KISA, ¡®½ÉÃþ ¹æ¾î Àü·«À» ÅëÇÑ »ê¾÷Á¦¾î½Ã½ºÅÛ(ISCS) »çÀ̹öº¸¾È °³¼±' º¸°í¼ ÇѱÛÆÇ ¹ßÇ¥
[º¸¾È´º½º ±Ç ÁØ ±âÀÚ] ¹Ì±¹ ±¹Åä¾Èº¸ºÎ(DHS)°¡ ¹ß°£ÇÑ ¡®½ÉÃþ ¹æ¾î Àü·«À» ÅëÇÑ »ê¾÷Á¦¾î½Ã½ºÅÛ(ISCS) »çÀ̹öº¸¾È °³¼±(Improving Industrial Control System Cybersecurity with Defense-in-Depth Strategies)¡¯À̶ó´Â Á¦¸ñÀÇ ¿¬±¸º¸°í¼´Â À¯°ü±â°ü ¹× ±â¾÷¿¡¼ »ê¾÷Á¦¾î½Ã½ºÅÛ º¸¾ÈÀ» ¼öÇàÇϱâ À§ÇØ ¸Å¿ì À¯¿ëÇÑ Âü°íÀÚ·á¶ó°í ÇÒ ¼ö ÀÖ´Ù. ÀÌ·¯ÇÑ °¡¿îµ¥ Çѱ¹ÀÎÅͳÝÁøÈï¿ø(KISA)¿¡¼ ÃÖ±Ù ÇØ´ç º¸°í¼ÀÇ ÇÑ±Û ¹ø¿ªÆÇÀ» ¹ßÇ¥ÇØ °ü½ÉÀÌ ¸ð¾ÆÁö°í ÀÖ´Ù. ÀÌ¿¡ º»Áö¿¡¼´Â »ê¾÷Á¦¾î½Ã½ºÅÛ º¸¾ÈÀ» À§ÇÑ ±ÇÀå»çÇ× ºÎºÐÀ» Áß½ÉÀ¸·Î »ìÆ캻´Ù.
[À̹ÌÁö=utoimage]
ÃֽŠ»ê¾÷Á¦¾î½Ã½ºÅÛ(ICS)Àº Á¾Á¾ IT ¹× ºñÁö´Ï½º ³×Æ®¿öÅ©¿¡¼ »ç¿ëµÇ´Â °Í°ú µ¿ÀÏÇÑ ±âº» ÇÁ·ÎÅäÄÝÀ» »ç¿ëÇÏÁö¸¸, ¿î¿µ ¹× °¡¿ë¼º ¿ä±¸»çÇ×°ú °áÇÕµÈ Á¦¾î½Ã½ºÅÛÀÇ ±â´É¿¡ µû¶ó ¾ÈƼ ¹ÙÀÌ·¯½º¿Í °°Àº º¸¾È ±â¼úÀÌ ºÎÀûÀýÇÒ ¼ö ÀÖ´Ù.
¿¡³ÊÁö, ¿î¼Û ¹× ÈÇÐ ¹°Áú°ú °°Àº ÀϺΠºÐ¾ß¿¡¼´Â ½Ã°£¿¡ ´ëÇÑ ¸Å¿ì ¹Î°¨ÇÑ ¿ä±¸»çÇ×ÀÌ Àֱ⠶§¹®¿¡ º¸¾È ¼Ö·ç¼Ç¿¡¼ ¹ß»ýÇÏ´Â ´ë±â ½Ã°£ ¹× 󸮷® ¹®Á¦·Î ÀÎÇØ Çã¿ëÇÒ ¼ö ¾ø´Â Áö¿¬ÀÌ ¹ß»ýÇÏ°í ÃÖÀûÀÇ ½Ã½ºÅÛ ¼º´ÉÀÌ ÀúÇϵǰųª ³·¾ÆÁú ¼ö ÀÖ´Ù. Á¦¾î ³×Æ®¿öÅ©°¡ µ¶¸³Çü µµ¸ÞÀο¡¼ ȸ»ç IT ȯ°æ°ú °øÁ¸ÇÏ´Â »óÈ£ ¿¬°áµÈ ³×Æ®¿öÅ©·Î ¹ßÀüÇÔ¿¡ µû¶ó ½Ã½ºÅÛ °ü¸®ÀÚ´Â ±â´ÉÀ» ¹æÇØÇÏÁö ¾Ê´Â ´ëÃ¥À» Àû¿ëÇØ¾ß ÇÑ´Ù. È¿°úÀûÀÎ º¸¾È Àü·«À» ¼ö¸³ÇÏ·Á¸é Ãë¾à¼º ¹× °ü·Ã ħÀÔ¿ä¼Ò¸¦ ÀÌÇØÇÏ°í ¾Ç¿ëÇÏ´Â ¹æ¹ýÀ» ÀÌÇØÇØ¾ß ÇÑ´Ù.
