물류 운송(Transportation & Logistics, T&L) 산업에서 디지털 혁신이 확대됨에 따라 업계 전반의 다양한 측면에서 개선이 이루어지고 있다. 이러한 과정은 수익원 확대를 목표로 전례 없는 효율성을 끌어내고 있다.
이는 분명 좋은 점이다. 그러나 디지털화는 물류 운송 기업들이 사이버 공격에 얼마나 취약할 수 있는지 그들의 맹점을 노출했으며, 해양 및 철도, 트럭 운송, 물류 제공업체, 포장 물류 운송업체를 포함한 업계 전면이 영향을 받고 있다. 그리고 그 대가는 높은 비용과 운영상의 차질로 돌아올 수 있으며, 특히 민감한 고객 정보가 유출되었을 때 법적인 책임을 지게 될 수도 있다.
사이버 위협이 증가하는 데에는 다양한 이유가 있다. 우선 운영 기술(operational technology, OT) 사용이 확대되면서 물류 운송 기업의 디지털 생태계와 직접적으로 연결된 새로운 커뮤니케이션 및 무선 채널이 열리게 되었는데, 이는 해킹에 취약하다. 게다가 물류 운송 업계는 뒤떨어진 사이버 규제와 표준, 불충분한 사이버 보안 의식, 사이버 보안 인력 부족에 시달리고 있다.
물류 운송 업계는 뒤떨어진 사이버 규제와 표준, 불충분한 사이버 보안 의식, 사이버 방어 인력 부족에 시달리고 있다.
이전에는 수년에 한 번꼴로 발생하던 물류 운송 산업 대상 사이버 공격은 이제 매달 1~2회 일어나는 추세다. 일부 공격은 그 정도가 두드러진다. 일례로 2021년 5월, 미국 동부 해안 지역 절반 이상에 유류를 공급하는 콜로니얼 파이프라인(Colonial Pipeline)의 전산망이 공격당하며 약 일주일간 운영을 중단한 사건이 발생했다. 콜로니얼 파이프라인은 배상금과 운영 차질로 인한 손실액이 5천만 달러를 넘길 것으로 예측했다. 언론의 주목도는 낮지만, 대형 운송업체를 노린 반복적인 사이버 공격 역시 이메일 및 물류 시스템에 잦은 차질을 빚곤 한다.
해커들은 이에 그치지 않고 지속해서 네트워크에 저장된 데이터를 훔치려고 시도한다. 이러한 데이터는 물류 운송 산업의 현대화와 발전에 필수적이다. 더 효율적이고 매력적인 고객 경험을 제공하는 데 활용될 수 있기 때문이다. 더욱이 네트워크는 주문 자동화, 배송 추적, 계정 정보 접근 등의 디지털 시스템을 개선할 수 있다. 잠재적 가치가 큰 반면, 고객을 대상으로 하는 이러한 개선점에는 온라인 플랫폼과 휴대폰 애플리케이션, 기타 모바일 기기에서 수집한 민감한 정보가 필요하다. 그리고 이러한 정보 수집 소스는 엄격한 사이버 보안 프로토콜의 부재로 보안성이 가장 떨어지는 채널로 여겨진다.
물류 운송 산업에서 발생할 수 있는 잠재적인 사이버 공격이 확장되고 리스크의 성질이 다양해짐에 따라 시스템 침입 비용이 크게 줄어들었다. (보기 1 참조)
시안의 긴급성을 고려하여 BCG는 오늘날 물류 운송 산업이 왜 사이버 공격에 취약한지 알아보기 위해 조사를 진행했다. 또한 기업들이 이러한 리스크를 낮추고 사이버 공격에 대항하여 현실적이고 신뢰할 수 있는 장치를 마련하기 위해 구현할 수 있는 통합 솔루션을 고안했다.
취약점부터 파악하자
사이버 취약점을 기술, 규제, 인력 및 과정의 세 카테고리로 나누어 접근하면 물류 운송 기업이 직면한 딜레마를 가장 쉽게 이해할 수 있다. 더 많은 산업에 영향을 줄 수 있는 부상하는 위협에 대처하려면 이 세 가지 카테고리를 신중히 살펴보아야 한다.
기술
사이버 공격이 증가했다는 사실은 물류 운송 산업 전 분야에서 명백하게 드러난다. 예를 들어, 몇몇 해운 기업은 비교적 단순하고 조난 안전 시스템을 클라우드 기반의 LAN(근거리 통신망) 시스템으로 대체했다. 국제 해양 기구(International Maritime Organization, IMO)의 e-내비게이션 프로그램이 대표적이다. 해운 기업이 사용하는 네트워크는 선박 위치나 화물 상세 정보, 유지보수 문제, 해양 환경의 여러 고려사항 등을 추적하기 위해 계속해서 선내 정보를 수집, 통합 및 분석하므로 해커들에게는 매력적인 타깃이다. (보기 2 참조)
철도 산업 역시 외부 시스템을 이용해 제한된 커뮤니케이션만 가능했던 유선 기반의 열차 종합 제어장치(TCMS)에서 열차와 철도 제어 센터를 연결해주는 비교적 광범위한 네트워크인 GSM-R(GSM Railway)과 같은 무선 표준으로 옮겨가고 있다. (보기 3 참조) 오늘날 다른 모든 모빌리티 업체와 마찬가지로, 물류 운송 기업 역시 인터넷으로 연결되는 커뮤니케이션 기반의 차량 인포테인먼트 서비스 및 기타 장치를 사용한다.
