Guide to Industrial Control Systems (ICS) Security

Guide to Industrial Control Systems (ICS) Security

Supervisory Control and Data Acquisition (SCADA) Systems, Distributed Control Systems (DCS), and Other Control System Configurations such as Programmable Logic Controllers (PLC)

Keith Stouffer Victoria Pillitteri Suzanne Lightman Marshall Abrams Adam Hahn

This publication is available free of charge from:

http://dx.doi.org/10.6028/NIST.SP.800-82r2

산업제어시스템(ICS) 보안 가이드

감시 제어 및 데이터 수집(SCADA) 시스템, 분산제어시스템(DCS) 및 프로그래머블 로직 컨트롤러(PLC) 등의 기타 제어시스템 구성

Keith Stouffer Victoria Pillitteri Suzanne Lightman Marshall Abrams Adam Hahn

이 번역은 미국 정부 및 NIST의 공식적인 번역이 아닙니다. 번역본에서 명확하지 않은 부분은 아래 NIST 원문 내용을 참조하시기 바랍니다.

http://dx.doi.org/10.6028/NIST.SP.800-82r2

NIST 800-82 한글 번역본의 저작권은 한국인터넷진흥원에 있으며, 자료 내용의 무단 복제, 무단 배포 등을 금합니다.

Guide to Industrial Control Systems (ICS) Security

Supervisory Control and Data Acquisition (SCADA) systems, Distributed Control Systems (DCS), and other control system configurations such as Programmable Logic Controllers (PLC)

Keith Stouffer (Intelligent Systems Division

Engineering Laboratory)

Victoria Pillitteri Suzanne Lightman (Computer Security Division Information Technology Laboratory)

Marshall Abrams

(The MITRE Corporation)

Adam Hahn (Washington State University)

This publication is available free of charge from:

http://dx.doi.org/10.6028/NIST.SP.800-82r2 2015년 5월

U.S. Department of Commerce Penny Pritzker, Secretary

National Institute of Standards and Technology Willie May, Under Secretary of Commerce for Standards and Technology and Director

산업제어시스템(ICS) 보안 가이드

감시 제어 및 데이터 수집(SCADA) 시스템, 분산제어시스템(DCS) 및 프로그래머블 로직 컨트롤러(PLC) 등의 기타 제어시스템 구성

Keith Stouffer 지능 시스템부 공학 연구소 (Intelligent Systems Division Engineering Laboratory)

Victoria Pillitteri Suzanne Lightman 컴퓨터 보안부 정보기술 연구소 (Computer Security Division Information Technology Laboratory)

Marshall Abrams

MITRE 회사 (The MITRE Corporation)

Adam Hahn 워싱턴주립대학교 (Washington State University)

본 발행물은 http://dx.doi.org/10.6028/NIST.SP.800-82r2에서 무료로 제공된다.

2015년 5월

미국 상무부(U.S. Department of Commerce) Penny Pritzker, 장관

미국국립표준기술연구소(NIST) Willie May, 표준기술 상무차관 및 연구소장 (Under Secretary of Commerce for Standards and Technology and Director)

Authority

This publication has been developed by NIST to further its statutory responsibilities under the Federal Information Security Modernization Act (FISMA) of 2014, 44 U.S.C. § 3541 et seq., Public Law (P.L.) 113-283.

NIST is responsible for developing information security standards and guidelines, including minimum requirements for federal information systems, but such standards and guidelines shall not apply to national security systems without the express approval of appropriate federal officials exercising policy authority over such systems. This guideline is consistent with the requirements of the Office of Management and Budget (OMB) Circular A-130, Section 8b(3), Securing Agency Information Systems, as analyzed in Circular A-130, Appendix IV: Analysis of Key Sections.

Supplemental information is provided in Circular A-130, Appendix III, Security of Federal Automated Information Resources.

Nothing in this publication should be taken to contradict the standards and guidelines made mandatory and binding on federal agencies by the Secretary of Commerce under statutory authority. Nor should these guidelines be interpreted as altering or superseding the existing authorities of the Secretary of Commerce, Director of the OMB, or any other federal official.

This publication may be used by nongovernmental organizations on a voluntary basis and is not subject to copyright in the United States.

Attribution would, however, be appreciated by NIST

National Institute of Standards and Technology Special Publication 800-82, Revision 2 Natl. Inst. Stand. Technol. Spec. Publ. 800-82, Rev. 2, 247 pages

(May 2015) This publication is available free of charge from:

http://dx.doi.org/10.6028/NIST.SP.800-82r2 CODEN: NSPUE2

Certain commercial entities, equipment, or materials may be identified in this document in order to describe an experimental procedure or concept adequately. Such identification is not intended to imply recommendation or endorsement by NIST, nor is it intended to imply that the entities, materials, or equipment are necessarily the best available for the purpose. There may be references in this publication to other publications currently under development by NIST in accordance with its assigned statutory responsibilities. The information

Comments on this publication may be submitted to:

National Institute of Standards and Technology Attn: Computer Security Division, Information Technology Laboratory 100 Bureau

Drive (Mail Stop 8930) Gaithersburg, MD 20899-8930 Electronic Mail: nist800-82rev2comments@nist.gov

in this publication, including concepts and methodologies, may be used by federal agencies even before the completion of such companion publications. Thus, until each publication is completed, current requirements, guidelines, and procedures, where they exist, remain operative. For planning and transition purposes, federal agencies may wish to closely follow the development of these new publications by NIST. Organizations are encouraged to review all draft publications during public comment periods and provide feedback to NIST. All NIST Computer Security Division publications, other than the ones noted above, are available at http://csrc.nist.gov/publications.

권한

본 발행물은 미국 국립표준기술연구소(NIST)가 연방 정보보안 현대화법(the Federal Information Security Modernization Act, FISMA, 2014, 44 U.S.C. § 3541 et seq., 미 공법(Public Law) 113-283)에 따라 법적 책임을 강화하기 위해 개발한 것이다. 미국국립표준기술연구소(NIST)는 연방 정보시스템에 대한 최소 요구사항을 포함하여 정보 보안 표준 및 가이드를 개발할 책임이 있지만, 이러한 표준 및 가이드는 해당 시스템에 대해 정책 권한을 행사하는 적절한 연방 공무원의 명시적 승인 없이는 국가 보안 시스템에 적용되지 않는다. 본 가이드는 예산관리국(the Office of Management and Budget, OMB) 회람(Circular) A-130, 8b(3) 절, 기관 정보시스템 보안(Securing Agency Information Systems)의 요구사항과 일관되며, 분석은 회람(Circular) A-130, 부록 IV: 핵심 부문의 분석(Analysis of Key Sections)에서 찾을 수 있다. 추가 정보는 회람(Circular) A-130, 부록 III, 연방 자동화 정보 자원의 보안(Security of Federal Automated Information Resources)에서 제공된다.

본 발행물은 법적 권한을 가지는 미국 상무부 장관(Secretary of Commerce)에 의해 연방 기관이 지켜야 할 의무적이고 구속력 있는 표준이나 가이드에 반하는 것은 없다. 미국 상무부 장관, 예산관리국(OMB) 국장 또는 기타 모든 연방 공무원의 기존 권한을 변경 또는 대체하는 것으로 해석되어서도 안 된다. 본 발행물은 자유의사에 따라 비정부기구에서 사용할 수 있으며, 미국에서 저작권의 대상이 아니다. 하지만, 저작자 표시를 하는 것이 바람직하다.

