팟캐스트: 에너지 전환: 속도와 친환경성, 그리고 사이버 보안까지 준비됐는가?

Josh Flanagan: 

안녕하세요, 그리고 전 세계에서 함께해주시는 모든 청취자 여러분 감사합니다. LRQA의 Future in Focus 팟캐스트에 오신 것을 환영합니다. 저는 진행을 맡은 Josh Flanagan입니다.

오늘은 현재 에너지 전환 과정에서 가장 중요한 과제 중 하나인, 빠르고 친환경적일 뿐만 아니라 안전하고 회복탄력성까지 갖춘 에너지 시스템을 어떻게 구축할 것인가에 대해 이야기해보겠습니다.

오늘 함께해주실 분들은 LRQA의 Cybersecurity 부문 Managing Director인 Howard Hughes와 Asia Pacific 지역 EVP인 Fotis Kampouris입니다. Howard, Fotis 두 분 모두 함께해주셔서 감사합니다.

이번 에피소드에서는 해상풍력, 수소, 원자력, 전력망 전환 등 전 세계적으로 추진되고 있는 대규모 에너지 전환 프로젝트의 규모와 속도를 살펴볼 예정입니다. 또한 디지털화 확대가 리스크 환경을 어떻게 변화시키고 있는지, 왜 에너지 인프라가 점점 더 주요 사이버 공격 대상이 되고 있는지, 그리고 기업들이 보안을 희생하지 않으면서도 이러한 전환을 신속하게 추진하는 것이 현실적으로 가능한지에 대해서도 논의하겠습니다.

아울러 이 분야에서 효과적인 리더십과 관리 감독은 어떤 모습이어야 하는지, 그리고 수십 년간 안전하게 운영되어야 하는 인프라를 구축하는 데 있어 단순한 컴플라이언스만으로는 왜 충분하지 않은지도 함께 살펴보겠습니다.

먼저 Fotis께 질문드리겠습니다. 청취자분들이 현재 상황을 이해할 수 있도록 큰 그림부터 설명해주시겠어요? 지금 전 세계에서 가장 주목받고 있는 주요 에너지 프로젝트에는 어떤 것들이 있으며, 어느 지역에서 가장 큰 추진력이 나타나고 있습니까? 또한 현재의 지정학적 불안정성이 이러한 프로젝트의 추진 방식과 입지 선정에 어떤 영향을 미치고 있는지도 함께 말씀 부탁드립니다.

Fotis Kampouris: 

안녕하세요 Josh, 초대해주셔서 감사합니다. 정말 좋은 질문이고, 지금 우리가 마주하고 있는 상황과도 매우 밀접한 주제라고 생각합니다.

한 걸음 물러서서 글로벌 시장을 바라보면, 현재 진행되고 있는 움직임의 규모는 정말 엄청납니다. 중국, 인도, 중동, 호주에서는 대규모 태양광 및 해상풍력 프로젝트가 활발히 추진되고 있으며, 동시에 전력망 연계성과 에너지 저장 분야에 대한 대규모 투자도 이루어지고 있습니다. 우리 모두 알고 있듯이, 송전 인프라 없이 전력을 생산하는 것은 결국 또 다른 병목현상을 만드는 것에 불과하기 때문입니다.

동시에 최근 뉴스에서도 보셨듯이, 원자력이 다시 주목받고 있습니다. 특히 유럽, 미국, 아시아 일부 지역에서 이러한 움직임이 두드러지고 있으며, 수소와 탄소 관련 프로젝트 역시 단순한 목표 선언 단계를 넘어 실제 사업으로 발전하고 있습니다. 중공업과 에너지 안보를 지원하기 위한 파이프라인 구축도 함께 진행되고 있습니다.

무엇보다 달라진 점은, 이제 에너지 전환이 단순한 탈탄소화의 문제가 아니라 에너지 안보의 문제로 변화하고 있다는 것입니다. 각국 정부와 투자자들은 핵심 부품과 장비가 어디에서 공급되는지, 취약한 공급 경로에 얼마나 의존하고 있는지, 그리고 더욱 분열된 지정학적 환경 속에서도 시스템이 안정적으로 운영될 수 있는지를 점점 더 중요하게 보고 있습니다.

