제조업에미치는사이버리스크의대응방향 - Deloitte 와 MAPI 의사이버리스크연구를바탕으로 딜로이트안진회계법인 Consumer & Industrial Products(C&IP) Industry Industrial Products & Services(IP&S) Sector Leader 홍창식전무 December 2016
제조업에미치는사이버리스크의전망과대응방향 들어가기 제조업을영위하는기업들은변화하는글로벌시장상황에서경쟁하기위하여제품혁신, 제조공정혁신그리고산업생태계상의관계혁신을치열하게추진하고있다. 사업을운영하기위한기술은복잡한글로벌네트워크의형성, 수많은백오피스비즈니스애플리케이션과리스크가높은제조과정을통제하는다양한산업통제시스템 (ICS) 과연관되어있고새로운기술개발을통하여끊임없이진화하고있다. 게다가, 제조업을영위하는기업은글로벌시장에서살아남기위해끊임없이제품혁신, 제조공정혁신그리고산업생태계 (ecosystem) 와의관계혁신을광범위하게추진하고있으며그결과제조업은다음과같은최근경향을반영한기술의변화속도가더빨라지고있다. 지적재산과기하급수적으로발전하는기술에대응하기위한대규모투자 Industry 4.0 과관련된 디지털 제조기회의 탐구와산업생태계의 상호연관성증대 Sensor Technology, Smart Products, 사물인터넷 (IOT) 등을적용 고객서비스와비즈니스효율을추구하기위한애널리틱스의급격한도입 상기의경향을반영한비즈니스와제조기술의급격한변화는제조업을영위하는기업들이향후 10 년간짚고넘어가야할사이버리스크의범위와복잡성에심각한영향을미칠것으로전망된다. 최근제조업, 특히 IP&S(Industrial Products & Services) Sector 에서는첨단제조업에미치는사이버리스크에대한영향에대한논의가대두되었고, 최근 Deloitte 와 MAPI( 미국의생산과혁신을위한제조업자연합 ;The Manufacturers Alliance for Productivity and Innovation, 이하 MAPI) 에의해이루어진엔터프라이즈사이버리스크연구는제조업을영위하는기업이직면하는사이버리스크에대하여많은시사점을제공하고있다. 이러한사이버리스크에대한연구와국내에서사이버보안의주무기관인한국인터넷진흥원의조사결과를토대로제조업이직면하고있는사이버리스크에대해살펴보고자한다. 사이버리스크의내용과기업의인식 사이버리스크란사이버상의사고로인하여기업이부담하게될비용이증가하는것으로볼수있다. 사이버공격의빈도와강도가갈수록높아지고있다는데반박할사람은거의없을것이다. 많은조직이나기업들이사이버사고를경험하고있는데, 이기업들은사이버사고가조직에미치는영향을온전히, 완벽하게파악하고있을까? 보안전문가인데이비드웰던의조사내용을인용하면, 일반적으로데이터유출과관련하여발생하는직접적인비용은 숨겨진비용 에비하면미미한수준이라고할수있으며, 사실 숨겨진비용 은사이버공격이조직비즈니스에미치는전체영향의 90% 에이르기도하는데, 대부분의경우사건이발생하고 2 년이상이지난후부터드러나기시작한다고한다. 2016. For information, contact Deloitte Anjin LLC 2
최근딜로이트어드바이저리 (Deloitte Advisory) 가 사이버공격이표면아래비즈니스에미치는영향을심층분석 한결과, 사이버공격의비즈니스영향은아래와같이 14 가지로분류하고있으며, 이러한영향은다시두가지범주인 표면위 즉, 명확히알려진사고비용과 표면아래 즉, 숨겨지거나잘보이지않는비용으로분류하고있다. 또한현재시장은사이버사고의비용을극히과소평가하고있으며, 비율로는훨씬더작은표면위의잘드러나는영향에만집중하는경향이있다고보고하고있다. 표면위, 명확히알려진사이버사고비용 침해사실고객통보 침해후고객정보 규제기관명령이행 ( 벌금 ) 언론대처, 위기커뮤니케이션 법률비용및소송 사이버보안개선 기술조사 표면아래, 잘보이지않는사이버사고비용 보험료상승 차입을위한비용증가 운영중단 고객관계가치손실 손실된계약수익가치 상표명의평가절하 지적재산 (IP) 손실 딜로이트앤드투쉬 LLP(Deloitte & Touche LLP) 의파트너이자딜로이트어드바이저리사이버위험서비스부문책임자인에밀리모스버그는 " 경영진이잠재적인영향을제대로파악하지못하는이유는비즈니스를원상복구하는데어떤어려움을겪는지에대해일반적으로서로공유하지않기때문 " 이라며 " 그동안사이버공격의영향에관한정확한그림이없었고따라서기업들은필요한위험태세 (risk posture) 를제대로갖추지못하고있고논의는대부분어떤취약점이존재하며기술적인영향은무엇인가에집중하고있다. 그리고침해사실통보, 침해후보호메커니즘이라는극히좁은범위에집중되어있을뿐폭넓은영향은무시되고있는것으로보인다 " 고덧붙였다. 위의모든영향영역중에서가장큰부분은운영중단이다. EMT 컨설팅 (EMT Consulting) 의사장겸수석컨설턴트이며 SIM 사이버보안그룹회원인에릭토마스는 " 각조직마다받는영향은다르지만업종별로공통적인핵심영역이있다. 예를들어소매에서는신용카드데이터가, 의료보건에서는 PIN( 개인식별정보 ) 이가장중요하고, 제조업체는지적재산손실에따른영향이가장크다. 그러나어느조직에서든가장과소평가되는영향이바로비즈니스중단이다 라고지적하고있으며 " 시기와기간에따라다르지만비즈니스중단은금전적피해, 수익감소, 차입비용, 고객서비스, 브랜드인식, 미래기회등에광범위하게영향을미칠수있다 " 고설명하고있다. 2016. For information, contact Deloitte Anjin LLC 3
