Home > 전체기사

美 국토안보부의 ‘산업제어시스템 보안 권장사항’ 살펴보니

  |  입력 : 2020-08-24 00:11
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
산업제어시스템 보안을 위한 사전대비 보안 모델과 5가지 주요 보안대책
KISA, ‘심층 방어 전략을 통한 산업제어시스템(ISCS) 사이버보안 개선' 보고서 한글판 발표


[보안뉴스 권 준 기자] 미국 국토안보부(DHS)가 발간한 ‘심층 방어 전략을 통한 산업제어시스템(ISCS) 사이버보안 개선(Improving Industrial Control System Cybersecurity with Defense-in-Depth Strategies)’이라는 제목의 연구보고서는 유관기관 및 기업에서 산업제어시스템 보안을 수행하기 위해 매우 유용한 참고자료라고 할 수 있다. 이러한 가운데 한국인터넷진흥원(KISA)에서 최근 해당 보고서의 한글 번역판을 발표해 관심이 모아지고 있다. 이에 본지에서는 산업제어시스템 보안을 위한 권장사항 부분을 중심으로 살펴본다.

[이미지=utoimage]


최신 산업제어시스템(ICS)은 종종 IT 및 비지니스 네트워크에서 사용되는 것과 동일한 기본 프로토콜을 사용하지만, 운영 및 가용성 요구사항과 결합된 제어시스템의 기능에 따라 안티 바이러스와 같은 보안 기술이 부적절할 수 있다.

에너지, 운송 및 화학 물질과 같은 일부 분야에서는 시간에 대한 매우 민감한 요구사항이 있기 때문에 보안 솔루션에서 발생하는 대기 시간 및 처리량 문제로 인해 허용할 수 없는 지연이 발생하고 최적의 시스템 성능이 저하되거나 낮아질 수 있다. 제어 네트워크가 독립형 도메인에서 회사 IT 환경과 공존하는 상호 연결된 네트워크로 발전함에 따라 시스템 관리자는 기능을 방해하지 않는 대책을 적용해야 한다. 효과적인 보안 전략을 수립하려면 취약성 및 관련 침입요소를 이해하고 악용하는 방법을 이해해야 한다.

사전대비 보안 모델(Proactive Security Model)

▲사전대비 보안(Proactive Security) 모델[자료=DHS/한글판=KISA]

정보 인프라를 보호할 때 올바른 보안대책은 사전 예방적 보안 모델로 시작해야 한다. 대부분의 보안 프로그램은 사후 대응적이다. 사고가 발생한 후나 협상 후 보안 아키텍처 및 통제를 적용하면 비용이 많이 들고 일반적으로 운영을 방해할 수 있다. 강력한 심층 방어 전략 개발은 예상되는 행동을 안내하고 개인이 안전하게 업무를 수행할 수 있도록 개인을 교육하기 위한 지침을 설정하는 정책과 절차를 마련하는 것으로 시작된다.

강력한 심층 방어 전략은 위협과 위험을 식별하고 이러한 위협과 영향에 대한 위험을 평가한다. 이 전략은 또한 산업제어시스템(ICS) 아키텍처를 매핑하고 모든 산업제어시스템(ICS) 자산의 포괄적인 재고 목록을 개발한다. 정확하고 잘 문서화된 재고 목록을 보유한 조직은 시스템 운영에 대한 현실적인 위험 분석을 수행한 다음, 자산 우선순위에 따라 보안 통제를 적용하고 효과적인 보안 대책을 구축해 취약성을 관리할 수 있다.