방향성은 점점 분명해지고 있습니다. 우리는 더 크고, 더 빠르며, 더욱 긴밀하게 연결된 프로젝트를 필요로 하고 있습니다. 하지만 동시에 훨씬 더 불안정한 세계 속에서 이를 추진해야 하는 상황에 놓여 있습니다.

Josh Flanagan: 

감사합니다, Fotis. 이제 Howard께 질문드리겠습니다. 이러한 프로젝트들은 상당수 이미 오랜 기간 진행되어 왔는데요. 사이버 보안이 언제부터 본격적으로 중요한 논의 주제로 떠오르게 되었으며, 왜 현재 에너지 인프라가 주요 사이버 공격 대상으로 인식되고 있는 걸까요?

Howard Hughes: 

감사합니다, Fotis. 그리고 Josh, 질문 감사합니다. 말씀하신 것처럼 이러한 프로젝트 자체는 업계에서 새로운 개념은 아닙니다. 다만 최근 몇 년 사이 몇 가지 중요한 변화가 있었습니다.

첫 번째는 공격 주체(threat actor)의 정교화입니다. 현재의 공격자들은 매우 높은 수준의 역량을 갖추고 있습니다. 특히 국가 지원을 받는 경우에는 사실상 무제한에 가까운 자원을 보유하고 있다고 봐야 합니다. 오늘날 사이버 보안 기업들이 사용하는 모든 고도화된 기술과 도구를 위협 행위자들도 동일하게 활용하고 있다고 가정해야 합니다. 즉, 공격자들의 역량이 과거보다 훨씬 강력해졌다는 것이 첫 번째 변화입니다.

두 번째는, 전 세계적으로 다양한 사례가 존재하지만, 사이버 공격이 실제 군사 작전의 일부로 활용된 대표적인 사례가 바로 10여 년 전 이란 핵시설을 겨냥한 스턱스넷(Stuxnet) 공격이었다는 점입니다. 이는 사실상 군사·정치적 캠페인의 일부로 사용된 OT(Operational Technology, 운영기술) 기반 무기였습니다. 이후 이러한 형태의 공격은 지속적으로 반복되고 있습니다. 현재 중동에서 벌어지고 있는 상황만 보더라도, 실제 물리적 충돌과 함께 사이버 활동이 병행되고 있는 모습을 확인할 수 있습니다.

세 번째는 Fotis가 언급한 부분과도 연결됩니다. 우리는 이제 훨씬 더 긴밀하게 연결된 네트워크 환경 속에 살고 있습니다. 재생에너지와 기존 에너지 시스템은 모두 전력망 안에서 연결되어야 하며, 국가와 지역 간 전력 공유도 점점 확대되고 있습니다. 하지만 연결성이 높아질수록 이른바 ‘공격 표면(attack surface)’ 역시 함께 확대됩니다. 즉, 공격 대상이 훨씬 커지는 것입니다.

과거처럼 시스템이 분산되어 있던 시기에는 공격자들이 개별 발전사나 송배전 회사를 각각 공격해야 했습니다. 하지만 지금은 상호 연결성이 매우 높아졌기 때문에 하나의 네트워크를 공격하는 것만으로도 그 네트워크가 공급하는 하위 에너지 시스템 전체에 영향을 줄 수 있게 되었습니다.

정말 흥미롭고도 복잡한 시대라고 할 수 있습니다. 제가 OT를 몇 차례 언급했는데, 이는 현재 LRQA가 실제로 수행하고 있는 영역이기도 합니다. 다만 굳이 아쉬운 점을 꼽자면, 우리가 이러한 역량을 충분히 적극적으로 알리지 못하고 있다는 점입니다. 앞으로는 더 적극적으로 알려야 한다고 생각합니다.

