닫기

테크노트

배너

[제어 시스템(2)] 제어 시스템 시큐리티 대책의 개선

  • 등록 2020.03.30 16:52:41
URL복사
[무료 웨비나] 설계 산업의 미래 미리보기: AI가 결합된 AutoCAD (4/2)

[첨단 헬로티]


산업·사회 인프라 시스템에 대한 시큐리티 위협은 인신 사고나 사회 인프라 정지 등 심각한 피해를 끼칠 우려가 있다. 그렇기 때문에 정부나 업계 단체는 규격과 지침에 기초한 대책을 호소하고 있다. 


그러나 어디까지 시큐리티 대책을 실시하면 충분한지, 혹은 편리성과 코스트의 타협 방식 등 현실적인 문제가 많이 남아있다. 특히 시큐리티 전문가 혹은 시큐리티 의식이 높은 사람은 ‘보다 안전’하고, ‘보다 고도’의 대책을 지향하는 경우가 많기 때문에 이상과 현실의 격차에 직면하게 된다. 


사실 IEC 62443 등의 규격은 대책 후의 리스크를 허용 가능하면 좋고, 필요 이상의 안전성을 요구하지 않는다. 더구나 제어 시스템 시큐리티 대책은 IT 시큐리티뿐만 아니라 피해를 방지하는 안전 대책과 신속한 복구 대책도 효과적이다. 이들을 복합적으로 조합함으로써 효과적이고 코스트가 우수한 대책을 구축할 수 있다. 그러나 제어 시스템 시큐리티에 대해 안전, 복구까지를 대책으로 고려한 가이드라인은 적다. 


이 글에서는 제어 시스템 시큐리티에 관해 위험 평가와 여러 가지 리스크 저감 방침에 대해 설명하고, 리스크 수준을 낮추지 않고 편리성과 코스트를 고려한 대책의 개선에 대해 검토한다. 


리스크 평가 


1. 안전 리스크 평가 

시큐리티도 리스크를 다루므로 먼저 안전 리스크의 개념을 설명한다. ISO/IEC Guide51에 따르면, 안전 설계는 리스크 평가와 허용 가능 리스크의 개념에 기초한다. 리스크는 기계의 위험원(해저드)에서 발생하는 위험의 심각성(손해)과 그 발생 확률로부터 도출된다. 예를 들면 어떤 장치에 대해 사망 사고가 자주 발생하는 위험원이 있으면, 그 위험원은 고 리스크로 간주된다. 즉, 위험원마다 리스크는 다르다. 리스크의 개념을 그림 1에 나타냈다.



고 리스크의 위험원은 리스크를 수용할 수 있는 정도까지 줄이기 위해 공학적인 대책을 강구한다. 안전 대책의 자세한 내용은 나중에 다루기로 한다. 만약 단일 대책으로 허용 가능 리스크 이하가 되지 않는 경우에는 추가 대책을 실시하거나, 다른 대책을 검토한다. 이때 대책이 새로운 위험원을 만들어내지 않도록 주의해야 한다. 모든 리스크를 허용할 수 있을 때, 그 기계는 안전한 것으로 간주된다. 


2. 시큐리티 리스크 평가 

시큐리티 리스크도 안전과 마찬가지로 시스템에서 지켜야 할 것(데이터, 기능, 장치 등) 각각에 대해 위협 분석에 기초해 피해 시나리오를 가정, 취약성 분석에 의해 그 발생 확률을 검토하고 위협의 리스크를 예측한다. 즉, 시큐리티 리스크도 손해의 크기와 발생 확률로부터 예측할 수 있다. 


