산업제어시스템(ICS) 보안 가이드특별 발행 차 개정판 산업제어시스템 보안 가이드 권한 본 발행물은 미국 국립표준기술연구소(NIST)가 연방

NIST 특별 발행 800-822차 개정판

산업제어시스템(ICS) 보안 가이드감시 제어 및 데이터 수집(SCADA) 시스템, 분산제어시스템(DCS) 및

프로그래머블 로직 컨트롤러(PLC) 등의 기타 제어시스템 구성

Keith Stouffer Victoria Pillitteri

Suzanne Lightman Marshall Abrams

Adam Hahn

이 번역은 미국 정부 및 NIST의 공식적인 번역이 아닙니다. 번역본에서 명확하지 않은 부분은 아래 NIST 원문 내용을 참조하시기 바랍니다.

http://dx.doi.org/10.6028/NIST.SP.800-82r2

NIST 800-82 한글 번역본의 저작권은 한국인터넷진흥원에 있으며, 자료 내용의 무단 복제, 무단 배포 등을 금합니다.

NIST 특별 발행 800-822차 개정판

산업제어시스템(ICS) 보안 가이드감시 제어 및 데이터 수집(SCADA) 시스템, 분산제어시스템(DCS) 및

프로그래머블 로직 컨트롤러(PLC) 등의 기타 제어시스템 구성

Keith Stouffer 지능 시스템부 공학 연구소

(Intelligent Systems DivisionEngineering Laboratory)

Victoria Pillitteri Suzanne Lightman

컴퓨터 보안부 정보기술 연구소(Computer Security Division

Information Technology Laboratory)

Marshall AbramsMITRE 회사

(The MITRE Corporation)

Adam Hahn워싱턴주립대학교

(Washington State University)

본 발행물은 http://dx.doi.org/10.6028/NIST.SP.800-82r2에서 무료로 제공된다.

2015년 5월

미국 상무부(U.S. Department of Commerce)Penny Pritzker, 장관

미국국립표준기술연구소(NIST)Willie May, 표준기술 상무차관 및 연구소장

(Under Secretary of Commerce for Standards and Technology and Director)


특별 발행 800-82 2차 개정판 산업제어시스템(ICS) 보안 가이드

ii

권한

본 발행물은 미국 국립표준기술연구소(NIST)가 연방 정보보안 현대화법(the Federal Information Security Modernization Act, FISMA, 2014, 44 U.S.C. § 3541 et seq., 미 공법(Public Law) 113-283)에 따라 법적 책임을 강화하기 위해 개발한 것이다. 미국국립표준기술연구소(NIST)는 연방 정보시스템에 대한 최소 요구사항을 포함하여 정보 보안 표준 및 가이드를 개발할 책임이 있지만, 이러한 표준 및 가이드는 해당 시스템에 대해 정책 권한을 행사하는 적절한 연방 공무원의 명시적 승인 없이는 국가 보안 시스템에 적용되지 않는다. 본 가이드는 예산관리국(the Office of Management and Budget, OMB) 회람(Circular) A-130, 8b(3) 절, 기관 정보시스템 보안(Securing Agency Information Systems)의 요구사항과 일관되며, 분석은 회람(Circular) A-130, 부록 IV: 핵심 부문의 분석(Analysis of Key Sections)에서 찾을 수 있다. 추가 정보는 회람(Circular) A-130, 부록 III, 연방 자동화 정보 자원의 보안(Security of Federal Automated Information Resources)에서 제공된다.

본 발행물은 법적 권한을 가지는 미국 상무부 장관(Secretary of Commerce)에 의해 연방 기관이 지켜야 할 의무적이고 구속력 있는 표준이나 가이드에 반하는 것은 없다. 미국 상무부 장관, 예산관리국(OMB) 국장 또는 기타 모든 연방 공무원의 기존 권한을 변경 또는 대체하는 것으로 해석되어서도 안 된다. 본 발행물은 자유의사에 따라 비정부기구에서 사용할 수 있으며, 미국에서 저작권의 대상이 아니다. 하지만, 저작자 표시를 하는 것이 바람직하다.

미국국립표준기술연구소(NIST) 특별 발행 800-82, 2차 개정판Natl. Inst. Stand. Technol. Spec. Publ. 800-82, Rev. 2, 247페이지(2015년 5월) 본 발행물은 http://dx.doi.org/10.6028/NIST.SP.800-82r2 에서 무료로 제공된다.

CODEN: NSPUE2

본 문서에서 실험적 절차나 개념을 적절하게 설명하기 위해 사용된 특정 영리 기관, 장비 또는 재료를 확인할 수 있을 것이다. 이러한 내용은 미국국립표준기술연구소(NIST)의 권장 또는 보증을 의미하는 것은 아니며, 언급된 기관, 장비 또는 재료가 반드시 해당 목적에 가장 적합하게 사용될 수 있다는 것을 의미하는 것도 아니다.


iii

본 발행물에 대한 의견은 다음의 주소로 제출할 수 있다.

National Institute of Standards and Technology Attn: Computer Security Division, Information Technology Laboratory

100 Bureau Drive (Mail Stop 8930) Gaithersburg, MD 20899-8930전자 메일: [email protected]

본 발행물에는 미국국립표준기술연구소(NIST)에 지정된 법적 책임에 따라 현재 개발 중인 기타 발행물에 대한 언급이 있을 수 있다. 그리고 해당 발행물이 완료되기 전이라도 연방 기관이 본 발행물의 개념 및 방법 등의 정보를 사용할 수 있다. 따라서 각 발행물이 완료될 때까지 현재의 요구사항, 가이드 및 절차는 존재하는 곳에서 그 효력을 유지한다. 연방 기관에서는 기획 및 이행의 목적으로 미국국립표준기술연구소(NIST)에 의한 이러한 새 발행물의 개발을 긴밀히 따라가기를 바란다.

조직과 단체에서는 공개적인 의견 수렴 기간 동안 모든 발행물 초안을 검토하고 미국국립표준기술연구소(NIST)에 피드백을 제공할 것을 적극 권장한다. 위에서 언급한 것 이외의 모든 미국국립표준기술연구소(NIST) 컴퓨터 보안부(Computer Security Division) 발행물은 http://csrc.nist.gov/publications 에서 확인할 수 있다.

mailto:[email protected]


iv

컴퓨터 시스템 기술에 대한 보고서

미국국립표준기술연구소(NIST)의 정보기술연구소(the Information Technology Laboratory, ITL)는 국가 측정 및 표준 인프라에 대한 기술 리더십을 제공하여 미국 경제 및 공공복지를 촉진한다. 정보기술연구소(ITL)에서는 정보기술의 개발 및 생산적인 사용을 진척시키기 위해서 테스트, 테스트 방법, 참조 데이터, 개념 증명 구현 및 기술적 분석 방법을 개발한다. 정보기술연구소(ITL)의 책임에는 연방 정보시스템의 국가 보안 관련 정보 이외의 프라이버시 및 비용 효율적인 보안에 대한 관리, 행정, 기술 및 물리적 표준과 가이드의 개발이 포함되어 있다. 특별 발행 800시리즈에는 정보시스템 보안에 관한 정보기술연구소(ITL)의 연구, 가이드, 확장 노력 및 업계, 정부, 학술 단체와의 협력 활동에 대한 보고 내용이 포함되어 있다.

개요

본 문서에서는 감시 제어 및 데이터 수집(Supervisory Control and Data Acquisition, SCADA), 분산제어시스템(Distributed Control Systems, DCS) 및 프로그래머블 로직 컨트롤러(Programmable Logic Controllers, PLC) 등의 기타 제어시스템 구성을 포함한 산업제어시스템(ICS)의 고유의 성능, 신뢰성 및 안전 요구사항을 다루면서 보안을 적용하는 방법에 대한 가이드를 제공한다. 본 문서는 산업제어시스템(ICS) 및 전형적인 시스템 구성 방식의 개요를 제공하고 이러한 시스템에 대한 전형적인 위협 및 취약점을 파악하며 관련된 위험을 완화하기 위한 권장 보안 대책을 제공한다.

키워드

컴퓨터 보안, 분산제어시스템(DCS), 산업제어시스템(ICS), 정보 보안, 네트워크 보안, 프로그래머블 로직 컨트롤러(PLC), 위험 관리, 보안 통제, 감시 제어 및 데이터 수집(SCADA) 시스템


v

2차 개정판에 대한 감사의 글

저자 일동은 사려 깊고 건설적인 의견으로 본 발행물의 전체적인 품질, 철두철미함 및 유용성을 향상시키는데 주요한 공헌을 해주신 공공 및 민간 부문의 개인 혹은 단체에 진심으로 감사를 드린다. 또한, 본 발행물에 탁월한 공헌을 해주신 Lisa Kaiser, 국토안보부(Department of Homeland Security), 국토안보부 산업제어시스템(ICS) 공동 작업반(Department of Homeland Security Industrial Control System Joint Working Group) 및 설비 환경 국방부 부차관실(Office of the Deputy Undersecretary of Defense for Installations and Environment), 기업 통합 이사회(Business Enterprise Integration Directorate) 일동, Daryl Haegley 및 Michael Chipley 님에게 특별한 감사를 드린다.

이전 버전에 대한 감사의 글

원작자인 미국국립표준기술연구소(NIST)의 Keith Stouffer, Joe Falco 및 Karen Scarfone는 문서의 원본 초안을 검토하고 기술 내용에 기여해 준 동료들에게 감사의 말을 전한다. 문서 개발의 처음부터 끝까지 예리하고 통찰력 있는 지원을 해준 미국국립표준기술연구소(NIST)의 Tim Grance, Ron Ross, Stu Katzke 및 Freemon Johnson 님에게 특별히 감사를 드린다. 사려 깊고 건설적인 의견으로 발행물의 품질 및 유용성을 향상시킨 공공 및 민간 부문의 많은 공헌에 진심으로 감사를 드린다. ISA99의 구성원들에게 특별한 감사를 드린다. 또한 감시 제어 및 데이터 수집(SCADA)과 프로세스 제어 네트워크를 위한 방화벽 배치에 관한 모범 사례서(Good Practice Guide on Firewall Deployment for SCADA and Process Control Network)의 일부를 본 문서에 사용할 수 있도록 허용해준 영국국립국가기반보호센터(UK National Centre for the Protection of National Infrastructure) 및 ISA-62443 표준의 일부를 본 문서에 사용할 수 있도록 허용해준 ISA 모두에 감사를 드린다.


vi

독자 참고

본 문서는 미국국립표준기술연구소(NIST) SP 800-82 산업제어시스템(ICS) 보안 가이드의 2차 개정판이다. 본 개정판에 포함된 업데이트는 다음과 같다.

산업제어시스템(ICS) 위협 및 취약점에 대한 업데이트.

산업제어시스템(ICS) 위험 관리, 권고 방식 및 구조에 대한 업데이트. 산업제어시스템(ICS) 보안의 현재 활동에 대한 업데이트.

산업제어시스템(ICS)의 보안 기능 및 도구에 대한 업데이트.

다른 산업제어시스템(ICS) 보안 표준 및 가이드와의 추가 조정.

산업제어시스템(ICS) 보안 통제 오버레이(security control Overlay)를 포함하여 미국국립표준기술연구소(NIST) SP 800-53 4차 개정판 보안 통제에 대한 새로운 조정 가이드.

저충격, 보통 충격 및 고충격 산업제어시스템(ICS)에 대한 맞춤형 보안 통제 기준선을 제공하는 미국국립표준기술연구소(NIST) SP 800-53 4차 개정판 보안 통제에 대한 산업제어시스템(ICS) 오버레이(security control Overlay).


vii

목 차

요약 ································································································································· 11. 서문 ······················································································································· 1-1

1.1 목적 및 범위 ····························································································· 1-11.2 독자 ············································································································· 1-21.3 문서 구조 ··································································································· 1-2

2. 산업제어시스템의 개요 ······················································································ 2-12.1 산업제어시스템의 진화 ············································································ 2-22.2 산업제어시스템(ICS) 산업 부문 및 상호의존성 ·································· 2-2

2.2.1 제조업 ································································································· 2-22.2.2 에너지배급업 ····················································································· 2-32.2.3 제조 및 유통 산업제어시스템(ICS)의 차이점 ····························· 2-32.2.4 산업제어시스템(ICS)과 주요기반 상호의존성 ····························· 2-3

2.3 산업제어시스템(ICS) 작동 및 구성요소 ··············································· 2-42.3.1 산업제어시스템(ICS) 설계 고려사항 ············································· 2-62.3.2 감시 제어 및 데이터 수집(SCADA) 시스템 ······························· 2-82.3.3 분산제어시스템(DCS) ···································································· 2-142.3.4 프로그래머블 로직 컨트롤러(PLC) 기반 구성 방식 ················ 2-16

2.4 산업제어시스템(ICS) 및 정보기술(IT) 시스템 보안 비교 ··············· 2-182.5 기타 유형의 제어시스템 ········································································ 2-24

3. 산업제어시스템(ICS) 위험 관리 및 평가 ························································ 3-13.1 위험 관리 ··································································································· 3-13.2 위험 관리 절차 소개 ················································································ 3-23.3 산업제어시스템(ICS) 위험 평가 수행 시 특별 고려 사항 ················ 3-5

3.3.1 산업제어시스템(ICS) 정보 보안 위험 평가 중 안전 ················· 3-63.3.2 잠재적인 산업제어시스템(ICS) 사고의 물리적 영향 ················· 3-63.3.3 산업제어시스템(ICS) 공정의 물리적 중단의 영향 ····················· 3-73.3.4 영향 평가에 비디지털(Non-Digital) 측면의 ICS 통합 ············ 3-83.3.5 안전 시스템의 영향 통합 ······························································· 3-93.3.6 연결된 시스템에 대한 파급 영향 고려 ······································ 3-10

4. 산업제어시스템(ICS) 보안 프로그램 개발 및 배치 ······································ 4-14.1 보안의 업무 적용 사례 ············································································ 4-2

4.1.1 혜택 ···································································································· 4-3


viii

4.1.2 잠재적 결과 ······················································································· 4-44.1.3 업무 적용 사례 구축을 위한 자원 ················································ 4-64.1.4 경영진에 업무 적용 사례 제시 ······················································ 4-6

4.2 다기능팀 전략 구축 및 훈련 ·································································· 4-74.3 헌장 및 범위 정의 ··················································································· 4-84.4 산업제어시스템(ICS)별 보안 정책 및 절차 정의 ································ 4-84.5 산업제어시스템(ICS) 보안 위험 관리 프레임워크 구현 ···················· 4-9

4.5.1 산업제어시스템(ICS)의 시스템 및 네트워크 자산 분류 ········· 4-104.5.2 산업제어시스템(ICS) 보안 통제 선택 ········································ 4-114.5.3 위험 평가 수행 ··············································································· 4-124.5.4 보안 통제 수단 구현 ····································································· 4-13

5. 산업제어시스템(ICS) 보안 구조 ······································································· 5-15.1 네트워크 분할 및 격리 ············································································ 5-15.2 경계 보호 ··································································································· 5-45.3 방화벽 ········································································································· 5-75.4 논리적 분리형 제어 네트워크 ······························································ 5-105.5 네트워크 격리 ························································································· 5-11

5.5.1 이중 홈 컴퓨터/듀얼 네트워크 인터페이스 카드(NIC) ··········· 5-115.5.2 업무 네트워크와 제어 네트워크 사이의 방화벽 ······················ 5-125.5.3 업무 네트워크와 제어 네트워크 사이의 방화벽과 라우터 ····· 5-135.5.4 업무 네트워크와 제어 네트워크 사이의 경계 네트워크

구간(DMZ)과 방화벽 ···································································· 5-145.5.5 업무 네트워크와 제어 네트워크 사이의 이중 방화벽 ············ 5-165.5.6 네트워크 격리 요약 ······································································· 5-18

5.6 권장 심층 방어 구조 ············································································· 5-185.7 산업제어시스템(ICS)의 일반 방화벽 정책 ········································· 5-205.8 특정 서비스에 대한 권장 방화벽 규칙 ·············································· 5-23

5.8.1 도메인 네임 시스템(DNS) ···························································· 5-245.8.2 하이퍼텍스트 전송 프로토콜(HTTP) ·········································· 5-245.8.3 FTP 및 간이 파일 전송 프로토콜(TFTP) ································· 5-255.8.4 텔넷(Telnet) ···················································································· 5-255.8.5 동적 호스트 구성 프로토콜(DHCP) ············································ 5-255.8.6 시큐어 셸(SSH) ·············································································· 5-265.8.7 단순 객체 접근 프로토콜(SOAP) ················································ 5-26


ix

5.8.8 단순 우편 전송 프로토콜(SMTP) ················································ 5-265.8.9 단순 네트워크 관리 프로토콜(SNMP) ········································ 5-265.8.10 분산 컴포넌트 객체 모델(DCOM) ············································ 5-275.8.11 감시 제어 및 데이터 수집(SCADA) 시스템과 산업용 네트워크

프로토콜 ························································································· 5-275.9 네트워크 주소 변환(NAT) ···································································· 5-275.10 특정 산업제어시스템(ICS) 방화벽 문제 ··········································· 5-29

5.10.1 데이터 이력 관리 장치(Data Historians) ······························ 5-295.10.2 원격 지원 접근 ············································································ 5-295.10.3 멀티캐스트 트래픽 ······································································· 5-30

5.11 단방향 게이트웨이 ··············································································· 5-315.12 단일 장애 지점 ····················································································· 5-315.13 중복 및 내결함성 ················································································· 5-315.14 중간자 공격 방지 ················································································· 5-325.15 인증 및 인가 ························································································· 5-34

5.15.1 산업제어시스템(ICS) 구현 고려 사항 ······································ 5-365.16 모니터링, 기록 및 감사 ······································································ 5-365.17 사고 탐지, 대응 및 시스템 복구 ······················································ 5-37

6. 산업제어시스템(ICS)에 대한 보안 통제 적용 ················································ 6-16.1 산업제어시스템(ICS)에 대한 위험 관리 프레임워크 작업 실행 ···· 6-1

6.1.1 제1단계: 정보시스템 분류 ······························································ 6-26.1.2 제2단계: 보안 통제 수단 선택 ······················································ 6-46.1.3 제3단계: 보안 통제 수단 구현 ······················································ 6-66.1.4 제4단계: 보안 통제 수단 접근 ······················································ 6-76.1.5 제5단계: 정보시스템 인가 ······························································ 6-76.1.6 제6단계: 보안 통제 수단 모니터링 ·············································· 6-7

6.2 산업제어시스템(ICS)에 대한 보안 통제 수단 적용 가이드 ·············· 6-76.2.1 접근통제 ·························································································· 6-106.2.2 인식 및 훈련 ··················································································· 6-176.2.3 감사 및 책임 추적성 ····································································· 6-186.2.4 보안 평가 및 인가 ········································································· 6-206.2.5 형상 관리 ························································································ 6-216.2.6 긴급 사태 대책 ··············································································· 6-226.2.7 식별 및 인증 ··················································································· 6-25


x

6.2.8 사고 대응 ························································································ 6-346.2.9 유지보수 ·························································································· 6-366.2.10 매체 보호 ······················································································ 6-366.2.11 물리적 및 환경적 보호 ······························································· 6-376.2.12 기획 ································································································ 6-426.2.13 인적 보안 ······················································································ 6-436.2.14 위험 평가 ······················································································ 6-446.2.15 시스템 및 서비스 수집 ······························································· 6-466.2.16 시스템 및 통신 보호 ··································································· 6-476.2.17 시스템 및 정보 무결성 ······························································· 6-526.2.18 프로그램 관리 ·············································································· 6-566.2.19 프라이버시 통제 수단 ································································· 6-56

부록 목차

부록 A - 두문자어 및 약어 ··················································································· A-1부록 B - 용어 해설 설명 ······················································································· B-1부록 C - 위협원, 취약점 및 사고 ········································································ C-1부록 D - 산업제어시스템 보안의 현재 활동 ····················································· D-1부록 E - 산업제어시스템(ICS) 보안 기능 및 도구 ··········································· E-1부록 F - 참조(References) ·················································································· F-1부록 G - 산업제어시스템(ICS) 오버레이(Overlay) ··········································· G-1

그림 목차

그림 2-1. 산업제어시스템(ICS) 작동 ··································································· 2-6그림 2-2. 감시 제어 및 데이터 수집(SCADA) 시스템 일반 구조 ·············· 2-10그림 2-3. 감시 제어 및 데이터 수집(SCADA) 시스템의 기본 통신 구성 · 2-11그림 2-4. 감시 제어 및 데이터 수집(SCADA) 시스템의 대형 통신 구성 · 2-12그림 2-5. 감시 제어 및 데이터 수집(SCADA) 시스템 구현 예제

(에너지배급 모니터링 및 제어) ························································· 2-13그림 2-6. 감시 제어 및 데이터 수집(SCADA) 시스템 구현 예제


xi

(철도 모니터링 및 제어) ····································································· 2-14그림 2-7. DCS 구현 예제 ··················································································· 2-16그림 2-8. 프로그래머블 로직 컨트롤러(PLC) 제어시스템 구현 예제 ········· 2-18그림 3-1. 계층 전반에 걸쳐 적용된 위험 관리 절차 ······································· 3-3그림 5-1. 업무 네트워크와 제어 네트워크 사이의 방화벽 ··························· 5-12그림 5-2. 업무 네트워크와 제어 네트워크 사이의 방화벽과 라우터 ·········· 5-14그림 5-3. 업무 네트워크와 제어 네트워크 사이의 경계 네트워크

구간(DMZ)과 방화벽 ·········································································· 5-15그림 5-4. 업무 네트워크와 제어 네트워크 사이의 이중 방화벽 ················· 5-17그림 5-5. 제어시스템 보안 프로그램(CSSP) 권장 심층 방어 구조 ············ 5-20그림 6-1. 위험 관리 프레임워크 작업 ································································ 6-2그림 C-1. 연도별로 ICS-CERT에 보고된 사고 ·············································· C-17그림 G-1 오버레이(Overlay) 제어 상세 설명서 ············································· G-17

표 목차

표 2-1. 정보기술(IT) 시스템 및 산업제어시스템(ICS) 차이점 요약 ·········· 2-22표 3-1. 비디지털(Non-Digital) 산업제어시스템(ICS) 제어 구성요소의 범주 3-8표 6-1. ISA99에 기반한 산업제어시스템(ICS) 영향도 정의 ··························· 6-4표 6-2. 생산 제품, 업계 및 보안 문제에 기반한 산업제어시스템(ICS)

영향도의 가능한 정의 ··············································································· 6-4표 C-1. 산업제어시스템(ICS)에 대한 위협 ························································ C-2표 C-2. 정책 및 절차 취약점과 선행조건 ························································· C-6표 C-3. 구조 및 설계 취약점과 선행조건 ························································· C-8표 C-4. 형상 및 유지보수 취약점과 선행조건 ·················································· C-9표 C-5. 물리적 취약점과 선행조건 ··································································· C-12표 C-6. 소프트웨어 개발 취약점과 선행조건 ················································· C-13표 C-7. 통신 및 네트워크 구성 취약점과 선행조건 ······································ C-13표 C-8. 적대적 사건 사례 ·················································································· C-15표 G-1 보안 통제 기준선 ······················································································ G-4


1

요약

본 문서는 산업제어시스템(ICS)에 보안을 설정하기 위한 가이드를 제공한다. 이러한 산업제어시스템(ICS)에는 감시 제어 및 데이터 수집(SCADA) 시스템, 분산제어시스템(DCS) 및 프로그래머블 로직 컨트롤러(PLC) 등의 기타 제어시스템 구성이 포함되어 있으며 산업용 제어 부문에서 흔히 발견된다. 산업제어시스템(ICS)은 일반적으로 전기, 물 및 폐수, 석유 및 천연 가스, 운송, 화학, 제약, 펄프 및 제지, 식품 및 음료, 그리고 개별 품목 제조(예: 자동차, 항공우주 및 내구재) 산업 등에서 사용된다. 감시 제어 및 데이터 수집(SCADA) 시스템은 일반적으로 중앙 집중식 데이터 수집 및 감시 제어를 이용하여 분산된 자산을 제어하는 데 사용된다. 분산제어시스템(DCS)은 일반적으로 공장과 같은 지역에서 감시 및 규제 제어를 이용하여 생산 시스템을 제어하는 데 사용된다. 프로그래머블 로직 컨트롤러(PLC)는 일반적으로 특정 응용 프로그램에 대한 이산 제어를 위해 제어시스템(ICS) 및 전형적인 시스템 구성 방식의 개요를 제공하고, 이러한 시스템에 대한 전형적인 위협 및 취약점을 파악하며, 관련된 위험을 완화하기 위해 권장 보안 대책을 제공한다.

초기에 산업제어시스템(ICS)은 특수한 하드웨어와 소프트웨어를 사용하여 독점적인 제어 프로토콜이 실행되는 격리된 시스템이라는 점에서 전통적인 정보기술(IT) 시스템과 비슷한 점이 거의 없었다. 산업제어시스템(ICS)의 대부분의 구성요소들은 물리적으로 안전한 영역에 있었으며 정보기술(IT) 네트워크나 시스템에 연결되어 있지 않았다. 지금은 널리 보급된 저비용의 인터넷 프로토콜(IP) 장치가 독점 솔루션을 대체하고 있으며, 이에 따라 사이버보안 취약점 및 사고의 가능성이 증가하고 있다. 산업제어시스템(ICS)에 정보기술(IT) 솔루션이 채택되어 기업 비즈니스 시스템의 연결 및 원격 접근 기능을 촉진하고, 업계 표준 컴퓨터, 운영 체제(OS) 및 네트워크 프로토콜을 사용하여 설계 및 구현됨에 따라 정보기술(IT) 시스템과 유사해지고 있다. 이 통합에는 새로운 정보기술(IT) 기능이 지원되지만 이전 모델의 시스템에 비해 산업제어시스템(ICS)을 바깥세상으로부터 격리시킬 수 없기 때문에 이러한 시스템에 대한 보안 적용의 필요성이 더 커지고 있다. 무선 네트워킹의 사용 증가로 인해, 장비에 직접적인 물리적 접근 권한이 없는 공격자가 상대적으로 인접하게 되면서 산업제어시스템(ICS)을 커다란 위험에 빠뜨리고 있다. 보안 솔루션이 전형적인 정보기술(IT) 시스템에서 이러한 보안 문제를 처리하기 위해 설계되었지만 이와 같은 솔루션을 산업제어시스템(ICS) 환경에 도입할


2

때는 특별한 예방 조치를 취해야 한다. 어떤 경우에는 산업제어시스템(ICS) 환경에 새로운 맞춤형 보안 솔루션이 필요하다.

산업제어시스템(ICS)에는 전통적인 정보 처리 시스템과 일부 유사한 특성도 있지만 다른 특성도 있다. 이러한 차이의 대부분은 산업제어시스템(ICS)에서 실행되는 로직이 현실 세계에 직접적인 영향을 준다는 사실에서 유래한다. 이러한 일부 특성에는 인간 삶의 건강과 안전에 대한 상당한 위험 및 심각한 환경 손상 뿐 아니라 생산 손실, 국가의 경제에 대한 악영향 및 독점 정보의 누설 등의 심각한 재정 문제가 포함된다. 산업제어시스템(ICS)에는 고유의 성능 및 신뢰성 요구사항이 있으며 전형적인 정보기술(IT) 인력에게는 변칙적으로 간주될 수 있는 운영 체제 및 응용 프로그램이 사용된다. 더욱이, 안전 및 효율의 목표는 때로는 제어시스템의 설계 및 작동에서 보안과 모순된다.

사이버보안은 현대 산업 공정의 안전하고 신뢰할 수 있는 운영에 필수적이기 때문에 산업제어시스템(ICS) 사이버보안 프로그램은 항상 산업 현장 및 기업 사이버보안 프로그램 모두에서 폭 넓은 산업제어시스템(ICS) 안전 및 신뢰성 프로그램의 일부이어야 한다. 제어시스템에 대한 위협은 적대적인 정부, 테러 집단, 불만을 품은 직원, 악의적인 침입자, 복잡한 문제, 사고 및 자연 재해뿐 아니라 내부자에 의한 악의적이거나 돌발적인 행동 등의 다양한 원천에서 올 수 있다. 산업제어시스템(ICS) 보안 목표는 전형적으로 가용성, 무결성, 비밀성의 우선순위를 따른다.

산업제어시스템(ICS)에는 다음과 같은 사고가 있을 수 있다.

n 산업제어시스템(ICS) 네트워크에서 정보의 흐름을 차단 또는 지연시켜 산업제어시스템(ICS)의 작동을 방해.

n 가이드, 명령 또는 경보 임계값을 무단으로 변경하여 장비를 손상, 불능화 또는 정지시켜 환경적 충격을 초래하거나 인간의 생명을 위태롭게 함.

n 시스템 운영자에게 부정확한 정보를 전송하여 무단 변경을 위장하거나 운영자가 부적절한 행동을 시작하도록 하여 다양하고 악영향을 줌.

n 산업제어시스템(ICS) 소프트웨어 또는 형상 설정이 수정되거나 산업제어시스템(ICS) 소프트웨어가 악성코드에 감염되어 다양하고 악영향을 줌.


3

n 장비 보호 시스템의 작동을 방해하여 교체하기 힘든 고가의 장비를 위험에 빠뜨림.

n 안전 시스템의 작동을 방해하여 인간의 생명을 위태롭게 함.

산업제어시스템(ICS) 구현을 위한 주요 보안 목표에는 다음 사항이 포함되어야 한다.

n 산업제어시스템(ICS) 네트워크 및 네트워크 활동에 대한 논리적 접근 제한. 이는 네트워크 트래픽이 기업 및 산업제어시스템(ICS) 네트워크 사이를 곧장 통과하는 것을 방지하기 위해 단방향 게이트웨이, 방화벽과 경계네트워크구간(DMZ) 네트워크 구조를 사용하는 것과 기업 및 산업제어시스템(ICS) 네트워크의 사용자를 위해 별도의 인증 메커니즘 및 자격증명을 운영하는 것을 포함할 수 있다. 또한 산업제어시스템(ICS)에는 가장 중요한 통신이 가장 안전하고 신뢰할 수 있는 계층에서 발생되는 다수의 계층이 있는 네트워크 구성 방식을 사용해야 한다.

n 산업제어시스템(ICS) 네트워크 및 장치에 대한 물리적 접근 제한. 구성요소에 대한 물리적인 무단 접근은 산업제어시스템(ICS)의 기능에 심각한 지장을 줄 수 있다. 잠금 장치, 카드 판독기 및/또는 경비원 등 여러 가지 물리적 접근 통제 수단의 조합을 사용해야 한다.

n 개별 산업제어시스템(ICS) 구성요소에 대한 악용 방지. 여기에는 가능한 빨리 보안 패치를 현장 조건에서 테스트를 한 후에 배치하고, 사용하지 않는 모든 포트 및 서비스를 비활성화하여 이 상태가 유지되는 것을 보장하며, 산업제어시스템(ICS)의 사용자 권한을 각 개인의 역할에 맞게 제한하고, 감사 기록을 추적 및 모니터링하며, 악성코드를 기술적으로 방지, 억제, 감지, 완화시킬 수 있는 바이러스 퇴치 소프트웨어와 파일 무결성 검사 소프트웨어와 같은 보안 통제 수단을 사용하는 것이 포함되어 있다.

n 데이터의 무단 변경 제한. 최소한 네트워크 경계를 넘어서 전송되는 데이터 및 저장 중인 데이터가 포함된다.

n 보안사건 및 사고 감지. 사고로 확대되지 않은 보안 사건을 감지하는 경우 방어자는 공격자가 공격 목표를 달성하기 전에 연쇄 공격을 깰 수 있다. 이것에는 결함이 발생한 산업제어시스템(ICS) 구성요소, 사용할 수 없는 서비스 및 소진된 자원을 감지하는 기능이 포함되며, 이 기능은


4

산업제어시스템(ICS)의 적절하고 안전한 작동을 제공하는 데 중요하다.

n 악조건에서 기능 유지. 중요한 각 구성요소에 중복 구성요소가 포함되도록 산업제어시스템(ICS)을 설계하는 것이 포함된다. 또한, 구성요소에 결함이 발생하는 경우 산업제어시스템(ICS) 또는 기타 네트워크에 필요하지 않는 트래픽을 발생시키지 않아야 하며 연쇄 이벤트와 같은 또 다른 문제를 딴 곳에서 일으키지 않아야 한다. 또한 산업제어시스템(ICS)에서는 완전 자동화되는 "정상 작동"으로부터 자동화가 적고 운영자가 더 관여하는 "비상 작동" 및 자동화가 없는 "수동 작동"으로의 이동과 같은 우아한 성능 저하가 허용되어야 한다.

n 사고 후 시스템 복원. 사고는 불가피하며 사고 대응 계획은 필수적이다. 우수한 보안 프로그램의 주요 특성 중의 한 가지는 사고가 발생한 후에 얼마나 빠르게 시스템을 복원할 수 있는가 하는 것이다.

산업제어시스템(ICS)에서 보안을 제대로 해결하려면 상호 기능형 사이버보안 팀이 다양한 특정 분야의 지식과 경험을 공유하여 산업제어시스템(ICS)에 대한 위험을 평가하고 완화하는 것이 필수적이다. 사이버보안 팀은 최소한도로 조직의 IT 직원, 제어 기사, 제어시스템 운영자, 네트워크 및 시스템 보안 전문가, 관리 직원 및 물리적 보안 부서의 일원으로 구성되어야 한다. 연속성 및 완전성을 위해 사이버보안 팀은 제어시스템 공급자 및/또는 시스템 통합 사업자의 자문도 구해야 한다. 사이버보안 팀은 사이버보안 및 산업제어시스템(ICS)과 사이버 사고에 직접 또는 간접적인 원인이 있는 모든 안전사고, 신뢰성 사고 또는 장비 손상에 대해 전적인 책임 및 책임 추적성이 있는 회사의 최고 정보 책임자(CIO) 또는 최고 보안 책임자(CSO) 및 현장 관리자(예: 시설 감독관)와 긴밀하게 협조해야 한다. 산업제어시스템(ICS)에 대한 효과적인 사이버보안 프로그램에는 “심층 방어”로 알려진 전략을 적용하여 어떤 하나의 메커니즘에 발생한 결함의 영향을 최소화하는 보안 메커니즘의 층을 쌓아야 한다. 조직은 “은둔 보안”에 의존해서는 안 된다.

이것은 전형적인 산업제어시스템(ICS)에서 다음 사항을 포함하는 심층 방어 전략을 의미한다.

n 산업제어시스템(ICS)에 구체적으로 적용되는 보안 정책, 절차, 교육 및 훈련 자료 개발.

n 위협 수준(Threat Level)이 증가함에 따라 더욱 강화된 보안 태세를


5

전개하는 국토 안보 자문 시스템 위협 수준(Homeland Security Advisory System Threat Level)에 기반한 산업제어시스템(ICS) 보안 정책 및 절차 고려.

n 구조 설계에서 조달, 설치, 유지보수, 해체에 이르는 산업제어시스템(ICS)의 전체 수명에 걸친 보안 해결.

n 가장 중요한 통신이 가장 안전하고 신뢰할 수 있는 계층에서 발생되는 다수의 계층이 있는 네트워크 구성 방식을 산업제어시스템(ICS)에 구현.

n 기업 및 산업제어시스템(ICS) 네트워크 사이에 논리적 분리 제공(예: 단방향 게이트웨이, 네트워크 사이에 상태 기반 검사 방화벽).

n 경계네트워크구간(DMZ) 네트워크 구조적용(즉, 기업 및 산업제어시스템(ICS) 네트워크 사이의 직접 트래픽 방지).

n 중요한 구성요소가 중복되며 중복 네트워크상에 있음을 보장.

n 중요한 시스템에는 우아한 성능 저하(내결함성)를 위해 설계하여 치명적인 연쇄 이벤트를 방지.

n 산업제어시스템(ICS) 장치에서 사용하지 않는 포트 및 서비스를 비활성화하는 것이 산업제어시스템(ICS) 작동에 영향을 주지 않는 것을 보증하는 테스트를 수행한 후 포트 및 서비스를 비활성화.

n 산업제어시스템(ICS) 네트워크 및 장치에 대한 물리적 접근 제한.

n 산업제어시스템(ICS)의 사용자 권한을 각 개인의 작업 수행에 맞게 제한(즉, 역할 기반 접근통제 설정 및 최소 권한의 원칙에 기반을 두어 각 역할 구성).

n 산업제어시스템(ICS) 네트워크 및 업무 네트워크 사용자에 대해 별도의 인증 메커니즘 및 자격증명 사용(즉, 산업제어시스템(ICS) 네트워크 계정에는 업무 네트워크 사용자 계정을 사용하지 않음).

n 개인신원확인(PIV)을 위한 스마트카드 등의 최신 기술 사용.

n 산업제어시스템(ICS)과 관련된 악성 소프트웨어의 전래, 노출 및 전파를 기술적으로 방지, 억제, 감지, 완화할 수 있는 침입 탐지 소프트웨어, 바이러스 퇴치 소프트웨어 및 파일 무결성 검사 소프트웨어 등의 보안 통제 수단 구현.


6

n 적절하다고 판단되는 산업제어시스템(ICS) 데이터 저장소 및 통신에 암호화 및/또는 암호화 해시 등의 보안 기법 적용.

n 모든 패치를 현장 조건의 테스트 시스템에서 테스트한 후에 가급적이면 산업제어시스템(ICS)에 설치하기 전에 신속하게 보안 패치 배치.

n 산업제어시스템(ICS)의 중요한 영역에 대한 감사 기록 추적 및 모니터링.

n 가능한 경우 신뢰할 수 있고 보안 네트워크 프로토콜 및 서비스 적용.

미국국립표준기술연구소(NIST)는 공공 및 민간 부문 산업제어시스템(ICS) 공동체와 협력하여 산업제어시스템(ICS)에 대한 보안 통제 수단의 적용에 관한 구체적인 가이드(미국국립표준기술연구소(NIST) 특별 발행(SP) 800-53 4차 개정판, 연방 정보시스템 및 조직용 보안 및 프라이버시 통제 수단(Security and Privacy Controls for Federal Information Systems and Organizations) [22])을 개발했다.

미국국립표준기술연구소(NIST) SP 800-53의 부록 F에 있는 대부분의 통제 수단은 기록된 바와 같이 산업제어시스템(ICS)에 적용할 수 있지만, 대부분의 통제 수단에는 산업제어시스템(ICS)별 해석 및/또는 증강을 위해 해당 통제 수단에 다음 중 하나 이상을 추가해야 한다.

§ 산업제어시스템(ICS) 추가적인 가이드는 미국국립표준기술연구소(NIST) SP 800-53의 부록 F에서 산업제어시스템(ICS)에 대한 보안 통제 수단 및 향상된 통제 수단의 적용과 이러한 전문화된 시스템이 작동하는 환경에 대한 추가 정보를 조직에 제공한다. 또한 추가적인 가이드는 특정 보안 통제 수단 또는 향상된 통제 수단이 일부 산업제어시스템(ICS) 환경에 적용되지 않을 수 있고 맞춤형 지정(즉, 범위 지정 가이드 및/또는 보완 통제 수단의 적용)이 필요할 수 있는 이유에 대한 정보를 제공한다. 산업제어시스템(ICS) 추가적인 가이드는 미국국립표준기술연구소(NIST) SP 800-53의 부록 F에 있는 원래의 추가적인 가이드를 대체하지 않는다.

§ 일부 산업제어시스템(ICS)에 필요할 수 있는 원래의 통제 수단에 대해 향상 증강 기능을 제공하는 산업제어시스템(ICS)의 향상된 기능(하나 이상)


7

§ 산업제어시스템(ICS) 환경에서 향상된 통제 수단을 적용하거나 적용하지 않는 방법에 대한 가이드를 제공하는 산업제어시스템(ICS) 향상 기능 추가적인 가이드.

산업제어시스템(ICS)에 보안을 적용하는 가장 성공적인 방법은 업계 권고 방식을 모으고 관리팀, 제어 기사 및 운영자, IT 조직 및 신임 받는 자동화 자문가 간의 사전 공동 노력에 참여하는 것이다. 이 팀은 “부록 D—”에 나열된 지속적인 연방 정부, 업계 단체, 공급자의 표준 조직 활동에서 얻을 수 있는 풍부한 정보를 인용해야 한다.


1-1

1. 서문

1.1 목적 및 범위

본 문서의 목적은 감시 제어 및 데이터 수집(SCADA) 시스템, 분산제어시스템(DCS) 및 제어 기능을 수행하는 기타 시스템 등의 산업제어시스템(ICS) 보안에 대한 가이드를 제공하는 것이다. 본 문서에서는 산업제어시스템(ICS)에 대한 개념상의 개요를 제공하고, 전형적인 시스템 구성 방식 및 구조를 검토하며, 이러한 시스템에 대해 알려진 위협 및 취약점을 파악하고, 관련된 위험을 완화하기 위한 권장 보안 대책을 제공한다. 그리고 본 문서에서는 미국국립표준기술연구소(NIST) SP 800-53 Rev. 4 [22]에 기반을 두어 산업제어시스템(ICS) 분야의 고유의 특성에 적용되는 통제 수단의 맞춤화를 제공하기 위한 산업제어시스템(ICS) 맞춤형 보안 통제 오버레이(Overlay)를 제시한다. 본 문서의 본문에서는 오버레이(Overlay)의 맥락을 제공하지만, 오버레이(Overlay)는 독립형으로 계획된 것이다.

산업제어시스템(ICS)은 전기, 물 및 폐수, 석유 및 천연 가스, 화학, 제약, 펄프 및 제지, 식품 및 음료 및 개별 품목 제조(예: 자동차, 항공우주 및 내구재)업 등에 상당히 많다. 다양한 유형의 산업제어시스템(ICS)에 다양한 수준의 잠재적인 위험 및 영향이 있기

행정 명령 13636 “주요기반 사이버보안 향상(Improving Critical Infrastructure Cybersecurity)” 과의 관계

미국의 국가 경제적 보안은 주요기반의 신뢰할 수 있는 기능에 달려 있음을 인식하는 미국 대통령은 행정 명령 “주요기반 사이버보안 향상(Improving Critical Infrastructure Cybersecurity)” [82]에 따라 미국국립표준기술연구소(NIST)가 관계자들과 협업하여 주요기반에 대한 사이버 위험을 줄이기 위한 자발적인 프레임워크를 개발할 것을 지시했다. 사이버보안 프레임워크(CSF) [83]는 주요기반에 대한 보호를 촉진하기 위한 표준, 가이드 및 모범 사례로 구성되어 있다. 이 프레임워크에 대한 우선순위 기반, 유연적, 반복적, 성능 기반, 비용 효과적인 접근방법은 주요기반의 소유자 및 운영자가 비즈니스 비밀성, 개별 프라이버시 및 시민 자유를 보호하면서 사이버보안 관련 위험을 관리하는 데 도움이 된다. 2014년 2월에 발표된 초기 사이버보안 프레임워크(CSF)는 여러 분야 및 서로 다른 작동 환경에 적용하기 충분하게 유연한 국가 수준의 프레임워크를 만들었다. 사이버보안 프레임워크(CSF)는 다양한 분야의 기존 작업이 이 프레임워크 내에서 활용되도록 보장하는 것에 도움이 되도록 관계자의 입력에 기반을 두어 개발되었다. 산업제어시스템(ICS) 사이버보안 표준, 가이드 및 사례는 조직의 위험 관리 프로그램의 맥락에서 사이버보안 프레임워크(CSF) 기능을 다루는 데 활용할 수 있다.


1-2

때문에 본 문서에서는 산업제어시스템(ICS)에 보안을 적용하기 위한 다양한 방법과 기법의 목록을 제공한다. 본 문서는 전적으로 특정 시스템을 안전하게 하기 위한 점검표로 사용해서는 안 된다. 독자들은 자신들의 시스템에 위험 기반 평가를 수행하고 권장 가이드 및 솔루션을 맞춤형 지정하여 특정 보안, 비즈니스 및 운영 요구사항을 충족하기 바란다. 본 문서에 제시된 제어시스템 보안에 대한 기본 개념의 적용 가능성의 범위는 확장되고 있다.

1.2 독자

본 문서에서는 산업제어시스템(ICS)에 특정된 자세한 내용을 다룬다. 본 문서의 독자는 네트워킹에서 사용되는 일반 컴퓨터 보안 개념 및 통신 프로토콜에 익숙해야 한다. 본 문서는 기술 문서이지만, 논의 주제를 이해하는 데 필요한 배경을 제공한다.

대상 독자는 다양하며 다음과 같다.

n 제어 기사, 통합 사업자 및 보안이 적용된 산업제어시스템(ICS)을 설계 또는 구현하는 설계자.

n 산업제어시스템(ICS)을 관리하고 패치와 보안을 적용하는 시스템 관리자, 기사 및 기타 정보기술(IT) 전문가.

n 산업제어시스템(ICS)의 침투 시험 및 보안 평가를 수행하는 보안 컨설턴트.

n 산업제어시스템(ICS)의 담당 관리자.

n 비즈니스 기능에 대한 영향을 완화하는 데 도움이 되는 산업제어시스템(ICS) 사이버보안 프로그램을 정당화하고 적용하며, 예상되는 영향과 결과를 파악하려는 고위 관리.

n 산업제어시스템(ICS) 고유의 보안 필요성을 파악하려는 연구원 및 분석가.

n 산업제어시스템(ICS)의 일부로서 배치되는 제품을 개발하고 있는 공급자.

1.3 문서 구조

본 가이드의 나머지 부분은 다음과 같은 주요 절로 구성되어 있다.

n 제2절에서는 산업제어시스템(ICS)과 정보기술(IT) 시스템의 비교를 포함한


1-3

산업제어시스템(ICS)의 개요가 제공된다.

n 제3절에서는 산업제어시스템(ICS) 위험 관리 및 평가에 대한 설명이 제공된다.

n 제4절에서는 부록 C에 정의된 취약점의 위험을 완화시키기 위한 산업제어시스템(ICS) 보안 프로그램의 개발 및 배치에 대한 개요가 제공된다.

n 제5절에서는 산업제어시스템(ICS)에서 전형적으로 발견되는 네트워크 구조에 보안을 통합하기 위한 네트워크 격리 사례에 중점을 둔 권장 사항이 제공된다.

n 제6절에서는 미국국립표준기술연구소(NIST) 특별 발행 800-53, 연방 정보시스템 및 조직용 보안 및 프라이버시 통제 수단(Security and Privacy Controls for Federal Information Systems and Organizations)에 정의된 관리, 작동 및 기술 통제 수단에 대한 요약이 제공되고, 이러한 보안 통제 수단을 산업제어시스템(ICS)에 적용하는 방법에 대한 초기 가이드가 제공된다.

또한 본 가이드에 포함되어 있는 다수의 보조 자료와 부록은 다음과 같다.

n 부록 A— 본 문서에서 사용되는 두문자어 및 약어 목록 제공.

n 부록 B— 본 문서에서 사용되는 용어 해설 설명을 제공.

n 부록 C— 산업제어시스템(ICS)에 대한 위협, 취약점 및 사고의 목록을 제공.

n 부록 D— 산업제어시스템(ICS) 보안 활동의 목록을 제공.

n 부록 E— 산업제어시스템(ICS) 보안 기능 및 도구의 목록을 제공.

n 부록 F— 본 문서의 개발에 사용된 참고 문헌의 목록을 제공.

n 부록 G— 산업제어시스템(ICS) 오버레이(Overlay)를 제공하고, 산업제어시스템(ICS)에 특별히 적용되는 보안 통제 수단, 향상된 기능 및 추가적인 가이드를 나열.


2-1

2. 산업제어시스템의 개요

산업제어시스템(ICS)은 산업 부문 및 주요기반에서 찾을 수 있는 감시 제어 및 데이터 수집(SCADA) 시스템, 분산제어시스템(DCS) 및 프로그래머블 로직 컨트롤러(PLC)와 같은 기타 제어시스템 구성 등 여러 유형의 제어시스템을 포함하는 일반적인 용어이다. 산업제어시스템(ICS)은 하나의 산업 목표(예: 제조, 물질이나 에너지의 운송)를 달성하기 위해 함께 작동하는 제어 구성요소(예: 전기, 기계, 유압, 공압)의 조합들로 구성된다. 주로 출력 생성에 관련된 시스템의 부분은 공정이라고 한다. 시스템의 제어 부분에는 원하는 출력 또는 성능의 사양이 포함되어 있다. 제어는 완전히 자동화하거나 인력을 일원으로 포함시킬 수 있다. 개방형 루프, 폐쇄형 루프 및 수동 모드를 작동하도록 시스템을 구성할 수 있다. 개방형 루프 제어시스템에서 출력은 정해진 설정 값에 의해 제어된다. 폐쇄형 루프 제어시스템에서 출력은 원하는 목표를 유지하는 방식으로 입력에 영향을 미친다. 수동 모드의 시스템은 완전히 인력에 의해서 제어된다. 주로 사양과의 적합성을 유지하는데 관련된 시스템의 부분은 컨트롤러(또는 제어)라고 한다. 전형적인 산업제어시스템(ICS)에는 수많은 제어 루프, 휴먼 머신 인터페이스(HMI) 및 다수의 네트워크 프로토콜을 사용하여 구축되는 유지보수 도구와 원격 진단이 포함될 수 있다. 산업제어시스템(ICS) 제어 산업용 공정은 전형적으로 전기, 물 및 폐수, 석유 및 천연 가스, 화학, 운송, 제약, 펄프 및 제지, 식품, 음료 및 개별 품목 제조(예: 자동차, 항공우주 및 내구재) 산업에서 사용된다.

산업제어시스템(ICS)은 종종 매우 상호 연결적이고 의존적인 시스템인 미국 주요기반의 운영에 중요하다. 미국의 주요기반의 약 85%가 개인 소유로 운영되고 있는 것에 주목해야 한다1. 또한 연방 기관에서는 위에 언급된 대부분의 산업용 공정 뿐 아니라 항공 교통 관제를 운영하고 있다. 이 절에서는 전형적인 구성 방식 및 구성요소를 포함하여 감시 제어 및 데이터 수집(SCADA), 분산제어시스템(DCS) 및 프로그래머블 로직 컨트롤러(PLC) 시스템의 개요를 제공한다. 이러한 시스템에 대한 이해를 돕기 위해 각 시스템에서 전형적으로 발견되는 네트워크 구성 방식, 연결, 구성요소 및 프로토콜을 여러 도형에 묘사하였다. 이러한 예는 단지 개념상의 구성 방식 개념을 식별하기 위한 시도이다. 실제 산업제어시스템(ICS)의 구현은 분산제어시스템(DCS)과 감시 제어 및 데이터 수집(SCADA) 시스템의 경계를 흐리는 복합형일 수 있다. 이 절의 도형에서는 산업제어시스템(ICS)의 보안에 중점을 두지는

1 http://www.dhs.gov/critical-infrastructure-sector-partnerships (2014년 4월 업데이트됨)


2-2

않는 점을 주목한다. 보안 구조 및 보안 통제는 본 문서의 제5절과 제6절에서 각각 설명된다.

2.1 산업제어시스템의 진화

오늘날 대부분의 산업제어시스템(ICS)은 기존의 물리적 시스템에 종종 물리적 제어 메커니즘을 교체하거나 보충하는 IT 기능을 첨가하여 진화했다. 예를 들어, 내장형 디지털 제어는 회전 기계 및 엔진의 아날로그 기계 제어를 대체했다. 비용과 성능의 개선이 이 진화를 촉진하여 스마트 전력망, 스마트 운송, 스마트 빌딩 및 스마트 제조와 같은 오늘날의 많은 “스마트” 기술을 낳았다. 이로써 이러한 시스템의 연결성 및 중대성이 증가하지만 시스템의 적응성, 회복성, 안전 및 보안에 대한 더 큰 필요도 생긴다.

산업제어시스템(ICS)의 공학 기술은 이러한 시스템의 전형적인 긴 수명주기를 유지하면서 새로운 기능을 제공하기 위해 진화하고 있다. 물리적 시스템에 대한 IT 기능의 도입은 보안에 영향을 미치는 불시의 행동을 낳기도 한다. 모델 및 분석 공학 기술은 이러한 안전, 보안, 프라이버시 및 환경적 영향의 상호의존성 등의 출현 속성을 해결하기 위해 진화하고 있다.

2.2 산업제어시스템(ICS) 산업 부문 및 상호의존성

제어시스템은 제조, 배급, 운송 등의 다양한 산업 부문 및 주요기반에서 사용된다.

2.2.1 제조업

제조업은 공정 기반(process-based)과 개별 품목 기반(discrete-based)의 제조업으로 분류할 수 있는 많은 다양한 공정의 광범위한 산업 부문이다.

공정 기반의 제조업에서는 전형적으로 두 가지의 주요 공정이[1] 활용된다.

n 연속 제조 공정. 종종 서로 다른 등급의 제품을 생산하기 위한 전환이 포함되는 이러한 공정은 연속적으로 실행된다. 전형적인 연속 제조 공정에는 발전소의 연료나 증기 흐름, 정유 공장의 석유, 화학 공장의 증류물이 포함된다.

n 일괄 제조 공정. 이러한 공정에는 재료의 수량에 대해 수행되는 뚜렷한


2-3

공정 단계가 있다. 중간 단계 중에 짧은 정상 상태 작동의 가능성이 있으며 일괄 공정에 대해 뚜렷한 시작과 종료 단계가 있다. 전형적인 일괄 제조 공정에는 식품 제조가 포함된다.

개별 품목 기반 제조업에서는 최종 제품을 생산하기 위해 전형적으로 단일 장치에 일련의 단계가 수행된다. 전자 기계 부품 조립 및 부품 가공업이 이러한 유형의 전형적인 예이다.

공정 기반 및 개별 품목 기반 산업 모두에서는 동일 유형의 제어시스템, 센서 및 네트워크가 활용된다. 일부 시설은 개별 품목 및 공정 기반 제조의 복합형이다.

2.2.2 에너지배급업

산업제어시스템(ICS)은 지리적으로 때로는 수 천 평방 킬로미터에 걸쳐서 분산된 물 배급 시스템, 폐수 회수 시스템, 농업용 관개 시스템, 석유 및 천연 가스 배관, 전기 송전선망 및 철도 운송 시스템과 같은 에너지배급 시스템 등의 자산을 제어하는 데 사용된다.

2.2.3 제조 및 유통 산업제어시스템(ICS)의 차이점

제조업과 에너지배급업에서 사용되는 제어시스템은 작동에서는 매우 유사하지만, 어떤 면에서는 서로 다르다. 지리적으로 분산된 에너지배급업에 비교했을 때 제조업체는 일반적으로 좁고 사방이 막힌 공장 또는 공장 중심의 지역에 위치한다. 일반적으로 제조업의 통신은 에너지배급업계에서 사용하는 장거리 통신 광역 통신망(WAN) 및 무선/RF(무선 주파수) 기술에 비교하여 전형적으로 더 신뢰할 수 있고 고속인 근거리 통신망(LAN) 기술을 사용하여 수행된다. 에너지배급업계에서 사용되는 산업제어시스템(ICS)은 다양한 사용 통신 매체에 의해 발생되는 지연 및 데이터 손실 등의 장거리 통신 문제를 처리하도록 설계되어 있다. 보안 통제 수단은 네트워크 유형에 따라 다를 수 있다.

2.2.4 산업제어시스템(ICS)과 주요기반 상호의존성

미국의 주요기반은 다양한 산업 부문 뿐 아니라 사업 협력자들 사이의 상호 접속 사이에 존재하는 상호의존성[8] [9] 때문에 “시스템의 시스템”이라고도


2-4

한다. 주요기반은 물리적이고 다수의 정보 통신 기술적인 측면에서 고도로 상호 접속되어 있으며 복잡한 방식으로 상호 의존적이다.

하나의 인프라에서 발생한 사고는 연쇄적이고 확대적인 결함을 통해 직간접적으로 다른 인프라에도 영향을 준다.

송전망 및 에너지배급망 업계 모두에서는 지리적으로 분산된 감시 제어 및 데이터 수집(SCADA) 제어 기술을 사용하여 최종 사용자에게 전기를 공급하기 위한 무수한 공공시설, 사유 시설 및 지방 협동조합으로 구성된 고도로 상호 접속되고 동적인 시스템들을 운영한다. 일부 감시 제어 및 데이터 수집(SCADA) 시스템은 중앙 집중식 위치에서 지리적으로 멀리 떨어져 있는 현장 제어국으로 명령을 내리고 데이터를 수집하여 전기 배급을 모니터링하고 제어한다. 또한 감시 제어 및 데이터 수집(SCADA) 시스템은 배관, 선박, 트럭 및 철도 시스템을 포함한 물, 석유 및 천연 가스 배급 뿐 아니라 폐수 회수 시스템을 모니터링하고 제어하는 데 사용된다.

감시 제어 및 데이터 수집(SCADA) 시스템과 분산제어시스템(DCS)은 종종 네트워크로 연결된다. 이것은 전력 제어센터와 발전 시설의 경우이다. 분산제어시스템(DCS)에서 발전 시설의 작동을 제어하지만 분산제어시스템(DCS)은 전송 및 배급 수요와 생산 출력을 조정하기 위해 감시 제어 및 데이터 수집(SCADA) 시스템과 통신해야 한다.

전력은 종종 상호 의존적 주요기반 붕괴의 가장 일반적인 자원 중의 한 가지로 여겨진다. 한 예로서, 연쇄 결함은 송전 감시 제어 및 데이터 수집(SCADA) 시스템에 사용되는 마이크로파 통신 네트워크의 붕괴에 의해서 시작될 수 있다. 모니터링 및 제어 기능의 부족은 대형 발전 설비의 오프라인 상태를 초래하여 송전 변전소에서 전력이 손실될 수 있다. 이 손실은 전력망 전체에 연쇄 결함을 유발할 수 있는 주요 불균형의 원인이 될 수 있다. 이것은 광대한 지역에서 정전을 초래하여 전력을 전력망에 의존하는 석유 및 천연 가스 생산, 정유 공장 작동, 물 처리시스템, 폐수 회수 시스템 및 배관 운송 시스템에 영향을 줄 수 있다.

2.3 산업제어시스템(ICS) 작동 및 구성요소

산업제어시스템(ICS)의 기본 작동은 그림 2-1 [2]에 표시된 바와 같다. 일부


2-5

중요한 공정에는 안전 시스템도 포함될 수 있다. 핵심 구성요소에는 다음 사항이 포함된다.

전형적인 산업제어시스템(ICS)에는 수많은 제어 루프, 휴먼 인터페이스, 그리고 계층화된 네트워크 구조에 있는 다수의 네트워크 프로토콜을 사용하여 구축되는 유지보수 도구와 원격 진단이 포함된다. 제어 루프에서는 일부 제어 공정을 조작하기 위해 센서, 액추에이터 및 컨트롤러(예: 프로그래머블 로직 컨트롤러(PLC))가 사용된다. 센서는 일부 물리적 속성의 측정값을 산출한 다음 이 정보를 제어 변수로서 컨트롤러에 보내는 장치이다. 컨트롤러는 제어 알고리즘 및 목표 설정 값에 기반을 두어 신호를 해석하고 조작 변수를 생성하여 액추에이터로 전송한다. 제어 밸브, 차단기, 스위치 및 모터 등의 액추에이터는 컨트롤러의 명령에 기반을 두어서 제어 공정을 직접 조작하는 데 사용된다.

운영자 및 기사는 휴먼 인터페이스를 사용하여 설정값, 제어 알고리즘을 모니터링하고 구성하며, 컨트롤러에서 매개 변수를 설정하고 조정한다. 또한 휴먼 인터페이스에는 공정 상태 정보 및 기록 정보가 표시된다. 진단 및 유지보수 시설은 비정상 작동 또는 결함을 방지하고 식별하며, 이로부터 복구하는 데 사용된다.

때때로 이러한 제어 루프는 중첩 및/또는 연쇄적이다. 즉, 하나의 루프에 대한 설정값이 다른 루프에 의해 결정된 공정 변수에 기반을 둔다. 감시 수준 루프와 하위 수준 루프는 밀리 초에서 분 단위의 사이클 시간의 공정 지속 시간 동안 연속적으로 작동한다.


2-6

휴먼 머신 인터페이스(HMI) 원격진단 및 유지보수

컨트롤러

설정값, 제어 알고리즘, 매개변수 제약, 공정

데이터

조작 변수

액추에이터

제어 공정

센서

공정 입력

제어 변수

교란

공정 출력

그림 2-1. 산업제어시스템(ICS) 작동

이후의 설명을 지원하기 위해 이 절에서는 제어 및 네트워킹에서 사용되는 산업제어시스템(ICS)의 핵심 구성요소를 정의한다. 이러한 구성요소의 일부는 감시 제어 및 데이터 수집(SCADA) 시스템, 분산제어시스템(DCS) 및 프로그래머블 로직 컨트롤러(PLC)에서의 사용을 위해 포괄적으로 설명될 수 있는 반면, 다른 구성요소에 대한 설명은 각각 고유하다. 부록 B—의 용어 해설 설명에는 제어 및 네트워킹 구성요소가 더 상세하게 나열되어 있다. 그리고 그림 2-5 및 2-6은 감시 제어 및 데이터 수집(SCADA) 구현 예제를, 그림 2-7은 분산제어시스템(DCS) 구현 예제를, 그림 2-8은 이러한 구성요소를 통합하는 프로그래머블 로직 컨트롤러(PLC) 구현 예제를 나타낸다.

2.3.1 산업제어시스템(ICS) 설계시 고려사항

2.3절에서 산업제어시스템(ICS)의 기본 구성요소가 소개된 반면, 감시 제어 및 데이터 수집(SCADA), 분산제어시스템(DCS) 또는 프로그래머블 로직 컨트롤러(PLC) 기반 구성 방식이 사용되는지 여부를 포함한


2-7

산업제어시스템(ICS)의 설계는 여러 요인들에 달려 있다. 이 절에서는 산업제어시스템(ICS)의 제어, 통신, 신뢰성 및 중복 속성에 관한 설계 결정사항을 결정짓는 핵심 요인을 식별한다. 이러한 요인들은 산업제어시스템(ICS)의 설계에 막대한 영향을 끼치기 때문에 시스템의 보안 필요성을 결정하는 데 도움이 된다.

n 제어 시간조절 요구사항. 산업제어시스템(ICS) 공정에는 초고속, 일관성, 규칙성 및 동기화 등의 광범위한 시간 관련 요구사항이 있다. 인간은 이러한 요구사항을 안정적이고 지속적으로 충족하지 못해서 자동화된 컨트롤러가 필요할 수 있다. 일부 시스템에는 통신 지연을 줄이고 시간에 맞추어서 필요한 제어 동작을 수행하기 위해서 센서와 액추에이터에 가능한 가깝게 컴퓨터 계산을 수행할 필요가 있다.

n 지리적 배급. 시스템에는 소형 시스템(예: 지역 프로그래머블 로직 컨트롤러(PLC) 제어 공정)에서 대형, 분산 시스템(예: 석유 배관, 전력망)에 이르는 다양한 등급의 배급이 있다. 배급이 대형일수록 전형적으로 광역(예: 전용선, 회로 전환 및 패킷 교환) 및 이동 통신의 필요성을 암시한다.

n 계층. 감시 제어는 여러 위치의 데이터를 집계할 수 있는 중앙 위치를 제공하기 위해 사용되며 시스템의 현재 상태에 기반을 두어 제어 결정을 지원한다. 종종 계층식/중앙 집중식 제어는 인간 운영자에게 전체 시스템의 포괄적 보기를 제공하기 위해 사용된다.

n 제어 복잡성. 종종 제어 기능은 단순 컨트롤러 및 사전 설정 알고리즘에 의해 수행된다. 하지만, 더욱 복잡한 시스템(예: 항공 교통 관제)에는 인간 운영자가 모든 제어 동작이 시스템의 대형 목표를 충족하기에 적절한 지를 확인한다.

n 가용성. 시스템의 가용성(즉, 신뢰성) 요구사항도 설계에서 중요한 요인이다. 시스템의 가용성/가동 시간 요구사항이 엄격한 경우 모든 통신 및 제어에 걸쳐서 중복 또는 대체 구현이 더 필요할 수 있다.

n 결함의 영향. 제어 기능의 결함은 영역 간에 현저히 다른 영향을 초래할 수 있다. 영향이 큰 시스템일수록 중복 제어를 통해서 작동을 계속하는 기능이나 성능 저하 상태에서 작동하는 기능이 자주 요구될 수 있다. 설계에서 이러한 요구사항을 해결해야 한다.


2-8

n 안전. 시스템의 안전 요구사항 영역도 설계에서 중요한 요인이다. 시스템은 불안전한 조건을 감지하고 불안전한 조건을 줄이는 동작을 유발하여 안전하게 할 수 있어야 한다. 안전에 필수적인 대부분의 작동에서 잠재적으로 위험한 공정에 대한 인간의 감독 및 통제는 안전 시스템의 필수 부분이다.

2.3.2 감시 제어 및 데이터 수집(SCADA) 시스템

감시 제어 및 데이터 수집(SCADA) 시스템은 중앙 집중식 데이터 수집이 제어만큼 중요한 경우 분산 자산을 제어하는 데 사용된다[3] [4]. 이러한 시스템은 물 배급 및 폐수 회수 시스템, 석유 및 천연 가스 배관, 송전 및 배전 시스템, 철도 및 기타 공공 운송 시스템 등의 배급 시스템에서 사용된다. 감시 제어 및 데이터 수집(SCADA) 시스템은 데이터 수집 시스템을 데이터 전송 시스템과 휴먼 머신 인터페이스(HMI) 소프트웨어로 통합하여 수많은 공정 입력과 출력을 위한 중앙 집중식 모니터링 및 제어시스템을 제공한다. 감시 제어 및 데이터 수집(SCADA) 시스템은 현장 정보를 수집하고, 수집된 정보를 중앙 컴퓨터 시설로 전송하며, 운영자에게 해당 정보를 도표 또는 문자 형식으로 표시하여 운영자가 거의 실시간으로 전체 시스템을 모니터링 또는 제어할 수 있게 설계된다. 개별 시스템의 고도화와 설정에 기반을 두어 모든 개별 시스템, 작동 또는 작업의 제어를 자동화하거나 운영자 명령에 의해서 수행할 수 있다.

전형적인 하드웨어에 포함되는 제어 서버는 제어센터, 통신 장비(예: 무전기, 전화선로, 케이블 또는 인공위성) 및 한 곳 이상의 지리적으로 분산된 현장에 배치되며, 이 현장은 액추에이터를 제어하거나 센서를 모니터링 하는 프로그래머블 로직 컨트롤러(PLC) 및/또는 원격 단말 장치(RTU)로 구성되어 있다. 원격 단말 장치(RTU) 또는 프로그래머블 로직 컨트롤러(PLC)가 로컬 공정을 제어하는 반면, 제어 서버는 원격 단말 장치(RTU) 입력 및 출력의 정보를 저장하고 처리한다. 통신 하드웨어는 제어 서버와 원격 단말 장치(RTU) 또는 프로그래머블 로직 컨트롤러(PLC) 사이를 왕복해서 정보와 데이터를 전송한다. 소프트웨어는 모니터링의 대상과 시간, 허용 가능한 매개 변수 범위, 매개 변수가 허용 값의 범위 밖으로 변경될 때 시작할 대응 내용을 시스템에 통신하도록 프로그래밍 된다. 보호 계전기와 같은 지능형 전자 장치(IED)가 제어 서버와 직접 통신하거나, 로컬 원격 단말 장치(RTU)가 지능형 전자 장치(IED)를 폴링 하여 데이터를 수집하고 수집한 데이터를 제어


2-9

서버로 전달할 수 있다. 지능형 전자 장치(IED)에는 장비 및 센서를 직접 제어하고 모니터링하기 위한 인터페이스가 제공된다. 지능형 전자 장치(IED)는 제어 서버에 의해 직접 폴링 되거나 제어될 수 있으며, 대부분의 경우 로컬 프로그래밍이 있어서 지능형 전자 장치(IED)가 제어센터의 직접적인 가이드가 없이 동작할 수 있다. 감시 제어 및 데이터 수집(SCADA) 시스템은 일반적으로 상당한 중복이 시스템에 내장된 내결함성(fault-tolerant) 시스템으로 설계된다. 중복은 악의적인 공격에 직면했을 때 충분한 대책이 될 수 없다.

그림 2-2는 감시 제어 및 데이터 수집(SCADA) 시스템의 구성요소 및 일반 구성을 보여준다. 제어센터에는 제어 서버 및 통신 라우터가 있다. 제어센터의 그 밖의 구성요소인 휴먼 머신 인터페이스(HMI), 엔지니어링 워크스테이션 및 데이터 이력 관리 장치(Data Historians)는 모두 근거리 통신망(LAN)으로 연결되어 있다. 제어센터에서는 현장에서 모아진 정보를 수집하고 기록하며, 휴먼 머신 인터페이스(HMI)에 정보를 표시하고, 감지된 이벤트에 따라 동작을 발생시킬 수 있다. 또한, 제어센터에서는 중앙 집중식 경보, 추세 분석 및 보고를 담당한다. 현장에서는 액추에이터의 로컬 제어를 수행하고 센서를 모니터링 한다(주의: 센서 및 액추에이터는 그림 2-5에만 표시됨). 현장에는 운영자가 일반적으로 별도의 전화식 모뎀 또는 광역 통신망(WAN) 연결을 통해서 원격 진단 및 수리를 수행할 수 있도록 종종 원격 접근 기능이 갖추어져 있다. 직렬 및 네트워크 통신을 통해 실행되는 표준 및 독점 통신 프로토콜은 제어센터와 현장 사이에서 전화선로, 케이블, 광섬유 및 무선 주파수(예: 방송, 마이크로파 및 인공위성)와 같은 원격 측정 기법을 사용하여 정보를 전송하는 데 사용된다.

감시 제어 및 데이터 수집(SCADA) 통신 구성 방식은 구현에 따라 다양하다. 사용되는 다양한 구성 방식(예: 점대점, 직렬, 직렬스타 및 멀티드롭 방식)은 그림 2-3과 같다 [5].

점대점 방식은 기능적으로는 가장 단순하지만 각 연결에 필요한 개별 채널 때문에 비용이 비싸다. 직렬 구성에서 사용되는 채널의 수는 줄지만 채널 공유가 감시 제어 및 데이터 수집(SCADA) 작동의 효율 및 복잡성에 영향을 준다. 유사하게 장치 당 한 개의 채널이 사용되는 직렬스타 및 멀티드롭 구성에서는 효율이 감소되고 시스템 복잡성이 증가한다.


2-10

제어센터 현장 1

현장 2

현장 3

엔지니어링 워크스테이션

데이터 이력 관리

장치(Data Historians)

통신 라우터제어 서버

교환 전화, 전용선 또는

송전선 기반 통신

라디오 마이크로파 또는 휴대폰

인공위성

광역 통신망

모뎀

모뎀

카드

그림 2-2. 감시 제어 및 데이터 수집(SCADA) 시스템 일반 구조

그림 2-3의 4가지 기본 구성 방식은 통신 교환 뿐 아니라 메시지 교환 및 버퍼링을 관리하기 위해 전용 장치를 사용하여 확장할 수 있다. 수백 개의 원격 단말 장치(RTU)로 구성된 대형 감시 제어 및 데이터 수집(SCADA) 시스템에는 주서버의 부담을 완화하기 위해 종종 부제어 서버가 적용된다. 이런 유형의 구성 방식은 그림 2-4에 표시된다.

그림 2-5는 감시 제어 및 데이터 수집(SCADA) 시스템 구현의 사례를 보여준다. 이 특정 감시 제어 및 데이터 수집(SCADA) 시스템은 한 곳의 주제어센터와 세 곳의 현장으로 구성된다. 두 번째 백업 제어센터는 주제어센터의 기능 장애 시 중복을 제공한다. 점대점 연결은 무선 원격 측정을 사용하는 두 개의 연결과 함께 제어센터에서 현장으로 향하는 모든 통신에 사용된다. 세 번째 현장은 제어센터에 인접하며 WAN 통신이 사용된다. 지역 제어센터는 상위 수준의 감시 제어를 위해 주제어센터 위에 존재한다. 업무 네트워크는 WAN을 통해 모든 제어센터에 접근할 수 있으며, 문제해결 및 유지보수 작업을 위해 원격으로 현장에 접근할 수 있다. 주제어센터는 정의된 간격(예: 5초, 60초)에 따라 현장 장치의 데이터에 대해 폴링을 수행하고, 필요에 따라 현장 장치에 새로운 설정값을 전송할 수 있다. 폴링 수행과 높은 수준의 명령 하달에 덧붙여 제어 서버는 현장 경보 시스템에서 오는 우선 개입 중단도 감시한다.


2-11

점대점

SCADA 서버

(MTU)

제어센터 현장

직렬

직렬스타

멀티드롭

모뎀

모뎀

모뎀

모뎀

모뎀

모뎀 모뎀 모뎀

모뎀

모뎀

모뎀

모뎀

모뎀


그림 2-3. 감시 제어 및 데이터 수집(SCADA) 시스템의 기본 통신 구성


2-12

다수의 현장 장치

SCADA 서버

(MTU)

제어센터 현장

모뎀

중간 SCADA

모뎀 모뎀


모뎀

모뎀

모뎀

모뎀

모뎀

모뎀

부 SCADA 서버(부 MTU)

부 SCADA 서버(부 MTU)

다수의 원격기지국

그림 2-4. 감시 제어 및 데이터 수집(SCADA) 시스템의 대형 통신 구성


2-13

모뎀


데이터 이력 관리 장치(Data

Historians)

WAN카드

백업 제어센터주제어센터

지역제어센터

HMI 기지국


HMI 기지국

업무 네트워크

제어서버SCADA-MTU

프린터

직렬 기반 무선 통신

밸브 펌프

밸브 펌프

레벨센서

압력센서

유량센서

원격기지국

원격기지국

모뎀

모뎀

밸브 펌프

레벨센서

압력센서

유량센서

원격기지국

컴퓨터

원격 접속모뎀

레벨센서

압력센서

유량센서

그림 2-5. 감시 제어 및 데이터 수집(SCADA) 시스템 구현 예제(에너지배급 모니터링 및 제어)

그림 2-6은 철도 모니터링 및 제어의 구현 사례를 보여 준다. 이 사례의 철도 제어센터에는 감시 제어 및 데이터 수집(SCADA) 시스템과 한 개의 철도 시스템에 3개의 구역이 있다. 감시 제어 및 데이터 수집(SCADA) 시스템은 3개의 철도 구역의 정보(예: 열차의 상태, 신호 시스템, 견인 전화 시스템 및 승차권 자동판매기 등)에 대해 폴링을 수행한다. 또한 이 정보는 철도 제어센터내의 휴먼 머신 인터페이스(HMI) 기지국의 운영자 콘솔에 제공된다. 또한 감시 제어 및 데이터 수집(SCADA) 시스템은 철도 제어센터의 운영자 입력을 모니터링하고 철도 구역 구성요소들에 높은 수준의 운영자 명령을 내린다. 추가로, 감시 제어 및 데이터 수집(SCADA) 시스템은 개별 철도 구역의 상황을 모니터링하고 이러한 상황에 기반을 두어 명령을 내린다(예: 상황 모니터링에 기반을 두어 열차를 정지시켜서 침수가 되었거나 다른 열차가 이미 진입해 있는 영역으로 진입하지 못하게 막는다).


2-14

링 구성방식

철도제어센터 엔지니어링 워크스테이션


Historians)HMI 기지국

근거리 통신망

라우터 제어서버(SCADA - MTU)

프린터

허브허브

허브철도 구역 1철도 구역 2

철도 구역 3

차상 제어 열차 차상 제어

열차

차상 제어 열차

견인 전화 부기지국 견인 전화

부기지국

견인 전화 부기지국열차

열차열차

전원공급(지역시설)

신호법신호법

신호법

철도전원 철도

전원

철도전원

전원공급(지역시설)전원공급

(지역시설)견인 전화 모니터링 및 제어

견인 전화 모니터링 및 제어견인 전화

모니터링 및 제어

그림 2-6. 감시 제어 및 데이터 수집(SCADA) 시스템 구현 예제(철도 모니터링 및 제어)

2.3.3 분산제어시스템(DCS)

분산제어시스템(DCS)은 동일한 지리적 위치 내의 석유 정제, 물 및 폐수 처리, 발전소, 화학 제조 공장, 자동차 생산 및 제약 처리 시설 산업 등을 위한 제어 생산 시스템에 사용된다. 이러한 시스템은 일반적으로 공정제어 또는 개별 부품 제어시스템이다.

분산제어시스템(DCS)은 지역화된 공정의 세부 사항을 제어하는 여러 통합 부시스템을 감독하는 감시 수준의 제어를 포함하는 제어 구조로서 통합된다. 분산제어시스템(DCS)에는 전체 생산 공정을 수행하는 전반적인 작업이 공유되는 지역화된 컨트롤러의 그룹을 조정하기 위해 중앙 집중식 감시 제어 루프가 사용된다[6]. 제품 및 공정제어는 일반적으로 핵심 제품 및/또는 공정


2-15

조건이 원하는 설정값 주위에서 자동으로 유지되는 피드백 또는 피드포워드 제어 루프를 전개하여 달성된다. 원하는 제품 및/또는 공정 공차를 지정한 설정값 주위에 유지하기 위해 특정 공정 컨트롤러 또는 더 강력한 프로그래머블 로직 컨트롤러(PLC)가 현장에 적용 및 조정되어 원하는 공차 뿐 아니라 예기치 않은 공정의 혼란 상황에서 자동 조정율을 제공한다. 생산 시스템을 모듈화 함으로써 분산제어시스템(DCS)은 전체 시스템에 대한 단일 고장의 영향을 줄인다. 대부분의 최신 시스템에서 분산제어시스템(DCS)은 업무 네트워크와 인터페이스로 접속되어 경영 활동에 생산에 대한 시각을 제공한다.

분산제어시스템(DCS) 구성요소 및 일반 구성을 나타내는 구현의 사례는 그림 2-7에서 볼 수 있다. 이 분산제어시스템(DCS)은 하단의 생산 공정에서 상단의 기업 계층까지 전체 시설을 망라한다. 이 사례에서 감시 컨트롤러(제어 서버)는 제어 네트워크를 통해서 하위 장비들과 교신한다. 감독자는 분산된 현장 컨트롤러에 설정값을 보내고 분산된 현장 컨트롤러에 데이터를 요청한다. 분산된 컨트롤러는 공정 센서의 센서 피드백과 제어 서버 명령에 기반을 두어 공정 액추에이터를 제어한다.

그림 2-7은 분산제어시스템(DCS) 시스템에서 찾을 수 있는 낮은 수준 컨트롤러의 사례이다. 표시된 현장 컨트롤러에는 프로그래머블 로직 컨트롤러(PLC), 공정 컨트롤러, 단일 루프 컨트롤러 및 기계 컨트롤러가 포함되어 있다. 단일 루프 컨트롤러는 점대점 배선을 사용하여 센서 및 액추에이터와 상호 작용하며, 다른 3개의 현장 장치는 공정 센서 및 액추에이터와 상호 작용하기 위해 필드버스 네트워크를 통합한다. 필드버스 네트워크에는 컨트롤러와 개별 현장 센서와 액추에이터 사이의 점대점 배선이 필요 없다. 게다가, 필드버스는 제어 이상의 뛰어난 기능(예: 현장 장치 진단)을 제공하며, 필드버스 내에서 제어 알고리즘을 수행할 수 있어서 모든 제어 작동에 대해 신호가 프로그래머블 로직 컨트롤러(PLC)로 다시 돌아가는 방지할 수 있다. Modbus와 Fieldbus와 같은 산업 단체에서 설계한 표준 산업 통신 프로토콜은 제어 네트워크 및 필드버스 네트워크에서 흔히 사용된다 [7].

감시 수준 및 현장 수준 제어 루프에 더하여 중간 수준의 제어도 존재할 수 있다. 예를 들어, 개별 부품 제조 시설을 제어하는 분산제어시스템(DCS)의 경우 공장 내의 각 칸에 중간 수준의 감독자가 있을 수 있다. 이 감독자는

중복제어서버


2-16

원료와 최종 제품을 처리하는 로봇 컨트롤러 및 부품을 처리하는 기계 컨트롤러가 포함된 제조 칸을 포함할 것이다. 메인 DCS 감시 제어 루프에 따라 현장 수준 컨트롤러를 관리하는 여러 개의 이러한 칸들이 있을 수 있다.

워크스테이션

감시수준

프린터

응용프로그램서버

OPC 클라이언트 / 서버 무선장치

모뎀

분산된공장

기업/외부세상

인터넷/WAN

제조 실행 시스템(MES), 경영 정보시스템(MIS), 전사적 자원관리(ERP) 시스템

메인 HMI

지역 제어 네트워크


장치(Historians)

엔지니어링워크스테이션

현장수준기계 컨트롤러 프로그래머블 로직

컨트롤러(PLC) 공정 컨트롤러 단일 루프 컨트롤러

솔레노이드밸브서보밸브온도센서

압력조절기

모뎀

모뎀

센서 액추에이터

모뎀컴퓨터

원격 접속

압력 센서

제어서버

압력 센서동작관리네트워크

모터모뎀

모터

모터

서보드라이브

서보드라이브

서보드라이브

솔레노이드밸브

압력조절기

로직제어

모뎀조명탑

포토 아이

가변주파수

드라이브근접각센서

DC 서보드라이브

필드버스

AC 드라이브

필드버스

그림 2-7. DCS 구현 예제

2.3.4 프로그래머블 로직 컨트롤러(PLC) 기반 구성 방식

위의 절에서 설명된 것처럼, 프로그래머블 로직 컨트롤러(PLC)는 감시 제어 및 데이터 수집(SCADA) 및 분산제어시스템(DCS) 시스템 모두에서 전체 계층식 시스템의 제어 구성요소로서 피드백 제어를 통해 지역 공정 관리를 제공하기 위해 사용된다. 감시 제어 및 데이터 수집(SCADA) 시스템의 경우 동일한 원격 단말 장치(RTU)의 기능을 제공할 수 있다. 분산제어시스템(DCS)에서 사용되는 경우 프로그래머블 로직 컨트롤러(PLC)는 감시 제어 체계 내의 지역 컨트롤러로서 구현된다.


2-17

프로그래머블 로직 컨트롤러(PLC)는 감시 제어 및 데이터 수집(SCADA) 및 분산제어시스템(DCS)에서 사용되는 것 외에도 자동차 조립 라인 및 발전소의 그을음 송풍기 제어와 같은 개별 공정의 작동 제어를 제공하기 위해 소형 제어시스템 구성에서 주컨트롤러로서 구현된다. 이러한 구성 방식에는 일반적으로 중앙 제어 서버 및 휴먼 머신 인터페이스(HMI)가 없으며, 따라서 인력의 직접적인 관여 없이 폐쇄형 루프 제어를 주로 제공한다는 점에서 감시 제어 및 데이터 수집(SCADA) 및 분산제어시스템(DCS)과는 다르다. 프로그래머블 로직 컨트롤러(PLC)에는 I/O 제어, 로직, 시간조절, 집계, 3모드 비례 적분 미분(PID) 제어, 통신, 연산, 데이터 처리 및 파일 처리와 같은 특정 기능을 구현하기 위한 목적으로 가이드를 저장할 수 있는 사용자 프로그램 가능 메모리가 있다.

그림 2-8은 필드버스 네트워크를 통해서 프로그래머블 로직 컨트롤러(PLC)에 의해 수행되고 있는 제조 공정의 제어를 나타낸다. 프로그래머블 로직 컨트롤러(PLC)는 엔지니어링 워크스테이션에 위치한 프로그래밍 인터페이스를 통해 접근할 수 있으며, 데이터는 데이터 이력 관리 장치(Data Historians)에 저장되는데, 모두 근거리 통신망(LAN)으로 연결되어 있다.


2-18


장치(Historians)엔지니어링

워크스테이션

근거리 통신망

모뎀

조명탑

포토 아이

가변주파수

드라이브근접각센서

DC 서보드라이브

AC 드라이브

프로그래머블 로직 컨트롤러(PLC)

필드버스

그림 2-8. 프로그래머블 로직 컨트롤러(PLC) 제어시스템 구현 예제

2.4 산업제어시스템(ICS) 및 정보기술(IT) 시스템 보안 비교

산업제어시스템(ICS)은 현실 세계를 제어하고 정보기술(IT) 시스템은 데이터를 관리한다. 산업제어시스템(ICS)에는 서로 다른 위험 및 우선순위 등의 전통적인 정보기술(IT) 시스템과는 다른 많은 특성이 있다. 이러한 특성의 일부에는 인간 삶의 건강과 안전에 대한 상당한 위험, 심각한 환경 손상, 생산 손실 및 국가의 경제에 대한 악영향과 같은 재정 문제가 포함된다. 산업제어시스템(ICS)에는 색다른 성능 및 신뢰성 요구사항이 있으며, 전형적인 정보기술(IT) 네트워크 환경에서 변칙적으로 간주될 수 있는 운영 체제 및 응용 프로그램이 사용된다. 보안 보호는 정상 작동 중 뿐 아니라 사이버 공격 시 시스템 무결성을 유지하는 방식으로 구현되어야 한다[17].

처음에, 산업제어시스템(ICS)과 정보기술(IT) 시스템에는 산업제어시스템(ICS)이 전문화된 하드웨어와 소프트웨어를 사용하는 독점 제어


2-19

프로토콜이 실행되는 격리된 시스템이었다는 점에서 약간의 유사성이 있었다. 널리 사용되고 있는 저비용 이더넷 및 인터넷 프로토콜(IP) 장치가 이제 구형 독점 기술을 대체하고 있으며, 이에 따라 사이버보안 취약점 및 사고의 가능성이 증가하고 있다. 산업제어시스템(ICS)에 정보기술(IT) 솔루션이 채택되어 기업 연결성 및 원격 접근 기능을 촉진하고, 업계 표준 컴퓨터, 운영 체제(OS) 및 네트워크 프로토콜을 사용하여 설계 및 구현됨에 따라 정보기술(IT) 시스템을 닮아 가고 있다. 이 통합에는 새로운 정보기술(IT) 기능이 지원되지만 이전 모델의 시스템에 비해 산업제어시스템(ICS)을 외부로부터 격리시킬 수 없기 때문에 이러한 시스템에 대한 보안 적용의 필요성이 더 커지고 있다. 보안 솔루션이 전형적인 정보기술(IT) 시스템에서 이러한 보안 문제를 처리하기 위해 설계되었지만 이와 같은 솔루션을 산업제어시스템(ICS) 환경에 도입할 때는 특별한 예방 조치를 취해야 한다. 어떤 경우에는 산업제어시스템(ICS) 환경에 새로운 맞춤형 보안 솔루션이 필요하다.

산업제어시스템(ICS) 및 정보기술(IT) 시스템의 작동 환경은 끊임없이 변화하고 있다. 작동 환경은 다음 사항을 포함하되 이에 국한되지는 않는다 - 위협 공간, 취약점, 임무/비즈니스 기능, 임무/비즈니스 프로세스, 기업 및 정보 보안 구조, 정보기술, 인원, 시설, 공급망 관계, 조직 관리/문화, 조달/수집 과정, 조직 정책/절차, 조직 인수, 제약, 위험 감수도 및 우선순위/적정성.

산업제어시스템(ICS)의 보안에 대한 일부 특별 고려 사항은 다음과 같다.

n 적시성 및 성능 요구사항. 산업제어시스템(ICS)에는 일반적으로 개별 시설에 의해 결정되는 허용 가능한 수준의 지연 및 지터와 함께 시간 엄수가 중요하다. 일부 시스템에는 신뢰할 수 있고 확정적인 대응이 요구된다. 높은 처리율은 일반적으로 산업제어시스템(ICS)에 필수적인 것은 아니다. 반면에, 정보기술(IT) 시스템에는 전형적으로 높은 처리율이 요구되고 일반적으로 일정 수준의 지연 및 지터를 버틸 수 있다. 일부 산업제어시스템(ICS)에는 인간 상호작용에 대한 자동 대응 시간 또는 시스템 대응이 매우 중요하다. 일부 산업제어시스템(ICS)은 실시간 운영 체제(RTOS)로 구축되는데, 여기서 실시간은 적시성 요구사항을 지칭한다. 실시간의 단위는 응용 프로그램에 따라 매우 다르며 명시적으로 언급해야 한다.


2-20

n 가용성 요구사항. 대부분의 산업제어시스템(ICS) 공정은 그 특성상 연속적이다. 산업 공정 제어시스템의 예기치 않은 가동 중단은 허용되지 않는다. 가동 중단은 보통 며칠 또는 몇 주 전에 사전 계획해야 한다. 철저한 사전배치 검증은 산업제어시스템(ICS)에 대한 높은 가용성(즉, 신뢰성)을 보장하는 데 필수적이다. 제어시스템은 보통 생산에 영향을 주지 않고 쉽게 중지하거나 시작할 수 없다. 일부 경우에는 생산되고 있는 제품이나 사용되고 있는 장비가 전달되는 정보 보다 더 중요하다. 따라서 구성요소의 재시동과 같은 전형적인 정보기술(IT) 전략의 사용은 일반적으로 제어시스템(ICS)의 높은 가용성, 신뢰성 및 정비성에 대한 요구사항에 끼치는 악영향 때문에 허용 가능한 해결책이 아니다. 일부 산업제어시스템(ICS)에는 주요 구성요소를 사용할 수 없는 경우 연속성을 제공하기 위해 중복 구성요소가 보통 병렬로 적용된다.

n 위험 관리 요구사항. 전형적인 정보기술(IT) 시스템에서 데이터 비밀성 및 무결성은 일반적인 주요 사안이다. 산업제어시스템(ICS)에서의 주요 사안은 인명 손실, 공중 보건 또는 비밀에 대한 위협을 방지하기 위한 인간 안전 및 내결함성, 규제 준수, 장비 손실, 지적 재산권 손실 또는 분실되거나 손상된 제품이다. 산업제어시스템(ICS)의 운영, 보안 및 유지보수를 담당하는 인원은 안전과 보안 사이의 중요한 관련성을 이해해야 한다. 안전을 손상하는 어떠한 보안 조치도 받아들일 수 없는 것이다.

n 물리적 영향. 산업제어시스템(ICS) 현장 장치(예: 프로그래머블 로직 컨트롤러(PLC), 운영자 기지국, 분산제어시스템(DCS) 컨트롤러)는 물리적 공정을 직접 제어한다. 산업제어시스템(ICS)에는 실제 사건에 나타날 수 있는 산업제어시스템(ICS) 영역의 물리적 공정 및 결과와 매우 복잡한 상호 작용이 있다. 제어시스템과 특정 물리적 영역의 전문가들 사이에서의 통신에서 이러한 잠재적인 물리적 영향을 이해하는 것이 자주 요구된다.

n 시스템 작동. 산업제어시스템(ICS)의 운영 체제(OS) 및 제어 네트워크는 정보기술(IT)의 그것과는 꽤 다르며 다른 기술, 경험 및 전문성의 수준이 필요하다. 제어 네트워크는 전형적으로 정보기술(IT) 인원이 아닌 제어 기사가 관리한다. 차이점이 상당하지 않다고 여기는 경우 시스템 작동에서 비참한 결과를 가져올 수 있다.

n 자원 제약. 산업제어시스템(ICS)과 내부 실시간 운영 체제(OS)는 보통 일반적인 최근의 정보기술(IT) 보안 기능이 없는 자원 제약적인


2-21

시스템이다. 최신 정보기술(IT) 시스템에는 풍부한 자원이 구형 시스템에는 부족하다. 대부분의 시스템에 원하는 기능(예: 암호화 기능, 오류 기록 및 패스워드 보호)이 없을 수 있다. 산업제어시스템(ICS)에 정보기술(IT) 보안 관행을 무분별하게 사용하는 경우 가용성 및 시간조절을 교란시킬 수 있다. 이러한 시스템에 최신 보안 기능을 보강하기 위한 컴퓨팅 자원이 산업제어시스템(ICS) 구성요소에 없을 수도 있다. 자원 또는 기능을 추가하지 못할 수도 있다.

n 통신. 일반적으로 현장 장치 제어 및 내부 프로세서 통신을 위해 산업제어시스템(ICS) 환경에서 사용되는 통신 프로토콜 및 매체는 대부분의 정보기술(IT) 환경과는 다를 수 있으며 독점적일 수 있다.

n 변경 관리. 변경 관리는 정보기술(IT) 및 제어시스템 모두의 무결성을 유지하는 데 매우 중요하다. 패치되지 않은 소프트웨어는 시스템에 가장 큰 취약점을 나타낼 수 있다. 전형적으로 정보기술(IT) 시스템에서 보안 패치 등의 소프트웨어 업데이트는 적절한 보안 정책 및 절차에 기반을 두어 시기 적절하게 적용된다. 추가로, 이러한 절차는 보통 서버 기반 도구를 사용하여 자동화된다. 산업제어시스템(ICS)의 소프트웨어 업데이트는 항상 적시에 구현되는 것은 아니다. 이러한 업데이트는 산업용 제어 응용 프로그램의 공급자와 응용 프로그램의 최종 사용자가 철저하게 검증한 후 구현해야 한다. 게다가, 산업제어시스템(ICS)의 소유자는 산업제어시스템(ICS)의 가동 중단을 며칠/몇 주 전에 사전 계획하고 일정을 짜야 한다. 또한 산업제어시스템(ICS)에는 업데이트 과정의 일부로서 재검증이 필요할 수 있다. 또 다른 문제는 대부분의 산업제어시스템(ICS)에 공급자가 더 이상 지원하지 않는 구형 버전의 운영 체제가 사용되고 있는 것이다. 그 결과, 사용 가능한 패치가 적용되지 않을 수도 있다. 변경 관리는 하드웨어 및 펌웨어에도 적용 가능하다. 변경 관리 절차를 산업제어시스템(ICS)에 적용하는 경우 산업제어시스템(ICS) 전문가(예: 제어 기사), 보안 인원, 정보기술(IT) 인원의 협업에 의한 신중한 평가가 필요하다.

n 관리 지원. 전형적인 정보기술(IT) 시스템에는 다양한 지원 방식이 허용되며, 어떤 경우 이종이지만 상호연결된 기술 구조를 지원한다. 산업제어시스템(ICS)의 경우 서비스 지원은 때로는 단일 공급자를 통해 수행되며, 다른 공급자의 다양하고 상호 운용 가능한 지원 솔루션을 적용할 수 없을 수도 있다. 어떤 경우에는 산업제어시스템(ICS) 공급자 라이선스


2-22

및 서비스 계약에 따라 타사 보안 솔루션은 허용되지 않으며, 타사 응용 프로그램이 공급자의 동의 또는 승인 없이 설치된 경우 서비스 지원을 받지 못할 수 있다.

n 구성요소 수명주기. 전형적인 정보기술(IT) 구성요소의 수명주기는 3~5년 정도이며, 기술의 빠른 진화 때문에 수명주기는 짧은 편이다. 매우 구체적인 사용과 구현을 위한 많은 경우의 기술이 개발된 산업제어시스템(ICS)의 경우 개발된 기술의 수명주기는 보통 10~15년 정도이며 때로는 그 이상이다.

n 구성요소 소재지. 대부분의 정보기술(IT) 구성요소와 일부 산업제어시스템(ICS)은 지역 운송 서비스에 의해 물리적으로 접근 가능한 비즈니스 및 상업용 시설에 위치한다. 백업 시설로는 멀리 떨어진 곳을 이용할 수도 있다. 분산된 산업제어시스템(ICS)의 구성요소는 격리되거나 멀리 떨어질 수도 있으며, 도달하려면 상당한 운송 수고가 필요할 수 있다. 구성요소의 소재지에도 필요한 물리적, 환경적 보안 조치를 고려할 필요가 있다.

표 2-1에는 정보기술(IT) 시스템과 산업제어시스템(ICS) 사이의 전형적인 차이점의 일부가 요약되어 있다.

