국제 규격 시리즈 IEC 62443 “산업용 통신망 - 네트워크 및 시스템 보안”에서는 자동화 속의 IT 보안에 대해 다루고 있습니다. 주제 범위는 리스크 분석부터 안전 작동 요구사항 그리고 안전한 제품 개발(설계 보안)에 이르기까지 다양합니다. 결과적으로 IEC 62443은 현재 플랜트 운영업체와 장치 제조업체를 위해 효과적인 보안 구현을 위한 최적의 방향성을 제시합니다.
이 규격은 기본적인 산업 보안 요구사항, 구역과 통로의 원칙, 보안 레벨, 보안 라이프사이클, 위험성 분석 등의 5개 분야를 다룹니다.
보안 규격 시리즈 IEC 62443
규격의 핵심 부분에 대해 살펴보기
| 구성품 제조업체 대상 | 시스템 통합업체 대상 | 운영업체 대상 |
|---|---|---|
| 62443-4-1 개발 프로세스 | 62443-2-4 지침 및 절차 | 62443-2-4 지침 및 절차 |
| 62443-4-2 구성품에 맞는 보안 기능 | 62443-3-2 자동화 및 제어 시스템에 맞는 보안 기능 | 62443-2-1 운영 및 서비스 |
| 62443-3-3 전체 자동화 및 제어 시스템에 맞는 보안 기능 |
산업 안전 규격에 맞추어 이중으로 안전한 제품 개발
필츠는 안전 전문 기업입니다. 필츠는 제품이 안전할 뿐만 아니라 보안성도 좋아야 한다고 믿습니다. 그래서 개발 프로세스에 대한 정밀 조사와 “보안 개발 라이프사이클 프로세스(SDL 프로세스)”라는 안전한 제품 개발에 대해 규정한 IEC 62443-4-1을 기준으로 한 테스트를 TÜV Süd에 의뢰했습니다. 이 접근 방법에서는 신제품을 설계하는 중에도 잠재적 보안 특성을 검사합니다. 이는 개발 프로세스 중에 위협을 모델링하고 이를 제품 내에서 시정함으로써 제품의 모든 보안 위험을 감지하기 위한 것입니다.
이 감사의 결과: 필츠의 개발은 규격의 요건을 충족하며 SDL 프로세스를 준수합니다. 결과적으로 필츠는 확신을 가지고 다음과 같이 말할 수 있습니다. 필츠의 개발 프로세스는 안전할 뿐만 아니라 보안성도 높습니다!
TÜV Süd에 따르면, IEC 62443-4-1에 의거한 보안 제품 개발은 필츠에서 매우 진지하게 다루고 있으며 후속 제품 인증을 위한 확고한 토대를 형성합니다.
기본 산업 보안 요구사항
기본 보안 요구 사항(기초 요구사항)에는 다음이 포함됩니다.
- 식별 및 인증
- 사용 제어
- 시스템 무결성
- 데이터의 기밀성
- 제한적 데이터 흐름
- 이벤트에 대한 적시 반응
- 리소스의 가용성
이러한 각 기본 요구 사항에 대해 보안 조치의 구현을 위한 토대로 사용할 수 있는 추가 시스템 요구 사항을 정합니다.
보안 레벨
보안 레벨은 플랜트 운영업체 또는 제조업체가 보안 조치를 사용하여 달성하고자 하는 보안 수준을 의미합니다. 정보는 사전 위험성 평가에 따라 제공됩니다. 이것은 무엇을 보호해야 하는지를 규정하며, 이 자산이 공격당할 확률을 결정합니다. 보안 레벨(SL)은 이에 따라 선택됩니다. SL-2는 “적은 리소스, 일반적인 스킬 및 낮은 동기 부여를 가지고 간단한 수단을 이용하여 수행하는 의도적 위반 행위”로부터의 보호를 의미하며, 현재는 최소 규격으로 간주됩니다. 이 최소 규격을 유지하려면 특정한 보안 성숙도를 갖추어야 합니다. 회사의 직원이 늘 자신의 암호를 포스트잇에 써서 PC 화면에 붙여놓거나 업데이트를 수행하지 않는다면 아무리 좋은 방화벽도 소용이 없습니다. 회사가 보안 문제에 깊이 개입할수록 전반적인 보호 수준은 높아집니다. 따라서 총체적 보안 컨셉이 중요합니다. 어플리케이션 방화벽 SecurityBridge는 총체적 컨셉의 일부로서의 높은 보안 레벨에 기여할 수 있습니다.
