OT 이해관계자들은 서로의 강점을 이해하고, 높은 수준의 보안을 유지하면서 비즈니스 목표를 달성하는 방법을 파악해야 합니다.

각 전문 분야는 서로 다른 강점을 제공합니다. 즉, IT는 매우 표준화된 공정을 갖추고 있는 반면, OT는 보다 엔지니어링된 솔루션을 갖추고 있습니다. 두 이해 관계자의 목표를 검토하고 요구사항을 수립하여 운영에서 발생 가능한 격차 및 위험을 방지해야 합니다. 자동화 솔루션 공급업체는 시스템 보안을 강화하고 최종 사용자가 사이버 보안 평가의 우선순위를 정할 수 있도록 지원하는 보안 제어, 절차 및 서비스의 계층화된 포트폴리오를 제공함으로써 시스템의 안전한 구축을 더욱 효과적으로 구현할 수 있습니다.

조직은 제어 시스템 프로젝트의 프런트엔드 엔지니어링 및 설계 단계부터 사이버 보안을 고려해야 합니다. 종종 사이버 보안 방어를 나중에 추가하게 되면서 비용이 더 많이 들고 사이버 보안을 프로젝트에 내장하는 방안만큼 효과적이지 못합니다. 이를 '시프트 레프트' 개념이라고 합니다. 보안을 고려한 설계(Secure by design)는 적절한 사이버 위험 분석과 결합되어야 하며, 사이버 위협 환경이 점점 확대되는 상황에서 보안 기능과 제어의 효과성을 보장하기 위한 검토를 포함해야 합니다.

사이버 보안 이니셔티브의 비즈니스적 타당성을 뒷받침하기 위해, 평가 결과는 지금까지 실행된 사이버 이니셔티브의 진척 상황과 추가적인 보안 조치를 도입했을 때 얻을 수 있는 잠재적 보호 수준을 보여주는 위험 감소 지표로 활용될 수 있습니다. 사이버 보안 역량을 정당화하는 좋은 방법은 ‘시프트 레프트’ 개념을 적용하는 것입니다. 즉, 선제적 보안에 1유로를 투자하면 사후 대응 보안에 60유로를 쓰는 효과를 얻는다는 의미입니다.

공격이 실제로 발생했을 경우, 이를 극복하는 올바른 방법은 제대로 문서화되어 있고 충분히 연습된 사고 대응 계획을 보유하는 것입니다. 요컨대, 사이버 보안 기능, 통제 조치 및 세심한 계획 수립 없이는 사이버 공격을 극복할 수 없습니다.

문화적 문제

사이버 보안이 조직의 문화가 자리 잡지 못하면, 직원들은 의도치 않은 행동을 통해 취약점을 만들어내어 심각한 사이버 위험을 초래할 수 있습니다. 침투성 사이버보안 문화는 외부 및 내부 위협으로부터의 위험을 줄입니다. 신기술 및 사이버보안 관련 인력 양성은 사이버보안 문화 조성을 지원합니다.

요컨대, 사이버 보안 기능, 통제 조치 및 세심한 계획 수립 없이는 사이버 공격을 극복할 수 없습니다

직원에 기술 및 사이버 보안 역량을 향상할 수 있는 교육 기회를 제공하는 것이 중요합니다. 업스킬링은 시간이 걸릴 수 있지만, 직원들이 사이버 보안에 대한 책임과 의무를 자발적으로 인식하고 받아들이도록 교육하는 것이 좋은 첫걸음입니다. 사이버 보안이 더 이상 ‘누군가의 책임’이 아니게 되면, 사람들은 자연스럽게 더 많은 질문을 하고, 의도치 않은 결과를 방지하기 위해 전문 지식을 가진 사람들과 협력하게 됩니다.

사이버 보안은 단순히 기술만으로는 달성되지 않습니다. 사이버 보안에는 행동 및 문화의 변화가 필요합니다. 사이버 보안의 '이유'와 '어떻게'에 대한 조직 전체의 심층적인 이해는 의미 있는 행동 변화를 달성하는 데 중요합니다. 따라서 사람, 공정 및 기술을 포함한 사이버 보안 문화를 구축하는 것이 중요합니다.