"그간 우리의 운영체제는 디지털 보안에 대해 고민한 적이 없습니다. 해커가 우리의 내부 디지털 프로세스 통제 서스템에 침투했던 적이 여러 번 있었습니다. 우리는 그간 회사의 전체 가치사슬을 통해 가시성을 확보하기 위해 높은 수준의 디지털 통합을 이루었습니다. 즉 우리의 시스템 모두는 전자적으로 연결되어 있습니다. 유전 생산을 자동화하는 것은 그만큼의 노출 수준도 증가시킨다는 것을 의미합니다. 그리고 사이버 취약성은 물리적인 보안 문제로도 연결될 수 있습니다. 최근의 물리적 보안은 디지털 보안에 의해 가동됩니다. 모든 물리적 보안 장치들은 이제 디지털에 의해 제어되고 있습니다. 보안은 이제 전략적 이슈가 되고 있습니다." -미국경쟁력강화위원회 석유산업 담당 임원
쉽게 바꾸어 말하면 아이패드나 갤러시탭으로 컨트롤하는 시대에 진입했을 알 수 있다. 스턱스넷은, 직원들의 업무용 PC를 공격하지는 않는다. 대신 전 세계의 공장에서 사용하는 지멘스의 프로그램으로 변경이 가능한 로직컨트롤러를 관리하는 컴퓨터를 찾아간다.
스턱스넷은 산업공정제어기 접속망을 발견하면 제어기에 부착된 장비에 관한 정보를 수집하고, 제어기 프로그램을 변경하여 알람을 해제할 수 있었다. 이것은 또 이란의 우라늄 농축 원심분리기를 통제하여 핵무기 프로그램에 손상을 입히기 위하여 미국과 이스라엘의 첩보기관이 만들었다는 루머가 돌기도 했다. 이란 정부는 스턱스넷의 침투를 알아채지 못했다.
트리디엄 tridium 의 나이아가라 프레임워크는 세계 50개국 이상에서 1천1백만개가 운영되고 있는 원격시스템으로 전자도어 잠금장치, 조명 시스템, 엘리베이터, 에스컬레이터, 보일러 시스템, 전기장치 컨트롤, 비디오 감시 카메라, 알람 및 기타 시설물 관리시스템에 사용되고 있는데, 다수의 보안전문가들은 이 중 얼마나 스턱스넷에 노출돼 있는지 파악조차 어렵다고 한다.
"악마는 산업장치에 숨어 있다."
스틱스넷, 나이아가라 및 EAS 를 통한 장난 경보 같은 사례는 인터넷상에서 얼마나 중요한 인프라들이 연결되어 있는지를 적나라하게 보여주고 있다. 과거에는 대부분 회사나 기관들이 전용 또는 독점적인 연결망 환경이었기 때문에 산업 및 시설 관련 장치들이 상대적으로 외부 환경으로부터 분리되어 있었다.
그러나 최근에는 산업 기계들도 열린 인터넷 기반의 연결, 그리고 사용하기 쉬운 웹 기반 인터페이스에 대한 의존이 커지고 있어 취약성을 더욱 가중시키고 있다.
첫째, 해커가 침입하면 장치에 접근한 후 시스템 구성을 모니터링하고 기업활동을 중단시킬수 있다. 더 교활하게는 해커가 이러한 주요 시스템, 장치들을 감염시킬 수 있다는 것이다. 따라서 하나의 프린터가 감염되면 네트워크상에있는 모든 컴퓨터를 공격하는 컴퓨터 웜의 호스트가 될 수 있다.
악성코드는 스마트폰 충전장치, 키보드, 컴퓨터 마 우스도 감염시킬 수 있다. 문제는 2015년까지 약 250 억개의 장지들이 인터넷에 연결되는 사물인터넷으로 상황이 변화하고 있다는 것이다.
사이버 공격이 아마존처럼 거대한 공급망에 침투해서 교란과 도난과 파괴하는 상황을 상상해 본적이 있는가? 거의 대부분의 기업들이 정보시스템을 클라우드로 전환하고 있지만 이 또한 완벽하게 안전하다고 공언하는 이는 아무도 없다.
2018년 도요타는 일반직 사원 4천2백명을 대상으로 재택근무를 허용했는데, 이들은 회사에서 지급된 또는 개인의 PC로 외부에서 접속하여 일을 처리하여야 하므로 사이버 리스크 노출이 더욱 많아질 수 밖에 없을 것이다.
도요타 뿐만 아니라 외근 기술서비스 종사자들도 대부분 노트북을 외부에서 접속한다. 택배기사들의 휴대폰엔 시스템과 교신할 수 있는 앱이 설치돼 있고 거의 24시간 접속한다.
"당신이 감염된 장치나 스마트폰을 근무하는 회사로 가지고 오는 경우, 회사의 중요 지적재산은 언제든 유출되거나 해킹당할 수 있습니다." -척 보카트, 조지아텍 연구소 수석연구엔지니어
2016년 7월, 삼성화재 Global Loss Control Center 안정환 연구원은 연구소 매거진 위험관리에 [사이버 리스크 동향과 관련 보험의 필요성] 이라는 제목의 기고에서 다음과 같이 설명한다.
