보안뉴스 창간 17주년을 축하합니다!!

Home > 전체기사

[이슈인터뷰] 현대오토에버 이훈호 팀장 “자동차 제조 혁신으로 공급망 보안 중요성 커져”

입력 : 2024-04-08 15:35
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
[인터뷰] 현대오토에버 보안진단팀 이훈호 팀장
협력사, 부품사 등 소프트웨어 공급 생태계 전반의 보안 수준 향상에 주력
산학협력 통한 자체 인재 육성 등 뛰어난 역량 갖춘 보안인력 확보에 만전


[보안뉴스 김경애 기자] 현대오토에버가 소프트웨어 공급 생태계 전반의 보안 수준을 끌어올리는데 심혈을 기울이고 있다. 지난 2년 전부터 ICT 개발 협력 30여 개 사의 보안 점검과 취약점 개선 작업에 이어, 지난 3월 11일에는 차량 부품 협력사 153개 사를 대상으로 취약점 진단에 착수한 바 있다. 올해 하반기에는 취약점 조치 대응방안을 제시하고 이행 진단으로 취약점 조치 여부를 확인할 예정이라고 밝혀 자율적인 보안 강화 체계 구축에 이목이 집중되고 있다.

현대오토에버가 소프트웨어 공급 생태계 전반의 보안 수준을 끌어올리는 목적은 협력사에서 자동차 부품 제조업체까지 대상을 넓혀 자동차 산업을 안전하게 보호하기 위해서다. 이에 <보안뉴스>는 현대오토에버 보안진단팀 이훈호 팀장과의 인터뷰를 통해 협력사에서 자동차 부품 제조업체 등을 대상으로 한 취약점 진단 배경과 현재 진행상황, 그리고 현대오토에버의 보안강화 대책을 들어봤다.

▲현대오토에버 보안진단팀 이훈호 팀장[사진=현대오토에버]


Q. 팀장님과 현대오토에버에 대한 보안조직 및 주요 업무 등에 대한 전반적인 소개 부탁드립니다.
안녕하세요. 현대오토에버 보안진단팀 이훈호 팀장입니다. 저는 현대오토에버에서 IT 정보시스템을 구성하는 서버, DB, 미들웨어의 운영과 애플리케이션 개발 업무를 수행했고, 현재는 정보보안센터에서 보안진단 업무를 하고 있습니다. 보안진단은 정보시스템을 대상으로 보안 취약점을 도출하고 발생 원인을 분석해서 보안수준을 강화함으로써 정보 시스템을 안전하게 운영하는 것을 목적으로 합니다.

현대오토에버는 정보보안센터 아래 총 9개 조직으로 구성되어 있는데요. 그룹 보안 강화를 위해 글로벌 전 계열사, 전 영역(IT·OT·차량)에 대한 전문 보안 서비스 제공을 목표로 사이버 보안 위협에 대응해 정보보안 사고예방·탐지·사고대응 업무를 수행하고 있습니다.

IT 보안 측면에서 외부 공격, 내부유출 차단을 위한 보안 솔루션을 운영하고, 급변하는 환경·법규에 따라 보안정책을 지속적으로 제·개정하고 있습니다. 외부 위협을 탐지·차단해 내부의 정보유출을 통제하는 시스템을 구축·운영하고 보안체계를 유지·개선하기 위해 필요한 서비스도 고객사에 지속적으로 제공하고 있습니다. 또한 보안정책을 기획하고, 정책이 잘 운영될 수 있도록 관리·점검·대응하는 활동을 합니다.

마지막으로, 차량 보안을 위해서 차량에 대한 다양한 위협 식별을 위한 모니터링과 진단 업무를 수행하고 있습니다. 현대오토에버는 복잡해지는 디지털 업무 환경, 첨단화되는 보안 위협에 대응하기 위한 방법과 기술, 솔루션을 제공해 고객이 보안수준을 높일 수 있도록 돕고 있습니다.

Q. 현대오토에버에서 이번에 공급망 공격을 예방하기 위해 차량 부품 협력사의 공장보안 강화에 나섰다고 밝혔는데요. 그 배경이 궁금합니다.
완성차를 생산하는 과정에서 부품을 제공하는 협력사는 연결고리로 이어져 있습니다. 자동차 산업의 공급망에서 협력사와 같은 ‘약한 고리’가 공격 받으면 최종 제품인 자동차 생산에도 차질이 생길 수 있습니다. 상대적으로 보안이 취약한 부품 협력사를 공격하려는 시도가 증가하고 있기 때문이기도 합니다.

부품 협력사의 정보시스템은 해커들의 타깃이 될 수 있고 해커들의 공격으로 랜섬웨어가 유포되면 공장 생산라인 가동이 중단되는 사고가 발생할 수 있습니다. 이것이 차량 부품 협력사의 공장보안 강화에 나선 이유입니다.