미국국립표준기술연구소(NIST) 특별 발행 800-82, 2차 개정판

Natl. Inst. Stand. Technol. Spec. Publ. 800-82, Rev. 2, 247페이지(2015년 5월) 본 발행물은 http://dx.doi.org/10.6028/NIST.SP.800-82r2 에서 무료로 제공된다.

CODEN: NSPUE2

본 문서에서 실험적 절차나 개념을 적절하게 설명하기 위해 사용된 특정 영리 기 관, 장비 또는 재료를 확인할 수 있을 것이다. 이러한 내용은 미국국립표준기술연 구소(NIST)의 권장 또는 보증을 의미하는 것은 아니며, 언급된 기관, 장비 또는 재료가 반드시 해당 목적에 가장 적합하게 사용될 수 있다는 것을 의미하는 것도 아니다.

본 발행물에 대한 의견은 다음의 주소로 제출할 수 있다.

National Institute of Standards and Technology

Attn: Computer Security Division, Information Technology Laboratory 100 Bureau Drive (Mail Stop 8930) Gaithersburg, MD 20899-8930

전자 메일: nist800-82rev2comments@nist.gov

본 발행물에는 미국국립표준기술연구소(NIST)에 지정된 법적 책임에 따라 현재 개 발 중인 기타 발행물에 대한 언급이 있을 수 있다. 그리고 해당 발행물이 완료되 기 전이라도 연방 기관이 본 발행물의 개념 및 방법 등의 정보를 사용할 수 있다.

따라서 각 발행물이 완료될 때까지 현재의 요구사항, 가이드 및 절차는 존재하는 곳에서 그 효력을 유지한다. 연방 기관에서는 기획 및 이행의 목적으로 미국국립 표준기술연구소(NIST)에 의한 이러한 새 발행물의 개발을 긴밀히 따라가기를 바란 다.

조직과 단체에서는 공개적인 의견 수렴 기간 동안 모든 발행물 초안을 검토하고 미국 국립표준기술연구소(NIST)에 피드백을 제공할 것을 적극 권장한다. 위에서 언급한 것 이외의 모든 미국국립표준기술연구소(NIST) 컴퓨터 보안부(Computer Security Division) 발행물은 http://csrc.nist.gov/publications 에서 확인할 수 있다.

Reports on Computer Systems Technology

The Information Technology Laboratory (ITL) at the National Institute of Standards and Technology (NIST) promotes the U.S. economy and public welfare by providing technical leadership for the Nation’s measurement and standards infrastructure. ITL develops tests, test methods, reference data, proof of concept implementations, and technical analyses to advance the development and productive use of information technology. ITL’s responsibilities include the development of management, administrative, technical, and physical standards and guidelines for the cost-effective security and privacy of other than national security-related information in federal information systems. The Special Publication 800-series reports on ITL’s research, guidelines, and outreach efforts in information system security, and its collaborative activities with industry, government, and academic organizations.

Abstract

This document provides guidance on how to secure Industrial Control Systems (ICS), including Supervisory Control and Data Acquisition (SCADA) systems, Distributed Control Systems (DCS), and other control system configurations such as Programmable Logic Controllers (PLC), while addressing their unique performance, reliability, and safety requirements.

The document provides an overview of ICS and typical system topologies, identifies typical threats and vulnerabilities to these systems, and provides recommended security countermeasures to mitigate the associated risks.

Keywords

Computer security; distributed control systems (DCS); industrial control systems (ICS); information security; network security; programmable logic controllers (PLC); risk management; security controls; supervisory control and data acquisition (SCADA) systems

컴퓨터 시스템 기술에 대한 보고서

미국국립표준기술연구소(NIST)의 정보기술연구소(the Information Technology Laboratory, ITL)는 국가 측정 및 표준 인프라에 대한 기술 리더십을 제공하여 미국 경제 및 공공복지를 촉진한다.

정보기술연구소(ITL)에서는 정보기술의 개발 및 생산적인 사용을 진척시키기 위해서 테스트, 테스트 방법, 참조 데이터, 개념 증명 구현 및 기술적 분석 방법을 개발한다. 정보기술연구소(ITL)의 책임에는 연방 정보시스템의 국가 보안 관련 정보 이외의 프라이버시 및 비용 효율적인 보안에 대한 관리, 행정, 기술 및 물리적 표준과 가이드의 개발이 포함되어 있다. 특별 발행 800시리즈에는 정보시스템 보안에 관한 정보기술연구소(ITL)의 연구, 가이드, 확장 노력 및 업계, 정부, 학술 단체와의 협력 활동에 대한 보고 내용이 포함되어 있다.

개요

본 문서에서는 감시 제어 및 데이터 수집(Supervisory Control and Data Acquisition, SCADA), 분산제어시스템(Distributed Control Systems, DCS) 및 프로그래머블 로직 컨트롤러(Programmable Logic Controllers, PLC) 등의 기타 제어시스템 구성을 포함한 산업제어시스템(ICS)의 고유의 성능, 신뢰성 및 안전 요구사항을 다루면서 보안을 적용하는 방법에 대한 가이드를 제공한다. 본 문서는 산업제어시스템(ICS) 및 전형적인 시스템 구성 방식의 개요를 제공하고 이러한 시스템에 대한 전형적인 위협 및 취약점을 파악하며 관련된 위험을 완화하기 위한 권장 보안 대책을 제공한다.

키워드

컴퓨터 보안, 분산제어시스템(DCS), 산업제어시스템(ICS), 정보 보안, 네트워크 보안, 프로그래머블 로직 컨트롤러(PLC), 위험 관리, 보안 통제, 감시 제어 및 데이터 수집(SCADA) 시스템

Acknowledgments for Revision 2

The authors gratefully acknowledge and appreciate the significant contributions from individuals and organizations in the public and private sectors, whose thoughtful and constructive comments improved the overall quality, thoroughness, and usefulness of this publication. A special acknowledgement to Lisa Kaiser, Department of Homeland Security, the Department of Homeland Security Industrial Control System Joint Working Group (ICSJWG), and Office of the Deputy Undersecretary of Defense for Installations and Environment, Business Enterprise Integration Directorate staff, Daryl Haegley and Michael Chipley, for their exceptional contributions to this publication.

Acknowledgments for Previous Versions

The original authors, Keith Stouffer, Joe Falco, and Karen Scarfone of NIST, wish to thank their colleagues who reviewed drafts of the original version of the document and contributed to its technical content. The authors would particularly like to acknowledge Tim Grance, Ron Ross, Stu Katzke, and Freemon Johnson of NIST for their keen and insightful assistance throughout the development of the document. The authors also gratefully acknowledge and appreciate the many contributions from the public and private sectors whose thoughtful and constructive comments improved the quality and usefulness of the publication. The authors would particularly like to thank the members of ISA99. The authors would also like to thank the UK National Centre for the Protection of National Infrastructure (CPNI)) for allowing portions of the Good Practice Guide on Firewall Deployment for SCADA and Process Control Network to be used in the document as well as ISA for allowing portions of the ISA62443 Standards to be used in the document.

