정보보호인정협회(ISA)가 OT보안관리사 자격검정 시험에 대비하는 ‘OT보안관리사’ 도서를 출판한다.
OT보안관리사(Operations Technology Security Specialist, OTS)는 2021년 3월 15일 과학기술정보통신부(제2021-001205호)에 등록된 민간자격으로 직무 내용은 산업 현장에서 수행하는 ICT 업무(시스템·단말·서비스) 환경에서 위/변조, 유출, 해킹, 서비스 거부, 랜섬웨어 등을 비롯한 각종 사이버 공격으로부터 조직의 정보 자산을 안전하게 보호하고, 물리적 공간에서의 보안 침해 사고를 방지하는 데 필요한 업무 수행 능력을 가진 인력에게 주어진다.
지난 2010년 이란의 스턱스넷 공격을 기점으로 전 세계적으로 SCADA, ICS, OT 환경을 운영하는 산업 시설과 기반 시설을 대상으로 한 사이버공격이 꾸준히 증가하고 있으며, 국내에서도 공장에서 사용하는 윈도우 기반 산업용 PC와 PLC가 랜섬웨어 등 악성코드에 감염돼 오작동을 일으키거나 운영이 중단되는 사고가 늘어나고 있다.
ICS와 OT 환경에서 보안 사고가 발생하는 경우, 정보 유출 목적보다는 파괴 및 운영 중단 목적의 지능화된 공격이 주로 이뤄지기 때문에 그 위험성과 파급력이 크다.
원자력발전시설, 석유화학플랜트, 제철공정시설, 공장자동화시설 등 본래 OT 산업 영역은 폐쇄망 환경이었으므로 외부로부터의 접근이 엄격히 통제되어 위협에서 안전하다는 인식이 있었지만, 스마트팩토리의 등장으로 IT 영역과의 접점이 늘어나면서 사이버 위협 역시 높아지고 있다.
그러나 기존의 IT 보안 전문가는 OT 산업의 이해와 용어, 기술에 익숙하지 않으며, 반대로 OT 종사자는 사이버 보안에 대한 인식이 미흡해 양쪽 모두의 전문 지식을 보유한 인력이 부족한 상황이다. 이에 따라 4차 산업혁명의 성공적인 안착을 위해서도 OT 보안 전문가 양성이 시급하다.
OT보안관리사 자격검정 시험은 객관식 및 주관식 시험으로 나뉘며, 응시 자격은 관련 분야에서 5년 이상의 실무에 종사한 사람으로 제한된다.
이론 시험은 제1과목 OT 보안 관리 전략, 제2과목 정보보호 일반, 제3과목 정보보안 일반, 제4과목 정보보안 기술, 제5과목 정보보안 운용의 총 5과목을 평가하며 객관식 4지 또는 5지선다 객관식 및 주관식 혼용으로 출제된다. 시험 시간은 90분, 합격 기준은 100점 만점 기준 60점 이상 득점하여야 한다.
ISA협회 공병철 회장은 “인더스트리(Industry) 4.0을 통한 스마트팩토리로 확산되는 제조 기업이 랜섬웨어 등 지능화·고도화되는 사이버 리스크를 대응할 수 있는 OT보안관리사 양성으로 스마트 제조 혁신 인력이 배출되기를 기대한다"고 밝혔다.
이어 공병철 회장은 ”이 책은 ISO/IEC 27001(정보보안), 27017(클라우드 보안), 27018(공공 클라우드 개인정보 보안), 27019(산업제어시스템 보안) 등 국제인증심사원 자격 취득을 위한 연수 기관 교재로도 활용할 수 있다"고 덧붙였다.
