미국국립표준기술연구소(NIST) SP 800-53 접근통제(AC) 단위에 속하는 보안 통제 수단은 인가된 사용자, 프로그램, 절차 또는 기타 시스템에 의해서만 시스템 자원의 사용을 지정하기 위한 정책 및 절차를 제공한다. 이 단위에서는 계정의 설정, 활성화, 수정, 검토, 불능화 및 제거 등의 정보시스템 계정을 관리하기 위한 통제 수단을 지정한다. 통제 수단을 사용하여 직무의 분리, 최소 권한, 실패한 로그인 시도, 시스템 사용 알림, 이전 로그인 알림, 동시 세션 제어, 세션 잠금 및 세션 종료와 같은 접근 및 흐름 시행 문제를 다룰 수 있다. 또한 정보시스템에 접근하기 위한 휴대용 장치, 원격 장치 및 개인 소유 정보시스템의 사용 뿐 아니라 원격 접근 기능의 사용 및 무선 기술의 구현을 해결하기 위한 통제 수단이 있다. 접근은 특정 데이터 또는 장치 기능의 보기, 사용, 변경 등의 여러 가지 형태를 취할 수 있다.
18 예산관리국(OMB) 양해각서 07-16은 개인식별정보(PII)를 “단독으로 또는 특정 개인에 연결되어 있거나 연결될 수 있는 기타 개인 정보 또는 식별 정보(예: 생년월일 및 출생지, 어머니의 결혼하기 전의 성)와 결합되는 경우, 개인의 신원을 구별 또는 추적하는 데 사용될 수 있는 정보(예: 이름, 사회 보장 번호, 생체인식 기록)”로 정의한다[86]. 예산관리국(OMB) 양해각서 10-22는 이 정의를 재확인하였다 [87]. 미국국립표준기술연구소(NIST) 특별 발행 800-122는 개인식별정보(PII)를
“기관에 의해서 유지되는 개인에 관한 모든 정보 즉, (i) 개인의 신원을 구별 또는 추적하는 데 사용될 수 있는 모든 정보(예: 이름, 사회 보장 번호, 생년월일 및 출생지, 어머니의 결혼하기 전의 성 또는 생체인식 기록) 및(ii) 개인에 연결되어 있거나 연결될 수 있는 모든 기타 정보(예: 의료, 교육, 재정 및 고용 정보)”로 정의한다[88].
19 공정 정보 규정 원칙(FIPPS)은 프라이버시에 대한 일반 프레임워크로서 미국 및 전 세계에서 광범위하게 인정받고 있으며, 기타 연방 및 국제 법률과 정책에 반영되어 있다. 다수의 조직에서 공정 정보 규정 원칙(FIPPS)은 프라이버시 위험을 분석하고 적절한 완화 전략을 결정하는 기준의 역할을 한다. 연방 기업 구조 보안 및 프라이버시 프로파일(FEA-SPP) 또한 프라이버시 통제 수단의 개발에 관한 정보 및 자료를 제공했다[89].
접근통제(AC) 통제 수단에 대한 추가적인 가이드는 다음의 문서에서 찾을 수 있다.
n 미국국립표준기술연구소(NIST) SP 800-63은 원격 전자 인증에 대한 가이드를 제공한다[53].
n 미국국립표준기술연구소(NIST) SP 800-48은 IEEE 802.11b 및 Bluetooth 표준 0에 특별히 중점을 둔 무선 네트워크 보안에 대한 가이드를 제공한다.
n 미국국립표준기술연구소(NIST) SP 800-97은 IEEE 802.11i 무선 네트워크 보안에 대한 가이드를 제공한다[64].
n FIPS 201은 연방 직원 및 계약자의 개인 신원확인에 대한 요구사항을 제공한다[65].
n 미국국립표준기술연구소(NIST) SP 800-96은 PIV 카드와 판독기의 상호운용성에 대한 가이드를 제공한다[66].
n 미국국립표준기술연구소(NIST) SP 800-73은 개인 신원확인용 인터페이스에 대한 가이드를 제공한다[49].
n 미국국립표준기술연구소(NIST) SP 800-76은 개인 신원확인용 생체인식에 대한 가이드를 제공한다[50].
n 미국국립표준기술연구소(NIST) SP 800-78은 개인 신원확인용 암호화 알고리즘 및 키(key) 크기에 대한 가이드를 제공한다.[67].