현대오토에버는 자동차 산업의 공급망을 구성하고 있는 여러 협력사와의 상생을 위해 보안 서비스를 지원합니다. 임직원의 보안인식 제고를 위한 피싱 모의훈련 플랫폼 서비스를 제공하고 있는데요. 피싱 모의훈련 플랫폼 서비스는 보안 동향을 반영한 컨텐츠를 기반으로 훈련과 감염된 사용자에 대한 교육 컨텐츠를 제공합니다.

또한 공급망을 구성하고 있는 정보시스템의 보안 취약점을 확인하고 개선하기 위한 보안 진단 서비스를 지원합니다. 현대오토에버의 보안전문가들은 해커들이 활용하는 공격 표면에 노출된 네트워크, 서버, SW의 취약점을 찾아 침투 경로를 차단해 보안사고를 사전에 예방하고 부품 협력사 공급망의 안정성을 확보할 수 있습니다.

Q. 스마트 상생 활동으로 153개사 취약점 진단 및 대응방안을 제시한다고 하셨는데, 구체적으로 어떤 내용인지 소개 부탁드립니다.
기존에는 저희가 피싱 모의 훈련 플랫폼을 운영하고 고객사에 서비스를 제공하고 있었는데요. 지난해에 이를 부품 협력사까지 확대했습니다. 보안사고는 물리적·관리적·기술적 측면에서도 원인이 있을 수 있지만, 휴먼 에러가 가장 중요하거든요. 이 때문에 피싱 훈련을 제공을 했던 것이고요, 올해는 기술적인 측면에서 접근하고 있습니다.

각 부품을 생산·조달하는 과정에는 정보 시스템이 중요합니다. 이런 정보 시스템들은 서버와 소프트웨어들로 구성돼 있죠. 하지만 이러한 서버와 소프트웨어는 보안 약점이 존재합니다. 저희는 이런 보안 약점을 찾아내 조치하고, 실제로 사이버 공격이 이런 보안 약점을 통해 들어오기 때문에 그런 부분들을 사전에 진단·방어하려는 활동을 진행하고 있습니다.

▲협력사 보안 관리 지원체계[자료=현대자동차 동반성장 페이지]


Q. 이번 차량 부품 협력사의 공장보안 강화를 통해 현대오토에버가 기대하는 점은 무엇인가요?
현대오토에버가 보안 강화 영역을 그룹 전체에서 협력사까지 확대함으로써 완성차가 생산되기까지 서플라이 체인(Supply Chanin)에서의 보안성을 확보하는 데 기여할 수 있을 것이라 기대합니다. 사이버 보안 위협으로부터 공장 내 생산시설, 네트워크 및 데이터를 보호하고 생산라인의 중단, 데이터 탈취 등 보안사고를 사전에 예방해 자동차 산업의 지속성장 기반을 강화해 나갈 것입니다.

Q. 사이버 보안 강화와 관련해 협력사에 꼭 당부하고 싶은 메시지는 무엇인가요?
보안은 조직과 역할, 그리고 프로세스와 절차가 필요한데요. 협력사의 경우는 보안 조직이 없거나 절차나 프로세스, 기술적인 부분이 미흡한 경우가 많다고 판단됩니다. 현대오토에버가 이러한 부분을 지원해 보안수준을 높일 수 있을 것으로 생각하고 있습니다.

취약점 진단은 취약점을 식별하고 조치 및 이행 점검을 수행해 취약점이 재발하지 않도록 하는 것입니다. 취약점을 악용한 사이버 공격에 지속적으로 대응하기 위해서는 취약점 관리 프로세스를 정립하고, 정기적인 취약점 진단으로 시스템과 소프트웨어를 최신 상태로 유지하며 운영체제 및 애플리케이션에 최신 패치를 적용해야 합니다. 또한, 지속적인 임직원 보안인식 제고 활동을 통해 자율적인 보안이 정립되도록 관리하는 것이 중요합니다.

Q. 보안과 관련해 협력사 관리 노하우를 공유해 주신다면?
보안에서 가장 중요한 점은 조직의 규모를 떠나서 ‘사용자들이 얼마나 보안을 잘 준수하느냐’인데요. 그 사용자에는 업무를 하는 임직원도 있을 것이고, 정보 시스템을 운영하는 임직원도 있을 것이고 생산공정에 투입되는 임직원들도 있을 것인데요.

그들이 보안을 잘 준수할 수 있게끔 알려주는 게 중요합니다. 여기에 필요한 게 절차와 프로세스, 가이드라인, 교육 훈련 등입니다. 이런 부분들이 잘 갖춰졌을 때 보안수준이 높아진다고 생각합니다. 일종의 변화 관리라고 할 수 있는데요, 이러한 변화 관리가 한순간의 캠페인이 아니고 지속성 있게 내재화할 수 있도록 지원하는 게 필수입니다.