현재 LRQA는 OT 테스트를 수행하고 있으며, 앞으로는 OT 모니터링을 비롯해 운영기술과 연계된 다양한 사이버 보안 서비스를 더욱 확대해 나갈 계획입니다.

Josh Flanagan: 

감사합니다, Howard. 최근 중동의 불안정을 포함한 지정학적 사건들이 얼마나 빠르게 에너지 시장과 인프라에 영향을 미칠 수 있는지 우리는 직접 목격하고 있습니다. 이러한 상황은 기업들이 에너지 전환 과정에서 장기적인 회복탄력성을 바라보는 방식을 어떻게 바꿔야 한다고 보십니까? 특히 수십 년 동안 안정적으로 운영되어야 하는 에너지 자산의 경우에는 더욱 중요한 문제일 텐데요. 먼저 Fotis께 질문드리고, 이후에는 Howard께서 사이버 보안 측면에서 추가 의견을 말씀해주시겠습니다.

Fotis Kampouris: 

맞습니다, Josh께서 언급하신 것처럼 이러한 자산들은 10년, 20년, 길게는 원자력 분야의 경우 30년에서 50년까지도 운영되어야 합니다. 최근 중동 지역의 불안정성은 에너지 시스템이 물리적 위협뿐 아니라 디지털 위협에도 노출되어 있다는 점을 다시 한번 상기시켜주고 있습니다.

우리는 그동안 이러한 자산을 효율성과 생산성 중심으로 설계해왔지만, 반드시 ‘위기 상황’을 전제로 설계해온 것은 아니었습니다. 바로 그 점이 현재의 과제라고 생각합니다. 에너지 시스템은 장기간 안정적인 에너지 공급을 유지할 수 있도록 안전하게 운영되어야 하기 때문입니다. 

이제 회복탄력성은 처음부터 시스템 설계에 내재화되어야 합니다. 과거에는 이런 접근이 충분히 이루어지지 않았습니다. 이를 위해서는 공급업체 다변화, 특정 공급망 의존성에 대한 보다 비판적인 검토, 공급망 가시성 강화, 그리고 Howard가 앞서 언급했듯 운영 모델 전반에 디지털 회복탄력성을 구축하는 노력이 필요합니다.

우리의 사고방식 역시 단순한 ‘최적화’ 중심에서 ‘지속 가능성과 내구성’ 중심으로 전환되어야 합니다. 그리고 앞으로 경쟁 우위를 확보하게 될 기업은 바로 이러한 방식으로 시스템을 설계하는 기업들이 될 것입니다.

바로 이런 맥락에서 사이버 보안과 사이버 회복탄력성이 전략적으로 중요해지는 것이며, LRQA 역시 고객사들과 이러한 부분을 함께 지원하고 있습니다. Howard?

Howard Hughes: 

감사합니다, Fotis. 저는 이 문제의 상당 부분이 결국 조직 문화와 이사회 차원의 가시성에서 시작된다고 생각합니다. 시스템을 먼저 설계·구축·운영한 뒤 마지막 단계에서 보안을 덧붙이는 방식이어서는 안 됩니다.

LRQA가 고객사들과 함께할 수 있는 중요한 역할 중 하나는 ‘Secure-by-Design’과 같은 개념을 이해하도록 돕는 것입니다. 즉, 시스템 설계의 모든 단계에서부터 보안을 내재화하는 접근 방식입니다. 또는 ‘제로 트러스트(Zero Trust) 모델’의 7가지 핵심 원칙처럼 시스템의 모든 계층을 검토하고, 각 계층이 안전하게 설계되어 있는지 확인하는 접근도 있습니다.

결국 가장 중요한 첫 번째 요소는 조직 문화와 인식 제고입니다. 그리고 이는 조직 최고위층인 이사회 수준에서부터 시작되어야 합니다.

