GE CISO에게 일문일답으로 듣는 '산업용IoT 보안'

CSO
제조기업 GE는 전사적인 보안과 제품 보안을 통합하는 산업용 사물인터넷(IIoT) 보안에 전체론적 접근 방식을 취하고 있다. 이 회사 CISO인 나스린 르제이가 이러한 접근 방식이 왜 중요한지, 현재 GE가 어떻게 추진하고 있는지 밝혔다.



사이버보안과 관련된 대부분의 논의는 기업 IT의 역할에 초점을 맞추고 있다. 어떻게 하면 IT를 통해 기업과 고객의 데이터를 안전하게 지켜낼 수 있을 것인가에 집중한다. 그러나 다양한 장비와 제품들이 인터넷을 통해 상호 연결되는 상황에서 제조업과 다양한 산업 분야의 기업은 지금까지보다 더 넓은 접근 방식을 채택할 필요가 있다. 산업용 사물인터넷, 또는 IIoT(Industrial Internet of Things)이 빠르게 성장하는 가운데 기업이 생산하는 상품 및 생산에 활용된 자산 등이 사이버공격의 잠재적 표적이 되고 있다.

IIoT 보안에 있어서 관건은 IT 및 운영 측면의 이해 관계자들을 설득하여 이들이 통합된 하나의 보안 전략 실행에 협조하도록 할 수 있는가다. 이러한 문제에 직면하고 있는 기업 중 하나가 바로 GE이다. GE사는 그 자신도 거대 제조업체이면서 동시에 타 제조사들에 생산 운용 기술을 판매하고 있다. 그리고 이러한 GE의 서비스 핵심에는 GE가 산업 인터넷 플랫폼이라고 부르는 프레딕스(Predix)가 있다.

최근 <CSO>는 GE의 최고 정보 및 제품 사이버보안 책임자인 나스린 르제이(왼쪽 사진)와 만나 IIoT 보안 문제와, 산업 분야 전반의 사이버보안 현주소에 관해 이야기를 나눴다. 르제이는 GE가 운용하는 9개 사업부의 제품과 사이버보안을 책임지고 있다. 르제이는 2년 반 전 GE 캐피털의 CISO로서 GE에서 처음 일하기 시작했다. GE에 오기 전 그녀는 HP, 시스코시스템스 등 실리콘밸리 기업에서 일했으며 스테이트 스트리트 뱅크(State Street Bank)에서 최고 테크놀로지 리스크 책임자를 역임하기도 했다.

CSO : 제품 측면과 전사적인 측면의 균형을 어떻게 맞출 것인가?
나스린 르제이(이하 르제이) :
오랫동안 CISO들은 주로 기업 측면에만 초점을 맞춰 왔다. 우리는 사이버사고 발생의 물리적 측면과 디지털적 측면이 겹치게 될 수밖에 없음을 이미 알고 있었다. 2015년 발생한 몇 건의 사건, 사고들은 IT와 OT(operational technology)의 수렴 현상이 발생하고 있으며 CISO, CIO, 이사회로서도 더 이상 사이버보안을 IT 관점에서만 생각할 수 없게 되었음을 분명히 보여주었다. 이제는 모든 제품, 특히 기업을 사이버공격의 위험에 노출시킬만한 가능성이 높은 제품의 관점에서도 사이버보안을 생각해야 한다.

예를 들어 [도메인 네임 레지스트리] Dyn의 공격을 생각해 보라. 몇몇 크고 작은 클라우드 서비스 업체를 대상으로 한 디도스 공격에 수백 대의 카메라가 이용되었다. 우리가 매일같이 사용하는 카메라가 사이버공격에 이용될 것이라고 누가 생각이나 했겠는가? 기업의 책임이라는 측면에서 보면, 이제 CISO가 신경 써야 하는 부분이 훨씬 넓어진 것이다.

나는 산업 부문의 보안을 3가지로 나눈다. 첫 번째는 OT 보안이다. 비행기 엔진, 부품 등을 제작하는 고도의 정밀성이 요구되는 산업이나 정유공장, 정수 공장 등 처리 과정이 핵심이 되는 산업 등은 매우 제한적이고 통제된 생산 환경이 필요하다. 그 때문에 외부로부터 고립되어 있고 네트워크 활성화도 되어 있지 않다. 이처럼 엄격한 통제 하의 환경에 있기 때문에 취약점을 지닌 하드 코딩된 신원 정보나 HMI(human-machine interface), PLC(programmable logic controller)도 괜찮다고 생각할 수 있다. 그러나 IT와 OT 관리가 통합되는 상황에서 이러한 생각은 문제를 일으킬 수 있다.

