IT 관리 / 보안

캐리어가 ‘적절한 제품에 적절한 보안’을 제공하는 방법

Mary K. Pratt | CSO 2022.08.31
존 데스큐라키스는 2020년 4월 캐리어 글로벌(Carrier Global Corp.)에 최고 제품 보안 책임자로 들어오면서 새로운 기회를 잡았다. 유나이티드 테크놀로지(United Technologies)는 캐리어를 분사할 때 기존의 제품 보안 기능을 가져갔는데, 그 덕에 완전히 새로운 프로그램, 각 캐리어 제품군의 고유한 보안 요구사항을 충족할 수 있는 프로그램 구축 기회를 얻은 것이다.
 
ⓒ Getty Images Bank

데스큐라키스는 “유나이티드 테크놀로지의 방식은 항공우주에 초점을 두기 때문에 그 방식을 답습하고 싶지 않았다. 캐리어의 제품과 고객, 고객의 요구사항도 항공우주 분야와는 다르므로 우리만의 영역에 집중하고자 했다. 그래서 최종 사용자를 위한 최선의 결과가 무엇인지 생각하며 캐리어 고객의 다양한 요구에 적합한 기능을 다시 구축하기로 결정했다”라고 말했다.

다음 단계는 다양한 보안 위험이 있는 광범위한 영역의 제품을 만드는 캐리어에서 이런 목표를 달성할 최선의 방법을 알아내는 것이었다. 그것이 데스큐라키스가 해결해야 할 문제였다.


다양한 위험, 광범위한 제품군

HVAC 분야의 대표적인 브랜드인 캐리어는 80가지 이상의 브랜드 비즈니스를 보유하고 있으며, 수천 가지의 부품과 제품, 복잡한 시스템을 제조한다. 캐리어의 제품은 산업용 제어 시스템, 건물 관리 시스템, 자동화 시스템, 연기 탐지 및 상업용 냉동시설 등으로, 일부는 국가 핵심 인프라로 분류된다. 운영 기술과 펌웨어, 소프트웨어도 만든다.

다른 제조업체와 마찬가지로 캐리어 역시 기계제품에 디지털 기술을 접목하면서 인터넷과 연결하는 ‘스마트’한 제품을 만들어왔고, 그에 따라 제품이 잠재적인 사이버 공격에도 노출됐다. 데스큐라키스는 “디지털로 연결된 모든 것은 공격을 당하거나 침해를 당할 수 있다. 첨단 설계를 구상할 때는 보호 방법도 고민해야 한다. 생각에 그치지 말고 실행해야 한다”라고 말했다.
 
 
캐리어 글로벌의 최고 제품 보안 책임자 존 데스큐라키스 ⓒ Carrier Global Corp.
데스큐라키스와 GPC(Global Product Cybersecurity)팀은 제품의 운영 무결성을 보장하는 동시에 캐리어 제품을 핵심 기업 시스템에 침투하기 위한 경로로 사용할 목적이든 제품의 실제 동작을 방해할 목적이든 제품의 디지털 시스템을 해킹하려는 공격자로부터 제품을 보호해야 한다.

제품 보안 침해는 막대한 피해로 이어질 수 있는 만큼 보안의 역할이 매우 중요하다. 데스큐라키스는 “캐리어는 고객에게 인도하는 모든 것을 보호하는 데 초점을 둔다. 구성요소가 많을수록, 시스템이 많을수록, 복잡성이 높을수록 제품 보안팀이 더 필요하다”라고 설명했다.

캐리어에는 백신 같은 상품이 전 세계로 이동하는 과정에서 저온을 유지하기 위한 수송용 냉동 장비와 저온 유통 추적 및 모니터링 솔루션을 만드는 사업부가 있다. 실내 공기 질 모니터가 포함된 스마트 연기 및 일산화탄소 감지기도 생산한다.


적절한 제품에 적절한 지원을

캐리어는 광범위한 제품에 걸쳐 작동하고 각 제품의 수명주기 전반에서 보안을 제공하고자 했다. 즉, 안전한 제품 개발, 안전한 제품 운영, 사이버보안 혁신을 보장하는 보안 프로그램이 필요했다.

이를 달성하기 위해 데스큐라키스는 모든 사업부에 대한 보안 목표와 이를 달성하는 방법을 다루는 원칙의 집합인 ‘동적 보안 제품 개발 및 지원 수명 주기(Dynamic Secure Product Development & Support Lifecycle)’라는 프레임워크를 개발했다. 이 프레임워크는 캐리어가 2022년 CSO50 어워즈(The CSO50 Awards)에 선정된 이유이기도 하다. 

