카스퍼스키는 VDC 리서치와 공동으로 산업 부문 내 사이버보안 환경을 조사한 연구 보고서인 ‘Securing OT with Purpose-built Solutions’를 발표했다. 이번 조사는 에너지, 유틸리티, 제조, 운송 등 핵심 산업에 초점을 맞춰 250명 이상의 의사결정자를 대상으로 했으며 산업 환경을 사이버 위협으로부터 강화하기 위한 주요 동향과 과제를 제시했다.
보고서에 따르면 산업 기업의 7%는 필요할 때만 취약점을 관리하고 있어, 이로 인해 많은 기업들이 예기치 않은 가동 중단, 생산 손실, 그리고 잠재적 사이버 침해로 인한 평판 손상 및 재정적 피해에 노출되고 있다.
구체적으로 살펴보면 상당수의 기업이 정기적인 침투 테스트나 취약점 평가를 시행하지 않고 있는 것으로 나타났다. 응답자의 27.1%만이 월간 기준으로 이러한 중요한 평가를 수행하는 반면, 다수인 48.4%는 몇 개월에 한 번씩 평가를 진행하고 있었다. 가장 우려스러운 점은 16.7%가 연 1~2회만, 7.4%는 필요할 때만 취약점에 대응한다는 것이다. 이러한 불규칙한 대응은 복잡해지는 위협 환경에서 기업을 취약하게 만들 수 있다.
강력한 사이버보안 전략은 기업 자산에 대한 완전한 가시성 확보에서 시작된다. 이는 리더들이 보호해야 할 자산이 무엇인지 이해하고, 위험도가 높은 영역을 평가할 수 있도록 한다. IT와 OT 시스템이 융합되는 환경에서는 단순한 자산 목록 이상의 것이 요구된다.
카스퍼스키는 “기업은 운영 현실에 맞는 위험 평가 방법론을 도입해야 한다”며 “명확한 자산 기준을 설정해야만 하고, 이를 통해 기업은 기업 위험 기준과 취약점이 발생할 수 있는 물리적 및 사이버 영향을 모두 반영하는 실질적 위험 평가를 수행할 수 있다”고 조언했다.
모든 소프트웨어 플랫폼은 본질적으로 버그, 불안전한 코드, 그리고 악의적 행위자가 IT 환경을 침해할 수 있도록 악용할 수 있는 기타 약점에 노출된다. 따라서 산업체에 있어 효과적인 패치 관리는 이러한 위험을 완화하는 데 매우 중요하다.
그러나 연구에 따르면 많은 기업이 패치 적용을 위한 운영 중단 시간 확보에 어려움을 겪으며 효과적인 패치 관리에 상당한 도전을 받고 있다. 특히 많은 기업이 OT 시스템에 대해 몇 개월에 한 번 혹은 그 이상 간격으로만 패치를 적용해 위험 노출이 크게 증가하고 있다. 구체적으로는 31.4%가 월 단위로 패치를 적용하며 46.9%는 몇 개월에 한 번, 12.4%는 연 1~2회만 업데이트한다.
이러한 효과적인 패치 관리 유지의 어려움은 기기 가시성 제한, 공급업체별 불규칙한 패치 제공, 전문 기술 요구, 규제 준수 문제 등이 더해지는 OT 환경에서는 더욱 심화된다.
IT와 OT 시스템의 융합이 점점 가속화됨에 따라, 전통적으로 독점 기술에 의존해왔던 이러한 이질적인 시스템을 조화롭게 통합할 필요가 있다. 이 과제는 자산 추적과 상태 모니터링을 위한 카메라, 스마트 센서, 고급 기후 제어 시스템 등 다양한 사물인터넷 장비가 급증함에 따라 더욱 복잡해지고 있다. 이러한 연결된 기기의 폭발적 증가는 산업 기업의 공격 표면을 넓혀, 강력한 사이버보안 대책이 필요한 시점이다.
카스퍼스키는 산업 고객을 위해 전문 OT 등급 기술, 전문가 지식 그리고, 차별화된 전문성 등의 서비스를 원활하게 통합하는 독보적이고 강력한 생태계를 제공한다.
Kaspersky Industrial Cybersecurity(KICS)는 중요 인프라를 위한 네이티브 XDR 플랫폼이다. 중앙 집중식 자산 관리, 위험 관리, 감사를 지원하며 단일 플랫폼을 통해 분산된 다양한 인프라 전반에 걸쳐 보안 확장성을 가능하게 하는 OT 생태계의 핵심이다. 또한 카스퍼스키는 산업 기업이 신규 OT 장치 또는 시스템 도입 시 ‘Secure by Design’ 이념을 채택할 것을 권장한다.
드미트리 루키얀 카스퍼스키 yOS 사업부장은 “카스퍼스키는 ‘Secure-by-Design’ 개념을 ‘Cyber Immunity’ 접근법을 통해 구현하고 있다”며 “이는 알려지지 않은 취약점도 악용하는 공격을 견딜 수 있도록 설계된, 내구성 있는 제품을 개발하겠다는 의미”라고 설명했다.
이어 “기존 시스템과 달리 Cyber Immune 제품은 지속적인 패치나 외부 보안 계층에 의존하지 않는다. 결과적으로 고객에게 더 강력한 보호, 간소화된 유지보수, 그리고 보안 성능을 유지하면서도 총 소유 비용을 낮추는 이점을 제공한다”고 말했다.
이효은 카스퍼스키 한국지사장은 “산업계의 디지털 전환 과정에서 OT 보안은 기업 생존에 매우 중요한 요소가 됐다”며 “많은 기업이 아직도 수동적 대응 모델에 머무르고 있으나 진정한 해법은 선제적이고 적극적인 ‘Secure by Design’ 시스템 구축에 있다”고 전했다.
그는 “한국 기업들은 지능형 운영과 아키텍처적 복원력을 통합해 복잡한 IT/OT 융합 환경에서 산업 사이버보안의 새로운 패러다임을 선도하고 있다”며 “기업이 기존 취약점 패치 방식에서 벗어나 점점 심각해지는 산업 사이버 위협에 대응하기 위해 전체 수명주기 보호를 제공하는 전문 OT 보안 솔루션을 도입해야 한다”고 강조했다.
헬로티 이창현 기자 |