발표한 2016 아시아태평양국가보안전망보고서 에따르면한국은 IT 기반구축수준에비해보안측면의대응능력과관련된인프라수준이상대적으로하위권으로서사이버공격이라는새로운형태의위기에직면해있음을보여준다. 과연기업들은광범위한영향을미쳐큰비용을부담하게하는사이버리스크가미치는영향을얼마나심각하게인식하고있을까? 관련연구를토대로미국과우리나라의상황을살펴보고자한다. 최근 2016 년 11 월에발간된 Cyber risk in advanced manufacturing 에서 Deloitte 와 MAPI 는미국제조업을영위하는 35 개기업의경영진및산업조직과의인터뷰를수행하였고, 포브스인사이트 (Forbes Insights) 와의협업으로제조업에서확인되어야할사이버리스크에대한온라인서베이 (225 곳응답 ) 를실시하였다. 그결과미국제조업에서사이버리스크에영향을미치는주요사항으로는경영진과이사회수준의인식 (Executive and board level engagement), 사이버보안관련인력문제 (Talent and Human capital), 지적재산 (Intellectual property), 커넥티드제품 (Connected products), 산업통제시스템 (ICS, Industrial control system) 과산업생태계 (Industrial ecosystem) 로요약이될수있는데, 아래표에서와같이조사대상기업임원진의거의 50% 는사이버보안에대한확신을하지못하고있고, 특히 48% 는사이버보안관련기업의예산투자가부족하다고답변을하고있어전반적으로미국에서제조업을영위하는기업의사이버리스크에대한준비상황이나인식이부족함을보여주고있다. < 출처 : Cyber risk in advanced manufacturing, Deloitte> 국내의현황을살펴보면, 2016 년딜로이트컨설팅이발표한 2016 아시아태평양국가보안전망보고서 에따르면한국의사이버리스크점수는 1,000 점만점중 884 점을기록하였으며이는아태지역 18 개국중압도적 1 위에해당하는수치이다. 또한 2 위호주 (582 점 ) 보다 300 점이상높으며, 아태지역평균 (201 점 ) 보다 4 배이상높다. 이는한국이 IT 기반구축수준에비해보안측면의대응능력과관련된인프라수준이상대적으로하위권으로서사이버공격이라는새로운형태의위기에직면해있음을설명하고있다. 2016. For information, contact Deloitte Anjin LLC 4
국내의사이버보안의현실과전망 한국인터넷진흥원은분기별로 사이버위협동향보고서 를발간해국내와글로벌의주요사이버위협을관찰하고있다. 2016 년 11 월 4 일에발간한 2016 년 3 분기사이버위협동향을보면개인정보유출사고, IOT 를사용한 DDOS 공격, 포켓몬고의인기에편승한사이버위협, EMV(Europay-Mastercard-Visa, 유로페이, 마스타카드, 비자카드가공동으로제정한 IC 카드관련국제기술표준 ) 방식의신용카드도입에따른 POS 침해사고, 랜섬웨어가가장사이버보안에위협을주고있는분야이다. 이중개인정보유출사고의예를들면, 국내 I 사의경우, 해당직원및가족의신상정보와사진을이용하고, 말투까지흉내낸이메일을통해악성코드가포함된첨부파일실행을유도하는정교한 APT 공격으로직원의 PC 를감염시켰으며, 그후빠른시간내에일사천리로모든탈취작업을마친것으로알려졌다. 미래창조과학부와방송통신위원회의조사결과허술한논리적망분리가지목됐으며, 공격자들은개인정보가담겨진 DB 서버에접속할때만데이터베이스관리자가해당서버를가상화하는논리적망분리를적용하는것을노려정보를빼낸것이밝혀졌다. 이사례에서보듯이사이버공격자들의공격행태는훨씬더광범위하고정교하게진행되고있는것을알수있다. 한국인터넷진흥원은사이버위협동향등을토대로국내주요 6 개보안업체 ( 안랩, 빛스캔, 이스트소프트, 하우리, 잉카인터넷, NSHC) 와 사이버위협인텔리전스네트워크 를운영하고있으며, 국외주요 6 개보안업체 ( 파이어아이, 포티넷, 인텔시큐리티, 마이크로소프트, 팔로알토네트워크, 시만텍 ) 와 글로벌사이버위협인텔리전스네트워크 를운영함으로써공조체계강화의일환으로인텔리전스구성회원社가공동으로보안위협을선정하여발표하고있는데, 2016 년 12 월 5 일에 2016 년한해동안발생한보안위협을분석하고내년사이버공격위협을전망하는 2017 년 7 대사이버공격전망 을발표했다. 2016. For information, contact Deloitte Anjin LLC 5
