OT 없이는 제로 트러스트를 설명할 수 없습니다

00:02 카를로스 부에나노

그들은 이제 보안을 책임지고 있습니다.지금까지는 기본적으로 보안을 제공할 책임이 없었습니다.좋아요.물론 그들은 작전이 중단되는 것에 대해 우려하고 있습니다.

00:14 라구 난다쿠마라

The Segment: 제로 트러스트 리더십 팟캐스트에 오신 것을 환영합니다.저는 호스트입니다. 제로 트러스트 세그멘테이션 회사인 Illumio의 산업 솔루션 책임자인 라구 난다쿠마라 (Raghu Nandakumara) 입니다.오늘은 자산 인텔리전스 사이버 보안 분야의 선두 주자인 Armis의 OT 담당 CTO인 카를로스 부에나노와 함께합니다.Carlos는 제어 시스템 및 통신 분야에서 30년 이상의 경력을 쌓았습니다.그는 솔루션 아키텍트부터 수석 엔지니어, ICS 사이버 보안 컨설턴트에 이르기까지 다양한 역할을 맡아 전 세계 조직에서 근무했습니다.지난 5년간 그는 특히 산업 네트워크 내에서 사이버 보안 솔루션을 운영하는 데 주력했습니다.이 에피소드에서는 Carlos가 OT 보안으로 가는 길, 산업 환경에서의 제로 트러스트의 중요성, 생산성을 저하시키지 않으면서 보안을 발전시키는 방법에 대해 논의합니다.OT 보안의 선두주자인 Armis의 OT 담당 CTO인 더 세그먼트 카를로스 부에나노 (Carlos Buenano) 의 이번 에피소드에 오신 것을 진심으로 환영합니다.카를로스, 세그먼트에 오신 것을 환영합니다.

01:24 카를로스 부에나노

정말 고마워요.초대해 줘서 고마워요.여기 오게 돼서 반가워요.

01:28 라구 난다쿠마라

오, 즐거움은 전부 제 것 같아요.팟캐스트 시즌 2에 푹 빠졌으니까요. 제 기억이 맞다면 말이죠.OT 보안 전문가가 나오는 첫 번째 에피소드인 것 같아요. 요즘 가장 먼저 떠오르는 사람은 바로 이 에피소드인 것 같아요.그래서 사람들이 정보 보안 분야의 커리어를 생각할 때 OT 보안으로 가는 길은 자연스러운 길이 아니라고 생각합니다.여러분의 배경에 대해 조금 말씀해 주세요.

01:51 카를로스 부에나노

네, 저는 전자 엔지니어이고 제어 시스템을 전문으로 합니다.대학교에 다니면서 한 가지 과목을 배웠던 기억이 납니다. 바로 제어 시스템이었죠.그리고 푹 빠졌어요.PLC를 프로그래밍하고, SQL Server를 구성하고, 센서와 액추에이터에 연결되는 정보를 가져와 자동화를 실현하는 일은 처음부터 저를 사로잡았습니다.커리어 내내 저는 기본적으로 제어 시스템 엔지니어가 될 수 있는 기술을 개발했습니다.네트워킹이 제로 네트워크와 이더넷 네트워크 간의 전환의 일부였던 때가 기억납니다.그리고 저는 그게 정말 궁금했어요.저는 그 일원이 되고 싶었지만, 그 전환에 동참하고 싶었고, 전체 네트워킹 시스템과 제어 시스템을 하나로 합치는 일에 동참하고 싶었습니다.그리고 제어 네트워크를 설계하기 시작했는데, 사실 꽤 흥미로웠어요.그리고 정말 많죠.사실 PLC를 구성하는 데 더 집중하고 있었죠.SCADA는 그것이 DCS라고 말했습니다. 즉, 네트워킹, 프로그래밍, IEC 62443과 관련된 제어 네트워크 정의와 그린 씰 (Green Seal) 관점에서 네트워크 세분화를 정의하는 방법에 대해 다루고 있습니다.그리고 서서히 시스템, 액세스 디렉터리, EDR 등에 관여하기 시작했고, 이 모든 시스템을 하나의 도메인으로 통합하기 시작했습니다.그리고 이러한 디바이스를 보호하고 백업하며 적절한 절차를 마련하는 것도 중요하죠.당시에는 ASC 62443을 따랐는데, 이제 막 빠져든 것 같았는데, 지난 10년 동안 저는 OT 환경을 위한 사이버 보안에만 집중해 왔습니다.제가 환경과 OT 환경에 대해 이해하고 있는 것은 OT 직원, 엔지니어링 팀, 공장 관리자와 소통하고 그들이 들어야 할 정보를 제공하는 것입니다. 왜냐하면 생산을 보호하고자 하기 때문에 공장 관리자와의 대화는 실제로 매우 복잡할 수 있기 때문입니다.그리고 나서 보안 주제를 소개하기 시작해야 하는데, 이는 사실 우리의 즐거움 중 하나입니다.

04:18 라구 난다쿠마라

마음에 들어요, 고마워요.감사합니다. 제어 시스템에 대한 전문 지식을 갖고 계신 분이라는 사실이 매력적이라고 생각하기 때문에 감사합니다. 즉, 공장 관리자 등과 이런 대화를 나누면 오늘날 정보에 입각한 관점에서 대화를 나눌 수 있습니다.

04:38 카를로스 부에나노

랩톱 프로그래밍, PLC를 만든 사람은 저뿐이었어요. 케이블을 꽂았죠.그래서 공장 관리자가 생산을 유지하고, 그렇게 하는 동안 사람들의 안전을 유지하기 위해 어떤 노력을 기울여야 하는지 정확히 이해하고 있습니다.

04:53 라구 난다쿠마라

그래서 저는 제어 시스템을 공부할 때 공학을 공부하던 시절로 돌아가 보고 싶습니다.그 시점에서 보안에 대해 생각하시나요?