표 2-1. 정보기술(IT) 시스템 및 산업제어시스템(ICS) 차이점 요약

범주 정보기술 시스템 산업제어시스템성능요구사항

비 실시간.대응에는 일관성이 반드시 필요.높은 처리율이 요구됨.높은 비율의 지연과 지터가 허용됨. 덜 중요한 비상 상호작용.엄격히 한정된 접근통제가 보안에 필요한 정도로 구현될 수 있음.

실시간.대응에는 시간이 중요.적당한 처리율이 허용됨.높은 비율의 지연 및/또는 지터는 허용 안됨.인간 및 기타 비상 상호작용에 대한 대응이 중요.산업제어시스템(ICS)에 대한 접근은 엄격히 통제되어야 하지만, 인간 기계간 상호작용을 방해 또는 간섭해서는 안됨.

가용성(신뢰성)

재시동 등의 대응이 허용됨.시스템의 운영 요구사항에 따라

공정 가용성 요구사항 때문에 재시동 등의 대응이 허용 안됨.


2-23

범주 정보기술 시스템 산업제어시스템요구사항 가용성 부족이 종종 허용됨. 가용성 요구사항에서 중복

시스템을 필요로 할 수 있음.가동 중단은 반드시 며칠/몇 주 전에 사전 계획하고 일정을 짜야 함.고가용성을 위해 철저한 사전배치 검증 필요.

위험 관리 요구사항

데이터 관리.데이터 비밀성 및 무결성이 가장 중요.내결함성은 덜 중요(순간적인 가동정지시간은 주요 위험이 아님).주요 위험 영향은 경영 활동의 지연임.

현실 세계 통제.인간의 안전이 가장 중요하며 그 다음이 공정의 보호가 중요.내결함성이 필수적이며, 순간적인 가동정지시간 조차 허용 안됨.주요 위험 영향은 규제 비준수, 환경 영향, 인명, 장비 또는 생산의 손실.

시스템 작동 시스템은 일반적인 운영 체제를 사용하도록 설계됨.자동화 배치 도구의 가용성과 간단한 업그레이드.

운영 체제가 다르고 독점적일 수 있으며 보통은 보안 기능이 내장되지 않음.전문화된 제어 알고리즘 때문에 일반적으로 소프트웨어 공급자가 신중하게 소프트웨어를 변경하며, 수정된 하드웨어 및 소프트웨어가 관련될 수 있음.

자원 제약 시스템에 보안 솔루션 등의 타사 응용 프로그램을 지원하기에 충분한 자원이 할당됨.

시스템은 의도된 산업 공정을 지원하기 위해 설계되며, 보안 기능을 지원하기 위한 메모리 및 컴퓨팅 자원이 부족할 수 있음.

통신 표준 통신 프로토콜주로 유선 네트워크와 일부 지역화된 무선 기능.전형적인 정보기술(IT) 네트워킹 관행.

다수의 독점 및 표준 통신 프로토콜.전용 유선 및 무선(무전기 및 인공위성) 등 여러 유형의 통신 매체가 사용됨.네트워크가 복잡하며 때로는 제어 기사의 전문성이 필요.

변경 관리 소프트웨어 변경은 우수한 보안 정책 및 절차와 함께 적시에 적용됨. 절차는 보통 자동화됨.

소프트웨어 변경 시 제어시스템의 무결성이 유지되는 것을 보장하기 위해 시스템 전체에서 점진적으로 검증되고 배치되어야 함. 산업제어시스템(ICS) 가동


2-24

요약하자면, 산업제어시스템(ICS)과 정보기술(IT) 시스템 간의 작동 및 위험의 차이는 사이버보안 및 운영 전략의 적용에서 상승된 고도화의 필요성을 생성한다. 제어 기사, 제어시스템 운영자 및 정보기술(IT) 보안 전문가들로 구성된 상호 기능형 팀은 긴밀하게 협력하여 제어시스템의 작동과 함께 보안 솔루션의 설치, 작동 및 유지보수에서 있을 수 있는 예상 영향을 이해할 필요가 있다. 산업제어시스템(ICS)에 작업하는 정보기술(IT) 전문가는 배치하기 전에 정보 보안 기술의 신뢰성 영향을 이해할 필요가 있다. 산업제어시스템(ICS)에서 실행되는 일부 운영체제(OS) 및 응용 프로그램은 전문화된 산업제어시스템(ICS)의 환경 구조 때문에 상용제품(COTS) 정보기술(IT) 사이버보안 솔루션과 제대로 작동하지 않을 수 있다.

2.5 기타 유형의 제어시스템

본 가이드에서 산업제어시스템(ICS)에 보안을 적용하기 위한 가이드가 제공되긴 하지만, 기타 유형의 제어시스템도 유사한 특성을 공유하며, 본 가이드의 많은 권장 사항을 적용할 수 있고, 사이버보안 위협으로부터 그러한 시스템을 보호하기 위한 참조로 사용할 수 있다. 예를 들어, 많은 건물, 운송, 의료, 보안 및 물류 시스템에서 서로 다른 프로토콜, 포트 및 서비스가 사용되고 산업제어시스템(ICS)과는 다른 모드에서 구성되고 작동하기는 하지만 전통적인 산업제어시스템(ICS)과 유사한 특성을 공유한다[18]. 이러한 시스템 및 프로토콜의 일부 사례는 다음과 같다.

기타 유형의 제어시스템

범주 정보기술 시스템 산업제어시스템중단은 반드시 며칠/몇주 전에 사전 계획하고 일정을 짜야 함. 산업제어시스템(ICS)에서 더 이상 지원되지 않는 운영 체제(OS)가 사용될 수 있음.

관리 지원 다양한 지원 방식 허용. 서비스 지원은 일반적으로 단일 공급자가 수행.

구성요소수명주기

수명주기는 3~5년 정도. 수명주기는 10~15년 정도.

구성요소 위치

구성요소는 일반적으로 현지에 위치하며 접근이 용이.

구성요소는 격리되거나 멀리 떨어질 수 있으며 접근에 상당한 물리적 수고가 따름.


2-25

n 고급 계량 인프라(Advanced Metering Infrastructure).n 건물 자동화 시스템(Building Automation Systems).n 건물 관리 제어시스템(Building Management Control Systems).n 폐쇄 회로 텔레비전(CCTV) 감시 시스템(Closed-Circuit Television

(CCTV) Surveillance Systems).n CO2 모니터링(CO2 Monitoring).n 디지털 사이니지 시스템(Digital Signage Systems).n 디지털 비디오 관리 시스템(Digital Video Management Systems).n 전자 보안 시스템(Electronic Security Systems).n 비상 관리 시스템(Emergency Management Systems).n 에너지 관리 시스템(Emergency Management Systems).n 옥외 조명 제어시스템(Exterior Lighting Control Systems).n 화재 경보 시스템(Fire Alarm Systems).n 화재 스프링클러 시스템(Fire Sprinkler Systems).n 옥내 조명 제어시스템(Interior Lighting Control Systems).n 침입 탐지 시스템(Intrusion Detection Systems).n 물리적 접근통제 시스템(Physical Access Control Systems).n 공공 안전/육상 이동 무선장치(Public Safety/Land Mobile Radios).n 재상 가능 에너지 지열 시스템(Renewable Energy Geothermal

Systems).n 재상 가능 에너지 광발전 시스템(Renewable Energy Photo Voltaic

Systems).n 음영 제어시스템(Shade Control Systems).n 연기 및 퍼지 시스템(Smoke and Purge Systems).n 수직 운송 시스템(Vertical Transport System, 엘리베이터 및 에스컬레이터).n 연구소 기기 제어시스템(Laboratory Instrument Control Systems).n 연구소 정보 관리 시스템(Laboratory Information Management

Systems, LIMS).

프로토콜/포트 및 서비스

n Modbus: 주/종속 - 포트 502.n BACnet2: 주/종속 - 포트 47808.

2 http://www.bacnet.org/

http://www.bacnet.org/


2-26

n LonWorks/LonTalk3: 동배간 - 포트 1679.n DNP3: 주/종속 – 포트 19999(전송 계층 보안(TLS) 사용 시), 포트

20000(TLS를 사용하지 않는 경우)n IEEE 802.x - 동배간.n ZigBee - 동배간.n Bluetooth – 주/종속.

본 가이드의 부록 G— 에 제공된 보안 통제 수단은 기타 유형의 제어시스템의 평가에 사용되기에 충분히 보편적이고 유연하지만, 주제 관련 전문가는 통제 수단을 검토하고 기타 유형의 제어시스템의 특수성에 적절하게 정의해야 한다. “두루 적용되는 답”은 없으며, 위험은 하나의 특정 그룹 내에서도 동일하지 않을 수 있다. 예를 들어, 건물에는 건물 자동화, 화재 경보, 물리적 접근통제, 디지털 사이니지, CCTV 등의 다양한 부시스템이 있다. 중요한 생명 안전 시스템(예: 화재 경보 및 물리적 접근통제 시스템)은 영향도를 “높음”으로 증가시킬 수 있는 반면, 기타 시스템은 일반적으로 “낮음”을 유지할 것이다. 조직에서는 각 부시스템을 개별적으로 평가하거나 통합식 접근방법을 사용하려고 결정할 수 있다. 조직의 회복 시간 목표(Recovery Time Objectives)에 정의된 조직에서 중요한 기능 및 작동이 복구 및 복원될 수 있도록 제어시스템 평가는 비즈니스 영향(Business Impact), 긴급 사태 대책(Contingency Plan) 및 사고 대응 계획(Incident Response Plan)에 연결해야 한다.

3 http://en.wikipedia.org/wiki/LonWorks

http://en.wikipedia.org/wiki/LonWorks


3-1

3. 산업제어시스템(ICS) 위험 관리 및 평가

3.1 위험 관리

조직에서는 비즈니스 목표에 부합하기 위해 매일 위험을 관리한다. 이러한 위험의 몇 가지 예를 들어보자면 재정 위험, 장비 결함의 위험 및 인원 안전 위험이다. 조직에서는 조직의 우선순위와 모든 내·외부 제약사항에 기반을 두어 비즈니스와 관련된 위험을 평가하고 이러한 위험을 취급하는 방법을 결정하기 위한 절차를 개발해야 한다. 이 위험 관리는 정상 작동의 일환으로 상호적이고 지속적인 절차로 수행된다. 전통적으로 산업제어시스템(ICS)을 사용하는 조직은 안전 및 공학 기술에서 모범 사례를 통해 위험을 관리하고 있다. 대부분의 분야에서 안전 평가가 잘 확립되어 있으며 규제 요구사항에 자주 포함된다. 정보 보안 위험 관리는 보완적일 수 있는 새로운 차원이다. 이 절에 설명된 위험 관리 공정 및 프레임워크는 안전 및 정보 보안 둘 다 포함된 모든 위험 평가에 적용할 수 있다.

(i) 조직 수준, (ii) 임무/비즈니스 프로세스 수준, (iii) 정보시스템 수준(정보기술(IT) 및 산업제어시스템(ICS))에서 위험을 해결하기 위한 3계층 접근방법을 사용하여 위험 관리 절차를 조직 전체에 적용해야 한다. 조직의 위험 관련 활동 및 조직의 임무/비즈니스 성공에 관심이 있는 모든 관계자 간의 효과적인 계층 간 및 계층 내 통신에서 지속적인 개선이라는 전체 목표가 있으면 위험 관리 절차는 3계층 전체에서 원활하게 수행된다.

이 절에서는 주로 정보시스템 수준에서의 산업제어시스템(ICS) 고려 사항에 대해 집중적으로 다룬다. 하지만, 각 계층의 위험 관리 활동, 정보 및 현상은 나머지 다른 계층에 영향을 주고 통보된다는 것에 주의해야 한다. 제6절에서는 여기서 설명된 개념을 통제 단위 수준으로 확장하고 보안 통제 단위를 증강시키기 위해 산업제어시스템(ICS)별 권장 사항을 제공한다. 위험 관리에 대한 다음의 설명 전체에서 산업제어시스템(ICS) 고려 사항을 강조하며 이러한 고려 사항이 위험 관리 절차에 주는 영향을 설명한다.

다중 계층 위험 관리 및 위험 관리 절차에 대한 자세한 내용은 미국국립표준기술연구소(NIST) 특별 발행 800-39, 정보 보안 위험 관리: 조직, 임무 및 정보시스템 관점(Managing Information Security Risk: Organization, Mission and Information System View) [20]을 참조한다.


3-2

미국국립표준기술연구소(NIST) 특별 발행 800-37 1차 개정판, 연방 정보시스템에 대한 위험 관리 프레임워크 적용 가이드: 보안 수명주기 접근방법(Guide for Applying the Risk Management Framework to Federal Information Systems: A Security Life Cycle Approach) [21]은 보안 범주화4, 보안 통제 선택 및 구현, 보안 통제 평가, 정보시스템 인가5 및 보안 통제 수단 모니터링 활동 수행을 포함하기 위해 연방 정보시스템에 위험 관리 프레임워크(Risk Management Framework)를 적용하기 위한 가이드를 제공한다. 미국국립표준기술연구소(NIST) 특별 발행 800-30, 위험 평가 수행 가이드(Guide for Conducting Risk Assessments)은 조직을 위해 (i) 위험 평가 준비 방법, (ii) 위험 평가 수행 방법, (iii) 위험 평가 결과를 핵심 조직 인원에게 전달하는 방법 및 (iv) 위험 평가 유지 방법 [79]에 대한 단계별 공정을 제공한다.

3.2 위험 관리 절차 소개

그림 3-1에 표시된 바와 같이 위험 관리 절차에는 4가지 구성요소(구상, 평가, 대응, 모니터링)가 있다. 이러한 활동은 상호 의존적이며 종종 조직에서 동시에 발생한다. 예를 들어, 모니터링 구성요소의 결과는 구상 구성요소에 공급된다. 조직이 운영되는 환경이 항상 변화함에 따라 위험 관리는 모든 구성요소에 지속적인 활동이 있는 연속 절차이어야 한다. 이러한 구성요소는 정보 보안, 물리적 보안, 안전 또는 재정이든지 간에 모든 위험 관리에 적용할 수 있다는 것을 기억해야 한다.

4 FIPS 199는 비 국가 보안 시스템에 대한 보안 범주화 가이드를 제공한다[15]. CNSS Instruction1253은 국가 보안 시스템에 대한 유사한 가이드를 제공한다.

5 보안 인가는 공인된 보안 통제 수단의 구현에 기초하여 정보시스템의 운영을 인가하고 조직 운영과

자산, 개인, 기타 조직 및 국가에 대한 위험을 명시적으로 감수하기 위해 고위 조직 임원이 내리는 공식 관리 결정이다.


3-3

평가

모니터링

구상

대응

계층 1 - 조직계층 2 - 임무 / 비즈니스 프로세스

계층 3 - 정보시스템

그림 3-1. 계층 전반에 걸쳐 적용된 위험 관리 절차

위험 관리 절차의 구상 구성요소는 위험 관리 결정을 위한 프레임워크를 개발하는 것으로 이루어진다. 조직에서 감수하려고 하는 위험의 수준은 조직의 위험 감수도이다. [21, p.6].

구상 구성요소에는 사전 위험 평가 등의 기존 문서의 검토가 포함되어야 한다. 위험 평가에서 고려되어야 하는 요구사항에 영향을 주는 지역사회 차원의 재난 관리 계획과 같은 관련 활동이 있을 수 있으며, 이 또한 고려해야 한다.

산업제어시스템(ICS)별 권장 사항 및 가이드

산업제어시스템(ICS)의 운영자에게 안전은 주요 고려사항으로서 시스템을 설계하고 운영하는 방법의 결정에 직접적인 영향을 준다. 안전은 "사망, 부상, 직업병, 장비나 재산의 손실이나 손상 또는 환경 손상을 초래할 수 있는 상황에서 벗어나 있는 상태6" 로 정의할 수 있다. 산업제어시스템(ICS) 조직을 위한 구상 구성요소의 일부는 이러한 요구사항이 정보 보안과 상호 작용하는 방식을 결정하는 것이다. 예를 들어, 안전 요구사항이 모범 보안 사례와 상충하는 경우 조직에서는 우선순위를 어떻게 결정할 것인가? 대부분의 산업제어시스템(ICS) 운영자는 안전이 주요 고려사항이라고 대답할 것이다. 구상 구성요소는 전체 절차 및 조직에 합의가 되도록 이러한 가정을 명백하게 한다.


3-4

위험의 평가에서는 조직 내의 위협 및 취약점, 해당 위협 및 취약점으로 인해 조직에 끼칠 수 있는 피해, 해당 위협 및 취약점으로 인한 부정적인 사건이 실제로 발생할 수 있는 가능성을 조직이 파악해야 한다.

대응 구성요소는 위험의 식별에 대한 조직 차원의 일관적인 대응의 개념에

6 MIL-STD-882E, 표준 관행 – 시스템 안전(Standard Practice – System Safety), 미 국방부(DoD), 2012년

5월 11일, https://acc.dau.mil/CommunityBrowser.aspx?id=6836947 http://www.dhs.gov/about-national-cybersecurity-communications-integration-center8 https://ics-cert.us-cert.gov/

산업제어시스템(ICS) 운영자의 또 다른 주요 사안은 산업제어시스템(ICS)에서 제공되는 서비스의 가용성이다. 산업제어시스템(ICS)은 연속적이고 신뢰할 수 있는 작동의 필요성이 상당한 주요기반(예를 들어, 물 또는 전력 시스템)의 일부일 수 있다. 그 결과, 산업제어시스템(ICS)에는 가용성 또는 복구에 대한 엄격한 요구사항이 있을 수 있다. 이러한 가정을 발전시키고 구상 구성요소에 명시해야 한다. 그렇지 않으면, 조직에서는 제공 서비스에 의존하는 사람들에게 의도하지 않은 결과를 안겨줄 수 있는 위험한 결정을 내릴 수도 있다.

물리적 작동 환경은 조직에서 산업제어시스템(ICS)으로 작업하는 경우 고려해야 하는 위험 구성의 또 다른 측면이다. 산업제어시스템(ICS)에는 보통 구체적인 환경적 요구사항(예: 제조 공정에서 정확한 온도를 요구)이 있거나, 작동을 위한 물리적 환경에 관련이 있을 수 있다. 이러한 요구사항 및 제약을 구상 구성요소에 명시하여, 이러한 제약에서 제기되는 위험을 식별하고 고려할 수 있도록 해야 한다.


국토안보부(DHS) 국가 사이버보안 및 통신 통합 센터(NCCIC)7는 사이버보안 및 통신 의존에 관련된 운영 요소가 조정되고 통합되는 중앙 집중식 소재지의 역할을 한다. 산업제어시스템 사이버비상대응팀(ICS-CERT)8은 국제 및 민간 부문의 컴퓨터 비상대응팀(CERT)과 협력하여 제어시스템 관련 보안 사고 및 완화 조치를 공유한다. 산업제어시스템 사이버비상대응팀(ICS-CERT)은 법 집행 기관 및 정보기관과 협력하고 연방, 주, 지역, 부족 정부, 제어시스템 소유자, 운영자 및 공급자들의 노력을 조정하여 모든 주요기반 부문의 내외부의 위험을 줄이기 위해 노력한다.

조직의 임무에 대해 잠재적인 산업제어시스템(ICS) 사고에서 오는 잠재적인 영향을 평가하는 경우, 다른 가능성 중에서도 물리적 공정/시스템에 대한 효과, 종속 시스템/공정에 미치는 영향 및 물리적 환경에 대한 영향을 통합하는 것이 중요하다. 추가로, 안전에 대한 잠재적인 영향을 항상 고려해야 한다.

http://www.dhs.gov/about-national-cybersecurity-communications-integration-center


3-5

기반을 둔다. 위험의 식별에 대한 대응에서는(사고에 대한 대응과는 대조적으로) 먼저, 조직이 위험을 해결하기 위한 가능한 행동 방침을 식별하고, 그러한 가능성을 조직의 위험 감수도 및 구상 단계에서 결정된 기타 고려 사항에 비추어 평가하며, 조직을 위해 최선의 대안을 선택해야 한다. 대응 구성요소에는 식별된 위험을 해결하기 위해 선택된 행동 방침의 구현이 포함되어 있다(수용, 회피, 완화, 공유, 전송, 또는 이들 옵션의 임의의 조합)9.

모니터링은 위험 관리 활동의 4번째 구성요소이다. 조직은 선택된 위험 관리 전략의 구현, 위험 계산에 영향을 줄 수 있는 환경의 변화, 위험 감소 활동의 효과 및 효율을 포함하여 위험을 지속적으로 모니터링 해야 한다. 모니터링 구성요소의 활동은 그 밖의 모든 구성요소에 영향을 준다.

3.3 산업제어시스템(ICS) 위험 평가 수행 시 특별 고려 사항

산업제어시스템(ICS)은 그 특성 상 조직이 위험 평가를 수행할 때 전통적인 정보기술(IT) 시스템의 위험 평가를 수행할 때는 존재하지 않는 추가 고려 사항이 있을 수 있다. 산업제어시스템(ICS)에서 사이버 사고의 영향에는 물리적 및 디지털 영향이 모두 포함되기 때문에 위험 평가에는 그러한 잠재적인 영향이 포함되어야 한다. 이 절에서는 다음 항목을 심도 있게 조사한다.

n 안전에 대한 영향 및 안전 평가의 사용.

n 산업제어시스템(ICS)에 대한 사이버 사고의 물리적 영향(대형 물리적 환경에서 제어 공정에 대한 영향, 산업제어시스템(ICS) 자체에 대한 물리적

9 위험의 수용, 회피, 완화, 공유 또는 전송에 관한 자세한 내용은 미국국립표준기술연구소(NIST) 특별

발행 800-39를 참조한다[20].


산업제어시스템(ICS)에 사용할 수 있는 위험 대응 수단은 시스템 요구사항, 작동에 대한 잠재적인 악영향 또는 심지어 규제 준수 제도에 의해서도 제약될 수 있다. 위험 공유의 한 예는 시설에서 비상사태 시 작업라인 근로자를 "빌려 주는" 계약을 체결하여 사고 효과의 지속 시간을 허용 가능한 수준으로 감소시키는 것이다.


3-6

영향을 포함)

n 산업제어시스템(ICS) 내의 비디지털(Non-Digial) 제어 구성요소의 위험 평가에 대한 결과

3.3.1 산업제어시스템(ICS) 정보 보안 위험 평가 중 안전

안전 및 안전 평가의 문화는 대부분의 산업제어시스템(ICS) 사용자들 사이에서 잘 수립되어 있다. 정보 보안 위험 평가는 이러한 평가를 보완하는 것이어도 되지만 이러한 평가에서는 다른 접근방법을 사용하고 다른 영역을 다룰 수 있다. 안전 평가는 원래 현실 세계와 관련이 있다. 정보 보안 위험 평가에서는 주로 디지털 세계를 살피지만, 산업제어시스템(ICS) 환경에서는 현실과 디지털이 뒤얽혀서 상당한 중첩이 발생할 수 있다.

정보 보안을 위한 위험 평가를 수행하는 경우 조직에서는 안전을 위한 위험 관리의 모든 측면(예: 위험 구성, 위험 감수도) 뿐 아니라 안전 평가 결과를 고려하는 것이 중요하다. 정보 보안 위험 평가를 담당하는 인원은 안전에 대한 영향이 예상되는 식별된 위험을 파악하고 전달할 수 있어야 한다. 거꾸로, 안전 평가 담당 인원은 잠재적인 물리적 영향 및 정보 보안 위험 평가 절차에서 개발된 물리적 영향의 가능성을 잘 알고 있어야 한다.

3.3.2 잠재적인 산업제어시스템(ICS) 사고의 물리적 영향

사이버 사고로 인한 잠재적인 물리적 손상의 평가에는 i) 사고가 센서와 액추에이터의 작동을 조작해서 물리적 환경에 영향을 주는 방식, ii) 영향을 방지하기 위해 산업제어시스템(ICS)에 존재하는 중복 제어 및 iii) 이러한 조건에 기반을 두어 물리적 사고가 드러나는 방식을 통합해야 한다. 물리적 영향은 유해 물질의 방출(예: 오염, 원유), 파손을 유발하는 행동(예: 폭발), 에너지원에 노출(예: 전기, 증기) 등의 여러 수단을 통해 주변의 세계에 악영향을 준다. 물리적 사고는 산업제어시스템(ICS)과 지원 인프라, 산업제어시스템(ICS)에서 수행되는 다양한 공정 또는 대형 물리적 환경에 악영향을 준다. 잠재적인 물리적 영향의 평가에는 모든 센서와 액추에이터에 대한 잠재적인 영향을 평가하는 것부터 시작해서 산업제어시스템(ICS)의 모든 부품을 포함해야 한다. 이러한 각 영역에 대한 자세한 내용은 아래와 같다.

물리적 환경에 대한 사이버 사고의 영향 평가는 인간 안전, 자연 환경 및 기타


3-7

주요기반에 대한 잠재적인 손상에 중점을 두어야 한다. 인간 안전 영향은 산업제어시스템(ICS)의 기능 장애로 인해 부상, 질병 또는 사망이 발생할 수 있는지 여부에 기반을 두어 평가되어야 한다. 이것은 이전에 직원과 일반 대중 모두에 관해 조직에서 수행한 모든 안전 영향 평가와 통합되어야 한다. 환경영향도 다룰 필요가 있다. 이 분석에서는 조직이 수행하는 모든 사용 가능한 환경영향 평가를 통합해서 사고가 천연 자원 및 야생 동물에게 단기간 및 장기간에 어떤 영향을 주는지 판단해야 한다. 추가로, 산업제어시스템(ICS)은 단일 통제 장소에 위치하지 않을 수 있으며 물리적으로 광범위한 영역에 분산되어 통제되지 않는 환경에 노출될 수 있음을 주의해야 한다. 마지막으로, 물리적 환경에 대한 영향에는 사고가 산업제어시스템(ICS) 외부의 인프라(예: 발전/배달, 운송 인프라 및 물 서비스)를 손상시킬 수 있다는 점을 포함해야 한다.

3.3.3 산업제어시스템(ICS) 공정의 물리적 중단의 영향

물리적 환경에 대한 영향에 더불어, 위험 평가에서는 고려중인 산업제어시스템(ICS) 뿐 아니라 기타 시스템에 의해 수행되는 물리적 공정에 대한 잠재적인 영향도 평가해야 한다. 산업제어시스템(ICS)에 영향을 주고 종속 공정을 교란시키는 사고는 기타 관련 산업제어시스템(ICS) 공정 및 일반 대중의 해당 제품과 서비스에 대한 의존에 연쇄 영향을 줄 수 있다. 관련 산업제어시스템(ICS) 공정에 대한 영향에는 조직 내의 시스템 및 공정(예: 고려중인 시스템에 의해 제어되는 공정에 종속된 제조 공정) 또는 조직 외부의 시스템 및 공정(예: 인근 공장에 발전 전력을 판매하는 시설) 모두가 포함될 수 있다.

또한 사이버 사고는 고려중인 물리적 산업제어시스템(ICS)에 악영향을 줄 수 있다. 이러한 유형의 영향에는 디지털 및 비디지털(Non-Digial) 제어 메커니즘(예: 케이블, 프로그래머블 로직 컨트롤러(PLC), 압력계)과 함께 공장의 물리적 인프라(예: 탱크, 밸브, 모터)가 주로 포함된다. 산업제어시스템(ICS) 또는 물리적 공장에 대한 손상은 사고의 정도에 따라 단기 또는 장기간의 가동 중단의 원인이 될 수 있다. 산업제어시스템(ICS)에 영향을 주는 사이버 사고의 사례에는 원심분리기에 대한 물리적 손상 뿐 아니라 종속 공정에 대한 교란의 원인이 된 스턱스넷(Stuxnet) 악성코드가 있다.


3-8

3.3.4 영향 평가에 비디지털(Non-Digial) 측면의 ICS 통합

종종 내결함성을 제공하고 산업제어시스템(ICS)이 허용 가능한 매개 변수 범위 밖에서 동작하는 것을 방지하는 비디지털(Non-Digial) 메커니즘을 사용할 수 있기 때문에 시스템의 디지털 측면에만 집중해서는 산업제어시스템(ICS)에 대한 영향을 적절히 결정할 수 없다. 따라서 이러한 메커니즘은 디지털 사고가 산업제어시스템(ICS)에 줄 수도 있는 모든 악영향을 줄이는 데 도움이 되며, 위험 평가 절차에 통합되어야 한다. 예를 들어, 산업제어시스템(ICS)에는 종종 산업제어시스템(ICS)이 안전한 경계 밖에서 작동함으로써 공격의 영향을 제한(예: 기계 압력 방출 밸브)하는 것을 방지하는 비디지털(Non-Digial) 제어 메커니즘이 있다. 추가로, 디지털 판독 값을 수용할 수 없거나 이 판독 값이 손상되었을 경우 물리적 시스템 상태를 관찰하여 운영자에게 신뢰할 수 있는 데이터를 제공하기 위해 아날로그 메커니즘(예: 계량기, 경보기)을 사용할 수 있다. 표 3-1은 산업제어시스템(ICS) 사고의 영향을 줄일 수 있는 비디지털(Non-Digial) 제어 메커니즘의 범주를 제공한다.

표 3-1. 비디지털(Non-Digial) 산업제어시스템(ICS) 제어 구성요소의 범주

산업제어시스템(ICS)에 대한 사이버 사고의 잠재적인 영향의 결정에는 모든

시스템 유형 설명

아날로그 디스플레이 또는 경보기

물리적 시스템의 상태(예: 온도, 압력, 전압, 전류)를 측정 및 표시하고, 디지털 디스플레이를 사용할 수 없거나 손상된 상황에서 정확한 정보를 운영자에게 제공할 수 있는 비디지털(Non-Digial) 메커니즘. 정보는 일부 비디지털(Non-Digial) 디스플레이(예: 온도계, 압력계)와 잘 들리는 경보를 통해 운영자에게 제공될 수 있다.

수동 제어메커니즘

수동 제어 메커니즘(예: 수동 밸브 제어, 물리적 차단기 스위치)은 디지털 제어시스템에 의존하지 않고 액추에이터를 수동으로 제어할 수 있는 기능을 운영자에게 제공한다. 이를 통해 제어시스템을 사용할 수 없거나 훼손되었더라도 액추에이터를 제어할 수 있다.

아날로그 제어시스템 아날로그 제어시스템은 비디지털(Non-Digial) 센서 및 액추에이터를 사용하여 물리적 공정을 모니터링하고 제어한다. 이로써 디지털 제어시스템을 사용할 수 없거나 손상된 상황에서 물리적 공정이 원하지 않는 상태에 진입하는 것을 방지할 수 있다. 아날로그 제어에는 조절기, 거버너 및 전기기계식 계전기 등의 장치가 있다.


3-9

비디지털(Non-Digial) 제어 메커니즘의 분석과 함께, 해당 메커니즘이 산업제어시스템(ICS)에 대한 잠재적인 악영향을 완화할 수 있는 범위를 통합해야 한다. 비디지털(Non-Digial) 제어 메커니즘의 가능한 완화 효과를 고려하는 경우 다음과 같은 여러 고려 사항이 있다.

n 비디지털(Non-Digial) 제어 메커니즘에는 필수 모니터링 또는 제어 기능을 수행하기 위해 추가 시간과 인간의 개입이 필요할 수 있으며, 이러한 수고는 상당할 수 있다. 예를 들어, 이러한 메커니즘에서 운영자가 특정 제어 기능을 수행하기 위해서는 멀리 떨어진 현장으로 출장을 가야할 수 있다. 또한 이러한 메커니즘은 자동화 제어보다 느릴 수 있는 인간의 대응 시간에 의존한다.

n 수동 시스템과 아날로그 시스템은 디지털 제어시스템과 동급의 정확성 및 신뢰성을 갖춘 모니터링 또는 제어 기능을 제공하지 않을 수 있다. 이것은 시스템의 저하된 품질, 안전 또는 효율 때문에 주 제어시스템을 사용할 수 없거나 손상된 경우 위험해질 수 있다. 예를 들어, 디지털/수치식 보호 계전기는 아날로그/정지형 계전기 보다 더 정확하고 신뢰할 수 있는 고장 감지를 제공한다. 따라서 디지털 계전기를 사용할 수 없는 경우 해당 시스템은 의사 계전기 개폐를 나타낼 가능성이 높을 수 있다.

3.3.5 안전 시스템의 영향 통합

안전 시스템도 산업제어시스템(ICS)에 대한 사이버 사고의 영향을 줄일 수 있다. 안전 시스템은 보통 사람, 환경, 공정 및 산업제어시스템(ICS)의 안전을 보장하기 위한 특정 모니터링 및 제어 기능을 수행하기 위해 배치된다. 이러한 시스템은 전통적으로 주 산업제어시스템(ICS)에 대해 완전히 중복되는 방식으로 구현되기는 하지만, 특히 정교한 공격자에 의한 사이버 사고의 경우 완전한 중복을 제공하지 못할 수도 있다. 안전 시스템에 구현된 보안 통제 수단의 영향은 해당 보안 통제 수단이 시스템에 악영향을 주지 않는다는 것을 판단하기 위해 평가되어야 한다.

3.3.6 연결된 시스템에 대한 파급 영향 고려

산업제어시스템(ICS)의 영향이 연결된 다른 산업제어시스템(ICS) 또는 물리적 시스템에 파급될 수 있는 방식도 사고의 영향 평가에 통합해야 한다. 산업제어시스템(ICS)은 다른 시스템과 상호 접속될 수 있어서, 하나의


3-10

시스템이나 공정의 결함은 조직 내부 또는 외부의 다른 시스템으로 연쇄적으로 쉽게 파급될 수 있다. 영향 파급은 물리적 및 논리적 종속성 모두 때문에 발생할 수 있다. 이러한 영향을 완화하는 한 가지 방법은 연결되거나 상호 의존적인 시스템 및 공정의 운영자에게 위험 평가의 결과를 올바르게 전달하는 것이다.

사이버 사고가 연결된 제어시스템에 파급되는 경우 상호 연결된 산업제어시스템(ICS)에 대한 논리적 손상이 발생할 수 있다. 그 예로서, 바이러스 또는 웜이 연결된 산업제어시스템(ICS)에 전파된 경우 해당 시스템은 그 영향을 받는 것이다. 물리적 손상도 기타 상호 연결된 산업제어시스템(ICS)에 전파될 수 있다. 사고가 산업제어시스템(ICS)의 물리적 환경에 영향을 주는 경우 기타 관련 물리적 영역에 영향을 줄 수 있다. 예를 들어, 이런 영향은 근처의 물리적 환경을 악화시키는 물리적 위험을 초래할 수 있다. 게다가, 이 영향은 공통 공유 종속성(예: 전력 공급)을 악화시키거나 산업 공정의 후속 단계에서 필요한 재료의 부족을 초래할 수 있다.


4-1

4. 산업제어시스템(ICS) 보안 프로그램 개발 및 배치

제2절에서는 산업제어시스템(ICS)과 정보기술(IT) 시스템 사이의 중요한 작동 상의 차이점을 다루고, 제3절에서는 위험 관리를 다룬다. 이 절에서는 조직이 산업제어시스템(ICS) 보안 프로그램을 어떻게 개발하고 배치해야 하는지 다루면서 이러한 두 가지 사안을 결합시킨다. 산업제어시스템(ICS) 보안 계획 및 프로그램은 기존 정보기술(IT) 보안 환경, 프로그램 및 관행에 일관적이고 통합되어야 하지만, 산업제어시스템(ICS) 기술 및 환경의 특정 요구사항 및 특성을 처리해야 한다. 조직은 산업제어시스템(ICS) 보안 계획 및 프로그램을 정기적으로 검토하고 업데이트하여 기술, 작동, 표준 및 규정에 대한 변경 사항 뿐 아니라 특정 시설의 보안 수요를 반영해야 한다.

이 절에서는 산업제어시스템(ICS) 보안 프로그램의 개발 및 배치의 개요를 제공한다. 제4.1절에서는 산업제어시스템(ICS) 보안 프로그램에 대해 업무 적용 사례를 설정하는 방법과 업무 적용 사례에 대한 제안 내용을 설명한다. 제4.2절~제4.5절에서는 포괄적인 산업제어시스템(ICS) 보안 프로그램의 개발을 설명하고, 프로그램을 배치하는 몇 가지 주요 단계에 대한 정보를 제공한다. 보안 프로그램의 일부로서 구현될 수 있는 특정 보안 통제에 대한 정보는 제6절에서 제공한다.

산업제어시스템(ICS)에 보안을 효과적으로 통합하려면 목표 파악에서 일상 업무, 규정준수 및 개선을 위한 지속적인 감사에 이르는 보안의 모든 측면을 다루는 포괄적인 프로그램을 정의하고 실행해야 한다. 산업제어시스템(ICS) 정보 보안 관리자와 해당 관리자의 적절한 범위, 책임 및 권한을 지정해야 한다. 이 절에서는 다음의 사항을 포함하여 보안 프로그램을 개발하기 위한 기본 절차를 설명한다.

n 보안을 위한 업무 적용 사례 개발.

n 다기능팀 전략 구축 및 훈련.

n 헌장 및 범위 정의.

n 구체적인 산업제어시스템(ICS) 정책 및 절차 정의.

n 산업제어시스템(ICS) 보안 위험 관리 프레임워크(Security Risk Management Framework) 구현.


4-2

◦ 산업제어시스템(ICS) 자산 정의 및 재고 조사.

◦ 산업제어시스템(ICS)을 위한 보안 계획 개발.

◦ 위험 평가 수행.

◦ 완화 통제 수단 정의.

n 산업제어시스템(ICS) 직원을 위한 훈련 제공 및 보안 인식 재고.

다양한 단계에 대한 자세한 내용은 ISA-62443-2-1 산업 자동화 및 제어시스템 보안: 산업 자동화 및 제어시스템 보안 프로그램 구축(Establishing an Industrial Automation and Control Systems Security Program)에서 제공된다[34].

보안 프로그램에 대한 공약은 조직의 상부에서 시작된다. 고위 관리는 정보 보안에 대한 분명한 의지를 보여 주어야 한다. 정보 보안은 기업의 모든 구성원 특히 비즈니스, 공정 및 관리 팀의 책임 구성원에 의해 공유되는 업무이다. 충분한 자금과 조직 리더들의 가시적인 최고 수준의 지원이 따르는 정보 보안 프로그램은 지원이 부족한 프로그램 보다 규정준수를 더 잘 달성하고 원활하게 작동하며, 더 큰 성공을 거둘 가능성이 크다.

새로운 시스템을 설계하고 설치할 때마다 구조, 조달, 구성, 유지보수, 해체에 이르는 수명주기 동안에 보안을 해결하는 시간을 갖는 것이 필수적이다. 시스템에 대한 보안을 나중에 적용할 것이라는 가정에 기반을 두어 시스템을 구축․배치할 경우에 심각한 위험이 따른다. 배치 전, 시스템에 대한 보안을 올바르게 적용할 시간과 자원을 충분하게 확보하지 않았다면 나중에 보안 문제를 해결할 시간과 자원을 확보할 수 있는 가능성이 희박하다.

새로운 시스템을 설계하고 구현하는 것은 드문 일이다. 기존 시스템을 개선, 확장 또는 업데이트하는 것이 훨씬 일반적이다. 이 절의 모든 내용은, 사실 본 문서의 모든 내용은 기존 산업제어시스템(ICS)의 위험 관리에 적용된다. 산업제어시스템(ICS) 보안 프로그램을 구축하고 기존 시스템에 적용하는 것은 훨씬 복잡하고 도전적이다.

4.1 보안의 업무 적용 사례

산업제어시스템(ICS)에 정보 보안 프로그램을 구현하는 첫 번째 단계는 조직


4-3

고유의 필요를 위해 매우 필수적인 업무 적용 사례를 개발하는 것이다. 업무 적용 사례는 고위 경영진의 비즈니스 사안을 포착해야 하며, 이미 같은 위험을 많이 다루고 있는 사람들의 경험에서 찾을 수 있다. 업무 적용 사례는 통합된 정보 보안 프로그램을 생성하기 위한 비즈니스 영향 및 재정적인 명분을 제공한다. 업무 적용 사례에는 다음 사항에 대한 자세한 내용을 포함해야 한다.

n 향상된 제어시스템의 신뢰성 및 가용성을 포함한 통합된 보안 프로그램 생성의 혜택.

n 산업제어시스템(ICS)의 정보 보안 프로그램이 구현되지 않은 경우의 우선순위 잠재 비용 및 손상 시나리오.

n 정보 보안 프로그램을 구현, 작동, 모니터링, 검토, 유지보수 및 개선하는 데 필요한 공정에 대한 고차적 개요.

n 보안 프로그램을 개발, 구현 및 유지 보수하는 데 필요한 비용 및 자원.

경영진에 업무 적용 사례를 제시하기 전에 면밀하게 개발된 보안 구현 및 비용에 대한 계획이 있어야 한다. 예를 들어, 단순하게 방화벽을 요구하는 것은 충분하지 않다.

4.1.1 혜택

책임 있는 위험 관리 정책에서는 직원, 공공, 주주, 고객, 공급자, 사회 및 국가의 이익을 보호하기 위해 산업제어시스템(ICS)에 대한 위협을 측정하고 모니터링 해야 한다고 요구한다. 위험 분석에서는 보호적 조치에 대해 정보를 바탕으로 결정을 내릴 수 있도록 비용 및 혜택을 정량화할 수 있다. 위험 완화와 더불어 의무적 항목에 대한 성실한 이행 및 책임 표시도 다음 사항과 함께 조직에 도움이 된다.

n 제어시스템 안전, 신뢰성 및 가용성을 개선.n 직원 사기, 충성도 및 존속 개선.n 지역사회 사안 감소.n 투자자의 신뢰도 증가.n 법적 책임 감소.n 규제 요구사항 충족.


4-4

n 기업 이미지와 명성을 향상.n 보험 및 비용 협조.n 투자자 및 은행업 관계 개선.

강력한 안전 및 정보 보안 관리 프로그램은 지속 가능한 비즈니스 모델에 중요하다.

향상된 제어시스템 보안 및 제어시스템별 보안 정책은 제어시스템의 신뢰성 및 가용성을 잠재적으로 강화시킬 수 있다. 또한 향상된 보안 정책은 부적절한 검증과 정책 및 잘못 구성된 시스템에서 초래된 의도하지 않은 제어시스템 정보 보안의 영향을 최소화한다.

4.1.2 잠재적 결과

상호연결에 대한 비즈니스 의존도가 증가함에 따라 보안 시스템의 중요성은 더욱 강조되어야 한다. 서비스 거부(DoS) 공격 및 악성코드(예: 웜, 바이러스)는 모두 너무 흔해졌으며, 이미 산업제어시스템(ICS)에 영향을 끼쳤다. 사이버 공격은 상당히 중대한 물리적 영향을 끼칠 수 있다. 위험 관리는 제3절에서 다루어진다. 영향의 주요 범주는 다음과 같다.

n 물리적 영향. 물리적 영향에는 산업제어시스템(ICS) 결함의 직접적인 결과들이 포함된다. 가장 중요한 잠재적인 영향에는 신체적 상해 및 인명 손실이 포함된다. 기타 영향에는 재산(데이터 포함)의 손실 및 환경에 대한 잠재적인 손상이 포함된다.

n 경제적 영향. 경제적 영향은 산업제어시스템(ICS) 사고의 결과로 뒤따라 발생하는 물리적 영향의 2차 효과이다. 물리적 영향은 시스템 작동에 후탈을 초래할 수 있으며, 그 다음으로 산업제어시스템(ICS)에 의존하는 시설, 조직 등에 더 큰 경제적 손실을 가할 수 있다. 주요기반시설(예: 전력, 운송)의 비가동률은 직접적이고 물리적 손상을 버티는 시스템을 훨씬 넘는 경제적 영향을 미칠 수 있다. 이러한 영향은 지방, 지역, 국가 또는 어쩌면 세계 경제에 악영향을 줄 수 있다.

n 사회적 영향. 다른 2차 효과 즉, 조직에 대한 국가 또는 대중의 신뢰의 손실의 결과는 거듭 간과된다. 하지만, 이것은 산업제어시스템(ICS) 사고에서 초래될 수 있는 매우 실제적인 결과이다.


4-5

이러한 위험을 통제하는 프로그램은 제3절에서 다루어진다. 이 목록의 항목들은 독립적이지 않다. 실제로, 한 항목은 다른 항목으로 이어질 수 있다. 예를 들어, 유해 물질의 방출은 부상이나 사망을 초래할 수 있다. 산업제어시스템(ICS) 사고의 잠재적 결과의 사례는 다음과 같다.

n 국가 보안에 대한 영향 —테러 행위 촉진.n 한 곳의 현장 또는 여러 현장에서 동시에 생산의 감소 또는 손실.n 직원의 부상 또는 사망.n 지역사회 구성원의 부상 또는 사망.n 장비 손상.n 유해 물질의 방출, 유용 또는 도난.n 환경적 손상.n 규제 요구사항의 위반.n 제품 오염.n 형사 또는 민사상의 법적책임.n 독점 또는 기밀 정보의 손실.n 브랜드 이미지 또는 고객 신뢰의 손실.

모든 종류의 원하지 않는 사고는 조직의 가치를 손상시키지만, 안전 및 보안 사고는 모든 관계자(직원, 주주, 고객 및 조직이 운영되는 지역사회 구성원)에 대해 기타 유형의 사고 보다 더 장기적으로 악영향을 줄 수 있다.

고위 경영진이 주목하지 않을 수 없는 특정 비즈니스 결과에 중점을 둘 수 있도록 잠재적인 비즈니스 결과 목록의 우선순위를 정해야 한다. 우선순위 비즈니스 결과의 목록에 표시된 우선순위가 높은 항목은 연간 비즈니스 영향의 추정치를 얻을 수 있도록 평가해야 한다. 재정적인 관점이 바람직하지만 필수적인 것은 아니다.

사베인스-옥슬리법(Sarbanes-Oxley Act)에 따라 기업 책임자는 정보의 정확성 및 기업 정보 보호의 준수에 서명해야 한다10. 또한, 주주 및 기타 조직 관계자를 수긍시키기 위해 대부분의 내부 및 외부 감사 회사에 의한 자산 실사의 입증이 필요하다. 포괄적인 정보 보안 프로그램을 구현함으로써, 경영진은 근면의무를 이행한다.

10 사베인스-옥슬리법(Sarbanes-Oxley Act)에 대한 자세한 내용과 복사본은

http://www.sec.gov/about/laws.shtml에서 제공된다.

http://www.sec.gov/about/laws.shtml


4-6

4.1.3 업무 적용 사례 구축을 위한 자원

업무 적용 사례를 만드는 데 도움이 되는 상당한 정보 자원은 유사한 사업 분야의 기타 조직의 외부 자원(개별적 또는 정보 공유 교환, 무역 기구 및 표준화 기구, 컨설팅 회사) 및 관련된 위험 관리 프로그램 또는 설계 및 작동의 내부 자원에서 찾아볼 수 있다. 외부 조직은 종종 자신들의 수고를 지원하도록 가장 강하게 경영진에 영향을 준 요인 및 조직에서 가장 유용한 자원에 관한 유용한 정보를 제공한다. 산업 분야가 다른 경우, 이러한 요인은 서로 다를 수 있지만 다른 위험 관리 전문가들이 활용할 수 있는 역할을 한다는 점에서 유사한 점들이 있을 수 있다. 부록 D-는 일부 산업제어시스템(ICS) 보안의 현재 활동 목록 및 간략한 설명을 제공한다.

관련된 위험 관리 노력(예: 정보 보안, 건강, 안전 및 환경적 위험, 물리적 보안, 비즈니스 연속성)의 내부 자원은 조직 내의 관련 사고와 경험에 기반을 두어 엄청난 지원을 제공할 수 있다. 이 정보는 위협의 우선순위를 정하고 비즈니스 영향을 평가하는 견지에서 도움이 된다. 또한 이러한 자원은 어떤 관리자가 어떤 위험을 처리하기 위해 집중하고 있으며, 그에 따라 어떤 관리자가 우승자인지 간파할 수 있게 한다. 제어시스템 설계 및 작동의 내부 자원은 다음과 같이 제어시스템이 조직 내에서 배치되는 방법에 대한 자세한 내용을 알 수 있도록 한다.

n 전형적인 네트워크 분할 및 격리 방법.n 일반적으로 사용되는 원격 접근 연결.n 고위험 제어시스템 또는 안전 계측 시스템의 전형적인 설계 방법.n 일반적으로 사용되는 보안 대책.

4.1.4 경영진에 업무 적용 사례 제시

제3절에서는 위험을 (i) 조직 수준, (ii) 임무/비즈니스 프로세스 수준, (iii) 정보시스템 수준에서 다루는 3계층 접근방법을 설명한다. 위험 관리 절차는 조직의 위험 관련 활동 및 조직의 임무/비즈니스 성공에 관심이 있는 모든 관계자 간의 효과적인 계층 간 및 계층내 통신에서 지속적인 개선이라는 전체 목표가 있으면 위험 관리 절차는 3계층 전체에서 원활하게 수행된다.

조직 수준의 경영진이 수긍하고 산업제어시스템(ICS) 보안 프로그램에


4-7

참여하는 것이 산업제어시스템(ICS) 보안 프로그램의 성공에 중요하다. 정보기술(IT) 및 산업제어시스템(ICS) 운영 모두를 아우르는 계층 1의 조직 수준 경영진은 위험을 이해하고 책임을 질 수 있는 관점과 권한을 가지고 있다.

계층 1의 사업 경영진은 정보 보안 정책, 보안 역할 및 책임 할당과 조직 전체에 정보 보안 프로그램 구현을 승인하고 추진하기 위한 책임이 있다. 일반적으로 전체 프로그램에 대한 자금 조달은 단계적으로 진행할 수 있다.

정보 보안 활동을 시작하려면 어느 정도의 자금이 필요할 수 있지만, 보안 취약점 및 프로그램의 필요성이 더 잘 이해되고 추가 전략이 개발됨에 따라 추가 자금을 나중에 조달받을 수 있다. 게다가, 보안 청원에 대비한 산업제어시스템(ICS) 보안의 보강에 대한 직간접 비용을 먼저 고려해야 한다. 보통 이 문제를 해결하기 위해 경영진의 동의를 얻기 위한 좋은 접근방법은 업무 적용 사례를 타사의 성공적인 실제 사례에 의거하는 것이다. 다른 조직에 같은 문제가 있었고 그 조직이 해결책을 찾아서 문제를 해결한 방법을 업무 적용 사례를 통해 경영진에 제시해야 한다. 보통 이 경우 경영진은 해당 해결책이 무엇인지, 그리고 조직에 적용할 수 있는 방법을 질문하게 된다.

4.2 다기능팀 전략 구축 및 훈련

산업제어시스템(ICS)에 대한 위험을 평가하고 완화하기 위해 상호 기능형 정보 보안 팀에서 다양한 영역의 지식과 경험을 공유하는 것이 필수적이다. 최소한, 정보 보안 팀은 조직의 정보기술(IT) 직원, 제어 기사, 제어시스템 운영자, 보안 주제 관련 전문가 및 기업 위험 관리 직원으로 구성되어야 한다. 보안 지식 및 기술에는 네트워크 구조 및 설계, 보안 공정 및 사례, 보안 인프라 설계 및 작동이 포함되어야 한다. 안전 및 보안 모두는 디지털 제어 연결 시스템의 출현 속성이라는 현대사조를 감안했을 때 안전 전문가를 포함하는 것이 좋다. 또한 정보 보안 팀은 연속성과 완전성을 위해 제어시스템 공급자 및/또는 시스템 통합 사업자를 포함해야 한다.

정보 보안 팀은 임무/비즈니스 프로세스 또는 조직 계층의 정보 보안 관리자에게 직접 보고해야 하고, 차례로 정보 보안 관리자는 임무/비즈니스 프로세스 관리자(예: 시설 감독관) 또는 기업 정보 보안 관리자(예: 회사의 CIO/CSO)에게 각각 보고해야 한다. 최종 권한 및 책임은 위험 관리에 대한 포괄적인 조직 차원의 접근방법을 제공하는 계층 1의 위험 경영 기구에 있다.


4-8

위험 경영 기구는 최고 경영진과 협력하여 산업제어시스템(ICS)의 정보 보안에 대한 잔류 위험 및 책임 추적성의 수준을 수락한다. 경영진 수준의 책임 추적성은 정보 보안 노력에 대한 지속적인 약속에 도움이 된다.

제어 기사들이 산업제어시스템(ICS)의 보안에 큰 역할을 하기는 하지만, 정보기술(IT) 부서와 경영진 모두의 협동과 지원이 없이는 불가능하다. 정보기술(IT) 분야에는 산업제어시스템(ICS)에 적용할 수 있는 다년간의 보안 경험이 있다. 제어 공학 기술 및 정보기술(IT)의 문화가 보통 상당히 다르기 때문에 이 둘의 통합이 보안 설계 및 작동의 공동 개발에 필수적이다.

4.3 헌장 및 범위 정의

정보 보안 관리자는 정보 보안 조직의 지도 헌장, 시스템 소유자, 임무/비즈니스 프로세스 관리자 및 사용자의 역할, 책임 및 책임 추적성을 정의하는 정책을 수립해야 한다. 정보 보안 관리자는 보안 프로그램의 목표, 영향을 받는 비즈니스 조직, 관련된 모든 컴퓨터 시스템 및 네트워크, 필요 예산 및 자원, 책임의 분할을 결정하고 문서화해야 한다. 또한 범위에는 사업, 훈련, 감사, 법률 및 규제 요구사항 뿐 아니라 시간표 및 책임을 다룰 수 있다. 정보 보안 조직의 지도 헌장은 제3절에서 설명된 바와 같이 기업 구조의 일부인 정보 보안 구조의 구성 요소이다.

이미 정보 보안 프로그램이 있거나 조직의 정보기술(IT) 비즈니스 시스템용으로 개발되고 있을 수 있다. 산업제어시스템(ICS) 정보 보안 관리자는 활용 가능한 기존 사례와 제어시스템에 구체적인 사례를 파악해야 한다. 장기적으로는 조직 내에서 유사한 목표를 가지고 있는 다른 팀들과 자원을 공유하는 경우 긍정적인 결과를 얻기가 더 쉬워진다.

4.4 산업제어시스템(ICS)별 보안 정책 및 절차 정의

정책 및 절차는 성공적인 보안 프로그램의 근본을 이룬다. 가능한 곳이면 어디서든 산업제어시스템(ICS)별 보안 정책 및 절차를 기존의 작동/관리 정책 및 절차와 통합해야 한다. 정책 및 절차는 보안 보호가 진화하는 위협으로부터 보호하기 위해 일관적이며 최신 상태임을 보장하는 데 도움이 된다. 부록 C는 보안 정책의 결여를 중요 취약성으로 인용한다. 부록 G—(산업제어시스템(ICS) 오버레이(Overlay))에는 대부분의 산업제어시스템(ICS) 정보 보안 정책 권장


4-9

사항이 포함되어 있다. 정보 보안 관리자는 정보 보안 위험 분석을 수행한 후 기존 보안 정책이 산업제어시스템(ICS)에 대한 위험을 적절하게 해결하는지 검증해야 한다. 필요한 경우 기존 정책을 수정하거나 새로운 정책을 수립해야 한다.

제3절에서 설명된 바와 같이 계층 1의 경영진은 조직의 위험 감수도(조직에서 감수할 수 있는 위험의 수준)를 개발하고 전달하는 책임이 있으며, 정보 보안 관리자는 조직의 위험 감수도를 사용하여 잔류 위험을 허용 가능한 수준으로 줄이기 위해 취해야 하는 위험 완화의 수준을 정할 수 있다. 보안 정책의 개발은 위협에 의한 위험이 충분히 완화될 수 있도록 조직의 보안 우선순위 및 목표를 설정하는 위험 평가에 기초해야 한다. 정책을 지원하는 절차를 개발하여 산업제어시스템(ICS)에 정책이 완전하고 올바르게 구현될 수 있도록 해야 한다. 보안 절차는 정책, 기술, 위협의 변화에 대응하여 주기적으로 문서화하고 검증하며 업데이트해야 한다.

4.5 산업제어시스템(ICS) 보안 위험 관리 프레임워크 구현

추상적인 관점에서, 산업제어시스템(ICS) 위험 관리는 조직이 직면하고 있는 위험의 목록에 추가되는 또 다른 위험이다(예: 재정, 안전, 정보기술(IT), 환경적). 각각의 경우, 임무 또는 비즈니스 프로세스 담당 관리자는 최고 경영진의 위험 경영 기구와 협력해서 위험 관리 프로그램을 수립하고 수행한다. 미국국립표준기술연구소(NIST) 특별 발행 800-39, 정보 보안 위험 관리: 조직, 임무 및 정보시스템 관점(Managing Information Security Risk: Organization, Mission and Information System View [20]은 이러한 위험 관리 프로그램의 기초이다. 기타 임무/비즈니스 프로세스 영역처럼 산업제어시스템(ICS)의 관계자는 전체 기업에 효과적인 위험 관리를 지원하기 위해 자신의 전문화된 주제 관련 지식을 사용하여 산업제어시스템(ICS) 보안 위험 관리를 수립 및 수행하며, 기업 경영진과 소통한다. 미국국립표준기술연구소(NIST) 특별 발행 800-37, 연방 정보시스템에 대한 위험 관리 프레임워크 적용 가이드(Guide for Applying the Risk Management Framework to Federal Information Systems) [21]에서는 프레임워크 구현 공정을 다루는 위험 관리 프레임워크를 소개한다. 다음 절에서는 이 공정을 요약하고 산업제어시스템(ICS) 환경에 위험 관리 프레임워크(RMF)를 적용한다.


4-10

위험 관리 프레임워크(RMF) 공정은 잘 정의된 조직 역할(예: 위험 경영 [기구], 인가 임원, 인가 임원 지정 대리인, 최고 정보 책임자, 정보 보안 고위 책임자, 기업 설계자, 정보 보안 설계자, 정보 소유자/관리인, 정보시스템 소유자, 공통 제어 제공자, 정보시스템 보안 책임자 및 보안 통제 평가자) 내에서 선택된 개인이나 그룹이 수행하는 잘 정의된 일련의 위험 관련 작업이 포함한다. 많은 위험 관리 역할에는 정기적 시스템 개발 수명주기 공정에 정의된 상대 역할이 있다. 위험 관리 프레임워크(RMF) 작업은 적절한 종속성을 고려하여 시스템 개발 수명주기 공정과 동시에 또는 그 일부로서 실행된다.

또한 조직은 산업 자동화 및 제어시스템 환경에서 사용하기 위한 사이버보안 관리 시스템에 포함되어 있는 요소들의 다른 견해를 설명하는 ISA-62443-2-1(산업 자동화 및 제어시스템 보안: 산업 자동화 및 제어시스템 보안 프로그램 구축(Establishing an Industrial Automation and Control Systems Security Program))을 참고하는 것이 좋다[34]. ISA-62443-2-1에서는 각 요소에 대해 설명된 요구사항을 충족하는 방법에 대한 가이드를 제공한다. 제4절~제6절은 미국국립표준기술연구소(NIST) SP 800-39에 가장 근접하고, 기타 절은 기타 미국국립표준기술연구소(NIST) 특별 발행물 및 본 문서에 있는 부록 G—의 산업제어시스템(ICS) 오버레이(Overlay)에 해당한다. 이러한 모든 가이드 문서에서는 두루 적용되는 답은 없다는 것을 인식할 수 있으며, 오히려 특정 조직에 대해 가이드를 맞춤형 지정하거나 조정하는 데 특정 분야의 지식을 적용해야 한다.

4.5.1 산업제어시스템(ICS)의 시스템 및 네트워크 자산 분류

정보 보안 팀은 산업제어시스템(ICS) 내부 뿐 아니라 산업제어시스템(ICS)내의 접속 네트워크 내의 응용 프로그램 및 컴퓨터 시스템을 정의, 재고 조사 및 분류해야 한다. 단순히 장치보다는 시스템에 중점을 두어야 하며 프로그래머블 로직 컨트롤러(PLC), 분산제어시스템(DCS), 감시 제어 및 데이터 수집(SCADA) 및 휴먼 머신 인터페이스(HMI)와 같은 모니터링 장치를 사용하는 기기 기반 시스템을 포함해야 한다. 경로 지정 프로토콜이 사용되는 자산이나 전화식으로 접근할 수 있는 자산은 문서화해야 한다. 정보 보안 팀은 산업제어시스템(ICS) 자산 목록을 매년 그리고 각 자산이 추가되거나 제거된 후에 검토하고 업데이트해야 한다.


4-11

네트워크상의 모든 하드웨어 및 소프트웨어를 식별하고 문서화할 수 있는 몇 가지 상용 기업 정보기술(IT) 재고 조사 도구가 있다. 이러한 도구를 사용하여 산업제어시스템(ICS) 자산을 파악하기 전에 다음을 주의해야 한다. 먼저, 팀에서는 이러한 도구들의 작동 방식 및 연결된 제어 장비에 줄 수 있는 영향에 대한 평가를 수행해야 한다. 도구 평가에는 유사한 비생산 제어시스템 환경에서 도구가 생산 시스템에 악영향을 주지 않는다는 것을 보장하는 검증이 포함된다. 영향은 정보의 특성 또는 네트워크 트래픽의 볼륨 때문일 수 있다. 이 영향은 정보기술(IT) 시스템에서는 허용될 수 있더라도 산업제어시스템(ICS)에서는 허용되지 않을 수 있다.

재고 조사용 자동화 관리 시스템(예: 유지보수 관리 전산 시스템(CMMS), 컴퓨터 이용 시설 관리 시스템(CAFM), 건물 정보 모델(BIM), 공간 정보시스템(GIS), 건설-작업 건물 정보 교환 데이터(COBie, 건물 자동화 관리 정보 교환(BAMie), 지속 관리 시스템(SMS) 빌더)을 사용하는 조직은 보안상의 이유와 예산상의 이유로 시스템에 무엇이 있는지에 대한 정확한 계산을 유지할 수 있다.

4.5.2 산업제어시스템(ICS) 보안 통제 선택

산업제어시스템(ICS)의 보안 범주화에 기반을 두어 선택된 보안 통제 수단은 보안 계획에 문서화되어 산업제어시스템(ICS) 정보 보안 프로그램에 대한 보안 요구사항의 개요를 제공하고, 그러한 요구사항을 충족하기 위해 설치되거나 계획된 보안 통제 수단을 설명한다. 보안 계획의 개발은 미국국립표준기술연구소(NIST) 특별 발행 800-18 1차 개정판, 연방 정보시스템용 보안 계획 개발 가이드(Guide for Developing Security Plans for Federal Information Systems) [19]에서 다룬다. 보안 계획은 단일 문서일 수 있으며, 또는 시스템의 보안 사안을 다루는 모든 문서와 이러한 사안에 대체하기 위한 계획의 집합일 수 있다. 보안 통제 수단에 더불어, 미국국립표준기술연구소(NIST) 특별 발행 800-53 4차 개정판(연방 정보시스템 및 조직용 보안 및 프라이버시 통제 수단(Security and Privacy Controls for Federal Information Systems and Organizations) [20])은 일반적으로 개별 조직 정보시스템에서 지시되지 않고 조직 수준에서 구현되는 일련의 정보 보안 프로그램 관리(PM) 통제 수단을 제공한다. 이 절에서는 조직에서 이러한 프로그램 관리 통제 수단을 설정하고 수행하는 방법을 다룬다.


4-12

조직 정보시스템을 위한 보안 통제 수단의 성공적인 구현은 조직 차원의 프로그램 관리 통제 수단의 성공적인 구현에 달려 있다. 조직이 프로그램 관리 통제 수단을 구현하는 방식은 예를 들어, 크기, 복잡성 및 각 조직의 임무/비즈니스 요구사항 등의 특정 조직 특성에 따라 다르다.

프로그램 관리 통제 수단은 보안 통제 수단을 보완하며, 계획에 따른 조직 차원의 정보 보안 요구사항에 중점을 두는데, 이 요구사항은 어떤 특정 정보시스템과는 무관하고 정보 보안 프로그램의 관리에 필수적이다. 조직은 정보 보안 프로그램 계획에 프로그램 관리 통제 수단을 문서화한다. 조직 차원의 정보 보안 프로그램 계획은 각 조직 정보시스템용으로 개발된 개별 보안 계획을 보충한다. 개별 정보시스템용 보안 계획과 정보 보안 프로그램은 조직에서 사용되는 보안 통제 수단의 전체에 해당한다.

4.5.3 위험 평가 수행

모든 조직에는 자원이 제한되어 있기 때문에 조직은 조직적 운영(즉, 임무, 기능, 이미지 및 평판), 조직 자산, 개인, 기타 조직 및 국가(예: FIPS 199 [15] 또는 더욱 맞춤화된 접근방법을 사용)에 대한 영향을 평가해야 한다. 제3절에서 설명된 바와 같이 조직에서는 개별적인 산업제어시스템(ICS) 수준(예: 필요에 따라 수행하는 데 실패), 임무/비즈니스 프로세스 수준(예: 임무/비즈니스 목표에 완전히 부합하는 데 실패) 및 조직 수준(예: 법률 또는 규제 요구사항의 준수 실패, 평판이나 관계 손상 또는 장기 생존 능력 약화)에서 부정적인 사건의 결과/영향을 경험한다. 부정적인 사건은 서로 다른 수준에서 서로 다른 시간에 여러 결과와 서로 다른 유형의 영향을 초래할 수 있다. 미국국립표준기술연구소(NIST) SP 800-53 [22] 및 부록 G—의 산업제어시스템(ICS) 오버레이(Overlay)는 이 영향의 결정에서 파생하는 기준 보안 통제 수단을 통합한다.

조직은 신중하고 자원이 허용되는 대로 영향이 가장 큰 시스템에 대한 자세한 위험 평가와 영향이 적은 시스템에 대한 평가를 수행할 수 있다. 위험 평가는 정보 보안 위험에 원인이 되는 모든 약점 및 위험을 줄이기 위한 완화 방법을 식별하는 데 도움이 된다. 위험 평가는 시스템의 수명주기 동안 여러 번 수행된다. 중점 사항 및 정밀도는 시스템의 성숙도에 따라 다르다.

4.5.4 보안 통제 수단 구현


4-13

조직은 자세한 위험 평가 및 조직 운영(즉, 임무, 기능, 이미지 및 평판), 조직 자산, 개인, 기타 단체 및 국가에 대한 영향을 분석하고 완화 통제 수단의 선택에 우선순위를 정해야 한다. 조직은 가장 큰 잠재적인 영향과 위험의 완화에 초점을 맞추어야 한다. 보안 통제 구현은 조직의 기업 구조 및 정보 보안 구조와 일치한다.

특정 위험을 완화시키는 통제 수단은 시스템의 유형에 따라 다를 수 있다. 예를 들어, 산업제어시스템(ICS)용의 사용자 인증 통제 수단은 기업 급여 정산 시스템용과 전자 상거래 시스템용과는 다를지도 모른다. 산업제어시스템(ICS) 정보 보안 관리자는 선택된 통제 수단을 사용 절차와 함께 문서화하고 전달해야 한다. 저비용의 가치가 높은 관행인 “응급조치(quick fix)”의 해결책에 의해 완화될 수 있는 일부 위험을 식별할 수 있다. 이러한 해결책의 예는 운영자 제어국 또는 콘솔에서 인터넷 접근을 제한하고 전자 메일 접근을 배제하는 것이다. 조직은 보안 위험을 감소하고 빠른 혜택을 얻기 위해 적절한 응급조치와 같은 해결책을 가능한 빨리 파악, 평가 및 구현해야 한다. 미국 에너지부(DOE)에서 제공하는 "감시 제어 및 데이터 수집(SCADA) 네트워크의 사이버 보안을 향상시키는 21단계(21 Steps to Improve Cyber Security of SCADA Networks)" [33] 문서를 감시 제어 및 데이터 수집(SCADA) 시스템 및 기타 산업제어시스템(ICS)의 보안을 향상시키기 위해 구체적인 조치를 요약할 수 있는 출발점으로 사용할 수 있다.


5-1

5. 산업제어시스템(ICS) 보안 구조

산업제어시스템(ICS) 배치를 위한 네트워크 구조를 설계하는 경우 일반적으로 산업제어시스템(ICS) 네트워크를 업무 네트워크에서 분리하는 것이 좋다. 이러한 2가지 네트워크에서 네트워크 트래픽의 특성은 서로 다르다. 인터넷 접근, FTP, 전자 메일 및 원격 접근은 전형적으로 업무 네트워크에서는 허용되지만, 산업제어시스템(ICS) 네트워크에서 허용되어서는 안 된다. 네트워크 장비, 형상 및 소프트웨어 변경 사항에 대한 엄격한 변경 제어 절차는 업무 네트워크에 전개될 수 없다. 산업제어시스템(ICS) 네트워크 트래픽이 업무 네트워크에서 진행되는 경우 서비스 거부(DoS) 또는 중간자 공격의 대상이 되거나 트래픽이 차단될 수 있다[5.14]. 별도의 네트워크를 구성함으로써 업무 네트워크의 보안 및 성능 문제로 인한 영향이 산업제어시스템(ICS) 네트워크에 전달되지 않도록 해야 한다.

산업제어시스템(ICS) 설치 또는 동종 네트워크 인프라의 유지비용과 같은 실제적인 고려 사항은 주로 산업제어시스템(ICS)과 업무 네트워크 사이에 연결이 필요함을 의미한다. 이 연결은 상당한 보안 위험이며 경계 보호 장치에 의해서 보호되어야 한다. 네트워크를 연결해야만 하는 경우 방화벽과 경계네트워크구간(DMZ)을 통한 최소한의 연결(가능한 경우 단일 연결)만을 허용하는 것이 강력한 권고 사항이다. 경계네트워크구간(DMZ)은 방화벽으로 직접 연결되는 별도의 네트워크 세그먼트이다. 업무 네트워크에서 접근이 필요한 산업제어시스템(ICS)의 데이터가 있는 서버는 이 네트워크 세그먼트에 배치된다. 이러한 시스템에만 업무 네트워크에서 접근할 수 있어야 한다. 모든 외부 연결은 특정 통신에 필요한 포트만을 여는 등의 방화벽을 통한 최소 접근만 허용되어야 한다. 다음 절에서는 이러한 구조적 고려 사항에 대해 자세하게 설명한다. 산업제어시스템 사이버비상대응팀(ICS-CERT) 권고 방식 작업반은 추가 가이드를 권고 방식으로 제공한다.11.

5.1 네트워크 분할 및 격리

이 절에서는 산업제어시스템(ICS)을 보안 영역으로 분할하고 업무 네트워크와 같은 기타 네트워크에서 산업제어시스템(ICS)을 분리하는 것을 다루고, 실례가 되는 보안 구조를 제시한다. 운영 위험 분석을 수행하여 각

11 산업제어시스템 사이버 비상대응팀(ICS-CERT) 권고 방식은

http://ics-cert.us-cert.gov/Recommended-Practices에서 제공된다.

http://ics-cert.us-cert.gov/Recommended-Practices


5-2

산업제어시스템(ICS) 네트워크 및 작동의 중요한 부분을 정하고 산업제어시스템(ICS)에서 분할할 필요가 있는 부분을 정의하는 데 도움이 되도록 해야 한다. 네트워크 분할은 네트워크를 작은 크기의 네트워크로 분할하는 것을 포함한다. 예를 들어, 하나의 대형 산업제어시스템(ICS) 네트워크는 분할이 관리주체, 균등한 정책 및 신뢰도, 기능적 중대성 및 영역 경계를 가로 지르는 통신 트래픽의 양 등의 요인에 기반한 여러 개의 산업제어시스템(ICS) 네트워크로 분할된다. 네트워크 분할 및 격리는 조직에서 산업제어시스템(ICS)을 보호하기 위해 구현할 수 있는 가장 효과적인 구조적 개념 중의 하나이다. 분할은 전형적으로 동일한 기관에서 관리되고, 동일한 정책이 시행되며, 균등한 신뢰도를 가진다고 정의되는 보안 영역 또는 고립된 군락을 설정하는 것이다.

분할은 기밀에 관련된 정보, 산업제어시스템(ICS) 통신 및 장비 구성에 대한 접근의 방법과 수준을 최소화할 수 있고, 악의적인 사이버 공격자에게는 훨씬 더 어렵게 만들 수 있으며, 악의적이지 않은 오류 및 사고의 영향을 포함할 수 있다. 보안 영역의 정의에서 실제적인 고려사항은 영역 경계를 가로 지르는 통신 트래픽의 양인데, 이것은 영역 보호는 전형적으로 경계 트래픽을 검사하고 이를 허용할 지 여부를 결정하는 것을 수반하기 때문이다.

네트워크 분할 및 격리의 목적은 조직의 효과적인 운영을 보장하면서 접근이 필요 없는 시스템과 사람의 기밀에 관련된 정보에 대한 접근을 최소화하는 것이다. 이것은 네트워크의 구조 및 형상에 따라 여러 가지 기법 및 기술을 사용하여 달성할 수 있다.

전통적으로 네트워크 분할 및 격리는 영역 간의 게이트웨이에 구현된다. 산업제어시스템(ICS) 환경에는 보통 여러 개의 운영 LAN, 제어 LAN 및 운영 DMZ와 같은 잘 정의된 영역 뿐 아니라 비 산업제어시스템(ICS) 및 인터넷과 기업 LAN 등의 덜 신뢰되는 영역에 대한 게이트웨이가 있다. 부록 C에서 설명한 내부자 공격, 사회 공학, 모바일 기기, 기타 취약점과 선행조건을 논의하는 경우 영역 게이트웨이의 보호를 신중하게 고려할 가치가 있다.

네트워크 격리는 통신이 경계를 통해 허용되는 룰셋 제어를 개발하고 시행하는 것을 수반한다. 전형적으로 규칙은 근원지 및 목적지의 정체 그리고 전송 데이터의 내용 또는 유형에 기초한다.


5-3

네트워크 분할 및 격리를 올바르게 구현하는 경우 기밀에 관련된 정보에 대한 접근의 방법과 수준을 최소화하게 된다. 이것은 다양한 기술 및 방법을 사용해서 달성할 수 있다. 네트워크의 구조 및 형상에 따라 사용되는 일반적인 일부 기술 및 방법은 다음과 같다.

n 암호화 또는 네트워크 장치 강제 분할에 의해 시행되는 논리적 네트워크 분리.

◦ 가상 근거리 통신망(VLANS).

◦ 암호화된 가상 사설 통신망(VPN)에서 암호화 메커니즘을 사용하여 하나의 네트워크에 결합된 트래픽을 분리.

◦ 단방향 게이트웨이가 연결 간의 통신을 단일 방향으로 제한해서 네트워크를 분할.

n 물리적인 네트워크 분리를 통해 영역간의 트래픽의 모든 상호 접속을 완전히 차단.

n 보안 요구사항 및 영역을 적용하기 위해 다양한 네트워크 계층에서 다양한 기술을 활용할 수 있는 네트워크 트래픽 필터링.

◦ 네트워크 IP 및 경로 정보에 기초하여 다른 시스템과 통신할 수 있는 시스템을 제한하는 네트워크 계층 필터링.

◦ 의도한 목적과 현재의 작동 상태에 기초하여 네트워크의 다른 시스템과 통신할 수 있는 시스템을 제한하는 상태 기반 필터링.

◦ 각 시스템이 네트워크의 다른 시스템들과 통신할 수 있는 서비스의 수와 유형을 제한하는 포트 및/또는 프로토콜 수준 필터링.

◦ 일반적으로 응용 프로그램 계층에서 시스템들 간의 통신 내용을 필터링하는 응용 프로그램 필터링. 여기에는 응용 프로그램 수준 방화벽, 프록시 및 내용 기반 필터가 포함된다.

일부 공급자는 산업제어시스템(ICS) 방화벽으로서 판매하기 위해 응용 프로그램 수준에서 산업제어시스템(ICS) 프로토콜을 필터링하는 제품을 만들고 있다.

네트워크 분할 및 격리를 구현하기 위해 선택된 기술에 상관없이 우수한


5-4

네트워크 분할 및 격리를 제공하여 심층 방어의 개념을 구현하는 4개의 공통 주제가 있다.

n 네트워크 계층에 그치지 않는 기술 적용. 데이터링크 계층부터 최대 응용 프로그램 계층을 포함하여 각 시스템 및 네트워크를 가능하면 분할하고 격리해야 한다.

n 최소 권한 및 알 필요성의 원리를 사용. 시스템이 다른 시스템과 통신할 필요가 없는 경우, 통신 자체가 허용되어서는 안 된다. 시스템이 다른 아무것도 필요 없이 특정 포트나 프로토콜의 다른 하나의 시스템과 통신이 필요하거나, 한정된 일련의 분류되거나 고정된 데이터를 전송해야 하는 경우, 그와 같이 제한되어야 한다.

n 보안 요구사항에 기초하여 정보 및 인프라 분리. 여기에는 각 시스템 또는 네트워크 세그먼트가 운영되는 서로 다른 위협 및 위험 환경에 기초한 서로 다른 하드웨어 또는 플랫폼을 사용하는 것이 수반될 수 있다. 가장 중요한 구성요소는 다른 구성요소로부터 더 엄격하게 격리해야 한다. 네트워크 분리와 더불어, 가상화를 적용하여 필요한 격리를 달성할 수 있다.

n 블랙리스트 대신에 화이트리스트를 구현12. 즉, 나쁘다고 알려진 것의 접근을 거부하는 것이 아니라, 괜찮다고 알려진 것의 접근을 허용한다. 산업제어시스템(ICS)에서 실행되는 일련의 응용 프로그램은 본질적으로 고정적이라서 화이트리스트가 더 실용적이다. 이것은 또한 조직의 로그 파일 분석 역량을 향상시킨다.

5.2 경계 보호

경계 보호 장치는 상호 연결된 보안 영역 간의 정보의 흐름을 제어하여 악의적인 사이버 적과 비 악성 오류 및 사고로부터 산업제어시스템(ICS)을 보호한다. 시스템 간의 서로 다른 보안 정책과 서로 다른 보안 영역을 통한 정보 전송은 해당 전송이 하나 이상의 영역 보안 정책을 위반하게 되는 위험을 초래한다. 경계 보호 장치는 특정 보안 정책을 시행하는 특정 구조적 솔루션의 핵심 구성요소이다. 조직은 서로 다른 임무 및/또는 비즈니스

12 화이트리스트는 특정 권한, 서비스, 이동성, 접근 또는 인식을 제공하는 목록 또는 등록부이다.목록에 있는 사람만 수락, 승인, 인식(즉, 허용)된다. 화이트리스팅은 거부, 미승인, 배척(즉,금지)되는 사람을 식별하는 관행인 블랙리스팅의 반대이다.


5-5

기능을 수행하는 비즈니스 시스템 구성요소 및 산업제어시스템(ICS)을 격리할 수 있다. 이러한 격리는 시스템 구성요소 간의 무단 정보의 흐름을 차단하며, 선택된 구성요소에 대해 더 높은 수준의 보호를 전개할 수 있는 기회도 제공한다. 시스템 구성요소를 경계 보호 메커니즘에서 분리하는 경우 개별 구성요소의 향상된 보호 기능 및 해당 구성요소 간의 정보 흐름에 대한 더욱 효과적인 제어 기능을 제공할 수 있다.

경계 보호 제어는 게이트웨이, 라우터, 방화벽, 가드, 네트워크 기반 악성 코드 분석 및 가상화 시스템, 침입 탐지 시스템(네트워크화한 및 호스트 기반), 암호화된 터널, 관리 인터페이스, 메일 게이트웨이 및 단방향 게이트웨이(예: 데이터 다이오드)를 수반한다. 경계 보호 장치는 주로 데이터 또는 관련된 메타데이터를 검사하여 데이터 전송의 허용 여부를 결정한다.

네트워크 및 산업제어시스템(ICS) 보안 설계자는 직접 통신 허용 영역, 허용 통신의 관리 정책, 정책 시행에 사용될 장치 및 전형적으로 영역 간의 신뢰 관계에 기반한 이러한 결정 사항에 대한 권한을 설정하고 구현을 하기 위한 구성 방식을 결정해야 한다. 신뢰는 조직이 외부 영역(예: 동일한 조직의 다른 영역, 계약된 서비스 제공자, 인터넷)에 대해 보유하고 있는 제어도를 수반한다.

경계 보호 장치는 조직의 보안 구조에 따라 준비된다. 보안 영역 사이의 “중립 지역”에 삽입되는 호스트 또는 네트워크 세그먼트인 경계네트워크구간(DMZ)가 일반적인 구조적 구성 중의 하나이다. 경계네트워크구간(DMZ)의 목적은 외부 정보 교환에 대해 산업제어시스템(ICS) 영역의 정보 보안 정책을 시행하고, 외부 위협으로부터 산업제어시스템(ICS) 영역을 차단하면서 외부 영역에 한정된 접근을 제공하는 것이다.

추가적인 구조적 고려 사항 및 영역 간 통신을 위해 경계 보호 장치에 의해서 수행되는 기능은 다음과 같다.

n 기본적으로 통신 트래픽을 거부하고 예외적으로 통신 트래픽을 허용(즉, 모두 거부, 예외적으로 허용). 모두 거부-예외적으로 허용 통신 트래픽 정책에서는 승인된 연결만이 허용된다. 이것을 화이트리스팅 정책이라고 한다.

n 산업제어시스템(ICS) 영역에서 외부 영역의 정보시스템 자원(예: 파일, 연결 또는 서비스) 요청에 대해 매개자의 역할을 하는 프록시 서버 구현. 프록시


5-6

서버에 대해 초기 연결을 통해 설정되는 외부 요청은 복잡성을 관리하고 추가 보호를 제공하기 위해 직접 연결을 제한하여 평가된다.

n 정보의 무단 탈취 방지. 예를 들어, 해당 기법에는 심층 패킷 검사 방화벽 및 XML 게이트웨이가 포함된다. 이러한 장치는 응용 프로그램 계층에서 프로토콜 형식 및 사양에 대한 준수를 검증하고 네트워크 또는 전송 계층에서 작동되는 장치가 감지하지 못하는 취약점을 식별하는 역할을 한다. 한정된 수의 형식은, 특히 전자 메일에서 자유 형식의 문자 금지는 이러한 기법을 산업제어시스템(ICS) 경계에서 사용하는 것을 용이하게 한다.

n 하나 이상의 조직, 시스템, 응용 프로그램 및 개인 별로 인가 및 인증된 근원지 및 목적지 주소 쌍 간의 통신만 허용.

n 경계네트워크구간(DMZ) 개념을 기타 별도의 서브네트워크에 확장하는 것은, 예를 들어, 공격자가 조직의 분석 및 포렌식스 기법을 발견하는 것을 방지하기 위해 산업제어시스템(ICS)을 격리하는 것은 유용하다.

n 물리적 접근통제를 시행하여 산업제어시스템(ICS) 구성요소에 대해 인가된 접근을 제한.

n 산업제어시스템(ICS) 구성요소의 네트워크 주소를 발견되지 않도록 은폐(예: 도메인 네임 시스템에 네트워크 주소를 게시하지 않거나 입력하지 않음). 접근을 위해서는 사전 지식 필요.

n (특히 네트워크 탐색을 용이하게 할 수 있는 동보 메시지를 사용하는) 제어 및 문제해결 서비스 및 프로토콜을 비활성화.

n 경계 보호 장치를 예정된 상태에서 결함이 발생하도록 구성. 산업제어시스템(ICS)의 선호되는 결함 상태에는 안전 및 보안 등의 여러 요인의 균형을 수반한다.

n 별도의 네트워크 주소(즉, 분리된 서브넷으로)로 보안 영역 구성.

n 프로토콜 검증 형식에 결함이 있는 경우 공격자가 정보를 획득하는 것을 방지하기 위해 발송자에 대한 피드백 비활성화(예: 비 상세 모드).

n (특히 서로 다른 보안 영역 간에) 단방향 데이터 흐름 구현.

n 산업제어시스템(ICS) 네트워크의 수동적 모니터링 설정으로 이례적인 통신을 능동적으로 감지하고 경고를 제공.


5-7

5.3 방화벽

네트워크 방화벽은 서로 다른 보안 태세를 사용하는 네트워크 간의 네트워크 트래픽의 흐름을 통제하는 장치 또는 시스템이다. 대부분의 최신 응용 프로그램에서 방화벽 및 방화벽 환경은 인터넷 연결성 및 UDP/IP 프로토콜 슈트의 맥락에서 설명된다. 하지만, 방화벽은 인터넷 연결성을 포함하지 않거나 필요로 하지 않는 네트워크 환경에서 적용 가능성이 있다. 예를 들어, 많은 업무 네트워크에서는 회계 또는 인사부 등의 기밀에 관련된 기능을 취급하는 내부 네트워크들 간의 상호 연결성을 제한하기 위해 방화벽을 사용한다.

방화벽은 더 나아가서 기능 보안 서브넷과 장치 간의 산업제어시스템(ICS) 서브네트워크 간 통신을 제한할 수 있다. 이러한 영역의 연결을 통제하기 위해 방화벽을 사용함으로써 조직은 기밀에 관련된 영역 내의 각 시스템 및 자원에 대한 무단 접근을 방지할 수 있다. 세 가지의 일반 등급의 방화벽이 있다.

n 패킷 필터링 방화벽. 가장 기본 유형의 방화벽은 패킷 필터이다. 패킷 필터 방화벽은 본질적으로 시스템 주소 및 통신 세션을 위한 접근통제 기능을 포함하는 경로 지정 장치이다. 접근통제는 룰셋으로 총칭되는 일련의 명령의 지배를 받는다. 가장 기본적인 형태의 패킷 필터는 개방형 시스템 간 상호 접속(OSI)의 계층 3(네트워크)(ISO/IEC 7498 모델)에서 작동한다. 이 유형의 방화벽은 패킷을 포워딩하기 전에 일련의 기준에 대해 IP 주소와 같은 각 패킷의 기본 정보를 확인한다. 패킷 및 기준에 따라 방화벽은 패킷을 분기하여 포워딩하거나 발신자에게 메시지를 보낼 수 있다. 이 유형의 방화벽은 높은 수준의 보안을 제공하지만, 네트워크 성능에 오버헤드 및 지연 영향을 줄 수 있다.

n 상태 기반 검사 방화벽. 상태 기반 검사 방화벽은 계층 4(전송)에서 개방형 시스템 간 상호 접속(OSI) 모델 데이터의 추가된 인식을 통합하는 패킷 필터이다. 상태 기반 검사 방화벽 필터 패킷은 네트워크 계층에서 세션 패킷이 타당한지 여부를 결정하고, 전송 계층(예: TCP, UDP)에서 패킷의 내용도 평가한다. 상태 기반 검사에서는 활성 세션을 추적하고, 해당 정보를 사용하여 패킷의 포워딩 또는 차단 여부를 결정한다. 높은 수준의 보안 및 우수한 성능을 제공하지만, 관리가 더 비싸고 복잡할 수 있다. 산업제어시스템(ICS) 응용 프로그램을 위한 추가적인 룰셋이 필요할 수도


5-8

있다.

n 응용 프로그램-프록시 게이트웨이 방화벽. 이 분류의 방화벽은 응용 프로그램 계층에서 패킷을 검증하고, 지정된 응용 프로그램(예: 브라우저) 또는 프로토콜(예: FTP) 등의 특정 응용 프로그램 규칙에 기초하여 트래픽을 필터링한다. 이 유형의 방화벽은 산업제어시스템(ICS) 구성요소에서 제공되는 원격 접근 및 구성 서비스에 대한 공격을 방지하는 데 매우 효과적일 수 있다. 높은 수준의 보안을 제공하지만, 네트워크 성능에 산업제어시스템(ICS) 환경에서는 허용되지 않을 수 있는 오버헤드 및 지연 영향을 줄 수 있다. 미국국립표준기술연구소(NIST) SP 800-41 1차 개정판(방화벽 및 방화벽 정책에 대한 가이드(Guidelines on Firewalls and Firewall Policy) [85])은 방화벽 및 방화벽 정책의 선택에 관한 일반 가이드를 제공한다.

산업제어시스템(ICS) 환경에서 방화벽은 대부분의 경우 산업제어시스템(ICS) 네트워크와 업무 네트워크 사이에 배치된다[34]. 올바르게 구성되는 경우, 제어시스템 호스트 컴퓨터 및 컨트롤러 사이에서 원하지 않는 상호 접근을 크게 제한할 수 있으며, 이로써 보안을 향상시킨다. 또한 네트워크에서 비 필수 트래픽을 제거함으로써 잠재적으로 제어 네트워크의 반응성을 향상시킨다. 제대로 설계, 구성, 유지보수되는 경우, 전용 하드웨어 방화벽은 오늘날의 산업제어시스템(ICS) 환경의 보안을 크게 향상시키는 데 기여할 수 있다.

방화벽은 현재 구할 수 있는 일련의 공정 제어 장치에서는 국소적으로 불가능한 보안 정책을 시행하는 다음과 같은 기능이 포함된 여러 도구를 제공한다.

n 모든 통신 차단(단, 보호되지 않는 근거리 통신망(LAN)의 장치와 보호되는 산업제어시스템(ICS) 네트워크 사이의 통신은 특별히 활성화). 차단은 예를 들어, 근원지 및 목적지 IP 주소 쌍, 서비스, 포트, 연결 상태 및 방화벽에서 지원되는 지정된 응용 프로그램 또는 프로토콜을 기반으로 수행될 수 있다. 차단은 착신 및 발신 패킷 모두에서 발생할 수 있어서, 전자 메일과 같은 위험이 높은 통신을 제한하는 데 도움이 된다.

n 산업제어시스템(ICS) 네트워크에 접근하려는 모든 사용자에 보안 인증 시행. 간단한 패스워드, 복잡한 패스워드, 다원적 인증 기술, 토큰, 생체인식 및 스마트카드와 같은 다양한 보호 수준의 인증 방법을 유연하게


5-9

사용할 수 있다. 장치 수준에서 사용할 수 있는 방법을 사용하는 것이 아니라 보호할 산업제어시스템(ICS) 네트워크의 취약성에 기반한 특정 방법을 선택한다.

n 목적지 인가 시행. 사용자는 업무기능에 필요한 제어 네트워크의 노드에만 도달할 수 있도록 제한 및 허용될 수 있다. 이것은 사용자가 의도적이거나 우연히 인가되지 않은 장치에 대한 접근 및 제어 권한을 얻을 가능성을 줄일 수 있지만, 작업을 통한 직원의 교육 훈련 또는 교차 교육 훈련에 복잡성을 더한다.

n 트래픽 모니터링, 분석 및 침입 탐지에 대한 정보 흐름 기록.

n 전자 메일처럼 보안이 약한 통신의 금지 및 기억하기 쉬운 사용자이름 및 그룹 패스워드의 사용 허용과 같이 산업제어시스템(ICS)에는 적절하지만 정보기술(IT) 네트워크에는 적절하지 않을 수 있는 운영 정책을 구현하는 산업제어시스템(ICS) 허용.

n 심각한 사이버 사고 시 업무 네트워크에서 산업제어시스템(ICS) 네트워크를 단절하는 결정이 내려지는 경우 단절시킬 수 있도록 최소(가능하다면 단일) 연결과 문서로 기록된 설계.

그밖에 호스트 기반 방화벽을 사용하거나, 개별 제어 장치 앞쪽 또는 개별 제어 장치에서 실행되는 소형의 독립형 하드웨어 방화벽을 사용하여 배치할 수도 있다. 개별 장치 단위로 방화벽을 사용하는 경우, 특히 방화벽 구성의 변경 관리에서 상당한 관리 오버헤드가 발생할 수 있지만, 이 관행은 개별 구성 룰셋을 단순화시킬 수도 있다.

산업제어시스템(ICS) 환경에 방화벽을 배치하기 전에 해결해야 할 다음과 같은 몇 가지 문제가 있다.

n 제어시스템 통신 지연 추가 가능성.

n 산업용 응용 프로그램에 적합한 룰셋 설계의 경험 부족. 제어시스템의 보호에 사용되는 방화벽은 수신 또는 발신 트래픽을 기본적으로 허용하지 않도록 구성해야 한다. 기본 구성은 인가된 산업제어시스템(ICS) 기능을 수행하기 위해 신뢰할 수 있는 시스템과의 연결을 허용하는 데 필요한 경우에만 수정해야 한다.


5-10

방화벽에는 지속적인 지원, 유지보수 및 백업이 필요하다. 늘 변화하는 보안 위협에 비추어 충분한 보호를 제공하고 있는지 확인하기 위해 룰셋을 검토해야 한다. 방화벽이 자체의 데이터 수집 작업을 수행하고 있고 보안 위반 시 의존할 수 있는지 확인하기 위해 시스템 기능(예: 방화벽 로그의 저장 공간)에 대한 모니터링을 수행해야 한다. 사이버 사고를 신속하게 감지하고 대응을 시작하기 위해 방화벽 및 기타 보안 센서에 대한 실시간 모니터링이 필요하다.

5.4 논리적 분리형 제어 네트워크

최소한 산업제어시스템(ICS) 네트워크는 물리적으로 분리된 네트워크 장치의 업무 네트워크에서 논리적으로 분리되어야 한다. 산업제어시스템(ICS) 네트워크 구성에 기초하여 종종 산업제어시스템(ICS) 네트워크의 일부이거나 원격 현장에 대해 동일한 통신 기반을 사용하는 안전 계측 시스템 및 보안 시스템(예: 물리적 모니터링 및 접근통제, 문, 정문, 카메라, VoIP, 접근 카드 판독기)을 위한 추가적인 분리를 고려할 필요가 있다. 기업 연결성이 필요한 경우 다음 사항이 충족되어야 한다.

n 산업제어시스템(ICS) 네트워크와 업무 네트워크 사이에 문서로 기록된 최소(가능하다면 단일) 접근점이 있어야 한다. 중복(즉, 백업) 접근점이 존재하는 경우 문서화되어야 한다.

n 산업제어시스템(ICS) 네트워크와 업무 네트워크 사이의 상태 기반 방화벽은 명시적으로 인가된 트래픽을 제외한 모든 트래픽을 거부하도록 구성되어야 한다.

n TCP 및 사용자 데이터그램 프로토콜(UDP) 포트 필터링과 인터넷 제어 메시지 프로토콜(ICMP) 유형 및 코드 필터링에 더불어, 최소한 방화벽 규칙은 근원지 및 목적지 필터링(즉, 매체 접근 제어[MAC] 주소 필터링)을 제공해야 한다.

산업제어시스템(ICS) 네트워크와 업무 네트워크 사이의 통신을 활성화하는 허용 가능한 접근방식은 중간 경계네트워크구간(DMZ) 네트워크를 구현하는 것이다. 경계네트워크구간(DMZ)은 업무 네트워크와 DMZ 사이, 그리고 산업제어시스템(ICS) 네트워크와 DMZ 사이에서만 특정(한정된) 통신이 발생할 수 있는 방화벽에 연결되어야 한다. 업무 네트워크와 산업제어시스템(ICS)


5-11

네트워크는 직접적인 서로 간의 통신이 발생하면 안 된다. 이 접근방식은 제5.5.4절 및 제5.5.5절에 설명되어 있다. 추가적인 보안으로 가상 사설 통신망(VPN)을 산업제어시스템(ICS)과 외부 네트워크 사이에 구현할 수 있다.

5.5 네트워크 격리

산업제어시스템(ICS) 네트워크 및 업무 네트워크는 서로 다른 구조를 사용하여 사이버보안을 강화하기 위해 격리할 수 있다. 이 절에서는 몇 가지의 가능한 구조와 각각의 장점 및 단점을 설명한다. 제5.5절에 있는 도형은 네트워크를 분리하는 방화벽의 배치를 나타내기 위한 것이다. 제어 네트워크 또는 업무 네트워크에서 전형적으로 찾을 수 있는 모든 장치가 표시된 것은 아니다. 제5.6절에서는 권장 심층 방어 구조에 대한 가이드를 제공한다.