»çÀü´ëºñ º¸¾È ¸ðµ¨(Proactive Security Model)
¡ã»çÀü´ëºñ º¸¾È(Proactive Security) ¸ðµ¨[ÀÚ·á=DHS/ÇѱÛÆÇ=KISA]
°·ÂÇÑ ½ÉÃþ ¹æ¾î Àü·«Àº À§Çù°ú À§ÇèÀ» ½Äº°ÇÏ°í ÀÌ·¯ÇÑ À§Çù°ú ¿µÇâ¿¡ ´ëÇÑ À§ÇèÀ» Æò°¡ÇÑ´Ù. ÀÌ Àü·«Àº ¶ÇÇÑ »ê¾÷Á¦¾î½Ã½ºÅÛ(ICS) ¾ÆÅ°ÅØó¸¦ ¸ÅÇÎÇÏ°í ¸ðµç »ê¾÷Á¦¾î½Ã½ºÅÛ(ICS) ÀÚ»êÀÇ Æ÷°ýÀûÀÎ Àç°í ¸ñ·ÏÀ» °³¹ßÇÑ´Ù. Á¤È®ÇÏ°í Àß ¹®¼ÈµÈ Àç°í ¸ñ·ÏÀ» º¸À¯ÇÑ Á¶Á÷Àº ½Ã½ºÅÛ ¿î¿µ¿¡ ´ëÇÑ Çö½ÇÀûÀÎ À§Çè ºÐ¼®À» ¼öÇàÇÑ ´ÙÀ½, ÀÚ»ê ¿ì¼±¼øÀ§¿¡ µû¶ó º¸¾È ÅëÁ¦¸¦ Àû¿ëÇÏ°í È¿°úÀûÀÎ º¸¾È ´ëÃ¥À» ±¸ÃàÇØ Ãë¾à¼ºÀ» °ü¸®ÇÒ ¼ö ÀÖ´Ù.
»ê¾÷Á¦¾î½Ã½ºÅÛ(ICS)À» À§ÇÑ 5°¡Áö ÁÖ¿ä º¸¾È ´ëÃ¥
»ê¾÷Á¦¾î½Ã½ºÅÛ È¯°æ¿¡¼ º¸¾È È°µ¿À» ÃßÁøÇÏ´Â µ¥ »ç¿ëÇÒ ¼ö ÀÖ´Â 5°¡Áö ÁÖ¿ä ´ëÀÀÃ¥Àº ´ÙÀ½°ú °°´Ù. ÀÌ·¯ÇÑ ´Ü°è¸¦ Àû¿ëÇÏ¸é º¸´Ù °·ÂÇÑ º¸¾È ȯ°æÀ» ±¸ÃàÇÒ ¼ö ÀÖ´Â ±â¹ÝÀÌ ¸¶·ÃµÉ ¼ö ÀÖÀ¸¸ç, ¿î¿µÃ¼Á¦¿¡ ´ëÇÑ À§ÇèÀ» Å©°Ô ÁÙÀÏ ¼ö ÀÖ´Ù.
1. ICS¿¡ ´ëÇÑ ¸ðµç ³×Æ®¿öÅ© ¿¬°áÀ» ½Äº°, ÃÖ¼ÒÈ ¹× º¸È£ÇÑ´Ù.
2. ºÒÇÊ¿äÇÑ ¼ºñ½º, Æ÷Æ® ¹× ÇÁ·ÎÅäÄÝÀ» ºñÈ°¼ºÈÇÏ¿© ICS ¹× Áö¿ø ½Ã½ºÅÛÀ» °ÈÇÏ°í, »ç¿ë °¡´ÉÇÑ º¸¾È ±â´ÉÀ» È°¼ºÈÇÏ°í, °·ÂÇÑ ±¸¼º °ü¸® »ç·Ê¸¦ ±¸ÇöÇÑ´Ù.
3. ICS, ³×Æ®¿öÅ© ¹× »óÈ£¿¬°áÀÇ º¸¾ÈÀ» Áö¼ÓÀûÀ¸·Î ¸ð´ÏÅ͸µÇÏ°í Æò°¡ÇÑ´Ù.
4. ICS ½Ã½ºÅÛ ¹× ³×Æ®¿öÅ© º¸¾È¿¡ ´ëÇÑ À§Çè ±â¹Ý ½ÉÃþ ¹æ¾î Á¢±Ù ¹æ½ÄÀ» ±¸ÇöÇÑ´Ù.
5. Àη °ü¸®- ICSÀÇ ¿ä±¸»çÇ×À» ¸íÈ®ÇÏ°Ô ½Äº°ÇÏ°í, ¼º´É¿¡ ´ëÇÑ ±â´ëÄ¡¸¦ ¼³Á¤Çϸç, °³ÀÎÀÇ ¼º°ú¿¡ ´ëÇÑ Ã¥ÀÓÀ» Áöµµ·Ï ÇÑ´Ù. Á¤Ã¥À» ¼ö¸³ÇÏ°í ¸ðµç ¿î¿µÀÚ¿Í °ü¸®ÀÚ¿¡°Ô ICS º¸¾È ±³À°À» Á¦°øÇÑ´Ù.
