ISMS 등 기존 IT 망 규제만으로 산업 안보는 한계
국가차원의 모의훈련 체계 도입해 기업 보안 역량 내재화 필요해
[보안뉴스= 박성준 한림대 정보과학대학 객원교수] 최근 발생하고 있는 해커 그룹들의 국가 기반 시설 공격 양상을 보면 사이버 공간의 위협이 물리적 재난으로 전이되는 현상이 뚜렷하게 나타나고 있다.
[출처: 생성형 AI 활용 이미지]
세계적인 IT 강국이자 제조·화학 강국인 대한민국은 네트워크 보안 분야에서 높은 수준을 자랑하지만, 정작 공장의 심장부를 움직이는 ‘산업 제어 시스템’(OT/ICS)의 보안은 심각한 사각지대에 놓여 있다. 만약 해커가 화학 공장의 밸브 압력을 임의로 조작하거나 냉각 시스템을 무력화한다면 이는 단순한 기업의 데이터 유출을 넘어 화재, 폭발, 유독가스 누출 등 인명 피해를 동반하는 ‘사이버-물리적 재난’(Cyber-Physical Disaster)으로 직결된다.
이러한 위협에 대응하는 미국 국토안보부(DHS) 산하 사이버보안 및 인프라 보안국(CISA)의 행보는 우리에게 시사하는 바가 크다. CISA는 위험 화학물질 취급 시설의 보안 강화를 위해 ‘ChemLock’이라는 자발적 무상 지원 프로그램을 운영 중이다. 최근 이 제도를 고도화하기 위해 민간 시설의 네트워크 구조와 취약점 정보를 수집할 수 있는 권한을 연방정부에 요청했다. 여기서 주목할 점은 정부가 민간 기업의 보안 취약점을 상세히 들여다보겠다고 나섰음에도 업계의 반발이 거의 없었다는 것이다.
미국 기업들이 정부를 믿고 보안 내역을 드러낼 수 있는 이면에는 철저한 정보보호 장치인 ‘화학 테러 취약성 정보(CVI)’와 ‘민감한 보안 정보(SSI)’ 제도가 자리 잡고 있기 때문이다. 민간이 정부에 제출한 제어 시스템의 취약점 정보는 정보공개법(FOIA)의 대상에서 원천적으로 배제되며 사법부의 재판 과정에서도 일반 대중에게 공개되지 않도록 보호받는다. 오직 국가의 인증을 받은 소수 인원만이 접근할 수 있고 유출 시에는 엄격한 형벌이 뒤따른다. 즉 국가가 민간의 약점을 무기로 삼지 않고 철저하게 보호해 주겠다는 신뢰를 부여한 것이다.
반면 우리의 현실은 어떠한가. 정보보호관리체계(ISMS)와 같은 IT 망 규제나 화학물질관리법 등에 따른 시설 안전 기준은 촘촘하게 엮여 있지만, 국가 안보의 관점에서 OT 망을 실질적으로 보호하는 제도는 턱없이 부족하다.
가장 큰 문제는 징벌과 단속 중심의 규제 프레임이 기업의 ‘자발적 고백’을 가로막고 있다는 점이다. 중·소규모의 제조 시설이나 화학 공장은 제어망에서 신종 제로데이 취약점이나 랜섬웨어 감염 징후를 발견하더라도 이를 정부에 신속히 알리고 도움을 요청하기를 꺼린다.
취약점을 신고하는 순간 당국의 현장 조사가 수반되고, 이는 곧 보안 조치 미비라는 명목하에 과태료나 행정처분이 부메랑이 되어 돌아올 것이란 우려 때문이다. 게다가 공공기관의 정보 공개를 원칙으로 하는 현행법 체계로 인해 정부가 민간 핵심 인프라의 OT 망 취약점을 외부로 유출이라도 한다면 이는 국가 배후 해커(State-sponsored Hacker)들에게 공격 목표를 알려주는 꼴이 된다.
늦었지만 이제라도 정부와 국회는 대한민국 산업을 사이버 공격으로부터 보호하기 위해 다음과 같은 안보 정책의 전환을 서둘러야 한다.