5.5.1 이중 홈 컴퓨터/듀얼 네트워크 인터페이스 카드(NIC)

이중 홈 컴퓨터는 하나의 네트워크에서 다른 네트워크로 네트워크 트래픽을 전달할 수 있다. 제대로 된 보안 통제가 없는 컴퓨터에는 추가 위협이 제기될 수 있다. 이를 방지하려면 방화벽 이외의 어떠한 시스템도 제어 네트워크와 업무 네트워크 모두에 걸쳐 이중 홈으로 구성할 수 없다. 제어 네트워크와 업무 네트워크 사이의 모든 연결은 방화벽을 통해야 한다. 이러한 구성은 보안을 향상시키지 않으며 네트워크(예: 산업제어시스템(ICS)과 업무 네트워크)들 사이를 걸치는 데 사용할 수 없다.

5.5.2 업무 네트워크와 제어 네트워크 사이의 방화벽

그림 5-1과 같이 업무 네트워크와 제어 네트워크 사이의 단순 2포트 방화벽을 도입함으로써 보안을 상당히 향상시킬 수 있다. 제대로 구성하는 경우 방화벽은 제어 네트워크에 대한 성공적인 외부 공격의 가능성을 상당히 줄일 수 있다.

안타깝게도 두 가지 문제가 여전히 이 설계에 남아 있다. 첫째, 업무 네트워크에 데이터 이력 관리 장치(Data Historians)가 있는 경우, 방화벽은 데이터 이력 관리 장치(Data Historians)가 제어 네트워크의 컨트롤러와 통신하는 것을 허용해야 한다. (데이터 이력 관리 장치(Data Historians)로 나타나는) 업무 네트워크의 악성 또는 잘못 구성된 호스트에서 비롯된 패킷은 개별 프로그래머블 로직 컨트롤러(PLC)/분산제어시스템(DCS)으로 포워딩될


5-12

것이다.

워크스테이션프린터


기업/외부세상

인터넷/WAN


장치(Historians) 라우터

업무 네트워크

방화벽

방화벽

제어 네트워크

제어 서버

그림 5-1. 업무 네트워크와 제어 네트워크 사이의 방화벽

데이터 이력 관리 장치(Data Historians)가 제어 네트워크에 있는 경우 기업의 모든 호스트가 이력 관리 장치(Historians)와 통신할 수 있도록 허용하는 방화벽 규칙이 있어야 한다. 전형적으로, 이 통신은 응용 프로그램 계층에서 구조화 질의 언어(SQL) 또는 하이퍼텍스트 전송 프로토콜(HTTP) 요청으로서 발생한다. 이력 관리 장치(Historians)의 응용 프로그램 계층 코드의 결함은 훼손된 이력 관리 장치(Historians)를 초래할 수 있다. 이력 관리 장치(Historians)가 훼손되는 경우, 제어 네트워크의 나머지 노드도 웜 전파 또는 상호작용 공격에 취약하게 된다.

네트워크들 사이의 단순 방화벽에 있는 또 다른 문제는 제어 네트워크에 영향을 끼치는 스푸핑 패킷이 생성되어 은밀한 데이터가 허용 프로토콜에 숨어드는 것을 잠재적으로 허용할 수 있는 것이다. 예를 들어, HTTP 패킷의


5-13

방화벽 통과가 허용되는 경우 휴먼 머신 인터페이스(HMI) 또는 제어 네트워크에 트로이 목마 소프트웨어가 돌발적으로 유입되어 원격 실체가 휴대용 컴퓨터를 제어하고 데이터(예: 탈취한 패스워드)를 합법적인 트래픽으로 가장하여 해당 실체로 전송할 수 있다.

요약하면, 이 구조는 비 격리 네트워크에 대해 상당한 개선인 반면, 업무 네트워크와 제어 네트워크 장치 사이의 직접 통신을 허용하는 방화벽 규칙을 사용해야 한다. 이것은 매우 신중하게 설계하고 모니터링하지 않는 경우 보안 위반을 초래할 수 있다[35].

5.5.3 업무 네트워크와 제어 네트워크 사이의 방화벽과 라우터

그림 5-2에서는 라우터/방화벽 조합을 사용한 약간 더 정교한 설계가 도시되어 있다. 방화벽이 상태 기반 검사 또는 프록시 기법을 사용하여 더 복잡한 문제를 다루는 반면, 라우터는 방화벽의 앞쪽에 설치되며 기본 패킷 필터링 서비스를 제공한다. 이러한 설계 유형은 특히 서비스 거부(DoS) 공격의 경우, 대량의 수신 패킷을 처리하는 더 빠른 라우터를 허용하고 방화벽의 부하를 줄이기 때문에 인터넷 연결 방화벽에서 매우 인기가 좋다. 또한 공격자가 우회해야 하는 2개의 서로 다른 장치가 있기 때문에 향상된 심층 방어를 제공한다[35].


5-14



기업/외부세상

인터넷/WAN


장치(Historians)

라우터

업무 네트워크

방화벽

방화벽

제어 네트워크

제어 서버

라우터

그림 5-2. 업무 네트워크와 제어 네트워크 사이의 방화벽과 라우터 5.5.4 업무 네트워크와 제어 네트워크 사이의 경계네트워크구간(DMZ)과 방화벽

업무 네트워크와 제어 네트워크 사이의 경계네트워크구간(DMZ)을 설정하는 기능과 방화벽을 사용하는 것은 상당한 개량이다. 각 경계네트워크구간(DMZ)에는 데이터 이력 관리 장치(Data Historians), 무선 접근점 또는 원격 및 타사 접근 시스템과 같은 하나 이상의 중요한 구성요소가 있다. 사실상, 경계네트워크구간(DMZ)이 있는 방화벽을 사용하는 경우 중간 네트워크를 만들 수 있다.


5-15

한 개의 경계네트워크구간(DMZ)을 만들려면 일반적인 공공 및 사설 인터페이스가 아닌 3개 이상의 인터페이스가 제공되는 방화벽이 필요하다. 한 개의 인터페이스는 업무 네트워크에 연결되고, 두 번째 인터페이스는 제어 네트워크에 연결되며, 나머지 인터페이스는 경계네트워크구간(DMZ) 네트워크의 무선 접근점 또는 데이터 이력 관리 장치(Data Historians) 서버와 같은 공유되거나 안전하지 않은 장치에 연결된다. 경계네트워크구간(DMZ)에 대한 연속적인 유입 및 유출 트래픽 모니터링을 구현하는 것이 좋다. 게다가, 제어 네트워크 장치에 의해서 주도되는 제어 네트워크와 경계네트워크구간(DMZ) 사이의 연결만을 허용하는 방화벽 룰셋을 사용하는 것이 좋다. 이러한 구조의 예는 그림 5-3에 나와 있다.



기업/외부세상

인터넷/WAN


Historians)

업무 네트워크

방화벽

방화벽

제어 네트워크

제어 서버

데이터 서버

라우터

그림 5-3. 업무 네트워크와 제어 네트워크 사이의 경계네트워크구간(DMZ)과


5-16

방화벽

기업에서 접근할 수 있는 구성요소를 경계네트워크구간(DMZ)에 배치하는 경우 업무 네트워크에서 제어 네트워크로 향하는 직접 통신 경로는 필요하지 않다. 각 경로는 경계네트워크구간(DMZ) 내에서 효과적으로 끝난다. 대부분의 방화벽에서는 다중 경계네트워크구간(DMZ)을 사용할 수 있으며, 구역 간에 포워딩되는 트래픽 유형을 지정할 수 있다. 그림 5-3과 같이 방화벽 업무 네트워크에서 오는 임의적인 패킷이 제어 네트워크로 유입되는 것을 차단할 수 있으며, 또한 제어 네트워크를 포함한 기타 네트워크 구역에서 오는 트래픽을 조절할 수 있다. 잘 계획된 룰셋을 사용하는 경우 업무 네트워크와 제어 네트워크 사이를 직접 통과하는 트래픽이 거의 또는 전혀 없이 제어 네트워크와 기타 네트워크 사이를 명확하게 분리된 상태로 유지할 수 있다.

패치 관리 서버, 바이러스 퇴치 서버 또는 기타 보안 서버를 제어 네트워크에 사용할 경우, 경계네트워크구간(DMZ)에 직접 설정해야 한다. 두 가지 기능은 모두 단일 서버에 있을 수 있다. 패치 관리 및 바이러스 퇴치 관리 전용의 제어 네트워크를 사용하면 산업제어시스템(ICS) 환경 고유의 필요에 맞게 맞춤형으로 구성할 수 있는 보안 업데이트를 제어하여 사용할 수 있다. 또한 산업제어시스템(ICS) 보호를 위해 선택한 바이러스 퇴치 제품이 업무 네트워크에 사용하는 바이러스 퇴치 제품과 다른 경우 도움이 될 수 있다. 예를 들어, 악성코드 사고가 발생하고 한 가지의 바이러스 퇴치 제품이 악성코드를 감지하거나 차단시키지 못하는 경우 다른 제품에 해당 기능이 있을 가능성이 있다.

이 유형의 구조에서 주된 보안 위험은 경계네트워크구간(DMZ)의 컴퓨터가 훼손된 경우, 이 컴퓨터가 경계네트워크구간(DMZ)에서 제어 네트워크까지 허용된 응용 프로그램 트래픽을 통해 제어 네트워크에 대한 공격을 시작하는 데 사용될 수 있는 것이다. 이러한 위험은 혼신의 노력으로 경계네트워크구간(DMZ)의 서버를 강화하고 능동적으로 패치하며, 방화벽 룰셋이 제어 네트워크 장치에 의해서 주도되는 제어 네트워크와 경계네트워크구간(DMZ) 사이의 연결만을 허용하는 경우 크게 줄일 수 있다. 이러한 구조의 기타 사안은 복잡성이 추가되고 잠재적으로 여러 포트와 방화벽의 비용이 증가하는 것이다. 하지만, 중요한 시스템에 대해서는 향상된 보안이 이러한 단점을 상쇄하고도 남는다[35].


5-17

5.5.5 업무 네트워크와 제어 네트워크 사이의 이중 방화벽

경계네트워크구간(DMZ) 솔루션과 방화벽의 한 변형으로 그림 5-4와 같이 업무 네트워크와 산업제어시스템(ICS) 네트워크 사이에 위치한 이중 방화벽을 사용할 수 있다. 데이터 이력 관리 장치(Data Historians) 등의 공통 서버는 종종 제조 실행 시스템(MES) 계층으로 지칭되는 경계네트워크구간(DMZ)같은 네트워크 구역의 방화벽들 사이에 위치한다. 이전에 설명된 구조와 같이, 먼저 방화벽은 임의적인 패킷이 제어 네트워크 또는 공유 이력 관리 장치(Historians)로 진행하는 것을 차단한다. 두 번째 방화벽은 훼손된 서버에서 오는 원하지 않는 트래픽이 제어 네트워크에 유입되는 것을 방지하고, 제어 네트워크 트래픽이 공유 서버에 영향을 끼치는 것을 방지할 수 있다.


5-18

라우터워크스테이션

프린터


기업/외부세상 인터넷/WAN


Historians)

업무 네트워크

방화벽

방화벽

제어 네트워크

제어 서버

데이터 서버

방화벽

그림 5-4. 업무 네트워크와 제어 네트워크 사이의 이중 방화벽

2곳의 서로 다른 제조업체의 방화벽들이 사용되는 솔루션의 경우 장점을 제공할 수 있다. 또한 조직에서 결정하는 경우 각 그룹은 자체적으로 방화벽을 관리할 수 있기 때문에 제어 그룹과 정보기술(IT) 그룹은 장치 책임을 명확하게 분리할 수 있다. 2개 방화벽 구조의 주요 단점은 비용 상승과 관리 복잡성이다. 엄격한 보안 요구사항과 명확한 관리 분리의 필요성이 있는 환경에 대해 이 구조는 대단한 강한 장점이 있다.

5.5.6 네트워크 격리 요약


5-19

요약하면, 이중 홈 컴퓨터는 일반적으로 제어 네트워크와 업무 네트워크 사이에 적합한 격리를 제공하지 않는다. 2구역 솔루션(경계네트워크구간(DMZ) 없음)은 약한 보호 기능을 제공하기 때문에 사용하지 않는 것이 좋다. 사용되는 경우 매우 조심스럽게 배치해야 한다. 가장 안전하고 다루기 쉬우며 확장 가능한 제어 네트워크 및 업무 네트워크 격리 구조는 전형적으로 하나 이상의 경계네트워크구간(DMZ)을 통합하는 최소한 3개의 구역이 있는 시스템에 기반을 둔다.

5.6 권장 심층 방어 구조

단일 보안 제품, 기술 또는 솔루션은 그 자체로서 산업제어시스템(ICS)을 적절하게 보호할 수 없다. 심층 방어 기법으로도 알려진 2개 이상의 서로 다른 중첩 보안 메커니즘을 수반하는 다중 계층 전략을 사용하여 어느 한 메커니즘에서 발생한 결함의 영향을 최소화하는 것이 좋다. 심층 방어 구조 전략은 효과적인 보안 정책, 훈련 프로그램, 사고 대응 메커니즘 및 물리적 보안과 함께 방화벽, 완충지대의 구성, 침입 탐지 기능의 사용을 수반한다. 추가로, 효과적인 심층 방어 전략에는 산업제어시스템(ICS)에서 있을 수 있는 공격 경로에 대한 철저한 이해가 필요하다. 이러한 공격 경로는 다음과 같다.

n 네트워크 주변의 백도어 및 홀.n 공통 프로토콜의 취약점.n 현장 장치에 대한 공격.n 데이터베이스 공격.n 통신 하이재킹 및 ‘중간자’ 공격.n 스푸핑 공격.n 권한 및/또는 공유 계정에 대한 공격.

그림 5-5에는 제어시스템 사이버 보안: 심층 방어 전략(Control Systems Cyber Security: Defense in Depth Strategies) [36] 문서에 설명된 바와 같이 국토안보부(DHS) 제어시스템 보안 프로그램(CSSP) 국가 사이버보안 및 통신 통합 센터(NCCIC)/산업제어시스템 사이버비상대응팀(ICS-CERT) 권장 사례 위원회13에서 개발한 산업제어시스템(ICS)의 심층 방어 구조 전략이 도시되어 있다. 또한 특정 문제 및 관련된 완화 조치가 다루어지는 추가적인

13 제어시스템 보안 프로그램(CSSP) 권장 사례에 대한 자세한 내용은

http://ics-cert.us-cert.gov/Recommended-Practices에서 제공된다.


5-20

지원 문서가 웹 사이트에서 제공된다.

제어시스템 사이버 보안: 심층 방어 전략(Control Systems Cyber Security: Defense in Depth Strategies) 문서는 제어시스템 네트워크를 사용하는 조직에서 다음 사항을 필요로 하는 다중 계층 정보 구조를 유지하면서 심층 방어 구조 전략을 개발하기 위한 가이드 및 방향을 제공한다.

n 다양한 현장 장치의 유지보수, 원격 측정 수집 및/또는 산업 수준 공정 시스템.

n 원격 데이터링크 또는 모뎀을 통한 시설 접근.n 고객 또는 기업 운영을 위한 대중 대면 서비스.

이 전략은 전체 산업제어시스템(ICS) 구조에 걸쳐서 방화벽, 완충지대 사용 및 침입 탐지 기능을 포함한다. 그림 5-5와 같이 여러 완충지대를 사용하는 경우, 기능과 접근 권한을 분리하는 부가 기능이 제공되며, 이 방식은 서로 다른 작동 권한이 있는 네트워크들로 구성된 대형 구조의 보호에 매우 효과적인 것으로 증명되었다. 침입 탐지 배치는 서로 다른 룰셋 및 모니터링 되는 각 영역 고유의 서명을 적용한다.


5-21

무선 접근점

컨트롤러

필드 통신 버스현장 위치

제어시스템 현장 장치 통신

인터페이스 인프라

텔레포니 방화벽

CS 모뎀 풀

데이터 수집 서버


이력 관리 장치(Historian

s)데이터베이스

서버 구성 서버 HMI 컴퓨터 엔지니어링워크스테이션

제어시스템 LAN

원격 비즈니스 통신 실체

백업 제어 센터전용 통신

경로CS 방화벽

외부 비즈니스통신 서버

비즈니스 통신 DMZ웹 서버 DMZ

DB DMZ보안 DMZ

인증 DMZ

WWW 서버DB/이력 관리

장치(Historians) 보안 서버인증 서버

인터넷외부 통신

인프라

텔레포니방화벽 기업 PBX

기업 모뎀 풀

기업 방화벽

비즈니스 서버 비즈니스 워크스테이션

웹 응용프로그램

서버 전자메일서버

FTP서버 무선

접근점

기업 LAN

전자메일 DMZ웹 서버 DMZ

인증 DMZ무선 DMZ

DNS서버 웹 서버

인증 서버

IDS 센서

그림 5-5. 제어시스템 보안 프로그램(CSSP) 권장 심층 방어 구조

5.7 산업제어시스템(ICS)의 일반 방화벽 정책

심층 방어 구조가 배치되면 방화벽을 통해 허용되는 정확한 트래픽을 결정하는 작업이 시작된다. 비즈니스 수요에 절대적으로 필요한 트래픽을 제외한 모두를 거부하도록 방화벽을 구성하는 것은 모든 조직의 기본 전제이지만, 실제로는 쉽지가 않다. "비즈니스에 절대적으로 필요한"의 정확한 의미는 무엇이며, 해당 트래픽을 통과시키는 경우 보안 영향은 무엇인가? 예를 들어, 대부분의 조직에서 많은 데이터 이력 관리 장치(Data Historians) 서버에 대해 비즈니스에 필요한 데로 방화벽을 통한 SQL 트래픽을 허용하는 것을 고려했다. 안타깝게도, SQL 취약성도 슬래머웜의 표적이 되었다[표 C-8. 적대적 사건 사례]. 업계에서 사용되는 많은 중요한 프로토콜(예: HTTP, FTP, OPC/DCOM, 이더넷/IP 및 Modbus/TCP)에는 상당한 보안 취약점이 있다.

이 절의 나머지 자료는 국가기반보호센터(CPNI)의 감시 제어 및 데이터 수집(SCADA) 및 공정제어 네트워크에 대한 방화벽 배치: 우수 사례 가이드(Firewall Deployment for SCADA and Process Control Networks: Good Practice Guide)에서 발췌한 일부 핵심 요점을 요약한 것이다[35].

외부 VPN 접근


5-22

공유 서버에 경계네트워크구간(DMZ) 없이 단일 2포트 방화벽을 설치하는 경우(즉, 제5.5.2절에 설명된 구조), 규칙 설계에 특별한 주의를 기울여야 한다.

최소한, 모든 규칙은 IP 주소 및 포트(응용 프로그램) 모두에 구체적인 상태 기반 규칙이어야 한다. 규칙의 주소 부분은 수신 트래픽을 업무 네트워크의 통제된 일련의 주소로부터 제어 네트워크의 매우 작은 일련의 공유 장치(예: 데이터 이력 관리 장치(Data Historians))로 제한해야 한다. 업무 네트워크의 IP 주소로 제어 네트워크 내부의 서버에 접근하는 것을 허용하는 것은 좋지 않다. 추가로, 허용 포트는 하이퍼텍스트 전송 프로토콜 보안(HTTPS) 등의 상대적으로 안전한 프로토콜로 신중하게 제한해야 한다. HTTP, FTP 또는 기타 보안이 보장되지 않는 프로토콜이 방화벽을 통과하도록 허용하는 것은 트래픽 스니핑 및 수정에 대한 가능성 때문에 보안이 위험해진다. 제어 네트워크 외부의 호스트가 제어 네트워크의 호스트와 연결을 시작하는 것을 거부하는 규칙을 추가해야 한다. 규칙에서는 제어 네트워크 내부 장치만이 제어 네트워크 외부의 연결을 설정할 수 있는 기능을 허용해야 한다.

반면에, 경계네트워크구간(DMZ) 구조가 사용되고 있는 경우, 어떠한 트래픽도 업무 네트워크와 제어 네트워크 사이를 곧장 통과할 수 없도록 시스템을 구성할 수 있다. 아래에 명시된 몇 가지 특별한 예외를 제외하고 양측의 모든 트래픽은 경계네트워크구간(DMZ)의 서버에서 종료할 수 있다. 이를 통해 방화벽에서 허용되는 프로토콜에 더 많은 유연성을 줄 수 있다. 예를 들어, HTTP는 이력 관리 장치(Historians)와 기업 클라이언트 사이의 통신에 사용되는 반면, Modbus/TCP는 프로그래머블 로직 컨트롤러(PLC)에서 데이터 이력 관리 장치(Data Historians)으로의 통신에 사용될 수 있을 것이다. 두 프로토콜은 본질적으로 불안정하지만, 이 경우에는 실제로 그 어느 쪽도 두 네트워크 사이를 가로지르지 않기 때문에 안전하게 사용될 수 있다. 이 개념에서 확장된 아이디어는 업무 네트워크 통신에 대해 모든 제어 네트워크에서 “분리된” 프로토콜을 사용하는 것이다. 즉, 프로토콜이 제어 네트워크와 경계네트워크구간(DMZ) 사이에서 허용되는 경우, 경계네트워크구간(DMZ)과 업무 네트워크 사이에서는 명백히 허용되지 않는 것이다. 실제로 제어 네트워크에 침투하는 슬래머와 같은 웜은 2가지의 서로 다른 프로토콜에 대해 2가지의 서로 다른 침입 시도를 해야 하기 때문에 이 설계는 침투의 가능성을 크게 줄인다.


5-23

실제로 상당한 변화의 한 영역은 관리되지 않는 경우 상당한 위험을 나타낼 수 있는 네트워크의 발신 트래픽 제어이다. 한 가지의 예는 HTTP 터널링을 이용하여 제대로 정의되지 않은 발신 규칙을 악용하는 트로이 목마 소프트웨어이다. 따라서 발신 규칙이 착신 규칙만큼 엄격한 것이 중요하다.

발신 규칙의 예는 다음과 같다.

n 제어 네트워크 방화벽을 통한 발신 트래픽은 필수 통신에만 제한되어야 하며, 경계네트워크구간(DMZ) 서버에서 발생하는 인가된 트래픽에 제한되어야 한다.

n 제어 네트워크에서 업무 네트워크로 향하는 모든 발신 트래픽은 서비스 및 포트별로 근원지 및 목적지가 한정되어야 한다.

이러한 규칙에 더불어, 방화벽은 제어 네트워크 또는 경계네트워크구간(DMZ)을 떠나는 위조된 IP 패킷을 정지시키기 위해 발신 필터링과 함께 구성되어야 한다. 실제로 이것은 방화벽의 각각의 네트워크 인터페이스 주소에 대하여 발신 패킷의 근원지 IP 주소를 확인하여 이루어진다. 의도는 제어 네트워크가 서비스 거부(DoS) 공격에서 종종 사용되는 스푸핑(즉, 위조된) 통신의 근원지가 되는 것을 막기 위한 것이다. 따라서 제어 네트워크 또는 경계네트워크구간(DMZ) 네트워크에 대한 올바른 근원지 IP 주소가 IP 패킷에 있는 경우에만 방화벽이 해당 패킷을 포워딩하도록 구성해야 한다. 마지막으로, 제어 네트워크의 장치에 의한 인터넷 접근은 절대로 피해야 한다.

요약하면, 다음 사항을 일반 방화벽 룰셋에 대한 권장 사례로서 고려해야 한다.

n 기본 룰셋은 모두 거부 및 아무것도 허용하지 않는 것이다.

n 제어 네트워크 환경 및 업무 네트워크 사이의 포트 및 서비스는 특정 사례별로 활성화되고 허가되어야 한다. 위험 분석과 사업 타당성 문서 및 허용되는 각각의 수신 또는 발신 데이터 흐름에 대한 담당자가 있어야 한다.

n 모두 “허용” 규칙은 IP 주소 및 TCP/UDP 포트 모두에 대해 구체적이어야 하며, 적절한 경우 상태 기반이어야 한다.

n 모든 규칙은 트래픽을 특정 IP 주소 또는 주소의 범위에 한정해야 한다.


5-24

n 트래픽이 제어 네트워크에서 업무 네트워크로 곧장 경유하는 것은 방지되어야 한다. 모든 트래픽은 경계네트워크구간(DMZ) 내에서 종료되어야 한다.

n 제어 네트워크 및 경계네트워크구간(DMZ) 사이에서 허용되는 모든 프로토콜은 경계네트워크구간(DMZ) 및 업무 네트워크 사이에서 명백히 허용되어서는 안 된다(그 반대도 같음).

n 제어 네트워크에서 업무 네트워크로 향하는 모든 발신 트래픽은 서비스 및 포트에 의해 근원지 및 목적지가 한정되어야 한다.

n 제어 네트워크 또는 경계네트워크구간(DMZ)에서 시작되는 발신 패킷은 해당 패킷에 제어 네트워크 또는 경계네트워크구간(DMZ) 장치에 할당된 올바른 근원지 IP 주소가 있는 경우에만 허용되어야 한다.

n 제어 네트워크 장치는 인터넷에 접속하도록 허용되어서는 안 된다.

n 제어 네트워크는 방화벽을 통해 보호되더라도 인터넷에 직접 연결되어서는 안 된다.

n 모든 방화벽 관리 트래픽은 별도의 보안 관리 네트워크(예: 대역외) 또는 다원적 인증의 암호화된 네트워크를 통해서 수행되어야 한다. 또한 트래픽은 IP 주소에 의해 특정 관리 기지국에 한정되어야 한다.

n 모든 방화벽 정책은 주기적으로 시험해야 한다.

n 모든 방화벽은 시운전 직전에 백업해야 한다.

이러한 것은 가이드로만 고려되어야 한다. 모든 방화벽 룰셋을 구현하기 전에 각 제어 환경에 대한 신중한 평가가 필수적이다.

5.8 특정 서비스에 대한 권장 방화벽 규칙

위에 설명한 일반 규칙 외에 특정 프로토콜에 대해 다용도의 규칙을 서술하는 것은 어렵다. 특정 프로토콜에 대한 산업 간의 필요 사항 및 권고 방식은 상당히 다양하며 조직 단위로 분석해야 한다. 산업 자동화 오픈 네트워킹 협회(IAONA)에서는 기능, 보안 위험, 최악의 영향 및 제안 조치의 관점에서 산업 환경에서 일반적으로 발견되는 각각의 프로토콜을 평가하고 이러한 분석을 수행하기 위한 일반원칙을 제시한다[37]. IAONA 문서의 핵심 요점의


5-25

일부는 이 절에 요약되어 있다. 독자는 룰셋을 개발할 때 이 문서를 직접 참조하는 것이 좋다.

5.8.1 도메인 네임 시스템(DNS)

도메인 네임 시스템(DNS)은 주로 도메인 이름과 IP 주소를 상호 변환하는 데 사용된다. 예를 들어, DNS는 control.com 등의 도메인 이름을 192.168.1.1 등의 IP 주소로 매핑할 수 있다. 대부분의 인터넷 서비스는 DNS에 크게 의존하지만, 이 시점에서 제어 네트워크에서의 사용은 드물다. 대부분의 경우 제어 네트워크에서 업무 네트워크로의 DNS 요청을 허용할 이유가 거의 없으며, 제어 네트워크로의 DNS 요청은 허용할 이유가 없다. 제어 네트워크에서 경계네트워크구간(DMZ)로의 DNS 요청은 사례별로 해결해야 한다. 로컬 DNS 또는 호스트 파일을 사용하는 것이 좋다.

5.8.2 하이퍼텍스트 전송 프로토콜(HTTP)

HTTP는 인터넷에서 웹 검색 서비스의 기초를 이루는 프로토콜이다. DNS와 마찬가지로 대부분의 인터넷 서비스에서 매우 중요하다. 작업 현장 뿐 아니라 다용도 질의 도구에서 그 사용이 증가하고 있다. 안타깝게도, HTTP에는 고유의 보안 기능이 거의 없으며 많은 HTTP 응용 프로그램에는 악용될 수 있는 취약점이 있다. HTTP은 수동으로 수행되는 많은 공격과 자동화 웜의 전송 메커니즘이 될 수 있다.

일반적으로, HTTP는 공공/기업에서 제어 네트워크로 연결하는 데 허용되어서는 안 된다. 웹기반 기술이 절대적으로 필요한 경우, 다음과 같은 모범 사례를 적용해야 한다.

n 물리적 또는 네트워크 계층의 웹기반 서비스에 대한 접근을 화이트리스팅을 사용하여 통제.

n 근원지 및 목적지 모두에 접근통제 적용.n 응용 프로그램 계층의 서비스 접근에 인가 구현(물리적 또는 네트워크 계층

검사 대신).n 필요한 기술만 사용하여 서비스 구현(예: 스크립트는 필요한 경우에만 사용).n 알려진 응용 프로그램 보안 사례에 따라 서비스 검사.n 모든 서비스 사용 시도 기록 및


5-26

n 인가된 특정 장치에만 HTTP 대신 HTTPS 사용.

5.8.3 FTP 및 간이 파일 전송 프로토콜(TFTP)

FTP 및 간이 파일 전송 프로토콜(TFTP)은 장치들 간의 파일 전송에 사용된다. 매우 잘 알려져 있고 최소 처리 전력을 사용하기 때문에 대부분의 감시 제어 및 데이터 수집(SCADA) 시스템, 분산제어시스템(DCS), 프로그래머블 로직 컨트롤러(PLC) 및 원격 단말 장치(RTU) 등 거의 모든 플랫폼에서 구현된다. 안타깝게도, 어느 프로토콜도 보안을 염두에 두고 만들어지지 않았다. FTP의 경우 로그인 패스워드는 암호화되지 않으며, TFTP의 경우 로그인이 전혀 필요하지 않다. 더욱이, 일부 FTP 구현에서는 버퍼 오버플로우 취약점의 전력이 있다. 그 결과, 모든 TFTP 통신은 차단해야 하며, FTP 통신은 발신 세션에만 허용하거나, 추가적으로 토큰 기반 다원적 인증 및 암호화된 터널로 보안 기능이 있는 경우에만 허용해야 한다. 보안 FTP(SFTP) 또는 보안 복사(SCP)와 같이 가능한 더 많은 보안 프로토콜을 사용해야 한다.

5.8.4 텔넷

텔넷 프로토콜은 클라이언트와 호스트 간의 상호작용적인 문자 기반의 통신 세션을 규정한다. 주로 자원이 제한된 시스템이나 보안의 필요가 제한된 시스템에 대한 원격 로그인 및 단순 제어 서비스를 위해 사용된다. 패스워드 등의 모든 텔넷 트래픽이 암호화되지 않기 때문에 심각한 보안 위험이 될 수 있으며, 장치에 대해 상당한 개별 원격 제어를 허용할 수 있다. 원격 관리에는 시큐어 셸(SSH) 프로토콜을 사용하는 것이 좋다[5.8.6].

기업에서 제어 네트워크로 향하는 착신 텔넷 세션은 토큰 기반의 다원적 인증 및 암호화된 터널의 보안 기능이 없는 한 금지해야 한다. 발신 텔넷 세션은 암호화된 터널(예: VPN)을 통한 특정 인가 장치에만 허용해야 한다.

5.8.5 동적 호스트 구성 프로토콜(DHCP)

DHCP는 IP 네트워크에서 인터페이스 및 서비스를 위한 IP 주소와 같은 네트워크 형상 매개 변수를 동적으로 분배하기 위해 사용된다. 기본 DHCP에는 서버 및 클라이언트를 인증하기 위한 메커니즘이 포함되지 않는다. 악성 DHCP 서버는 클라이언트에 잘못된 정보를 제공할 수 있다. 서버에


5-27

무단으로 접근하는 클라이언트는 사용 가능한 자원(예: IP 주소)을 고갈시킬 수 있다. 이것을 방지하려면 동적 주소 할당 대신에 산업제어시스템(ICS) 장치에 전형적인 구성인 고정 구성을 사용하는 것이 좋다. 동적 할당이 필요한 경우 악성 DHCP 서버, 주소 해석 프로토콜(ARP) 및 IP 스푸핑으로부터 지켜내기 위해 DHCP 스누핑을 활성화하는 것이 좋다. DHCP 서버는 구성 장비와 동일한 네트워크 세그먼트에 배치해야 한다(예: 라우터). DHCP 중계는 사용하지 않는 것이 좋다.

5.8.6 시큐어 셸(SSH)

SSH를 사용하면 장치에 원격으로 접근할 수 있다. SSH는 암호 기법에 기초한 보안 인증 및 인가를 제공한다. 제어 네트워크에 대한 원격 접근이 필요한 경우, 텔넷, rlogin, rsh, rcp 및 기타 불안정한 원격 접근 도구의 대안으로 SSH를 사용하는 것이 좋다.

5.8.7 단순 객체 접근 프로토콜(SOAP)

SOAP는 메시지를 교환하기 위한 XML 기반 형식 구문이다. SOAP 기반 서비스와 관련된 트래픽 흐름은 기업과 산업제어시스템(ICS) 네트워크 세그먼트 사이의 방화벽에서 통제되어야 한다. 이러한 서비스가 필요한 경우 심층 패킷 검사 및/또는 응용 프로그램 계층 방화벽을 사용하여 메시지의 내용을 제한해야 한다.

5.8.8 단순 우편 전송 프로토콜(SMTP)

SMTP는 인터넷의 기본 전자 메일 전송 프로토콜이다. 전자 메일 메시지에는 종종 악성코드가 포함되어 있기 때문에 제어 네트워크 장치에 착신 전자 메일을 허용하면 안 된다. 경고 메시지를 보내기 위해 제어 네트워크에서 업무 네트워크로 향하는 발신 SMTP 메일 메시지는 허용 가능하다.

5.8.9 단순 네트워크 관리 프로토콜(SNMP)

SNMP는 라우터, 프린터, 프로그래머블 로직 컨트롤러(PLC)와 같은 네트워크 장치와 중앙 관리 콘솔 사이의 네트워크 관리 서비스를 제공하는 데 사용된다. SNMP는 매우 유용한 네트워크 유지 서비스이지만, 보안이 매우 약하다. SNMP 버전 1과 2에서는 암호화되지 않은 패스워드를 사용하여 장치(예:


5-28

프로그래머블 로직 컨트롤러(PLC)와 같은 장치)를 판독하고 구성하며, 많은 경우에 패스워드는 잘 알려져 있고 변경할 수 없다. 버전 3은 훨씬 더 안전하지만 여전히 사용이 제한되어 있다. 제어 네트워크를 통하는 모든 SNMP V1 및 V2 명령은 별도의 보안 관리 네트워크를 통하지 않는 한 금지되어야 하는 반면, SNMP V3 명령은 V3 고유의 보안 기능을 사용하여 산업제어시스템(ICS)으로 전송될 수 있다.

5.8.10 분산 컴포넌트 객체 모델(DCOM)

DCOM은 공정제어(OPC)용 객체연결삽입(OLE)의 기초를 이루는 프로토콜이다. DCOM에는 패치되지 않은 경우 많은 취약점이 있는Microsoft의 원격 프로시저 호출(RPC) 서비스가 사용된다. 이러한 취약점은 블래스터 웜14 공격의 기반이 되었다. 추가로, DCOM이 사용되는 공정제어(OPC)용 객체연결삽입(OLE)은 방화벽에서 필터링하기가 매우 어려운 광범위한 포트(1024~65535)를 동적으로 개방한다. 이 프로토콜은 제어 네트워크와 경계네트워크구간(DMZ) 네트워크 사이에서만 허용되어야 하며, 경계네트워크구간(DMZ)과 업무 네트워크 사이에서는 분명하게 차단되어야 한다. 또한, 사용자는 DCOM을 사용하는 장치에서 레지스트리 수정에 의해서 사용되는 포트 범위를 제한하는 것이 좋다.

5.8.11 감시 제어 및 데이터 수집(SCADA) 및 산업용 프로토콜

Modbus/TCP, 이더넷/IP, IEC 61850, ICCP 및 DNP315 등의 산업용 프로토콜과 감시 제어 및 데이터 수집(SCADA)은 대부분의 제어 장치의 통신에 매우 중요하다. 안타깝게도, 이러한 많은 프로토콜은 내장 보안 기능 없이 설계되었으며, 일반적으로 제어 장치에 대한 명령을 원격으로 실행하기 위한 어떠한 인증도 필요로 하지 않는다. 이러한 프로토콜은 제어 네트워크 내에서만 허용되어야 하며, 업무 네트워크로 넘어가는 데 허용될 수 없다.

5.9 네트워크 주소 변환(NAT)

네트워크 주소 변환(NAT)은 네트워크 장치의 한 쪽에 사용된 IP 주소가

14 http://en.wikipedia.org/wiki/Blaster_%28computer_worm%2915 IEEE 1815-2012, 전력 시스템 통신을 위한 IEEE 표준—분산 네트워크 프로토콜(DNP3)은 원격 보안

자격증명 관리와 강력한 응용 프로그램 계층 인증을 제공하는 DNP3 보안 인증 버전 5(DNP3-SAv5)를 통합한다. https://standards.ieee.org/findstds/standard/1815-2012.html을 참조한다.


5-29

필요에 따라 반대쪽의 다른 세트에 매핑될 수 있는 서비스이다. 원래는 많은 장치가 있는 조직에서 가끔 인터넷 접근이 필요한 경우 더 적은 수의 인터넷 주소를 할당받아서 운영해 나갈 수 있도록 IP 주소 절감 목적으로 설계되었다.

이를 위해서 대부분의 NAT 구현은 임의의 순간에 모든 내부 장치와 외부 호스트 사이의 통신이 활발한 것은 아니다는 것을 전제로 한다. 방화벽은 외견상 보이는 IP 주소가 제한되도록 구성되어 있다. 내부 호스트가 외부 호스트와 통신하려고 할 때 방화벽은 현재 사용되지 않는 더 제한적인 공용 IP 주소 중 하나에 내부 IP 주소 및 포트를 다시 매핑하고 발신 트래픽을 적은 수의 IP 주소로 효과적으로 집중한다. 방화벽은 각 연결의 상태 그리고 각 사설 내부 IP 주소와 근원지 포트가 외견상 보이는 IP 주소/포트 쌍으로 다시 매핑된 방식을 추적해야 한다. 반환되는 트래픽이 방화벽에 도달할 때 매핑은 반전되며 패킷은 제대로 된 내부 호스트로 포워딩된다.

예를 들어, 제어 네트워크 장치는 외부의 비 제어 네트워크 호스트(예: 중요한 경고 전자 메일을 보내기 위해)와의 연결을 설정해야 할 수 있다. NAT는 시작하는 제어 네트워크 호스트의 내부 IP 주소가 방화벽에 의해서 교체되는 것을 허용한다. 후속 반환 트래픽 패킷은 내부 IP 주소로 다시 매핑되고 적절한 제어 네트워크 장치로 전송된다. 좀 더 구체적으로는, 제어 네트워크에 사설 서브넷 192.168.1.xxx가 할당되고, 인터넷 네트워크에서 장치가 192.6.yyy.zzz 범위의 기업 할당 주소를 사용하는 것으로 예상되는 경우, NAT 방화벽은 192.6.yyy.zzz 근원지 주소를 제어 네트워크 장치에 의해서 생성되는 모든 발신 IP 패킷으로 대체하고 추적한다.

특히 EtherNet/IP 및 Foundation Fieldbus와 같은 생산자-소비자 프로토콜은 이러한 프로토콜이 모든 자체 서비스를 제공해야 하는 멀티캐스트 기반 트래픽이 NAT에서 지원되지 않기 때문에 곤란하다.

일반적으로, NAT에는 일부 뚜렷한 장점이 있지만, 배치하기 전에 실제 산업용 프로토콜 및 형상에 대한 영향을 신중하게 평가해야 한다. 더욱이, 직접 주소 지정의 결여로 인해 특정 프로토콜은 NAT에 의해서 파괴된다. 예를 들어, 공정제어(OPC)용 객체연결삽입(OLE)에는 NAT와 작업하기 위해서 타사의 특별 터널링 소프트웨어가 필요하다.

5.10 특정 산업제어시스템(ICS) 방화벽 문제


5-30

이미 설명한 방화벽 및 산업제어시스템(ICS)의 문제와 더불어, 상세하게 검토해야 할 일부 추가적인 문제가 있다. 이 절의 나머지 부분에서는 사안의 세 가지 특정 영역(데이터 이력 관리 장치(Data Historians)의 배치, 산업제어시스템(ICS) 지원을 위한 원격 접근, 멀티캐스트 트래픽)을 설명한다.

5.10.1 데이터 이력 관리 장치(Data Historians)

데이터 이력 관리 장치(Data Historians) 및 자산 관리 서버와 같은 공유 제어 네트워크/업무 네트워크 서버의 존재는 방화벽 설계 및 구성에 상당한 영향을 줄 수 있다. 3구역 시스템에서 이러한 서버를 경계네트워크구간(DMZ)에 배치하는 것은 비교적 간단하지만, 2구역 설계에서는 문제가 복잡해진다. 이력 관리 장치(Historians)를 방화벽의 기업 측에 배치하는 것이 의미하는 것은 Modbus/TCP 또는 DCOM과 같은 다수의 불안정한 프로토콜을 방화벽에서 허용해야 하고 이력 관리 장치(Historians)와 통신하는 모든 컨트롤러가 네트워크의 기업 측에 노출된다는 것이다. 반면에, 이력 관리 장치(Historians)를 제어 네트워크 측에 배치하는 것이 의미하는 것은 HTTP 또는 SQL과 같이 기타 똑같이 미심쩍은 프로토콜을 방화벽에서 허용해야 하고 제어 네트워크 내에 있는 조직의 거의 모든 사람이 접근할 수 있는 서버가 있다는 것이다.

일반적으로, 최상의 솔루션은 2구역 시스템(경계네트워크구간(DMZ) 제외)을 피하고 3구역 설계를 사용하여 데이터 수집기를 제어 네트워크에 배치하고 이력 관리 장치(Historians) 구성요소를 경계네트워크구간(DMZ)에 배치하는 것이다.

5.10.2 원격 지원 접근

산업제어시스템(ICS) 방화벽 설계의 또 다른 문제는 제어 네트워크에 대한 사용자 및/또는 공급자의 원격 접근이다. 원격 네트워크에서 제어 네트워크에 접근하는 모든 사용자에게는 토큰 기반 인증과 같은 충분히 강력한 메커니즘을 사용하는 인증이 필수적이다. 제어 그룹이 경계네트워크구간(DMZ)에서 다원적 인증으로 자체적인 원격 접근 시스템을 설정하는 것이 가능하지만 대부분의 조직에서는 정보기술(IT) 부서가 기존 시스템 설정을 사용하는 것이 일반적으로 더 효율적이다. 이 경우 정보기술(IT) 원격 접근 서버에서 방화벽을 통한 연결이 필요하다.


5-31

인터넷 또는 전화식 모뎀을 통해 연결하는 원격 지원 인원은 기업 VPN 연결 클라이언트, 응용 프로그램 서버 또는 보안 HTTP 접근을 실행하는 등의 암호화된 프로토콜을 사용해야 하며, 일반 업무 네트워크에 연결하기 위해서는 토큰 기반의 다원적 인증 체계와 같은 강력한 메커니즘을 사용하여 인증해야 한다. 일단 연결되면 제어 네트워크에 대한 접근 권한을 얻기 위해 토큰 기반의 다원적 인증 체계와 같은 강력한 메커니즘을 사용하여 제어 네트워크 방화벽에서 두 번째의 인증이 필수적이다. 또한 프록시 서버는 원격 지원 접근의 보안을 위한 추가 기능을 제공할 수 있다.

5.10.3 멀티캐스트 트래픽

EtherNet/IP 및 Foundation Fieldbus HSE와 같은 이더넷을 통해서 작동되는 대부분의 산업용 생산자-소비자(또는 게시자-가입자) 프로토콜은 IP 멀티캐스트 기반이다. IP 멀티캐스팅의 첫 번째 장점은 네트워크 효율이다. 다수의 목적지에 데이터 전송을 반복하지 않음으로써 네트워크 부하가 상당히 감소할 수 있다. 두 번째 장점은 전송 호스트에서는 방송 정보를 수신하는 모든 목적지 호스트의 모든 IP 주소를 알 필요가 없는 것이다. 산업용 제어 목적에서 아마도 가장 중요한 세 번째 장점은 단일 멀티캐스트 메시지는 여러 유니캐스트 메시지 보다 여러 제어 장치들 사이에서 훨씬 더 나은 시간 동기화 기능을 제공한다는 것이다.

멀티캐스트 패킷의 근원지 및 목적지가 그들 사이의 중개 라우터 또는 방화벽과 연결되지 않은 경우, 멀티캐스트 전송은 비교적 원활하다. 하지만, 근원지 및 목적지가 동일한 LAN에 있지 않은 경우, 멀티캐스트 메시지를 목적지에 포워딩하는 것은 더 복잡해진다. 멀티캐스트 메시지 경로 지정 문제를 해결하려면 호스트는 인터넷 그룹 관리 프로토콜(IGMP)의 사용을 통해서 관련 그룹 ID의 소속 네트워크에 있는 멀티캐스트 라우터에 통지하여 그룹에 가입(또는 탈퇴)해야 한다. 이어서 멀티캐스트 라우터는 소속 네트워크에 있는 멀티캐스트 그룹의 구성원을 인식하고 수신된 멀티캐스트 메시지를 소속 네트워크로 포워딩할지 여부를 결정할 수 있다. 또한 멀티캐스트 경로 지정 프로토콜도 필요하다. 방화벽 관리의 관점에서, 인터넷 그룹 관리 프로토콜(IGMP) 트래픽을 모니터링하고 필터링하는 것은 방화벽의 복잡성을 추가하는 또 다른 일련의 관리 룰셋이 된다.

멀티캐스팅에 관련된 또 다른 방화벽 문제는 네트워크 주소 변환(NAT)의


5-32

사용이다. 외부 호스트에서 멀티캐스트 패킷을 수신하는 네트워크 주소 변환(NAT)을 수행하는 방화벽에는 내부 그룹 ID가 데이터를 수신해야 하는 역 매핑이 없다. 인터넷 그룹 관리 프로토콜(IGMP)을 인식하는 경우 여러 개 중의 하나는 정확하기 때문에 알려진 모든 그룹 ID에 방송할 수 있지만, 이것은 의도하지 않은 제어 패킷이 중요한 노드에 방송되는 경우 심각한 문제를 초래할 수 있다. 방화벽에서 취할 수 있는 가장 안전한 조치는 패킷을 분기하는 것이다. 따라서 멀티캐스팅은 일반적으로 네트워크 주소 변환(NAT)에 비친화적으로 간주된다.

5.11 단방향 게이트웨이

하드웨어 강제 단방향 게이트웨이(예: 데이터 다이오드)는 산업제어시스템(ICS)과 정보기술(IT) 네트워크 사이의 경계 뿐 아니라 안전 계측 시스템 네트워크와 제어 네트워크 사이의 배치가 점점 늘어나고 있다. 단방향 게이트웨이는 하드웨어와 소프트웨어의 조합이다. 하드웨어는 하나의 네트워크에서 또 다른 네트워크로의 데이터의 흐름을 가능하게 하지만, 어떠한 정보도 물리적으로 근원지 네트워크로 다시 보낼 수 없다. 소프트웨어는 데이터베이스를 복제하고 프로토콜 서버 및 장치를 모방한다.

5.12 단일 장애 지점

단일 장애 지점은 모든 수준의 ANSI/ISO 스택에 존재한다. 한 예로, 안전 연동장치의 프로그래머블 로직 컨트롤러(PLC) 제어가 있다. 일반적으로 보안은 산업제어시스템(ICS) 환경에 추가되기 때문에 잠재적인 결함 지점을 식별하기 위해 평가를 수행해야 하고, 각 지점의 노출을 평가하기 위해 위험 평가를 수행해야 한다. 그런 다음 교정 방법을 가정하고 평가할 수 있으며, “위험 대 보상” 결정을 내리고 설계 및 구현을 수행해야 한다.

5.13 중복 및 내결함성

조직에 중요한 것으로 분류되는 산업제어시스템(ICS) 구성요소 또는 네트워크에는 고가용성 요구사항이 있다. 고가용성을 달성하는 한 가지 방법은 중복 사용을 통한 것이다. 그리고 구성요소에 결함이 발생하는 경우, 산업제어시스템(ICS)에 필요하지 않은 트래픽을 생성하지 않고, 딴 곳에서 연쇄 이벤트와 같은 또 다른 문제를 초래하지 않아야 한다.


5-33

제어시스템에는 산업제어시스템(ICS)과의 통신두절 또는 산업제어시스템(ICS) 자체의 손실에 따른 적절한 고장 안전 공정을 실행할 수 있는 기능이 있어야 한다. 조직은 "통신두절"의 의미를 정의(예: 통신 없이 500 밀리초, 5초, 5분 등)해야 한다. 그런 다음 조직은 잠재적 결과에 기초하여 해당 업계를 위한 적절한 고장 안전 공정을 정의해야 한다.

최신 로컬 백업을 즉시 사용할 수 있고 대규모 보안 사고에서 복구할 수 있는 보안 백업을 사용할 수 있는 시간 순차적인 여러 백업들의 계층(예: 지방, 시설, 재난)들과 함께 백업은 “심층 백업” 접근방식을 사용하여 수행해야 한다. 백업이 엄격하게 생성되고, 안전하게 저장되며, 복원을 위해 적절하게 접근할 수 있도록 백업/복원 접근방식 및 저장 방법의 조합을 사용해야 한다.

5.14 중간자 공격 방지

중간자 공격에는 조작되는 프로토콜의 지식이 필요하다. 주소 해석 프로토콜(ARP) 중간자 공격은 표적 시스템에서 정보의 네트워크 흐름에 접근하려는 공격자에게 일반적인 방법이다. 이 공격은 워크스테이션 컴퓨터 및 컨트롤러의 네트워크 ARP 캐시 테이블을 공격함으로써 수행된다. 제어 네트워크의 훼손된 컴퓨터를 사용하는 공격자는 각 호스트의 ARP 테이블을 중독시키고 ARP 테이블의 모든 트래픽을 특정 IP 및 하드웨어 주소(즉, 공격자의 컴퓨터)를 경유하도록 지령한다. 공격자는 ARP 테이블을 조작함으로써 2개의 표적 컴퓨터 및/또는 장치 사이에 자신의 컴퓨터를 끼워 넣을 수 있다.

ARP 중간자 공격은 쓸데없는 ARP 명령을 시작하여 각 호스트(즉, ARP 중독)를 혼동시키는 방식으로 작동한다. 이러한 ARP 명령은 2개의 표적 호스트 중의 하나가 공격자의 MAC 주소를 다른 하나의 표적 호스트의 주소로 사용하게 한다. 중간자 공격이 성공적으로 수행되는 경우, 공격의 양쪽에 있는 호스트들은 네트워크 데이터가 공격자의 컴퓨터를 통해 다른 경로를 취하고 있는 것을 알지 못한다.

공격자가 자신의 컴퓨터를 정보 스트림에 성공적으로 끼워 넣은 후, 완전히 데이터 통신을 제어할 수 있고 여러 유형의 공격을 수행할 수 있다. 한 가지 가능한 공격 방법은 재생 공격이다. 가장 간단한 형태로서 제어 장치/휴먼 머신 인터페이스(HMI)에서 수집된 데이터는 장치 컨트롤러에 의해 수신될 때


5-34

행동을 실체화하기 위해 수정된다. 산업제어시스템(ICS)에서 정상 작동을 반영하는 수집된 데이터는 필요에 따라 운영자에게 재생될 수 있다. 이로 인해 운영자의 휴먼 머신 인터페이스(HMI)는 정상적으로 나타나며 공격은 관찰되지 않는다. 이 재생 공격 중에 공격자는 운영자가 시스템의 실제 상태를 인식하지 못하는 동안 컨트롤러 및/또는 현장 장치에 원하지 않는 사건을 초래하는 명령을 계속 보낼 수 있다.

중간자 공격으로 수행될 수 있는 또 다른 공격은 운영자에게 허위 음성 또는 허위 양성의 형태를 취할 수 있는 허위 메시지를 보내는 것이다. 이로써 조치가 필요 없는 경우임에도 불구하고 운영자가 행동하도록 하거나(예: 차단기를 내림), 조치가 필요한 경우임에도 불구하고 운영자가 모든 것이 양호하다고 판단하여 행동을 하지 않게 하는 결과를 초래할 수 있다. 공격자는 운영자의 콘솔에 시스템의 변화를 알리는 명령을 보낼 수 있으며 운영자가 정규 절차를 따르고 문제를 바로 잡으려고 시도하는 경우, 운영자의 조치로 인해 원하지 않는 사건을 초래할 수 있다. 시스템 작동에 영향을 줄 수 있는 제어 데이터의 재생 및 수정에 관한 여러 변형이 있다.

프로토콜 조작 및 중간자 공격은 제어시스템에 있는 것과 같은 불안정한 프로토콜을 조작하는 가장 일반적인 방법이다. 하지만, MAC 주소 잠금, 정적 테이블, 암호화, 인증 및 모니터링을 통해서 보안 시스템에 적용할 수 있는 완화 기법이 있다[38].

n MAC 주소 잠금 - ARP 중간자 공격에는 공격자가 로컬 네트워크에 연결되어 있거나, 네트워크의 로컬 컴퓨터를 제어할 수 있어야 한다. MAC 주소 잠금으로도 알려진 포트 보안 기능은 네트워크 스위치의 각 포트 단부의 물리적 연결에 보안을 적용하는 한 가지 방법이다. 고급 업무 네트워크 스위치에는 일반적으로 MAC 주소 잠금을 위한 일종의 옵션이 있다. MAC 주소 잠금 기능은 물리적으로 내부 네트워크에 연결하려고 하는 악의적인 개인에 대해 매우 효과적이다. 포트 보안 기능이 없는 경우, 벽에 있는 모든 열려 있는 네트워크 잭은 업무 네트워크에 이르는 통로로 사용될 수 있다.

포트 보안 기능은 관리 스위치에 있는 특정 포트의 특정 MAC 주소를 잠그는 기능이다. 해당 MAC 주소가 일치하지 않는 경우 통신 링크는 불능화되며 침입자는 목적을 달성할 수 없게 된다. 일부 고급 스위치에는


5-35

원래의 MAC이 포트로 반환되는 경우 보안 조치가 재설정되는 자동 재설정 옵션이 있다.

포트 보안 기능으로 공격자를 막을 수는 없더라도 물리적 네트워크에 추가 보안 계층을 추가한다. 또한 보호 네트워크에 패치가 되지 않은 구형 시스템을 연결하려는 직원으로부터 로컬 네트워크를 보호한다. 이것은 원격 공격자가 접근할 수 있는 표적 컴퓨터의 수를 줄인다. 이러한 보안 조치는 외부 네트워크의 공격으로부터 보호할 뿐만 아니나 물리적인 추가 보호도 제공한다.

n 정적 테이블 – 비교적 정적인 산업제어시스템(ICS) 네트워크에는 정적으로 코딩된 ARP 테이블의 구현을 시도할 수 있다. 대부분의 운영 체제에는 정적으로 모든 MAC 주소를 각 컴퓨터의 ARP 테이블로 코딩할 수 있는 기능이 있다. 각 컴퓨터의 ARP 테이블을 정적으로 코딩하면 공격자가 피해자의 컴퓨터로 ARP 응답 패킷을 전송하여 ARP 테이블을 변경하는 것을 방지할 수 있다. 이 기법은 대형 및/또는 동적 업무 네트워크에는 실현 가능하지 않지만, 이 방법으로 산업제어시스템(ICS) 네트워크에서 제한된 수의 호스트를 효과적으로 보호할 수 있다.

n 암호화 - 프로토콜에 대한 역공학과 제어시스템 네트워크의 패킷을 위조하는 것을 매우 어렵게 만들기 위해 장기적인 솔루션으로서 장치들 간에 암호화를 포함하도록 시스템을 설계해야 한다. 장치들 간의 통신을 암호화하는 경우 이러한 공격의 수행을 거의 불가능하게 만든다. 강력한 인증을 제공하는 프로토콜은 중간자 공격에 대한 회복성도 제공한다. 네트워크 및 작동 성능에 대한 암호화의 영향을 고려할 필요가 있다.

n 인증 - 강력한 인증의 프로토콜은 중간자 공격에 대한 회복성을 제공한다.

n 모니터링 - ARP 중독에 대한 모니터링은 추가된 방어 계층을 제공한다. ARP 패킷을 통한 MAC 주소 변경을 모니터링할 수 있는 몇 가지 프로그램이 있다(예: ARPwatch).

5.15 인증 및 인가

산업제어시스템(ICS)에는 다양한 사용자가 접근하는 다수의 시스템이 있을 수 있다. 산업제어시스템(ICS)에서 이러한 사용자에 대해 인증 및 인가를 수행하는 것은 어려운 문제일 수 있다. 이러한 사용자의 계정을 관리하는 것은


5-36

직원들의 계정이 추가 및 제거되며 역할이 변경됨에 따라 까다로울 수 있다. 시스템 및 사용자의 수가 증가함에 따라 이러한 계정을 관리하는 절차는 더욱 복잡해진다.

사용자 또는 시스템의 인증은 제시된 정체를 확인하는 절차이다. 사용자 접근 권한을 부여하는 절차인 인가는 정책 규칙을 인증된 정체 및 기타 관련 정보에 적용함으로써 결정된다16. 인가는 일부 접근통제 메커니즘에 의해서 시행된다. 인증 절차는 시스템(예: 휴먼 머신 인터페이스(HMI), 현장 장치, 감시 제어 및 데이터 수집(SCADA) 서버)과 네트워크(예: 원격 변전소 LAN) 모두에 대한 접근을 통제하기 위해 사용될 수 있다.

인증 및 인가는 분산되거나 중앙 집중식 접근방식으로 수행될 수 있다. 분산된 인증 및 인가에서 모든 시스템은 이러한 단계를 자체적으로 수행한다. 각 시스템은 일련의 자체 사용자 계정, 자격증명 및 역할을 저장하고 사용자의 식별 및 인증을 수행하는 역할을 한다. 이 접근방식에는 전형적으로 어떠한 추가 기반도 필요하지 않다. 하지만, 이 접근방식에는 시스템의 크기에 맞게 확장/축소되지 않는 문제가 있다. 예를 들어, 사용자가 조직을 떠나는 경우, 해당 사용자 계정은 각 시스템에서 개별적으로 제거되어야 한다.

분산 접근방식과는 대조적으로, 중앙 집중식 인증 및 인가 시스템은 일반적으로 다수의 사용자 및 계정의 관리에 사용된다. 중앙 집중식 접근방식에서는 일부 중앙 인증 시스템(예: Microsoft Active Directory, 경량형 디렉토리 접근 프로토콜(LDAP)을 사용하여 모든 계정을 저장하고, 모든 개인 및 시스템의 인증 및 인가를 관리한다. 그런 다음 인증 서버 및 인증을 수행하는 시스템 간의 데이터 통신을 위해 인증 프로토콜(예: Kerberos, RADIUS, TACACS+)을 사용한다.

중앙 집중식 접근방식이 상당히 개선된 확장성을 제공하는 반면, 산업제어시스템(ICS) 환경에서 사용 시 영향을 줄 수 있는 다수의 추가 사안도 제기한다. 다음과 같은 고려 사항이 적용된다.

16 일반적으로, 일련의 작동을 수행하기 위한 인가는 주제, 객체, 요청된 작동 및 경우에 따라서는

일련의 특정 속성에 대해 허용 가능한 작동을 설명하는 정책, 규칙 또는 관계에 대한 환경 조건과 관련된 속성을 평가하여 결정된다. 자세한 내용은 http://nvlpubs.nist.gov/nistpubs/specialpublications/NIST.SP.800-162.pdf.http://nvlpubs.nist.gov/nistpubs/specialpublications/NIST.sp.800-162.pdf에서 미국국립표준기술연구소(NIST) SP 800-162,속성 기반 접근통제(ABAC) 정의 및 고려 사항(Guide to Attribute Based Access Control (ABAC)Definition and Considerations)에 대한 가이드를 참조한다.


5-37

n 인증 서버들은 모든 시스템 계정을 관리하고 고도의 보안이 적용되어야 하는 단일 시스템을 조성한다.

n 인증 서버 시스템에는 결함이 발생하는 경우 비상시에 사용자가 시스템에 인증하는 것을 막으면 안 되기 때문에 고가용성이 요구된다. 중복이 필요할 수 있다.

n 서버의 부재 시 사용자가 여전히 인증될 수 있도록 일부 클라이언트 사용자는 자격증명을 로컬로 캐싱할 수 있다. 캐싱은 최근에 인증된 사용자만 사용할 수 있다. 또한 캐싱은 폐지를 복잡하게 만든다.

n 인증 프로토콜을 지원하기 위해 사용되는 네트워크는 신뢰성이 있고 안전하며 인증 시도가 방해 받지 않는 것을 보장해야 한다.

5.15.1 산업제어시스템(ICS) 구현 고려 사항

중앙 집중식 인증 및 인가 서버는 정보기술(IT) 환경에서 일반적으로 사용되지만, 산업제어시스템(ICS)에 통합하기에는 많은 문제점이 있다. 인증 서버 및 프로토콜이 많은 상용 정보기술(IT) 제품(예: Microsoft Windows, Linux, Oracle)과 통합되지만, 보통 산업제어시스템(ICS)에서는 자체의 응용 프로그램별 계정과 타사 서버 및 프로토콜과 상호작용하도록 설계되지 않은 인증 메커니즘이 사용될 수 있다. 이것은 산업제어시스템(ICS) 환경에서 이러한 메커니즘의 채택을 제한한다. 구형 네트워크 장치 및 대부분의 현장 장치는 중앙 집중식 인증 시스템과 통합되는 어떠한 메커니즘도 지원하지 않는다.

5.16 모니터링, 기록 및 감사

또한 산업제어시스템(ICS)의 보안 구조는 다양한 시스템 및 네트워크에 발생하는 활동을 모니터링, 기록, 감사하는 메커니즘을 통합해야 한다. 모니터링, 기록, 감사 활동은 산업제어시스템(ICS)의 현재 상태를 파악하고, 시스템이 계획대로 작동되고 있고 어떠한 정책 위반 또는 사이버 사고도 시스템의 작동을 방해하지 않는 것을 검증하는 데 필수적이다. 네트워크 보안 모니터링은 산업제어시스템(ICS)의 정상 상태를 특징짓는데 유용하며, 서명 기반 기술에 결함이 발생하는 경우 훼손된 시스템의 징후를 제공할 수 있다. 게다가, 강력한 시스템 모니터링, 기록, 감사는 시스템의 모든 필수 포렌식스 분석을 수행하고 문제를 해결하는 데 필요하다17.


5-38

5.17 사고 탐지, 대응 및 시스템 복구

사고는 피할 수 없고 사고 탐지, 대응 및 시스템 복구 계획은 필수적이다. 우수한 보안 프로그램의 주요 특성은 사고가 발생한 후에 얼마나 빠르게 사고를 감지할 수 있는가와 사고가 감지된 후에 얼마나 빠르게 시스템을 복구할 수 있는가이다. 산업제어시스템(ICS)의 사고 대응은 재난 복구 특히, 산업제어시스템(ICS)의 엄격한 가동시간 요구사항의 해결과 밀접한 관련이 있다. 평범한 정보기술(IT) 시스템의 복구 방법은 산업제어시스템(ICS)에 적용되지 않으므로 사고 대응자는 산업제어시스템(ICS)별 시나리오에 대한 훈련을 해야 한다.

17 자세한 내용은 미국국립표준기술연구소(NIST) SP 800-94, 침입 탐지 및 방지 시스템(IDPS)가이드[55]를 참조한다.


6-1

6. 산업제어시스템(ICS)에 대한 보안 통제 적용

단일 보안 제품 또는 기술은 산업제어시스템(ICS)을 적절하게 보호할 수 없다. 산업제어시스템(ICS)에 보안을 적용하는 것은 효과적인 보안 정책 및 제대로 구성된 일련의 보안 통제 수단의 조합에 기초한다. 산업제어시스템(ICS)에 적용하기 위한 보안 통제 수단의 선택 및 구현에는 운영에 예상되는 영향이 있기 때문에 다음 사항을 고려하는 것이 중요하다.

n 조직의 임무 및 비즈니스 기능을 지원하는 허용 가능한 수준으로 위험을 적절하게 완화하기 위해 필요한 보안 통제 수단은 무엇인가?

n 선택한 보안 통제 수단을 구현했는가? 또는 실제 구현 계획이 준비되어 있는가?

n 선택한 보안 통제 수단이 의도된 바와 같이 작동하고 원하는 결과를 내면서 제대로 구현되는 것을 보증하는 요구 수준은 무엇인가?

제3절에서 확인된 바와 같이, 산업제어시스템(ICS)에 대한 위험을 파악, (필요에 따라) 완화 및 연속적으로 모니터링하기 위한 사이버보안 전략과 효과적인 조직 차원의 위험 관리 절차의 맥락에서 질문에 답변해야 한다. 산업제어시스템(ICS)을 위한 효과적인 사이버보안 전략은 어느 한 메커니즘의 결함의 영향이 최소화되도록 심층 방어(즉, 층화 보안 메커니즘의 기법)를 적용해야 한다. 이러한 전략의 사용은 보안 통제 설명 및 따라오는 산업제어시스템(ICS)에 대한 응용 프로그램을 통해서 설명된다.

6.1 산업제어시스템(ICS)에 대한 위험 관리 프레임워크 작업 실행

다음에서는 산업제어시스템(ICS)에 위험 관리 프레임워크(RMF)를 적용하는 절차를 설명한다. 절차는 각 활동의 간략한 설명을 포함하며 미국국립표준기술연구소(NIST) 지원 문서를 확인한다. 순차적으로 표시된 다음 단계는 수립된 관리 및 시스템 개발 수명주기 절차와 일치하는 다른 순서로 구현될 수 있다[21].


6-2

필요한 경우 반복

구조 설명

구조 참조 모델, 세그먼트 및 솔루션 구조, 임무 및 비즈니스

프로세스, 정보시스템 경계

조직 입력

법률, 명령, 정책 가이드 전략적 목표 및 목표 우선순위 및 자원

가용성 공급 사슬 고려 사항

절차 개요

시작점

위험 관리 프레임워크

제1단계

분류(정보시스템) 제2단계

선택(보안 통제 수단)

제6단계

모니터링(보안 통제 수단)

제3단계

구현(보안 통제 수단)

제5단계

인가(정보시스템) 제4단계

접근(보안 통제 수단)

그림 6-1. 위험 관리 프레임워크 작업

6.1.1 제1단계: 정보시스템 분류

위험 관리 프레임워크(RMF)에서의 첫 번째 활동은 손실의 잠재적인 영향에 따라 정보 및 정보시스템을 분류하는 것이다. 고려중인 각 정보 유형 및 정보시스템에 대해 연방 정보보안 현대화법(FISMA)에 정의된 3가지의 보안 목표(비밀성, 무결성 및 가용성)는 보안의 위반이 있는 경우 잠재적인 영향의 3개의 수준 중 한 개와 연관된다. 산업제어시스템(ICS)에서 일반적으로 가용성이 가장 큰 사안인 것을 명심하는 것이 중요하다.

이 범주화 절차에 대한 표준 및 가이드는 FIPS 199 [15] 및 미국국립표준기술연구소(NIST) SP 800-60 [25]에서 각각 찾을 수 있다. 미국국립표준기술연구소(NIST)는 산업제어시스템(ICS)의 범주화에 대한 추가 가이드를 제공하기 위해 미국국립표준기술연구소(NIST) SP 800-60을 업데이트 하는 과정에 있다.

산업제어시스템(ICS) 사례는 FIPS 199 [15]에서 발췌되었다:


6-3


발전소에는 대규모 군사 시설에 대한 전력의 배급을 제어하는 감시 제어 및 데이터 수집(SCADA) 시스템이 있다. 감시 제어 및 데이터 수집(SCADA) 시스템에는 실시간 센서 데이터 및 일상적인 행정 정보가 있다. 발전소의 경영진은 다음과 같이 결정한다. (i) 감시 제어 및 데이터 수집(SCADA) 시스템에 의해서 수집되는 센서 데이터에는, 비밀성의 손실로 인한 잠재적인 영향은 없으며, 무결성의 손실로 인한 높은 잠재적인 영향이 있으며, 가용성의 손실로 인한 높은 잠재적인 영향이 있으며, (ii) 시스템에 의해 처리되는 행정 정보에는, 비밀성의 손실로 인한 낮은 잠재적인 영향이 있으며, 무결성의 손실로 인한 낮은 잠재적인 영향이 있으며, 가용성의 손실로 인한 낮은 잠재적인 영향이 있다. 이러한 정보 유형의 결과 보안 범주(SC)는 다음과 같이 표현된다.

SC 센서 데이터 = {(비밀성, NA),(무결성, 높음),(가용성, 높음)}

및

SC 행정 정보 = {(비밀성, 낮음),(무결성, 낮음),(가용성, 낮음)}. 정보시스템의 결과 보안 범주는 처음에 다음과 같이 표현된다.

SC 감시 제어 및 데이터 수집(SCADA) 시스템 = {(비밀성, 낮음),(무결성, 높은),(가용성, 높음)},

이것은 감시 제어 및 데이터 수집(SCADA) 시스템에 있는 정보 유형으로부터 각 보안 목표에 대한 최고 수위선 또는 최대 잠재 영향 값을 나타낸다. 발전소의 경영진은 비밀성의 손실로 인한 잠재적인 영향을 낮음에서 보통으로 상승시키고, 시스템 수준 정보 또는 처리 기능의 무단 공개로 인한 보안 위반이 있는 경우 정보시스템의 잠재적인 영향에 대한 보다 현실적인 전망을 반영한다. 정보시스템의 최종 보안 범주는 다음과 같이 표현된다.

SC 감시 제어 및 데이터 수집(SCADA) 시스템 = {(비밀성, 보통),(무결성, 높음),(가용성, 높음)}.

FIPS 199에서는 정보시스템은 비밀성, 무결성, 가용성의 보안 목표에 대해 낮은 영향, 보통 영향, 높은 영향으로 분류되도록 지정한다. ISA99에 기초한 산업제어시스템(ICS)의 영향에 기초한 보안의 낮은, 보통, 높은 수준에 대한 가능한 정의는 표 6-1과 같다. 생산 제품, 업계 및 보안 문제에 기초한 산업제어시스템(ICS) 영향도의 가능한 정의는 표 6-2와 같다.


6-4

표 6-1. ISA99에 기반한 산업제어시스템(ICS) 영향도 정의

영향 범주 낮은 영향 보통 영향 높은 영향부상 응급 처치를 필요로

하는 베인 상처, 타박상

입원 필요 인명 또는 사지의 손실

재정 손실 $1,000 $100,000 수백만환경적 배출 일시적인 손상 지속적인 손상 영구적인 손상,

현장외 손상생산 중단 분 일 주대외적 이미지 일시적인 손상 지속적인 손상 영구적인 손상

표 6-2. 생산 제품, 업계 및 보안 문제에 기반한 산업제어시스템(ICS) 영향도의 가능한 정의

범주 낮은 영향 보통 영향 높은 영향생산 제품 ∙ 비 유해 물질

또는 제품∙ 비 섭취 소비자

제품

∙ 생산 중 일부 위험 제품 또는 단계

∙ 많은 독점 정보

∙ 주요기반(예:전기)∙ 유해 물질∙ 섭취 제품

업계 사례 ∙ 플라스틱 사출 성형

∙ 저장소 응용 프로그램

∙ 자동차 금속 산업 ∙ 펄프 및 제지∙ 반도체

∙ 시설∙ 석유화학∙ 식품 및 음료∙ 제약

보안 사안 ∙ 경미한 상해에 대한 보호

∙ 가동시간 보장

∙ 보통 상해에 대한 보호

∙ 가동시간 보장∙ 자본 투자

∙ 주요 상해/인명 손실에 대한 보호

∙ 가동시간 보장∙ 자본 투자∙ 업무상 비밀∙ 기본 사회복지

사업 보장∙ 규제 준수

6.1.2 제2단계: 보안 통제 수단 선택

이 기본 활동에는 일련의 요구사항에 기초하여 정보시스템을 보호하기 위해 선택되거나 준비된 최소한의 보안 통제 수단의 초기 선택이 포함된다. FIPS


6-5

200에는 연방 정보시스템의 비밀성, 무결성, 가용성의 보호에 관련된 18가지의 보안 관련 영역 및 그러한 시스템에 의해 처리, 저장, 전송되는 정보를 다루는 일련의 최소 보안 요구사항이 상세히 기록되어 있다[16]. 18가지의 보안 통제 단위에 대한 자세한 내용은 제6.2절에 나와 있다.

기준 통제 수단은 보안 통제 선택 절차의 시작점이며, 제1단계에서 정한 보안 범주와 정보시스템의 관련 영향도에 기초하여 선택된다.

정보시스템 및 조직을 위한 공동체 차원의 전문화된 일련의 보안 통제 수단을 개발하기 위한 필요성을 제기하기 위해, 오버레이(Overlay)의 개념이 소개된다. 오버레이(Overlay)는 미국국립표준기술연구소(NIST) SP 800-53에 설명된 보안 통제 기준선에 대한 맞춤형 가이드의 응용 프로그램에서 파생된 완전히 지정된 일련의 보안 통제 수단, 향상된 통제 수단 및 추가적인 가이드이다.

일반적으로, 오버레이(Overlay)는 일반적인 환경, 상황 및/또는 조건에 더욱 밀접하게 해당하는 일련의 통제 수단 및 향상된 통제 수단의 선택을 통해 조직에 의한 기준선의 즉석 맞춤화에 대한 필요성을 줄이기 위한 것이다. 하지만, 오버레이(Overlay)의 사용에서는 조직별 수요, 가정 또는 제약을 반영하기 위한 추가 맞춤화(즉, 오버레이(Overlay)도 맞춤화의 대상일 수 있다)를 수행하는 조직을 어떠한 방법으로도 배제하지 않는다. 오버레이(Overlay) 생성에 대한 자세한 내용은, SP 800-53 제3.3절 및 부록 I를 참조한다.

부록 G— 에는 낮은 영향, 보통 영향 및 높은 영향의 산업제어시스템(ICS)에 대한 맞춤형 기준선을 제공하는 적용 가능한 미국국립표준기술연구소(NIST) SP 800-53 통제 수단의 산업제어시스템(ICS)별 오버레이(Overlay)가 포함되어 있다. 이러한 맞춤형 기준선은 담당자에 의해 특정 산업제어시스템(ICS)에 적용될 수 있는 시작 사양 및 권장 사항으로서 이용될 수 있다. 이전의 절에서 설명한 바와 같이, 오버레이(Overlay)의 사용에서는 조직별 수요, 가정 또는 제약을 반영하기 위해 통제 수단 및 향상된 통제 수단(즉, 오버레이(Overlay)도 맞춤화의 대상일 수 있다)을 추가하거나 제거하여 추가 맞춤화를 수행하는 조직을 어떠한 방법으로도 배제하지 않는다.

게다가, 산업제어시스템(ICS) 소유자는 기준선에 포함된 특정 보안 통제


6-6

수단의 구현이 불가능하거나 실현할 수 없는 경우에 부록 G— 오버레이(Overlay)에 제시된 초기 기준선 맞춤화 기능을 이용할 수 있다. 하지만, 모든 맞춤화 활동은 1차 목표로서 가능한 원래 보안 통제의 의도에 부합하는 데 집중해야 한다. 예를 들어, 산업제어시스템(ICS)이 지원하지 못하거나, 조직에서 산업제어시스템(ICS)에 특정 보안 통제 수단 또는 향상된 통제 수단을 구현하지 않는 것이 좋다고 결정하는 상황에서(예: 성능, 안전 또는 신뢰성에 악영향), 조직은 선택한 보완 통제 수단이 어떻게 산업제어시스템(ICS)을 위한 동등한 보안 기능 또는 보호 수준을 제공하고, 왜 관련된 기준선 보안 통제 수단은 사용할 수 없는지에 대한 완전하고 설득력 있는 근거를 제공한다. 산업제어시스템(ICS)에서 자동화 메커니즘의 사용을 지원할 수 없는 경우, 조직에서는 미국국립표준기술연구소(NIST) SP 800-53의 제3.3절에 있는 일반 맞춤화 가이드에 따라 보완 통제 수단으로서 비 자동화 메커니즘 또는 절차를 사용한다. 보완 통제 수단은 기준 통제 수단에 대한 예외나 포기가 아니다. 오히려, 효과적으로 사용될 수 없는 원래 보안 통제 수단의 의도를 달성하는 산업제어시스템(ICS) 내에서 사용되는 대체 안전보장조치 및 대책이다. 보완 통제 수단의 사용에 대한 조직의 결정사항은 산업제어시스템(ICS)의 보안 계획에 문서로 기록된다.

6.1.3 제3단계: 보안 통제 수단 구현

이 활동은 신형 또는 구형 정보시스템에서 보안 통제 수단의 구현을 수반한다. 이 절에 설명된 보안 통제 수단 선택 절차는 2가지의 서로 다른 관점((i) 새로운 개발, (ii) 구형)에서 산업제어시스템(ICS)에 적용될 수 있다.

새로운 개발 시스템의 경우 시스템은 아직 존재하지 않고 조직은 초기 보안 범주화를 수행하고 있기 때문에 보안 통제 선택 절차는 요구사항 정의 관점에서 적용된다. 정보시스템의 보안 계획에 포함된 보안 통제 수단은 보안 사양의 역할을 하며 시스템 개발 수명주기의 개발 및 구현 단계 중에 시스템에 통합될 것이 예상된다.

반면에, 구형 정보시스템의 경우 보안 통제 선택 절차는 조직에서 시스템에 대한 상당한 변경(예: 주요 업그레이드, 수정 또는 외주)을 예상하고 있을 때 격차 분석 관점에서 적용된다. 정보시스템이 이미 존재하기 때문에 십중팔구 조직들은 보안 범주화 및 보안 통제 선택 절차를 완료했으며 결과적으로 각각의 보안 계획에서 이전에 합의한 보안 통제 수단의 수립 및 정보시스템


6-7

내에 그러한 통제 수단의 구현을 야기했다.

6.1.4 제4단계: 보안 통제 수단 접근

이 활동에서는 정보시스템의 어떤 보안 통제 수단이 응용 프로그램에서 효과적인지 그 범위를 결정한다. 미국국립표준기술연구소(NIST) SP 800-53A는 SP 800-53에서 처음 선택한 보안 통제 수단이 올바르게 구현되었으며, 예정대로 작동하고 시스템의 보안 요구사항 충족에 대하여 원하는 결과를 양산하는지 확인하기 위한 평가 가이드를 제공한다. 이를 위해, 미국국립표준기술연구소(NIST) SP 800-53A는 FIPS 199 영향도별 보안 평가의 기대 사항을 특성짓는 SP 800-53에 정의된 보증 요구사항에 기초한 기대 사항을 제공한다.

6.1.5 제5단계: 정보시스템 인가

이 활동은 합의된 일련의 보안 통제 수단의 구현에 기초하여 기관 운영, 기관 자산 또는 개인에 대한 위험을 명시적으로 동의하고 정보시스템의 운영을 인가하는 경영 결정을 야기한다.

6.1.6 제6단계: 보안 통제 수단 모니터링

이 활동에서는 보안 통제 수단에 영향을 줄 수 있는 정보시스템의 변경 사항을 연속적으로 추적하고 통제 효과성을 평가한다. 미국국립표준기술연구소(NIST) SP 800-137은 정보 보안 연속 모니터링에 대한 가이드를 제공한다[21].

6.2 산업제어시스템(ICS)에 대한 보안 통제 수단 적용 가이드

오늘날의 산업제어시스템(ICS)은 종종 20~30년의 계획된 수명주기와 함께 구형 시스템의 조합 또는 기타 시스템과 상호 연결된 신형 하드웨어 및 소프트웨어가 보강된 복합형 구형 시스템이기 때문에, 미국국립표준기술연구소(NIST) SP 800-53에 포함된 일부 보안 통제 수단을 적용하기가 종종 어렵거나 불가능하다. 미국국립표준기술연구소(NIST) SP 800-53의 부록 F에 있는 많은 통제 수단을 기록된 바와 같이 산업제어시스템(ICS)에 적용할 수 있지만, 여러 통제 수단에는 산업제어시스템(ICS)별 해석 및/또는 보강이 필요하다.


6-8

미국국립표준기술연구소(NIST) SP 800-53의 부록 I에서는 오버레이(Overlay)의 각 절에 대한 오버레이(Overlay) 일반원칙 및 추가 정보의 사례가 제공된다.

미국국립표준기술연구소(NIST) SP 800-53 통제 수단은 18개의 단위로 구성된다. 각 단위에는 해당 단위의 일반 보안 주제와 관련된 보안 통제 수단이 포함되어 있다. 보안 통제 수단은 정책, 감시, 감독, 수동 공정, 개인에 의한 조치 또는 시스템/장치에 의해 구현되는 자동화 메커니즘 정보의 측면을 수반할 수 있다. 다음 절에서 설명되는 18가지의 보안 관련 영역은 다음과 같다.

n 접근통제(AC): 정보시스템 환경 내의 영역에 대한 물리적 접근을 위한 정보와 관련 정보 처리 서비스를 얻고 사용하기 위한 특정 요청을 수락하거나 거부하기 위한 절차.

n 인식 및 훈련(AT): 모든 정보시스템 사용자에게 시스템 사용과 관련된 적절한 보안 훈련이 주어지고 정확한 훈련 기록이 유지되는 것을 보장하는 정책 및 절차.

n 감사 및 책임 추적성(AU): 시스템 통제 수단의 타당성을 평가하고 수립된 정책 및 작동 절차의 준수를 확인하며 통제 수단, 정책 또는 절차에 필요한 변경을 권장하기 위한 기록 및 활동에 대한 독립적인 검토 및 조사.

n 보안 평가 및 인가(CA): 지정된 통제 수단이 올바르게 구현되고, 예정대로 작동하며 원하는 결과를 양산함을 보증.

n 긴급 사태 대책(CP): 비상, 시스템 결함 또는 재난 시 대체 위치에서의 컴퓨터 작동 등의 경영 활동을 유지 또는 복원하도록 설계된 정책 및 절차.

n 형상 관리(CM): 정보시스템이 시스템 구현의 전후 및 도중에 부적절한 수정으로부터 보호되는지 보장하기 위해 하드웨어, 펌웨어, 소프트웨어 및 문서에 대한 수정을 통제하기 위한 정책 및 절차.

n 식별 및 인증(IA): 정보기술(IT) 시스템의 자원에 대한 접근 권한을 부여하기 위한 전제 조건으로서 특정 자격증명(예: 패스워드, 토큰, 생체인식)을 사용하여 사용자, 공정 또는 장치의 정체를 확인하는 절차.

n 사고 대응(IR): 사고 대응 훈련, 검증, 처리, 모니터링, 보고 및 지원 서비스에 관련된 정책 및 절차.


6-9

n 유지보수(MA): 정보시스템의 모든 유지보수 측면을 관리하기 위한 정책 및 절차.

n 매체 보호(MP): 매체의 보안 처리를 보장하기 위한 정책 및 절차. 통제 수단을 사용하여 접근, 내용 표시, 저장, 전송, 정리, 파손 및 처분을 다룰 수 있다.

n 물리적 및 환경적 보호(PE): 물리적 전송 및 접근통제 뿐 아니라 조절(예: 온도, 습도) 및 비상 규정(예: 폐쇄, 전력, 조명, 화재 예방)을 위한 환경적 통제 수단 표시를 다루는 정책 및 절차.

n 기획(PL): 평가 수행, 보안 통제 수단의 지정 및 구현, 보안 수준 배정 및 사고 대응으로 정보시스템 보안을 해결하기 위한 계획의 개발 및 유지보수.

n 인적 보안(PS): 인원 위치 범주화, 적격 심사, 이전, 처벌 및 만료에 대한 정책 및 절차. 또한 타사 인적 보안도 다룬다.

n 위험 평가(RA): 발생의 개연성, 결과적인 영향 및 이 영향을 완화할 추가적인 보안 통제 수단을 판단하여 운영, 자산 또는 개인에 대한 위험을 파악하는 절차.

n 시스템 및 서비스 수집(SA): 요구사항, 설계 기준, 시험 절차 및 관련된 문서 등의 위험 평가 결과에 기초하여 시스템 수명주기 및 수집 정책의 개발 기간 동안 유지될 정보시스템 보안을 위한 자원의 할당.

n 시스템 및 통신 보호(SC): 시스템 및 데이터 전송 구성요소 모두를 보호하기 위한 메커니즘.

n 시스템 및 정보 무결성(SI): 기능 확인, 데이터 무결성 검사, 침입 탐지, 악성 코드 감지, 보안 경고 및 권고 통제 수단을 사용하여 설계 결함 및 데이터 수정으로부터 정보시스템 및 그 데이터를 보호하기 위한 정책 및 절차.

n 프로그램 관리(PM): 정보시스템 수준이 아닌 조직 수준에서 보안 통제 수단을 제공.

게다가, 미국국립표준기술연구소(NIST) SP 800-53 Rev. 4의 부록 J에는 프라이버시 통제 수단의 카달로그가 포함되어 있다. 프라이버시 통제 수단은 개인식별정보(PII)18의 올바른 처리를 보호 및 보장하기 위해 조직 내에서 사용되는 행정적, 기술적, 물리적 안전보장조치이다. 8가지의 프라이버시 통제


6-10

단위는 조직의 프라이버시 관행에서 대중의 신뢰를 구축하고, 프라이버시 사고에서 유래하는 유형의 비용 및 무형의 손상을 조직이 피하는 데 도움이 되도록 설계된 공정 정보 규정 원칙(FIPPS)19과 각각 연계되어 있다.

제6.2.1절에서 제6.2.19절까지는 각각의 SP 800-53 제어 단위 및 프라이버시 통제 수단을 소개하고, 제어 단위에 대한 배경 정보 뿐 아니라 산업제어시스템(ICS) 소유자를 위한 모든 산업제어시스템(ICS) 가이드 및 구현 고려 사항을 제공한다. 산업제어시스템(ICS)별 권장 사항 및 가이드는 가능한 경우 각 절의 요약 상자에 제공되어 있다. 대부분의 산업제어시스템(ICS)별 가이드는 ISA-62443 [34] 및 미국 전력연구소(EPRI) 보고서: 감시 제어 및 데이터 수집(SCADA) 시스템 보안 가이드[62]에서 파생되었다.

6.2.1 접근통제

미국국립표준기술연구소(NIST) SP 800-53 접근통제(AC) 단위에 속하는 보안 통제 수단은 인가된 사용자, 프로그램, 절차 또는 기타 시스템에 의해서만 시스템 자원의 사용을 지정하기 위한 정책 및 절차를 제공한다. 이 단위에서는 계정의 설정, 활성화, 수정, 검토, 불능화 및 제거 등의 정보시스템 계정을 관리하기 위한 통제 수단을 지정한다. 통제 수단을 사용하여 직무의 분리, 최소 권한, 실패한 로그인 시도, 시스템 사용 알림, 이전 로그인 알림, 동시 세션 제어, 세션 잠금 및 세션 종료와 같은 접근 및 흐름 시행 문제를 다룰 수 있다. 또한 정보시스템에 접근하기 위한 휴대용 장치, 원격 장치 및 개인 소유 정보시스템의 사용 뿐 아니라 원격 접근 기능의 사용 및 무선 기술의 구현을 해결하기 위한 통제 수단이 있다. 접근은 특정 데이터 또는 장치 기능의 보기, 사용, 변경 등의 여러 가지 형태를 취할 수 있다.

18 예산관리국(OMB) 양해각서 07-16은 개인식별정보(PII)를 “단독으로 또는 특정 개인에 연결되어

있거나 연결될 수 있는 기타 개인 정보 또는 식별 정보(예: 생년월일 및 출생지, 어머니의 결혼하기 전의 성)와 결합되는 경우, 개인의 신원을 구별 또는 추적하는 데 사용될 수 있는 정보(예: 이름,사회 보장 번호, 생체인식 기록)”로 정의한다[86]. 예산관리국(OMB) 양해각서 10-22는 이 정의를 재확인하였다 [87]. 미국국립표준기술연구소(NIST) 특별 발행 800-122는 개인식별정보(PII)를 “기관에 의해서 유지되는 개인에 관한 모든 정보 즉, (i) 개인의 신원을 구별 또는 추적하는 데 사용될 수 있는 모든 정보(예: 이름, 사회 보장 번호, 생년월일 및 출생지, 어머니의 결혼하기 전의 성 또는 생체인식 기록) 및(ii) 개인에 연결되어 있거나 연결될 수 있는 모든 기타 정보(예: 의료,교육, 재정 및 고용 정보)”로 정의한다[88].

19 공정 정보 규정 원칙(FIPPS)은 프라이버시에 대한 일반 프레임워크로서 미국 및 전 세계에서 광범위하게 인정받고 있으며, 기타 연방 및 국제 법률과 정책에 반영되어 있다. 다수의 조직에서 공정 정보 규정 원칙(FIPPS)은 프라이버시 위험을 분석하고 적절한 완화 전략을 결정하는 기준의 역할을 한다. 연방 기업 구조 보안 및 프라이버시 프로파일(FEA-SPP) 또한 프라이버시 통제 수단의 개발에 관한 정보 및 자료를 제공했다[89].


6-11

접근통제(AC) 통제 수단에 대한 추가적인 가이드는 다음의 문서에서 찾을 수 있다.

n 미국국립표준기술연구소(NIST) SP 800-63은 원격 전자 인증에 대한 가이드를 제공한다[53].

n 미국국립표준기술연구소(NIST) SP 800-48은 IEEE 802.11b 및 Bluetooth 표준 0에 특별히 중점을 둔 무선 네트워크 보안에 대한 가이드를 제공한다.

n 미국국립표준기술연구소(NIST) SP 800-97은 IEEE 802.11i 무선 네트워크 보안에 대한 가이드를 제공한다[64].

n FIPS 201은 연방 직원 및 계약자의 개인 신원확인에 대한 요구사항을 제공한다[65].

n 미국국립표준기술연구소(NIST) SP 800-96은 PIV 카드와 판독기의 상호운용성에 대한 가이드를 제공한다[66].

n 미국국립표준기술연구소(NIST) SP 800-73은 개인 신원확인용 인터페이스에 대한 가이드를 제공한다[49].

n 미국국립표준기술연구소(NIST) SP 800-76은 개인 신원확인용 생체인식에 대한 가이드를 제공한다[50].

n 미국국립표준기술연구소(NIST) SP 800-78은 개인 신원확인용 암호화 알고리즘 및 키(key) 크기에 대한 가이드를 제공한다.[67].

새로운 연방 개인 신원확인(PIV)이 식별 토큰으로서 사용된 경우, 접근통제시스템은 FIPS 201과 미국국립표준기술연구소(NIST) SP 800-73의 요구사항을 준수해야 하며 암호화 확인 또는 생체인식 확인을 사용해야 한다. 토큰 기반 접근통제에서 암호화 확인이 사용되는 경우, 접근통제시스템은 미국국립표준기술연구소(NIST) SP 800-78의 요구사항을 준수해야 한다. 토큰 기반 접근통제에서 생체인식 확인이 사용되는 경우, 접근통제시스템은 미국국립표준기술연구소(NIST) SP 800-76의 요구사항을 준수해야 한다.

접근통제 기술은 인가가 결정되면 장치 또는 시스템 사이의 정보의 흐름을 지도하고 조절하기 위해 설계된 필터 및 차단 기술이다. 다음 절에서는 몇 가지 접근통제 기술 및 산업제어시스템(ICS)에서의 사용을 설명한다.


6-12

6.2.1.1 역할 기반 접근통제(RBAC)

RBAC는 상당수의 지능형 장치가 있는 네트워크에서 보안 관리의 복잡성 및 비용을 줄일 수 있는 기술이다. RBAC에서 보안 관리는 사용자 접근 수준을 구성하는 역할, 계위 및 제약을 통해 단순화된다. RBAC는 직원이 역할 및 책임을 역할 및 책임 내의 직무 보다 더 자주 변경하는 점을 허용하기 때문에 조직 내의 비용을 감소한다.

6.2.1.2 웹 서버

웹 및 인터넷 기술은 정보에 더욱 접근 가능하게 하고 제품을 더욱 사용자 친화적으로 만들며 원격 구성을 더 쉽게 하기 때문에 다양한 산업제어시스템(ICS) 제품에 추가되고 있다. 하지만, 사이버 위험도 추가될 수 있으며 새로운 보안 취약점이 생성되는 것도 해결되어야 한다.


RBAC는 개별 장치 접근 수준을 유지하고 오류를 최소화하기 위한 비용을 줄이면서 산업제어시스템(ICS) 장치에 대한 접근을 관리하기 위한 균등한 수단을 제공하는 데 사용될 수 있다. RBAC는 산업제어시스템(ICS) 사용자 권한을 각자의 업무를 수행하는 사용자에게만 한정하는 데 사용해야 한다(즉, 최소 권한의 원칙에 기초한 각 역할 구성). 접근 수준은 특정 산업제어시스템(ICS) 데이터 또는 장치 기능의 보기, 사용, 변경 등의 여러 가지 형태를 취할 수 있다.

RBAC 도구는 응용 프로그램의 인가를 설정, 수정 또는 제거할 수 있지만, 인가 메커니즘을 대체하지는 않으며, 사용자가 응용 프로그램에 접근하려고 할 때마다 사용자를 확인하고 인증하지는 않는다. RBAC 도구는 정보기술(IT) 시장에서 가장 최신의 플랫폼의 인가 메커니즘에 대한 인터페이스를 제공한다. 하지만, 구형 산업제어시스템(ICS) 또는 전문화된 산업제어시스템(ICS) 장비에는 전문화된 인터페이스 소프트웨어의 개발이 필요할 수 있다. 이것은 다수의 독점 운영 체제 또는 맞춤형 운영 체제 구현 및 인터페이스가 사용되는 산업제어시스템(ICS)에 큰 문제이다.



6-13

6.2.1.3 가상 근거리 통신망(VLAN)

VLAN은 물리적 네트워크를 더 작은 논리적 네트워크로 나누어서 성능을 향상시키고 관리의 용이성을 개선하며 네트워크 설계를 단순화한다. VLAN은 이더넷 스위치의 구성을 통해서 달성된다. 각 VLAN은 기타 VLAN에서 트래픽을 격리시키는 단일 방송 영역으로 구성된다. 허브를 스위치로 교체하는 것이 충돌을 줄이듯이, VLAN을 사용하면 방송 트래픽을 제한할 뿐 아니라 논리적 서브넷을 여러 물리적 위치로 확장할 수 있게 한다. VLAN에는 두 가지 종류가 있다.

n 정적 - 종종 스위치 포트가 VLAN에 할당되어 VLAN이 최종 사용자에게 명백해지는 포트 기반으로 지칭된다.

n 동적 - 최종 장치가 VLAN 특성을 스위치를 통해서 결정하거나, IP 또는 하드웨어 주소에 기초하여 VLAN을 결정한다.

하나 이상의 IP 서브넷이 동일한 VLAN에 공존할 수 있지만, 일반 권장 사항은 서브넷과 VLAN 사이에 일대일 관계를 사용하는 것이다. 이 관행에는 여러 VLAN에 합류하기 위해 라우터 또는 다중 계층 스위치의 사용이 필요하다. 많은 라우터와 방화벽에서는 태그 프레임이 지원되어 여러 논리적 네트워크 사이에서 경로를 지정하기 위해 물리적인 단일 인터페이스가 사용될

감시 제어 및 데이터 수집(SCADA) 및 이력 관리 장치(Historians) 소프트웨어 공급자는 전형적으로 제어실 밖의 사용자가 산업제어시스템(ICS) 정보에 접근할 수 있도록 웹 서버를 하나의 제품 옵션으로 제공한다. 많은 경우에, 웹 서버에 접근하는 각 클라이언트 컴퓨터에 ActiveX 컨트롤 또는 Java 애플릿과 같은 소프트웨어 구성요소를 설치하거나 다운로드해야 한다. 프로그래머블 로직 컨트롤러(PLC) 및 기타 컨트롤러 등의 일부 제품에서는 내장형 웹, FTP 및 전자 메일 서버를 사용하여 원격 구성을 용이하게 하고 특정 조건이 발생하는 경우 전자 메일 알림과 보고서를 생성할 수 있다. 가능하면 HTTP가 아닌 HTTPS를 사용하고, FTP 보다는 SFTP 또는 SCP를 사용하며, 착신 FTP 및 전자 메일 트래픽을 차단하는 등의 조치를 한다. 공격을 차단하고 ActiveX® 컨트롤 또는 Java® 애플릿의 다운로드를 방지하기 위해 웹, FTP 및 전자 메일 트래픽을 검사할 수 있는 응용 프로그램 프록시와 보안 어플라이언스(또는 게이트웨이)가 나타나기 시작하고 있다. 산업제어시스템(ICS)을 인터넷에 연결하는 데 실질적인 이익이 없는 한, 시스템을 연결하지 않는 것이 최상의 선택이다.