»ê¾÷Á¦¾î½Ã½ºÅÛ º¸¾È ¹× À§Çè Ç¥ÁØ »ç·Ê
±â¾÷À̳ª Á¶Á÷ÀÌ »ê¾÷Á¦¾î½Ã½ºÅÛ(ICS)ÀÇ º¸¾È ¹× °ü¸®¸¦ À§ÇÑ ±âÁØÀ¸·Î È°¿ëÇÒ ¼ö ÀÖ´Â ±âÁ¸ÀÇ º¸¾È ¹× À§Çè Ç¥ÁØ°ú ÁöħÀÌ ¸¹ÀÌ ÀÖ´Ù. ÁÖ¿ä±â¹Ý½Ã¼³(Critical Infrastructure) ºÎ¹®¿¡ µû¶ó, ÀÌ·¯ÇÑ Ç¥ÁØÀº ¹ý·ü ¶Ç´Â ÇØ´ç ºÐ¾ßÀÇ ±ÇÀ§ ÀÖ´Â °ü¸® ±â±¸°¡ ¿ä±¸ÇÏ´Â Á¶Á÷¿¡ Àû¿ëµÉ ¼ö ÀÖ´Ù. ´Ù¸¥ Ç¥ÁØ ¹× ÁöħÀº Á¶Á÷ÀÌ ¾÷°è ¸ð¹ü »ç·Ê¸¦ ±â¹ÝÀ¸·Î °·ÂÇÑ ICS º¸¾È ¹× À§Çè °ü¸® ÇÁ·Î±×·¥À» °³¹ßÇÏ´Â µ¥ µµ¿òÀÌ µÉ ¼ö ÀÖ´Ù.
ºÏ¹ÌÀü·Â ½Å·Ú¼º À§¿øȸ(NERC)-ÁÖ¿ä ±â¹Ý º¸È£(CIP)
ºÏ¹ÌÀü·Â ½Å·Ú¼º À§¿øȸ(NERC)´Â ºñ¿µ¸® ±¹Á¦ ±ÔÁ¦±â°üÀ¸·Î ºÏ¹Ì Áö¿ªÀÇ Àü·Â ½Ã½ºÅÛÀÇ ½Å·Ú¼ºÀ» È®º¸ÇÏ´Â °ÍÀÌ ÀÓ¹«´Ù. NERC´Â ½Å·Ú¼º Ç¥ÁØÀ» °³¹ßÇÏ°í ½ÃÇàÇÏ¸ç ¸Å³â Á¤±âÀûÀ¸·Î ½Å·Ú¼ºÀ» Æò°¡ÇÑ´Ù.
½Ã½ºÅÛ ÀνÄÀ» ÅëÇØ Àü·Â½Ã½ºÅÛÀ» °¨½ÃÇÏ¸ç ¾÷°è Á÷¿øÀ» ±³À°, ÈÆ·Ã ¹× ÀÎÁõÇÑ´Ù. NERCÀÇ Ã¥ÀÓ ¿µ¿ªÀº ¹Ì±¹, ij³ª´Ù ¹× ¸ß½ÃÄÚ ¹ÙÇÏ Ä¶¸®Æ÷´Ï¾Æ ºÏºÎ¿¡ °ÉÃÄ ÀÖ´Ù. NERC´Â ¹Ì±¹ ¿¬¹æ ¿¡³ÊÁö ±ÔÁ¦À§¿øȸ(FERC)¿Í ij³ª´Ù Á¤ºÎ±â°üÀÇ °¨µ¶À» ¹Þ´Â ºÏ¹Ì Áö¿ªÀÇ Àü±â ½Å·Ú¼º Á¶Á÷(ERO)ÀÌ´Ù. NERCÀÇ °üÇұǿ¡´Â Àü·Â ½Ã½ºÅÛÀÇ »ç¿ëÀÚ, ¼ÒÀ¯ÀÚ¿Í ¿î¿µÀÚ°¡ Æ÷ÇԵȴÙ. NERC ÁÖ¿ä ±â¹Ý º¸È£(CIP) Ç¥ÁØÀº ´ë·® Àü·Â ½Ã½ºÅÛ ÀÚ»êÀ» º¸È£Çϱâ À§ÇÑ ÀÏ·ÃÀÇ ¿ä±¸»çÇ× ¹× °í·Á»çÇ×À» Á¦°øÇÏÁö¸¸, ICS º¸È£¸¦ À§ÇÑ ¸ð¹ü »ç·Ê·Î ´Ù¸¥ »ê¾÷¿¡µµ Àû¿ëÇÒ ¼ö ÀÖ´Ù.
