소개 소개: 현재 위험 프로필의 기초 - "어떻게 여기까지 왔나?"

미국 제조업체는 운영을 위협하고 생산성을 떨어뜨리며 지적 재산과 데이터를 위태롭게 하는 수많은 사이버 보안 문제에 직면해 있습니다. 지난 2년간 제조업은 랜섬웨어 공격의 가장 많은 표적이 된 산업이었으며[1], 2023년 제조업체는 공격당 평균 182만 달러(몸값 지불은 포함하지 않음)를 지출할 것으로 예상됩니다[2].

이러한 사이버 보안 문제와 위험은 제조 운영이 사이버 보안을 염두에 두고 설계되지 않은 다양한 시스템에 의존하는 경우가 많다는 단순한 현실로 인해 더욱 악화됩니다. 이러한 시스템을 개조하는 것은 비용이 많이 들고 복잡할 수 있습니다. 하지만 최신 시스템을 갖춘 제조업체도 위험에서 벗어날 수는 없습니다. 제조 운영에서 기술과 연결성의 급속한 통합은 전례 없는 수준의 혁신과 효율성을 가져왔지만, 사이버 공격 표면을 기하급수적으로 확대하고 새로운 범주의 취약성을 창출하기도 합니다.

사이버 공격의 정교함, 빈도, 대응 비용의 증가도 문제입니다. 사이버 보안 기업 Sophos의 최근 연구에 따르면, 2023년 1월부터 3월 사이에 제조업 응답자의 56%가 랜섬웨어 공격을 경험했습니다.[3] 이 중 데이터가 완전히 암호화되기 전에 공격을 저지한 기업은 4개 중 1개에 불과했으며, 3분의 1 이상이 데이터를 복구하기 위해 몸값을 지불했습니다.[4] 게다가 이러한 공격의 32%에서 사이버 범죄자들은 데이터를 암호화했을 뿐만 아니라 훔치기도 했습니다.[5] 사이버 범죄자들은 데이터를 암호화하는 데 그치지 않았습니다.

다양한 사이버 보안 문제를 해결하기 위해 미국 제조업체는 운영과 데이터를 보호하고 회사를 보호하고 수익성을 높이는 데 도움이 되는 시스템으로 나아가기 위한 총체적인 접근 방식을 채택해야 합니다. 이 백서에서는 먼저 제조업체가 직면한 5가지 주요 사이버 보안 과제를 간략히 설명하고, 이러한 위험을 관리하는 방법을 파악하고, 제조업체가 이러한 문제를 해결할 때 고려해야 할 법적 및 보험적 사항을 설명합니다. 다음으로, 사이버 보안을 비용 중심에서 가치 중심의 수익 중심으로 전환하는 스마트하고 안전한 제조의 새로운 시대를 열 수 있는 새로운 접근 방식을 제안합니다. 마지막 섹션에서는 사이버 보안 문제를 해결하기 위한 민관 파트너십의 힘에 대해 설명합니다.

I. 사이버 보안 과제의 복잡한 지형 탐색하기

운영을 안전하게 보호하고 데이터를 보호하기 위한 총체적인 접근 방식을 구축하려면 제조 운영에 내재된 수많은 사이버 보안 과제를 고려해야 합니다. 특정 제조업체에 고유한 다른 과제의 중요성을 최소화하지 않고 일상적인 5가지 주요 과제를 소개합니다.

1. 산업용 사물 인터넷(IIoT)의 확산

첫 번째 과제는 산업용 사물 인터넷(IIoT)의 채택이 증가하는 데서 비롯됩니다( 아래 그림 A참조). 이러한 IIoT 디바이스와 자동화 시스템은 생산성과 효율성을 향상시키지만, 보안이 미흡한 경우가 많아 사이버 범죄자 및 국가적 공격자의 공격 범위를 넓혀줍니다. 단일 디바이스의 취약점은 연쇄적인 효과를 유발하여 전체 제조 네트워크에 침투하여 운영 중단, 데이터 유출, 심지어 작업자의 신체적 피해까지 초래할 수 있습니다.

그림 A[6]

2. 숙련된 사이버 보안 전문가 부족

제조업 분야의 숙련된 사이버 보안 전문가 부족은 국가 안보 문제로 확대될 수 있는 심각한 기업 문제입니다. 제조업체는 산업 프로세스의 복잡성과 이러한 프로세스를 보호하는 방법을 모두 이해하는 전문가가 필요합니다. 이러한 전문가가 없으면 기업은 다양한 공격 벡터의 희생양이 되어 경제적 손실과 생산성 저하를 초래할 수 있습니다. 국가적 차원에서 공격자들은 미국의 중요한 제조 역량을 마비시키는 데 악용될 수 있는 사이버 취약점을 적극적으로 찾고 있습니다.

