Offcanvas

IoT / 디지털 트윈 / 보안 / 빅데이터 | 애널리틱스

CISO가 직면할 ‘디지털 트윈발(發)’ 악몽, 사이버 보안 이슈와 기회

2022.12.08 Maria Korolov and Alex Korolov  |  CSO
디지털 트윈은 현실 세계의 사물, 구조, 시스템 등을 디지털로 구현한 것이며 기업은 대상의 라이프사이클을 깊게 이해할 수 있지만 이러한 수준의 통찰력과 제어는 악의적인 행위자에게 반대로 기회를 줄 수도 있다.

디지털 트윈은 엔진, 터빈 및 기타 장비의 개별 구성 요소, 전체 공장 및 데이터 센터를 포함하는 모든 물리적 인프라를 대상으로 만들 수 있다. GE 글로벌 리서치의 기술 이사 저스틴 존은 “디지털 트윈이 일반 모델과 다른 점은 현장에 배포된 특정 일련번호의 모델이라는 사실이다. 물리학으로 뒷받침되거나 또는 과거 데이터를 통해 자산이 어떻게 운영되는지 배우고 이를 예측에 사용한다”라고 말했다.

그는 디지털 트윈이 복잡한 시스템을 모델링하도록 확장할 수 있다면서, “5~6개의 서로 다른 모델이 있을 수 있으며, 관심 있는 비즈니스 결과에 이를 결합하기만 하면 된다”라고 전했다. 때에 따라 디지털 트윈을 사용하여 미러링한 자산을 직접 제어할 수도 있다.
 
ⓒGetty Images Bank

CISO가 직면한 디지털 트윈 문제
디지털 트윈의 데이터를 사용하면 현실의 장치 또는 시스템을 조정하여 최대한 효율적으로 비용을 절감하고 라이프사이클을 늘릴 수 있지만 보안 위험도 발생할 수 있다. 안타깝게도 CISO는 디지털 트윈 프로젝트의 핵심 이해관계자가 돼야 하지만 최종 의사결정권자가 거의 아니라고 가트너의 IoT 연구 부사장 알폰소 벨로사는 지적했다. 

“디지털 트윈은 비즈니스 프로세스 혁신을 주도하는 도구이기 때문에 비즈니스 또는 운영 부서가 이니셔티브를 주도하는 경우가 많다. 대부분의 디지털 트윈은 특정 비즈니스 요구 사항을 충족하기 위해 맞춤 제작된다”라고 그는 전했다. 

벨로사에 따르면 기업이 트럭, 굴착기, 엘리베이터, 압축기 또는 냉동고 등과 같은 새 스마트 자산을 구매할 때 종종 디지털 트윈이 함께 제공된다. 그는 “운영팀의 대부분은 CISO뿐만 아니라 간소화된 교차 IT에 대한 일련의 지원이 필요하며 광범위한 비즈니스 프로세스에 통합하고 보안을 관리해야 한다”라고 덧붙였다. 

따라서 적절한 사이버 보안 제어가 도입되지 않으면 디지털 트윈으로 회사의 공격 대상 영역이 확장되며, (이는 아울러) 위협 행위자가 이전에는 액세스할 수 없었던 제어 시스템에 대한 액세스 권한을 부여하기 때문에 기존의 취약한 부분이 노출될 수 있다.

확장된 공격 영역
시스템의 디지털 트윈이 생성되면 공격당할 수 있는 잠재적인 영역이 2배가 돼 악의적 행위자가 시스템 자체를 노리거나 해당 시스템의 디지털 트윈을 공격할 수 있다. 때로는 외부에서 기본 시스템에 액세스하기 힘든 경우 디지털 트윈에서 기업의 숨겨진 부분이 드러날 수 있다. 예를 들어 과거 데이터센터의 전원 공급 장치는 제어 터미널에 물리적으로 가까이 있는 기술자만 액세스할 수 있었다. 해당 인프라의 디지털 트윈을 통해 기술자는 장치를 원격으로 모니터링할 수 있으며 해커가 액세스 가능한 경우 마찬가지로 해커 역시 모니터링할 수 있다.

