[데이터넷] 기업의 보안 책임자는 보안이 비용만 소모하고 생산성이 없는 코스트 센터(Cost Center)라는 경영진의 인식에 맞서 지금 이 순간에도 싸우고 있다. 빈번하게 발생하는 보안 규정 위반, 변화하는 정부 정책, 강화된 규제 환경을 감안할 때 보안에 대한 부정적인 인식은 서서히 바뀌고 있다. 이제는 이 장벽을 완전히 제거해야 할 시점이다.

비즈니스 지속 위한 사이버물리시스템 보안

산업, 의료 및 상업 분야의 기업들은 디지털 트랜스포메이션, 사이버물리시스템(CPS) 융합의 가치를 실현하기 시작했다. 운영기술(OT) 환경을 IT 네트워크, 인터넷 및 다양한 XIoT 장치에 연결해 자동화, 제어, 효율성 및 편의성을 향상시켜 왔다. 그러나 이러한 이점은 얼마 안 가 사라질 수 있으며, CPS 연결성이 확대된 지금 악의적인 공격자가 새로운 공격 전술을 이용하게 된다면 조직은 불 안정한 상황에 처하게 될 수 있다.

사이버-물리적 상호 연결성이 비즈니스에 중요해질수록 CPS 보안이 비즈니스 지속성에 영향을 미치는 것은 필연적이다. 이때 CPS 보안은 디지털 트랜스포메이션과 함께 보조를 맞춰 발전하지 않으면 향후 추가적인 비용 소모를 감당하기 어렵게 된다.

시스템 다운타임과 함께 증가하는 데이터 유출 비용

IBM ‘데이터 유출 비용 연구 보고서(Cost of a Data Breach Report) 2022’에 따르면 주요 인프라 조직의 평균 데이터 유출 피해액은 482만 달러로, 다른 산업 조직보다 100만 달러 정도 더 많았으며, 의료 분야는 1010만 달러로 가장 높은 평균 비용을 기록했다. 이 중 원격 근무가 요인인 경우, 거의 100만 달러의 평균 비용이 증가한 것으로 나타났다.

공격지속시간(dwell time)이 길면 비용도 증가한다. 지난 7년 동안 데이터 유출을 식별하고 억제하는데 걸렸던 평균 시간은 277일이었다. 사소한 사고 하나가 중대한 위반으로 확대되기에는 충분한 시간이다.

발생한 다운타임에 따라 데이터 유출 비용은 훨씬 더 높아질 수 있다. 예를 들어 평균 자동차 제조사는 생산 라인이 멈출 때 분당 2만2000달러의 손실을 입게 된다. 클래로티의 ‘글로벌 산업 사이버 보안 현황 보고서’ 응답자의 45%는 다운타임으로 인해 조직에 시간당 50만 달러 이상의 수익 손실이 발생할 것이라고 말했고, 23%는 100만 달러 이상의 손실이 발생할 것이라고 말했다.

이러한 어마어마한 숫자는 실제 상황에서도 자주 볼 수 있다. 의료 부문만 놓고 본다면, 비영리 헬스케어 서비스 기업 스크립스헬스(Scripps Health)는 몇 주간 환자 치료에 큰 혼란을 초래한 사이버 공격으로 1억3300만 달러의 비용 손실이 발생했고, 의료시스템 및 서비스 기업 테닛헬스케어(Tenet Healthcare)는 한 달 동안 운영 중단으로 1억 달러의 손실을 떠안게 됐다.

병원, 송유관, 상수도 시설, 식음료 등과 같은 주요 인프라에 대한 공격 비용은 오로지 재정적인 측면에만 그치지 않는다. CPS와 기본 연결된 자산을 이용한 공격은 우리가 살고 있는 물리적 세계와 우리가 의존하는 시스템을 위협하고 생명과 생계를 위험에 빠뜨리기 때문에 훨씬 더 심각한 결과를 초래할 수 있다.

결론적으로 주요 인프라 조직이 아무 조치도 취하지 않는다면 그 비용은 절대 감당할 수 있는 수준이 아닐 것이다. 조직이 올바른 CPS 보안 기능을 갖추지 않은 상태로 오래 있을수록 비즈니스 지속성에 대한 엄청난 위험을 경험할 가능성이 높아진다.

투자자본수익률 계산

사이버 공격으로 인한 연간 예상 손실액을 줄이는 것이 사이버 보안 및 비즈니스에 투자하는 주요 방법으로 알려져 있다. 연간 예상 손실액을 대응 비용으로 나누는 CISSP-ISSMP의 투자자본수익률(ROI) 공식을 변형한 위험 감소 ROI 공식 은 하나 이상의 사이버 보안 대응 방안에서 투자 수익을 측정하는데 유용하다.

위험 이벤트가 1년에 한 번 발생한다고 가정하고, 데이터 유출 비용 연구 보고서 내의 데이터를 사용하면 위험을 줄이 는 투자의 정당성을 설명하고 합리화하는 것이 간편해진다.

예를 들어 기업의 위험 임계값이 높고(위험에 덜 민감하고), 이러한 공격의 위험에 2~3년에 걸쳐 대응하기로 결정한 경우에도 비용이 계속 증가하는 것을 인식하고 CPS 보안 도구, 교육, 아웃소싱 서비스 및 보안인력 추가 채용, 투자에 대 한 설득력 있는 자료를 만들 수 있게 된다.

뿐만 아니라 사건에 대한 조직의 과거 데이터에서 위험 발생 가능성 및 비용을 추정할 수 있다. 특히 코로나19를 겪으면서 세상이 어떻게 변했는지 고려한다면 과거의 성과가 미래의 결 과를 보장하지 않는다는 위험은 언제나 존재한다. 빠르게 진 화하는 기회주의적 공격자와 CPS의 상호 연결성의 성장은 계 속해서 위험한 상황을 만들고 있기 때문이다.

