천연 가스 산업, 사이버 정보 공유 및 성숙도 모델 수립 추진
Charlie Mitchell
안전성(Safety)은 어떤 상황에서도 간과될 수 없는 중요한 사안입니다. 최근 활발하게 진행되고 있는 사이버 보안과 관련된 컨퍼런스나 캠페인 등의 개최를 보더라도 많은 산업 분야에서 보안, 안전의 강화를 위해 다각도의 노력을 기울이고 있다는 점을 알 수 있습니다.
직접적으로 눈에 띄지 않고 위험성이 높은 분야일수록 안전성에 대해 더욱 촉각을 기울여야 하는데요. 에머슨의 경우에도 공정 시스템 사이버 보안의 인증을 획득하고 플랜트 자동화에서 어떻게 사이버 보안을 실현할 수 있을까에 대해 많은 고찰을 하고 있습니다. 천연 가스 산업(Natural Gas Industry)에서도 이러한 사이버 보안의 중요성은 크게 다르지 않습니다.
이곳 역시 사이버 보안 표준 프레임워크(Standard Framework)의 개발을 위해 시간 및 자원을 투자하고, 정보 공유 센터(ISAC)의 설립을 계획하고 있다고 합니다. 사이버 보안을 강화하고 안전성을 증진시키기 위해 업계에서는 어떤 변화를 꾀하고 있는지, 아래에서 확인해보세요.
미국 IT 산업 분야의 한 고위 관계자에 따르면, 천연 가스 산업이 사이버 보안 정보 공유 센터 설립을 추진하고 있으며, 기업의 사이버 역량 측정 및 향상을 허용하는 ‘성숙도 모델(Maturity mode)’ 프로그램 수립을 위해 에너지국(DOE: Energy Department)과 공조하는 중이라고 합니다.
American Gas Association(AGA: 미국 가스 협회)의 IT 담당 전무 이사인 Jim Linn은, 당 협회가 천연 가스 산업 전반에 사이버 보안 향상이 적용되도록 하기 위해 상당한 자원을 투입하고 있다고 설명했습니다.
Linn은 Inside Cybersecurity 지와의 인터뷰에서, AGA에 소속된 회원 기업 중 상대적으로 규모가 큰 업체들은 미국 표준 기술 연구소(NIST:National Institute of Standards & Technology)가 개발 중인 사이버 보안 표준 프레임워크에 대해 유리한 조건을 갖추고 있다고 밝혔습니다.
또한 Linn은 AGA에서, 비교적 소규모인 회원 기업들을 지원하기 위한 프로그램 역시 개발 중이라고 덧붙였습니다. IT 전문 직원이 한두 명에 불과한 기업을 포함해 다양한 구성원을 가진 여러 산업 단체에서는 현재, 위에서 언급한 사이버 보안 표준 프레임워크의 확장성이 핵심 쟁점으로 논의되고 있습니다. NIST는 Obama 대통령의 행정 명령 제13636호에 따라 확장 가능하고 비용 효과적인 표준 프레임워크를 개발하도록 공인되었습니다.
“IT 산업에서는 NIST 프레임워크가 기업이 현재 입지를 평가하는데 어느 정도의 여지를 부여하고, 현재 위치를 개선하기 위한 얼마간의 시간적 여유를 허용하는 성숙도 모델을 수반한다고 생각합니다. 이 프레임워크에 이의를 제기할 만한 사안은 전혀 없으며, 이는 AGA 회원 기업들이 진행하고 있는 다수의 성숙도 모델들의 진척 상황을 추적할 수 있도록 합니다"라고 Linn이 의견을 밝혔습니다.
부가적으로, 기업의 본 프레임워크 도입 실증 방안에 대해 가스 업계 내에서 우려가 일고 있으며 이는 모든 중요 인프라 산업 전반에서 제기되고 있는 쟁점이라고 Linn은 설명했습니다. AGA에 소속된 가스 및 전기 복합 업체들의 경우, DOE가 전기 산업용으로 개발한 성숙도 모델인 ES-C2M2를 사용하여 프레임워크 도입 실증이 가능할 것이라고 Linn은 덧붙였습니다.