새로운 연방 개인 신원확인(PIV)이 식별 토큰으로서 사용된 경우, 접근통제시스템은 FIPS 201과 미국국립표준기술연구소(NIST) SP 800-73의 요구사항을 준수해야 하며 암호화 확인 또는 생체인식 확인을 사용해야 한다.
토큰 기반 접근통제에서 암호화 확인이 사용되는 경우, 접근통제시스템은 미국국립표준기술연구소(NIST) SP 800-78의 요구사항을 준수해야 한다. 토큰 기반 접근통제에서 생체인식 확인이 사용되는 경우, 접근통제시스템은 미국국립표준기술연구소(NIST) SP 800-76의 요구사항을 준수해야 한다.
접근통제 기술은 인가가 결정되면 장치 또는 시스템 사이의 정보의 흐름을 지도하고 조절하기 위해 설계된 필터 및 차단 기술이다. 다음 절에서는 몇 가지 접근통제 기술 및 산업제어시스템(ICS)에서의 사용을 설명한다.
6.2.1.1 역할 기반 접근통제(RBAC)
RBAC는 상당수의 지능형 장치가 있는 네트워크에서 보안 관리의 복잡성 및 비용을 줄일 수 있는 기술이다. RBAC에서 보안 관리는 사용자 접근 수준을 구성하는 역할, 계위 및 제약을 통해 단순화된다. RBAC는 직원이 역할 및 책임을 역할 및 책임 내의 직무 보다 더 자주 변경하는 점을 허용하기 때문에 조직 내의 비용을 감소한다.
6.2.1.2 웹 서버
웹 및 인터넷 기술은 정보에 더욱 접근 가능하게 하고 제품을 더욱 사용자 친화적으로 만들며 원격 구성을 더 쉽게 하기 때문에 다양한 산업제어시스템(ICS) 제품에 추가되고 있다. 하지만, 사이버 위험도 추가될 수 있으며 새로운 보안 취약점이 생성되는 것도 해결되어야 한다.
산업제어시스템(ICS)별 권장 사항 및 가이드
RBAC는 개별 장치 접근 수준을 유지하고 오류를 최소화하기 위한 비용을 줄이면 서 산업제어시스템(ICS) 장치에 대한 접근을 관리하기 위한 균등한 수단을 제공하 는 데 사용될 수 있다. RBAC는 산업제어시스템(ICS) 사용자 권한을 각자의 업무 를 수행하는 사용자에게만 한정하는 데 사용해야 한다(즉, 최소 권한의 원칙에 기 초한 각 역할 구성). 접근 수준은 특정 산업제어시스템(ICS) 데이터 또는 장치 기 능의 보기, 사용, 변경 등의 여러 가지 형태를 취할 수 있다.
RBAC 도구는 응용 프로그램의 인가를 설정, 수정 또는 제거할 수 있지만, 인가 메커니즘을 대체하지는 않으며, 사용자가 응용 프로그램에 접근하려고 할 때마다 사용자를 확인하고 인증하지는 않는다. RBAC 도구는 정보기술(IT) 시장에서 가장 최신의 플랫폼의 인가 메커니즘에 대한 인터페이스를 제공한다. 하지만, 구형 산업 제어시스템(ICS) 또는 전문화된 산업제어시스템(ICS) 장비에는 전문화된 인터페이 스 소프트웨어의 개발이 필요할 수 있다. 이것은 다수의 독점 운영 체제 또는 맞 춤형 운영 체제 구현 및 인터페이스가 사용되는 산업제어시스템(ICS)에 큰 문제이 다.