05:01 카를로스 부에나노

아뇨, 절대 안 돼요사실 저는 항상 자동화에 초점을 맞췄어요.어떻게 자동화하는지 아시죠.물론 우리는 로크웰, 지멘스, 슈나이더 같은 공급업체들과 관계를 맺고 그들의 도구를 배우고 자동화를 수행하는 가장 효율적인 방법을 배우는 데 익숙했습니다.그리고 OT 시스템의 경우 내부적으로 계층 구조도 있습니다. 자동화의 관점에서 고객이 무엇을 해야 하는지, 어떻게 행동해야 하는지, 무엇을 기대해야 하는지를 정의하는 프로세스 엔지니어가 있습니다.하지만 제어 시스템이 가까이에 있기 때문에 프로세스 엔지니어가 작성한 모든 설명을 이해할 수 있도록 제어 시스템을 구성한 다음 제자리에 배치해야 합니다.그런 다음 설계하고 구현하세요.그런 다음 다른 것들을 보고 생각하게 되죠.표준을 생각하고, 템플릿을 프로그래밍하여 시스템을 프로그래밍하는 방법을 생각하게 됩니다. 따라서 유지 관리 업무를 맡게 될 다음 담당자가 이를 유지 관리하고, 이해하고, 문서화하기 위해 해야 할 일을 해야 합니다.따라서 실제로 이러한 제어 시스템을 구현하는 데 더 초점을 맞추고 있는 것이고, 가능한 것을 활용하게 되는 것이죠.네트워크를 사용하고 네트워크를 연결하면 IP 주소가 주어집니다.네트워크가 있거나 ID 번호를 받은 경우, 직렬 네트워크가 있는 경우, 게이트웨이와 통신 방식이 있는 경우, 정보를 가져오도록 다양한 태그로 SCADA 서버를 구성합니다.따라서 이러한 시스템을 구현하는 동안 구현해야 하는 지식은 무궁무진합니다.보안에 대해 생각할 여지는 거의 없습니다. 보안은 실제로 제대로 작동하도록 만드는 것이 전부입니다.다른 프로젝트와 마찬가지로 프로젝트 매니저가 있고, 중요한 것은 특정 프로젝트를 완수하는 데 전념하는 자산인 시간이 관건입니다.OT 네트워크의 주요 요구 사항 중 하나는 통신이 필요한 장치와 통신하는 것이기 때문에 통신에 대해 생각하지 않아도 운영 관점에서 요구 사항을 충족하고 장치가 실제로 정상적으로 작동하는지 확인하는 것이 가장 중요합니다. 통신에 대해서는 생각하지 않아도 됩니다.새로운 도구를 만들 때 옵션을 더 추가하고 싶을 때는 응용 프로그램을 생각하지 않아도 됩니다. 따라서 실제로 사용할 수 있도록 말이죠.그리고 아뇨, 아뇨, 이건 사실 PLC와 HMI가 있고 SCADA 서버가 있고, 세 대를 연결하는 네트워크가 있습니다. 일단 연결되면 건드리지 마세요.한 번 봅시다.작동 중이에요.실제로 매우 엄격한 변경 관리를 거쳐야 합니다. 변경 사항이 적용되고 검증되고 공장 관리자의 실제 승인을 거쳐 네트워크 성능에 부정적인 영향을 미치지 않도록 하기 위해서입니다.그래서 일단 설계가 되면 제어 네트워크를 설계한 사람이 있거나 나중에 그 사람이 되는 것과 같은 거죠.그리고 그것을 바꿀 수 있도록 설계되었는데, 변경해야 할 구체적인 이유가 있습니다.

08:38 라구 난다쿠마라

아주 자세한 설명을 해주셔서 감사합니다.다른 말로 바꾸어 설명하겠습니다. 그래서, 많이 하찮게 여긴 것에 대해 사과드립니다.하지만 요약하자면, 제어 시스템의 최우선 과제는 플랜트를 계속 운영하고, 효율적으로 유지하고, 안전하게 유지하는 것과 같습니다.그렇죠?하지만 생각해보면 그게 우선순위인 것 같아요.예를 들어 애플리케이션 개발 환경 같은 것에 묻어두면 애플리케이션 팀이 애플리케이션의 가용성, 안정성에 신경을 쓰는 것과 같습니다.보안이 손상되면 거의 “음, 애플리케이션이 작동하지 않으면 누가 보안에 신경을 쓰겠어?”자, 이제 이 기술을 현재의 역할로 옮겨 볼까요?공장 관리자나 그러한 업무를 담당하는 담당자와 어떻게 대화를 나누시나요? 그들이 가장 중요하게 생각하는 사항을 손상시키지 않으면서 필요한 보안을 올바른 방식으로 도입할 수 있는 방법을 설명하기 위해 어떻게 해야 할까요?

09:31 카를로스 부에나노

네, 정말 어려운 대화네요.아시다시피 공장 관리자와 엔지니어링 팀은 네트워크를 매우 보호합니다.하지만 기본적으로 성능을 검증한 다음 네트워크 설계를 하는 것에 대한 우려도 있습니다.이러한 네트워크가 실제로 접하는 통신.그러니까 기본적으로 두 가지 방법이 있는 것 같아요. 제 생각엔 두 가지 전략이죠.첫 번째는 저에게 어떤 효과가 있는가입니다.공장 관리자인 제게는 어떤 의미가 있을까요?실제로 어떻게 해야 합니까? 가시성부터 시작하고 싶은 이유는 무엇입니까?인벤토리를 이미 가지고 있고, 이미 가지고 있고, 이 장치가 무엇을 해야 하는지 이해합니다.그런 다음, 이렇게 시작합니다. 자, 인벤토리를 최신 상태로 유지하고 있는데, 수명이 다한 시점에 어떤 기기를 사용하고 있는지 알고 계신가요?이 장치들이 실제로 원래 해야 할 일을 하고 있다고 정말로 확신할 수 있나요?구성 오류도 없는데, 실제로 시스템이나 PLC를 변경하는 사람은 누구일까요?이들이 실제로 언제 변경을 하는지 알고 계신가요?따라서 접근 방식은 사실 보안 시스템을 도입하면 얻을 수 있는 이점과 기본적으로 수행해야 하는 일부 프로세스를 용이하게 할 수 있다는 점에 더 가깝습니다.그리고 아마도 로드맵이 가장 효율적일 수도 있고, 그들은 문제점을 이해하고 있을 수도 있습니다.아주, 아주 구체적인 예를 들어보죠. 저희 고객 중 한 분이 팀에 계신 거죠.그들은 제게 이렇게 물었습니다. “좋아요, IP 주소에 문제가 생겼어요.알다시피, 저는 이 장치를 네트워크에 배포하려고 합니다.그리고 IP 주소가 충돌할 거라고 하는데 찾을 수가 없어요.”그러다가 다른 사람이 제게 와서 다른 기기를 소개하고 스프레드시트에 있는 무료 IP 주소를 사용한 다음 스프레드시트를 업데이트했다는 사실이 밝혀졌습니다.그러자 다른 사람이 들어와서 이걸 사용하고 싶다고 하더군요.그러고는 가시성 플랫폼, 즉 가시성 플랫폼을 이용해서 IP 주소를 탭해서 장치 두 개를 찾았습니다.그러자 공장 관리자는 이렇게 묻습니다. “그게 간단한가요?”예전에는 방법을 알아내는 데 몇 주가 걸렸어요.그리고 그 혜택을 실제로 드러내고 나면우리가 말했죠. “좋아, 더 말해줘.제가 뭘 더 할 수 있을까요?”그래서 레시피가 무엇인지에 대한 정확한 답을 말씀드릴 수는 없지만 아이디어는 말씀드릴 수 있습니다.함께 사용하고 있는 보안 플랫폼이 어떤 것인지 이해하도록 도와주세요. 몇 가지 이점을 가져다 줄 것입니다. 그런 다음 고객 측의 이점을 강조하세요.보안 부분을 충족해야 하기 때문에 고객은 관심을 갖지 않을 것입니다. 그래야 이익을 얻을 수 있기 때문입니다.그 자체로 전체 조직에 어느 정도 혜택을 줄 수 있겠지만, 특별히 팀에는 도움이 되지 않을 것입니다.

