위험 관리 문화 조성하기

학습 목표

이 유닛을 완료하면 다음을 수행할 수 있습니다.

• 총체적 위험 관리 접근법을 구현하기 위해 고려해야 할 질문을 나열할 수 있습니다.
  
• 협업을 증진하기 위해 필요한 조치를 파악할 수 있습니다.
  
• 협력체계 전반에 걸쳐 사이버 탄력성 플랜을 수립하는 방법에 대해 설명할 수 있습니다.
  

계속해서 세계경제포럼(WEF)의 석유 및 가스(OG) 산업에 대한 사이버 탄력성 원칙에 대해 살펴보겠습니다.

원칙 OG4: 총체적 위험 관리

OG 산업 조직의 임원진은 사이버 탄력성 프로그램에 대한 적절한 권한, 자금, 자원 및 책임을 제공하여 OG 협력체계 전반의 사이버 위험을 관리해야 합니다. 

임원진은 조직에서 사이버 탄력성을 구현할 경우 다음 질문을 고려해야 합니다.

• 내부 및 외부 당사자는 조직에 어떤 위험을 초래하나요?
  
• 적절한 총체적 사이버 보안 위험 관리 목표를 달성하기에 충분한 재무 및 인력 자원은 무엇인가요?
  
• 현재의 위험 관리 접근법은 공급망에서 사이버 위험을 어떻게 통합하나요?
  

총체적 위험 관리 접근법 구현

총체적 위험 관리 구현을 위해 제안된 활동은 다음과 같습니다.

• 공급망과 가치 사슬 내에서 발생하는 사이버 위험을 파악하고 관련 파트너와 협력하여 취약점을 완화합니다.
  
• 다른 비즈니스 부서와의 협력을 통해 사이버 위험 허용 범위를 정의하고 정량화합니다.
  
• 공급망과 가치사슬 의존성을 검토하고 사이버 위협과 관련있는 사각지대와 고위험을 식별합니다.
  
• 위험 관리 조치와 도구가 협력체계 전반에 걸쳐 채택되고 수용된 일관된 총체적 접근 방식(예: 보안 평가, 설문지 및 감사)을 따르도록 합니다.
  
• 국제 표준화 기구 및 국제 전기 기술 위원회(ISO/IEC) 27000 시리즈, 미국 표준 기술 연구소(NIST)사이버 보안 프레임워크(CSF) 또는 사이버 보안 역량 성숙도 모델(C2M2)과 같이 업계에서 인정하는 공통 위험 프레임워크를 채택합니다.
  

제안된 지표는 다음을 포함할 수 있습니다.

• 평가된 전략적 공급업체 및 파트너의 비율(사이버 탄력성 실사) 및 계약에 포함된 보안 조항
  
• 조직의 위험 분석에서 다루는 (산업 전반에 영향을 미치는) 중요한 시스템상 위험의 개수
  
• 비즈니스 영향 분석 정보를 기반으로 중요한 비즈니스 자산, 기능, 공급업체 및 파트너를 대상으로 수행되는 위험 평가(위험 식별, 분석 및 평가의 전반적인 과정)의 빈도
  
• 위험 관리 프로세스가 다루는 중요 자산의 개수
  

예를 살펴보겠습니다.

사이버 위험 수용에 대한 확장 가능한 프로세스

Carolyn은 오일 산업 서비스 회사의 기업 임원입니다. 이 회사는 사이버 위험 관리를 문서화하고 사이버 위협을 비즈니스 운영에 대한 위험으로 취급하며 사이버 위험에 대응합니다. 사이버 보안이 최우선 과제임을 보장하기 위해 Carolyn은 회사의 조달 및 구축 프로세스의 일환으로 내부 및 공급업체 보안 평가를 이끌고 있습니다. 

이 프로세스는 요청, 평가, 승인 및 추적의 네 가지 단계로 구분됩니다. 요청이 있을 경우 Carolyn의 소속팀은 데이터 분류 및 비즈니스 프로세스 중요성과 같은 요소를 고려하여 안정적이고 반복 가능하며 확장 가능한 컨트롤 라이브러리에 기반한 위험 기반 평가를 수행합니다. 그런 다음 이 프로세스에서는 위험 정도에 따라 정의된 수준으로 비즈니스, 법률 및 정보 기술(IT) 부서의 승인을 받게 됩니다. 

마지막으로 Carolyn은 정기적인 임원 보고를 통해 개선책을 포함한 사이버 위협을 추적합니다. 반복 가능하고 확장 가능한 프로세스는 위험 평가 및 교차 기능 위험 소유에 대해 명확하게 지정된 책임과 함께 위험 기반 제어를 일관되게 적용하도록 보장합니다.