산업제어시스템(ICS)별 권장 사항 및 가이드
6.2.1.3 가상 근거리 통신망(VLAN)
VLAN은 물리적 네트워크를 더 작은 논리적 네트워크로 나누어서 성능을 향상시키고 관리의 용이성을 개선하며 네트워크 설계를 단순화한다. VLAN은 이더넷 스위치의 구성을 통해서 달성된다. 각 VLAN은 기타 VLAN에서 트래픽을 격리시키는 단일 방송 영역으로 구성된다. 허브를 스위치로 교체하는 것이 충돌을 줄이듯이, VLAN을 사용하면 방송 트래픽을 제한할 뿐 아니라 논리적 서브넷을 여러 물리적 위치로 확장할 수 있게 한다. VLAN에는 두 가지 종류가 있다.
n 정적 - 종종 스위치 포트가 VLAN에 할당되어 VLAN이 최종 사용자에게 명백해지는 포트 기반으로 지칭된다.
n 동적 - 최종 장치가 VLAN 특성을 스위치를 통해서 결정하거나, IP 또는 하드웨어 주소에 기초하여 VLAN을 결정한다.
하나 이상의 IP 서브넷이 동일한 VLAN에 공존할 수 있지만, 일반 권장 사항은 서브넷과 VLAN 사이에 일대일 관계를 사용하는 것이다. 이 관행에는 여러 VLAN에 합류하기 위해 라우터 또는 다중 계층 스위치의 사용이 필요하다. 많은 라우터와 방화벽에서는 태그 프레임이 지원되어 여러 논리적 네트워크 사이에서 경로를 지정하기 위해 물리적인 단일 인터페이스가 사용될
감시 제어 및 데이터 수집(SCADA) 및 이력 관리 장치(Historians) 소프트웨어 공 급자는 전형적으로 제어실 밖의 사용자가 산업제어시스템(ICS) 정보에 접근할 수 있도록 웹 서버를 하나의 제품 옵션으로 제공한다. 많은 경우에, 웹 서버에 접근하 는 각 클라이언트 컴퓨터에 ActiveX 컨트롤 또는 Java 애플릿과 같은 소프트웨어 구성요소를 설치하거나 다운로드해야 한다. 프로그래머블 로직 컨트롤러(PLC) 및 기타 컨트롤러 등의 일부 제품에서는 내장형 웹, FTP 및 전자 메일 서버를 사용 하여 원격 구성을 용이하게 하고 특정 조건이 발생하는 경우 전자 메일 알림과 보 고서를 생성할 수 있다. 가능하면 HTTP가 아닌 HTTPS를 사용하고, FTP 보다는 SFTP 또는 SCP를 사용하며, 착신 FTP 및 전자 메일 트래픽을 차단하는 등의 조 치를 한다. 공격을 차단하고 ActiveX® 컨트롤 또는 Java® 애플릿의 다운로드를 방지하기 위해 웹, FTP 및 전자 메일 트래픽을 검사할 수 있는 응용 프로그램 프 록시와 보안 어플라이언스(또는 게이트웨이)가 나타나기 시작하고 있다. 산업제어 시스템(ICS)을 인터넷에 연결하는 데 실질적인 이익이 없는 한, 시스템을 연결하지 않는 것이 최상의 선택이다.
수 있다.
일반적으로 VLAN은 호스트 또는 네트워크 취약점을 해결하기 위해 방화벽 또는 침임 탐지 시스템(IDS)이 배치되는 방식으로 배치되지 않는다. 하지만, 제대로 구성된 경우, VLAN은 스위치가 보안 정책을 시행하고 트래픽을 이더넷 계층에서 분리하는 것을 허용한다. 또한, 제대로 세그먼트화된 네트워크는 포트 스캐닝 또는 웜 활동으로 인한 브로드캐스트 스톰의 위험을 완화할 수 있다.
