2017.10.13

GE CISO에게 일문일답으로 듣는 '산업용IoT 보안'

Michael Nadeau | CSO
제조기업 GE는 전사적인 보안과 제품 보안을 통합하는 산업용 사물인터넷(IIoT) 보안에 전체론적 접근 방식을 취하고 있다. 이 회사 CISO인 나스린 르제이가 이러한 접근 방식이 왜 중요한지, 현재 GE가 어떻게 추진하고 있는지 밝혔다.



사이버보안과 관련된 대부분의 논의는 기업 IT의 역할에 초점을 맞추고 있다. 어떻게 하면 IT를 통해 기업과 고객의 데이터를 안전하게 지켜낼 수 있을 것인가에 집중한다. 그러나 다양한 장비와 제품들이 인터넷을 통해 상호 연결되는 상황에서 제조업과 다양한 산업 분야의 기업은 지금까지보다 더 넓은 접근 방식을 채택할 필요가 있다. 산업용 사물인터넷, 또는 IIoT(Industrial Internet of Things)이 빠르게 성장하는 가운데 기업이 생산하는 상품 및 생산에 활용된 자산 등이 사이버공격의 잠재적 표적이 되고 있다.

IIoT 보안에 있어서 관건은 IT 및 운영 측면의 이해 관계자들을 설득하여 이들이 통합된 하나의 보안 전략 실행에 협조하도록 할 수 있는가다. 이러한 문제에 직면하고 있는 기업 중 하나가 바로 GE이다. GE사는 그 자신도 거대 제조업체이면서 동시에 타 제조사들에 생산 운용 기술을 판매하고 있다. 그리고 이러한 GE의 서비스 핵심에는 GE가 산업 인터넷 플랫폼이라고 부르는 프레딕스(Predix)가 있다.

최근 <CSO>는 GE의 최고 정보 및 제품 사이버보안 책임자인 나스린 르제이(왼쪽 사진)와 만나 IIoT 보안 문제와, 산업 분야 전반의 사이버보안 현주소에 관해 이야기를 나눴다. 르제이는 GE가 운용하는 9개 사업부의 제품과 사이버보안을 책임지고 있다. 르제이는 2년 반 전 GE 캐피털의 CISO로서 GE에서 처음 일하기 시작했다. GE에 오기 전 그녀는 HP, 시스코시스템스 등 실리콘밸리 기업에서 일했으며 스테이트 스트리트 뱅크(State Street Bank)에서 최고 테크놀로지 리스크 책임자를 역임하기도 했다.

CSO : 제품 측면과 전사적인 측면의 균형을 어떻게 맞출 것인가?
나스린 르제이(이하 르제이) :
오랫동안 CISO들은 주로 기업 측면에만 초점을 맞춰 왔다. 우리는 사이버사고 발생의 물리적 측면과 디지털적 측면이 겹치게 될 수밖에 없음을 이미 알고 있었다. 2015년 발생한 몇 건의 사건, 사고들은 IT와 OT(operational technology)의 수렴 현상이 발생하고 있으며 CISO, CIO, 이사회로서도 더 이상 사이버보안을 IT 관점에서만 생각할 수 없게 되었음을 분명히 보여주었다. 이제는 모든 제품, 특히 기업을 사이버공격의 위험에 노출시킬만한 가능성이 높은 제품의 관점에서도 사이버보안을 생각해야 한다.

예를 들어 [도메인 네임 레지스트리] Dyn의 공격을 생각해 보라. 몇몇 크고 작은 클라우드 서비스 업체를 대상으로 한 디도스 공격에 수백 대의 카메라가 이용되었다. 우리가 매일같이 사용하는 카메라가 사이버공격에 이용될 것이라고 누가 생각이나 했겠는가? 기업의 책임이라는 측면에서 보면, 이제 CISO가 신경 써야 하는 부분이 훨씬 넓어진 것이다.

나는 산업 부문의 보안을 3가지로 나눈다. 첫 번째는 OT 보안이다. 비행기 엔진, 부품 등을 제작하는 고도의 정밀성이 요구되는 산업이나 정유공장, 정수 공장 등 처리 과정이 핵심이 되는 산업 등은 매우 제한적이고 통제된 생산 환경이 필요하다. 그 때문에 외부로부터 고립되어 있고 네트워크 활성화도 되어 있지 않다. 이처럼 엄격한 통제 하의 환경에 있기 때문에 취약점을 지닌 하드 코딩된 신원 정보나 HMI(human-machine interface), PLC(programmable logic controller)도 괜찮다고 생각할 수 있다. 그러나 IT와 OT 관리가 통합되는 상황에서 이러한 생각은 문제를 일으킬 수 있다.

