클래로티 “보안 전문가, 중요 인프라 보안 불감증 심각”
상태바
클래로티 “보안 전문가, 중요 인프라 보안 불감증 심각”
  • 김선애 기자
  • 승인 2020.04.07 13:33
  • 댓글 0
이 기사를 공유합니다

중요 인프라 보안 위협 심각성 인식하면서도 “보안 책임은 정부에 있다”
OT 보안보다 엔터프라이즈 IT 보안 분야 종사하는 것 선호

[데이터넷] 지난해 노르스크하이드로 등 글로벌 제조사와 미국의 주요 지방자치단체 등이 잇달아 랜섬웨어 공격을 당하면서 심각한 피해를 입은 바 있다. 이 같은 피해가 연이어 발생하고 있음에도 불구하고 기업들은 여전히 운영기술(OT) 보안위협에 무감각한 상황인 것으로 나타났다. 또한 주요 인프라 보호는 정부의 책임이고, 이 분야 종사하고자 하는 의지는 매우 약한 것으로 나타났다.

OT 보안 전문기업 클래로티가 시장조사기관 폴피시(Pollfish)와 함께 전 세계 IT 보안 문가 1000여명을 대상으로 조사한 ‘글로벌 산업 사이버보안 현황(The Global State of Industrial Cybersecurity)’에 따르면 응답자의 거의 대부분이 중요 인프라의 보안 책임은 전적으로 정부에 있다고 답했으며, 산업용 사이버 보안 보다 IT 엔터프라이즈 사이버 보안 분야에 종사하는 것을 선호했다.

이 조사에 따르면 응답자의 90.4%가 중요 인프라 보호 책임이 정부에 있다고 답했으며, IT 엔터프라이즈 사이버 보안과 산업용 사이버 보안 중 어떤 분야에 종사하고 싶은지 묻는 질문에 IT를 선택한 사람이 66.9%였다.

이 처럼 산업 네트워크 보안에 대해 극히 낮은 민감도를 보이면서도 이 분야의 책임은 IT·보안 전문가에게 있다고 인식하고 있었다. 응답자의 80.2%가 IT·보안 전문가가 산업 네트워크 보호 책임이 있다고 답했으며, OT 관리자가 책임져야 한다는 답은 19%였다.

산업 네트워크 보안을 위해 필요한 기술과 경험을 보유하고 있다고 생각하는 사람이 75%에 달했으며, IT 보안 전문가 교육에 OT 보안이 포함돼야 한다고 답한 사람이 93.3%였다.

75% “중요 인라프 사이버 공격 피해 심각”

한편 응답자 대부분은 중요 인프라 공격의 위험성에 대해서는 명확하게 인지하고 있었다. 중요 인프라에 대한 공격과 기업 데이터 침해 중 어떤 것이 더 큰 피해를 입히는지 묻는 질문에 75.5%가 중요 인프라 사이버 공격이 더 큰 피해를 줄 수 있는 잠재력이 있다고 답했다. 사이버 보안 문제에 더 큰 우려가 되는 부분 역시 중요 인프라 사이버 공격(73.6%)이라고 답했다.

보고서에서는 산업 네트워크 보안에 대한 인식이 매우 취약하다는 것을 강조하면서 “네트워크 보안에 대한 국제적 인식을 제고해야 한다. 예를 들어 낫페트야 랜섬웨어는 운송, 법률, 제약 산업의 글로벌 기업을 강타했다. 이 같은 사고는 어느 나라 기업에나 발생할 수 있는 것”이라고 주장했다.

중요 인프라를 노리는 사이버 공격 중 가장 위험한 것으로 43.2%가 해킹과 네트워크 침입을, 33.2%는 랜섬웨어를 꼽았으며, 기타 멀웨어 13.9%, 사보타주 9.4%의 순으로 답했다. 가장 취약한 인프라를 묻는 질문에 45.1%가 전력시설, 21.6%가 오일·가스, 12.4%가 화학, 12.3%가 교통을 지목했다.

또한 절반 이상의 응답자가 2년~3년 내 대규모 사이버 공격이 발생할 것이라고 답했는데, 향후 2년 내 발생할 것이라고 답한 사람이 28.6%, 2년 5개월 이내 25.7%의 응답을 보였다. 13%는 올해 안에 발생할 것이라고 답했다.

보고서는 “IT 보안과 OT 보안은 25년 이상 시각차가 벌어지고 있다. OT 네트워크는 가용성을 최우선 과제로 두기 때문에 원격 측정이나 모니터링이 어려우며, 보안 투자는 소극적인 상황”이라며 “IT와 OT 보안 갭을 줄일 수 있는 방법을 시급히 마련해야 한다”고 조언했다.

“IT·OT 융합 추세 맞는 보안 거버넌스 마련해야”

한편 보고서는 IT 보안 기술을 이용해 OT 가용성과 보안을 높일 수 있는 방법 마련이 필요하다고 강조하면서 다음의 사항을 지킬 것을 권고했다.

▲산업 네트워크·중요 인프라 공격에 대한 인식을 높이고, 미래에 어떤 영향을 미칠지 입증한다.

▲공격을 당한 기업 뿐 아니라 그와 연관된 기업·기관에 대한 부수적인 피해, 산업 전체에 미칠 피해에 대해 교육한다.

▲OT 네트워크 복잡성 제거와 보안 강화를 위한 교육을 진행하고 위협 모니터링을 신속하게 구현할 수 있는 솔루션을 도입한다.

▲IT 팀과 OT 팀의 역할을 정비해 협력 관계를 맺을 수 있도록 한다. 보안 문제로 인해 수백만달러 시스템이 중단되지 않도록 한다.

▲OT 보안을 위한 전용 거버넌스 프로세스와 보안운영센터(SOC)를 만들지 말고, IT와 OT를 통합해 운영 효율성을 높인다.

보고서는 “산업 네트워크 보호는 CISO의 최우선 사항이다. 수십년동안 지속된 IT와 OT의 보안 격차를 해소해야 하며, IT·OT 융합 추세를 고려한 통합이 이뤄져야 한다”며 “강력한 OR 보안은 디지털 전환 이니셔티브를 가능케 한다는 사실을 명심해야 한다”고 조언했다.


댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.