3. 공급망 취약성

공급망 취약성은 미국 제조업체와 글로벌 경제에 심각한 위협이 되고 있습니다. 제조 운영을 유지하는 글로벌 공급망 네트워크가 서로 얽혀 있기 때문에 사이버 범죄자들은 공급망에서 가장 취약하고 보안이 취약한 연결 고리를 표적으로 삼아 이를 악용할 수 있습니다. 2023년에는 공급망을 노리는 사이버 공격, 특히 타사 소프트웨어, 하드웨어, 서비스에 대한 공격이 크게 증가했습니다.[7]

사이버 범죄자는 사이버 보안 인프라가 취약한 소규모 조직을 표적으로 삼아 해당 조직이 공급하는 제조업체의 시스템에 접근하여 시스템을 손상시킬 수 있습니다. 공급망의 취약한 고리가 있으면 제품에 악성 코드나 백도어가 유입되거나 전체 네트워크 시스템이 손상될 수 있습니다. 따라서 제조업체는 협력할 외부 파트너를 선택할 때 더욱 신중을 기해야 하며, 이러한 잠재적 파트너가 사용하는 사이버 도구를 조사하기 위해 더욱 엄격한 규정 준수 검증이 필요합니다.

4. IT-OT 격차 해소

또 다른 취약점은 정보 기술(IT)과 운영 기술(OT)의 융합과 서로 다른 보안 문화 간의 잘못된 커뮤니케이션 가능성으로 인해 발생할 수 있습니다. IT는 데이터 무결성과 기밀성에 중점을 두는 반면, OT는 안전과 신뢰성을 강조합니다. 적절한 조정과 소통 없이 이러한 영역을 통합하면 혼란, 잘못된 구성, 사이버 범죄자가 악용할 수 있는 취약점이 발생할 수 있습니다.

5. 끊임없이 진화하는 사이버 위협 환경

사이버 범죄자들은 점점 더 많은 자금과 자원을 확보하고 있으며, 제조업체뿐만 아니라 글로벌 경제를 혼란에 빠뜨리려는 국가들의 지원을 받고 있습니다. 또한 전통적인 멀웨어부터 제로데이 익스플로잇 및 랜섬웨어 공격에 이르기까지 다양한 위협을 사용하고 있습니다. 사이버 범죄자들이 계속해서 진화하고 제조 부문을 표적으로 삼으면서 제조업체는 제조 생산성을 저하시키고 제조업체의 인프라와 직원에게 피해를 주는 더욱 미묘한 공격을 예상해야 합니다. 제조업체는 예방 조치를 채택하고 이 글의 뒷부분에서 설명하는 차세대 보안 방어 아키텍처 및 기타 기술을 구현하여 이러한 공격에 선제적으로 대비해야 합니다.

미국 제조업체는 복잡하고 빠르게 진화하는 사이버 보안 환경에 직면해 있습니다. IIoT의 통합, 공급망 취약성, 숙련된 전문가 부족, IT-OT 융합, 수많은 프로토콜(및 '솔루션'을 제공하는 공급업체)이 모두 이러한 도전에 기여하고 있습니다. 개별 기업은 사이버 보안의 위험과 비용을 부담하지만, 미국 제조업체의 총체적인 위험이 합쳐지면 미국과 글로벌 경제 모두에 심각한 위협이 될 수 있습니다.

II. 오늘날의 사이버 위험 관리

제조업체는 사이버 보안 위험을 완화하기 위해 통합적이고 다각적인 접근 방식을 채택해야 합니다. 이 새로운 접근 방식은 더 빠르게 진화하고, 공격자보다 더 민첩해야 하며, 물리적 프로세스에 대한 검증 가능한 보안을 보장하는 혁신을 도입해야 합니다. 디지털 세계와 물리적 세계가 연결되는 시대에 미국 제조업의 글로벌 경쟁력과 회복력을 보장하기 위해서는 제조 프로세스와 데이터를 보호하는 것이 무엇보다 중요합니다.

