[자료제공=힐셔, 정리 최종윤 기자] 최근 정보기술(IT)과 운용기술(OT) 융합의 증가로 제조환경에서도 IT 보안에 대한 요구가 늘어나고 있다. 힐셔의 토마스 라우흐(Thomas Rauch) 최고 기술 책임자(CTO)는 “기존에 분리돼 있던 IT와 OT 세계의 융합이 점점 더 늘어나고 있다”고 강조했다.
효과적인 생산 프로세스의 보장과 IT와 OT 영역의 긴밀한 통신이 필요하기 때문에 이 둘의 융합은 필수적이다. 최근 다양한 디지털 서비스가 늘어나고 있는 가운데 IT와 OT의 끊김 없는 연결이 생산수준부터 사설 및 공용 클라우드까지 확장되고 있다.
그러나 디지털 트랜스포메이션(transformation)에는 추가적인 위험이 뒤따르기도 한다. 기술의 발전은 이전에는 상상할 수 없었던 새로운 공격 벡터의 출현을 야기시켰고, 필드 장치 보안 조치의 지속적인 최적화와 공급망의 회복 탄력성 강화 작업이 필요하게 됐다.
상호 연결성의 증대 및 추가 디지털화에 대한 수요 증가로 잠재적인 사이버 공격의 범위가 커지고 있는 것이다.
글로벌 보안 과제에 대한 기술적 대응
토마스 라우흐는 CTO는 “최근 기술적 가능성이 보안과제를 새로운 차원으로 끌어올리고 있다”고 강조했다.
그는 “양자컴퓨팅의 경우 현재 우리가 의존하고 있는 복잡한 보안 메커니즘의 파괴도 가능할 것”이라며, “최근 통과된 사이버복원력법(CRA)과 같은 신규 EU 규정은 이 문제의 해결을 위해 기업에서 전체 공급망에 걸쳐 집중적인 리소스를 할당할 것을 요구하고 있다”고 말했다.
이어 그는 기업은 이러한 복잡한 과제의 해결을 위해 차기 양자 암호화의 발전까지 고려하는 첨단기술 솔루션을 채택함으로써 새로운 위협에 대항해 점점 심화하는 경쟁에서 앞서 나가야 한다고 조언했다.
힐셔는 이러한 노력에 앞장서며, 새로운 공격 벡터로부터 보호하도록 특수 설계된 ‘원-스톱 쇼핑(one-stop-shopping)’ 개념의 소프트웨어와 하드웨어 조합 솔루션을 제공한다.
토마스 라우흐 CTO는 “모든 신규 과제에 포괄적인 대응이 가능하며, 새로운 공격 벡터에 대한 마스터키도 보유하고 있다”며, “또 다가오는 미래에는 소프트웨어만으로는 높은 수준의 보안을 보장할 수 없을 것”이라고 말했다.
이어 그는 “우리는 오픈소스 커뮤니티와 각 실시간 이더넷 및 필드버스 협회의 활동 멤버로 해당 전문지식을 솔루션에 통합했다”면서, “협회에 직접 참여함으로써 신규 요구 사항을 완벽하게 이해하고 있다”고 말했다.
또 그는 ODVA의 CIP Security, PI(PROFIBUS & PROFINET International)의 PROFINET Security, OPC UA Security를 예로 들면서, 통신 솔루션 배포 위치의 중요성과 전체 보안 수명주기를 감안해야 한다고 강조했다.
현재와 미래 요구사항의 충족
이미 업계에 도입돼 안정적으로 사용되고 있는 netX 90 칩 제품군은 현재 모든 보안 요구사항을 충족하고 있다.
이 네트워크 프로세서는 IEC 62443 보안 표준과 사이버복원력법(CRA)을 충족하도록 특수 설계돼 산업용 IoT 보안 통신의 견고한 기반을 제공한다.
netX 90의 경우 보안 부팅 메커니즘이 포함돼 있으며, 펌웨어가 애플리케이션에서 서명 가능하기 때문에 악성 소프트웨어의 로드가 불가능하다.
