제약회사들은 경쟁력을 향상하기 위해 디지털화를 통한 운영혁신에 나서고 있다. 더 많은 데이터와 더 간단한 제어 아키텍처는 제품 전환에 필요한 시간을 단축해주고 탁월한 운영 성과를 낼 수 있도록 지원하기 때문이다.

또 생산 배치 수를 50% 이상 늘려주고 종이 문서에 의존하지 않는 완전한 디지털화를 가능하게 해주는 현대적인 생산관리시스템(MES)을 활용하는 기업들도 점차 늘고 있다. 위조의약품 방지법과 같은 새로운 규제들로 인해 정보 기반의 연결된 운영을 도입하는 제약회사들이 늘어나면서 이러한 추세는 계속될 것으로 보인다.

허나 제약회사의 디지털화를 논할 때 산업 보안을 빼놓고 얘기할 수 없다. 많은 제약회사들은 더 큰 연결성으로 인해 지적 재산과 민감 정보가 위험에 노출될 것을 우려하고 있으며 외부인들의 개입으로 인해 제품 품질에 영향을 받지는 않을까 우려한다.

이러한 우려는 충분히 근거가 있긴 하지만, 디지털화 계획에 지장을 줄 필요는 없다. 구축된 모범 관행을 따르고 다양한 산업 리소스를 활용한다면 산업 보안 전략을 강화하고 영업 기밀, 운영 및 제품을 보다 효과적으로 보호할 수 있기 때문이다.

◆만병통치 솔루션은 없다?
제약 운영을 모든 위협으로부터 보호해줄 수 있는 단일한 보안 기술이나 기법은 존재하지 않는다.

기업은 은행이 물리적인 자산만 금고에 넣어 보호하는 것이 아니라 고객의 재정 정보 같은 민감 데이터 역시 보호해주길 기대한다. 그렇다면 수백만, 아니 수십억 달러의 가치가 있는 제약 운영도 물리적 자산과 디지털 자산 모두를 보호할 수 있는 다각적인 접근방식을 취해야 하지 않을까?

이것이 바로 심층 방어(defense-in-depth) 보안의 논리적 기반이다. 이 방식은 단일한 방어 지점은 함락될 확률이 높다는 것을 가정하고 다수의 방어 계층을 사용한다. EC62443 표준 시리즈(ISA99)로 권장되는 이러한 보안 접근방식은 6단계로 보호 조치를 구현한다.

- 정책 및 절차
- 물리적
- 네트워크
- 컴퓨터
- 애플리케이션
- 장치

◆제약회사를 위한 처방전
로크웰오토메이션의 '2016 오토메이션 페어(Automation Fair)' 행사에서 짐 라본티(Jim LaBonty) 화이자(Pfizer) 글로벌 엔지니어링의 디렉터는 제약 운영에서의 포괄적인 보안 구현에 대해 발표한 바 있다.

라본티는 이날 행사에서 “화이자가 특수 목적용 방화벽으로 구분된 보안 영역들을 활용해 비즈니스 자산들을 서로 보호하고 있다”며 “화이자가 구형 장비와 새로운 시스템 및 장치들을 구분하고 있으며, 자동화 팀과 IT 팀들간에 명확한 경계선이 그어져야 할 필요가 있다”고 강조했다.

이어 “역할과 책임 소재를 확실하게 구분하는 것이 보안에 효과적이다. 서로 다른 이해관계자들이 대화를 하는 것도 도움이 된다”고 부연했다.

산업 무장해제영역(DMZ)은 제약회사를 위한 또 다른 핵심적인 보안 조치가 될 수 있다. 이는 생산 영역과 엔터프라이즈 영역 간에 경계선을 구축하여 트래픽이 이 두 영역 간을 직접적으로 이동하지 못하도록 하기 때문이다.

인증, 승인 및 책임 분리 소프트웨어는 누가 네트워크에 액세스하고, 네트워크에서 어떤 일을 하는지에 대한 것은 물론, 이러한 조치에 대한 완전한 감사 추적을 제공한다.

◆불안증의 증세?
산업 보안 위협은 기업에 불안과 위축감을 줄 수 있다. 때로는 어디서부터 시작해야 할지도 막연한 경우가 있다. 허나 걱정할 필요는 없다. 기업들이 활용할 수 있는 다양한 리소스가 존재하기 때문이다.

공장 전반에 융합된 이더넷 참조 아키텍처는 보안 위험을 해결하고 미래에 준비된 네트워크 아키텍처를 구축하는데 필요한 지침을 제공한다.

교육 및 인증 코스는 기업의 정보기술(IT) 및 제조운영기술(OT) 담당자들이 네트워크로 연결된 산업 제어 시스템들을 관리 및 운영하는데 필요한 기술을 확보할 수 있도록 지원한다. 보안 서비스는 보안 평가를 수행하고 새로운 기술을 구현하며, 심지어 정기적으로 보안 프로그램의 다양한 측면을 관리하는데도 도움을 준다.

글: 마크 크리스티아노(Mark Cristiano)/네트워크·보안 서비스매니저/로크웰오토메이션