첫째 징벌 위주의 정책에서 벗어나 ‘면책 기반의 OT 사이버 보안 무상 컨설팅’ 제도를 신설해야 한다. 자체 보안 예산과 인력이 부족한 인프라 시설에 국가 사이버 보안 전문가를 투입하되 진단 과정에서 발견된 취약점에 대해서는 과태료 부과 등의 행정 처분을 면제해 주어야 한다. 규제가 아닌 방어책 설계에 집중하는 실질적인 파트너십을 구축하는 것이 시급하다.
▲ 박성준 한림대 정보과학대학 객원교수 [출처: 본인 제공]
둘째 가칭 ‘산업 사이버 민감 정보’를 보호하기 위한 명확한 법적 근거를 마련해야 한다. 민간 핵심 인프라의 제어망 구조도와 취약점 진단 결과는 국가기밀에 준할 만큼 유출 시 국가 경제를 마비시킬 수 있는 정보다. 정보공개법의 적용을 받지 않도록 예외 조항을 명문화해 민간 기업이 안심하고 정부와 위협 데이터를 공유할 수 있는 제도적 안전장치(Safety Layer)를 마련해야 한다.
셋째 신종 위협에 대비한 ‘실전형 모의훈련’(Tabletop Exercise) 체계를 국가 차원에서 마련해야 한다. 공정 제어 시스템 권한 탈취나 내부 망 침투 등 사이버 침해 발생 시, 시스템 붕괴를 막고 생존을 위한 ‘골든 타임’을 확보할 수 있도록 정부가 표준화된 훈련 템플릿과 시나리오를 선제적으로 개발해 기업 스스로 대응 역량을 내재화하도록 지원해야 한다.
오늘날의 사이버 공격은 단순한 금전 갈취를 넘어 물리적 인프라를 직접 타격하는 형태로 진화했다. 진정한 산업 안보는 사고가 터진 후 경영진을 처벌하는 사후약방문식의 규제로는 달성할 수 없다. 정부가 민간과 신뢰를 구축하고 이들에게 실질적인 사이버 방패를 제공할 때 비로소 국가 전체의 보안 거버넌스와 복원력이 완성된다. 사이버-물리 공간을 아우르는 새로운 안보 패러다임으로의 전환, 행동에 나서야 할 때다.
[글_박성준 한림대 정보과학대학 객원교수/한국사이버안보학회 고문]
국가차원의 모의훈련 체계 도입해 기업 보안 역량 내재화 필요해
[보안뉴스= 박성준 한림대 정보과학대학 객원교수] 최근 발생하고 있는 해커 그룹들의 국가 기반 시설 공격 양상을 보면 사이버 공간의 위협이 물리적 재난으로 전이되는 현상이 뚜렷하게 나타나고 있다.
[출처: 생성형 AI 활용 이미지]
세계적인 IT 강국이자 제조·화학 강국인 대한민국은 네트워크 보안 분야에서 높은 수준을 자랑하지만, 정작 공장의 심장부를 움직이는 ‘산업 제어 시스템’(OT/ICS)의 보안은 심각한 사각지대에 놓여 있다. 만약 해커가 화학 공장의 밸브 압력을 임의로 조작하거나 냉각 시스템을 무력화한다면 이는 단순한 기업의 데이터 유출을 넘어 화재, 폭발, 유독가스 누출 등 인명 피해를 동반하는 ‘사이버-물리적 재난’(Cyber-Physical Disaster)으로 직결된다.
이러한 위협에 대응하는 미국 국토안보부(DHS) 산하 사이버보안 및 인프라 보안국(CISA)의 행보는 우리에게 시사하는 바가 크다. CISA는 위험 화학물질 취급 시설의 보안 강화를 위해 ‘ChemLock’이라는 자발적 무상 지원 프로그램을 운영 중이다. 최근 이 제도를 고도화하기 위해 민간 시설의 네트워크 구조와 취약점 정보를 수집할 수 있는 권한을 연방정부에 요청했다. 여기서 주목할 점은 정부가 민간 기업의 보안 취약점을 상세히 들여다보겠다고 나섰음에도 업계의 반발이 거의 없었다는 것이다.