원칙 OG5: 협력체계 전반의 협업

OG 산업의 조직 임원진은 경영진이 협력체계 전반에 걸친 위험에 대한 효과적인 감시, 모니터링 및 제어를 위해 협업 문화를 조성할 수 있도록 권한을 부여해야 합니다. 

임원진은 조직에서 사이버 탄력성을 구현할 경우 다음 질문을 고려해야 합니다.

• 조직은 사이버 탄력성 협업 플랫폼 및 실무 그룹과 어떻게 협력할까요?
  
• 조직의 협력체계를 포괄하는 사이버 탄력성 행동 플랜은 무엇인가요?
  
• 조직 및 협력체계의 사이버 탄력성 관행을 강화하기 위한 협업 활동으로부터 배운 학습 내용은 어떻게 활용되고 있으며, 새로운 기회를 어떻게 활용하고 있나요?
  

예를 살펴보겠습니다.

협력체계 전반적인 접근 방식 구축 

Gregory는 에너지 회사의 IT 책임자입니다. 회사는 상위에서 하위 사업 전반에 걸쳐 서로 다른 조직, 파트너십 및 합작 투자를 하는 분산된 협력체계로 운영됩니다. 협력체계의 각 부분은 자체 운영 환경 규범과 사이버 보안에 대한 다양한 접근 방식을 가지고 있기 때문에, 각 부분을 관리하기 어려울 수 있습니다. 

Gregory는 사이버 위험을 줄이기 위해 이러한 서로 다른 운영 환경 간의 간극을 줄이고 운영 기술(OT) 상위 팀과 하위 팀을 모두 연결하는 것을 목표로 하는 이니셔티브를 시작했습니다. IT 그룹은 중앙 집중화된 팀에 자금을 지원하여 사이버 위험에 대한 공통적인 관행과 접근 방식을 보장하고, 표준 인프라와 일관된 자산 인벤토리 도구를 구현했으며, OT 환경을 지속적으로 모니터링할 수 있도록 프로세스를 조율했습니다. 

Gregory의 회사는 중앙 집중화된 팀을 통해 상위 및 하위 파트너 조직 간 공동의 사이버 탄력성 제어 및 플랜을 지속적으로 개선할 수 있습니다.

이 방법을 통해 모니터링 및 대응 역량을 향상시키면서 대비와 보호의 균형을 유지할 수 있습니다. 통합된 접근 방식 및 제어 도입에 대한 협업 및 조율로 OT 환경의 모니터링 및 가시성을 개선함으로써 IT/OT 소프트웨어 버전 및 패치의 탐지 및 대응 시간을 며칠에서 몇 분으로 단축할 수 있습니다.

협력체계 전반적인 협업 구현

임원진이 협력체계 전반적인 협업 원칙 구현하기 위해 권장되는 활동은 다음과 같습니다.

• 협력체계 파트너와 협력하여 업계 프레임워크, 표준 및 도구를 통해 통일된 접근 방식을 개발, 개선 및 채택합니다.
  
• 협력체계 전반에 걸쳐 협업이 용이하도록 정책 입안자 및 글로벌 표준 조직과의 소통에 참여하고 보고합니다.
  
• 정보를 공유하도록 장려하고 협력체계 전반에 걸친 협력을 강화하며 공동 조치를 유도하는 사이버 탄력성 커뮤니티 및 이니셔티브에 참여하거나 주도합니다(업계, 국가 또는 국제기구의 관리하에).
  
• 협력체계의 이해 관계자들과 협력하고 석유 및 천연 가스 정보 공유 및 분석 센터(ONG-ISAC), 운영 기술 정보 공유 및 분석 센터(OT-ISAC), 미국 석유 연구소(API), 유럽 연합 사이버 보안 기관(ENISA) 등과 같은 사이버 보안 주제에 대한 시스템 전반의 사이버 보안 정보 공유 기관에 적극적으로 참여합니다.
  

제안된 지표는 다음을 포함할 수 있습니다.

• 협력체계 및 업계 동료들과의 이벤트 및 참여 빈도
  
• 정책 입안자, 국가 안보 및 정보 관계자, 민간 사이버 대응 및 법률 전문가 등 보안 관계자 및 사이버 대응 전문가와의 회의 빈도
  
• 협력체계 전반에 걸쳐 동료들과 교환된 위협 정보 보고서 및 브리핑 횟수
  

원칙 OG6: 협력체계 전반적인 사이버 탄력성 플랜

OG 산업의 조직 임원진은 경영진이 협력체계의 다른 구성원들과 공동의 사이버 탄력성 플랜 및 통제를 작성, 구현, 테스트 및 개선하도록 권장해야 합니다. 

임원진은 조직에서 사이버 탄력성을 구현할 경우 다음 질문을 고려해야 합니다.