Q. 다른 산업군의 보안조직과 차별화되는 현대오토에버만의 차별점은 무엇인가요?
자동차 업계에서는 차량의 SDV화로 인해 보안의 중요성이 매우 커지고 있습니다. 차량 내의 소프트웨어 비중이 커지고, 커넥티비티가 확대되면서 차량 내의 부품 간의 통신, 차량과 클라우드의 통신 등 다방면의 보안 강화가 요구되고 있죠. 특히 자동차 생산 분야에서도 제조 혁신으로 인해 보안의 중요성이 더욱 커졌습니다. 현대오토에버는 거기에 따른 보안 강화 로드맵을 수립하고 있습니다.

전통적인 공장은 사람과 자산, 그리고 데이터 관리 시스템이 모두 격리된 상태에서 작업되지만 스마트 팩토리는 기계, 사람, 빅데이터가 디지털로 연결된 시스템으로 통합 운영됩니다. 스마트 팩토리를 구성하는 기술적인 요소는 클라우드, 인공지능, 머신러닝, 빅데이터, 산업용 사물인터넷(IIOT), 디지털 트윈, 가상현실(VR)과 증강현실(AR)입니다. 기존의 격리된 폐쇄망 환경에서는 모든 데이터나 프로세스가 다 내부에 있었습니다.

스마트팩토리 환경에서 퍼블릭, 프라이빗, 하이브리드 등 모든 클라우드는 스마트공장에서 모든 데이터와 정보가 이동하는 통로입니다. 전사 차원에서의 클라우드 연결을 통해 비즈니스의 각 영역에서 실시간 데이터로 작업하고, 공급망 내 연결된 모든 자산과 시스템을 확인할 수 있습니다

따라서 스마트팩토리는 더 높은 수준의 보안이 요구되고, 기존과 다른 아키텍처의 보안 시스템이 필요합니다. 이를 설계하고 구축 운영하는 것이 현대오토에버의 역할입니다.

▲현대오토에버 보안진단팀 이훈호 팀장[사진=현대오토에버]


Q. 현대오토에버 그룹 자체 내부 보안 강화를 위해 어떤 노력을 하고 있나요?
자체 보안 강화를 위해서는 그룹 전체의 침해사고를 사전에 예방하기 위해서 화이트해커를 레드팀으로 활용해 외부 해커들이 사용하는 공격 전술과 전략들과 동일한 방식으로 침투 경로들을 식별하고, 보안 활동들을 개선하기 위한 분석을 하고 있습니다. 또한 다양한 ISO 27001이나 ISMS 같은 정보보안 관리 인증을 획득하고 차량보안 부문에 있어 CSMS 인증을 받는 등 보안 서비스 경쟁력 강화를 위해 다양한 노력을 기울이고 있습니다.

저희 정보보안센터의 인원들은 한국교통안전공단의 보안 취약점을 찾는 공모전에 두 팀이 나가 각각 우수상과 장려상을 받는 등 우수한 역량을 가지고 있습니다. 업계의 보안전문가를 영입하는 데에도 힘을 기울이지만, 산학협력을 통한 자체 인재 육성 등 뛰어난 역량을 가진 보안인력을 확보하기 위해 노력 중입니다.

Q. 공급망 공격 예방과 협력사 공장 보안 강화와 관련해 향후 계획이 궁금합니다.
크게는 보안 강화 대상과 제공 서비스의 확대를 추진할 계획입니다. 협력사 공장 보안 강화 대상을 완성차 업체의 협력사에서 부품사의 협력사로 확대하고, 국내 협력사 뿐만 아니라 북미, 유럽, 아시아 태평양 등 권역별 협력사의 보안도 강화할 수 있도록 지원할 예정입니다.

또한 보안 강화 프로그램도 현재의 취약점 식별 및 조치에서 한발짝 더 나아가 진단 컨설팅 서비스를 통해 기업의 보안수준을 점검하고, 효과적인 솔루션을 제공할 수 있도록 할 것입니다. 이를 위해 전문가 확보 및 역량 강화 등을 추진하려고 합니다. 컨설팅을 통해 고객의 중장기 보안체계를 구축하는 역할을 수행하며, 고객의 현황을 분석 검증하고 그 결과를 토대로 미래의 발전방향을 제시하려는 것입니다.
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
 하이젠 파워비즈 23년 11월 16일~2024년 11월 15일까지 아스트론시큐리티 파워비즈 2023년2월23일 시작 위즈디엔에스 2018 넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지
설문조사
3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
영상정보처리기기 및 안전조치 기준
개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
손해배상책임 의무대상자 변경 및 확대
공공기관 개인정보 보호수준 평가 확대
기타(댓글로)