ICS 보안요구사항 마련...설계부터 안전성 확보해야

관련 통계자료 다운로드 산업제어시스템 취약점 발견 건수

산업제어시스템(ICS) 설계와 구축 시 안전성을 확보하는 기준이 마련됐다.

국가보안기술연구소는 ICS 보안요구사항을 개발했다. 기존에 운영 중인 ICS는 보안을 적용하기 어렵다. 이번에 만든 보안요구사항은 ICS 설계와 도입부터 보안을 강화하는데 도움을 준다.

ICS는 발전소, 항만, 도로, 교량, 하수처리 등 사회간접자본 시설부터 산업 현장 설비와 운영을 제어하는 종합 관리 체계다. 과거 ICS는 인터넷에 연결하지 않는 상태로 운영하지만 최근 유지보수를 위한 제한적 연결과 원격 접속이 늘었다. ICS-CERT 발표에 따르면 2010년 37건에 불과했던 ICS 취약점 발견 건수는 2011년 209건, 2012년 203건, 2013년 190건, 2014년 245건, 2015년 427건으로 급증했다.

Photo Image

이미 미국, 일본, 독일 등 선진국은 ICS보안성 확인 프로그램을 운영 중이다. 신규로 ICS를 도입하거나 구축하는 기관은 ICS보안요구사항에 따라 안전성을 확보한다.

국보연이 제시한 ICS 보안요구사항은 제어관련기기와 운용보안대책 등으로 구성된다. 제어관련기기 도입 시 보안 기능 정상 동작 여부와 취약점을 확인한다. ICS를 구성하는 제어 관련 하드웨어에서 소프트웨어, 스마트 현장장치, 보안장비, 네트워크 장비가 가진 자체 취약점을 찾고 대응한다. 안전한 운용을 위한 기술, 물리, 관리적 대책도 마련한다.

Photo Image
Photo Image

ICS 운영 기관 대부분은 제어망은 업무나 인터넷망과 분리됐다고 믿는다. 망을 분리한 조직 60~70%가 외부와 접점이 확인된다. 지속해서 안전한 ICS 운영을 위한 관리 대책이 필요한 이유다.

이종후 국가보안기술연구소 박사는 “급증하는 사이버 위협에서 ICS를 보호하려면 신규 구축 시점부터 보안을 고려해야 한다”면서 “4차 산업혁명 시대를 앞두고 새로 구축되는 ICS는 보안을 먼저 고려한 후 운영해야 사이버 침해사고를 최소화한다”고 말했다.

ICS 보안 강화는 세계적 추세다. 미국은 정부주도로 운용 중 ICS 취약점 분석과 컨설팅을 수행한다. 국제표준단체(ISA) 산하 협회(ISCI)가 주도해 ISASecure 인증 프로그램을 운영하다. 인증 대상에 따라 제어기기와 제어SW, 제어시스템, 개발프로세스까지 인증한다. 민간에서도 인증 프로그램을 마련했다.

일본은 2011년 10월 경제산업성 제어시스템 보안검토위원회를 발족했다. 일본 기반시설에 대한 사이버 보안 강화를 목적으로 제어시스템 보안 인증을 추진한다. 2012년 제어시스템보안센터(CSSC)슬 설립하고 일본 ISASecure 인증프로그램을 시작했다. ICS 사이버 보안관리체계 'CSMS(Cyber Security Management System)'을 운영한다.

Photo Image

김인순 보안 전문기자 insoon@etnews.com


브랜드 뉴스룸