석유 및 가스 회사는 현대 시대의 가장 시급한 사이버 보안 인프라 문제에 직면해 있습니다.Stratus의 O&G 글로벌 책임자인 Corie Allemand는 “이 업계에는 두 가지 유형의 회사가 있습니다.” “해킹을 당한 기업과 해킹을 당했다는 사실을 알고 있는 회사”라고 말합니다.
사이버 공격에 대한 모든 시스템의 취약성은 10년 전의 악명 높은 스턱스넷 해킹부터 최근의 콜로니얼 파이프라인 (Colonial Pipeline) 침해까지 수많은 사례를 통해 검증되었습니다.무수히 많은 사이버 보안 인프라 문제를 해결하는 것은 어려운 과제입니다. 이는 레거시 산업 자동화 아키텍처와 기존 OT 네트워크 내에서는 순식간에 관리가 불가능해질 수 있는 점점 더 엄격해지는 규제 요구 사항으로 인해 더욱 복잡해집니다.Xage Security와 함께 진행한 최근 웨비나에서는 전문가들이 O&G의 사이버 보안 인프라에 대한 새로운 DHS 지침, 운영자에게 미치는 실제 영향, 디지털 전환 여정을 너무 쉽게 만들어 주는 고급 엣지 컴퓨팅 개념에 대해 설명합니다.
여기까지 온 길 — 스턱스넷 웜에서 배운 교훈
10년 전, Stuxnet은 산업 자동화 시스템의 첫 해킹으로 OT 네트워크와 웹 간의 공백에도 불구하고 해커들이 IA 시스템에 액세스 및 제어하고 내부 데이터를 스푸핑할 수 있는 방법을 세상에 알렸습니다.당시에는 이러한 공백 접근 방식이 내부에서만 취약하고 외부에서는 인터넷 액세스가 불가능한 신뢰할 수 있는 네트워크를 만들 수 있다고 믿었습니다.안타깝게도 이 가정은 이보다 더 틀릴 수 없었습니다.
에릭 디 냅과 조엘 토마스 랭길의 2015년 저서 '산업 네트워크 보안'에 따르면, “스턱스넷은 다음과 같은 많은 가정을 입증했다. 산업 사이버 위협 틀렸어요. 그리고 이전에 볼 수 있었던 것보다 훨씬 더 정교한 멀웨어를 사용했어요.”6년이 지난 지금, 석유 및 가스 회사가 디지털화 여정을 더욱 가속화함에 따라 이 진술은 계속해서 사실로 이어지고 있습니다.
스턱스넷 바이러스는 당시 전 세계 OT 전문가들이 의존하던 소위 보호 네트워크로 침투했습니다.한 조직의 환경에 접근하여 범죄 임무를 완수하려는 해커들의 의도에도 불구하고, 그들의 창조는 전 세계를 뒤흔들었고 국가의 핵심 인프라를 하나씩 변화시키고 파괴했습니다.Allemand는 최근 웨비나에서 “이 바이러스는 전 세계로 퍼져 나갔습니다.” 라고 말했습니다. “verbiage 바이러스는 매우 정확합니다.”
Stuxnet은 아무리 월드 와이드 웹에서 멀리 떨어져 있더라도 어떤 네트워크도 신뢰할 수 없다는 것을 업계에 입증했습니다.이러한 인식은 산업 자동화의 방향을 바꾸어 O&G를 포함한 많은 부문의 디지털화를 앞당겼습니다. 이러한 디지털 혁신 여정은 현재 진행 중이며, 조직의 위험 프로파일을 높이고 보안 태세를 강화할 수 있기 때문에 석유 및 가스 회사가 제대로 나아가는 데 특히 중요합니다.
석유 및 가스 회사를 위한 디지털화의 양면
산업 자동화 환경에 더 많은 디지털화를 도입하는 것은 몇 가지 측면에서 매우 어려운 일입니다.엣지 컴퓨팅과 같은 새로운 기술은 의사 결정을 개선하고 운영자와 데이터의 안전을 보호하는 새로운 도구와 기능을 도입하지만 사이버 보안 인프라에 대한 시급한 요구 사항도 제시합니다.Allemand는 “이러한 새로운 기술을 새로운 시스템에 적용할 때 보안을 최우선으로 생각해야 합니다.” 라고 말합니다.
