Haedong

서울대학교공과대학

해동일본기술정보센터
모바일메뉴 열기/닫기
  • 정기간행물
  • 단행본서적
  • 기술보고서/백서
  • 커뮤니티
  • 센터소개
  • 일본 관련 사이트
    •

    일본산업뉴스요약

    JERA가 업무 시스템의 취약성 대책을 '인소싱' -- 12배의 빈도로 진단해 정보 유출을 막는다
    • 카테고리비즈니스/ 기타
    • 기사일자 2025.5.21
    • 신문사 Nikkei X-TECH
    • 게재면 Online
    • 작성자hjtic
    • 날짜2025-06-23 09:20:39
    • 조회수126

    JERA가 업무 시스템의 취약성 대책을 '인소싱'
    12배의 빈도로 진단해 정보 유출을 막는다

    화력발전 대기업 JERA가 사이버 보안 대책의 일환으로 업무 시스템의 취약성을 진단하는 빈도를 높였다고 밝혔다. 취약성을 자동으로 진단하는 전문 툴을 도입해 작업을 '인소싱'하고, “기존에는 연 1~2회뿐이던 진단을 월차로 실시하게 되었다”(JERA 디지털인프라서비스부 야마카와(山川) 씨). 진단의 빈도를 6~12배 높인 셈이다.

    사이버 피해를 입은 기업들은 사업활동이 정체되고 사회생활에 영향이 확산되는 사태도 늘고 있다. 공격의 빈틈이 되는 취약성을 밝혀내 적절히 대응하는 것이 많은 기업에게 매우 중요한 과제가 되고 있다. 그러나 수작업이나 외부 벤더에 의존해서는 취약성을 찾는 작업을 빈번히 실시하기 어렵다. 타개책으로서 JERA와 같이 전문 툴을 도입해 ‘인소싱’하는 움직임이 향후 가속될 것 같다.

    -- 발전 관련 데이터 유출은 안보에 악영향 --
    JERA의 시스템 환경은 IT와 OT(Operational Technology) 두 가지로 크게 나뉜다. IT 환경은 회계나 결제와 같은 기간계를 비롯한 업무 시스템과 그 네트워크로, 전력 거래와 관련된 데이터 등을 취급한다. 2020년 이후, 400대 이상의 VM(가상 머신)이나 SaaS(Software as a Service)를 활용해 업무 시스템을 움직이고 있다.

    한편, OT 환경은 발전 관련 산업제어시스템과 네트워크를 가리킨다. 이번은 IT 환경의 취약성을 진단하는 빈도를 높였다.

    IT 환경에서 취급하는 발전 관련 데이터의 대부분은 공개 데이터라고 한다. 다만, “예를 들면 실시간으로 발전량이 외부에 유출되면, (제삼자에게 악용될 우려가 있어) 안전 보장 관점에서 문제가 있다”(야마카와 씨). 사이버 공격으로 인한 정보 유출이 미치는 영향은 크다. 공격의 빈틈이 되는 취약성을 조기에 찾아내 대응할 필요가 있다.

    -- 결과의 전개까지 열흘이 걸렸다 --
    예전부터 이런 인식을 갖고 있었지만 현재의 체제를 갖추기까지는 과제가 있었다고 한다. 취약점 진단 빈도가 연 1~2회에 그쳤던 것이다. 야마카와 씨는 “국내 기업이라면 일반적인 빈도라고 생각할 수 있지만, 최근에 취약성이 보다 많이 발견되면서 연 1~2회 진단으로 충분할까 라는 문제의식을 안고 있었다”라고 말한다.

    진단하고 나서 결과를 정리해, IT 부문 등 관계자에게 전달되는 기간도 단축하고 싶었다. 시큐리티 벤더에 진단 작업을 위탁하고 있던 기존에는 전체적으로 영업일 기준 약 10일이 필요했었다.

    과제를 극복하기 위해 취약성 진단을 '인소싱'하기로 했다. 구체적으로는 가동 중인 시스템에서 사용되고 있는 하드웨어나 소프트웨어와, 알려진 취약성 정보 등을 대조해 취약성을 찾아내는 취약성 관리 툴을 도입하기로 결정했다.

    툴은 미국 Tenable(테너블)의 ‘Tenable Vulnerability Management’를 채택했다. 취약성을 자동으로 실행하는 것 외에 진단 결과 분석을 지원하는 기능도 갖춘다. 취약점 진단이 완료되면 결과를 즉시 대시보드 화면에 보여준다. PoC(Proof of Concept, 개념검증)를 2023년 12월에 개시해, 2024년 6월부터 본격적으로 가동시켰다.

    -- 결과 전개까지 3일로 단축, 신속하게 대응 가능 --
    툴을 도입한 후에는 대시보드 화면에서 결과를 확인하는 사내 규칙을 마련해, 보고서 작성 등에 필요했던 시간이나 노력을 줄였다. 이를 통해 취약성을 진단하고 나서 결과를 전개하기까지의 기간을 영업일 기준 약 10일에서 3일로 단축할 수 있었다. 취약성을 조기에 검출해 대응하기 쉬워진 셈이다.

    취약성을 진단하는 빈도도 월차로 고쳤다. 야마카와 씨는 도입 후의 반응에 대해서 “취약성을 진단하는 빈도의 증가나 진단 결과를 관계자 간에 조기에 공유한다는 목적을 달성할 수 있었다”라고 말한다.

    앞으로는 업무 시스템의 API(Application Programming Interface)의 취약성 관리 강화를 목표로 한다. 지금까지 각 업무 시스템의 취약성 관리는 충분히 체제를 갖추었기 때문에 업무시스템 사이를 연계하는 API에 대해서도 취약성을 관리할 생각이다. 게다가 OT 환경에 적용하는 것도 앞으로 검토할 사항 중의 하나라고 한다.

     -- 끝 --

    Copyright © 2025 [Nikkei XTECH] / Nikkei Business Publications, Inc. All rights reserved.

    목록