카스퍼스키 “산업시설 보안관리 실태 심각…정기 취약점 평가 부재”
산업 시설의 16.7%는 연 1~2회만, 7.4%는 필요할 때만 취약점 관리
글로벌 산업 시설의 7%가 필요할 때만 보안 취약점을 관리하고 있다는 조사 결과가 나왔다.
글로벌 보안 기업인 카스퍼스키는 이같은 내용을 담은 운영기술(OT) 사이버보안 연구보고서(Securing OT with Purpose-built Solutions) 결과를 30일 발표했다. VDC리서치와 공동으로 발간한 이 보고서는 에너지, 유틸리티, 제조, 운송 등 핵심 산업에 초점을 맞춰, 250명 이상의 의사결정자를 대상으로 산업 환경 내 사이버보안 환경을 조사한 결과를 담았다.
보고서에 따르면, 산업 시설을 운영하는 기업의 7%는 필요할 때만 취약점을 관리하고 있는 것으로 나타났다. 이로 인해 많은 기업들이 예기치 않은 가동 중단, 생산 손실, 그리고 잠재적 사이버 침해로 인한 평판 손상 및 재정적 피해에 노출되고 있다.
구체적으로 상당수의 기업은 정기적인 침투 테스트나 취약점 평가를 시행하지 않고 있는 것으로 나타났다. 응답자의 27.1%만이 월간 기준으로 이러한 중요한 평가를 수행하는 반면, 다수인 48.4%는 몇 개월에 한 번씩 평가를 진행하고 있었다. 가장 우려스러운 점은 16.7%가 연 1~2회만, 7.4%는 필요할 때만 취약점에 대응한다는 것이다. 이러한 불규칙한 대응은 복잡해지는 위협 환경에서 기업을 취약하게 만들 수 있다.
또한 이번 연구 결과에 따르면, 많은 기업이 패치 적용을 위한 운영 중단 시간 확보에 어려움을 겪고 있다. 이로 인해 효과적인 패치 관리 문제가 발생하고 있다. 많은 기업이 OT 시스템에 대해 몇 개월에 한 번 혹은 그 이상 간격으로만 패치를 적용해 위험 노출이 크게 증가하고 있는 상황이다. 구체적으로는 31.4%가 월 단위로 패치를 적용하며, 46.9%는 몇 개월에 한 번, 12.4%는 연 1~2회만 업데이트한다.
카스퍼스키는 “모든 소프트웨어 플랫폼은 본질적으로 버그, 불안전한 코드, 그리고 악의적 행위자가 정보기술(IT) 환경을 침해할 수 있도록 악용할 수 있는 기타 약점에 노출된다. 따라서 산업체에 있어 효과적인 패치 관리는 이러한 위험을 완화하는 데 매우 중요하다”고 말하고 “효과적인 패치 관리 유지의 어려움은 기기 가시성 제한, 공급업체별 불규칙한 패치 제공, 전문 기술 요구, 규제 준수 문제 등이 더해지는 OT 환경에서는 더욱 심화되고 있다”고 지적했다.
아울러 카스퍼스키는 강력한 사이버보안 전략은 기업 자산에 대한 완전한 가시성 확보에서 시작된다고 강조하면서 IT와 OT 시스템이 융합되는 환경에서는 단순한 자산 목록 이상의 것이 요구된다고 제시했다. 기업들이 운영 현실에 맞는 위험 평가 방법론을 도입하고 명확한 자산 기준을 설정해, 기업 위험 기준과 취약점이 발생할 수 있는 물리 및 사이버 영향을 모두 반영하는 실질적 위험 평가를 수행할 수 있어야 한다고도 설명했다.
카스퍼스키 아드리안 히아 아시아태평양 지역 총괄사장은 “극심한 경쟁이 펼쳐지는 비즈니스 환경에서 일관성과 연속성은 기업 성과의 핵심 기둥이다. 따라서 강력한 보안 시스템의 구축은 예기치 않은 가동 중단, 장비 손상, 작업 중인 재고 손실 등 심각한 운영 중단을 초래할 수 있는 사이버 침해로부터 보호하기 위해 필수적이다. 기업들은 사이버보안 시스템의 복원력을 강화해, 단순히 운영을 보호하는 데 그치지 않고 디지털 중심 경제에서 경쟁력을 확보해야 한다”라고 말했다.
카스퍼스키 이효은 한국지사장은 “산업계의 디지털 전환 과정에서 OT 보안은 기업 생존에 매우 중요한 요소가 되었다. 많은 기업이 아직도 수동적 대응 모델에 머무르고 있으나, 진정한 해법은 선제적이고 적극적인 ‘시큐어바이디자인(Secure by Design)’ 시스템 구축에 있다”며 “한국 기업들은 지능형 운영과 아키텍처적 복원력을 통합해 복잡한 IT와 OT 융합 환경에서 산업 사이버보안의 새로운 패러다임을 선도하고 있다”고 강조했다. 이어 그는 “기업이 기존 취약점 패치 방식에서 벗어나, 점점 심각해지는 산업 사이버 위협에 대응하기 위해 전체 수명주기 보호를 제공하는 전문 OT 보안 솔루션을 도입해야 한다”라고 덧붙였다.
카스퍼스키는 산업 고객을 위해 전문 OT 등급 기술, 전문가 지식, 차별화된 전문성 등의 서비스를 원활하게 통합하는 독보적이고 강력한 생태계를 제공한다고 밝혔다.
산업시설 OT 환경 보안을 위한 제품으로 카스퍼스키 인더스트리얼 사이버시큐리티(KICS)를 제공한다. KICS는 중요 인프라를 위한 네이티브 확장형 위협 탐지 대응(XDR) 플랫폼으로, 중앙집중식 자산 관리, 위험 관리, 감사를 지원한다. 단일 플랫폼을 통해 분산된 다양한 인프라 전반에 걸쳐 보안 확장성을 가능하게 하는 것이 특징이다.
글. 바이라인네트워크
<이유지 기자>yjlee@byline.network