보젠 기고 | 산업인터넷 보안 프로필은 달라야 한다

4차 산업혁명, 산업인터넷, 사물인터넷. 미래에 다가오는 새로운 산업 콘셉트를 설명하기 위해 다양한 용어들이 사용되고 있는 가운데, 많은 기업들이 서비스나 제품을 팔기 위해, 혹은 디지털 시대에 돋보이게 하기 위하여 해당 용어들을 무분별하게 이용하고 있다. 결국 사용하고자 하는 목적에 따라 그들만의 4차 산업혁명을 정의하며 이러한 트렌드를 따라가지 못한 사람들을 뒤쳐진 것처럼 바라보기도 한다. 앞선 토픽들이 최근 사회에 큰 주목을 받는 이유는 이러한 추세가 반영된 것이 아닐까?

먼저 집고 넘어갈 부분이 있다: 최근 자주 오르내리는 이 용어에 대한 적합한 혹은 올바른 표현은 ‘산업인터넷’이다. 미래 생산 콘셉트을 고려한다면 산업인터넷은 산업분야에 큰 영향력을 미칠 강력한 특징을 가지고 있다. 산업시설의 많은 의사결정자들은 산업인터넷이 산업 체계의 성과를 향상시킬 수 있는 신성한 경로가 될 수 있다고 생각하곤 한다.

물론 산업인터넷은 시설의 효율성 향상에 중요한 역할을 할 것이다. 하지만 이는 산업인터넷의 핵심 사항을 간과한 생각이다. 산업인터넷은 생산방식의 혁신으로 산업혁명의 4번째 물결로 인식되고 있지만 혁신적인 기술에 따른 위험성도 점차 대두되고 있다.

산업인터넷이 산업혁명을 이끈다고 해도 해당기술이 생산공장에만 제한되지 않을 것은 분명한 사실이다. 이러한 기술들은 경제 네트워크를 통하여 부가가치와 새로운 가치창출 활동에 지대한 영향을 미칠 것이다. 기존 비지니스 모델에만 기반해서는 미래 비지니스를 이끌 수 없기에 4차 산업혁명에 접근하기 위해서는 새로운 모험에 대한 두려움을 없애고 제한점을 두지 않는 자유롭고 혁신적인 관점이 필요이다. 세계적으로 잘 알려진 미국의 실리콘밸리는 미래산업에 중점을 두고 발전된 복합산업단지의 좋은 예라고 할 수 있다.

시큐리티 체크
동시에 사물인터넷의 과소평가된 그리고 방치된 측면은 바로 커뮤니케이션 시스템의 보안문제다. 미디어를 통해 스마트 산업시설의 보안 사건들이 보도됨에 따라 미래 생산시스템의 문제가 조명되고 있다. 산업인터넷은 다양한 인포메이션 시스템과 인터넷 사이에 의사소통을 기반으로 하며 이 커넥션들은 공격자들에게 침투할 기회를 제공한다. 이러한 이유로 스마트 산업시설에 대한 보안의 중요성이 더욱 대두되고 있는 것이다.

2014년 한 독일 철강회사 제어시스템이 해킹되면서 용광로를 제 시간에 멈추지 못해 엄청난 손실이 발생했으며, 우크라이나에서는 블랙에너지(BlackEnergy)라는 악성코드로 인해 범국가 차원의 대규모 정전사태가 발생했다. 이 사건들은 현재까지 추산된 사이버보안 관련된 사건들 중 빙산의 일각에 불과하다. 점차 사회의 네트워크 의존성 및 연결성이 증가하고 있으며 이러한 기술은 이미 사람들의 실생활에 영향을 끼치고 있다. 분명한 점은 이러한 추세는 점점 더 증가할 것이라는 것이다.

따라서 다가오는 비지니스를 대비하기 위해서는 사물인터넷과 관련된 긍정적인 기회들과 함께 위험성을 올바르게 이해하는 자세가 필요하다. 전문가들은 기업의 내부 네트워크 확장이나 주요 사회기반시설의 인터넷을 통한 연결성을 특히 위험한 요소로 간주하고 있다. 유사한 시스템(이더넷, 버스시스템)을 사용하는 기업 및 기관들은 네트워크를 통해 침입하는 공격자로부터 안전할 수 없다. 해커들에게 이런 시스템은 기업의 중요한 정보를 빼내거나 이외 다른 형태의 손해를 입힐 수 있는 기회를 넓혀준다.