산업제어시스템(ICS)을 위한 5가지 주요 보안 대책
산업제어시스템 환경에서 보안 활동을 추진하는 데 사용할 수 있는 5가지 주요 대응책은 다음과 같다. 이러한 단계를 적용하면 보다 강력한 보안 환경을 구축할 수 있는 기반이 마련될 수 있으며, 운영체제에 대한 위험을 크게 줄일 수 있다.
1. ICS에 대한 모든 네트워크 연결을 식별, 최소화 및 보호한다.
2. 불필요한 서비스, 포트 및 프로토콜을 비활성화하여 ICS 및 지원 시스템을 강화하고, 사용 가능한 보안 기능을 활성화하고, 강력한 구성 관리 사례를 구현한다.
3. ICS, 네트워크 및 상호연결의 보안을 지속적으로 모니터링하고 평가한다.
4. ICS 시스템 및 네트워크 보안에 대한 위험 기반 심층 방어 접근 방식을 구현한다.
5. 인력 관리- ICS의 요구사항을 명확하게 식별하고, 성능에 대한 기대치를 설정하며, 개인의 성과에 대한 책임을 지도록 한다. 정책을 수립하고 모든 운영자와 관리자에게 ICS 보안 교육을 제공한다.

산업제어시스템 보안 및 위험 표준 사례
기업이나 조직이 산업제어시스템(ICS)의 보안 및 관리를 위한 기준으로 활용할 수 있는 기존의 보안 및 위험 표준과 지침이 많이 있다. 주요기반시설(Critical Infrastructure) 부문에 따라, 이러한 표준은 법률 또는 해당 분야의 권위 있는 관리 기구가 요구하는 조직에 적용될 수 있다. 다른 표준 및 지침은 조직이 업계 모범 사례를 기반으로 강력한 ICS 보안 및 위험 관리 프로그램을 개발하는 데 도움이 될 수 있다.

북미전력 신뢰성 위원회(NERC)-주요 기반 보호(CIP)
북미전력 신뢰성 위원회(NERC)는 비영리 국제 규제기관으로 북미 지역의 전력 시스템의 신뢰성을 확보하는 것이 임무다. NERC는 신뢰성 표준을 개발하고 시행하며 매년 정기적으로 신뢰성을 평가한다.

시스템 인식을 통해 전력시스템을 감시하며 업계 직원을 교육, 훈련 및 인증한다. NERC의 책임 영역은 미국, 캐나다 및 멕시코 바하 캘리포니아 북부에 걸쳐 있다. NERC는 미국 연방 에너지 규제위원회(FERC)와 캐나다 정부기관의 감독을 받는 북미 지역의 전기 신뢰성 조직(ERO)이다. NERC의 관할권에는 전력 시스템의 사용자, 소유자와 운영자가 포함된다. NERC 주요 기반 보호(CIP) 표준은 대량 전력 시스템 자산을 보호하기 위한 일련의 요구사항 및 고려사항을 제공하지만, ICS 보호를 위한 모범 사례로 다른 산업에도 적용할 수 있다.

NIST 산업제어시스템 프레임워크
미국표준기술연구소(NIST)는 2014년 2월 12일에 ‘주요기반시설(Critical Infrastructure) 사이버보안을 개선하기 위한 프레임워크‘의 첫 번째 버전을 발표했다. 산업과 정부 간의 협력을 통해 만들어진 프레임워크는 주요기반시설 보호를 촉진하기 위한 표준, 지침 및 사례로 구성된다.

NIST 산업제어시스템 프레임워크는 ICS 보안을 위한 포괄적인 권장 사항을 제공한다. 조직은 이 솔루션을 단독으로 사용하거나 특별 발행(SP)시리즈와 같은 다른 NIST 표준과 함께 사용할 수 있다.

산업제어시스템 심층방어를 위한 도구 및 서비스
미국 국토안보부(DHS)의 산업제어시스템 사이버비상대응팀(ICS-CERT)은 모든 주요기반시설부문과 관련된 조직이 산업제어시스템자산의 보안 상태를 개선하는 데 도움이 되는 주제별 전문 지식, 도구 및 서비스를 제공한다. ICS-CERT는 조직에 무료로 평가(eval) 및 진단(assess)을 제공한다. 시스템의 복잡성에 따라 ICS-CERT는 한번 방문을 통해 진단을 수행할 수 있다. ICS-CERT는 규제기관이 아니므로 모든 평가는 미국 전역의 주요기반시설 사이버보안 수준을 높이는 공통 목표를 향한 협업 연습으로 간주된다.