6-14

수 있다.

일반적으로 VLAN은 호스트 또는 네트워크 취약점을 해결하기 위해 방화벽 또는 침임 탐지 시스템(IDS)이 배치되는 방식으로 배치되지 않는다. 하지만, 제대로 구성된 경우, VLAN은 스위치가 보안 정책을 시행하고 트래픽을 이더넷 계층에서 분리하는 것을 허용한다. 또한, 제대로 세그먼트화된 네트워크는 포트 스캐닝 또는 웜 활동으로 인한 브로드캐스트 스톰의 위험을 완화할 수 있다.

스위치는 해당 장치 및 그 형상에 따라 MAC 스푸핑 공격, 테이블 오버플로우 공격 및 스패닝 트리 프로토콜에 대한 공격 등에 취약하다. 위치 스푸핑 또는 이중 밀폐형 프레임을 사용한 VLAN 호핑(비인가 포트에 프레임을 주입하는 공격 기능)이 있어 왔다. 이러한 공격은 원격으로는 수행될 수 없으며, 스위치에 대한 물리적인 로컬 접근을 필요로 한다. 이러한 공격을 완화하기 위해 MAC 주소 필터링과 같은 다양한 기능, IEEE 802.1x를 사용하는 포트 기반 인증 및 특정 공급자 권고 방식을 장치 및 구현에 따라 사용할 수 있다.

6.2.1.4 전화식 모뎀

산업제어시스템(ICS)에는 엄격한 신뢰성 및 가용성 요구사항이 있다. 문제해결 및 수리가 필요한 경우 기술 자원은 물리적으로 제어실 또는 시설에 있지 않을 수 있다.

따라서 산업제어시스템(ICS)에서는 종종 공급자, 시스템 통합 사업자 또는 제어 기사가 모뎀을 사용해서 접속 진단, 수리 및 구성을 수행하고 네트워크 또는 구성요소에서 유지보수를 수행하여 시스템을 유지한다. 인가된 인원은 이 방법을 통해 쉽게 접근할 수 있지만, 전화식 모뎀에 보안이 제대로 적용되지 않은 경우 무단 사용을 위한 백도어 진입도 허용할 수 있다.


각 자동화 셀을 단일 VLAN에 할당하여 불필요한 트래픽 플러딩을 제한하고 동일한 VLAN의 네트워크 장치가 여러 스위치에 도달할 수 있도록 하여 VLAN은 효과적으로 산업제어시스템(ICS) 네트워크에 배치되었다[34].


6-15

전화식에는 원격 사용자에게 대상 시스템에 대한 강력한(관리자 또는 루트) 접근 권한을 제공하는 원격 제어 소프트웨어가 종종 사용된다. 일반적으로 이러한 소프트웨어의 보안 옵션은 신중하게 검토하고 구성해야 한다.

6.2.1.5 무선

산업제어시스템(ICS) 내의 무선사용은 조직에서 결정해야 하는 위험 기반 결정이다. 일반적으로, 무선 근거리 통신망(LAN)은 예상되는 건강, 안전, 환경적 및 재정적 영향이 낮은 경우에만 배치해야 한다. 미국국립표준기술연구소(NIST) SP 800-48 및 SP 800-97은 무선 네트워크 보안에 대한 가이드를 제공한다.

20 추가 정보는 ISA100(http://www.isa.org/isa100)에 제공되어 있다.


n 산업제어시스템(ICS)에 전화식 모뎀이 설치되어 있는 경우 콜백 시스템을 사용하는 것이 좋다. 이것은 산업제어시스템(ICS)에서 승인된 인가 사용자 목록에 저장되어 있는 다이얼러의 정보와 콜백 번호에 기초한 작동 연결을 모뎀에 설정함으로써 다이얼러가 인가된 사용자임을 보장한다.

n 각 모뎀의 기본 패스워드를 변경했으며 강력한 패스워드가 배치되었는지 확인한다.

n 제어실 운영자가 물리적으로 사용 중인 모뎀을 파악한다.

n 고유의 사용자 이름, 패스워드, 강력한 인증 및 적절한 경우 암호화 및 감사 로그를 사용하도록 원격 제어 소프트웨어를 구성한다. 원격 사용자에 의한 이 소프트웨어의 사용은 거의 실시간으로 모니터링 해야 한다.

n 실행 가능한 경우, 모뎀을 사용하지 않을 때는 연결을 차단하거나, 지정 시간 동안 켜져 있은 후에는 모뎀의 연결을 차단하도록 하여 이 연결 차단 절차를 자동화하는 것이 좋다. 때로는 모뎀 연결은 공급자와의 법률 지원 서비스 계약(예: 15분 대응 시간과 24x7 지원)의 일부임을 주목해야 한다. 담당자는 모뎀의 연결을 차단하거나 제거하려면 해당 계약을 재협상해야 할 수 있음을 명심해야 한다.


http://www.isa.org/isa100


6-16

무선 근거리 통신망(LAN)

n 설치하기 전에, 안테나 위치 및 강도를 결정하고 무선 네트워크의 노출을 최소화하기 위해 무선 측량을 수행해야 한다. 측량에서는 공격자에게 무선 LAN의 유효 범위가 예상 표준 범위를 넘는 강력한 지향성 안테나가 있다는 것을 고려해야 한다. 또한 패러데이 케이지와 기타 방법을 사용하여 지정된 영역 밖으로 무선 네트워크의 노출을 최소화해야 한다.

n 무선 사용자의 접근은 사용자 인증서 또는 원격 인증 다이얼인 사용자 서비스(RADIUS) 서버를 통해 사용자를 인증하는 보안 인증 프로토콜(예: 확장형 인증 프로토콜 [EAP]과 전송계층보안(TLS) [EAP-TLS])을 사용하는 IEEE 802.1x 인증을 활용해야 한다.

n 무선 작업자 장치를 위한 무선 접근점 및 데이터 서버는 산업제어시스템(ICS) 네트워크에 문서로 기록된 최소(가능하다면 단일) 연결부와 함께 격리된 네트워크에 위치해야 한다.

n 무선 접근점은 최소한 고유 서비스 세트 식별자(SSID)를 사용하고, SSID 방송의 사용을 해제하며, MAC 필터링을 사용하도록 구성해야 한다.

n Microsoft Windows 산업제어시스템(ICS) 네트워크에서 무선 장치를 사용하는 경우 Windows 도메인의 별도의 조직 단위로 구성해야 한다.

n 무선 장치 통신은 암호화되어야 하며 무결성이 보호되어야 한다. 암호화가 최종 장치의 작동 성능을 저하해서는 안 된다. 암호화 지연을 감소하기 위해 개방형 시스템 간 상호 접속(OSI) 계층 3이 아닌 계층 2의 암호화를 고려해야 한다. 또한 암호화 기능을 수행하기 위해 하드웨어 가속장치를 사용하는 것이 좋다.

메쉬 네트워크의 경우 성능을 최대화하기 위해 개방형 시스템 간 상호 접속(OSI) 계층 2에 구현되는 방송키 대비 공개키 관리의 사용을 고려한다. 비대칭 암호 기법을 사용하여 관리 기능을 수행해야 하며, 대칭 암호화를 사용하여 각 데이터 스트림 뿐 아니라 네트워크 제어 트래픽의 보안을 유지해야 한다. 장치가 무선 이동성을 위해 사용되는 경우 적응형 경로 지정 프로토콜을 고려해야 한다. 네트워크의 수렴 시간은 결함 또는 전력 손실 시 신속한 네트워크 복구를 지원할 수 있도록 가능한 빨라야 한다. 메쉬 네트워크를 사용하는 경우 네트워크 선제 대체작동 및 대체 경로 선택을 통한 내결함성을 제공할 수 있다.

무선 현장 네트워크

ISA10020 위원회에서는 현장 수준에 중점을 둔 자동화 및 제어 환경에서 무선 시스템을 구현하기 위한 절차를 정의하는 표준, 권고 방식, 기술 보고서 및 관련 정


6-17

6.2.2 인식 및 훈련

미국국립표준기술연구소(NIST) SP 800-53 인식 및 훈련(AT) 단위에 속하는 보안 통제 수단은 접근 시스템에 대한 인가가 부여되기 전에 정보시스템의 모든 사용자에게 기본 정보시스템 보안 인식 및 훈련 자료가 제공되는 것을 보장하는 정책 및 절차를 제공한다. 직원 훈련은 반드시 모니터링하고 문서화해야 한다.

AT 통제 수단에 대한 추가적인 가이드는 다음의 문서에서 찾을 수 있다.

n 미국국립표준기술연구소(NIST) SP 800-50은 보안 인식 훈련에 대한 가이드를 제공한다[61].

n 미국국립표준기술연구소(NIST) SP 800-100은 정보 보안 거버넌스 및 기획에 대한 가이드를 제공한다[27].

보를 수립하기 위해 작업하고 있다(예: IEEE 802.15.4). 가이드는 산업 자동화 및 제어시스템의 설계, 구현, 지속적인 유지보수, 확장성 또는 관리에 걸친 전체 수명주기의 담당자를 위한 것이며, 사용자, 시스템 통합 사업자, 실무자 및 제어시스템 제조업체 및 공급자에게 적용된다.


산업제어시스템(ICS) 환경의 경우 특정 산업제어시스템(ICS) 응용 프로그램에 대한 제어시스템별 정보 보안 인식 및 훈련이 반드시 포함되어야 한다. 추가로, 조직에서는 산업제어시스템(ICS)에 대해 상당한 역할과 책임이 있는 모든 인원을 지정하고 훈련시키며 이를 문서화해야 한다. 인식 및 훈련에서는 물리적 제어 절차 뿐 아니라 산업제어시스템(ICS)도 다루어야 한다.

보안 인식은 특히, 사회공학적 위협에 관한 한 산업제어시스템(ICS) 사고 방지에서 중요한 부분이다. 사회공학 기법은 패스워드와 같은 개인 정보를 누설하도록 개인을 조종하는 데 사용된다. 그런 다음 이 정보는 시스템의 보안을 훼손하는 데 사용된다.

산업제어시스템(ICS) 보안 프로그램을 구현하는 것은 개인이 컴퓨터 프로그램, 응용 프로그램에 접근하는 방법과 컴퓨터 데스크톱 자체에 변화를 가져올 수 있다. 조직은 효과적인 훈련 프로그램 및 통신 수단을 설계하여 직원들이 새로운 접근 및 통제 방법이 필요한 이유, 위험을 줄이는 데 사용할 수 있는 아이디어 및 통제


6-18

6.2.3 감사 및 책임 추적성

감사는 시스템 통제 수단의 타당성을 평가하고, 수립된 정책 및 운영 절차의 준수를 보장하며, 통제 수단, 정책 또는 절차에 필요한 변화를 권고하기 위한 기록과 활동에 대한 독립적인 검토 및 조사이다. 미국국립표준기술연구소(NIST) SP 800-53 감사 및 책임 추적성(AU) 단위에 속하는 보안 통제 수단은 감사 기록, 내용, 수용력 및 보존 요구사항을 생성하기 위한 정책 및 절차를 제공한다. 또한 통제 수단은 감사 결함 또는 감사 로그 용량 도달과 같은 문제에 대응하기 위한 안전보장조치를 제공한다. 감사 데이터는 수정으로부터 보호되어야 하며, 부인방지 기능으로 설계되어야 한다.

AU 통제 수단에 대한 추가적인 가이드는 다음 문서에서 찾을 수 있다.

n 미국국립표준기술연구소(NIST) SP 800-61은 컴퓨터 보안 사고 처리 및 감사 로그 보존에 대한 가이드를 제공한다[59].

n 미국국립표준기술연구소(NIST) SP 800-92는 로그 관리(감사 로그 포함)에 대한 가이드를 제공한다[68].


방법이 통합되지 않은 경우 조직에 대한 영향을 이해하는 데 도움이 되도록 해야 한다. 또한 훈련 프로그램은 사이버보안 프로그램에 대한 경영진의 의지 및 사이버보안 프로그램의 가치를 나타낸다. 이런 유형의 훈련에서 노출되는 직원의 피드백은 보안 프로그램의 범위 및 헌장을 개선하기 위한 가치있는 공급원이 될 수 있다.


시스템이 예정대로 수행되고 있는 지 여부를 판단해야 한다. 산업제어시스템(ICS)에 대해 주기적인 감사를 수행하여 다음의 항목을 검증해야 한다.

n 시스템 검증 시험(예: 공장 승인 시험 및 현장 승인 시험) 중에 존재했던 보안 통제 수단들이 여전히 설치되어 있으며 생산 시스템에서 올바르게 작동하고 있다.


6-19

n 생산 시스템은 보안 위협으로부터 안전하며, 보안 위협이 발생하는 경우 그 특성과 범위에 대한 정보가 제공 가능하다.

n 변경 프로그램의 관리에는 모든 변경 사항에 대한 검토 및 승인의 엄격한 감사 기록이 존재한다.

주기적인 각 감사의 결과는 보안 성능 및 보안 동향을 표시하는 일련의 사전정의된 적절한 측정지표에서 성능의 형식으로 표현되어야 한다. 보안 성능 측정지표는 보안 성능 동향의 전망과 함께 적절한 관계자들에게 보내야 한다.

전통적으로, 정보기술(IT) 시스템에서 감사의 기반은 기록 관리이다. 산업제어시스템(ICS) 환경 내에서 적절한 도구를 사용하려면 산업제어시스템(ICS), 중요한 생산, 시설에 대한 안전 영향에 정통한 정보기술(IT) 전문가의 폭 넓은 지식이 필요하다. 산업제어시스템(ICS)에 통합된 많은 공정 제어 장치는 다년간 설치되었으며 이 절에 설명된 감사 기록을 제공할 수 있는 기능이 없다. 따라서 감사 시스템과 네트워크 활동에 대한 더욱 현대화된 이러한 도구의 적용 가능성은 산업제어시스템(ICS)에 있는 구성요소의 기능에 따라 다르다.

산업제어시스템(ICS) 환경의 네트워크 관리에서 안전하고 효율적인 작동을 지원하기 위해 신뢰성 및 가용성을 보장하는 것은 중요한 작업이다. 규제가 적용되는 업계에서의 규제 준수는 보안 및 인증 관리, 레지스트리 및 시설 무결성 관리, 그리고 설치 및 운영 자격 실행을 증대시킬 수 있는 모든 기능에 복잡성을 추가할 수 있다. 감사 및 로그 관리 도구를 부지런하게 사용하는 경우 설치에서부터 시스템 수명주기 동안 산업제어시스템(ICS)의 무결성을 유지하고 검증하는 데 귀중한 지원을 제공할 수 있다. 이러한 환경에서 이러한 도구의 가치는 공격, 사고 또는 오류로 인해 무결성이 확실하지 않은 산업제어시스템(ICS)을 재인증하거나 재검사하는 데 필요할 수 있는 노력에 의해 계산될 수 있다. 감사 도구를 지원하는 시스템은 신뢰할 수 있고 동기화된 타임스탬프를 제공해야 한다.

센서, 로그, 침입 탐지 시스템(IDS), 바이러스 퇴치, 패치 관리, 정책 관리 소프트웨어 및 기타 보안 메커니즘에 대한 모니터링은 실행 가능한 경우 실시간 기반으로 수행되어야 한다. 제1선의 모니터링 서비스는 경보를 수신하고, 초기에 문제를 빠르게 판단하며, 적절한 시설 직원이 개입할 수 있도록 경고 조치한다.

시스템 감사 지원 프로그램은 새로운 산업제어시스템(ICS) 프로젝트와 기존 프로젝트에 통합되어야 한다. 이러한 감사 지원 프로그램은 먼저 테스트(예: 비교할 만한 산업제어시스템(ICS)에서 오프라인으로)한 후 운영 산업제어시스템(ICS)에 배치해야 한다. 이러한 도구는 증거 및 시스템 무결성에 대한 유형의기록을 제공한다. 게다가, 능동적 로그 관리 지원 프로그램은 실제로 진행 중인 공격 또는 사건을 표시할 수 있으며 사고 대응에 도움이 되는 위치 및 추적 정보를 제공할 수 있다


6-20

6.2.4 보안 평가 및 인가

미국국립표준기술연구소(NIST) SP 800-53 평가 및 인가(CA) 단위에 속하는 보안 통제 수단은 통제 수단이 시스템 보안 요구사항에 부합하기 위해 예정대로 작동하며 원하는 결과를 양산하면서 올바르게 구현되었는지 판단하기 위해 정보시스템에 구현된 보안 통제 수단에 대한 주기적인 평가를 수행하고 인증을 제공하기 위한 근거를 제공한다. 고위 조직 임원은 잔류 위험을 감수하고 시스템 작동을 인가할 책임이 있다. 인가는 이러한 단계들로 구성된다. 추가로, 모든 보안 통제 수단을 지속적으로 모니터링해야 한다. 모니터링 활동에는 정보시스템 구성요소의 제어 및 형상 관리, 시스템 변경 사항의 보안 영향 분석, 보안 통제 수단의 지속적인 평가 및 상태 보고가 포함된다.

CA 제어에 대한 추가적인 가이드는 다음 문서에서 찾을 수 있다.

n 미국국립표준기술연구소(NIST) SP 800-53A는 보안 통제 평가에 대한 가이드를 제공한다[23].

n 미국국립표준기술연구소(NIST) SP 800-37은 정보시스템 경계 정의, 정보시스템의 인가 및 보안 인증에 대한 가이드를 제공한다[21].


6.2.5 형상 관리

형상 관리 정책 및 절차는 정보시스템이 시스템 구현 전후 및 도중에

[34].

사용자에게 모든 콘솔 활동을 수동(예: 제어실 로그인) 또는 자동(예: 응용 프로그램 및/또는 OS 계층 로그인)으로 추적할 수 있는 방법이 있어야 한다. 로그 내용, 로그 저장(또는 출력) 방법, 로그 보호 방법, 로그 접근 권한, 로그 검토 방법 및 시기에 대한 정책 및 절차를 개발해야 한다. 이러한 정책 및 절차는 산업제어시스템(ICS) 응용 프로그램 및 플랫폼에 따라 다양하다. 전형적으로 구형 시스템에는 관리, 운영 및 보안 직원이 검토하는 프린터 이력 기록 장치가 사용된다. 산업제어시스템(ICS) 응용 프로그램에서 유지되는 로그는 다양한 위치에 저장될 수 있으며, 암호화될 수도 있고 되지 않을 수도 있다.


6-21

부적절한 수정으로부터 보호되는지 보장하기 위해 하드웨어, 펌웨어, 소프트웨어 및 문서에 대한 수정을 통제하는데 사용된다. 미국국립표준기술연구소(NIST) SP 800-53 형상 관리(CM) 단위에 속하는 보안 통제 수단은 정보시스템의 기준 통제 수단을 설정하기 위한 정책 및 절차를 제공한다. 또한 형상 제어 변경 사항을 유지하고 모니터링하며 문서화하기 위한 통제 수단이 지정된다. 정보기술(IT) 제품의 보안 설정 및 형상 설정에 대한 접근은 한정적이어야 하며, 산업제어시스템(ICS) 운영 요구사항에 부합하는 가장 제한적인 모드로 설정되어야 한다.

CM 통제 수단에 대한 추가적인 가이드는 다음의 문서에서 찾을 수 있다.

n 미국국립표준기술연구소(NIST) SP 800-70은 정보기술(IT) 제품의 형상 설정에 대한 가이드를 제공한다[26].

n 미국국립표준기술연구소(NIST) SP 800-100은 정보 보안 거버넌스 및 기획에 대한 가이드를 제공한다. [27].

n 미국국립표준기술연구소(NIST) SP 800-128은 보안에 중점을 둔 형상 관리 프로그램의 구현에 대한 가이드를 제공한다[80].

6.2.6 긴급 사태 대책

긴급 사태 대책은 비상 사태, 시스템 결함 또는 재난 시 가능한 대체 위치에서 컴퓨터 작동 등의 경영 활동을 유지 또는 복원하기 위해 설계된다. 미국국립표준기술연구소(NIST) SP 800-53 긴급 사태 대책(CP) 단위에 속하는 보안 통제 수단은 교란 또는 결함이 발생한 후 정보시스템을 복원하는 것과 관련된 역할 및 책임을 지정하고 인원 및 활동을 배정함으로써 긴급 사태


공식적인 변경 관리 프로그램을 수립하고 절차를 사용하여 산업제어시스템(ICS) 네트워크에 대한 모든 수정이 자산 평가, 관련 위험 평가 및 완화 계획에 파악되어 있는 원래의 구성요소와 동일한 보안 요구사항에 부합하는 것을 보장해야 한다. 형상 변경, 네트워크 구성요소 추가 및 소프트웨어 설치 등 보안에 영향을 줄 수 있는 산업제어시스템(ICS) 네트워크에 대한 모든 변경에 대해 위험 평가를 수행해야 한다. 정책 및 절차에 대한 변경도 필요할 수 있다. 현재 산업제어시스템(ICS) 네트워크 형상 및 장치 형상은 항상 공개되고 문서화되어야 한다.


6-22

대책을 구현하기 위한 정책 및 절차를 제공한다. 대책과 함께 긴급 사태 훈련, 검증, 대책 업데이트, 백업 정보 처리 및 저장 현장에 대한 통제 수단도 존재한다.

CP 통제 수단에 대한 추가적인 가이드는 다음 문서에서 찾을 수 있다.

n 미국국립표준기술연구소(NIST) SP 800-34는 긴급 사태 대책에 대한 가이드를 제공한다[52].


6.2.6.1 비즈니스 연속성 기획

비즈니스 연속성 기획에서는 생산 중단의 경우 생산을 유지 또는 재설정하는 전반적인 문제를 다룬다. 이러한 중단에는 자연 재해(예: 폭풍, 회오리바람, 지진, 홍수), 사람에 의한 의도되지 않은 사건(예: 돌발적인 장비 손상, 화재 또는 폭발, 운영자 오류), 사람에 의한 의도된 사건(예: 폭탄, 총기 또는 기물 파손, 공격자 또는 바이러스에 의한 공격) 또는 장비 결함의 형태가 있다. 잠재적인 정지기간의 관점에서 일반적으로 자연 재해로부터 복구하는 데 며칠, 몇 주 또는 몇 달의 기간이 걸리거나, 악성코드 감염 또는 기계/전기 결함에서 복구하는 데 몇 분 또는 몇 시간이 걸릴 수 있다. 종종 신뢰성 및


긴급 사태 대책은 사이버 사고에서 초래된 모든 종류의 결함이나 문제를 다루어야 한다. 긴급 사태 대책에는 알려진 유효한 백업에서 시스템을 복원하고 사이버보안 침입을 허용할 수 있는 모든 비필수 간섭 및 연결에서 시스템을 분리하는 절차 및 필요한 인터페이스와 협조를 달성할 수 있는 대안이 포함되어야 한다. 직원들은 긴급 사태 대책의 내용을 숙지하고 훈련을 받아야 한다. 긴급 사태 대책은 산업제어시스템(ICS)의 복원을 담당하는 직원들과 함께 주기적으로 검토해야 하고 산업제어시스템(ICS) 목표에 지속적으로 부합하는지 확인하기 위해 검증해야 한다. 또한 조직에는 긴급 사태 대책과 밀접하게 관련된 비즈니스 연속성 계획과 재난 복구 계획이 있다. 산업제어시스템(ICS)에서 비즈니스 연속성과 재난 복구 계획은 특히 중요하기 때문에 다음의 절에서 자세하게 설명된다.


6-23

전기/기계 유지보수를 다루는 별도의 규율이 있기 때문에, 일부 조직은 이러한 결함의 근원을 배제하는 방식으로 비즈니스 연속성을 정의한다. 비즈니스 연속성에서도 주로 생산 가동 중단의 장기간의 영향을 다루기 때문에 일부 조직에서도 고려 대상의 위험에 최소 중단 한도를 정한다. 산업제어시스템(ICS) 사이버보안을 위해 이러한 제약 중 어떤 것도 만들지 않는 것이 좋다. 장기 가동 중단(재난 복구) 및 단기 가동 중단(작동 복구) 모두를 고려해야 한다. 이러한 잠재적인 중단의 일부는 사람에 의한 사건을 수반하기 때문에 물리적 보안 조직과 공동으로 작업하여 이러한 사건의 상대적인 위험과 이를 방지하기 위해 준비되어 있는 물리적 보안 대책을 아는 것이 중요하다. 또한 높은 수준의 위험이 있을 수 있는 데이터 수집 시스템과 제어시스템이 생산 현장의 어떤 영역에 있는지 물리적 보안 조직에서 아는 것이 중요하다.

잠재적인 가동 중단을 다루기 위한 비즈니스 연속성 계획(BCP)을 생성하기 전에 전형적인 비즈니스 수요에 기초하여 관련된 다양한 시스템 및 하위 시스템에 대한 복구 목표를 지정하는 것이 중요하다. 2가지의 뚜렷한 목표의 유형 즉, 시스템 복구 및 데이터 복구가 있다. 시스템 복구는 통신 링크 및 처리 기능의 복구를 수반하며, 일반적으로 회복 시간 목표(RTO)의 관점에서 지정된다. 이것은 통신 링크 및 처리 기능을 복구하는 데 필요한 시간으로 정의된다. 데이터 복구는 과거의 생산 또는 제품 조건을 설명하는 데이터의 복구를 수반하며, 일반적으로 복구점 목표(RPO)의 관점에서 지정된다. 이것은 데이터의 부재가 용인될 수 있는 가장 긴 시간으로서 정의된다.

복구 목표가 정의되면, 잠재적인 중단의 목록을 생성하고 복구 절차를 개발하여 기술해야 한다. 대부분의 작은 규모의 중단의 경우 중요한 여분 재고에 기초한 수리 및 대체 활동은 복구 목표에 부합하기에 충분함을 입증할 것이다. 이것이 사실인 경우 긴급 사태 대책을 개발할 필요가 있다. 이러한 긴급 사태 대책의 중요성 및 잠재적인 비용 때문에, 비즈니스 연속성 기획에 책임이 있는 관리자가 긴급 사태 대책이 정당한지 여부를 검토해야 한다. 복구 절차를 문서화하고 나면 복구 절차의 일부 또는 전체를 검증하기 위한 일정을 개발해야 한다. 시스템 형상 데이터 및 제품 또는 생산 데이터의 백업의 확인에 각별한 주의를 기울여야 한다. 시스템 형상 데이터의 예에는 사고 발생 전의 모든 산업제어시스템(ICS) 프로그램 변경식 장비의 작동을 위한 컴퓨터 형상 백업, 응용 프로그램 형상 백업, 작동 제어 한계, 제어 밴드 및 설정값이 있다. 시스템 형상 데이터는 생성 시에 검증해야 할 뿐 아니라 그 저장을 위한


6-24

후속 절차 또한 주기적으로 검토하여 백업이 쓸모없게 되지 않는 환경 조건에서 보존되고 안전한 위치에 보존되어서, 필요한 경우 인가된 개인이 빠르게 입수할 수 있는지 확인해야 한다.

6.2.6.2 재난 복구 계획

재난 복구 계획(DRP)은 재난 시정보기술(IT) 기반을 복구하고 보호하기 위한 문서로 기록된 공정 또는 일련의 절차이다. 보통 서면으로 문서화되는 재난 복구 계획(DRP)은 재난 시 조직이 따르는 절차를 지정한다. 재난 복구 계획(DRP)은 재난 전후 및 도중에 취해야 할 일관적인 행동의 포괄적인 진술이다. 재난은 자연적, 환경적 또는 인위적일 수 있다. 인위적 재난은 의도적이거나 비의도적일 수 있다.


재난 복구 계획(DRP)은 지속적인 산업제어시스템(ICS)의 가용성에 필수적이다. 재난 복구 계획(DRP)은 다음 항목을 포함해야 한다.

n 복구 계획을 활성화하는 사건에 필요한 대응 또는 변화하는 지속 기간과 심각도의 조건 .

n 보안 조건이 복원될 수 있을 때까지 모든 외부 전자 연결이 단절된 수동 모드에서 산업제어시스템(ICS)을 작동하기 위한 절차.

n 대응자의 역할 및 책임.

n 정보의 백업 및 보안 저장을 위한 공정 및 절차.

n 완전하고 최신의 논리적 네트워크 도형.

n 산업제어시스템(ICS)에 인가된 물리적 및 사이버 접근을 위한 인원 목록.

n 비상 시 통신 절차 및 산업제어시스템(ICS) 공급자, 네트워크 관리자, 산업제어시스템(ICS) 지원 인원이 포함된 연락처 목록

n 모든 구성요소의 현재 형상 정보.

n 재난 복구 계획(DRP) 수행 일정.

또한 이 계획에는 비상 시 구성요소의 적시 교체를 위한 요구사항을 표시해야 한다. 가능하다면, 취득하기 어려운 중요한 구성요소에 대한 교체품은 재고에 유지해야 한다.

http://en.wikipedia.org/wiki/Disaster

http://en.wikipedia.org/wiki/Environmental_disaster


6-25

6.2.7 식별 및 인증

인증(Authentication)은 식별 요인 또는 자격증명의 조합을 사용하여 잠재적인 네트워크 사용자, 호스트, 응용 프로그램, 서비스 및 자원의 정체가 확실하다고 확인하는 공정이다. 그런 다음, 이 인증 절차의 결과는 추가 행동(예: 현금자동인출기에서 개인 식별 번호(PIN)를 요청)을 허용 또는 거부하는 근거가 된다. 시스템은 인증 결정에 기초하여 잠재적인 사용자가 시스템 자원에 접근하는 것을 허용하거나 거부할 수 있다. 인가(Authorization)는 특정 자원에 접근할 수 있는 사람과 대상을 결정하는 공정이다. 접근통제는 인가를 시행하는 메커니즘이다. 접근통제는 제6.2.1절에서 설명된다.

개인, 장치 또는 시스템의 신빙성을 결정하는 여러 가지의 요인이 있다. 예를 들어, 인증은 알고 있는 것(예: PIN 번호 또는 패스워드), 소유물(예: 키, 동글, 스마트카드), 생물학적 특성(예: 지문, 망막 서명)과 같은 자신에 관한 것, 위치(예: 위성 위치 확인 시스템 [GPS] 위치 접근), 요청 시간 또는 이러한 속성의 조합에 기초할 수 있다. 일반적으로, 인증 절차에서 더 많은 요인이 사용될수록, 공정이 더 강해진다. 두 가지 요인 이상이 사용되는 경우 이 공정은 일반적으로 다원적 인증으로 알려져 있다.

미국국립표준기술연구소(NIST) SP 800-53 식별 및 인증(IA) 단위에 속하는 보안 통제 수단은 정보시스템 내의 사용자 및 장치의 식별과 인증에 대한

보안 계획은 포괄적인 백업 및 복원 정책을 정의해야 한다. 다음 사항을 고려하여 이 정책을 수립해야 한다.

n 데이터 또는 시스템이 반드시 복원되어야 하는 속도. 이 요구사항은 중복 시스템, 예비 오프라인 컴퓨터 또는 유효한 파일 시스템 백업의 필요성을 정당화할 수 있다.

n 중요한 데이터 및 형상이 변하는 빈도. 이것은 백업의 빈도 및 완전성을 표시한다.

n 전체 및 증분 백업의 안전한 현장 및 현장 밖의 저장.

n 시설 매체, 라이선스 키 및 형상 정보의 안전한 저장.

n 백업의 수행, 검증, 저장 및 복원 담당자 식별.


6-26

정책와 가이드를 제공한다. 여기에는 사용되는 각 기술(예: 토큰, 인증서, 생체인식, 패스워드, 키 카드) 내의 식별자 및 인증자를 관리하는 통제 수단이 포함된다.

식별 및 인증(IA) 통제 수단에 대한 추가적인 가이드는 다음 문서에서 찾을 수 있다.


n 미국국립표준기술연구소(NIST) SP 800-73은 개인 신원확인용 인터페이스에 대한 가이드를 제공한다[49].



6.2.7.1 패스워드 인증

패스워드 인증 기술은 PIN 번호 또는 패스워드와 같이 접근 권한을 요청하는 장치 또는 사람이 알고 있어야 하는 것에 대한 검증에 기초하여 그 신빙성을 판단한다. 패스워드 인증 체계는 가장 단순하며 가장 일반적인 형태의 인증으로 여겨진다.

패스워드 취약점은 약하거나 최근에 사용되었거나 일반적으로 사용되는 패스워드를 금지하는 능동적 패스워드 검사기를 사용하여 줄일 수 있다. 또


산업제어시스템(ICS) 환경의 컴퓨터 시스템은 전형적으로 인증을 위해 전통적인 패스워드에 의존한다. 제어시스템 공급업체는 보통 기본 패스워드를 시스템에 제공한다. 이러한 패스워드는 출고 시 설정되며 보통 추측하기 쉽거나 드물게 변경되어 추가적인 보안 위험을 만든다. 또한, 기존의 산업제어시스템(ICS) 환경에서 사용되는 프로토콜은 일반적으로 네트워크 서비스 인증이 충분하지 않거나 아예 없다. 이제 산업제어시스템(ICS)에서 사용되는 전통적인 패스워드 기법에 추가하여 몇 가지 형태의 인증을 사용할 수 있다. 패스워드 인증을 포함한 이들 중 일부는 산업제어시스템(ICS)에서의 사용에 관한 설명과 함께 다음 절에 소개되어 있다.


6-27

다른 약점은 타사 도청의 용이성이다. 키보드에 입력되는 패스워드는 특히, 공격자가 아주 작은 무선 카메라 또는 키로거를 이식할 수 있는 영역에서 쉽게 관찰되거나 기록된다. 네트워크 서비스 인증은 패스워드를 보통 평문(비암호화)으로 전송하여 임의의 네트워크 캡처 도구가 패스워드를 노출시킨다.


산업제어시스템(ICS) 환경에 독특한 패스워드의 한 가지 문제점은 사용자가 패스워드를 기억해서 입력하는 능력이 순간적인 스트레스의 영향을 받는다는 것이다. 공정을 제어하기 위한 사람의 개입이 매우 중요한 주요 위기에 운영자는 당황하거나 패스워드를 기억하고 입력하는 것이 어려울 수 있고 완전히 잠겨버리거나 사건 대응이 지연될 수 있다. 잘못된 패스워드를 입력하고 시스템에 잘못된 패스워드 입력 허용 제한이 있는 경우 운영자는 인가된 직원이 계정을 재설정할 때까지 로그인을 할 수가 없다. 생체인식 식별자에도 유사한 결점이 있을 수 있다. 조직에서는 이러한 중요한 시스템에 대한 보안 수요 및 인증 메커니즘 사용의 잠재적인 파급 효과를 신중하게 고려해야 한다.

산업제어시스템(ICS)에서 지원할 수 없거나 조직에서 산업제어시스템(ICS)에 인증 메커니즘을 구현하는 것을 권하지 않는 상황(예: 성능, 안전 또는 신뢰성에 악영향)에서, 조직에서는 엄격한 물리적 보안 통제 수단(예: 인가된 사용자를 위한 제어센터 키 카드 접근)과 같은 보완 통제 수단을 사용하여 산업제어시스템(ICS)에 대한 동등한 보안 기능 또는 보호 수준을 제공한다. 또한 이 가이드는 산업제어시스템(ICS)의 세션 잠금 및 세션 종료의 사용에 적용된다.

산업제어시스템(ICS) 환경 내에서 로그인 패스워드 인증에 기초하여 정책을 추진하는 경우 특별한 고려를 해야 한다. 기계식별(ID)에 기초하여 배제 목록을 사용하지 않는 비 운영자 로그인은 시스템의 작동에 해로울 수 있는 자동 로그오프 시간제한 및 관리자 패스워드 교체와 같은 정책이 추진되는 결과를 초래할 수 있다.

일부 산업제어시스템(ICS) 운영 체제에서는 패스워드 크기는 매우 작고 시스템은 각 접근 수준에서 개별 패스워드가 아닌 그룹 패스워드만을 허용하여 보안 패스워드의 설정을 어렵게 만든다. 일부 산업용(및 인터넷) 프로토콜은 패스워드를 평문으로 전송하여 가로채기에 취약하게 만든다. 이러한 관행을 피할 수 없는 경우에는 사용자들은 암호화 및 비암호화 프로토콜에서 서로 다른(및 무관한) 패스워드를 사용하는 것이 중요하다.

다음은 패스워드 사용에 관한 일반적인 권장 사항 및 고려 사항이다.

n 패스워드의 길이, 강도 및 복잡성은 소프트웨어와 기본 OS의 기능 내에서 보


6-28

6.2.7.2 시도/응답 인증

시도/응답 인증에서 서비스 요청자 및 서비스 제공자 모두는 사전에 “비밀” 코드를 알아야 한다. 서비스가 요청되면 서비스 제공자는 서비스 요청자에게

안 및 작동 접근의 용이성과 균형을 맞추어야 한다.

n 패스워드의 길이 및 복잡성은 필수 보안에 적절해야 한다. 특히, 사전에서 찾을 수 없어야 하며 예상 가능한 번호 또는 문자의 배열을 포함하지 않아야 한다.

n 패스워드는 중요한 공정에서 제어 콘솔과 같은 운영자 인터페이스 장치에서 조심스럽게 사용해야 한다. 이러한 콘솔에서 패스워드를 사용하는 것은 중요한 사건 중에 운영자가 로그인할 수 없거나 접근이 지연되는 경우 잠재적인 안전 문제를 초래할 수 있다. 패스워드 보호가 실현 가능하지 않을 경우 물리적 보안으로 운영자 제어 콘솔을 보완해야 한다.

n 마스터 패스워드의 관리인은 비상시에 준비가 된 신임 받는 직원이어야 한다. 마스터 패스워드의 모든 복사본은 접근이 제한되는 매우 안전한 위치에 저장해야 한다.

n 권한 사용자(예: 네트워크 기술자, 전기 또는 전자 기술자 및 경영진 및 네트워크 설계자/운영자)의 패스워드는 가장 안전해야 하며 자주 변경해야 한다. 마스터 패스워드의 변경 권한은 신임 받는 직원에게 한정되어야 한다. 패스워드 특히, 마스터 패스워드에 대한 감사 기록은 제어시스템과는 별도의 장소에 보존해야 한다.

n 가로채기 또는 침입의 위험이 높은 환경(예: 물리적 로컬 보안 접근통제 수단이 결여된 시설의 원격 운영자 인터페이스)에서 조직은 생체인식 또는 물리적 토큰을 사용하는 다원적 인증과 같은 다른 형태의 인증으로 패스워드 인증을 보완해야 한다.

n 사용자 인증을 위한 패스워드 사용은 일반적이며, 일반적으로 사용자가 로컬 장치 또는 컴퓨터에 직접 로그인하는 경우 허용 가능하다. 패스워드는 재생 공격을 방지하기 위해 특별히 설계된 어떤 솔트 암호화 해시 또는 FIPS 승인 암호화의 형태로 보호되지 않는 한 어떠한 네트워크를 통해서도 전송해서는 안 된다. 패스워드를 입력하기 위해 사용하는 장치는 보안 방식으로 네트워크에 연결되어야 한다.

n 패스워드는 네트워크 서비스 인증을 위해 평문으로 전달되어서는 안 된다. 시도/응답 또는 공개키 인증과 같이 사용할 수 있는 보안 대안이 더 있다.


6-29

난수 또는 무작위 문자열을 시도로서 보낸다. 서비스 요청자는 비밀 코드를 사용하여 서비스 제공자를 위해 고유의 응답을 생성한다. 예상했던 응답인 경우 서비스 요청자는 네트워크에 비밀을 전혀 노출하지 않고도 “비밀”에 접근할 수 있다.

시도/응답 인증은 전통적인 패스워드 인증의 보안 취약점을 해결한다. 패스워드(해시화 또는 평문)가 네트워크를 통해 전송되는 경우, 실제 “비밀” 자체의 일부분이 전송되어, 인증을 수행하는 원격 장치에 비밀을 제공하게 된다. 따라서 전통적인 패스워드 교환은 항상 발견 또는 재생의 위험이 있다. 비밀은 사전에 공지되어 있으며 시도/응답 시스템에 전혀 전송되지 않기 때문에, 발견의 위험은 제거된다. 서비스 제공자가 동일한 시도를 두 번 전송할 수 없고 수신기가 모든 중복을 감지할 수 있는 경우, 네트워크 캡처 및 재생 공격의 위험은 제거된다.

6.2.7.3 물리적 토큰 인증

물리적 또는 토큰 인증은 이러한 기술이 접근을 요청하는 자가 소유하고 있는 장치 또는 토큰(예: 보안 토큰 또는 스마트카드)에 의해서 생성된 비밀 코드 또는 키를 검증함으로써 신빙성을 판단하는 점을 제외하면 패스워드 인증과 유사하다. 개인키는 갈수록 USB 동글과 같은 물리적 장치에 내장되고 있다. 일부 토큰은 단일 요인 인증만을 지원하여 단순하게 토큰을 소유만해도 인증에 충분하다. 기타 토큰은 토큰의 소유에 추가하여 PIN 또는 패스워드를 알아야 하는 다원적 인증을 지원한다.


사용자 인증의 경우 제어시스템 또는 산업용 네트워크의 접근에 필요한 빠른 역학 관계에서 도입될 수 있는 지연이 있을 수 있기 때문에 제어시스템에 대한 시도/응답 인증의 직접 사용은 실행 불가능할 수 있다. 네트워크 서비스 인증의 경우 더 전통적인 패스워드 또는 근원지 정체 인증 체계에 시도/응답 인증의 사용이 바람직하다.

시도/응답 인증은 네트워크를 통한 사용자 인증에서 암호화된 패스워드 보다 나은 보안을 제공한다. 마스터 암호화 알고리즘 및 마스터 패스워드의 관리는 더 많은 당사자들이 보안 공정에 관여하게 되면서 더욱 복잡해지며, 보안 체계의 강건성에 중요한 고려사항이다.


6-30

토큰 인증은 비밀 코드를 손쉽게 복제하거나 다른 사람들과 공유하는 주요 취약성을 해결한다. 토큰 인증은 “보안” 시스템에 대한 패스워드가 PC 또는 운영자 스테이션 옆의 벽에 적혀 있는 너무나도 흔한 시나리오를 제거한다. 보안 토큰은 장비와 저장품에 대한 특별한 접근 없이는 복사될 수 없다.

두 번째 장점은 물리적 토큰 내의 비밀이 매우 클 수 있으며 물리적으로 안전하고 무작위로 생성될 수 있는 것이다. 금속이나 실리콘 내에 내장되기 때문에 수동으로 입력되는 패스워드에 있는 동일한 위험이 없다. 예고 없이 분실 또는 도난될 수 있는 전통적인 패스워드와는 다르게 보안 토큰이 분실 또는 도난되는 경우 인가된 사용자는 접근하지 못한다.

물리적/토큰 인증의 일반적인 형태는 다음과 같다.

n 전통적인 물리적 잠금 및 키.n 보안 카드(예: 자기, 스마트 칩, 광코딩).n 카드, 전자 열쇠 또는 장착 태그 형태의 무선 주파수 장치.n USB, 컴퓨터의 직렬 또는 병렬 포트에 연결되는 보안 암호화 키와 동글.n 일회성 인증 코드 생성기(예: 전자 열쇠).

단일 요인 인증의 경우 가장 큰 약점은 물리적으로 토큰을 보유하면 접근 권한이 부여되는 것이다(예: 일련의 분실된 키를 발견하는 누구든지 키로 열수 있는 모든 것에 대한 접근 권한을 가지게 된다). 물리적/토큰 인증은 두 번째 형태의 인증(예: 토큰과 함께 사용되는 PIN 암기)과 결합되었을 때 더욱 안전하다.


다원적 인증은 산업제어시스템(ICS) 방화벽의 외부에서 산업제어시스템(ICS) 응용 프로그램에 접근하기 위한 인정된 우수 사례이다.

물리적/토큰 인증에는 산업제어시스템(ICS) 환경에서 강력한 역할의 가능성이 있다. 컴퓨터가 보안 영역에 있는 한 접근 카드 또는 기타 토큰은 컴퓨터 접근을 위한 인증의 효과적인 형태일 수 있다(예: 일단 운영자가 적절한 보조 인증으로 한 영역에 대한 접근에 성공한 경우, 카드만 가지고도 제어 동작을 실행할 수 있다).


6-31

6.2.7.4 스마트카드 인증

스마트카드는 토큰 인증과 유사하지만 추가 기능을 제공할 수 있다. 스마트카드는 개인을 위한 회사 사진이 부착된 신분증의 역할을 하면서 건물 접근, 컴퓨터 이중 요인 또는 삼중 요인 인증 및 단일 카드의 전자지불 자동판매를 지원하는 여러 내장 응용 프로그램을 실행하도록 구성할 수 있다.

전형적으로, 스마트카드는 돌출인쇄형의 개별적으로 맞춤화할 수 있는 신용카드 크기와 모양으로 제공된다. 스마트카드는 사내에서 또는 전형적으로 하루에 수십만 장의 카드를 발행하는 서비스 제공자에게 외주로 나가서 맞춤화, 개별화 및 발행될 수 있다.

스마트카드는 추가 인증 요인을 제공하고 복잡한 비밀을 기억해야 하는 인간적 요소를 제거함으로써 소프트웨어 전용 솔루션(예: 패스워드 인증)을 강화한다. 또한 스마트카드에는 다음과 같은 기능이 있다.

n 인증, 디지털 서명 및 알 필요가 없는 시스템의 다른 부분에서 키 교환을 수반하는 보안이 중요한 계산을 격리한다.

n 여러 컴퓨터 시스템 간의 자격증명 및 기타 개인 정보의 이동을 가능하게 한다.

n 개인키 및 기타 형태의 개인 정보를 보호하는 변형 억제 저장 장치를 제공한다.

대부분의 문제는 카드 발행 특히, 분실 또는 도난 카드를 교체하는 것과 관련된 물류 문제이다.


스마트카드는 비교적 저렴하면서 산업제어시스템(ICS)의 맥락에서 유용한 기능을 제공하지만, 그 구현은 공장의 전반적인 보안의 맥락에서 수행해야 한다. 필요한 개인의 식별, 카드의 발급, 훼손이 의심되는 경우 폐지 및 인증된 신원에 대한 인가의 할당은 상당한 초기 및 지속적인 문제점을 나타낸다. 경우에 따라서 스마트카드 및 공개키 기반 인프라의 배치를 지원하기 위한 기업 정보기술(IT) 또는 기타 자원을 사용할 수 있다.


6-32

6.2.7.5 생체인식 인증

생체인식 인증 기술에서는 접근을 요청하는 사람의 가정할 수 있는 고유의 생물학적 특성을 판단함으로써 신빙성을 판단한다. 사용할 수 있는 생체인식 기능에는 지문, 얼굴 형상, 망막 및 홍채 서명, 음성 패턴, 타이핑 패턴 및 장문 인식이 포함되어 있다.

물리적 토큰 및 스마트카드와 마찬가지로 생체인식 인증에서는 추가적인 인증 요인을 제공하고 복잡한 비밀을 기억하는 인간적 요소를 제거함으로써 소프트웨어 전용 솔루션(예: 패스워드 인증)을 강화한다. 추가로, 생체인식 특성은 특정 개인에게 고유하기 때문에 생체인식 인증은 분실 또는 도난되는 물리적 토큰 및 스마트카드의 문제를 해결한다.

생체인식 인증의 지적 문제는 다음과 같다.

n 가짜에서 실제 객체를 구별(예: 실제 인간 손가락과 실리콘 고무 주형을 구별하거나 실제 인간 음성과 녹음된 소리를 구별하는 방법).

n 유형-I 및 유형-II 오류 생성(각각, 유효한 생체인식 이미지 거부의 개연성 및 잘못된 생체인식 이미지 수용의 개연성). 생체인식 인증 장치는 교차 오류율이라고도 알려져 있는 이러한 두 개연성 사이에서 가장 낮은 교차점으로 구성되어야 한다.

n 민감한 일부 생체인식 장치에 대한 환경적 요인(예: 온도 및 습도) 처리.

n 직원들이 보안경 및/또는 안전장갑을 사용하고 공업 약품이 생체인식 스캐너에 영향을 줄 수 있는 산업용 적용 분야 해결.

n 시간이 지남에 따라 간혹 “이탈”하는 생체인식 스캐너를 재훈련. 인간 생체인식 형질도 시간이 지남에 따라 변하기 때문에 주기적인 스캐너 재훈련이 필요하다.

n 전화를 통해 전달할 수 있는 패스워드 또는 접수 담당자가 배부할 수 있는 접근 카드와는 달리 장치 훈련을 위한 대면 기술 지원 및 확인 필요.

스마트카드가 산업용 제어 설정에 구현되는 경우, 분실 또는 손상 카드의 관리 규정 뿐 아니라 각 접근통제 시스템을 통합하고 카드의 배급과 회수를 위한 관리 공정을 제공하기 위한 비용을 고려해야 한다.


6-33

n 합법적인 사용자를 인식하기 위한 감지 장치의 일시적인 불능 때문에 제어시스템에 필요한 접근 거부.

n 사회적으로 수용가능. 사용자는 일부 생체인식 인증 장치가 다른 것에 비해 더 수용가능한 것으로 간주한다. 예를 들어, 엄지손가락 지문 스캐너는 수용가능성의 등급이 높은 것으로 간주될 수 있는 반면, 망막 스캔은 수용가능성의 등급이 매우 낮은 것으로 간주될 수 있다. 생체인식 인증 장치의 사용자는 다양한 생체인식 인증 기술 중에서 하나를 선택할 때 자신의 대상 그룹의 사회적 수용가능성을 고려해야 한다.

6.2.8 사고 대응

사고 대응 계획은 조직의 정보시스템 사고를 감지하고 대응하며 결과를 제한하기 위한 사전정의된 일련의 가이드 또는 절차의 문서이다. 다른 무엇보다도 먼저 훼손된 시스템 뿐 아니라 “제공되는 서비스”에 대한 대응을 측정해야 한다. 사고가 발견되는 경우, 빠른 위험 평가를 수행해서 공격과 대응 옵션의 영향을 평가해야 한다. 예를 들어, 한 가지 가능한 대응 옵션은 공격을 당한 시스템을 물리적으로 격리하는 것이다. 하지만, 이것은 존속 불가능한 서비스로 잊힐 수 있는 끔직한 영향을 미칠 수 있다.

미국국립표준기술연구소(NIST) SP 800-53 사고 대응(IR) 단위에 속하는 보안 통제 수단은 사고 대응 모니터링, 처리 및 보고를 위한 정책 및 절차를 제공한다. 보안 사고의 처리에는 준비, 감지 및 분석, 봉쇄, 근절 및 복구가 포함된다. 또한 통제 수단은 직원을 위한 사고 대응 훈련 및 정보시스템에 대한 사고 대응 기능의 검증을 다룬다.


생체인식 장치는 분실 또는 대여될 수 있는 다른 형태의 인증에 비해 유용한 보조 검사가 된다. 토큰 기반 접근통제 또는 신분증으로 작동되는 직원 시간기록계와 함께 생체인식 인증을 사용하는 경우 보안 수준이 향상된다. 가능한 적용 분야의 하나는 환경적으로 제어되고 물리적으로 안전한 제어실이다[34].

생체인식은 귀중한 인증 메커니즘을 제공할 수 있지만, 신뢰할 수 있는 인가된 인증을 위해 설치 환경 내의 물리적 및 환경적 문제를 재구성해야 할 수가 있기 때문에 산업용 응용 프로그램에 대해서 신중하게 평가해야 한다. 설치의 정확한 물리적 및 환경적 속성은 시스템 공급자 또는 제조업체가 조정해야 한다.


6-34

사고 대응(IR) 통제 수단에 대한 추가적인 가이드는 다음 문서에서 찾을 수 있다.

n 미국국립표준기술연구소(NIST) SP 800-61은 사고 처리 및 보고에 대한 가이드를 제공한다[59].

n 미국국립표준기술연구소(NIST) SP 800-83은 악성코드 사고 방지 및 처리에 대한 가이드를 제공한다[60].

n 미국국립표준기술연구소(NIST) SP 800-100은 정보 보안 거버넌스 및 기획에 대한 가이드를 제공한다[27] .


산업제어시스템(ICS)을 보호하기 위해 취한 조치에 상관없이 의도적 또는 비의도적 사고에 의해 훼손될 수 있는 것이 항상 가능하다. 보통 네트워크 문제에서 다음과 같은 증상이 발생할 수 있지만, 여러 증상이 발생하기 시작하는 경우 산업제어시스템(ICS)이 공격을 받고 있는 것을 표시하는 패턴이 나타날 수 있으며 자세하게 조사해 볼 가치가 있다. 숙련된 공격자일 경우 공격이 진행되고 있는 것이 분명하지 않을 수도 있다.

사고의 증상은 다음과 같다.

n 비정상적으로 극심한 네트워크 트래픽.n 디스크 공간 부족 또는 상당히 감소된 디스크 여유 공간.n 비정상적으로 높은 CPU 사용량.n 새로운 사용자 계정의 생성.n 관리자 수준 계정의 실제 사용 또는 시도.n 잠긴 계정.n 사용자가 부재 중에도 계정이 사용 중. n 로그 파일이 삭제됨.n 비정상적으로 많은 이벤트와 가득찬 로그 파일.n 바이러스 퇴치 또는 침임 탐지 시스템(IDS) 경고.n 바이러스 퇴치 소프트웨어 및 기타 보안 통제 수단의 사용 해제.n 예기치 않은 패치 변경.n 외부 IP 주소에 연결을 시도하는 장비.n 시스템(사회공학적 시도)에 관한 정보 요청.n 예기치 않은 형상 설정 변경.n 예기치 않은 시스템 종료.


6-35

6.2.9 유지보수

미국국립표준기술연구소(NIST) SP 800-53 유지보수(MA) 단위에 속하는 보안 통제 수단은 정보시스템의 구성요소에 대한 일상적이고 예방 차원의 유지보수를 수행하기 위한 정책 및 절차를 제공한다. 여기에는 유지보수 도구(로컬 및 원격 모두)의 사용과 유지보수 인원의 관리가 포함된다.

이러한 침입의 영향을 최소화하려면 대응을 계획할 필요가 있다. 사고 대응 계획에서는 침입이 발생했을 경우 후속 절차를 정의한다. 미국국립표준기술연구소(NIST) SP 800-61 2차 개정판, 컴퓨터 보안 사고 처리 가이드(Computer Security Incident Handling Guide) [59]에서는 다음 항목을 포함할 수 있는 사고 대응 계획에 대한 가이드를 제공한다.

n 사고의 분류. 각 잠재적인 사고에 대한 제대로 된 대응을 준비할 수 있도록 다양한 유형의 산업제어시스템(ICS) 사고를 파악하고 잠재적인 영향을 분류해야 한다.

n 대응 행동. 사고 시 취할 수 있는 몇 가지 대응이 있다. 이러한 대응은 아무 것도 하지 않는 것에서부터 전체 시스템 종료(산업제어시스템(ICS)의 전체 종료는 가능성이 아주 적은 대응이다)까지 이른다. 대응은 사고의 유형 및 산업제어시스템(ICS)과 물리적 제어 공정에 대한 영향에 따라 다르다. 사고의 유형 및 각 유형에 대한 대응을 문서화하는 서면 계획을 준비해야 한다. 이것은 사고로 인한 혼란 또는 스트레스가 있는 기간 동안 가이드를 제공할 것이다. 이 계획에는 다양한 조직에서 취해야 할 단계별 조치가 포함되어야 한다. 보고 요구사항이 있는 경우 주목해야 할 뿐 아니라, 보고 혼란을 줄이기 위해 보고서 담당 부서 및 전화번호도 포함해야 한다.

n 복구 행동. 산업제어시스템(ICS)에서 침입의 결과는 사소하거나 많은 문제를 일으킬 수 있다. 산업제어시스템(ICS)에서 고장 모드로 제어되는 물리적 시스템의 중요도를 결정하기 위한 위험 분석을 수행해야 한다. 시스템이 가능한 빠르고 안전하게 정상 작동으로 복귀할 수 있도록 각 경우의 단계별 복구 행동을 문서화해야 한다. 산업제어시스템(ICS)의 작동에 영향을 주는 침입에 대한 복구 행동은 시스템의 재난 복구 계획과 밀접하게 연결되어 있으며 이미 수립되어 있는 기획 및 조정을 고려해야 한다.

사고 대응 계획의 준비 도중에 운영, 설계, 정보기술(IT), 시스템 지원 공급자, 경영진, 노동조합, 법률 및 안전 등의 다양한 관계자에게 조언을 수렴해야 한다. 이러한 관계자도 계획을 검토하고 승인해야 한다.


6-36

MA 통제 수단에 대한 추가적인 가이드는 다음 문서에서 찾을 수 있다.

n 미국국립표준기술연구소(NIST) SP 800-63은 원격 유지보수의 전자 인증에 대한 가이드를 제공한다[53].


6.2.10 매체 보호

미국국립표준기술연구소(NIST) SP 800-53 매체 보호(MP) 단위에 속하는 보안 통제 수단은 매체에 대한 접근을 인가된 사용자에게 한정하기 위한 정책 및 절차를 제공한다. 또한 배급 및 처리 요구사항 뿐 아니라 매체의 저장, 전송, 정리(디지털 매체에서 정보 제거), 파손 및 처분을 위해 매체에 내용 표시를 하기 위한 통제 수단도 존재한다.

MP 통제 수단에 대한 추가적인 가이드는 다음 문서에서 찾을 수 있다.

n 미국국립표준기술연구소(NIST) SP 800-88은 적절한 정리 장비, 기법 및 절차에 대한 가이드를 제공한다[78].



매체 자산에는 외장형 매체 및 장치(예: 플로피 디스크, CD, DVD 및 USB 메모리 스틱) 뿐 아니라 인쇄 보고서 및 문서가 포함된다. 물리적 보안 통제 수단은 이러한 자산의 안전과 보안 유지보수를 위한 특정 요구사항을 다루어야 하며, 이러한 자산을 전송, 처리, 소거 또는 파괴하기 위한 특정 가이드를 제공해야 한다. 보안 요구사항에는 손실, 화재, 도난, 의도하지 않은 배급 또는 환경적 손상에서 보호하기 위한 안전한 저장을 포함할 수 있다.

공격자가 산업제어시스템(ICS)에 관련된 백업 매체의 접근 권한을 획득한 경우 공격을 개시하기 위한 중요한 데이터를 공급할 수 있다. 백업에서 인증 파일을 복구한 공격자는 패스워드 크래킹 도구를 실행하여 사용할 수 있는 패스워드를 추출할 수 있다. 추가로, 백업에는 전형적으로 공격 기획에 유용한 기계 이름, IP 주소, 소프트웨어 버전 번호, 사용자 이름 및 기타 데이터가 포함되어 있다.


6-37

6.2.11 물리적 및 환경적 보호

미국국립표준기술연구소(NIST) SP 800-53 물리적 및 환경적 보호(PE) 단위에 속하는 보안 통제 수단은 지정된 입구/출구점, 전송 매체 및 표시 매체 등의 정보시스템에 대한 모든 물리적 접근을 위한 정책 및 절차를 제공한다. 여기에는 물리적 접근, 로그 유지 및 방문객 처리를 모니터링하기 위한 통제 수단이 포함된다. 또한 이 단위에는 비상 보호 통제 수단(예: 정보기술(IT) 시스템의 비상 종료, 전력과 조명의 백업, 온도와 습도의 통제 수단 및 화재 피해와 수해에서 보호)의 배치 및 관리를 위한 통제 수단이 포함된다.

PE 통제 수단에 대한 추가적인 가이드는 다음 문서에서 찾을 수 있다.

n 미국국립표준기술연구소(NIST) SP 800-46은 재택근무 및 광대역 통신 보안에 대한 가이드를 제공한다[51].


물리적 보안 조치는 공장 자산 및 주위 환경에 대한 돌발적인 위험 또는 고의의 손실이나 손상을 줄이기 위해 설계된다. 안전하게 보호되는 자산은 공구 및 공장 장비, 환경, 주위의 공동체 및 지적 재산권(예: 공정 설정 및 고객 정보와 같은 독점 데이터)과 같은 물리적 자산이 될 수 있다. 물리적 보안 통제 수단을 배치하려면 환경, 안전, 규제, 법률 및 기타 요구사항을 파악하고 준수하여 주어진 환경에 맞게 해결해야 한다. 물리적 보안 통제 수단 배치의 주제는 방대하며 필요한 보호의 유형에 맞게 구체화할 필요가 있다

악성코드의 도입 또는 데이터의 부주의한 손실 또는 도난을 방지하기 위해 산업제어시스템(ICS)의 일부이거나 이에 연결된 모든 노드에서 CD, DVD, 플로피 디스크, USB 메모리 스틱 또는 유사한 외장형 매체를 무단으로 사용하는 것을 금지해야 한다. 시스템 구성요소에 수정되지 않은 업계 표준 프로토콜이 사용되는 경우 기계화된 정책 관리 소프트웨어를 사용하여 매체 보호 정책을 시행할 수 있다.


산업제어시스템(ICS)과 관련된 사이버 구성요소 및 데이터의 물리적 보호는 공장의 종합적인 보안의 일환으로서 해결해야 한다. 많은 산업제어시스템(ICS) 시설 보안은 공장 안전에 밀접한 관련이 있다. 주요 목표는 사람들이 담당 업무와 비상


6-38

절차를 수행하는 것을 막지 않으면서 위험한 상황에 빠지지 않게 하는 것이다. 물리적 보안 통제 수단은 산업제어시스템(ICS) 환경의 모든 정보 자산에 대한 물리적 접근을 제한하기 위한 능동적이거나 수동적인 모든 물리적 조치이다. 이러한 조치는 다음과 같이 많은 유형의 바람직하지 않는 영향을 방지하기 위해 사용된다.

n 기밀에 관련된 위치에 대한 물리적인 무단 접근.

n 기존 시스템, 인프라, 통신 인터페이스, 인원 또는 물리적 위치의 물리적 수정, 조작, 도난 또는 기타 제거 또는 파손.

n 육안 관찰, 노트 작성, 사진 또는 기타 수단을 통한 기밀 관련 정보 자산의 무단 관찰.

n 새로운 시스템, 인프라, 통신 인터페이스 또는 기타 하드웨어의 무단 도입 방지.

n 하드웨어 조작, 통신 도청 또는 기타 해로운 영향을 초래하기 위해 의도적으로 설계된 장치의 무단 소개 방지.

제어실 또는 제어시스템 구성요소에 대한 물리적 접근 권한을 얻는 것은 보통 공정제어시스템에 대한 논리적 접근 권한도 얻는 것을 의미한다. 마찬 가지로, 시스템(예: 주 서버 및 제어실 컴퓨터)에 대한 논리적 접근 권한을 가진 공격자는 물리적 공정에 대한 제어를 행사할 수 있다.

컴퓨터에 쉽게 접근할 수 있고 외장형 매체 드라이브(예: 플로피 디스크, 컴팩트 디스크, 외장형 하드 드라이브) 또는 USB 포트가 있는 경우, 드라이브에 잠금 장치를 장착하거나 컴퓨터에서 제거하고 USB 포트를 사용하지 않을 수 있다. 또한 보안 수요 및 위험에 따라 전원 버튼을 쓰지 못하게 하거나 물리적으로 보호하여 무단 사용을 방지하는 편이 더 신중할 수 있다. 최대 보안을 위해 서버를 봉쇄되고 인증 메커니즘(예: 키)으로 보호된 영역에 배치해야 한다. 또한, 산업제어시스템(ICS) 네트워크의 네트워크 장치(스위치, 라우터, 네트워크 잭, 서버, 워크스테이션 및 컨트롤러 등)는 인가된 인원만 접근할 수 있는 보안 영역에 위치해야 한다. 보안 영역도 장치의 환경적 요구사항에 맞아야 한다.

물리적 보안에 대한 심층 방어 솔루션은 다음의 속성을 포함해야 한다.

n 물리적 위치의 보호. 전통적인 물리적 보안 고려 사항은 전형적으로 계층화된 보안 조치의 고리 구조와 관련 있다. 건물, 시설, 사무실, 장비 또는 기타 정보 자산 주위에 능동적이고 수동적인 여러 물리적 장벽을 만드는 경우 이러한 물리적 보안 외곽을 설정한다. 물리적 장소를 보호하기 위한 물리적 보안 통제 수단에는 울타리, 대차량 도랑, 흙 제방, 장벽, 강화 장애물, 출입문 또는 기타


6-39

수단 등이 포함된다. 대부분의 조직은 울타리, 위병소, 출입문 및 잠긴 문을 사용하여 공장에 대한 접근을 방지하는 이 계층화된 모델을 포함한다.

n 접근통제. 접근통제시스템은 인가된 사람만 통제 공간에 접근할 수 있도록 보장해야 한다. 접근통제시스템은 유연해야 한다. 접근 필요성은 시간(주간 대 야간 근무), 훈련의 수준, 고용 상태, 작업 배당, 공장 상태 및 무수한 기타 요인에 기초할 수 있다. 시스템은 접근 권한이 부여된 사람이 말하는 그런 사람이 맞는지 여부를 확인할 수 있어야 한다(일반적으로 접근 카드 또는 키와 같은 소지품, 개인 식별 번호(PIN)와 같은 지식 또는 생체인식 장치를 통한 신체적 특성을 사용). 접근통제는 신뢰성이 높아야 하며, 공장 직원의 일상적이거나 비상 직무를 방해해서는 안 된다. 접근통제를 공정 시스템에 통합하는 경우 보안 접근 뿐 아니라 물리적 및 인적 자산 추적을 가능하게 하여 비상 시 대응 시간을 극적으로 가속하며 안전한 위치로 개인을 안내하는 것을 돕고 전체 생산성을 향상시킨다. 영역 내에서 네트워크 및 컴퓨터 보관장에 대한 접근은 네트워크 기술자 및 기사 또는 컴퓨터 유지보수 직원과 같이 필요한 사람에게 한정해야 한다. 장비 보관장은 잠겨 있어야 하며 보관장의 배선은 단정해야 한다. 모든 컴퓨터를 안전한 선반에 보관하고 주변장치 확장 기술을 사용하여 인간-기계 간 인터페이스를 선반의 컴퓨터에 연결하는 것이 좋다.

접근 모니터링 시스템. 접근 모니터링 시스템에는 정지화상 카메라, 비디오

카메라, 센서 및 다양한 유형의 식별 시스템이 포함된다. 이러한 시스템의 예

에는 주차장, 편의점 또는 항공 보안을 모니터링하는 카메라가 포함된다. 이

러한 장치는 구체적으로 특정 위치에 대한 접근을 막지 않지만, 개인, 차량,

동물 또는 기타 물리적 실체의 물리적 존재 또는 물리적 부재를 저장하고 기

록한다. 배치된 접근 모니터링 장치의 유형에 기초하여 충분한 조명을 제공

해야 한다.

접근 제한 시스템. 접근 제한 시스템에서는 보호 자원에 대한 접근을 물리적

으로 통제하거나 방지하기 위한 장치의 조합이 사용될 수 있다. 접근 제한

시스템에는 능동적 및 수동적 보안 장치(예: 울타리, 문, 금고, 출입문 및 가

드)가 모두 포함된다. 보통 식별 시스템 및 모니터링 시스템과 결부되어 특정

개인 또는 개인 그룹을 위한 역할 기반의 접근을 제공한다.

n 사람 및 자산 추적. 대형 시설에서 사람 및 차량을 찾는 것은 안전상의 이유로 중요하며, 보안상의 이유로도 점점 중요해진다. 자산 위치결정 기술은 공장 내에서 사람과 차량의 이동을 추적하여 인가된 영역에 머무르고 있는 것을 확인하고 지원이 필요한 직원을 파악하며 비상 대응을 지원하기 위해 사용할 수 있다.


6-40

6.2.11.1 제어센터/제어실

n 환경적 요인. 시스템 및 데이터의 보안 수요의 해결에 있어서 환경적 요인을 고려하는 것이 중요하다. 예를 들어, 현장에 먼지가 많은 경우 시스템을 여과된 환경에 배치해야 한다. 이것은 석탄이나 철을 처리하는 현장과 같이 먼지에 전도성 또는 자성의 가능성이 있는 경우 특히 중요하다. 진동이 문제가 될 가능성이 있는 경우 시스템을 고무 부싱에 장착해서 디스크 충돌 및 배선 연결 문제를 방지해야 한다. 추가로, 시스템 및 매체(예: 백업 테이프, 플로피 디스크)가 있는 환경의 온도 및 습도는 안정되어야 한다. 온도 및 습도와 같은 환경적 사양의 한도를 초과하는 경우 공정제어시스템의 경보가 발생되어야 한다.

n 환경적 제어시스템. 제어실의 난방, 환기, 공기 조화(HVAC) 시스템은 정상 작동 및 비상 상황(예: 독성 물질의 방출)에서 공장 직원을 지원해야 한다. 화재 방지 시스템은 득보다 더 많은 해가 발생하지 않도록 신중하게 설계해야 한다(예: 물과 성질이 맞지 않는 제품의 혼합을 방지). 난방, 환기, 공기 조화(HVAC) 시스템과 화재 시스템은 공정제어와 보안의 상호 의존성에서 생기는 보안 역할이 상당히 증가하고 있다. 예를 들어, 산업용 제어 컴퓨터를 지원하는 화재 방지 시스템과 난방, 환기, 공기 조화(HVAC) 시스템을 사이버 사고로부터 보호해야 한다.

n 전력. 산업제어시스템(ICS)에 신뢰할 수 있는 전력은 필수적이기 때문에 무정전 전원장치(UPS)를 제공해야 한다. 현장에 비상 발전기가 있는 경우 UPS 배터리 수명은 몇 초면 충분하겠지만, 현장이 외부 전력에 의존하는 경우 UPS 배터리 수명은 여러 시간 동안 필요할 수 있다. 시스템이 안전하게 종료되기 위한 최소한의 용량이어야 한다.


제어센터/제어실에 물리적 보안을 제공하는 것은 잠재적인 많은 위협을 줄이기 위해 필수적이다. 공장에 대한 지속적인 관찰과 대응 속도가 매우 중요한 곳의 제어센터/제어실에는 보통 주 제어 서버에 지속적으로 접속되는 콘솔이 있다. 이러한 영역에는 보통 자체 서버, 기타 중요한 컴퓨터 노드 및 때로는 공장 컨트롤러가 포함되어 있다. 이러한 영역에 대한 접근을 인증 방법(예: 스마트카드, 자기식 신분증 또는 생체인식 장치)을 사용하여 인가된 사용자에게만 한정하는 것이 필수적이다. 극단적인 경우 제어센터/제어실을 폭발의 영향을 견디게 만들거나, 주 제어센터/제어실이 없어지는 경우 제어를 유지할 수 있도록 현장 밖의 비상 제어센터/제어실을 제공하는 것이 좋을 수 있다.


6-41

6.2.11.2 휴대용 장치

6.2.11.3 케이블류

6.2.12 기획

보안 계획서는 정보시스템에 대한 보안 요구사항의 개요를 제공하고 그러한 요구사항을 충족하기 위해 계획되거나 배치된 보안 통제 수단을 설명하는 공식 문서이다. 미국국립표준기술연구소(NIST) SP 800-53 기획(PL) 단위에 속하는 보안 통제 수단은 보안 계획의 개발을 위한 기준을 제공한다. 이러한 통제 수단은 주기적으로 보안 계획을 업데이트하는 유지보수 문제도 다룬다.


산업제어시스템(ICS) 기능에 사용되는 컴퓨터 및 컴퓨터화된 장치(예: 프로그래머블 로직 컨트롤러(PLC) 프로그래밍)는 산업제어시스템(ICS) 영역 밖으로 내보낼 수 없다. 노트북 컴퓨터, 휴대용 엔지니어링 워크스테이션 및 포켓용 장치(예: 375 HART 커뮤니케이터)는 단단히 해당 장소에 보관해야 하며, 산업제어시스템(ICS) 네트워크 외부에서 사용해서는 안 된다. 바이러스 퇴치 및 패치 관리는 최신으로 유지해야 한다.


사이버보안 계획에서는 제어 네트워크를 위한 케이블류의 설계 및 구현을 다루어야 한다. 비차폐 연선 통신 케이블은 사무실 환경에서는 허용 가능한 반면, 공장 환경에서는 자기성 현장, 전파, 극한 온도, 습기, 먼지, 진동에 의한 간섭에 대한 민감성 때문에 일반적으로 적합하지 않다. 다른 유형의 연선 커넥터 대신에 산업용 RJ-45 커넥터를 사용해서 습기, 먼지 및 진동으로부터 보호해야 한다. 일반적으로 제어 네트워크를 위한 네트워크 케이블류로는 산업용 제어 환경에 있는 전기 및 무선 주파수 간섭 등의 많은 일반적인 환경 조건에 영향을 받지 않는 광섬유 케이블 및 동축 케이블을 선택하는 것이 좋다. 케이블 및 커넥터를 색상별로 표시하여 산업제어시스템(ICS) 및 정보기술(IT) 네트워크를 명확하게 묘사하고 부주의한 교차 접속의 가능성을 감소시킬 수 있도록 해야 한다. 케이블은 접근이 최소화(즉, 인가된 인원 전용)되도록 설치해야 하며, 장비는 충분한 환기 및 공기 여과가 되는 잠긴 보관장에 설치해야 한다.


6-42

일련의 규칙에서는 정보시스템에 대한 접근을 인가하기 전에 행동 규칙을 읽고, 이해하며 동의할 것을 나타내는 사용자의 서명 동의에 대한 규정과 정보시스템 사용에 관한 사용자 책임 및 바람직한 행동을 설명한다.

PL 통제 수단에 대한 추가적인 가이드는 다음 문서에서 찾을 수 있다.

n 미국국립표준기술연구소(NIST) SP 800-18은 행동 규칙 준비에 대한 가이드를 제공한다[19].


6.2.13 인적 보안

미국국립표준기술연구소(NIST) SP 800-53 인적 보안(PS) 단위에 속하는 보안 통제 수단은 사람에 의한 오류, 도난, 사기 또는 기타 의도하거나 의도하지 않은 정보시스템의 오용의 위험을 줄이기 위한 정책 및 절차를 제공한다.

PS 통제 수단에 대한 추가적인 가이드는 다음 문서에서 찾을 수 있다.

n 미국국립표준기술연구소(NIST) SP 800-35는 정보기술 보안 서비스에 대한 가이드를 제공한다[44].

n 미국국립표준기술연구소(NIST) SP 800-73은 개인 신원확인용


산업제어시스템(ICS)을 위한 보안 계획은 적절한 기존 정보기술(IT) 보안 경험, 프로그램 및 사례 위에 구축해야 한다. 하지만, 제2.4절에서 다루어진 정보기술(IT)과 산업제어시스템(ICS) 사이의 중요한 차이점은 산업제어시스템(ICS)에 보안이 적용되는 방법에 영향을 준다. 연속 보안 개선을 위한 방법을 제공하기 위해서는 전향적인 계획이 필요하다. 새로운 시스템이 설계되고 설치될 때마다, 구조에서 조달, 설치, 유지보수, 해체에 이르는 수명주기 전체에 걸친 보안을 해결하는 것이 필수적이다. 산업제어시스템(ICS) 보안은 빠르게 진화하는 분야이며, 최신 산업제어시스템(ICS) 보안 기능 뿐 아니라 산업제어시스템 사이버비상대응팀(ICS-CERT) 등의 조직에서 파악하는 새로운 위협을 지속적으로 탐구하기 위한 보안 기획 절차를 필요로 한다.


6-43

인터페이스에 대한 가이드를 제공한다[49].


n 미국국립표준기술연구소(NIST) SP 800-100은 정보 보안 거버넌스 및 기획에 대한 가이드를 제공한다 [27].

인적 보안 조치는 사람에 의한 오류, 도난, 사기 또는 기타 의도하거나 의도하지 않은 정보 자산의 오용의 위험 및 가능성을 줄이기 위한 조치이다. 인적 보안에는 3가지의 주요 측면이 있다.

n 고용 정책. 여기에는 사전 고용 적격 심사(예: 배경 조사, 면접 절차, 고용 조건, 전체 직무기술서 및 직무의 상세 내용, 고용의 조건, 직원 또는 계약자의 법적 권리 및 책임)가 포함된다.

n 조직 정책 및 실무. 여기에는 보안 정책, 정보 분류, 문서/매체의 유지보수/처리 정책, 사용자 훈련, 허용 가능한 조직 자산 사용 정책, 주기적인 직원 성과 검토, 적절한 배경 확인 및 조직 인원, 계약자, 방문객의 바람직한 필수 행동을 설명하는 모든 기타 정책 및 행동이 포함된다. 시행할 조직 정책은 문서화하여 직원 안내서를 전자 메일 안내로 공지하거나, 중앙 집중식 자원 영역에 위치시키거나 작업자의 책임 영역에 직접 게시하여 모든 작업자들이 사용할 수 있도록 한다.

n 고용 조건. 이 범주에는 업무 및 직책과 처벌, 징계 조치 및 고용을 해지시킬 수 있는 범행을 직원에게 통지하고 주기적으로 직원의 성과를 검토하는 것이 포함된다.


직책은 위험 지정 및 고용 적격 심사 기준으로 분류해야 하며, 직책을 채우는 개인은 이 기준에 따라 적격 심사를 받아야 할 뿐 아니라 정보시스템에 대한 접근 권한을 부여받기 전에 접근 동의를 완료해야 한다. 산업제어시스템(ICS)을 제어하고 유지하기 위한 중요한 직책의 직원은 적격 심사를 받아야 한다.

게다가, 각 직원이 자신의 업무기능에 관련된 필수 훈련을 받도록 하기 위해 훈련 프로그램을 신중하게 개발해야 한다. 또한, 직원들이 직무에서 자신의 능력을 입증했는지 확인한다.


6-44

6.2.14 위험 평가

미국국립표준기술연구소(NIST) SP 800-53 위험 평가(RA) 단위에 속하는 보안 통제 수단은 목적, 범위, 역할, 책임 및 규정 준수 뿐 아니라 정책 구현 절차를 설명하는 문서로 기록된 위험 평가 정책을 개발, 분배 및 유지하기 위한 정책 및 절차를 제공한다. 정보시스템 및 관련된 데이터는 보안 목표와 위험 수준의 범위에 기초해서 분류된다. 위험 평가는 정보시스템 및 데이터의 무단 접근, 사용, 공개, 교란, 수정 또는 파손의 결과로 인한 위험 및 피해의 크기를 파악하기 위해 수행된다. 또한 위험 평가를 최신으로 유지하고 주기적인 검증 및 취약성 평가를 수행하기 위한 메커니즘이 이러한 통제 수단에 포함되어 있다.

RA 통제 수단에 대한 추가적인 가이드는 다음 문서에서 찾을 수 있다.

n 미국국립표준기술연구소(NIST) SP 800-30은 위험 평가 및 업데이트 수행에 대한 가이드를 제공한다[79].

n 미국국립표준기술연구소(NIST) SP 800-39는 모든 조직 수준의 위험 관리에 대한 가이드를 제공한다[20].

n 미국국립표준기술연구소(NIST) SP 800-40은 보안 패치 처리에 대한 가이드를 제공한다[40].

n 미국국립표준기술연구소(NIST) SP 800-115는 네트워크 보안 검증에 대한 가이드를 제공한다[41].

n 미국국립표준기술연구소(NIST) SP 800-60은 정보 유형의 보안 범주 결정에 대한 가이드를 제공한다[25].



조직은 산업제어시스템(ICS)에서 발생한 사고의 결과로 인한 잠재적 결과를 반드시 고려해야 한다. 명확한 정책 및 절차는 사고를 저지하고 위험을 관리(사고 결과를 제거하거나 최소화)하기 위해 설계된 완화 기법으로 이어진다. 물리적 공장, 경제적 상태 또는 관계자/국가 신뢰의 잠재적인 퇴보는 완화를 정당화할 수 있다.


6-45

6.2.15 시스템 및 서비스 수집

미국국립표준기술연구소(NIST) SP 800-53 시스템 및 서비스 수집(SA) 단위에 속하는 보안 통제 수단은 정보시스템을 적절하게 보호하는 데 필요한 자원의 수집을 위한 정책 및 절차를 개발하기 위한 기준을 제공한다. 이러한 수집은 보안 요구사항 및 보안 사양에 기초한다. 수집 절차의 일부로서 정보시스템은 정보 보안 고려 사항을 포함하는 시스템 개발 수명주기 방법론을 사용하여 관리된다. 수집의 일부로서 정보시스템 및 그 구성요소에 대한 적절한 문서를 유지해야 한다.

또한 시스템 및 서비스 수집(SA) 단위에서는 외부에 위탁한 시스템과 지원 조직에서 지정한 공급자에 의한 적절한 보안 통제 수단의 포함을 다룬다. 공급자는 또한 이러한 외부에 위탁한 정보시스템에 대한 형상 관리 및 보안 검증의 책임도 있다.

SA 통제 수단에 대한 추가적인 가이드는 다음 문서에서 찾을 수 있다.

n 미국국립표준기술연구소(NIST) SP 800-23은 검증/평가된 정보기술 제품의 수집 및 사용에 대한 가이드를 제공한다[42].

n 미국국립표준기술연구소(NIST) SP 800-27은 정보시스템 보안의 설계 원칙에 대한 가이드를 제공한다[43].

n 미국국립표준기술연구소(NIST) SP 800-35는 정보기술 보안 서비스에 대한 가이드를 제공한다[44].

산업제어시스템(ICS)의 경우 제어 네트워크에서 업무 네트워크로 계속 공급되는 데이터의 가치를 결정하는 것은 위험 평가의 매우 중요한 측면이다. 이 데이터에서 가격이 책정되는 경우 이 데이터의 가치는 매우 높을 수 있다. 완화에 대한 재정 타당성은 결과의 영향에 대한 완화 비용을 비교함으로써 도출해야 한다. 하지만, 일련의 두루 적용되는 보안 요구사항을 정의하는 것은 불가능하다. 매우 높은 수준의 보안은 달성할 수는 있지만 기능의 손실 및 기타 관련된 비용 때문에 많은 상황에서 바람직하지 않을 수 있다. 면밀하게 보안을 구현하는 것은 위험 대 비용의 균형을 이루는 것이다. 일부 상황에서 위험은 전적인 경제적 위험이 아니라 안전, 건강 또는 환경 관련 위험이다. 위험은 일시적인 재정 차질이 아니라 복구할 수 없는 결과를 초래할 수도 있다.


6-46

n 미국국립표준기술연구소(NIST) SP 800-36은 정보 보안 제품의 선택에 대한 가이드를 제공한다[45].

n 미국국립표준기술연구소(NIST) SP 800-64는 시스템 개발 수명주기에서 보안 고려 사항에 대한 가이드를 제공한다[46].

n 미국국립표준기술연구소(NIST) SP 800-65는 설비투자계획 제어 절차에 보안을 통합하기 위한 가이드를 제공한다[47].

n 미국국립표준기술연구소(NIST) SP 800-70은 정보기술 제품의 형상 설정에 대한 가이드를 제공한다[26].


6.2.16 시스템 및 통신 보호

미국국립표준기술연구소(NIST) SP 800-53 시스템 및 통신 보호(SC) 단위에 속하는 보안 통제 수단은 시스템 및 데이터 통신 구성요소를 보호하기 위한 정책 및 절차를 제공한다.

SC 통제 수단에 대한 추가적인 가이드는 다음 문서에서 찾을 수 있다.

n 미국국립표준기술연구소(NIST) SP 800-28은 능동적 콘텐츠 및 모바일 코드에 대한 가이드를 제공한다 [69].


조직의 정보시스템, 네트워크 및 데스크톱 환경의 전체 또는 일부의 관리 및 제어를 외부에 위탁하는 조직의 보안 요구사항은 당사자 간에 합의된 계약에 의해서 해결해야 한다. 조직의 보안에 영향을 주는 외부 공급업체는 산업제어시스템(ICS) 보안의 전반적인 수준을 유지하기 위해 동일한 보안 정책 및 절차를 유지해야 한다. 또한 2차 및 3차 공급업체의 보안 정책 및 절차는 산업제어시스템(ICS) 보안에 영향을 주는 경우 기업의 사이버보안 정책 및 절차를 준수해야 한다.

국토안보부(DHS)는 새로운 시스템을 조달하거나 기존 시스템을 유지할 때 보안 요구사항을 지정하기 위한 조달 언어 문서[48]를 개발했다.


6-47

n 미국국립표준기술연구소(NIST) SP 800-52는 전송 계층 보안(TLS) 구현에 대한 가이드를 제공한다[70].

n 미국국립표준기술연구소(NIST) SP 800-56은 암호화키 설정에 대한 가이드를 제공한다[71].

n 미국국립표준기술연구소(NIST) SP 800-57은 암호화키 관리에 대한 가이드를 제공한다[72].

n 미국국립표준기술연구소(NIST) SP 800-58은 VoIP 기술의 보안 고려 사항에 대한 가이드를 제공한다[73].


n 미국국립표준기술연구소(NIST) SP 800-77은 IP 보안 프로토콜(IPsec) 가상 사설 통신망(VPN)에 대한 가이드를 제공한다[74].

6.2.16.1 암호화

암호화는 데이터가 알려지거나 사용되는 것을 방지하기 위해 데이터(평문)를 원래 의미를 은폐하는 형태(암호문)로 암호화 변환하는 것이다. 변환을 되돌릴 수 있는 경우 해당 가역 공정은 암호화된 데이터를 원래의 상태로 복원하는 변환인 복호화라고 한다[75].


인증 및 무결성은 일반적으로 산업제어시스템(ICS) 응용 프로그램의 핵심 보안 문제이기 때문에 암호화 기능을 배치하기 전에 먼저 특정 산업제어시스템(ICS) 응용 프로그램에 암호화가 적절한 솔루션인지 여부를 결정한다. 또한 암호화 해시와 같은 기타 암호화 솔루션도 고려해야 한다.

산업제어시스템(ICS) 환경 내에서 암호화 기능을 사용하는 경우 각 메시지의 암호화, 복호화 및 인증에 필요한 추가 시간 및 컴퓨팅 자원으로 인해 통신 지연이 발생할 수 있다. 산업제어시스템(ICS)의 경우 암호화 또는 기타 모든 보안 기법의 사용에서 유발된 어떠한 지연도 최종 장치 또는 시스템의 작동 성능을 저하시키면 안 된다. 산업제어시스템(ICS) 환경 내에서 암호화를 배치하기 전에 솔루션에 대한 대규모의 성능 검증을 수행해야 한다. 암호화 지연을 감소시키려면 암호화는 개방형 시스템 간 상호 접속(OSI) 계층 3 보다는 계층2에 적용해야 한다.


6-48

추가로, 보통 암호화된 메시지는 다음 중 하나 이상의 이유 때문에 암호화되지 않은 메시지 보다 더 크다.

n 오류 감소를 위한 추가 체크섬.n 암호 기법 제어 프로토콜.n 패딩(블록 암호용).n 인증 절차.n 기타 필수 암호화 공정.

또한 암호 기법은 키 관리 문제를 초래한다. 확실한 보안 정책에는 주기적인 키 변경이 필수적이다. 이 공정은 산업제어시스템(ICS)의 땅의 크기가 커지면 곤란해진다. 가장 심한 예로는 대규모의 감시 제어 및 데이터 수집(SCADA) 시스템이 있다. 키를 변경하기 위해 현장을 방문하는 경우 비용이 많이 들고 시간이 오래 걸리기 때문에 키를 원격으로 변경하는 것이 유용하다.

암호 기법을 선택한 경우 가장 효과적인 안전보장조치는 미국국립표준기술연구소(NIST)/ 통신 보안국(CSE) 암호화 모듈 검증 프로그램(CMVP)21에서 승인한 완전 암호화 시스템을 사용하는 것이다. 이 프로그램내에서는 단일 조직에서 몇 명의 기술자들이 개발하기 보다는 광범위한 분야의 전문가가 신중하게 암호화 시스템의 약점을 연구한 것을 보장하기 위해 표준이 유지된다. 최소한, 인증은 다음 사항을 유력하게 한다.

n 동일한 메시지가 동일한 값을 매번 생성하지 않도록 하기 위해 일부 방법(예: 카운터 모드)이 사용된다.

n 산업제어시스템(ICS) 메시지는 재생 및 위조로부터 보호된다.

n 키 관리는 키의 수명주기 동안 안전하다.

n 시스템에 효과적인 난수 발생기가 사용된다.

n 전체 시스템은 안전하게 구현되었다.

그렇다고 하더라도, 기술은 효과적으로 시행된 정보 보안 정책의 필수적인 부분인 경우에만 효과가 있다. 미국 가스 협회(AGA) 보고서 12-1 [5]에는 이러한 보안 정책의 예가 포함되어 있다. 이 예는 천연 가스 감시 제어 및 데이터 수집(SCADA) 시스템에 관한 것이지만, 정책 권장 사항의 많은 부분은 모든 산업제어시스템(ICS)에 적용될 수 있다.

산업제어시스템(ICS)의 경우 암호화 기능은 포괄적으로 시행되는 보안 정책의 일부로서 배치될 수 있다. 조직은 보호되는 정보와 산업제어시스템(ICS) 운영 제약의 식별된 가치 및 위험 평가에 기초한 암호화 보호 기능을 선택해야 한다. 구체적으


6-49

6.2.16.2 가상 사설 통신망(VPN)

통신 데이터를 암호화하는 한 가지 방법은 공공 인프라에서 오버레이(Overlay)로 작동되는 사설 통신망인 VPN을 통한 것으로서 이 사설 통신망이 공공 네트워크에서 기능할 수 있다. 가장 일반적인 유형의 VPN 구현 기술은 다음과 같다.

n IP보안 프로토콜 (IPsec). IPsec은 일련의 표준으로서 IP 계층의 공공 네트워크에서 데이터의 보안 통신을 규제하는 국제 인터넷 기술 위원회(IETF)에서 정의한다. IPsec는 현재 많은 운영 체제에 포함되어 있다. 표준의 목적은 공급자 플랫폼 간의 상호운용성을 보장하는 것이다. 하지만, 실제로는 다중공급자 구현의 상호운용성의 판단은 최종 사용자 조직이 수행하는 특정 구현 검증에 따라 다르다. IPsec에서는 두 가지 암호화 모드(전송 모드 및 터널 모드)가 지원된다. 전송 모드에서는 각 패킷의 데이터 부분(실제 운반 데이터)만 암호화하고, 헤더는 본래 그대로 남겨 둔다. 더 안전한 터널 모드에서는 새로운 헤더를 각 패킷에 추가하고 원래의 헤더 및 실제 운반 데이터 모두를 암호화한다. 수신 측에서 IPsec 준수 장치는 각 패킷을 복호화한다. 이 프로토콜은 특정 요구사항(예: 개별 사용자 인증 및 NAT 장치 횡단을 해결하기 위한 프로토콜에 대한 확장)을 해결하기 위해 지속적으로 향상되었다. 이러한 확장은 전형적으로 공급자별로 구체적이며 주로 호스트-보안 게이트웨이 환경에서 상호운용성

21 CMVP에 대한 정보는 CMVP 웹 사이트(http://csrc.nist.gov/cryptval/cmvp.htm)에서 찾을 수

있다.

로, 암호화 키는 충분히 길어서 분석을 통해 추측하고 판단하는 것이 보호 자산의 가치 보다 더 많은 노력, 시간 및 비용이 소요되도록 해야 한다.

암호화 하드웨어는 물리적 부당 변경 및 제어되지 않는 전자 연결로부터 보호되어야 한다. 가령 암호 기법이 적절한 솔루션이라면 조직에서는 보호 장치가 너무 많거나 지리적으로 분산되어 있어서 키 변경이 어렵거나 고비용일 경우 원격 키 관리와 암호화 보호 기능을 선택해야 한다.

네트워크에서 각 포트를 통해 평문과 암호문 모두를 전달하는 데 절대적으로 제한이 필요한 경우가 아니라면 별도의 평문 포트 및 암호문 포트를 사용한다.

암호화 모듈 검증 프로그램(CMVP)을 통해 FIPS 140-2 [90]과 같은 표준을 준수하기 위해 인증받을 수 있는 모듈만을 사용한다.


6-50

문제가 발생할 수 있다. 미국국립표준기술연구소(NIST) SP 800-77은 IP 보안 프로토콜(IPsec) 가상 사설 통신망(VPN) [74]에 대한 가이드를 제공한다.

n 보안 소켓 계층(SSL). SSL은 패킷의 콘텐츠를 암호화하는 2대의 장비 간의 보안 채널을 제공한다. 국제 인터넷 기술 위원회(IETF)는 SSL 버전 3 프로토콜에 약간의 수정을 하여 전송 계층 보안(TLS)으로 불리는 새로운 프로토콜을 만들었다. “SSL”과 “TLS”는 자주 같은 의미로 사용되고 본 문서에서는 포괄적으로 SSL 용어가 사용된다. SSL은 주로 HTTP 트래픽 보안으로 인식되며, 이 프로토콜 구현은 HTTP 보안(HTTPS)으로 알려져 있다. 하지만, SSL은 HTTP 트래픽에만 제한된 것은 아니며 다양한 응용 프로그램 계층 프로그램의 보안에 사용될 수 있다. SSL 기반 VPN 제품은 “클라이언트가 없는” VPN 제품 시장 때문에 받아들여지고 있다. 이러한 제품에서는 표준 웹 브라우저가 SSL 지원이 내장되어 있는 클라이언트로서 사용된다. “클라이언트가 없는”이란 용어는 사용자의 시스템에 타사 VPN “클라이언트” 소프트웨어를 설치 또는 구성할 필요가 없다는 의미이다. 미국국립표준기술연구소(NIST) SP 800-52는 SSL 구성에 대한 가이드를 제공한다[70].

n 시큐어 셸(SSH). SSH는 원격 컴퓨터에 대한 보안 접근을 위한 명령 인터페이스 및 프로토콜이다. 네트워크 관리자들이 원격으로 웹 서버 및 기타 유형의 서버를 제어하는 데 널리 사용된다. 최신 버전인 SSH2는 국제 인터넷 기술 위원회(IETF)가 제안한 일련의 표준이다. 일반적으로, SSH는 텔넷 응용 프로그램의 대체 보안으로서 배치된다. SSH는 대부분의 UNIX 배치판에 포함되어 있으며 일반적으로 타사 패키지를 통해서 기타 플랫폼에 추가된다.


VPN은 신뢰할 수 없는 네트워크에서 산업제어시스템(ICS) 제어 네트워크로 보안 접근을 제공하기 위해 산업제어시스템(ICS) 환경에서 자주 사용된다. 신뢰할 수 없는 네트워크의 범위는 인터넷에서부터 기업 근거리 통신망(LAN)에 이른다. 제대로 구성된 경우 VPN은 제어시스템 호스트 컴퓨터와 컨트롤러에 대한 접근을 크게 제한하여, 보안을 향상시킨다. 또한 매개자 네트워크에서 비필수 무단 트래픽을 제거함으로써 잠재적으로 제어 네트워크 반응성을 향상시킬 수 있다.