2차 개정판에 대한 감사의 글

저자 일동은 사려 깊고 건설적인 의견으로 본 발행물의 전체적인 품질, 철두철미함 및 유용성을 향상시키는데 주요한 공헌을 해주신 공공 및 민간 부문의 개인 혹은 단체에 진심으로 감사를 드린다. 또한, 본 발행물에 탁월한 공헌을 해주신 Lisa Kaiser, 국토안보부(Department of Homeland Security), 국토안보부 산업제어시스템(ICS) 공동 작업반(Department of Homeland Security Industrial Control System Joint Working Group) 및 설비 환경 국방부 부차관실(Office of the Deputy Undersecretary of Defense for Installations and Environment), 기업 통합 이사회(Business Enterprise Integration Directorate) 일동, Daryl Haegley 및 Michael Chipley 님에게 특별한 감사를 드린다.

이전 버전에 대한 감사의 글

원작자인 미국국립표준기술연구소(NIST)의 Keith Stouffer, Joe Falco 및 Karen Scarfone는 문서의 원본 초안을 검토하고 기술 내용에 기여해 준 동료들에게 감사의 말을 전한다. 문서 개발의 처음부터 끝까지 예리하고 통찰력 있는 지원을 해준 미국국립표준기술연구소(NIST)의 Tim Grance, Ron Ross, Stu Katzke 및 Freemon Johnson 님에게 특별히 감사를 드린다.

사려 깊고 건설적인 의견으로 발행물의 품질 및 유용성을 향상시킨 공공 및 민간 부문의 많은 공헌에 진심으로 감사를 드린다. ISA99의 구성원들에게 특별한 감사를 드린다. 또한 감시 제어 및 데이터 수집(SCADA)과 프로세스 제어 네트워크를 위한 방화벽 배치에 관한 모범 사례서(Good Practice Guide on Firewall Deployment for SCADA and Process Control Network)의 일부를 본 문서에 사용할 수 있도록 허용해준 영국국립국가기반보호센터(UK National Centre for the Protection of National Infrastructure) 및 ISA-62443 표준의 일부를 본 문서에 사용할 수 있도록 허용해준 ISA 모두에 감사를 드린다.

Note to Readers

This document is the second revision to NIST SP 800-82, Guide to Industrial Control Systems (ICS) Security. Updates in this revision include:

Updates to ICS threats and vulnerabilities.

Updates to ICS risk management, recommended practices, and architectures.

Updates to current activities in ICS security.

Updates to security capabilities and tools for ICS.

Additional alignment with other ICS security standards and guidelines.

New tailoring guidance for NIST SP 800-53, Revision 4 security controls including the introduction of overlays.

An ICS overlay for NIST SP 800-53, Revision 4 security controls that provides tailored security control baselines for Low, Moderate, and High impact ICS.

독자 참고

본 문서는 미국국립표준기술연구소(NIST) SP 800-82 산업제어시스템(ICS) 보안 가이드의 2차 개정판이다. 본 개정판에 포함된 업데이트는 다음과 같다.

산업제어시스템(ICS) 위협 및 취약점에 대한 업데이트.

산업제어시스템(ICS) 위험 관리, 권고 방식 및 구조에 대한 업데이트.

산업제어시스템(ICS) 보안의 현재 활동에 대한 업데이트.

산업제어시스템(ICS)의 보안 기능 및 도구에 대한 업데이트.

다른 산업제어시스템(ICS) 보안 표준 및 가이드와의 추가 조정.

산업제어시스템(ICS) 보안 통제 오버레이(security control Overlay)를 포함하여 미국국립표준기술연구소(NIST) SP 800-53 4차 개정판 보안 통제에 대한 새로운 조정 가이드.

저충격, 보통 충격 및 고충격 산업제어시스템(ICS)에 대한 맞춤형 보안 통제 기준선을 제공하는 미국국립표준기술연구소(NIST) SP 800-53 4차 개정판 보안 통제에 대한 산업제어시스템(ICS) 오버레이(security control Overlay).

Table of Contents

Executive Summary ... 1 1. Introduction ... 1-1 1.1 Purpose and Scope ...1-1 1.2 Audience ...1-1 1.3 Document Structure ...1-3 2. Overview of Industrial Control Systems ... 2-1 2.1 Evolution of Industrial Control Systems ...2-3 2.2 ICS Industrial Sectors and Their Interdependencies ...2-3 2.2.1 Manufacturing Industries ... 2-3 2.2.2 Distribution Industries ... 2-5 2.2.3 Differences between Manufacturing and Distribution ICS ... 2-5 2.2.4 ICS and Critical Infrastructure Interdependencies ... 2-5 2.3 ICS Operation and Components ...2-7 2.3.1 ICS System Design Considerations ...2-11 2.3.2 SCADA Systems ...2-15 2.3.3 Distributed Control Systems ... 2-27 2.3.4 Programmable Logic Controller Based Topologies ... 2-31 2.4 Comparing ICS and IT Systems Security... 2-35 2.5 Other Types of Control Systems ... 2-49 3. ICS Risk Management and Assessment ... 3-1

3.1 Risk Management ...3-1 3.2 Introduction to the Risk Management Process ...3-3 3.3 Special Considerations for Doing an ICS Risk Assessment ...3-11 3.3.1 Safety within an ICS Information Security Risk Assessment...3-11 3.3.2 Potential Physical Impacts of an ICS Incident ...3-13 3.3.3 Impact of Physical Disruption of an ICS Process ... 3-13 3.3.4 Incorporating Non-digital Aspects of ICS into Impact Evaluations 3-15 3.3.5 Incorporating the Impact of Safety Systems ...3-19 3.3.6 Considering the Propagation of Impact to Connected Systems ...3-19 4. ICS Security Program Development and Deployment ... 4-1 4.1 Business Case for Security ...4-3 4.1.1 Benefits ... 4-5

목 차

요약 ··· 2 1. 서문 ··· 1-2 1.1 목적 및 범위 ··· 1-2 1.2 독자 ··· 1-4 1.3 문서 구조 ··· 1-4 2. 산업제어시스템의 개요 ··· 2-2 2.1 산업제어시스템의 진화 ··· 2-4 2.2 산업제어시스템(ICS) 산업 부문 및 상호의존성 ··· 2-4 2.2.1 제조업 ··· 2-4 2.2.2 에너지배급업 ··· 2-6 2.2.3 제조 및 유통 산업제어시스템(ICS)의 차이점 ··· 2-6 2.2.4 산업제어시스템(ICS)과 주요기반 상호의존성 ··· 2-6 2.3 산업제어시스템(ICS) 작동 및 구성요소 ··· 2-8 2.3.1 산업제어시스템(ICS) 설계 고려사항 ··· 2-12 2.3.2 감시 제어 및 데이터 수집(SCADA) 시스템 ··· 2-16 2.3.3 분산제어시스템(DCS) ··· 2-28 2.3.4 프로그래머블 로직 컨트롤러(PLC) 기반 구성 방식 ··· 2-32 2.4 산업제어시스템(ICS) 및 정보기술(IT) 시스템 보안 비교 ··· 2-36 2.5 기타 유형의 제어시스템 ··· 2-50 3. 산업제어시스템(ICS) 위험 관리 및 평가 ··· 3-2 3.1 위험 관리 ··· 3-2 3.2 위험 관리 절차 소개 ··· 3-4 3.3 산업제어시스템(ICS) 위험 평가 수행 시 특별 고려 사항 ··· 3-12 3.3.1 산업제어시스템(ICS) 정보 보안 위험 평가 중 안전 ··· 3-12 3.3.2 잠재적인 산업제어시스템(ICS) 사고의 물리적 영향 ··· 3-14 3.3.3 산업제어시스템(ICS) 공정의 물리적 중단의 영향 ··· 3-14 3.3.4 영향 평가에 비디지털(Non-Digital) 측면의 ICS 통합 ··· 3-16 3.3.5 안전 시스템의 영향 통합 ··· 3-20 3.3.6 연결된 시스템에 대한 파급 영향 고려 ··· 3-20 4. 산업제어시스템(ICS) 보안 프로그램 개발 및 배치 ··· 4-2 4.1 보안의 업무 적용 사례 ··· 4-4 4.1.1 혜택 ··· 4-6

