식품 산업은 사이버 위험에 대비하고 있나요?
2023년 2월 22일 ◦21 분
이 에피소드에서는 거버넌스 글로벌 담당자인 Stuart Wright 와 공급망 글로벌 기술 담당자인 Kimberly Coffin에게 식품 방어 프로그램에서 사이버 범죄가 왜 중요하게 고려되어야 하는지 물어보고, 사이버 공격의 경우 식품 안전에 미칠 수 있는 잠재적 영향에 대해 논의합니다.
Follow us on Spotify
LRQA의 'The Future in Focus' 팟캐스트에 다시 오신 것을 환영합니다. 만약 처음 들으시는 분이라면, 환영합니다.
이 에피소드에서는 진행자 Holly Plackett이 Nettitude, LRQA 사업부의 거버넌스, 위험 및 컴플라이언스 글로벌 담당자인 Stuart Wright 과 함께 합니다. 그리고 이전 에피소드에서도 함께 했던 LRQA의 공급망 글로벌 기술 담당자인 Kimberly Coffin이 다시 합류했습니다. 이 에피소드에서는 Stuart 와 Kimberly 에게 식품 방어 프로그램에서 사이버 범죄가 왜 중요하게 고려되어야 하는지 물어보고, 사이버 공격의 경우 식품 안전에 미칠 수 있는 잠재적 영향에 대해 논의했습니다.
다시 함께해주셔서 감사합니다, Kimberly, Stuart. 오늘 Stuart는 팟캐스트에 처음 출연해주셨는데요, 함께 해주셔서 감사합니다. Stuart, 청취자들을 위해 간단하게 자기 소개 부탁드려도 될까요?
물론이죠, 감사합니다. 안녕하세요 여러분, 제 이름은 Stuart Wright 입니다. 오늘 LRQA 팟캐스트에 참여하게 되어 기쁩니다. 저는 Nettitude에서 거버넌스, 위험 및 컴플라이언스(GRC) 팀 담당자입니다.
제 역할은 Nettitude의 GRC 팀을 감독하는 것입니다. 그래서 저희 팀은 고객들에게 컨설팅 서비스를 제공하며, 주로 사이버 보안 및 컴플라이언스 분야를 다룹니다. 예를 들면 사이버 보안 성숙도, PCIDSS와 같은 신용 카드 보안을 주제로 하는 컨설팅 및 심사가 포함됩니다.
또한 ISO 27001, 위험 관리 및 최종 고객사 직원을 대상으로 한 보안 인식 교육과 같은 분야에서도 고객과 함께 하며, 보안 모범 사례에 대해 교육합니다. 컨설팅, 특히 사이버 보안 분야에서 약 10년 동안 일했으며, 일반적으로 다양한 기술 역할로 IT 산업에서 20년 동안 일해 왔습니다.
다시 한번 오늘 초대해 주셔서 감사합니다. 제 지식과 경험을 공유할 수 있기를 바라며 기대하고 있습니다.
소개 감사드립니다. 그럼 바로 질문으로 들어가겠습니다.
사이버 범죄는 오랫동안 모든 분야의 기업들에게 리스크였습니다. Stuart, 우리가 최근 목격하고 있는 공격 유형, 그 대상은 누구이며, 이러한 공격들이 기업들에 어떤 피해를 줄 수 있는지 조명해 줄 수 있을까요?
물론이죠. 사이버 범죄는 사실상 모든 산업에 문제를 일으키고 있어요. 범죄자나 공격자의 시각에서 보면, 그들은 반드시 특정 조직을 타겟으로 하는 것은 아니에요. 오히려, 그들은 손쉽게 공격할 수 있는 대상, 즉 공격하기 시작하는 데에 어려움이 덜한 대상에 더 관심을 보이죠.