제조업체는 보안에 대한 잘못된 인식을 허용해서는 안 됩니다. 예를 들어 '보안 아키텍처'라는 용어는 오해의 소지가 있을 수 있습니다:

• 경계 방어 + 데이터 보안의 결합을 의미합니다;
• 종종 운영 또는 공급망의 제한된 측면에만 적용되는 부적절한 보안 제어를 수반하는 경우가 많습니다;
• 실제 물리적 결과에 대한 고려를 거의 또는 전혀 제공하지 않습니다.
• 규정 준수 요구 사항에만 맞춰져 있는 경우가 많습니다.

현재 효과적인 도구는 이미 많이 존재합니다. 그러나 이러한 도구는 주로 침입자가 네트워크에 액세스하지 못하도록 하는 데 중점을 두고 있으며, 강력한 보안 조치를 구현하여 경계 방어를 수행합니다. 이러한 조치에는 방화벽, 침입 탐지 및 방지 시스템, 보안 액세스 제어, 에어 갭이 포함됩니다. 제조업체는 네트워크에 대한 액세스를 제어함으로써 보안 침해 가능성을 줄일 수 있습니다. 또한 인적 요소가 가장 큰 사이버 보안 위험 요소이므로 직원의 사이버 보안 교육과 인식 제고에 투자하면 위험을 더욱 줄일 수 있습니다. 직원은 사이버 위협에 대한 첫 번째 방어선인 경우가 많으므로 피싱 이메일, 소셜 엔지니어링 시도, 썸 드라이브와 같은 휴대용 디바이스와 관련된 위험을 인식하는 방법을 교육하는 것이 중요합니다.

정기적인 소프트웨어 업데이트는 매우 중요합니다. 이러한 업데이트는 최근에 노출된 알려진 취약점으로부터 보호하는 경우가 많습니다. 최근 사이버 보안 및 인프라 보안국(CISA)은 공동 사이버 보안 권고문을 발표하여 위협 행위자들이 일반적으로 오래된 소프트웨어 취약점을 표적으로 삼는다고 밝혔습니다.[8] 일반적으로 이러한 취약점은 수년 동안 패치가 제공된 오래된 취약점인 경우가 많기 때문입니다. 제조업체들은 오래된 소프트웨어에 사이버 범죄자들이 악용할 수 있는 수천 개의 사이버 취약점이 숨어 있다는 사실을 잘 알고 있습니다. 제조업체는 전체 시스템에서 소프트웨어를 최신 상태로 유지함으로써 공격자의 잠재적 진입 지점을 차단할 수 있습니다. 그러나 패치만으로는 항상 충분하지 않으며, 조직은 지속적인 모니터링을 위해 제안된 탐지 기술을 적용해야 합니다. 경우에 따라 공격자는 업데이트를 리버스 엔지니어링하여 새로운 익스플로잇 변종으로 출시된 패치를 우회하는 방법을 찾을 수 있으므로[9] 조직이 네트워크와 시스템을 지속적으로 모니터링해야 할 필요성이 강조됩니다.

따라서 타사 벤더 및 공급업체와의 협업도 위험을 완화할 수 있습니다. 최근 출범한 제조 정보 공유 및 분석 센터(ISAC)(https://www.mfgisac.org/)는 최신 사이버 위협에 대한 공개 정보를 제공하는 귀중한 출처입니다. ISAC는 제조업체가 자체 시스템을 보호하고 보안을 유지하는 데 도움이 되는 중요한 정보를 제공합니다. 또한 제조업체는 ISAC 정보를 사용하여 공급업체에 더 높은 사이버 보안 표준을 적용하여 공급망 공격의 가능성을 크게 낮출 수 있습니다. 또한 미국은 사이버 보안 제조 혁신 연구소(CyManII)를 비롯한 미국 제조업체의 보안을 담당하는 조직에 자금을 지원했습니다.

또한 제조업체는 사이버에 대한 인식을 유지하고 미국표준기술연구소(NIST), 미국 국방부(DoD), 미국 에너지부(DOE), 국가안보국(NSA), 연방수사국(FBI), CISA 문서 등 다양한 도구와 보안 프레임워크를 숙지해야 합니다. 이러한 기관은 "최신" 사이버 위협과 이를 사전에 완화하는 방법에 대한 정보를 제공합니다. 또한 제조업체는 사고 대응 계획을 수립하고 사고 보고 방법 및 대상자를 포함한 대응 방법을 준비해야 합니다.