4.1.2 Potential Consequences ... 4-7 4.1.3 Resources for Building Business Case ... 4-11 4.1.4 Presenting the Business Case to Leadership ...4-11 4.2 Build and Train a Cross-Functional Team ...4-13 4.3 Define Charter and Scope ...4-15 4.4 Define ICS-specific Security Policies and Procedures ...4-15 4.5 Implement an ICS Security Risk Management Framework...4-17

4.5.1 Categorize ICS Systems and Networks Assets ... 4-19 4.5.2 Select ICS Security Controls ... 4-21 4.5.3 Perform Risk Assessment ...4-23 4.5.4 Implement the Security Controls ...4-23 5. ICS Security Architecture...5-1 5.1 Network Segmentation and Segregation...5-1 5.2 Boundary Protection...5-7 5.3 Firewalls...5-13 5.4 Logically Separated Control Network...5-19 5.5 Network Segregation...5-21 5.5.1 Dual-Homed Computer/Dual Network Interface Cards (NIC)... 5-21 5.5.2 Firewall between Corporate Network and Control Network ...5-21 5.5.3 Firewall and Router between Corporate Network and Control Network ... 5-25

5.5.4 Firewall with DMZ between Corporate Network and Control Network.. 5-27

5.5.5 Paired Firewalls between Corporate Network and Control Network...

5-33

5.5.6 Network Segregation Summary... 5-37 5.6 Recommended Defense-in-Depth Architecture...5-37 5.7 General Firewall Policies for ICS ...5-42 5.8 Recommended Firewall Rules for Specific Services...5-47 5.8.1 Domain Name System (DNS)... 5-49 5.8.2 Hypertext Transfer Protocol (HTTP)... 5-49 5.8.3 FTP and Trivial File Transfer Protocol (TFTP)... 5-49 5.8.4 Telnet... 5-51 5.8.5 Dynamic Host Configuration Protocol (DHCP) ... 5-51 5.8.6 Secure Shell (SSH) ... 5-53 5.8.7 Simple Object Access Protocol (SOAP) ... 5-53

4.1.2 잠재적 결과 ··· 4-8 4.1.3 업무 적용 사례 구축을 위한 자원 ··· 4-12 4.1.4 경영진에 업무 적용 사례 제시 ··· 4-12 4.2 다기능팀 전략 구축 및 훈련 ··· 4-14 4.3 헌장 및 범위 정의 ··· 4-16 4.4 산업제어시스템(ICS)별 보안 정책 및 절차 정의 ··· 4-16 4.5 산업제어시스템(ICS) 보안 위험 관리 프레임워크 구현 ··· 4-18 4.5.1 산업제어시스템(ICS)의 시스템 및 네트워크 자산 분류 ··· 4-20 4.5.2 산업제어시스템(ICS) 보안 통제 선택 ··· 4-22 4.5.3 위험 평가 수행 ··· 4-24 4.5.4 보안 통제 수단 구현 ··· 4-24 5. 산업제어시스템(ICS) 보안 구조 ··· 5-2 5.1 네트워크 분할 및 격리 ··· 5-2 5.2 경계 보호 ··· 5-8 5.3 방화벽 ··· 5-14 5.4 논리적 분리형 제어 네트워크 ··· 5-20 5.5 네트워크 격리 ··· 5-22 5.5.1 이중 홈 컴퓨터/듀얼 네트워크 인터페이스 카드(NIC) ··· 5-22 5.5.2 업무 네트워크와 제어 네트워크 사이의 방화벽 ··· 5-22 5.5.3 업무 네트워크와 제어 네트워크 사이의 방화벽과 라우터 ··· 5-26 5.5.4 업무 네트워크와 제어 네트워크 사이의 경계 네트워크

구간(DMZ)과 방화벽 ··· 5-28 5.5.5 업무 네트워크와 제어 네트워크 사이의 이중 방화벽 ··· 5-34 5.5.6 네트워크 격리 요약 ··· 5-38 5.6 권장 심층 방어 구조 ··· 5-38 5.7 산업제어시스템(ICS)의 일반 방화벽 정책 ··· 5-42 5.8 특정 서비스에 대한 권장 방화벽 규칙 ··· 5-48 5.8.1 도메인 네임 시스템(DNS) ··· 5-50 5.8.2 하이퍼텍스트 전송 프로토콜(HTTP) ··· 5-50 5.8.3 FTP 및 간이 파일 전송 프로토콜(TFTP) ··· 5-50 5.8.4 텔넷(Telnet) ··· 5-52 5.8.5 동적 호스트 구성 프로토콜(DHCP) ··· 5-52 5.8.6 시큐어 셸(SSH) ··· 5-54 5.8.7 단순 객체 접근 프로토콜(SOAP) ··· 5-54

5.8.8 Simple Mail Transfer Protocol (SMTP) ... 5-53 5.8.9 Simple Network Management Protocol (SNMP)... 5-53 5.8.10 Distributed Component Object Model (DCOM)... 5-55 5.8.11 SCADA and Industrial Protocols... 5-55 5.9 Network Address Translation (NAT) ...5-55 5.10 Specific ICS Firewall Issues ...5-59 5.10.1 Data Historians ... 5-59 5.10.2 Remote Support Access... 5-59 5.10.3 Multicast Traffic... 5-61 5.11 Unidirectional Gateways...5-63 5.12 Single Points of Failure...5-63 5.13 Redundancy and Fault Tolerance...5-63 5.14 Preventing Man-in-the-Middle Attacks...5-65 5.15 Authentication and Authorization ...5-71 5.15.1 ICS Implementation Considerations ... 5-73 5.16 Monitoring, Logging, and Auditing ...5-73 5.17 Incident Detection, Response, and System Recovery ...5-75 6. Applying Security Controls to ICS...6-1 6.1 Executing the Risk Management Framework Tasks for Industrial Control Systems...6-1 6.1.1 Step 1: Categorize Information System ... 6-3 6.1.2 Step 2: Select Security Controls... 6-7 6.1.3 Step 3: Implement Security Controls ... 6-11 6.1.4 Step 4: Assess Security Controls ...6-13 6.1.5 Step 5: Authorize Information System ...6-13 6.1.6 Step 6: Monitor Security Controls...6-13 6.2 Guidance on the Application of Security Controls to ICS ...6-13 6.2.1 Access Control...6-19 6.2.2 Awareness and Training... 6-33 6.2.3 Audit and Accountability... 6-35 6.2.4 Security Assessment and Authorization ... 6-41 6.2.5 Configuration Management ... 6-15 6.2.6 Contingency Planning ... 6-43 6.2.7 Identification and Authentication... 6-49