"사이버 손실을 예방하고자 하는 많은 노력에도 불구하고 사이버 리스크로 인한 손실은 지속적으로 증가하는 추세에 있다. 세계적인 보안 업체인 젬알토(Gemalto)는 ‘14년 발생한 데이터 침해 사고가 ‘13년 대비 49%나 증가하였고 분실 또는 손상된 데이터 기록 건수도 78% 증가하였다고 밝혔다. 아울러 보안업체 맥아피(MacAfee)는 사이버 범죄로 인한 경제적 손실이 연간 3,000억 ~ 1조 달러에 이른다고 발표했다. 이는 전세계 자연재해 연간 손해액의 최대 5배에 해당되는 규모다. 이에 따라 기업 및 소비자의 리스크에 대한 인식도 지속 증가하고 있다."
기업을 대상으로 리스크 우려를 조사하는“Allianz Risk Barometer”에 따르면 사이버 리스크는 2013년 15위(6%)에서 2015년 5위(17%)로 순위가 뛰어올랐고 최근 미국에서 조사된 소비자 리스크 인덱스(CRI)에서도 ‘사이버 위협’은 ‘개인의 안전’, ‘자연재해’를 제치고 전년 5위에서 3위로 올라섰다.
최근 삼성, 애플 등 글로벌 IT기업은 독자적 사물인터넷 플랫폼을 공개함으로써 본격적인 사물인터넷 시대를 알렸다. 사물인터넷의 도입이 본격화 되면 인류는 보다 편리한 생활을 누리게 될 것이다.
그러나 다른 한편으로 개인정보 유출, 해킹에 따른 전자제품 이용불가, 해커에 의한 부정 조작 등 잠재적 사이버 리스크에 대한 노출도 확대될 것이다. 인터넷 및 모바일의 발달에 따라 정보기술(IT)과 금융의 융복합도 가속화되고 있다. 핀테크(Fin-tech)가 바로 변화의 핵심이 되는 기술이다.
최근 정부가 핀테크의 육성을 위해 관련 규제를 대폭 완화하면서 2016년은 핀테크 산업 성장의 원년이 될 듯 하다. 그러나 핀테크가 본격화됨에 따라 관련 범죄도 급증할 것으로 예상되는데, 핀테크가 금전이 유통되는 금융업의 중심에 있는 만큼 사이버 범죄가 더욱 기승을 부릴 것이다.
또한 기업휴지(Business Interruption) 및 사이버 갈취(Cyber Extortion)도 관심을 가져야 할 사이버 리스크로 부각되고 있다. 조직의 IT기술에 대한 의존도가 심화됨에 따라 IT중단으로 인한 조직의 업무영향이 급격히 높아지고 있다. 특히 의료, 통신, 제조, 미디어, 물류 등의 분야는 시스템 및 네트워크가 중단될 경우 기업휴지 손실이 매우 심각할 수 있다.
사이버 갈취 또한 빈발하고 있다. 사이버 갈취는 해커들이 기업이나 개인을 협박해 돈을 뜯어내는 사이버 범죄로 기업에 고객정보를 보유하고 있으니 돈을 보내지 않으면 공개하겠다거나, 기업의 핵심서버를 공격하지 않는 조건으로 돈을 요구하는 사례를 들 수 있다.
‘랜섬웨어(Ransom ware)’가 대표적인 사이버 갈취의 한 형태다. ‘15년 4월 국내의 유명 IT 커뮤니티 사이트를 통해 랜섬웨어의 한 종류인 크립토락커(Cryptolocker) 한글버전이 유포되어 많은 피해를 발생시켰다.
당시를 기점으로 국내에서 지속적인 증가세를 보여온 랜섬웨어는 ‘16년에도 지속적으로 피해를 발생시키고 있다.
원문 페이지 링크
http://rm.samsungfire.com/sub31_view.html?method=getBbsView&mng_no=20160701103312&curPage=1&prev_mng_no=&next_mng_no=20160527110054
사이버 보안에 대한 책임을 일선 부서에만 지우는 것은 현명한 생각이 아니다. 이미 많은 부문에서 법령으로 최고경영진에게 책임을 묻는 제도가 시행중이기 때문이다.
사이버 보안에 대한 궁극적인 책임은 조직의 방향과 지배구조를 정하는 최고경영진과 이사회에 있다. 이사회에는 회사가 최대한 보호되고 있다는 것을 확인하는 특별한 책임이 부여된다.
불행히도 대기업의 많은 이사진들은 재무 · 마케팅 · 법률 · 운영에는 많은 경험을 가지고 있고 정통한 반면 첨단 정보통신 기술이나 보안에는 문외한인 경우가 다반사다.
내부감사협회의 2014 년 설문조사 연구보고서에 따르면 감사 임원의 58% 가 이사회는 사이버 보안 이슈에 대해 적극적으로 임해야 한다고 답했으나 실제로는 14% 정도만 이사회의 멤버로서 적극적으로 문제에 관여했다는 결과가 나왔다.
사이버 보안 실패의 문제로 이사들이 법령상 처벌을 받는 것, 또는 이사에 대한 손해배상책임 소송에 피소 되는 것 등은 이미 관행화 되어 있다. 이사회와 경영진의 반성과 성찰이 필요한 시점이다.
리뷰 요시 셰피[무엇이 최고의 기업을 만드는가] 9장 정보의 공급망을 보호하라
댓글 없음:
댓글 쓰기