각각 3레벨 정도의 손해와 발생 확률의 매트릭스에서 4레벨의 시큐리티 리스크가 유도된다. 여기서 손해의 크기는 사고 시나리오에서 추정할 수 있지만, 발생 확률은 데이터에 대한 액세스 빈도, 공격 난이도, 범인의 동기 등 많은 파라미터가 영향을 미친다. 그러나 시큐리티 전문가는 모르겠지만 기계 설계자가 이러한 파라미터를 고려하는 것은 어렵다. 그러나 3레벨의 발생 확률이면, 파라미터의 의논에 시간을 소비할 것까지도 없고 직감적으로 추정할 수 있다. 그래서 기계 분야에서는 고려할 항목을 줄인 리스크 평가 방법을 제안하고 있다. 시큐리티 리스크 평가의 예를 표 1에 나타냈다.



리스크 평가는 시큐리티 대책의 기본으로, 대책에 대한 요구, 대책의 효과 평가 등 설계에서 여러 번 실시된다. 또한, 새로운 위협, 취약성이 발견된 경우에도 추가 대책이 필요한지의 여부를 판단하기 위해 실시한다. 따라서 제어 시스템 시큐리티에 관련된 모든 사람이 리스크 평가를 실시할 수 있게 되는 것이 이상적이다. 


리스크 저감


리스크가 손해 발생 확률로부터 추정되기 때문에 리스크 저감 방법은 ‘손해의 저감’과 ‘발생 확률의 저감’의 두 가지가 있다. 전자는 기계 안전에서 말하는 본질적인 안전 방책, 후자는 추가적인 방호 방책에 해당된다. 제어 시스템 시큐리티에서 위험 저감은 어떻게 되는지, 이미지를 그림 2에 나타냈다.



제어 시스템을 IoT 등 네트워크 접속하면, 취약성의 구멍이 많이 생긴다. 이 구멍을 위협이 들쑤시면, 폭발하거나 물고 늘어지거나 하는 손해(사고)가 발생한다. 생각되는 대책은 3종류가 있으며, 첫 번째는 취약성의 구멍을 막는 즉, IT 시큐리티 대책이다. 두 번째는 미리 위험원을 제거해 손해 규모를 줄이는 안전 대책이다. 세 번째는 혼란스러운 상황을 신속하게 진정시키거나 혹은 치료하는 신속한 복구(회복력)이다. 이하, 각각의 대책에 대해 설명한다.


1. IT 시큐리티 대책

방화벽, 침입 검지, 액세스 제어․인증, 화이트리스트 등의 사이버 시큐리티 대책은 어떤 위협이 취약성을 빠져 나올 확률을 감소시키는 데 효과적이다. 방지 목적에 따라 다른 대책을 조합한다. 예를 들면 네트워크 공격은 방화벽, 부정 액세스 공격은 IPS/IDS(Intrusion Prevention System, Intrusion Detection System), Web 애플리케이션 공격은 WAF(Web Application Firewall)에 의해 방지할 수 있다. 또한, 기기마다 비밀번호 등의 액세스 제어를 실시함으로써 침입 및 부정 액세스의 확률을 줄일 수 있다. IT 시큐리티 대책의 개념을 그림 3에 나타냈다.



IT 시큐리티 방법의 대부분은, 예를 들면 암호화 기술 등은 정보 누설 대책을 지향하고 있다. 그러나 제어 시스템 시큐리티에서는 품질 정보나 생산 실적 등이 누설되어도 그다지 손해가 없다. 공장 정지나 폭발 사고 등의 조업 방해를 방지하기 위해서는 유저 인증이나 액세스 제어가 주요 대책이 된다. 즉, 제어 시스템 시큐리티는 채용하는 IT 시큐리티 기술도 정보 시큐리티의 정석과는 다르다.


2. 안전 대책

시큐리티 리스크는 위협에 의한 손해와 그 발생 확률로부터 추정하므로 손해의 저감․억제 대책은 리스크 저감의 관점에서 중요하다. 특히 이용자와 직원이 플랜트․기계 근처에 있는 경우 안전 대책은 제일 먼저 검토돼야 한다.