따라서, 그들이 특정 산업에만 초점을 맞추는 것은 아닙니다. 이는 대체로 무차별적이고 기회주의적이에요. 범죄자들이 기본적인 결함을 이용하는 것을 볼 수 있는데, 이는 예를 들면 구식의 시스템이나 애플리케이션, 제대로 설정되지 않은 것들을 말해요. 이런 결함들은 예측하기 쉽고, 그 결함을 막기 위한 조치도 상대적으로 간단하게 취할 수 있습니다. 이는 마치 잠기지 않은 문이나 창문, 제대로 닫히지 않은 것처럼, 공격하기 쉬운 부분들을 의미합니다."
그러니까, 제가 말하려는 것은 그들이 꽤 기회주의적이라는 것이에요. 공격자들이 국가 수준이라고 우리가 생각하는 것처럼 대부분이 그렇진 않아요. 물론 그런 경우도 있지만, 조직의 초기 침투를 생각할 때, 이는 상당히 기본적인 기술 세트만을 가진 사람일 수도 있고, 그들은 그런 일반적인 취약점을 악용하게 될 거예요.
우리가 주로 생각하는 것은 당신에게서 돈을 빼내려는 것이 유일한 목표인 범죄자들이에요. 10년 전처럼 QDOS나 파괴 행위, 기술을 과시하는 것에 대한 것이 아니라, 이제는 범죄자가 어떻게 당신에게서 현금을 빼낼 수 있을지에 대해 더 많이 생각하는 것이죠.
공격은 다양한 각도에서 이루어질 거예요. 무역 비밀이나 특허와 같은 것들에 대한 공격도 있겠지만, 전문 세계에서 우리가 가장 흔히 보게 되는 것들은 돈을 얻기 위한 방법에 관한 것이죠. 랜섬웨어의 배포와 같은 것들, 조직의 파일과 시스템에 접근을 차단하고, 접근을 복구하기 위한 돈을 요구하는 것을 우리는 알고 있습니다. 그리고 실제 영향, 우리가 이야기하는 영향은 사업 운영에 필요한 시스템에 대한 접근 권한의 손실 주변에 있습니다
그러므로, 이미 언급된 피해나 이러한 사건들이 가져올 수 있는 영향은 다양한 방식으로 나타날 수 있습니다. 예를 들면, '수입 감소' 같은 경제적인 영향이 있을 수 있습니다. 무슨 사고 유형이든, 시스템이 다운되면 수익을 잃을 수 있습니다. 이는 물론 직접적인 비용이지만 간접 비용도 있을 것입니다. 복구 노력, 외부 전문가나 컨설턴트의 도움을 구하는 비용, 포렌식이나 재해 복구 등 전문 기술을 필요로 하는 분야에서의 비용 등이죠.
그리고 회사 내부에 대한 비용과 자원의 소모도 있습니다. IT 시스템이나 네트워크, 인프라를 재구축하는 것 말이죠. 공격 후 가장 좋은 방법은 때로 시스템을 처음부터 다시 구축하는 것일 수 있습니다. 이는 시간과 돈을 소모하며, 관련 부서가 바쁘게 일하게 됩니다. 그 결과, 일상 업무를 제대로 수행하지 못하게 되죠.
그리고 또 다른 영향으로는 브랜드 평판에 관한 우려, 소비자와 투자자의 신뢰도가 있습니다. 그리고 사이버 공격의 영향을 생각할 때 사람들의 주목을 받는 것은 규제 벌금입니다. 특히 개인 데이터와 관련되어 있을 때 더욱 그렇죠.
제 답변에서는 상대적으로 무차별적인 공격에 중점을 뒀습니다. 기회주의적인 공격에서 범죄자의 목표는 단순히 현금을 빼내는 것이죠.
또 다른 측면, 아마도 같거나 더 나쁜, 더욱 심각한 것은 데이터의 기밀성에 영향을 미치는 공격입니다. 정보 유출, 정보를 온라인에 공개하는 것, 그리고 데이터 자체를 변경하는 것을 말합니다. 데이터의 정확성에 의존하며, 어떤 것이 데이터에 영향을 미치면 그 데이터를 신뢰할 수 없게 됩니다. 이러한 공격의 영향은 명백하지 않을 수 있지만, 그 결과는 정보가 전혀 없는 것보다 훨씬 나쁠 수 있습니다. 왜냐하면 데이터의 정확성에 의존하지 못하면 기업의 다른 부분에 영향을 미칠 잘못된 결정을 내릴 수 있기 때문입니다.
