CISA가 국제 사이버보안 협력 기관과 함께 OT 환경을 보호하기 위한 ‘필요 기반 보안(Secure by Demand, SbD)’ 가이드라인을 공개했다. 이 프레임워크는 OT 소유자와 운영자가 디지털 제품을 구매할 때 사이버보안을 우선순위에 둘 수 있는 청사진을 제공한다.
이번 프레임워크는 에너지 그리드, 교통 네트워크, 제조 시설 등 주요 기반 시설의 취약점에 대한 우려를 불식시키기 위해 고안됐다. 기반 시설이 점차 정교한 사이버 공격의 표적이 되고 있다는 이유에서다.
지금까지 OT 시스템은 취약한 인증, 오래된 프로토콜, 안전하지 않은 구성으로 인해 위험에 노출돼 왔다. 이런 상황이 선제적 접근의 필요성을 부각했다고 SbD 가이드라인은 설명했다.
CISA 국장 젠 이스털리는 지침 발표와 관련한 블로그 게시물에서 “수요를 촉진하는 것도 중요하지만, 지속적으로 변화하려면 CEO 사무실부터 개발자 책상까지 업계 전반에서 SbD 원칙을 채택하고 책임감을 높여야 한다”라고 설명했다.
사후 대응에서 선제적 접근으로
가이드라인은 솔루션 배포 후 수정하는 대신 도입 단계에서부터 보안 원칙을 내재화할 것을 권고했다. 주요 내용에는 벤더의 상세한 취약점 패치 이력, 안전한 기본 설정, 강력한 인증, 현대적 암호화 기능 의무화 등이 있다.
또한 보안 기술 선택 방법과 제품 수명주기 전반에 걸쳐 보안 표준을 준수하는 벤더와의 투명한 파트너십 보장에 초점을 맞췄다.
가이드라인은 “OT는 주요 기반 시설의 근간이며, 벤더가 보안 결함이 있는 제품을 제공하면 전체 생태계가 위협받을 수 있다”라고 언급했다. 특히 설계 단계부터의 복원력을 강조하며, 조직이 잠재적 공격을 차단하고 침해 후 복구로 인한 지연 없이 시스템의 무결성을 유지할 수 있도록 해야 한다고 설명했다.
벤더와 OT 운영 기업이 직면한 과제
특히 엄격한 지침에 익숙하지 않은 벤더와 조직이라면 SbD 원칙 도입은 상당한 운영상의 조정을 요구할 수 있다. 벤더는 보안 인증, 패치 일정, 향후 취약점 해결 방안에 대한 투명성을 제공해야 한다. OT 운영 기업의 경우, 사이버보안 우선순위에 맞춰 기술 도입 프로토콜을 전면 개편해야 한다는 의미다. 도입은 지연될 수 있지만, 궁극적으로 방어는 강화된다.
전문가들은 이 가이드라인이 선제적 조치를 강조하고 있지만, 리소스 제약으로 인해 소규모 벤더가 규정 준수에 어려움을 겪을 수 있다고 지적했다. 마찬가지로 기존 OT 시스템을 ‘설계 기반 보안‘ 원칙에 맞게 수정하는 작업도 예산과 일정에 부담을 줄 수 있다.
에베레스트그룹의 수석 분석가 시브라지 보라데는 “OT 시스템은 IT 서비스보다 훨씬 수명주기가 길다는 특성이 있다. 이로 인해 운영 중단 없이는 패치나 업데이트가 어려운 구식 인프라가 되기 쉽다. 하지만 주요 기반 시설에서 널리 사용되는 OT 시스템은 위협 행위자의 주요 표적이 되고 있다. 안전한 OT 구축이 이제 시급한 과제가 됐다”라고 설명했다.
보라데는 CISA의 새 가이드라인이 OT 제품에 대한 기업의 기술 도입 전략을 재구성할 수 있다고 언급했다. 그는 “이런 가이드라인은 OT 제품 기업과 OT 보안 독립 소프트웨어 벤더(ISV) 간의 협력을 증진시켜 OT 보안 시장에서 상당한 기회를 창출할 수 있다”라고 진단했다.
OT 복원력을 위한 로드맵
SbD 가이드라인은 더 안전하고 복원력 높은 운영 환경을 위한 진전을 의미한다. 기술 도입 시 사이버보안을 최우선으로 고려하고 단기적 편의보다 장기적 보안을 우선시할 것을 장려하기 때문이다.
이런 권고가 성공적으로 이행될 경우 프레임워크를 글로벌 표준으로 확립해 사이버 위협에 대한 리스크를 감소하고 국제 협력 강화의 길을 열 수 있다. OT 관계자에게 해당 가이드라인은 급변하는 디지털 세계에서 중요 시스템을 보호하기 위해 적응하고, 혁신하며, 안전을 확보할 수 있게 하는 기회이자 경고일 수 있다.
[email protected]
Read More from This Article: “사이버 공격 표적 된 OT”··· 美 CISA, OT 보안 강화하는 새 가이드라인 공개
Source: News