보안문제가 모든 제품영역에서 점점 더 중요해짐에 따라 힐셔는 다양한 통신 프로토콜에 대한 새로운 보안 메커니즘을 포함해 모든 미래 보안 표준의 충족을 목표로 두고 있다.
힐셔는 차세대 netX 900으로 한 단계 더 앞서 나가고 있다. 해당 보안 기가비트 통신 프로세서는 저전력 소비의 고성능 제품으로 다양한 레벨에서 보안 메커니즘을 통합한다.
보안 관리 처리에는 보안 디버그, 고유 ID, 키 관리, 인증서 관리, 수명 주기 관리 및 암호화 엔진과 같은 기능들도 포함돼 있다.
토마스 라우흐 CTO는 “통신 중 즉각적인 보안 기능은 데이터 경로에도 통합돼 있으며, 데이터 전송 속도를 저하시키지 않고 효과적으로 수행한다”며, “netX 900은 암호화 엔진이 있는 자체 보안 프로세서를 갖추고 있다”고 말했다.
차세대 통신 컨트롤러는 하드웨어와 소프트웨어의 최적화된 최상의 조합으로 출시된다고 강조했다.
그는 “스택에 대한 모든 보안 부팅 메커니즘을 통합했으며, 통신 컨트롤러 개발시 모든 세부 요구 사항들을 고려하고 있다”며, “공격 벡터의 경우 이미 ROM 코드 내장형으로 가능하다”고 설명했다.
이어 그는 “우리는 포괄적인 통신 전문업체로서 모든 것을 통제하고 가장 효과적인 수준에서 취약점을 해결할 수 있다”고 첨언했다. 이러한 통합 기술은 현재 표준에 따라 보안을 강화하고 IEC 62443의 요구사항을 충족한다.
netX 900 제품군의 첫 번째 샘플은 SPS2024에서 선보일 예정이다. 힐셔는 탄력적인 공급망도 매우 중요하게 생각한다.
토마스 라우흐 CTO는 “우리는 22나노미터 기술의 반도체 칩을 TSMC에서 공급받고 있다”며, “이 반도체 칩은 곧 독일 드레스덴과 일본에서 제조될 예정인데, 이를 통해 장기적인 공급망 보안이 확보될 예정”이라고 말했다.
규제 요구사항 및 시장 변화
위험이 증가함에 따라 규제 요구사항은 필수적이다. 최근 제정된 유럽 연합의 사이버복원력법(CRA)이 3년의 유예기간을 거쳐 시행될 예정이며, 제조업체의 보안사고 의무 보고와 같은 일부 분야에서 훨씬 일찍 시행된다.
이는 CE 라벨을 받는 데 필수요건이 될 것이다. 영향을 받는 제품의 유통업체들은 CRA 요건을 충족해야 한다. CRA와 최소 5년간의 보안패치 제공의무와 같은 관련 규제요건의 도입은 글로벌 시장에 상당한 영향을 미칠 것이다.
보고 의무에는 24시간 이내에 관련 당국에 문제를 알리는 것이 포함된다. 토마스 라우흐는 산업용 통신에 대한 높은 수준의 요구사항들이 제품 포트폴리오와 시장 통합으로 이어질 것이라고 확신했다.
CRA 준수 로드맵
토마스 라우흐 CTO는 “우리는 이러한 규정을 도전이자 보안 분야의 선봉에 설 수 있는 기회로 여기고 있다”라고 말했다. 힐셔는 CRA 시행에 맞춰 TUV 라인란드(TÜV Rheinland)의 IEC 62443 인증을 받은 프로세스와 제품 확보 계획을 잡고 있다.
힐셔의 경우 특정 수준의 프로세스 성숙도를 설명하는 성숙도 수준 2부터 시작하는데, 특정 수준의 성숙도를 달성하려면 제품을 개발하거나 통합할 때 항상 모든 프로세스 관련 요구사항을 준수해야 한다.
토마스 라우흐 CTO는 “프로세스 인증을 위한 최종 보고서는 SPS 2024 개최 시기에 가능할 것으로 예상된다”고 밝혔다.