보안 규격 IEC 62443 시리즈

국제 규격 시리즈 IEC 62443 "산업용 통신망 - 네트워크 및 시스템 보안"에서는 자동화 시 IT 보안을 달성하는 방법에 대해 다루고 있습니다. 주제 범위는 위험성 분석부터 보안 작동을 위한 요구사항 그리고 보안 제품 개발(설계 보안)에 이르기까지 다양합니다. 결과적으로 IEC 62443은 현재 플랜트 운영업체와 기계 제작업체 및 장치 제조업체를 위해 효과적인 산업 보안 구현을 위한 최적의 방향성을 제시합니다.

IEC 62443은 기반이 되는 산업 보안 요구사항, 구역과 통로 원칙, 보안 레벨, 보안 라이프사이클, 위험성 분석 등의 5개 분야를 다룹니다.

여기에서 중심은 보안 위험성 평가를 위한 절차로, 맞춤 보안 조치를 규정하기 위한 기준의 역할을 할 수 있습니다. 조직 레벨 조치 및 기술 조치 간의 상호작용 또한 강조됩니다. 최악의 경우, 기술 솔루션만으로는 보안이 유지되는 듯한 착각만 얻을 수 있습니다. 기술 조치는 인간의 조작으로 쉽게 취약해질 수 있기 때문입니다. 예를 들어, 비밀번호는 주기적으로 변경하고, 타인과 공유하지 않고, 장치에 보이도록 부착하지 않은 경우에만 보호 기능을 제공합니다.

OT 보안 요구사항을 충족하려면 산업 자동화 시스템에 심층 방어 접근법이 필요합니다. 필츠는 조직 레벨의 기술적 요구사항, 특히 IEC 62443의 요구사항을 구현하는 데 있어 자체 전문 지식을 활용해 기계 제작업체와 운영업체를 지원합나다.

산업 보안 컨셉과 규격 및 법적 요구사항 준수는 기업의 사이버 보안을 심지어 기계 레벨에서도 크게 개선해 줍니다. 

ISO/IEC TS 63074:2023

"기계류 안전 - 안전 관련 제어 시스템의 기능 안전과 관련한 보안 측면"

이 규격의 핵심 초점은 안전과 보안의 교차 지점입니다. 그에 따라 이 규격은 기계류 규정이 요구하는 바의 핵심에 닿아 있습니다. 이 규격은 보안 위협과 취약점을 식별할 때 IEC 62443 시리즈를 사용합니다. 이 규격은 보안 위협(무단 접근, 맬웨어, 사이버 공격 등)이 활용할 수 있는 안전 컨트롤러 취약점을 고려합니다. 목적은 안전 기능을 보호하여 이러한 기능이 실제로 보호 효과를 낼 수 있도록 하는 것입니다. 안전을 위해서는 “심층 방어” 원칙이 특히 권장됩니다.

이 문서는 사용 사례를 정의하고 적절한 위협 모델을 이에 적용합니다. 이는 보안 위협이 어떻게 안전에 영향을 주는지 이해할 수 있도록 사용자를 돕습니다. 사이버 공격의 다른 효과는 명시적으로 고려되지 않습니다.

ISO 27001 - 정보 보안 관리 시스템(Information Security Management Systems, ISMS)

NIS 2는 정보 보안 시스템의 관리에 대해 다룹니다. ISO/IEC 27001가 특히 주목을 받는데, 그 이유는 이 규격이 정보 보안을 위한 사실상의 표준으로 전 세계에서 인정받고 있으며 검증 가능하기 때문입니다. 이 규격은 정보 보안 관리 시스템의 요구사항을 규정합니다.

우리는 정보 보안에 대해서는 이야기하지만 IT 보안에 대해서는 이야기하지 않습니다. 왜냐하면 디지털이든 아날로그(수기 작성, 구두 발언, 시각적 요소)이든, 종이에 기재돼 있든 클라우드에 저장돼 있든 상관없이 모든 정보는 보호되어야 하기 때문입니다. 오늘날 많은 정보가 IT를 활용해 처리되므로, IT 보안이 수행해야 할 상응하는 역할이 있습니다.

필연적으로, 이 역할은 조직 내 모든 영역에서 정보 보안 위험을 최소화하는 것입니다. 따라서 이는 기계류와 OT 네트워크 같은 생산 수단에도 영향을 줍니다.

조직이 외부 요구사항(예: 법적 요구사항 또는 고객과의 계약)으로 인해 ISO/IEC 27001에 따른 ISMS를 필요로 하는 경우 또는 조직이 자체 이니셔티브(예: 자신을 보호하기 위한 경우 또는 대중 인지를 위해 품질 표준을 사용하는 경우)에 이를 구현하고자 하는 경우, 산업 사이버 보안 주제를 무시할 수는 없습니다.