5.8.8 단순 우편 전송 프로토콜(SMTP) ··· 5-54 5.8.9 단순 네트워크 관리 프로토콜(SNMP) ··· 5-54 5.8.10 분산 컴포넌트 객체 모델(DCOM) ··· 5-56 5.8.11 감시 제어 및 데이터 수집(SCADA) 시스템과 산업용 네트워크

프로토콜 ··· 5-56 5.9 네트워크 주소 변환(NAT) ··· 5-56 5.10 특정 산업제어시스템(ICS) 방화벽 문제 ··· 5-60 5.10.1 데이터 이력 관리 장치(Data Historians) ··· 5-60 5.10.2 원격 지원 접근 ··· 5-60 5.10.3 멀티캐스트 트래픽 ··· 5-62 5.11 단방향 게이트웨이 ··· 5-64 5.12 단일 장애 지점 ··· 5-64 5.13 중복 및 내결함성 ··· 5-64 5.14 중간자 공격 방지 ··· 5-66 5.15 인증 및 인가 ··· 5-72 5.15.1 산업제어시스템(ICS) 구현 고려 사항 ··· 5-74 5.16 모니터링, 기록 및 감사 ··· 5-74 5.17 사고 탐지, 대응 및 시스템 복구 ··· 5-76 6. 산업제어시스템(ICS)에 대한 보안 통제 적용 ··· 6-2 6.1 산업제어시스템(ICS)에 대한 위험 관리 프레임워크 작업 실행 ···· 6-2 6.1.1 제1단계: 정보시스템 분류 ··· 6-4 6.1.2 제2단계: 보안 통제 수단 선택 ··· 6-8 6.1.3 제3단계: 보안 통제 수단 구현 ··· 6-12 6.1.4 제4단계: 보안 통제 수단 접근 ··· 6-14 6.1.5 제5단계: 정보시스템 인가 ··· 6-14 6.1.6 제6단계: 보안 통제 수단 모니터링 ··· 6-14 6.2 산업제어시스템(ICS)에 대한 보안 통제 수단 적용 가이드 ··· 6-14 6.2.1 접근통제 ··· 6-20 6.2.2 인식 및 훈련 ··· 6-34 6.2.3 감사 및 책임 추적성 ··· 6-36 6.2.4 보안 평가 및 인가 ··· 6-40 6.2.5 형상 관리 ··· 6-42 6.2.6 긴급 사태 대책 ··· 6-44 6.2.7 식별 및 인증 ··· 6-50

6.2.8 Incident Response ... 6-65 6.2.9 Maintenance ... 6-71 6.2.10 Media Protection ... 6-71 6.2.11 Physical and Environmental Protection ... 6-73 6.2.12 Planning... 6-83 6.2.13 Personnel Security... 6-85 6.2.14 Risk Assessment... 6-87 6.2.15 System and Services Acquisition ... 6-91 6.2.16 System and Communications Protection... 6-93 6.2.17 System and Information Integrity...6-101 6.2.18 Program Management... 6-111 6.2.19 Privacy Controls...6-111

List of Appendices

Appendix A— Acronyms and Abbreviations... A-1 Appendix B— Glossary of Terms ... B-1 Appendix C— Threat Sources, Vulnerabilities, and Incidents...C-1 Appendix D— Current Activities in Industrial Control System Security ...D-1 Appendix E— ICS Security Capabilities and Tools... E-1 Appendix F— References... F-1 Appendix G— ICS Overlay ...G-1

List of Figures

Figure 2-1. ICS Operation ... 2-4 Figure 2-2. SCADA System General Layout ... 2-6 Figure 2-3. Basic SCADA Communication Topologies... 2-7 Figure 2-4. Large SCADA Communication Topology ... 2-8 Figure 2-5. SCADA System Implementation Example

(Distribution Monitoring and Control) ... 2-9 Figure 2-6. SCADA System Implementation Example

(Rail Monitoring and Control)... 2-10

6.2.8 사고 대응 ··· 6-66 6.2.9 유지보수 ··· 6-72 6.2.10 매체 보호 ··· 6-72 6.2.11 물리적 및 환경적 보호 ··· 6-74 6.2.12 기획 ··· 6-84 6.2.13 인적 보안 ··· 6-86 6.2.14 위험 평가 ··· 6-88 6.2.15 시스템 및 서비스 수집 ··· 6-92 6.2.16 시스템 및 통신 보호 ··· 6-94 6.2.17 시스템 및 정보 무결성 ··· 6-102 6.2.18 프로그램 관리 ··· 6-112 6.2.19 프라이버시 통제 수단 ··· 6-112

부록 목차

부록 A - 두문자어 및 약어 ··· A-1 부록 B - 용어 해설 설명 ··· B-1 부록 C - 위협원, 취약점 및 사고 ··· C-1 부록 D - 산업제어시스템 보안의 현재 활동 ··· D-1 부록 E - 산업제어시스템(ICS) 보안 기능 및 도구 ··· E-1 부록 F - 참조(References) ··· F-1 부록 G - 산업제어시스템(ICS) 오버레이(Overlay) ··· G-1

그림 목차

그림 2-1. 산업제어시스템(ICS) 작동 ··· 2-6 그림 2-2. 감시 제어 및 데이터 수집(SCADA) 시스템 일반 구조 ··· 2-10 그림 2-3. 감시 제어 및 데이터 수집(SCADA) 시스템의 기본 통신 구성 · 2-11 그림 2-4. 감시 제어 및 데이터 수집(SCADA) 시스템의 대형 통신 구성 · 2-12 그림 2-5. 감시 제어 및 데이터 수집(SCADA) 시스템 구현 예제

(에너지배급 모니터링 및 제어) ··· 2-13 그림 2-6. 감시 제어 및 데이터 수집(SCADA) 시스템 구현 예제

Figure 2-7. DCS Implementation Example ... 2-12 Figure 2-8. PLC Control System Implementation Example... 2-13 Table 2-1. Summary of IT System and ICS Differences ... 2-16 Figure 3-1. Risk Management Process Applied Across the Tiers ... 3-2 Table 3-1. Categories of Non-Digital ICS Control Components ... 3-6 Figure 5-1. Firewall between Corporate Network and Control Network ... 5-8 Figure 5-2. Firewall and Router between Corporate Network and Control Network... 5-9 Figure 5-3. Firewall with DMZ between Corporate Network and Control Network ... 5-10 Figure 5-4. Paired Firewalls between Corporate Network and Control Network ... 5-12 Figure 5-5. CSSP Recommended Defense-In-Depth Architecture ... 5-14 Figure 6-1. Risk Management Framework Tasks... 6-2 Table 6-1. Possible Definitions for ICS Impact Levels Based on ISA99... 6-3 Table 6-2. Possible Definitions for ICS Impact Levels Based on Product Produced, Industry and Security Concerns... 6-4 Figure C-1. ICS-CERT Reported Incidents by Year ...C-11 Figure G-1 Detailed Overlay Control Specifications Illustrated ...G-13