스위치는 해당 장치 및 그 형상에 따라 MAC 스푸핑 공격, 테이블 오버플로우 공격 및 스패닝 트리 프로토콜에 대한 공격 등에 취약하다. 위치 스푸핑 또는 이중 밀폐형 프레임을 사용한 VLAN 호핑(비인가 포트에 프레임을 주입하는 공격 기능)이 있어 왔다. 이러한 공격은 원격으로는 수행될 수 없으며, 스위치에 대한 물리적인 로컬 접근을 필요로 한다. 이러한 공격을 완화하기 위해 MAC 주소 필터링과 같은 다양한 기능, IEEE 802.1x를 사용하는 포트 기반 인증 및 특정 공급자 권고 방식을 장치 및 구현에 따라 사용할 수 있다.
6.2.1.4 전화식 모뎀
산업제어시스템(ICS)에는 엄격한 신뢰성 및 가용성 요구사항이 있다. 문제해결 및 수리가 필요한 경우 기술 자원은 물리적으로 제어실 또는 시설에 있지 않을 수 있다.
따라서 산업제어시스템(ICS)에서는 종종 공급자, 시스템 통합 사업자 또는 제어 기사가 모뎀을 사용해서 접속 진단, 수리 및 구성을 수행하고 네트워크 또는 구성요소에서 유지보수를 수행하여 시스템을 유지한다. 인가된 인원은 이 방법을 통해 쉽게 접근할 수 있지만, 전화식 모뎀에 보안이 제대로 적용되지 않은 경우 무단 사용을 위한 백도어 진입도 허용할 수 있다.
산업제어시스템(ICS)별 권장 사항 및 가이드
각 자동화 셀을 단일 VLAN에 할당하여 불필요한 트래픽 플러딩을 제한하고 동일 한 VLAN의 네트워크 장치가 여러 스위치에 도달할 수 있도록 하여 VLAN은 효과 적으로 산업제어시스템(ICS) 네트워크에 배치되었다[34].
전화식에는 원격 사용자에게 대상 시스템에 대한 강력한(관리자 또는 루트) 접근 권한을 제공하는 원격 제어 소프트웨어가 종종 사용된다. 일반적으로 이러한 소프트웨어의 보안 옵션은 신중하게 검토하고 구성해야 한다.
6.2.1.5 무선
산업제어시스템(ICS) 내의 무선사용은 조직에서 결정해야 하는 위험 기반 결정이다. 일반적으로, 무선 근거리 통신망(LAN)은 예상되는 건강, 안전, 환경적 및 재정적 영향이 낮은 경우에만 배치해야 한다.
미국국립표준기술연구소(NIST) SP 800-48 및 SP 800-97은 무선 네트워크 보안에 대한 가이드를 제공한다.
20 추가 정보는 ISA100(http://www.isa.org/isa100)에 제공되어 있다.
산업제어시스템(ICS)별 권장 사항 및 가이드
n 산업제어시스템(ICS)에 전화식 모뎀이 설치되어 있는 경우 콜백 시스템을 사용 하는 것이 좋다. 이것은 산업제어시스템(ICS)에서 승인된 인가 사용자 목록에 저장되어 있는 다이얼러의 정보와 콜백 번호에 기초한 작동 연결을 모뎀에 설 정함으로써 다이얼러가 인가된 사용자임을 보장한다.
n 각 모뎀의 기본 패스워드를 변경했으며 강력한 패스워드가 배치되었는지 확인 한다.
n 제어실 운영자가 물리적으로 사용 중인 모뎀을 파악한다.
n 고유의 사용자 이름, 패스워드, 강력한 인증 및 적절한 경우 암호화 및 감사 로그를 사용하도록 원격 제어 소프트웨어를 구성한다. 원격 사용자에 의한 이 소프트웨어의 사용은 거의 실시간으로 모니터링 해야 한다.