데스큐라키스는 “수익을 창출하는 캐리어의 모든 제조 제품과 서비스에 보안 내재화(security by design)와 표준 기반 거버넌스, 지속적 개선과 혁신, 차별화를 실현하고 고객과 파트너 및 사용자를 위한 목표를 달성하는 전략”이라고 설명했다.

이 프레임워크는 브랜드 전반에서 표준적인 보안 성과를 보장하면서도 유연성이 있어 고유한 제품 개발 프로세스와 제품 자체에 맞출 수 있다. 데스큐라키스는 “명칭에 ‘동적’이라는 단어를 사용한 이유도 적절한 제품을 적절하게 지원할 수 있는 유연함이 있어서다. 영하 온도를 유지해야 하는 배송 컨테이너가 풀어야 할 문제와 건물 내의 물리적 액세스 제어 시스템의 문제는 서로 다르다. 캐리어는 모든 비즈니스에 적용되지만 각각의 다양한 요구에 따라 맞춤 설정할 수 있는 표준이 필요하다”라고 설명했다.

데스큐라키스는 “프로그램의 전체적인 목표는 안전하게 보호되는 상품을 제공할 수 있도록 제품 수명주기 전반에서 보안 기능을 조율하고 제공하는 것”이라고 말했다. 

캐리어의 전략은 단순히 결과만 정의하는 것이 아니라 GPC팀이 결과를 달성하는 방법도 정립한다. 가령 설계 단계에서는 제품에 보안을 내장하기 위해 특정 팀 간의 높은 수준의 협업과 조율이 요구된다.

데스큐라키스는 “보안을 위한 설계에 초점을 두지만, 이 분야의 중심인 보안 설계자들은 보안 제품 운영 시 생산되는 위협 인텔리전스 같은 정보가 없으면 그 일을 할 수 없다. 설계자들은 보안 운영팀에게 정보를 받아 기존 시스템을 재설계하거나 알려진 위협에 대응해 다른 방식으로 설계한다. 또한 운영은 격리된 채로, 설계자의 지원 없이는 기능할 수 없다. 설계자는 운영 부서가 보안 사고를 조사하도록 돕는다. 즉, 이 두 팀은 서로 전혀 다른 일을 하면서도 긴밀히 공조한다”라고 말했다.

캐리어의 전략은 지속적인 개선과 사이버보안 혁신의 필요성도 강조한다. 이를 통해 GPC팀은 현재의 복잡한 문제를 해결하는 데 초점을 두는 동시에 미래의 위협에 대처하기 위한 차세대 솔루션도 제공한다.


책임의 공유

모든 이해관계자가 새 접근 방식을 포용하도록 하는 것은 쉽지 않은 일이었다. 데스큐라키스는 “모든 변화에서 한 가지 과제는 이른바 ‘관습적 사고’로, 지금까지 항상 그렇게 해왔으므로 지금도 그 방식대로 해야 한다는 사고방식이다. 특정 방식으로 작업을 수행하는 데 익숙한 직원들은 이 관습적 사고에 직면했다”라고 말했다.

데스큐라키스와 팀은 관습적 사고방식을 극복하기 위해 다양한 사업부와 함께 시간을 보내며 이들에게 배우고 보안의 강화가 제품을 어떻게 개선할 수 있는지 보여줬다. 데스큐라키스는 “이 방법은 변화를 강제하는 방법보다 많은 시간과 대화가 필요했지만, 최종적으로는 구성원들이 더 쉽게 변화를 받아들였다”라고 덧붙였다.

현재 데스큐라키스와 GPC팀은 연합 운영 모델을 사용해서 동적 보안 제품 개발 및 지원 수명 주기 프레임워크를 모든 사업부와 모든 제품으로 확장하는 중이다. 데스큐라키스는 “단순히 프로세스를 만들고 ‘이렇게 해야 한다’고 말하는 방법은 통하지 않는다. 정말 필요한 것은 직접적인 지원이다. 제품 개발팀과 엔지니어들은 일반적으로 사이버보안 전문 지식이 없다”라고 언급했다.

데스큐라키스에 따르면, 캐리어 사업부 중 일부에는 전담 보안 직원이 있지만, GPC는 자체 직원들로 구성된 중앙 부서로서 모든 비즈니스 및 제품 팀과 필요에 따라 협력한다. 데스큐라키스는 “마치 그 팀의 일부인 것처럼 팀에 참여해 책임을 공유하지만, 모든 것을 우리가 직접 할 수는 없으므로 방법도 가르친다. GPC팀은 멘토 역할을 하고 직원들을 교육하고 문제를 해결한다. 모든 팀과 더 많이 협력할수록 보안을 더 발전시킬 수 있다”라고 강조했다.
editor@itworld.co.kr

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.