안전 대책은 그림 4에 나타낸 ISO 12100의 3스텝 메소드에 기초해 실시된다. 우선 위험원 자체를 없애거나 또는 경감하는 본질적인 안전 대책, 다음으로 안전 펜스나 비상 정지 등의 안전 방호와 부가 보호 방책, 마지막으로 표시나 매뉴얼 등 사용상의 정보 제공 방책을 강구한다. 그리고 기계의 사용자는 필요에 따라 보호 방책을 추가한다. 이러한 안전 대책에 의해 잔류 리스크를 허용 수준 이하로 한다.



최근 마이크로컴퓨터와 소프트웨어를 사용한 기능 안전 기술이 사용되는 경우가 늘고 있다. 기능 안전은 시큐리티 리스크가 존재하므로 설계에서 시큐리티 리스크 평가를 실시, 적합한 대책을 실시해야 한다. 즉, 제어 시스템에서 기능 안전과 시큐리티의 양립이 요구된다.


제품 안전과 산업 보안의 관점에서 플랜트와 설비의 안전 대책은 일반적으로 실시되고 있다. 따라서 안전 대책이 특별히 필요하지 않거나, 혹은 추가 코스트가 발생하지 않는 경우가 많다. IT 시큐리티에만 의존하지 않고, 안전과 복구 대책을 병용하는 장점이다.


3. 복구 대책 (회복력)

제어 시스템이 시큐리티 공격을 받은 경우, 위협을 제거하고 신속하게 시스템을 가동시키는 것이 중요하다. 예를 들면, 전력 시스템의 경우는 정전에서 복구, 교통 시스템의 경우는 운휴에서 재개이다.


신속한 복구를 위해 먼저 위협을 특정하고, 위협을 제거해야 한다. DoS 공격 등은 회선 절단으로 대응할 수 있지만, 악성 코드 등의 감염은 그 침입․감염 경로를 조사해 적절한 순서로 악성 코드 제거를 진행하지 않으면 완전히 제거할 수 없다. 과거의 공격 예에서는 제어 시스템의 애플리케이션 소프트웨어(제어 소프트웨어) 혹은 파라미터(경보 관련 등)가 변경되어 있는 것이 대부분이다. 따라서 먼저 그들을 정상적인 상태로 회복하지 않으면 복구할 수 없다. 제어 시스템을 설정하는 엔지니어링 소프트웨어가 변경되어 있는 경우, 다시 인스톨할 필요도 있다. 제어 시스템의 회복 개념도를 그림 5에 나타냈다.


각종 애플리케이션 소프트웨어나 파라미터에 대한 백업 관리가 필요한데, IT 시큐리티 설비 등의 큰 코스트가 발생하는 것은 아니다. 단, 제어 시스템의 회복과 플랜트 복구 등의 훈련을 실시해야 한다.


위협의 특정, 침입 경로와 취약성의 특정을 하려면, 방화벽과 IPS/IDS의 로그, 프로그램 갱신 기록 등을 해석해 회복 절차 및 어느 시점까지 소프트웨어, 파라미터를 되돌리면 좋은지를 입안한다. 그러나 이 공격 후의 회복에 관한 기술은 아직 발전도상에 있다. 앞으로의 연구 및 기술 개발이 기대된다.



4. 물리 시큐리티

시큐리티 대책에서 간과하기 쉬운 것이 물리 시큐리티 대책이다. 공장의 물리 시큐리티 예를 그림 6에 나타냈다. RFID에 의한 차량의 출입 관리, 감시 카메라와 광섬유에 의한 침입 검지 등이 있다. 이외에도 사무실 등에서 사용되는 입퇴실 관리 등이 있다. 물리 시큐리티 대책은 위협에 의한 손해를 방지할 수 없지만, 물리적인 침입의 확률을 줄일 수 있다.


제어 시스템 시큐리티의 경우, 인터넷 등의 리모트 액세스를 제한하는 경우가 많기 때문에 운전실이나 감시제어실에 대한 인적 침입 관리가 효과적이다. 과거의 사고 사례에서도 누군가가 악성 코드가 들어있는 USB를 감시제어실에 가지고 들어온 것이 감염의 원인이 된 적이 있다. 입퇴실 관리의 엄격화는 제어 시스템 시큐리티에서 제외할 수 없다. 원래 사회 인프라나 공장 등은 관계자 외 출입금지 또는 시큐리티 체크를 하고 있으며, 이미 물리 시큐리티가 도입된 경우가 많다. 즉, 특별한 추가 설비나 코스트가 들지 않는 경우가 많다.


