기업이 디지털 방식으로 전환하고 경쟁력을 갖추기 위하여 

산업용 사물 인터넷 (IIoT) 연결을 비즈니스 운영에 통합하는 것이 사실상의 표준이 되었습니다. 

IIoT 플랫폼 및 솔루션과 관련하여 "구축vs구매"의 선택에 직면한 일부 기업은 

이전 과정을 추구하기로 선택하고 후자보다 비용을 절약할 수 있다고 현명하지 않게 판단합니다. 

DIY IIoT 프로젝트의 경제적 문제만으로는 이미 극명하지만, 

많은 기업이 미처 생각하지 못한 한 가지 측면은 점점 더 중요해지고 있는 사이버 보안입니다. 

디지털 공격으로 인한 비즈니스 리스크는 분명합니다. 

2020년에 무의식적으로 고객의 소프트웨어 공급망을 오염시키는 매개체 역할을 한 IT 회사인 SolarWinds의 사례가 대표적입니다. 

이 회사는 그로 인한 브랜드 피해는 물론, 위반 사항을 처리하는 데 드는 직접 비용은 최소 1,800만 달러일 것으로 추정했습니다. 

더욱 놀라운 예는 소위 TRITON 악성 코드의 경우입니다. 

2017년에 이 악성 디지털 도구를 성공적으로 배포하여 석유 화학 공장을 물리적으로 파괴했습니다. 

이러한 위협에 직면하여 기업은 사이버 보안 위험을 적절하게 완화하는 동시에 

리소스를 효과적으로 할당하고 일상적인 운영을 촉진하고 있다는 확신이 있어야합니다. 

디지털 솔루션을 주요 비즈니스 라인으로 구축하는 회사, 

특히 소프트웨어 구축 및 판매 이외의 일을 하면서 수익을 창출하는 기업에게도 어려울 수 있습니다. 

DIY IIoT 플랫폼에 대한 보안 고려 사항

무엇보다도 사내 IIoT 플랫폼을 안전하게 개발하려면 적절한 보안 전문가가 있어야 합니다. 

개발자, 테스터, 설계자, 제품 관리자 및 경영진이 설계 결정 및 트레이드 오프의 

사이버 보안 의미를 이해하도록 하는 것은 쉬운 일이 아닙니다. 

개념적으로나 철학적으로 사이버 위험을 측정하고 관리하는 방법을 고려해야합니다. 

위험 허용 범위라든지, 비즈니스 목표에 대해 리스크 완화를 어떻게 비교할 건지, 

해결해야 할 문제점과 수용해야 할 문제점에 대한 결정을 누가 내릴 것인지. 

기술 수준에서 개별 엔지니어는 보안 원칙을 동료 코드 검토에 통합하는 방법을 배워야합니다. 

당신의 조직이 이미 이러한 작업을 수행하고 있다고 가정하여, 

품질 보증 직원은 보안 버그에 대한 적용을 검토하고 있는지 확인해야합니다. 

조직은 이러한 기술을 최신 상태로 유지하기 위해 정기적인 보안 개발 교육을 실시해야 합니다. 

필요한 인력이 배치되어 있거나 교차 교육을 충분히 받았다고 가정하면 

다음 단계는 안전한 개발 프레임 워크를 선택하고 구현하는 것입니다. 

Microsoft SDL (보안 개발 수명주기), 오픈 소스 SAMM (Software Assurance Maturity Model) 

또는 기타 패러다임 중 어떤 것을 선택하든, 

조직 전체에서 규정을 준수하는 것을 강화하기 위한 프로그램 관리 구성 요소를 구축하는 것이 필수입니다. 

지금까지 성공했고 DIY 경로를 계속 진행하려면 적절한 자동 스캔 도구를 개발 파이프 라인에 통합해야 합니다. 

정적 분석을 사용하여 프로그래밍 오류를 식별하는 것 외에도 

소프트웨어 구성 분석을 정기적으로 수행하여 독점 코드에 호출하 타사 라이브러리를 검토해야합니다. 

어플리케이션이 컴파일되고 프로덕션 환경으로 전환할 준비가 되면 

런타임 중에 동적 분석을 수행하여 이전에 확인되지 않은 취약점이 없는지 확인하는 것이 좋습니다. 

이러한 모든 기능에 대해 오픈 소스 옵션이 존재하지만, 

현대적인 지속적인 통합/연속 배포 프로세스와 일반적인 규정 준수 요구 사항을 지원할 수 있는 엔터프라이즈 급 제품에는 종종 상당한 가격이 책정됩니다. 

하지만 일단 프로덕션에 들어가면 보안 책임은 끝나지 않습니다. 

직원과 외부 전문가에 의한 정기적인 침투 테스트는 실제 공격을 시뮬레이션하고 

악성 사용자가 공격하기 전에 격차를 찾는 데 중요합니다. 

또한 보안 연구원이 새 DIY 솔루션에서 문제를 발견하기 전에,

조정된 취약성 공개를 협상하고 수행하려면 사고 대응 기능이 필요합니다. 

그렇지 않으면 느린 프로세스에 타격받은 연구원이 조정되지 않은 공개에 직면할 수 있습니다. 

위의 모든 사항을 가까스로 해결했더라도 보안 버그를 수정하고 라이브러리를 업데이트하고 

업계 표준 프로토콜을 따라잡기 위해 엔지니어링 리소스를 할당하고 홈브루 플랫폼을 무기한으로 유지해야합니다. 

미리 발생한 고정 개발 비용 외에도 DIY 프로젝트의 나머지 수명 동안 

이러한 반복 운영 비용에 대한 예산을 책정해야 합니다. 

업계 동향에 따르면 개발 시간의 30 %가 코드 유지 관리에 소요되며, 그 중 약 1/3이 보안에만 전념합니다. 

마지막으로, 자체 IIoT 플랫폼을 구축할 때 포기할 평판 높은 "규모의 경제"를 고려하는 것이 중요합니다. 

소프트웨어를 구축하지 않는 것이 주된 임무인 조직은 민간 및 

공공 부문의 다른 보안 전문가와 효과적으로 협업하고 소통하는 것이 어려울 수 있습니다. 

마찬가지로, 어플리케이션을 안전하게 구축하는 데 있어 실적이 부족하면 사이버 보험료에 영향을 미칠 수 있습니다. 

마치며..

이러한 요구 사항과 자체 IIoT 플랫폼의 보안 및 유지 관리의 복잡성에 직면하여 그렇게 하는 것은 어려운 작업이 될 수 있습니다. 

이러한 노력에 내재된 비용과 위험을 감안할 때 적어도 한 명의 독립적인 보안 전문가가 이를 금지할 것을 권고합니다. 

더 나은 방법은 이미 이러한 보안 모범 사례를 통합 한 사전 구축된 솔루션과 함께 시장을 선도하는 플랫폼을 사용하는 것입니다. 

이렇게 하면 비용 효율적인 방식으로 정보 보안 위험을 관리하는 동시에 가장 중요한 비즈니스 인 비즈니스에 집중할 수 있습니다.