기타 가능한 배치에는 개별 컨트롤러 전에 삽입하거나 개별 컨트롤러에서 실행되


6-51

6.2.17 시스템 및 정보 무결성

시스템 및 정보 무결성을 유지하는 것은 기밀에 관련된 데이터가 무단으로 은밀하게 수정되거나 삭제되지 않는 것을 보장하는 것이다. 미국국립표준기술연구소(NIST) SP 800-53 시스템 및 정보 무결성(SI) 단위에 속하는 보안 통제 수단은 정보시스템의 결함을 식별, 보고, 수정하기 위한 정책 및 절차를 제공한다. 통제 수단은 모든 산업제어시스템(ICS) 응용 프로그램에 적절하지 않을 수도 있지만 악성 코드 감지, 스팸과 스파이웨어 방지 및 침입 탐지를 위해 존재한다. 또한, 보안 경고와 주의보를 수신하고 정보시스템에 대한 보안 기능을 확인하기 위한 통제 수단도 제공된다. 추가로, 이 단위 내에는 소프트웨어 및 데이터에 대한 무단 변경을 감지하여 이로부터 보호하고, 데이터 입력 및 출력에 대한 제한을 제공하며, 데이터의 정확성, 완전성, 효력 확인 뿐 아니라 오류 조건 처리를 위한 통제 수단이 있지만, 모든 산업제어시스템(ICS) 응용 프로그램에 적절하지 않을 수도 있다.

SI 통제 수단에 대한 추가적인 가이드는 다음 문서에서 찾을 수 있다.

n 미국국립표준기술연구소(NIST) SP 800-40은 보안 패치 시설에 대한 가이드를 제공한다[40].

n 미국국립표준기술연구소(NIST) SP 800-94는 침입 탐지 및 방지(IDP) 시스템에 대한 가이드를 제공한다[55].


는 호스트 기반 또는 소형의 독립형 보안 게이트웨이를 사용하는 것이 있다. 개별 장치 기반으로 VPN을 이 기법으로 구현하는 경우 상당한 간접 관리 비용이 발생할 수 있다.

제어시스템을 보호하기 위해 사용되는 VPN 장치를 철저히 검증하여 VPN 기술이 응용 프로그램과 호환되며 VPN 장치의 구현이 네트워크 트래픽 특성에 영향을 미치지 않는 것을 입증해야 한다.


통제 수단은 모든 산업제어시스템(ICS) 응용 프로그램에 적합하지 않을 수도 있지


6-52

6.2.17.1 바이러스 및 악성 코드 감지

바이러스 퇴치 및 악성코드 감지 제품은 컴퓨터 저장 장치의 파일에 대해 알려진 악성코드 서명 파일의 목록을 감정한다. 컴퓨터에 있는 파일 중의 하나가 알려진 바이러스의 프로파일과 일치하는 경우 바이러스 소독 공정(예: 격리, 삭제)을 통해서 제거함으로써 기타 로컬 파일을 감염시키거나 네트워크를 통해 기타 파일을 감염시키지 못하도록 한다. 바이러스 퇴치 소프트웨어는 워크스테이션, 서버, 방화벽 및 포켓용 장치에 배치될 수 있다.

만 악성 코드 감지, 스팸과 스파이웨어 방지 및 침입 탐지를 위해 존재한다. 이러한 통제 수단에 대한 산업제어시스템(ICS)별 권장 사항 및 가이드는 “오류! 참조 정보를 찾을 수 없습니다.” 및 “0”으로 포함되어 있다.


바이러스 퇴치 도구는 알려진 공격 방법 및 실제 운반 데이터의 상태에 대해 제대로 설치되고 구성되어 전시간 실행 및 유지될 때만 효과적인 기능을 발휘한다. 바이러스 퇴치 도구는 정보기술(IT) 컴퓨터 시스템에서 일반적인 보안 관행인 반면, 산업제어시스템(ICS)에서 사용하려면 특별 관행(예: 호환성 검사, 변경 관리 문제 및 성능 영향 측정지표)을 채택해야 할 수도 있다. 이러한 특별 관행은 새로운 서명 또는 새로운 버전의 바이러스 퇴치 소프트웨어가 설치될 때마다 사용해야 한다.

주요 산업제어시스템(ICS) 공급자는 특정 바이러스 퇴치 도구의 사용을 추천하고 심지어 지원도 한다. 경우에 따라서 제어시스템 공급자는 지원 버전의 특정 바이러스 퇴치 도구를 위해 자체 제품군 전체에 회귀 검사를 수행했을 수도 있으며, 관련된 설치/구성 문서도 제공한다. 또한 산업제어시스템(ICS) 및 바이러스 퇴치 공급자 가이드를 사용할 수 없는 경우의 격차를 메우기 위해 산업제어시스템(ICS) 성능 영향에 중점을 둔 일련의 일반 가이드 및 시험 절차를 개발하기 위한 노력도 있다[56].

일반적으로:

n 콘솔, 엔지니어링 워크스테이션, 데이터 이력 관리 장치(Data Historians), 휴먼 머신 인터페이스(HMI) 및 일반 목적 감시 제어 및 데이터 수집(SCADA) 및 백업 서버로서 사용되는 Windows, Unix, Linux 시스템 등은 상용 정보기술(IT) 장비처럼 보안을 적용할 수 있다. 공정제어 네트워크 내에 위치한 바이러스 퇴치 서버 및 패치 관리 서버를 통해 분배되고 정보기술(IT) 네트워크에서


6-53

6.2.17.2 침입 탐지 및 방지

침입 탐지 시스템(IDS)은 침입자가 시스템에 침입하거나 침입을 시도하는 것을 파악할 수 있도록 네트워크상의 사건(예: 트래픽 패턴) 또는 시스템 상의 사건(예: 로그 항목 또는 파일 접근)를 모니터링한다[57]. 침입 탐지 시스템(IDS)은 보안 담당 직원이 비정상적인 활동(예: 새로 열린 포트, 비정상적인 트래픽 패턴 또는 중요한 운영 체제 파일 변경)에 주목할 수 있도록 한다.

가장 일반적인 2가지 유형의 침입 탐지 시스템(IDS)은 다음과 같다.

n 네트워크 기반 침입 탐지 시스템(IDS). 이 시스템은 네트워크 트래픽을 모니터링하고 공격으로 간주되는 트래픽을 식별한 경우 경보를 발생시킨다.

n 호스트 기반 침입 탐지 시스템(IDS). 이 소프트웨어는 하나 이상의 시스템 특성(예: 응용 프로그램 로그 파일 항목, 시스템 형상 변경 및 시스템의 기밀에 관련된 데이터 접근)의 유형을 모니터링하고, 사용자의 보안 위반 시도 시 경보 또는 보호 조치로 대응한다.

자동 업데이트되는 업데이트와 푸시 방식 또는 자동 업데이트 바이러스 퇴치 및 패치 관리 소프트웨어를 설치한다.

n 시간 의존적 코드, 수정되거나 확장된 운영 체제 또는 사무용품 판매점이나 컴퓨터 판매점에서 구매할 수 있는 임의의 표준 PC와 다른 기타 변경 사항이 있는 모든 기타 서버 및 컴퓨터(분산제어시스템(DCS), 프로그래머블 로직 컨트롤러(PLC), 기기)에 대한 공급자 권장 사항을 따른다. 공급자에 의한 보안 패치가 포함된 주기적인 유지보수 릴리즈를 기다린다.


효과적인 침임 탐지 시스템(IDS) 배치는 전형적으로 호스트 기반 및 네트워크 기반 침임 탐지 시스템(IDS) 모두를 수반한다. 현재 산업제어시스템(ICS) 환경에서 네트워크 기반 침임 탐지 시스템(IDS)은 주로 방화벽과 함께 제어 네트워크와 업무 네트워크 사이에 배치된다. 호스트 기반 침임 탐지 시스템(IDS)은 주로 일반 목적 운영 체제(OS) 또는 응용 프로그램(예: 휴먼 머신 인터페이스(HMI), 감시 제어 및 데이터 수집(SCADA) 서버 및 엔지니어링 워크스테이션)이 사용되는 컴퓨터에 배치된다. 제대로 구성되는 경우 침임 탐지 시스템(IDS)은 시스템에 들어오고


6-54

6.2.17.3 패치 관리

패치는 기존 소프트웨어의 특정 문제 또는 결함을 해결하기 위해 개발된 코드의 추가 부분이다. 취약점은 정보기술(IT) 시스템에 대한 무단 접근을 가능하게 하거나, 사용자에게 인가된 권한 보다 더 큰 접근 권한을 부여하도록 하여 악용될 수 있는 결함이다.

소프트웨어 패치를 관리하고 사용하는 체계적인 접근방식은 조직에서 비용 효과적으로 정보기술(IT) 시스템의 전체 보안을 향상시키는 데 도움이 된다. 소프트웨어 패치를 능동적으로 관리하고 사용하는 조직은 정보기술(IT) 시스템의 취약점이 악용될 가능성을 줄인다. 또한, 취약성 관련 사고의 대응에 소요될 수 있는 시간과 비용을 절약할 수 있다.

미국국립표준기술연구소(NIST) SP 800-40 개정판 3 [40]은 조직 보안 패치 및 취약성 관리 프로그램의 설계 및 구현을 담당하고, 취약점을 줄이기 위한 프로그램의 유효성 검증을 담당하는 보안 관리자를 위한 가이드를 제공한다. 또한 가이드는 패치를 적용하고 검증하며 취약성 문제에 대해 솔루션을 배치하는 시스템 관리자 및 운영 직원에게도 유용하다.

나가는 공격을 감지하는 보안 관리 팀의 역량을 크게 강화하여 보안을 향상시킬 수 있다. 또한 네트워크에서 비필수 트래픽을 감지함으로써 잠재적으로 제어 네트워크의 효율을 향상시킬 수 있다. 하지만, 침임 탐지 시스템(IDS)이 구현되더라도 보안 직원은 시간이 지남에 따라 조직화된 공격의 패턴과는 대조적으로 주로 개별 공격을 인식할 수 있다. 네트워크 보안 모니터링과 산업제어시스템(ICS) 네트워크의 정상 상태의 이해는 과도 상태와 공격을 구별하는 데 도움이 되며, 정상 상태를 벗어난 사건에 대한 정보를 발생시키고 제공한다.

현재 침임 탐지 시스템(IDS) 및 침입 방지 시스템(IPS) 제품은 잘 알려진 인터넷 공격을 감지하고 방지하는 데 효과적이지만, 최근까지 산업제어시스템(ICS) 프로토콜 공격을 다루지 않았다. 침임 탐지 시스템(IDS) 및 침입 방지 시스템(IPS) 공급자는 다양한 산업제어시스템(ICS) 프로토콜(예: Modbus, DNP3 및 ICCP)에 대한 공격 서명을 개발하고 통합하기 시작했다[58].


운영 체제(OS) 구성요소에 패치를 적용하는 것은 산업제어시스템(ICS) 환경에 상


6-55

6.2.18 프로그램 관리

미국국립표준기술연구소(NIST) SP 800-53 프로그램 관리(PM)에 속하는 보안 통제 수단은 임의의 특정 정보시스템과는 별도이며, 정보 보안 프로그램 관리에 필수적인 조직 차원의 정보 보안 요구사항에 중점을 둔다.

조직은 정보 보안 프로그램 계획에 프로그램 관리 통제 수단을 문서화 한다. 조직 차원의 정보 보안 프로그램 계획은 각 조직 정보시스템을 위해 개발된 개별 보안 계획을 보완한다. 정보 보안 프로그램 관리 통제 수단의 문서화에 더불어, 보안 프로그램 계획은 공통 통제 수단(즉, 조직 정보시스템에서 승계한 보안 통제 수단)으로 지정된 모든 보안 통제 수단을 조직에서 중앙 보관소에 문서화하기 위한 수단을 제공한다.

6.2.19 프라이버시 통제 수단

프로그램 및 정보시스템에 의해서 수집, 사용, 유지, 공유 및 제거되는 개인식별정보(PII)22의 프라이버시 보호는 정보기술 및 그러한 기술의 응용

당한 주의를 필요로 하는 또 다른 상황을 만든다. 패치는 적절하게 검증(예: 비교할 만한 산업제어시스템(ICS)에서 오프라인)하여 부작용의 수용가능성을 판단해야 한다. 회귀 검사를 수행하는 것이 좋다. 패치가 기타 소프트웨어에 악영향을 끼치는 것은 드물지 않다. 패치가 취약성을 제거할 수 있지만, 생산이나 안전의 관점에서 더 큰 위험을 초래할 수도 있다.

취약점에 패치를 적용하는 경우 운영 체제(OS) 또는 응용 프로그램이 제어 응용 프로그램과 작동하는 방식도 변경할 수 있으며 제어 응용 프로그램의 일부 기능이 손실될 수 있다. 또 다른 문제는 많은 산업제어시스템(ICS)에서 공급자가 더 이상 지원하지 않는 구형 버전의 운영 체제가 사용되고 있는 것이다. 그 결과, 사용 가능한 패치를 적용하지 못할 수도 있다. 조직에서는 취약점에 대한 노출을 관리하기 위해 체계적이며 책임이 있고 문서로 기록된 산업제어시스템(ICS) 패치 관리 절차를 구현해야 한다.

패치의 배치가 결정 되면, 중앙 집중식 서버에서 이 공정을 자동화하고 패치가 올바르게 배치되었는지 확인이 가능한 기타 도구들이 있다. 산업제어시스템(ICS) 패치 관리의 자동화 공정과 비 산업제어시스템(ICS) 응용 프로그램의 자동화 공정를 분리하는 것이 좋다. 계획된 산업제어시스템(ICS) 가동 중단 동안에 패치의 적용이 발생할 수 있도록 일정을 잡아야 한다.


6-56

프로그램의 발전을 감안할 때 중요하다. 개인을 위한 효과적인 프라이버시는 개인식별정보(PII)를 처리, 저장 및 전송하는 조직 정보시스템 내에서 사용되는 안전보장조치에 따라 달라진다. 조직에서는 정보 보안의 기초 없이 효과적인 프라이버시를 보유할 수 없다. 하지만, 프라이버시는 보안 이상의 것이며 예를 들어, 투명성, 통지 및 선택의 원칙이 포함된다.

프라이버시 통제 수단은 정보 보안과는 별개이지만 매우 밀접한 관련이 있는 하나의 값으로서의 정보 프라이버시에 중점을 둔다. 프라이버시 통제 수단은 1974년 프라이버시 보호법, 2002년 전자정부법 제208절 및 관련 예산관리국(OMB) 가이드에 구현된 공정 정보 규정 원칙(FIPPs)에 기초한다. 공정 정보 규정 원칙(FIPPs)은 조직의 프라이버시 관행에서 대중의 신뢰를 구축하고 조직이 프라이버시 사고에 따른 유형의 비용 및 무형의 손상을 방지하는 데 도움이 되도록 설계되어 있다.

프라이버시 통제 수단은 개인식별정보(PII)를 보호하고 올바른 처리를 보장하기 위해 조직 내에서 사용하는 행정, 기술 및 물리적 안전보장조치이다. 8개의 프라이버시 통제 단위가 있으며, 각 단위는 공정 정보 규정 원칙(FIPPs) 중의 하나와 보조를 같이 한다. 프라이버시 통제 단위는 조직, 부서, 기관, 구성요소, 사무실, 프로그램 또는 정보시스템 수준에서 구현될 수 있다. 프라이버시 통제 수단은 미국국립표준기술연구소(NIST) SP 800-53의 부록 F에 있는 정보시스템 보안 통제 수단과 유사한 방식으로 구성되어 있다.

미국국립표준기술연구소(NIST) SP 800-53, Rev. 4 [22]의 프라이버시 부록은 조직에서 연방 프라이버시 법률, 정책, 규정, 명령, 표준 및 가이드에서 파생된 요구사항을 시행하는 데 도움이 되도록 국제 표준 및 모범 사례에 기초한 구조화된 일련의 프라이버시 통제 수단을 제공한다. 게다가, 연방 정보시스템, 프로그램 및 조직 내에서의 개념 및 구현에서 중첩될 수 있는 각 프라이버시 및 보안 요구사항을 시행하기 위해 프라이버시와 보안 통제 사이를 연결하고 관계를 설정한다.22 OMB 양해각서 07-16은 개인식별정보(PII)를 “단독으로 또는 특정 개인에 연결되어 있거나 연결

가능한 기타 개인 정보 또는 식별 정보(예: 생년월일 및 출생지, 어머니의 결혼하기 전의 성)와 결합되어 개인의 신원(예: 이름, 사회 보장 번호, 생체인식 기록)을 구별 또는 추적하는 데 사용될 수 있는 정보”로 정의한다[86]. OMB 양해각서 10-22에서는 이 정의[87]를 재확인했다. 미국국립표준기술연구소(NIST) 특별 발행 800-122에서는 개인식별정보(PII)를 “(i) 개인의 신원을 구별 또는 추적하는 데 사용될 수 있는 모든 정보(예: 이름, 사회 보장 번호, 생년월일 및 출생지, 어머니의 결혼하기 전의 성 또는 생체인식 기록) 및 (ii) 개인에 연결되어 있거나 연결 가능한 모든 기타 정보(예: 의료, 교육, 금융 및 고용 정보) 등 기관에 의해서 유지되는 개인에 관한 모든 정보”로 정의한다[88].


6-57

프라이버시 통제 수단은 주로 조직의 프라이버시 고위 관계자(SAOP)/최고 프라이버시 책임자(CPO)가 프로그램 관리자, 정보시스템 개발자 및 정보 보안 직원과 함께 프로그램 및/또는 시스템 내에서 효과적인 프라이버시 보호 및 관행을 통합하는 최선의 방법을 정할 때 사용하기 위한 것이다. 이러한 통제 수단은 개인식별정보(PII)를 수집, 사용, 유지, 공유 또는 제거하는 프로그램 및/또는 시스템에 영향을 주는 프라이버시 요구사항을 준수하기 위한 조직의 노력을 촉진한다. 이것은 연방 프라이버시 법률, 정책, 규정, 명령, 표준 및 가이드의 요구사항을 시행하기 위한 고위 지도자/경영진의 목표를 달성하는 것을 지원하는 연방 정부 내의 프라이버시 및 보안 공무원 간의 긴밀한 협력을 촉진한다.

8개의 프라이버시 통제 단위는 다음과 같다.

n 권한 및 목적(AP).n 책임 추적성, 감사 및 위험 관리(AR).n 데이터 품질 및 무결성(DI).n 데이터 최소화 및 보존(DM).n 개별 참여 및 구제(IP).n 보안(SE).n 투명성(TR).n 사용 제한(UL).


A-1

부록 A - 두문자어 및 약어

산업제어시스템(ICS) 보안 가이드에 선택 사용된 두문자어 및 약어는 다음과 같이 정의된다.

AC, Alternating Current교류ACL, Access Control List접근통제 목록AGA, American Gas Association미국 가스 협회API, American Petroleum Institute미국 석유 협회ARP, Address Resolution Protocol주소 해석 프로토콜BCP, Business Continuity Plan사업 연속성 계획CIDX, Chemical Industry Data Exchange화학 산업 데이터 교환CIGRE, International Council on Large Electric Systems국제 송전망 위원회 CIP, Critical Infrastructure Protection주요기반 보호CMVP, Cryptographic Module Validation Program암호화 모듈 검증 프로그램COTS, Commercial Off-the-Shelf상용 제품CPNI, Centre for the Protection of National Infrastructure

국가 기반 보호 센터CPU, Central Processing Unit중앙 처리 장치


A-2

CSE, Communications Security Establishment통신 보안국CSRC, Computer Security Resource Center컴퓨터 보안 자원 센터CSSC, Control System Security Center제어시스템 보안 센터CVE, Common Vulnerabilities and Exposures일반 취약점 및 노출DCOM, Distributed Component Object Model분산 컴포넌트 객체 모델DCS, Distributed Control System(s)분산 제어시스템DETL, Distributed Energy Technology Laboratory분산 에너지 기술 연구소DHS, Department of Homeland Security 국토안보부DMZ, Demilitarized Zone경계네트워크구간DNP3, DNP3 Distributed Network Protocol (published as IEEE

1815)DNP3 분산 네트워크 프로토콜(IEEE 1815로 게시)DNS, Domain Name System 도메인 네임 시스템DOE, Department of Energy 에너지성 DoS, Denial of Service 서비스 거부DRP, Disaster Recovery Plan 재난 복구 계획EAP, Extensible Authentication Protocol 확장형 인증 프로토콜EMS, Energy Management System 에너지 관리 시스템EPRI, Electric Power Research Institute 미국 전력 연구소ERP, Enterprise Resource Planning 전사적 자원관리FIPS, Federal Information Processing 연방 정보 처리 표준


A-3

FISMA, Federal Information Security Modernization Act연방 정보보안 현대화법 FTP, File Transfer Protocol 파일 전송 프로토콜GAO, Government Accountability Office 회계감사원GPS, Global Positioning System 위성 위치 확인 시스템HMI, Human-Machine Interface 휴먼 머신 인터페이스HSPD, Homeland Security Presidential Directive국토 안보 대통령 명령HTTP, Hypertext Transfer Protocol하이퍼텍스트 전송 프로토콜HTTPS, Hypertext Transfer Protocol Secure하이퍼텍스트 전송 프로토콜 보안HVAC, Heating, Ventilation, and Air Conditioning난방, 환기, 공기 조화I/O, Input/Output 입/출력I3P, Institute for Information Infrastructure Protection 정보 인프라 보호 연구소IACS, Industrial Automation and Control System산업 자동화 및 제어시스템IAONA, Industrial Automation Open Networking Association

산업 자동화 개방형 정보망 협회ICCP, Inter-control Center Communications Protocol제어센터간 통신 프로토콜ICMP, Internet Control Message Protocol인터넷 제어 메시지 프로토콜ICS, Industrial Control System(s) 산업제어시스템ICS-CERT, Industrial Control Systems - Cyber Emergency

Response Team산업제어시스템 사이버비상대응팀IDS, Intrusion Detection System 침입 탐지 시스템


A-4

IEC, International Electrotechnical Commission국제 전자기술 위원회IED, Intelligent Electronic Device 지능형 전자 장치IEEE, Institute of Electrical and Electronics Engineers

전기전자기술자협회IETF, Internet Engineering Task Force 인터넷기술표준화위원회IGMP, Internet Group Management Protocol인터넷 그룹 관리 프로토콜INL, Idaho National Laboratory 아이다호 국립 연구소IP, Internet Protocol 인터넷 프로토콜IPS, Intrusion Prevention System 침입 방지 시스템IPsec, Internet Protocol Security IP보안 프로토콜 ISA, International Society of Automation자동화 국제학회ISID, Industrial Security Incident Database산업 보안사고 데이터베이스ISO, International Organization for Standardization국제 표준화 기구IT, Information Technology 정보기술ITL, Information Technology Laboratory 정보기술연구소LAN, Local Area Network 근거리 통신망MAC, Media Access Control 매체 접근 제어MES, Manufacturing Execution System 제조 실행 시스템MIB, Management Information Base 관리 정보

베이스MTU, Master Terminal Unit (also Master Telemetry Unit)마스터 단말 장치(또한 마스터 원격측정 장치)NAT, Network Address Translation네트워크 주소 변환NCCIC, National Cybersecurity and Communications

Integration Center


A-5

국가 사이버보안 및 통신 통합 센터NCSD, National Cyber Security Division 국가사이버보안부NERC, North American Electric Reliability Council북미전력신뢰성위원회NFS, Network File System 네트워크 파일 시스템NIC, Network Interface Card 네트워크 인터페이스 카드NISCC, National Infrastructure Security Coordination Centre

국가기반보호조정센터NIST, National Institute of Standards and Technology

미국표준기술연구소NSTB, National SCADA Testbed 국가 SCADA 시험대OLE, Object Linking and Embedding 객체연결삽입 OMB, Office of Management and Budget 예산관리국 OPC, OLE for Process Control 공정제어용 OLEOS, Operating System 운영 체제OSI, Open Systems Interconnection 개방형 시스템 간 상호

접속PCII, Protected Critical Infrastructure Information주요기반 정보 보호PDA, Personal Digital Assistant 휴대용 정보단말기PIN, Personal Identification Number 개인 식별 번호PID, Proportional – Integral - Derivative비례-적분-미분PIV, Personal Identity Verification 개인신원확인 PLC, Programmable Logic Controller 프로그래머블 로직 컨트롤러PP, Protection Profile 보호 프로파일PPP, Point-to-Point Protocol 점대점 프로토콜R&D, Research and Development 연구 개발RADIUS, Remote Authentication Dial In User Service원격 인증 다이얼인 사용자 서비스


A-6

RBAC, Role-Based Access Control 역할 기반 접근통제RFC, Request for Comments 의견 제시 요구RMA, Reliability, Maintainability, and Availability신뢰성, 정비성 및 가용성RMF, Risk Management Framework 위험 관리

프레임워크RPC, Remote Procedure Call 원격 프로시저 호출RPO, Recovery Point Objective 복구점 목표RTO, Recovery Time Objective 회복 시간 목표RTU, Remote Terminal Unit (also Remote Telemetry Unit)원격 단말 장치(또한 원격 원격측정 장치)SC, Security Category 보안 범주SCADA, Supervisory Control and Data Acquisition

감시 제어 및 데이터 수집SCP, Secure Copy 보안 복사SFTP, Secure File Transfer Protocol 보안 파일 전송 프로토콜SIS, Safety Instrumented System 안전 계측 시스템SMTP, Simple Mail Transfer Protocol 단순 우편 전송 프로토콜SNL, Sandia National Laboratories 샌디아 국립연구소SNMP, Simple Network Management Protocol단순 네트워크 관리 프로토콜SP, Special Publication 특별 발행SPP-ICS, System Protection Profile for Industrial Control

Systems산업제어시스템용 시스템 보호 프로파일SQL, Structured Query Language 구조화 질의 언어SSH, Secure Shell 시큐어 셸SSID, Service Set Identifier 서비스 영역 식별자SSL, Secure Sockets Layer 보안 소켓층TCP, Transmission Control Protocol 전송 제어 프로토콜


A-7

TCP/IP, Transmission Control Protocol/Internet Protocol전송 제어 프로토콜/인터넷 프로토콜TFTP, Trivial File Transfer Protocol 간이 파일 전송 프로토콜TLS, Transport Layer Security 전송 계층 보안UDP, User Datagram Protocol 사용자 데이터그램

프로토콜UPS, Uninterruptible Power Supply무정전 전원장치US-CERT, United States Computer Emergency Readiness

Team미국 컴퓨터 비상대응팀USB, Universal Serial Bus 범용 직렬 버스VFD, Variable Frequency Drive 가변 전압 가변 주파수 제어 VLAN, Virtual Local Area Network 가상 근거리 통신망 VPN, Virtual Private Network 가상 사설 통신망WAN, Wide Area Network 광역 통신망XML, Extensible Markup Language 확장성 생성 언어


B-1

부록 B - 용어 해설 설명

산업제어시스템(ICS) 보안 가이드에 선택 사용된 용어는 다음과 같이 정의된다. 특정 정의에 대한 원본 참조는 이 부록의 끝 부분에 나와 있다.

교류 드라이브 가변 전압 가변 주파수 제어(VFD)와 동일한 의미. 자료 제공: NIST IR 6859 [2] 미국국립표준기술연구소(NIST) IR 6859 [2]

접근통제 목록(ACL)

자원에 대한 접근이 허용되는 시스템 실체의 정체를 열거하여 시스템 자원에 대한 접근통제를 구현하는 메커니즘.자료 제공: RFC 4949 [75]

인가(Accreditation)

합의된 일련의 보안 통제 수단의 구현에 기초하여 정보시스템의 운영을 인가하고 기관 운영(임무, 기능, 이미지 또는 평판 포함), 기관 자산 또는 개인에 대한 위험을 명시적으로 감수하기 위해 고위 관계자가 내리는 공식적인 경영 결정. 자료 제공: NIST SP 800-53 [22]

액추에이터 메커니즘 또는 시스템을 이동하거나 제어하는 장치. 전형적으로 전류, 작동유 압력 또는 공기압 등의 에너지원을 동작으로 변환함으로써 작동된다. 액추에이터는 제어시스템이 환경에 작동시키는 메커니즘이다. 제어시스템은 단순형(고정된 기계 또는 전자 시스템), 소프트웨어 기반(예: 프린터 드라이버, 로봇 제어시스템) 또는 인간 또는 기타 동작의 주체일 수 있다.

경보 비정상적인 상태에 주의를 끌기 위해서 가청 또는 가시적인(또는 모두) 개별 변화를 만들어서 해당 상태의 존재를 알리는 장치 또는 기능.자료 제공: ANSI/ISA-5.1-2009

바이러스 퇴치 도구 악성 코드를 감지하고, 시스템의 감염을 방지하며 시스템을 감염시킨 악성 코드를 제거하는 데 사용되는 소프트웨어 제품 및 기술.

응용 서버 사용자 워크스테이션 응용 프로그램을 호스팅하는 컴퓨터.

공격 시스템 서비스, 자원 또는 정보에 대한 무단 접근 권한을 획득하려고 하거나, 시스템의 무결성, 가용성 또는 비밀성을 훼손하려는 시도.자료 제공: CNSSI-4009

인증(Authentication)

주로 정보시스템의 자원에 대한 접근을 허용하기 위한 전제 조건으로서 사용자, 공정 또는 장치의 정체를 확인하는 것.자료 제공: NIST SP 800-53 [22]


B-2

인가(Authorization)

시스템 자원에 접근하기 위해 시스템 실체에 부여되는 권리 또는 허가.자료 제공: RFC 4949 [75]

백도어 불법적으로 컴퓨터 시스템에 대한 접근 권한을 얻는 방법. 백도어는 잠재적인 보안 위험이다.

일괄 공정 하나 이상의 장비가 사용되는 한정된 시간 동안 순서화된 일련의 처리 활동에 많은 입력 재료를 종속시켜 한정된 양의 물질 생산으로 이어지게 하는 공정. 자료 제공: ANSI/ISA-88.01-1995

방송 수신자에 의한 수신 확인이 없는 네트워크의 모든 장치에 대한 전송.자료 제공: IEC/PAS 62410

버퍼 오버플로우 버퍼 또는 데이터 수용 영역에 할당된 용량 보다 더 많은 입력이 다른 정보를 덮어 쓰면서 배치되는 인터페이스의 조건. 공격자는 시스템을 파괴하거나 시스템을 제어할 수 있도록 특별히 고안된 코드를 삽입하기 위해 이러한 조건을 악용한다.자료 제공: NIST SP 800-28 [69]

인증(Certification)

통제 수단이 올바르게 구현되고 예정대로 작동하며 시스템의 보안 요구사항의 충족에 관하여 원하는 결과를 양산하는 정도를 판단하기 위해 보안 인가를 지지하여 만들어진 정보시스템의 관리, 운영 및 기술 보안 통제 수단의 포괄적인 평가.자료 제공: NIST SP 800-37 [21]

평문 암호화되지 않은 정보.

통신 라우터 두 개의 네트워크 사이에서 메시지를 전송하는 통신 장치. 라우터는 일반적으로 근거리 통신망(LAN)을 광역 통신망(WAN)에 연결하고, 마스터 단말 장치(MTU)와 원격 단말 장치(RTU)를 감시 제어 및 데이터 수집(SCADA) 통신을 위해 장거리 네트워크 매체에 연결하는 데 사용된다.

비밀성 개인 프라이버시 및 독점 정보를 보호하기 위한 수단을 포함하여 정보 접근 및 공개에 대한 인가된 제한 사항을 보존하는 것.자료 제공: NIST SP 800-53 [22]

구성(시스템 또는 장치의)

시스템 설계의 단계. 기능 단위를 선택하고 그 위치를 지정하며 상호 접속을 정의하는 것을 예로 들 수 있다.자료 제공: IEC/PAS 62409


B-3

형상 제어 정보시스템이 시스템 구현의 전후 및 동안에 잘못된 수정으로부터 보호되는 것을 보장하기 위해 하드웨어, 펌웨어, 소프트웨어 및 문서에 대한 수정 사항을 제어하는 공정. 자료 제공: CNSSI-4009

연속 공정 일괄, 간헐 또는 순차 작동과는 반대로 연속적인 흐름에 기초하여 작동되는 공정.

제어 알고리즘 수행될 제어 동작의 수학적 표현.자료 제공: The Automation, Systems, and Instrumentation Dictionary(자동화, 시스템 및 계측화 사전)

제어 물리적 공정의 모니터링 및 제어를 수행하는 데 사용되는 산업제어시스템(ICS)의 일부. 여기에는 모든 제어 서버, 현장 장치, 액추에이터, 센서 및 지원 통신 시스템이 포함된다.

제어센터 공정이 측정되고 제어 및/또는 모니터링되는 장비 구조물 또는 구조물의 그룹. 자료 제공: ANSI/ISA-51.1-1979

제어 루프 제어 루프는 측정 센서, 컨트롤러 하드웨어(예: 프로그래머블 로직 컨트롤러(PLC)), 액추에이터(예: 제어 밸브, 차단기, 스위치 및 모터) 및 변수들의 통신으로 구성된다. 제어 변수는 센서에서 컨트롤러로 전송된다. 컨트롤러는 신호를 해석하고 설정값에 기초하여 해당 조작 변수를 생성한 다음 액추에이터로 전송한다. 교란으로 인한 공정 변경은 공정의 상태를 식별하는 새로운 센서 신호를 발생시켜서 컨트롤러에 다시 전송되게 한다.

제어 네트워크 전형적으로 시간 또는 안전이 중요한 물리적 공정을 제어하는 장비에 연결된 업무 네트워크. 제어 네트워크는 구역으로 분할될 수 있으며, 하나의 기업과 현장 내에 별도의 여러 제어 네트워크들이 있을 수 있다.자료 제공: ISA99 [34]

제어 서버 산업제어시스템(ICS) 네트워크를 통해서 하위 제어 장치(예: 원격 단말 장치(RTU) 및 프로그래머블 로직 컨트롤러(PLC))와 통신하는 제어 소프트웨어를 호스팅하는 서버의 역할도 하는 컨트롤러. 감시 제어 및 데이터 수집(SCADA) 시스템에서 제어 서버는 종종 감시 제어 및 데이터 수집(SCADA) 서버, 마스터 단말 장치(MTU) 또는 감시 컨트롤러로 불린다.


B-4

제어시스템 변수에 대해 규정된 값을 달성하기 위해 의도적인 가이드 또는 조작이 사용되는 시스템. 제어시스템에는 감시 제어 및 데이터 수집(SCADA), 분산제어시스템(DCS), 프로그래머블 로직 컨트롤러(PLC), 기타 유형의 산업용 측정 시스템 및 제어시스템이 포함된다.

제어 변수 제어시스템에서 설정값에 유지하려고 시도하는 변수. 설정값은 상수 또는 변수가 될 수 있다.자료 제공: The Automation, Systems, and Instrumentation Dictionary(자동화, 시스템 및 계측화 사전)

컨트롤러 자동으로 작동되어 제어 변수를 조절하는 장치 또는 프로그램. 자료 제공: ANSI/ISA-51.1-1979

사이클 시간 컨트롤러가 1회의 제어 루프(즉, 센서 신호가 메모리에 입력되고, 제어 알고리즘이 실행되며, 새로운 센서 신호의 발생 과정을 변경하는 액추에이터로 해당 제어 신호가 전송)를 완료하는 시간이며, 일반적으로 초 단위로 표현된다.자료 제공: The Automation, Systems, and Instrumentation Dictionary(자동화, 시스템 및 계측화 사전)

데이터 다이오드 데이터 다이오드(또한 단방향 게이트웨이, 결정적 단방향 경계 장치 또는 단방향 네트워크로도 불림)는 데이터가 한 방향으로만 이동할 수 있도록 하는 네트워크 어플라이언스 또는 장치이다.

데이터베이스 일반적으로 공정 데이터, 방안, 인사 데이터 및 재정 데이터 등의 공장 차원의 정보가 포함된 정보의 보관소.자료 제공: NIST IR 6859 [2]

데이터 이력 관리 장치(Data Historians)

통계적 공정제어 기법을 사용하여 데이터 분석을 지원하는 중앙 집중식 데이터베이스.

DC 서보 드라이브 특히 서보 모터와 작동하는 드라이브의 유형. 명령을 모터에 전송하고 서보 모터 리졸버 또는 인코더에서 피드백을 수신한다. 자료 제공: NIST IR 6859 [2]

경계네트워크구간(DMZ)

방화벽의 보호면에 있는 인터페이스와 유사한 경로 지정 방화벽의 인터페이스. 방화벽의 보호면에 있는 경계네트워크구간(DMZ)와 기타 인터페이스 사이에서 이동하는 트래픽은 여전히 방화벽을 통과하며 방화벽 보호 정책이 적용될 수 있다.자료 제공: SP 800-41 [85]


B-5

조직의 사설 통신망과 인터넷 사이에 “중립 지역”으로 삽입되는 호스트 또는 네트워크 세그먼트. 자료 제공: SP 800-45 [91]

논리적으로 내부 네트워크와 외부 네트워크 사이에 있는 주변 네트워크 세그먼트. 그 목적은 외부 정보 교환을 위한 내부 네트워크의 정보 보증 정책을 시행하고 외부 공격으로부터 내부 네트워크를 차단하면서 외부의 신뢰할 수 없는 소스에 배치 가능한 정보에 대한 한정된 접근 권한을 제공하는 것이다.자료 제공: CNSSI-4009

서비스 거부(DoS) 시스템 자원에 대한 인가된 접근의 방지, 또는 시스템 작동 및 기능의 지연.자료 제공: RFC 4949 [75]

진단 알려진 고장 모드 및 그 특성에 관한 정보. 이러한 정보는 결함의 원인을 정확하게 찾아내고 적합한 시정 조치를 정의하는 데 도움이 되는 문제해결 및 결함 분석에 사용될 수 있다.자료 제공: The Automation, Systems, and Instrumentation Dictionary(자동화, 시스템 및 계측화 사전)

재난 복구계획(DRP)

주요 하드웨어 결함, 소프트웨어 결함 또는 시설의 파손 시 중요한 응용 프로그램을 처리하기 위한 서면 계획.자료 제공: NIST SP 800-34 [52]

개별 공정 지정된 수량의 재료가 작업장들 사이에서 하나의 단위(부품 또는 부품 그룹)로 이동하는 공정 유형이며, 각 단위는 고유의 정체성을 유지한다. 자료 제공: The Automation, Systems, and Instrumentation Dictionary(자동화, 시스템 및 계측화 사전)

분산제어시스템(DCS)

제어시스템에서는 중앙에 위치한 단일 장치가 아닌 제어 공정 주변에 분산되는 정보에 의해 달성되는 제어를 가리킨다.자료 제공: The Automation, Systems, and Instrumentation Dictionary(자동화, 시스템 및 계측화 사전)

분산 공장 기업이 인터넷을 통해 접근할 수 있는 지리적으로 분산된 공장.자료 제공: NIST IR 6859 [2]

장애 제어 변수의 값에 악영향을 미치는 경향이 있는 시스템에 적용되는 변수에 대한 원하지 않은 변경.자료 제공: ANSI/ISA-51.1-1979


B-6

영역 일반 보안 정책, 보안 모델 또는 보안 구조에 정의된 자원에 접근할 권한이 있는 일련의 시스템 자원 및 일련의 시스템 실체가 포함되어 있는 환경 또는 조건. 보안 영역을 참조하도록 한다.자료 제공: CNSSI-4009; SP 800-53 [22]; SP 800-37 [21]

영역 컨트롤러 로그인 식별 및 패스워드와 같은 영역 정보의 관리를 담당하는 서버.자료 제공: NIST IR 6859 [2]

암호화 데이터(“평문”)가 알려지거나 사용되는 것을 방지하기 위해 데이터의 원래의 의미를 은폐하는 형태(“암호문”)로 암호화하는 변환. 변환이 가역인 경우, 해당 반전 공정은 암호화된 데이터를 그 원래의 상태로 복원하는 변환인 “복호화”라고 불린다.자료 제공: RFC 4949 [75]

기업 하나 이상의 처리 현장의 운영을 조정하는 조직. 자료 제공: ANSI/ISA-88.01-1995

전사적 자원관리 (ERP) 시스템

기업 차원의 정보(예: 인적 자원, 재정, 제조 및 배급)를 통합하는 것 뿐 아니라 조직을 고객 및 공급업체에 연결하는 시스템.

확장성 생성언어(XML)

사람이 읽을 수 있는 간단한 태그로 데이터를 표시하여, 응용 프로그램들 사이와 조직 사이에 데이터의 정의, 전송, 검증 및 해석을 가능하게 하는 일반 구문에 대한 사양.

내고장성 하드웨어 및/또는 소프트웨어 고장 시 할당된 기능의 연속적이고 올바른 실행을 제공하는 내장된 기능을 갖춘 시스템의 특성.

현장 장치 산업제어시스템(ICS)의 현장 측에 연결된 장비. 현장 장치의 유형에는원격 단말 장치(RTU), 프로그래머블 로직 컨트롤러(PLC), 액추에이터, 센서, 휴먼 머신 인터페이스(HMI) 및 관련된 통신이 있다.

현장 산업제어시스템(ICS) 내의 물리적, 지리적 또는 논리적 분할에 의해 식별되는 하위 시스템. 현장에는 원격 단말 장치(RTU), 프로그래머블 로직 컨트롤러(PLC), 액추에이터, 센서, 휴먼 머신 인터페이스(HMI) 및 관련된 통신이 있을 수 있다.

필드버스 하위 수준의 산업용 현장 장비(예: 센서, 트랜스듀서, 액추에이터, 로컬 컨트롤러 및 심지어 제어실 장치) 사이의 디지털, 직렬, 멀티드롭, 양방향 데이터 버스 또는 통신 경로


B-7

또는 링크. 필드버스 기술을 사용하는 경우 컨트롤러와 각 장치 사이의 점대점 배선의 필요성이 제거된다. 네트워크의 특정 센서를 식별하는 각 메시지와 함께 필드버스 네트워크를 통한 메시지를 정의하는 데 프로토콜이 사용된다.

파일 전송프로토콜(FTP)

FTP는 파일을 인터넷을 통해 전송하기 위한 인터넷 표준이다. FTP 프로그램 및 지원 프로그램은 FTP 접근을 허용하는 로컬 매체 및 원격 서버 사이에서 웹 페이지, 그래픽 및 기타 파일을 업로드 및 다운로드하기 위해 사용된다.자료 제공: API 1164

방화벽 연결된 네트워크(방화벽의 “내부”)들 중의 하나와의 상호 데이터 통신 트래픽을 제한하고, 따라서 기타 네트워크(방화벽의 “외부”)의 위협으로부터 해당 네트워크의 시스템 자원을 보호하는 네트워크 간의 게이트웨이.자료 제공: RFC 4949 [75]

2개의 연결된 네트워크 사이의 데이터 통신 트래픽을 제한하는 네트워크 간의 연결 장치. 방화벽은 일반 목적 컴퓨터 또는 전용 플랫폼(어플라이언스)에 설치되어 네트워크의 패킷을 포워딩 또는 거부/분기하는 응용 프로그램일 수 있다. 전형적으로 방화벽은 구역의 경계를 정의하는 데 사용된다. 일반적으로 방화벽에는 어떤 포트를 열지 제한하는 규칙이 있다.자료 제공: ISA-62443-1-1 [34]

휴먼 머신인터페이스(HMI)

운영자가 컨트롤러와 상호 작용할 수 있게 하는 하드웨어 또는 소프트웨어. HMI의 범위는 단추 및 표시등이 있는 물리적 제어 패널에서부터 전용 HMI 소프트웨어를 실행하는 컬러 그래픽 디스플레이의 산업용 PC에 이르기까지 다양할 수 있다.자료 제공: NIST IR 6859 [2]

운영자인 사람이 제어 공정의 상태를 모니터링하고, 제어 목표를 변경하기 위해 제어 설정을 수정하며, 비상 시 수동으로 자동 제어 동작을 무효화하도록 하는 소프트웨어 및 하드웨어. 또한 HMI를 사용하는 제어 기사 또는 운영자는 컨트롤러에서 설정값 또는 제어 알고리즘 및 매개 변수를 구성할 수 있다. 또한 HMI는 조작자, 운영자, 관리자, 사업 협력자 및 기타 인가된 사용자를 위해 공정 상태 정보, 기록 정보, 보고서 및 기타 정보를 표시한다. 운영자 및 기사는 HMI를 사용하여 컨트롤러에서 매개 변수를 조정 및 설정하고, 명령을 전송하며, 알고리즘을 제어하고 설정값을 모니터링 및 구성할 수 있다. 또한 HMI는 공정 상태 정보 및 기록 정보를 표시한다.


B-8

식별 일반적으로 정보기술(IT) 시스템의 자원에 대한 접근 권한을 부여하기 위한 전제 조건으로서 사용자, 공정 또는 장치의 정체를 확인하기 위한 공정.자료 제공: NIST SP 800-47 [92]

사고 정보시스템 또는 시스템이 처리, 저장 또는 전송하는 정보의 비밀성, 무결성 또는 가용성을 위태롭게 하는 실제적 또는 잠재적으로 발생하는 일, 또는 보안 정책, 보안 절차 또는 허용 가능한 사용 정책의 위반 또는 위반의 임박한 위협에 해당하는 일.자료 제공: FIPS 200 [16]; SP 800-53 [22]

산업제어시스템(ICS)

산업 부문 및 주요기반에서 종종 찾을 수 있는 감시 제어 및 데이터 수집(SCADA) 시스템, 분산제어시스템(DCS) 및 기타 제어시스템 구성(예: 프로그래머블 로직 컨트롤러(PLC))을 포함하는 여러 유형의 제어시스템을 포괄하는 일반적인 용어. 산업제어시스템(ICS)은 산업용 목표(예: 제조, 물질 또는 에너지의 운송)를 달성하기 위해 함께 작동되는 제어 구성요소(예: 전기, 기계, 유압, 공기압)의 조합으로 구성된다.

정보 보안 프로그램 계획

조직 차원의 정보 보안 프로그램에 대한 보안 요구사항의 개요를 제공하고, 그러한 요구사항에 부합하기 위해 배치했거나 계획 중인 프로그램 관리 통제 수단 및 공통 통제 수단을 설명하는 공식 문서.자료 제공: NIST SP 800-53 [22]

입력/출력(I/O) 컴퓨터와 통신하는 데 사용되는 장비 뿐 아니라 통신에 관련된 데이터에 대한 일반적인 용어.자료 제공: The Automation, Systems, and Instrumentation Dictionary(자동화, 시스템 및 계측화 사전)

내부자 시스템 자원에 대한 접근이 인가되었으나 인가자가 승인하지 않은 방식으로 자원을 사용하는 보안 경계 내의 실체.자료 제공: RFC 4949 [75]

무결성 부당한 정보 수정 또는 파괴로부터 방어하며, 정보 부인방지 및 신빙성을 보장하는 것을 포함한다.자료 제공: NIST SP 800-53 [22]

지능형 전자 장치(IED)

외부 소스(예: 전자 다기능 계량기, 디지털 계전기, 컨트롤러)와 상호 데이터/제어를 주고받는 기능이 있는 하나 이상의 프로세서들을 결합시키는 모든 장치.자료 제공: AGA 12 [5]


B-9

인터넷 인터넷 아키텍처 위원회(IAB)에서 지정한 일련의 프로토콜과 국제인터넷주소관리기구(ICANN)에서 관리하는 이름 및 주소의 공간을 공유하는 상용, 정부, 교육 및 기타 컴퓨터 네트워크들이 상호 연결된 전세계적인 단일 시스템.자료 제공: RFC 4949 [75]

침입 탐지시스템(IDS)

시스템 자원에 대한 무단 접근 시도를 발견하고 실시간 또는 근 실시간 경고를 제공하기 위한 목적으로 네트워크 또는 시스템의 사건을 모니터링하고 분석하는 보안 서비스.자료 제공: RFC 4949 [75]

침입 방지 시스템(IPS)

침입 활동을 탐지하고 표적에 도달하기 전에 해당 활동을 중지하는 시도도 할 수 있는 시스템.

지터 데이터 신호와 이상적인 클럭 사이의 시간 또는 위상의 편차.

키로거 컴퓨터 키보드에서 어떤 키가 눌러지는지 기록하도록 설계되어 패스워드 또는 암호화 키를 입수하고, 그에 따라 기타 보안 조치를 우회하는 데 사용되는 프로그램.

조명탑 입력 신호에 기초하여 공정의 상태를 표시하기 위해 사용되는 일련의 표시등과 내장형 컨트롤러가 포함된 장치.자료 제공: NIST IR 6859 [2]

근거리 통신망 (LAN)

비교적 제한된 영역에 걸쳐서 분산되어 있으며, 네트워크의 임의의 장치가 기타 모든 장치와 상호 작용하도록 하는 통신 링크에 의해 연결된 컴퓨터와 기타 장치의 그룹.

기계 컨트롤러 기계적 결합을 통한 동기화에 의존하는 대신 기계 시스템 내의 드라이브를 전자적으로 동기화하는 제어시스템/동작 네트워크.

유지보수 사건 장비의 결함 또는 기능 장애를 방지하거나 작동 기능을 복원하는 모든 행위.자료 제공: The Automation, Systems, and Instrumentation Dictionary(자동화, 시스템 및 계측화 사전)

악성코드 정보시스템의 비밀성, 무결성 또는 가용성에 악영향을 끼치는 무단 공정을 수행하도록 계획된 소프트웨어 또는 펌웨어. 호스트를 감염시키는 바이러스, 웜, 트로이 목마 또는 기타 코드 기반 실체. 스파이웨어 및 일부 형태의 애드웨어 또한 악성 코드(맬웨어)의 예이다.자료 제공: NIST SP 800-53 [22]

관리 위험 관리 및 정보 보안 관리에 중점을 두는 정보시스템에


B-10

통제 수단 대한 보안 통제 수단(즉, 안전보장조치 또는 대책).자료 제공: NIST SP 800-18 [19]

조작 변수 일부 조건을 조절하도록 계획되어 있는 공정에서, 통제 수단이 조절 상태의 값의 변경을 개시하기 위해 바꾸는 수량 또는 조건. 자료 제공: The Automation, Systems, and Instrumentation Dictionary(자동화, 시스템 및 계측화 사전)

제조 실행 시스템(MES)

네트워크 컴퓨팅을 사용하여 생산 제어 및 공정 자동화를 자동화하는 시스템. 방안 및 작업 일정을 다운로드하고 생산 결과를 업로드 함으로써 MES는 비즈니스와 공장 현장 또는 공정 제어시스템과의 격차를 메운다.자료 제공: NIST IR 6859 [2]

마스터 단말 장치(MTU)

제어 서버 참조.

모뎀 전송 단말의 직렬 디지털 데이터를 전화 채널을 통한 전송에 적합한 신호로 변환하고, 전송된 신호를 수신 단말을 위한 직렬 디지털 데이터로 재변환하는 데 사용하는 장치.자료 제공: NIST IR 6859 [2]

동작 제어네트워크

순서화, 속도 제어, 점대점 제어 및 증분 동작 등의 산업용 설정에서 부품을 이동하는 제어 용도를 지원하는 네트워크.자료 제공: The Automation, Systems, and Instrumentation Dictionary(자동화, 시스템 및 계측화 사전)

네트워크 인터페이스 카드(NIC)

네트워크에 연결될 수 있도록 컴퓨터에 설치하는 회로판 또는 카드.

공정제어(OPC)용 객체연결삽입(OLE)

현장의 이종 장치, 자동화/제어 및 비즈니스 시스템 간의 상호운용성을 촉진하기 위해 개발된 일련의 개방형 표준.

운영 체제 컴퓨터에 의한 프로그램의 순서화를 감독하기 위한 일상적인 서비스의 통합된 모음. 운영 체제는 입력/출력 제어, 자원 스케줄링 및 데이터 관리의 기능을 수행할 수 있다. 컴퓨터 제어를 위한 기본 명령과 응용 프로그램을 제공한다.자료 제공: The Automation, Systems, and Instrumentation Dictionary(자동화, 시스템 및 계측화 사전)

작동 통제 수단 (시스템과는 대조적으로) 사람에 의해 주로 구현되고 실행되는 정보시스템의 보안 통제 수단(즉, 안전보장조치 또는 대책).자료 제공: NIST SP 800-18 [19]


B-11

패스워드 신원을 인증하거나 접근 인가를 검증하기 위해 사용되는 문자열(글자, 번호 및 기타 기호).

피싱 전자 통신 수단(예: 인터넷 웹 사이트)에서 신뢰할 수 있는 실체라고 주장함으로써 개인을 속여 기밀에 관련된 개인 정보를 공개하도록 하는 행위.

포토 아이(Photo Eye)

광신호를 전기 신호로 변환하는 광전자 제어를 이용하여 궁극적으로 광선의 간섭에 기초한 이진 신호를 생성하는 감광 센서.자료 제공: NIST IR 6859 [2]

공장 물리적 공정을 지원하는 데 필요한 물리적 요소. 여기에는 산업제어시스템(ICS)에 의해 제어되지 않는 많은 고정 구성요소가 포함될 수 있다. 하지만, 산업제어시스템(ICS)의 작동은 공장의 구성요소의 타당성, 강도 및 내구성에 영향을 끼칠 수 있다.

포트 컴퓨터에서 통신 또는 주변 장치 연결을 위한 입구 또는 출구점.자료 제공: The Automation, Systems, and Instrumentation Dictionary(자동화, 시스템 및 계측화 사전)

포트 스캐닝 시스템에서 열려 있는 포트를 원격으로 판단하기 위해 프로그램을 사용하는 행위(예: 시스템에서 해당 포트를 통한 연결을 허용하는지 여부). 자료 제공: NIST SP 800-61 [59]

선행조건 하나 이상의 위협 사건이 일단 시작되면 조직 운영 및 자산, 개인, 기타 조직 또는 국가에 원하지 않는 결과 또는 악영향을 초래할 가능성의 한 원인(즉, 증가 또는 감소)이 되는 작업 환경을 포함하여 조직, 임무/비즈니스 프로세스, 기업 구조 또는 정보시스템 내에 존재하는 조건. 자료 제공: SP 800-30 [79]

압력 조절기 가스 또는 액체의 압력을 제어하는 데 사용되는 장치.자료 제공: NIST IR 6859 [2]

압력 센서 주변 매체에서 가해지는 압력에 관련된 전기 신호를 생성하는 센서 시스템. 또한 압력 센서에는 수준과 흐름 측정값을 얻기 위해 차압이 사용된다.자료 제공: NIST IR 6859 [2]

프린터 디지털 데이터를 사람이 읽을 수 있는 문자로 종이 매체에


B-12

변환하는 장치. 자료 제공: NIST IR 6859 [2]

공정 컨트롤러 전형적인 랙 장착형 컴퓨터 시스템의 한 가지 유형으로 센서 입력을 처리하고 제어 알고리즘을 실행하며 액추에이터의 출력을 계산한다.자료 제공: NIST IR 6859 [2]

프로그래머블 로직 컨트롤러(PLC)

특정 기능(예: I/O 제어, 로직, 시간조절, 집계, 3모드(PID) 제어, 통신, 연산, 데이터 처리 및 파일 처리)의 구현이 목적인 가이드를 저장하기 위한 사용자 프로그램 가능 메모리가 있는 반도체 제어시스템.자료 제공: The Automation, Systems, and Instrumentation Dictionary(자동화, 시스템 및 계측화 사전)

원래 전기 하드웨어(계전기, 스위치 및 기계 타이머/카운터)에 의해 실행되는 로직 기능을 수행하기 위해 설계된 소형 산업용 컴퓨터. 프로그래머블 로직 컨트롤러(PLC)는 복잡한 공정을 제어하는 기능을 갖춘 컨트롤러로 진화했으며, 감시 제어 및 데이터 수집(SCADA) 시스템 및 분산제어시스템(DCS)에서 주로 사용된다. 또한 프로그래머블 로직 컨트롤러(PLC)는 시스템 구성에서 기본 컨트롤러로 사용된다. 프로그래머블 로직 컨트롤러(PLC)는 거의 모든 산업용 공정에서 광범위하게 사용된다.

프로토콜 시스템들 간의 일부 유형의 연계(예: 통신)를 구현하고 제어하기 위한 일련의 규칙(즉, 형식 및 절차).자료 제공: RFC 4949 [75]

프로토콜 분석기 네트워크 및 관련된 하드웨어/소프트웨어가 네트워크 사양 내에서 작동하고 있는 것을 보장하기 위해 사용자가 네트워크 데이터의 성능을 분석할 수 있도록 하는 장치 또는 소프트웨어 응용 프로그램.자료 제공: The Automation, Systems, and Instrumentation Dictionary(자동화, 시스템 및 계측화 사전)

근접 센서 지정된 범위 내에서 표적의 존재를 감지하는 기능이 있는 비 접촉 센서.자료 제공: NIST IR 6859 [2]

프록시 서버 클라이언트의 요청을 기타 서버로 포워딩하여 서비스를 제공하는 서버.자료 제공: CNSSI-4009

실시간 계산의 결과가 물리적 공정을 안내하는 데 사용될 수 있도록 관련된 물리적 공정이 일어나는 실제 시간 동안 계산의 성능에 관계가 있다.


B-13

자료 제공: NIST IR 6859 [2]중복 제어서버

제어 서버의 현재 상태를 항상 유지하는 제어 서버의 백업.자료 제공: NIST IR 6859 [2]

계전기 물리적으로 전도성 접촉부를 이동하여 전기 회로를 완성하거나 차단하는 전기기계식 장치. 그 결과로 인한 동작은 다른 메커니즘(예: 밸브 또는 차단기)에 연결될 수 있다.자료 제공: The Automation, Systems, and Instrumentation Dictionary(자동화, 시스템 및 계측화 사전)

원격 접근 정보시스템 보안 경계의 외부에서 소통하는 사용자(또는 정보시스템)에 의한 접근.자료 제공: NIST SP 800-53 [22]

원격 접근점 원격으로 제어시스템을 구성하고 공정 데이터에 접근하기 위한 제어 네트워크의 별개의 장치, 영역 및 위치. 사례에는 모바일 기기를 사용하여 무선 접근점과 근거리 통신망(LAN)을 통해 데이터에 접근하는 것과 노트북 컴퓨터 및 모뎀 연결을 사용하여 원격으로 산업제어시스템(ICS)에 접근하는 것이 있다.

원격 진단 정보시스템 보안 경계의 외부에서 소통하는 개인이 수행하는 진단 활동.

원격 유지 보수 정보시스템 보안 경계의 외부에서 소통하는 개인이 수행하는 유지보수 활동.

원격 단말 장치(RTU)

유선 통신을 사용할 수 없는 원격 상황에서 사용되는 무선 연동 컴퓨터. 일반적으로 원격 현장 장비와의 통신에 사용된다. 또한 무선 원격 단말 장치(RTU)의 대용으로 통신 기능이 있는 프로그래머블 로직 컨트롤러(PLC)도 사용된다.

분산제어시스템(DCS) 및 감시 제어 및 데이터 수집(SCADA) 원격 기지국을 지원하기 위해 설계된 특수 목적의 데이터 수집 및 제어 장치. 원격 단말 장치(RTU)는 보통 감시 컨트롤러와 통신하기 위한 유선 및 무선 무전기 인터페이스가 포함된 네트워크 기능을 갖춘 현장 장치이다. 때로는 프로그래머블 로직 컨트롤러(PLC)는 현장 장치로서 구현되어 원격 단말 장치(RTU)의 역할을 한다. 이 경우 프로그래머블 로직 컨트롤러(PLC)는 종종 원격 단말 장치(RTU)로 지칭된다.

자원 고갈 컴퓨터 프로세스가 가용 컴퓨터 자원에 의해서 지원될 수 없는 상태. 자원 고갈은 컴퓨터 자원이 결핍되거나 동일한 컴퓨터 자원을 두고 경쟁하는 여러 프로세스가 존재함으로써 발생한다.


B-14

위험 발생하는 해당 위협의 위협 및 가능성의 잠재적인 영향을 고려한 정보시스템의 운영의 결과로 인한 기관 운영(예: 임무, 기능, 이미지 또는 평판), 기관 자산 또는 개인에 대한 영향의 수준.자료 제공: NIST SP 800-30 [79]

위험 평가 발생의 개연성, 결과의 영향 및 이 영향을 완화하는 추가 보안 통제 수단을 결정함으로써 기관 운영(예: 임무, 기능, 이미지 또는 평판), 기관 자산 또는 개인에 대한 위험을 식별하는 공정. 위험 관리의 일부로서 위험 분석과 같은 의미이다. 위협 및 취약성 분석을 통합한다.자료 제공: NIST SP 800-30 [79]

위험 관리 정보시스템의 운영에서 발생하는 조직 운영(예: 임무, 기능, 이미지, 평판) 조직 자산, 개인, 기타 조직 및 국가에 대한 위험을 관리하는 공정으로서, (i) 위험 평가의 수행, (ii) 위험 완화 전략의 구현 및 (iii) 정보시스템의 보안 상태를 연속으로 모니터링하기 위한 기법 및 절차의 사용이 포함된다.자료 제공: FIPS 200, 적용 [16]

위험 관리프레임워크

미국국립표준기술연구소(NIST) SP 800-37에 제시된 위험 관리 프레임워크(RMF)는 정보 보안 및 위험 관리 활동을 시스템 개발 수명주기에 통합하는 규율화 되고 구조화된 공정을 제공한다.자료 제공: SP 800-37 [21]

라우터 개방형 시스템 간 상호 접속(OSI) 계층 3에 있는 2개의 네트워크 사이의 게이트웨이로서 해당 네트워크 간의 상호 데이터 패킷을 전달하고 통제하는 컴퓨터. 가장 일반적인 형태의 라우터는 IP 패킷에서 작동한다.자료 제공: RFC 4949 [75]

플래핑 라우터 경로 지정 업데이트를 전송하는 라우터로서 목적지 네트워크를 먼저 하나의 경로를 통해서 광고하고, 그런 다음 다른 경로를 통해 번갈아 광고한다.

안전기기 시스템(SIS)

센서, 로직 해법기 및 최종 제어 요소로 구성된 시스템으로서 그 목적은 예정된 조건이 침해된 경우 공정을 안전한 상태로 돌리는 것이다. 일반적으로 사용되는 기타 용어에는 비상 종료 시스템(ESS), 안전 종료 시스템(SSD) 및 안전 연동장치 시스템(SIS)이 있다.자료 제공: ANSI/ISA-84.00.01

감시 제어 및 데이 감시 제어 및 데이터 수집(SCADA) 시스템에서 마스터의


B-15

터 수집(SCADA) 서버

역할을 하는 장치.자료 제공: NIST IR 6859 [2]

보안 감사 시스템의 기록 및 활동에 대한 독립적인 검토 및 조사로서, 시스템 제어의 타당성을 판단하고, 수립된 보안 정책 및 절차의 준수를 보장하며, 보안 서비스 위반 감지 및 대책으로 지적되는 모든 변경을 권장한다.자료 제공: ISO/IEC 7498

보안 통제 수단 시스템 및 그 정보의 비밀성, 무결성, 가용성을 보호하기 위해 정보시스템에 대해 규정된 관리, 운영 및 기술 통제 수단(즉, 안전보장조치 또는 대책).자료 제공: FIPS PUB 199 [15]

보안 계획 정보시스템에 대한 보안 요구사항의 개요를 제공하고 그러한 요구사항을 충족하기 위해 배치했거나 계획 중인 보안 통제 수단을 설명하는 공식 문서.자료 제공: NIST SP 800-53 [22]

보안 정책 보안 정책은 보안 프로그램의 목표 및 제약 사항을 정의한다. 정책은 조직 또는 기업 정책에서부터 특정 작동 제약(예: 원격 접근)에 이르기 까지 여러 수준에서 만들어 진다. 일반적으로, 정책에서는 “방법”은 다루지 않고, “무엇” 과 “왜”의 질문에 대한 답변이 제공된다. 일반적으로 정책은 기술 독립적인 관점에서 진술된다.자료 제공: ISA99

센서 측정되는 일부 물리적 속성(예: 속도, 온도, 흐름)을 나타내는 전압 또는 전류 출력을 생성하는 장치.자료 제공: The Automation, Systems, and Instrumentation Dictionary(자동화, 시스템 및 계측화 사전)

물리적 수량을 측정하고 관찰자 또는 기기에 의해서 판독될 수 있는 신호로 변환하는 장치. 일반적으로 센서는 전기 또는 광학 신호의 형태로 기능적으로 관련된 출력을 생성함으로써 입력 수량에 응답하는 장치이다.

서보 밸브 서보 액추에이터를 사용하여 위치가 제어되는 작동 밸브.자료 제공: NIST IR 6859 [2]

설정값 제어 변수의 원하는 값을 설정하는 입력 변수. 이 변수는 수동 또는 자동으로 설정하거나 프로그래밍할 수 있다.자료 제공: The Automation, Systems, and Instrumentation Dictionary(자동화, 시스템 및 계측화 사전)

단순 네트워크 관리 네트워크 관리를 위한 표준 TCP/IP 프로토콜. 네트워크


B-16

프로토콜(SNMP) 관리자는 SNMP를 사용하여 네트워크 가용성, 성능 및 오류율을 모니터링하고 매핑한다. SNMP가 작동되도록 하기 위해 네트워크 장치에는 관리 정보 베이스(MIB)라고 불리는 분산 데이터 저장소가 사용된다. 모든 SNMP 호환 장치에는 장치의 해당 속성을 제공하는 MIB가 포함되어 있다. 다른 속성들이 장치에서 실행되는 에이전트 소프트웨어에 의해 계산되는 동적 값인 반면, 일부 속성은 MIB에 고정되거나 “쉽게 변경할 수 없게 기록되어” 있다. 자료 제공: API 1164

단일 루프컨트롤러

매우 작은 공정 또는 중요한 공정을 제어하는 컨트롤러. 자료 제공: NIST IR 6859 [2]

사회공학 시스템 또는 네트워크를 공격하는 데 사용될 수 있는 정보(예: 패스워드)를 누설하도록 사람을 속이는 시도.자료 제공: NIST SP 800-61 [59]

솔레노이드 밸브 전기 코일에 의해 작동되는 밸브. 전형적으로 솔레노이드 밸브에는 2가지의 상태 즉, 개방과 폐쇄가 있다.자료 제공: NIST IR 6859 [2]

스파이웨어 은밀하거나 불법적으로 정보시스템에 설치되어 개인 또는 조직에서 알지 못하게 그들의 정보를 수집하는 소프트웨어. 악성 코드의 유형이다.자료 제공: NIST SP 800-53 [22]

통계적 공정관리(SPC)

제품 또는 공정의 품질을 제어하는 통계적 기법의 사용. 자료 제공: The Automation, Systems, and Instrumentation Dictionary(자동화, 시스템 및 계측화 사전)

정상 상태 임의의 긴 시간 동안에 무시할 수 있는 변화만 보이는 상태(예: 값, 속도, 주기 또는 진폭)의 특징.자료 제공: ANSI/ISA-51.1-1979

감시 제어 컨트롤러 또는 컴퓨터 프로그램의 출력이 기타 컨트롤러의 입력으로 사용되는 것을 의미하기 위해 사용되는 용어. 제어 서버를 참조한다.자료 제공: The Automation, Systems, and Instrumentation Dictionary(자동화, 시스템 및 계측화 사전)

감시 제어 및 데이터 수집(SCADA)

장거리에 걸쳐서 데이터를 수집하고 처리하며 작동 통제 수단을 적용할 수 있는 컴퓨터화된 시스템의 총칭. 전형적인 용도에는 송전, 배전 및 배관 시스템이 있다. 감시 제어 및 데이터 수집(SCADA)은 반드시 사용해야 하는 다양한 매체(예: 전화 회선, 마이크로파 및 인공위성)에 의한 고유의 통신 시도(예: 지연, 데이터 무결성)용으로 설계되었다. 일반적으로 전용이 아니라 공유된다.


B-17

자료 제공: The Automation, Systems, and Instrumentation Dictionary(자동화, 시스템 및 계측화 사전)

시스템 보안계획

시스템에 대한 보안 요구사항의 개요를 제공하고 그러한 요구사항에 부합하기 위해 배치했거나 준비 중인 보안 통제 수단을 설명하는 공식 문서.자료 제공: NIST SP 800-18, Adapted [19]

기술 통제 수단 시스템의 하드웨어, 소프트웨어 또는 펌웨어 구성요소에 포함되어 있는 메커니즘을 통한 정보시스템에 의해 주로 구현되는 정보시스템에 대한 보안 통제 수단(즉, 안전보장조치 또는 대책).자료 제공: NIST SP 800-18 [19]

온도 센서 온도와 관련된 전기 신호를 생성하고 그 결과로서 주변 매체의 온도를 감지하는 센서 시스템.자료 제공: NIST IR 6859 [2]

위협 정보의 무단 접근, 파손, 공개, 수정 및/또는 서비스 거부를 통하여 정보시스템을 통한 기관의 운영(예: 임무, 기능, 이미지 또는 평판), 기관의 자산 또는 개인에 악영향을 줄 가능성이 있는 상황 또는 사건.자료 제공: NIST SP 800-53 [22]

위협 사건 원하지 않는 결과 또는 영향의 원인이 될 수 있는 가능성이 있는 사건 또는 상황.자료 제공: SP 800-30 [79]

위협원 취약성 또는 취약성을 유발할 수 있는 상황 및 방법의 의도적인 악용을 표적으로 하는 의도 및 방법. 위협자와 같은 의미이다.자료 제공: FIPS 200 [16]; SP 800-53 [22]; SP 800-53A [23]; SP 800-37 [21]

전송 제어 프로토콜(TCP)

TCP는 TCP/IP 네트워크에서 메인 프로토콜 중의 하나이다. IP 프로토콜이 패킷만을 다루는 반면에, TCP는 2개의 호스트가 연결을 설정하고 데이터 스트림을 교환하는 것을 가능하게 한다. TCP는 데이터의 전달을 보장하고 패킷이 전송된 순서와 동일하게 전달되는 것도 보장한다.자료 제공: API 1164

트로이 목마 유용한 기능이 있는 것으로 나타나지만, 보안 메커니즘을 피하는 잠재적인 악성 기능도 숨겨져 있는 컴퓨터 프로그램으로서, 때로는 해당 프로그램을 호출하는 시스템 실체의 합법적인 인가를 악용한다.자료 제공: RFC 4949 [75]


B-18

무단 접근 허가 없이 네트워크, 시스템, 응용 프로그램, 데이터 또는 기타 자원에 대한 논리적 또는 물리적 접근 권한을 얻는 경우.자료 제공: NIST SP 800-61 [59]

단방향게이트웨이

단방향 게이트웨이는 하드웨어 및 소프트웨어의 한 가지 조합이다. 하드웨어는 하나의 네트워크에서 다른 네트워크로 이동하는 데이터의 흐름을 허용하지만, 근원지 네트워크로 임의의 정보를 물리적으로 다시 보낼 수 없다. 소프트웨어는 데이터베이스를 복제하고 프로토콜 서버 및 장치를 모방한다.

밸브 유체 유동 시스템에서 흐름을 가로 막고, 흐름의 속도를 조절하거나 흐름을 시스템의 다른 분기로 바꿀 수 있는 직렬 장치이다.자료 제공: The Automation, Systems, and Instrumentation Dictionary(자동화, 시스템 및 계측화 사전)

가변 전압 가변 주파수 제어(VFD)

모터로 들어가는 전기의 주파수를 변화시킴으로써 정확한 위치는 상관없이 비서보 AC 모터의 속도를 제어하는 드라이브의 유형. 전형적으로 VFD는 속도와 동력은 중요하지만, 정확한 위치는 중요하지 않은 응용 프로그램에 사용된다.자료 제공: NIST IR 6859 [2]

가상 사설 통신망(VPN)

보통 암호화(호스트 또는 게이트웨이에 위치)를 사용하고 실제 네트워크에 가상 네트워크의 링크를 터널링 하여 상대적으로 공용인 물리적(즉, 실제) 네트워크(예: 인터넷)의 시스템 자원으로 구성되는 한정된 사용의 논리적(즉, 인공 또는 모의) 컴퓨터 네트워크.자료 제공: RFC 4949 [75]

바이러스 일반적으로 악성 로직으로서 다른 프로그램을 감염(즉, 자체의 복제본을 삽입하고 그 일부가 됨)시켜서 전파시키는 컴퓨터 소프트웨어의 숨겨진 자기 복제적인 부분. 바이러스는 자체적으로 실행될 수 없다. 바이러스가 활성화되려면 호스트 프로그램이 실행되어야 한다.자료 제공: RFC 4949 [75]

바이러스 정의 알려진 악성코드에 대해 사전정의된 서명으로서, 바이러스 퇴치 감지 알고리즘에서 사용된다.

취약점 위협원에 의해서 악용되거나 유발될 수 있는 정보시스템의 약점, 시스템 보안 절차, 내부 통제 수단 또는 구현. 자료 제공: NIST SP 800-53 [22]


B-19

화이트리스트 해가 없는 것으로 알려져 있고, 조직 및/또는 정보시스템 내에서 사용이 허가된 호스트 또는 응용 프로그램과 같은 개별 실체의 목록.자료 제공: SP 800-128 [80]

광역 통신망 (WAN) 일반적으로 근거리 통신망(LAN) 보다 더 많은 수의 독립적인 사용자와 더 큰 지리적 영역에 데이터 통신을 제공하는 물리적 또는 논리적 네트워크.자료 제공: API 1164

무선 장치 일반적으로 데이터를 수집하거나 모니터링하지만, 경우에 따라서 제어 설정값을 수정하기 위해 무선 또는 적외선파를 통해 산업제어시스템(ICS) 네트워크에 연결할 수 있는 모든 장치.

워크스테이션 프로그래밍, 설계 및 디자인 등의 작업에 사용되는 컴퓨터.자료 제공: NIST IR 6859 [2]

웜 독립적으로 실행될 수 있고, 자체의 완전한 작동 버전을 네트워크의 기타 호스트에 전파할 수 있으며, 컴퓨터 자원을 파괴적으로 소비할 수 있는 컴퓨터 프로그램.자료 제공: RFC 4949 [75]


C-1

부록 C - 위협원, 취약점 및 사고

서로 관련이 있는 위협, 위협원, 위협 사건 및 사고의 개념을 설명하기 위해 여러 용어가 사용된다. 위협은 정보에 대한 무단 접근, 파손, 공개, 수정 및/또는 서비스 거부를 통해 정보시스템을 통한 조직 운영(예: 임무, 기능, 이미지 또는 평판), 조직의 자산, 개인, 기타 조직 또는 국가에 악영향을 끼칠 수 있는 가능성이 있는 모든 상황 또는 사건이다. 위협에는 의도적이거나 의도하지 않은 수단을 통해 취약성을 악용할 수 있는 일부 의도 또는 방법이 있다. 이 의도 또는 방법을 위협원이라고 한다. 취약성은 위협원에 의해서 악용되거나 유발될 수 있는 정보시스템(예: 산업제어시스템(ICS)), 시스템 보안 절차, 내부 통제 수단 또는 구현에 존재하는 약점이다. 위협 사건은 원하지 않는 결과 또는 영향을 초래할 수 있는 가능성이 있는 사건 또는 상황이다. 위협 사건이 발생하는 경우 실제적으로 또는 잠재적으로 정보시스템의 비밀성, 무결성, 가용성, 또는 시스템이 처리, 저장, 전송하는 정보를 위태롭게 하거나, 보안 정책, 보안 절차 또는 허용 가능한 사용 정책의 위반 또는 위반의 임박한 위협이 되는 사고가 된다. 이 절에서는 산업제어시스템(ICS)별 위협원, 취약점 및 사고에 대해 자세히 살펴본다.

위협원

산업제어시스템(ICS)에 대한 위협은 적대적, 돌발적, 구조적 및 환경적으로 분류할 수 있는 다양한 근원에서 올 수 있다. 표 C-1에는 산업제어시스템(ICS)에 대해 알려진 위협원이 나열 및 정의되어 있다. 이러한 가능한 위협원으로부터 시스템을 보호하기 위해 산업제어시스템(ICS)에 대한 위험 관리 전략을 수립할 필요가 있다. 충분한 보호 수단을 정의하고 구현하기 위해서는 위협원을 잘 이해해야 한다. 예를 들어, 환경적 사건(예: 홍수, 지진)은 잘 이해하고 있지만, 규모, 빈도 및 기타 상호 연결된 사건을 가중시키는 그 기능은 다양할 수 있다. 하지만, 적대적 위협은 공격자가 사용할 수 있는 자원과 이전에 알려지지 않은 취약점 또는 공격의 출현에 따라 달라진다.


C-2

표 C-1. 산업제어시스템(ICS)에 대한 위협

위협원의 유형 설명 특성적대적- 개인- 외부자- 내부자- 신임 받는 내부자- 권한이 있는 내부자- 그룹- 즉석- 만성적- 조직- 경쟁자- 공급업체- 파트너- 고객- 민족 국가

사이버 자원(예: 전자 양식의 정보, 정보 기술 및 통신 기술, 그러한 기술에 의해서 제공되는 통신 및 정보 처리 역량)에 대한 조직의 의존도를 악용하려는 개인, 그룹 조직 또는 국가

역량, 의도, 표적화

돌발적- 사용자- 권한 사용자/관리자

개인이 일상적인 임무를 수행하는 과정에서 취한 그릇된 행동.

영향의 범위

구조적- 정보기술(IT) 장비- 저장- 처리- 통신- 디스플레이- 센서- 컨트롤러- 환경적 통제 수단- 온도/습도 통제 수단- 전원 장치- 소프트웨어- 운영 체제- 네트워킹- 일반 목적의 응용

프로그램- 임무별 응용 프로그램

노화, 자원 고갈 또는 예상 작동 매개 변수를 초과하는 기타 상황으로 인한 장비, 환경적 통제 수단 또는 소프트웨어의 결함.

영향의 범위

환경적- 자연적 또는 인위적

재난

조직의 통제 수준을 벗어난 자연 재해 및 조직이 의존하는 주요기반의 결함.

영향의 범위


C-3

취약점과 선행조건

이 절에서는 전형적인 산업제어시스템(ICS)의 취약점과 선행조건을 다룬다. 취약점은 위협원에 의해서 악용될 수 있는 정보시스템, 시스템 절차, 제어 또는 구현에 있는 약점이다. 선행조건은 위협 사건의 가능성에 대한 한 가지 원인이 되는 조직, 임무/비즈니스 프로세스, 구조 또는 정보시스템의 속성이다. 이러한 취약점과 선행조건은 발생 가능성 또는 영향의 심각도의 관점에서 어떠한 우선순위를 반영하는 것은 아니다. 게다가, 이 절에 설명된 취약점과 선행조건은 전체 목록으로 간주해서는 안 된다. 또한 이러한 문제가 모든 산업제어시스템(ICS)에서 발견된다고 가정해서도 안 된다.

취약점과 선행조건은 어디(예: 조직의 정책 및 절차, 또는 하드웨어, 펌웨어, 소프트웨어에 구현되는 보안 메커니즘의 타당성)에 있는지에 따라 그룹화 된다. 전자는 조직에, 후자는 시스템에 있는 것으로 언급된다. 취약점과 선행조건의 근원지를 이해하는 것은 최적의 완화 전략을 결정하는 데 도움이 될 수 있다. 이 부록에 사용된 취약점의 그룹은 다음과 같다.

n 정책 및 절차.n 구조 및 설계.n 형상 및 유지보수.n 물리적.n 소프트웨어 개발.

위협원의 유형 설명 특성- 화재- 홍수/지진해일- 폭풍우/회오리바람- 폭풍- 지진- 폭격- 과동작- 흔치 않은 자연적

사건(예: 태양의 흑점)- 인프라 결함/정전,

단수- 통신- 전력

참고: 자연적 및 인위적 재난은 자체의 심각도 및/또는 지속 기간의 관점에서도 특징지어질 수 있다. 하지만, 위협원 및 위협 사건이 확실하게 구별되기 때문에 심각도 및 지속 기간은 위협 사건의 설명에 포함될 수 있다(예: 범주 5의 폭풍이 임무 수행에 중요한 시스템이 있는 시설에 광범위한 손상을 주어서, 해당 시스템을 3주 동안 사용할 수 없다).


C-4

n 통신 및 네트워크.

심층 분석을 통해서 원인과 관찰 사항은 일대일의 관계가 아닐 수 있다는 것을 발견할 수 있다. 즉, 일부 근본 원인들은 여러 증상을 나타낼 수 있으며, 일부 증상은 하나 이상의 원인에서 기인할 수 있기 때문이다. SP 800-53에는 취약점과 선행조건을 완화하기 위한 보안 통제 또는 대책의 분류 체계가 포함되어 있다. 이들은 단위별로 분류되며, 각 단위에는 해당 단위의 일반적인 보안 주제와 관련된 보안 통제 수단이 포함되어 있다. 800-53의 단위들과 통제 수단이 산업제어시스템(ICS) 내의 잠재적인 취약점과 선행조건에 대한 점 더 전체적인 개요를 제공하는 반면, 이 절에서는 산업제어시스템(ICS)에서 일반적으로 알려진 그러한 문제를 간략하게 설명한다.

일반적으로 임의의 산업제어시스템(ICS)은 파악된 취약점의 하위 집합을 나타낼 것이지만, 이 부록에 나타나지 않은 특정 산업제어시스템(ICS) 구현 특유의 추가적인 취약점과 선행조건을 포함할 수도 있다. 산업제어시스템(ICS) 취약점에 대한 구체적인 최신 정보는 산업제어시스템(ICS) 사이버비상대응팀(ICS-CERT) 웹사이트23에서 확인할 수 있다.

일부 취약점과 선행조건은 완화될 수 있다. 그 밖의 취약점과 선행조건은 적절한 대책에 의해서만 용인되고 제어될 수 있지만, 산업제어시스템(ICS)에 대한 일부 잔류 위험을 초래할 수 있다. 예를 들어, 일부 기존 정책 및 절차는 변경하려면 조직에서 허용하는 수준의 노력이 필요하다. 그 밖의 정책 및 절차는 추가적인 정책 및 절차를 도입함으로써 더 신속하게 처리된다.

외부 조직에서 입수한 제품 및 서비스의 취약점은 조직이 직접적으로 통제하지 않는다. 시장의 힘이 변경에 영향을 줄 수 있지만, 이것은 느리고 간접적인 접근방식이다. 대신에, 조직은 전체에 영향을 주는 취약성이 악용되는 가능성을 줄이기 위해 선행조건을 변경할 수 있다.

정책 및 절차 취약점과 선행조건

취약점과 선행조건은 종종 문서, 구현 가이드(예: 절차) 및 시행 등의 보안 정책이 불완전 또는 부적절하거나 존재하지 않기 때문에 산업제어시스템(ICS)에 유입된다. 보안 정책 및 절차에 대한 경영 지원은 모든

23 http://ics-cert.us-cert.gov.http://ics-cert.us-cert.gov.

http://ics-cert.us-cert.gov/



C-5

보안 프로그램의 초석이다. 조직 보안 정책은 올바른 수행을 의무화하고 시행함으로써 취약점을 줄일 수 있다. 서면 정책 및 절차는 조직에 이익이 되는 행동에 관한 결정사항을 직원 및 관계자에게 통지하기 위한 메커니즘이다. 이 관점에서 정책은 취약점을 줄이기 위한 교육적이고 유익한 방법이다. 시행은 사람들이 "옳은" 행동을 하도록 격려하는 정책 파트너이다. 일반적인 결과는 정책 및 절차를 준수하지 않는 직원에 대한 다양한 형태의 시정 조치이다.

정책에서는 준수하지 않는 개인 또는 조직에 대한 결과를 명시해야 한다.

일반적으로 관할 구역, 세력권, 경제, 관습 및 역사가 서로 중복되는 법률 및 규정이 포함된 복잡한 정책 및 절차 환경이 있다. 대형 기업은 보통 취약점을 줄이기 위해 협업하기 위한 조직 단위로 세분화된다. 유효성을 최대화하기 위해서는 정책과 절차 사이의 범위 및 계층식 관계를 관리해야 한다.

SP 800-53의 특정 통제 수단 및 부록 G—의 산업제어시스템(ICS) 오버레이(Overlay)는 조직의 책임 및 요구사항을 지정하며, 그 밖의 것들은 조직 내의 다양한 시스템의 기능 및 운영에 중점을 둔다. 예를 들어, 제어 AC-6의 최소 권한에서는 “조직은 조직의 임무 및 비즈니스 기능에 따라 할당된 작업을 완수하는 데 필요한 사용자(또는 사용자를 대신하는 공정)에게만 인가된 접근을 허용하는 최소 권한의 원칙을 사용한다”고 되어 있다. 조직은 정책 및 절차에 성문화할 수 있는 결정사항을 만들어야 한다. 역할, 책임 및 권한을 포함하는 직무기술서와 같은 일부 결과적인 유물은 사람에게 적합한 형태로 남고, 속성, 권한 및 접근통제 규칙과 같은 기타 유물은 정보기술(IT)에 구현된다.

산업제어시스템(ICS) 오버레이(Overlay)는 조직도에 있는 모든 크기의 조직 실체에서 가이드를 사용할 수 있도록 용어 “조직”의 사용에 있어서 SP 800-53을 매우 유연하게 준수한다. 정책 또는 절차를 제공하고 유지하는 조직부터 시작해서 구체적인 조직을 식별해야 한다.

표 C-2는 산업제어시스템(ICS)에서 관찰된 정책 및 절차 취약점의 예를 나타낸다.

표 C-2. 정책 및 절차 취약점과 선행조건


C-6

취약점 설명산업제어시스템(ICS)을 위한 불충분한 보안 정책

특히 제어시스템 보안에 대한 정책이 불충분하거나 결여되어서 취약점이 종종 산업제어시스템(ICS)에 유입된다. 정책에 대한 모든 대책은 추적 가능해야 한다. 이것은 균일성과 책임 추적성을 보장한다. 정책에는 산업제어시스템(ICS)에서 사용되는 휴대용 기기 및 모바일 기기를 포함해야 한다.

공식적인 산업제어시스템(ICS) 보안 훈련 및 인식 프로그램의 부재

직원들이 조직의 보안 정책 및 절차 뿐 아니라 위협, 업계 사이버보안 표준 및 권고 방식에 대한 최신 정보를 유지하도록 문서로 기록된 공식 보안 훈련 및 인식 정책 및 프로그램이 설계되어 있다. 특정 산업제어시스템(ICS) 정책 및 절차에 대한 훈련이 없는 경우 직원이 산업제어시스템(ICS) 환경의 보안을 유지할 것이라 기대할 수 없다.

산업제어시스템(ICS) 장비 구현 가이드의 부재 또는 부족

장비 구현 가이드는 최신 상태를 유지해야 하며 손쉽게 사용할 수 있어야 한다. 이러한 가이드는 산업제어시스템(ICS) 기능 장애 시 보안 절차의 중요한 부분이다.

보안 정책 시행에 대한 행정 메커니즘의 결여

보안 담당 직원은 문서로 기록된 보안 정책 및 절차를 관리하는 책임을 져야 한다.

산업제어시스템(ICS) 보안 통제의 유효성에 대한 불충분한 검토

산업제어시스템(ICS)의 보안 요구사항을 준수하기 위해 보안 프로그램과 그 구성 통제 수단이 올바르게 구현되어 있고, 예정대로 작동하며, 원하는 결과를 양산하고 있는지 정도를 판단할 수 있는 절차 및 일정이 존재해야 한다. 조사는 때때로 “감사,” “평가,” 또는 “사정”이라고 불린다. 정책에서는 수명주기의 단계, 목적, 기술적 전문 지식, 방법론 및 독립의 수준을 다루어야 한다.

산업제어시스템(ICS)별 긴급 사태 대책의 부재

긴급 사태 대책을 준비하고 검증하여 주요 하드웨어 또는 소프트웨어 결함 또는 시설의 파손 시 사용할 수 있어야 한다. 산업제어시스템(ICS)을 위한 구체적인 계획의 결여는 가동정지시간의 연장 및 생산 손실을 초래할 수 있다

형상 관리 정책의 결여 산업제어시스템(ICS) 형상 변경 관리를 위한 정책 및 절차의 결여는 다루기 힘들고 매우 취약한 하드웨어, 펌웨어 및 소프트웨어의 재고 자산으로 이어질 수 있다.

충분한 접근통제 정책의 결여

접근통제 시행은 역할, 책임 및 인가의 올바른 모델이 되는 정책에 따라 달라진다. 정책 모델은 조직의 기능을 활성화해야 한다.


C-7

시스템 취약점과 선행조건

보안 통제 수단을 적용할 시스템을 명확하게 파악해야 한다. 시스템은 크기, 범위 및 기능에 따라 광범위하다. 시스템은 작게는 개별 하드웨어 또는 소프트웨어 제품 또는 서비스일 수 있다. 시스템은 크게는 대형의 복잡한 시스템, 시스템의 시스템 및 네트워크가 있는데, 이 모두는 하드웨어 구조 및 소프트웨어 프레임워크(예: 응용 프로그램 프레임워크)를 통합하며, 산업제어시스템(ICS)의 작동을 지원하는 조합이다.

시스템 취약점은 산업제어시스템(ICS)을 구축하기 위해 사용되는 하드웨어, 펌웨어 및 소프트웨어에서 발생할 수 있다. 취약점의 근원에는 설계 결함, 개발 결함, 잘못된 구성, 유지보수 불량, 관리 불량, 다른 시스템 및 네트워크와의 연결이 포함된다. SP 800-53의 많은 통제 수단 및 부록 G—의 산업제어시스템(ICS) 오버레이(Overlay)에는 이러한 취약점을 완화하기 위해 시스템에서 수행되어야 하는 사항이 지정되어 있다.

산업제어시스템(ICS)에서 공통적으로 발견되는 잠재적인 취약점과 선행조건은

취약점 설명충분한 인증 정책의 결여 인증 정책에서는 인증 메커니즘(예: 패스워드,

스마트카드)을 언제 반드시 사용해야 하고, 얼마만큼 강해야 하며, 어떻게 유지해야 하는지를 정의해야 한다. 정책이 없는 경우 시스템에는 적절한 인증 통제 수단이 없어서 시스템에 대한 무단 접근의 가능성이 높아진다. 더 복잡한 패스워드 및 기타 메커니즘을 처리하기 위해 산업제어시스템(ICS)의 기능과 그 인력을 고려하여 전체 산업제어시스템(ICS) 보안 프로그램의 일부로서 인증 정책을 개발해야 한다.

불충분한 사고 탐지 및 대응 계획 및 절차

사고를 빠르게 감지하고, 손실과 파손을 최소화하며, 후속 포렌식스 조사를 위해 증거를 보존하고, 악용된 약점을 완화하며, 산업제어시스템(ICS)의 서비스를 복원하기 위한 사고 탐지 및 대응 계획, 절차 및 방법이 필요하다. 사고 대응 기능을 성공적으로 설정하려면 이례적인 사항에 대한 지속적인 모니터링, 사고 처리의 우선순위 지정, 데이터의 수집, 분석, 보고를 위한 효과적인 방법의 구현을 포함해야 한다.

중요한 구성요소에 대한 중복의 결여

중요한 구성요소에 대한 중복의 결여는 단일 지점의 결함 가능성을 제공할 수 있다.


C-8

다음의 표에서 분류된다.

n 표 C-3. 구조 및 설계 취약점과 선행조건.n 표 C-4. 형상 및 유지보수 취약점과 선행조건.n 표 C-5. 물리적 취약점과 선행조건.n 표 C-6. 소프트웨어 개발 취약점과 선행조건.n 표 C-7. 통신 및 네트워크 형상 취약점과 선행조건.

표 C-3. 구조 및 설계 취약점과 선행조건

취약점 설명

구조 및 설계에 대한 보안 결합이 불충분함.

산업제어시스템(ICS) 구조에 보안을 결합하기 위해서는 산업제어시스템(ICS)의 예산 및 일정에서부터 설계를 시작해야 한다. 보안 구조는 기업 구조의 일부이다. 이러한 구조에서는 사용자의 식별 및 인가, 접근통제 메커니즘, 네트워크 구성 방식, 시스템 형상 및 무결성 메커니즘을 반드시 다루어야 한다.

불안정한 구조의 전개. 산업제어시스템(ICS) 내의 네트워크 기반 환경은 변경의 잠재적인 보안 영향에 대한 고려 없이 종종 비즈니스 및 운영 요구사항에 기초하여 개발되고 수정되어 왔다. 시간이 지남에 따라 특정 부분의 기반 구조 내에 보안 허점이 부주의하게 유입되었을 수 있다. 교정을 하지 않는 경우 이러한 허점은 산업제어시스템(ICS)에 백도어가 될 수 있다.

보안 경계가 정의되지 않음.

산업제어시스템(ICS)의 보안 경계가 명확하게 정의되지 않은 경우 필요한 보안 통제 수단이 제대로 배치되고 구성되는 것을 보장할 수 없다. 이것은 시스템 및 데이터에 대한 무단 접근 뿐 아니라 기타 문제를 초래할 수 있다.

비 제어 트래픽에 사용되는 제어 네트워크.

제어 및 비 제어 트래픽에는 서로 다른 요구사항(예: 결정론 및 신뢰성)이 있어서, 단일 네트워크에 두 가지 유형의 트래픽이 있는 경우 제어 트래픽의 요구사항에 부합할 수 있도록 네트워크를 구성하기가 더욱 힘들어 진다. 예를 들어, 비 제어 트래픽은 트래픽 수요를 제어하는 자원을 부주의하게 소비하여 산업제어시스템(ICS)의 기능을 교란할 수 있다.

제어 네트워크 서비스가 제어 네트워크에 있지 않다.

도메인 네임 시스템(DNS)과 동적 호스트 구성 프로토콜(DHCP)과 같은 정보기술(IT) 서비스가 제어 네트워크에서 사용되는 경우 보통 정보기술(IT)


C-9

표 C-4. 형상 및 유지보수 취약점과 선행조건

취약점 설명네트워크에 구현되기 때문에 산업제어시스템(ICS) 네트워크가 산업제어시스템(ICS)에 필요한 신뢰성 및 가용성 요구사항이 없는 정보기술(IT) 네트워크에 의존하게 된다.

불충분한 사건 데이터 기록의 수집

포렌식스 분석은 충분한 데이터의 수집 및 존속에 달려 있다. 데이터 수집이 적절하고 정확하지 않은 경우 보안사고 발생의 원인을 판단하기가 불가능할 수 있다. 사고는 들키지 않고 추가 손상 및/또는 교란으로 이어질 수 있다. 또한 보안 통제 수단의 문제(예: 잘못된 구성 및 결함)를 파악하기 위해 정기적인 보안 모니터링이 필요하다.

취약점 설명

하드웨어, 펌웨어 및 소프트웨어가 형상 관리되지 않는다.

조직에서는 무엇이 있는지, 어떤 버전이 있는지, 어디에 있는지 또는 패치 상태는 무엇인지 알지 못하여, 비일관적이고 비효과적인 방어 태세를 초래한다. 산업제어시스템(ICS)이 시스템 구현 전후 및 도중의 불충분하거나 부당한 수정으로부터 보호되는 것을 보장하도록 하드웨어, 펌웨어, 소프트웨어 및 문서에 대한 통제 절차를 구현해야 한다. 형상 변경 관리 절차의 결여는 보안 과실, 노출 및 위험을 초래할 수 있다. 산업제어시스템(ICS)에 보안을 제대로 적용하려면 시스템 자산의 정확한 목록과 현재 형상이 있어야 한다. 이러한 절차는 비즈니스 연속성 및 재난 복구 계획의 실행에 중요하다.

보안 취약점이 발견되고 상당히 지난 후에도 OS 및 공급자 소프트웨어 패치가 개발되지 않을 수 있다.

산업제어시스템(ICS) 소프트웨어와 근간을 이루는 산업제어시스템(ICS) 사이의 강한 결합 때문에 변경은 고비용에 시간 소모가 큰 포괄적인 회귀 검사를 거쳐야 한다. 이러한 검증과 업데이트된 소프트웨어의 후속 배급을 위한 경과 시간 때문에 장기간 동안 취약해진다.

OS 및 응용 프로그램 보안 패치가 유지 보수되지 않거나, 공급자가 취약성을 패치하는 것을 거절한다.

구형의 OS 및 응용 프로그램에는 악용될 수 있는 새로 발견된 취약점이 포함되어 있을 수 있다. 보안 패치를 유지 보수하는 방법에 대한 문서로 기록된 절차를 개발해야 한다. 오래된 OS가 사용되는 산업제어시스템(ICS)에 대해 보안 패치 지원이 되지 않을 수도 있기 때문에, 절차에는 패치가 사용될 수 없는 경우의 취약점을 완화하기 위한 긴급 사태 대책이 포함되어야 한다.


