문서 다운로드 () / 20
이메일 전송
다운로드
다운로드 한도를 초과했습니다.
유비쿼터스 연결의 세상에서, 신뢰할 수 있는 장비는 안전한 네트워크 환경의 근간입니다. 그러나 점점 더 많은 제조업체와 산업이 스마트 산업용 사물 인터넷(IIoT) 장치를 구축 및 배포함에 따라 필수적인 운영을 제공하는 시스템의 보안 및 안전성은 더욱 중요해지고 관리하기도 더욱 어려워집니다. 이러한 복잡성은 관련된 제품의 검증을 위해 설계된 보편적 글로벌 사이버 보안 표준 및 적합성 평가 체계의 부재로 인해 발생합니다.
오늘날 전 세계 국가들은 글로벌 일치성에 관계없이 요건을 개발하고 있습니다. 제품이 전 세계에서 제조 및 판매되기 때문에, 이러한 일치성의 부재로 인해 제조업체가 수립 및 준수해야 하는 표준을 결정하기가 어렵습니다. 따라서 산업 파트너와 표준화 기관은 IIoT 생태계에 대한 보안 기대 사항과 모범 사례를 규정하기 위한 사전 조치를 취해야 한다고 생각합니다. 이렇게 하면 제품에 보안을 일관되게 구축할 수 있으며, 결과적으로 시스템 설계와 사이버 공격 복구 비용을 수십억 달러 절감할 수 있습니다.
기존 시스템과 솔루션에 대한 IIoT 장치 통합이 점차 증가하고 있는 상황에서, 중요한 인프라 및 기타 산업 제어 시스템 네트워크는 사이버 공격에 더욱 개방되어 점차 대응하기 어려워지고 있습니다. 오늘날 사이버 보안 범죄로 인한 전체 손실은 전세계 GDP의 0.8%인 6천억 달러1로 추정됩니다. 2015년 우크라이나 전력망을 붕괴시킨 “Induststroyer” 또는 “Crash Override” 맬웨어, IoT 보안 카메라 및 라우터를 손상시켜 여러 분산 서비스 거부 공격을 일으킨 2016년 대규모 Mirai 봇넷 공격을 비롯해 전 세계적으로 관심을 끈 심각한 보안 침해 사례가 최근 몇 년 동안 여러 건 발생했습니다.
IIoT 기술의 고유한 특성은 기술 및 경제적 도전을 제시합니다. 기술적 측면에서 IIoT 장치는 컴퓨팅 및 스토리지 기능이 제한적이며, 고급 암호화, 취약성 관리, 패치 관리와 같은 효과적인 보안 조치를 지원하도록 설계되지 않았습니다. 이 문제를 해결하기 위해서는 IIoT 제품을 보다 시기 적절하게 업그레이드하고 무선으로 펌웨어 업그레이드를 지원하는 시스템을 설계할 수 있도록 하는 경량 암호화 알고리즘 및 비즈니스 모델을 개발해야 합니다. 네트워크 또는 시스템의 보안의 강도는 가장 약한 연결부의 보안 강도입니다. 조직은 기본적인 사이버 보안 위생 수준을 적용하고 지속적으로 새로운 위협을 분석하여 시스템을 안전하게 사용해야 합니다. 또한 기업은 네트워크에 연결된 모든 정보를 목록화하고 제로 트러스트 모델을 사용해야 합니다. 이를 위해서는 신뢰할 수 있는 벤더와의 파트너십 및 협력이 필요합니다.
제가 언급하는 솔루션은 실현 가능하기는 하지만, IIoT 보안에 대한 통합 글로벌 제품 표준이 없기 때문에 이러한 옵션의 도입 및 배포가 크게 느려집니다. 전 세계 다양한 기관의 조정되지 않은 사이버 보안 표준, 지침, 규정으로 인해 제조업체의 범용 IIoT 시스템 수준 사이버 보안 요건 조정이 어렵거나 불가능합니다. 많은 국가, 지역 및 지방 정부에서 IIoT 디바이스 및 중요 인프라에 대한 자체 사이버 보안 모범 사례와 표준을 개발함으로 인해 일치성이 결여됩니다. 대부분의 경우, 정부 기관은 IIoT 장치와 응용 프로그램의 복잡성을 고려하는 데 필요한 전문 지식이 부족합니다.
또한, 정부들이 IIoT 기술을 매우 다르고 때로는 상충되는 방식으로 규제하기 시작함에 따라 사이버 보안 표준 및 요건이 지역과 국가에 따라 매우 달라집니다. 이로 인해 글로벌 시장을 위한 서비스를 구축하고 배포하려는 제조업체와 시스템 통합 업체에게 문제가 발생합니다.
산업 및 표준화 기관은 제품 및 시스템에 대한 글로벌 요건을 검증할 수 있도록 하는 적절한 일치성 평가 체계, 서로 다른 국가 및 지역의 여러 요건을 준수하는 복잡한 과정을 해결할 수 있는 적절한 시스템을 지원해야 합니다.
