사이버보안 기업 옵스왓(Opswat)의 분석에 따르면, OT 보안이 점차 주요 이슈로 떠오르고 있음에도 불구하고, 전체 기업 중 단 27%만이 최고정보보안책임자(CISO)나 최고보안책임자(CSO)에게 OT 인프라 보안 예산 통제권을 위임하고 있는 것으로 나타났다. CISO 또는 CSO가 예산을 통제하지 않는 경우에는 산업 제어 시스템(ICS)과 OT 관련 핵심 요구 사항이 예산 배분에서 무시되거나 간과되는 경향이 있다는 설명이다.
옵스왓이 진행한 이번 조사에서, 전체 응답 기업의 거의 절반은 전체 보안 예산의 4분의 1만을 핵심 인프라 보호에 사용하고 있다고 답했다. 또한 응답 기업 27%가 지난 12개월 동안 제어 시스템과 관련된 보안 사고를 한 번 이상 경험했다고 밝혔다.
옵스왓의 EMEA 중부 지역 영업 이사인 홀거 피셔는 “사이버보안 예산은 증가했지만, 여전히 많은 투자가 IT 같은 전통적인 비즈니스 시스템에 집중되고 있다”라며 “이로 인해 ICS 및 OT 환경이 사이버 위협에 대비되지 못하고 있으며, 이는 기업 전체의 안전을 위협하는 상황으로 이어진다”라고 분석했다.
IT-OT 연계 보안 전략 필요
응답자의 58%는 OT 네트워크에 대한 공격이 처음에는 IT 시스템 침해를 통해 시작됐다고 밝혔다. 그 외 공격 경로로는 인터넷에 연결된 장비(33%), 엔지니어링 워크스테이션 침해(30%), 외부에 노출된 애플리케이션 취약점 악용(27%) 등이 꼽혔다.
옵스왓 보고서는 “IT와 OT 환경이 긴밀히 연결돼 있다는 사실이 다시 한번 확인됐다”라며 “도메인을 넘나드는 보안 취약점을 막기 위해 통합된 보안 전략이 반드시 필요하다”라고 밝혔다.
피셔는 ICS 및 OT 보안을 위해 특화된 교육과 훈련에 대한 투자도 필수적이라고 언급했다. 그는 “ICS 제어기를 실시간으로 모니터링하는 인력이 제어 시스템 네트워크를 깊이 있게 이해할 수 있도록 해야 한다”라고 설명했다.
또한 “ICS 환경에 대한 위협을 재평가하지 않는 기업은 점점 정교해지는 공격에 핵심 인프라를 무방비로 노출시키고 있는 셈”이라며 “이제는 기술 시스템 보호가 선택이 아니라, 운영 회복탄력성과 국가 안보를 위한 필수 요소가 됐다”라고 전했다.
[email protected]
Read More from This Article: “기업 상당수, 보안 사고 겪고도 OT에 제대로 투자 안 해” 옵스왓 연구
Source: News