실제로 지난해 전 세계에서 발생한 성공적인 침해 사고의 96%는 비즈니스 이메일 침해에서 시작됐습니다. 예를 들어 누군가 이메일로 받은 가짜 Amazon 기프트카드 링크를 클릭했다고 가정해보죠. 본인은 단순히 좋은 혜택이라고 생각했겠지만, 그 순간 악성코드가 컴퓨터에 설치되고 네트워크에 새로운 공격 경로가 열리게 됩니다. 그래서 결국 문화, 인식, 교육이 핵심입니다.

또 하나 중요한 점은 위협 행위자들의 기술 채택 속도가 매우 빠르다는 것입니다. 그래서 이제는 조금은 불편하지만 새로운 사고방식을 받아들여야 합니다. 저는 고객과 이야기할 때 항상 “침해는 결국 발생할 것이다”라는 가정에서 출발하라고 말씀드립니다. 즉, 공격자는 언젠가 성공할 수 있다는 전제를 두는 것입니다.

그렇다면 중요한 질문은 이것입니다. “실제로 침해가 발생했을 때 우리는 무엇을 해야 하는가?”

복구 체계, 사고 대응 프로세스, 재해 복구와 비즈니스 연속성 계획에 대한 반복적인 훈련이 필요합니다. 실제로 얼마나 많은 기업들이 이사회 차원의 정기적인 시뮬레이션 훈련을 수행하고 있을까요? 사이버 보안은 반드시 이러한 훈련의 핵심 요소가 되어야 합니다.

공격자들이 점점 더 정교해지고, 그 수가 증가하며, 상당수가 국가 차원의 지원까지 받고 있는 상황에서는 사고방식 자체가 바뀌어야 합니다. 공격자들이 매우 뛰어난 기술과 전문 인력을 보유하고 있다고 전제해야 합니다. 따라서 “방어에 성공할 것”이라고 가정하기보다, “침해가 발생했을 때 어떻게 대응할 것인가”를 중심으로 준비해야 합니다.

추가로 말씀드리자면, 영업 및 고객 지원 측면에서도 중요한 요소들이 있습니다. 앞서 언급한 이사회 시뮬레이션이나 NIST와 같은 프레임워크 기반 접근 방식이 그 예입니다. 만약 조직이 어떤 상태가 ‘좋은 보안 수준’인지 모른다면, 업계에서 인정받는 기준과 비교해 현재 수준을 평가해야 합니다.

또한 정기적인 테스트도 필요합니다. 외부 관점에서 수행하는 전통적인 침투 테스트(Penetration Testing)뿐만 아니라, 실제 공격자의 시각으로 방어 체계를 검증하는 접근도 중요합니다. 예를 들어 레드팀(Red Teaming)은 실제 공격자 역할을 수행하는 팀이 조직 내부로 침투해 방어 체계를 시험하는 방식입니다.

이처럼 LRQA는 현재 에너지 산업뿐 아니라 다양한 산업 분야의 고객들이 활용할 수 있는 다양한 사이버 보안 서비스를 제공하고 있습니다.

Josh Flanagan: 

좋습니다, Howard. 감사합니다. 이제 다음 질문으로 넘어가 보겠습니다. 사이버 보안은 많은 조직에게 상당히 부담스럽고 어렵게 느껴질 수 있는 주제이기도 한데요.

대규모 에너지 전환 프로젝트에서는 일반적으로 어떤 지점에서 사이버 리스크가 간과되는 경우가 많습니까? 또 가장 큰 리스크에 노출되는 조직은 어디이며, 그 이유는 무엇일까요? Fotis께 먼저 질문드리겠습니다.

Fotis Kampouris: 

좋은 질문입니다. 지난 수년간 다양한 에너지 프로젝트를 경험해오면서 느낀 점은, 사이버 리스크는 보통 프로젝트의 아주 초기 단계에서부터 이미 간과되기 시작한다는 것입니다.

프로그램이 아직 엔지니어링, 조달, 구축 중심의 프로젝트로만 인식되고, 수십 년간 운영되어야 하는 장기 자산이라는 관점으로 바라보지 않을 때 이런 문제가 발생합니다. 앞서 말씀드렸듯, 이러한 자산들은 20년, 30년, 40년, 길게는 50년 이상 안정적으로 운영되어야 합니다.