제조업체는 고급 위협 탐지 및 대응 메커니즘을 배포하여 현재 진행 중인 사이버 보안 전쟁에서 한 발 앞서 나갈 수 있습니다. 예를 들어, 침입 탐지 시스템은 네트워크 트래픽에서 의심스러운 패턴을 지속적으로 모니터링하고 고급 분석 및 머신 러닝을 통해 사이버 공격이 진행 중일 수 있는 이상 징후를 식별할 수 있습니다. 이러한 시스템은 포괄적이고 잘 훈련된 신속한 사고 대응 계획과 결합하여 침해가 의심되는 경우 피해를 더욱 최소화합니다.

안타깝게도 이러한 예방 조치만으로는 제조업체를 보호하기에는 여전히 불충분할 수 있습니다. 근본적인 문제, 즉 보안을 염두에 두고 설계되지 않은 시스템이 사용되었다는 점을 기억하는 것이 중요합니다. 위에서 설명한 '임시방편적' 접근 방식은 보안을 강화하고 사이버 공격으로부터 보호하는 데 도움이 될 수 있지만, 그것만으로는 한계가 있습니다. 제조업체는 미국 제조업체를 보호하고 경제를 유지 및 성장시키며 글로벌 경쟁력을 유지하기 위해 새롭고 혁신적인 전략을 발전시키고 구현해야 합니다.

III. 법적 의미, 의무 및 책임

위에서 설명한 사이버 보안 위험 외에도 제조업체는 잠재적으로 중대한 재정적 및 법적 책임을 포함한 다양한 법적 의무와 영향을 이해해야 합니다.

1. 현행 법률 및 법적 의무

증가하는 사이버 보안 위협에 대응하여 미국은 중요 인프라 보호를 강화하기 위해 다양한 법안과 행정 조치를 도입했습니다. 연방 차원에서 이러한 조치에는 다음이 포함되지만 이에 국한되지 않습니다:

• 2018년 사이버 보안 및 인프라 보안 기관(CISA) 법안: 이 법에 따라 CISA는 중요 인프라 보안을 담당하는 주요 연방 기관으로 설립되었습니다. CISA의 기능과 역할은 다음과 같습니다:
  • 신속한 배포: CISA의 책임에는 지속적인 사이버 위협을 완화하기 위해 영향을 받는 조직에 리소스와 지원을 신속하게 배포하는 것이 포함됩니다.
  • 인시던트 분석: CISA는 보고된 사고를 분석하여 패턴과 추세를 파악하여 새로운 위협에 효과적으로 대응할 수 있는 능력을 향상시킵니다.
  • 위협 인텔리전스 공유: CISA는 기업 간의 효율적인 위협 인텔리전스 공유를 촉진하여 집단적인 사이버 보안 방어 태세를 구축할 것입니다.
• 중요 인프라에 대한 사이버 인시던트 보고법(CIRCIA): 2022년 3월에 법으로 제정된 CIRCIA는 중요 제조 부문을 포함한 중요 인프라 기업이 중대한 사이버 보안 사고와 랜섬웨어 지불을 각각 72시간과 24시간 이내에 CISA에 보고하도록 의무화하고 있습니다. 
• 미국 증권거래위원회(SEC): 2022년 3월, SEC는 상장 기업에 사이버 보안 사고, 사이버 보안 역량, 이사회의 사이버 보안 전문성 및 감독을 보고하도록 요구하는 규칙을 제안했습니다.
• 국방부 연방조달규정 보충서(DFARS): 미 국방부와 계약하는 제조업체는 계약업체에 특정 사이버 보안 요구 사항을 부과하는 DFARS를 준수해야 합니다. 여기에는 통제된 미분류 정보(CUI)를 보호하고 NIST 특별 간행물 800-171 표준을 준수하는 것이 포함됩니다. 이러한 요건을 충족하지 못하면 계약이 해지되고 법적 처벌을 받을 수 있습니다.
• 연방 에너지 규제 위원회(FERC): FERC는 미국의 중요한 에너지 인프라를 보호하기 위해 에너지 부문에 대한 사이버 보안 표준을 수립합니다. 에너지 관련 제조업체와 유틸리티는 FERC 규정을 준수하는 것이 필수적입니다. 규정을 준수하지 않으면 과태료, 라이선스 상실, 에너지 그리드의 신뢰성 손상을 초래할 수 있습니다.

