회복력을 설명하자면 사고를 예측하고, 식별하고, 대응하고, 흡수하고, 회복하는 능력이라고 할 수 있습니다. 이미 사람들에게 긍정적인 개념으로 잘 알려져 있지만, 사회와 경제의 기능에 필수적인 서비스와 자원을 제공하는 조직의 경우에는 법률에 의해 필수로 갖추어야 하는 특성이기도 합니다. 이번 기사에서는 핵심 기반 시설 기관의 운영 및 전체 가치 사슬이 회복력을 갖추어야 하는 이유를 살펴봅니다.
조직은 수만 가지의 이유로 운영이 중단될 수 있고 실제로 그 수가 매일 증가하고 있습니다.
랜섬웨어의 "상업화"로 인해 사이버 공격이 확산되는 것은 그러한 예시 중 하나입니다. 그러나 모든 잠재적 중단이 범죄적 의도에서 비롯되는 것은 아닙니다. 운영 중단의 가장 일반적인 원인은 인적 오류와 사고입니다.
원자재 부족과 글로벌 공급망의 중단 또한 즉각적인 영향을 미칠 수 있습니다. 우리 모두가 2021년에 Ever Given 화물선이 수에즈 운하에 6일 동안 가로막으면서 일어난 혼란을 기억합니다. 이처럼 운영 중단을 유발할 수 있는 요인에는 주요 장비와 프로세스의 고장에서부터 지리적 분쟁, 무역 전쟁 등에 이르기까지 광범위합니다.
따라서 모든 조직들에게 회복력이 우선 과제가 되었습니다. 그러나 국가의 핵심 기반 시설을 제공하는 조직의 경우, 회복력은 우선 과제가 아닌 '규제의 필수 사항'이 되었습니다.
이러한 이유로 회복력의 대상이 "핵심 기반 시설"에서 "핵심 기반 시설 기관"으로 확대되었는데, 여기에는 소규모이더라도 국가의 경제적 또는 사회적 복지의 중심으로 정의되는 산업을 지원하는 모든 조직이 포함됩니다.
핵심 기반 시설 기관에 대한 규제 요구 증가
유럽에서는 사이버 보안에 중점을 둔 NIS2 지침과 더 광범위한 핵심 기반 시설 기관의 회복력 지침(Critical Entity Resilience Directive, CER)을 EU 회원국에서 법으로 채택하고 있습니다. 이 두 가지 모두 "핵심 기반 시설 기관"으로 정의된 조직에 상당한 부담을 요구합니다. 여기서 핵심 기반 시설 기관이란 핵심 사회 기능을 유지하고 경제를 지원하며 공중 보건 및 안전을 보장하고 환경을 보존하는 데 필수적인 서비스를 제공하는 데 어떤 방식으로든 관여하는 조직을 말합니다.
두 규제는 서로 깊이 연결되어 있습니다. 두 규제가 같은 목록의 핵심 기반 시설 기관에 영향을 미치는 경우는 이번이 처음입니다. 이뿐만 아니라 이 법률은 이러한 조직의 전체 공급망에도 적용되어 규제가 영향을 미치는 범위를 넓힙니다.
"회복력"의 정의 (및 입증)
유럽위원회의 CER 지침은 회복력을 "사고를 예방, 보호, 대응, 저항, 완화, 흡수, 수용 및 복구하는 핵심 기반 시설 기관의 능력"으로 정의합니다.
이러한 정의는 규제 요건의 범위를 강조하는 것입니다. 또한, 잠재적인 운영 중단 원인의 다양성과 수를 고려할뿐만 아니라 공급망이 이러한 회복력 정의를 충족해야 한다는 필요성을 감안한다면 과제의 규모가 더욱 명확해집니다.
기본적으로 핵심 기반 시설 기관은 노출될 수 있는 모든 잠재적 리스크를 포괄적으로 이해하고 있음을 입증해야 합니다. 그 리스크는 인프라를 향한 물리적 공격부터 주요 기계 또는 구성품의 고장에 이르기까지 다양합니다.