12:50 라구 난다쿠마라

정말 환상적이에요.스프레드시트 스토리를 통한 IP 주소 추적은 재미있습니다. 고객 입장에서 일하던 시절로 돌아가 볼 수 있기 때문이죠.그리고 그 스프레드시트나 스프레드시트의 키를 쥐고 있는 사람이 왕이나 여왕입니다.정말 유익하다는 표현이 마음에 들어요. “아, 꼭 챙겨야 해”라는 의제를 강요하는 게 아니라 아이들이 알고 있거나 보지 못하거나 모르는 아기 물건들을 보여주는 거죠.그렇죠?그리고 말씀하셨듯이, “맙소사, 그렇게 쉬운가요?” 와 같은 순간들이 있죠.그리고 저는 오랫동안 이 문제로 어려움을 겪어왔어요.하지만 제가 생각하기에 아주 가볍게 다루신 것 중 하나는 OT 환경에 있는 레거시 인프라의 양에 관한 것이었을 뿐입니다.그리고 아주 오래된 버전의 Windows가 계속해서 얼마나 많이 실행되고 있는지에 대한 이야기를 많이 듣습니다. 매우 중요하기 때문입니다.예를 들어, 앞서 말씀드렸던 것처럼, 안전하게 실행하는 데 Windows 시스템이 얼마나 중요한지에 대해 말씀드린 것처럼 말이죠.이 문제를 어떻게 해결할 수 있을까요?

13:45 카를로스 부에나노

네.자, 먼저 이야기를 해볼까요.그렇다면 OT 환경에 이렇게 많은 레거시 시스템이 있는 이유는 무엇일까요?맞아요.따라서 프로젝트에 실제로 참여하고 프로젝트에 동의할 때 첫 번째 요구 사항은 우리가 이 플랜트를 짓든 이 생산 라인이든 무엇이든 상관없이 이 공장의 수명이 30년이라는 것입니다.이것이 첫 번째 요구 사항입니다.이는 수십억 달러 규모의 투자이기 때문에 가능한 한 오랫동안 규모를 확장해야 합니다.좋아요.그래서 실제로 그 순간을 환경에 입력해 보면 레거시 시스템이 많다는 것을 알 수 있습니다.이것이 첫 번째 과제입니다.그래서 윈도우 10, 윈도우 NT를 실행하는 디바이스가 생겼습니다.일부 시스템은 실제로 직렬 인터페이스를 실행하고 있습니다.일부 장치는 수명이 다해도 실제로는 몇 년이 되지 않아 위험에 노출될 수 있습니다.제가 실제로 엔지니어링 팀의 일원이었는데 생산 라인 하나가 고장났던 적이 있습니다.우리는 가서 문제를 해결하려고 노력했고 카드가 고장났다는 것을 알아냈습니다. 그걸로 수명이 다한 거죠.그리고 수명이 다한 지 10년이 지났습니다.견고하게 설계되었기 때문에 실제로 고장날 때까지 몇 년, 몇 년, 몇 년 동안 사용할 수 있습니다.문제는 매장에 갔는데 마지막 예비 부품을 다 썼기 때문에 예비 부품을 찾을 수 없었다는 것입니다.그리고 당연히 판매자에게 가서 “이봐요, 이 카드를 긴급 배송해야 돼요.” 라고 물었죠.“아직 없어요. 오래 전에 생산을 중단했어요.”그럼, 어떻게 하세요?그렇죠?장비 자체를 교체하려면 조율된 프로젝트가 필요하기 때문이죠. 장비를 어떻게 바꿔야 하는지 이해해야 하기 때문이죠.결국 저희는 모든 Go를 eBay에 납품하고 카드를 찾아서 구입했습니다. 그 결과 장비를 교체하는 프로젝트가 시작되었습니다. 실제로 운영되지 않을 경우 시간당 10만 달러가 드는 시스템이기 때문입니다.따라서 레거시 시스템에는 몇 가지 문제가 있습니다. 환경을 보면 아주, 아주 흔하게 볼 수 있죠.또 다른 한 가지는 항상 실행되도록 설계되었다는 것입니다.수정, 실행, 변경 작업을 수행하는 것은 “좋아, 이제 됐어, 그냥 교체하고 다음 것으로 바꾸자.” 하는 것만큼 간단하지 않습니다.아니요, 특정 프로젝트를 만들어야 합니다. 경우에 따라 Windows나 시스템 종료 기간 (shutdown window) 이라고 부르는데, 변경 작업을 수행할 수 있는 시간이 매우 제한되어 있습니다.좋아요, 사실 이게 30년 동안 운영되도록 설계된 방식이거든요. 그러고 나면 변경이 가능하죠.그 기간에 맞을 수 있는 작은 변화여야 하고, 사실상 프로세스를 중단시켜야 합니다.사실 이것은 프로젝트에 의해 주도되기도 합니다.따라서 특정 작업을 수행하면 “이봐, 이 특정 카드에 새 펌웨어 버전을 설치하거나 이 카드를 교체해야 해.” 라고 말하면서 제어가 이루어집니다.하지만 변경해야 할 자산이 프로세스인 경우 이는 항목 내의 다른 작업 중 일부를 테스트하는 과정의 일부이며 종료 프로세스 작성자는 다음과 같이 말할 것입니다. “안타깝게도 다음 종료 기간으로 대체하려면 1년을 더 기다려야 합니다.왜냐하면 우리가 만들고 있는 변경 사항은 비즈니스에 더 유리하거나 사람들을 보호함으로써 실제로 안전성을 높이는 것이기 때문에 실험을 감당할 수 없기 때문입니다.”따라서 설계, 수명이 긴 디자인, 시스템 수정 및 업데이트와 관련된 모든 문제가 서로 다르다는 것을 상상할 수 있습니다.계속 드래그, 드래그, 드래그만 할 뿐이죠. 그래서 오늘날 많은 레거시 시스템이 등장하고 있습니다.

18:17 라구 난다쿠마라

스토리가 마음에 들어요.제 말은, 예전에는 제가 금융 분야에서 오랫동안 잔돈을 벌 수 있다고 생각했을 때 좌절하곤 했는데, 당신이 말하는 것과는 비교조차 되지 않아요.그럼 다음 부분으로 넘어가기 전에 질문 하나 할게요.이에 대해 질문이 있습니다.예를 들어 보신 것처럼 이 플랜들은 매우 긴 수명을 염두에 두고 설계되었는데, 말씀하셨는데 30년이라는 거죠?두 가지 모두 최대 30년 동안 운영되어 온 레거시 환경을 보호하는 데에는 두 가지 과제가 있다는 것을 알 수 있습니다.하지만 새로 짓고 있는 공장을 보호할 때는 거의 30년 전에 미리 보고 보안 관점에서 계획을 세워야 합니다.제 말이 맞다면