CIRCIA 및 FERC와 같은 법률에서 부과하는 보고 요건을 준수하는 것은 매우 중요합니다. 이러한 요건을 충족하지 못하면 상당한 벌금과 법적 처벌을 받을 수 있습니다. CISA는 2024년 3월까지 대상 기업이 해당 사이버 사고 및 랜섬웨어 지불을 CISA에 보고하도록 요구하는 규정을 개발 및 확정해야 하지만[10] 규칙 제정 기간 동안 적극적인 정보 공유가 권장됩니다. 따라서 중요 제조 부문을 포함하여 CISA에서 정의한 16개 중요 인프라 부문의 기업과 SEC에 등록한 모든 기업은 사고를 해당 당국에 보고하고 해당 규정을 준수할 수 있도록 고려하고 준비해야 합니다.

새로운 주 입법: 콜로라도, 플로리다, 메릴랜드, 뉴욕을 포함한 여러 주에서 중요 인프라 사이버 보안과 관련된 법안을 적극적으로 마련하고 있습니다. 이러한 법안이 아직 통과되지는 않았지만, 법으로 제정되는 것은 시간 문제일 것입니다.[11]

이러한 입법 조치는 정보 공유를 개선하고, 사이버 보안 표준을 개발하고, 민관 협력을 강화하여 중요 인프라를 보호하는 것을 목표로 합니다. 그러나 적용 대상 기업은 사이버 사고 발생에 대비하고 규정 준수를 보장하기 위한 준비를 시작해야 합니다.

2. 잠재적 법적 책임

제조업체는 사이버 보안 사고 발생 시 다양한 법적 책임에 직면하게 되므로 사고 대응의 일환으로 이러한 문제를 고려해야 합니다.

• 데이터 보호법: 사이버 보안 공격이 개인 데이터 유출을 수반하는 경우 제조업체는 데이터 보호법에 따라 책임을 져야 할 수 있습니다. 예를 들어, 제조 회사가 고객 또는 직원 데이터를 포함하여 대량의 개인 데이터를 관리하는 경우 유럽연합의 일반 데이터 보호 규정(GDPR), 캘리포니아 개인정보 보호법(CPRA) 및 미국의 기타 포괄적인 주 데이터 보호법과 같은 데이터 보호법의 적용을 받게 됩니다. 이러한 법률을 준수하지 않을 경우 상당한 규제 벌금과 과태료가 부과될 수 있으며, GDPR에 따라 연간 글로벌 매출의 4% 또는 2천만 유로에 달하는 벌금이 부과될 수 있습니다. 또한 제조업체는 영향을 받은 개인이 제기하는 집단 소송으로 인해 상당한 책임을 져야 할 수도 있습니다. 마찬가지로 CIRCIA와 같은 연방 요건을 준수하지 않으면 제재, 벌금 또는 전면적인 사업 중단을 초래할 수 있습니다.
• 이사 및 임원의 책임: 제조회사의 이사와 임원은 주주에 대한 신탁 의무가 있으며 신탁 의무 위반으로 인해 법적 소송에 직면할 수 있습니다. 예를 들어, 이사 또는 임원의 선관주의 의무는 합리적인 사이버 보안 조치를 이행해야 할 의무로 해석될 수 있습니다. 사이버 보안 공격으로 인해 상당한 재정적 손실이 발생하는 경우 이사와 임원은 주의 의무 위반에 대한 책임을 져야 할 수 있습니다. 마찬가지로 사이버 보안 공격이 공급업체 또는 기타 제3자의 사이버 보안 정책 및 절차를 제대로 조사하고 모니터링하지 않아 발생한 경우 제조업체는 주의 의무 위반으로 인한 잠재적 소송에 직면할 수 있습니다. 또한 주주들은 사이버 보안 위험에 대처하는 데 있어 이사 및 임원의 과실로 인해 재정적 손실이 발생했다고 주장하며 소송을 제기할 수 있습니다.
• 지적 재산(IP)의 영향: 특히 산업 스파이 사건에서 IP 손실 또는 유출과 관련된 사이버 보안 사고는 비용이 많이 드는 법적 책임을 초래할 수 있습니다.
• 계약상 의무: 사이버 보안 공격으로 인해 계약 의무를 이행하지 못하는 경우 제조업체는 계약 위반에 대한 책임을 질 수 있습니다. 계약서에는 필수 데이터 보호 및 사이버 보안과 관련된 조항이 포함되어 있는 경우가 많으며 이러한 계약상 의무를 이행하지 않을 경우 다양한 법적 결과를 초래할 수 있습니다.