C-10

취약점 설명

보안 변경의 불충분한 검증.

하드웨어, 펌웨어 및 소프트웨어에 대한 수정 사항이 검증 없이 배치된 경우 산업제어시스템(ICS)의 정상 운영을 방해할 수 있다. 보안에 미치는 영향에 대해 모든 변경 사항을 검증하기 위한 문서로 기록된 절차를 개발해야 한다. 실시간 운영 시스템은 절대로 검증에 사용해서는 안 된다. 시스템 공급자 및 통합 사업자와 시스템 수정 사항의 검증을 조정해야 할 수도 있다.

불량한 원격 접근통제 수단

시스템 유지보수 기능을 수행하는 공급자와 시스템 통합 사업자, 그리고 지리적으로 먼 시스템 구성요소에 접근하는 산업제어시스템(ICS) 기사를 포함하여 산업제어시스템(ICS)에 원격으로 접근해야 하는 많은 이유가 있다. 원격 접근 기능을 적절하게 통제하여, 비인가 개인이 산업제어시스템(ICS)에 대한 접근 권한을 획득하는 것을 방지해야 한다.

빈약한 구성이 사용된다. 부적절하게 구성된 시스템은 불필요한 포트 및 프로토콜을 개방할 수 있으며, 이러한 불필요한 기능에는 시스템에 대한 전반적인 위험을 증가시킬 수 있는 취약점이 포함되어 있을 수 있다. 기본 구성을 사용하는 경우 종종 취약점과 악용될 수 있는 서비스를 노출시킬 수 있다. 모든 설정을 검사해야 한다.

중요한 형상이 저장 또는 백업되지 않았다.

돌발적이거나 공격자가 개시한 형상 변경 시 시스템의 가용성을 유지하고 데이터의 손실을 방지하기 위해 산업제어시스템(ICS) 형상 설정을 복원하기 위한 절차를 사용할 수 있어야 한다. 산업제어시스템(ICS)의 형상 설정을 유지하기 위한 문서로 기록된 절차를 개발해야 한다.

휴대용 장치의 데이터가 보호되지 않는다.

기밀에 관련된 데이터(예: 패스워드, 전화 번호)가 암호문이 아닌 평문으로 휴대용 장치(예: 노트북 컴퓨터 및 모바일 기기)에 저장되어 있고, 이러한 장치가 분실 또는 도난되는 경우, 시스템 보안이 훼손될 수 있다. 보호를 위한 정책, 절차 및 메커니즘이 필요하다.

패스워드 생성, 사용 및 보호가 정책에 부합되지 않는다.

정보기술(IT)에는 산업제어시스템(ICS)에 적용할 수 있는 광대한 패스워드 사용의 경험이 있다. 패스워드 정책 및 절차는 효과가 따라야 한다. 패스워드 정책 및 절차의 위반은 산업제어시스템(ICS)의 취약성을 크게 증가시킬 수 있다.


C-11

취약점 설명

부적절한 접근통제 수단이 적용됨.

접근통제 수단은 조직이 직원에게 책임 및 권한을 할당하는 방식에 부합해야 한다. 지정된 접근통제 수단이 제대로 지정되지 않는 경우 산업제어시스템(ICS) 사용자에게 너무 많거나 너무 적은 권한이 부여될 수 있다. 다음은 각 경우의 전형적인 예가 될 수 있다.

∙ 기본 접근통제 설정으로 구성된 시스템은 운영자에게 관리 권한을 부여한다.

∙ 잘못 구성된 시스템은 운영자가 비상 상황에서 시정조치를 취할 수 없게 만든다.

잘못된 데이터 연결 산업제어시스템(ICS) 데이터 저장 시스템은 비 산업제어시스템(ICS) 데이터 소스에 연결될 수 있다. 이와 같은 예는 데이터베이스 연결을 통해 하나의 데이터베이스의 데이터가 자동으로 다른 데이터베이스로 복제되는 경우이다. 제대로 구성되지 않은 데이터 연결은 취약점을 만들 수 있으며, 데이터의 무단 접근 또는 조작을 허용할 수 있다.

악성코드 방지 기능이 설치되지 않았거나 최신 상태가 아니다.

악성 소프트웨어 또는 악성코드의 설치는 일반적인 공격이다. 바이러스 퇴치 소프트웨어와 같은 악성코드 방지 소프트웨어는 매우 동적인 환경에서 최신 상태로 유지해야 한다. 구형의 악성코드 방지 소프트웨어 및 정의는 시스템을 새로운 악성코드 위협에 노출시킨다.

충분한 검증 없이 악성코드 방지 기능 구현

충분한 검증 없이 배치된 악성코드 방지 소프트웨어는 산업제어시스템(ICS)의 정상 작동에 영향을 끼칠 수 있으며, 시스템이 필요한 제어 동작을 수행하는 것을 차단한다.

서비스 거부(DoS) 산업제어시스템(ICS) 소프트웨어는 DoS 공격에 취약할 수 있으며, 시스템 자원에 대한 인가된 접근을 막거나, 시스템 작동 및 기능을 지연시킬 수 있다.

침입 탐지/방지 소프트웨어가 설치되지 않음

사고는 시스템의 가용성과 무결성의 손실, 데이터의 수집, 수정, 삭제 및 제어 명령의 잘못된 실행을 초래할 수 있다. IDS/IPS 소프트웨어는 DoS 공격 등의 다양한 유형의 공격을 중지시키거나 방지할 수 있으며, 또한 웜에 의한 감염과 같이 공격당한 내부 호스트를 식별할 수 있다. IDS/IPS 소프트웨어는 산업제어시스템(ICS)의 정상 운영을 방해하지 않는지 판단하기 위해 배치 전에 반드시 검사해야 한다.


C-12

표 C-5. 물리적 취약점과 선행조건

취약점 설명

로그가 유지되지 않음 제대로 된 정확한 로그가 없는 경우 발생한 보안 사건의 원인을 판단하기가 불가능할 수 있다.

취약점 설명

비인가 직원이 장비에 물리적으로 접근할 수 있다.

산업제어시스템(ICS) 장비에 대한 물리적 접근은 안전 요구사항(예: 비상 종료 또는 다시 시작)을 고려하여 필요한 직원에게만 한정되어야 한다. 산업제어시스템(ICS) 장비에 대한 잘못된 접근은 다음 중 어떤 것으로든 그 결과를 초래할 수 있다.

∙ 데이터 및 하드웨어의 물리적 도난

∙ 데이터 및 하드웨어의 물리적 손상 또는 파손

∙ 기능적 환경(예: 데이터 연결, 외장형 매체의 무단 사용, 자원 추가/제거)에 대한 무단 변경

∙ 물리적 데이터 연결 해제

∙ 감지할 수 없는 데이터 가로채기(키입력 및 기타 입력 기록)

무선 주파수, 전자기 펄스(EMP), 정전 방전, 부분적 소등 및 서지 전압

제어시스템에 사용되는 하드웨어는 무선 주파수 및 전자기 펄스(EMP), 정전 방전, 부분적 소등 및 서지 전압에 취약하다. 영향의 범위는 명령 및 제어의 일시적인 교란에서 회로판의 영구적인 손상까지 이른다. 적절한 차폐, 접지, 전력 조절 및/또는 서지 억제를 하는 것이 좋다.

예비 전력의 결여 중요한 자산에 대한 예비 전력이 없는 경우 일반적인 전력 손실은 산업제어시스템(ICS)을 종료시킬 수 있으며 안전하지 않은 상황을 만들 수 있다. 또한 전력 손실은 안전하지 않은 기본 설정을 초래할 수 있다.

환경적 통제 수단의 손실 환경적 통제(예: 온도, 습도)의 손실은 프로세서 과열과 같은 장비 손상을 초래할 수 있다. 일부 프로세서는 자체 보호를 위해 종료된다. 일부는 계속 작동할 수 있지만, 최소 용량으로 간헐적 오류를 발생하고, 연속적으로 재부팅되거나 영구적으로 불능화될 수 있다.

보안이 보장되지 않는 물리적 포트

보안이 보장되지 않은 범용 직렬 버스(USB) 및 PS/2 포트는 휴대용 데이터 저장기기, 키로거 등의 무단 연결을 허용할 수 있다.


C-13

표 C-6. 소프트웨어 개발 취약점과 선행조건

표 C-7. 통신 및 네트워크 구성 취약점과 선행조건

취약점 설명

잘못된 데이터 검증 산업제어시스템(ICS) 소프트웨어가 사용자 입력 또는 수신된 데이터의 효력을 보장하기 위한 검증을 제대로 하지 않을 수 있다. 잘못된 데이터는 버퍼 오버플로우, 명령어 주입, 교차 사이트 스크립팅 및 경로 순회 등의 다양한 취약점을 초래할 수 있다.

설치된 보안 기능을 기본으로 사용할 수 없다.

제품과 함께 설치된 보안 기능이 활성화되어 있지 않거나 적어도 비활성화된 것으로 식별되지 않으면 쓸모없다.

소프트웨어의 불충분한 인증, 권한 및 접근통제

구성 및 프로그래밍 소프트웨어에 대한 무단 접근은 장치를 손상시킬 수 있는 기능을 제공할 수 있다.

취약점 설명

데이터 흐름 통제 수단이 사용되지 않는다.

시스템들 사이에 허용되는 정보를 제한하기 위해 데이터 특성에 기초한 데이터 흐름 통제 수단이 필요하다. 이러한 통제 수단은 정보 탈취 및 불법 작동을 방지할 수 있다.

방화벽이 존재하지 않거나 잘못 구성되어 있다.

방화벽이 제대로 구성되어 있지 않은 경우 네트워크(예: 제어 네트워크 및 업무 네트워크)들 간에 불필요한 데이터가 전달되는 것을 허용함으로써, 네트워크들 간에 공격 및 악성코드가 확산되고, 기밀에 관련된 데이터가 모니터링/도청에 취약해지며, 개인에게 시스템에 대한 무단 접근을 제공할 수 있다.

불충분한 방화벽 및 라우터 로그

제대로 된 정확한 로그가 없는 경우 보안사고의 발생 원인을 판단하는 것이 불가능할 수 있다.

문서에 의해 충분히 입증된 표준 통신 프로토콜이 평문에 사용됨.

산업제어시스템(ICS) 네트워크 활동을 모니터링할 수 있는 공격자는 프로토콜 분석기 또는 기타 지원 프로그램을 사용하여 프로토콜(예: 텔넷, 파일 전송 프로토콜(FTP), 하이퍼텍스트 전송 프로토콜(HTTP) 및 네트워크 파일 시스템(NFS))에 의해 전송된 데이터를 해독할 수 있다. 또한 이러한 프로토콜을 사용하는 경우 공격자의 산업제어시스템(ICS)에 대한 공격 수행을 용이하게 하고 산업제어시스템(ICS) 네트워크 활동을 조작할 수 있다.


C-14

사고

위협 사건은 일부 위협원에서 초래된 산업제어시스템(ICS)에 대한 원하지 않는 결과나 영향의 잠재적인 원인이 될 수 있는 사건 또는 상황이다. 미국국립표준기술연구소(NIST) SP 800-30 Rev. 1, 부록 E에는 정보시스템에 잠재적으로 영향을 끼칠 수 있는 일련의 광범위한 위협 사건들이 식별되어 있다[79]. 또한 산업제어시스템(ICS)의 속성은 특히, 위협 사건이 산업제어시스템(ICS)의 공정을 조작해서 물리적 손상을 초래하는 방법에 관한 특유의 위협 사건도 제시할 수 있다. 표 C-8에서는 잠재적인 산업제어시스템(ICS) 위협 사건의 개요를 제공한다.

취약점 설명

사용자, 데이터 또는 장치의 인증이 수준 이하이거나 존재하지 않는다.

많은 산업제어시스템(ICS) 프로토콜에는 어느 단계에서건 인증이 없다. 인증이 없는 경우 데이터의 재생, 수정, 스푸핑 또는 센서와 같은 장치 및 사용자 신분에 대한 스푸핑의 가능성이 있다.

업계 차원에서 보안이 입증되지 않은 산업제어시스템(ICS) 프로토콜 사용한다.

산업제어시스템(ICS) 프로토콜에는 보통 무단 접근이나 부당 변경으로부터 데이터를 보호하기 위한 보안 기능(예: 인증 및 암호화)이 거의 또는 전혀 없다. 게다가, 잘못된 프로토콜 구현은 추가적인 취약점으로 이어질 수 있다.

통신에 대한 무결성 검사의 결여

대부분의 산업용 제어 프로토콜에는 무결성 검사가 내장되어 있지 않다. 공격자는 들키지 않고 통신을 조작할 수 있다. 무결성을 보장하려면 산업제어시스템(ICS)에 데이터 무결성 보호를 제공하는 하위 계층 프로토콜(예: IPsec)을 사용할 수 있다.

무선 클라이언트와 접근점 사이의 불충분한 인증.

공격자가 배치한 악성 접근점에 클라이언트가 연결되지 않는 것을 보장하고, 또한 공격자가 산업제어시스템(ICS)의 어떠한 무선 네트워크에도 연결되지 않는 것을 보장하기 위해 무선 클라이언트와 접근점 사이에 강력한 상호 인증이 필요하다.

무선 클라이언트와 접근점 사이의 불충분한 데이터 보호

강력한 암호화 기능을 사용해서 무선 클라이언트와 접근점 사이의 기밀에 관련된 데이터를 보호하여 공격자가 암호화되지 않은 데이터에 대한 무단 접근 권한을 얻지 못하도록 해야 한다.


C-15

표 C-8. 적대적 사건 사례

추가로, 넓은 지리적 영역에 있는 제어시스템에서 원격 현장에는 보통 직원을 두지 않으며, 물리적으로 모니터링하지 않는다. 이러한 원격 시스템이 물리적으로 침범된 경우 공격자는 제어 네트워크로 향하는 연결을 설정할 수 있다.

사고의 근원

제어시스템에 대한 사이버 사고의 원인을 정확하게 판단하기는 어렵다. 하지만, 이 문제를 연구해오고 있는 업계의 사람들은 전통적인 정보기술(IT) 시스템에 노출된 취약점과 제어시스템에서 발견되는 취약점 사이에 유사하게 증가하는 동향을 발견한다. 산업제어시스템 사이버비상대응팀(ICS-CERT)은 완화 전략을 제공함과 동시에 위협 및 취약점을 식별함으로써 주요기반 전체의 위험을 감소하는 데 초점을 맞추고 있는 국토안보부(DHS) 조직이다.

위협 사건 설명

제어 동작 거부 정보의 흐름 지연 또는 차단에 의해 중단된 제어시스템 작동. 이 때문에 제어시스템 운영자를 위한 네트워크 가용성을 거부하거나, IT 상주형 서비스(예: DNS)에 의한 서비스를 거부 또는 정보 전송 병목구간을 초래한다.

제어 장치 재프로그래밍 PLC, RTU, DCS 또는 SCADA 컨트롤러의 프로그래밍된 가이드에 대한 무단 변경, 경보 임계값 변경, 장비(공차가 초과된 경우)에 대해 잠재적인 손상을 초래하는 제어 장비에 대한 무단 명령 하달, 공정의 조기 종료(예: 전송 회선의 조기 종료) 등 결과적으로 환경적 사고 또는 심지어 제어 장비의 불능화를 초래.

시스템 상태 정보 스푸핑 무단 변경을 위장하거나 시스템 운영자에 의한 부적절한 행동을 유발하기 위해 제어시스템 운영자에게 전송된 허위 정보.

제어 로직 조작 제어시스템 소프트웨어 또는 형상 설정이 수정되어, 예측할 수 없는 결과를 양산.

안전 시스템 수정 (1) 필요 시 작동하지 않거나, (2) ICS에 손상을 입히는 잘못된 제어 동작을 수행하는 방식으로 안전 시스템의 작동이 조작된다.

제어시스템의 악성코드 악성 소프트웨어(예: 바이러스, 웜, 트로이 목마)가 시스템으로 유입됨.


C-16

산업제어시스템 사이버비상대응팀(ICS-CERT)은 시스템 소유자 및 운영자가 자신들의 산업제어시스템(ICS) 내의 사고에 관한 정보를 보고할 수 있으며, 위험 완화에 대한 조언을 얻을 수 있는 신뢰 기관을 제공한다. 인프라 소유자 및 운영자가 제출하는 정보는 정보 자유법(FOIA)에 따른 공개, 국가, 종족 및 지방 공시법에 따른 공개, 규제 조치에서의 사용 및 민사소송에서의 사용으로부터 주요기반 정보 보호(PCII)로서 2002년 주요기반 정보법에 따라 보호된다. 주요기반 시설에서 사고 발생 시, 산업제어시스템 사이버비상대응팀(ICS-CERT)도 사고에 대응하고 사고를 분석하기 위해 현장 배치를 수행할 수 있다. 산업제어시스템 사이버비상대응팀(ICS-CERT)은 일반적인 산업제어시스템(ICS) 플랫폼에서 발견되는 새로운 보안 취약점의 주의보를 게시한다. 그림 C-1은 (1) 보고된 산업제어시스템(ICS) 사고 건수, (2) 산업제어시스템 사이버비상대응팀(ICS-CERT)에서 수행한 산업제어시스템(ICS)의 배치 건수 (3) 2010과 2013년 사이에 보고된 산업제어시스템(ICS) 취약점의 수를 나타낸다24.

기타 출처의 제어시스템 영향 정보에서도 제어시스템 사고가 증가하는 것을 나타낸다. 일부 정보는 보고되지 않았을 수 있으므로 이 정보에 산업제어시스템(ICS)이 관련된 모든 사고가 포함되어 있고 모든 취약점이 발견되었다고 가정해서는 안 된다.

24 https://ics-cert.us-cert.gov/


C-17

ICS 사고 보고서 - 티켓

ICS 사고 대응 현장 배치

ICS 관련 취약점 보고서 - 티켓

그림 C-1. 연도별로 ICS-CERT에 보고된 사고

문서로 기록된 사고

위협원이 산업제어시스템(ICS)에 악영향을 끼치는 방법을 나타내는 수 많은 산업제어시스템(ICS) 사고가 보고되었다. 이러한 사건은 산업제어시스템(ICS) 영역 내의 위협원, 취약점 및 영향의 심각도를 나타내는 데 도움이 된다. 제C.2절에 언급되었듯이 적대적, 돌발적, 구조적 및 환경적인 4가지 범주의 위협원이 있다. 종종 사고는 여러 위협원(예: 환경적 사건이 시스템 결함을 초래하고, 운영자가 잘못 대응하여 돌발적인 사건을 일으킬 수 있다.)의 결과일 수 있다. 이러한 범주에서 보고된 사고는 다음과 같다.

적대적 사건

n 우스터 항공 교통 통신25. 1997년 3월 매사추세츠주의 우스터에서 한 청소년이 시스템에 연결된 전화식 모뎀을 사용하여 공중 교환 전화망의 일부를 불능화시켰다. 이 공격으로 관제탑, 공항 보안 검색, 공항 소방서, 기상 관측 업무 및 공항을 사용하는 항공사의 전화 서비스를 모두 마비시켰다. 또한, 관제탑의 메인 무선 송신기 및 활주로 조명을 활성화하는 기타 송신기 뿐 아니라 컨트롤러에서 비행 진행을 모니터링하기 위해 사용하는 프린터도 중단되었다. 또한 이 공격으로 인해

25 우스터 항공 교통 통신 사고에 대한 자세한 내용은 다음을 참조: http://www.cnn.com/TECH/computing/9803/18/juvenile.hacker/index.html

http://www.cnn.com/TECH/computing/9803/18/juvenile.hacker/index.html


C-18

인근 러트랜드 마을에 있는 600 가구 및 기업의 전화 서비스도 마비되었다.

n 마루치 샤이어 하수 유출26. 2000년 봄, 호주에 있는 한 조직에서 제조 소프트웨어를 개발한 전직 직원이 지방 정부에 취직을 신청했으나 거절되었다. 전하는 바에 따르면 거절에 불만을 품은 이 직원은 2달에 걸쳐 무선 송신기를 사용하여 하수 처리 시스템의 통제 수단에 무려 46회나 원격으로 몰래 잡입했다. 그는 특정 하수 펌프장의 전자 데이터를 변경하고 작동 장애를 초래하여 궁극적으로 264,000 갤런의 미처리 하수를 근처 강과 공원에 방출했다.

n 데이비스 베스27. 2003년 8월에 원자력 규제 위원회(NRC)는 슬래머로 알려진 Microsoft SQL Server 웜이 2003년 1월에 오하이오주의 오크 하버에 있는 유휴 데이비스 베스 원자력 발전소의 사설 컴퓨터 네트워크를 감염시켜서 거의 5시간 동안 안전 모니터링 시스템을 불능화 시켰음을 확인했다. 추가로, 공장의 공정 컴퓨터에 장애가 발생하여 다시 사용할 수 있을 때까지 약 6시간이 소요되었다. 전하는 바에 따르면 슬래머는 최소한 5곳의 기타 시설의 제어 네트워크의 통신에도 영향을 끼쳤는데 너무 빠르게 전파되어 제어시스템 트래픽이 차단되었다.

n 조톱 웜28. 2005년 8월, 한 차례의 인터넷 웜 감염이 13곳에 있는 DaimlerChrysler 의 미국 자동차 제조 공장의 인터넷을 마비시켰으며, 감염된 Microsoft Windows 시스템이 패치되어 작업자들이 인터넷에 연결할 수 없었다. 일리노이, 인디애나, 위스콘신, 오하이오, 델라웨어, 미시간에 있는 공장의 인터넷이 마비가 되었다. 웜은 주로 Windows 2000 시스템에 영향을 끼쳤지만, Windows XP의 일부 초기 버전에도 영향을 끼쳤다. 컴퓨터가 반복적으로 종료되고 재시동되는 증상이 발생했다. 조톱과 그 변형들이 중장비 제조업체인 Caterpillar Inc., 비행기 제조회사인 Boeing 및 미국의 여러 대형 신생 조직에 있는 컴퓨터의 가동 중단의 원인이 되었다.

n 스턱스넷 웜29. 스턱스넷은 2010년 7월에 발견된 Microsoft Windows

26 마루치 샤이어 하수 유출 사고에 대한 자세한 내용: http://csrc.nist.gov/groups/SMA/fisma/ics/documents/Maroochy-Water-Services-Case-Study_report.pdf and http://www.theregister.co.uk/2001/10/31/hacker_jailed_for_revenge_sewage/ [4/16/15].

27 데이비스 베스 사고에 대한 자세한 내용: http://www.securityfocus.com/news/6767 [4/16/15].28 조톱 웜 사고에 대한 자세한 내용:

http://www.eweek.com/c/a/Security/Zotob-PnP-Worms-Slam-13-DaimlerChrysler-Plants[4/16/15].

http://www.eweek.com/c/a/Security/Zotob-PnP-Worms-Slam-13-DaimlerChrysler-Plants


C-19

컴퓨터 웜으로서 특히 산업용 소프트웨어와 장비를 표적으로 한다. 이 웜은 처음에는 무차별 확산되지만, 특정 산업 공정을 제어하고 모니터링하도록 구성된 특정 감시 제어 및 데이터 수집(SCADA) 시스템만을 표적으로 하도록 설계된 고도로 전문화된 악성코드 실제 운반 데이터가 포함되어 있다.

n 인터넷 연결 제어시스템에 대한 무작위 대입 공격30. 2013년 2월 22일 산업제어시스템 사이버비상대응팀(ICS-CERT)은 가스 압축 기지국 소유주로부터 공정제어 네트워크에 접근하기 위한 무작위 대입 시도가 증가하고 있다는 보고를 받았다. 포렌식스 증거로서 10개 독립된 IP들이 발견되었으며, 다른 천연 가스 배관 자산 소유주들로부터 유사한 성격의 보고를 받아서 추가적으로 39개의 우려되는 IP를 발견했다. 로그 분석에서는 날짜가 2013년 1월 16일부터 표시되며, 2013년 3월 8일 이후로는 보고가 없다.

n 샤문(Shamoon)31. 세계에서 8번째로 큰 정유회사인 Saudi Aramco는 악성코드 공격을 받았는데, 정유 공장들이 표적이 되었으며 공격받은 시스템의 마스터 부트 레코드(MBR), 분할표 및 기타 임의의 데이터 파일에 덮어쓰기가 수행되었다. 그 결과 시스템을 사용할 수 없게 되었다.

n 독일 제강 공장 공격32. 2014년 해커들이 용광로가 제대로 멈출 수 없을 정도로 제어시스템을 조작하고 교란하여, 명시되지는 않았지만 “엄청난” 손상을 초래했다.

구조적 사건

n CSX 열차신호체계33. 2003년 8월, 소빅 컴퓨터 바이러스는 미국 동해안의 열차신호체계를 정지시켰다. 바이러스는 CSX사의 플로리다 잭슨빌 본사에 있는 컴퓨터 시스템을 감염시켰으며, 그 결과 신호체계, 운행관리체계 및

29 스턱스넷 웜에 대한 자세한 내용: http://en.wikipedia.org/wiki/Stuxnet[4/16/15].30 산업제어시스템 사이버비상대응팀(ICS-CERT)에 보고된 사고에 대한 자세한 내용:

https://ics-cert.us-cert.gov/Information-Products[4/16/15].31 샤문에 대한 자세한 내용:

http://ics-cert.us-cert.gov/sites/default/files/Monitors/ICS-CERT_Monitor_Sep2012.pdf[4/16/15].32

독일 제강 공장 사고에 대한 자세한 내용:http://www.wired.com/2015/01/german-steel-mill- hack-destruction/ [4/16/15].

33 열차신호체계 사고에 대한 자세한 내용: http://www.cbsnews.com/stories/2003/08/21/tech/main569418.shtml 및 http://www.informationweek.com/story/showArticle.jhtml?articleID=13100807 [4/16/15].

http://en.wikipedia.org/wiki/Stuxnet

http://ics-cert.us-cert.gov/sites/default/files/Monitors/ICS-CERT_Monitor_Sep2012.pdf

http://www.wired.com/2015/01/german-steel-mill-hack-destruction/

http://www.wired.com/2015/01/german-steel-mill-hack-destruction/


C-20

기타 체계를 정지시켰다. Amtrak 대변인 Dan Stessel에 따르면 10대의 Amtrak 열차가 아침에 영향을 받았다. 사우스캐롤라이나의 피츠버그와 플로렌스 사이의 열차는 분명치 않은 신호 때문에 중단되었으며, 버지니아 리치몬드에서 출발해서 워싱턴 및 뉴욕으로 향하는 한 지역 Amtrak 열차는 2시간 이상 지연되었다. 장거리 열차도 네시간에서 여섯시간 동안 지연되었다.

n 북동부 정전34. 2003년 8월, FirstEnergy의 감시 제어 및 데이터 수집(SCADA) 시스템의 경보 프로세서의 결함으로 인해 제어실 운영자가 전력망에 대한 중요한 작동 변경 상황을 충분히 인식하지 못했다. 게다가, Midwest Independent System Operator의 상태 추정자가 구성 방식 변경에 대한 불완전한 정보 때문에 상태 추정에 실패했을 때 긴급 사태 분석이 차단되어 효과적인 신뢰성 감독을 할 수 없었다. 북부 오하이오의 몇몇 핵심 345kV 전송 회선이 나무와의 접촉때문에 차단되었다. 이로 인해 추가적으로 345kV 및 138kV 회선의 연쇄적인 과부하가 시작되었고, 제어되지 않는 전력망의 연쇄적인 실패까지 이르렀다. 265개의 발전소에서 508개의 발전 시설이 차단됨에 따라 총 61,800 MW의 부하가 손실되었다.

n 타움 소크 저수댐 결함35. 2005년 12월, 타움 소크 저수댐의 치명적인 결함으로 인하여 10억 갤런의 물이 방출되었다. 물이 저수지의 저장 용량에 충만했거나 범람으로 인해 결함이 발생했을 수 있다. 현재 잠정적으로 설정한 이론은 저수지가 채워졌을 때 일상적인 야간 배압펌프 작동이 중단되지 못해서 저수지의 제방이 범람했다는 것이다. 시설의 관계자에 따르면 댐의 게이지의 판독값은 타움 소크 공장을 원격으로 모니터링하고 운영하는 오자크 호수에 있는 오세이지 시설의 게이지의 판독값과 다르게 나왔다. 기지국들은 마이크로파 탑들로 이루어진 하나의 네트워크로 서로 연결되어 있으며, 타움 소크의 현장 운영자는 없다.

n 워싱턴주 벨링햄 휘발유 배관 결함36. 1999년 6월, 900,000리터(237,000

34 북동부 정전 사고에 대한 자세한 내용:http://energy.gov/sites/prod/files/oeprod/DocumentsandMedia/BlackoutFinalImplementationReport%282%29.pdf [4/16/15].http://www.oe.energy.gov/DocumentsandMedia/BlackoutFinal-Web.pdf

35 타움 소크 저수댐 결함 사고에 대한 자세한 내용:http://www.ferc.gov/industries/hydropower/safety/projects/taum-sauk/ipoc-rpt/full-rpt.pdf[4/16/15].

36 워싱턴주 벨링햄 휘발유 배관 결함 사고에 대한 자세한 내용:http://csrc.nist.gov/groups/SMA/fisma/ics/documents/Bellingham_Case_Study_report%2020Sep071.pdf and http://www.ntsb.gov/investigations/AccidentReports/Reports/PAR0202.pdf [4/16/15].


C-21

갤런)의 휘발유가 16인치(40.64cm) 배관에서 유출되고 1시간30분 후에 점화되어 사망 3명, 부상 8명, 광범위한 재산 피해를 일으켰다. 배관 결함은 제어 및 모니터링 기능을 수행할 수 없는 제어시스템에 의해 악화되었다. “사고 바로 직전과 도중에, 감시 제어 및 데이터 수집(SCADA) 시스템의 성능이 저하되여 배관 컨트롤러에서 비정상 배관 작동의 전개를 관찰하고 대응할 수 없었다.”

2002년 10월 발행된 미국연방교통안전위원회(NTSB) 보고서의 핵심 권장 사항은 감시 제어 및 데이터 수집(SCADA) 데이터베이스의 변경 사항에 대한 구현 및 검증을 위한 오프라인 개발 및 검증 시스템을 활용하는 것이다.

n 브라운즈 페리-3 프로그래머블 로직 컨트롤러(PLC) 결함37. 2006년 8월 TVA에서는 무반응 프로그래머블 로직 컨트롤러(PLC)가 2개의 양수기에서 장애를 일으키고 발전소 자체의 안정성을 위협하여 발전소에 있는 2개의 원자로 중 하나를 수동으로 멈출 수 밖에 없었다. 이중으로 된 중복 프로그래머블 로직 컨트롤러(PLC)가 있었지만, 동일한 이더넷 네트워크에 연결되어 있었다. 나중에 장애가 발생한 장치에 대한 검증을 통해서 과도한 네트워크 트래픽이 발생하는 경우 사고로 이어진다는 것을 발견했다.

환경적 사건

n 후쿠시마 다이이치 원전사고38. 2011년 3월 11일 극동의 일본 대지진은 내륙의 원자력 발전소를 향해 거대한 지진해일을 보내면서 일본 해안을 강타했다. 지진해일은 발전소 방파제를 훼손하고 비상 발전기들이 있는 장소를 포함한 발전소의 대부분을 범람했다. 이 비상 전력은 제어실의 작동과 원자로 냉각수를 제공을 위해 중요했다. 냉각수의 손실로 인해 원자로 노심이 과열되어 연료의 지르코늄 피복재가 물과 반응하면서 수소 가스를 방출하면서 4개의 원자로 건물 중에서 3개에서 이 수소 가스가 대형 폭발의 연료가 되었다. 이로 인해 대규모의 방사능 누출이 발전소 직원, 인근 주민 및 지역 환경에 영향을 주었다. 후속 사건 분석에서는

37 브라운즈 페리-3 프로그래머블 로직 컨트롤러(PLC) 결함 사고에 대한 자세한 내용:http://www.nrc.gov/reading-rm/doc-collections/gen-comm/info-notices/2007/in200715.pdf[4/16/15].

38 자세한 내용:http://www-pub.iaea.org/MTCD/meetings/PDFplus/2011/cn200/documentation/cn200_Final-Fukushima-Mission_Report.pdf 및 http://pbadupws.nrc.gov/docs/ML1414/ML14140A185.pdf[4/16/15].

http://www-pub.iaea.org/MTCD/meetings/PDFplus/2011/cn200/documentation/cn200_Final-Fukushima-Mission_Report.pdf

http://www-pub.iaea.org/MTCD/meetings/PDFplus/2011/cn200/documentation/cn200_Final-Fukushima-Mission_Report.pdf

http://pbadupws.nrc.gov/docs/ML1414/ML14140A185.pdf


C-22

발전소의 비상 대응 센터에 핵심 안전 관련 기기 장치에 대한 정보를 발전소의 기타 영역에 제공하기 위한 보안 통신 회선이 충분하지 않은 것으로 나타났다.

돌발적인 사건

n 취약점 스캐너 사고39. 3미터(9피트) 로봇 팔을 제어하는 활동 중인 감시 제어 및 데이터 수집(SCADA) 네트워크에서 핑 스윕이 수행되고 있는 동안 한 개의 로봇 팔이 활성화되어 180도를 휘도는 것이 발견되었다. 핑 스윕이 시작되기 전에 로봇 팔의 컨트롤러는 대기 모드에 있었다. 별도의 사고에서 네트워크에 부속된 모든 호스트를 재고 조사의 목적으로 파악하기 위해 산업제어시스템(ICS) 네트워크에서 핑 스윕이 수행되던 중에 제조 공장에서 집적 회로의 생성을 제어하는 시스템이 중단되었다. 이 시험으로 인해 $50,000 가치의 웨이퍼가 파손되었다.

n 침투 시험 사고40. 천연 가스 시설에서 정보기술(IT) 보안 컨설팅 조직을 고용하여 자체 기업 정보기술(IT) 네트워크에 침투 시험을 수행했다. 컨설팅 조직은 부주의하게 감시 제어 및 데이터 수집(SCADA) 시스템에 직접 연결된 네트워크의 일부에 침투를 감행했다. 침투 시험의 결과로 감시 제어 및 데이터 수집(SCADA) 시스템이 잠겨버려서 해당 시설에서 4시간 동안 배관을 통해 가스를 전송할 수 없었다. 그 결과 고객들은 4시간 동안 서비스를 제공받을 수 없었다.

39 취약성 스캐너 사고에 대한 자세한 내용:http://energy.sandia.gov/wp/wp-content/gallery/uploads/sand_2005_2846p.pdfhttp://www.sandia.gov/scada/documents/sand_2005_2846p.pdf [4/16/15].

40 침투 시험 사고에 대한 자세한 내용:http://energy.sandia.gov/wp/wp-content/gallery/uploads/sand_2005_2846p.pdf [ 4/16/15].

http://energy.sandia.gov/wp/wp-content/gallery/uploads/sand_2005_2846p.pdf


http://www.sandia.gov/scada/documents/sand_2005_2846p.pdf%20

http://energy.sandia.gov/wp/wp-%20



D-1

부록 D - 산업제어시스템 보안의 현재 활동

이 부록에는 산업제어시스템(ICS) 사이버보안을 다루는 많은 활동 중 일부의 요약이 포함되어 있다. 이 부록에 제공된 조직 설명과 관련 정보는 주로 나열된 조직의 웹사이트와 기타 신뢰할 수 있는 공개 자료에서 발췌한 것이지만, 검증되지는 않았음을 유의한다. 완전한 최신 정보를 원하는 독자들은 해당 조직에 직접 연락하는 것이 좋다.

미국 가스 협회(AGA) 표준 12, “감시 제어 및 데이터 수집(SCADA) 통신의 암호화 보호”

미국 가스 협회: http://www.aga.org/

미국 전역의 5천6백만 이상의 가정, 기업 및 산업계에 천연 가스를 제공하는 195개의 지역에 있는 에너지 시설 단체들을 대표하는 미국 가스 협회는 에너지 시설 구성원들과 그 고객들의 이익을 옹호하고 정보와 서비스를 제공한다. 12개의 시리즈로 구성된 AGA 문서에는 사이버 사고로부터 감시 제어 및 데이터 수집(SCADA) 통신을 보호하기 위해 설계된 권장 사례들이 포함되어 있다. 권고 방식은 감시 제어 및 데이터 수집(SCADA) 통신의 비밀성의 보장에 초점을 맞춘다.

AGA 12개 시리즈의 목적은 특히 암호 기법을 사용하여 감시 제어 및 데이터 수집(SCADA) 통신을 보호하기 위해 설계된 포괄적인 시스템을 권장함으로써 감시 제어 및 데이터 수집(SCADA) 시스템 소유자의 시간을 절약하고 수고를 줄이도록 하는 것이다. AGA 12개 시리즈는 천연 가스 시스템과의 유사성 때문에 물, 폐수 및 전기 감시 제어 및 데이터 수집(SCADA) 기반 배급 시스템에 적용할 수 있지만, 시간조절 요구사항은 서로 다를 수 있다. 또한 12개 시리즈의 문서에 포함된 권장 사항은 기타 산업제어시스템(ICS)에도 적용할 수 있다. 향후 이 시리즈의 부록에 추가하기로 계획된 주제에는 키 관리, 유휴 데이터 보호 및 보안 정책이 포함된다.

미국 석유 협회(API) 표준 1164, “배관 감시 제어 및 데이터 수집(SCADA) 보안”

미국 석유 협회: http://www.api.org/

http://www.aga.org/

http://www.api.org/


D-2

미국 석유 협회는 석유 및 천연 가스 업계의 모든 면에서 관련된 400명 이상의 회원을 대표한다. API 1164는 석유 및 천연 가스 배관 시스템의 운영자를 위해 감시 제어 및 데이터 수집(SCADA) 시스템의 무결성 및 보안을 관리하기 위한 가이드를 제공한다. 이 가이드는 운영자에게 감시 제어 및 데이터 수집(SCADA) 보안 업계의 사례를 설명하고, 운영자의 개별 조직 내에서 건전한 보안 사례를 개발하는 데 필요한 프레임워크를 제공하기 위해 특별히 설계되었다. 이 가이드는 운영자가 가능한 시스템 개선을 위해 감시 제어 및 데이터 수집(SCADA) 시스템을 검토할 때 시스템의 취약성 및 위험을 이해하는 것의 중요성을 강조하고 있다. API 1164는 다음과 같이 감시 제어 및 데이터 수집(SCADA) 배관 운영의 보안을 개선하기 위한 수단을 제공한다.

n 사고에 대한 감시 제어 및 데이터 수집(SCADA) 시스템의 민감성을 식별하고 분석하는 데 사용되는 공정을 나열.

n 핵심 구조를 강하게 하는 사례의 포괄적인 목록을 제공.

n 업계 권고 방식의 사례 제공.

이 가이드는 한정된 정보기술(IT) 보안 자원을 보유한 중소 배관 운영자를 대상으로 하고 있다. 이 가이드는 석유 및 천연 가스 감시 제어 및 데이터 수집(SCADA) 시스템 뿐 아니라 대부분의 감시 제어 및 데이터 수집(SCADA) 시스템에 적용할 수 있다. 문서의 부록에는 감시 제어 및 데이터 수집(SCADA) 시스템과 그 제어시스템의 보안 계획의 사례를 평가하기 위한 점검표가 포함되어 있다.

미국 전력연구소(EPRI)

http://www.epri.com/Our-Work/Pages/Cyber-Security.aspx, http://smartgrid.epri.com/NESCOR.aspx

미국 전력 연구소(EPRI)는 공익 에너지 및 환경적 연구를 위한 비영리 센터이다. EPRI는 전력의 문제점에 대한 솔루션을 공동으로 마련하는 회원 단체, 연구소의 과학자, 기사 및 기타 최고의 전문가들을 함께 뭉치게 한다. 이러한 솔루션은 건강, 안전 및 환경을 포함하여 발전, 송전 및 사용의 거의 모든 영역을 망라한다. EPRI의 구성원은 미국에서 생산된 전력의 90% 이상을 대표한다.


D-3

산업제어시스템 사이버비상대응팀(ICS-CERT)

https://ics-cert.us-cert.gov/About-Industrial-Control-Systems-Cyber-Emergency-Response-Team

ICS-CERT는 국토안보부 사이버보안 및 통신 사무국(DHS CS&C)의 한 부서인 국가 사이버보안 및 통합 센터(NCCIC) 내에서 운영된다. NCCIC/ICS-CERT는 보안 제어시스템을 위한 DHS 전략의 핵심 구성요소이다. 전략의 주요 목표는 성공적인 조정 노력을 통해서 제어시스템 보안의 효과적인 위험 관리가 실현될 수 있는 장기적인 공통 비전을 구축하는 것이다. ICS-CERT는 다음과 같은 목적을 위해 US-CERT와의 협동에 초점을 맞춘 제어시스템 보안을 제공한다.

n 제어시스템 관련 사고의 대응 및 분석.n 취약성 및 악성코드 분석 수행.n 사고 대응 및 포렌식스 분석을 위한 현장 지원 제공.n 실행 가능한 정보의 형태로 상황 인식 제공.n 취약점/완화의 책임있는 공개를 조정.n 정보 제품 및 경고를 통해 취약성 정보 및 위협 분석을 공유 및 조정.

ICS-CERT는 연방, 주, 지방 기관 및 단체, 정보기관 및 민간 부문 구성원(예: 공급자, 소유자, 운영자), 국제 및 민간 부문 CERT와의 제어시스템 관련 보안사고 및 정보 공유를 조정한다. 제어시스템 사이버보안에 초점을 맞춤으로써 주요기반 관계자 공동체의 모든 구성원들의 활동 조정을 위한 직접 경로를 제공한다.

NCCIC의 기능적 구성요소로서 ICS-CERT는 새로운 사이버 위협으로부터 제어시스템 환경을 방어하기 위한 집중 운영 기능을 제공한다.

ICS-CERT는 연방, 주, 지방 기관 및 단체, 정보기관, 민간 부문 구성원(예: 공급자, 소유자, 운영자), 국제 및 민간 부문 컴퓨터 보안사고 대응 팀(CSIRT)과의 제어시스템 관련 보안사고 및 정보 공유의 효율적인 조정을 제공한다. 제어시스템 사이버보안에 초점을 맞춤으로써 관계자 공동체의 모든 구성원들의 활동의 조정을 위한 직접 경로를 제공한다.

ICS-CERT 사이버 보안 평가 도구(CSET®)


D-4

http://ics-cert.us-cert.gov/Assessments

사이버 보안 평가 도구(CSET®)는 핵심 국가 사이버 자산을 보호하기 위한 조직을 지원하는 국토안보부(DHS) 제품이다. 국토안보부(DHS) 산업제어시스템 사이버비상대응팀(ICS-CERT)의 지시에 의해 미국국립표준기술연구소(NIST)의 지원으로 사이버보안 전문가에 의해서 개발되었다. 이 도구는 사용자에게 자신들의 사이버 시스템 및 네트워크의 보안 태세의 평가를 위한 체계적이고 반복적인 접근방식을 제공한다. 이 도구에는 모든 산업용 제어 및 정보기술(IT) 시스템에 관련된 높은 수준의 상세한 질문이 포함되어 있다.

CSET는 정평있는 업계 표준에 따라 제어시스템 및 정보기술 네트워크 보안 사례를 평가하기 위한 단계별 절차를 사용자에게 안내하는 데스크톱 소프트웨어 도구이다. CSET의 출력은 조직의 기업용 및 산업용 제어 사이버 시스템의 사이버보안 태세를 개선하기 위한 권장 사항의 우선순위 목록이다. 도구는 사이버보안 표준, 가이드 및 사례의 데이터베이스에서 권장 사항을 도출한다. 각 권장 사항은 사이버보안 통제를 강화하기 위해 적용할 수 있는 일련의 조치에 연결되어 있다.

CSET는 독립형 노트북 컴퓨터 또는 워크스테이션에서 설치와 사용이 용이하도록 설계되었다. 미국국립표준기술연구소(NIST), 북미전력신뢰성위원회(NERC), 교통안전국(TSA), 미 국방부(DoD) 등의 조직에서 사용할 수 있는 다양한 표준을 통합한다. 도구 사용자가 하나 이상의 표준을 선택하는 경우 CSET는 일련의 질문을 통해 답변을 요청한다. 이러한 질문에 대한 답변은 선택된 보안 보증 수준과 비교되며, 잠재적인 개선이 필요한 영역을 표시하는 상세 보고서가 생성된다. CSET는 사용자의 제어시스템 환경의 보안 태세에 대한 자체평가를 위한 우수한 수단이다.

ICS-CERT 권장 사례

https://ics-cert.us-cert.gov/Introduction-Recommended-Practices

산업제어시스템 사이버비상대응팀(ICS-CERT)은 제어시스템 공동체와 협업하여 이 프로그램의 지원을 위해 공개적으로 사용할 수 있게 하기 전에 업계의 해당 주제 전문가가 사용 가능한 권고 방식을 면밀하게 점검했는지 확인한다.


D-5

권장 사례는 사용자가 사이버 공격에 대한 노출 및 민감성을 감소하는 데 도움이 되도록 개발된다. 이러한 권장 사항은 사이버 위협, 제어시스템 취약점, 공격 경로 및 보안 구조 설계의 이해에 기초한다.

권고 방식 작업반은 권고 방식 절에 구현될 주제를 선택한다. 사이버 취약점과 완화에 관련된 다양한 제어시스템 주제를 자세하게 다루는 추가 지원 문서가 정확성을 위해 작업반에 의해 개발되고 면밀하게 점검되었다. 이러한 문서는 업데이트되고 추가 콘텐츠 및 새로운 문제를 다루기 위한 주제가 추가된다.

전기전자기술자협회, Inc.(IEEE)

http://www.ieee.org

IEEE 1686-2007 – 변전소 IED 사이버보안 기능 표준. 주요기반 보호 프로그램을 수용하기 위해 변전소 지능형 전자 장치(lED)에 제공될 기능 및 특징은 이 표준에서 정의된다. IED의 접근, 작동, 구성, 펌웨어 개정판 및 데이터 회수에 관한 보안은 이 표준에서 다루어진다. 전력 계통 보호(텔레프로텍션) 목적의 통신은 다루어지지 않는다. 감시 제어 및 데이터 수집을 포함한 변전소의 내외부 모두의 데이터의 보안 전송을 위한 암호화는 이 표준의 일부가 아니며, 다른 곳에서 다루어진다.

IEEE P1711 - 변전소 직렬 링크의 사이버보안을 위한 암호화 프로토콜의 표준. 이 표준은 직렬 링크의 사이버보안을 위한 무결성 및 선택적 비밀성을 제공하기 위한 암호화 프로토콜을 정의한다. 이 표준은 특정 응용 프로그램 또는 하드웨어 구현을 다루지는 않으며, 기본 통신 프로토콜과는 관계없다.

IEEE 1815-2012 - 전력 시스템 통신-분산 네트워크 프로토콜(DNP3)의 표준. 이 표준은 DNP3 보안 인증(DNP3-SAv5)으로 불리는 응용 프로그램 계층 인증 절차의 버전5를 통합하는 DNP3 감시 제어 및 데이터 수집(SCADA) 프로토콜을 설명한다. DNP3- SAv5는 전산 및 통신 오버헤드를 제한하면서 데이터 및 명령이 인가된 개별 사용자 또는 장치에 (부당 변경 없이) 수신되는 것을 확인하기 위해 HMAC 공정을 사용한다. SAv5는 대칭 또는 PKI 기법을 사용하여 사용자 자격증명의 원격 업데이트(추가/변경/취소)를 지원한다. SAv5는 메시지를 인증하지만, 암호화하지는 않는다. 따라서 비밀성을

http://www.ieee.org/


D-6

제공하지는 않는다. SAv5는 비밀성이 요구되는 경우 TLS 또는 IEEE 1711과 같은 암호화 기법과 함께 사용될 수 있다.

정보 인프라 보호 연구소(I3P)

http://www.thei3p.org/

I3P는 학술 연구 센터, 정부 연구소 및 비영리 단체 등이 포함된 선도적인 국가 사이버보안 기관들의 협력단이다. I3P는 치명적인 결함으로부터 국가의 정보 기반을 보호하기 위한 연구 개발(R&D) 개선에 대해 문서에 의해 충분히 입증된 필요에 부합하기 위해 2001년 9월에 설립되었다. 이 연구소의 주요 역할은 국가 사이버보안 R&D 프로그램을 조정하고 학계, 업계, 정부 사이의 교량 역할을 하는 것이다. I3P는 정보 기반 보호에서 중요한 연구 문제를 파악하고 해결하며, 연구원, 정책 입안자, 인프라 운영자 사이의 정보 채널을 여는 방향으로 계속 운영된다. 현재, I3P는 다음을 수행한다.

n 사이버보안 문제를 감소시키기 위한 학계, 업계 및 정부 사이의 협동을 육성.

n 국가 규모의 연구 프로젝트 개발, 관리 및 지원.n 자격 있는 박사 후 연구원, 교수진 및 연구 과학자에게 연구 유대의 기회

제공.n 사이버보안 및 정보 기반 보호 문제에 관한 연수회, 회의 및 행사 개최.n I3P 회원 및 정보 보안 문제점을 다루고 있는 다른 사람에게 정보를

공유하고 배치하기 위한 온라인 수단으로서 지식베이스 구축 및 지원.

국제 전자기술 위원회(IEC) 기술 위원회 65 및 57

http://www.iec.ch/

IEC는 모든 전기, 전자 및 관련 기술에 대한 국제 표준을 작성하고 발간하는 표준화 기구이다. 이러한 표준은 국가 표준의 생성을 위한 근거 및 국제 입찰과 계약의 초안 작성을 위한 참조의 역할을 한다. IEC의 구성원에는 60개 이상의 국가에서 제조업체, 공급업체, 에너지배급업체, 판매업체, 소비자, 사용자, 각계각층의 정부 기관, 전문가 학회, 무역 협회 및 표준 개발자가 포함된다.

http://www.iec.ch/


D-7

2004년 IEC 기술 분과위원회 65C(산업용 네트워크)는 WG13(사이버보안) 작업반을 통해서 IEC 61784 표준 내에서 필드버스 및 기타 산업용 통신 네트워크를 위한 보안 문제를 다루기 시작했다. 이 작업의 결과는 “측정 및 제어용 디지털 데이터 통신 – 산업용 네트워크의 보안 통신용 프로파일”이라는 제목의 제4부에 설명되어 있다.

일반적인 자동화 네트워킹 시나리오 전체에 보안 표준을 다루기 위해 TC65 WG10은 이 현장 수준 통신을 확장하기 위해 노력하고 있다. 이 작업의 결과로 작성된 표준은 “산업용 공정 측정 및 제어를 위한 보안 – 네트워크 및 시스템 보안”이라는 제목의 IEC 62443이다. 이것은 일련의 요구사항으로 구성된 모듈식 보안 구조에 기초한다. 이러한 모듈은 산업제어시스템(ICS) 구성요소 및 네트워크 구조로 매핑된다. 그 다음에 결과적으로 나온 요구사항은 데이터 통신 표준 및 보안 감사를 위한 제안 요청서(RFP)의 근거로서 사용하기 위해 작성될 수 있다.

TC 57은 전력 계통 관리 및 관련된 정보 교환에 중점을 두고 있으며, 일련의 작업반으로 분할된다. 각 작업반은 IEC에 참여하는 국가들의 국가 표준 위원회의 구성원들로 구성되어 있다. 각 작업반은 해당 영역 내의 표준의 개발을 담당한다. 현재 작업반은 다음과 같다.

n WG 3: 원격 조작 프로토콜.n WG 9: 배전송 반송 시스템을 사용한 배전 자동화.n WG 10: 전력 계통 IED 통신 및 관련된 데이터 모델.n WG 13: 에너지 관리 시스템 응용 프로그램 인터페이스(EMS-API).n WG 14: 배급 관리용 시스템 인터페이스(SIDM).n WG 15: 데이터 및 통신 보안.n WG 16: 규제가 철폐된 에너지 시장 통신.n WG 17: 분산 에너지 자원(DER)용 통신 시스템.n WG 18: 수력 발전소 – 모니터링 및 제어용 통신.n WG 19: TC 57내의 장기적인 상호운용성.n WG 20: (단측파대) 전력선 반송장치 시스템(IEC 60495)의 기획.

(단측파대) 전력선 반송장치 시스템(IEC 60663)의 기획.n WG 21: 전력망에 연결된 시스템에 관련된 인터페이스 및 프로토콜

프로파일.


D-8

ISA99 산업 자동화 및 제어시스템 보안 표준


ISA99 표준 개발 위원회는 산업 자동화 및 제어시스템(IACS) 보안에 대한 ISA 표준을 개발하기 위해 전 세계의 산업 사이버보안 전문가를 화합하게 한다. 이 원래의 지속적인 ISA99 작업은 다중 표준 IEC 62443 시리즈를 생성하는 IEC에 의해서 표준화되고 있다. 이 위원회는 자동화 또는 제어에 사용되는 구성요소 또는 시스템의 비밀성, 무결성 및 가용성을 향상시키는데 중점을 두고, 보안 제어시스템을 조달하고 구현하기 위한 기준을 제공한다. 위원회의 가이드를 준수하면 산업용 자동화 및 제어시스템 전자 보안을 향상시키며, 취약점을 파악하고 해결하는 데 도움이 되고, 이로써 기밀 정보를 훼손하거나 산업 자동화 제어시스템의 성능 저하 또는 결함을 일으킬 위험을 감소시킨다.

모든 ISA-62443 표준 및 기술 보고서는 일반, 정책 및 절차, 시스템, 구성요소로 불리는 4개의 일반 범주로 구성된다.

n 일반 범주에는 개념, 모델 및 용어 등의 공통 또는 기본 정보가 포함되어 있다. 또한 IACS에 대한 보안 측정지표 및 보안 수명주기를 설명하는 작업 산출물도 포함되어 있다.

n 작업 산출물의 정책 및 절차 범주는 자산 소유자를 대상으로 한다. 이것은 효과적인 IACS 보안 프로그램을 생성하고 유지하는 다양한 측면을 다룬다.

n 시스템 범주에는 제어시스템의 보안 통합을 위한 시스템 설계 가이드 및 요구사항을 설명하는 작업 산출물이 포함되어 있다. 이것의 핵심은 구역 및 도관 설계 모델이다.

n 구성요소 범주에는 제어시스템 제품의 특정 제품 개발 및 기술 요구사항을 설명하는 작업 산출물이 포함되어 있다. 이것은 주로 제어 제품 공급자를 대상으로 하지만, 보안 제품의 조달을 지원하기 위해 통합 사업자 및 자산 소유자에 의해 사용될 수 있다.

최신 상태의 ISA-62443 문서는 ISA99 Wiki(http://isa99.isa.org/ISA99 Wiki/)에 제공된다.


http://isa99.isa.org/ISA99%20Wiki/


D-9

일반

n ISA-62443-1-1(IEC/TS 62443-1-1)(이전에는 "ISA-99 Part 1"라고 불림)은 원래 ISA 표준 ANSI/ISA-99.00.01-2007 뿐 아니라 IEC 기술 사양 IEC/TS 62443-1-1으로 발행되었다. ISA99 위원회가 시리즈의 기타 문서들과 맞추어 조정하고 규범적인 내용을 명확하게 하기 위해 현재 개정하고 있다.

n ISA-TR62443-1-2(IEC 62443-1-2)는 ISA99 위원회에서 사용하는 주 용어 해설 설명이다. 이 문서는 작업 초안이다.

n ISA-62443-1-3(IEC 62443-1-3)은 IACS 보안을 위한 일련의 준수 측정지표를 식별한다. 이 문서는 현재 개발 중이며, 위원회는 논평을 위한 초안을 2013년에 발표한다.

n ISA-TR62443-1-4(IEC/TS 62443-1-4)는 IACS 보안 수명주기 및 사용사례를 정의한다. 이 작업 산출물은 시리즈의 일부로서 제안되었지만, 2013년 1월 현재 아직 개발이 시작되지 않았다.

정책 및 절차

n ISA-62443-2-1(IEC 62443-2-1)(이전에는 "ANSI/ISA 99.02.01-2009 또는 ISA-99 Part 2"라고 불림)은 IACS 보안 프로그램을 설정하는 방법을 다룬다. 이 표준은 IEC에 의해서 IEC 62443-2-1로서 승인되고 게시되었다. 이것은 현재 ISO 27000 표준 시리즈와 더 가깝게 정렬하기 위해 개정되고 있다.

n ISA-TR62443-2-2(IEC 62443-2-2)는 IACS 보안 프로그램을 작동하는 방법을 다룬다. 이 표준은 현재 개발 중이다.

n ISA-TR62443-2-3(IEC/TR 62443-2-3)은 IACS 환경에서의 패치 관리에 관한 기술 보고서이다. 이 보고서는 현재 개발 중이다.

n ISA-62443-2-4(IEC 62443-2-4)는 IACS 공급업체 보안 정책 및 사례의 인증에 초점을 맞춘다. 이 문서는 WIB 조직에서 채택되었으며, 현재는 IEC TC65/WG10 위원회의 작업 산출물이다. 제안되는 ISA 버전은 IEC 표준의 미국 국가 발행물이 된다.


D-10

시스템

n ISA-TR62443-3-1(IEC/TR 62443-3-1)은 IACS 보안에 적합한 기술에 관한 기술 보고서이다. 이 보고서는 ANSI/ISA-TR99.00.01-2007로 승인되고 발행되었으며, 현재 개정 중이다.

n ISA-62443-3-2(IEC 62443-3-2)는 구역 및 도관 개념을 사용하는 보안 보증 수준을 정의하는 방법을 다룬다. 이 표준은 현재 개발 중이다.

n ISA-62443-3-3(IEC 62443-3-3)은 IACS 보안의 상세 기술 요구사항을 정의한다. 이 표준은 ANSI/ISA-62443-3-3(99.03.03)-2013으로 발행되었다. 이전 번호는 ISA-99.03.03이다.

구성요소

n ISA-62443-4-1(IEC 62443-4-1)은 보안 IACS 제품 및 솔루션의 개발을 위한 요구사항을 다룬다. 이 표준은 현재 개발 중이다.

n ISA-62443-4-2(IEC 62443-4-2) 시리즈는 IACS 구성요소 수준을 위한 상세 기술 요구사항을 다룬다. 이 표준은 현재 개발 중이다.

자동화를 위한 ISA100 무선 시스템


ISA100 위원회는 현장 수준에 초점을 둔 자동화 및 제어 환경에서 무선 시스템을 구현하기 위한 절차를 정의하는 표준, 권고 방식, 기술 보고서 및 관련 정보를 설정한다. 가이드는 전체 수명주기(예: 산업 자동화 및 제어시스템의 설계, 구현, 지속적인 유지보수, 확장성 또는 관리)에 책임이 있는 사람을 대상으로 하며, 사용자, 시스템 통합 사업자, 실무자, 제어시스템 제조업체 및 공급자에게 적용된다.

ISO 27001

http://www.iso.org/, http://www.27000.org

ISO 27001은 정보 보안 관리 시스템의 설정, 구현, 운영, 모니터링, 검토, 유지 및 개선을 위한 모델을 제공한다. 표준의 자체 목표는 "정보 보안 관리


http://www.iso.org/

http://www.27000.org/


D-11

시스템(ISMS)의 설정, 구현, 유지, 지속적인 개선을 위한 요구사항을 제공”하는 것이다. 채택과 관련하여 이것은 전략적으로 결정해야 한다. 또한, "조직의 정보 보안 관리 시스템의 설계 및 구현은 조직의 요구 및 목표, 보안 요구사항, 사용되는 조직 공정, 조직의 크기 및 구조에 의해 영향을 받는다.” 표준의 내용 부분은 다음과 같다.

n 조직의 구성.n 정보 보안 지도 체제.n ISMS 기획.n 지원.n 운영.n 성능 평가.n 개선.n 부록 A – 통제 수단의 목록 및 목표.

표준의 2005 버전에는 OECG 가이드(oecd.org 참조)에 규정된 공정을 구성하고 원칙을 반영하기 위해 계획-실행-점검-조치 모델이 집중적으로 사용되었다. 하지만, 최신 2013 버전에서는 조직의 ISMS 실적을 측정하고 평가하는 데 더 중점을 두고 있다.

ISO 27002

http://www.iso.org/, http://www.27000.org

ISO 27002는 "조직 내에서 정보 보안 관리를 시작, 구현, 유지, 개선하기 위한 가이드 및 일반 원칙을 설정했다." 표준에 나와 있는 실제 통제 수단은 공식 위험 평가를 통해서 파악된 특정 요구사항을 해결하기 위한 것이다. 또한 표준은 "조직 보안 표준 및 효과적인 보안 관리 사례의 개발을 위한 가이드를 제공하고 조직 간 활동에서 신뢰를 구축할 수 있도록 하기 위한 것이다41."

최신 버전은 2013년에 발행되었다. ISO 27002:2013에는 2005년 버전에 문서로 기록된 133개 보다 적은 114개의 통제 수단이 포함되어 있다. 하지만 더욱 세분화되어 원래의 11개 보다 많은 14개의 절로 구성되어 있다.

41 http://www.27000.org/iso-27002.htm.

http://www.iso.org/

http://www.27000.org/

http://www.27000.org/iso-27002.htm


D-12

n 보안 정책.n 정보 보안 조직.n 인적 자원 보안.n 자산 관리.n 접근통제.n 암호 기법.n 물리적 및 환경적 보안.n 운영 보안.n 통신 보안.n 정보시스템 수집, 개발, 유지보수.n 공급업체와의 관계.n 정보 보안사고 관리.n 비즈니스 연속성의 정보 보안 측면.n 규정 준수.

국제 송전망 위원회(CIGRE)

http://www.cigre.org/

국제 송전망 위원회(CIGRE)는 프랑스에 기반을 두고 있는 비영리 국제 협회이다. CIGRE는 권고 방식을 식별하고 권장 사항을 개발함으로써 전기 업계에서 지식의 국제적인 교환을 촉진하기 위해 여러 연구 위원회를 수립했다. 이 중 3개의 연구 위원회가 제어시스템에 중점을 두고 있다.

n B3 변전소 위원회의 목표에는 장비 및 시스템에서 기술적 진보를 채택하여 신뢰성 및 가용성의 향상을 달성하는 것이 포함된다.

n C2 시스템 운영 및 제어 위원회는 제어센터 및 운영자를 포함하는 기존 전력 계통의 보안 및 경제적 운영을 위해 필요한 기술적 역량에 중점을 두고 있다.

n D2 전력 계통의 정보시스템 및 전기 통신 위원회는 업계의 새로운 기술을 모니터링하고 가능한 영향을 평가한다. 추가로, 제어시스템의 정보시스템 및 서비스의 보안 요구사항에 중점을 둔다.

http://www.cigre.org/


D-13

LOGIIC – 사이버보안 향상을 위한 석유 및 가스 업계 연계

http://www.dhs.gov/csd-logiic

LOGIIC(사이버보안 향상을 위한 석유 및 가스 업계 연계) 프로그램은 석유 및 천연 가스 기업 및 국토안보부(DHS) 과학 기술 이사회(S&T)의 지속적인 협동이다. LOGIIC는 협동 연구, 개발, 검증 및 평가 절차를 촉진해서 석유 업계 디지털 제어시스템의 사이버보안을 향상시키기 위해 2004년에 형성되었다. 이 프로그램에서는 석유 및 천연 가스 부문에 이해관계가 있는 중요한 시스템에서 사이버보안의 수준을 향상시키기 위한 공동 R&D 프로젝트를 착수한다. 프로그램의 목표는 공평성, 참가자의 독립성 및 공급자 중립성을 유지하면서 해당 부문의 이익을 도모하는 것이다. 첫 번째 프로젝트의 성공 후에, LOGIIC 협력단은 국토안보부(DHS), 자동화 연맹, 5개의 주요 석유 및 가스 기업 간의 협동으로 공식적으로 설립되었다. LOGIIC 프로그램에서는 몇 가지 R&D 프로젝트를 완료했으며, 더 많은 프로젝트가 계획되어 시작되고 있다.

국립 감시 제어 및 데이터 수집(SCADA) 시험대(NSTB)

http://energy.sandia.gov/infrastructure-security/cyber/scada-systems/testbeds/national-scada-testbed/

국립 감시 제어 및 데이터 수집(SCADA) 시험대는 에너지성(DOE) 송전 및 에너지 신뢰성(OE) 사무국에서 후원하는 미국의 보안 에너지 제어시스템을 지원하기 위한 자원이다. 에너지 부문에 대한 중요한 보안 취약점 및 위협을 발견하고 해결하기 위한 연구, 개발 및 훈련과 최첨단 운영 시스템 검증 시설을 결합한다.

에너지 부문의 협력을 통해 국립 감시 제어 및 데이터 수집(SCADA) 시험대에서 하는 일은 다음과 같다.

n 기존 취약점 파악 및 완화.

n 보안 표준 개발 촉진.

n 감시 제어 및 데이터 수집(SCADA) 시스템 및 관련 제어시스템 기술을 시험하는 독립적인 실체의 역할.

http://www.dhs.gov/csd-logiic


D-14

n 최상의 사이버보안 사례 식별 및 육성.

n 에너지 부문 내의 제어시스템 보안의 인식 향상.

n 더욱 안전하고 강력한 고급 제어시스템 구조 및 기술 개발.

NSTB의 파트너에는 아이다호 국립 연구소, 샌디아 국립연구소, 아르곤 국립 연구소, 퍼시픽 노스웨스트 국립 연구소 및 미국표준기술연구소가 포함된다.

미국국립표준기술연구소(NIST) 특별 발행 800 시리즈 보안 가이드

http://csrc.nist.gov/publications/nistpubs/index.html

정보기술에 대한 NIST 특별 발행 800 시리즈의 문서는 컴퓨터 보안 및 업계, 정부, 학술 조직과의 협력 활동에 관한 NIST 정보기술연구소(ITL)의 연구, 가이드 및 지원 노력에 관한 보고서이다. 집중 영역에는 암호화 기술 및 응용 프로그램, 고급 인증, 공개키 인프라, 통신망 연동 보안, 기준 및 보증, 보안 관리 및 지원이 있다. NIST SP 800-82와 더불어, 다음은 산업제어시스템(ICS) 보안 공동체에 상당한 관련이 있는 일부 추가 800 시리즈 문서의 목록이다. 이 뿐만 아니라 다른 많은 문서들이 위의 URL에 제공된다.

n NIST SP 800-18 1차 개정판, 연방 정보시스템용 보안 계획 개발 가이드(Guide for Developing Security Plans for Federal Information Systems)[19].

n NIST SP 800-30 1차 개정판, 위험 평가 수행 가이드(Guide for Conducting Risk Assessments) [79].

n NIST SP 800-37 1차 개정판, 연방 정보시스템에 대한 위험 관리 프레임워크 적용 가이드: 보안 수명주기 접근방식(Guide for Applying the Risk Management Framework to Federal Information Systems: A Security Life Cycle Approach) [21].

n NIST SP 800-39, 정보 보안 위험 관리: 조직, 임무 및 정보시스템 관점(Managing Information Security Risk: Organization, Mission, and Information System View) [20].

n NIST SP 800-40 3차 개정판, 기업 패치 관리 기술 가이드(Guide to


D-15

Enterprise Patch Management Technologies)[40].

n NIST SP 800-41 1차 개정판, 방화벽 및 방화벽 정책에 대한 가이드(Guidelines on Firewalls and Firewall Policy) [85].

n NIST SP 800-48 1차 개정판, 구형 IEEE 802.11 무선 네트워크 0 보안 가이드(Guide to Securing Legacy IEEE 802.11 Wireless Networks 0).

n NIST SP 800-50, 정보기술 보안 인식 및 훈련 프로그램 구축(Building an Information Technology Security Awareness and Training Program)[61].

n NIST SP 800-53 4차 개정판, 연방 정보시스템 및 조직의 보안 및 프라이버시 통제 수단(Security and Privacy Controls for Federal Information Systems and Organizations) [22].

n NIST SP 800-53A 4차 개정판, 연방 정보시스템 및 조직의 보안 및 프라이버시 통제 수단 평가 : 효과적인 보안 평가 계획 구축 (Assessing Security and Privacy Controls in Federal Information Systems and Organizations: Building Effective Security Assessment Plans)[23].

n NIST SP 800-61 2차 개정판, 컴퓨터 보안 사고 처리 가이드(Computer Security Incident Handling Guide) [59].

n NIST SP 800-63-2, 전자 인증 가이드(Electronic Authentication Guideline) [53].

n NIST SP 800-64 2차 개정판, 정보시스템 개발 수명주기에서의 보안 고려 사항Security Considerations in the Information System Development Life Cycle()[46].

n NIST SP 800-70 2차 개정판, 정보기술(IT) 제품을 위한 국립 점검표 프로그램: 점검표 사용자 및 개발자를 위한 가이드(National Checklist Program for IT Products: Guidelines for Checklist Users and Developers) [26].

n NIST SP 800-77, IP 보안 프로토콜(IPsec) 가상 사설 통신망(VPN) 가이드(Guide to IPsec VPNs)[74].

n NIST SP 800-83 1차 개정판, 데스크톱 및 노트북 컴퓨터를 위한 악성코드 사고 방지 및 처리 가이드(Guide to Malware Incident


D-16

Prevention and Handling for Desktops and Laptops) [60].

n NIST SP 800-86, 사고 대응에 대한 포렌식스 기법 통합 가이드(Guide to Integrating Forensic Techniques into Incident Response)[93].

n NIST SP 800-88 1차 개정판, 매체 정리 가이드(Guidelines for Media Sanitization)[78].

n NIST SP 800-92, 컴퓨터 보안 로그 관리 가이드(Guide to Computer Security Log Management)[68].

n NIST SP 800-94, 침입 탐지 및 방지 시스템(IDPS)가이드(Guide to Intrusion Detection and Prevention Systems)[55].

n NIST SP 800-97, 강력한 보안 네트워크 설정: IEEE 802.11i가이드(Establishing Robust Security Networks: a Guide to IEEE 802.11i) [64].

n NIST SP 800-100, 정보 보안 안내서: 관리자용 가이드(Information Security Handbook: A Guide for Managers) [27].

n NIST SP 800-111, 최종 사용자 장치용 저장 암호화 기술 가이드(Guide to Storage Encryption Technologies for End User Devices)[94].

n NIST SP 800-115, 정보 보안 검증 및 평가 기술 가이드(Technical Guide to Information Security Testing and Assessment)[41].

n NIST SP 800-123, 일반 서버 보안 가이드(Guide to General Server Security)[95].

n NIST SP 800-127, WiMAX 무선 통신 보안 가이드(Guide to Securing WiMAX Wireless Communications)[96].

n NIST SP 800-128, 정보시스템의 보안 중심 형상 관리 가이드(Guide for Security-Focused Configuration Management of Information Systems) [97].

n NIST SP 800-137, 연방 정보시스템 및 조직을 위한 정보 보안 연속 모니터링(ISCM) (Information Security Continuous Monitoring (ISCM) for Federal Information Systems and Organizations)[81].


D-17

미국국립표준기술연구소(NIST) 사이버보안 프레임워크

http://www.nist.gov/cyberframework/index.cfm

미국의 국가 및 경제 보안은 주요기반의 신뢰할 수 있는 기능에 달려 있다는 것을 인식하는 미국 대통령은 2013년 2월 행정 명령 13636, 주요기반 사이버보안 개선을 발표했다[83]. 이에 NIST는 관계자와 협력하여 기존 표준, 가이드 및 사례에 기초하여 주요기반에 대한 사이버 위험을 줄이는 자발적 프레임워크를 개발하도록 지시를 받았다.

2014년 2월 12일 NIST는 첫 번째 버전인 주요기반 사이버보안을 개선하기 위한 프레임워크를 발표했다[83]. 업계와 정부 사이의 협동을 통해서 생성된 프레임워크는 주요기반의 보호를 촉진하기 위한 표준, 가이드 및 사례로 구성된다. 프레임워크의 우선순위 지정 방식의 유연하고 반복적이며 비용 효과적인 접근방식은 주요기반의 소유자 및 운영자가 사이버보안 관련 위험을 관리하는 데 도움이 된다.

국토안보부의 주요기반 사이버 공동체 C³ 자발적 프로그램은 주요기반 소유자 및 운영자가 사이버보안 프레임워크를 채택하고 사이버 위험을 관리하기 위한 그들의 노력을 지원하는 기존 자원과 동조하는 데 도움이 된다. C³ 자발적 프로그램에 대한 자세한 내용은 www.dhs.gov/ccubedvp에서 제공된다.

또한 NIST는 프레임워크와 NIST의 다음 단계를 설명하고 사이버보안의 개발, 조정 및 협동의 핵심 영역을 식별하는 동반 로드맵을 발표했다.

미국국립표준기술연구소(NIST) 산업제어시스템 보안 프로젝트

http://csrc.nist.gov/groups/SMA/fisma/ics/

연방 정보 보안 관리법을 관철시키는 연방 기관 및 그 계약자를 위한 효과적인 보안 표준 및 가이드를 제공하기 위한 지속적인 노력과 미국의 주요기반을 보호하기 위한 노력의 일환으로, NIST는 부문별 보안 문제에 대해 공공 및 민간 부문의 실체와 함께 지속적으로 협력한다.

산업용 및 공정제어시스템은 미국 주요기반의 중요한 부분이며, 그러한 시스템의 보호는 연방 정부의 우선순위 과제이다. 이 프로젝트는 현재 연방

http://www.whitehouse.gov/the-press-office/2013/02/12/executive-order-improving-critical-infrastructure-cybersecurity

http://www.whitehouse.gov/the-press-office/2013/02/12/executive-order-improving-critical-infrastructure-cybersecurity

http://www.nist.gov/cyberframework/upload/cybersecurity-framework-021214-final.pdf

http://www.dhs.gov/ccubedvp

http://www.nist.gov/cyberframework/upload/roadmap-021214.pdf


D-18

정보보안 현대화법(FISMA) 보안 표준에 기초하여 구축하고, 필요한 경우 산업용 및 공정제어시스템을 위해 해당 표준의 선별 확장 및/또는 해석을 제공할 계획이다. 많은 산업용 및 공정제어시스템에서 민간 부문 조직을 지원하고 있으므로, NIST는 이러한 부문별 유형의 시스템을 다루는 지속적인 표준 활동에 협력할 것이다.

미국국립표준기술연구소(NIST) 제조 시스템 사이버보안 프로젝트

http://www.nist.gov/el/isd/cs/csms.cfm

스마트 제조 시스템은 증가된 접속, 무선 네트워크 및 센서의 사용, 광범위한 정보기술의 사용의 결과로 발생할 수 있는 취약점으로부터 보호할 필요가 있다. 제조업체들은 자체 시스템의 잠재적으로 부정적인 성능 영향에 대한 우려 때문에 일반적인 보안 기술(예: 암호화 및 장치 인증)을 채택하는 것을 주저한다. 이런 경향은 특히 산업용 시스템을 표적으로 하는 고도의 지속적인 공격(예: 스턱스넷)의 출현으로 급격히 변한 위협 환경에 의해 악화된다. 이 프로젝트에서는 제조업체, 기술 제공자 및 솔루션 제공자들이 스마트 제조 시스템의 사이버보안을 평가하고 보증하도록 지원하는 가이드, 방법, 측정지표 및 도구와 함께 사이버보안 위험 관리 프레임워크를 개발할 것이다. 사이버보안 위험 관리 프레임워크 및 방법론은 제조업체의 채택을 자극하고 효과적인 보안 기술의 사용을 가능하게 함으로써, 교란 및 주요 사고에도 불구하고 보안, 신뢰성, 회복성 및 연속성을 제공하는 스마트 제조 시스템으로 이어지게 할 것이다.

미국국립표준기술연구소(NIST) 스마트 전력망 시스템 사이버보안 프로젝트

http://www.nist.gov/el/smartgrid/cybersg.cfm

스마트 전력망 사이버보안은 불만을 품은 직원, 산업 스파이 및 테러리스트 등의 고의의 공격 뿐 아니라 사용자 오류, 장비 결함 및 자연 재해로 인한 부주의한 정보 기반의 훼손도 반드시 해결해야 한다. 2014 회계연도에 NIST 정보기술연구소(ITL)의 컴퓨터 보안부에 의해 주도되고 관리되는 스마트 전력망 상호운용성 위원단(SGIP) 사이버보안 위원회(SGCC)에서는 고급 계량 인프라(AMI) 보안 요구사항, 클라우드 컴퓨팅, 공급망 및 새로운 표준에 관련된 프라이버시 권장 사항의 분야에서 중요한 사이버보안 요구를 해결하기

http://www.nist.gov/el/isd/cs/csms.cfm


D-19

위한 노력이 진전되고 있다. 이 프로젝트에서는 기초적인 사이버보안 가이드, 표준 및 요구사항의 사이버보안 검토, 지원을 제공하고, 스마트 전력망에서 사이버보안의 교차 횡단적 문제에서 협동을 발전시킬 것이다.

미국국립표준기술연구소(NIST) 스마트 전력망 시스템 시험대 시설

http://www.nist.gov/el/smartgrid/sgtf.cfm

NIST는 발전하는 스마트 전력망(SG)으로 알려진 사이버공간과 물질계를 결합하는 국가 전력망 시스템의 성공적인 구현을 위해 상호운용성 표준을 촉진하고 2007 에너지 독립성 및 보안법(EISA)을 준수한다. 스마트 전력망 시험대 시설에서는 특히 소규모 독립형 전력망에 중점을 두고 시스템 측정, 스마트 전력망 프로토콜의 특성화 및 SG 표준의 검증을 위한 하나로 결합된 시험대 플랫폼을 제공함으로써 SG 상호운용성 표준의 개발을 가속할 몇 가지 핵심 측정 영역에서 고유한 일련의 상호 연결되고 상호 작용하는 연구실을 NIST 게이더스버그 현장에 인접한 곳에 조성한다. (소규모 독립형 전력망은 대형 전력망에서 신속하게 연결 해제되고, 독립적으로 작동하는 기능이 있는 하위 전력망으로 정의된다.) 측정에는 8개의 영역(즉, 전력변환, 동기위상기 계측치, 사이버보안, 정밀 시각 동기, 전력 계량, SG 통신의 모델링/평가, 센서 인터페이스 및 에너지 저장)이 포함된다. 시험대는 측정 및 검증 문제를 포함하여 발전하는 SG 산업 공동체의 측정 요구를 해결하기 위한 핵심 스마트 전력망 프로그램 연구 시설의 역할을 할 것이다.

북미전력신뢰성위원회(NERC)

http://www.nerc.com/

NERC의 임무는 북미에서 대규모 전력 계통의 신뢰성 및 보안을 향상시키는 것이다. 이것을 달성하기 위해 NERC는 신뢰성 표준을 개발하고 시행하며, 대규모 전력 계통을 모니터링하고, 미래의 타당성을 평가하며, 소유자, 운영자 및 사용자의 준비성을 감사하고, 업계 인력을 교육하고 훈련시킨다. NERC는 업계 참가자의 다양하고 집단적인 전문 지식에 의존하는 자율 규제 기관이다. 전력 신뢰성 기관으로서 NERC는 미국 연방에너지규제위원회 및 캐나다 정부 기관에 의한 감사의 대상이다.

NERC는 대규모 전기 시스템이라고도 하는 발전 자원 및 100kV 이상의

http://www.nist.gov/el/smartgrid/sgtf.cfm

http://www.nerc.com/


D-20

고전압 전송 시스템에 대한 손상의 위험을 줄이기 위해 일련의 사이버보안 표준을 발행했다. 대규모 전기 시스템에는 갈등 조정 기관, 신뢰성 조정관, 교환 기관, 전송 제공자, 전송 소유자, 전송 운영자, 발전 소유자, 발전 운영자 및 로드 서빙 실체가 포함되어 있다. 사이버보안 표준에는 처벌과 관련된 비 준수 수준 및 감사 조치가 포함되어 있다.

일련의 NERC 사이버보안 표준에는 다음 항목이 포함되어 있다.

n CIP-002, 사이버 보안 - 중요한 사이버 자산 식별.n CIP-003, 사이버 보안 - 보안 관리 제어.n CIP-004, 사이버 보안 - 인력 & 훈련.n CIP-005, 사이버 보안 - 전자 보안 경계.n CIP-006, 사이버 보안 - 중요한 사이버 자산의 물리적 보안.n CIP-007, 사이버 보안 - 시스템 보안 관리.n CIP-008, 사이버 보안 - 사고 보고 및 대응 계획.n CIP-009, 사이버 보안 - 중요한 사이버 자산 복구 계획.

SANS 산업제어시스템(ICS) 보안 과정

http://ics.sans.org/

산업제어시스템(ICS) 교육과정은 산업제어시스템(ICS) 환경의 공격 및 방어에 중점을 둔 실습 훈련 과정을 제공한다. 이러한 과정을 통해 보안 전문가와 제어시스템 기사 모두가 주요기반을 보호하는 데 필요한 지식과 기술을 갖출 수 있다.

글로벌 산업 사이버 보안 전문가(GICSP)는 글로벌 정보 보증 인증(GIAC) 단위의 최신 인증이며, 주요기반 자산 보안의 기초적인 지식에 중점을 둔다. GICSP는 산업제어시스템(ICS)의 설계에서 퇴역까지 보안을 달성하기 위해 정보기술(IT), 설계 및 사이버보안의 교량의 역할을 한다.

스마트 전력망 상호운용성 위원단(SGIP) 사이버 보안 작업반(CSWG)

http://collaborate.nist.gov/twiki-sggrid/bin/view/SmartGrid/CyberSecurityCTG

http://ics.sans.org/


D-21

작업반의 주요 목표는 인프라의 서로 다른 영역/구성요소에서 솔루션의 상호운용성을 보장하기 위해 위험 완화 전략을 포함하는 스마트 전력망을 위한 전체 사이버보안 전략을 개발하는 것이다. 사이버보안 전략은 방지, 감지, 대응 및 복구를 다루어야 한다. 사이버보안 전략의 구현에는 스마트 전력망을 위한 전체 사이버보안 위험 평가 절차의 정의와 구현을 필요로 한다.

작업반의 노력은 NIST 통합기관 보고서(NISTIR) 7628 1차 개정판, 스마트 전력망 사이버보안 가이드(Guidelines for Smart Grid Cybersecurity)에 문서로 기록되어 있다[98].


E-1

부록 E - 산업제어시스템(ICS) 보안 기능 및 도구

이 절에서는 사용 가능하거나 산업제어시스템(ICS) 공동체의 지원으로 개발되고 있는 보안 기능의 개요를 제공한다. 산업제어시스템(ICS)에서 사용되고 있는 일반 정보기술(IT) 보안 제품이 있는 반면, 특별히 산업제어시스템(ICS)을 위해 시판되는 몇 가지 보안 제품이 있다. 사용 가능한 많은 제품에서 단일 보안 제품이 여러 수준의 보호를 제공하는 “단일점 솔루션”이 제공된다. 사용 가능한 제품과 더불어 이 절에서는 새로운 제품 및 기술에 대한 일부 연구 개발 작업도 설명한다. 각 조직은 이 부록에 언급된 보안 기능 및 도구를 사용할 지 여부에 관한 위험 기반 결정을 내려야 한다.

데이터 다이오드

데이터 다이오드(단방향 게이트웨이, 결정적 단방향 경계 장치 또는 단방향 네트워크로도 불림)는 데이터를 한 방향으로만 이동하도록 하는 네트워크 어플라이언스 또는 장치로서, 착신 사이버 공격으로부터 정보 보안을 보장하거나 산업제어시스템(ICS)과 같은 중요한 디지털 시스템을 보호하는 데 사용된다. 이러한 장치의 사용은 서로 다른 보안 분류의 둘 이상의 네트워크 사이의 연결 역할을 하는 국방과 같은 높은 수준의 보안 환경에서 일반적인 반면, 이 기술은 또한 중요한 디지털 시스템에서 신뢰할 수 없는 네트워크로 단방향 통신 발신을 시행하는 데도 사용되고 있다.

암호화

암호화는 의도된 수신자만이 데이터를 해독할 수 있도록 데이터를 암호화함으로써 데이터의 비밀성을 보호한다. 특별히 산업제어시스템(ICS) 응용 프로그램용으로 설계된 일부 상용 암호화 제품 뿐만 아니라 기본 직렬 및 이더넷 기반 통신을 지원하는 일반 암호화 제품이 있다.

방화벽

방화벽은 일반적으로 산업제어시스템(ICS)을 보호하고 격리시키기 위해 네트워크를 분리하는 데 사용된다. 이러한 구현에는 인터넷 및 기업 응용 프로그램 계층 프로토콜에 초점을 맞춘 상용 방화벽을 사용하며, 산업제어시스템(ICS) 프로토콜을 처리할 수 없다. TCP/UDP 포트 및 IP 주소에 전통적인 방화벽 필터처럼 Modbus/TCP 헤더 값에 대한 정책 결정을


E-2

허용하는 Modbus 기반 방화벽을 개발하기 위한 연구가 2003년에 정보기술(IT) 보안 공급자에 의해서 수행되었다[76]. 현재 산업제어시스템(ICS)에 사용할 수 있는 몇 가지 방화벽이 있다.

침입 탐지 및 방지

침입 탐지 시스템(IDS) 및 침입 방지 시스템(IPS)은 잘 알려진 사이버 공격을 감지하기 위해 산업제어시스템(ICS) 네트워크 및 구성요소에 배치되고 있다. 네트워크 IDS 제품에서는 네트워크 트래픽을 모니터링하고 트래픽의 일부분을 알려진 공격의 서명에 비교하는 등의 다양한 감지 방법이 사용된다. 반면에, 호스트 침입 탐지에서는 종종 공격 서명과 함께 호스트 컴퓨터에 설치된 소프트웨어를 사용하여 가능한 공격에 대해 컴퓨터 시스템의 지속적인 사건 및 데이터가 모니터링된다. IPS 제품은 침입 탐지에서 한 단계 더 나아가 탐지된 공격을 자동으로 중지하는 조치를 취한다[57].

침입 탐지 사건을 지속적으로 모니터링, 평가, 신속하게 대응하는 보안 팀의 필수 작업은 때로는 보안서비스관리제공업체(MSSP)에 계약으로 체결된다. MSSP에는 매일 기록되는 아주 많은 사건을 처리하고 작은 부분 집합으로 감소시켜서 수동으로 평가해야 하는 상관관계 및 분석 엔진이 있다. 또한 이 기능을 사내에서 수행하려고 하는 대형 조직에서 사용할 수 있는 상관관계 및 분석 엔진 제품도 있다.

일부 조직에서는 침입 시도를 찾기 위해 침임 탐지 시스템(IDS) 및 침입 방지 시스템(IPS)의 로그 뿐 아니라 기타 컴퓨터 시스템, 응용 프로그램, 인프라 장비, 기타 하드웨어 및 소프트웨어의 감사 로그의 사건을 모니터링, 분석 및 연관시키기 위해 보안 정보 및 사건 관리(SIEM) 제품을 사용한다.

침임 탐지 시스템(IDS) 및 침입 방지 시스템(IPS) 공급자들은 Modbus, DNP3 및 ICCP와 같은 다양한 산업제어시스템(ICS) 프로토콜에 대한 공격 서명을 개발하고 통합시키고 있다[58]. 스노트 규칙이 Modbus TCP, DNP3 및 ICCP를 위해 개발되었다. 스노트는 규칙 기반 언어를 사용하여 서명, 프로토콜 및 변칙 기반 검사를 수행하는 오픈 소스 네트워크 침입 탐지 및 방지 시스템이다. DNP3 및 Modbus 프로토콜을 위한 규칙도 Bro-IDS 플랫폼에 추가되었다.


E-3

산업제어시스템(ICS) 구성요소에 추가된 모든 소프트웨어와 같이, 호스트 침임 탐지 시스템(IDS) 또는 침입 방지 시스템(IPS) 소프트웨어의 추가는 시스템 성능에 영향을 끼칠 수 있다. 침입 방지 시스템(IPS)은 오늘날의 정보 보안 업계에서 아주 흔한 일이지만, 매우 자원 집약적이다. 이러한 시스템에는 침입 시도가 파악되는 경우 시스템을 재구성할 수 있는 기능이 있다. 이 자동화와 빠른 반응은 공격의 성공을 방지하기 위해 설계되었지만, 이와 같은 자동화 도구는 적에 의해 사용되어, 네트워크 또는 서버의 세그먼트을 종료시킴으로써 산업제어시스템(ICS)의 작동에 악영향을 끼칠 수 있다. 허위 양성 또한 산업제어시스템(ICS) 작동을 방해할 수 있다.

악성코드/바이러스 퇴치 소프트웨어

초기의 악성코드 위협은 주로 바이러스였기 때문에 악성코드를 감지하고 제거하는 소프트웨어는 많은 유형의 악성코드를 감지할 수 있음에도 역사적으로 “바이러스 퇴치 소프트웨어”라고 하고 있다. 바이러스 퇴치 소프트웨어는 컴퓨터의 저장 장치의 파일을 악성코드 서명 파일의 보유 기록에 대해 감정(또한 일부 도구도 실시간으로 네트워크 주변 및/또는 사용자의 워크스테이션의 악성코드를 감지한다)함으로써 악성코드의 위협에 대응하기 위해 사용된다. 컴퓨터에 있는 파일 중의 하나가 알려진 악성코드의 프로파일과 일치하는 경우, 악성코드는 기타 로컬 파일을 감염시키거나 네트워크 통신을 통해 기타 컴퓨터의 기타 파일을 감염시키지 못하도록 소독 공정을 통해 제거된다. 서명 파일을 아직 사용할 수 없는 경우 “야생에 있는” 알려지지 않은 악성코드를 식별하기 위해 사용할 수 있는 기법도 있다.

산업제어시스템(ICS)의 많은 최종 사용자 및 공급자들은 자신들의 시스템에 COTS 바이러스 퇴치 소프트웨어의 사용을 권장하고 있으며, 자체 연구소 검증에 기초한 설치 및 구성 가이드를 개발했다. 일부 산업제어시스템(ICS) 공급자들은 자신들의 제품에 바이러스 퇴치 소프트웨어의 사용을 권장하지만, 가이드를 거의 제공하지 않는다. 일부 최종 사용자 및 공급자들은 산업제어시스템(ICS)의 성능 문제나 심지어 결함 발생의 우려로 인해 바이러스 퇴치 소프트웨어의 사용을 주저한다. 미국국립표준기술연구소(NIST) 및 샌디아 국립연구소(SNL)에서는 산업제어시스템(ICS) 소유자/운영자들이 바이러스 퇴치 소프트웨어를 배치하고 워크스테이션 및 서버 기반 바이러스 퇴치 제품의 성능 영향을 최소화하고 평가하는 것을 돕는 것을 목표로 하는 연구를 수행하고 보고서를 작성했다. 이 연구에서는 산업제어시스템(ICS) 기반


E-4

바이러스 퇴치 지식을 취합하고, 산업제어시스템(ICS)에 바이러스 퇴치 소프트웨어를 설치, 구성, 실행, 유지보수하기 위한 시작점 또는 보조 자원의 역할을 한다[56]. 많은 경우에 성능 영향은 구성 설정 뿐 아니라 전형적인 정보기술(IT) 시스템에 권장되는 바이러스 퇴치 소프트웨어 관행 외에 바이러스 퇴치 스캐닝 및 유지보수 계획을 통해서 줄일 수 있다.

요약하면, COTS 바이러스 퇴치 소프트웨어는 대부분의 산업제어시스템(ICS) 구성요소에 성공적으로 사용될 수 있다. 하지만, 선택, 설치, 구성, 운영 및 유지보수 절차 동안에 산업제어시스템(ICS)별로 특별한 고려 사항을 고려해야 한다. 산업제어시스템(ICS)의 최종 사용자는 바이러스 퇴치 소프트웨어의 사용에 관해서 산업제어시스템(ICS) 공급자의 자문을 구해야 한다.

취약점 평가 도구

전형적인 정보기술(IT) 네트워크에 대해 네트워크 취약성 평가를 수행할 수 있는 많은 도구가 있지만, 이러한 도구들이 산업제어시스템(ICS)의 작동에 끼치는 영향을 신중하게 고려해야 한다77]. 능동적인 취약성 및 침투 시험 중에 사용되는 추가적인 트래픽 및 공격과 더불어 많은 산업제어시스템(ICS)의 제한된 자원은 산업제어시스템(ICS)의 기능 장애의 원인이 된다고 알려져 있다. 샌디아 국립연구소(SNL)에서는 이 영역의 가이드로서 산업제어시스템(ICS)에 대해 선호되는 취약성 및 침투 시험 기법의 목록을 개발했다[77]. 이러한 기법은 자동화 취약성 및 침투 시험 도구에 의해 종종 질의되는 대부분의 정보를 능동적이 아닌 수동적이며 덜 침입적인 방법으로 수집한다. 이러한 방법은 검증 중에 결함을 초래하는 위험 없이 필요한 취약성 정보의 수집을 허용하는 것이 목적이다.

Sophia는 특허 출원 중인 수동적, 실시간 진단 및 보안 도구로서, 제어시스템 전문가를 위해 특별히 설계되고 구축된다. Sophia는 산업제어시스템(ICS) 네트워크 지문을 구축하고 유지하며 그에 대한 활동을 화이트, 그레이, 블랙 리스트 기능을 사용하여 연속적으로 모니터링하여, 비정상 활동을 추가 조사, 모니터링 및/또는 조치를 위해 관리자에게 경고한다. Battelle Energy Alliance(BEA)는 아이다호 국립 연구소(INL)에서 최근 30명 이상의 참가자 그룹으로 베타 검사를 마무리 지었다. 해당 베타 검사 참가자들은 베타 검사 기간 동안 지문 기법 공정에서 즉각적인 혜택과 산업제어시스템(ICS) 구성에 대한 모니터링, 보안 및 지속적인 수정에서 장기적인 혜택을 보고했다. 베타


E-5

검사 참가자 뿐 아니라 BEA/INL에 의한 Sophia의 개발을 지켜본 비 참가자들도 오랜 동안 상용 등급의 Sophia 소프트웨어, 서비스 및 지원에 관심을 표명했다. 베타 검사에서 이 도구 세트는 고객 요구를 충족하기 위한 활동과 맞춤형 보고의 시각화를 포함하는 고유의 기능을 제공하는 것을 입증했다.

Shodan은 다양한 필터를 사용하여 인터넷에서 특정 유형의 컴퓨터(라우터, 서버 등)를 찾을 수 있도록 해주는 검색 엔진이다. 일부 사람들은 또한 이것을 서버에서 클라이언트로 돌려보내는 메타 데이터인 서비스 배너의 검색 엔진이라고 묘사했다. 이것은 서버 소프트웨어, 서비스 지원 옵션, 환영 메시지 또는 클라이언트가 서버와 상호 작용하기 전에 발견한 그밖에 다른 것에 관한 정보일 수 있다. Shodan 사용자는 신호등, 보안 카메라, 가정 난방 시스템 뿐 아니라 제어시스템 등의 시스템을 찾을 수 있다. Shodan 사용자는 자신의 산업제어시스템(ICS)에 있는 임의의 장치가 인터넷에서 접근 가능한 지 여부를 판단할 수 있다.

