[CPS보안워크숍①] 현실에 맞는 보안 투자 전략 필수

솔루션에 의존하는 보안 정책 안돼…발생가능 손실 기준 투자 규모 계산해야
IT-OT-사람까지 고려한 CPS 보안 전략 필요…사전예방적 보안 전략 필수

[데이터넷] “얼마면 돼? 얼마면 되냐고!”

이것이 드라마에서만 사용되는 말은 아니다. OT/ICS 보안을 위해서도 반드시 필요한 것이다. 보안은 많은 비용을 들인다 해서 완벽하게 해결되는 것은 아니지만, 적정한 규모의 보안 투자는 필수다. 문제는 ‘적정한’이 어느 정도 수준인지 알 수 없다는 것이다.

김태성 충북대 교수는 “정보보호 투자 규모를 ‘IT 투자 예산의 7% 혹은 15%’를 지켜야 한다는 규정이 있지만, 이는 실제 보안 현장에서 의미 있는 숫자가 아니다. 발생가능한 손실을 기준으로 투자 규모를 계산해야 한다”고 지적했다.

한국정보보호학회 CPS보안연구회가 주관하는 ‘제 9회 CPS 보안워크숍’에서 김 교수는 “정보보호의 궁극적 목적은 피해를 감수할 수준으로 낮추는 것”이라며 “정보보호는 100% 완벽하게 목표를 달성하지 못한다. 보안이 아무리 중요하다 해도 합리적이지 않은 보안 노력이나 투자는 권장되지 않는다. 보호해야 할 시스템의 어떤 용도로 사용되고 있으며, 어떤 비즈니스 가치를 창출하는지, 이 시스템이 침해당했을 때 어떤 피해를 당하게 될지 고려하고 적정 비용을 산출해야 한다”고 강조했다.

김 교수는 NIST의 조사를 인용하며, 보안이 반드시 비용을 투자하고 솔루션을 도입하는 것을 뜻하지 않는다고 강조했다. 업무 프로세스를 개선하고, 중요 시스템에 접근할 수 있는 권한을 세밀하게 조정하며, 자산관리 목록을 업데이트하고, 관리 및 보안 정책을 바꾸는 것으로도 보안을 개선할 수 있다. 인력을 재배치하고 역할과 책임을 나누는 것, 혹은 아무것도 하지 않는 것도 보안 노력의 일환일 수 있다.

“정보보호의 궁극적 목적은 피해를 감수할 수 있는 수준으로 낮추는 것이다. 관리적인 문제를 무시하고, 전문성을 갖추지 않은 채 솔루션 도입만으로 해결하려는 것은 문제”라며 김 교수는 “모든 사이트에 동일한 기준의 정보보호 투자 정책이나 예산을 설정하려해서는 안된다. 개별 사이트, 시스템의 특징과 중요도, 사고 시 피해 규모 등을 감안해 보안 정책과 투자를 생각해야 한다”고 강조했다.

IT-OT 경계 없는 보안 전략 필수

CPS 보안 워크숍은 매년 2회 개최되며, 올해는 코로나19 감염 확산 방지를 위해 온·오프라인으로 진행된다. 이번에 열린 워크숍은 9일부터 10일까지 진행되고 있으며, 현재 가속화되는 디지털 트랜스포메이션 환경에서 더욱 중요해지는 CPS 및 IT/OT/IoT 보안, 융합보안 트렌드와 주목해야 할 기술에 대해 다루고 있다.

이번 워크숍에서는 정보보호 비용 분석, 양자컴퓨팅, OT를 위한 사이버 훈련장 등 이전 워크숍에서 집중적으로 다뤄지지 않았던 다양한 주제가 추가되면서 CPS 관련 기술과 시장 동향에 대해 더 넓은 시각을 가질 수 있게 됐다.

이는 ICS/SCADA에서 OT로, 다시 CPS로 제어망 보안 관련 기술 영역이 확장되고 있다는 것을 의미하고 있기도 하다. ICS/SCADA로 제한됐던 이전 개념에서는 폐쇄망으로 운영되는 생산·제어망을 위한 전문가 영역으로 인식됐다. 그러나 디지털 트랜스포메이션이 가속화되면서 폐쇄망이 외부와 연결되는 지점이 늘어나고, 보호해야 할 영역이 운영기술(OT) 영역에서, 사람, 클라우드, IoT까지 확장되는 CPS로 넓어진 것이다.

오태현 클라우드네트웍스 팀장은 “CPS는 현장에 있는 모든 요소를 통합한 개념이다. IT/OT를 구분하지 않고, 사람에 의한 문제도 예측해야 한다. CPS 통합 환경에서는 장애나 사고 등에 대한 예측가능성이 높아지고, 사후처리에서 사전 예방으로 관리관점이 바뀌어 피해를 최소화 할 수 있다”고 강조했다.

오태현 팀장은 ‘사전예측을 통한 안전한 작업환경 구축’이라는 주제의 세션을 통해 “CPS 보안은 OT가 리딩하면서 IT 기술이 더해져야 한다. IT 기술은 OT를 포괄적으로 보호하거나 가시화하지 못하기 때문”이라며 “특히 OT 데이터를 수집하고 정제·표준화 해 분석함으로써 CPS 전반의 운영을 효율화하고 생산성과 비즈니스 연속성을 높여야 한다. 여기에는 작업장을 안전하게 해 작업자를 보호하는 것까지 포함된다”고 설명했다.

한편 이번 워크숍은 한전KDN, 한국남동발전, 한국서부발전, 한국수력원자력, 한국중부발전이 공동 주최했고, 조직위원장 서정택 가천대학교 교수, 운영위원장 이종혁 세종대학교 교수, 프로그램위원장 박기웅 세종대학교 교수 등이 담당했다.

김선애 기자 다른기사 보기