리스크 종합 평가 및 보안 침해의 잠재적 비용
핵심 기반 시설 기관은 4년마다 이처럼 변화하는 리스크에 대한 리스크 평가를 수행해야 하며, 다시 한번 필수 서비스를 제공하는 데 방해가 될 수 있는 모든 관련 리스크를 평가해야 합니다.
이에 따라 핵심 기반 시설 기관이 직접 수행하는 리스크 평가는 자체 공급망이 회복력에서 어떤 역할을 하는지 조명하게 됩니다. 또한 리스크 평가는 "낙수 효과"를 일으킵니다. 핵심 기반 시설 기관이 회복력과 관련된 규정 요구사항을 충족하기 위해서는 하위 공급업체가 그에 견주는 접근 방식을 입증해야 하기 때문입니다.
필수 서비스 제공을 중단시키는 사고가 발생하는 경우, 핵심 기반 시설 기관은 사고를 방지하고 대응하며 사고로부터 복구하기 위해 적절한 조치를 취했음을 입증해야 합니다.
만약 해당하는 필수 기관이 규정을 위반하거나 모든 리스크를 적절하게 고려하고 대비하지 못한 것으로 밝혀질 경우 상당한 처벌을 받게 됩니다. NIS2는 최대 1,000만 유로의 벌금 또는 핵심 기반 시설 기관이 속한 모회사 또는 그룹의 이전 회계연도 전 세계 총 연간 매출의 2% 중 더 높은 금액을 부과합니다. CER 위반에 대한 처벌은 개별 국가에 따라 다르지만 NIS2의 규모와 유사할 수 있습니다.
커뮤니케이션의 개방성 역시 규정의 또 다른 요구사항입니다. 모든 사고를 보고해야 하며, 사고의 성격, 대응 및 해결 등에 대해 공개적이고 투명하게 보고해야 합니다. 이와 같은 경험을 통해 다른 조직들이 학습하고 리스크를 완화하기 위해 자체 접근 방식을 수정할 수 있습니다.
네트워크 기술의 회복력 필요성 지원
이처럼 회복력에 대한 필요성을 충족시키기 위해 핵심 기반 시설 기관들은 진보하는 분석 기능과 기존에 구축된 IP 기반 기술(비디오 감시 카메라, 오디오 기기, 접근 제어 솔루션, 인터콤, 환경 센서 등)의 사용을 재고하고 있습니다.
이러한 기술을 사용하면 초기 리스크 평가만이 아니라 회복력 정의를 충족할 수 있습니다. 네트워크 비디오 및 기타 연결된 장치 및 센서에서 생성된 데이터 및 메타데이터 분석을 통해 리스크를 초래할 수 있는 거의 모든 상황에 대한 인식을 구축할 수 있는데, 이는 규제에서 요구하는 회복력의 증거를 제공하는 데 필수적인 요소입니다.
이미지 품질 및 AI 기반 분석이 발전함에 따라 모든 종류의 문제를 미리 보다 정확하게 식별할 수 있는 능력이 크게 향상되었습니다. 올바르게 관리할 경우, 문제를 예측하고 방지하는 데 핵심인 전반적인 인식을 높이는 정보 디지털 스트림이 생성됩니다. 자동화된 경보로 신속한 대응과 효과적인 조치를 취할 수 있어 즉 사고가 발생하기 전에 위협과 잠재적인 문제를 해결할 수 있습니다.
전체 리스크 환경 완화
기존의 보안 사용 사례에서는 비디오 감시가 중추적인 역할을 하는 게 맞지만, 환경을 더 잘 이해하고 분석할 수 있는 능력은 훨씬 더 많은 보건 및 안전, 운영 효율성 사용 사례에 유용합니다.
생산 분야에 투명성을 더하기 위해 비디오, 오디오 및 열 센서 조합을 사용하면 주요 장비 또는 공정과 같은 중요 자산에 문제가 일어나기 전에 경고를 받을 수 있습니다. 이를 통해 잠재적인 고장을 사전에 해결할 수 있으며, 시간의 흐름에 따라 수집한 데이터를 바탕으로 중요 자산의 예측 유지보수를 지원할 수 있습니다.