서버와 PC, 모바일 기기 등 내부 IT 툴을 OT 시스템과 연결해주는 이러한 네트워크는 기본적으로 해커가 침입할 수 있는 새로운 경로가 되기도 하지만, OT 공급업체 및 물류 운송 기업이 사이버 공격의 위기감을 느끼지 못하기 때문에 보안에 더 취약해지는 부분도 있다. 어떤 경우에는 원격 접속이나 제어, 문제 해결을 위해 OT 공급업체에서 자체 장비에 잠재적으로 취약한 관리 인터페이스를 넣기도 한다. 더욱이 물류 운송 기업의 컴퓨팅 환경은 대개 엄격한 보안 프로토콜과 호환될 만큼 현대화되어 있지 않다.
우려는 더 있다. 물류 운송 기업들은 개별 OT 벤더와의 관계를 넘어, 공급업체 및 유통업체와 더 효율적이고 기술에 기반한 파트너십을 구축해 가고 있는데, 이는 네트워크 연결 의존도를 높일 수밖에 없다. 이들 파트너사가 유지하는 사이버 보안 프로토콜은 잘 모니터링되지 않기 때문에, 물류 운송 기업들은 자사의 통합 생태계 내 리스크 증가 여부를 알 수 없다.
인력 및 과정
사이버 위협은 계속해서 진화하고 있지만, 사실 인력은 업계 공통으로 가장 취약한 부분 중 하나이다. 직원이 피싱 메일을 구분하지 못한다면 해커의 초기 공격을 쉽게 허용하게 된다. 실제 사이버 침해 발생 건의 절반 이상이 조직 내 프로세스나 직원 역량의 부족, 혹은 사이버 공격 관련 지식 부족으로 일어난다는 점을 고려했을 때, 공격 체인의 첫 단계는 대개 기업이 스스로 자초하는 경우가 많다.
전 세계적으로 사이버 보안 전문 인력 부족이 심해지면서 상황은 더 악화하고 있다. 국제 정보 시스템 보안 인증 컨소시엄(ISC2)에 따르면, 2020년에는 무려 4백만 개의 사이버 전문가 자리가 공석으로 남았다. 고도로 훈련된 사이버 부문 인력 부족 현상은 관련 학위가 생긴 지 대략 10년밖에 되지 않았다는 사실이 부분적으로 기인하기도 한다.
전 세계적으로 사이버 보호 전문 인력 부족이 심해지면서 상황은 더 악화하고 있다.
BCG의 경험에 따르면 산업 내 인력 부족 현상은 특히 아시아 태평양 지역에서 도드라지는데, 사이버 보안 자격증을 소지한 관련 학과 졸업생 및 업계의 숙련된 전문가들은 보통 여행이나 물류 산업을 주요한 커리어 선택지로 고려하지 않기 때문이다. 문제의 원인 일부는 사람들의 인식에 있다. 로봇과 자동화, 데이터 분석, 블록체인, 자율주행 자동차 등의 분야와 비교했을 때, 대부분의 구직자는 물류 운송 산업이 기술적인 마인드를 가진 사람으로서 창의력을 마음껏 펼칠 수 있는 분야라고 생각하지 않는다. 많은 물류 운송 기업은 더 나은 보수를 제안하고 혁신을 추진하는 등 업무를 더 매력적인 기회로 만들기는커녕, 사이버 보안 분야를 그저 엄격한 리소스 예산을 충족해야 하는 코스트 센터(cost center) 정도로만 취급한다.
사이버 보안 리스크를 낮추려면
물류 운송 기업은 OT 및 IT 장비와 프로그램의 사이버 보호 수준을 평가한 뒤, 사이버 보안 강령부터 만들기 시작해야 한다. 그다음 가장 중요하고 취약한 애플리케이션 및 네트워크에 안전장치를 설치하고, 사이버 리스크 관리 및 정량화 프로그램 같은 툴을 사용해 사이버 공격에 노출된 부분을 찾은 뒤 보호 이니셔티브 포트폴리오를 구축할 수 있다. 기업은 보안 위협이 중요 자산에 영향을 미칠 확률과 정도를 우선순위에 두는 리스크 기반의 접근법을 활용해 취약점을 정리해야 한다. 그러고 나서 투입 비용 대비 회복 탄력성을 얼마나 높일 수 있을지에 따라 프로젝트의 순위를 정할 수 있다. 이러한 접근 방식으로 기업은 사이버 보안 투자 예산을 효율적으로 최적화할 수 있다.