시큐리티 대책의 개선


지금까지 제어 시스템 시큐리티 대책으로서 IT/물리 시큐리티 대책, 안전 대책 그리고 복구 대책 등 3종류의 대책에 대해 설명했다. 지켜야 할 데이터․설비의 시큐리티 리스크 저감은 이들을 단독 또는 조합해 적용하고, 리스크를 허용 가능 수준 이하로 한다. 여기서 더 높은 시큐리티 수준을 요구할 필요는 없다. 시큐리티 수준이 충분하면 좋고, 과잉 시큐리티 대책은 쓸데없이 비용이 많이 들 뿐으로 효과적이지 않다. 오히려 편리성이나 코스트의 점에서 불이익이 되므로 바람직하지 않다.


목표로 하는 시큐리티 수준을 유지하면서 각종 시큐리티 대책에 숨어 있는 과잉과 낭비를 검토해 코스트와 편리성을 개선할 수 있다. 예를 들면 IT 시큐리티 대책의 일부를 안전 대책이나 복구 대책과 병용함으로써 고가의 시큐리티 설비를 줄일 수 있다. 또한, 시큐리티 수준을 높이면, 입퇴실이나 비밀번호 등의 수고가 늘어나므로 수준의 적정화는 효율화에도 기여한다. 이와 같이 제어 시스템 시큐리티에서 IT/물리 시큐리티 대책, 안전 대책, 복구 대책을 균형 있게 조합해, 시큐리티를 확보하면서 편리성, 생산성과 코스트를 개선할 수 있다.


특히, 기능 안전과 제어 시스템 시큐리티의 연계는 중요하다. 기능 안전 시스템은 소프트웨어로 실현되므로 시큐리티 리스크를 안고 있다. 따라서 설계에서 기능 안전과 시큐리티의 양자에 대응할 필요가 있다. IEC TR 63069는 이 기능 안전과 시큐리티의 양립성에 대한 기술 과제를 나타내고 있다. 이 규격은 기능 안전과 제어 시스템 시큐리티의 양 규격에서 전문가가 참가하고 있으므로 내용은 양 규격에 반영될 예정이다.


제품이나 시스템 개발 조직 등이 시큐리티 규격에 적합한지의 여부, 규격 적합성 평가에 대해서도 제도 검토가 진행되고 있다. IEC의 규격 적합성 평가위원회에서 평가 규칙과 절차가 작성되어 있으며, 이 IEC 규칙에 따라 제품이나 조직의 제3자 인증이 진행될 것이다.


맺음말


정보 시큐리티에 관해 많은 기술서적이 출판되고 있지만, 제어 시스템 시큐리티에 관한 기술서적은 몇 권 밖에 없다. 특히 시큐리티 리스크 평가는 전문가용으로, 제어 시스템에 관련된 기술자에게 있어서는 평이하다고는 하기 어렵다. 시큐리티 대책도 IT 시큐리티에 치우쳐 있는 경향이 강해, 손해를 줄이는 안전 대책과 엔지니어링에 의한 복구 대책까지는 언급되어 있지 않은 것이 많다.


시큐리티 리스크 평가에 기초해 적절한 대책을 실시하지만, 필요 이상으로 시큐리티성을 높이는 의미는 없다. 다양한 관점에서 대책을 효과적으로 조합해, 시큐리티 수준을 유지하면서 편리성, 생산성과 코스트를 개선할 수 있다. 단, 이를 위한 가이던스나 커리큘럼은 아직 정비되어 있지 않다. 앞으로 학회와 업계가 협력해 기술 개발과 제도 설계에 대응해 가길 바란다.


카나마루 히로오, 미쓰비시전기주식회사 첨단기술종합연구소










배너









주요파트너/추천기업