사이버 보안 평가 도구(CSET)는 국가의 핵심 사이버 자산을 보호하는 조직을 지원하는 국토안보부(DHS)의 제품이다. 이 도구는 국토안보부(DHS) 산업제어시스템(ICS) 사이버비상대응팀(ICS-CERT)의 지휘 아래 미국국립표준기술연구소(NIST)의 지원으로 사이버보안 전문가들이 개발했다. 이 도구는 사용자에게 사이버 시스템 및 네트워크의 보안 태세를 평가하기 위한 체계적이고 반복적인 접근방식을 제공한다. 여기에는 모든 산업용 제어시스템 및 정보기술(IT) 시스템에 관련된 높은 수준의 상세한 질문이 포함되어 있다. 사이버 보안 평가 도구(CSET)는 단계별 절차를 통해 사용자를 안내하는 데스크톱 소프트웨어 도구로서, 사용자의 제어시스템 및 정보기술 네트워크 보안 사례를 정평있는 업계 표준과 대조해서 평가한다. 사이버 보안 평가 도구(CSET)의 출력은 조직의 기업 및 산업용 제어 사이버 시스템의 사이버보안 태세를 개선하기 위한 권장 사항의 우선순위 목록이다. 이 도구는 사이버보안 표준, 가이드 및 사례의 데이터베이스에서 권장 사항을 도출한다. 각 권장 사항은 사이버보안 통제 수단을 강화하기 위해 적용할 수 있는 일련의 조치들에 연결되어 있다. 사이버 보안 평가 도구(CSET)는 독립형 노트북 컴퓨터 또는 워크스테이션에 쉽게 설치하고 사용할 수 있도록 설계되었다. 이 도구는 미국국립표준기술연구소(NIST), 북미전력신뢰성위원회(NERC), 교통안전국(TSA), 미 국방부(DoD) 등의 다양한 조직의 사용 가능한 표준을 통합한다. 도구 사용자가 하나 이상의 표준을


E-6

선택하는 경우, 사이버 보안 평가 도구(CSET)에는 사용자의 답변이 필요한 일련의 질문들이 표시된다. 이러한 질문에 대한 답변은 선택된 보안 보증 수준과 비교되며, 잠재적인 개선이 필요한 영역을 표시하는 상세한 보고서가 생성된다. 사이버 보안 평가 도구(CSET)는 사용자의 제어시스템 환경의 보안 태세를 자체 평가하기 위한 뛰어난 수단을 제공한다.

SamuraiSTFU는 사무라이 프로젝트의 유틸리티용 보안 검증 프레임워크(Samurai Project’s Security Testing Framework for Utilities)이며, 전통적인 네트워크 및 웹 침투 시험을 위해 최상의 소프트웨어를 사용한 보안 도구를 취하고, 내장형 및 RF 검증을 위한 전문화된 도구를 추가하며, 에너지 부문 맥락, 문서 및 견본 파일을 혼합한다. 또한 감시 제어 및 데이터 수집(SCADA), 스마트미터 및 기타 유형의 에너지 부문 시스템을 위한 에뮬레이터가 포함되어, 전체 시험 실험실을 위한 이점을 제공한다.

산업제어시스템(ICS) 소유자는 반드시 취약성 평가 도구를 사용하는 개인이 연속 작동의 위험과 운영 시스템에서 이러한 테스트를 수행할 때 수반되는 위험의 중대성을 인식할 수 있도록 해야 한다. 연구소 설정에서 중복 서버 또는 독립 시험 시스템과 같은 산업제어시스템(ICS) 구성요소에 대해 테스트를 수행하여 이러한 위험을 완화시킬 수 있다. 연구소 테스트는 운영 시스템에 손상을 줄 수 있는 시험 절차를 선별하는 데 사용할 수 있다. 시험 시스템이 실제 상황을 잘 나타내도록 하기 위한 우수한 형상 관리가 존재하더라도, 실제 시스템에 대한 테스트에서는 연구소에서는 나타나지 않은 결함을 발견할 가능성이 있다.


F-1

부록 F - 참조(References)

[1] Fraser, Roy E., Process Measurement and Control: Introduction to Sensors, Communication, Adjustment, and Control, Upper Saddle River, New Jersey: Prentice-Hall, Inc., 2001.

[2] Falco, Joe, et al., IT Security for Industrial Control Systems, NIST Internal Report (NISTIR) 6859, February 2002, http://www.nist.gov/customcf/get_pdf.cfm?pub_id=821684 [accessed 4/16/15].

[3] Bailey, David, and Edwin Wright, Practical SCADA for Industry, Vancouver: IDC Technologies, 2003.

[4] Boyer, Stuart, SCADA: Supervisory Control and Data Acquisition. 4th ed. Research Triangle Park, North Carolina: International Society of Automation, 2010.

[5] American Gas Association, AGA Report No. 12, Cryptographic Protection of SCADA Communications, Part 1: Background, Policies and Test Plan, September, March 14, 2006.

[6] Erickson, Kelvin, and John Hedrick, Plantwide Process Control, New York: John Wiley & Sons, Inc., 1999.

[7] Berge, Jonas, Fieldbuses for Process Control: Engineering, Operation, and Maintenance, Research Triangle Park, North Carolina: ISA, 2002.

[8] Peerenboom, James, “Infrastructure Interdependencies: Overview of Concepts and Terminology,” invited paper, NSF/OSTP Workshop on Critical Infrastructure: Needs in Interdisciplinary Research and Graduate Training, Washington, D.C., June 14-15, 2001.

[9] Rinaldi, Steven, et al., “Identifying, Understanding, and Analyzing Critical Infrastructure Interdependencies,” IEEE Control Systems Magazine, (December 2001), pp. 11-25, http://dx.doi.org/10.1109/37.969131.

http://www.nist.gov/customcf/get_pdf.cfm?pub_id=821684

http://dx.doi.org/10.1109/37.969131


F-2

[10] GAO-04-354, Critical Infrastructure Protection: Challenges and Efforts to Secure Control Systems, U.S. GAO, 2004, http://www.gao.gov/new.items/d04354.pdf.

[11] Weiss, Joseph, “Current Status of Cybersecurity of Control Systems,” Presentation to Georgia Tech Protective Relay Conference, May 8, 2003.

[12] Keeney, Michelle et al., Insider Threat Study: Computer System Sabotage in Critical Infrastructure Sectors, United States Secret Service and Carnegie Mellon Software Institute, 2005, http://www.cert.org/archive/pdf/insidercross051105.pdf.

[13] Federal Information Security Management Act of 2002, Pub. L. 107-347 (Title III), 116 Stat 2946, http://www.gpo.gov/fdsys/pkg/PLAW-107publ347/pdf/PLAW-107publ347.pdf [accessed 4/16/15].

[14] Federal Information Security Management Act Implementation Project [Web site], http://csrc.nist.gov/groups/SMA/fisma/index.html [accessed 4/16/15].

[15] U.S. Department of Commerce, Federal Information Processing Standards (FIPS) Publication 199, Standards for Security Categorization of Federal Information and Information Systems, February 2004, http://csrc.nist.gov/publications/fips/fips199/FIPS-PUB-199-final.pdf [accessed 4/16/15].

[16] U.S. Department of Commerce, Federal Information Processing Standards (FIPS) Publication 200, Minimum Security Requirements for Federal Information and Information Systems, March 2006, http://csrc.nist.gov/publications/fips/fips200/FIPS-200-final-march.pdf [accessed 4/16/15].

http://www.gao.gov/new.items/d04354.pdf

http://www.cert.org/archive/pdf/insidercross051105.pdf

http://www.gpo.gov/fdsys/pkg/PLAW-107publ347/pdf/PLAW-107publ347.pdf

http://csrc.nist.gov/groups/SMA/fisma/index.html

http://csrc.nist.gov/publications/fips/fips199/FIPS-PUB-199-final.pdf

http://csrc.nist.gov/publications/fips/fips200/FIPS-200-final-march.pdf

http://csrc.nist.gov/publications/fips/fips200/FIPS-200-final-march.pdf


F-3

[17] Knapp, Eric, Industrial Network Security: Securing Critical Infrastructure Networks for Smart Grid, SCADA, and Other Industrial Control Systems, Waltham, Massachusetts: Syngress, 2011.

[18] U.S. Government Accountability Office (GAO), GAO-15-6, Federal Facility Cybersecurity: DHS and GSA Should Address Cyber Risk to Building and Access Control Systems, December 12, 2014, http://www.gao.gov/products/GAO-15-6 [accessed 4/16/15].

[19] Swanson, Marianne, et al., NIST SP 800-18 Revision 1, Guide for Developing Security Plans for Federal Information Systems, February 2006, http://csrc.nist.gov/publications/PubsSPs.htmlhttp://csrc.nist.gov/publications/PubsSPs.html#800-18[accessed 4/16/15].

[20] Joint Task Force Transformation Initiative, NIST SP 800-39, Managing Information Security Risk: Organization, Mission, and Information System View, March 2011, http://csrc.nist.gov/publications/PubsSPs.html http://csrc.nist.gov/publications/PubsSPs.html#800-39[accessed 4/16/15].

[21] Joint Task Force Transformation Initiative, NIST SP 800-37 Revision 1, Guide for Applying the Risk Management Framework to Federal Information Systems: a Security Life Cycle Approach, February 2010 (updated June 5, 2014), http://dx.doi.org/10.6028/NIST.SP.800-37r1.

[22] Joint Task Force Transformation Initiative, NIST SP 800-53 Revision 4, Security and Privacy Controls for Federal Information Systems and Organizations, April 2013 (updated January 22, 2015), http://dx.doi.org/10.6028/NIST.SP.800-53r4.

[23] Joint Task Force Transformation Initiative, NIST SP 800-53A Revision 4, Assessing Security and Privacy Controls in Federal Information Systems and Organizations: Building Effective Security Assessment Plans, December 2014 (updated December 18, 2014), http://dx.doi.org/10.6028/NIST.SP.800-53Ar4.

http://www.gao.gov/products/GAO-15-6

http://csrc.nist.gov/publications/PubsSPs.html#800-18




http://dx.doi.org/10.6028/NIST.SP.800-53Ar4


F-4

[24] Barker, William, NIST SP 800-59, Guideline for Identifying an Information System as a National Security System, August 2003, http://csrc.nist.gov/publications/PubsSPs.html http://csrc.nist.gov/publications/PubsSPs.html#800-59[accessed 4/16/15].

[25] Stine, Kevin, et al., NIST SP 800-60 Revision 1 (2 vols.), Guide for Mapping Types of Information and Information systems to Security Categories, August 2008, http://csrc.nist.gov/publications/PubsSPs.html http://csrc.nist.gov/publications/PubsSPs.html#800-60[accessed 4/16/15].

[26] Quinn, Stephen, et al., NIST SP 800-70 Revision 2, National Checklist Program for IT Products: Guidelines for Checklist Users and Developers, February 2011, http://csrc.nist.gov/publications/PubsSPs.html http://csrc.nist.gov/publications/PubsSPs.html#800-70[accessed 4/16/15].

[27] Bowen, Pauline, et al., NIST SP 800-100, Information Security

Handbook: A Guide for Managers, October 2006 (updated March 7, 2007), http://csrc.nist.gov/publications/PubsSPs.html http://csrc.nist.gov/publications/PubsSPs.html#800-100 [accessed 4/16/15].

[28] NIST Security Configurations Checklists Program for IT Products [Web site], http://web.nvd.nist.gov/view/ncp/repository [accessed 4/16/15].

[29] Stamp, Jason, et al., Common Vulnerabilities in Critical Infrastructure Control Systems, Sandia National Laboratories, 2003, http://citeseerx.ist.psu.edu/viewdoc/download?doi=10.1.1.132.3264&rep=rep1&type=pdf.






http://web.nvd.nist.gov/view/ncp/repository

http://citeseerx.ist.psu.edu/viewdoc/download?doi=10.1.1.132.3264&rep=rep1&type=pdf


F-5

[30] SCADA Security - Advice for CEOs, IT Security Expert Advisory Group (ITSEAG)

[31] Franz, Matthew, Vulnerability Testing of Industrial Network Devices, Critical Infrastructure Assurance Group, Cisco Systems, 2003, http://blogfranz.googlecode.com/files/franz-isa-device-testing-oct03.pdf.

[32] Duggan, David, et al., Penetration Testing of Industrial Control Systems, Sandia National Laboratories, Report No SAND2005-2846P, 2005.

[33] President’s Critical Infrastructure Protection Board, and U.S. Department of Energy, Office of Energy Assurance, 21 Steps to Improve Cybersecurity of SCADA Networks, [2002], http://energy.gov/sites/prod/files/oeprod/DocumentsandMedia/21_Steps_-_SCADA.pdf [accessed 4/16/15].

[34] ISA-62443[multiple parts], Security for Industrial Automation and Control Systems, Research Triangle Park, North Carolina: International Society of Automation, http://isa99.isa.org/ISA99%20Wiki/WP_List.aspx [accessed 4/16/15].

[35] Centre for the Protection of National Infrastructure (CPNI), Firewall Deployment for SCADA and Process Control Networks: Good Practice Guide, February 15, 2005, http://energy.gov/sites/prod/files/Good%20Practices%20Guide%20for%20Firewall%20Deployment.pdf [accessed 4/16/15].

[36] U.S. Department of Homeland Security, Recommended Practice: Improving Industrial Control Systems Cybersecurity with Defense-in-Depth Strategies, October 2009, https://ics-cert.us- cert.gov/sites/default/files/recommended_practices/Defense_in_Depth_Oct09.pdf [accessed 4/16/15].

[37] Industrial Automation Open Networking Association (IAONA), The IAONA Handbook for Network Security, Version 1.3, 2005, http://www.iaona.org/pictures/files/1122888138-IAONA_HNS_1_3-reduced_050725.pdf [accessed 4/16/15].

http://blogfranz.googlecode.com/files/franz-isa-device-testing-oct03.pdf

http://blogfranz.googlecode.com/files/franz-isa-device-testing-oct03.pdf

http://energy.gov/sites/prod/files/oeprod/DocumentsandMedia/21_Steps_-_SCADA.pdf

http://isa99.isa.org/ISA99%20Wiki/WP_List.aspx

http://energy.gov/sites/prod/files/Good%20Practices%20Guide%20for%20Firewall%20Deployment.pdf

http://energy.gov/sites/prod/files/Good%20Practices%20Guide%20for%20Firewall%20Deployment.pdf

http://www.iaona.org/pictures/files/1122888138-IAONA_HNS_1_3-reduced_050725.pdf

http://www.iaona.org/pictures/files/1122888138-IAONA_HNS_1_3-reduced_050725.pdf


F-6

[38] U.S. Department of Homeland Security, Common Cybersecurity Vulnerabilities in Industrial Control Systems, May 2011, https://ics-cert.us-cert.gov/sites/default/files/recommended_practices/DHS_Common_Cybersecurity_Vulnerabilities_ICS_2010.pdf [accessed 4/16/15].

[39] NIST SP 800-12, An Introduction to Computer Security: The NIST Handbook, 1995, http://csrc.nist.gov/publications/PubsSPs.html.

[40] Souppaya, Murugiah, and Karen Scarfone, NIST SP 800-40 Revision

3, Guide to Enterprise Patch Management Technologies, July 2013, http://dx.doi.org/10.6028/NIST.SP.800-40r3.

[41] Scarfone, Karen, et al., NIST SP 800-115, Technical Guide to Information Security Testing and Assessment, September 2008, http://csrc.nist.gov/publications/PubsSPs.html http://csrc.nist.gov/publications/PubsSPs.html#800-115 [accessed 4/16/15].

[42] Roback, Edward, NIST SP 800-23, Guidelines to Federal Organizations on Security Assurance and Acquisition/ Use of Tested/Evaluated Products, August 2000, http://csrc.nist.gov/publications/PubsSPs.html http://csrc.nist.gov/publications/PubsSPs.html#800-23[accessed 4/16/15].

[43] Stoneburner, Gary, et al., NIST SP 800-27 Revision A, Engineering Principles for Information Technology Security (A Baseline for Achieving Security), June 2004, http://csrc.nist.gov/publications/PubsSPs.html http://csrc.nist.gov/publications/PubsSPs.html#800-27A [accessed 4/16/15].

[44] Grance, Tim, et al., NIST SP 800-35, Guide to Information Technology Security Services, October 2003,http://csrc.nist.gov/publications/PubsSPs.html

http://csrc.nist.gov/publications/PubsSPs.html





http://csrc.nist.gov/publications/PubsSPs.html#800-27A

http://csrc.nist.gov/publications/PubsSPs.html#800-27A


F-7

http://csrc.nist.gov/publications/PubsSPs.html#800-35 [accessed 4/16/15].

[45] Grance, Tim, et al., NIST SP 800-36, Guide to Selecting Information Technology Security Products, October 2003, http://csrc.nist.gov/publications/PubsSPs.html http://csrc.nist.gov/publications/PubsSPs.html#800-36[accessed 4/16/15].

[46] Grance, Tim, et al., NIST SP 800-64 Revision 2, Security Considerations in the System Development Life Cycle, October 2008, http://csrc.nist.gov/publications/PubsSPs.html http://csrc.nist.gov/publications/PubsSPs.html#800-64 [accessed 4/16/15].

[47] Hash, Joan, et al., NIST SP 800-65, Integrating IT Security into the Capital Planning and Investment Control Process, January 2005, http://csrc.nist.gov/publications/PubsSPs.html http://csrc.nist.gov/publications/PubsSPs.html#800-65[accessed 4/16/15].

[48] U.S. Department of Homeland Security, Department of Homeland Security: Cyber Security Procurement Language for Control Systems, September 2009 https://ics-cert.us-cert.gov/sites/default/files/documents/Procurement_Language_Rev4_100809.pdf [accessed 4/16/15].

[49] Dray, James, et al., NIST SP 800-73-3, Interfaces for Personal Identity Verification (4 parts), February 2010, http://csrc.nist.gov/publications/PubsSPs.html http://csrc.nist.gov/publications/PubsSPs.html#800-73[accessed 4/16/15].

[50] Grother, Patrick, et al., NIST SP 800-76-2, Biometric Data Specification for Personal Identity Verification, July 2013, http://dx.doi.org/10.6028/NIST.SP.800-76-2.





http://dx.doi.org/10.6028/NIST.SP.800-76-2


F-8

[51] Kuhn, D. Richard, et al., NIST SP 800-46 Revision 1, Guide to Enterprise Telework and Remote Access Security, June 2009, http://csrc.nist.gov/publications/PubsSPs.html http://csrc.nist.gov/publications/PubsSPs.html#800-46 [accessed 4/16/15].

[52] Swanson, Marianne, et al., NIST SP 800-34 Revision 1, Contingency Planning Guide for Federal Information Systems, May 2010, http://csrc.nist.gov/publications/PubsSPs.html http://csrc.nist.gov/publications/PubsSPs.html#800-34[accessed 4/16/15].

[53] Burr, William, et al., NIST SP 800-63-2, Electronic Authentication Guideline, August 2013, http://dx.doi.org/10.6028/NIST.SP.800-63-2.

[54] Bace, Rebecca, and Mell, Peter, NIST SP 800-31, Intrusion Detection Systems, 2001, http://csrc.nist.gov/publications/PubsSPs.html.

[55] Scarfone, Karen, and Peter Mell, NIST SP 800-94, Guide to Intrusion Detection and Prevention Systems (IDPS), February 2007, http://csrc.nist.gov/publications/PubsSPs.html http://csrc.nist.gov/publications/PubsSPs.html#800-94[accessed 4/16/15].

[56] Falco, Joe, et al., NIST SP 1058, Using Host-based Anti-virus Software on Industrial Control Systems: Integration Guidance and a Test Methodology for Assessing Performance Impacts, September 18, 2006, http://www.nist.gov/manuscript-publication-search.cfm?pub_id=823596 [accessed 4/16/15].

[57] Peterson, Dale, “Intrusion Detection and Cyber Security Monitoring of SCADA and DCS Networks,” ISA Automation West (AUTOWEST 2004), Long Beach, California, April 2004, http://citeseerx.ist.psu.edu/viewdoc/download?doi=10.1.1.121.3420&rep=rep1&type=pdf [accessed 4/16/15].



http://dx.doi.org/10.6028/NIST.SP.800-63-2



http://www.nist.gov/manuscript-publication-search.cfm?pub_id=823596

http://citeseerx.ist.psu.edu/viewdoc/download?doi=10.1.1.121.3420&rep=rep1&type=pdf


F-9

[58] Symantec Corporation, “Symantec Expands SCADA Protection for Electric Utilities,” [press release], September 14, 2005, http://www.symantec.com/about/news/release/article.jsp?prid=20050914_01 [accessed 4/16/15].

[59] Grance, Tim, et al., NIST SP 800-61 Revision 2, Computer Security Incident Handling Guide, August 2012, http://dx.doi.org/10.6028/NIST.SP.800-61r2.

[60] Mell, Peter, et al., NIST SP 800-83 Revision 1, Guide to Malware Incident Prevention and Handling for Desktops and Laptops, July 2013, http://dx.doi.org/10.6028/NIST.SP.800-83r1.

[61] Wilson, Mark, and Joan Hash, NIST SP 800-50, Building an Information Technology Security Awareness and Training Program, October 2003, http://csrc.nist.gov/publications/PubsSPs.html http://csrc.nist.gov/publications/PubsSPs.html#800-50[accessed 4/16/15].

[62] Mix, S., Supervisory Control and Data Acquisition (SCADA) Systems Security Guide, Electric Power Research Institute (EPRI), 2003.

[63] Scarfone, Karen, et al., NIST SP 800-48 Revision 1, Guide to

Securing Legacy IEEE 802.11 Wireless Networks, July 2008, http://csrc.nist.gov/publications/PubsSPs.html http://csrc.nist.gov/publications/PubsSPs.html#800-48[accessed 4/16/15].

[64] Frankel, Sheila, et al, NIST SP 800-97, Establishing Wireless Robust Security Networks: a Guide to IEEE 802.11i, February 2007, http://csrc.nist.gov/publications/PubsSPs.html http://csrc.nist.gov/publications/PubsSPs.html#800-97[accessed 4/16/15].

[65] U.S. Department of Commerce, Federal Information Processing Standards (FIPS) Publication 201-2, Personal Identity Verification (PIV)

http://www.symantec.com/about/news/release/article.jsp?prid=20050914_01







F-10

of Federal Employees and Contractors, August 2013, http://dx.doi.org/10.6028/NIST.FIPS.201-2.

[66] Dray, James, et al, NIST SP 800-96, PIV Card to Reader Interoperability Guidelines, September 2006, http://csrc.nist.gov/publications/PubsSPs.htmlhttp://csrc.nist.gov/publications/PubsSPs.html#800-96 [accessed 4/16/15].

[67] Polk, W. Timothy, et al, NIST SP 800-78-3, Cryptographic Algorithms and Key Sizes for Personal Identity Verification, December 2010, http://csrc.nist.gov/publications/PubsSPs.html http://csrc.nist.gov/publications/PubsSPs.html#800-78[accessed 4/16/15].

[68] Kent, Karen, and Murugiah Souppaya, NIST SP 800-92, Guide to Computer Security Log Management, September 2006, http://csrc.nist.gov/publications/PubsSPs.html http://csrc.nist.gov/publications/PubsSPs.html#800-92[accessed 4/16/15].

[69] Jansen, Wayne, et al., NIST SP 800-28 Version 2, Guidelines on Active Content and Mobile Code, March 2008, http://csrc.nist.gov/publications/PubsSPs.html http://csrc.nist.gov/publications/PubsSPs.html#800-28[accessed 4/16/15].

[70] Polk, Tim, et al., NIST SP 800-52 Revision 1, Guidelines for the Selection, Configuration, and Use of Transport Layer Security (TLS) Implementations, April 2014, http://dx.doi.org/10.6028/NIST.SP.800-52r1.

[71] Barker, Elaine, et al., NIST SP 800-56A Revision 2, Recommendation for Pair-Wise Key Establishment Schemes Using Discrete Logarithm Cryptography, May 2013, http://dx.doi.org/10.6028/NIST.SP.800-56Ar2.

[72] Baker, Elaine, et al., NIST SP 800-57 (3 parts), Recommendation for Key Management: Part 1 Revision 3, General, July 2012

http://dx.doi.org/10.6028/NIST.FIPS.201-2








F-11

http://csrc.nist.gov/publications/PubsSPs.html http://csrc.nist.gov/publications/PubsSPs.html#800-57pt1; Part 2, Best Practices for Key Management Organization, August 2005, http://csrc.nist.gov/publications/PubsSPs.html http://csrc.nist.gov/publications/PubsSPs.html#800-57pt2; Part 3 Revision 1, Application-Specific Key Management Guidance, January 2015, http://dx.doi.org/10.6028/NIST.SP.800-57pt3r1.

[73] Kuhn, D. Richard, et al., NIST SP 800-58, Security Considerations for Voice Over IP Systems, January 2005, http://csrc.nist.gov/publications/PubsSPs.html http://csrc.nist.gov/publications/PubsSPs.html#800-58[accessed 4/16/15].

[74] Frankel, Sheila, et al., NIST SP 800-77, Guide to IPsec VPNs, December 2005, http://csrc.nist.gov/publications/PubsSPs.html http://csrc.nist.gov/publications/PubsSPs.html#800-77[accessed 4/16/15].

[75] Shirey, R., Internet Security Glossary, Version 2, RFC 4949, August 2007, http://www.rfc-editor.org/rfc/rfc4949.txt [accessed 4/16/15].

[76] Franz, Matthew, and Venkat Pothamsetty, ModbusFW: Deep Packet Inspection for Industrial Ethernet, Critical Infrastructure Assurance Group, Cisco Systems, 2004, http://blogfranz.googlecode.com/files/franz-niscc-modbusfw-may04.pdf [accessed 4/16/15].

[77] Duggan, David, Penetration Testing of Industrial Control Systems, SAND2005-2846P, Sandia National Laboratories, March 2005, http://energy.sandia.gov/wp/wp- content/gallery/uploads/sand_2005_2846p.pdf [accessed 4/16/15].

[78] Kissel, Richard, et al., NIST SP 800-88 Revision 1, Guidelines for Media Sanitization, December 2014, http://dx.doi.org/10.6028/NIST.SP.800-88r1.

[79] Joint Task Force Transformation Initiative, NIST SP 800-30 Revision

http://csrc.nist.gov/publications/PubsSPs.html#800-57pt1




http://dx.doi.org/10.6028/NIST.SP.800-57pt3r1



http://www.rfc-editor.org/rfc/rfc4949.txt

http://www.rfc-editor.org/rfc/rfc4949.txt

http://blogfranz.googlecode.com/files/franz-niscc-modbusfw-may04.pdf





F-12

1, Guide for Conducting Risk Assessments, September 2012, http://csrc.nist.gov/publications/PubsSPs.html http://csrc.nist.gov/publications/PubsSPs.html#800-30[accessed 4/16/15].

[80] Johnson, Arnold, et al., NIST SP 800-128, Guide for Security-Focused Configuration Management of Information Systems, August 2011, http://csrc.nist.gov/publications/PubsSPs.html http://csrc.nist.gov/publications/PubsSPs.html#800-128 [accessed 4/16/15].

[81] Dempsey, Kelley, et al., NIST SP 800-137, Information Security Continuous Monitoring (ISCM) for Federal Information Systems and Organizations, September 2011, http://csrc.nist.gov/publications/PubsSPs.html http://csrc.nist.gov/publications/PubsSPs.html#800-137 [accessed 4/16/15].

[82] Waltermire, David, et al., NIST SP 800-126 Revision 2, The Technical Specification for the Security Content Automation Protocol (SCAP): SCAP Version 1.2, September 2011 (updated March 19, 2012), http://csrc.nist.gov/publications/PubsSPs.html http://csrc.nist.gov/publications/PubsSPs.html#800-126-rev2 [accessed 4/16/15].

[83] Executive Order no. 13636, Improving Critical Infrastructure Cybersecurity, DCPD-201300091, February 12, 2013, http://www.gpo.gov/fdsys/pkg/FR-2013-02-19/pdf/2013-03915.pdf [accessed 4/16/15].

[84] National Institute of Standards and Technology, Framework for

Improving Critical Infrastructure Cybersecurity, version 1.0, February 12, 2014, http://www.nist.gov/cyberframework/upload/cybersecurity-framework-021214.pdf [accessed 4/16/15].

[85] Scarfone, Karen, and Paul Hoffman, NIST SP 800-41 Revision 1, Guidelines on Firewalls and Firewall Policy, September 2009,






http://csrc.nist.gov/publications/PubsSPs.html#800-126-rev2

http://csrc.nist.gov/publications/PubsSPs.html#800-126-rev2

http://www.gpo.gov/fdsys/pkg/FR-2013-02-19/pdf/2013-03915.pdf

http://www.nist.gov/cyberframework/upload/cybersecurity-framework-021214.pdf


F-13


[86] Office of Management and Budget, OMB Memorandum M-07-16, Safeguarding Against and Responding to the Breach of Personally Identifiable Information, May 22, 2007, https://www.whitehouse.gov/sites/default/files/omb/memoranda/fy2007/m07-16.pdf [accessed 4/16/15].

[87] Office of Management and Budget, OMB Memorandum M-10-22, Guidance for Online Use of Web Measurement and Customization Technologies, June 25, 2010, https://www.whitehouse.gov/sites/default/files/omb/assets/memoranda_2010/m10-22.pdf [accessed 4/16/15].

[88] McCallister, Erika, et al., NIST SP 800-122, Guide to Protecting the Confidentiality of Personally Identifiable Information (PII), April 2010, http://csrc.nist.gov/publications/PubsSPs.html#800-122 [accessed 4/16/15].

[89] Federal Enterprise Architecture Security and Privacy Profile, Version 3.0, September 2010, https://cio.gov/wp-content/uploads/downloads/2012/09/FEA-Security-Privacy-Profile-v3-09-30-2010.pdf [accessed 4/16/15].

[90] U.S. Department of Commerce, Federal Information Processing Standards (FIPS) Publication 140-2, Security Requirements for Cryptographic Modules, May 25, 2001 (Change Notice 2, 12/3/2002), http://csrc.nist.gov/publications/PubsFIPS.html#140-2 [accessed 4/16/15].

[91] Tracy, Miles, et al., NIST SP 800-45 Version 2, Guidelines on Electronic Mail Security, February 2007, http://csrc.nist.gov/publications/PubsSPs.html#800-45 [accessed 4/16/15].

[92] Grance, Tim, et al., NIST SP 800-47, Security Guide for Interconnecting Information Technology Systems, August 2002,



http://csrc.nist.gov/publications/PubsFIPS.html#140-2



F-14


[93] Kent, Karen, et al., NIST SP 800-86, Guide to Integrating Forensic Techniques into Incident Response, August 2006, http://csrc.nist.gov/publications/PubsSPs.html#800-86 [accessed 4/16/15].

[94] Scarfone, Karen, et al., NIST SP 800-111, Guide to Storage Encryption Technologies for End User Devices, November 2007, http://csrc.nist.gov/publications/PubsSPs.html#800-111 [accessed 4/16/15].

[95] Scarfone, Karen, et al., NIST SP 800-123, Guide to General Server Security, July 2008, http://csrc.nist.gov/publications/PubsSPs.html#800-123 [accessed 4/16/15].

[96] Scarfone, Karen, et al., NIST SP 800-127, Guide to Securing WiMAX Wireless Communications, September 2010, http://csrc.nist.gov/publications/PubsSPs.html#800-127 [accessed 4/16/15].

[97] Johnson, Arnold, et al., NIST SP 800-128, Guide for Security-Focused

Configuration Management of Information Systems, August 2011, http://csrc.nist.gov/publications/PubsSPs.html#800-128[accessed 4/16/15].

[98] Smart Grid Interoperability Panel, Smart Grid Cybersecurity Committee, NISTIR 7628 Revision 1, Guidelines for Smart Grid Cybersecurity, September 2014, http://dx.doi.org/10.6028/NIST.IR.7628r1 [accessed 4/16/15].

[99] Kissel, Richard (ed.), NISTIR 7298 Revision 2, Glossary of Key Information Security Terms, May 2013, http://dx.doi.org/10.6028/NIST.IR.7298r2 [accessed 4/16/15].







http://dx.doi.org/10.6028/NIST.IR.7628r1

http://dx.doi.org/10.6028/NIST.IR.7298r2


G-1

부록 G - 산업제어시스템(ICS) 오버레이(Overlay)

독자에게 알림

산업제어시스템(ICS) 오버레이(Overlay)은 SP 800-53의 개정판 4의 통제

수단 및 통제 기준선의 부분적 맞춤화 작업이며, 산업제어시스템(ICS)

특유의 추가 가이드를 추가한다. 오버레이(Overlay)의 개념은 SP

800-53의 개정판 4의 부록에 소개되어 있다. 산업제어시스템(ICS) 오버

레이(Overlay)은 모든 산업 부문의 모든 산업제어시스템(ICS)에 적용하

기 위한 것이다. 특정 부문(예: 배관, 에너지)에 특이성을 추가하기 위해

추가적인 맞춤화를 수행할 수 있다. 궁극적으로, 특정 시스템(예: XYZ

회사)을 위한 오버레이(Overlay)를 생성할 수 있다. 이 산업제어시스템

(ICS) 오버레이(Overlay)는 SP 800-53의 개정판 4에 맞춘 추가적인 가이

드이다. 독자는 SP 800-53의 올바른 버전을 참고해야 한다. SP 800-53의

부록 F를 복제하는 것은 이 부록의 크기를 65페이지 이상 증가시킬 것

이다. 따라서 기초 위원회에서는 부록 F를 복제하지 않기로 결정했다.

독자는 SP 800-53의 개정판 4를 사용할 수 있어야 한다. 저작 팀 또한

이 산업제어시스템(ICS) 오버레이(Overlay)가 기타 오버레이(Overlay)들

을 위한 모델의 역할을 할 수도 있다고 고려했다. 이 부록의 구조에 대

한 독자들의 피드백, 특히 추상성 수준 및 추가적인 가이드에 제공된

사례들이 구현에 충분한 도움이 되는지 여부에 대한 피드백을 환영한

다.

산업제어시스템(ICS) 오버레이(Overlay)는 SP 800-53의 개정판 4의 내용

에 존재하기 때문에, 해당 내용을 검토하는 것이 중요하다. SP 800-53

의 개정판 4, 연방 정보시스템 및 조직용 보안 및 프라이버시 통제 수

단(Security and Privacy Controls for Federal Information Systems

and Organizations)에서는 보안 통제 수단 카달로그가 2005년 시작된

이후로 가장 포괄적인 업데이트를 제공한다. 이 업데이트는 증가하는

사이버 공격의 고도화 및 공격자의 동작 완급(즉, 이러한 공격의 빈도,

공격자의 전문성 및 공격자에 의한 표적화의 지속성)에 의해서 특징지

어지는 위협 공간의 확장이 주 동기가 되었다. 모바일 및 클라우드 컴

퓨팅, 응용 프로그램 보안, 정보시스템의 신뢰성, 보증 및 탄력성, 내부


G-2

식별

이 오버레이(Overlay)는 미국국립표준기술연구소(NIST) 특별 발행 800-82 2차 개정판 산업용 제어시스템 오버레이(Overlay)("NIST SP 800-82 Rev 2 ICS Overlay")로 참조할 수 있다. 이 오버레이(Overlay)는 미국국립표준기술연구소(NIST) SP 800-53 개정판 4를 기반으로 한다[22].

미국국립표준기술연구소(NIST)에서는 2014년 정보보안 현대화법(FISMA)(미공법 113-283), 대통령 정책 명령(PPD)-21 및 행정 명령 13636에 따른 법적 책임을 증진하기 위해 이 오버레이(Overlay)를 개발했다. 미국국립표준기술연구소(NIST)는 최소 요구사항을 포함하는 표준 및 가이드를 개발하고 모든 기관 운영 및 자산을 위한 충분한 정보 보안을 제공하는 책임이 있지만, 이러한 표준 및 가이드는 이러한 시스템에 대해 정책 권한을 행사하는 적절한 연방 공무원의 명시적 승인이 없이는 국가 보안 시스템에 적용할 수 없다. 의견은 [email protected] 으로 보낼 수 있다.

오버레이(Overlay) 특성

산업제어시스템(ICS)은 전형적으로 전기, 물 및 폐수, 석유 및 천연 가스, 운송, 화학, 제약, 펄프 및 제지, 식품 및 음료, 개별 품목 제조(예: 자동차, 항공우주 및 내구재) 산업에 사용된다. 감시 제어 및 데이터 수집(SCADA) 시스템

자 위협, 공급망 보안, 지속적인 고등 위협 등의 영역을 다루는 관행적

인 보안 통제 수단 및 향상된 통제 수단들이 개발되었으며 카달로그에

통합되었다.

확장된 일련의 보안 및 프라이버시 통제 수단의 장점을 이용하고 정보

시스템을 방어하는 조직에 뛰어난 유연성과 민첩성을 제공하기 위해

이 개정판에 오버레이(Overlay)의 개념이 소개되었다. 오버레이

(Overlay)는 조직이 보안 통제 기준선을 맞춤화하고 특정 임무/비즈니

스 기능, 운영 및/또는 기술의 환경에 적용할 수 있는 전문화된 보안

계획을 개발하는 것을 돕기 위해 구조적인 접근방식을 제공한다. 이 전

문화 접근방식은 카달로그에서 위협 기반 통제 수단 및 향상된 통제

수단의 수가 증가하고 조직이 정의된 위험 감수도 내에서 특정 보호

수요를 해결하기 위한 위험 관리 전략을 개발함에 따라 중요하다.


G-3

은 일반적으로 중앙 집중식 데이터 수집 및 감시 제어를 이용하여 분산된 자산을 제어하는 데 사용된다. 분산제어시스템(DCS)은 일반적으로 공장과 같은 근거리에서 감시 및 규제 제어를 이용하여 생산 시스템을 제어하기 위해 사용된다. 프로그래머블 로직 컨트롤러(PLC)는 일반적으로 특정 응용 프로그램의 이산 제어에 사용되며, 일반적으로 규제 제어를 제공한다. 이러한 제어시스템은 고도로 상호 연결되고 상호 의존적인 시스템인 미국 주요기반의 운영에 매우 중요하다. 약 90%의 미국 주요기반이 개인 소유로 운영되고 있는 것에 주목해야 한다. 연방 기관도 위에 언급된 많은 산업제어시스템(ICS)을 운영한다. 그 밖의 예에는 항공 교통 관제 및 물자 취급(예: 우편물 처리)이 있다.

적용 가능성

이 오버레이(Overlay)의 목적은 감시 제어 및 데이터 수집(SCADA) 및 DCS 시스템, 프로그래머블 로직 컨트롤러(PLC) 및 산업용 제어 기능을 수행하는 기타 시스템 등의 산업제어시스템(ICS)을 위한 보안 가이드를 제공하는 것이다. 이 오버레이(Overlay)는 연방 기관에서 사용하기 위해 준비되었다. 자유의사에 따라 비정부기구에서도 사용할 수 있다.

오버레이(Overlay) 요약

표 G-1에서는 산업제어시스템(ICS) 추가적인 가이드 및 산업제어시스템(ICS) 맞춤화의 등급과 함께 초기 보안 통제 기준선(즉, 낮음, 보통, 높음)에 할당된 미국국립표준기술연구소(NIST) SP 800-53 부록 F [22, App. F]의 보안 통제 수단 및 향상된 통제 수단의 요약을 제공한다. 산업제어시스템(ICS) 추가적인 가이드가 있는 통제 수단 및 향상된 통제 수단은 굵은 글씨로 표시된다. 통제 기준선이 기준선에 대한 통제 수단에 의해 보충되는 경우, 해당 통제 수단 또는 향상된 통제 수단은 밑줄 표시된다. 통제 수단 또는 향상된 통제 수단이 기준선에서 제거되는 경우, 통제 수단 또는 향상된 통제 수단 위에 줄을 그어 지운다.

Example:

AU-4 감사 저장 용량 AU-4 (1) AU-4 (1) AU-4 (1)

이 예에서는 산업제어시스템(ICS) 추가적인 가이드가 AU-4(굵은 글씨)의 향상


G-4

된 통제 수단 1에 추가되었다. 추가로, AU-4의 향상된 통제 수단 1이 낮은, 보통(Mod) 및 높은 기준선(밑줄)에 추가되었다.

표 G-1 보안 통제 기준선

통제번호

통제 이름초기 통제 기준선

낮음 보통 높음AC-1 접근통제 정책 및 절차 AC-1 AC-1 AC-1AC-2 계정 관리 AC-2 AC-2(1)(2)

(3)(4)AC-2(1)(2)(3)(4)(5)(11)

(12)(13)AC-3 접근 시행 AC-3 AC-3 AC-3AC-4 정보 흐름 시행 선택되지

않음AC-4 AC-4

AC-5 직무 분리 선택되지 않음

AC-5 AC-5

AC-6 최소 권한 선택되지 않음

AC-6(1)(2)(5)(9)(10)

AC-6(1)(2)(3)(5)(9)(10)

AC-7 실패한 로그인 시도 AC-7 AC-7 AC-7AC-8 시스템 사용 알림 AC-8 AC-8 AC-8

AC-10 동시 세션 제어 선택되지 않음

선택되지 않음

AC-10

AC-11 세션 잠금 선택되지 않음

AC-11(1) AC-11(1)

AC-12 세션 종료 선택되지 않음

AC-12 AC-12

AC-14 식별 또는 인증 없는 허용 조치 AC-14 AC-14 AC-14AC-17 원격 접근 AC-17 AC-17(1)(2)

(3)(4)AC-17(1)(2)

(3)(4)AC-18 무선 접근 AC-18 AC-18(1) AC-18(1)(4)

(5)AC-19 모바일 기기 접근통제 AC-19 AC-19(5) AC-19(5)AC-20 외부 정보시스템 사용 AC-20 AC-20(1)(2) AC-20(1)(2)AC-21 협동 및 정보 공유 AC-21 AC-21 AC-21AC-22 공개적으로 접근 가능한 콘텐츠 AC-22 AC-22 AC-22AT-1 보안 인식 및 훈련 정책 및

절차AT-1 AT-1 AT-1

AT-2 보안 인식 훈련 AT-2 AT-2(2) AT-2(2)AT-3 역할 기반 보안 훈련 AT-3 AT-3 AT-3AT-4 보안 훈련 기록 AT-4 AT-4 AT-4AU-1 감사 및 책임 추적성 정책 및

절차AU-1 AU-1 AU-1

AU-2 감사 사건 AU-2 AU-2(3) AU-2(3)AU-3 감사 기록 콘텐츠 AU-3 AU-3(1) AU-3(1)(2)AU-4 감사 저장 용량 AU-4 (1) AU-4 (1) AU-4 (1)


G-5

통제번호


낮음 보통 높음AU-5 감사 처리 결함 대응 AU-5 AU-5 AU-5(1)(2)AU-6 감사 검토, 분석 및 보고 AU-6 AU-6(1)(3) AU-6(1)(3)(5)

(6)AU-7 감사 감소 및 보고서 생성 선택되지

않음AU-7(1) AU-7(1)

AU-8 타임스탬프 AU-8 AU-8(1) AU-8(1)AU-9 감사 정보 보호 AU-9 AU-9(4) AU-9(2)(3)(4)

AU-10 부인방지 선택되지 않음

선택되지 않음

AU-10

AU-11 감사 기록 보관 AU-11 AU-11 AU-11AU-12 감사 생성 AU-12 AU-12 AU-12(1)(3)CA-1 보안 평가 및 인가

정책 및 절차CA-1 CA-1 CA-1

CA-2 보안 평가 CA-2 CA-2(1) CA-2(1)(2)CA-3 시스템 상호 접속 CA-3 CA-3(5) CA-3(5)CA-5 조치일정 CA-5 CA-5 CA-5CA-6 보안 인가 CA-6 CA-6 CA-6CA-7 연속 모니터링 CA-7 CA-7(1) CA-7(1)CA-8 침투 시험 선택되지

않음선택되지 않음

CA-8

CA-9 내부 시스템 연결 CA-9 CA-9 CA-9CM-1 형상 관리 정책 및

절차CM-1 CM-1 CM-1

CM-2 기준선 구성 CM-2 CM-2(1)(3)(7) CM-2(1)(2)(3)(7)

CM-3 형상 변경 제어 선택되지 않음

CM-3(2) CM-3(1)(2)

CM-4 보안 영향 분석 CM-4 CM-4 CM-4(1)CM-5 변경을 위한 접근 제한 선택되지

않음CM-5 CM-5(1)(2)(3)

CM-6 형상 설정 CM-6 CM-6 CM-6(1)(2)CM-7 최소 기능 CM-7(1) CM-7(1)(2)

(4)(5)CM-7(1)(2)(5)

CM-8 정보시스템 구성요소 목록 CM-8 CM-8(1)(3)(5) CM-8(1)(2)(3)(4)(5)

CM-9 형상 관리 계획 선택되지 않음

CM-9 CM-9

CM-10 소프트웨어 사용 제한 CM-10 CM-10 CM-10

CM-11 사용자 설치 소프트웨어 CM-11 CM-11 CM-11

CP-1 긴급 사태 대책 정책 및 절차 CP-1 CP-1 CP-1CP-2 긴급 사태 대책 CP-2 CP-2(1)(3)

(8)CP-2(1)(2)(3)(4)(5)(8)

CP-3 긴급 사태 훈련 CP-3 CP-3 CP-3(1)


G-6

통제번호


낮음 보통 높음CP-4 긴급 사태 대책 검증 CP-4 CP-4(1) CP-4(1)(2)CP-6 대체 저장 현장 선택되지

않음CP-6(1)(3) CP-6(1)(2)(3)

CP-7 대체 처리 현장 선택되지 않음

CP-7(1)(2)(3) CP-7(1)(2)(3)(4)

CP-8 통신 서비스 선택되지 않음

CP-8(1)(2) CP-8(1)(2)(3)(4)

CP-9 정보시스템 백업 CP-9 CP-9(1) CP-9(1)(2)(3)(5)

CP-10 정보시스템 복구 및 복원 CP-10 CP-10(2) CP-10(2)(4)

CP-12 안전 모드 CP-12 CP-12 CP-12IA-1 식별 및 인증의 정책 및 절차 IA-1 IA-1 IA-1IA-2 식별 및 인증

(조직의 사용자)IA-2(1)(12) IA-2(1)(2)(3

)(8)(11)(12)IA-2(1)(2)(3)(4)(8)(9)(11)

(12)IA-3 장치 식별 및 인증 IA-3 IA-3(1)(4) IA-3(1)(4)IA-4 식별자 관리 IA-4 IA-4 IA-4IA-5 인증자 관리 IA-5(1)(11) IA-5(1)(2)(3)

(11)IA-5(1)(2)(3)

(11)IA-6 인증자 피드백 IA-6 IA-6 IA-6IA-7 암호화 모듈 인증 IA-7 IA-7 IA-7IA-8 식별 및 인증(비 조직 사용자) IA-8(1)(2)

(3)(4)IA-8(1)(2)(3)(4)

IA-8(1)(2)(3)(4)

IR-1 사고 대응 정책 및 절차 IR-1 IR-1 IR-1IR-2 사고 대응 훈련 IR-2 IR-2 IR-2(1)(2)IR-3 사고 대응 검증 선택되지

않음IR-3(2) IR-3(2)

IR-4 사고 처리 IR-4 IR-4(1) IR-4(1)(4)IR-5 사고 모니터링 IR-5 IR-5 IR-5(1)IR-6 사고 보고 IR-6 IR-6(1) IR-6(1)IR-7 사고 대응 지원 IR-7 IR-7(1) IR-7(1)IR-8 사고 대응 계획 IR-8 IR-8 IR-8MA-1 시스템 유지보수 정책 및 절차 MA-1 MA-1 MA-1MA-2 제어 유지보수 MA-2 MA-2 MA-2(2)MA-3 유지보수 도구 선택되지

않음MA-3(1)(2) MA-3(1)(2)(3)

MA-4 비지역적 유지보수 MA-4 MA-4(2) MA-4(2)(3)MA-5 유지보수 인원 MA-5 MA-5 MA-5(1)MA-6 적시적 유지보수 선택되지

않음MA-6 MA-6

MP-1 매체 보호 정책 및 절차 MP-1 MP-1 MP-1MP-2 매체 접근 MP-2 MP-2 MP-2MP-3 매체 마킹 선택되지

않음MP-3 MP-3


G-7

통제번호


낮음 보통 높음MP-4 매체 저장 선택되지

않음MP-4 MP-4

MP-5 매체 전송 선택되지 않음

MP-5(4) MP-5(4)

MP-6 매체 정리 MP-6 MP-6 MP-6(1)(2)(3)MP-7 매체 사용 MP-7 MP-7(1) MP-7(1)PE-1 물리적 및 환경적 보호

정책 및 절차PE-1 PE-1 PE-1

PE-2 물리적 접근 인가 PE-2 PE-2 PE-2PE-3 물리적 접근통제 PE-3 PE-3 PE-3(1)PE-4 전송 매체 접근통제 선택되지

않음PE-4 PE-4

PE-5 출력 장치 접근통제 선택되지 않음

PE-5 PE-5

PE-6 물리적 접근 모니터링 PE-6 PE-6(1) (4) PE-6(1)(4)PE-8 방문객 접근 기록 PE-8 PE-8 PE-8(1)PE-9 전원 장치 및 케이블류 선택되지

않음PE-9(1) PE-9(1)

PE-10 비상 차단 선택되지 않음

PE-10 PE-10

PE-11 비상 전원 PE-11(1) PE-11(1) PE-11(1)(2)PE-12 비상 조명 PE-12 PE-12 PE-12PE-13 화재 방지 PE-13 PE-13(3) PE-13(1)(2)(3)

PE-14 온도 및 습도 제어 PE-14 PE-14 PE-14PE-15 수해 방지 PE-15 PE-15 PE-15(1)PE-16 배달 및 제거 PE-16 PE-16 PE-16PE-17 대체 작업장 선택되지

않음PE-17 PE-17

PE-18 정보시스템 구성요소의 위치 선택되지 않음

선택되지 않음

PE-18

PL-1 보안 기획 정책 및 절차 PL-1 PL-1 PL-1PL-2 시스템 보안 계획 PL-2(3) PL-2(3) PL-2(3)PL-4 행동 규칙 PL-4 PL-4(1) PL-4(1)PL-7 운영 보안 개념 PL-7 PL-7PL-8 정보 보안 구조 선택되지

않음PL-8 PL-8

PS-1 인적 보안 정책 및 절차 PS-1 PS-1 PS-1PS-2 직책 위험 지정 PS-2 PS-2 PS-2PS-3 직원 적격 심사 PS-3 PS-3 PS-3PS-4 근무 종료 PS-4 PS-4 PS-4(2)PS-5 인사 이동 PS-5 PS-5 PS-5PS-6 접근 동의 PS-6 PS-6 PS-6


G-8

통제번호


낮음 보통 높음PS-7 타사 인적 보안 PS-7 PS-7 PS-7PS-8 인사 제재 PS-8 PS-8 PS-8RA-1 위험 평가 정책 및 절차 RA-1 RA-1 RA-1RA-2 보안 범주화 RA-2 RA-2 RA-2RA-3 위험 평가 RA-3 RA-3 RA-3RA-5 취약성 스캐닝 RA-5 RA-5(1)(2)

(5)RA-5(1)(2)(4)

(5)SA-1 시스템 및 서비스 수집 정책 및

절차SA-1 SA-1 SA-1

SA-2 자원 할당 SA-2 SA-2 SA-2SA-3 시스템 개발 수명주기 SA-3 SA-3 SA-3SA-4 수집 절차 SA-4(10) SA-4(1)(2)(

9)(10)SA-4(1)(2)(9)

(10)SA-5 정보시스템 문서화 SA-5 SA-5 SA-5SA-8 보안 설계 원칙 선택되지

않음SA-8 SA-8

SA-9 외부 정보시스템 서비스 SA-9 SA-9(2) SA-9(2)SA-10 개발자 형상 관리 선택되지

않음SA-10 SA-10

SA-11 개발자 보안 검증 및 평가 선택되지 않음

SA-11 SA-11

SA-12 공급망 보호 선택되지 않음

선택되지 않음

SA-12

SA-15 개발 공정, 표준 및 도구 선택되지 않음

선택되지 않음

SA-15

SA-16 개발자가 제공하는 훈련 선택되지 않음

선택되지 않음

SA-16

SA-17 개발자 보안 구조 및 설계 선택되지 않음

선택되지 않음

SA-17

SC-1 시스템 및 통신 보호 정책 및 절차

SC-1 SC-1 SC-1

SC-2 응용 프로그램 분할 선택되지 않음

SC-2 SC-2

SC-3 보안 기능 격리 선택되지 않음

선택되지 않음

SC-3

SC-4 공유 자원의 정보 선택되지 않음

SC-4 SC-4

SC-5 서비스 거부 방지 SC-5 SC-5 SC-5SC-7 경계 보호 SC-7 SC-7(3)(4)(5)

(7) (18)SC-7(3)(4)(5)(7)(8)(18)(21)

SC-8 전송 비밀성 및 무결성 선택되지 않음

SC-8(1) SC-8(1)

SC-10 네트워크 분리 선택되지 않음

SC-10 SC-10

SC-12 암호화 키 설정 및 관리 SC-12 SC-12 SC-12(1)


G-9

통제번호


낮음 보통 높음SC-13 암호화 보호 SC-13 SC-13 SC-13SC-15 협업 컴퓨팅 장치 SC-15 SC-15 SC-15SC-17 공개키 기반 인증서 선택되지

않음SC-17 SC-17

SC-18 모바일 코드 선택되지 않음

SC-18 SC-18

SC-19 인터넷 전화 통화 프로토콜 선택되지 않음

SC-19 SC-19

SC-20 보안 이름 /주소 변환 서비스(신뢰할 수 있는 소스)

SC-20 SC-20 SC-20

SC-21 보안 이름 /주소 변환 서비스(재귀적 또는 캐싱 해석기)

SC-21 SC-21 SC-21

SC-22 이름/주소 변환 서비스를 위한 구조 및 권한 설정

SC-22 SC-22 SC-22

SC-23 세션 신빙성 선택되지 않음

SC-23 SC-23

SC-24 알려진 장애 상태 선택되지 않음

SC-24 SC-24

SC-28 유휴 데이터 보호 선택되지 않음

SC-28 SC-28

SC-39 공정 격리 SC-39 SC-39 SC-39SC-41 포트 및 I/O 장치 접근 SC-41 SC-41 SC-41SI-1 시스템 및 정보 무결성 정책 및

절차SI-1 SI-1 SI-1

SI-2 결함 교정 SI-2 SI-2(2) SI-2(1)(2)SI-3 악성 코드 방지 SI-3 SI-3(1)(2) SI-3(1)(2)SI-4 정보시스템 모니터링 SI-4 SI-4(2)(4)

(5)SI-4(2)(4)(5)

SI-5 보안 경고, 주의보 및 명령 SI-5 SI-5 SI-5(1)SI-6 보안 기능 확인 선택되지


SI-6

SI-7 소프트웨어, 펌웨어 및 정보무결성

선택되지 않음

SI-7(1)(7) SI-7(1)(2)(5)(7)(14)

SI-8 스팸 방지 선택되지 않음

SI-8(1)(2) SI-8(1)(2)

SI-10 정보 입력 검증 선택되지 않음

SI-10 SI-10

SI-11 오류 처리 선택되지 않음

SI-11 SI-11

SI-12 정보 처리 및 보관 SI-12 SI-12 SI-12SI-13 예측 가능한 결함 방지 선택되지


SI-13

SI-14 비영속성 선택되지 않음

선택되지 않음

선택되지 않음

SI-15 정보 출력 필터링 선택되지 않음

선택되지 않음

선택되지 않음


G-10

통제번호


낮음 보통 높음SI-16 메모리 보호 선택되지

않음SI-16 SI-16

SI-17 고장 안전 절차 SI-17 SI-17 SI-17


G-11

PM 단위는 조직 차원에서 배치되어 정보 보안 프로그램을 지원한다. 보안 통제 기준선과 관련되어 있지 않으며, 어떠한 시스템 영향도와도 관련이 없다.

PM-1PM-2

정보 보안 프로그램 계획정보 보안 고위 책임자

PM-1PM-2

PM-3 정보 보안 자원 PM-3

PM-4 조치일정 절차 PM-4

PM-5PM-6

정보시스템 목록성능의 정보 보안 조치

PM-5PM-6

PM-7 기업 구조 PM-7

PM-8 주요기반 계획 PM-8

PM-9 위험 관리 전략 PM-9

PM-10 보안 인가 절차 PM-10

PM-11 임무/비즈니스 프로세스 정의 PM-11

PM-12PM-13

내부자 위협 프로그램정보 보안 인력

PM-12PM-13

PM-14PM-15PM-16

검증, 훈련 및 모니터링보안 그룹 및 협회와 접촉위협 인식 프로그램

PM-14PM-15PM-16


G-12

맞춤화 고려 사항

산업제어시스템(ICS)의 고유의 특성 때문에 이러한 시스템에는 일반 목적의 정보시스템의 경우 보다 보완적인 보안 통제 수단을 훨씬 더 많이 사용해야 할 수 있다. 보완 통제 수단은 기준 통제 수단의 예외 또는 포기가 아니라, 오히려 효과적으로 사용될 수 없을 수 있는 원래의 보안 통제 수단의 의도를 달성하기 위해 산업제어시스템(ICS) 내에서 사용되는 대체 안전보장조치 및 대책이다. 미국국립표준기술연구소(NIST) SP 800-53 4차 개정판 [22]의 제3.2절에 있는 "보완적인 보안 통제 수단 선택"을 참조한다.

산업제어시스템(ICS)이 특정 보안 통제 수단 또는 향상된 통제 수단을 지원하지 못하는 상황(예: 성능, 안전 또는 신뢰성에 악영향이 있는 경우)이거나 조직이 이를 구현하지 않는 것이 좋다고 판단하는 경우, 조직은 선택된 보완 통제 수단이 산업제어시스템(ICS)을 위한 동등한 보안 기능 또는 보호 수준을 제공하는 방법 및 관련 기준 보안 통제 수단을 사용할 수 없는 이유에 대한 완전하고 설득력 있는 근거를 제공한다.

미국국립표준기술연구소(NIST) SP 800-53 4차 개정판 제3.2절에 있는 범위 지정의 기술 관련 고려 사항 가이드(Technology-related Considerations of the Scoping Guidance)에 따라 산업제어시스템(ICS)에서 자동화 메커니즘을 쉽게 사용할 수 없거나 비용 효과적이지 않거나 기술적으로 실행 불가능한 경우, 자동화되지 않은 메커니즘 또는 절차를 통해 구현된 보완적인 보안 통제 수단이 사용된다[22].

보완 통제 수단은 기준선의 특정 통제 수단 대신에 조직에서 사용하는 대체 보안 통제 수단으로서, 조직의 정보시스템과 이 시스템에 의해서 처리, 저장 또는 전송되는 정보를 위해 동등하거나 비교할 만한 보호 기능을 제공하는 통제 수단이다42. 예를 들어, 이것이 발생할 수 있는 경우는 조직이 기준선에서 특정 보안 통제 수단을 효과적으로 구현할 수 없거나, 산업제어시스템(ICS)의 구체적인 특성 또는 운영 환경 때문에 기준선의 통제 수단이 필요한 위험 완화 수준을 얻기 위한 비용 효과적인 수단이 아닌 경우이다. 보완 통제 수단에는 기준선을 보충하는 향상된 통제 수단이 포함될 수 있다. 보완 통제 수단을

42 부록 F의 특정 보안 통제 수단을 위한 동등한 보호를 제공하려면 하나 이상의 보완 통제 수단이 필요할 수 있다. 예를 들어, 상당한 직원 제한사항이 있는 조직은 감사, 책임 추적 및 인적 보안 통제 수단을 강화함으로써 업무 보안 통제의 분리를 보완할 수 있다.


G-13

사용하는 것은 추가적인 위험과 감소된 기능 사이의 적정성을 수반할 수 있다. 보완 통제 수단의 모든 사용에는 (i) 어느 정도의 잔류 위험을 용인할 것인지, 그리고 (ii) 어느 정도의 기능을 감소해야 하는지에 관한 위험 기반의 결정을 수반해야 한다. 보완 통제 수단은 다음과 같은 조건을 따르는 조직에서 사용할 수 있다.

■ 조직은 미국국립표준기술연구소(NIST) SP 800-53 4차 개정판 부록 F의 보완 통제 수단을 선택한다. 적절한 보완 통제 수단을 사용할 수 없는 조직은 다른 출처에서 적합한 보완 통제 수단을 채택해야 한다43.

■ 조직은 보완 통제 수단이 조직의 정보시스템에 동등한 보안 기능을 제공하는 방법 및 기준 보안 통제 수단이 사용될 수 없는 이유에 대한 이론적 근거를 제공한다.

■ 조직은 산업제어시스템(ICS)의 보완 통제 수단의 구현에 관련된 위험을 평가하고 감수한다.

보완 통제 수단의 사용에 대한 조직의 결정사항은 산업제어시스템(ICS)의 보안 계획에 문서로 기록된다.

할당 값이 포함된 통제 수단(예: 할당: 조직에서 정의한 조건 또는 트리거 이벤트)은 기준선 밖으로 조정할 수 있다. 이것은 “없음(none)” 값을 할당하는 것에 해당한다. 할당은 서로 다른 영향 기준선에 대해 서로 다른 값을 취할 수 있다.

비 주소 지정 및 비 경로 지정 통신

산업제어시스템(ICS) 내의 고유의 네트워크 속성은 특정 보안 통제 수단을 적용할 때 특별한 주의를 요한다. 미국국립표준기술연구소(NIST) SP 800-53 4차 개정판의 통신, 장치 및 인터페이스와 관련이 있는 많은 통제 수단에서는 주소 지정 및 경로 지정 프로토콜(예: TCP/IP 인터넷 프로토콜 슈트)44 또는 개방형 시스템 간 상호 접속(OSI) 모델(ISO/IEC 7498-1)의 계층 1, 2 및 3의

43 조직은 부록 F의 보안 통제 카달로그에서 보완 통제 수단을 선택하기 위해 모든 시도를 해야 한다. 조직에서 정의한 보완 통제 수단은 해당 보안 통제 카달로그에 적합한 보완 통제 수단이 없다고 조직에서 판단하는 경우에만 사용된다.

44 현재, 인터넷기술표준화위원회(IETF)에서 TCP/IP 프로토콜 슈트를 관리한다.


G-14

적용 가능성을 절대적인 것으로 간주한다. 산업제어시스템(ICS)에 사용되는 일부 장치 또는 하위 시스템은 이 가정에서 예외이다. 이 절에서는 통제 수단들을 적절하게 맞춤화할 수 있는 방법을 다룬다. 맞춤화는 주로 다음 상황에서 필요하다.

■ 기능이 존재하지 않는다. 특정 통제 수단의 목적은 산업제어시스템(ICS)의 하위 시스템에 존재하지 않는 특정 네트워크 속성 또는 기능 때문에 보완 통제 수단을 통해 더 쉽게 달성될 수 있다. 예를 들어, 전체 점대점 통신 채널을 보호하기 위해 물리적 보호 기능(예: 잠긴 보관장)을 인증을 지원하는 프로토콜의 결여를 보완하는 수단으로 사용할 수 있다. 보안 통제 수단에는 통제 수단의 구현을 보장하거나, 보완 통제 수단이 적절한 수준의 보호 기능을 제공하는 것을 보장하는데 도움이 되도록 추가 추가적인 가이드가 필요할 수 있다.

■ 보안 통제 수단을 적용할 수 없다. 산업제어시스템(ICS)에 흔한 많은 통신 프로토콜은 기능이 제한(예: 주소 지정 또는 경로 지정이 안됨)될 수 있다. 주소 지정 및 경로 지정을 다루는 보안 통제 수단은 이러한 프로토콜에 적용되지 않을 수 있다.

주소 지정을 포함하지 않는 표준 및 프로토콜을 사용하는 점대점 통신 장치를 위한 보안 통제 수단에는 일반적으로 맞춤화가 필요하다. RS-232 인터페이스를 통해 컴퓨터에 연결된 모뎀이 그 예이다. RS-232는 새로운 장비로 대체되었기는 하지만 현재 사용 중인 산업제어시스템(ICS) 장비에 일반적으로 사용되었다. 통신에서 RS-232는 DTE(데이터 단말 장치)와 DCE(원래 데이터 통신 장비로 정의되는 데이터 회선 종단 장치) 사이를 연결하는 통제 신호 및 직렬 이진 단일 종단 데이터를 위한 일련의 표준에 대한 전통적인 이름이다. 표준의 현재 버전은 1997년에 발행된 미국 통신산업협회(TIA)-232-F, 직렬 이진 데이터 교환이 적용된 데이터 회선 종단 장치와 데이터 단말 장치 사이의 인터페이스(Interface Between Data Terminal Equipment and Data Circuit-Terminating Equipment Employing Serial Binary Data Interchange)이다.

RS-232 직렬 포트는 주변 장치의 연결에 사용된 산업제어시스템(ICS) 하위 시스템과 같은 소형 컴퓨팅 장치의 표준 기능이었다. 하지만, 낮음 전송 속도, 큰 전압 스윙 및 큰 표준 커넥터가 RS-232의 대부분의 주변 장치 인터페이스


G-15

역할을 대체한 범용 직렬 버스(USB)의 개발을 자극했다. RS-232 장치는 특히 산업용 기계, 네트워킹 장비 및 과학 기기에서 여전히 찾아볼 수 있다.

계층화된 네트워크 모델

TCP/IP와 개방형 시스템 간 상호 접속(OSI) 모두에서 사용되는 계층화된 네트워크 모델은 네트워크 통신의 다양한 속성을 이해하기 위한 기초를 제공할 수 있으며, 보안 통제 수단을 시스템과 네트워크에 적절하게 적용할 수 있는 방법을 파악하는 데 도움이 된다. 다음의 표에서는 보안 통제 수단의 응용 프로그램에 관련된 물리적 계층, 데이터링크 계층 및 네트워크 계층에 관한 핵심 속성을 소개한다.

네트워크 계층 계층 속성

물리적 물리적 매체 –네트워크의 물리적 매체(유선 또는 무선 )는특정 통제 수단의 응용 프로그램/맞춤화를 구동할 수 있다.무선 연결은 물리적으로 보호할 수 없다. 따라서 물리적보안에 중점을 두는 보완 통제 수단은 사용할 수 없다.구성 방식 – 물리적 구성 방식도 통제 수단을 맞춤화하는방법을 결정하는 데 사용할 수 있다. 예를 들어 다중점 구성방식(예: IEEE 802.3 이더넷)에는 물리적인 주소 지정인터페이스가 필요한 반면, 점대점 구성 방식(예: RS-232)에는일반적으로 물리적인 주소 지정 인터페이스가 필요하지 않다.

데이터링크 물리적 주소 지정 – 여러 시스템의 통신을 허용하기 위해 다중점프로토콜에는 물리적 주소 지정 인터페이스가 필요하다.물리적인 주소 지정을 할 수 없는 시스템은 점대점 연결을공유하는 시스템에 의해서만 접근이 가능하다.

네트워크 네트워크 주소 지정/경로 지정 – 네트워크 주소 지정/경로 지정시스템은

인터네트워크 상의 모든 시스템에 의해 접근이 가능하다. 즉,네트워크들 간에 통신의 경로가 지정될 수 있다. 시스템에서네트워크의 주소 지정/경로 지정이 가능하지 않은 경우, 해당시스템은 로컬 네트워크 연결을 공유하는 시스템들만 접근할 수있다.

정의

이 오버레이(Overlay)에서 사용되는 용어는 부록 B— 또는 미국국립표준기술연구소(NIST) 내부 보고서(NISTIR) 7298 2차 개정판, 핵심 정보 보안 용어집(Glossary of Key Information Security Terms) [99]에 정의되어 있다.


G-16

추가 정보 또는 가이드

현재 없음. 조직은 이전 절에 포함되지 않은 오버레이(Overlay)에 관련된 추가 정보 또는 가이드를 제공할 수 있다.

상세한 오버레이(Overlay) 제어 사양

이 오버레이(Overlay)는 적대적인 사이버 공격, 자연 재해, 구조적 결함 및 사람에 의한 오류(의도적이거나 의도하지 않은 오류 모두 포함) 등의 다양한 일련의 위협으로부터 조직 운영(예: 임무, 기능, 이미지 및 평판), 조직의 자산, 개인, 기타 조직 및 미국을 보호하기 위해 연방 정보시스템 및 조직용 보안 및 프라이버시 통제 수단의 카달로그와 통제 수단을 선택하기 위한 절차를 제공하는 미국국립표준기술연구소(NIST) SP 800-53 4차 개정판, 연방 정보시스템 및 조직용 보안 및 프라이버시 통제 수단(Security and Privacy Privacy Controls for Federal Information Systems and Organizations)에 기초한다. 보안 및 프라이버시 통제 수단은 정보 보안 및 프라이버시 위험을 관리하는 조직 차원의 절차의 일부로서 맞춤화되고 구현된다. 통제 수단은 연방 정부 및 주요기반 전체에 걸쳐서 법률, 행정 명령, 정책, 명령, 규정, 표준 및/또는 임무/비즈니스 수요에서 파생된 다양한 일련의 보안 및 프라이버시 요구사항을 해결한다. 또한 발행물에서는 특정 유형의 임무/비즈니스 기능, 기술 또는 운영 환경에 맞춤화되고 전문화된 일련의 통제 수단 또는 오버레이(Overlay)을 개발하는 방법을 설명한다. 마지막으로, 보안 통제 수단의 카달로그는 기능 관점(제공된 보안 기능 및 메커니즘의 강도) 및 보증 관점(구현된 보안 기능에서 신뢰도의 조치) 모두에서 보안을 해결한다. 보안 기능 및 보증을 모두 해결하는 것은 확실한 시스템 및 보안 설계 원칙을 사용하여 해당 제품에서 구축된 정보기술 구성 제품 및 정보시스템이 충분히 신뢰할 수 있음을 보장하는 데 도움이 된다.

조직의 정보시스템 및 각각의 운영 환경을 위한 적절한 보안 통제 수단을 선택하고 지정하는 준비 과정에서 조직은 먼저 이들 시스템에서 처리, 저장 또는 전송될 정보의 중대성 및 중요도를 결정한다. 이 절차는 보안 범주화로 알려져 있다. 연방 정보 처리 표준(FIPS) 199 [15]를 사용하는 연방 기관은 정보 및 정보시스템 모두를 위한 보안 범주를 설정할 수 있다. ISA 및 CNSS에서 발행하는 기타 문서 또한 영향에 기초한 보안의 수준(낮음, 보통, 높음)을 정의하기 위한 가이드를 제공한다. 보안 범주는 조직에 할당된 임무를 달성하고, 조직의


G-17

자산을 보호하며, 조직의 법적 책임을 완수하고, 조직의 일상 기능을 유지하며, 개인의 안전, 건강, 생명을 보호하기 위해 조직에 필요한 정보 및 정보시스템을 위태롭게 하는 특정 사건이 발생하는 경우의 조직 또는 사람(직원 및/또는 대중)에 대한 잠재적인 영향에 기초한다. 보안 범주는 조직에 대한 위험의 평가에서 취약성 및 위협 정보와 함께 사용되어야 한다.

이 오버레이(Overlay)는 정보의 비밀성, 무결성 및 가용성을 보호하고 일련의 정의된 보안 요구사항에 부합하기 위해 설계된 정보시스템 또는 조직을 위해 규정된 산업제어시스템(ICS) 보안 통제 수단 및 향상된 통제 수단을 제공한다. 이 오버레이(Overlay)에는 보안 통제 기준선의 맞춤화가 포함되어 있다. 이 오버레이(Overlay)의 사양은 원래의 보안 통제 기준 사양 보다 더 엄격하거나 덜 엄격할 수 있으며, 여러 정보시스템에 적용될 수 있다. 이 오버레이(Overlay)는 모든 산업제어시스템(ICS)에 적용되는 높은 수준이며, 더 구체적인 오버레이(Overlay)에 대한 기초로서 사용될 수 있다. 특정 환경의 특정 시스템을 위한 사용사례가 별도로 발행될 수 있다(예: NIST 내부 보고서(NISTIR)).

그림 G-1에서는 상세한 오버레이(Overlay) 제어 사양의 형식 및 콘텐츠의 한 예로서 AU-4 통제 수단이 사용된다.

❶ 통제 수단 번호 및 제목.❷ 통제 수단 및 향상된 통제 수단 번호의 열.❸ 통제 수단 및 향상된 통제 수단 이름의 열.❹ 기준선의 열. 기준선이 보충되는 경우 "보충됨"이 나타난다.❺ 각 통제 수단 또는 향상된 통제 수단의 행.❻ 낮은, 보통 및 높은 기준선의 열.❼ "선택됨"은 통제 수단이 미국국립표준기술연구소(NIST) SP 800-53 4

차 개정판에서 선택됨을 나타낸다. "추가됨"은 통제 수단이 산업제어시스템(ICS) 오버레이(Overlay) 기준선에 추가됨을 나타낸다. 빈 칸은 보안 수단이 선택되지 않음을 나타낸다."제거됨"은 통제 수단이 기준선에서 제거됨을 나타낸다.

❽ 산업제어시스템(ICS) 추가적인 가이드가 하나도 없는 경우 언급된다.❾ 향상된 통제 수단 산업제어시스템(ICS) 추가적인 가이드가 하나도 없

는 경우 언급된다.


G-18

❿ 기준선에서 통제 수단 또는 향상된 통제 수단의 존재를 변경하기 위한 이론적 근거.

그림 G-1 오버레이(Overlay) 제어 상세 설명서 그림

미국국립표준기술연구소(NIST) SP 800-53 4차 개정판 부록 F에는 모든 통제 수단 및 향상된 통제 수단[22]가 포함되어 있다. 이 오버레이(Overlay)의 산업제어시스템(ICS) 추가적인 가이드는 미국국립표준기술연구소(NIST) SP 800-53 4차 개정판 부록 F의 보안 통제 수단 및 향상된 통제 수단을 이러한 전문화된 시스템이 운영되는 산업제어시스템(ICS) 및 환경에 적용하는 것에 관한 추가 정보를 조직에 제공한다. 또한 산업제어시스템(ICS) 추가적인 가이드

❶ ․AU-4 저장 용량 감사

❷ ❸ ❹통제번호

통제 수단 이름향상된 통제 수단 이름

보충 통제 기준선 ❻낮음 보통 높음

❺ AU-4 저장 용량 감사 선택됨 선택됨 선택됨 ❼AU-4(1)

저장 용량 감사 | 대체 저장소로 전송

추가됨 추가됨 추가됨

❽ 산업제어시스템(ICS) 추가적인 가이드 없음.

❾ 향상된 통제 수단:(1) 산업제어시스템(ICS) 추가적인 가이드: 구형 산

업제어시스템(ICS)은 전형적으로 별도의 정보시스템(예: 산업제어시스

템(ICS) 운영 데이터 기록은 경계네트워크구간(DMZ)의 이력 관리 장

치(Historians)에 축적되고 다른 저장 사이트에 백업된다)에 원격 저

장소로 구성되어 있다. 산업제어시스템(ICS)에서는 현재 온라인 백업

서비스가 이용되고 있으며, 클라우드 기반 및 가상화 서비스로 점점

이동하고 있다. 규제 기관에서 일부 데이터(예: 감시 제어 및 데이터

수집(SCADA) 원격 측정)의 보관을 요구할 수 있다.

❿ 기준선에 통제 수단을 추가하는 이유: 구형 산업제어시스템(ICS) 구성

요소에는 일반적으로 감사 데이터를 저장하거나 분석할 수 있는 기능

이 없다. 일부 데이터 특히, 규정 준수 데이터의 보관 기간 동안 대용

량을 저장해야 할 수 있다.


G-19

는 특정 보안 통제 수단 또는 향상된 통제 수단이 일부 산업제어시스템(ICS) 환경에 적용되지 않을 수도 있고 맞춤화(즉, 범위 지정 가이드 및/또는 보완 통제 수단의 적용)를 위한 후보일 수 있는 이유에 관한 정보를 제공한다.

접근통제 – AC

접근통제 단위를 위한 맞춤화 고려 사항

통제 수단을 AC 단위에 구현하기 전에, 보안, 프라이버시, 지연, 성능, 처리율 및 신뢰성 간의 장단점을 고려한다. 예를 들어, 조직은 암호화 메커니즘이 이용되는 비밀성 및 무결성 메커니즘의 사용으로 유발된 지연이 산업제어시스템(ICS)의 운영 성능에 악영향을 미칠 것인지 여부를 고려한다.

산업제어시스템(ICS)이 통제 수단의 특정 접근통제 요구사항을 지원할 수 없는 상황에서, 조직은 일반 맞춤화 가이드에 따라 보완 통제 수단을 이용한다. 보완 통제 수단의 사례는 적절하게 각 통제 수단으로 제공된다.

추가적인 가이드

미국국립표준기술연구소(NIST) SP 800-53 4차 개정판 부록 F의 모든 통제 수단 및 향상된 통제 수단은 필요한 경우 이 오버레이(Overlay)의 산업제어시스템(ICS) 추가적인 가이드와 함께 사용해야 한다.

AC-1 접근통제 정책 및 절차

통제번호

통제 이름향상된 통제 수단 이름

통제 기준선낮음 보통 높음

AC-1 접근통제 정책 및 절차 선택됨 선택됨 선택됨

산업제어시스템(ICS) 추가적인 가이드: 정책에서는 특히 산업제어시스템(ICS) 고유의 속성 및 요구사항과 비 산업제어시스템(ICS)과의 관계를 다룬다. 공급자 및 유지보수 직원에 의한 산업제어시스템(ICS)에 대한 접근은 매우 큰 시설 공간이나 지리적 영역, 그리고 눈에 띄지 않는 공간(예: 기계/전기 사무실, 천장, 바닥, 현장 변전소, 스위치 및 밸브 볼트 및 펌프장)에서 발생할 수 있다.

AC-2 계정 관리


G-20

통제번호



AC-2 계정 관리 선택됨 선택됨 선택됨

AC-2(1) 계정 관리 | 자동화 시스템 계정 관리 선택됨 선택됨

AC-2(2) 계정 관리 | 임시 /비상 계정의 제거 선택됨 선택됨

AC-2(3) 계정 관리 | 비활동 계정 비활성화 선택됨 선택됨

AC-2(4) 계정 관리 | 자동화된 감사 조치 선택됨 선택됨

AC-2(5) 계정 관리 | 비활동 로그아웃 / 전형적인 사용 모니터링

선택됨

AC-2(11) 계정 관리 | 사용 조건 선택됨

AC-2(12) 계정 관리 | 계정 모니터링 / 전형적인 사용

선택됨

AC-2(13) 계정 관리 | 계정 검토 선택됨

산업제어시스템(ICS) 추가적인 가이드: 보완 통제 수단의 예에는 개선된 물리적 보안, 인적 보안, 침입 탐지, 감사 조치를 제공하는 것이 포함된다.

향상된 통제 수단:(1, 3, 4) 산업제어시스템(ICS) 추가적인 가이드: 보완 통제 수단의 예에는 비 자동화 메커니즘 또는 절차를 이용하는 것이 포함된다.

향상된 통제 수단:(2) 산업제어시스템(ICS) 추가적인 가이드: 산업제어시스템(ICS)(예: 현장 장치)이 임시 또는 비상 계정을 지원할 수 없는 상황에서는 이러한 개선은 적용되지 않는다. 보완 통제 수단에는 비 자동화 메커니즘 또는 절차를 이용하는 것이 포함된다.

향상된 통제 수단:(5) 산업제어시스템(ICS) 추가적인 가이드: 보완 통제 수단의 예에는 비 자동화 메커니즘 또는 절차를 이용하는 것이 포함된다.

향상된 통제 수단:(11, 12, 13) 산업제어시스템(ICS) 추가적인 가이드 없음.

AC-3 접근 시행

통제번호



AC-3 접근 시행 선택됨 선택됨 선택됨


G-21

산업제어시스템(ICS) 추가적인 가이드: 조직은 접근 시행 메커니즘이 산업제어시스템(ICS)의 운영 성능에 악영향을 주지 않는지 확인한다. 보완 통제 수단의 예에는 캡슐화가 포함된다. 비 주소 지정 및 비 경로 지정 시스템 자원 및 관련된 정보에 대한 논리적 접근통제 정책은 명시적으로 이루어진다. 접근통제 메커니즘에는 장치 드라이버 및 통신 컨트롤러와 같은 장치가 있거나 이에 대한 접근을 통제하는 하드웨어, 펌웨어 및 소프트웨어가 포함되어 있다. 물리적 접근통제는 논리적 접근통제에 대한 보완 통제 수단의 역할을 할 수 있지만, 사용자가 서로 다른 기능에 접근이 필요한 상황에서 충분한 세분화를 제공하지 못할 수 있다. 논리적 접근 시행은 하드웨어 및 소프트웨어의 캡슐화에서 구현될 수 있다.

AC-4 정보 흐름 시행

통제번호



AC-4 정보 흐름 시행 선택됨 선택됨

산업제어시스템(ICS) 추가적인 가이드: 물리적 주소(예: 직렬 포트)는 레이블 또는 속성(예: 하드웨어 I/O 주소)과 음으로 양으로 관련되어 있다. 수동 방법은 전형적으로 정적(static)이다. 레이블 또는 속성 정책 메커니즘은 장치 드라이버 및 통신 컨트롤러와 같은 장치가 있거나 이에 대한 접근을 통제하는 하드웨어, 펌웨어 및 소프트웨어에 구현될 수 있다. 수동 연결에 대한 보조로서 물리적 커넥터를 표시하거나 착색을 함으로써 정보 흐름 정책을 지원할 수 있다. 메시지 콘텐츠의 검사는 정보 흐름 정책을 시행하는 데 이용할 수 있다. 예를 들어, 액추에이터에 대한 명령이 포함되어 있는 메시지의 경우 제어 네트워크와 다른 네트워크 사이를 통과하지 못하게 할 수 있다.

AC-5 직무 분리

통제번호



AC-5 직무 분리 선택됨 선택됨

산업제어시스템(ICS) 추가적인 가이드: 보완 통제 수단의 예에는 향상된 인적


G-22

보안 및 감사를 제공하는 것이 포함된다. 조직은 여러 중요한 역할을 수행하는 개인의 적합성을 신중하게 고려한다.

AC-6 최소 권한

통제번호



AC-6 최소 권한 선택됨 선택됨

AC-6(1) 최소 권한 | 보안 기능에 대한 접근 인가 선택됨 선택됨

AC-6(2) 최소 권한 | 비 보안 기능에 대한 비 권한 접근

선택됨 선택됨

AC-6(3) 최소 권한 | 권한 명령에 대한 네트워크 접근

선택됨

AC-6(5) 최소 권한 | 권한 계정 선택됨 선택됨

AC-6(9) 최소 권한 | 권한 기능의 사용 감사 선택됨 선택됨

AC-6(10) 최소 권한 | 비 권한 사용자의 권한 기능 실행 금지

선택됨 선택됨

산업제어시스템(ICS) 추가적인 가이드: 보완 통제 수단의 예에는 향상된 인적 보안 및 감사를 제공하는 것이 포함된다. 조직은 여러 중요한 권한이 있는 개인의 적합성을 신중하게 고려한다.

무결성 및 가용성(예: 낮은 권한에는 읽기 접근이 포함되고, 높은 권한에는 쓰기 접근이 포함됨)을 시행하기 위해 시스템 권한 모델을 맞춤화할 수 있다.

향상된 통제 수단:(1) 산업제어시스템(ICS) 추가적인 가이드: 산업제어시스템(ICS)이 보안 기능에 대한 접근통제를 지원할 수 없는 상황에서, 조직은 일반 맞춤화 가이드에 따라 비 자동화 메커니즘 또는 절차를 보완 통제 수단으로서 이용한다.

향상된 통제 수단:(2) 산업제어시스템(ICS) 추가적인 가이드: 산업제어시스템(ICS)이 비 보안 기능에 대한 접근통제를 지원할 수 없는 상황에서, 조직은 일반 맞춤화 가이드에 따라 비 자동화 메커니즘 또는 절차를 보완 통제 수단으로서 이용한다.


G-23

향상된 통제 수단:(3) 산업제어시스템(ICS) 추가적인 가이드: 산업제어시스템(ICS)이 권한 명령에 대한 네트워크 접근통제를 지원할 수 없는 상황에서, 조직은 일반 맞춤화 가이드에 따라 비 자동화 메커니즘 또는 절차를 보완 통제 수단으로서 이용한다.

향상된 통제 수단:(5) 산업제어시스템(ICS) 추가적인 가이드: 산업제어시스템(ICS)이 권한 계정에 대한 접근통제를 지원할 수 없는 상황에서, 조직은 일반 맞춤화 가이드에 따라 비 자동화 메커니즘 또는 절차를 보완 통제 수단으로서 이용한다.

향상된 통제 수단:(9) 산업제어시스템(ICS) 추가적인 가이드: 일반적으로, 감사 기록 처리는 산업제어시스템(ICS)에서 수행되지 않지만, 별도의 정보시스템에서 수행된다. 보완 통제 수단의 예에는 별도의 정보시스템에 감사 기능을 제공하는 것이 포함된다.

향상된 통제 수단:(10) 산업제어시스템(ICS) 추가적인 가이드: 보완 통제 수단의 예에는 강화된 감사가 포함된다.

AC-7 실패한 로그인 시도

통제번호



AC-7 실패한 로그인 시도 선택됨 선택됨 선택됨

산업제어시스템(ICS) 추가적인 가이드: 대부분의 산업제어시스템(ICS)은 계속해서 켜져 있어야 하고, 운영자는 항상 시스템에 로그인 상태를 유지해야 한다. “로그오버” 기능을 사용할 수 있다. 보완 통제 수단의 예에는 실패한 모든 로그인 시도를 기록하고 산업제어시스템(ICS) 보안 인원을 주의시키며, 조직에서 정의한 연속적인 잘못된 접근 시도의 횟수가 초과한 경우 경보 또는 기타 수단을 사용하는 것이 포함된다.

AC-8 시스템 사용 알림


G-24

통제번호



AC-8 시스템 사용 알림 선택됨 선택됨 선택됨

산업제어시스템(ICS) 추가적인 가이드: 대부분의 산업제어시스템(ICS)은 계속해서 켜져 있어야 하고, 시스템 사용 알림은 지원되지 않거나 유효하지 않을 수 있다. 보완 통제 수단의 예에는 산업제어시스템(ICS) 시설에 물리적인 주의 사항을 게시하는 것이 포함된다.

AC-10 동시 세션 CONTROL

통제번호



AC-10 동시 세션 제어 선택됨

산업제어시스템(ICS) 추가적인 가이드: 동시 세션의 수, 계정 유형 및 권한은 영향을 받는 개인의 역할 및 책임을 감안한 것이다. 보완 통제 수단의 예에는 증가된 감사 조치를 제공하는 것이 포함된다.

AC-11 세션 잠금

통제번호



AC-11 세션 잠금 선택됨 선택됨

AC-11(1) 세션 잠금 | 패턴 숨기기 표시 선택됨 선택됨

산업제어시스템(ICS) 추가적인 가이드: 이 통제 수단에서는 사용자가 정보시스템 디스플레이와 상호 작용하는 직원이 있는 환경을 가정한다. 이 가정이 적용되지 않는 경우 조직은 적절하게 해당 통제 수단을 맞춤화 한다(예: 산업제어시스템(ICS)을 담을 두른 잠긴 장소에 배치함으로써 물리적으로 보호함). 또한 디스플레이의 구성이 되지 않은 산업제어시스템(ICS)에 맞게 통제 수단을 조정할 수 있지만, 이것은 디스플레이를 지원(예: 유지보수 기술자가 디스플레이를 연결할 수 있는 산업제어시스템(ICS))하는 기능이 있는 경우에 가능하다. 경우에 따라서 산업제어시스템(ICS) 운영자 워크스테이션/노드에 대한 세션 잠금은


G-25

권장하지 않는다(예: 비상 상황에서 즉각적인 운영자 대응이 필요한 경우). 보완 통제 수단의 예에는 디스플레이의 정보에 대한 허가와 필지 사항으로 개인에 대한 접근을 제한하는 물리적 접근통제 수단이 있는 영역에서 디스플레이의 정확한 위치를 찾아내는 것이 포함된다.

향상된 통제 수단:(1) 산업제어시스템(ICS) 추가적인 가이드: 산업제어시스템(ICS)에서는 물리적 보호 수단을 이용하여 디스플레이에 대한 접근을 방지하거나, 디스플레이의 연결을 방지할 수 있다. 산업제어시스템(ICS)에서 디스플레이의 정보를 숨길 수 없는 상황에서 조직은 일반 맞춤화 가이드에 따라 비 자동화 메커니즘 또는 절차를 보완 통제 수단으로 이용한다.

AC-12 세션 종료

통제번호



AC-12 세션 종료 선택됨 선택됨

산업제어시스템(ICS) 추가적인 가이드: 보완 통제 수단의 예에는 증가된 감사 조치를 제공하거나 핵심 인원의 원격 접근 권한을 제한하는 것이 포함된다.

AC-14 식별 또는 인증 없는 허용 조치

통제번호



AC-14 식별 또는 인증 없는 허용 조치 선택됨 선택됨 선택됨

산업제어시스템(ICS) 추가적인 가이드 없음.

AC-17 원격 접근


G-26

통제번호



AC-17 원격 접근 선택됨 선택됨 선택됨

AC-17(1) 원격 접근 | 자동화 모니터링 / 제어 선택됨 선택됨

AC-17(2) 원격 접근 | 암호화를 사용한 비밀성 /무결성의 보호 선택됨 선택됨

AC-17(3) 원격 접근 | 관리 접근통제점 선택됨 선택됨

AC-17(4) 원격 접근 | 권한 명령 / 접근 선택됨 선택됨

산업제어시스템(ICS) 추가적인 가이드: 산업제어시스템(ICS)에서 이 통제 수단의 일부 또는 모든 구성요소를 구현할 수 없는 상황에서, 조직은 일반 맞춤화 가이드에 따라 기타 메커니즘 또는 절차를 보완 통제 수단으로 사용한다.

향상된 통제 수단:(1) 산업제어시스템(ICS) 추가적인 가이드: 보완 통제 수단의 예에는 비 자동화 메커니즘 또는 절차를 보완 통제 수단으로서 이용하는 것이 포함된다(예: 지정된 기간 동안 수동 인증 [IA-2 참조]에 따른 다이얼인 원격 접속을 활성화하거나, 산업제어시스템(ICS) 현장에서 인증된 원격 실체에 전화를 걸 수 있다).

향상된 통제 수단:(2) 산업제어시스템(ICS) 추가적인 가이드: 산업제어시스템(ICS) 보안 목표에서는 보통 가용성 및 무결성 아래에 비밀성의 순위를 놓는다. 조직은 가능한 모든 암호화 메커니즘(예: 암호화, 디지털 서명, 해시 기능)을 연구한다. 각 메커니즘에는 서로 다른 지연 영향이 있다. 보완 통제 수단의 예에는 원격 세션에 대해 감사를 증가시키거나, 핵심 인원의 원격 접속 권한을 제한하는 것이 포함된다).

향상된 통제 수단:(3) 산업제어시스템(ICS) 추가적인 가이드: 보완 통제 수단의 예에는 연결별 원격 실체의 수동 인증이 포함된다.

향상된 통제 수단:(4) 산업제어시스템(ICS) 추가적인 가이드 없음.

산업제어시스템(ICS) 추가적인 가이드: 보완 통제 수단의 예에는 일반 맞춤화 가이드에 따라 비 자동화 메커니즘 또는 절차를 보완 통제 수단으로 이용하는 것이 포함된다.


G-27

AC-18 무선 접근

통제번호



AC-18 무선 접근 선택됨 선택됨 선택됨

AC-18(1) 무선 접근 | 인증 및 암호화 선택됨 선택됨

AC-18(4) 무선 접근 | 사용자별 구성 제한 선택됨

AC-18(5) 무선 접근 | 무선 통신 한정 선택됨

산업제어시스템(ICS) 추가적인 가이드: 산업제어시스템(ICS)에서 이 통제 수단의 일부 또는 모든 구성요소를 구현할 수 없는 상황에서, 조직은 일반 맞춤화 가이드에 따라 기타 메커니즘 또는 절차를 보완 통제 수단으로 이용한다.

향상된 통제 수단:(1) 산업제어시스템(ICS) 추가적인 가이드: AC-17 향상된 통제 수단:(1) 산업제어시스템(ICS) 추가적인 가이드 참조. 보완 통제 수단의 예에는 무선 접근에 감사를 증가하거나, 핵심 인원의 무선 접근 권한을 제한하는 것이 포함된다.

향상된 통제 수단:(4)(5) 산업제어시스템(ICS) 추가적인 가이드 없음.

AC-19 모바일 기기 접근통제

통제번호



AC-19 모바일 기기 접근통제 선택됨 선택됨 선택됨

AC-19(5) 모바일 기기 접근통제 | 전체 장치 / 컨테이너-기반 암호화

선택됨 선택됨


AC-20 USE OF EXTERNAL 정보시스템


G-28

통제번호



AC-20 외부 정보시스템 사용 선택됨 선택됨 선택됨

AC-20(1) 외부 정보시스템 사용 | 인가된 사용 제한 선택됨 선택됨

AC-20(2)외부 정보시스템 사용 | 휴대용 저장

매체선택됨 선택됨

산업제어시스템(ICS) 추가적인 가이드: 조직은 권한과 책임, 조직 실체의 세분화 및 그 관계를 반영하기 위해 “외부”의 정의를 조정한다. 조직은 시스템이 서로 다른 기능을 수행하거나, 서로 다른 정책을 구현하거나, 서로 다른 관리자의 관할 하에 있거나, 만족스러운 신뢰 관계를 확립하기 위한 보안 통제 수단의 구현에 대해 충분한 가시성을 제공하지 않는 경우 해당 시스템을 “외부”로 간주할 수 있다. 예를 들어, 공정제어시스템 및 비즈니스 데이터 처리 시스템은 일반적으로 서로에 대해 “외부”로 간주될 것이다. 공급자 또는 지원 업체 등의 사업 협력자가 지원을 위해 산업제어시스템(ICS)에 접근하는 것은 또 다른 일반적인 예이다. 명확하게 문서로 기록된 기술적 또는 업무 적용 사례를 수립하고 외부 정보시스템의 사용에 내재된 위험을 수용하기 위해 산업제어시스템(ICS)의 기능, 목적, 기술 및 제한 사항에 관한 외부 정보시스템의 정의 및 신뢰성은 재평가된다.

향상된 통제 수단:(1, 2) 산업제어시스템(ICS) 추가적인 가이드 없음.

AC-21 정보 공유

통제번호



AC-21 협동 및 정보 공유 추가됨 선택됨 선택됨

산업제어시스템(ICS) 추가적인 가이드: 조직은 잠재적인 사고에 관한 정보를 적시에 협력하고 공유한다. 국토안보부(DHS) 국가 사이버보안 및 통신 통합 센 터 ( N C C I C , http://www.dhs.gov/about-national-cybersecurity-communications- integration-center)는 사이버보안과 통신 의존에 관련된 운영 요소가 조정되고 통합되는 중앙 집중식 위치의 역할을 한다. 산업제어시스템 사이버비상대응팀(ICS-CERT, http://ics-cert.us-cert.gov/ics-cert/)은 국제 및 민간 부



G-29

문 컴퓨터 비상 대응 팀(CERT)과 제어시스템 관련 보안 사고 대처에 협력하고 완화 조치를 공유한다. 조직은 비밀로 분류되거나 분류되지 않은 모든 정보의 공유 기능을 겸비하는 것이 좋다.

낮은 기준선에 AC-21을 추가하는 이론적 근거: 산업제어시스템(ICS)은 필수 서비스 및 제어 기능을 제공하고, 공격의 매개체일 수 있는 기타 산업제어시스템(ICS) 또는 비즈니스 시스템에 종종 연결된다. 따라서 모든 기준선을 포괄하는 균등한 방어를 제공하는 것이 필요하다.

AC-22 공개적으로 접근할 수 있는 콘텐츠

통제번호



AC-22 공개적으로 접근할 수 있는 콘텐츠 선택됨 선택됨 선택됨

산업제어시스템(ICS) 추가적인 가이드: 일반적으로, 산업제어시스템(ICS)에 대한 공개적인 접근은 허용되지 않는다. 선택된 정보는 경우에 따라서는 추가된 통제 수단(예: 퍼지니스 또는 지연의 도입)과 함께 공개적으로 접근할 수 있는 정보시스템에 전송될 수 있다.