관련 보건 및 안전 프로세스를 준수하지 못하는 경우도 상당한 리스크가 되는데, 이로 인한 모든 사고는 운영 중단을 초래할 가능성이 있습니다. 네트워크 기술 중 내부 리스크를 완화하는 데 도움을 줄 수 있는 두 가지 예로는 적절한 보건 및 안전 조치를 준수하도록 보장하는 분석과 허가받은 직원만 현장의 제한 구역에 들어갈 수 있는 견고한 접근 제어 기능입니다.
외부로부터의 물리적 공격은 주목을 받는 경우가 많지만, 운영 중단을 유발하는 대부분의 사고는 내부의 조치가 실패하며 일어난 결과입니다. 대개 악의 없는 사고이지만, 때로는 고의적인 경우도 있습니다. 예를 들어, 연구에 따르면 인적 오류가 대다수 사이버 공격의 원인인데, 보건 및 안전사고, 장비 고장 또는 공급망 병목 현상에서도 마찬가지입니다.
사이버 보안, 주목해야 하는 리스크 영역
핵심 기반 시설 기관에서 사용하는 모든 기술은 조직의 전반적인 보안 태도를 지원하고 사이버 공격 리스크를 줄이는 데 도움이 되어야 합니다. 핵심 기반 시설 기관의 운영의 일면을 보호하도록 설계된 장치에는 리스크나 취약점이 없어야 합니다. 장치는 설계적으로 안전해야 하고 수명 기간 동안 최대한 안전하게 유지할 수 있는 프로세스가 수립되어 있어야 하며, 벤더와 핵심 기반 시설 기관은 긴밀한 파트너십을 통해 협력해야 합니다.
이러한 조치는 광범위하고 구체적인 규정에 의해 점차 의무화되고 있습니다. 여기에는 가정용 스마트 스피커부터 데이터 센터의 서버에 이르기까지 네트워크에 직접 또는 간접적으로 연결된 모든 전자기기 장치에 적용되는 유럽 사이버 회복력법(European Cyber Resilience Act)과 더불어 핵심 기반 시설 기관을 보다 구체적으로 다루는 CER 및 NIS2 등이 해당됩니다. 사이버 보안의 투명성을 약속하는 벤더와 협력하는 것이 중요합니다.
회복력, 이제 옵션이 아닌 필수
모든 조직은 회복력을 높이는 데 관심을 가져야 합니다. 운영 중단이 일어나면 단기적으로는 수익성이 영향을 받습니다. 최악의 경우에는 조직의 전체 비즈니스가 위협받습니다. 이로 인한 비용은 직접적 및 간접적이고 유형적이거나 무형적이며 예측 가능하거나 예측 불가능할 수 있습니다. 조직의 명성에 미치는 장기적인 비용은 단기적인 재정적 영향을 훨씬 능가할 수 있습니다.
보건부터 재정, 상수도부터 발전에 이르기는 핵심 기반 시설 기관에 대해 규제 당국 또한 이러한 서비스의 공급이 중단되었을 때 미치는 잠재적 영향의 심각성을 인식하고 있습니다. 수익성이 위협받는 것과 공중 보건이 위협받는 것은 완전히 다른 문제입니다.
새로운 규정은 긍정적으로 받아들여야 하지만 이를 충족하는 데 필요한 노력을 과소평가할 수 없습니다. 주요 인프라 공급망에 속하는 대규모의 핵심 기반 시설 기관과 조직이 여정을 시작했지만 아직 그렇지 못한 조직도 많습니다. 이 규정은 수많은 중소기업에 적용되는데, 그중 많은 조직이 규정을 준수할 수 있는 지식, 전문성 및 역량이 부족할 수 있습니다. 제3자의 전문지식과 기술을 이용할 수도 있지만, 그 수요가 곧 공급을 능가할 수도 있습니다. 이제 조치를 취해야 할 때입니다.