18:57 카를로스 부에나노

네, 아뇨, 그게 전부예요.예를 들어 이더넷을 위한 표준 구현에 있어서는 이러한 시스템들이 뒤쳐져 있을 수도 있습니다.그러니까 제가 실제로 ISO, 62443 네트워크 세그멘테이션을 구현할 당시에는 장치 간 통신에 화이트리스팅 정책이 적용되도록 하기 위해 영역과 도관을 만들었다는 것을 말씀드릴 수 있습니다.레거시 시스템에서 보안을 구현하는 것이 얼마나 중요한지 또는 얼마나 어려운지를 보여주는 예시일 뿐입니다.이 진동 컨트롤러는 특정 진동 컨트롤러인데, 작동 시간을 측정하기 때문에 업무에서 가장 중요한 부분 중 하나입니다. 문제가 발생하면 사람을 보호하기 위해 시스템에 문제가 생길 수 있기 때문입니다.그래서 그들은 게이트웨이를 구현하지 않았죠.따라서 IP 주소와 마스크가 있지만 게이트웨이는 없었습니다.따라서 트래픽을 방화벽으로 보낼 수도 없습니다. 차단하는 방법은 고사하고 말이죠.게이트웨이를 통해 통신하도록 할 수 없다면 정책을 어떻게 구현할 수 있을까요?그러면 상상하실 수 있겠죠. 자, 그럼 어떻게 해야 할까요?그러니까, 위험 평가를 해야 한다는 거죠.위험 평가를 만들고 무엇을 하는지 알아내려고 노력하세요.그리고 정말 멋진 화이트리스트 정책이 생겼습니다. 모든 세그먼트가 세분화되고 악당 한 명이 넘어갑니다.구현하려고 할 때 어떤 복잡성이 따르는지 상상이 되시나요?다시 질문으로 돌아가세요.따라서 장기적으로 볼 때 필요한 보안망을 중심으로 실제로 설계하려고 합니다.하지만 기본적으로 가지고 있는 것과 상호 작용하고, 가지고 있는 것을 활용하고, 위험을 생성 및 최소화하고, 보유한 것에 따라 솔루션을 구현할 수 있는 위험 평가를 만들어야 합니다.따라서 선택의 여지가 없는 경우도 있습니다.그런 다음 기본적으로 어떤 식으로든 격리되어야 하지만 그 과정에서 필요하기 때문에 의사소통이 원활하게 이루어져야 합니다.

21:23 라구 난다쿠마라

예, 네트워크에 무언가가 있는데 게이트웨이를 정의할 수 없다면 네트워크에 없는 것이 나을 수도 있습니다. 그렇죠?아무것과도 대화할 수 없어요.

21:29 카를로스 부에나노

하지만 이 서비스를 제공하기만 하면 되기 때문에 필요합니다.예, 정보를 검색하는 데 필요한 HMI의 모든 것, 때로는 안전 시스템과 관련된 실제 정보, 로직, 전략이 통신해야 할 때도 있습니다.정상적인 상황에서는 의사소통이 어렵습니다. 왜, 어떻게, 왜, 언제, 그리고 사용자의 안전까지 말이죠.상태를 파악하려면 네트워크에 연결되어 있어야 합니다. 따라서 SCADA 시스템 또는 DCS가 정보를 가져와 그것이 무엇인지 이해해야 합니다.아시다시피, 이는 필수 조건입니다. 상관 없이 반드시 갖추어야 합니다.

22:07 라구 난다쿠마라

네.자, 제로 트러스트에 대해 이야기하기 전에, 다시 말씀하신 내용으로 돌아가서 공장 관리자가 무엇에 관심을 가지는지에 대해 말씀드리고 싶습니다. 보안 뉴스처럼 제가 읽을 때 제조 공장, 에너지 및 유틸리티 조직에 대한 공격에 대한 보도가 많이 나오는데, 공격자들이 이제 중요한 국가 인프라를 목표로 삼고 있다는 이런 우려에 대해 말이죠.그렇죠?그리고 꼭 데이터 사이트가 데이터를 훔치기 위한 것이 아니라 실제로 서비스를 방해하거나 운영을 방해하기 위한 것이죠.이런 부분이 공장 관리자들의 공감을 얻지 못할까요? 그게 그들의 관심사가 아닌가요?

22:48 카를로스 부에나노

확실히 걱정거리지만 그들의 관심사는 아닙니다. 왜냐하면 그들은 보안 담당자가 아니고 보안을 담당하지 않기 때문입니다.지금까지는 기본적으로 보안을 제공할 책임이 없었어요.물론 그들은 운영 중단에 대해 우려하고 있습니다.하지만 이들은 네트워크 설계에 의존하고 있습니다.공급업체는 이것이 실제로 보안을 염두에 두고 설계되었다고 말합니다.하지만 실제로는 자신들의 범위가 아니기 때문에 별로 걱정하지 않는 것이 현실입니다.예를 들어, 오늘날 인더스트리 4.0에서는 상황이 실제로 바뀌고 있습니다. CISO가 책임을 지고 있기 때문입니다.이로 인해 북동부 관점에서는 점점 더 이해관계자가 되고 있습니다.그리고 나서 공장 관리자와 엔지니어링 팀은 “음, 이제 더 이상 가능하지 않아요.” 라고 말하게 되죠.제가 어떤 식으로든 도와드릴 수 있도록 도와주셔야 해요.그리고 그 컨셉이 점점 더 와닿기 시작했어요.제 말은, 우리가 볼 수 있기 때문에 CISO가 커뮤니케이션을 팀에 전달하고 보안 및 따라야 할 프로세스에 도움을 주기 시작하는 효과를 볼 수 있기 때문입니다.프로세스는 여전히 다릅니다. 그래도 들을 수 있습니다. 네, 이해합니다.하지만 안전과 생산이 최우선이고, 보안은 나중이에요.

24:19 라구 난다쿠마라

네.네.아니요, 완전히 이해해요. 공감되네요.따라서 조직의 IT와 OT 측면 간의 통합을 강화하기 위해 인더스트리 4.0으로 전환하면서 전 세계 업종 전반에 걸쳐 제로 트러스트 전략이 실제로 채택되는 사례가 많아지고 있습니다.먼저, 제로 트러스트는 실무자로서 여러분에게 어떤 의미가 있을까요?그리고 두 번째로, 여러분이 사업을 영위하고 있는 그 분야에서 그것은 무엇을 의미할까요?

