커넥티드 엔터프라이즈는 전세계 산업에 엄청난 가치를 제공하고 있다. 스마트제조는 처리량과 효율성을 높이고, 비용을 줄이며, 시기적절한 결정을 내리고, 안전을 향상시키면서, 고객사의 기대를 충족하는 다양한 상황에 적합한 데이터와 정보를 제공하고 있다.

가치 창출을 위해 즉각적인 정보가 필요함에 따라 대다수의 기업들은 시스템에 이상이 발생하기 전, 유지보수가 필요한 시기를 감지하는 스마트장비와 현재의 운영 상태를 분석하고 생산성·안전성을 최적화하는 통합제어 시스템 및 공급망 전반에 걸친 커넥티드 시스템에 투자를 진행하고 있다.

디지털혁신(DT)은 혁명이 아닌 진화이고, 목적지가 아닌 여정이다. 알려진 바로는, 관련 업계의 약 20%의 기업은 DT를 추구하기로 결정을 내리고 신중하게 접근하고 있다. 나머지 기업들 또한 자의적이든, 혹은 타의적이든 이러한 흐름에 맞춰야 하는 것을 알고 있다.

장비의 현대화는 새로운 장비와 연결성을 가져온다. 또 이러한 장비와 기계들은 새로운 위험을 야기할 수 있는 위험요소로도 존재한다. 장비가 현대화되면 커넥티드 장비가 기존의 장비를 대체하게 된다. 장비가 대체되면 제조업체들은 원격으로 성능을 분석하고, 조정·수리 비용을 줄이기 위해 현장의 장비와 연결을 설정할 수 있다.

기업들은 보안·안전 위험을 관리에 주목해야 한다. 특히 기업이 추진하는 DT 과정에 있는 경우 내재적 위험의 관리를 프로세스의 필수 부분으로 계획해야 한다. 커넥티드 엔터프라이즈는 엄청난 가치를 제공하지만, DT의 일부로 관리해야 하는 내재적 위험요소도 존재한다.

새로운 시대에서 안전·보안 위험은 내재적으로 연결되어 있다. 해커들이 물리적 제품이나 자산을 파괴하고 손상시키거나 지적재산(IP)을 훔치기 위해 산업제어시스템(ICS)을 공격하는 사례가 다수 발생되고 있으며, 특히 최근 몇 년간 이 ICS 공격은 급격히 증가하고 있는 추세다.

보안·안전 표준은 유사한 언어를 사용하고 있고 각 언어가 다른 언어에 가하는 위험을 참조하고 있다. 물리적 자산에 영향을 미치는 보안침해는 장비, 작업자와 환경을 쉽게 손상시킬 수 있다.

보안 계획은 기본적인 보안 또는 사이버보안 시스템을 구현하는 것으로 시작된다. 이는, 관리하기 쉽지는 않지만, 궁극적으로는 보안을 유지하는 데 중요한 부분이다. 여기에는 회사 네트워크의 자산, 하드웨어/소프트웨어 인벤토리, 소프트웨어 업데이트·설치 제어, 암호 관리 및 권한 제한, 피싱 작업 식별을 위한 인력교육 등이 포함된다.

보안을 염두에 두고 설계한 장비의 사용, 취약점 식별, 패치 관리, 백업 유지와 같은 부분도 포함된다. 또한 네트워크 설계와 세분화와 노후화된 인프라의 업그레이드도 여기에 포함되어 있다.

이러한 사례의 대부분은 IT업계에서는 오랫동안 존재해 왔지만, OT업계에서는 거의 찾아볼 수 없었던 것이 사실이다. 대부분의 기업들이 IT의 자산목록을 가지고 있지만, 종합적인 컨트롤러·소프트웨어 버전 레벨 목록이나 계획된 유지보수 중에 이를 업데이트하기 위한 프로그램을 보유하고 있는 기업은 극소수다.

일반적으로 엔지니어링은 ICS를 비롯해 전사적으로 우수한 사이버보안 관행을 유지하기 위해 IT와 협력해야 하는 시기에 와 있다. 장비를 현대화하거나 구매하면서 안전·보안 위험을 모두 평가하고 적절히 완화해야 한다.

장비제조업체가 장비에 대한 액세스를 필요로 할 경우 이러한 액세스를 어떻게 제한할 것인가? 또 작업자를 안전한 상태로 배치하지 않으면 장비를 조작할 수 없다는 것을 어떻게 확인할 것인가? 지적재산은 또 어떻게 보호할 것인가?

적절한 사이버보안, 설계, 평가·구현을 통해 생산성, 수익성과 기업 평판에 영향을 미치지 않는 전략이 필요한 시점이다.

글 : 메건 샘포드(Megan Samford) / 보안 솔루션 디렉터 / 로크웰오토메이션