사이버 보안: 보다 강력해진 시스템 방어책의 필요 - News

사이버 보안: 보다 강력해진 시스템 방어책의 필요

Sean Ottewell

1502 trend6-1.jpg

Stuxnet(발전소 등 전력 설비에 쓰이는 지멘스의 산업 자동화 제어시스템(PCS7)만을 감염시켜 오작동을 일으키거나 시스템을 마비시키는 신종 웜 바이러스)와 Shamoon(시스템 부트 영역인 마스터 부트 레코드 및 파일을 변조시키는 악성코드 공격 방법)은 화학 업계를 비롯한 다수의 산업에서 사이버 공격의 위험에 대한 경종을 알렸다. (상세 정보는, ‘Potentially Serious Threat Targets Control Systems[제어 시스템을 노리는 잠재적으로 심각한 위협, 출처: http://goo.gl/Nx0c5b]’ 및 ‘Recent Security Breach at Saudi Aramco Solidifies the Notion of Preparing for the Worst[Saudi Aramco 사에서 발생한 최근 보안 침해, 최악의 사태에 대한 대비 강화 촉발, 출처: http://goo.gl/OZLsjt]를 참조)

텍사스 Round Rock 소재 에머슨 프로세스 매니지먼트의 마케팅/비즈니스 개발 부서에서 제품 책임자 및 시스템 보안 설계자로 근무하는 Bob Huba는 "중요 인프라 전체가 현재 위협을 받고 있다"라고 경고했다. 또한, 두바이 Jebel Ali 지역의 Schneider Electric 사에서 EMEA 사이버 보안 책임자로 재직 중인 Jay Abdallah는 "예외 없이 모든 것들과 모든 인력이 공격의 대상이다"라고 덧붙였다.

에머슨 프로세스 매니지먼트와 같은 자동화 공급 업체와, 캐나다 Alberta 주 Calgary 소재 Waterfall Security Solutions이나 Houston 소재 PAS와같이 사이버 위협에 대한 방어를 제공하는 전문 기업들에게 있어서 최대의 난제는, 화학 업체들에게 그들이 필요로 하는 사이버 보안성을 제공하면서 이와 동시에, 실질적으로 가능한 사안과 가능하지 않은 사안을 기업들에게 확실히 이해시키는 것이라 할 수 있다.

Huba는다음과 같이 지적했다.
"Stuxnet이 출현하기 이전까지만 해도, 해당 업계의 사용자들은 스스로를 보안성 위협의 대상이라고 생각하지 않았었고, 실제로도 사이버 공격의 대상으로 간주되지 않았기 때문에 보안성이 지켜질 수 있었다. 그렇지만 이후, Aramco와 Shamoon 사태가 발생했고, 고객들은 보안성에 한층 집중하기 시작하였다. 결과적으로, 당사에서도 제품에 더 많은 기능 및 인증 사항을 추가하게 됐다."

1502 trend6-2.jpg

운영 부문과 IT 부문 인력들 간의 협력은, 상호 직무에 대한 이해력 증진을 도모한다(출처: 에머슨 프로세스 매니지먼트).

인증의 역할
에머슨은 2006년 선보인 DeltaV 버전 8 이래로 Achilles Communications 레벨 1의 인증을 받아왔다(본 인증은 캐나다 B.C. 주 Vancouver에 위치한 Wurldtech 사가 제공하는 것으로, 에머슨에서는 유무선 통신 프로토콜을 갖춘 장치의 견고성에 대한 Achilles Communications과 시스템 개발 수명 주기 과정에 사용되는 실무 관행에 대한 Achilles Practices로 나뉜 두 개의 보안성 인증 프로그램을 갖추고 있다). 에머슨은 현재, 2015년 초를 목표로 Achilles Communications 레벨 2의 인증을 받기 위해 작업 중이며, 2011년부터 인증을 받아 유지해온 Achilles Practices의 경우, 2014년 말 세 번째 연례 인증을 완수할 예정이다.
Huba는 사용자들이 상기와 같은 인증을 모색하는 것은 확실히 중요하다고 설명했다. 그렇지만, 그는, 모든 솔루션의 성공 여부는 특정 사용자가 사이버 보안성에 대해 얼마나 총괄적으로 이해하고 있는 지에 의해 좌우된다는 점을, 특별히 주의하여 강조했다.
"인증만으로는 보안성이 보장되지 않다. 인증은 사용자가 일정 수준의 테스트를 수행하였고, 해당 장비에 필요한 전문성 및 인지도를 갖추고 있음을 나타내는 수단이다. 예를 들어, 장비 고장을 보증하는 ATEX 인증과는 대단히 다르다. 보안성에 대한 절대적인 완벽한 보장은 실질적으로 불가능한 것이다."
그는 또한, 사용자들이 각각의 인증이 실제로 의미하는 바를 이해하는 것이 중요하다고 지적했다.
일예로, Achilles Communications 레벨 1은, 장비가 부적절한 반응을 시작하기 이전까지 특정 수준의 공격을 견딜 수 있음을 의미한다. 여기에 더해, ISA Secure(미국 N.C. 주 Research Triangle Park 연구 단지 소재 Security Compliance Institute of the International Society of Automation[국제 자동화 학회 보안성 준수 연구소] 주관)는 일부 사항을 추가할 수 있지만, 이 역시 시스템 보다는 장치에 초점을 두는 인증이다.
Achilles Practices 인증의 경우, 공급 업체가 네덜란드 Den Haag 지역에 위치한 WIB(국제 계기 사용자 협회)의 사이버 보안성 표준을 준수하여, 시스템을 보다 안전하게 만드는 제품 및 서비스를 제공할 수 있음을 뜻한다.
"고객들은 이러한 차이점을 제대로 파악하지 못하고 있다고 생각한다. 보안성의 실제 역할에 대해 현명한 결정을 내리기 위해서는, 보안성에 관한 지식을 충분히 갖추어야 한다. 안전성 인증은 제품의 인증을 보장하지만, 완전한 시스템 보안성을 성취하려면, 시스템 및 절차 역시 인증되어야만 한다. 그렇지만, 현재 시점에서 사이버 보안성에 대한 시스템 인증은 존재하지 않는다"라고 Huba는 역설했다.
사이버 위협은 앞으로도 계속 사라지지 않을 것이다. 즉, 보안성에 있어서 완료란 가능하지 않으며, ‘한번 연결하면 모두 해결(plug in and forget)’되는 솔루션은 현실에는 없다. 이에 따라, 업그레이드, 업데이트, 패치 등을 최신으로 유지하는 것이 필수적이며, 지속적인 경계가 매우 중요하다.
이러한 경계의 촉진을 위해, 에머슨에서는 고객들에게 보안 쟁점 전반을 교육시키려고 노력하는 중이다. 핵심은, 운영 부문 종사 인력들과 IT 부문 종사 인력들이 서로의 직무에 관한 이해도를 한층 강화하여 높이는 것이라 할 수 있다.
Huba는 다음과 같이 결론지었다.
"기업들은 IT/자동화에 대해 저마다 다른 이해도를 가지고 있지만, 자동화 시스템의 설계, 개발, 실행 방식의 이해가 반드시 충족되어야만 한다. 일단, IT와 운영 인력이 상호를 이해하고 협력하여 공조하기 시작한다면, 보안성 역시 향상될 것이다."