24:47 카를로스 부에나노

이는 매우 중요하고 관련성이 있습니다. 특히 엔지니어링 팀과 공장 관리자의 경우 OT 관점에서 볼 때 동기 부여 요인 중 하나라고 생각합니다.Zero Trust의 플랫폼을 통해 OT와 디바이스를 안전하게 관리할 수 있는 통신 내용을 검증할 수 있는 정책을 제공할 수 있다는 점에서 매우 잘 알려진 이점이 있습니다. 이는 매우 잘 알려져 있습니다.사실 필자도 환경에 몇 가지 제로 트러스트 전략을 적용해 본 경험이 있습니다.그리고 이점은 공장 관리자가, 무엇보다도 공급업체가 관리하는 시스템이 들어와 유지 보수, 진단, 캘리브레이션을 제공할 수 있는 길을 내주고 싶어한다는 것입니다.그들은 그것을 안전하게 하고 싶어하고, 언제 그런 일이 일어나는지, 누가 얼마나 오래 걸리는지 이해하기를 원합니다. 그래서 이 방법이 실제로 그들에게 매우 매력적일까요?왜냐하면 먼저 연결하려는 사람이 알림을 받고, 연결을 원하는 사람이 특정 장치에 얼마나 오래 연결할지 결정하기 때문이죠. 엔지니어나 스테이션일 가능성이 높거나, 장비일 가능성이 높거나, OT 네트워크 내에 있는 유지 보수가 필요한 어떤 것이든 말이죠.따라서 타사 공급업체가 안전하게 OT 네트워크에 들어와서 모니터링, 기록, 검증을 받을 수 있습니다.이 점이 정말 반향을 불러일으키는데, 그 이유는 변경 프로세스 관리의 모든 부분이 그 프로세스의 일부가 되기 때문입니다.그리고 실제로 이러한 요소들은 기본적으로 추적하기가 매우 쉽습니다.

26:41 라구 난다쿠마라

입양에 대해 어떻게 생각하시나요?왜냐하면 저는 이것이 제로 트러스트의 완벽한 사용 사례를 보여주는 좋은 예라고 생각하기 때문입니다.OT 분야에서 무엇을 보고 계신가요?제로 트러스트를 사용 사례에 적용하는 비율은 어느 정도라고 생각하시나요?일종의 실제 프로그램을 갖춘 진정한 조직인가요?아니면 다른 업종과 비교하면 아직 미숙한 걸까요?

27:07 카를로스 부에나노

사실 업종에 따라 다르다는 사실에 놀랐습니다.예를 들어 석유와 가스에 대해 이야기할 때는 꼭 필요한 것이죠. 네, 의심의 여지가 없죠.그래서 채택률이 아주, 아주 높습니다.광업은 운송의 뒤를 잇고 있으며 에너지는 아직 성숙하지 못하고 있습니다.제조업도 이를 기반으로 발전하기 위해 노력하고 있습니다.하지만 실제로 볼 수 있듯이, 이는 일종의 추진력이고, 네트워크 보호를 위한 제로 트러스트 방법론을 채택하는 것이 정말 좋은 방법이라는 것을 알 수 있습니다.좋아요.

27:39 라구 난다쿠마라

예를 들어 에너지, 유틸리티, 광업에 대해 말씀하셨던 업종들입니다. 이 분야의 채택이 가속화되는 이유는 무엇일까요?규제 요건 같은 건가요?아니면 그들이 위협에 대해 우려하고 있다는 사실일까요?

27:55 카를로스 부에나노

둘 다 약간 다릅니다.그러니까, 둘 다 약간 비슷하죠.또한 운영상의 이점도 추가하겠습니다.그래서 위협이 생겼고 그들은 내부적으로 유지 관리하고 있는 모든 시스템에 보안 정책이 적용되고 OT 네트워크 내의 모든 장치에 액세스하는 시스템만 있는지 확인하기를 원합니다.물론 그 이름은 알 수 없는 장치, 자산, 랩톱을 네트워크에 연결하지 못하도록 제3자가 가지고 있지 않다는 것을 막아줍니다.그러면 그런 걱정이 사라지고 규정 준수도 할 수 있습니다.그러니까, 그들이 규정을 준수하는지 확인하기 위해서죠.내 말은, 당신이 살고 있는 나라에 따라 다르다는 거죠.유럽에는 NIS2가 있고 여기 미국에도 다른 NIS2가 있습니다.하지만 이 또한 더 중요해지고 있습니다. 왜냐하면 규제가 실제로 여섯 번째로 시작되고 있기 때문이죠. 그 다음에는 그러한 절차를 실제로 마련해야 하기 때문이죠.하지만 앞서 말씀드렸듯이 운영은 운영입니다. 다시 말씀드리지만, IT와 OT의 융합은 실제로 우리 사이에 있고 중요한 것은 현재 IT와 OT가 문제를 사용하기 때문에 상품을 비교해야 한다는 것입니다. 왜냐하면 오늘날 IT 네트워크에는 보고서를 제공하거나 일정을 제공하고 생산을 모니터링하는 등 기본적으로 해당 정보를 가져오는 데 필요한 모든 것을 제공하는 데 사용되는 시스템이 많기 때문입니다.그래서, 그것은 사실상 피할 수 없는 일이 되고 있습니다.그리고 두 네트워크의 결합이 더 명확해지고 레거시 시스템에 대해 이야기하게 되면 공격 대상이 너무 커집니다.그리고 제로 트러스트 플랫폼 또는 프레임워크를 갖추면 우리가 생각할 수 있는 모든 다양한 시나리오에서 실제로 위험을 최소화할 수 있습니다.아까 말씀하신 것처럼 데이터 도용, 랜섬웨어, 악용될 수 있는 기타 공격 벡터.

30:06 라구 난다쿠마라

레거시 인프라 전체에 0을 적용하는 데 따르는 어려움에 대해 이야기하기 전에 먼저, IT와 OT가 점점 더 융합되어야 한다는 필요성에 대해 말씀하셨기 때문에, 통합이 가속화됨에 따라 조직이 우려하는 사이버 보안 문제, 위협 위험 등 어떤 것이 있을까요?

30:23 카를로스 부에나노

우선, 이것이 노하우입니다. 따라서 IT/OT 네트워크의 경우 이전에는 매우 차별화되었지만 OT 네트워크는 특정 작업만 수행합니다.IT는 완전히 반대입니다.IT는 실제로 사람의 효율성을 높이도록 설계된 도구, 시스템, 프로세스를 제공할 것입니다. 하지만 근본적으로 두 네트워크 간의 철학은 완전히 반대입니다.따라서 가장 우려되는 점은 OT 네트워크를 IT 네트워크에 개방하자마자 그 철학이 충돌한다는 것입니다. 이는 큰 도전입니다.IT 담당자가 OT의 요구 사항을 이해하도록 돕는 것은, 다시 말씀드리지만, OT 네트워크에 있는 장치의 동태와 시스템이 서로 통신하기 위해 어떻게 작동해야 하는지를 이해하도록 돕는 것입니다.이러한 세분화를 어떻게 달성할 수 있을까요?그리고 이러한 정보나 메커니즘을 OT 환경에 기본적으로 구현하는 것은 매우 어렵고 매우 가파른 학습 곡선입니다.물론 제조 관점, OT 프로세스 관점에서 이러한 프로세스를 구현하기 위한 동의를 얻어야 하죠?이것이 바로 네트워크의 특성 때문에 많은 문제가 발생하는 이유입니다.

32:03 라구 난다쿠마라

이 도전에 대해 문의하는 것은 조금 더 전부입니다.분명히 다른 업종에서는 모든 종류의 클라우드 혁신, 디지털 혁신이 큰 원동력이죠, 그렇죠?그리고 애플리케이션 워크로드가 클라우드로 이동할 때 어떻게 보안을 유지할 수 있을지에 대한 우려가 엄청나시나요?이것이 OT 부문에서도 정말 우려되는 부분일까요?아니면 이 단계에서 OT/IT 융합에 훨씬 더 초점을 맞추고 있는 걸까요?