List of Tables

Table C-1. Threats to ICS ...C-1 Table C-2. Policy and Procedure Vulnerabilities and Predisposing Conditions....C-4 Table C-3. Architecture and Design Vulnerabilities and Predisposing Conditions...C-6 Table C-4. Configuration and Maintenance Vulnerabilities and Predisposing Conditions ...C-6 Table C-5. Physical Vulnerabilities and Predisposing Conditions ...C-8 Table C-6. Software Development Vulnerabilities and Predisposing Conditions...C-9 Table C-7. Communication and Network Configuration Vulnerabilities and Predisposing Conditions ...C-9 Table C-8. Example Adversarial Incidents...C-10 Table G-1 Security Control Baselines ...G-3

(철도 모니터링 및 제어) ··· 2-14 그림 2-7. DCS 구현 예제 ··· 2-16 그림 2-8. 프로그래머블 로직 컨트롤러(PLC) 제어시스템 구현 예제 ··· 2-18 그림 3-1. 계층 전반에 걸쳐 적용된 위험 관리 절차 ··· 3-3 그림 5-1. 업무 네트워크와 제어 네트워크 사이의 방화벽 ··· 5-12 그림 5-2. 업무 네트워크와 제어 네트워크 사이의 방화벽과 라우터 ··· 5-14 그림 5-3. 업무 네트워크와 제어 네트워크 사이의 경계 네트워크

구간(DMZ)과 방화벽 ··· 5-15 그림 5-4. 업무 네트워크와 제어 네트워크 사이의 이중 방화벽 ··· 5-17 그림 5-5. 제어시스템 보안 프로그램(CSSP) 권장 심층 방어 구조 ··· 5-20 그림 6-1. 위험 관리 프레임워크 작업 ··· 6-2 그림 C-1. 연도별로 ICS-CERT에 보고된 사고 ··· C-17 그림 G-1 오버레이(Overlay) 제어 상세 설명서 ··· G-17

표 목차

표 2-1. 정보기술(IT) 시스템 및 산업제어시스템(ICS) 차이점 요약 ··· 2-22 표 3-1. 비디지털(Non-Digital) 산업제어시스템(ICS) 제어 구성요소의 범주 3-8 표 6-1. ISA99에 기반한 산업제어시스템(ICS) 영향도 정의 ··· 6-4 표 6-2. 생산 제품, 업계 및 보안 문제에 기반한 산업제어시스템(ICS)

영향도의 가능한 정의 ··· 6-4 표 C-1. 산업제어시스템(ICS)에 대한 위협 ··· C-2 표 C-2. 정책 및 절차 취약점과 선행조건 ··· C-6 표 C-3. 구조 및 설계 취약점과 선행조건 ··· C-8 표 C-4. 형상 및 유지보수 취약점과 선행조건 ··· C-9 표 C-5. 물리적 취약점과 선행조건 ··· C-12 표 C-6. 소프트웨어 개발 취약점과 선행조건 ··· C-13 표 C-7. 통신 및 네트워크 구성 취약점과 선행조건 ··· C-13 표 C-8. 적대적 사건 사례 ··· C-15 표 G-1 보안 통제 기준선 ··· G-4

Executive Summary

This document provides guidance for establishing secure industrial control systems (ICS). These ICS, which include supervisory control and data acquisition (SCADA) systems, distributed control systems (DCS), and other control system configurations such as Programmable Logic Controllers (PLC) are often found in the industrial control sectors. ICS are typically used in industries such as electric, water and wastewater, oil and natural gas, transportation, chemical, pharmaceutical, pulp and paper, food and beverage, and discrete manufacturing (e.g., automotive, aerospace, and durable goods.) SCADA systems are generally used to control dispersed assets using centralized data acquisition and supervisory control. DCS are generally used to control production systems within a local area such as a factory using supervisory and regulatory control. PLCs are generally used for discrete control for specific applications and generally provide regulatory control.

These control systems are vital to the operation of the U.S. critical infrastructures that are often highly interconnected and mutually dependent systems. It is important to note that approximately 90 percent of the nation's critical infrastructures are privately owned and operated. Federal agencies also operate many of the ICS mentioned above; other examples include air traffic control and materials handling (e.g., Postal Service mail handling.) This document provides an overview of these ICS and typical system topologies, identifies typical threats and vulnerabilities to these systems, and provides recommended security countermeasures to mitigate the associated risks.

Initially, ICS had little resemblance to traditional information technology (IT) systems in that ICS were isolated systems running proprietary control protocols using specialized hardware and software. Many ICS components were in physically secured areas and the components were not connected to IT networks or systems. Widely available, low-cost Internet Protocol (IP) devices are now replacing proprietary solutions, which increases the possibility of cybersecurity vulnerabilities and incidents. As ICS are adopting IT solutions to promote corporate business systems connectivity and remote access capabilities, and are being designed and implemented using industry standard computers, operating systems (OS) and network protocols, they are starting to resemble IT systems. This integration supports new IT capabilities, but it provides significantly less isolation for ICS from the outside world than predecessor systems, creating a greater need to secure these systems. The increasing use of wireless networking places ICS implementations at greater risk from adversaries who are in relatively close physical proximity but do not have direct physical access to the equipment. While security solutions have been designed to deal with these security issues in typical IT systems, special precautions must be taken when introducing these same solutions to ICS environments. In some cases, new security solutions are needed that are tailored to the ICS environment.

요약

본 문서는 산업제어시스템(ICS)에 보안을 설정하기 위한 가이드를 제공한다.

이러한 산업제어시스템(ICS)에는 감시 제어 및 데이터 수집(SCADA) 시스템, 분산제어시스템(DCS) 및 프로그래머블 로직 컨트롤러(PLC) 등의 기타 제어시스템 구성이 포함되어 있으며 산업용 제어 부문에서 흔히 발견된다.

산업제어시스템(ICS)은 일반적으로 전기, 물 및 폐수, 석유 및 천연 가스, 운송, 화학, 제약, 펄프 및 제지, 식품 및 음료, 그리고 개별 품목 제조(예:

자동차, 항공우주 및 내구재) 산업 등에서 사용된다. 감시 제어 및 데이터 수집(SCADA) 시스템은 일반적으로 중앙 집중식 데이터 수집 및 감시 제어를 이용하여 분산된 자산을 제어하는 데 사용된다. 분산제어시스템(DCS)은 일반적으로 공장과 같은 지역에서 감시 및 규제 제어를 이용하여 생산 시스템을 제어하는 데 사용된다. 프로그래머블 로직 컨트롤러(PLC)는 일반적으로 특정 응용 프로그램에 대한 이산 제어를 위해 제어시스템(ICS) 및 전형적인 시스템 구성 방식의 개요를 제공하고, 이러한 시스템에 대한 전형적인 위협 및 취약점을 파악하며, 관련된 위험을 완화하기 위해 권장 보안 대책을 제공한다.