미국 기업들이 정부를 믿고 보안 내역을 드러낼 수 있는 이면에는 철저한 정보보호 장치인 ‘화학 테러 취약성 정보(CVI)’와 ‘민감한 보안 정보(SSI)’ 제도가 자리 잡고 있기 때문이다. 민간이 정부에 제출한 제어 시스템의 취약점 정보는 정보공개법(FOIA)의 대상에서 원천적으로 배제되며 사법부의 재판 과정에서도 일반 대중에게 공개되지 않도록 보호받는다. 오직 국가의 인증을 받은 소수 인원만이 접근할 수 있고 유출 시에는 엄격한 형벌이 뒤따른다. 즉 국가가 민간의 약점을 무기로 삼지 않고 철저하게 보호해 주겠다는 신뢰를 부여한 것이다.
반면 우리의 현실은 어떠한가. 정보보호관리체계(ISMS)와 같은 IT 망 규제나 화학물질관리법 등에 따른 시설 안전 기준은 촘촘하게 엮여 있지만, 국가 안보의 관점에서 OT 망을 실질적으로 보호하는 제도는 턱없이 부족하다.
가장 큰 문제는 징벌과 단속 중심의 규제 프레임이 기업의 ‘자발적 고백’을 가로막고 있다는 점이다. 중·소규모의 제조 시설이나 화학 공장은 제어망에서 신종 제로데이 취약점이나 랜섬웨어 감염 징후를 발견하더라도 이를 정부에 신속히 알리고 도움을 요청하기를 꺼린다.
취약점을 신고하는 순간 당국의 현장 조사가 수반되고, 이는 곧 보안 조치 미비라는 명목하에 과태료나 행정처분이 부메랑이 되어 돌아올 것이란 우려 때문이다. 게다가 공공기관의 정보 공개를 원칙으로 하는 현행법 체계로 인해 정부가 민간 핵심 인프라의 OT 망 취약점을 외부로 유출이라도 한다면 이는 국가 배후 해커(State-sponsored Hacker)들에게 공격 목표를 알려주는 꼴이 된다.
늦었지만 이제라도 정부와 국회는 대한민국 산업을 사이버 공격으로부터 보호하기 위해 다음과 같은 안보 정책의 전환을 서둘러야 한다.
첫째 징벌 위주의 정책에서 벗어나 ‘면책 기반의 OT 사이버 보안 무상 컨설팅’ 제도를 신설해야 한다. 자체 보안 예산과 인력이 부족한 인프라 시설에 국가 사이버 보안 전문가를 투입하되 진단 과정에서 발견된 취약점에 대해서는 과태료 부과 등의 행정 처분을 면제해 주어야 한다. 규제가 아닌 방어책 설계에 집중하는 실질적인 파트너십을 구축하는 것이 시급하다.
▲ 박성준 한림대 정보과학대학 객원교수 [출처: 본인 제공]
둘째 가칭 ‘산업 사이버 민감 정보’를 보호하기 위한 명확한 법적 근거를 마련해야 한다. 민간 핵심 인프라의 제어망 구조도와 취약점 진단 결과는 국가기밀에 준할 만큼 유출 시 국가 경제를 마비시킬 수 있는 정보다. 정보공개법의 적용을 받지 않도록 예외 조항을 명문화해 민간 기업이 안심하고 정부와 위협 데이터를 공유할 수 있는 제도적 안전장치(Safety Layer)를 마련해야 한다.
셋째 신종 위협에 대비한 ‘실전형 모의훈련’(Tabletop Exercise) 체계를 국가 차원에서 마련해야 한다. 공정 제어 시스템 권한 탈취나 내부 망 침투 등 사이버 침해 발생 시, 시스템 붕괴를 막고 생존을 위한 ‘골든 타임’을 확보할 수 있도록 정부가 표준화된 훈련 템플릿과 시나리오를 선제적으로 개발해 기업 스스로 대응 역량을 내재화하도록 지원해야 한다.
오늘날의 사이버 공격은 단순한 금전 갈취를 넘어 물리적 인프라를 직접 타격하는 형태로 진화했다. 진정한 산업 안보는 사고가 터진 후 경영진을 처벌하는 사후약방문식의 규제로는 달성할 수 없다. 정부가 민간과 신뢰를 구축하고 이들에게 실질적인 사이버 방패를 제공할 때 비로소 국가 전체의 보안 거버넌스와 복원력이 완성된다. 사이버-물리 공간을 아우르는 새로운 안보 패러다임으로의 전환, 행동에 나서야 할 때다.
[글_박성준 한림대 정보과학대학 객원교수/한국사이버안보학회 고문]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.png)
.jpg)
.jpg)
.png)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.png){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