감사합니다, Stuart. 그러면 이러한 공격들이 전 세계에서 다양한 수준의 심각도로 발생하고 있음을 알고 있습니다. Kimberly, 식품 산업 전반적으로 그들이 해야 할만큼 사이버 위협에 대해 충분히 보호되어 있다고 생각하시나요?
사이버 위협과 안전한 식품 생산, 그리고 최종적으로 소비자에 미치는 영향은 식품 안전 전문가들 사이에서 흔히 이야기되는 주제가 아닙니다. 그러므로 그 사실을 기반으로 생각하면, '아니' 라고 답해야 할 것 같습니다.
그렇다면 식품 산업 내의 기업들이 사이버 범죄를 포함한 견고한 식품 방어 프로그램을 갖는 것이 왜 그렇게 중요한가요?
훌륭한 질문입니다. Stuart가 이미 언급한 공격의 유형과 기업에 미치는 영향에 관한 몇 가지 사항에 기초하여, 식품 산업이 기술의 사용에 점점 더 집중하고 있음을 알 수 있습니다. 이는 모든 사람들이 경험하고 있는 인재 부족과 같은 문제를 해결하려는 노력, 그리고 생산 비용을 낮추기 위한 운영 효율성 향상을 추구하는 데 있어 중요합니다. 또한 기술과 디지털 솔루션을 사용하여 리스크 관리를 개선하고, 공정의 실시간 모니터링과 공급업체와의 협력을 통해 투명하고 원활한 커뮤니케이션을 강화하려는 노력도 있습니다.
식품 안전 전문가로서 우리는 제품과 공정에 대한 중요한 정보를 수집, 관리 및 공유하는 방식의 변화와 그로 인한 추가적인 위험이 있음을 인식해야 합니다. 우리의 작업에 또 다른 문을 열 때마다 이러한 위협이 실제로 관련되어 있습니다. 그러므로 우리는 대응할 준비가 되어 있는지 확인하기 위해 이러한 것들을 고려해야 합니다. 그리고 대응과 준비에 관한 생각을 할 때, 식품 방어 프로그램을 통해 이를 실현하는 것이 최선의 방법이라고 생각합니다.
GFSI의 기준은 우리가 이를 실현하기 위한 틀을 제공합니다. 따라서 그 기준이 요구하는 식품 방어 및 인터넷 관리 프로그램이 우리의 활동에 광범위하게 포함되어야 하며, 제품과 공정에 대한 모든 위험의 맥락에서 이를 고려해야 합니다. 그리고 사이버 범죄 위협은 식품 방어 프로그램에서 주의를 기울여야 할 한 부분이라고 생각합니다.
Kimberly, 감사합니다. 최근 LRQA는 여러분 두 분이 참석하여 오늘 논의하고 있는 매우 유사한 주제에 대한 웨비나를 진행했습니다. 그 웨비나에서 관객에게 몇 가지 설문 질문을 했는데, 가능하다면 그 질문과 관객의 응답을 살펴보는 시간을 갖고 싶습니다.
첫 번째로 질문한 내용은 기술의 사용과 기업들이 기술을 활용하여 운영 위험을 얼마나 효과적으로 관리하고 있는지에 관한 것이었습니다. 응답자의 83%가 자신들의 사업에서 나열된 기술 중 하나 이상을 사용하고 있다고 표시했으며, 27%의 응답자가 위험을 관리하거나 공급업체와 협력하기 위해 기술을 사용하고 있습니다.
이것이 사이버 위험과 관련하여 어떤 의미인지 Stuart에게 들어볼 수 있을까요?