그리고 현재 드러난 것은 이전에 액세스할 수 없었던 센서 데이터만이 아니다. 벨로사는 “경우에 따라 디지털 트윈은 [모델링 중인] 실제 사물의 상태를 변경하는 제어 신호를 보낼 수 있다”라고 언급했다. 

그에 의하면 디지털 트윈이 실시간 데이터에서 제공하는 비즈니스 운영 모델을 활용하면 주요 기업 정보뿐만 아니라 직원 및 고객의 개인 식별 정보도 수집할 수 있다. 이는 악의적인 행위자들에게 매력적인 목표물이다. 벨로사는 “또한 디지털 트윈은 비즈니스 목표를 달성하도록 설계되기 때문에 어떤 데이터가 중요한지도 강조한다”라고 덧붙였다. 결과적으로 디지털 트윈은 기업이 하는 일을, 적이나 경쟁자에게 알려줄 수 있을 뿐만 아니라 기업의 전략과 미래 방향에 대한 귀중한 정보까지 제공할 수 있다고 벨로사는 경고했다. 

NCC 그룹의 그룹 CISO 로렌스 먼로는 “아울러 디지털 트윈은 물리적 트윈과 연결돼 있으며, 이 연결 자체가 둘 사이를 이동할 수 있는 추가 공격 벡터를 제공할 수 있다”라고 말했다. 마지막으로 디지털 트윈이 배포될 경우 내부 사용자나 제3자가 원격으로 모니터링할 수 있다고 먼로는 언급했다. “이로 인해 원격 사용자가 네트워크 연결을 통해 물리적 트윈에 액세스 가능한 위협이 발생할 수 있다”라고 그는 덧붙였다. 

디지털 트윈이 있는 자산을 인식하지 못하는 CISO
디지털 트윈의 주요 사용 사례 중 하나는 운영 기술의 액세스 및 관리를 개선하는 것이다. 안타깝게도 운영 기술 영역에서 사이버 보안은 종종 뒷전이며, 많은 시스템이 레거시 기술로 실행되고 있다. 이러한 상황에서 공격자가 운영 기술에 액세스하면 기업에 막대한 피해를 줄 수 있으며, 보안이 받쳐주지 못하는 디지털 트윈은 이러한 위험을 가속화한다고 쥬리(Zluri)의 CISO 토드 데킨가는 말했다.

그는 디지털 트윈이 물리적 트윈보다 더 쉽게 액세스 가능하다고 전했다. 데킨가에 따르면 이전에는 운영 기술 환경이 분리되고 격리된 것으로 간주됐지만 더 이상 그렇지 않다. 이제 완전히 연결되며 액세스 가능하고 더욱 쉽게 손상된다. CISO는 디지털 트윈이 있는 운영 기술 자산의 전체 목록을 인식하지 못하고 있을 수 있다. “무엇을 가지고 있는지 모른다면, 그것은 보호받을 수 없다”라고 그는 덧붙였다. 

근본적인 취약점 노출
디지털 트윈은 취약한 레거시 운영체제를 실행하는 시스템뿐만 아니라 취약점이 가득할 수 있는 IoT 센서의 입력을 기반으로 한다. 노조미 네트웍스(Nozomi Networks)의 8월 보안 보고서에 따르면 2022년 상반기 ICS-CERT에서 발행한 운영 기술 및 IoT와 관련된 일반적인 취약점과 노출은 560건이었으며, 그중 109건은 중요한 제조 산업에 직접적인 영향을 미쳤다.

