2023. 8. 3. 09:13ㆍIT 트렌드가 한눈에!
제 눈에만 그렇게 보이는 걸까요. 올해 유난히 굵직굵직한 정보 유출 사고들이 매체를 통해 많이 보도되는 느낌입니다. 외부의 해킹 공격뿐만 아니라, 내부자의 악의적인 유출까지 방법도 가지각색입니다. 최근엔 대표적인 온라인 서점이 해킹을 당해 출판계 베스트셀러들이 대거 유출된 사실이 드러났습니다.
동아일보의 보도에 따르면 유출된 책들은 보안 장치인 ‘디지털 저작권 관리(DRM)’ 기술이 적용되지 않았고, 보안이 취약하다는 ‘개방형 자유 전자서적 표준(e-Pub)’ 형식으로 제작된 것으로 밝혀졌습니다. 유출이 확인된 5,000여권에는 국내 유명 출판사의 베스트셀러가 다수 포함돼 있었고, 피해 출판사는 500곳 이상으로 분석됐습니다.
특히나 최근에는 이런 양상들이 많습니다. 하나의 조직이 해킹을 당한다고 해서 피해가 그 조직에만 국한되는 것이 아니죠. 그 조직과 얽혀있는 모든 것들에 영향을 끼칠 수가 있습니다. 그렇기 때문에 요즘 대두되는 문제가 바로 ‘공급망 보안’입니다.
사전적인 의미의 공급망(Supply Chain)은 원재료의 조달에서부터 완제품의 최종 소비에 이르기까지 재화와 서비스 및 정보의 흐름이 이뤄지는 연결망을 말하는데요. 복잡한 공급망의 한 지점만 침투하면 공급망에 연결된 모든 조직을 공격할 수 있기 때문에 대규모의 피해를 야기할 수 있습니다.
최근 공개 SW 활용 비중이 높아지고, SW 공급망의 범위가 전 세계적으로 연결되면서 SW 공급망에 대한 사이버위협이 급격하게 증가되고 있습니다. 이에 국가적 차원의 SW 공급망 보안 체계가 필요하다는 얘기도 지속적으로 강조되고 있죠.
무엇보다 전 산업군 중에서도 특히 최대 규모의 공급망 환경을 갖추고 있는 자동차 산업은 비상이 걸린 상황입니다. 폭발적으로 성장하는 시장 속도에 걸맞는 연구개발(R&D)도 중요하지만, 이제는 확보한 기술을 안전하게 보호하고, 그 기술이 투영된 소중한 자산들까지 잘 지키는 것 역시 그만큼 중요해진 상황입니다.
특히 2차전지 및 배터리 업계도 정보보호 관련 투자액을 늘리고 있습니다. 보유 기술 유출에 대한 대비 필요성이 커지고 있고, 보유하고 있는 특허가 많은 분야다 보니 관련 컴플라이언스도 더욱 강화되는 움직임입니다. 정부 차원에서도 사업기술 유출에 대한 처벌 강화와 재방 방지에 적극적이며, 해당 법률 개정안이 지속적으로 발의돼 조만간 국회를 통과할 것으로 전망되고 있습니다.
국내에서는 국토교통부가 한국교통안전공단과 함께 가이드라인을 제작해 발표하긴 했지만, 아직까지 의무가 아닌 권고에 그치는 수준입니다. 하지만 해당 가이드라인은 자동차 사이버보안의 유일한 기준이자, 세계 기준인 ‘UN Regulation No.155’를 바탕으로 마련됐기 때문에 향후 제정될 국내 기준에 대비해 제조사들의 권고 사항과 승인ᆞ시험기관 등의 역할을 잘 제시하고 있습니다.
정부는 세계 기준에 대한 충분한 검토를 거친 후 향후 법제화가 추진될 경우 국내 기준 반영 여부를 결정할 예정이라고 밝혔습니다. 이미 가이드라인대로 잘 준비하고 있는 기업이라면 법적 의무가 됐을 시에도 큰 문제가 없다는 의미입니다.
자동차 사이버보안 가이드라인에는 자동차 제조사와 자동차 보안전담기관 등에 권고되는 사항을 규정하고 있으며, 자동차 라이프사이클에 참여하는 자동차 부품사, 서비스 제공업체, 협력업체 등도 참고할 만한 내용들이 담겨 있습니다. 특히 전기ᆞ전자적 설계요소가 존재하는 모든 자동차는 비중과 관계없이 사이버공격 대상이 될 수 있기 때문에 보안에 유의해야 하며, 자율주행차 및 통신 연결 기능이 있는 차량은 보안 확보가 필수로 요구되고 있습니다.
자동차 사이버보안 체계 구축은 더 이상 먼 미래의 일이 아닙니다. 제조사는 사이버보안 관리체계(CSMS)를 갖춰야 합니다. 물론 체계 구축의 주체는 자동차 제조사가 돼야 하지만, 그 외의 공급업체와 협력업체 등도 공급망에서 제조사와 함께 관리체계를 관리해야 합니다.
사이버위협은 특정한 때와 장소를 지정해 공격하는 것이 아니라, 기술 발전에 따라 빠르게 변화하고 공격을 시도합니다. 자동차 산업군에 얽혀 있는 기업이라면 개발, 생산, 생산 후 단계 등 차량의 라이프사이클 전반에 걸쳐 사이버보안 관리체계의 적절한 프로세스를 활용해 조치를 취하는 등 사이버위협에 철저하게 대비할 수 있어야 합니다.
만약 이번 포스팅을 자동차 산업군의 보안담당자 분께서 읽고 계신다면, 공급망 보안 전문가인 파수가 준비한 세미나에 초대하고 싶습니다. 오는 8월 30일, 대전에서 개최하며, <자동차 산업의 공급망 보안>과 <자동차 SW 안전성을 높이는 시큐어코딩 전략> 등 인사이트를 드릴 수 있는 자리를 준비했으니, 참석을 희망하신다면 아래 메일로 연락 부탁 드립니다.
hsjang@fasoo.com
자동차 사이버보안 체계 구축! 공급망 보안은 하루 아침에 완성할 수 없습니다. 빨리 시작할수록 제대로 준비할 수 있습니다. 특히 CAD 설계도면 보안은 파수가 가장 잘하고 있는 거 아시죠? AutoCAD, Cadian, Rhino, Solidworks, I-Deas, NX, ProE, Revit 등 대부분의 CAD 애플리케이션을 지원하는 국내 유일 신기술을 보유하고 있습니다.
공급망 보안을 파수하십시오!
'IT 트렌드가 한눈에!' 카테고리의 다른 글
| 제조업 보안 비상, 2023 상반기 주요 사이버위협 동향 분석 (0) | 2023.08.17 |
|---|---|
| 업무 활용도 TOP 5 생성형 AI와 활용을 위한 준비사항 (0) | 2023.08.09 |
| ISMS, ISMS-P 인증 의무대상 기업은? 누구에게, 어떻게 해야할까? (0) | 2023.07.28 |
| 생성형 AI, LLM, 머신러닝, 딥러닝, 자연어처리··· AI 관련 용어 정리 (0) | 2023.07.27 |
| 제로트러스트 가이드라인 공개…경계 보안 약점 극복하는 전환점 (0) | 2023.07.19 |