사이버보안 평가 도구(CSET)®
ICS-CERT는 자산 소유자가 사이버보안 평가를 수행할 수 있는 자체 평가 소프트웨어인 사이버보안 평가 도구(CSET)를 제공한다. 국토안보부(DHS)는 사용자가 자신의 분야에 가장 적합한 표준 및 사례를 기반으로 사이버보안 상태를 평가할 수 있는 CSET를 개발했다.

CSET는 선택한 사이버보안 표준 및 모범 사례와 관련된 질문에 사용자 입력을 매핑한다. 다양한 주요기반시설 이해 관계자와 협력해 사용자의 편리한 CSET 평가를 충족하기 위해 여러 가지를 보고 옵션을 사용할 수 있다. CSET 평가 프로세스는 ICS-CERT 포트폴리오 내 입문 수준의 기준선 평가 기능을 제공하지만 보다 심층적인 평가를 위한 전제 조건은 아니다.

CSET는 자산 소유자가 ICS-CERT 직원의 도움 없이 조직이 자체적으로 사용할 수 있는 무료로 다운로드할 수 있는 자체 평가 도구로 제공된다. CSET 평가 프로세스의 효과를 극대화하려면 자산 소유자는 다양한 분야의 전문가를 포함시켜 회사의 기본 제어 프로세스, 절차, 정책, 방법론 및 보호 및 형사 보안 통제에 대한 발견 중심의 평가를 수행해야 한다. 이들은 제어 프로세스의 가용성과 무결성을 보장하기 위한 사이버보안 기반을 구성한다.

CSET 사용자는 사용자가 선택한 사이버보안 표준 또는 모범 사례(NIST SP800-82, NIST SP 800-53, CFATS, NRC, NERCCIP 등)에 기반한 일련의 질문에 답하고, 이 도구는 답변을 사용하여 대상 시스템의 사이버보안 상태를 기준으로 하는 보고서를 개발한다.

디자인 아키텍처 검토
디자인 아키텍쳐 검토(DAR)는 사용자와 대화식으로 작업하여 운영 프로세스의 심층적인 수동 평가 및 분석을 수행하는 ICS-CERT 평가팀 직원이 수행하는 평가이다. 이 평가는 기본 산업제어시스템 네트워크 아키텍처, IT 및 OT 팀의 통합, 공급업체 지원, 모니터링, 사이버보안 통제 및 제어시스템 환경 내에서 활용되는 내부 및 외부 연결 검토에 중점을 둔다. DAR은 다음 세 가지 주요 영역에 중점을 둔다.

1. 산업제어시스템(ICS) 네트워크 아키텍처
2. 자산 재고 목록
3. 보호 및 형사 보안 통제

디자인 아키텍쳐 검토(DAR) 평가는 일반적으로 (제어시스템 아키텍처에 따라) 완료하는 데 2일이 걸린다. ICS-CERT은 CSET 평가와 독립적으로 또는 CSET 평가와 함께 DAR을 수행할 수 있다. 그러나 체계화된 CSET 평가에 따라 수행하는 DAR이 더 효과적이다. DAR은 자산 소유자의 특정 제어시스템 네트워크와 관련된 심층 방어 전략에 중점을 둔 포괄적인 평가 및 발견 프로세스이다. 자산 소유자에게 시스템 상호 종속성, 취약성 및 완화 옵션에 대한 철저한 평가를 제공한다.

주요 산업제어시스템 외부 연결과 관련된 정보를 검토하고 제어시스템 설계 문서, 도면 및 아키텍처에 대한 심층적인 검토를 포함한다. DAR 프로세스는 팀에 의해 식별된 주요 발견을 포착하고 각 발견사항에 대한 잠재적인 영향과 권장 완화를 제공하는 상세한 최종 보고서를 사용자에게 제공한다.

