사이버 공격은 제조업체가 디지털 전환의 일부로 클라우드, AI 및 사물 인터넷(IoT)과 같은 IT환경의 확장과 비례해 증가하고 있다. 기존 OT와의 IT 융합은 운영 규모, 복원력 및 효율을 높일 수 있지만 사이버 위협에 대한 공격 표면도 증가시키기 때문이다.

글로벌 시장 조사 기관 옴디아(Omdia)가 전 세계 500명 이상의 기술 임원을 대상으로 핵심 운영에서 정보 기술(IT)과 운영 기술(OT) 또는 물리적 시스템의 융합 및 사이버 보안 문제를 관리하는 방법에 대한 설문조사를 실시했다.

통신 및 기술 회사인 텔스트라(Telstra)와 협력해 진행했으며, 글로벌 연구 결과, 제조업체의 80%가 작년에 전체 보안 사고 또는 침해의 상당한 증가를 경험했으나, 사이버 보안에 적절하게 대비한 곳은 45%로 나타났다.

사이버 공격의 영향을 받은 제조업체는 기업 및 회사 시스템 또는 생산 제어에 영향을 미치는 사고가 발생했을 때 가장 큰 타격을 입었다고 답했으며, 복원력 또는 가용성 문제 해결에 기업들은 20만 달러에서 200만 달러의 비용이 들었다고 보고했다.

텔스트라 인터내셔널의 글로벌 엔터프라이즈 비즈니스 책임자인 제럴딘 코(Geraldine Kor)는 “제조 혁신을 위해 첨단 기술을 활용하려면 IT와 OT 간의 연결성이 더욱 강화되어야 하지만 침해 위험이 증가한다.”라며 “그러나 이러한 사이버 위험으로부터 보호하고 방어하는 데 성숙한 기업은 거의 없었다.”라고 전했다.

이어 이번 조사에서 보안 책임이 단편적으로 접근되고 있음을 발견했으며, 이는 제조업체가 명확한 방향 없이 방치되는 상황을 초래할 수 있다고 경고했다. 따라서 보안 책임은 명확하고 통합적으로 정리되어야 하며, 한 그룹이나 개인이 주요 시스템의 보안 과제에 대해 조치를 취할 수 있는 권한을 가져야 한다고 조언했다.

또한 적절한 인력과 보안 중심의 조직 문화를 구축하는 것도 필수적이며, 이러한 요소가 부족하면 보안 태세 준비가 저해되고 기술적 과제가 더욱 심화될 수 있다고 덧붙였다.

한편, 텔스트라 인터내셔널의 글로벌 사이버 보안 책임자인 가네쉬 나라야난(Ganesh Narayanan)은 제조업 및 기타 산업 부문은 전통적으로 보안을 위해 에어 갭에 의존했으며, OT 시스템은 일반적으로 외부 위협으로부터 보호하기 위해 회사 IT 시스템과 분리되었다고 언급했다.

그러나 이러한 접근 방식은 IT-OT 융합이 증가함에 따라 더 이상 지속 가능하지 않으며, 이는 위협 표면을 확장한다. 이에 그는 IT 및 OT 통합은 산업 전반의 조직에 막대한 가치를 창출하지만 조직은 잠재력을 발휘하기 위해 위험을 해결해야 한다고 전했다.

따라서 조직은 협업 및 계획, 전략 정의, 기술 전문성 강화, 책임 및 책무 할당, 적절한 도구 활용, 표준을 통한 준비 가속화의 6가지 핵심 영역에서 IT/OT 및 IoT 보안의 우선순위를 지정해야 한다.

옴디아의 수석 수석 분석가인 아담 에더링턴(Adam Etherington)은 “대부분의 기업은 비용이 많이 드는 중단 및 보안 사고를 겪었으며 기존 보안 제어, 정책 및 문화는 속도를 따라잡기 위해 고군분투하고 있다.”라며 “운영에 영향을 미치는 침해 또는 네트워크 사고로 인한 가동 중단 비용의 규모를 고려할 때 사전 예방적 수정의 원인을 더 잘 이해하는 것이 중요하다.”라고 전했다.