인식 및 훈련 – AT


미국국립표준기술연구소(NIST) SP 800-53 4차 개정판 부록 F의 모든 통제 수단 및 향상된 통제 수단은 필요에 따라 이 오버레이(Overlay)의 산업제어시스템(ICS) 추가적인 가이드와 함께 사용해야 한다.

AT-1 보안 인식 및 훈련의 정책 및 절차

통제번호



AT-1 보안 인식 및 훈련의 정책 및 절차 선택됨 선택됨 선택됨

산업제어시스템(ICS) 추가적인 가이드: 이 정책에서는 특별히 산업제어시스템


G-30

(ICS) 고유의 속성과 요구사항 및 비 산업제어시스템(ICS)에 대한 관계를 다룬다.

AT-2 보안 인식 훈련

통제번호



AT-2 보안 인식 선택됨 선택됨 선택됨

AT-2(2) 보안 인식 | 내부자 위협 선택됨 선택됨

산업제어시스템(ICS) 추가적인 가이드: 보안 인식 훈련에는 산업제어시스템(ICS)별 정책, 표준 운영 절차, 보안 동향 및 취약점에 대한 초기 및 주기적인 검토가 포함된다. 산업제어시스템(ICS) 보안 인식 프로그램은 조직에서 수립한 보안 인식 및 훈련 정책의 요구사항과 일관된다.


AT-3 역할 기반 보안 훈련

통제번호



AT-3 역할 기반 보안 훈련 선택됨 선택됨 선택됨

산업제어시스템(ICS) 추가적인 가이드: 보안 훈련에는 산업제어시스템(ICS)별 정책, 표준 운영 절차, 보안 동향 및 취약점에 대한 초기 및 주기적인 검토가 포함된다. 산업제어시스템(ICS) 보안 훈련 프로그램은 조직에서 수립한 보안 인식 및 훈련 정책의 요구사항과 일관된다.

AT-4 보안 훈련 기록

통제번호



AT-4 보안 훈련 기록 선택됨 선택됨 선택됨



G-31

감사 및 책임 추적성 – AU

감사 단위의 맞춤화 고려 사항

일반적으로, 감사 정보 및 감사 도구는 구형 산업제어시스템(ICS)이 아니라, 별도의 정보시스템(예: 이력 관리 장치(Historians))에 있다. 산업제어시스템(ICS)이 통제 수단의 감사 및 책임 추적성에 관한 특정 요구사항을 지원할 수 없는 상황에서 조직은 일반 맞춤화 가이드에 따라 보완 통제 수단을 이용한다. 보완 통제 수단의 예는 각 통제 수단으로 적절하게 제공된다.



AU-1 감사 및 책임 추적성의 정책 및 절차

통제번호



AU-1 감사 및 책임 추적성의 정책 및 절차 선택됨 선택됨 선택됨

산업제어시스템(ICS) 추가적인 가이드: 이 정책은 특별히 산업제어시스템(ICS)의 고유 속성과 요구사항 및 비 산업제어시스템(ICS)과의 관계를 다룬다.

AU-2 감사 사건

통제번호



AU-2 감사 대상 사건 선택됨 선택됨 선택됨AU-2(3) 감사 대상 사건 | 검토 및 업데이트 선택됨 선택됨

산업제어시스템(ICS) 추가적인 가이드: 조직은 산업제어시스템(ICS) 사건을 감사 사건으로 지정함으로써 산업제어시스템(ICS) 데이터 및/또는 원격 측정을 감사 데이터로 기록하도록 요구할 수 있다.


G-32


AU-3 감사 기록 콘텐츠

통제번호



AU-3 감사 기록 콘텐츠 선택됨 선택됨 선택됨AU-3(1) 감사 기록 콘텐츠 | 추가 감사 정보 선택됨 선택됨

AU-3(2) 감사 기록 콘텐츠 | 계획 감사 기록 콘텐츠의 중앙 관리 선택됨

산업제어시스템(ICS) 추가적인 가이드: 보완 통제 수단의 예에는 별도의 정보시스템에 감사 기능을 제공하는 것이 포함된다.


AU-4 감사 저장 용량

통제번호



AU-4 감사 저장 용량 선택됨 선택됨 선택됨AU-4(1) 감사 저장 용량 | 대체 저장소에 전송 추가됨 추가됨 추가됨


향상된 통제 수단:(1) 산업제어시스템(ICS) 추가적인 가이드: 구형 산업제어시스템(ICS)은 일반적으로 별도의 정보시스템에 원격 저장으로 구성된다(예: 이력 관리 장치(Historians)에서 축적된 산업제어시스템(ICS) 운영 기록은 다른 현장에 백업 저장된다).

산업제어시스템(ICS)에서는 현재 온라인 백업 서비스가 사용되고 있으며 클라우드 기반 및 가상화 서비스로 이동하고 있다. 규제 기관에서 일부 데이터(예: 감시 제어 및 데이터 수집(SCADA) 원격 측정)의 보관을 요구할 수 있다.

모든 기준선에 AU-4(1)를 추가하는 이유: 구형 산업제어시스템(ICS) 구성요소에는 일반적으로 감사 데이터를 저장하거나 분석하는 기능이 없다. 일부 데이


G-33

터 특히, 규정 준수 데이터의 보관 기간 동안 대용량을 저장해야 할 수 있다.

AU-5 감사 처리 결함 대응

통제번호



AU-5 감사 처리 결함 대응 선택됨 선택됨 선택됨AU-5(1) 감사 처리 결함 대응 | 감사 저장 기능 선택됨AU-5(2) 감사 처리 결함 대응 | 실시간 경고 선택됨


AU-6 감사 검토, 분석 및 보고

통제번호



AU-6 감사 검토, 분석 및 보고 선택됨 선택됨 선택됨AU-6(1) 감사 검토, 분석 및 보고 | 절차 통합 선택됨 선택됨

AU-6(3) 감사 검토, 분석 및 보고 | 감사 보관소들 간의 상관관계 선택됨 선택됨

AU-6(5) 감사 검토, 분석 및 보고 | 기능 통합 /스캐닝 및 모니터링 선택됨

AU-6(6) 감사 검토, 분석 및 보고 | 물리적 모니터링과의 상관관계 선택됨


향상된 통제 수단:(1) 산업제어시스템(ICS) 추가적인 가이드: 보완 통제 수단의 예에는 수동 메커니즘 또는 절차가 포함된다.


AU-7 감사 감소 AND REPORT GENERATION


G-34

통제번호



AU-7 감사 감소 및 보고서 생성 선택됨 선택됨AU-7(1) 감사 감소 및 보고서 생성 | 자동 처리 선택됨 선택됨



AU-8 타임스탬프

통제번호



AU-8 타임스탬프 선택됨 선택됨 선택됨

AU-8(1) 타임스탬프 | 신뢰할 수 있는 시간 공급원과의 동기화 선택됨 선택됨

산업제어시스템(ICS) 추가적인 가이드: 보완 통제 수단의 예에는 신뢰할 수 있는 시간 공급원으로 지정된 별도의 정보시스템을 사용하는 것이 포함된다.

향상된 통제 수단:(1) 산업제어시스템(ICS) 추가적인 가이드: 산업제어시스템(ICS)에서 타임스탬프에 적합한 메커니즘(예: GPS, IEEE 1588)을 이용한다.

AU-9 감사 정보 보호

통제번호



AU-9 감사 정보 보호 선택됨 선택됨 선택됨

AU-9(2) 감사 정보 보호 | 별도의물리적 시스템 / 구성요소의 백업 감사 선택됨

AU-9(3) 감사 정보 보호 | 암호화 보호 선택됨

AU-9(4) 감사 정보 보호 | 권한 사용자의 하위 집합에 의한 접근 선택됨 선택됨



G-35

AU-10 부인방지

통제번호



AU-10 부인방지 선택됨

산업제어시스템(ICS) 추가적인 가이드: 보완 통제 수단의 예에는 별도의 정보시스템에 부인방지를 제공하는 것이 포함된다.

AU-11 감사 기록 보관

통제번호



AU-11 감사 기록 보관 선택됨 선택됨 선택됨


AU-12 감사 생성

통제번호



AU-12 감사 생성 선택됨 선택됨 선택됨

AU-12(1) 감사 생성 | 시스템 차원의 / 시간 상관 감사 기록 선택됨

AU-12(3) 감사 생성 | 인가된 개인에 의한 변경 선택됨


향상된 통제 수단:(1) 산업제어시스템(ICS) 추가적인 가이드: 보완 통제 수단의 예에는 별도의 정보시스템에 시간 상관 감사 기록를 제공하는 것이 포함된다.

향상된 통제 수단:(3) 산업제어시스템(ICS) 추가적인 가이드: 보완 통제 수단의 예에는 비 자동화 메커니즘 또는 절차를 이용하는 것이 포함된다.

보안 평가 및 인가 – CA


G-36

보안 평가 및 인가 단위의 맞춤화 고려 사항

산업제어시스템(ICS)이 통제 수단의 특정 보안 평가 및 인가 요구사항을 지원할 수 없는 상황에서 조직은 일반 맞춤화 가이드에 따라 보완 통제 수단을 사용한다. 보완 통제 수단의 사례는 적절하게 각 통제 수단으로 제공된다.



CA-1 보안 평가 및 인가의 정책 및 절차

산업제어시스템(ICS) 추가적인 가이드: 이 정책은 특별히 산업제어시스템(ICS) 고유의 속성과 요구사항 및 산업제어시스템(ICS)과의 관계를 다룬다.

CA-2 보안 평가

통제번호



CA-2 보안 평가 선택됨 선택됨 선택됨CA-2(1) 보안 평가 | 독립적인 평가자 선택됨 선택됨CA-2(2) 보안 평가 | 유형의 평가 선택됨

산업제어시스템(ICS) 추가적인 가이드: 조직에서 인가한 자격을 갖춘(즉, 산업제어시스템(ICS) 평가의 경험이 있는) 평가자가 평가를 수행하고 문서로 기록한다. 조직은 평가가 산업제어시스템(ICS) 기능을 방해하지 않도록 한다. 평가를 수행하는 개인/그룹은 조직의 정보 보안 정책과 절차, 산업제어시스템(ICS)의 보안 정책과 절차 및 특정 시설 및/또는 공정과 관련된 특정 건강, 안전, 환경적 위험을 완전히 이해한다. 조직은 평가가 시스템 운영에 영향을 주지 않

통제번호



CA-1 보안 평가 및 인가의 정책 및 절차 선택됨 선택됨 선택됨


G-37

으며 의도하지 않은 시스템 변경을 초래하지 않도록 한다. 평가 활동을 생산 산업제어시스템(ICS)에서 수행해야 하는 경우 오프라인으로 설정한 후 평가를 수행해야 할지도 모른다. 평가를 수행하기 위해 산업제어시스템(ICS)을 오프라인으로 설정해야 하는 경우, 평가는 가능하면 계획된 산업제어시스템(ICS) 가동중단 기간 동안 수행하도록 일정을 잡는다.


향상된 통제 수단:(2) 산업제어시스템(ICS) 추가적인 가이드: 조직은 평가 대상(예: 라이브 시스템, 오프라인 복제, 모의실험)을 선택하는 것을 지원하기 위해 위험 분석을 수행한다.

CA-3 시스템 상호 접속

통제번호



CA-3 정보시스템 연결 선택됨 선택됨 선택됨

CA-3(5) 시스템 상호 접속 | 외부 시스템 연결에 대한 제한 선택됨 선택됨

산업제어시스템(ICS) 추가적인 가이드: 조직은 산업제어시스템(ICS)을 기타 정보시스템에 연결해야 하는지 여부를 결정하는 것을 지원하기 위해 위험 편익 분석을 수행한다. 인가하는 임원은 조직의 정보 보안 정책과 절차, 산업제어시스템(ICS)의 보안 정책과 절차, 그리고 조직 운영, 자산, 개인, 기타 조직과 기타 정보시스템의 연결에 관련된 미국의 위험, 특정 상호 접속과 관련된 특정 건강, 안전 및 환경적 위험을 완전히 이해해야 한다. AO는 산업제어시스템(ICS) 보안 계획에서 위험 수용을 문서로 기록한다.


CA-5 계획 OF ACTION 및 MILESTONES

통제번호



CA-5 조치일정 선택됨 선택됨 선택됨


G-38


CA-6 보안 인가

통제번호



CA-6 보안 인가 선택됨 선택됨 선택됨


CA-7 연속 모니터링

통제번호



CA-7 연속 모니터링 선택됨 선택됨 선택됨CA-7(1) 연속 모니터링 | 독립된 평가 선택됨 선택됨

산업제어시스템(ICS) 추가적인 가이드: 조직에서 선택한 자격을 갖춘(즉, 산업제어시스템(ICS)의 경험이 있는) 인원은 산업제어시스템(ICS)에 대한 연속 모니터링 프로그램을 설계하고 문서로 기록하며 구현한다. 조직은 연속 모니터링이 산업제어시스템(ICS) 기능을 방해하지 않도록 한다. 연속 모니터링을 설계하고 수행하는 개인/그룹은 조직의 정보 보안 정책과 절차, 산업제어시스템(ICS)의 보안 정책과 절차, 그리고 특정 시설 및/또는 공정과 관련된 특정 건강, 안전 및 환경적 위험을 완전히 이해한다. 조직은 연속 모니터링이 시스템 운영에 영향을 주지 않고 의도적이거나 의도적이지 않은 시스템 변경을 초래하지 않도록 한다. 보완 통제 수단의 예에는 외부 모니터링이 포함된다.


CA-8 침투 시험

통제번호



CA-8 침투 시험 선택됨


G-39

산업제어시스템(ICS) 추가적인 가이드: 검증 공정이 산업제어시스템(ICS) 기능에 악영향을 주지 않는 것을 확인하기 위해 산업제어시스템(ICS) 네트워크에 침투 시험을 조심스럽게 수행한다. 일반적으로, 산업제어시스템(ICS)은 시간조절 제약에 매우 민감하며, 자원이 제한되어 있다. 보완 통제 수단의 예에는 침투 시험을 수행하기 위해 복제, 가상화 또는 모의 시스템을 이용하는 것이 포함된다. 생산 산업제어시스템(ICS)은 오프라인으로 설정한 후 검증을 수행해야 할지도 모른다. 검증을 위해 산업제어시스템(ICS)을 오프라인으로 설정해야 하는 경우 검증은 가능하면 계획된 산업제어시스템(ICS) 가동중단 기간 동안 수행하도록 일정을 잡는다. 검증이 산업제어시스템(ICS) 네트워크로 전파되지 않도록 각별히 주의하여 비 산업제어시스템(ICS) 네트워크에서 침투 시험을 수행한다.

CA-9 내부 시스템 연결

통제번호



CA-9 내부 시스템 연결 선택됨 선택됨 선택됨

산업제어시스템(ICS) 추가적인 가이드: 조직은 산업제어시스템(ICS)을 기타 내부 정보시스템 및 (별도의) 시스템 구성요소에 연결해야 하는지 여부를 결정하는 것을 지원하기 위해 위험 편익 분석을 수행한다. 인가하는 임원은 조직의 정보 보안 정책과 절차, 산업제어시스템(ICS) 보안 정책과 절차, 조직 운영, 자산, 개인, 그리고 각 개별 내부 연결을 인가하거나 공통적인 특성 및/또는 구성을 갖춘 일련의 구성요소를 위한 내부 연결을 인가함으로써 기타 조직과 기타 정보시스템 및 (별도의) 시스템 구성요소와 연결된 미국에 관련된 위험, 그리고 특정 상호 접속과 관련된 특정 건강, 안전 및 환경적 위험을 완전히 이해한다. AO는 산업제어시스템(ICS) 보안 계획에서 위험 수용을 문서로 기록한다.

형상 관리 – CM

형상 관리 단위의 맞춤화 고려 사항

산업제어시스템(ICS)을 필요하지 않은 기능의 사용을 제한하도록 구성할 수 없거나, 형상 관리 기능을 구현하기 위한 자동화 메커니즘의 사용을 지원할 수


G-40

없는 상황에서 조직은 일반 맞춤화 가이드에 따라 비 자동화 메커니즘 또는 절차를 보완 통제 수단으로 이용한다. 보완 통제 수단의 사례는 적절하게 각 통제 수단으로 제공된다.



CM-1 형상 관리 정책 및 절차

통제번호



CM-1 형상 관리 정책 및 절차 선택됨 선택됨 선택됨


CM-2 기준선 구성

통제번호



CM-2 기준선 구성 선택됨 선택됨 선택됨CM-2(1) 기준선 구성 | 검토 및 업데이트 선택됨 선택됨

CM-2(2) 기준선 구성 | 정확성/ 대중성을 위한 자동화 지원 선택됨

CM-2(3) 기준선 구성 | 이전 형상의 보관 선택됨 선택됨

CM-2(7) 기준선 구성 | 위험이 높은 영역을 위한 시스템, 구성요소 또는 장치 구성 선택됨 선택됨


CM-3 형상 변경 관리


G-41

통제번호



CM-3 형상 변경 관리 선택됨 선택됨

CM-3(1) 형상 변경 관리 | 자동화 문서 / 알림 / 변경 금지 선택됨

CM-3(2) 형상 변경 관리 | 시험 / 검증 / 문서 변경 선택됨 선택됨


CM-4 보안 영향 분석

통제번호



CM-4 보안 영향 분석 선택됨 선택됨 선택됨CM-4(1) 보안 영향 분석 | 별도의 시험 환경 선택됨

산업제어시스템(ICS) 추가적인 가이드: 조직에서는 산업제어시스템(ICS)의 안전 및 보안 상호의존성을 고려한다.


CM-5 변경을 위한 접근 제한

통제번호



CM-5 변경을 위한 접근 제한 선택됨 선택됨

CM-5(1) 변경을 위한 접근 제한 | 자동화 접근시행 / 감사 선택됨

CM-5(2) 변경을 위한 접근 제한 | 감사 시스템 변경 선택됨CM-5(3) 변경을 위한 접근 제한 | 서명된 구성요소 선택됨


CM-6 형상 설정


G-42

통제번호



CM-6 형상 설정 선택됨 선택됨 선택됨

CM-6(1) 형상 설정 | 자동화 중앙 관리 /응용 프로그램 / 확인 선택됨

CM-6(2) 형상 설정 | 무단 변경에 대한 대응 선택됨


CM-7 최소 기능

통제번호



CM-7 최소 기능 선택됨 선택됨 선택됨CM-7(1) 최소 기능 | 주기적인 검토 추가됨 선택됨 선택됨CM-7(2) 최소 기능 | 프로그램 실행 방지 선택됨 선택됨CM-7(4) 최소 기능 | 무단 소프트웨어 제거됨CM-7(5) 최소 기능 | 인가된 소프트웨어 추가됨 선택됨

산업제어시스템(ICS) 추가적인 가이드: 미국국립표준기술연구소(NIST) SP 800-53 4차 개정판에 사용된 포트는 네트워크 프로토콜에서 주소 공간의 일부이며, 보통 특정 프로토콜이나 기능과 관련되어 있다. 이와 같이, 포트는 비

경로 지정 프로토콜 및 장치와 관련이 없다. 비 경로 지정 및 비 주소 지정 프로토콜 및 장치를 다룰 때에는 사용 가능한 (하위) 시스템의 세분화를 위해 지정 기능, 프로토콜 및/또는 서비스의 사용을 금지하거나 제한해야 한다(예: 낮은 수준에서 일시 정지를 비활성화하고, 높은 수준에서 설정값은 권한 사용자의 경우를 제외하고 읽기 전용으로 할 수 있다). 보완 통제 수단의 예에는 비 자동화 메커니즘 또는 절차를 이용하는 것이 포함된다.


통제 기준선 보충 이유:(1) 낮은 영향의 대부분의 산업제어시스템(ICS) 구성요소는 연결된 시스템에 악영향을 끼칠 수 있기 때문에 불필요하거나 비 보안 기능, 포트, 프로토콜 및 서비스의 주기적인 검토 및 제거는 낮은 기준선에 추


G-43

가된다.

(4, 5) 화이트리스트(CE 5)가 블랙리스트 보다 더 효과적이다(CE 4). 산업제어시스템(ICS)에서 실행되는 일련의 응용 프로그램은 본질적으로 화이트리스트를 실용적으로 만드는 정적(static)이다. 산업제어시스템 사이버비상대응팀(ICS-CERT)은 산업제어시스템(ICS)에 응용 프로그램 화이트리스트를 배치하는 것을 권장한다. http://ics-cert.us-cert.gov/tips/ICS-TIP-12-146-01B를 참조한다.

CM-8 정보시스템 구성요소 목록

통제번호



CM-8 정보시스템 구성요소 목록 선택됨 선택됨 선택됨

CM-8(1) 정보시스템 구성요소 목록 | 설치 / 제거 중 업데이트 선택됨 선택됨

CM-8(2) 정보시스템 구성요소 목록 | 자동화 유지보수 선택됨

CM-8(3) 정보시스템 구성요소 목록 | 무단 구성요소 자동 감지 선택됨 선택됨

CM-8(4) 정보시스템 구성요소 목록 | 속성 책임 추적성 정보 선택됨

CM-8(5) 정보시스템 구성요소 목록 | 인가 경계 내의 모든 구성요소 선택됨 선택됨


CM-9 형상 관리 계획

통제번호



CM-9 형상 관리 계획 선택됨 선택됨


CM-10 소프트웨어 사용 제한

http://ics-cert.us-cert.gov/tips/ICS-TIP-12-146-01B


G-44

통제번호



CM-10 소프트웨어 사용 제한 선택됨 선택됨 선택됨

산업제어시스템(ICS) 추가 가이드 없음.

CM-11 사용자 설치 소프트웨어

통제번호



CM-11 사용자 설치 소프트웨어 선택됨 선택됨 선택됨

산업제어시스템(ICS) 추가 가이드 없음.

긴급 사태 대책 - CP

긴급 사태 대책 단위의 맞춤화 고려 사항

산업제어시스템(ICS)의 물리적 구성요소는 보통 고정된 위치에 있다. 이러한 구성요소는 논리적으로 이전되지 않을 수 있다. 일부 교체 구성요소는 쉽게 사용하지 못할 수 있다. 운영 연속성을 거의 손실 없이 필수적 임무 및 비즈니스 기능을 속행하는 것은 불가능할 수 있다. 긴급 사태 운영 중에 필요한 중요 서비스, 지원 또는 자동화 메커니즘을 제공할 수 없는 상황에서 조직은 일반 맞춤화 가이드에 따라 비 자동화 메커니즘 또는 예정된 절차를 보완 통제 수단으로 이용한다. 보완 통제 수단의 사례는 적절하게 각 통제 수단으로 제공된다.

추가 가이드

미국국립표준기술연구소(NIST) SP 800-53 4차 개정판 부록 F의 모든 통제 수단 및 향상된 통제 수단은 필요에 따라 이 오버레이(Overlay)의 산업제어시스템(ICS) 추가 가이드와 함께 사용해야 한다.

CP-1 긴급 사태 대책 정책 및 절차


G-45

통제번호



CP-1 긴급 사태 대책 정책 및 절차 선택됨 선택됨 선택됨

산업제어시스템(ICS) 추가 가이드: 이 정책은 특별히 산업제어시스템(ICS) 고유의 속성과 요구사항 및 산업제어시스템(ICS)과의 관계를 다룬다.

CP-2 긴급 사태 대책

통제번호



CP-2 긴급 사태 대책 선택됨 선택됨 선택됨CP-2(1) 긴급 사태 대책 | 관련 계획 조정 선택됨 선택됨CP-2(2) 긴급 사태 대책 | 용량 계획 선택됨

CP-2(3) 긴급 사태 대책 | 필수 임무 / 비즈니스 기능 재개 선택됨 선택됨

CP-2(4) 긴급 사태 대책 | 모든 임무 / 비즈니스 기능 재개 선택됨

CP-2(5) 긴급 사태 대책 | 필수 임무 / 비즈니스 기능 계속 선택됨

CP-2(8) 긴급 사태 대책 | 중요한 자산 파악 선택됨 선택됨

산업제어시스템(ICS) 추가 가이드: 조직은 교란 또는 결함의 범주에 대한 긴급 사태 대책을 정의한다. 산업제어시스템(ICS)의 공정이나 운영 시설의 통신 손실 시 산업제어시스템(ICS)에서는 예정된 절차가 실행된다(예: 운영자에게 결함을 경고한 다음 아무 것도 하지 않는다. 운영자에게 경고한 다음 산업 공정을 안전하게 종료한다. 운영자에게 경고한 다음 결함 발생 이전의 마지막 동작 설정을 유지한다).

향상된 통제 수단:(1) 산업제어시스템(ICS) 추가 가이드: 관련 계획에 책임이 있는 조직 요소에는 공급업체(예: 전력, 연료, 담수 및 폐수)를 포함할 수 있다.

향상된 통제 수단:(2) 산업제어시스템(ICS) 추가 가이드 없음.

향상된 통제 수단:(3, 4) 산업제어시스템(ICS) 추가 가이드: 필수 임무 및 비즈


G-46

니스 기능의 재개, 그리고 모든 임무 및 비즈니스 기능의 재개를 위한 계획에는 운영 환경에 대한 교란의 영향을 고려한다. 복원 및 재개 계획에는 작업의 우선순위를 포함해야 한다. 교란은 해당 환경에서 자원(예: 전력, 연료, 담수, 폐수)의 품질과 수량뿐만 아니라 필수 임무와 비즈니스 기능의 제공을 재개하는 이러한 공급업체의 역량에 영향을 미칠 수 있다. 확산 중단을 위한 긴급 사태 대책에는 전문화된 조직(예: 연방재난관리청(FEMA), 비상 서비스, 규제 기관)이 포함될 수 있다. 전미방화협회(NFPA) 1600: 재난/비상 관리 및 비즈니스 연속성 프로그램의 표준을 참조한다.

향상된 통제 수단:(5, 8) 산업제어시스템(ICS) 추가 가이드 없음.

CP-3 긴급 사태 훈련

통제번호



CP-3 긴급 사태 훈련 선택됨 선택됨 선택됨CP-3(1) 긴급 사태 훈련 | 모의 사건 선택됨


CP-4 긴급 사태 대책 검증

통제번호



CP-4 긴급 사태 대책 검증 선택됨 선택됨 선택됨CP-4(1) 긴급 사태 대책 검증 | 관련 계획 조정 선택됨 선택됨CP-4(2) 긴급 사태 대책 검증 | 대체 처리 현장 선택됨


CP-6 대체 저장 현장


G-47

통제번호



CP-6 대체 저장 현장 선택됨 선택됨CP-6(1) 대체 저장 현장 | 주사이트에서 분리 선택됨 선택됨CP-6(2) 대체 저장 현장 | 회복 시간 /시점 목표 선택됨CP-6(3) 대체 저장 현장 | 접근성 선택됨 선택됨


CP-7 대체 처리 현장

통제번호



CP-7 대체 처리 현장 선택됨 선택됨CP-7(1) 대체 처리 현장 | 주사이트에서 분리 선택됨 선택됨CP-7(2) 대체 처리 현장 | 접근성 선택됨 선택됨CP-7(3) 대체 처리 현장 | 서비스의 우선순위 선택됨 선택됨CP-7(4) 대체 처리 현장 | 사용을 위한 구성 선택됨


CP-8 통신 서비스

통제번호



CP-8 통신 서비스 선택됨 선택됨CP-8(1) 통신 서비스 | 서비스 제공의 우선순위 선택됨 선택됨CP-8(2) 통신 서비스 | 단일 장애 지점 선택됨 선택됨CP-8(3) 통신 서비스 | 주/대체 제공자의 분리 선택됨CP-8(4) 통신 서비스 | 제공자 긴급 사태 대책 선택됨

산업제어시스템(ICS) 추가적인 가이드: 산업제어시스템(ICS)을 위한 서비스 요인의 품질에는 지연 및 처리율이 포함된다.


G-48

향상된 통제 수단:(1, 2, 3, 4) 산업제어시스템(ICS) 추가적인 가이드 없음.

CP-9 정보시스템 백업

통제번호



CP-9 정보시스템 백업 선택됨 선택됨 선택됨CP-9(1) 정보시스템 백업 | 신뢰성 /무결성 검증 선택됨 선택됨

CP-9(2) 정보시스템 백업 | 표본 추출을 이용한 복원 시험 선택됨

CP-9(3) 정보시스템 백업 | 중요 정보의 별도 저장 선택됨CP-9(5) 정보시스템 백업 | 대체 현장에 이전 선택됨


CP-10 정보시스템 복구 및 복원

통제번호



CP-10 정보시스템 복구 및 복원 선택됨 선택됨 선택됨CP-10(2) 정보시스템 복구 및 복원 | 트랜잭션 복구 선택됨 선택됨

CP-10(4) 정보시스템 복구 및 복원 | 시간 내에 복원 선택됨

산업제어시스템(ICS) 추가적인 가이드: 산업제어시스템(ICS)의 복원에는 시스템 상태 변수를 초기 값 또는 교란 이전의 값으로 복원해야 하는지 여부에 대한 고려가 포함된다(예: 밸브가 완전 개방, 완전 폐쇄 또는 교란 이전의 설정으로 복원되는가?). 시스템 상태 변수를 복원하면 지속적인 물리적 공정에 혼란을 야기할 수 있다(예: 초기에 닫힌 밸브는 시스템 냉각에 악영향을 미칠 수 있다).


CP-12 안전 모드


G-49

통제번호



CP-12 안전 모드 추가됨 추가됨 추가됨

산업제어시스템(ICS) 추가적인 가이드: 조직에서 정의한 조건 및 작업의 안전한 모드의 해당 제한은 기준선에 따라 다를 수 있다. 동일한 조건은 영향도에 따라 서로 다른 대응을 유발할 수 있다. 조건은 산업제어시스템(ICS)의 외부에 있을 수 있다(예: 전기 공급 저하). 관련 통제 수단: SI-17.

모든 기준선에 CP-12를 추가하는 이론적 근거: 이 통제 수단은 조직이 운영 환경에서 통제할 수 없는 조건을 다룰 때 필요한 정책 및 절차를 계획하기 위한 프레임워크를 제공한다. 사고와 적절한 대응을 선택하기 위한 결정 과정의 문서 기록을 작성하는 것은 운영 환경의 변경을 감안한 위험 관리의 일부분이다.

식별 및 인증 - IA

식별 및 인증 단위의 맞춤화 고려 사항

IA 단위에서 통제 수단을 구현하기 전에 보안, 프라이버시, 지연, 성능 및 처리율 사이의 장단점을 고려한다. 예를 들어, 조직은 암호화 메커니즘을 이용하는 인증 메커니즘의 사용에서 유발된 지연이 산업제어시스템(ICS)의 운영 성능에 악영향을 미치는지 여부를 고려한다.

산업제어시스템(ICS)이 통제 수단의 특정 식별 및 인증 요구사항을 지원하지 못하는 상황에서 조직은 일반 맞춤화 가이드에 따라 보완 통제 수단을 이용한다. 보완 통제 수단의 사례는 적절하게 각 통제 수단으로 제공된다.



IA-1 식별 및 인증의 정책 및 절차


G-50

통제번호



IA-1 보안 식별 및 인증의 정책 및 절차 선택됨 선택됨 선택됨


IA-2 사용자 식별 및 인증(조직의 사용자)

통제번호



IA-2 식별 및 인증(조직의 사용자) 선택됨 선택됨 선택됨

IA-2(1) 식별 및 인증 | 권한 계정에 대한 네트워크 접근 선택됨 선택됨 선택됨

IA-2(2) 식별 및 인증 | 비 권한 계정에 대한 네트워크 접근 선택됨 선택됨

IA-2(3) 식별 및 인증 | 권한 계정에 대한 로컬 접근 선택됨 선택됨

IA-2(4) 식별 및 인증 | 비 권한 계정에 대한 로컬 접근 선택됨

IA-2(8) 식별 및 인증 | 권한 계정에 대한 네트워크 접근 - 재생 공격 방지 선택됨 선택됨

IA-2(9) 식별 및 인증 | 비 권한 계정에 대한 네트워크 접근 - 재생 공격 방지 선택됨

IA-2(11) 식별 및 인증 | 원격 접속 - 별도의 장치 선택됨 선택됨

IA-2(12) 식별 및 인증 | 개인신원확인(PIV) 자격증명 수용 선택됨 선택됨 선택됨

산업제어시스템(ICS) 추가적인 가이드: 사용자들이 단일 그룹(예: 제어실 운영자)으로 작업하는 경우, 사용자 식별 및 인증은 역할 기반, 그룹 기반 또는 장치 기반일 수 있다. 특정 산업제어시스템(ICS)의 경우 즉각적인 운영자 상호작용 기능이 중요하다. 산업제어시스템(ICS)을 위한 지역의 비상 조치는 식별 또는 인증 요구사항에 의해 방해되지 않는다. 이러한 시스템에 대한 접근은 적절한 물리적 보안 통제 수단에 의해 제한될 수 있다. 보완 통제 수단의 예에는 물리적 보안, 인적 보안 및 감사 조치를 증가시키는 것이 포함된다. 예를 들어, 원격 인원의 수동음성 인증 및 로컬, 수동 조치가 원격 접속을 설정하기 위해 필요할 수 있다. AC-17 산업제어시스템(ICS) 추가적인 가이드를 참조한


G-51

다. 산업제어시스템(ICS) 구성요소에 대한 로컬 사용자 접근은 필요하고 승인되며 인증되는 경우에만 활성화된다.

향상된 통제 수단:(1, 2, 3, 4) 산업제어시스템(ICS) 추가적인 가이드: 보완 통제 수단의 예에는 물리적인 보안 조치를 구현하는 것이 포함된다.

향상된 통제 수단:(8, 9) 산업제어시스템(ICS) 추가적인 가이드: 보완 통제 수단의 예에는 외부 시스템에서 재생 공격 방지 기능을 제공하는 것이 포함된다.


향상된 통제 수단:(12) 산업제어시스템(ICS) 추가적인 가이드: 보완 통제 수단의 예에는 산업제어시스템(ICS)의 외부에 있는 PIV에 대한 지원 기능의 구현이 포함된다.

IA-3 장치 식별 및 인증

통제번호



IA-3 장치 식별 및 인증 추가됨 선택됨 선택됨IA-3(1) 장치 식별 및 인증 | 암호화 양방향 인증 추가됨 추가됨IA-3(4) 장치 식별 및 인증 | 장치 증명 추가됨 추가됨

산업제어시스템(ICS) 추가적인 가이드: 조직은 다른 조직(예: 사업 협력자)에 속하고 이에 의해 인가된 비인적 실체(NPE)로도 알려진 장치가 조직의 산업제어시스템(ICS)에 연결하는 것을 허용할 수 있다. 특히 이러한 장치가 로컬이 아닌 경우, 장치의 식별 및 인증은 매우 중요할 수 있다. 조직은 인증 메커니즘의 필수 강도를 결정하기 위한 위험 및 영향 분석을 수행할 수 있다. 원격 네트워크 연결을 위한 인증을 제공하지 않는 장치 및 프로토콜의 보완 통제 수단의 예에는 물리적 보안 조치의 구현이 있다.

향상된 통제 수단:(1, 4) 산업제어시스템(ICS) 추가적인 가이드: 비인적 실체(NPE)의 식별 및 인증을 위한 형상 관리에는 관습상 비인적 실체(NPE)의 대리인 또는 대표를 수반한다. 장치에는 대리인에 의한 주장에 기초한 식별 및 인증 자격증명이 제공된다. 또한 대리인은 사건 및 변칙(예: 자격증명 만료)에 대응한다. 소프트웨어의 속성(예: 디지털 서명)에 기초한 해당 소프트웨어 실체


G-52

(예: 특정 사용자와 관련되지 않은 자율 공정)의 자격증명은 소프트웨어가 변경 또는 패치될 때마다 변경될 수 있다. 특수 목적의 하드웨어(예: 맞춤형 통합 회로 및 인쇄 회로판)는 유사한 종속성을 나타낼 수 있다. 매개 변수의 조직 정의는 영향도 간에 서로 다를 수 있다.

이론적 근거 (통제 수단 및 향상된 통제 수단에 적용): 산업제어시스템(ICS)은 대부분의 외부 시스템 및 장치와 정보를 교환할 수 있다. 장치의 식별 및 인증 과정에서는 사람과의 과정에서는 존재하지 않는 상황이 발생한다. 이러한 통제 수단에는 조직이 유형, 모델 또는 기타 그룹 특성 별로 장치를 분류하는 할당이 포함되어 있다. 또한 할당은 조직이 로컬, 원격 및 네트워크 연결을 위한 적절한 통제 수단을 선택하는 것을 가능하게 한다.

IA-4 식별자 관리

통제번호



IA-4 식별자 관리 선택됨 선택됨 선택됨


IA-5 인증자 관리

통제번호



IA-5 인증자 관리 선택됨 선택됨 선택됨IA-5(1) 인증자 관리 | 패스워드 기반 인증 선택됨 선택됨 선택됨IA-5(2) 인증자 관리 | PKI 기반 인증 선택됨 선택됨IA-5(3) 인증자 관리 | 사람이 직접 등록 선택됨 선택됨IA-5(11) 인증자 관리 | 하드웨어 토큰 기반 인증 선택됨 선택됨 선택됨

산업제어시스템(ICS) 추가적인 가이드: 보완 통제 수단의 예에는 산업제어시스템(ICS) 외부에 대한 인증 기능을 제공하기 위해 산업제어시스템(ICS)을 캡슐화하는 물리적 접근통제가 있다.



G-53

IA-6 인증자 피드백

통제번호



IA-6 인증자 피드백 선택됨 선택됨 선택됨

산업제어시스템(ICS) 추가적인 가이드: 이 통제 수단은 인증 절차 중에 인증 정보의 피드백을 제공하는 시각 인터페이스를 간주한다. 산업제어시스템(ICS)의 인증 기능에서 시각적 피드백을 지원하지 않는 인터페이스가 사용되는 경우(예: 프로토콜 기반 인증) 이 통제 수단을 맞춤화할 수 있다.

IA-7 암호화 모듈 인증

통제번호



IA-7 암호화 모듈 인증 선택됨 선택됨 선택됨


IA-8 식별 및 인증(비 조직 사용자)

통제번호



IA-8 식별 및 인증(비 조직 사용자) 선택됨 선택됨 선택됨

IA-8(1) 식별 및 인증(비 조직 사용자) | 기타 기관의 개인신원확인(PIV) 자격증명 수용 선택됨 선택됨 선택됨

IA-8(2) 식별 및 인증(비 조직 사용자) | 타사 자격증명의 수용 선택됨 선택됨 선택됨

IA-8(3) 식별 및 인증(비 조직 사용자) | FICAM에서 승인한 제품 사용 선택됨 선택됨 선택됨

IA-8(4) 식별 및 인증(비 조직 사용자) | FICAM에서 발행한 프로파일 사용 선택됨 선택됨 선택됨

산업제어시스템(ICS) 추가적인 가이드: 산업제어시스템(ICS) IA-2 식별 및 인증 (조직 사용자)은 비 조직 사용자에게 적용된다.

향상된 통제 수단:(1, 2, 3, 4) 산업제어시스템(ICS) 추가적인 가이드: 보완


G-54

통제 수단의 예에는 산업제어시스템(ICS) 및 다원적 인증의 외부에 대한 지원 기능을 구현하는 것이 포함된다.

사고 대응 - IR

사고 대응 단위의 맞춤화 고려 사항

보안 사고의 추적을 지원하는 데 사용되는 자동화 메커니즘은 전형적으로 산업제어시스템(ICS)의 일부가 아니거나 이에 연결되지 않는다.



IR-1 사고 대응 정책 및 절차

통제번호



IR-1 사고 대응 정책 및 절차 선택됨 선택됨 선택됨


IR-2 사고 대응 훈련

통제번호



IR-2 사고 대응 훈련 선택됨 선택됨 선택됨IR-2(1) 사고 대응 훈련 | 모의 사건 선택됨IR-2(2) 사고 대응 훈련 | 자동화 훈련 환경 선택됨


IR-3 사고 대응 검증


G-55

통제번호



IR-3 사고 대응 검증 선택됨 선택됨IR-3(2) 사고 대응 검증 | 관련 계획과의 조정 선택됨 선택됨


IR-4 사고 처리

통제번호



IR-4 사고 처리 선택됨 선택됨 선택됨IR-4(1) 사고 처리 | 자동화 사고 처리 공정 선택됨 선택됨IR-4(4) 사고 처리 | 정보 상관관계 선택됨


IR-5 사고 모니터링

통제번호



IR-5 사고 모니터링 선택됨 선택됨 선택됨

IR-5(1) 사고 모니터링 | 자동 추적 / 데이터 수집 / 분석 선택됨


IR-6 사고 보고

통제번호



IR-6 사고 보고 선택됨 선택됨 선택됨IR-6(1) 사고 보고 | 자동 보고서 선택됨 선택됨

산업제어시스템(ICS) 추가적인 가이드: 조직은 사고를 적시에 보고해야 한다. 국토안보부(DHS) 국가 사이버보안 및 통신 통합 센터(NCCIC)(http://www.dhs.gov/ about-national-cybersecurity-communications-integration-center)는 사



G-56

이버보안 및 통신 의존에 포함된 운영 요소가 조정되고 통합되는 중앙 집중식 장소의 역할을 한다. 산업제어시스템 사이버비상대응팀(ICS-CERT, http://ics-cert.us-cert.gov/ics-cert/)은 국제 및 민간 부문 컴퓨터 비상 대응 팀(CERT)과 협조하여 제어시스템 관련 보안 사고 정보 및 완화 조치를 공유한다.

향상된 통제 수단:(1) 산업제어시스템(ICS) 추가적인 가이드: 사고 보고 절차를 지원하는 데 사용되는 자동화 메커니즘은 반드시 산업제어시스템(ICS)의 일부이거나 이에 연결된 것은 아니다.

IR-7 사고 대응 지원

통제번호



IR-7 사고 대응 지원 선택됨 선택됨 선택됨

IR-7(1) 사고 대응 지원 | 정보 / 지원의 가용성을 위한 자동화 지원 선택됨 선택됨


IR-8 사고 대응 계획

통제번호



IR-8 사고 대응 계획 선택됨 선택됨 선택됨


유지보수 - MA

유지보수 단위의 맞춤화 고려 사항

유지보수 및 정비를 위한 일정을 잡고 이를 수행하며 문서화하는 자동화 메커니즘은 반드시

산업제어시스템(ICS)의 일부이거나 이에 연결된 것은 아니다.

산업제어시스템(ICS)이 통제 수단의 특정 유지보수 요구사항을 지원할 수 없는


G-57

상황에서 조직은 일반 맞춤화 가이드에 따라 보완 통제 수단을 이용한다. 보완 통제 수단의 사례는 적절하게 각 통제 수단으로 제공된다.



MA-1 시스템 유지보수 정책 및 절차

통제번호



MA-1 유지보수 정책 및 절차 선택됨 선택됨 선택됨


MA-2 통제 유지보수

통제번호



MA-2 통제 유지보수 선택됨 선택됨 선택됨MA-2(2) 통제 유지보수 | 자동 유지보수 조치 선택됨


MA-3 유지보수 도구

통제번호



MA-3 유지보수 도구 선택됨 선택됨MA-3(1) 유지보수 도구 | 도구 검사 선택됨 선택됨MA-3(2) 유지보수 도구 | 매체 검사 선택됨 선택됨MA-3(3) 유지보수 도구 | 무단 제거 방지 선택됨


G-58


MA-4 비 지역적 유지보수

통제번호



MA-4 비 지역적 유지보수 선택됨 선택됨 선택됨

MA-4(2) 비 지역적 유지보수 | 비 지역적 유지보수 문서화 선택됨 선택됨

MA-4(3) 비 지역적 유지보수 | 비교할 만한 보안 / 정리 선택됨



향상된 통제 수단:(3) 산업제어시스템(ICS) 추가적인 가이드: 위기 또는 비상 상황에서 조직은 필수 산업제어시스템(ICS) 동작 또는 서비스를 복원하기 위해 비 지역적 유지보수 및 진단 서비스에 즉각 접근할 필요가 있을 수 있다. 보완 통제 수단의 예에는 유지보수 및 진단 서비스의 범위를 최소 필수 활동으로 제한하고, 비 지역적 유지보수 및 진단 활동을 신중하게 모니터링하고 감사하는 것이 있다.

MA-5 유지보수 인원

통제번호



MA-5 유지보수 인원 선택됨 선택됨 선택됨

MA-5(1) 유지보수 인원 | 적절한 접근 권한이 없는 개인 선택됨


MA-6 적시적 유지보수


G-59

통제번호



MA-6 적시적 유지보수 선택됨 선택됨


매체 보호 –MP



MP-1 매체 보호 정책 및 절차

통제번호



MP-1 매체 보호 정책 및 절차 선택됨 선택됨 선택됨


MP-2 매체 접근

통제번호



MP-2 매체 접근 선택됨 선택됨 선택됨


MP-3 매체 마킹


G-60

통제번호



MP-3 매체 마킹 선택됨 선택됨


MP-4 매체 저장

통제번호



MP-4 매체 저장 선택됨 선택됨


MP-5 매체 전송

통제번호



MP-5 매체 전송 선택됨 선택됨MP-5(4) 매체 전송 | 암호화 보호 선택됨 선택됨


MP-6 매체 정리

통제번호



MP-6 매체 정리 선택됨 선택됨 선택됨MP-6(1) 매체 정리 | 추적 / 문서화 / 검증 선택됨MP-6(2) 매체 정리 | 장비 검증 선택됨MP-6(3) 매체 정리 | 비파괴 기법 선택됨



G-61

MP-7 매체 사용

통제번호



MP-7 매체 사용 선택됨 선택됨 선택됨MP-7(1) 매체 사용 | 조직 제한 선택됨 선택됨


물리적 및 환경적 보호 – PE



PE-1 물리적 및 환경적 보호 정책 및 절차

통제번호



PE-1 물리적 및 환경적 보호 정책 및 절차 선택됨 선택됨 선택됨

산업제어시스템(ICS) 추가적인 가이드: 이 정책은 특별히 산업제어시스템(ICS) 고유의 속성과 요구사항 및 산업제어시스템(ICS)과의 관계를 다룬다. 산업제어시스템(ICS)의 구성요소는 매우 큰 시설 공간 또는 지리적 영역에 걸쳐서 분산될 수 있으며, 전체 조직의 네트워크 산업제어시스템(ICS)에 대한 입구점이 될 수 있다. 또한 규제 통제 수단도 적용될 수 있다.

PE-2 물리적 접근 인가

통제번호



PE-2 물리적 접근 인가 선택됨 선택됨 선택됨


G-62


PE-3 물리적 접근통제

통제번호



PE-3 물리적 접근통제 선택됨 선택됨 선택됨PE-3(1) 물리적 접근통제 | 정보시스템 접근 선택됨

산업제어시스템(ICS) 추가적인 가이드: 조직은 산업제어시스템(ICS)의 안전 및 보안 상호의존성을 고려한다. 조직은 비상 상황에서 접근 요구사항을 고려한다. 비상 관련 사건의 기간 동안에 조직은 산업제어시스템(ICS) 시설 및 자산에 대한 접근을 인가된 개인에게만 한정할 수 있다. 산업제어시스템(ICS)은 종종 시간 제한적인 안전 제약 때문에 포괄적인 접근통제 기능이 없거나 이를 사용할 수 없는 장치로 구성된다. 전자 메커니즘이 조직의 보안 계획의 보안 요구사항을 충족할 수 없는 경우 조직은 산업제어시스템(ICS)의 보안을 보충하기 위해 필요한 물리적 접근통제 및 심층 방어 조치가 가능할 때 이를 사용한다. 기본 노드, 배전 벽장 및 기계/전기 사무실은 잠그고, 키 또는 전자 접근통제를 요구하며, 침입 탐지 센서를 통합해야 한다.


PE-4 전송 매체 접근통제

통제번호



PE-4 전송 매체 접근통제 선택됨 선택됨


PE-5 출력 장치 접근통제

통제번호



PE-5 출력 장치 접근통제 선택됨 선택됨


G-63


PE-6 물리적 접근 모니터링

통제번호



PE-6 물리적 접근 모니터링 선택됨 선택됨 선택됨

PE-6(1) 물리적 접근 모니터링 | 침입 경보 /감시 장비 선택됨 선택됨

PE-6(4) 물리적 접근 모니터링 | 정보시스템에 대한 물리적 접근 모니터링 추가됨 선택됨

산업제어시스템(ICS) 추가적인 가이드: 전자 메커니즘이 산업제어시스템(ICS)에 대한 접근을 모니터링, 감지 및 경보할 수 없는 경우 조직은 산업제어시스템(ICS)의 보안을 보충하기 위해 필요한 물리적 접근통제 및 심층 방어 조치가 가능할 때 이를 보완 통제 수단으로서 사용한다. 이러한 보완 통제 수단은 PE-6 통제 수단(예: PE-3(4) 열쇠로 잠글 수 있는 케이싱 및/또는 PE-3(5) 부당 변경 방지를 이용)에 추가적인 것이다.


향상된 통제 수단:(4) 산업제어시스템(ICS) 추가적인 가이드: 산업제어시스템(ICS) 구성요소(예: 현장 장치, 원격 단말 장치)의 위치에는 다양한 원격 위치(예: 변전소, 펌프장)가 포함될 수 있다.

보통 기준선에 CE 4를 추가하는 이론적 근거: 대부분의 산업제어시스템(ICS)의 구성요소들은 지리적으로 먼 거리의 분산된 위치에 있으며 모든 산업제어시스템(ICS) 구성요소를 모니터링하는 기능이 거의 없다. 기타 구성요소는 천장, 바닥 또는 배전 벽장에 있을 수 있으며, 장치에 대한 접근을 감지, 지연 또는 거부하기 위한 최소한의 물리적 장벽은 있으나, 전자 감시 또는 감시 요원에 의한 대응 역량은 없을 수 있다.

PE-8 방문객 접근 기록


G-64

통제번호



PE-8 방문객 접근 기록 선택됨 선택됨 선택됨

PE-8(1) 방문객 접근 기록 | 자동화 기록 유지보수 / 검토 선택됨


PE-9 전원 장비 및 케이블류

통제번호



PE-9 전원 장치 및 케이블류 선택됨 선택됨PE-9(1) 전원 장비 및 케이블류 | 중복 케이블류 추가됨 추가됨



(1)을 추가하는 이론적 근거: 산업제어시스템(ICS) 제어 및 운영의 연속성을 위해서 중복 전원 케이블류가 필요하다.

PE-10 비상 차단

통제번호



PE-10 비상 차단 선택됨 선택됨

산업제어시스템(ICS) 추가적인 가이드: 일부 산업제어시스템(ICS)의 전원을 차단하는 것은 가능하지 않거나 바람직하지 않다. 보완 통제 수단의 예에는 알려진 장애 상태 및 비상 절차가 있다.

PE-11 비상 전원


G-65

통제번호



PE-11 비상 전원 추가됨 선택됨 선택됨

PE-11(1) 비상 전원 | 장기 대체 전원 장치 - 최소 작동 기능 추가됨 추가됨 선택됨

PE-11(2) 비상 전원 | 장기 대체 전원 장치 - 모든 기능 완비 추가됨

산업제어시스템(ICS) 추가적인 가이드: 비상 전원의 생산, 전송 및 배급 시스템은 매우 높은 성능 사양을 충족시키기 위해 필요한 산업제어시스템(ICS)의 유형이다. 시스템은 국제, 국가, 주 및 지역의 건축 법규를 준수해야 하고, 지속적으로 테스트해야 하며, 짧은 시간 내에 수리하고 작업에 다시 배치해야 한다. 전통적으로 비상 전원은 중단기 전원 공급(전형적으로 화재 및 생명 안전 시스템, 일부 정보기술(IT) 작업 및 피난 수송용)을 위한 발전기와 배전 벽장의 UPS 전지팩에 의해서 작업 영역 내에서 공급되어, 일정 수준의 비즈니스 연속성을 허용하고 비필수 정보기술(IT) 시스템 및 시설 시스템의 순서에 따른 종료를 가능하게 했다. 전통적인 비상 전력 계통은 일반적으로 전력 손실이 발생할 때까지 오프라인을 유지하며, 전형적으로 지원 대상 시설 별로 별도의 네트워크 및 제어시스템에 위치한다. 지역 시설에 대한 실시간 수요 및 저장 연결이 있거나 여러 시설에 교차 연결된 새로운 에너지 생성 및 저장 방법(예: 태양광 발전, 지열, 플라이휠, 소규모 독립형 전력망, 분산 에너지)을 신중하게 분석하여 임무의 본질적인 기능을 방해하는 일 없이 부하 및 신호 품질을 충족할 수 있는지 확인해야 한다.


기준선에 통제 수단을 추가하는 이론적 근거: 산업제어시스템(ICS)은 신뢰할 수 있는 공공 전력망의 전력 공급이 없을 때에도 안전 및 신뢰성에 필요한 중요한 활동을 지원할 수 있다.

PE-12 비상 조명

통제번호



PE-12 비상 조명 선택됨 선택됨 선택됨


G-66


PE-13 화재 방지

통제번호



PE-13 화재 방지 선택됨 선택됨 선택됨PE-13(1) 화재 방지 | 감지 장치 / 시스템 선택됨PE-13(2) 화재 방지 | 진압 장치 / 시스템 선택됨PE-13(3) 화재 방지 | 자동 화재진압 선택됨 선택됨

산업제어시스템(ICS) 추가적인 가이드: 화재진압 메커니즘에서는 산업제어시스템(ICS) 환경을 고려해야 한다(예: 살수 시스템은 특정 환경에 위험할 수 있다).


PE-14 온도 및 습도 통제 수단

통제번호



PE-14 온도 및 습도 통제 수단 선택됨 선택됨 선택됨

산업제어시스템(ICS) 추가적인 가이드: 온도 및 습도 통제 수단은 전형적으로 공기 조화(HVAC), 공정 또는 조명 시스템과 같은 기타 산업제어시스템(ICS)의 구성요소이거나, 고유의 독립형 산업제어시스템(ICS)일 수 있다. 산업제어시스템(ICS)은 극한 환경의 내부 및 외부 위치 모두에서 작동할 수 있다. 특정 산업제어시스템(ICS)의 경우 온도/습도 설계 및 작동 매개 변수는 성능 사양을 조정한다. 산업제어시스템(ICS) 및 정보시스템(IS)이 상호 연결되고 네트워크가 복합형 영역 전체에 연결성을 제공함에 따라, 화재 예방 및 생명 안전 시스템을 지원하는 전력 회로, 배전 벽장, 라우터 및 스위치는 제대로 된 온도 및 습도에서 유지되어야 한다.

PE-15 수해 방지


G-67

통제번호



PE-15 수해 방지 선택됨 선택됨 선택됨PE-15(1) 수해 방지 | 자동화 지원 선택됨

산업제어시스템(ICS) 추가적인 가이드: 수해 방지, 그리고 차단 및 격리 밸브의 사용은 모두 절차적 조치이며, 산업제어시스템(ICS)의 특정 유형이다. 제조, 수력 전기, 운송/항해, 물 및 폐수 산업에서 사용되는 산업제어시스템(ICS)은 물의 이동에 의존하며, 물의 양/흐름 및 압력을 관리하기 위해 특별히 설계된다. 산업제어시스템(ICS) 및 정보시스템(IS)이 상호 연결되고 네트워크가 복합형 영역 전체에 연결성을 제공함에 따라, 화재 예방 및 생명 안전 시스템을 지원하는 전력 회로, 배전 벽장, 라우터 및 스위치는 물이 시스템을 불능화하지 않도록 한다(예: 화재로 활성화되는 살수 시스템은 화재 통제 서버, 라우터, 스위치에 분사하지 않으며, 경보, 유출 시스템, 비상 조명 및 진압 시스템을 차단하지 않는다).


PE-16 배달 및 제거

통제번호



PE-16 배달 및 제거 선택됨 선택됨 선택됨


PE-17 대체 작업장

통제번호



PE-17 대체 작업장 선택됨 선택됨


PE-18 정보시스템 구성요소의 위치


G-68

통제번호



PE-18 정보시스템 구성요소의 위치 선택됨


기획 – PL



PL-1 보안 기획 정책 및 절차

통제번호



PL-1 보안 기획 정책 및 절차 선택됨 선택됨 선택됨


PL-2 시스템 보안 계획

통제번호



PL-2 시스템 보안 계획 선택됨 선택됨 선택됨

PL-2(3) 시스템 보안 계획 | 기타 운영 실체와 계획 / 조정 추가됨 선택됨 선택됨



PL-2(3)를 낮은 기준선에 추가하는 이론적 근거: 시스템이 고도로 상호 연결


G-69

된 경우, 조정된 기획은 필수적이다. 영향이 낮은 시스템은 영향이 높은 시스템에 악영향을 끼칠 수 있다.

PL-4 행동 규칙

통제번호



PL-4 행동 규칙 선택됨 선택됨 선택됨PL-4(1) 행동 규칙 | 소셜 미디어 및 네트워킹 제한 선택됨 선택됨


PL-7 운영 보안 개념(CONOPS)

통제번호



PL-7 운영 보안 개념 추가됨 추가됨


PL-7을 보통 및 높은 기준선에 추가하는 이론적 근거: 산업제어시스템(ICS)은 복잡한 시스템이다. 조직은 전형적으로 운영 보안 개념(CONOPS)을 적용함으로써 시스템을 규정하고 해당 시스템 및 상호 작용하는 기타 시스템에 관련된 직원과 해당 지식을 공유한다. 운영 보안 개념(CONOPS)을 사용하면 정보 보호 요구사항을 파악하는 데 도움이 된다.

PL-8 정보 보안 구조

통제번호



PL-8 정보 보안 구조 선택됨 선택됨


인적 보안 – PS


G-70



PS-1 인적 보안 정책 및 절차

통제번호



PS-1 인적 보안 정책 및 절차 선택됨 선택됨 선택됨


PS-2 직책 위험 지정

통제번호



PS-2 직책 위험 지정 선택됨 선택됨 선택됨


PS-3 직원 적격 심사

통제번호



PS-3 직원 적격 심사 선택됨 선택됨 선택됨


PS-4 근무 종료


G-71

통제번호



PS-4 근무 종료 선택됨 선택됨 선택됨PS-4(2) 근무 종료 | 자동화 알림 선택됨


PS-5 인사 이동

통제번호



PS-5 인사 이동 선택됨 선택됨 선택됨


PS-6 접근 동의

통제번호



PS-6 접근 동의 선택됨 선택됨 선택됨


PS-7 타사 인적 보안

통제번호



PS-7 타사 인적 보안 선택됨 선택됨 선택됨


PS-8 인사 제재


G-72

통제번호



PS-8 인사 제재 선택됨 선택됨 선택됨


위험 평가 – RA



RA-1 위험 평가 정책 및 절차

통제번호



RA-1 위험 평가 정책 및 절차 선택됨 선택됨 선택됨


RA-2 보안 범주화

통제번호



RA-2 보안 범주화 선택됨 선택됨 선택됨


RA-3 위험 평가


G-73

통제번호



RA-3 위험 평가 선택됨 선택됨 선택됨


RA-5 취약점 스캐닝

통제번호



RA-5 취약점 스캐닝 선택됨 선택됨 선택됨RA-5(1) 취약성 스캐닝 | 업데이트 도구 기능 선택됨 선택됨

RA-5(2) 취약성 스캐닝 | 확인된 경우 빈도별/새로운 스캐닝 전 업데이트 선택됨 선택됨

RA-5(4) 취약성 스캐닝 | 확인 가능 정보 선택됨RA-5(5) 취약성 스캐닝 | 권한 접근 선택됨 선택됨

산업제어시스템(ICS) 추가적인 가이드: 산업제어시스템(ICS) 기능이 스캐닝 공정에 의해 악영향을 받지 않도록 네트워크 트래픽을 초래하는 능동적 취약성 스캐닝은 산업제어시스템(ICS)에 조심스럽게 사용한다. 조직은 능동적 스캐닝의 사용 여부를 판단하는 위험 기반 결정을 내린다. 수동적 모니터링 /스니핑을 보완 통제 수단의 일부로서 사용할 수도 있다. 보완 통제 수단의 예에는 스캐닝을 수행하기 위해 복제화, 가상화 또는 모의 시스템을 제공하는 것이 포함된다. 생산 산업제어시스템(ICS)은 스캐닝을 수행하기 전에 오프라인으로 설정해야 할 수 있다. 산업제어시스템(ICS)을 오프라인으로 스캐닝 하는 경우 가능하면 계획된 산업제어시스템(ICS) 가동 중단 기간 동안에 스캐닝이 수행되도록 일정을 잡는다. 취약성 스캐닝 도구가 비 산업제어시스템(ICS) 네트워크에 사용되는 경우 산업제어시스템(ICS) 네트워크를 스캐닝하지 않도록 각별히 주의해야 한다. 네트워크 스캐닝은 비 주소 지정 통신에 적용할 수 없다. 검사 대상 객체를 식별하기 위해 스캐닝 이외의 기타 메커니즘을 사용하여 취약성 조사를 수행할 수 있다. 호스트 기반 취약성 조사는 보완 통제 수단의 한 예이다.



G-74

시스템 및 서비스 수집 – SA

시스템 및 서비스 수집 단위의 맞춤화 고려 사항

산업제어시스템(ICS)이 통제 수단의 특정 시스템 및 서비스 수집 요구사항을 지원할 수 없는 상황에서, 조직은 일반 맞춤화 가이드에 따라 보완 통제 수단을 이용한다. 보완 통제 수단의 사례는 적절하게 각 통제 수단으로 제공된다.



SA-1 시스템 및 서비스 수집 정책 및 절차

통제번호



SA-1 시스템 및 서비스 수집 정책 및 절차 선택됨 선택됨 선택됨


SA-2 자원 할당

통제번호



SA-2 자원 할당 선택됨 선택됨 선택됨


SA-3 시스템 개발 수명주기

통제번호



SA-3 시스템 개발 수명주기 선택됨 선택됨 선택됨


G-75


SA-4 수집 절차

통제번호



SA-4 수집 절차 선택됨 선택됨 선택됨SA-4(1) 수집 절차 | 보안 통제 수단의 기능적 속성 선택됨 선택됨

SA-4(2) 수집 절차 | 보안 통제 수단의 설계 / 구현 정보 선택됨 선택됨

SA-4(9) 수집 절차 | 사용 중인 기능 / 포트 / 프로토콜 / 서비스 선택됨 선택됨

SA-4(10) 수집 절차 | 승인된 개인신원확인(PIV) 제품의 사용 선택됨 선택됨 선택됨

산업제어시스템(ICS) 추가적인 가이드: 산업제어시스템(ICS) 보안이 전통적으로 물리적 보호 및 격리에 초점을 맞추고 있기 때문에 공급자 및 개발자는 사이버보안에 익숙하지 않을 수 있다. 조직은 사이버보안 수요의 인식을 높이기 위해 산업제어시스템(ICS) 공급업체를 활용해야 한다. 감시 제어 및 데이터 수집(SCADA)/제어시스템 조달 프로젝트는 산업제어시스템(ICS)을 위한 사이버보안 조달 언어의 예를 제공한다. 참조: Web: https://ics-cert.us-cert.gov/sites/default/files/documents/Procurement_Language_Rev4_100809.pdf

향상된 통제 수단:(1, 2, 9) 산업제어시스템(ICS) 추가적인 가이드: 개발자는 필요한 정보에 접근할 수 없다.

향상된 통제 수단:(10) 산업제어시스템(ICS) 추가적인 가이드: 보완 통제 수단의 예에는 산업제어시스템(ICS) 제품과 함께 개인신원확인(PIV) 기능을 위해 FIPS 201 승인 제품 목록의 외부 제품을 사용하는 것이 포함된다.

SA-5 정보시스템 문서화

통제번호



SA-5 정보시스템 문서화 선택됨 선택됨 선택됨


G-76


SA-8 보안 설계 원칙

통제번호



SA-8 보안 설계 원칙 선택됨 선택됨


SA-9 외부 정보시스템 서비스

통제번호



SA-9 외부 정보시스템 서비스 선택됨 선택됨 선택됨

SA-9(2) 외부 정보시스템 | 기능 /포트 / 프로토콜 / 서비스의 식별 선택됨 선택됨


SA-10 개발자 형상 관리

통제번호



SA-10 개발자 형상 관리 선택됨 선택됨


SA-11 개발자 보안 검증 및 평가

통제번호



SA-11 개발자 보안 검증 및 평가 선택됨 선택됨



G-77

SA-12 공급망 보호

통제번호



SA-12 공급망 보호 선택됨


SA-15 개발 공정, 표준 및 도구

통제번호



SA-15 개발 공정, 표준 및 도구 선택됨


SA-16 개발자가 제공하는 훈련

통제번호



SA-16 개발자가 제공하는 훈련 선택됨


SA-17 개발자 보안 구조 및 설계

통제번호



SA-17 개발자 보안 구조 및 설계 선택됨


시스템 및 통신 보호 - SC

시스템 및 통신 보호 단위의 맞춤화 고려 사항


G-78

암호 기법의 사용은 시스템 성능에 대한 보안 수요 및 잠재적인 파급 효과를 신중하게 고려한 후에 결정한다. 예를 들어, 조직은 암호 기법을 사용함으로써 유발된 지연이 산업제어시스템(ICS)의 운영 성능에 악영향을 끼치는 지 여부를 고려한다. 산업제어시스템(ICS)에 흔한 구형 장치는 보통 암호화 기능의 직접 지원이 부족한 반면, 보완 통제 수단(예: 캡슐화)은 통제 수단의 목적을 충족하기 위해 사용될 수 있다.

산업제어시스템(ICS)이 통제 수단의 특정 시스템 및 통신 보호 요구사항을 지원할 수 없는 상황에서 조직은 일반 맞춤화 가이드에 따라 보완 통제 수단을 이용한다. 보완 통제 수단의 사례는 적절하게 각 통제 수단으로 제공된다.



SC-1 시스템 및 통신 보호 정책 및 절차

통제번호



SC-1 시스템 및 통신 보호 정책 및 절차 선택됨 선택됨 선택됨


SC-2 응용 프로그램 분할

통제번호



SC-2 응용 프로그램 분할 선택됨 선택됨

산업제어시스템(ICS) 추가적인 가이드: 산업제어시스템(ICS)의 관리에 사용되는 시스템은 산업제어시스템(ICS)의 운영 구성요소에서 분리해야 한다. 보완 통제 수단의 예에는 증가된 감사 조치를 제공하는 것이 포함된다.


G-79

SC-3 보안 기능 격리

통제번호



SC-3 보안 기능 격리 선택됨

산업제어시스템(ICS) 추가적인 가이드: 보완 통제 수단의 예에는 증가된 감사 조치 제공, 네트워크 연결 제한, 구조적 할당이 포함된다.

SC-4 공유 자원의 정보

통제번호



SC-4 공유 자원의 정보 선택됨 선택됨

산업제어시스템(ICS) 추가적인 가이드: 보완 통제 수단의 예에는 시스템 자원을 공유하는 것을 방지하기 위해 산업제어시스템(ICS)의 사용을 구조화하는 것이 포함된다.

SC-5 서비스 거부 방지

통제번호



SC-5 서비스 거부 방지 선택됨 선택됨 선택됨

산업제어시스템(ICS) 추가적인 가이드: 보완 통제 수단의 예에는 공칭 또는 안전 모드의 산업제어시스템(ICS)의 작동에서 통신두절 결과를 보장하는 것을 포함된다. 위험 기반 분석은 정책 및 절차 수립의 기초를 이룬다.

SC-7 경계 보호


G-80

통제번호



SC-7 경계 보호 선택됨 선택됨 선택됨SC-7(3) 경계 보호 | 접근점 선택됨 선택됨SC-7(4) 경계 보호 | 외부 통신 서비스 선택됨 선택됨

SC-7(5) 경계 보호 | 기본적으로 거부 / 예외적으로 허용 선택됨 선택됨

SC-7(7) 경계 보호 | 원격 장치의 분할 터널링 방지 선택됨 선택됨

SC-7(8) 경계 보호 | 인증된 프록시 서버로 트래픽의 경로 지정 선택됨

SC-7(18) 경계 보호 | 고장 시 자동 안전장치 추가됨 선택됨SC-7(21) 경계 보호 | 정보시스템 구성요소의 격리 선택됨


향상된 통제 수단:(3, 4, 5, 7, 8, 21) 산업제어시스템(ICS) 추가적인 가이드 없음.

향상된 통제 수단:(18) 산업제어시스템(ICS) 추가적인 가이드: 조직은 적절한 고장 모드를 선택한다(예: 모든 통신 허용 또는 차단).

SC-7(18)을 보통 기준선에 추가하는 이론적 근거: 산업제어시스템(ICS)의 구조 및 설계의 일부로서 조직은 산업제어시스템(ICS) 및 운영 환경에서 수행되는 기능에 따라 적절한 고장 모드를 선택한다. 산업제어시스템(ICS)의 물리적 부분에 대한 고장 모드를 선택하는 역량은 산업제어시스템(ICS)을 기타 정보기술(IT) 시스템으로부터 차별화한다. 이 선택은 고장의 영향을 완화하는 데 상당한 영향을 줄 수 있다.

SC-8 전송 비밀성 및 무결성

통제번호



SC-8 전송 비밀성 및 무결성 선택됨 선택됨

SC-8(1) 전송 비밀성 및 무결성 | 암호화 또는 대체 물리적 보호 선택됨 선택됨



G-81

향상된 통제 수단:(1) 산업제어시스템(ICS) 추가적인 가이드: 조직은 가능한 모든 암호 무결성 메커니즘(예: 디지털 서명, 해시 기능)을 조사한다. 각 메커니즘에는 서로 다른 지연 영향이 있다.

SC-10 네트워크 분리

통제번호



SC-10 네트워크 분리 선택됨 선택됨

산업제어시스템(ICS) 추가적인 가이드: 보완 통제 수단의 예에는 증가된 감사 조치를 제공하거나 핵심 인원에 대한 원격 접속 권한을 제한하는 것이 포함된다.

SC-12 암호화 키 설정 및 관리

통제번호



SC-12 암호화 키 설정 및 관리 선택됨 선택됨 선택됨SC-12(1) 암호화 키 설정 및 관리 | 가용성 선택됨

산업제어시스템(ICS) 추가적인 가이드: 산업제어시스템(ICS)에서 암호화 키 관리의 목적은 내부 비공개 사용을 지원하는 것이다.


SC-13 암호화 보호

통제번호



SC-13 암호화 보호 선택됨 선택됨 선택됨


SC-15 협업 컴퓨팅 장치


G-82

통제번호



SC-15 협업 컴퓨팅 장치 선택됨 선택됨 선택됨


SC-17 공개 키 기반 인증서

통제번호



SC-17 공개 키 기반 인증서 선택됨 선택됨


SC-18 모바일 코드

통제번호



SC-18 모바일 코드 선택됨 선택됨


SC-19 인터넷 전화 통화 프로토콜

통제번호



SC-19 인터넷 전화 통화 프로토콜 선택됨 선택됨

산업제어시스템(ICS) 추가적인 가이드: VoIP 기술의 사용은 신중한 고려와 함께 산업제어시스템(ICS)의 운영 성능에 악영향을 주지 않는 것을 확인한 후에 결정한다.

SC-20 보안 이름 / 주소 변환 서비스(신뢰할 수 있는 소스)


G-83

통제번호



SC-20 보안 이름 /주소 변환 서비스(신뢰할 수 있는 소스) 선택됨 선택됨 선택됨

산업제어시스템(ICS) 추가적인 가이드: 보안 이름/주소 변환 서비스의 사용은 신중한 고려와 함께 산업제어시스템(ICS)의 운영에 악영향을 주지 않는 것을 확인한 후에 결정한다.

SC-21 보안 이름 / 주소 변환 서비스(재귀적 OR 캐싱 해석기)

통제번호



SC-21 보안 이름 /주소 변환 서비스(재귀적 또는 캐싱 해석기) 선택됨 선택됨 선택됨

산업제어시스템(ICS) 추가적인 가이드: 보안 이름/주소 변환 서비스의 사용은 신중한 고려와 함께 산업제어시스템(ICS)의 운영에 악영향을 주지 않는 것을 확인한 후에 결정한다.

SC-22 구조 및 권한 설정 FOR NAME / 주소 변환 서비스

통제번호



SC-22 이름/주소 변환 서비스에 대한 구조 및 권한 설정 선택됨 선택됨 선택됨

산업제어시스템(ICS) 추가적인 가이드: 보안 이름/주소 변환 서비스의 사용은 신중한 고려와 함께 산업제어시스템(ICS)의 운영 성능에 악영향을 주지 않는 것을 확인한 후에 결정한다.

SC-23 세션 신빙성

통제번호



SC-23 세션 신빙성 선택됨 선택됨


G-84

산업제어시스템(ICS) 추가적인 가이드: 보완 통제 수단의 예에는 감사 조치가 포함된다.

SC-24 알려진 장애 상태

통제번호



SC-24 알려진 장애 상태 추가됨 선택됨

산업제어시스템(ICS) 추가적인 가이드: 조직은 적절한 결함 상태를 선택한다. 산업제어시스템(ICS)의 상태 정보의 보관에는 산업제어시스템(ICS) 상태 변수와 산업제어시스템(ICS)이 나타내는 물리적 상태(예: 밸브 개폐 여부, 통신 허용 또는 차단, 작동을 계속) 사이의 일관성을 유지하는 것이 포함된다.

보통 기준선에 SC-24를 추가하는 이론적 근거: 산업제어시스템(ICS)의 구조 및 설계의 일부로서 조직은 산업제어시스템(ICS) 및 운영 환경에서 수행되는 기능에 따라 산업제어시스템(ICS)의 적절한 고장 상태를 선택한다. 산업제어시스템(ICS)의 물리적 부분에 대한 고장 모드를 선택하는 역량은 산업제어시스템(ICS)을 기타 정보기술(IT) 시스템으로부터 차별화한다. 이 선택은 지속적인 물리적 공정을 와해할 수 있기 때문에 고장의 영향을 완화하는 데 상당한 영향을 줄 수 있다(예: 폐쇄된 상태에서 고장 난 밸브는 시스템 냉각에 악영향을 줄 수 있다).

SC-28 유휴 데이터 보호

통제번호



SC-28 유휴 데이터 보호 선택됨 선택됨

산업제어시스템(ICS) 추가적인 가이드: 암호화 메커니즘의 사용은 신중한 고려와 함께 산업제어시스템(ICS)의 운영 성능에 악영향을 주지 않는 것을 확인한 후에 결정한다.

SC-39 공정 격리


G-85

통제번호



SC-39 공정 격리 선택됨 선택됨 선택됨

산업제어시스템(ICS) 추가적인 가이드: 보완 통제 수단의 예에는 플랫폼을 분리하는 분할 공정이 포함된다.

SC-41 포트 및 I/O 장치 접근

통제번호



SC-41 포트 및 I/O 장치 접근 추가됨 추가됨 추가됨


SC-24를 모든 기준선에 추가하는 이론적 근거: 산업제어시스템(ICS)의 기능을 사전에 쉽게 결정할 수 있어서 불필요한 포트 및 I/O 장치를 쉽게 식별할 수 있다. 포트를 불능화하거나 제거하는 것은 에어 갭 정책을 강화한다.

시스템 및 정보 무결성 - SI

시스템 및 정보 무결성 단위의 맞춤화 고려 사항

산업제어시스템(ICS)이 통제 수단의 특정 시스템 및 정보 무결성 요구사항을 지원할 수 없는 상황에서 조직은 일반 맞춤화 가이드에 따라 보완 통제 수단을 이용한다. 보완 통제 수단의 사례는 적절하게 각 통제 수단으로 제공된다.



SI-1 시스템 및 정보 무결성의 정책 및 절차


G-86

통제번호



SI-1 시스템 및 정보 무결성의 정책 및 절차 선택됨 선택됨 선택됨


SI-2 결함 교정

통제번호



SI-2 결함 교정 선택됨 선택됨 선택됨SI-2(1) 결함 교정 | 중앙 관리 선택됨SI-2(2) 결함 교정 | 자동 결함 교정 상태 선택됨 선택됨

산업제어시스템(ICS) 추가적인 가이드: 대부분의 산업제어시스템(ICS)에는 구형 운영 체제와 기타 소프트웨어가 사용되고, 더 이상 공급자에 의한 유지 보수가 없으며, 현재의 위협에 저항력이 없기 때문에 결함 교정은 복잡하다. 산업제어시스템(ICS)의 운영자는 패치의 작동성을 검증하고 때로는 설치 작업을 수행하기 위해 종종 제품 공급자에 의존한다. 보통 산업제어시스템(ICS) 운영자의 통제 밖의 상황(예: 공급자 패치의 결여)을 바탕으로 결함을 교정할 수는 없다. 때때로 조직은 추가적인 위험을 감수할 수 밖에 없다. 이러한 상황에서 보완 통제 수단을 구현해야 한다(예: 취약한 시스템의 노출을 제한). 잔류 위험을 감소시키지는 않지만 대응 역량을 향상시키는 기타 보완 통제 수단이 바람직할 수 있다(예: 사고 시 적시적 대응을 제공하고 결함의 악용을 식별할 수 있는 산업제어시스템(ICS)을 보장하는 계획을 고안한다). 산업제어시스템(ICS)에서 결함 교정을 검증하기 위해서는 조직에서 계획한 것 보다 더 많은 자원이 필요할 수 있다.


향상된 통제 수단:(2) 산업제어시스템(ICS) 추가적인 가이드: 결함 교정을 수행하고 그 상태를 보고하기 위해 자동화 메커니즘을 사용하는 것을 산업제어시스템(ICS)에서 지원할 수 없는 상황에서 조직은 일반 맞춤화 가이드에 따라 완화 작업을 적용, 추적 및 검증하기 위한 방법을 통합하는 비 자동화 메커니즘


G-87

또는 절차를 보완 통제 수단으로 이용한다.

SI-3 악성 코드 방지

통제번호



SI-3 악성 코드 방지 선택됨 선택됨 선택됨SI-3(1) 악성 코드 방지 | 중앙 관리 선택됨 선택됨SI-3(2) 악성 코드 방지 | 자동 업데이트 선택됨 선택됨

산업제어시스템(ICS) 추가적인 가이드: 악성 코드 방지 기능의 사용 및 배치는 신중한 고려와 함께 산업제어시스템(ICS)의 운영 성능에 악영향을 주지 않는 것을 확인한 후에 결정한다.

산업제어시스템(ICS)에 대한 잠재적인 영향을 최소화하도록 악성 코드 방지 도구를 구성해야 한다(예: 격리 보다는 알림을 이용). 보완 통제 수단의 예에는 강화된 트래픽 모니터링 및 감사가 있다.

향상된 통제 수단:(1) 산업제어시스템(ICS) 추가적인 가이드: 조직은 산업제어시스템(ICS)의 운영에 대한 영향을 고려하여 악성 코드 방지의 중앙 관리를 구현한다. 보완 통제 수단의 예에는 강화된 감사가 있다.

향상된 통제 수단:(2) 산업제어시스템(ICS) 추가적인 가이드: 조직은 산업제어시스템(ICS)의 운영에 대한 영향을 고려하여 악성 코드 방지의 자동 업데이트를 구현한다. 악성 코드 방지의 자동 업데이트를 사용하는 것을 산업제어시스템(ICS)에서 지원할 수 없는 상황에서 조직은 일반 맞춤화 가이드에 따라 보완 통제 수단으로 비 자동화 절차를 이용한다.

SI-4 정보시스템 모니터링


G-88

통제번호



SI-4 정보시스템 모니터링 선택됨 선택됨 선택됨

SI-4(2) 정보시스템 모니터링 | 실시간 분석을 위한 자동화 도구 선택됨 선택됨

SI-4(4) 정보시스템 모니터링 | 착신 및 발신 통신 트래픽 선택됨 선택됨

SI-4(5) 정보시스템 모니터링 | 시스템 생성 경고 선택됨 선택됨

산업제어시스템(ICS) 추가적인 가이드: 조직은 모니터링 도구 및 기법을 사용하는 것이 산업제어시스템(ICS)의 운영 성능에 악영향을 주지 않는 것을 보장한다. 보완 통제 수단의 예에는 충분한 네트워크 모니터링을 전개하는 것이 포함된다.

향상된 통제 수단:(2) 산업제어시스템(ICS) 추가적인 가이드: 사건의 근 실시간 분석을 지원하기 위해 자동화 도구를 사용하는 것을 산업제어시스템(ICS)에서 지원할 수 없는 상황에서 조직은 일반 맞춤화 가이드에 따라 보완 통제 수단(예: 별도의 시스템, 비 자동화 메커니즘 또는 절차에 대한 감사 기능 제공)을 이용한다.

향상된 통제 수단:(4) 산업제어시스템(ICS) 추가적인 가이드: 산업제어시스템(ICS)에서 착신 및 발신 통신 트래픽을 모니터링할 수 없는 상황에서 조직은 별도의 정보시스템에 대한 모니터링 기능을 제공하는 보완 통제 수단을 이용한다.

향상된 통제 수단:(5) 산업제어시스템(ICS) 추가적인 가이드: 보완 통제 수단의 예에는 수동으로 경고를 발령하는 것이 있다.

SI-5 보안 경고, 주의보 및 명령

통제번호



SI-5 보안 경고, 주의보 및 명령 선택됨 선택됨 선택됨

SI-5(1) 보안 경고, 주의보 및 명령 | 자동화 경고 및 주의보 선택됨


G-89

산업제어시스템(ICS) 추가적인 가이드: 국토안보부(DHS) 산업제어시스템 사이버비상대응팀(ICS-CERT)은 산업제어시스템(ICS)에 관한 보안 경고 및 주의보를 발령한다(http://ics-cert.us-cert.gov/).


SI-6 보안 기능 확인

통제번호



SI-6 보안 기능 확인 선택됨

산업제어시스템(ICS) 추가적인 가이드: 비정상 사태가 확인된 경우 산업제어시스템(ICS)을 종료하고 재시작하는 것은 항상 실행 가능하지 않을 수도 있다. 이러한 조치는 산업제어시스템(ICS)의 운영 요구사항에 따라 일정을 잡아야 한다.

SI-7 소프트웨어 및 정보 무결성

통제번호



SI-7 소프트웨어, 펌웨어 및 정보 무결성 선택됨 선택됨

SI-7(1) 소프트웨어, 펌웨어 및 정보 무결성 | 무결성 검사 선택됨 선택됨

SI-7(2) 소프트웨어, 펌웨어 및 정보 무결성 | 무결성 위반 자동 알림 선택됨

SI-7(5) 소프트웨어, 펌웨어 및 정보 무결성 | 무결성 위반 자동 대응 선택됨

SI-7(7) 소프트웨어, 펌웨어 및 정보 무결성 | 감지 및 대응의 통합 선택됨 선택됨

SI-7(14) 소프트웨어, 펌웨어 및 정보 무결성 | 이진 코드 또는 기계 실행 가능 코드 선택됨

산업제어시스템(ICS) 추가적인 가이드: 조직은 무결성 검증 응용 프로그램을 사용하는 것이 산업제어시스템(ICS)의 운영에 악영향을 주는지 여부를 결정하고 보완 통제 수단(예: 성능에 영향을 주지 않는 수동 무결성 검증)을 이용한다.



G-90

향상된 통제 수단:(1) 산업제어시스템(ICS) 추가적인 가이드: 조직은 무결성 검증 응용 프로그램을 사용하는 것이 산업제어시스템(ICS)의 운영 성능에 악영향을 주지 않는 것을 보장한다.

향상된 통제 수단:(2) 산업제어시스템(ICS) 추가적인 가이드: 무결성 불일치에 대한 알림을 제공하는 자동 도구를 이용할 수 없는 상황에서 조직은 비 자동 메커니즘 또는 절차를 이용한다. 보완 통제 수단의 예에는 무결성 위반에 대해 예정된 수동 검사를 수행하는 것이 포함된다.

향상된 통제 수단:(5) 산업제어시스템(ICS) 추가적인 가이드: 비정상 사태가 확인된 경우 산업제어시스템(ICS)을 종료하고 재시작하는 것은 항상 실행 가능하지 않을 수도 있다. 이러한 조치는 산업제어시스템(ICS)의 운영 요구사항에 따라 일정을 잡아야 한다.

향상된 통제 수단:(7) 산업제어시스템(ICS) 추가적인 가이드: 산업제어시스템(ICS)이 보안 관련 무단 변경을 감지할 수 없는 상황에서 조직은 일반 맞춤화 가이드에 따라 보완 통제 수단(예: 수동 절차)을 이용한다.


SI-8 스팸 방지

통제번호



SI-8 스팸 방지 선택됨 선택됨SI-8(1) 스팸 방지 | 보호 메커니즘의 중앙 관리 선택됨 선택됨SI-8(2) 스팸 방지 | 자동 업데이트 선택됨 선택됨

산업제어시스템(ICS) 추가적인 가이드: 산업제어시스템(ICS)에서 스팸 전송 메커니즘, 기능 및 서비스(예: 전자 메일, 인터넷 접근)를 제거함으로써 산업제어시스템(ICS) 스팸 방지를 구현할 수 있다. 산업제어시스템(ICS)에 스팸 전송 메커니즘, 기능 및 서비스가 있는 경우 산업제어시스템(ICS)의 스팸 방지는 일반 목적 정보시스템과는 다른 산업제어시스템(ICS)의 운영 특성을 고려한다(예: 스팸으로서 감지되고 해석될 수 있는 비정상적인 트래픽 흐름). 보완 통제 수단의 예에는 화이트리스트 메일 전송 에이전트(MTA), 디지털 서명 메시지, 허용 가능한 출처 및 허용 가능한 메시지 유형이 있다.


G-91

향상된 통제 수단:(1) 산업제어시스템(ICS) 추가적인 가이드: 보완 통제 수단의 예에는 로컬 메커니즘 또는 절차를 이용하는 것이 있다.


SI-10 정보 입력 검증

통제번호



SI-10 정보 입력 검증 선택됨 선택됨


SI-11 오류 처리

통제번호



SI-11 오류 처리 선택됨 선택됨


SI-12 정보 처리 및 보관

통제번호



SI-12 정보 처리 및 보관 선택됨 선택됨 선택됨


SI-13 예측 가능한 결함 방지

통제번호



SI-13 예측 가능한 결함 방지 추가됨

산업제어시스템(ICS) 추가적인 가이드: 산업제어시스템(ICS)의 결함은 확률적


G-92

이거나 결정적일 수 있다. 결정적 결함의 분석은 시스템의 비 무작위적 속성에 기초하는 반면, 확률적 결함은 개연성 이론을 이용하여 분석할 수 있다. 산업제어시스템(ICS)에서 알려진 고장 모드 및 원인을 고려한다. 평균 고장수명(MTTF)과 같은 통계적 서술자의 계산 및 사용에서는 사이버 및 물리적 영역 내에서 그러한 결함이 나타나는 방식을 판단하기 위해 추가 분석을 통합해야 한다. 정보시스템의 결함은 쉽게 식별되지 않을 수 있으므로 결함이 산업제어시스템(ICS) 내에서 발생했는지 여부를 감지하기 위해 이러한 가능한 표시에 관한 지식이 필요할 수 있다. 정보시스템 및 물리적 공정 모두에서 발생할 수 있는 출현 속성은 잠재적으로 시스템 결함을 초래할 수 있으며 분석에 통합되어야 한다. 예를 들어, 산업제어시스템(ICS) 공정이 예기치 않게 오랜 기간 동안 실행되는 경우 자원 고갈의 누적된 결과(예: 메모리 누출) 또는 오류(예: 반내림 및 생략)가 발생할 수 있다. 결정적 결함(예: 정수 카운터 오버플로우)은 일단 식별되면 막을 수 있다.

때로는 대체 구성요소를 사용할 수 없거나 예상 결함 이전에 발생하는 고장으로부터 충분히 보호하지 못할 수 있다. 이러한 결함으로부터 보호하려면 비 자동화 메커니즘 또는 물리적 안전보장조치를 준비해야 한다.

잠재적으로 시스템/응용 프로그램에 영향을 미치는 포렌식스 연구에서 새로 발견된 취약점(즉, 잠복 중인 결함)에 관련된 정보뿐만 아니라 취약성 정보를 전파할 책임이 있는 조직(예: 산업제어시스템 사이버비상대응팀(ICS-CERT))은 보고된 유사한 패턴의 사고 또는 기타 연구원이 보고한 취약점의 분석에 기반을 두어 새로운 취약점을 식별할 수 있다.

관련 통제 수단: IR-5, IR-6, RA-5, SI-2, SI-5, SI-11.

통제 수단을 기준선에 추가하는 이론적 근거: 산업제어시스템(ICS)은 특정 경계 조건, 설계 매개 변수 및 환경 및 운영 모드에 관한 가정과 함께 설계되고 구축된다. 산업제어시스템(ICS)은 다른 환경에서는 나타나지 않는 잠복 중인 결함의 효력이 발생되도록 기존의 시스템 보다 훨씬 오래 실행될 수 있다. 예를 들어, 정수 오버플로우는 오버플로우의 발생 보다 더 자주 재초기화되는 시스템에는 발생하지 않을 수 있다. 산업제어시스템(ICS)에서의 이상 현상과 사고에 대한 경험 및 포렌식스 연구를 통해 예기치 않거나 뜻밖의, 이전에는 알려지지 않은 출현 속성을 식별하게 될 수 있다.


G-93

예방 및 복구 조치(예: 시스템 또는 응용 프로그램 다시 시작)는 신중하지만, 산업제어시스템(ICS)에서는 운영상의 이유로 허용되지 않을 수 있다.

SI-16 메모리 보호

통제번호



SI-16 메모리 보호 선택됨 선택됨


SI-17 고장 안전 절차

통제번호



SI-17 고장 안전 절차 추가됨 추가됨 추가됨

산업제어시스템(ICS) 추가적인 가이드: 선택된 결함 조건과 해당 절차는 기준선에 따라 다를 수 있다. 동일한 결함 사건은 영향도에 따라 서로 다른 대응을 유발할 수 있다. 고장 안전 절차를 보장하기 위한 메커니즘을 제공하기 위해 기계적인 아날로그 시스템을 사용할 수 있다. 고장 안전 상태는 인간 안전, 물리적 시스템 및 환경에 잠재적인 영향을 포함해야 한다. 관련 제어는 CP-6이다.

SI-17을 모든 기준선에 추가하는 이론적 근거: 이 통제 수단은 결함 및 기타 사고를 다루기 위한 조직의 정책 및 절차를 파악하기 위한 구조를 조직에 제공한다. 사고 및 적절한 대응을 선택하기 위한 결정 과정의 문서 기록을 작성하는 것은 운영 환경 변경의 관점에서 위험 관리의 일부이다.

조직 차원의 정보 보안 프로그램 관리 통제 - PM

조직 차원의 정보 보안 프로그램 관리 통제 단위의 특성

조직 차원의 정보 보안 프로그램 관리 통제 수단은 조직 전체에 전개되어 정보 보안 프로그램을 지원한다. 보안 통제 기준선과는 관련이 없으며, 모든 시스템 영향도와는 별도이다.


G-94



PM-1 정보 보안 프로그램 계획

통제번호


PM-1 정보 보안 프로그램 계획 정책 및 절차

산업제어시스템(ICS) 추가적인 가이드: 이 정책은 특별히 산업제어시스템(ICS) 고유의 속성과 요구사항, 비 산업제어시스템(ICS)과의 관계 및 산업제어시스템(ICS)의 운영 특성(예: 안전, 효율, 신뢰성, 회복성)과 관련이 있는 기타 프로그램과의 관계를 다룬다.

PM-2 정보 보안 고위 책임자

통제번호


PM-2 정보 보안 고위 책임자


PM-3 정보 보안 자원

통제번호


PM-3 정보 보안 자원

산업제어시스템(ICS) 추가적인 가이드: 자본 계획 및 투자 결정에서는 산업제어시스템(ICS) 전문가 뿐 아니라 기타 주제 관련 전문가(예: 정보 보안)들이 통지해야 할 모든 단계의 수명주기와 수요 및 관련된 모든 기술이 다루어진다. 자본 계획 및 투자 결정을 조언하기 위해 상호 규제 작업팀들을 집결하는 것은 장단점을 파악하고 상충되는 순수 가치, 목표 및 책임(예: 기능, 적응성, 회


G-95

복성, 안전, 보안, 유용성 및 효율) 간의 균형을 유지하는 데 도움이 된다.

PM-4 조치일정 절차

통제번호


PM-4 조치일정 절차

산업제어시스템(ICS) 추가적인 가이드: 조치일정에는 계산적이고 물리적인 산업제어시스템(ICS)의 구성요소 모두가 포함된다. 관찰된 결점 및 적절한 개선책의 기록은 단일 문서 또는 여러 공조 문서(예: 미래 설계 계획)에서 유지할 수 있다.

PM-5 정보시스템 목록

통제번호


PM-5 정보시스템 목록


PM-6 성능의 정보 보안 조치

통제번호


PM-6 성능의 정보 보안 조치


PM-7 기업 구조

통제번호


PM-7 기업 구조



G-96

PM-8 주요기반 계획

통제번호


PM-8 주요기반 계획


참조 문헌: 행정 명령 13636– 주요기반 사이버보안 향상(2013년 2월 12일)

PM-9 위험 관리 전략

통제번호


PM-9 위험 관리 전략

산업제어시스템(ICS) 추가적인 가이드: 조직 차원의 관점에서 임무/비즈니스의 성공에 영향을 미치는 조직의 기타 위험들과 함께 산업제어시스템(ICS)의 위험 관리를 고려한다. 조직 차원의 위험 관리 전략에는 적절한 부문별 가이드가 포함된다.

PM-10 보안 인가 절차

통제번호


PM-10 보안 인가 절차

산업제어시스템(ICS) 추가적인 가이드: 산업제어시스템(ICS)의 공정을 운영하는 인가에는 기존 승인 및 위험 관리 절차(예: 물리적 보안, 안전)를 포함하는 여러 규율이 있다. 조직 차원의 위험 관리에는 이러한 규율 사이의 조화가 필요하다.

PM-11 임무/비즈니스 프로세스 정의


G-97

통제번호


PM-11 임무/비즈니스 프로세스 정의

산업제어시스템(ICS) 추가적인 가이드: 임무/비즈니스 프로세스 개량에는 사이버 영역에서 발생하는 손상에서 물리적 자산을 보호하는 것을 필요로 한다. 이러한 수요는 조직에서 정의한 임무/비즈니스 수요, 명시된 수요를 충족하기 위해 선택된 임무/비즈니스 프로세스 및 조직의 위험 관리 전략에서 파생된다.

PM-12 내부자 위협 프로그램

통제번호


PM-12 내부자 위협 프로그램


PM-13 정보 보안 인력

통제번호


PM-13 정보 보안 인력

산업제어시스템(ICS) 추가적인 가이드: 정보 보안 인력 개발 및 향상 프로그램의 모든 측면에는 계산적이고 물리적인 산업제어시스템(ICS) 구성요소 모두에 관한 지식 및 기량이 포함된다.

PM-14 검증, 훈련 및 모니터링

통제번호


PM-14 검증, 훈련 및 모니터링



G-98

PM-15 보안 그룹 및 협회와 접촉

통제번호


PM-15 보안 그룹 및 협회와 접촉


PM-16 위협 인식 프로그램

통제번호


PM-16 위협 인식 프로그램

산업제어시스템(ICS) 추가적인 가이드: 조직은 잠재적인 사고에 관한 정보를 적시에 공유하고 협조해야 한다. 국토안보부(DHS) 국가 사이버보안 및 통신 통합 센터(NCCIC, http://www.dhs.gov/about-national-cybersecurity-communications- integration-center)는 사이버보안과 통신 의존에 관련된 운영 요소가 조정되고 통합되는 중앙 집중식 위치의 역할을 한다. 산업제어시스템(ICS) 사이버비상대응팀(ICS-CERT, http://ics-cert.us-cert.gov/ics-cert/)은 국제 및 민간 부문 컴퓨터 비상 대응 팀(CERT)과 제어시스템 관련 보안 사고 대처에 협력하고 완화 조치를 공유한다. 조직은 비밀로 분류되거나 분류되지 않은 모든 정보의 공유 기능을 겸비하는 것이 좋다.