글로벌 사이버보안 기업 카스퍼스키(www.kaspersky.co.kr, 지사장 이효은)는 VDC 리서치(VDC Research)와 공동으로 수행한 산업 부문 사이버보안 환경 조사 보고서인 '목적에 맞는 OT 보안 솔루션 확보(Securing OT with Purpose-built Solutions)'를 6월 30일 발표했다. 이번 조사는 에너지, 유틸리티, 제조, 운송 등 주요 산업을 중심으로 250명 이상의 의사결정자를 대상으로 진행되었으며, 급변하는 산업 사이버 위협 환경 속에서 조직이 직면한 보안 동향과 과제를 집중 조명했다.

보고서에 따르면, 산업 기업 중 7%는 보안 취약점 관리를 ‘필요 시’에만 수행하는 것으로 나타났으며, 이러한 미흡한 대응은 예기치 않은 가동 중단, 생산 손실, 평판 훼손, 재정적 손실 등으로 이어질 수 있는 위험을 초래하고 있는 것으로 분석됐다. 구체적으로, 정기적인 침투 테스트나 취약점 평가를 수행하는 기업은 소수에 불과했다. 응답자 중 27.1%만이 월간 기준으로 평가를 진행했으며, 48.4%는 몇 개월에 한 번, 16.7%는 연 1~2회만 실시하고 있었고, 7.4%는 필요할 때만 대응하고 있었다. 이처럼 불규칙한 취약점 관리는 위협 환경이 갈수록 복잡해지는 가운데 기업을 더욱 취약하게 만들 수 있다는 점에서 주요한 리스크 요인으로 지적됐다.

카스퍼스키는 강력한 사이버보안 전략의 출발점을 자산에 대한 완전한 가시성 확보라고 강조했다. 보호 대상 자산의 정확한 이해는 위험도가 높은 영역의 선별 및 평가로 이어지며, IT와 OT 시스템이 융합되는 현 산업 환경에서는 단순한 자산 목록 이상의 것이 요구된다고 밝혔다. 카스퍼스키는 운영 현실에 맞는 위험 평가 방법론 도입과 명확한 자산 기준 설정을 통해, 물리적 및 사이버 영향 요소를 모두 반영한 실질적 위험 평가 체계를 구축해야 한다고 강조했다.

보고서는 또한 패치 관리 부족 문제에 대해서도 경고했다. 모든 소프트웨어는 본질적으로 버그, 불안전한 코드, 취약점 등의 위험에 노출되어 있으며, 이를 악용한 공격으로부터 기업을 보호하기 위해 효과적인 패치 관리는 필수적이다. 그러나 실제로 많은 기업이 패치 적용을 위해 필요한 운영 중단 시간을 확보하는 데 어려움을 겪고 있으며, 이로 인해 패치 주기가 늘어나 위험 노출이 커지고 있는 것으로 나타났다. 조사 결과, 패치를 월 단위로 적용하는 기업은 31.4%에 불과했고, 46.9%는 몇 개월에 한 번, 12.4%는 연 1~2회만 업데이트하고 있는 것으로 드러났다.

패치 관리의 어려움은 OT 환경의 특성과도 관련이 있다. 보고서는 기기 가시성의 제한, 공급업체의 불규칙한 패치 제공, 고급 전문 기술의 필요성, 규제 준수 문제 등이 패치 적용을 더욱 어렵게 만든다고 분석했다.

IT와 OT 시스템의 통합이 가속화되고 있는 가운데, 보고서는 과거 독점 기술에 의존하던 시스템들을 보다 조화롭게 통합할 필요성이 커지고 있다고 강조했다. 특히 카메라, 스마트 센서, 고급 기후 제어 시스템 등 사물인터넷(IoT) 장비의 증가로 인해 산업 기업의 공격 표면이 더욱 확대되고 있으며, 이에 대응한 강력한 사이버보안 대책이 절실하다는 입장이다.

카스퍼스키는 산업 고객을 위한 독보적이고 강력한 사이버보안 생태계를 제공하고 있다고 밝혔다. 이 생태계는 전문 OT 등급 기술, 전문가 지식, 차별화된 전문성을 유기적으로 통합해 제공한다. 특히 ‘Kaspersky Industrial Cybersecurity(KICS)’는 중요 인프라를 위한 네이티브 XDR(Extended Detection and Response) 플랫폼으로, 중앙 집중식 자산 관리, 위험 관리, 감사 기능을 포함하며, 단일 플랫폼을 통해 분산된 인프라 전반의 보안 확장성을 확보할 수 있다고 설명했다. KICS는 OT 생태계의 핵심 요소로 제시되고 있다.

카스퍼스키는 산업 기업이 새로운 OT 장비나 시스템을 도입할 때 ‘Secure-by-Design’ 이념을 기반으로 한 접근 방식을 채택할 것을 권장했다. 카스퍼스키OS 사업부의 드미트리 루키얀은 “카스퍼스키는 Secure-by-Design 개념을 Cyber Immunity 접근법을 통해 실현하고 있다”라며, “이는 알려지지 않은 취약점을 포함한 다양한 공격에 견딜 수 있는 내구성 있는 제품을 개발하는 것이며, 기존 시스템과는 달리 Cyber Immune 제품은 지속적인 패치나 외부 보안 계층에 의존하지 않아, 보안 유지와 유지보수 간소화, 총 소유 비용 절감이라는 장점을 동시에 제공한다”고 설명했다.

아드리안 히아 카스퍼스키 아시아태평양 지역 총괄사장은 “비즈니스 환경에서 일관성과 연속성은 성과의 핵심이며, 강력한 보안 시스템 구축은 예기치 않은 가동 중단, 장비 손상, 재고 손실 등의 사이버 침해로부터 보호하는 데 필수적이다”라고 강조하며, “기업은 복원력 있는 사이버보안 체계를 통해 디지털 중심 경제에서 경쟁력을 확보해야 한다”고 밝혔다.

이효은 카스퍼스키 한국지사장은 “산업계의 디지털 전환 과정에서 OT 보안은 기업 생존을 좌우하는 핵심 요소가 되었다”며, “여전히 많은 기업이 수동적 대응 모델에 머무르고 있지만, 진정한 해법은 선제적이고 능동적인 Secure-by-Design 시스템 구축에 있다”고 말했다. 그는 이어 “한국 기업들은 지능형 운영과 아키텍처적 복원력을 바탕으로 복잡한 IT와 OT 융합 환경 속에서 산업 사이버보안의 새로운 패러다임을 이끌고 있으며, 기존의 취약점 패치 방식에서 벗어나 전체 수명주기를 포괄하는 전문 OT 보안 솔루션 도입이 필요하다”고 강조했다.

카스퍼스키는 자사의 KasperskyOS 기반 Cyber Immune 제품을 통해 기업들이 추가적인 보안 비용을 최소화하면서도 시스템 복원력을 강화할 수 있다고 밝혔으며, 장기적으로 전체 사이버보안 비용을 절감할 수 있다는 점도 강조했다.

이준문 기자/jun@newstap.co.kr

ⓒ 뉴스탭(https://www.newstap.co.kr) 무단전재 및 재배포금지