이러한 이유로 현재 널리 알려진 외부 전문기관을 통한 설문 조사는 위험에 대해 보다 신뢰할 수 있는 정확한 밑그림을 보여주는 것이다.

비즈니스 위험 감소 외에도 경영진과 이사회에 추가 보안 예산을 요청할 때 고려해야 할 다른 요소는 다음과 같다.

• 규정 준수(Compliance): 특정 솔루션에 대한 투자는 조직 이 규정을 준수하고 벌금, 고객 손실, 소송 및 기타 법적 조치를 피하는 데 도움이 될 수 있다. 예를 들어 국내에서는 중대재해처벌법과 관련될 경우 위험을 감소시키기 위한 최대한의 노력을 했다는 증빙이 될 수 있다.

• 운영 복원력(Operational Resilience): 산업 및 의료 환경에 서 운영 복원력은 매우 중요하다. XIoT 네트워크가 가동돼 실행될 때 수익이 창출되고 고객의 삶이 개선되기 때문 이다. 네트워크에서 일어나는 일에 대한 가시성 부족으로 부분적인 중단이 발생한다면 이는 생산성과 수익을 감소시킬 수 있다.

• 디지털 트랜스포메이션: 조직은 비즈니스 가치를 창출하기 위해 디지털 혁신 이니셔티브를 지속적으로 모색하고 있다. 이러한 이니셔티브를 통해 올바른 선제적 보안 조치가 진행되고 강력한 보안 상태가 뒷받침된다면 조직이 최대 한의 가치를 얻을 수 있다.

ROI 극대화하는 CPS 보안 기능

클래로티는 주요 인프라 조직의 운영 중 발생하는 복잡하고 진화하는 위협 환경을 이해하고 있다. 유관 부서들은 특히 OT 환경, CPS와 연결된 장비 및 장치의 확장된 세계에서 자산을 감지하고 관리하고 보호하기 위해 현재 고군분투하고 있다. 동시에 CPS에 대한 정교한 공격은 공격자에게도 광범위한 준비가 필요하며 많은 측면 이동을 수행하는 데 있어 상당 한 시간이 걸리게 된다.

클래로티는 보안 담당자가 가질 수 있는 가장 큰 이점은 공 격자보다 자사의 네트워크를 보다 더 잘 아는 것이라고 믿고 해당 이점을 제공해 ROI를 극대화할 수 있도록 제품군을 설계했다.

• 포괄적인 가시성

클래로티 플랫폼은 자산 가시성을 제공, CPS와 기본 연결된 장치에서 취약점은 물론 의심스러운 행동을 식별하는 에이전트리스 솔루션이다. 위험 상태를 이해하는 것은 보안을 능동적으로 준비하고 가능한 공격 경로를 파악하기 위해 가장 중요한 첫 번째 단계다.

• 선별된 경보

가시화는 비정상적인 활동 상황을 신속하게 파악할 수 있도록 지속적으로 위협을 탐지하며 선별된 풍부한 설명을 포함한 경보를 위한 기반을 제공한다. 네트워크의 모든 자산, 프로세스 및 연결 경로에 대한 세분화된 정보와 정상 상태에 대한 확실한 통찰력을 통해 경보 발생 시 신속하게 대응할 수 있다. 빠른 조기 대응은 공격 영향을 제거하거나 최소화할 수 있다.

• 선제적 보안 제어

공격 벡터 매핑은 네트워크에서 가장 위험한 자산과 영역을 식별한다. 그리고 이를 통해 측면 이동 시나리오에 중점을 두 고 공격자가 해당 네트워크에 침투할 수 있는 다양한 수단을 시뮬레이션해 사전에 위험을 해결할 수 있다.

뿐만 아니라 가상 네트워크 세분화는 정상적인 상황에서 자 산간 허용되는 통신 정책과 정의된 자산 그룹 단위로 통신 정책 관리를 할 수 있으며, 공격자가 존재하는 경우에는 측면 이동에 대해 즉시 경고하므로 공격자에 대한 시스템 노출을 줄일 수 있다. 더불어 자산의 펌웨어 및 소프트웨어 버전과 같은 자산 정보를 추적해 사이버물리시스템 및 기본 자산에 대한 위험 및 취약점 관리를 알리고 속도를 가속할 수 있다.

• 보안 원격 액세스

원격 작업은 필수로, 관리되지 않고 모니터링되지 않는 원격 관리자나 원격 접속을 통해 유입되는 위협 방어 필요성은 선택 이 아니라 필수다.

클래로티의 SRA(Secure Remote Access)는 관리자가 역할 및 정책에 따라 액세스를 제어하고, 사용자 자격 증명을 중앙에서 관리하고, 모든 원격 연결 및 활동에 대한 가시성을 확보 하고, 필요한 경우 포렌식 목적으로 세션을 종료하거나 녹화영상을 확인할 수 있다.

사이버 위협에 대한 통합 생태계

클래로티는 최고의 사이버 방어 전략은 위협에 대한 통합 생태계를 구축하는 것이라고 말한다. 이는 바로 CPS 보안을 기 존 IT 보안 기능과 통합해 위험 완화에 대한 전사적인 관리 방식으로 구성하는 것이다. 전사 거버넌스와의 통합적인 접근 방식은 해당 조직에게 기존 리소스와 인력을 활용할 수 있도록 지원해 상당한 조직 운영 이점을 제공하고 ROI를 극대화할 수 있다.