초기에 산업제어시스템(ICS)은 특수한 하드웨어와 소프트웨어를 사용하여 독점적인 제어 프로토콜이 실행되는 격리된 시스템이라는 점에서 전통적인 정보기술(IT) 시스템과 비슷한 점이 거의 없었다. 산업제어시스템(ICS)의 대부분의 구성요소들은 물리적으로 안전한 영역에 있었으며 정보기술(IT) 네트워크나 시스템에 연결되어 있지 않았다. 지금은 널리 보급된 저비용의 인터넷 프로토콜(IP) 장치가 독점 솔루션을 대체하고 있으며, 이에 따라 사이버보안 취약점 및 사고의 가능성이 증가하고 있다. 산업제어시스템(ICS)에 정보기술(IT) 솔루션이 채택되어 기업 비즈니스 시스템의 연결 및 원격 접근 기능을 촉진하고, 업계 표준 컴퓨터, 운영 체제(OS) 및 네트워크 프로토콜을 사용하여 설계 및 구현됨에 따라 정보기술(IT) 시스템과 유사해지고 있다. 이 통합에는 새로운 정보기술(IT) 기능이 지원되지만 이전 모델의 시스템에 비해 산업제어시스템(ICS)을 바깥세상으로부터 격리시킬 수 없기 때문에 이러한 시스템에 대한 보안 적용의 필요성이 더 커지고 있다. 무선 네트워킹의 사용 증가로 인해, 장비에 직접적인 물리적 접근 권한이 없는 공격자가 상대적으로 인접하게 되면서 산업제어시스템(ICS)을 커다란 위험에 빠뜨리고 있다. 보안 솔루션이 전형적인 정보기술(IT) 시스템에서 이러한 보안 문제를 처리하기 위해 설계되었지만 이와 같은 솔루션을 산업제어시스템(ICS) 환경에 도입할 때는 특별한 예방 조치를 취해야 한다. 어떤 경우에는 산업제어시스템(ICS) 환경에 새로운 맞춤형 보안 솔루션이 필요하다.

Although some characteristics are similar, ICS also have characteristics that differ from traditional information processing systems. Many of these differences stem from the fact that logic executing in ICS has a direct effect on the physical world. Some of these characteristics include significant risk to the health and safety of human lives and serious damage to the environment, as well as serious financial issues such as production losses, negative impact to a nation’s economy, and compromise of proprietary information. ICS have unique performance and reliability requirements and often use operating systems and applications that may be considered unconventional to typical IT personnel. Furthermore, the goals of safety and efficiency sometimes conflict with security in the design and operation of control systems.

ICS cybersecurity programs should always be part of broader ICS safety and reliability programs at both industrial sites and enterprise cybersecurity programs, because cybersecurity is essential to the safe and reliable operation of modern industrial processes. Threats to control systems can come from numerous sources, including hostile governments, terrorist groups, disgruntled employees, malicious intruders, complexities, accidents, and natural disasters as well as malicious or accidental actions by insiders.

ICS security objectives typically follow the priority of availability and integrity, followed by confidentiality.

Possible incidents an ICS may face include the following:

n Blocked or delayed flow of information through ICS networks, which could disrupt ICS operation.

n Unauthorized changes to instructions, commands, or alarm thresholds, which could damage, disable, or shut down equipment, create environmental impacts, and/or endanger human life.

n Inaccurate information sent to system operators, either to disguise unauthorized changes, or to cause the operators to initiate inappropriate actions, which could have various negative effects.

n ICS software or configuration settings modified, or ICS software infected with malware, which could have various negative effects.

n Interference with the operation of equipment protection systems, which could endanger costly and difficult-to-replace equipment.

n Interference with the operation of safety systems, which could endanger human life.

산업제어시스템(ICS)에는 전통적인 정보 처리 시스템과 일부 유사한 특성도 있지만 다른 특성도 있다. 이러한 차이의 대부분은 산업제어시스템(ICS)에서 실행되는 로직이 현실 세계에 직접적인 영향을 준다는 사실에서 유래한다.

이러한 일부 특성에는 인간 삶의 건강과 안전에 대한 상당한 위험 및 심각한 환경 손상 뿐 아니라 생산 손실, 국가의 경제에 대한 악영향 및 독점 정보의 누설 등의 심각한 재정 문제가 포함된다. 산업제어시스템(ICS)에는 고유의 성능 및 신뢰성 요구사항이 있으며 전형적인 정보기술(IT) 인력에게는 변칙적으로 간주될 수 있는 운영 체제 및 응용 프로그램이 사용된다. 더욱이, 안전 및 효율의 목표는 때로는 제어시스템의 설계 및 작동에서 보안과 모순된다.

사이버보안은 현대 산업 공정의 안전하고 신뢰할 수 있는 운영에 필수적이기 때문에 산업제어시스템(ICS) 사이버보안 프로그램은 항상 산업 현장 및 기업 사이버보안 프로그램 모두에서 폭 넓은 산업제어시스템(ICS) 안전 및 신뢰성 프로그램의 일부이어야 한다. 제어시스템에 대한 위협은 적대적인 정부, 테러 집단, 불만을 품은 직원, 악의적인 침입자, 복잡한 문제, 사고 및 자연 재해뿐 아니라 내부자에 의한 악의적이거나 돌발적인 행동 등의 다양한 원천에서 올 수 있다. 산업제어시스템(ICS) 보안 목표는 전형적으로 가용성, 무결성, 비밀성의 우선순위를 따른다.

산업제어시스템(ICS)에는 다음과 같은 사고가 있을 수 있다.

n 산업제어시스템(ICS) 네트워크에서 정보의 흐름을 차단 또는 지연시켜 산업제어시스템(ICS)의 작동을 방해.

n 가이드, 명령 또는 경보 임계값을 무단으로 변경하여 장비를 손상, 불능화 또는 정지시켜 환경적 충격을 초래하거나 인간의 생명을 위태롭게 함.

n 시스템 운영자에게 부정확한 정보를 전송하여 무단 변경을 위장하거나 운영자가 부적절한 행동을 시작하도록 하여 다양하고 악영향을 줌.

n 산업제어시스템(ICS) 소프트웨어 또는 형상 설정이 수정되거나 소프트웨어가 악성코드에 감염되어 다양하고 악영향을 줌.

n 장비 보호 시스템의 작동을 방해하여 교체하기 힘든 고가의 장비를 위험에 빠뜨림.

n 안전 시스템의 작동을 방해하여 인간의 생명을 위태롭게 함.

Major security objectives for an ICS implementation should include the following:

n Restricting logical access to the ICS network and network activity. This may include using unidirectional gateways, a demilitarized zone (DMZ) network architecture with firewalls to prevent network traffic from passing directly between the corporate and ICS networks, and having separate authentication mechanisms and credentials for users of the corporate and ICS networks. The ICS should also use a network topology that has multiple layers, with the most critical communications occurring in the most secure and reliable layer.

n Restricting physical access to the ICS network and devices. Unauthorized physical access to components could cause serious disruption of the ICS’s functionality. A combination of physical access controls should be used, such as locks, card readers, and/or guards.

n Protecting individual ICS components from exploitation. This includes deploying security patches in as expeditious a manner as possible, after testing them under field conditions; disabling all unused ports and services and assuring that they remain disabled; restricting ICS user privileges to only those that are required for each person’s role;

tracking and monitoring audit trails; and using security controls such as antivirus software and file integrity checking software where technically feasible to prevent, deter, detect, and mitigate malware.

n Restricting unauthorized modification of data. This includes data that is in transit (at least across the network boundaries) and at rest.

n Detecting security events and incidents. Detecting security events, which have not yet escalated into incidents, can help defenders break the attack chain before attackers attain their objectives. This includes the capability to detect failed ICS components, unavailable services, and exhausted resources that are important to provide proper and safe functioning of the ICS.

n Maintaining functionality during adverse conditions. This involves designing the ICS so that each critical component has a redundant counterpart. Additionally, if a component fails, it should fail in a manner that does not generate unnecessary traffic on the ICS or other

산업제어시스템(ICS) 구현을 위한 주요 보안 목표에는 다음 사항이 포함되어야 한다.

n 산업제어시스템(ICS) 네트워크 및 네트워크 활동에 대한 논리적 접근 제한.

