슈나이더 일렉트릭 "SoT 시대…IoT 보안을 지체하지 말라. 당장 행동으로 옮겨라"
상태바
슈나이더 일렉트릭 "SoT 시대…IoT 보안을 지체하지 말라. 당장 행동으로 옮겨라"
  • 신동훈 기자
  • 승인 2017.04.05 09:50
  • 댓글 0
이 기사를 공유합니다

데이비드 도게트 슈나이더 일렉트릭 사이버 보안 총괄 부사장

[CCTV뉴스=신동훈 기자] “완벽한 IoT 보안 수준을 구현하는 것에 치중하느라 IoT 보안을 지체하지 말라. 시작하는 게 무엇보다 중요하다. 행동으로 옮겨라.”

IoT(Internet of Thing)를 넘어서 SoT(Security of Thing) 시대가 도래하고 있다. 기존의 개별 산업 영역 내 점진적 보안 수준이 아닌 총괄적 관점에서 보안을 바라봐야 하는 근본적인 혁신이 필요한 시점이 다가 오고 있다. 이미 미국과 유럽 등 선진국과 기업들(GE, 마이크로소프트, T-모바일, AIG, 비자) 등에서는 제조와 IT, 통신 등 업계 영역을 초월해 SoT 포럼을 발족 협업 체계를 구축하고 있다. 

현재 IoT 통신 기술 표준 수립을 위해 업계 협력 구도가 본격화되고 있으며, 민간기업은 물론 정부기관도 IoT 표준화에 많은 관심을 보이고 있다. IoT 기술 표준과 더불어 관련 서비스가 대중화 단계에 임박함에 따라, IoT 관련 사이버 보안 강화가 새로운 과제로 부상하고 있다. 현재 IoT 수용이 이뤄지고 있는 기기들의 대다수가 대체로 컴퓨팅 기능이 단순하고 보안성도 취약한 경우가 많아 외부 공격에 취약한 상태이며 IT 업계에도 IoT 보안에 대한 뚜렷한 대책이 나와 있지 않은 상황이다.

▲ 데이비드 도게트(David Doggett) 슈나이더 일렉트릭 사이버 보안 총괄 부사장

세계적 에너지 관리 자동화 기업인 슈나이더 일렉트릭도 이 점을 착안, SoT 시대를 준비하기 위해 IoT 보안에 집중하고 있다. 지난 3월 15일 진행된 슈나이더 일렉트릭 서울 서밋에서 ‘사이버보안 – 해커만큼 공격적으로’란 주제로 키노트를 진행하기도 했다.

이 연설은 현재 슈나이더 일렉트릭 사이버 보안을 총괄하고 있는 데이비드 도게트(David Doggett) 부사장이 나서 발표했다. CCTV뉴스는 연설차 방한한 데이비드 도게트 부사장을 따로 만나 현재 IoT 관련 사이버 보안 트렌드와 전문가로서의 의견, 슈나이더 일렉트릭이 그리는 IoT 보안 관련 비전 등에 대해 들어봤다.

도게트 부사장은 호주 법인 온라인 제어 부문 매니저로 영입된 이래 20년간 슈나이더 일렉트릭의 보안 부분을 이끌어 가고 있다. 기술력과 전문성을 기반으로 슈나이더 일렉트릭을 대표해 보안·네트워크 기업, 정부기관 등과 협업하고 있다. GSEC, CSSLP와 ISA/IEC62443 등 다수의 보안 관련 자격증을 보유하고 있으며, ODVA 보안 TF(Security Task Force), ISA99와 IEC62443 회원이다.

