보안 내재화

제품 보안 책임자는 막중한 책임을 맡고 있는 팀의 일원입니다. 사이버보안은 오랫동안 프로세스 산업의 중요 과제였으며, 그 중요성은 날로 커지고 있습니다. 스마트 센서는 큰 이점을 제공합니다. 프로세스 플랜트의 최하위 현장 레벨까지 연결성을 제공하여 플랜트 운영자가 프로세스를 더 명확하게 파악하고 최적화에 대한 더 폭넓은 관점을 확보할 수 있게 합니다. 하지만 이러한 발전은 점점 더 교묘해지는 사이버 범죄자들에게 더 광범위한 공격 표면을 제공한다는 부정적인 측면도 있습니다. 이러한 이유로 엔드레스하우저는 고객에게 최고 수준의 보안을 제공하기 위해 사이버보안 전문가를 두고 있습니다.

이 원칙은 센서까지 확장되는데, 디지털 인터페이스를 가진 모든 장치가 사이버 공격의 잠재적인 진입점이 될 수 있기 때문입니다. 사이버 공격을 방지하기 위해 엔드레스하우저는 보안 내재화(Security by Design) 원칙을 적용하고 있습니다. 즉, 초기 개발 단계부터 소프트웨어와 하드웨어에 보안을 내재화하고, 제품 수명 주기 전반에 걸쳐 이를 유지합니다. 또한 제품에 최신 보안 수준을 유지하기 위해 소프트웨어 및 펌웨어 업데이트를 지속적으로 제공합니다.

엔드레스하우저는 제품 설계 단계부터 누가 어떤 기능에 접근해야 하는지를 위험 관점에서 고려하는 전략을 사용합니다. 예를 들어, 엔드레스하우저의 센서가 설치된 브루어리를 생각해 본다면, 마스터 브루어는 맥주의 당도와 알코올 함량을 알아야 하므로 계기의 측정값을 확인할 수 있어야 합니다. 하지만 센서 설정을 변경할 수 있는 접근 권한까지는 필요하지 않습니다. 이러한 권한은 유지보수 담당자에게만 제한적으로 부여되어야 합니다.

이와 같은 역할 기반 접근 제어를 통해 공격 위험을 줄일 수 있습니다. 무단 변경을 방지하기 위한 쓰기 보호는 디지털 방식에만 국한되지 않습니다. 많은 계기에서 수동 조작 스위치 같은 하드웨어 잠금 방식으로도 구현할 수 있습니다. 제품 개발 과정에서는 해커의 관점에서 제품 보안을 뚫고 침투하려는 침투 테스트도 수행합니다. 이러한 모의 사이버 공격을 통해 잠재적인 취약점을 파악하고 보안 조치를 강화할 수 있습니다.

유럽연합(EU)의 사이버 복원력법(Cyber Resilience Act)은 지난해 12월 발효되었습니다. 이 규정에 따라 디지털 요소를 포함한 제품은 특정 사이버보안 기준을 충족해야 합니다. 각 기업에는 이러한 새로운 요건을 충족할 수 있도록 3년의 전환 기간이 주어집니다.

엔드레스하우저는 이 규정에 충실히 대비하고 있습니다. 엔드레스하우저의 제품 개발 프로세스는 2021년에 독립 인증 기관 TÜV Rheinland로부터 IEC 62443-4-1 인증을 획득했으며, 지난해 재인증을 받았습니다. 특히 이 인증은 사이버 복원력법 요건의 상당수를 이미 충족하고 있습니다. 이 분야에 대한 조기 대응과 표준화 및 산업 협회 활동에 적극적으로 참여한 것이 매우 큰 성과로 이어졌습니다. 프로세스 산업에는 전방위적인 보안 솔루션이 필요하며, 이를 개발하는 유일한 방법은 고객과의 협력을 통해서입니다.

엔드레스하우저가 개발한 솔루션은 이미 새로운 기준을 제시하고 있습니다. 예를 들어, 엔드레스하우저는 CPace 프로토콜을 핵심 요소로 사용하여 블루투스 보안을 위한 추가 보안 계층을 개발했습니다. 2020년에는 인터넷 표준화 기구 IETF의 연구 그룹이 엔드레스하우저의 솔루션을 암호 기술 경연 대회 우승자로 선정했습니다. 뿐만 아니라, 2016년 독일 뮌헨에 소재한 프라운호퍼 AISEC 연구소는 엔드레스하우저 블루투스 보안 확장 기능의 보호 수준을 "높음"으로 분류하여 큰 자긍심을 불어넣어주었고, 엔드레스하우저가 제품의 사이버보안을 지속적으로 개선하도록 하는 원동력이 되었습니다.