하지만 현실적으로 엔지니어링 팀은 빠른 추진 압박을 받고 있고, 예산은 매우 엄격하게 관리됩니다. 그 결과 주요 설계와 공급업체 선정 결정이 사이버 요구사항이 본격적으로 논의되기도 전에 이미 확정되어 버리는 경우가 많습니다.

바로 이 부분에서 LRQA가 공급업체 평가, 공급망 관리, 품질 및 안전 분야의 솔루션을 통해 지원할 수 있습니다. 우리는 이러한 요소들을 독립적으로 검토하고, 구매자와 공급업체 모두가 리스크를 줄일 수 있도록 지원할 수 있습니다.

특히 가장 큰 리스크에 노출되는 조직은 소유 및 책임 구조가 분산되어 있는 경우입니다. 실제로는 한 조직이 설계를 담당하고, 다른 조직이 조달을 담당하며, 또 다른 조직이 시스템 통합을 수행하는 경우가 많습니다.

이런 환경에서는 모두가 사이버 보안의 중요성을 이야기하지만, 정작 명확한 책임을 지는 주체는 없는 경우가 많습니다. 결국 최종 의사결정자인 자산 소유자(owner)에게 책임이 넘어가게 됩니다.

저는 이것이 가장 큰 과제라고 생각합니다. 문제는 사이버 보안에 대한 무지가 아닙니다. 사이버 리스크가 아직 핵심적인 프로젝트 수행 리스크(core delivery risk)로 취급되지 않고 있다는 점입니다. 그리고 앞으로는 반드시 그렇게 다뤄져야 합니다.

Josh Flanagan: 

좋습니다. 지금까지 조직들이 흔히 범하는 실수들에 대해 이야기해봤는데요. 이제는 반대로, 효과적인 관리 감독은 실제로 어떤 모습이어야 하는지 살펴보면 좋겠습니다. Howard께 먼저 질문드리겠습니다.

Howard Hughes: 

감사합니다. 최근 사례 하나를 예로 들어보겠습니다. 에너지 기업은 아니었지만, 국가 핵심 인프라에 해당하는 대형 운송 기업의 사이버 보안 프로그램 사례였습니다.

그 기업의 이사회는 회의를 시작할 때 먼저 안전(Safety) 브리핑을 진행했고, 그 다음 순서가 바로 사이버 보안 브리핑이었습니다. 즉, 이사회에서 두 번째로 다루는 핵심 의제가 사이버 보안이었던 것이죠.

“현재 어떤 위협이 존재하는가?”
“지난 보고 기간 동안 침해 사고가 있었는가?”

이런 내용들이 재무 성과나 운영 지표보다 앞서 논의됐습니다. 순서는 안전, 사이버, 그 다음이 재무, 인사, 영업 등이었습니다.

이런 부분이 바로 중요한 문화적 변화라고 생각합니다. 좋은 관리 감독이 어떤 모습이냐고 질문하셨는데, 저는 그 출발점이 바로 조직 문화라고 봅니다.

또 하나는 예산 수립 과정입니다. 전통적으로 사이버 보안은 종종 마지막 단계에서 추가되는 부수적인 요소처럼 취급돼 왔습니다. 하지만 가장 바람직한 방식은 대규모 전환 프로그램을 처음 설계할 때부터 사이버 보안을 함께 내재화하는 것입니다.

이제는 단순히 “매출의 몇 퍼센트를 보안에 투자한다”와 같은 접근이 아니라,
“이 시스템을 안전하게 유지하는 데 실제로 얼마가 필요한가?”
“침해가 발생하지 않도록 하기 위해 어떤 투자가 필요한가?”
“만약 침해가 발생하더라도 비즈니스 연속성을 유지하며 고객 서비스를 지속하기 위해 무엇이 필요한가?”

