South Korea | 한국어

보안 규격 시리즈 IEC 62443

국제 규격 시리즈 IEC 62443 “산업용 통신망 - 네트워크 및 시스템 보안”에서는 자동화 속의 IT 보안에 대해 다루고 있습니다. 주제 범위는 리스크 분석부터 안전 작동 요구사항 그리고 안전한 제품 개발(설계 보안)에 이르기까지 다양합니다. 결과적으로 IEC 62443은 효과적인 보안을 구현하려는 플랜트 운영업체와 장치 제조업체를 위한 최적의 방향성을 제시합니다.
여기서는 다음과 같은 다섯 가지 주제를 다룹니다. 보안의 기본 요구사항, 구역과 통로의 원칙, 보안 레벨, 보안 라이프사이클 그리고 리스크 분석입니다.

보안 규격 시리즈 IEC 62443

규격의 핵심 부분에 대해 살펴보기

컴포넌트 제조업체 대상 시스템 통합업체 대상 운영업체 대상
62443-4-1 개발 과정 62443-2-4 지침 및 절차 62443-2-4 지침 및 절차
62443-4-2 컴포넌트에 맞는 보안 기능 62443-3-2 자동화 및 제어 시스템에 맞는 보안 기능 62443-2-1 작동 및 서비스
62443-3-3 전체 자동화 및 제어 시스템에 맞는 보안 기능

62443-3-3 전체 자동화 및 제어 시스템에 맞는 보안 기능

 

 

기본 보안 요구사항

보안 요구사항

기본 보안 요구사항(기초 요구사항)에는 다음이 포함됩니다.

  • 식별 및 인증
  • 사용 현황 추적
  • 시스템 무결성
  • 데이터의 기밀성
  • 제한적 데이터 흐름
  • 이벤트에 대한 적시 반응
  • 리소스의 가용성

이러한 각 기본 요구사항에 대해 보안 조치의 구현을 위한 토대로 사용할 수 있는 추가 시스템 요구사항을 정합니다.

보안 레벨

보안 레벨

보안 레벨은 플랜트 운영업체 또는 제조업체가 안전 조치를 사용하여 달성하고자 하는 안전 수준을 의미합니다. 정보는 사전 위험성 평가를 통해서 제공됩니다. 이것은 무엇을 보호해야 하는지를 규정하며, 이 자산이 공격당할 확률을 결정합니다. 보안 레벨(SL)은 이에 따라 선택됩니다. SL-2는 “적은 리소스, 일반적인 스킬 및 사소한 동기를 사용하는 간단한 수단을 이용하여 수행하는 의도적 위반 행위”로부터의 보호를 의미하며, 오늘날 최소 규격으로 간주됩니다. 이 최소 규격을 유지하려면 특정한 보안 성숙도를 갖추어야 합니다. 회사의 직원이 늘 자신의 암호를 포스트잇에 써서 PC 화면에 붙여놓거나 업데이트를 수행하지 않는다면 아무리 좋은 방화벽도 소용이 없습니다. 회사가 보안 문제에 깊이 개입할수록 전반적인 보호 수준은 높아집니다. 따라서 총체적 보안 컨셉이 중요합니다. 어플리케이션 방화벽 SecurityBridge는 총체적 컨셉의 일부로서의 높은 보안 레벨에 기여할 수 있습니다.

보안 레벨의 특징:
보안 레벨 1: 일시적이거나 우연한 위반 행위에 대한 보호
보안 레벨 2: 간단한 수단을 사용한 의도적 위반 행위에 대한 보호.
보안 레벨 3: 정교한 수단을 이용한 의도적 위반 행위에 대한 보호
보안 레벨 4: 확장 리소스를 사용하는 정교한 수단을 이용한 의도적 위반 행위에 대한 보호

보안 위험성 평가

보안 개발 프로세스는 일반 제품 개발 프로세스의 확장된 형태입니다. IEC 62443-4-1 – 안전한 제품 개발 라이프사이클 요구사항을 따르는, 규격을 준수하는 개발 프로세스의 한 가지 기본적인 측면은 위험성 평가를 수행하는 것입니다. 이를 통해 제품이 “사이버 공간”에서 노출될 수 있는 위험 및 리스크를 파악하고 이를 최소화하기 위한 조치를 도출합니다.

보안 위험성 평가는 반드시 다음과 같은 6단계에 따라 수행해야 합니다.

  1. 자산 식별: 무엇을 보호하고자 하는가?
  2. 위협 분석: 보호하고자 하는 자산에 대한 리스크는 무엇인가?
  3. 타당성 있는 보호 목표 결정: 어떤 목표를 달성하고자 하는가?
  4. 리스크 분석 및 평가: 리스크가 발생할 가능성은 어느 정도인가?
  5. 보호 조치 선택 및 구현: 가능한 리스크로부터 어떻게 보호할 수 있는가?
  6. 회복력 관리: 공격 발생 후 어떻게 해야 하는가? 어떻게 하면 회사에서 보안을 더욱 강력하게 공고히 할 수 있는가?
보안 위험성 평가

보안 라이프사이클

보안 라이프사이클

보안은 “움직이는 표적”입니다. 다시 말해 프로젝트의 라이프사이클 중에도 보안은 달라집니다. 공격자는 방어 조치를 극복하기 위해 점점 더 나은 방법을 개발하므로, 사이버 공격에 대한 방어 조치도 지속적으로 개선되어야 합니다. 이에 대한 1차적 책임은 플랜트 운영업체에게 있습니다. 효과적인 보안 전략은 플랜트의 서비스 수명을 늘릴 수 있습니다. 기계 제작업체와 컴포넌트 제조업체는 새로운 안전 문제가 발생하면 즉시 운영업체에 알려야 합니다. 이들은 고객이 취약점을 해결할 수 있도록 장치 소프트웨어의 업데이트를 제공해야 합니다. 시스템 통합업체가 프로세스에 관여하는 경우에는 제조업체와 운영업체 사이에서 중재자 역할을 합니다. 관련된 모든 사람이 제품 라이프사이클 전 과정에서 긴밀하게 협력하는 것이 중요합니다. 그래야만 높은 수준의 보호가 이루어질 수 있습니다.

Security 4.0에 대한 추가 정보

Contact

Pilz Korea "The Spirit of Safety" - Seoul HQ
성남시 분당구 판교로 228번길 17, 이랜텍동 4층 (13487)
경기도
South Korea

전화: +82 31 778 3300
E-메일: info@pilz.kr

필츠코리아 세일즈 연락처

전화: +82 31 778 3300
E-메일: info@pilz.kr

기술 지원

전화: +82 31 778 3390
E-메일: techsupport@pilz.kr