NIST »ê¾÷Á¦¾î½Ã½ºÅÛ ÇÁ·¹ÀÓ¿öÅ©
¹Ì±¹Ç¥Áرâ¼ú¿¬±¸¼Ò(NIST)´Â 2014³â 2¿ù 12ÀÏ¿¡ ¡®ÁÖ¿ä±â¹Ý½Ã¼³(Critical Infrastructure) »çÀ̹öº¸¾ÈÀ» °³¼±Çϱâ À§ÇÑ ÇÁ·¹ÀÓ¿öÅ©¡®ÀÇ Ã¹ ¹ø° ¹öÀüÀ» ¹ßÇ¥Çß´Ù. »ê¾÷°ú Á¤ºÎ °£ÀÇ Çù·ÂÀ» ÅëÇØ ¸¸µé¾îÁø ÇÁ·¹ÀÓ¿öÅ©´Â ÁÖ¿ä±â¹Ý½Ã¼³ º¸È£¸¦ ÃËÁøÇϱâ À§ÇÑ Ç¥ÁØ, Áöħ ¹× »ç·Ê·Î ±¸¼ºµÈ´Ù.
NIST »ê¾÷Á¦¾î½Ã½ºÅÛ ÇÁ·¹ÀÓ¿öÅ©´Â ICS º¸¾ÈÀ» À§ÇÑ Æ÷°ýÀûÀÎ ±ÇÀå »çÇ×À» Á¦°øÇÑ´Ù. Á¶Á÷Àº ÀÌ ¼Ö·ç¼ÇÀ» ´Üµ¶À¸·Î »ç¿ëÇϰųª Ưº° ¹ßÇà(SP)½Ã¸®Áî¿Í °°Àº ´Ù¸¥ NIST Ç¥ÁØ°ú ÇÔ²² »ç¿ëÇÒ ¼ö ÀÖ´Ù.
»ê¾÷Á¦¾î½Ã½ºÅÛ ½ÉÃþ¹æ¾î¸¦ À§ÇÑ µµ±¸ ¹× ¼ºñ½º
¹Ì±¹ ±¹Åä¾Èº¸ºÎ(DHS)ÀÇ »ê¾÷Á¦¾î½Ã½ºÅÛ »çÀ̹öºñ»ó´ëÀÀÆÀ(ICS-CERT)Àº ¸ðµç ÁÖ¿ä±â¹Ý½Ã¼³ºÎ¹®°ú °ü·ÃµÈ Á¶Á÷ÀÌ »ê¾÷Á¦¾î½Ã½ºÅÛÀÚ»êÀÇ º¸¾È »óŸ¦ °³¼±ÇÏ´Â µ¥ µµ¿òÀÌ µÇ´Â ÁÖÁ¦º° Àü¹® Áö½Ä, µµ±¸ ¹× ¼ºñ½º¸¦ Á¦°øÇÑ´Ù. ICS-CERT´Â Á¶Á÷¿¡ ¹«·á·Î Æò°¡(eval) ¹× Áø´Ü(assess)À» Á¦°øÇÑ´Ù. ½Ã½ºÅÛÀÇ º¹À⼺¿¡ µû¶ó ICS-CERT´Â Çѹø ¹æ¹®À» ÅëÇØ Áø´ÜÀ» ¼öÇàÇÒ ¼ö ÀÖ´Ù. ICS-CERT´Â ±ÔÁ¦±â°üÀÌ ¾Æ´Ï¹Ç·Î ¸ðµç Æò°¡´Â ¹Ì±¹ Àü¿ªÀÇ ÁÖ¿ä±â¹Ý½Ã¼³ »çÀ̹öº¸¾È ¼öÁØÀ» ³ôÀÌ´Â °øÅë ¸ñÇ¥¸¦ ÇâÇÑ Çù¾÷ ¿¬½ÀÀ¸·Î °£ÁֵȴÙ.