네트워크 아키텍처 확인 및 검증
네트워크 아키텍쳐 확인 및 검증(NAVV) 평가에는 산업제어시스템 네트워크 내에서 발생하는 네트워크 트래픽의 분석이 수반된다. ICS-CERT은 오픈소스 도구와 상용 도구를 모두 사용하여 다양한 산업제어시스템 네트워크 세그먼트 내에서 발생하는 네트워크 트래픽과 장치 간 통신을 전략적으로 시각화하고 분석하여 잠재적으로 발생하는 무단 또는 의심스러운 통신을 식별할 수 있다. 트래픽의 위협 데이터 분석은 사용자 네트워크에서 알려진 무단 공격의 지표를 평가한다. 자산 소유자는 NAVV 평가를 통해 다음을 수행할 수 있다.

-ICS 네트워크 다이어그램의 정확성을 확인한다.
-잠재적으로 불량 또는 잘못 구성된 장치 또는 악성 데이터 통신을 식별한다.
-경계 보호 장치가 설계된 대로 작동하는지 데이터 흐름을 분석한다.
-구역 및 경계 보호를 개선할 기회 또는 영역을 식별한다.
-ICS 네트워크 기준 수립(프로토콜 계층 및 네트워크 트래픽 구성 포함).
-ICS 네트워크 내에서 발생하는 통신을 수동으로 모니터링하고 확인하는 방법에 대한 실질적인 지식을 습득한다.

NAVV는 조직에 산업제어시스템 네트워크 세그먼트에서 발생하거나 산업제어시스템 네트워크 세그먼트로 향하는 통신 외에 산업제어시스템 네트워크 인프라 내에서 발생하는 네트워크 통신에 대한 시각적인 보기를 제공한다. ICS-CERT은 일반적으로 NAVV 검토를 DAR의 확장으로 이어지지만 이 서비스는 독립적으로 제공된다.

산업제어시스템에서의 심층 방어 조치의 필요성
산업제어시스템의 복잡성이 증가하고 업무 네트워크 및 외부 네트워크에 연결됨에 따라 잠재적인 보안 문제 및 관련 위험도 증가하고 있다. 제어시스템에서 여러 자원들을 대상으로 하는 다양한 공격 경로는 장기간에 걸쳐 비동기 공격을 유발할 수 있으며 제어시스템 환경 내에서 여러 취약점을 대상으로 할 수 있다. 조직은 모든 보안 이슈를 해결하기 위해 단일 대책에 의존할 수 없다.

사이버 기반 공격으로부터 산업제어시스템을 효과적으로 보호하기 위해 조직은 여러 가지 보안 대책을 적용해야 하므로 종합적인 보안 강화 대책을 사용하여 위험을 줄일 수 있다. 심층 방어 조치는 산업제어시스템 환경의 모든 취약점과 취약점을 보호하지 않으며 보호할 수도 없다. 주로 IT 및 OT 담당자가 진행 중인 위협을 탐지하고 대응할 수 있을 정도로 공격자의 속도를 늦추거나 공격자 측의 노력을 번거롭게 하여 더 쉬운 먹잇감을 향해 노력을 기울이도록 하기 위해 심층 방어 조치를 적용하는 것이라고 볼 수 있다.

한편, ‘심층 방어 전략을 통한 산업제어시스템(ISCS) 사이버보안 개선(Improving Industrial Control System Cybersecurity with Defense-in-Depth Strategies)’ 보고서의 한글판 전문은 KISA 인터넷 보호나라&KrCERT 홈페이지나 보안뉴스 콘텐츠 코너를 통해 다운로드 받을 수 있다.
[권 준 기자(editor@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
시큐아이 에스케어 파워비즈 배너 2022년 3월15일 시작~ 12개월 위즈디엔에스 2018
설문조사
산업 전 분야의 지능화·융합화·스마트화 추세에 따라 스마트시티와 스마트공장, 스마트의료, 스마트상점 등 각 분야에서도 정보보안과 물리보안이 함께 접목되는 융합보안이 이슈가 되고 있습니다. 올해 융합보안이 가장 활발하게 적용될 분야는 어디라고 보시나요?
스마트시티 보안
스마트공장 보안(OT 보안)
스마트의료 보안
스마트상점 보안
기타(댓글로)