이를 염두에 두고 O&G 조직은 디지털 혁신을 주저해서는 안 됩니다.스트라투스의 전문가인 Rudy de Anda는 최근 웨비나에서 “경쟁력을 갖추려면 데이터를 연결하고 활용해야 한다”고 설명합니다.이를 제대로 구축한 조직은 사이버 보안 인프라를 강화할 뿐만 아니라 시장 점유율을 높이고 비즈니스 목표를 달성하는 이점을 얻을 수 있는 성공 사례는 셀 수 없이 많습니다.Xage와 Stratus의 전문가들이 석유 및 가스 회사가 어떻게 레거시 하드웨어를 폐기 및 교체하지 않고도 규정 준수를 보장하면서 디지털화의 약속을 실현할 수 있는지 밝힙니다.
파이프라인 사이버 보안 인프라를 위한 DHS 가이드라인 내부
7월, DHS는 “반복되는 것을 방지하기 위해 파이프라인에 대한 사이버 보안 지침을 발표했습니다. 콜로니얼 파이프라인 폐쇄 이로 인해 엄청난 연료 부족과 휘발유 구매 공포가 촉발되었습니다.” 라고 워싱턴 포스트는 말합니다.이러한 요구 사항은 해당 분야의 표준화된 사이버 보안 플레이북에 대한 긴급한 필요성에 대한 해답이지만 운영자와 IT 직원 모두에게 부담이 되는 부담스러운 문제이기도 합니다.
Xage와 Stratus 전문가가 웨비나에서 논의하는 DHS 요구 사항 중 일부는 다음과 같습니다.
- 모든 네트워크의 암묵적 신뢰를 방지하는 제로 트러스트 방법론
- 사용자 자격 증명 교체 및 자산 액세스 관리를 위한 완화 조치
- 소프트웨어 업데이트 및 패치를 위한 프로토콜
Xage Security의 영업 및 비즈니스 개발 책임자인 Joe Blazeck은 다음과 같이 말합니다. “우리는 조직이 경계에서 한 번 검증하는 신뢰할 수 있는 네트워크의 개념에서 벗어나 조직이 모든 사용자, 모든 장치, 애플리케이션 및 거래를 지속적으로 검증하는 보안 접근 방식으로 전환하고 있습니다.우리는 기기와 네트워크에 대한 암묵적인 신뢰를 피하고 있으며 최소 권한이라는 새로운 원칙으로 전환하고 있습니다.”
이러한 지침은 당연해 보이지만 현장에서는 골칫거리입니다.대표적인 예로는 파이프라인이 운영되는 지역이 매우 광범위하고 이러한 광대한 지역에 걸쳐 단편적인 방식으로 파이프라인을 패치하는 IT 계약자 그룹이 종종 끊어지기 때문에 계획되지 않은 다운타임이 일상적으로 발생하는 소프트웨어 업데이트를 들 수 있습니다.이러한 컴퓨터 기반 배포는 플랫폼과 소프트웨어 모두에서 간단한 작업처럼 보일 수 있지만 북미 전역에 퍼져 있는 플랫폼을 생각해 보면 이러한 종류의 업데이트가 갖는 문제의 범위를 이해할 수 있습니다.자산 관리 제어와 함께 소프트웨어 패치 적용과 관련된 주요 문제점과 유지해야 할 개인 자격 증명의 수는 오늘날 중요 인프라 보안을 담당하는 운영자에게 몇 가지 골칫거리일 뿐입니다.