»çÀ̹öº¸¾È Æò°¡ µµ±¸(CSET)¢ç
ICS-CERT´Â ÀÚ»ê ¼ÒÀ¯ÀÚ°¡ »çÀ̹öº¸¾È Æò°¡¸¦ ¼öÇàÇÒ ¼ö ÀÖ´Â ÀÚü Æò°¡ ¼ÒÇÁÆ®¿þ¾îÀÎ »çÀ̹öº¸¾È Æò°¡ µµ±¸(CSET)¸¦ Á¦°øÇÑ´Ù. ±¹Åä¾Èº¸ºÎ(DHS)´Â »ç¿ëÀÚ°¡ ÀÚ½ÅÀÇ ºÐ¾ß¿¡ °¡Àå ÀûÇÕÇÑ Ç¥ÁØ ¹× »ç·Ê¸¦ ±â¹ÝÀ¸·Î »çÀ̹öº¸¾È »óŸ¦ Æò°¡ÇÒ ¼ö ÀÖ´Â CSET¸¦ °³¹ßÇß´Ù.
CSET´Â ¼±ÅÃÇÑ »çÀ̹öº¸¾È Ç¥ÁØ ¹× ¸ð¹ü »ç·Ê¿Í °ü·ÃµÈ Áú¹®¿¡ »ç¿ëÀÚ ÀÔ·ÂÀ» ¸ÅÇÎÇÑ´Ù. ´Ù¾çÇÑ ÁÖ¿ä±â¹Ý½Ã¼³ ÀÌÇØ °ü°èÀÚ¿Í Çù·ÂÇØ »ç¿ëÀÚÀÇ Æí¸®ÇÑ CSET Æò°¡¸¦ ÃæÁ·Çϱâ À§ÇØ ¿©·¯ °¡Áö¸¦ º¸°í ¿É¼ÇÀ» »ç¿ëÇÒ ¼ö ÀÖ´Ù. CSET Æò°¡ ÇÁ·Î¼¼½º´Â ICS-CERT Æ÷Æ®Æú¸®¿À ³» ÀÔ¹® ¼öÁØÀÇ ±âÁؼ± Æò°¡ ±â´ÉÀ» Á¦°øÇÏÁö¸¸ º¸´Ù ½ÉÃþÀûÀÎ Æò°¡¸¦ À§ÇÑ ÀüÁ¦ Á¶°ÇÀº ¾Æ´Ï´Ù.
CSET´Â ÀÚ»ê ¼ÒÀ¯ÀÚ°¡ ICS-CERT Á÷¿øÀÇ µµ¿ò ¾øÀÌ Á¶Á÷ÀÌ ÀÚüÀûÀ¸·Î »ç¿ëÇÒ ¼ö ÀÖ´Â ¹«·á·Î ´Ù¿î·ÎµåÇÒ ¼ö ÀÖ´Â ÀÚü Æò°¡ µµ±¸·Î Á¦°øµÈ´Ù. CSET Æò°¡ ÇÁ·Î¼¼½ºÀÇ È¿°ú¸¦ ±Ø´ëÈÇÏ·Á¸é ÀÚ»ê ¼ÒÀ¯ÀÚ´Â ´Ù¾çÇÑ ºÐ¾ßÀÇ Àü¹®°¡¸¦ Æ÷ÇÔ½ÃÄÑ È¸»çÀÇ ±âº» Á¦¾î ÇÁ·Î¼¼½º, ÀýÂ÷, Á¤Ã¥, ¹æ¹ý·Ð ¹× º¸È£ ¹× Çü»ç º¸¾È ÅëÁ¦¿¡ ´ëÇÑ ¹ß°ß Áß½ÉÀÇ Æò°¡¸¦ ¼öÇàÇØ¾ß ÇÑ´Ù. À̵éÀº Á¦¾î ÇÁ·Î¼¼½ºÀÇ °¡¿ë¼º°ú ¹«°á¼ºÀ» º¸ÀåÇϱâ À§ÇÑ »çÀ̹öº¸¾È ±â¹ÝÀ» ±¸¼ºÇÑ´Ù.
CSET »ç¿ëÀÚ´Â »ç¿ëÀÚ°¡ ¼±ÅÃÇÑ »çÀ̹öº¸¾È Ç¥ÁØ ¶Ç´Â ¸ð¹ü »ç·Ê(NIST SP800-82, NIST SP 800-53, CFATS, NRC, NERCCIP µî)¿¡ ±â¹ÝÇÑ ÀÏ·ÃÀÇ Áú¹®¿¡ ´äÇÏ°í, ÀÌ µµ±¸´Â ´äº¯À» »ç¿ëÇÏ¿© ´ë»ó ½Ã½ºÅÛÀÇ »çÀ̹öº¸¾È »óŸ¦ ±âÁØÀ¸·Î ÇÏ´Â º¸°í¼¸¦ °³¹ßÇÑ´Ù.
