최근 사이버 위협 방어가 국가 안보의 중요 과제로 떠오르고 있습니다.
주요 국가 기반시설의 보안 인프라를 살펴본 업계 전문가들은 우려의 목소리를 나타내고 있는데요, 그 이유는 공공시설 등에서 사용 중인 시스템 중 상당수가 쉽게 파악 가능한 디폴트 비밀번호를 그대로 사용하고 있기 때문입니다. 다시 말해 해커들이 이런 시스템에 접속해, 원격으로 루트 액세스를 확보한 후, 서비스 장애를 일으키거나 여타 피해를 입히는 것이 그만큼 쉽다는 이야기지요.
실제로 지난 해 12월 우크라이나의 에너지 공급기관 세 곳이 사이버 공격을 받고 거의 6시간 동안 서비스를 제공하지 못했던 사태가 발생했었습니다. 이는 전력 공급이 사이버 범죄로 인해 실제 중단된 첫 사례로 더욱 주목할 필요가 있습니다.
물론 한국도 예외는 아닙니다. 특정 해커조직이 2014년 12월부터 2015년 3월까지 총 6회에 걸쳐 한국수력원자력 관련 자료를 공개했던 사이버테러 사건을 모두 기억하시지요? 그 이후 원전뿐만 아니라 에너지 공기업들의 사이버 보안 강화를 위해 다양한 조치가취해지고 있는데요, 우리의 에너지 산업 보호, 제대로 되고 있는 것일까요?
일부 전문가들은 에너지 서비스 운영이 중단될 때를 대비해 취해야 할 조치에만 초점을 맞추는데, 시스코는 운영 시설 및 프로세스 전반에 걸쳐 회복력을 강화하는 것이 중요하다고 강조합니다. 또 그 과정에서 설계, 개발, 구축 및 관리를 포함하는 전 에너지 공급 단계를 안전하게 보호할 필요가 있다고 생각하는데요. 시스코가 말하는 효과적인 에너지 산업의 보안 강화 방법, 함께 알아보겠습니다.
강력한 기반 구축이 최우선
에너지 시설의 인프라 안전을 보장하는 첫 번째 단계는 다른 것이 아니라 바로 위협의 유형이나 특징에 대해 자세히 알아보는 것입니다. 그 동안 시스코가 조사한 위협과 위협 노출들은 주로 위조, 조작, 스파이 행위 및 운영 중단 형태로 나타났습니다. 에너지 시설과 같은 중요 인프라를 운영하는 기관들은 산업 가치 사슬 전반을 보호할 포괄적인 사이버보안 시스템을 구축하기 전에 이를 염두에 둘 수 있습니다. 즉 이와 같은 위협에 대처할만한 적절한 솔루션들로 보안 시스템을 구축하라는 것입니다.
그런 후, 포괄적인 보안 시스템을 구축하는 데 도움이 되는 다음 사항들을 검토해 보세요
- 서비스 경제 및 운영의 지속 가능성을 위해 리스크를 고려한 후 알맞은 보안 기능을 알맞은 노드, 그리고 알맞은 시간에 구축하십시오.
- 새로운 표준, 인증, 승인 계획 또는 가이드라인을 만들거나 따르는 것을 피하세요. 이미 통용되고 있는 기준을 활용하는 것이 더욱 빠르고 포괄적인 구축과 도입을 가능하게 하기 때문이지요. 현재 참고 가능한 표준으로는 각종 NERC CIP 표준과 ISO 27001, ISO 20243, NIST 사이버 보안 프레임워크 및 ISO 15408와 같은 국제 표준이 있습니다.
- 서비스 조달 시 협력사들의 가치사슬 보안과 회복성 현황을 내밀히 검토하는 것은 의사결정 또는 작업을 더욱 신속히 하도록 도울 뿐만 아니라 협력사들의 혁신을 제한하지 않습니다.
핵심 아키텍처 도메인을 찾아라
마지막 단계는 가치 사슬 전반에 걸쳐 공유되고, 여러분의 차별화 요소가 될 수 있는 '유연한 보안 아키텍처'를 구축하는 것입니다. 그러기 위해서는 아키텍처의 핵심 도메인이 무엇인지 알아보셔야 합니다. 예를 들어 시스코의 경우에는 보안 거버넌스, 제조 및 운영 프로세스 보안, 그리고 써드파티 보안이 가장 우선시되는 핵심 도메인입니다. 이와 관련된 시스코의 우수 사례는 최근 NIST 케이스 스터디자료에서 확인하실 수 있습니다.
이처럼 세 가지 조건이 모두 충족되는 유연한 보안 아키텍처를 운영함으로써 관련된 모든 기관 또는 업체들이 힘을 모아 주요 인프라를 보호할 수 있습니다.
국민 안전과도 직결되는 에너지 기관의 사이버 보안 강화, 대책 마련을 위한 속도를 내기 전에 앞서 언급한 가장 기본적인 세 단계를 모두 거치셨는지 다시 한 확인해보시기 바랍니다 ^^
한편, 시스코의 가치사슬 보안 솔루션(Cisco Value Chain Security)에 대한 자세한 내용은 ‘시스코 트러스트 & 트랜스페런시 센터(Cisco Trust and Transparency Center)’에서 알아보시기 바랍니다.
이번 포스팅은 시스코 최고보안책임자 에드나 콘웨이(Edna Conway)가 작성한 Don’t Let the Lights Go Out on Critical Infrastructure Security를 바탕으로 준비되었습니다.