흥미로운 포인트 중 하나는 Kimberly가 방금 언급했는데, 지난 웨비나에서 식품 안전의 맥락에서 Kimberly가 더 자세히 설명해 준 내용도 있습니다. 즉, 실시간 제어와 모니터링의 사용이 증가하고 있다는 것입니다. 여기서는 센서, 카메라 및 데이터를 캡처하는 기타 장치 같은 것들을 사용하며, 그 데이터를 사용하여 결정을 내리고 다른 시스템을 제어하거나 환경 주변에서 지속적인 모니터링을 제공합니다. 이러한 장치들을 우리는 종종 사물인터넷 또는 IoT 장치라고 합니다. 이러한 장치는 특정 기능을 수행하기 위해 설계되었습니다. 예를 들어 보안 카메라나 센서와 같은 것들입니다. 그 장치를 소유하고 설치하는 사용자, 즉 비즈니스는 그것이 실제로 어떻게 작동하는지에 대해 거의 제어할 수 없습니다.
기본적으로 우리는 네트워크에 설치하는 밀봉된 또는 독립형 전용 시스템을 말하고 있습니다. 그러나 그들은 사실상 우리의 제어를 벗어나 있으며, 우리가 하는 일은 그들에게 전력과 네트워크 연결성을 제공하는 것입니다. 이 장치들 주변에는 고려해야 할 여러 층의 위험이 있습니다. 제일 먼저 고려해야 할 것은 제조업체가 그 장치를 최신 상태로 유지하도록 하는 것입니다.
기술적인 문제에 대해서도 생각해야 합니다. 그들이 그 장치들에 원격으로 접속하는지, 원격으로 관리하고 모니터링하는지 등입니다. 그들 스스로가 안전한지, 그 장치의 최종 사용자인 당신에게 영향을 줄 수 있는 사건의 가능성이 있는지 등의 문제도 있습니다.
우리가 고려해야 할 또 다른 문제는 공급업체들이 우리 네트워크에 접근할 때 이들 공급업체가 공급망 위협이 될 수 있는지에 대한 것입니다. 즉, 누군가가 우리 환경을 공격하기 위해 그들을 단계적으로 사용할 수 있는지 여부입니다. 다시 말해, 누군가가 그 공급업체를 의도적으로 혹은 실수로 사용하고 그로 인해 우리 네트워크와 환경에 어떤 영향을 미칠 수 있는지 여부입니다.
따라서 사이버 위험을 관리하는 것은 적절한 검사 절차를 갖추는 것에 관한 것입니다. 우리가 사용하는 기술 주변에 올바른 검사 절차를 갖추어야 합니다. 따라서 이러한 장치, 시스템 및 응용 프로그램을 구매하기 전에 그것을 시작해야 합니다. 위험 관리의 일부는 공급업체를 조사하고, 그들의 기술을 살펴보고, 그들을 연결하기 전에 올바른 질문을 하는 것이어야 합니다. 그리고 그 공급업체들이 적절한 제어를 갖추고 있는지 확인해야 하며, 미래에 대해서도 생각해야 합니다. 만약 우리 환경에 실시간 모니터링 시스템과 기타 기술을 도입한다면, 우리는 현재 시점뿐만 아니라 앞으로의 운영 위험을 관리하려고 노력해야 합니다. 앞으로의 취약점을 피하고 최신 상태로 유지하며 안전하게 보호할 수 있는지 여부입니다.
다음으로 우리가 관객에게 물었던 질문은 그들의 조직에서 공급망 전반에 걸친 사이버 위험 관리를 담당하는 사람은 누구인지에 대한 것이었습니다. 응답자의 61%는 IT나 보안 팀이 사이버 위험 관리를 담당한다고 표시했습니다.
Kimberly, 이러한 접근 방식은 식품 안전에 대한 위험 영향을 높이는 것일까요?