32:27 카를로스 부에나노

솔직히 말씀드리자면, 우리는 새로운 기술을 개발하고 IoT 환경에 기술을 도입할 때 주도권을 잡습니다. 우리는 공급업체보다 이러한 관점을 바탕으로 움직입니다.공급업체들이 이를 지원하지 않는다면 우리는 그냥 가지 않을 것입니다.디지털 혁신에 대해서는 업계, 제조업체에 따라 다르지만 실제로 이러한 시스템을 개발하는 과정에서 하이퍼바이저에 SCADA 서버를 설치하거나 클라우드에 호스팅할 수 있는 가능성이 있을 수도 있고 없을 수도 있습니다. 기술이 아직 존재하지 않거나 공급업체가 제공하지 않기 때문입니다.그렇기 때문에 저는 이것이 원동력이 될 수 있다고 생각하지 않습니다.운전자는 정말 경제적입니다. 운전자는 설치 공간을 줄일 수 있을 거예요.그들은 관리 비용과 제작 비용을 사용하고 있지만 보안에 대해서는 그다지 중요하지 않습니다.

33:28 라구 난다쿠마라

이해했습니다.제로 트러스트로 돌아가 봅시다.레거시 인프라가 너무 많은데 제로 트러스트 전략을 채택하는 데 따르는 어려움은 무엇일까요?

33:39 카를로스 부에나노

따라서 문제는 기본적으로 어떻게 구현했는지, 변경해야 할 때 이러한 정책을 기본적으로 어떻게 적용할 수 있느냐는 것입니다.앞서 말씀드렸듯이 일부 레거시 시스템은 제로 트러스트를 구현하는 데 필요한 요구 사항이나 기술을 지원하지 않습니다.그 중 하나입니다.둘째, 레거시 시스템은 성능이 떨어질 수 있습니다. 어떤 정책이 적용되었는지 인증하거나 검증할 수 있는 기능이 확실히 없기 때문입니다.물론 이를 구현할 시간이 얼마나 남았는지도 말이지요.그래서 그 창을 찾아서 변경을 해서 설계를 재구성하거나 재정의한 다음 네트워크화를 통해 Zero Trust가 작동하는 데 필요한 네트워크 변화를 구현할 수 있게 되었습니다.이것이 바로 기본적으로 우리가 직면한 과제입니다.

34:42 라구 난다쿠마라

따라서 조직에서 “좋아, IT/OT 환경을 보호하기 위해 제로 트러스트 전략을 채택하고 싶다”고 말할 때, 어디서부터 시작하고 어떻게 시작해야 하는지 어떻게 안내해 줄 수 있을까요?

34:53 카를로스 부에나노

그러니까, 분명히 이런 의사소통, 아시다시피, 여러분은 매우 정직해야 합니다.하지만 항상 경계가 있습니다.경계에서 시작하면 경계선이 시스템 깊숙이 파고들기 시작합니다.따라서 기본적으로 OT 네트워크를 너무 많이 변경하지 않고도 새로운 DMZ를 구축할 수 있습니다.그런 다음 제로 트러스트 방식 달성을 시작할 수 있는 다양한 시스템으로 들어갈 수 있는 경로를 찾아보십시오.그러니까 네트워크 보안이죠.매우 창의적이어야 합니다. 네트워크를 이해하고, 가시성을 확보하고, 이들이 서로 통신하는 방법을 이해한 다음 결정을 내리기 시작해야 합니다.아시다시피, 위험 평가.다시 말씀드리지만, 커뮤니케이션은 항상 중요합니다.앞서 말씀드린 것처럼 운영 관점에서 이점을 표현해 보세요.운영 관점에서 동의를 얻으려고 노력하세요. 운영 담당자는 프로세스를 파악하고 프로세스 관점에서 이러한 시스템을 구현하기 시작할 수 있는 역량이 무엇인지 알고 있기 때문입니다.이는 쉬운 일이 아닙니다.덜 신경 쓰도록 세분화하면 됩니다. 먼저 가시성을 확보하고, 그들은 우리가 보호해야 할 장치를 이해하고, 비즈니스에 중요한 장치를 이해하고, 비즈니스에 중요한 장치를 분리하고, 제로 트러스트를 구현한 다음 끝까지 프로그래밍 프로세스로 확장하기 시작해야 합니다.아주 작은 여정이나 짧은 여정이 아니라 긴 여정이 될 것입니다.하지만 단계적으로 해나가면 적어도 첫 번째 목표인 네트워크 보안을 달성할 수 있습니다.그리고 두 번째 단계는 네트워크 보호가 완료될 때까지 계속하세요.

36:58 라구 난다쿠마라

당신이 그걸 표현하는 방식이 마음에 들어요.요약하자면, 저는 이것이 실제로 보안 측면에서 측정 가능한 개선을 볼 수 있는 진정한 길이라고 생각하기 때문이죠, 그렇죠?말씀하셨듯이 이러한 환경에 존재하는 모든 문제에도 불구하고 대규모로 무언가를 시도하는 것은 거의 불가능합니다.

37:16 카를로스 부에나노

그린필드 프로젝트나 브라운필드 프로젝트가 없다면 불가능합니다.

37:20 라구 난다쿠마라

네.왜냐하면 실제 거시적 관점에서 보면 점점 끝나는 거니까요.그렇죠?그리고 계속 다듬고, 다듬고, 다듬는 거죠.제어 메시지 같은 것에 제로 트러스트 보안 원칙을 활용할 기회가 있으신가요? 예를 들어 공격자가 컨트롤러를 하이재킹해서 일종의 불법 메시지를 보낼 수 없을 때 말이죠.죄송합니다. 용어가 모두 잘못되었습니다.

37:52 카를로스 부에나노

괜찮아.괜찮아.하지만 제 생각에 답은 '예'예요.알겠어요.답은 확실히 '예'입니다.공급업체들이 사이버 보안의 현실에 적응하고, 이전에 보지 못했던 요구 사항들이 점점 더 많아지면서 공급업체들은 보안을 중심으로 설계를 하기 시작했다고 생각합니다.그래서 그들은 변경 사항이나 컨트롤러 변경을 감지하지 못하도록 인증하는 방법을 모색하기 시작했습니다. 알다시피, 그들은 그러한 변경을 담당하는 프로토콜을 암호화하는 방법을 찾기 시작했습니다.하지만 지금은 실제로 접속할 수 있는 시스템이 나오고 있습니다. 즉, 장치를 라인에 연결하면 그 장치가 PLC 네트워크에 연결됩니다.그리고 세션을 가진 엔지니어부터 PLC까지 네트워크를 통해 구성해야 하는 모든 작업은 해당 통신을 인증해야 합니다.그리고 Zero Trust를 사용하여 인증하고, 액세스 제어를 제공하고, 이해하고, 사고하고, 누가 변경할 수 있는지, 누가 변경할 수 있는지 등에 대한 정책을 수립합니다. 이는 시스템을 계속 사용할 수 있는 액세스 권한을 얻는 측면에서 실제로 매우 유용할 수 있습니다.