두 번째는 기업 환경에서 사용되는 소비자 기기다. 이러한 기기들은 궁극적으로 기업 전체에 영향을 미치는 대규모 디도스 공격의 요소가 될 수 있다. 그 때문에 많은 CISO, CIO, 이사회가 “이 문제를 어떻게 전체적으로 파악할 것인가”를 고민한다. 이제 사이버보안은 ‘기업’을 지키는 것이 아니라 기업의 자산 자체를 지키는 문제가 되었다.

그렇다고 반드시 비즈니스의 생산 및 기업 사이버보안 간에 구조적 변화가 있었다고 말할 수는 없다. 그보다는 오히려 리스크 관리 전략을 하나로 통합하는 움직임에 가깝다. 중요 자산과 레퍼런스 아키텍처를 파악하고 리스크 평가를 수행하며 통제 요소를 생성하여 이러한 종류의 공격이 발생했을 때 리더십 팀이 견딜 수 있을 정도의 리스크 수준을 유지하고 관리하는 것이다.

마지막으로, 결국 가장 중요한 것은 준비다. 사이버보안 훈련 시 제조 공정 담당자를 훈련에 참여하게 하는가? 제조 부문에 영향을 미치는 사이버공격이 발생할 경우 IT가 알아야 할 안전 수칙이 있다는 사실을 모두가 알고 있는가? 그 반대는 어떠한가? OT 보안에서 더욱 철저히 관행과 프로세스를 준비해 두는 것이야말로 그 무엇보다도 중요하다.


CSO : 생산 부문과는 어떻게 협력하고 있는가?
르제이 :
아마도 인력, 프로세스, 전략, 그리고 조직에 관해 이야기할 것이다. 또한 사이버보안의 기업적 측면에 대하여 IT에, 그리고 제품 측면의 보안 전략 및 방향에 대해서는 CTO에게 보고할 것이다. 모든 부서의 제품 보안 책임자는 제품에 대한 사이버보안 정책과 그 계획(해마다 제품의 보안을 위해 세우는 목표들)이 제대로 이행되는지 확인할 책임이 있다.

나는 리스크 매니지먼트 프로세스의 설계를 맡은 리더들도 만나고, 이를 주기적으로 이사회에 보고한다. 회사의 통합된 부분을 통해서 일부 측면을 관리하고, 또 일부는 여러 부서 간 제품 보안 전략의 협력을 통해 관리한다. 이들은 프로젝트 관리자와 협력하여 생산 측면의 사이버보안이 기업 전반에 걸쳐 우선순위가 되도록 한다. 우리는 기업 전반의 지속적 리뷰를 통해 이 과정을 운영해 나가고 있다.




2017.10.13

GE CISO에게 일문일답으로 듣는 '산업용IoT 보안'

Michael Nadeau | CSO
제조기업 GE는 전사적인 보안과 제품 보안을 통합하는 산업용 사물인터넷(IIoT) 보안에 전체론적 접근 방식을 취하고 있다. 이 회사 CISO인 나스린 르제이가 이러한 접근 방식이 왜 중요한지, 현재 GE가 어떻게 추진하고 있는지 밝혔다.



사이버보안과 관련된 대부분의 논의는 기업 IT의 역할에 초점을 맞추고 있다. 어떻게 하면 IT를 통해 기업과 고객의 데이터를 안전하게 지켜낼 수 있을 것인가에 집중한다. 그러나 다양한 장비와 제품들이 인터넷을 통해 상호 연결되는 상황에서 제조업과 다양한 산업 분야의 기업은 지금까지보다 더 넓은 접근 방식을 채택할 필요가 있다. 산업용 사물인터넷, 또는 IIoT(Industrial Internet of Things)이 빠르게 성장하는 가운데 기업이 생산하는 상품 및 생산에 활용된 자산 등이 사이버공격의 잠재적 표적이 되고 있다.

IIoT 보안에 있어서 관건은 IT 및 운영 측면의 이해 관계자들을 설득하여 이들이 통합된 하나의 보안 전략 실행에 협조하도록 할 수 있는가다. 이러한 문제에 직면하고 있는 기업 중 하나가 바로 GE이다. GE사는 그 자신도 거대 제조업체이면서 동시에 타 제조사들에 생산 운용 기술을 판매하고 있다. 그리고 이러한 GE의 서비스 핵심에는 GE가 산업 인터넷 플랫폼이라고 부르는 프레딕스(Predix)가 있다.

최근 <CSO>는 GE의 최고 정보 및 제품 사이버보안 책임자인 나스린 르제이(왼쪽 사진)와 만나 IIoT 보안 문제와, 산업 분야 전반의 사이버보안 현주소에 관해 이야기를 나눴다. 르제이는 GE가 운용하는 9개 사업부의 제품과 사이버보안을 책임지고 있다. 르제이는 2년 반 전 GE 캐피털의 CISO로서 GE에서 처음 일하기 시작했다. GE에 오기 전 그녀는 HP, 시스코시스템스 등 실리콘밸리 기업에서 일했으며 스테이트 스트리트 뱅크(State Street Bank)에서 최고 테크놀로지 리스크 책임자를 역임하기도 했다.