Q. 슈나이더 일렉트릭은 세계적인 에너지 자동화 선도기업이다. 슈나이더 일렉트릭 내 사이버 보안의 역할은 무엇인가?

A. 슈나이더 일렉트릭의 사이버 보안은 전적으로 사이버 보안 제품을 파는 기업과는 다른 개념이다. 슈나이더 일렉트릭의 에너지 관리를 받고 있는 기업들이 에너지 관리를 문제없이 잘 받고 있는지, 사이버 공격에 대한 위협은 없는지 등을 살펴보고 사이버 보안에 대한 걱정 없이 비즈니스를 진행하도록 하는 역할을 한다. 즉, 슈나이더 일렉트릭의 제품 및 솔루션에 대한 보안 체계 수립과 네트워크 구축, 보안 기술 개발 등에 주력하고 있다. SoT를 대비하기 위해 총체적인 관점에서 보안을 바라보고 있다.

보안만 강화하면 불편함이라는 부작용이 생길 수 있어 편리함과 보안의 접점을 찾고자 노력하고 있다. 전 세계 사이버 보안 관련 전문인력이 100여 명 정도 되고 사이버 보안에 대한 평가와 분석을 통해 취약점과 정책 등을 보완하고 유지보수 또한 진행중이다.

Q. 기조연설의 주제가 ‘사이버 보안-해커만큼 공격적으로’였다. 사이버 보안에 대한 트렌드와 어떻게 대응해야 되는지에 대해 얘기했을 듯 하다. 어떠한 이야기를 했는가?

A. 첫 번째로, 사이버 보안의 지형이 크게 변화하고 있다. ▲훨씬 더 공격적이고 ▲훨씬 더 전문성이 높아졌으며 ▲훨씬 더 해를 입히려는 의지가 강해졌다. 실제 산업용 시스템을 해킹해 재산을 탈취한 경우도 있다. 미국 백화점의 빌딩 매니지먼트 시스템이 개인 신용 정보를 입수하기 위한 해킹의 기반으로 사용되었으며, 블랙 마켓에서 이를 판매하는 것을 목도하기도 했다. 이처럼, 해킹 정보를 판매하는 것이 아닌 해킹 기법을 판매하기도 한다. 이젠, 일반인도 이 기법만 구한다면 전문 해커가 될 수 있는 시대가 도래했다

두 번째로, 산업에서 사이버 보안의 영역(scope)도 늘어났다. 과거에는 방화벽, 안티 바이러스 정도만 치중했다. 이제는 한 공장(Site)이 문제가 아니라 전체 생산과 공급 과정(Supply Chain)을 살펴봐야 한다. 제조 공정 과정 중 제품이 감염돼 버린다면 최종 고객은 감염된 상태의 제품을 받을 수 밖에 없다. 그렇기에 제품이 어떻게 운송이 되고 어떤 매니지먼트 시스템에서 운영되는지, 그러한 영역을 모두 살펴봐야 한다.

마지막으로, 사이버 보안 문제가 보안 담당자나 엔지니어들만이 하는 주제(Topic)였다면, 이제는 임원진 등에서 중요한 토론 주제가 되고 있다. ▲사이버 보안이 우리 주식에 무슨 문제를 끼칠지 ▲회사의 명성에 얼마나 영향을 미칠지 ▲직원과 제품의 안전이 얼마나 개런티 되는지 등 사이버 보안이 향후 비즈니스 전략 구성에도 중요한 척도가 됐다.

SoT 시대가 임박하고 있음에 슈나이더 일렉트릭은 사이버 보안에 대해 강력한 대응이 필요한 시기로 보고 있다. 처음부터 모든 솔루션을 다 바꾸기 보다는 작은 것부터라도 시작하는 것이 중요하다. 작게라도 시작해 변화를 추구하는 것이 사이버 보안을 위한 중요한 첫 걸음이 될 것이다.

Q. 알다시피 2016년 대규모 DDoS 공격으로 대규모 IoT 기기들이 감염되는 사고가 있었는데, 올해도 이러한 대규모 DDoS 공격 등 IoT 취약점을 노리는 사이버 공격이 성행할 것으로 예상된다. 방지책은 없는가?

A. 일단 IoT 기기가 어디서 감염됐는지부터 생각해 봐야 한다. 감염된 기기를 보면 외부에 제품이 노출된 경우가 많다. IoT 기기는 클라우드 등 외부와 연결하는데 이를 통해 감염이 되기 쉽다. 슈나이더는 제품의 문헌과 안내서에서 권장하듯이 필수적인 외부 기기와 데이터에 제품이 노출되도록 하고, 고객들이 이와 같은 안내를 준수하여 IoT 해킹을 최소화한다. 