보안 레벨의 특징:
보안 레벨 1: 일시적이거나 우연한 위반 행위에 대한 보호
보안 레벨 2: 간단한 수단을 사용한 의도적 위반 행위에 대한 보호.
보안 레벨 3: 정교한 수단을 이용한 의도적 위반 행위에 대한 보호
보안 레벨 4: 확장 리소스를 사용하는 정교한 수단을 이용한 의도적 위반 행위에 대한 보호
산업 보안 위험성 평가
보안 개발 프로세스는 일반 제품 개발 프로세스의 확장된 형태입니다. IEC 62443-4-1 – 안전한 제품 개발 라이프사이클 요구사항을 따르는, 규격을 준수하는 개발 프로세스의 한 가지 기본적인 측면은 위험성 평가를 수행하는 것입니다. 이를 통해 제품이 “사이버 공간”에서 노출될 수 있는 위험 및 리스크를 파악하고 이를 최소화하기 위한 조치를 도출합니다.
보안 위험성 평가는 반드시 다음과 같은 6단계에 따라 수행해야 합니다.
- 자산 식별: 무엇을 보호하고자 하는가?
- 위협 분석: 보호하고자 하는 자산에 대한 리스크는 무엇인가?
- 타당성 있는 보호 목표 결정: 어떤 목표를 달성하고자 하는가?
- 리스크 분석 및 평가: 리스크가 발생할 가능성은 어느 정도인가?
- 보호 조치 선택 및 구현: 가능한 리스크로부터 어떻게 보호할 수 있는가?
- 회복력 관리: 공격 발생 후 어떻게 해야 하는가? 보안에 대한 개념이 더욱 확고하게 회사에 자리잡도록 하려면 어떻게 해야 하는가?
산업 보안 라이프사이클
보안은 “움직이는 표적”입니다. 다시 말해 프로젝트의 라이프사이클 중에도 보안은 달라집니다. 공격자는 방어 조치를 극복하기 위해 점점 더 나은 방법을 개발하므로, 사이버 공격에 대한 방어 조치도 지속적으로 개선되어야 합니다. 이에 대한 1차적 책임은 플랜트 운영업체에게 있습니다. 효과적인 보안 전략은 플랜트의 서비스 수명을 늘릴 수 있습니다. 기계 제작업체와 구성품 제조업체는 새로운 보안 문제가 발생하면 즉시 운영업체에 알려야 합니다. 이들은 고객이 취약점을 해결할 수 있도록 장치 소프트웨어의 업데이트를 제공해야 합니다. 시스템 통합업체가 프로세스에 관여하는 경우에는 제조업체와 운영업체 사이에서 중재자 역할을 합니다. 관련된 모든 사람이 제품 라이프사이클 전 과정에서 긴밀하게 협력하는 것이 중요합니다. 그래야만 높은 수준의 보호가 이루어질 수 있습니다.
Security 4.0에 대한 추가 정보
본사
Pilz GmbH & Co. KG
Felix-Wankel-Straße 2
73760 Ostfildern
독일어
전화: +49 711 3409-0
E-메일: pilz.gmbh@pilz.de
기술 지원
전화: +49 711 3409 444
E-메일: support@pilz.com
아메리카
- 멕시코: +52 55 5572 1300
- 브라질: + 55 11 4942-7032
- 미국 (무료): +1 877-PILZUSA (745-9872)
- 캐나다: +1 888-315-PILZ (315-7459)
유럽
- 아일랜드: +353 21 4804983
- 오스트리아: +43 1 7986263-444
- Finland: +358 10 3224030 / +45 74436332
- 이탈리아: +39 0362 1826711
- 러시아: +7 495 6654993
- Spain: +34 938497433
- Denmark: +45 74436332
- 스위스: +41 62 889 79 32
- 독일: +49 711 3409 444
- 벨기에: +32 9 321 75 70
- 터키: +90 216 5775552
- Netherlands: +31 347 320477
- France (무료): +33 3 88104000
- Sweden: +46 300 13990 / +45 74436332
- Portugal: +351 229 407 594
- 영국: +44 1536 460866
아시아 태평양
- South Korea: +82 31 778 3390
- New Zealand: +64 9 6345350
- 일본: +81 45 471 2281
- 대만: +886 2 25700068
- 싱가포르: +65 6829 2920
- 태국: +66 210 54613
- China: +86 400-088-3566
- 오스트레일리아 (무료): +61 3 9560 0621 / 1300 723 334