Linn은 DOE가 가스 시설물에 대해 유사한 모델을 개발하고 있다는 점을 ‘특별히 유리한 측면’으로 꼽았습니다. 더불어 그는 NIST가 ‘훌륭하게 프레임워크 개발을 수행’했다고 말하며, 도입 실증 방안 및 표준 프레임워크가 궁극적으로 ‘의무적인 정부 프로그램으로 채택될 지 여부’는 NIST의 책임 범위에 해당하지 않는다고 부연했습니다.
뿐만 아니라 Linn은, 백악관을 비롯한 여타 행정 관료들의 성명을 근거로 관련 의무 규제가 당장에 법률로 시행되지는 않을 것이라고 밝혔습니다.
“공표된 여러 성명에서는, 이번 프레임워크가 자리를 잡을 때까지 좀 더 시간을 두자는 의견이 지배적입니다. 이는 프레임워크 준수 의무화보다는, 중요 인프라 부문 전반에서 본 프레임워크가 최적 관행으로 정착하는데 보다 우선순위를 둔 것이라 하겠습니다”라고 Linn은 추론했습니다.
Linn에 따르면 아직까지, 산업 특정 관할 기관인 DOE나 교통 안전청(Transportation Security Administration)과 더불어 가스 산업 부문을 감독하는 SSA(사회 보장국)에서 규제 시행을 암시한 바는 전혀 없었다고 합니다.
“AGA는 지금까지 수행해온 노력을 실증할 수 있도록 최선을 다하고 있으며, 소관 부처와도 협상 중에 있습니다. 이러한 노력이 결실을 이루어 이들 부처에서 규제 의무화 필요성을 느끼지 못할 정도의 안정 수준에 도달하길 AGA는 희망하는 바입니다”라고 Linn은 밝혔습니다.
가스 산업 부문 ISAC
오일 및 가스 산업은 사이버 공격의 주요 타깃으로, 최근 Booz Allen 보고서는 사이버 공격으로 인해 “2018년까지 해당 기업들은 18억 7백만 달러를 소요하게 될 ”이라고 예측한 바 있습니다. 본 보고서는 당 산업의 공급망 부문과 관련한 위험 요소에 초점을 두었으며, AGA 역시 이에 주목해 왔습니다.
해당 업계에서는 사이버 보안 난제에 대처하기 위한 노력의 일환으로 정보 공유 센터(ISAC) 설립을 추진하고 있다고 Linn은 설명하면서, AGA 경영진들은 ISAC가 2014년 내에 정착하기를 기대한다고 밝혔습니다. AGA에서는 ‘소속 회원들을 우선 대상’으로 설정하고, ISAC가 본격적으로 시작된 이후에는 ‘오일 및 파이프라인 기업들을 포함한 다른 산업 부문도 이를 활용할 수 있을 것’으로 예상했습니다.
Linn은 AGA에 소속된 ‘여러 주에서 활동 중인 대기업’ 회원들은, ‘사이버 보안 대처에 상당한 역량을 갖추고 있으며, 이미 NIST 프레임워크와 같은 도구를 정기적으로 사용하는 중’이라고 피력했습니다.
하지만 ‘상대적으로 규모가 작은 중소기업들의 경우, 사이버 보안은 제한적 자원 한도 내에서 처리해야 하는 다수의 사안 중 하나’이기 때문에, ‘AGA는 상생 공존(no man left behind)이라는 협회의 신념을 기반으로 자원 제공을 위해 중소기업 회원들과 협력’하는 중입니다.
한편, 업계에서는 당국의 NIST 프레임워크의 도입에 대한 인센티브 정책을 주시하며 대기하는 중이라고 합니다.
“사이버 보안 투자에 대한 과세 감면 같은 정책 시행은 업계에 상당한 혜택이 될 것이라고 생각합니다. 하지만, 당국에서는 아직 인센티브 방안을 뚜렷하게 규정130하지 않은 듯합니다. NIST 프레임워크 자체가 보다 명확해지게 된다면, 관련 인센티브 정책 역시 구체적으로 결정될 것으로 예상됩니다”라고 Linn은 설명했습니다.
마지막으로 연방 및 주 법률 규제 양측 모두가 적용되는 산업 부문의 경우, ‘NIST 프레임워크 도입에 상당한 고전’을 겪을 것이라고 Linn은 덧붙였습니다.
자료제공: 에머슨 프로세스 매니지먼트