39:16 라구 난다쿠마라

그래서 거의 a와 비슷하죠. WAF 같은 건가요?

39:18 카를로스 부에나노

맞아요, 맞아요.

39:20 라구 난다쿠마라

그래서 앞으로 나아가면서 여러 산업에서 제로 트러스트 전략을 채택하는 것에 대해 조금 이야기를 나눴습니다.그리고 우리는 다양한 지역에서 이 한 걸음 더 나아가고 있는 다양한 접근법을 보고 있습니다. 미국의 경우 분명히 방향이 있고 제로 트러스트 전략을 채택할 수 있다는 점에서 방향이 잡혔습니다.반면 EU에서는 규정 준수 기반 접근 방식을 훨씬 더 많이 취하고 있다고 가정해 보겠습니다.이러한 접근 방식의 장단점에 대해 어떻게 생각하시나요? 그리고 이를 가속화하기 위해 필요한 것은 무엇인가요?

39:52 카를로스 부에나노

네, 그래서 모든 것은 기본적으로 정부와 국가, 그리고 그들이 편안하게 느끼는 규정에 달려 있습니다.자, 실제로 몇몇 국가에서는 말씀하신 것처럼 요구 사항에 대해 우리가 더 잘 이해하고 있는 자원을 가지고 있다는 것을 알 수 있습니다.예를 들어 미국이 제로 트러스트를 채택한 것은 말씀하신 것과 비슷하고 유럽의 규정 준수는 조금 더 많다는 것을 알 수 있습니다.하지만 현실은 시스템 보안을 위해 할 수 있는 일이 많을수록 좋다는 것입니다.제 생각에 규정 준수 프레임워크는 이러한 사람들이 시작하기에 좋은 방법이라고 생각합니다. 프레임워크를 살펴보면 일부 프레임워크는 시스템 보안을 시작하기 위한 프로세스를 실제로 마련하기 시작할 수 있도록 설계되었기 때문입니다.좋아요.좋아요, 좋은 출발이네요.하지만 제어에 있어서는 사실 좀 더 철저해야 합니다.그리고 제가 말씀드리자면, 우리는 서로를 정말로 분리할 수 있습니다. 왜냐하면 이러한 프레임워크 중 일부는 인증이 필요하기 때문입니다. 하지만 제로 트랜스는 그 이상입니다.따라서 인증보다 훨씬 더 많은 것이 있습니다.인증과 검증, 제로 트러스트는 기본적으로 누가 실제로 액세스하는지를 넘어섭니다. 사용자 관점뿐 아니라 기기 관점에서도 말이죠.이는 기본적으로 한 걸음 더 나아간 것입니다.그리고 더 많은 성숙이 필요하죠.하지만 제 생각에는 둘 다 보호받을 가능성이 더 높아야 한다고 생각합니다.하지만 운영 측면에서는 솔직히 제로 트러스트와 연계하여 변경 프로세스를 관리할 수 있다는 점이 마음에 듭니다. 이를 통해 네트워크나 장치 또는 프로세스에서 발생하는 변경 사항을 기본적으로 모니터링하고 검증하여 보다 철저하게 제어할 수 있습니다.생산성과 프로세스, 무결성에 관해서도 말이죠.

41:55 라구 난다쿠마라

정말 흥미로운 해석이네요.Zero Trust를 실제 프로세스 자체에 적용하고 이를 동인으로 삼아 더 나은 프랙티스를 만드는 것에 대해 그렇게 말하는 사람은 한 번도 들어 본 적이 없습니다.맞아요.새로운 기술 도입이나 도입 등을 추진할 필요는 거의 없습니다. 하지만 그냥 “현 단계에서는 변화 프로세스의 일부로 무언가가 스며드는 것을 허용하지 않겠다.” 라고 말씀하시는 겁니다.

42:17 카를로스 부에나노

정답.맞아요.그게 제가 가장 좋아하는 패턴이에요.

42:21 라구 난다쿠마라

이제 마무리 단계에 접어들면서, 이러한 관점을 제시할 수 있다면 오늘날 중요한 국가 인프라 공간이 대규모 사이버 공격에서 살아남기 위해 어떻게 준비되어 있다고 생각하시나요?이에 대해 어떻게 확신하십니까?

42:38 카를로스 부에나노

따라서 매우 어려운 질문이기도 합니다.하지만 보세요, 그들은 프레임워크가 있는 자원을 가지고 있고, 좋은 아이디어도 가지고 있고, 기본적으로 시스템을 보호할 수 있습니다.하지만 현실은 특정 사고에 대응해야 하는 사람들을 구현하는 데 필요한 인적 자원을 확보하는 것이 아직 발전하고 있다는 것입니다. 그들이 생존할 수 있는 좋은 위치에 있기 위해서는 아직 초기 단계인 것 같아요. 좋은 말인지는 모르겠지만, 대규모 사고에 대응하고 해결할 수 있다는 것입니다.실제로 이들이 해야 할 일이 많다는 것을 알 수 있습니다.실제 절차도 많고, 메커니즘과 프레임워크도 많습니다.하지만 규모가 크면 정말, 정말 어려울 거예요.Log4j의 예를 들자면, 우리 모두는 커뮤니티로서 이를 위해 노력하고 있습니다.하지만 우리는 어떤 면에서는 서로에게서 매우 고립되어 있었습니다.사실 모두가 각자 할 일을 하면서 독립적으로 살아남으려고 애쓰고 있었어요.그리고 일부 조직은 준비가 더 잘 되어 있었지만 아직 해야 할 일이 많았습니다.그리고 그 중 일부는 여전히 회복을 시도하고 있습니다.자, 이건 단지 우리에게 필요한 것이 있는지를 보여주는 예일 뿐입니다.네, 하지만 우리가 해야 한다고 말한 것을 실제로 구현할 수 있을까요?아직 준비가 안 된 것 같아요.

44:09 라구 난다쿠마라

당신이 표현한 방식이 마음에 들어요. 왜냐하면 당신은 반쯤 가득 찬 사진을 보여주고 있다고 생각하거든요.거의 비슷한 도구를 갖추고 있고 이제 채택을 촉진해야 한다고 낙관하셨고, 고립된 상태에서 일하는 것이 아니라 커뮤니티로서 일하는 것에 대해 말씀하셨습니다. 그래서 보안 강화에 중요하다고 생각해요.그럼 미래를 내다보는 게 좋겠죠, 카를로스, 그렇죠?어떤 대화에서도 AI에 대해 이야기하지 않는다면, 아무나, 검색엔진 최적화 (SEO) 나 SEO는 폐기될 거예요, 그렇죠?그렇다면, 단순히 사이버 보안 관점에서만 볼 것이 아니라, 운영 측면에서 얻을 수 있는 이점, 그리고 그 보안을 위한 활용 측면에서 OT 분야에서의 AI의 관련성을 어떻게 볼 수 있을까요?