Stratus와 Xage는 파이프라인에 대한 DX의 어려움을 덜어주고 판도를 바꿀 가능성을 열어줍니다
적합한 엣지 컴퓨팅 및 사이버 보안 솔루션 제공업체와 함께라면 제로 트러스트 방법론 및 기타 필수 완화 전략을 간단하고 쉽게 구현할 수 있습니다.Blazeck에 따르면 “제로 트러스트의 기본 원칙은 보안 경계 외부 또는 내부에서 작동하는 행위자, 시스템, 네트워크 또는 서비스를 신뢰할 수 없다는 것입니다.대신 이러한 조직은 액세스 권한을 부여하기 전에 모든 시스템에 대한 연결 요청을 모두 확인합니다.제로 트러스트 모델의 보안 도구는 기기와 사용자가 악의적인 의도를 가지고 있다고 가정하고 거의 보안 침해가 이미 발생했다고 가정하는 것을 상상할 수 있습니다.”이것이 실제로 의미하는 바는 관리자가 네트워크의 모든 트랜잭션을 검증하기 위해 성공적인 규칙 세트를 구현하는 방법에 대한 질문에 답해야 한다는 것입니다. 이는 세분화된 일대일 규칙 세트를 사용하는 기존 OT 네트워크에서는 이러한 문제를 순식간에 관리할 수 없게 될 수 있습니다.
이것이 바로 케이지와 스트라투스가 등장하는 곳입니다.Blazeck은 계속해서 이렇게 말합니다. “우리는 이 모든 다양한 요소에 대한 정체성을 구축함으로써 이 문제에 접근합니다.모든 사용자, 기기, 애플리케이션에 대한 ID를 구축하고 이를 데이터 포인트로 확장합니다.그런 다음 방화벽 포트를 열고 닫는 대신 그룹화 및 정책별로 이러한 ID가 서로 상호 작용하는 방식을 제어합니다.사용자이든 사물이든 각 ID에는 고유한 경계가 있으며 모든 ID는 중앙 Xage 시스템에서 관리되는 정책을 기반으로 다른 ID와 상호 작용할 수 있습니다.이러한 ID 중심의 제로 트러스트 접근 방식을 통해 운영자는 모든 원격 엔드포인트와 신뢰할 수 있는 연결을 유지할 수 있습니다.”이는 Xage 솔루션이 제공하는 몇 가지 기능에 불과합니다.Stratus ztC Edge와 같은 내결함성 서버에서 이러한 종류의 최첨단 사이버 보안 소프트웨어를 실행하면 조직이 운영 중단 시에도 안전하게 운영할 수 있습니다.
Xage와 Stratus 솔루션의 장점은 주로 소프트웨어 기반이고 레거시 하드웨어의 최상위에 위치할 수 있기 때문에 보안 감각이 전혀 없는 구형 PLC에 대한 현장 액세스 필터링과 같은 기능을 사용할 수 있다는 것입니다.Allemand는 이렇게 말합니다. “조금 쉽고 간단해 보이지만 디지털화가 약속하는 모든 작업을 수행하여 이를 구현할 수 있습니다.새로운 요구 사항을 충족하기 위해 네트워크를 확장할 때 보안을 포함하여 이러한 무거운 작업을 엣지에서 수행할 수 있는 서버가 엣지에서 실행되고 있습니다.”
안전한 산업용 컴퓨팅 솔루션 채택의 중요성은 아무리 강조해도 지나치지 않습니다.결국 조직이 엣지 컴퓨팅 디바이스의 데이터를 사용하여 더 나은 비즈니스 의사 결정을 내리려면 해당 데이터의 신뢰성, 정확성 및 개인 정보 보호를 보장하는 것이 필수적입니다. 해커는 기존 IA 아키텍처에서 이를 스푸핑하는 경향이 있음이 입증되었습니다.
그러나 디지털 전환 여정이 효율적으로 확보되면 기회는 무궁무진합니다.Stratus 전문가 Rudy de Anda에 따르면, “우리가 발견한 것은 이러한 기술을 배포하고 효율적으로 배포하면 데이터를 활용하는 동시에 보안 상태를 약화시키는 대신 강화하는 매우 강력한 커넥티드 및 엣지 도구를 배포할 수 있는 대역폭을 확보할 수 있다는 것입니다.”
자세히 알아보려면 아래의 전체 웨비나인 석유 및 가스 분야의 DHS 사이버 보안 요구 사항에 대한 실행 가능한 통찰력을 시청하십시오.