증가하는 사이버공격 사례
설문조사에 따르면 아직도 많은 의사결정자들은 그들의 기업이 사이버 공격을 당할 확률을 낮게 상정하고 있다. 이는 지속적으로 정밀화되고 맞춤화되는 해커들의 공격성향을 제대로 파악하지 못한 순진한 태도에 불과하다. 분명한 것은 사이버공격은 점점 확장되고 있으며 일부 해커들은 국가경제를 지키기 위한 정부의 주도하에 움직이고 있다는 것이다. 또한 임직원의 이동통신 이용의 확대는 해커들이 활동할 수 있는 게이트웨이를 넓혀주고 있다.

스파잉, 즉 기업의 내부 기밀사항들을 염탐하는 과정은 몇 주 혹은 몇 달 동안 지속되며 타깃이 되는 기업 혹은 사람에 대해서 원하는 결과물을 얻고 아무도 눈치채지 못하게 스파이 활동을 끝낼 수 있다. 이러한 정보는 또 다른 기관의 민감한 데이터나 정보에 접근하기 위해 정교한 사회공학공격을 대비하는데 사용될 수 있다. 최근 사례로는 2016년 여름 독일 연방의회하원 컴퓨터 시스템이 해킹 당한 사건과 러시아가 미국 대통령 선거 기간 동안 정치적 표적을 해킹한 사건이다.

총체적(Holistic) 및 개별(Individual) 접근이 보안 콘셉트의 핵심
공격 대상과 공격 방법은 서로를 닮아가는 양상을 보이지만 각 기업의 효과적인 공격 포인트와 침입자의 해킹 목적에 따라 해커들은 공격 형태는 다양할 수 있다. 효과적인 보안은 보편화된 방법으로는 이루어질 수 없다. 예를 들어 개인컴퓨터에 바이러스가 침입했다면 컴퓨터를 멈추는 것이 위험한 맬웨이로부터 컴퓨터를 지킬 수 있는 가장 좋은 방법일 수 있지만 주요 사회기반시설이나 생산시설을 생각한다면 해당 방법은 좋은 해결책이 될 수 없다. 만약 원자력발전소를 멈춰야 한다면? 전염된 바이러스를 확인하기 위해 또는 조치를 취하기 위해 기업의 생산시설을 멈춰야 한다면? 이는 해당 기관 및 기업에 막대한 손실을 입힐 것이다.

주요 사회기반시설이나 생산시설의 위험 프로필은 개인사용자의 위험 프로필과는 완전 다른 방식으로 접근을 해야 한다. 의사결정자들은 보안적인 측면에서 다음과 같은 질문을 던져봐야 한다. 첫째, 주요한 사회기반시설과 산업시설의 네트워크 시스템이 해당 시설에 실질적인 가치를 창출하는 것인가? 둘째, 이 가치와 관련해 불안정한 시스템으로 인한 잠재적인 위험성에 직면할 준비가 되었는가?

이 상황을 명확하게 하기 위해서는 심오한 기술 분석이 전문가로부터 시행되어야 한다. 효율적인 보안시스템은 모든 요소들이 고려된 위험분석으로부터 시작된다. 인적자원, 작업프로세스, 제품 등 기업의 모든 부분들을 고려해야 하며 기술적 및 구조적 기능의 조합을 포함한 보안 콘셉트를 디자인해야 한다. 기술적 보안 구성 요소를 신중하게 선택하는 것 외에도 일상적인 작업에 있어서 보안관련 도전과제들이 뒤따를 것이다. 따라서 초기부터 사용자 요구사항과 보안가이드라인을 분명히 해야 하며 해당사항들을 엄격하게 이행할 수 있는 정책 수립이 필요하다.

다가오는 미래에는 기업시스템의 네트워크 확장으로 데이터 클라우드를 이용하는 기업이나 기관이 증가할 것이다. 이에 따라 기업 네트워크를 통해 공격기회를 엿보는 해커들을 방어하기 위한 보안시스템 또한 중요한 역할을 하게 될 것이다. 방대한 데이터는 기업시스템을 발전시키는 기반이 되겠지만 해당 데이터를 보호하기 위한 시스템 구축 또한 피할 수 없는 과제이다. 해커들에게 취약한 인터페이스를 식별하고 각 기업에 적합한 맞춤 보안 콘셉트를 디자인하는 것이 필요하다. 급증하는 데이터 물결 속에서 안전하게 데이터를 사용하기 위해서는 딥러닝과 같은 인공지능을 기반한 분석법을 결합한 보안시스템 개발도 꾸준히 이행되어야 한다.

* Timon Kritenbrink은 독일의 IT보안컨설팅업체 보젠(Bosen)의 대표이며, 이전에는 프리랜서로 기업의 IT보안 컨설팅, 솔루션 개발 및 네트워트 구축 등의 작업을 해왔다. 독일 내 학교 및 경찰청 IT담당자를 대상으로 교육활동도 수행하고 있으며 사이버범죄에 대한 대응책 개발에 힘쓰고 있다. ciokr@idg.co.kr