µðÀÚÀÎ ¾ÆÅ°ÅØó °ËÅä
µðÀÚÀÎ ¾ÆÅ°ÅØÃÄ °ËÅä(DAR)´Â »ç¿ëÀÚ¿Í ´ëȽÄÀ¸·Î ÀÛ¾÷ÇÏ¿© ¿î¿µ ÇÁ·Î¼¼½ºÀÇ ½ÉÃþÀûÀÎ ¼öµ¿ Æò°¡ ¹× ºÐ¼®À» ¼öÇàÇÏ´Â ICS-CERT Æò°¡ÆÀ Á÷¿øÀÌ ¼öÇàÇÏ´Â Æò°¡ÀÌ´Ù. ÀÌ Æò°¡´Â ±âº» »ê¾÷Á¦¾î½Ã½ºÅÛ ³×Æ®¿öÅ© ¾ÆÅ°ÅØó, IT ¹× OT ÆÀÀÇ ÅëÇÕ, °ø±Þ¾÷ü Áö¿ø, ¸ð´ÏÅ͸µ, »çÀ̹öº¸¾È ÅëÁ¦ ¹× Á¦¾î½Ã½ºÅÛ È¯°æ ³»¿¡¼ È°¿ëµÇ´Â ³»ºÎ ¹× ¿ÜºÎ ¿¬°á °ËÅä¿¡ ÁßÁ¡À» µÐ´Ù. DARÀº ´ÙÀ½ ¼¼ °¡Áö ÁÖ¿ä ¿µ¿ª¿¡ ÁßÁ¡À» µÐ´Ù.
1. »ê¾÷Á¦¾î½Ã½ºÅÛ(ICS) ³×Æ®¿öÅ© ¾ÆÅ°ÅØó
2. ÀÚ»ê Àç°í ¸ñ·Ï
3. º¸È£ ¹× Çü»ç º¸¾È ÅëÁ¦
µðÀÚÀÎ ¾ÆÅ°ÅØÃÄ °ËÅä(DAR) Æò°¡´Â ÀϹÝÀûÀ¸·Î (Á¦¾î½Ã½ºÅÛ ¾ÆÅ°ÅØó¿¡ µû¶ó) ¿Ï·áÇÏ´Â µ¥ 2ÀÏÀÌ °É¸°´Ù. ICS-CERTÀº CSET Æò°¡¿Í µ¶¸³ÀûÀ¸·Î ¶Ç´Â CSET Æò°¡¿Í ÇÔ²² DARÀ» ¼öÇàÇÒ ¼ö ÀÖ´Ù. ±×·¯³ª ü°èÈµÈ CSET Æò°¡¿¡ µû¶ó ¼öÇàÇÏ´Â DARÀÌ ´õ È¿°úÀûÀÌ´Ù. DARÀº ÀÚ»ê ¼ÒÀ¯ÀÚÀÇ Æ¯Á¤ Á¦¾î½Ã½ºÅÛ ³×Æ®¿öÅ©¿Í °ü·ÃµÈ ½ÉÃþ ¹æ¾î Àü·«¿¡ ÁßÁ¡À» µÐ Æ÷°ýÀûÀÎ Æò°¡ ¹× ¹ß°ß ÇÁ·Î¼¼½ºÀÌ´Ù. ÀÚ»ê ¼ÒÀ¯ÀÚ¿¡°Ô ½Ã½ºÅÛ »óÈ£ Á¾¼Ó¼º, Ãë¾à¼º ¹× ¿ÏÈ ¿É¼Ç¿¡ ´ëÇÑ Ã¶ÀúÇÑ Æò°¡¸¦ Á¦°øÇÑ´Ù.
ÁÖ¿ä »ê¾÷Á¦¾î½Ã½ºÅÛ ¿ÜºÎ ¿¬°á°ú °ü·ÃµÈ Á¤º¸¸¦ °ËÅäÇÏ°í Á¦¾î½Ã½ºÅÛ ¼³°è ¹®¼, µµ¸é ¹× ¾ÆÅ°ÅØó¿¡ ´ëÇÑ ½ÉÃþÀûÀÎ °ËÅ並 Æ÷ÇÔÇÑ´Ù. DAR ÇÁ·Î¼¼½º´Â ÆÀ¿¡ ÀÇÇØ ½Äº°µÈ ÁÖ¿ä ¹ß°ßÀ» Æ÷ÂøÇÏ°í °¢ ¹ß°ß»çÇ׿¡ ´ëÇÑ ÀáÀçÀûÀÎ ¿µÇâ°ú ±ÇÀå ¿Ïȸ¦ Á¦°øÇÏ´Â »ó¼¼ÇÑ ÃÖÁ¾ º¸°í¼¸¦ »ç¿ëÀÚ¿¡°Ô Á¦°øÇÑ´Ù.