44:56 카를로스 부에나노

자, 보세요, AI는 아주, 아주 강력한 도구입니다. 그렇죠?그러니까, 데이터만 있으면 보고 자동화를 통해 얻은 결과를 실제로 활용할 수 있습니다.인공지능에는 많은 이점이 있습니다. 우리는 기본적으로 생산 시스템에서 이를 사용하여 정보의 상관 관계를 분석하여 효율성을 높이는 보고서를 작성하고, 긍정적이면서도 다른 결과가 나오지 않도록 기본적으로 데이터를 관리합니다.하지만 안타깝게도 그건 항상 동전의 반대편이죠, 그렇죠?따라서 실제로 유용하게 사용되어야 합니다. 특히 OT 환경에서 이미 AI, 특히 OT 환경에서 취약점을 악용하는 데 사용되는 AI, 특히 취약점을 악용하는 데 사용되기 시작한 AI를 활용하기 위해 이미 몇 가지 공격, 사이버 공격, AI 사용을 목격했습니다. 안타깝게도 이러한 레거시 시스템의 취약점을 악용하기 위해 AI를 사용하는 시스템에 로그인하지 않아도 기본적인 악용 방법을 이해할 수 있습니다. 그 취약점을 없애버리세요.하지만 동시에 AI를 사용하는 몇 가지 도구를 실제로 사용하여 이에 맞서 싸울 수 있습니다.그래서 제 입장은 훌륭하다는 것인 것 같아요. 그러니까, 모든 것이 그렇듯 설계 방식에서 잘 사용한다면 말이죠, 그렇죠?네, 생산량 향상에 사용할 수 있는 것 같아요.보안을 개선하는 데 사용할 수 있습니다.하지만 동시에 매우 조심해야 합니다. 제대로 구현되지 않고 실제로 잘못된 사람에게 넘어가면 기본적으로 우리에게 불리하게 작용할 수 있기 때문입니다.

46:56 라구 난다쿠마라

네, 물론이죠.맞아요.그리고 공격자의 손에 있는 AI를 통해 훨씬 더 상세한 가시성과 분석을 할 수 있다는 점을 말씀드린 것 같아요. 오늘날 공격자는 이를 수행하는 데 많은 사이클을 소비해야 할 것입니다.따라서 제로 트러스트 관점에서 생각해 보면 환경에 대한 고객의 관점을 최대한 제한하여 분석을 추진하기 위해 가능한 한 적은 정보를 수집할 수 있도록 하려면 어떻게 해야 할까요?

47:25 카를로스 부에나노

우리는 기본적으로 인증 관점에서 모든 가능성을 세분화하여 인증을 받아야 합니다. 따라서 침입해야 하기 때문에 취약점을 악용할 수 없습니다.비즈니스에 중요한 관점에서는 이러한 확산을 방지할 수 있는 제로 트러스트 방법이 있기 때문에 실제로 생산에 영향을 미치기 위해 필요한 부분에 도달할 수 없습니다.자, 그럼 네트워크 세그먼트가 생겼습니다.마치, 와, 거기 도착했다는 느낌이랄까요.하지만 앞으로 나아갈 수 있어요.거기 도착하면네, 그래요

48:01 라구 난다쿠마라

물론이죠.자, 그럼 재밌는 걸로 마무리해 볼까요.카를로스, 가장 좋아하는 제로 트러스트 비유는 무엇인가요?그렇다면 카를로스가 다섯 살짜리 아이에게 제로 트러스트에 대해 설명한다면 어떻게 설명하시겠습니까?

48:12 카를로스 부에나노

보안 부분 같아요, 그렇죠?자, 여러분은 디자인을 할 수 있습니다. 그리고 제 비유를 잠깐 바꿔볼게요. 그럼 집을 설계할 수 있습니다.제 아들들에게 보안에 대해 이렇게 설명하죠. 집을 설계할 수 있고, 그 집에는 창문과 문이 있습니다.안전해요?그러자 사람들이 “네”라고 하죠. 창문을 깨면 어떡하죠?아.자물쇠를 뽑으면 어떻게 되나요?그럼, 그 밖에 뭘 할 수 있을까요?좋아요, 창문이랑 창문을 당기면 돼요좋아요, 엔드 앵글 그라인더를 가져와서 장치 주위를 비스듬히 돌리고 창문을 깨면 어떨까요?글쎄요, 롤러 도어를 달 수 있어요. 사실 제가 제로 트러스트를 생각하는 방식이죠.아시다시피, 보안 절차를 유지하기 위해 집을 세분화하여 안전하게 보호하는 방법은 아주 다양합니다. 그렇죠?따라서 실제로 위험을 정의하고, 다시 한 번 말씀드리지만, 보안을 유지하고 통제 수단을 마련하는 방법을 이해해야 합니다.이러한 제어 수단 중 하나는 비디오 카메라입니다. 예를 들어 누가 액세스하는지 파악하기 위한 것입니다.그리고 다른 하나는 집에 들어갈 수 있는 매우 안전한 인증 시스템을 갖추는 것입니다. 집에 들어오면 카메라가 있으면 실제로 무엇을 하고 있는지 볼 수 있습니다.하지만 방에 들어가면 그 방에만 출입할 수 있습니다.그게 네 방이야. 거기 앉아서 누워서 자면 돼.하지만 동생 방으로 가려고 하는데 허락이 안 돼서 갈 수 없어요.너도 알다시피, 그거 진짜 재밌어.

49:51 라구 난다쿠마라

맘에 들어요.아들들과 제로 트러스트와 대화를 나누는 것 같은 느낌이 들어요. 정말 좋아요.카를로스, 오늘 당신과 이야기할 수 있어서 정말 기뻤어요.OT 환경의 보안, 미래의 과제, Zero Trust의 관련성에 대한 통찰력 있는 개요를 제공해 주셔서 감사합니다. 실제로 해당 환경에 대해 전혀 이해하지 못하는 저에게는 눈을 뜨게 해주었습니다.정말 감사해요.아직 기회가 없으신 분들을 위해 말씀드리자면, Armis는 사이버 보안의 해부학적 구조에 관한 환상적인 연구 보고서를 최근에 발간했습니다. 공격 환경을 분석해본 것입니다.여러분 모두 직접 가서 확인해 보시길 강력히 권합니다.카를로스, 정말 고마워요.

50:32 카를로스 부에나노

초대해 주셔서 정말 감사합니다.재밌었어요.

50:35 라구 난다쿠마라

이번 주 The Segment 에피소드를 시청해 주셔서 감사합니다.2주 후에 다음 에피소드로 돌아오겠습니다.앞으로 제로 트러스트에 관한 더 많은 자료를 보려면 저희 웹 사이트 www.illumio.com을 방문하여 쇼 노트에 있는 링크를 사용하여 LinkedIn과 X에서 저희를 찾아보세요.오늘은 여기까지입니다.저는 여러분의 호스트 라구 난다쿠마라입니다. 곧 더 많은 소식을 전해 드리겠습니다.

‍