OT 소프트웨어가 위험 요소인지 확인하는 방법

OT 사이버보안 전략에 정기적인 소프트웨어 및 하드웨어 업데이트가 포함되어 있습니까? 그렇지 않으면 EUR10000000 또는 전 세계 연간 매출의 2 %에 해당하는 벌금¹을 물게 될 수 있습니다.

이유는 간단합니다. 2024년 10월까지 모든 EU 회원국은 EU의 개정된 네트워크 및 정보 보안 지침(NIS2)을 법으로 통과시켜야 합니다. 그리고 새로운 지침은 규칙을 위반한 조직에 대해 EUR10000000 또는 전 세계 연간 매출의 2 %에 해당하는 벌금을 명시하고 있습니다. 이러한 규칙 중 하나는 지침에 해당하는 조직이 다음을 포함하는 사이버보안 정책을 가져야 한다고 명확하게 명시하고 있습니다. 

“…소프트웨어 및 하드웨어 업데이트를 포함한 공통 기준 관행 세트로 구성된 사이버 위생 정책…”

이 업데이트된 지침은 이전보다 더 많은 조직을 대상으로 합니다. 여기에는 통신, 화학, 폐수, 식품 등과 같이 EU의 보안 및 경제 생활에 “필수적”이거나 “중요한” 것으로 간주되는 완전히 새로운 부문이 포함됩니다. NIS2의 7조는 그 어느 때보다 더 많은 조직이 새로운 지침의 영향을 받게 될 것이라는 사실을 더욱 강화합니다. 

“국가 사이버보안 전략에는 특히 이 지침의 적용 범위에서 제외된 중소기업의 사이버 복원력과 사이버 위생 기준 강화가 포함되어야 합니다…”

결론은? EU에서 운영 기술을 운영하는 거의 모든 조직은 지금 NIS2 준비를 시작하거나 위반의 결과를 감수해야 한다는 사실을 인식해야 합니다.  

NIS2에서 소프트웨어 업데이트가 위험한 이유는 무엇입니까? 

운영 기술(OT) 조직은 제조업체이든 인프라 제공업체이든 현장에 수백 대 또는 수천 대의 장비를 보유하고 있는 경우가 많습니다. McKinsey의 최근 보고서에 따르면 일부 에너지 시설에는 최대 30000대의 연결된 장치가 있다고 합니다².

이러한 장치 중 상당수는 가변 주파수 드라이브, 산업용 스위치, 프로그래머블 컨트롤러, 산업용 PC 등과 같은 스마트 커넥티드 구성요소를 포함할 수 있습니다. 이러한 모든 구성요소는 자체 소프트웨어와 하드웨어를 가질 수 있습니다.

상대적으로 작은 생산 환경을 포함한 더 작은 규모의 설치에도 수백 대의 OT 장비가 있을 수 있으며, 이 장비들은 매핑되지 않고 관리되지 않습니다. 이러한 장비 중 하나라도 구식 소프트웨어를 실행하고 있어 데이터 유출, 운영 중단 또는 기타 심각한 문제가 발생한다면, 이는 NIS2 위반 및 그에 따른 벌금이 부과될 수 있습니다.

위험을 완화하고 NIS2의 올바른 측면을 유지하는 방법

구식 소프트웨어로 인한 위험을 완화하는 가장 쉬운 방법은 IT 사이버보안 전문가와 협력하는 것입니다. 이를 위한 최선의 방법은 유지보수 및 업데이트가 포함된 구독 서비스를 이용하는 것입니다.

적절한 유지보수 구독을 통해 다음과 같은 혜택을 누릴 수 있습니다.

• 최신 소프트웨어 및 펌웨어 업데이트에 즉시 액세스하고 푸시 설치를 통해 동적인 OT 사이버보안 위협 환경을 모니터할 수 있습니다. 최신 소프트웨어 및 펌웨어 업데이트에 즉시 액세스하는 것은 보안 패치와 개선 사항이 제공되는 즉시 적용할 수 있도록 하여 매우 중요합니다. 이러한 즉각성은 사이버 공격자가 알려진 취약점을 악용할 수 있는 기회를 크게 줄여줍니다. 푸시 설치는 업데이트 배포를 자동화하여 OT 환경 내 모든 장치가 수동 개입 없이도 최고 수준의 사이버보안 태세를 유지하도록 하여 이 프로세스를 더욱 간소화합니다. 
• 업계 최고의 보안 엔지니어 및 컨설턴트의 지원: OT 시스템의 복잡성과 특수성은 고유한 보안 문제를 해결하기 위한 높은 수준의 전문성을 요구합니다. 업계 최고의 OT 보안 엔지니어 및 컨설턴트에 대한 접근은 조직에 풍부한 지식과 경험을 제공하여 전략적 계획에서 사고 대응에 이르기까지 맞춤형 조언을 제공할 수 있습니다. 이들은 보안 조치가 네트워크 및 정보 보안 지침(NIS2)을 준수할 뿐만 아니라 업계 모범 사례 및 최신 연구와도 일치하도록 보장할 수 있습니다. 이러한 전문가의 지원은 잠재적인 취약성을 식별하고, 완화 전략을 권장하며, 사이버 위협에 대한 OT 환경의 전반적인 사이버 복원력을 강화하는 데 중요한 역할을 할 수 있습니다.
• 모든 장치를 쉽고 빠르게 찾고 보호할 수 있는 도구: 이러한 도구를 사용하면 조직은 OT 자산의 최신 재고를 유지하고, 실시간으로 상태를 모니터하며, 보안 침해를 나타낼 수 있는 불규칙성을 신속하게 식별할 수 있습니다. OT 장치 보안 프로세스를 간소화함으로써 이러한 도구는 운영 효율성을 향상시킬 뿐만 아니라 네트워크 내에서 역할이나 위치에 관계없이 모든 구성요소와 장비가 적절하게 보호되고 있음을 확인합니다. 

NIS2에 대비하려면 적절한 OT/IT 컨설턴트가 네트워크를 감사하여 하드웨어, 펌웨어 또는 소프트웨어 위험을 찾아야 합니다. 그런 다음 이러한 격차를 해소하고 보안 및 규정 준수 작업을 문서화하며 NIS2에 맞게 규정을 준수할 수 있도록 지원합니다. 

Rockwell Automation은 OT 보안, 규정 준수 및 위험 관리 서비스를 제공하는 시장의 선도적인 업체 중 하나입니다. 당사의 전문가, 컨설턴트 및 엔지니어는 NIS2에 대비할 수 있도록 도구, 경험 및 기술을 보유하고 있습니다. 여기에는 규정 준수 정책 및 절차 수립부터 시작하여, 구식 소프트웨어 및 펌웨어를 네트워크 전체에서 신속하게 발견하고 업데이트하는 작업, 그리고 NIS2 규정 준수를 위한 사이버보안 태세 강화 및 문서화 작업에 이르기까지 모든 것이 포함됩니다. 

Rockwell Automation이 소프트웨어 및 펌웨어를 최신 상태로 유지하고 NIS2 준비를 위한 OT 사이버보안 태세 강화의 여러 측면을 해결하는 등 사이버보안 위생을 지원하는 방법에 대해 알아보려면 지금 바로 문의하십시오.

¹https://digital-strategy.ec.europa.eu/en/faqs/directive-measures-high-common-level-cybersecurity-across-union-nis2-directive-faqs

²https://www.mckinsey.com/mgi/overview/in-the-news/by-2025-internet-of-things-applications-could-have-11-trillion-impact