³×Æ®¿öÅ© ¾ÆÅ°ÅØó È®ÀÎ ¹× °ËÁõ
³×Æ®¿öÅ© ¾ÆÅ°ÅØÃÄ È®ÀÎ ¹× °ËÁõ(NAVV) Æò°¡¿¡´Â »ê¾÷Á¦¾î½Ã½ºÅÛ ³×Æ®¿öÅ© ³»¿¡¼ ¹ß»ýÇÏ´Â ³×Æ®¿öÅ© Æ®·¡ÇÈÀÇ ºÐ¼®ÀÌ ¼ö¹ÝµÈ´Ù. ICS-CERTÀº ¿ÀǼҽº µµ±¸¿Í »ó¿ë µµ±¸¸¦ ¸ðµÎ »ç¿ëÇÏ¿© ´Ù¾çÇÑ »ê¾÷Á¦¾î½Ã½ºÅÛ ³×Æ®¿öÅ© ¼¼±×¸ÕÆ® ³»¿¡¼ ¹ß»ýÇÏ´Â ³×Æ®¿öÅ© Æ®·¡ÇÈ°ú ÀåÄ¡ °£ Åë½ÅÀ» Àü·«ÀûÀ¸·Î ½Ã°¢ÈÇÏ°í ºÐ¼®ÇÏ¿© ÀáÀçÀûÀ¸·Î ¹ß»ýÇÏ´Â ¹«´Ü ¶Ç´Â Àǽɽº·¯¿î Åë½ÅÀ» ½Äº°ÇÒ ¼ö ÀÖ´Ù. Æ®·¡ÇÈÀÇ À§Çù µ¥ÀÌÅÍ ºÐ¼®Àº »ç¿ëÀÚ ³×Æ®¿öÅ©¿¡¼ ¾Ë·ÁÁø ¹«´Ü °ø°ÝÀÇ ÁöÇ¥¸¦ Æò°¡ÇÑ´Ù. ÀÚ»ê ¼ÒÀ¯ÀÚ´Â NAVV Æò°¡¸¦ ÅëÇØ ´ÙÀ½À» ¼öÇàÇÒ ¼ö ÀÖ´Ù.
-ICS ³×Æ®¿öÅ© ´ÙÀ̾î±×·¥ÀÇ Á¤È®¼ºÀ» È®ÀÎÇÑ´Ù.
-ÀáÀçÀûÀ¸·Î ºÒ·® ¶Ç´Â À߸ø ±¸¼ºµÈ ÀåÄ¡ ¶Ç´Â ¾Ç¼º µ¥ÀÌÅÍ Åë½ÅÀ» ½Äº°ÇÑ´Ù.
-°æ°è º¸È£ ÀåÄ¡°¡ ¼³°èµÈ ´ë·Î ÀÛµ¿ÇÏ´ÂÁö µ¥ÀÌÅÍ È帧À» ºÐ¼®ÇÑ´Ù.
-±¸¿ª ¹× °æ°è º¸È£¸¦ °³¼±ÇÒ ±âȸ ¶Ç´Â ¿µ¿ªÀ» ½Äº°ÇÑ´Ù.
-ICS ³×Æ®¿öÅ© ±âÁØ ¼ö¸³(ÇÁ·ÎÅäÄÝ °èÃþ ¹× ³×Æ®¿öÅ© Æ®·¡ÇÈ ±¸¼º Æ÷ÇÔ).
-ICS ³×Æ®¿öÅ© ³»¿¡¼ ¹ß»ýÇÏ´Â Åë½ÅÀ» ¼öµ¿À¸·Î ¸ð´ÏÅ͸µÇÏ°í È®ÀÎÇÏ´Â ¹æ¹ý¿¡ ´ëÇÑ ½ÇÁúÀûÀÎ Áö½ÄÀ» ½ÀµæÇÑ´Ù.
NAVV´Â Á¶Á÷¿¡ »ê¾÷Á¦¾î½Ã½ºÅÛ ³×Æ®¿öÅ© ¼¼±×¸ÕÆ®¿¡¼ ¹ß»ýÇϰųª »ê¾÷Á¦¾î½Ã½ºÅÛ ³×Æ®¿öÅ© ¼¼±×¸ÕÆ®·Î ÇâÇÏ´Â Åë½Å ¿Ü¿¡ »ê¾÷Á¦¾î½Ã½ºÅÛ ³×Æ®¿öÅ© ÀÎÇÁ¶ó ³»¿¡¼ ¹ß»ýÇÏ´Â ³×Æ®¿öÅ© Åë½Å¿¡ ´ëÇÑ ½Ã°¢ÀûÀÎ º¸±â¸¦ Á¦°øÇÑ´Ù. ICS-CERTÀº ÀϹÝÀûÀ¸·Î NAVV °ËÅ並 DARÀÇ È®ÀåÀ¸·Î À̾îÁöÁö¸¸ ÀÌ ¼ºñ½º´Â µ¶¸³ÀûÀ¸·Î Á¦°øµÈ´Ù.