사이버 공격과 사이버 범죄를 생각할 때 IT나 시스템에 책임을 돌리는 것은 쉽습니다. 결국, 그들은 기술 전문가들이기 때문입니다. 그러나 식품 안전 전문가로서 우리는 그들의 중점이 시스템 사용 가능성, 시스템 관리 또는 시스템이 어떻게 작동하는지와 관련된 위험을 완화하는 것에 있음을 이해해야 합니다. 그들은 기밀 정보나 지적 재산, 우리의 라벨, 레시피, 그리고 캡쳐된 정보의 정확성에 대한 사이버 공격의 위험 영향을 이해할 가능성이 훨씬 적습니다. 그 정보는 우리가 식품의 안전과 관련하여 실시하는 세심한 방어의 일부로 사용됩니다.
정보와 정보 보안의 두 가지 주요 영역을 생각할 때, 그것들은 제품 위험 영향과 직접적으로 관련되어 있습니다. 그것들은 우리가 생산하는 식품의 안전과 관련하여 차이를 만들 것입니다. 여기서 우리, 식품 안전 전문가들의 역할이 나타납니다. 우리는 우리 조직에서 제품과 과정, 그리고 궁극적으로는 소비자에 대한 위험을 평가하고 관리하기에 가장 적합합니다. 따라서 활발한 역할을 취하는 것이 정말로 필요합니다. 식품 안전에 대한 위험을 최소화하는 책임은 우리에게 있습니다. 그러므로 우리는 그 시스템이 어떻게 작동하는지, 사이버 침해의 진정한 영향이 무엇인지 정확히 이해하고 명확해야 하며, 우리의 IT 및 시스템 팀과 협력하여 질문을 해야 합니다.
감사합니다, Kimberly. 마지막으로 사이버 사건의 영향에 대해 식품 방어 프로그램을 얼마나 자주 테스트하는지에 대해 관객에게 물었습니다. 이 답변은 저에게 매우 놀랍게 다가왔습니다. 응답자의 67%는 사이버에 특화되어 식품 방어나 사건 대응 프로그램을 테스트하지 않는다고 답했습니다.
이런 누락에 대해 어떻게 생각하십니까?
이것으로 알 수 있는 것은 식품 기업 중 소수만이 사이버 공격으로부터 제품에 대한 위험 영향을 고려하고 있다는 것입니다. 그렇게 되면 이러한 기업들은 공격이 실제로 발생했을 경우 이를 식별하는 능력이 부족하게 되고, 더 중요한 것은 공격이 발생했을 때 그들의 준비도를 테스트하는 것에 대한 준비가 거의 없게 됩니다.
식품 안전 관리 측면에서 우리 비즈니스에 대한 위험을 지속적으로 평가하는 중요성에 대해 이야기합니다. 따라서 제 관점에서는 위험 영역을 고려하지 않은 식품 방어 프로그램 또는 사건 대응 프로그램은 우리 비즈니스와 식품의 안전한 생산을 실제로 보호하는 데 올바른 조치를 취하는 능력에 대한 위험을 크게 증가시킵니다. 그리고 우리의 브랜드와 소비자도 마찬가지입니다.
기술의 사용이 확대되고 있는 것은 분명하며, 실제 설문 조사 질문은 IT 및 시스템 인력을 통한 사이버 침해로부터 위험을 관리하는 책임이 누구에게 있는지에 대해 식품 부문에서 아직도 매우 전통적인 생각을 하고 있다는 것을 나타냅니다. 식품 안전 전문가의 관점에서 우리는 안전한 식품 생산의 모든 위험 계층을 잘 알고 있어야 하며, 우리가 가진 도구를 어떻게 사용하는지에 대해 더 자세히 생각해야 합니다
그럼 Stuart, 여기서 가장 좋은 접근법은 무엇일까요?
확실히 Kimberly가 막 언급한 부분에 대해 좀 더 얘기하고 싶은데, 제 말은 IT 팀이나 IT 전문가들이 보안에 집중하지 않는다는 것이 아닙니다. 하지만 우리가 어떻게 관리하고 보호할 것인지 요구사항을 정의하지 않으면 적절한 제어가 이루어질 것이라 기대하는 것은 무리입니다. IT 전문가들은 시스템을 관리하고, 그것들이 작동하는지, 필요할 때 사용 가능한지 확인하는 역할을 합니다.