위와 같은 예방 조치를 취한 뒤에는 제로 트러스트 아키텍처(zero-trust architecture)와 같은 더 복잡한 사이버 보안 모델을 채택하는 데에 초점을 맞춰야 한다. 이 방법론은 네트워크와 교류하는 모든 기기, 사용자, 혹은 애플리케이션이 잠재 위험 요소가 될 수 있다고 가정한다. 제로 트러스트 전략은 조직 안팎의 연결을 감시하는 엄격한 통제 환경을 제공하는 비무장지대(DMZ) 기술을 사용해, 네트워크를 분리 및 세분화하여 구현할 수 있다. 또한 가능하다면 정보나 자산에 접근 권한을 부여하기 전에, 사용자 및 프로그램, 엔드포인트 기기의 신원을 확인하는 등 동일한 원칙을 사용하여 내부 프로세스를 강화해야 한다.
물류 운송 기업은 내부 사이버 보호 기술을 개선하기 위해 다음 세 가지 조치를 취할 수 있다.
첫째, 사이버 보안을 경시하는 기업 문화에서 탈피하여 사이버 위협과 싸워야 한다는 긴급한 필요성을 먼저 깨닫자. 전사적 차원에서 사이버 보안을 강화해야 한다는 생각이 모든 부서에 공유되고 또한 중요하게 여겨져야 한다. 리스크에 대한 이해가 있는 조직으로 거듭나려면 사이버 보안 인식 교육을 자주 제공하는 것도 도움이 될 수 있다. 비밀번호를 강화하고, 회사 네트워크 내 수상한 활동이 포착되면 알림을 보내는 등 개인이 해커로부터 회사를 보호하기 위해 할 수 있는 조치도 강조되어야 한다.
사이버 보안을 경시하는 기업 문화에서 탈피하여 사이버 위협과 싸워야 한다는 긴급한 필요성을 깨달아야 한다.
둘째, 사이버 위기관리에 집중된 관심을 활용해 학계와 민간 분야에서 사이버 보안 전문가를 모집하자. 사이버 보안 분야에서 선제적으로 대응하는 선도 기업이 되겠다는 목표를 적극적으로 알려라. 최신 기술을 활용하고 기존의 시스템을 대체하여 사이버 보호 프로그램을 백지상태부터 구축할 기회가 주어지리라는 사실을 알린다면 최고 보안 전문가의 관심을 끌 수 있을 것이다. 혹은 자체 기술을 반드시 알릴 필요성이 없어 공정한 시선을 지닌 벤더에게서 보안 자문을 구하는 것도 고려해 볼 수 있다.
마지막으로, 기존에 있는 기술 인력 중에서 사이버 보안 이니셔티브에 참여를 원하거나 관련하여 우수한 역량을 지닌 직원을 파악하자. 보수 및 승진 인센티브를 제공하여 이들의 역량을 더욱 강화한다면 필요한 보안 인력의 일부를 빠르게 채울 수 있다.
사이버 보안 리스크 해결을 위한 이러한 조치가 수많은 물류 운송 기업에 부담으로 느껴질 수도 있다. IT 및 OT 네트워크 취약성에 대한 투명성과 인식을 높이기 위해 실행할 수 있는 실질적인 해결책 하나는 사이버 융합 센터 구축이다. 사이버 융합 센터는 사이버 보안 거버넌스, 운영, 분석, 프로세스 및 기술을 모니터하고 관리, 감독함으로써 사이버 위협 탐지 및 방지에 참여하는 이들 간에 데이터와 지식을 공유할 수 있도록 지원한다.
사이버 융합 센터는 현재는 분리된 IT 및 OT 사이버 관리 및 제어를 통합하여 운영을 간소화할 수 있다. 더욱이 IT 및 OT 전문가의 지식을 융합해 인터넷이나 내부에서, 혹은 두 영역 모두에서 감지되는 비정상적인 활동을 모니터해야 한다. 이러한 비정상적 활동은 사이버 공격의 초기 경고로 작용할 수 있다. 리스크를 효과적으로 관리하기 위해 물류 운송 기업은 기준을 엄격히 준수하고, 파트너 공급망을 보호하며, 보안 통제 설계 시 리스크 기반의 접근 방식을 채택해 사이버 탄력성을 키워야 한다. 기업에는 기술에서 규제까지, 과정에서 사람에 이르기까지 다양한 차원의 적절한 사이버 복구 조치를 구축하고 유지할 수 있는 툴이 필요하다.
——————————
지금까지 많은 물류 운송 기업은 사이버 보안 대비책을 우선순위에 두지 않았다. 하지만 공격 빈도가 급증하고 새로운 규제가 도입되면서, 기업이 손을 떼고 방관하는 접근법을 더는 유지할 수 없다는 점이 확실해졌다. 해커들은 점점 더 공격적으로 변하고 있으며, 사이버 보안에 취약한 기업 목록도 꿰고 있다. 그 목록에 오르지 않도록, 모든 물류 운송 기업은 노력을 게을리해선 안 될 것이다.