• 어떤 데이터 또는 정보를 보호해야 하나요? 사이버 탄력성 플랜에 포함되는 활동은 무엇인가요? 이 플랜은 사고 대응, 커뮤니케이션, 비즈니스 연속성 및 재해 복구를 포함하여 조직의 협력체계에 어떤 영향을 미칠까요? 적절한 규칙성을 가지고 플랜을 적절히 테스트했나요?
  
• 공동의 탄력성 플랜 개발을 지원하기 위해 임원진과 경영진은 어떤 협력 플랫폼을 지원해야 하나요?
  
• 공동의 탄력성 플랜은 협력체계 전반에 걸쳐 대응과 복구에 대한 대비책을 반영하고 균형을 어떻게 맞추고 있나요?
  

예를 살펴보겠습니다.

가치 사슬을 확보하는 데 도움이 되는 에너지 기업

Rebecca는 에너지 회사의 임원입니다. Rebecca는 회사가 정보 보안 전담 리서치 센터와 협력하여 글로벌 OG 기업의 산업 경영진과 관리자를 대상으로 기업의 사이버 보안 준비 태세를 평가하는 설문조사를 실시하는 이니셔티브를 지원했습니다. 설문조사 결과에 따르면 대부분의 조직은 사이버 공격이 발생하기 전에 식별하고 해결하는 데 필요한 OT 관련 에너지 자산에 대한 심층 지식을 갖춘 사이버 보안 인력을 고용하는 데 어려움을 겪고 있습니다.

Rebecca의 회사는 모든 OG 기업의 사이버 보안을 개선하는 방법 중 하나는 중소기업이 디지털 협력체계에서 사이버 공격에 취약한 부분을 강화하는 데 유용한 고급 인공 지능(AI) 기반 모니터링 및 탐지 솔루션에 액세스할 수 있도록 하는 것이라고 생각했습니다. 상호 운용 가능한 기술 및 제조업체 진단 AI 기술을 결합하고, OT 고유의 인적 전문 지식을 효율적으로 활용함으로써 중소 규모의 에너지 기업은 기존에 적절한 예산이 투입된 사내에서만 달성할 수 있는 수준의 보호 기능인 모니터링, 탐지 및 사이버 공격 방지 기능에 액세스할 수 있습니다.

협력체계 전반의 사이버 탄력성 플랜 구현

협력체계 전반의 사이버 탄력성 플랜의 원칙 이행을 위해 제안하는 활동은 다음과 같습니다.

• 조직의 전략적 우선순위 중 하나로, 모든 비즈니스 직무 및 부서 리더들과 긴밀한 협력을 통해 사이버 탄력성 플랜을 개발하고 임원진의 역할을 명시적으로 통합합니다.
  
• 사이버 탄력성 플랜에 대한 정기적인 케이던스 보고를 설정하여 중요한 업데이트, 테스트 빈도 및 결과를 포함하도록 합니다.
  
• 정기적인 사이버 보안 훈련을 실시하고 사이버 탄력성에 대한 테스트를 실시합니다. 사이버 탄력성의 중점 사항 및 구성 요소에는 시스템상 장애와 추후 복원이 실습이 포함됩니다.
  
• 사이버 보안 전략 및 프로그램이 내부 및 외부 소스, 사고 관리 및 대응 및 복구 역량(사람, 프로세스 및 기술 관점에서)과 연계되어 있는지 확인합니다.
  

제안된 지표는 다음을 포함할 수 있습니다.

• 시정 조치를 실시하고 채택한 테스트의 개수
  
• 작동 중단의 재정적 영향을 포함하여 필수 비즈니스 서비스의 중단 또는 장애 시간
  
• 실습 활동의 구성 요소 또는 초점으로서 시스템상 장애 테스트를 포함하여 사이버 보안 대비 연습 활동에서 비롯된 중요 개방 조치 및 폐쇄 조치의 비율
  
• 이번 분기에 비상 및 재해 복구 플랜을 성공적으로 시행하고 테스트한 중요 시스템의 비율
  

요약

이번 유닛에서는 OG 산업에서 총체적 위험 관리 접근법을 구현하는 방법을 소개했습니다. 또한 협력체계 전반의 협업을 촉진하는 방법과 협력체계 전반의 사이버 탄력성 플랜 수립의 중요성에 대해서도 살펴봤습니다. 

다음에는 OG 산업에서 사이버 탄력성을 위한 원칙을 운영하는 방법과 새로운 사이버 정책 및 원칙을 채택할 수 있도록 업계 종사 조직이 취할 수 있는 조치에 대해 알아보겠습니다. 

리소스

• 외부 사이트: SO/IEC 27001 정보 보안 관리 
  
• 외부 사이트: NIST 사이버 보안 프레임워크
  
• 외부 사이트: 미국(US) 에너지부: 사이버 보안 역량 성숙도 모델(C2M2)