먼로는 “트윈 설정에서 센서로 IoT 장치를 사용하면 이러한 장치의 보안 상태가 일반적으로 좋지 않기 때문에 우려가 된다”라고 말했다. 아울러 디지털 트윈과 관련해 사이버 보안 전문 지식이 이를 따라가지 못하는 경우가 종종 있다면서, “대부분의 경우 연구원이나 엔지니어가 새로운 기술과 실행 중인 예제에 액세스하는 것은 매우 어렵다. 이러한 플랫폼의 보안을 지원할 수 있도록 적절한 전문 지식을 얻을 필요성이 있다”라고 권고했다. 

디지털 트윈을 보호하는 방법
디지털 트윈 보안을 위한 모범 사례는 배포팀에 사이버 보안 전문가를 배치하고, 기본적인 사이버 보안 위생을 기본적으로 준수하며, 제로 트러스트 원칙을 채택하는 것으로 시작된다. 

먼로는 디지털 트윈을 배포하는 기업은 보안 전문가와 협력하여 상세한 취약점 모델을 만들어야 한다고 강조했다. 그는 “다른 새로운 기술과 마찬가지로 CISO는 도입된 취약점 모델과 공격받을 수 있는 부분에 미치는 영향을 이해해야 한다”라고 말했다. 이어 필요한 전문 지식이 항상 사내에서 제공되는 것은 아니며, 해결책은 사이버 보안 업계의 파트너와 협력하는 것일 수 있다고 먼로는 제안했다. 

디지털 트윈을 배치하는 기업은 프로세스 초기부터 우수한 사이버 보안 원칙을 따라야 한다고 벨로사는 조언했다. “정책부터 기술, 표준까지 설계 시 보안 모범 사례를 활용하라. 이는 암호화에서 NIST 또는 TLS 정책, 역할 기반 액세스 제어까지 다양하다”라고 전했다.

이어 벨로사는 디지털 트윈 설계 및 개발에 적절한 자금을 조달하고, 윤리적이어야 하며, 위험을 완화하고 규정을 준수하는 데 집중해야 한다면서, “가능한 한 개인 데이터 사용은 피하고 수집 위치, 수집 이유 및 보호 방법에 대한 투명성을 확보하라. 조달 부서와 협력하여 기업이 디지털 트윈의 데이터뿐만 아니라 모델도 소유할 수 있도록 하라”라고 말했다. 

디지털 트윈은 네트워크의 다른 중요한 장치와 마찬가지로 보호돼야 한다고 데킨가는 권고했다. “주변뿐만 아니라 마이크로 세분화, 다중 요소 인증 및 기타 기술을 통해 내부 네트워크를 보호하는 제로 트러스트 아키텍처를 설치해야 한다. 직원들이 이러한 시스템에 액세스하려면 번거로운 추가 단계가 필요할 수 있지만 이는 불편을 감수할 가치가 충분히 있다”라고 그는 설명했다. 

디지털 트윈이 사이버 보안에 도움이 되는 방법
디지털 트윈은 기업이 보안을 책임져야 할 대상인 것만은 아니다. 몇몇 기업은 사이버 보안을 개선하기 위해 이를 공격 조기 경보 시스템, 허니 트랩 및 테스트 샌드박스로 사용하고 있다. 다시 말해, 디지털 트윈은 기업이 보안 테스트에 사용할 가상 클론을 생성하여 시스템의 취약점을 확인하고 제거하는 데 도움이 된다. 또 실제 시스템을 반영하는 방식으로 사이버 취약점을 해결할 수 있기 때문에 사이버 보안에 도움이 된다.

부즈 앨런(Booz Allen)의 부사장 케빈 코긴스는 “실제 시스템 소프트웨어나 펌웨어를 디지털 트윈에서 실행하는 것을 포함하여 다양한 방법으로 이러한 반응을 얻을 수 있다”라고 말했다. 

아울러 항공 전자 공학과 같이 생산하기 값비싼 물리적 시스템의 취약점을 테스트하는 데도 사용할 수 있다. 코긴스는 “항공기에 직접적인 어떤 위협을 가할 수는 없다. 전체 항공기 인증 과정 전체가 무효화되기 때문이다. 디지털 트윈을 공격하면 잠재적인 취약점을 발견할 수 있다”라고 전했다.