두 번째는 기업 환경에서 사용되는 소비자 기기다. 이러한 기기들은 궁극적으로 기업 전체에 영향을 미치는 대규모 디도스 공격의 요소가 될 수 있다. 그 때문에 많은 CISO, CIO, 이사회가 “이 문제를 어떻게 전체적으로 파악할 것인가”를 고민한다. 이제 사이버보안은 ‘기업’을 지키는 것이 아니라 기업의 자산 자체를 지키는 문제가 되었다.

그렇다고 반드시 비즈니스의 생산 및 기업 사이버보안 간에 구조적 변화가 있었다고 말할 수는 없다. 그보다는 오히려 리스크 관리 전략을 하나로 통합하는 움직임에 가깝다. 중요 자산과 레퍼런스 아키텍처를 파악하고 리스크 평가를 수행하며 통제 요소를 생성하여 이러한 종류의 공격이 발생했을 때 리더십 팀이 견딜 수 있을 정도의 리스크 수준을 유지하고 관리하는 것이다.

마지막으로, 결국 가장 중요한 것은 준비다. 사이버보안 훈련 시 제조 공정 담당자를 훈련에 참여하게 하는가? 제조 부문에 영향을 미치는 사이버공격이 발생할 경우 IT가 알아야 할 안전 수칙이 있다는 사실을 모두가 알고 있는가? 그 반대는 어떠한가? OT 보안에서 더욱 철저히 관행과 프로세스를 준비해 두는 것이야말로 그 무엇보다도 중요하다.

---------------------------------------------------------------
GE의 산업용 IoT 인기기사
-> GE, 산업용 IoT 애플리케이션용 '프레딕스 UI' 공개
-> '예측부터 실행까지' GE의 IoT 빅데이터 분석 활용법
-> GE, 산업용 인터넷 PaaS 개발
-> 빅 데이터가 초래할 ‘산업 인터넷’ 혁명
-> '신흥 강자 & 전통 강자' 사물인터넷을 이끄는 12곳의 기업들
-> "더 정확하고 더 안전해야" 산업용 IoT의 5가지 과제
-> '어느덧 현실로'··· 사물 인터넷, 5가지 적용 사례
---------------------------------------------------------------


CSO : 생산 부문과는 어떻게 협력하고 있는가?
르제이 :
아마도 인력, 프로세스, 전략, 그리고 조직에 관해 이야기할 것이다. 또한 사이버보안의 기업적 측면에 대하여 IT에, 그리고 제품 측면의 보안 전략 및 방향에 대해서는 CTO에게 보고할 것이다. 모든 부서의 제품 보안 책임자는 제품에 대한 사이버보안 정책과 그 계획(해마다 제품의 보안을 위해 세우는 목표들)이 제대로 이행되는지 확인할 책임이 있다.

나는 리스크 매니지먼트 프로세스의 설계를 맡은 리더들도 만나고, 이를 주기적으로 이사회에 보고한다. 회사의 통합된 부분을 통해서 일부 측면을 관리하고, 또 일부는 여러 부서 간 제품 보안 전략의 협력을 통해 관리한다. 이들은 프로젝트 관리자와 협력하여 생산 측면의 사이버보안이 기업 전반에 걸쳐 우선순위가 되도록 한다. 우리는 기업 전반의 지속적 리뷰를 통해 이 과정을 운영해 나가고 있다.


CSO : 보안이 제품 수명 주기 프로세스의 핵심적이고 내재적인 일부며, 나중에 부가적으로 더하거나 추가되는 성질의 것이 아니라고 보는가?
르제이 :
그렇다. 우리에게 사이버보안은 가장 핵심적인 이슈 중 하나다. 우리는 이 문제를 아주 신중하게 다루고 있으며 IIoT 리더로서 이러한 태도는 우리에게 비교 우위를 준다고 믿는다. 우리는 자산 성과 관리, 서비스 관리 및 산업 최적화 라이프사이클 관리에 우월한 역량을 보유하고 있다. 고객들이 데이터와 애플리케이션, 또는 플랫폼을 결합하여 새로운 방식으로 생산성 최적화를 달성하도록 돕는 것은 우리만의 IIoT 역량이라고 할 수 있다.

기업 고객들에게 제공되는 이러한 서비스에는 몇 가지 모델이 존재한다. 하나는 고객이 우리의 프레딕스 플랫폼에서 고객의 애플리케이션이 소비하는 모든 데이터를 입력하는 것이다. 또 다른 모델은 혼합형 모델이다. 예를 들어 일부는 엣지 프로세싱(edge processing)을, 일부는 클라우드를 이용하는 것이다. 이러한 정보를 지키고 모든 레이어에 사이버보안을 도입한다는 생각은 매우 전략적인 개념이며 이러한 측면에서 우리는 비교우위를 가지고 있다고 말할 수 있다. 우리는 고객들이 우리의 플랫폼에서 중요한 역량을 개발할 수 있도록 우리가 제공하는 서비스에 이러한 신뢰와 인증 서비스를 반영하려 하고 있으며 여기에 막대한 투자를 하고 있다.