이런 질문을 중심으로 접근해야 합니다.

마지막으로 한 가지 더 말씀드리자면, 이사회 차원의 지속적인 보고와 가시성이 중요합니다. 좋은 소식뿐 아니라 문제 상황까지도 투명하게 공유되어야 합니다. ‘빨간 신호(red status)’를 두려워해서는 안 됩니다.

실제로 최근에는 매우 세부적인 수준의 이사회 보고를 요청하는 사례들도 많았습니다. 어떤 이사회는 최근 발생한 침해 사고의 세부 내용까지 직접 확인하고자 했습니다.

결국 이것 역시 조직 문화와 사고방식의 변화입니다. 하지만 충분히 실현 가능한 변화이며, LRQA는 바로 이러한 역량을 에너지 기업들과 함께 구축해 나가는 파트너 역할을 하고자 합니다.

Fotis, 추가로 말씀하실 부분이 있으신가요?

Fotis Kampouris: 

감사합니다, Howard. 조직 문화와 책임(Accountability) 측면은 정말 잘 설명해주셨습니다. 여기에 저는 한 가지를 더 추가하고 싶습니다. 바로 ‘역량(Competency)’입니다. 현재 리스크 환경은 매우 빠르게 변화하고 있기 때문에, 모든 분야의 전문 인력과 SME(Subject Matter Expert)를 내부에만 갖추고 대응하는 것은 사실상 매우 어려운 일입니다. 바로 이 부분에서 LRQA가 중요한 역할을 할 수 있다고 생각합니다. 우리는 설계와 조달 단계부터 운영, 그리고 시간이 지나며 발생하는 변화 관리까지 전체 라이프사이클에 걸친 Connected Risk Management 역량을 통해 고객과 함께할 수 있습니다. 단순히 특정 시점의 문제를 해결하는 것이 아니라, 고객과 함께 지속적으로 변화하는 리스크 환경을 이해하고 대응할 수 있도록 지원하는 것이 중요하다고 생각합니다.

Josh Flanagan: 

감사합니다. 정말 중요한 인사이트를 주셨습니다. 말씀을 듣다 보면, 특히 일부 기업이나 프로젝트 입장에서는 이러한 주제가 상당히 부담스럽고 복잡하게 느껴질 수 있다는 점도 함께 느껴집니다. 그렇다면 사이버 회복탄력성 측면에서, 지금 이 방송을 듣고 있는 기업들이 가장 먼저 어디서부터 시작하는 것이 좋을까요, Howard?

Howard Hughes: 

전통적으로 — 그리고 지금도 여전히 유효한 방법은 — 먼저 하나의 컴플라이언스 프레임워크를 선택하고, 그 기준에 맞춰 현재 수준을 평가하는 것입니다. 이러한 프레임워크는 오랜 시간 동안 검증되어 왔습니다.

예를 들어 NIST는 매우 좋은 평가 기준이 될 수 있고, ISO 27000 시리즈 역시 훌륭한 기준 체계입니다. 중요한 것은 하나를 선택한 뒤, 해당 기준에 따라 현재 상태를 점검하고 조직 구성원들과 함께 개선 여정을 만들어가는 것입니다.

과거에는 일반적으로 시스템을 구축한 뒤 정기적으로 테스트를 수행하는 방식이 많았습니다. 예를 들어 “올해 침투 테스트를 네 번 진행하겠다”, “올해 한 차례 위협 헌팅을 수행하겠다”와 같은 접근 방식이죠.

하지만 현재 업계에서 가장 크게 변화하고 있는 부분 중 하나는 바로 ‘지속성’입니다.

우리는 매일 올바르게 대응해야 하지만, 공격자는 단 한 번만 성공하면 됩니다. 특히 국가 지원을 받는 위협 행위자라면 시스템 침투에 단 한 번만 성공해도 충분합니다. 반면 우리는 매일 방어에 성공해야 합니다.