3. 사이버 보험 고려 사항

사이버 위협의 증가에 대응하고 증가하는 법적 요건을 준수하는 데는 많은 비용이 소요될 수 있습니다. 사이버 보험은 사이버 위협과 관련된 재정적 위험을 완화하는 데 중요한 역할을 합니다. 제조업체는 사이버 보험의 다양한 측면을 신중하게 고려해야 합니다. 이러한 정책은 일반적으로 두 가지 주요 구성 요소로 이루어집니다:

• 자사 보상: 이 측면은 사이버 사고로 인해 제조업체에 발생한 직접적인 비용을 보상합니다. 여기에는 데이터 유출 대응, 비즈니스 중단 및 데이터 복구 비용에 대한 보상이 포함됩니다. 예를 들어 랜섬웨어 공격으로 인해 운영이 중단되는 경우 비즈니스 중단 보장은 가동 중단 기간 동안의 매출 손실을 보상하는 데 도움이 될 수 있습니다.
• 제3자 보험: 제3자 보험은 사이버 사고로 인해 발생하는 책임 문제를 다룹니다. 여기에는 데이터 유출, 개인정보 침해, 지적 재산 도난으로 인한 소송 방어와 관련된 비용과 같은 법적 비용에 대한 보호가 포함됩니다. 또한 제조업체는 규제 벌금 및 과태료에 대해서도 보장을 받을 수 있습니다.

사이버 보험의 적절한 수준과 범위를 결정하는 것은 포괄적인 위험 평가에서 시작됩니다. 제조업체는 잠재적인 재정적 손실, 법적 책임, 규정 준수 비용, 평판 손상을 평가하여 특정 요구 사항과 위험 허용 범위에 맞게 보험 범위를 적절히 조정해야 합니다.

IV. 사이버 위험에 대한 선제적 대응

진정한 사이버 보안 상태는 비용이 많이 들고 끝없는 '볼트온' 애플리케이션 그 이상을 필요로 합니다. 제조업체는 사이버 및 법률 전문가와 협력하여 다음과 같은 기능을 갖춘 '보안 방어 아키텍처'를 개발해야 합니다:

• 전체 공급망에 걸쳐 디지털 엔지니어링 라이프사이클을 구현합니다;
• 모든 작업, 기계, 사람을 디지털 설계의 '노드'로 간주하여 공급망을 운영과 원활하게 통합합니다;
• 제공하는 사이버-물리적 신원(여권)의 모든 노드를 캡처합니다:
  • 신체적 기능 보장;
  • 보안과 제품 품질 및 에너지/배출 효율(구체화된 에너지)의 연계; 그리고
• 여러 도메인으로 확장할 수 있는 검증 가능한 보안 속성.

제조업체는 보안 방어 아키텍처의 일환으로 모든 공급망이 "자격을 갖추고" "신뢰에 기반"하도록 보장하는 사이버-물리적 패스포트를 개발해야 합니다. 아래 그림 B는 현재의 상황(파란색 삼각형)과 미국 제조업체가 개발 및 배포해야 하는 순차적인 혁신을 보여줍니다. 중요한 것은 이 그림이 사이버 보안, 품질 및 무결성, 생산성, 에너지 효율성, 탈탄소화라는 세 가지 측면에서의 발전을 어떻게 구상하고 있는지를 잘 보여주고 있다는 점입니다.

따라서 사이버 보안을 비용 센터에서 수익 센터로 전환하는 통합적이고 과감한 접근 방식이 필요합니다 . 사이버 보안 투자로 인한 수익은 (1) 제품의 무결성과 품질을 검증하여 판매 우위를 확보하고 (2) 시설 및 공급망 네트워크 수준에서 에너지 효율과 배출량 감소를 최적화하는 방식으로 환원됩니다. 사이버 보안은 검증 가능한 결과가 없는 끝없는 투자에서 물리적 프로세스와 제품에 대한 검증 가능한 보안을 보장하는 동시에 품질과 무결성을 높이고 에너지 사용량과 배출량을 줄이는 투자 전략으로 변화하고 있습니다.