또한 DDoS 공격에 대한 제품의 민감성을 고려해야 한다. 슈나이더 일렉트릭은 이와 관련한 인증인 아킬레스 인증을 받았다. 아킬레스 커뮤니케이션 인증(Achilles Communications Certification)은 산업용 기기의 네트워크 보안을 평가하는 인증으로, 크리티컬한 인프라스트럭쳐에서 탄탄한 애플리케이션, 장치 및 시스템의 개발을 위한 벤치마크를 얘기한다. 레벨1과 레벨2로 나뉘는데 슈나이더 대부분의 PLC와 알티바 프로세스 제품군과 DCS 시스템 등이 최고 등급인 레벨2 인증을 받았다. 외부에 대한 데이터 차단과 더불어 DDoS 공격으로 만약 과부하(Overload)된다 해도 시스템이 제대로 구동이 된다.

슈나이더 제품이 봇넷(botnet)이 되는 경우를 방지하기 위해 고객, 시스템 통합자들과 협업하고 가이드를 제공한다.

슈나이더 일렉트릭의 다양한 시스템들은 상이한 수준의 봇넷 리스크를 지녔다. 예를 들어, 발전소나 오일 및 가스 산업에서 운영하는 세이프티 솔루션인 트라이코넥스(Triconex)는 비상시에 안전한 셧다운을 가능케 한다. 이러한 솔루션은 외부와 직접적으로 연결되어 있지 않기 때문에, ROI를 고려해 봇넷으로 사용하는 확률이 매우 적다. 이와 다르게 여러 파워미터, BMS와 같은 경우는 직접적으로 외부와 연결되는 경향이 있어, 봇넷으로 사용하는 가능성이 높다. 이처럼 슈나이더 제품의 성격에 따라 봇넷으로 사용될 가능성이 상이하기 때문에 각 제품과 솔루션에 적합한 대책을 마련한다. 이해관계자들과 협업하고 봇넷으로 사용되는 리스크를 줄이기 위한 액션을 취하고 있다.

IoT 관련 전문적인 표준을 받은 제품 혹은 솔루션을 사용한다면 IoT 공격 관련 방지가 가능할 것으로 보인다.

Q. 슈나이더 일렉트릭이 IoT 사이버 보안에 대해 도움을 주고 있는 곳이 어디 있는지, 알려줄 수 있는 사례가 있나?

A. 오일&가스 산업군이 미션 크리티컬한 부분이라 집중하고 있는 영역이다. 이 외에 수(水)처리, 식음료, 데이터센터, 전력망, 빌딩관리, 발전 등 다양한 분야에서 사이버 보안 강화를 위해 노력하고 있다. 슈나이더는 미국, 프랑스, 독일을 비롯한 EU 국가들뿐만 아니라 여러 중동 국가들과 사이버 보안 표준과 관련해 협력하고 있다. 정부나 기관을 떠나 딥(Deep)하게 보면 임원진, 보안 부서, 엔지니어 등 사이버 보안에 대한 중요도가 다를 수 있다. 다양한 이해관계자들의 의견을 모두 잘 통합해 모두를 만족할 수 있는 조언을 주려고 한다.

Q. 노후된 제품 같은 경우 IoT 보안에 더욱 취약해 다가오는 SoT 시대엔 취약점으로 남을 듯 하다. 이러한 경우 보안 강화를 위한 컨설팅은 어떻게 진행하는가?

A. 실제로, 15년 전 설치된 제품은 어떠한 사이버 보안 위험이 있는지, 우리가 어떻게 해야 되는지 등의 질문이 많다. 신제품인 경우 보안을 강화시킨 제품이라 문제가 없으나, 구제품은 보안 취약점이 있으니 업그레이드를 권한다. 허나, 고객 입장에서 업그레이드에 돈이 많이 들어 어려워한다. 이에 우선적으로 교체해야 하는 제품을 컨설팅을 통해 먼저 업그레이드 하던지 에디션을 추가하던지 등의 방법으로 진행한다.

