가트너가 2025년 이전에 사이버 범죄자가 사람을 해치거나 죽일 수도 있는 무기화된 운영기술(OT) 공격환경을 갖게 된다는 도발적인 예측을 내놨다.

오늘날 사이버공격 기술은 산업 현장의 OT 공격으로 발전한 상황으로, OT 시스템이 공격당해 공장 가동이 중단되는 사고는 그리 낯선 일이 아니다. 성공적인 디지털전환(DT)을 위해 OT와 IT의 통합이 심화되고, 사이버-물리 시스템(CPS)이 확산될수록 사이버공격의 위험성은 높아질 수밖에 없다.  

26일 가트너에 따르면, OT와 CPS에 대한 사이버공격은 기업의 신뢰성과 평판을 저하시키거나 공장 가동 중단과 같은 실질적인 피해, 생산장비 파손 등 상업적 반달리즘 등을 목표로 산업 환경의 무결성을 손상시키는 방향으로 발전하고 있다. 

이와 관련 가트너는 사상자를 초래하는 치명적 CPS 공격으로 인한 손해액이 2023년까지 500억달러 이상에 이를 것으로 전망했다.

만일 사이버공격으로 사망사고가 발생하게 되면, 인명의 가치를 논외로 하더라도 소송·보험·과징금 등 유형적 손실은 물론 기업 평판 하락 등 무형적 손실로 인한 막대한 피해를 피할 수 없다.

가트너의 윔 보스터 수석애널리스트는 “OT 환경에서는 정보도난보다 인간이나 환경에 대한 실질적인 위험에 대해 더 많은 관심을 가져야 한다”고 강조하면서 “가트너 조사에 따르면, 제조·유틸리티 등 자산집약적 산업의 조직들은 적절한 제어 프레임워크를 정의하는 데 어려움을 겪고 있다”고 말했다. 

가트너는 디지털 세계의 사고가 물리적 세계에 미치는 부정적 영향을 방지하기 위해 10가지의 보안 제어 프레임워크를 권고했다.

가트너가 제안하는 OT를 위한 10개 보안 제어 프레임워크는 ▲역할·책임 정의 ▲보안 교육과 사용자 인식 제고 ▲사고 관리 프로세스 구현 및 테스트 ▲백업·복원·재해 복구 ▲휴대형 미디어 관리 ▲최신 자산 인벤토리 유지 ▲적절한 네트워크 분리 설정 ▲로그 수집과 실시간 탐지 구현 ▲보안 구성 프로세스 구축 ▲검증된 정식 패치 프로세스 등이다.