그림 B

사이버 취약점 탐지 및 완화라는 추가적인 요소를 고려해야 합니다. 빠르게 진화하는 사이버 위협 환경에서 사이버 약점, 열거 및 취약점을 해결하는 것은 사이버 위험을 완화하는 데 매우 중요합니다. 사이버 약점이란 시스템 설계 또는 구현의 결함이나 취약성을 의미합니다. 이러한 약점은 코딩 오류, 잘못된 구성, 부적절한 보안 제어 또는 사람의 실수로 인해 발생할 수 있습니다. 열거는 대상 시스템을 체계적으로 조사하여 아키텍처, 서비스 및 잠재적 진입 지점에 대한 정보를 수집하는 것을 포함합니다. 사이버 취약성은 시스템 보안의 허점을 악용하여 무단 액세스, 운영 중단 또는 데이터 도용에 악용될 수 있는 취약점입니다. 이러한 취약점은 소프트웨어 버그, 오래된 소프트웨어 또는 취약한 인증 메커니즘으로 인해 발생할 수 있습니다.

현재 제조업체는 소프트웨어 업데이트를 통해 사이버 취약점을 '패치'하는 방식으로 취약점을 추적하고 있습니다. 그러나 방대하고 계속 증가하는 취약점 수를 고려할 때 이러한 접근 방식은 너무 비싸고 확장성이 떨어진다고 생각하는 사람들이 많습니다. 대신 제조업체는 포괄적인 사이버 취약점 목록(각 취약점은 수천에서 수백만 개의 취약점을 반영)을 개발하고, 이를 분류하고 열거한 다음, 완화 전략을 안내하는 전용 공격 부록을 개발해야 합니다. MITRE와 같은 조직은 CyManII와 많은 기업의 의견을 수렴하여 포괄적인 사이버 약점 목록을 개발했으며(https://cwe.mitre.org/), CyManII는 미국 제조업체가 전례 없는 규모로 증가하는 약점(및 취약점)을 해결할 수 있도록 제조 공격 부록을 개발하고 있습니다.

또 다른 문제는 현재 중소 제조업체(SMM)의 경우 관리형 보안 서비스 제공업체(MSSP)의 전문성이 부족하다는 점입니다. SMM은 사이버 요구 사항이 적절히 해결되었다고 믿고 보안을 아웃소싱하는 경우가 많지만, 랜섬웨어에 직면했을 때 그렇지 않다는 것을 알게 됩니다. 많은 MSSP는 SMM의 핵심 기능에 대한 능력과 가시성을 과장하는 동시에 인력 부족과 수익성 부족으로 인해 운영 인력을 과소평가합니다. CyManII는 SMM이 단순히 제3자에 의존하기보다는 상호 지원 솔루션과 적절한 툴을 통해 자체 치유를 시도할 것을 권장합니다. CyManII는 침입 시도에 대한 초기의 적절한 대응과 관련된 보안 제어의 올바른 구현과 이를 위한 생성형 AI를 개발하고 있습니다. 이러한 접근 방식을 CWE(공통 취약점 열거)의 전체 범주에 대한 공격 부록과 결합하는 것은 획기적인 일입니다. 우리는 사이버 보안을 다루기 힘든 청소년기에서 성숙 단계로 나아가는 기로에 서 있을지도 모릅니다.

또한 제조업체가 사이버에 대한 인식을 갖춘 인력을 갖춰야 합니다. 이를 위해서는 대규모 교육을 개발하고 구현해야 합니다. CyManII는 대면, 가상 및 온라인으로 제공되는 광범위한 제조 중심의 OT-ICS 커리큘럼을 개발했습니다. 이러한 접근 방식을 사용하고 여러 파트너(SME ToolingU, 사이버 준비 연구소 등)와 협력하여 사이버 보안에 대한 숙련도를 높인 근로자 수가 100만 명에 빠르게 근접하고 있습니다. 이러한 기술을 미국 제조업체에 추가하면 사이버 공격으로 인한 다운타임과 생산 문제를 최소화하면서 사이버 보안을 더욱 강화할 수 있습니다.

V. 제조업의 사이버 위협에 대응하는 민관 파트너십의 힘

제조업은 기술 발전과 사이버 보안 위험의 증가라는 기로에 서 있습니다. 이러한 디지털 시대에 미국 제조업체가 직면한 사이버 위협을 해결하고 완화하는 데 있어 민관 파트너십(PPP)이 강력한 힘으로 부상하고 있으며, 이는 CIRCIA 규정 준수에 있어 매우 중요한 부분입니다. PPP는 정부, 민간 기업, 사이버 보안 전문가 간의 협업, 협력, 계약을 구축합니다. 이러한 시너지는 각 부문의 강점을 활용하여 사이버 위협에 대한 방어력을 총체적으로 강화합니다. PPP는 자원, 지식, 전문성을 모아 시장에 새로운 혁신을 도입하는 포괄적이고 통합적인 전략을 개발합니다.