이는 다시 한 바퀴 돌아 우리를 규격 IEC 62443으로 돌아가게 만드는데, 이 규격은 현재 산업 보안 영역에서 정보 보안 주제를 고려하기 위한 최선의 프레임워크를 제공합니다.

빠르게 증가하는 사이버 공격 위협은 엄청난 경제적 피해를 일으킬 잠재성을 수반하며, 기업, 산업 플랜트, 기계류 및 기계 구성품이 충족해야 할 최소한의 규격을 갖춘 법적 프레임워크의 전세계적인 도입으로 이어지고 있습니다. 사이버 보안은 새로운 요구사항으로서 특히 중요 인프라에서 절대적으로 필요합니다.

위험을 줄이기 위해 유럽의 입법자들은 새로운 규칙 세트를 도입했습니다.

기계류 규정

기계류 규정 2023/1230은 2023년 6월에 채택되었으며, 42개월의 과도 기간을 거친 후 모든 EU 국가에서 효력을 발휘하게 됩니다. 기계류 규정은 기계류 또는 기계 조립체의 제작업체, 즉 생산업체(OEM = Original Equipment Manufacturer) 및 시스템 통합업체에 대해 다룹니다. 앞으로 기계 제작업체는 그들의 기계류가 보안 요구사항을 포함한 기계류 규정을 준수함을 공표해야 합니다. 여기에는 부정 행위로부터의 보호는 물론 위험한 상황을 초래하려는 제3자의 악의적 시도에 저항하기 위한 조치도 포함됩니다. 기계류 규정의 준수는 적합성 선언에 공식적으로 공표해야 합니다. 기계에는 CE 마크가 시각적 표시로 부착됩니다. 새 기계류 규정의 요구사항을 충족하지 않는 기계류는 더 이상 EU에서 판매할 수 없을 것입니다.

필츠는 수년 동안 거의 모든 영역에서 적합성 절차와 관련해 기계 제작업체를 지원해 왔습니다. 여기에는 안전 컨셉, 위험 분석, 위험성 평가부터 적합성 선언까지 포함됩니다. 앞으로 필츠는 보안 측면도 살펴볼 예정입니다.

네트워크 및 정보 보안에 관한 두 번째 EU 지침(NIS 2) 2022/2555

네트워크 및 정보 보안에 관한 이 새로운 EU 지침(NIS 2)은 EU 내에서 "필수적이고 중요한" 항목들을 사이버 공격으로부터 균일한 수준으로 보호하도록 규제합니다. 기계류 규정과 달리, 이 지침은 기계가 아닌 기업을 위한 사이버 보안 요구사항을 서술합니다. 이 지침은 기업이 경제에 어느 정도로 중요한지(심각도)에 따라 다양한 영역에 대한 다양한 요구사항을 포함합니다. 예를 들어 에너지 공급 또는 철도 운송 부문의 기업은 높은 심각도를 가집니다. NIS 2에 의해 영향을 받는 다른 기업에는 50명 이상의 직원을 보유하거나 연매출이 천만 유로를 넘는 플랜트 및 기계 제작업체(덜 중요한 분야의 기업 포함)가 포함됩니다.

기업은 운용 및 조직 레벨의 기술적 조치를 취해 네트워크 및 정보 시스템의 보안과 관련한 위험을 관리해야 합니다. 여기에는 무엇보다도 관리자와 직원의 교육이 포함됩니다. 이와 관련해 전통적 사무실의 IT뿐만 아니라 OT 영역 및 산업 보안도 고려하는 것이 중요합니다.

사이버 리질리언스 법(2024/2847)

사이버 리질리언스 법(Cyber Resilience Act, CRA)은 디지털 요소를 포함하는 제품의 보안 속성을 개선하는 것을 목표로 합니다. 따라서 이는 제조업체 및 시장에 제품을 출시하는 업체와 관련이 있습니다. 여기에는 기계 제작업체도 포함됩니다. CRA는 의무 보안 요구사항을 전체 제품 라이프사이클에 도입합니다. CRA는 전체 라이프사이클에 대한 케어 의무를 요구하며, 이러한 의무에는 최소 5년의 기간 동안 제품의 보안 취약점이 드러나는 경우 제조업체가 운영업체의 패치 관리 프로세스를 위해 소프트웨어 업데이트를 제공할 의무도 포함됩니다. CRA가 발효되는 때부터 제품의 CE 마킹은 CRA를 준수할 것을 요구합니다. 따라서 CRA는 제품의 보안 속성과 관련해 NIS 2 지침과 기계류 규정을 보완합니다.