그래서 이제는 연속적인 공격 표면 모니터링 개념이 중요해지고 있습니다. 즉, 1년에 몇 차례 테스트를 수행하는 수준이 아니라, 조직의 전체 시스템 환경을 지속적으로 모니터링해야 한다는 것입니다. 분기별 침투 테스트만으로는 충분하지 않습니다.

최근 2주 사이 뉴스에서도 다뤄졌듯, Anthropic이 Glasswing 프로그램을 통해 공개한 최신 모델 ‘Mythos’는 국가 핵심 인프라 네트워크에서 20년 이상 방치된 취약점을 발견하기도 했습니다.

결국 일부는 아주 기본적인 보안 위생의 문제이기도 합니다. 만약 시스템에서 취약점을 발견했다면, 그날 바로, 가능하면 그 시간 안에 패치해야 합니다. 왜냐하면 그것이 열려 있다면, 여러분이 발견한 취약점은 공격자 역시 100% 발견하게 될 것이기 때문입니다.

그리고 또 하나 중요한 것은 시뮬레이션 훈련입니다. 조직이 일정 수준 이상의 보안 체계를 갖추고, 지속적인 개선 로드맵까지 마련했다면, 이제는 실제 침해 상황을 지속적으로 가정하고 훈련해야 합니다.

예를 들어 LRQA와 같은 외부 전문기관과 협력해 기존의 전형적인 공격 시나리오가 아니라, 조직이 미처 생각하지 못했던 방식의 공격을 가정해 반복적으로 시뮬레이션해보는 것입니다.

이러한 부분들이 제가 추천드리고 싶은 몇 가지 핵심적인 모범 사례입니다.

Josh Flanagan: 

두 분 모두 오늘 정말 깊이 있는 인사이트를 공유해주셔서 감사합니다. 마지막으로 마무리 질문을 드리고 싶습니다. 에너지 전환을 안전하게 보호하기 위해 기업들이 반드시 가져야 할 가장 중요한 사고방식의 변화는 무엇이라고 생각하십니까? 먼저 Fotis께 질문드리겠습니다.

Fotis Kampouris: 

조직 차원의 이야기에 앞서, 저는 조금 더 큰 관점에서 말씀드리고 싶습니다. 에너지 전환은 앞으로 우리가 맞이하게 될 가장 근본적인 성장 단계 중 하나이며, 이를 위해서는 정부 차원의 지원 역시 반드시 필요합니다.

각국 정부와 규제기관은 서로 다른 프레임워크를 보다 단순화하고 긴밀하게 연결할 필요가 있습니다. 예를 들어 사이버 보안 네트워크를 이야기할 때, 프랑스와 영국을 연결하는 전력망이나 일본과 한국 간의 전력망을 떠올려보면 됩니다. 서로 다른 규제와 표준이 존재하면 시스템 연결과 공통된 방식의 소통이 훨씬 더 어려워집니다.

따라서 정부와 규제기관 차원에서 규제 프레임워크를 보다 정렬시키고 연결하는 변화가 필요하다고 생각합니다.

그리고 조직 차원에서는, 빠른 속도로 전환을 추진하기 위해 사이버 보안과 회복탄력성을 “나중에 보완하는 요소”가 아니라 “지금 당장 해결해야 하는 핵심 요소”로 인식해야 합니다. 이는 프로젝트 첫날부터 전체 실행 과정에 포함되어야 합니다.

사이버 보안을 잘못 다뤘을 때의 비용은 매우 치명적일 수 있습니다. 에너지 공급 자체가 중단될 수도 있고, 공급망이 마비될 수도 있으며, 무엇보다 기업의 평판에 심각한 손상이 발생할 수 있습니다. 최근 몇 주간 중동에서 벌어진 상황만 봐도 이러한 리스크가 얼마나 현실적인지 확인할 수 있습니다.

그래서 제가 생각하는 가장 중요한 사고방식의 변화는 매우 단순합니다. 속도와 보안은 서로 경쟁하는 우선순위가 아니라는 것입니다.