우리는사이버리스크를최소화하기위해사이버사고를경계하고사이버사고에탄력적으로대처하여회복할수있도록준비태세를갖춰야할것이다. 이들이꼽은 2017 년 7 대사이버공격전망으로는 산업전반으로번지는한국맞춤형공격 자산관리등공용소프트웨어를통한표적공격 한국어지원등다양한형태의랜섬웨어대량유포 사회기반시설대상사이버테러발생 멀버타이징공격등대규모악성코드감염기법의지능화 악성앱등모바일금융서비스에대한위협증가 좀비화된사물인터넷 (IoT) 기기의무기화등이다. 이중에서주목할만한사항으로는사이버공격이특정산업분야에국한되지않고산업전반적으로번질것으로전망하고있는점이다. 특히, Deloitt 와 MAPI 의조사결과에서는제조업을영위하는기업이금융업이나유통업을영위하는다른산업의기업들보다사이버공격에둔감하고처리능력이전반적으로떨어진다는것을지적하고있다. 결언 2017 년사이버공격전망에서보면산업전반으로번지는맞춤형공격이예상되고있으며특히제조업의경우는사이버공격리스크가점점더커지고있다. 제조업은제품혁신, 제조공정혁신을위하여 IOT 나센서테크놀러지등을적용하는전략을토대로커넥티드제품에대한기술의발전이기하급수적으로이루어지고있는데, 이러한신규기술등을토대로비즈니스상부가가치를창출하고사이버리스크가극심하게활동하는환경에대처해서사이버침해로인한비용을최소화해야한다. Deloitte 와 MAPI 는기업들에게사이버리스크를최소화하기위한조언을 3 가지로요약하고있다. 첫째, 사전대응 (Be secure) 이며이는어떤것이안전한지확인하기위하여산업내사이버리스크표준과규제를준수하면서기존에알려진위협과신규위협으로부터기업을보호할수있는신중하면서도위험중심의접근방법을시행하는것이다. 둘째, 지속적인경계 (Be vigilant) 이며침해사고와이상징후를효율적으로감지하기위한시스템, 애플리케이션과관련자및외부환경의움직임을지속적으로모니터하는것이다. 셋째, 신속한복구 (Be resilient) 이며사이버침해로피해가커지는것을방지하기위해조직적인대비태세를제고시켜사이버사고가비즈니스에미치는영향을최소화할준비를하는것이다. 우리는위의조언을통해사이버사고를경계하고사이버사고에탄력적으로대처하여회복할수있도록준비태세를갖춰야할것이다. 2016. For information, contact Deloitte Anjin LLC 6
Deloitte refers to one or more of Deloitte Touche Tohmatsu Limited, a UK private company limited by guarantee ( DTTL ), its network of member firms, and their related entities. DTTL and each of its member firms are legally separate and independent entities. DTTL (also referred to as Deloitte Global ) does not provide services to clients. Please see www.deloitte.com/kr/about for a more detailed description of DTTL and its member firms. Deloitte provides audit, consulting, financial advisory, risk management, tax and related services to public and private clients spanning multiple industries. With a globally connected network of member firms in more than 150 countries and territories, Deloitte brings world-class capabilities and high-quality service to clients, delivering the insights they need to address their most complex business challenges. Deloitte s more than 220,000 professionals are committed to making an impact that matters.. This communication contains general information only, and none of Deloitte Touche Tohmatsu Limited, its member firms, or their related entities (collectively, the Deloitte network ) is, by means of this communication, rendering professional advice or services. Before making any decision or taking any action that may affect your finances or your business, you should consult a qualified professional adviser. No entity in the Deloitte network shall be responsible for any loss whatsoever sustained by any person who relies on this communication. 2016. For information, contact Deloitte Anjin LLC