n 실행 가능한 경우, 모뎀을 사용하지 않을 때는 연결을 차단하거나, 지정 시간 동안 켜져 있은 후에는 모뎀의 연결을 차단하도록 하여 이 연결 차단 절차를 자동화하는 것이 좋다. 때로는 모뎀 연결은 공급자와의 법률 지원 서비스 계약 (예: 15분 대응 시간과 24x7 지원)의 일부임을 주목해야 한다. 담당자는 모뎀 의 연결을 차단하거나 제거하려면 해당 계약을 재협상해야 할 수 있음을 명심 해야 한다.
산업제어시스템(ICS)별 권장 사항 및 가이드
무선 근거리 통신망(LAN)
n 설치하기 전에, 안테나 위치 및 강도를 결정하고 무선 네트워크의 노출을 최 소화하기 위해 무선 측량을 수행해야 한다. 측량에서는 공격자에게 무선 LAN 의 유효 범위가 예상 표준 범위를 넘는 강력한 지향성 안테나가 있다는 것을 고려해야 한다. 또한 패러데이 케이지와 기타 방법을 사용하여 지정된 영역 밖 으로 무선 네트워크의 노출을 최소화해야 한다.
n 무선 사용자의 접근은 사용자 인증서 또는 원격 인증 다이얼인 사용자 서비스 (RADIUS) 서버를 통해 사용자를 인증하는 보안 인증 프로토콜(예: 확장형 인 증 프로토콜 [EAP]과 전송계층보안(TLS) [EAP-TLS])을 사용하는 IEEE 802.1x 인증을 활용해야 한다.
n 무선 작업자 장치를 위한 무선 접근점 및 데이터 서버는 산업제어시스템(ICS) 네트워크에 문서로 기록된 최소(가능하다면 단일) 연결부와 함께 격리된 네트워 크에 위치해야 한다.
n 무선 접근점은 최소한 고유 서비스 세트 식별자(SSID)를 사용하고, SSID 방송 의 사용을 해제하며, MAC 필터링을 사용하도록 구성해야 한다.
n Microsoft Windows 산업제어시스템(ICS) 네트워크에서 무선 장치를 사용하는 경우 Windows 도메인의 별도의 조직 단위로 구성해야 한다.
n 무선 장치 통신은 암호화되어야 하며 무결성이 보호되어야 한다. 암호화가 최 종 장치의 작동 성능을 저하해서는 안 된다. 암호화 지연을 감소하기 위해 개 방형 시스템 간 상호 접속(OSI) 계층 3이 아닌 계층 2의 암호화를 고려해야 한 다. 또한 암호화 기능을 수행하기 위해 하드웨어 가속장치를 사용하는 것이 좋 다.
메쉬 네트워크의 경우 성능을 최대화하기 위해 개방형 시스템 간 상호 접속(OSI) 계층 2에 구현되는 방송키 대비 공개키 관리의 사용을 고려한다. 비대칭 암호 기 법을 사용하여 관리 기능을 수행해야 하며, 대칭 암호화를 사용하여 각 데이터 스 트림 뿐 아니라 네트워크 제어 트래픽의 보안을 유지해야 한다. 장치가 무선 이동 성을 위해 사용되는 경우 적응형 경로 지정 프로토콜을 고려해야 한다. 네트워크 의 수렴 시간은 결함 또는 전력 손실 시 신속한 네트워크 복구를 지원할 수 있도 록 가능한 빨라야 한다. 메쉬 네트워크를 사용하는 경우 네트워크 선제 대체작동 및 대체 경로 선택을 통한 내결함성을 제공할 수 있다.
무선 현장 네트워크
ISA10020 위원회에서는 현장 수준에 중점을 둔 자동화 및 제어 환경에서 무선 시 스템을 구현하기 위한 절차를 정의하는 표준, 권고 방식, 기술 보고서 및 관련 정