위험을 줄이기 위한 산업 보안

산업 보안은 용도가 다양하며 여러 레벨에서 동작합니다. OT 및 생산에서 산업 보안 원칙은 주로 인간의 행동이 유발하는 위험으로부터 기계류를 보호하는 역할을 합니다. 이 원칙은 사이버 공격이나 무단 조작과 같은 위험으로부터 기계류를 보호합니다.

하지만 잠재적 위험이나 공격 취약점은 어떻게 찾아낼 수 있을까요?

산업 보안을 위해 생산을 점검할 때 처음으로 해야 하는 일은 위험성 평가를 수행하는 것입니다. 이를 통해 기계가 “사이버 공간”에서 노출될 수 있는 위험 및 리스크를 파악하고, 이를 최소화하기 위해 취해야 하는 조치를 도출할 수 있습니다.

보안 위험성 평가는 반드시 다음 절차에 따라 수행해야 합니다.

1. 자산 식별: 무엇을 보호하고자 하는가?
2. 위협 분석: 보호하고자 하는 자산에 대한 위험은 무엇이 있는가?
3. 관련 보호 목표 결정: 어떤 목표를 달성하고자 하는가?
4. 위험 분석 및 평가: 위험이 발생할 가능성은 어느 정도인가?
5. 위협 벡터 분석
6. 보안 컨셉 생성 및 구현
7. 구현 검토
8. 정기적 재평가
9. 보호 조치 선택 및 구현: 잠재적 위험으로부터 어떻게 보호할 수 있는가?
10. 회복력 관리: 공격 발생 후 무엇을 해야 하는가? 보안 개념이 더욱 확고하게 회사에 자리잡도록 하려면 어떻게 해야 하는가?

보안 레벨은 플랜트 운영업체 또는 제조업체가 보안 조치를 사용하여 달성하고자 하는 보안 수준을 의미합니다. 관련 정보는 사전 위험성 평가를 통해 제공됩니다. 이 평가는 무엇을 보호해야 하는지를 규정하고, 이 자산이 공격당할 확률을 결정합니다. 보안 레벨(SL)은 이 평가 결과에 따라 선택됩니다. SL-2는 “적은 리소스, 일반적인 스킬 및 낮은 부여 동기를 가지고 간단한 수단을 이용하여 수행하는 의도적 위반 행위”로부터의 보호를 의미하며, 근래에는 최소 기준으로 간주됩니다. 이 최소 기준을 유지하려면 특정한 보안 성숙도를 갖추어야 합니다. 회사의 직원이 계속해서 자신의 비밀번호를 포스트잇에 써서 PC 화면에 붙여놓거나 필요한 업데이트를 수행하지 않는다면 아무리 좋은 방화벽도 소용이 없습니다. 회사가 보안 문제에 깊이 개입할수록 전반적인 보호 수준은 높아집니다. 따라서 총체적 보안 컨셉이 중요합니다.

한 눈에 보는 보안 레벨:

• 보안 레벨 1: 일시적이거나 우연한 위반 행위에 대한 보호
• 보안 레벨 2: 간단한 수단을 사용한 의도적 위반 행위에 대한 보호
• 보안 레벨 3: 정교한 수단을 이용한 의도적 위반 행위에 대한 보호
• 보안 레벨 4: 정교한 수단과 광범위한 리소스를 이용한 의도적 위반 행위에 대한 보호

표적에 따라 구체적인 방식으로 기계를 보호하려면 상세한 보안 위험성 평가가 필수적이지만, 일반적인 조치 또한 보안을 증대시킬 수 있습니다. 어떠한 조치든 있는 것이 없는 것보다 낫습니다. 다음의 전략은 기업에서 보안 조치를 구현하는 데 도움을 줍니다.

1. 심층 방어: 이 원칙은 침입자의 경로에 항상 새롭고 다른 장애물을 배치하는 것을 기반으로 합니다. 따라서 공격자는 목표를 달성하기가 더 어렵습니다. 핵심은 최대한 많은 레벨에 최대한 많은 장애물을 배치하는 것입니다. 왜냐하면 각각의 개별 조치는 당연히 무력화될 수 있기 때문입니다. 이 컨셉의 중요한 부분은 언제나 인간 요소를 고려하는 것입니다.

2. 조직의 조치: 기업의 전 직원이 보안 관련 사항을 체득하는 것이 중요합니다. 자체 직원은 물론 공급업체나 서비스 제공업체 같은 파트너에게도 적용되는 지침을 구축하는 것이 권장됩니다. 신뢰는 좋은 것이지만 통제는 더 좋은 것이므로, 모든 보안 책임자는 이러한 지침이 준수되는지 점검하고 필요한 경우 이를 지원해야 합니다.

3. 교육: 모든 사람이 IT 전문가는 아니므로, 직원을 대상으로 정기적으로 보안 교육을 실시해야 합니다. 필츠 세미나는 독일 슈투트가르트 근교 오스트필데른에 위치한 필츠 본사 또는 고객사에서 개최되거나 축약된 웨비나 형식으로 개최되며, 플랜트 및 기계류 설계자는 물론 운영자도 대상으로 합니다.