»ê¾÷Á¦¾î½Ã½ºÅÛ¿¡¼ÀÇ ½ÉÃþ ¹æ¾î Á¶Ä¡ÀÇ Çʿ伺
»ê¾÷Á¦¾î½Ã½ºÅÛÀÇ º¹À⼺ÀÌ Áõ°¡ÇÏ°í ¾÷¹« ³×Æ®¿öÅ© ¹× ¿ÜºÎ ³×Æ®¿öÅ©¿¡ ¿¬°áµÊ¿¡ µû¶ó ÀáÀçÀûÀÎ º¸¾È ¹®Á¦ ¹× °ü·Ã À§Çèµµ Áõ°¡ÇÏ°í ÀÖ´Ù. Á¦¾î½Ã½ºÅÛ¿¡¼ ¿©·¯ ÀÚ¿øµéÀ» ´ë»óÀ¸·Î ÇÏ´Â ´Ù¾çÇÑ °ø°Ý °æ·Î´Â Àå±â°£¿¡ °ÉÃÄ ºñµ¿±â °ø°ÝÀ» À¯¹ßÇÒ ¼ö ÀÖÀ¸¸ç Á¦¾î½Ã½ºÅÛ È¯°æ ³»¿¡¼ ¿©·¯ Ãë¾àÁ¡À» ´ë»óÀ¸·Î ÇÒ ¼ö ÀÖ´Ù. Á¶Á÷Àº ¸ðµç º¸¾È À̽´¸¦ ÇØ°áÇϱâ À§ÇØ ´ÜÀÏ ´ëÃ¥¿¡ ÀÇÁ¸ÇÒ ¼ö ¾ø´Ù.
»çÀ̹ö ±â¹Ý °ø°ÝÀ¸·ÎºÎÅÍ »ê¾÷Á¦¾î½Ã½ºÅÛÀ» È¿°úÀûÀ¸·Î º¸È£Çϱâ À§ÇØ Á¶Á÷Àº ¿©·¯ °¡Áö º¸¾È ´ëÃ¥À» Àû¿ëÇØ¾ß ÇϹǷΠÁ¾ÇÕÀûÀÎ º¸¾È °È ´ëÃ¥À» »ç¿ëÇÏ¿© À§ÇèÀ» ÁÙÀÏ ¼ö ÀÖ´Ù. ½ÉÃþ ¹æ¾î Á¶Ä¡´Â »ê¾÷Á¦¾î½Ã½ºÅÛ È¯°æÀÇ ¸ðµç Ãë¾àÁ¡°ú Ãë¾àÁ¡À» º¸È£ÇÏÁö ¾ÊÀ¸¸ç º¸È£ÇÒ ¼öµµ ¾ø´Ù. ÁÖ·Î IT ¹× OT ´ã´çÀÚ°¡ ÁøÇà ÁßÀÎ À§ÇùÀ» ŽÁöÇÏ°í ´ëÀÀÇÒ ¼ö ÀÖÀ» Á¤µµ·Î °ø°ÝÀÚÀÇ ¼Óµµ¸¦ ´ÊÃ߰ųª °ø°ÝÀÚ ÃøÀÇ ³ë·ÂÀ» ¹ø°Å·Ó°Ô ÇÏ¿© ´õ ½¬¿î ¸ÔÀÕ°¨À» ÇâÇØ ³ë·ÂÀ» ±â¿ïÀ̵µ·Ï Çϱâ À§ÇØ ½ÉÃþ ¹æ¾î Á¶Ä¡¸¦ Àû¿ëÇÏ´Â °ÍÀ̶ó°í º¼ ¼ö ÀÖ´Ù.
ÇÑÆí, ¡®½ÉÃþ ¹æ¾î Àü·«À» ÅëÇÑ »ê¾÷Á¦¾î½Ã½ºÅÛ(ISCS) »çÀ̹öº¸¾È °³¼±(Improving Industrial Control System Cybersecurity with Defense-in-Depth Strategies)¡¯ º¸°í¼ÀÇ ÇѱÛÆÇ Àü¹®Àº KISA ÀÎÅÍ³Ý º¸È£³ª¶ó&KrCERT ȨÆäÀÌÁö³ª º¸¾È´º½º ÄÜÅÙÃ÷ Äڳʸ¦ ÅëÇØ ´Ù¿î·Îµå ¹ÞÀ» ¼ö ÀÖ´Ù.
[±Ç ÁØ ±âÀÚ(editor@boannews.com)]
<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(www.boannews.com) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>