산업 보안은 경영 업무이며, 회사를 어떻게 시작할까에 대한 문제입니다.

Simon Nutz, 산업 보안 컨설턴트

"보안? 우리는 우려하지 않습니다!” – 보안에 관해 질문을 받으면 기계 제작업체와 운영업체는 여전히 이런 일반적인 반응을 보입니다.. “우리 IT 부서가 보안을 책임집니다.”라고 이들은 다소 미안한 듯 덧붙입니다. 그러나 실무에서는 IT 부서도 구체적인 지식이 없으며, 이는 자동화 네트워크와 관련된 경우 더욱 그렇습니다. 반면, 설계 엔지니어나 안전 및 보건 관리자(HSE)는 사이버 보안에 어떻게 대비할 것인지 확신을 갖지 못합니다. 그러면 산업 보안에는 어떻게 대비할까요?

기계류 규정(MR)의 적용은 2027년 1월부터 유럽 연합에서 의무사항이 됩니다. 이는 EU에 기계류를 들여오거나 EU에서 기계류를 운영하려는 모든 기업에 적용됩니다. 기계류 규정은 부정 행위에 대비한 보호 조치의 형식으로 산업 보안을 서술합니다. 산업 보안은 따라서 비즈니스에 더욱 중요해지고 있으며 결국 일종의 경영 업무라고 할 수 있습니다. 경영진은 산업 보안이 회사 내에 확실히 자리잡도록 보장해야 합니다.

모든 사람을 테이블로 불러오기
이것이 성공하려면 첫 번째 단계는 관련된 모든 사람을 모으는 것이어야 합니다. 기계 제작업체의 경우, 관련된 사람은 IT와 개발/설계 부서, 그리고 해당될 경우 보안 담당자(예: CISO)를 의미합니다. 사용자의 경우, 관련된 사람은 IT, 생산 기술, 생산 관리, HSE, CISO입니다.
첫 단계는 지식을 구축하고 산업 보안에 대한 일반적인 이해를 촉진하는 것입니다. 즉, 플랜트 및 기계류 산업이 직면한 법적 의무에는 무엇이 있는지를 알아야 합니다. 안전과 보안은 어떻게 서로 연결되어 있을까요? IT 및 OT 인터페이스는 어디에서 서로 만날까요?

두 번째 단계에서는 여러 부문으로 구성된 이러한 팀이 회사를 위한 적절한 전략과 구현 컨셉을 개발합니다. 이 작업은 내부 구조에서 포지션을 찾는 일입니다. 즉, 미래에는 누구에게 책임이 부여되는가를 파악해야 합니다. 귀사의 기계류는 어떤 네트워크 토폴로지를 갖추고 있나요? 이 토폴로지는 새로운 법적 요건에 어떻게 맞아 떨어지나요?

구현은 위험성 평가부터 시작됩니다.
그런 후에만 회사가 산업 보안을 구현할 위치에 놓이게 됩니다. 이 작업은 잠재적으로 피해를 줄 수 있는 사건을 평가하고 수량화하여 보호 요건 분석의 결과를 도출하는 것에서 시작합니다. 네트워킹, 디지털화, AI 등으로 인한 공격 및 무단 조작 가능성과 있을 수 있는 취약점도 이 절차의 일부로 식별됩니다. 중요: 기밀성, 무결성, 가용성 같은 전통적 IT 보호 목표에 더해, 산업 보안의 보호 목표에는 안전, 즉 기계의 기능 안전도 포함됩니다.

보안 위험성 평가가 항상 시작점입니다. 보안 위험성 평가는 보안 취약점으로 인한 위협과 위험을 분석하는 작업입니다. 이는 보안 조치를 지속적으로 모니터링하고 조정해야 함을 의미합니다. 이 과정에는 종종 복잡한 IT 인프라와 네트워크가 관련되며, 여기에는 추가적인 기술 전문성과 리소스가 필요합니다.

보안 및 안전 전문가 구인!
자동화 과정에서 산업 보안을 시작할 때 외부 지원을 원하는 사람이라면 누구든 IT 보안 전문 지식이 제한적인 도움만 제공한다는 사실을 인지해야 합니다. 그 이유는 기계류에 대한 공격 위험을 줄이는 과정(산업 보안)이 기계류에서 유래된 위험을 줄이는 절차(안전)와 매우 유사하기 때문입니다. 산업 보안을 구현하고자 하는 사람은 기계류 안전 전문가여야 하며, 각각의 사양 및 규격, 특히 기계류 규정에 익숙해야 합니다.

법규의 구체적인 구현은 현재 진행형입니다. 일부 지역에서는 조화 규격을 여전히 짜는 중입니다. 기계류 안전 전문기업인 필츠는 관련 규격을 형성하는 데에 긴밀하게 관여하여 적극적인 역할을 수행하고 있습니다. 필츠는 이 전문 지식을 서비스 및 교육의 형태로 고객에게 전달합니다. "산업 보안의 기본" 교육 과정은 초심자를 대상으로 합니다. 교육생은 기계 및 네트워크 보안의 맥락에서 용어와 요구사항에 대해 배우고 사이버 보안에 대해 이해하게 됩니다. 모범 사례는 생산과 관련한 사이버 보안 위험을 이해하는 데 기여합니다.
“국제 공인 자동화 보안 전문가(CESA)” 교육 과정은 산업 자동화 네트워크에서 조직 수준의 효율적인 기술 조치를 구현하는 데 필요한 도구를 제공합니다.

교육 프로그램 외에도 필츠는 “신원 확인 및 접근 관리(I.A.M.)" 포트폴리오를 제공합니다. 이 포트폴리오는 직원 보호, 책임 보호, 생산성 극대화, 데이터 보호 등과 관련된 여러 과제에 대한 적절한 개별 솔루션 및 제품을 제공합니다. 적용 분야에는 예를 들어 사용자 인증, 안전 작동 모드 선택, 데이터 및 네트워크 보안, 접근 관리가 포함됩니다. 이러한 방식으로 안전 및 보안을 단일 시스템에 구현할 수 있습니다.

전 세계 기계 제작업체와 운영업체는 이 문제를 지금 해결해야만 산업 보안의 과제들에 적시에 대비할 수 있습니다. 지식을 구축하고, 책임과 인터페이스를 정의하고, 개별 전략을 개발하는 것이 필요합니다. 이상적으로는 경영진이 이 과정을 개시하는 것이 좋습니다.