CSO : 이러한 비전을 실행하는 데 가장 걸림돌이 되는 것은 무엇인가?
르제이 :
OT 보안으로 돌아가 보자. 생산 과정 보안과 소비자 기기에 대한 이야기로 말이다. 전문가 관점에서 볼 때, 문제는 우리의 발자취를 이해하는 것이다. 산업 환경 속의 자산에 대한 전체적 관점을 유지하고, 어떤 리스크에 기업이 노출되어 있는지를 파악하며, 프로그램을 모니터에 도입하고 사고가 발생할 경우 이들을 안전하게 보호하거나 사고에 대처할 수 있는 능력이 중요하다.

문제는 GE의 발자국이 아주, 아주 크다는 사실이다. GE뿐 아니라 규모가 큰 대기업들은 모두 이런 문제를 안고 있다. 잘 확립된 리스크 관리 관행과 목표의 우선순위화, 그리고 다수의 컨트롤 포인트에 의지해 공격으로부터 자신을 보호하는 모델 방어 체계 등이 기회다. IIoT 측면에서 우리는 프레딕스나 프레딕스의 애플리케이션을 사용하는 안전한 엔드-투-엔드 플랫폼을 만들기 위해 상당한 투자를 했다.

CSO : 데이터 유출 사고가 발생했을 때 산업 전체가 이에 더 잘 대처하기 위해서는 어떤 점을 보완해야 한다고 보는가?
르제이 :
자신의 약점을 잘 알고 있다면 도움이 된다. 산업 환경에 레드 팀을 두고, 자신이 공격자라고 생각하며 그들과 같은 컨트롤 포인트를 공격하여 약점을 알아내야 한다. 레드 팀을 두고, 계속해서 사이버공격에 대한 훈련과 연습을 진행하여 프로세스에 인적 요소를 도입해야 한다.

보안 사건 및 정보 유출은 우리의 코앞에 다가온 현실이며 대부분 기업이 일상적으로 노출되어 있는 위협이다. 결국 성공적인 기업이 되기 위해서는 이러한 문제에 더 잘, 더 빠르게 대처해야 할 것이다. 고객들 역시 이러한 상황을 이해한다면 협력할 것이다. 당신이 모든 역량을 동원하여 자신의 취약점을 파악하고 이러한 문제를 해결하기 위한 나름의 계획을 세우고 있다는 것을 안다면 말이다.

CISO들은 서로 지식을 공유하는 관행이 있으며 나는 이것이 아주 중요하다고 생각한다. 하루가 멀다 하고 기술이 변화하고 발전하는 현실에서는 기업이 직면하는 위험도 나날이 다양해지고 있다. 이러한 공격자들 각각이 이용하는 방법과 절차를 파악하고, 이를 시뮬레이션하여 여기에 대처하기 위해 적임자를 적재적소에 배치하는 것은 CISO로서, 그리고 비즈니스 리더의 역할을 성공적으로 해내기 위해 필요하다.

CSO : 기업 측면의 OT 위협 지능 공유는 어떻게 진행되고 있는가?
르제이 :
점점 더 나아지고 있다. 위협 지능의 성숙도를 전략적으로, 그리고 오퍼레이션 측면에서 비교하자면 기업 측면의 위협 지능이 좀더 성숙되어 있다고 볼 수 있다. 예를 들어 기업 측면의 연구 관행이나 프로세스가 좀 더 완성돼 있는 것이 사실이다. IoT 측면의 위협 지능 역시 점차 발전하고 있다.

다시 한번 전문가의 입장에서 말하자면, OT 자체의 성질로 인해 산업 프로토콜의 보호 및 탐지와 관련하여 신경 써야 할 요소들이 아주 많다. OT환경 내부에 네트워크 및 스캐닝 역량이 많이 부족한 상황이기 때문이다. 아직도 OT 및 IT 관리자에게 “이러이러한 기기들은 관리하고 있고, 이 기기들은 관리하지 않으며, 현재 패칭 상황은 이러하다”라고 딱 잘라 말하기가 어려운 것이 사실이다.

