스마트팩토리 시대, 랜섬웨어에 맞서는 OT 사이버보안… 사이버 보안 관리조직 및 체계수립이 최우선
  • 최종윤 기자
  • 승인 2021.11.14 09:30
  • 댓글 0
이 기사를 공유합니다

한국딜로이트그룹, “OT 사이버 보안, 최고 경영진이 다뤄야 하는 중요한 안건”

[인더스트리뉴스 최종윤 기자] 지난 2019년 세계 4위 합성 알루미늄 제조회사인 노르스크 하이드로(Norsk Hydro)에 이어 올해 미국 최대 정유제품 파이프라인을 운영하는 콜로니얼 파이프라인(Colonial Pipeline)이 사이버 침해 사고로 생산 및 운영이 중단되고 데이터가 유출되는 등 대규모 피해를 입었다.

딜로이트 안진회계법인 리스크자문본부 정보보안서비스 그룹 이재웅 이사는 “OT 사이버 보안은 최고 경영진이 다뤄야 하는 중요한 안건이라는 인식이 빠르게 확산되고 있으며, 상당수 기업들이 OT 보안에 대한 투자 계획을 수립 중”이라며, “OT 보안 강화를 위한 기술과 솔루션이 필수적이지만 무엇보다 사이버 보안 관리조직 및 체계 수립이 최우선”이라고 강조했다. [사진=utoimage]

우리나라도 주요 대기업 등 사이버 침해사고 피해 사례가 보고되고 있다. 4차 산업혁명은 제조/생산시설에도 많은 변화를 일으키고 있다. 산업용 사물인터넷, 산업용 클라우드, 빅데이터, AI 등 주요 기술의 발전으로 OT시스템이 외부와 연결되고 있다.

그간 제조/생산시설의 운영과 관련된 산업 자동화 및 제어 시스템 등의 OT(Operational Technology, 운영기술) 시스템은 그동안 외부와 차단된 폐쇄망으로 구성돼 물리적 보안의 대상으로만 인식돼 온 것이 사실이다.

하지만 이제 OT 시스템도 더 이상 사이버 위협과 해킹, 특히 랜섬웨어(Ransomware) 공격의 안전지대가 아니다.

제조/생산시설의 마비 및 설정값 변경 등 시스템 무결성에 손상이 생길 때 안전, 보건, 환경까지 그 영향이 미치게 된다면 이는 심각한 산업재해로 전개될 수도 있다. 이를 악용해 금전적 이득 목적의 랜섬웨어 해킹피해가 늘고 있다.

한국딜로이트그룹은 최근 보고서를 통해 OT환경의 사이버 위협으로부터 비즈니스를 지속하기 위한 OT보안 및 리스크 관리 전략 및 체계 수립방안에 대해 밝혔다.

보고서는 먼저 OT 환경에서는 안전, 보건, 환경 등이 중요하게 고려되는 등 IT와 환경적 특성이 다르며, IT와 OT 환경에서의 비즈니스의 목표와 전략이 다르기 때문에 각기 다른 보안통제 원칙과 기준이 필요하다고 전제했다.

실제 IT시스템의 경우 노후화 주기가 약 3~5년 정도로 운영되는 반면, OT시스템의 경우 약 15~20년 이상일 정도로 교체주기가 상당히 길다. 또 인명피해 등 안전과 매우 밀접하게 관련된 산업에서는 작은 변화도 심각한 재해로 이어질 수 있어 시스템 변경 요청이나 소프트웨어 패치도 자주 발생하지 않는다.

한국딜로이트그룹은 기업의 최고경영진이나 이사회에서 사이버 리스크를 관리하기 위해Fortune 500 주요 기업 등이 도입하고 있는 미국 표준기술연구소(NIST)의 사이버보안 프레임워크(CSF)를 소개했다.

이를 통해 조직에서는 통제운영 수준의 성숙도 레벨을 체크할 수 있어, 경영진 및 이사회에서 다뤄야 하는 상위레벨의 사이버 리스크를 효과적으로 관리할 수 있다고 전했다.

실제 사우디의 아람코(Saudi Aramco) 등 다수의 글로벌 기업 및 이스라엘 국가사이버청 등 정부기관에서는 해당 프레임워크를 도입해 OT 보안체계를 운영하고 있다.

미국 표준기술연구소(NIST)의 사이버보안 프레임워크(CSF)는 조직의 사이버 리스크를 효과적으로 관리하기 위한 5대 핵심기능으로 ‘식별/보안통제/탐지 및 모니터링/대응/복구 및 개선’으로 정의하고, 23개 통제영역 및 108개 보안요건으로 구성돼 있다.

다음으로는 공장의 시스템 운영자 및 유지보수 담당자 등 실무자에게 필요한 시스템 보안설정 기준 및 매뉴얼과 관련된 산업용 시스템 및 네트워크와 관련된 기술적 보안표준으로 ISA/IEC 62443 시리즈를 참고해 조직의 실무 보안 운영 기준과 매뉴얼을 수립해야 한다고 권고했다.

ISA/IEC 62443 시리즈는 국제자동화협회(ISA;In￾ternational Society of Automation)와 국제전기기술위원회(IEC;International Electrotechnical Commission)에서 공동 개발해 국제표준으로 채택하고 있어 에너지, 석유, 화학, 생명공학, 제조부문 등 특정 산업에 국한되지 않고 사용된다.

보고서를 작성한 딜로이트 안진회계법인 리스크자문본부 정보보안서비스 그룹 이재웅 이사는 “OT 사이버 보안을 개선하기 위해서는 보안 거버넌스, 전략적 리스크 관리 등을 중심으로 위기에 사전 예방적으로 대비하는 것이 필요하며, 가장 중요한 시스템과 자산을 파악해 취약한 부분을 지속적으로 검토하고, IT 및 OT 네트워크의 효과적인 망 분리, 제로 트러스트를 더욱 빠르게 채택하는 등의 노력이 필요하다”고 밝혔다.

이재웅 이사는 이어 “OT 사이버 보안은 최고 경영진이 다뤄야 하는 중요한 안건이라는 인식이 빠르게 확산되고 있으며, 상당수 기업들이 OT 보안에 대한 투자 계획을 수립 중”이라며, “OT 보안 강화를 위한 기술과 솔루션이 필수적이지만 무엇보다 사이버 보안 관리조직 및 체계 수립이 최우선”이라고 강조했다.



댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.