우리는 빠르게 움직여야 합니다. 하지만 동시에 매우 불안정한 세계 속에 살고 있다는 점도 잊어서는 안 됩니다. 그리고 바로 그 속도를 가능하게 해주는 기반이 회복탄력성이라고 생각합니다.

Howard, 이어서 말씀 부탁드립니다.

Howard Hughes: 

사실 다시 한 번 ‘문화’ 이야기를 하고 싶었습니다. 그만큼 저에게 가장 중요한 요소이기 때문입니다. 하지만 이번에는 다른 관점에서 말씀드리자면, 핵심은 결국 ‘속도’라고 생각합니다.

국가 지원을 받는 공격 조직이나 조직화된 범죄 기반 위협 행위자들은 사실상 무제한에 가까운 자원을 가지고 있다고 가정해야 합니다. 그들은 회의 승인을 받을 필요도 없고, 내부 결재 절차를 거칠 필요도 없습니다. 목표를 발견하면 즉시 적절한 도구와 기술을 활용해 매우 빠르게 움직입니다.

그래서 중요한 것은 LRQA와 같은 파트너를 찾고, 그 파트너를 조직의 생태계 안으로 적극적으로 받아들여 더 빠르게 대응할 수 있도록 하는 것입니다.

새로운 메일 게이트웨이 구축을 다음 분기까지 미루지 마십시오. 방화벽 교체 예산을 내년까지 기다리지 마십시오. 또한 연 4회의 침투 테스트만 수행하는 것이 충분한 수준이라고 생각해서도 안 됩니다. 그것은 1990년대 기준에서의 모범 사례였습니다.

이제는 “내일 바로 테스트를 실행할 수 있는가?”를 고민해야 하는 시대입니다.

실제로 LRQA는 최근 AI 기반 침투 테스트(AI Pen Testing) 서비스를 출시했습니다. AI 에이전트를 활용해 더욱 효과적이고 빠른 속도로, 거의 사전 준비 없이 테스트를 수행할 수 있도록 한 것입니다. 즉, “다음 달에 테스트를 예약하겠다”가 아니라 “내일 바로 테스트를 진행하겠다”는 접근 방식입니다.

우리가 고객들에게 전달하고자 하는 핵심 메시지는 바로 ‘긴급성’입니다. 왜냐하면 여러분이 하루를 기다리는 동안에도 위협 행위자들은 네트워크를 정찰하고, 맞춤형 악성코드를 개발하며, 심지어 이전에 한 번도 사용된 적 없는 제로데이(Zero-day) 공격까지 준비하고 있을 수 있기 때문입니다.

그리고 그런 공격이 실제 네트워크에 침투했을 때, 기존 방어 체계만으로는 막아내지 못할 가능성도 충분히 존재합니다.

그래서 결국 저에게 가장 중요한 것은 조직 문화와 변화의 속도입니다.

Josh Flanagan: 

두 분 모두 감사합니다. 오늘 에피소드는 여기서 마무리하겠습니다. 귀중한 인사이트를 공유해주신 두 분께 감사드리며, 함께 들어주신 모든 청취자 여러분께도 감사드립니다.

오늘 우리는 에너지 전환이 단순히 속도와 규모의 문제가 아니라, 회복탄력성의 문제이기도 하다는 점을 살펴봤습니다. 에너지 시스템이 더욱 긴밀하게 연결되고 지정학적·사이버 리스크에 더 크게 노출되는 환경 속에서, 기업들은 사이버 보안을 사후 대응 요소가 아니라 프로젝트 초기 단계부터 반드시 포함되어야 하는 핵심 실행 과제로 인식해야 합니다.

LRQA가 에너지 전환 전 과정에서 조직의 리스크 관리를 어떻게 지원하고 있는지, 그리고 사이버 보안 서비스에 대해 더 자세히 알고 싶으시다면 lrqa.com을 방문하시거나 직접 문의해주시기 바랍니다.

지금까지 함께해주셔서 감사합니다. 다음 에피소드에서 다시 찾아뵙겠습니다.