개중에는 아주 오래된, 수 세대를 거쳐 살아남아 여전히 잘 기능하는 제품들도 있다. 제조업의 주요 목표는 이러한 기기들에서 최대한 많은 역량을 얻어내는 것이다. 문제는 이러한 기기들이 IT네트워크에 연결됨에 따라 위협에 노출되는 정도가 증가했다는 것이다.

그리고 우리는 더 높은 성숙도를 달성하기 위해 노력하고 있다. 물론 실제 작업 수행 과정에서 개선돼야 할 점이 없지 않지만, 그런데도 OT 분야에 자신의 재능을 쏟고 있는 많은 창의적이고 젊은 인재들이 등장하고 있기 때문에 나는 낙관적인 전망을 유지하고 있다. GE는 현재 OT 리스크 관리 관행을 마련하여 제조업 보호, 탐지, 그리고 위기 대응 역량을 최적화하기 위해 노력 중이다.

둘째로, 산업 리더의 입장에서 볼 때 GE는 사이버보안을 일종의 비교우위이자 IoT 리더십의 핵심적 부분으로 인식하고 있다. APM, 서비스맥스 같은 디지털 산업 애플리케이션과 프레딕스 플랫폼이 만나면 정보에 기반을 둔 산업 자원의 활용이 가능해질 것이며 고객들에게 제공하는 서비스 수명 주기 관리도 최적화할 수 있게 될 것이다. 또한 엔드-투-엔드 모델 역시 안전을 보장할 수 있어야 한다.

이는 지능의 공유를 통해, 그리고 일부 기업들이 시도하는 더욱 새롭고 혁신적인 방식을 통해 이뤄지고 있다. 우선 CISO, CIO, 그리고 제조업 부문 책임자가 협력하여 리스크 관리를 회사 차원의 어젠다로 만들어야 한다. 그렇게 해야만 사이버보안 개선이라는 목표를 달성할 수 있게 될 것이다.
 

---------------------------------------------------------------
사물인터넷 보안 인기기사
-> "새 부대가 필요하다" IoT 데이터 보안 7단계
-> 급증하는 IoT 데이터... CIO가 고민해야 할 4가지
-> '달리는 자동차 해킹' 새롭고 다양한 IoT 보안이 필요한 이유
-> IoT 보안 문제는 시한폭탄?
-> IoT가 안겨줄 3가지 보안 과제
-> "500억 연결이 망가지면?" 사물 인터넷이 풀어야 할 숙제들
-> 위험한 놈들이 몰려온다... IoT가 뒤흔들 3가지 보안 관행
-> "IoT 살인, 시간 문제일 뿐"
---------------------------------------------------------------

CSO : 산업 사이버보안의 미래를 낙관할 수 있다면, 그 이유는 무엇인가?
르제이 :
우선 IT/OT간 수렴 현상이 실용적인 이득이 있을 뿐 아니라 전략적 이득이 있음을 알 수 있다. 우리는 현재 이 문제를 기업 수준에서 바라보고 있다. 우리가 이 문제를 전략적으로 바라보고 공략한다면 해결책을 찾을 수 있다고 생각한다.

두 번째로, OT 분야에서 일어나고 있는 혁신은 네트워크 가시성, 자산 관리, 취약성 관리 및 새롭게 등장한 위협 지능 공유에 존재하는 일부 간극을 메우는 역할을 하게 될 것이다.

CSO : 그렇다면 산업 사이버보안과 관련된 문제 중 가장 우려되는 부분은?
르제이 :
사실 나뿐만 아니라 대부분 CISO가 비슷한 문제로 고민할 것이다. 자신의 발자취에 대해 충분히 이해하고 있는지, 리스크 노출 중 모르고 있는 부분은 없는지, 앞으로 다가올 문제들을 충분히 예측하는지, 혹은 사이버보안과 관련한 정치적 및 법적 규제를 충분히 꿰뚫어 볼 만큼의 안목을 가졌는지 등의 걱정은 우리를 불안하게 만든다.

그뿐만 아니라 우리가 발자취를 확장함에 따라 위기 대응 프로세스를 줄여나갈 수 있게 하기에 적합한 자동화 역량이 적절하게 확보되어 있는지를 신경 써야 하고, 과연 사람들이 이런 변화에 준비가 되어 있는지, 위기 상황에서도 자신감 있게 대처할 수 있을지, 이런 문제들에 대해 리더 자리에 있는 이들이 충분히 훈련을 받았는지 등도 생각해 보아야 한다. 따라서 어떤 행동을 하거나 의사 결정을 내릴 때도 이러한 질문들을 고려해야 하며 끊임없이 우선순위를 정하고 소통할 수 있어야 한다. CISO는 분명 흥미롭지만 신경 써야 할 일이 정말 많은 직무임에 틀림없다. ciokr@idg.co.kr