SK인포섹이 산업제어시스템(ICS) 보안 컨설팅 사업에 진출한다. 반도체 등 생산·공정 관리 분야와 에너지·화학 공정관리 분야, 상하수도·공공발전 분야 등 산업 분야별 시스템에 특화된 보안 분석 프레임워크로 ICS 보안 취약점을 진단하는 컨설팅 방법론도 개발했다.
SK인포섹(대표 한범식)은 ICS 정보보호 컨설팅 사업에 본격 나선다고 22일 밝혔다.
ICS는 산업공정과 기반시설, 설비 등 작업 공정을 감시하고 제어하는 시스템이다. 발전소, 교통시스템, 전력·유류 관리 시스템, 공장 생산라인, 국방시스템 등 국가 기반사업 분야에서 널리 사용된다.
독립된 폐쇄망에서 비공개 전용 프로토콜을 사용해 상대적으로 보안 수준이 높다고 알려졌지만 최근 보안 위협이 커졌다. 시스템 환경이 개방형으로 바뀌고 네트워크 연결 확산으로 보안 위해요소가 있는 외부 접점이 늘었기 때문이다.
SK인포섹이 개발한 ICS 정보보호 컨설팅 방법론은 스카다와 분산제어시스템, 반도체·에너지·화학 공정 프로세스 기반 보안 분석 프레임워크에 바탕을 뒀다. 산업제어시스템을 구성하는 IT 자산 아키텍처를 분석하고 취약점을 찾아 마스터 플랜 수립에 활용한다. SK인포섹 표준 보안컨설팅 방법론 프로세스를 기반으로 분석, 평가, 설계, 구현, 이행 등 총 5단계로 이뤄졌다.
산업용 제어컨트롤러(PLC)와 기계제어인터페이스(HMI) 등 제어 시스템에 대한 시나리오 기반 모의해킹 기준과 절차를 담았다. 산업 제어 영역에 사용되는 IT 시스템 기술 점검 기준과 정보보호관리체계 국제 표준인 ISO27001 에너지 유틸리티 분야 모범사례를 적용한 관리·물리 진단 기준 등도 갖췄다.
이동만 SK인포섹 전략사업부문장은 “산업제어시스템 분야는 IT 환경 폐쇄성과 산업공정에 대한 이해부족으로 정보보호 컨설팅 서비스가 진입하기 어려웠던 시장”이라며 “이번에 개발한 방법론으로 산업제어시스템 보안 수준을 한단계 발전시킬 것”이라고 말했다.
박정은기자 jepark@etnews.com