하지만 그 팀들이 자동으로 데이터나 그 시스템의 중요성을 알고 있다고 가정해서는 안 됩니다. 그리고 응답 계획을 테스트하는 것도 마찬가지입니다. 그 통계에는 꽤 놀랐습니다. 일반적으로 우리의 고객들은 계획을 테스트해야 한다는 것을 더 잘 알고 있는 것 같습니다. 이제 더 많은 조직들이 5~6년 전과 비교해 사이버 관련 계획을 가지고 있습니다. 계획의 중점은 주로 기술에 있었으며, 네트워크를 어떻게 온라인으로 가져올 것인지, 이메일이나 파일을 어떻게 복구할 것인지에 대한 것이었습니다.
하지만 우리는 그 계획들이 거의 준수되지 않는다는 것을 알고 있습니다. 실제로 필요할 때 처음으로 그것들을 사용하면 그것들은 거의 포괄적이지 않습니다. 사실, 사이버와 IT 맥락에서 어떠한 사건 대응 계획의 첫 번째 초안에서는 거의 확실히 상당히 중요한 누락이 있을 것이라고 말할 수 있습니다.
조직들은 그 응답 계획들을 테스트해야 하며, 그것들을 정기적으로 테스트해야 합니다. 기술이 계속 변하고 있기 때문에 우리의 비즈니스 프로세스도 변하고 있으며, 특히 제3자와 관련해서는 우리가 의존하는 것들도 마찬가지입니다. 그것들은 사건 대응 계획을 테스트할 때 고려해야 할 더 많은 것 중 하나가 되어야 합니다.
그러므로 우리는 고객들에게 사건 대응 플레이북을 가지도록 권장하며, 그것들에게 흔히 발생하는 사건 유형에 대한 것들을 요청합니다. 즉, 이런 일이 발생하면 어떻게 대응할 것인가에 대한 것이며, 이것은 랜섬웨어 공격일 수도 있고, 악의적인 사람에 의해 우리의 시스템 중 하나가 오프라인 상태로 만들어진 경우일 수도 있습니다. 또는 우리의 데이터 중 일부가 인터넷에 유출되었을 수도 있습니다. 이러한 플레이북과 그것들이 다루는 시나리오에 대한 것은 우리가 제안하고 추천하는 바와 같이 IT와 보안 외의 사람들도 참여하게 해야 합니다. 왜냐하면 전체 비즈니스 내의 사람들이 이 사건이 실제로 발생했을 경우 어떻게 대응할 것인지에 관여해야 하기 때문입니다.
그리고 그 테스트에서 배우는 것도 정말 중요합니다. 실제 사건뿐만 아니라 거의 빗나간 사건에서도 배워야 하며, 그러한 테스트를 할 때는 그 테스트가 진짜인지 확인해야 합니다. 다음 해에 정책을 읽고 서명하는 종이 작업이 아니라, 실제 사건을 시뮬레이션해야 합니다. 그러면 그 시나리오를 마치 실제인 것처럼 연기하고, 우리가 어떻게 대처할 것인지, 올바른 사람들이 올바른 시간에 올바른 일을 할 것인지 확인합니다. 그것이 잘못되는 곳이나 빈틈이 발견되면 그것으로부터 배울 수 있으며, 그 계획들을 조정하고 수정할 수 있습니다.
저는 정말로 60% 정도의 사람들이 테스팅 접근법에 사이버를 포함시키지 않고 있다고 답한 것에 대해 그들이 그렇게 하기 시작하길 강력히 권장하고 싶습니다. 그들이 그 계획들에 착수하고 빈틈이 어디 있는지 확인을 시작하기를 바랍니다.
감사합니다. 'The Future in Focus' 팟캐스트를 들어주셔서 감사합니다. 더 많은 에피소드를 듣고 새로운 릴리스 정보를 받아보시려면 Spotify의 홈페이지에서 저희를 방문해주세요. LRQA 서비스에 대한 자세한 내용은 www.lrqa.com 을 방문해주시기 바랍니다.