또한 사이버 보안 정책 등의 컨설팅도 함께 한다. 슈나이더 일렉트릭이 가지고 있는 사이버 보안 관련 노하우와 전문성을 통해 엔지니어와 IT 보안부서가 함께 협업하는 방법, 정부 정책 방향, 표준화 진행 방향 등을 통한 사이버 보안을 어떻게 갖춰야 될지 비전을 제시한다.

Q. 슈나이더 일렉트릭이 IoT 제어시스템 관련 국제표준을 리딩하고 있는 것으로 알고 있다. IoT 표준 관련해서 최근 어떠한 움직임이 감지되고 있는가?

A. IEC 62443(제어시스템 정보보안에 대한 규격을 정의하는 국제표준)이 IEC 62351(TC 57 시리즈 프로토콜 보안을 처리하기 위해 개발된 표준)가 하나로 통합되려고 하는 등 산업, 빌딩, 에너지 분야 등 하나의 표준이 되려고 하는 움직임이 보이고 있다.

슈나이더 일렉트릭은 IEC 62443 관련 5개 조직이 인증을 받았으며 슈나이더 캐나다 캘거리에 위치한 R&D 센터가 전 세계에서 유일하게 레벨 2로 인증을 받기도 했다. 또한, IIC(Industrial Internet Consortium, IoT 관련 컨소시엄)에 IoT 보안 관련 제품 멤버로도 활동 중이다.

제품 보안과 관련해서는, ISA 시큐어로부터 슈나이더 일렉트릭의 제품이 IEC62443 관련 보안 인증을 받는 작업을 하고 있다. 그리고 국가마다 인증 제도가 상이하기 때문에 슈나이더는 중국, 미국 등 전 세계 정부와 인증 제도 통일화 작업을 하거나 인증 표준화에 대한 범국가적 지지를 형성하기 위하여 협업하고 있다.

슈나이더 일렉트릭은 오픈 플랫폼을 지향하고 있으며, 표준화와 인증을 중요하게 생각하고 있다. 이 점이 경쟁사와 차별화 포인트라고 본다. 모드버스(Modbus) 통신 프로토콜 ODVA를 산업용 IoT 표준쪽으로 드라이브 하고 있고 시큐어 버전에 맞게 새롭게 출시하기도 했다.

Q. 슈나이더 일렉트릭이 에너지 관리 기업이지만, 설명한 것처럼 IoT 보안 관련해 강하게 드라이브 하며 보안을 강화하고 있는 모습이다. SoT 시대에 앞서 슈나이더 일렉트릭이 그리는 청사진은 어떻게 되는가?

A. 과거 슈나이더 일렉트릭이 전기와 안전에 명성이 높은 기업이었다면, 거기에 보안까지 생각한 기업이 되고자 한다. 우리는 보안 전문 기업이 되려는 것이 아니다. 에너지 관리 자동화와 동시에 보안까지 좋은 기업이 되는 것이 우리의 목표이다.

이에 시큐어 바이 디자인(Secure by Design)이라는 모토로 제품을 개발할 때부터 보안을 내재화된 제품을 만들려고 한다. 제품 생산 자체부터 보안을 생각한다면 보안 강화는 물론 사용하기도 더욱 편하다.

그러한 일환으로 이번 행사를 통해 에코스트럭처라는 플랫폼을 론칭했다. 에코 스트럭처는 IoT를 접목해 효율적인 에너지 관리와 공정을 최적화해 생산성을 높이는 기술 플랫폼을 얘기한다. 여기에 파트너십 등을 통해 보안까지 생각한 제품을 만들 것이고 그러한 커넥티비티를 통해 고객들에게 다양한 가치와 함께 보안이 내재된 안전한 환경까지 제공할 것이다.



댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
0 / 400
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.