제조업체는 실시간 위협 정보에 대한 액세스, 모범 사례에 대한 지침, 업계 전반의 표준 구현을 통해 PPP의 이점을 누릴 수 있습니다. 가장 중요한 것은 PPP를 통해 기업이 새로운 사이버 혁신을 연구, 개발, 제조 운영 및 시설에 배포하여 제조업체가 진화하는 취약성으로부터 더 효과적으로 보호할 수 있다는 점입니다.

사이버 보안은 팀 스포츠이며, PPP를 통해 가장 강력한 팀, 즉 "Secure.TOGETHER"가 함께 일할 수 있습니다. 사이버 위협이 운영을 방해하고, 독점 데이터를 손상시키고, 국가 안보에 영향을 미치고, 경제를 위협할 수 있는 이 시대에 PPP는 강력한 방어 메커니즘을 제공합니다. 이러한 PPP는 제조업의 사이버 복원력을 강화하고 디지털 세상에서 지속적인 성장을 보장하는 핵심 요소이므로 공공 및 민간 부문의 통합은 매우 중요합니다.

CyManII에 대한 자세한 정보

미국 에너지부가 2020년에 출범한 CyManII는 제조 업계, 연구 및 학술 기관, 연방 정부 기관과 협력하여 미국 제조 부문의 보안과 성장을 지원하는 기술을 개발합니다. 폴리 앤 라드너는 현재 CyManII의 회원사입니다.

제조업체가 직면한 사이버 보안 위험에 대한 추가 정보는 Foley & Lardner와 CyManII가 공동 집필한 제조 부문의 사이버 보안 위협 관리를 위한 권장 사항에서 확인할 수 있습니다.

작성자

아론 탄틀리프

파트너

---

312.832.4367

알렉스 미사키안

어소시에이트

---

312.832.4389

하워드 그라임스

최고 경영자
사이버 보안 제조 혁신 연구소

---

자세히 보기

[1] "X-Force 위협 인텔리전스 인덱스 2023", IBM Security, 2023년 2월.

[2] "2023년 제조 및 생산 분야의 랜섬웨어 현황", Sophos, 2023년 6월(직원 100~5,000명 규모의 제조업체를 대상으로 14개국에서 실시한 설문조사).

[3] Id.

[4] Id.

[5] Id.

[6] "IoT 채택률의 가속화는 디지털 경제에 도움이 될 것입니다." Delta2020, 2016년 11월 29일. 제공: https://delta2020.com/blog/150-an-accelerating-iot-adoption-rate-will-benefit-the-digital-economy

[7] "2023년 2분기 위협 환경 보고서: 모든 경로가 공급망 침입으로 이어진다", Kroll, 2023.

[8] "CISA, NSA, FBI 및 국제 파트너, 2022년에 가장 일상적으로 악용되는 취약점에 대한 자문 발표", 국가안보국/중앙 보안 서비스, 2023년 8월 3일. 사용 가능: https://www.nsa.gov/Press-Room/Press-Releases-Statements/Press-Release-View/Article/3481350/cisa-nsa-fbi-and-international-partners-issue-advisory-on-the-top-routinely-exp/.

[9] "CVE-2022-1388에 대한 새로운 사실 발견", VulnCheck, 2023년 4월 13일. 제공: https://vulncheck.com/blog/new-cve-2022-1388

[10] CISA는 CIRCIA 제정 후 24개월 이내에 규칙 제정 제안 통지서(NPRM)를 발표해야 하며, 2024년 3월이 NPRM 마감 기한입니다.

[11] "사이버 보안 법안 2022", 전국 주의회 회의, 2022년 7월 22일. 사용 가능: https://www.ncsl.org/technology-and-communication/cybersecurity-legislation-2022

[12] 디지털 엔지니어링 라이프사이클은 디지털 제품 또는 시스템을 개발하고 관리하는 엔드투엔드 프로세스를 의미합니다. 개념화부터 폐기까지 다양한 단계를 포함하며 설계, 시뮬레이션, 프로토타이핑, 테스트, 배포 및 유지 관리와 같은 활동을 포함합니다. 기본적으로 디지털 기술과 도구를 활용하여 기존 엔지니어링 프로세스를 간소화하고 개선하는 포괄적인 프레임워크입니다.