최근 기업들 사이에서 산업인터넷의 구현이 중요한 트렌드로 떠오르고 있다. 이에 따라 비즈니스와 생산시설의 운영 측면에서 보안과 관련된 새로운 과제들이 등장했으며, 그에 대한 투자도 함께 늘어나고 있다. 물론, 기업은 IT 시스템을 정지시켜 새로운 보안 위협에 대비하는 경우도 있다. 하지만 기업의 재정, 환경, 보안에 심각한 위협을 가하지 않으면서 운영 프로세스 자체를 실시간으로 폐쇄하기란 쉬운 일이 아니다.
사이버 보안 분야에서는 네이트 쿠베(Nate Kube)를 능가할 사람이 드물다. 그는 캐나다 밴쿠버에 위치한 GE의 월드테크(Wurldtech)의 설립자이자 현 최고기술책임자(CTO)이다. GE리포트는 쿠베씨에게 점차 모든 사물이 연결되어 가는 현 상황에서 기업이 스스로를 보호하기 위해 확인해야 할 중요한 다섯 가지 질문을 선정하여, 이에 대한 해답을 들었다.
1. 운영 환경을 위한 사이버 보안 전략이 있는가
“사이버 보안은 리스크 관리 구성 요소 중 하나입니다.”라고 쿠베 씨는 말한다. 기업은 여타 다른 위험 요소를 대비 해야 하는 것처럼, 운영 환경을 보호할 수 있는 프로그램도 필요하다는 것이다. 핵심 사이버 보안 프로그램의 구성 요소로는 보안 공격 발생 시 기업에 미칠 구체적 위험 평가, 사고 대응 계획 수립, 충분한 자금이 있는 사이버 안보용 관리 모델 도출 등이 있다. 이런 프로그램은 국제 기준은 물론 각 부문의 모범 사례를 따라야 한다는 것이 쿠베 씨의 조언이다.
2. 취약점에 대응할 계획은 무엇인가
산업과 IT가 결합되었을 때 발생하는 보안 문제에 대처할 수 있는 전략이 필요하다고 쿠베 씨는 말한다. 예를 들어, 기업은 사이버 공격으로 시스템이 멈춘 동안 입은 손실을 회복할 수 있는 보험이 필요할 수 있다. 마찬가지로 기업은 새로운 장비가 도입될 때는 물론 그 후에도 계속 안전을 유지할 수 있도록 하는 공급망 정책을 갖춰야 한다. 또한 사이버 보안 보고에 사용할 메트릭스(Metrics)를 명확하게 이해하고 있어야 한다.
3. 이사회처럼 높은 수준에서 사이버 보안을 논의하는가
리스크 관리 감독은 기업 이사회의 중요한 책무이며, 이 중에는 당연히 사이버 보안이 포함되어야 한다. 대부분의 이사회는 이미 기업의 IT 운용에서 발생하는 위험에 대해 논의하고 있으며, 산업 인터넷과 연계된 보안 리스크에 관련된 논의도 점점 더 늘어나고 있다. “이사회야말로 리스크 균형을 도출하는 논의가 이루어져야 할 곳입니다.” 쿠베 씨는 이렇게 표현했다.
4. 직원들이 사이버 보안 부문에서 자신의 역할을 이해하는가
기술이 운영 환경을 보호하기 위해 중요하다는 것은 누구나 아는 사실이다. 하지만 사이버 보안에 가장 큰 영향을 미치는 요소는 바로 사람이다. “USB를 꽂는 것도, 감염되었을지도 모르는 노트북을 연결하는 것도, 자신의 역할을 이해하지 못하는 것도 사람이죠.” 쿠베 씨는 이렇게 말하면서 자신이 월드테크에서 경험한 고객사례를 이야기해주었다. 사이버 안보의 중요성을 제대로 이해한 고객 기업이 아예 건강 및 안전 규칙과 함께 보안 규칙을 사원증에 추가로 인쇄했다는 것이다. “사이버 보안에 있어 직원의 역할이 중요하다는 인식을 증진시키고, 보안강화를 위한 각자의 행동강령을 알리기 위해 이런 조치를 취했습니다.”
5. 현재 제기되는 사이버 보안에 관한 항목들을 모니터링하고 평가하는가
쿠베 씨에 따르면 모니터링이야말로 모든 사이버 보안 계획의 핵심 요소이다. “스스로를 실시간으로 모니터링 할 수 없다면, 감염되었는지 혹은 공격받았는지 실시간으로 감지할 수도 없습니다.” 경비회사가 각 가정의 안전을 모니터링 하듯이 앞으로 기업들은 자사의 사이버 보안 모니터링 업무를 아웃소싱으로 전환하게 될 것이라고 그는 예상한다.