그에 따르면 한 고객을 위해 부즈 앨런은 소프트웨어 개발업체 유니티 테크놀로지스(Unity Technologies)와 협력하여 대규모 시설의 3차원 IoT 연결 디지털 트윈을 만들었으며, 이를 통해 시스템의 취약점을 살펴보고 누군가에게 액세스 권한을 부여했을 때 발생하는 영향을 파악할 수 있었다. 코긴스는 “이 자체는 생산 시스템이 아니지만 이러한 디지털 트윈은 동일한 수준의 보안 보호를 받아야 한다. 누군가는 이를 사용하여 진짜를 쫓는 훈련을 할 수 있다”라고 언급했다. 

또한 디지털 트윈은 일종의 거미줄이나 위협 탐지 시스템 역할을 할 수도 있으며, 사이버 보안팀이 감지할 수 있는 공격의 파급효과를 확인할 수도 있다. 디지털 트윈을 일종의 고감도 센서 레이어로 사용하는 한 회사는 GE로, ‘디지털 고스트’라고 불리는 것을 만들고 있다. 예를 들어 적이 중요한 기반 시설의 핵심 부분 제어를 공격하는 경우 특정 센서의 출력을 위조할 수 있더라도 디지털 트윈은 전반적으로 문제가 있음을 인식한다. 전체 시스템이 더 이상 예상대로 작동하지 않거나 다른 센서에서 흐르는 정보와 일치하지 않기 때문이다.

사실, 시스템이 복잡할수록 더 많은 센서가 장착돼 더 많은 관찰 가능성을 갖기 때문에 좋다고 존은 말한다. 그는 “중요 기반 시설은 디지털 트윈이 사이버 보안을 돕기 위해 어떻게 배포될 수 있는지 방법을 보여주는 완벽한 예다. 현실에서는 사물이 어떻게 작동하는지 상당히 잘 예측할 수 있다. 특히 디지털 트윈 모델과 통합된 컨트롤이 있는 경우 이를 사용하여 사이버 공격이 발생하는지 알 수 있다. 기류, 압력, 온도 등 자산을 움직이는 모든 프로세스 변수를 살펴보고 이러한 모든 것이 정상인지 비정상인지 확인한 후 문제가 있는 위치를 파악한 다음 운영자에게 알릴 것이다”라고 설명했다.

이어 그는 “(기업은) 트윈을 사용하고 있지만 공격자가 그 사실을 모르기 때문에 이는 디지털 유령이라고 볼 수 있다”라고 덧붙였다. 

존에 따르면 디지털 고스트는 중요한 인프라뿐만 아니라 조직의 데이터센터에서 운영 기술을 보호하는 데에도 사용될 수 있다. 그는 “일반적인 OT 사이버 보안이 네트워크 트래픽, 방화벽 및 바이러스 검색에 관한 것이라면, 디지털 고스트에 대한 GE의 비전은 기본 물리적 자산이 작동하는 방식에 중점을 두고 있다. 이해해야 할 것은 일반적인 물리적 특성이 무엇인지, 통제 장치가 이러한 자산을 정상적으로 어떻게 운영하는지다. 그러한 지식과 시뮬레이션된 데이터 또는 과거 데이터가 많이 있다면 자산이 어떻게 운영되어야 하는지 매우 적절히 표현할 수 있을 것”이라고 말했다. 

또한 디지털 고스트는 무언가 이상한지 감지하고 어떤 센서가 손상됐는지 정확하게 알려줄 수 있다고 존은 언급했다. “일반적으로는 이것만으로도 작업자가 문제 위치를 정확히 찾아내는 데 며칠 또는 몇 주가 걸린다. 디지털 고스트는 몇 초 안에 이를 수행할 수 있다”라고 그는 덧붙였다. ciokr@idg.co.kr
 
CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.