저는 표준화 기관이 적절한 적합성 평가 체계를 포함한 글로벌 IIoT 사이버 보안 표준의 개발을 주도할 수 있다고 굳게 믿고 있습니다. 또한 글로벌 표준은 기업과 학계의 파트너십을 위한 길을 열어 줄 것입니다. 이러한 관계는 사이버 보안 및 IIoT의 숙련된 인력 부족 문제를 해결하는 데 필요한 강력한 인재 파이프라인을 구축하는 데 도움이 될 것입니다.
저는 표준화 기관이 적절한 적합성 평가 체계를 포함한 글로벌 IIoT 사이버 보안 표준의 개발을 주도할 수 있다고 굳게 믿고 있습니다.
우리가 당면한 과제는 보안되지 않은 제품 및 솔루션과 관련된 위험에 대해 IIoT 제조업체, 공급업체, 소비자를 교육하여 표준화 기관에 대한 더 많은 논의를 생성하는 것입니다. 표준화 기관이 사이버 보안 논의를 유도하는데 도움이 될 수 있다고 생각하지만, 사이버 보안은 협업이 필요한 일이며, 특히 기술 발전에 대한 대응이 느린 부문에서의 협업은 시간이 걸립니다.
업계가 사이버 보안을 계속 발전시키기 시작함에 따라, 비즈니스 소유자와 시설 관리자가 현재 시스템 및 네트워크의 사이버 보안 위험을 줄이기 위해 취할 수 있는 단계들이 있습니다.
제품 설계 및 개발에 사이버 보안 통합
보안은 지속적인 여정입니다. 제품 복잡성, 위협 시나리오, 기술 발전으로 인해 위협 모델링부터 요건 분석, 검증, 지속적인 유지 관리에 이르기까지 제품 개발 라이프 사이클의 모든 단계에 대해 프로토콜이 마련되어 있어야 합니다. 이러한 절차는 조직이 새로운 위협을 탐지하고, 위협을 방어하는 방법을 식별하고, 고객이 효율성, 안정성, 안전성을 극대화할 수 있도록 지원합니다. 이튼의 SDLC(Secure Development Life Cycle) 프로세스는 제품 개발의 모든 단계에서 보안이 통합된 모델의 훌륭한 예입니다.
네트워크에 기본적인 사이버 보안 위생 적용
기본적인 사이버 보안 위생은 자산의 최신 목록을 관리하고 네트워크에 무엇이 연결되었는지를 알도록 합니다. 여기에는 물리적 자산, 데이터 자산이, 취약점 발견 시 패치 적용, 강력한 액세스 제어 정책 보장, 로그 및 시스템의 비정상적인 동작에 대한 지속적인 모니터링 등이 포함되어야 합니다. 또한 조직은 각 보안 패치에 대해 수행되는 위험 수준 평가를 기반으로 일련의 사이버 보안 업데이트를 계획해야 합니다.
풍부한 지식을 갖춘 제 3자 조직과의 협업
제품 개발의 각 단계에서 엄격한 절차를 개발하는 것은 네트워크 연결 제품 및 시스템에 대해 측정 가능한 사이버 보안 기준을 확립하는 데 도움이 됩니다. 제 3자 조직은 국제 사회에서 널리 수용되는 지침을 만드는 경우가 많기 때문에, 신뢰할 수 있는 제 3자와의 파트너십은 사이버 보안 모범 사례를 보강하는 데 도움이 될 수 있습니다. UL과의 협업은 잠정적인 모델입니다. 이튼은 현재 UL 2900-1 및 IEC 62443 표준의 주요 측면에 대한 인텔리전스 또는 임베디드 로직으로 제품을 테스트하고 있으며 이는 취약점, 소프트웨어 약점 및 맬웨어에 대한 필수 테스트 프로토콜을 필요로 합니다.
제조업체는 더 이상 다른 보안 표준에 따라 운영할 수 없습니다. 사이버 범죄자와 이들이 사용하는 기술은 계속 발전하고 있으며, 다양한 표준은 최신 위협에 대응하는 데 필요한 일치성을 갖추지 못한 상태입니다.
이제 산업 전반에 걸쳐 사이버 보안에 대한 글로벌 일치성 평가를 추진해야 할 때입니다. 전 세계 산업 및 표준화 기관은 오늘날의 사이버 보안 문제를 해결하고 너무 늦기 전에 변화하는 기술의 속도를 따라잡기 위해 필요한 논의를 가속화해야 합니다.
참조
1, 2 - Lau, Lynette(2018년 2월). 사이버 범죄 ‘팬데믹’은 지난해 세계적으로 6천억 달러의 비용을 지출하게 했습니다. 출처: https://www.csis.org/analysis/economic-impact-cybercrime