4. "구역 및 연결 라인" 세그먼트화: 보안 요건이 유사한 장치들로 이루어진 구역은 방화벽이나 안전 라우터를 사용하여 서로 분리해야 합니다. 이 경우, 구역 간 연결 라인을 사용하여 정보를 송수신할 권한이 있는 장치들만 그렇게 할 수 있습니다. 예를 들어, 안전 관련 장치의 경우 이 까다로운 표준 작업 없이도 별도의 구역 내에서 특별히 정교한 보호를 제공받을 수 있습니다.  

5. 방화벽: 라우터와 스위치도 보안 메커니즘을 지원할 수 있지만, 제어 네트워크에는 방화벽도 사용해야 합니다. 이는 예를 들어 공정 데이터의 무단 조작으로부터 공장 및 기계류의 제어 기술을 보호하는 데 도움이 됩니다.

6. 패치 관리: 패치는 소프트웨어에서 보안 취약점을 인지하게 되었을 때 특히 필요합니다. 이는 어플리케이션 소프트웨어 및 임베디드 소프트웨어와 관련된 사안입니다. 제조업체가 제공하는 패치와 업데이트 뿐 아니라 타사 소프트웨어(예: 업무용 어플리케이션, PDF 리더)도 고려해야 합니다. 패치 프로세스는 책임과 절차를 규정하는 데 도움이 됩니다.

산업 보안과 관련된 경우, IEC 62443를 보면 “기반 요구사항(foundational requirements)”이라고 불리는 일련의 기본 요구사항들을 확인할 수 있습니다. 이 요구사항들은 보안 증대를 위한 기술적 방법들을 추상적 방식으로 기술하고 있습니다.

신원 확인 및 접근 관리(IAC)

이 기능은 장치 및 장치가 포함하는 정보를 필요한 권한이 있는 합법적 엔티티만 액세스하거나 수정할 수 있도록 보장합니다. 이러한 권한은 플랜트나 설치 시설의 안전한 운용을 보장하기 위해 그리고 산업 자동화 및 제어 시스템(Industrial Automation and Control System, IACS)의 기능을 보장하기 위해 필요합니다.

사용 제어(Usage Control, UC)

사용 제어(UC)는 승인된 엔티티만 장치 및/또는 정보를 사용하여 유용하고 필수적인 작업을 수행할 수 있도록 보장하며, 이는 플랜트 또는 설치 시설의 안전과 생산성을 위해 필수적입니다. 따라서 이는 권한의 문제이며, "최소 권한" 원칙이 존중되어야 합니다.

시스템 무결성(System integrity, SI)

이 기반 요구사항은 통신 채널의 데이터에 어떠한 무단 변경도 수행할 수 없도록 하여 올바른 데이터만 제공되도록 보장합니다. 예를 들어, 표시되는 값은 실체 값에 상응해야 하며 무단 변조되어서는 안 됩니다. 

데이터 기밀성(Data Confidentiality, DC)

기계의 모든 데이터는 기밀성을 유지해야 하며 외부인 또는 승인되지 않은 내부인이 볼 수 있어서는 안 됩니다.

제한된 데이터 흐름

이 기반 요구사항은 데이터가 정말로 필요한 영역으로만 흐르도록 보장합니다. 이는 승인 없이 데이터를 보거나 변조할 수 있는 가능성을 줄여줍니다. 이는 시스템을 적절한 보안 레벨을 가진 구역과 연결 라인으로 나눌 수 있는 방식으로 시스템 아키텍처를 설계해야 함을 의미합니다. 단방향 게이트웨이나 데이터 다이오드와 같은 장치를 사용하는 것이 도움이 될 수 있습니다.

이벤트에 대한 적시 응답

IACS가 보안 침해에 대응하는 데 필요한 기능을 제공하도록 보장하는 것은 중요합니다. 여기에는 적절한 권한을 고지하고, 침해의 증거를 문서화하고, 그러한 사고가 확인되었을 때 적시에 수정 조치를 취하는 것이 포함됩니다.

리소스 가용성

IACS의 설계 및 운용 시, 시스템을 더 이상 제어할 수 없거나 최악의 경우 더 이상 안전한 상태로 돌릴 수 없는 상황이 발생하지 않도록 보장하는 것이 필요합니다.. 이는 안전 시스템이 플랜트를 안전한 상태로 전환하거나 서비스 거부(denial-of-service) 공격 상황에서 보호 기능을 수행할 수 없게 만들어서는 안됨을 의미합니다.

추가적인 시스템 요구사항이 이 기반 요구사항 각각에 대해 정의되어 있습니다. 이는 보안 조치의 구현을 위한 기준으로 사용할 수 있으며, 달성하고자 하는 기술적 보안 레벨에 따라 더 광범위해질 수 있습니다.