CSO : 제품 측면과 전사적인 측면의 균형을 어떻게 맞출 것인가?
나스린 르제이(이하 르제이) :
오랫동안 CISO들은 주로 기업 측면에만 초점을 맞춰 왔다. 우리는 사이버사고 발생의 물리적 측면과 디지털적 측면이 겹치게 될 수밖에 없음을 이미 알고 있었다. 2015년 발생한 몇 건의 사건, 사고들은 IT와 OT(operational technology)의 수렴 현상이 발생하고 있으며 CISO, CIO, 이사회로서도 더 이상 사이버보안을 IT 관점에서만 생각할 수 없게 되었음을 분명히 보여주었다. 이제는 모든 제품, 특히 기업을 사이버공격의 위험에 노출시킬만한 가능성이 높은 제품의 관점에서도 사이버보안을 생각해야 한다.

예를 들어 [도메인 네임 레지스트리] Dyn의 공격을 생각해 보라. 몇몇 크고 작은 클라우드 서비스 업체를 대상으로 한 디도스 공격에 수백 대의 카메라가 이용되었다. 우리가 매일같이 사용하는 카메라가 사이버공격에 이용될 것이라고 누가 생각이나 했겠는가? 기업의 책임이라는 측면에서 보면, 이제 CISO가 신경 써야 하는 부분이 훨씬 넓어진 것이다.

나는 산업 부문의 보안을 3가지로 나눈다. 첫 번째는 OT 보안이다. 비행기 엔진, 부품 등을 제작하는 고도의 정밀성이 요구되는 산업이나 정유공장, 정수 공장 등 처리 과정이 핵심이 되는 산업 등은 매우 제한적이고 통제된 생산 환경이 필요하다. 그 때문에 외부로부터 고립되어 있고 네트워크 활성화도 되어 있지 않다. 이처럼 엄격한 통제 하의 환경에 있기 때문에 취약점을 지닌 하드 코딩된 신원 정보나 HMI(human-machine interface), PLC(programmable logic controller)도 괜찮다고 생각할 수 있다. 그러나 IT와 OT 관리가 통합되는 상황에서 이러한 생각은 문제를 일으킬 수 있다.

두 번째는 기업 환경에서 사용되는 소비자 기기다. 이러한 기기들은 궁극적으로 기업 전체에 영향을 미치는 대규모 디도스 공격의 요소가 될 수 있다. 그 때문에 많은 CISO, CIO, 이사회가 “이 문제를 어떻게 전체적으로 파악할 것인가”를 고민한다. 이제 사이버보안은 ‘기업’을 지키는 것이 아니라 기업의 자산 자체를 지키는 문제가 되었다.

그렇다고 반드시 비즈니스의 생산 및 기업 사이버보안 간에 구조적 변화가 있었다고 말할 수는 없다. 그보다는 오히려 리스크 관리 전략을 하나로 통합하는 움직임에 가깝다. 중요 자산과 레퍼런스 아키텍처를 파악하고 리스크 평가를 수행하며 통제 요소를 생성하여 이러한 종류의 공격이 발생했을 때 리더십 팀이 견딜 수 있을 정도의 리스크 수준을 유지하고 관리하는 것이다.

마지막으로, 결국 가장 중요한 것은 준비다. 사이버보안 훈련 시 제조 공정 담당자를 훈련에 참여하게 하는가? 제조 부문에 영향을 미치는 사이버공격이 발생할 경우 IT가 알아야 할 안전 수칙이 있다는 사실을 모두가 알고 있는가? 그 반대는 어떠한가? OT 보안에서 더욱 철저히 관행과 프로세스를 준비해 두는 것이야말로 그 무엇보다도 중요하다.


CSO : 생산 부문과는 어떻게 협력하고 있는가?
르제이 :
아마도 인력, 프로세스, 전략, 그리고 조직에 관해 이야기할 것이다. 또한 사이버보안의 기업적 측면에 대하여 IT에, 그리고 제품 측면의 보안 전략 및 방향에 대해서는 CTO에게 보고할 것이다. 모든 부서의 제품 보안 책임자는 제품에 대한 사이버보안 정책과 그 계획(해마다 제품의 보안을 위해 세우는 목표들)이 제대로 이행되는지 확인할 책임이 있다.

나는 리스크 매니지먼트 프로세스의 설계를 맡은 리더들도 만나고, 이를 주기적으로 이사회에 보고한다. 회사의 통합된 부분을 통해서 일부 측면을 관리하고, 또 일부는 여러 부서 간 제품 보안 전략의 협력을 통해 관리한다. 이들은 프로젝트 관리자와 협력하여 생산 측면의 사이버보안이 기업 전반에 걸쳐 우선순위가 되도록 한다. 우리는 기업 전반의 지속적 리뷰를 통해 이 과정을 운영해 나가고 있다.


X