이는 네트워크 트래픽이 기업 및 산업제어시스템(ICS) 네트워크 사이를 곧장 통과하는 것을 방지하기 위해 단방향 게이트웨이, 방화벽과 경계네트워크구간(DMZ) 네트워크 구조를 사용하는 것과 기업 및 산업제어시스템(ICS) 네트워크의 사용자를 위해 별도의 인증 메커니즘 및 자격증명을 운영하는 것을 포함할 수 있다. 또한 산업제어시스템(ICS)에는 가장 중요한 통신이 가장 안전하고 신뢰할 수 있는 계층에서 발생되는 다수의 계층이 있는 네트워크 구성 방식을 사용해야 한다.

n 산업제어시스템(ICS) 네트워크 및 장치에 대한 물리적 접근 제한.

구성요소에 대한 물리적인 무단 접근은 산업제어시스템(ICS)의 기능에 심각한 지장을 줄 수 있다. 잠금 장치, 카드 판독기 및/또는 경비원 등 여러 가지 물리적 접근 통제 수단의 조합을 사용해야 한다.

n 개별 산업제어시스템(ICS) 구성요소에 대한 악용 방지. 여기에는 가능한 빨리 보안 패치를 현장 조건에서 테스트를 한 후에 배치하고, 사용하지 않는 모든 포트 및 서비스를 비활성화하여 이 상태가 유지되는 것을 보장하며, 산업제어시스템(ICS)의 사용자 권한을 각 개인의 역할에 맞게 제한하고, 감사 기록을 추적 및 모니터링하며, 악성코드를 기술적으로 방지, 억제, 감지, 완화시킬 수 있는 바이러스 퇴치 소프트웨어와 파일 무결성 검사 소프트웨어와 같은 보안 통제 수단을 사용하는 것이 포함되어 있다.

n 데이터의 무단 변경 제한. 최소한 네트워크 경계를 넘어서 전송되는 데이터 및 저장 중인 데이터가 포함된다.

n 보안사건 및 사고 감지. 사고로 확대되지 않은 보안 사건을 감지하는 경우 방어자는 공격자가 공격 목표를 달성하기 전에 연쇄 공격을 깰 수 있다.

이것에는 결함이 발생한 산업제어시스템(ICS) 구성요소, 사용할 수 없는 서비스 및 소진된 자원을 감지하는 기능이 포함되며, 이 기능은 산업제어시스템(ICS)의 적절하고 안전한 작동을 제공하는 데 중요하다.

n 악조건에서 기능 유지. 중요한 각 구성요소에 중복 구성요소가 포함되도록 산업제어시스템(ICS)을 설계하는 것이 포함된다. 또한, 구성요소에 결함이

networks, or does not cause another problem elsewhere, such as a cascading event. The ICS should also allow for graceful degradation such as moving from "normal operation" with full automation to

"emergency operation" with operators more involved and less automation to "manual operation" with no automation.

n Restoring the system after an incident. Incidents are inevitable and an incident response plan is essential. A major characteristic of a good security program is how quickly the system can be recovered after an incident has occurred.

To properly address security in an ICS, it is essential for a cross-functional cybersecurity team to share their varied domain knowledge and experience to evaluate and mitigate risk to the ICS. The cybersecurity team should consist of a member of the organization’s IT staff, control engineer, control system operator, network and system security expert, a member of the management staff, and a member of the physical security department at a minimum. For continuity and completeness, the cybersecurity team should consult with the control system vendor and/or system integrator as well. The cybersecurity team should coordinate closely with site management (e.g., facility superintendent) and the company’s Chief Information Officer (CIO) or Chief Security Officer (CSO), who in turn, accepts complete responsibility and accountability for the cybersecurity of the ICS, and for any safety incidents, reliability incidents, or equipment damage caused directly or indirectly by cyber incidents. An effective cybersecurity program for an ICS should apply a strategy known as

“defense-in-depth,” layering security mechanisms such that the impact of a failure in any one mechanism is minimized. Organizations should not rely on “security by obscurity.”

In a typical ICS this means a defense-in-depth strategy that includes:

n Developing security policies, procedures, training and educational material that applies specifically to the ICS.

n Considering ICS security policies and procedures based on the Homeland Security Advisory System Threat Level, deploying increasingly heightened security postures as the Threat Level increases.

발생하는 경우 산업제어시스템(ICS) 또는 기타 네트워크에 필요하지 않는 트래픽을 발생시키지 않아야 하며 연쇄 이벤트와 같은 또 다른 문제를 딴 곳에서 일으키지 않아야 한다. 또한 산업제어시스템(ICS)에서는 완전 자동화되는 "정상 작동"으로부터 자동화가 적고 운영자가 더 관여하는

"비상 작동" 및 자동화가 없는 "수동 작동"으로의 이동과 같은 우아한 성능 저하가 허용되어야 한다.

n 사고 후 시스템 복원. 사고는 불가피하며 사고 대응 계획은 필수적이다.

우수한 보안 프로그램의 주요 특성 중의 한 가지는 사고가 발생한 후에 얼마나 빠르게 시스템을 복원할 수 있는가 하는 것이다.

산업제어시스템(ICS)에서 보안을 제대로 해결하려면 상호 기능형 사이버보안 팀이 다양한 특정 분야의 지식과 경험을 공유하여 산업제어시스템(ICS)에 대한 위험을 평가하고 완화하는 것이 필수적이다. 사이버보안 팀은 최소한도로 조직의 IT 직원, 제어 기사, 제어시스템 운영자, 네트워크 및 시스템 보안 전문가, 관리 직원 및 물리적 보안 부서의 일원으로 구성되어야 한다. 연속성 및 완전성을 위해 사이버보안 팀은 제어시스템 공급자 및/또는 시스템 통합 사업자의 자문도 구해야 한다. 사이버보안 팀은 사이버보안 및 산업제어시스템(ICS)과 사이버 사고에 직접 또는 간접적인 원인이 있는 모든 안전사고, 신뢰성 사고 또는 장비 손상에 대해 전적인 책임 및 책임 추적성이 있는 회사의 최고 정보 책임자(CIO) 또는 최고 보안 책임자(CSO) 및 현장 관리자(예: 시설 감독관)와 긴밀하게 협조해야 한다. 산업제어시스템(ICS)에 대한 효과적인 사이버보안 프로그램에는 “심층 방어”로 알려진 전략을 적용하여 어떤 하나의 메커니즘에 발생한 결함의 영향을 최소화하는 보안 메커니즘의 층을 쌓아야 한다. 조직은 “은둔 보안”에 의존해서는 안 된다.

이것은 전형적인 산업제어시스템(ICS)에서 다음 사항을 포함하는 심층 방어 전략을 의미한다.

n 산업제어시스템(ICS)에 구체적으로 적용되는 보안 정책, 절차, 교육 및 훈련 자료 개발.

n 위협 수준(Threat Level)이 증가함에 따라 더욱 강화된 보안 태세를 전개하는 국토 안보 자문 시스템 위협 수준(Homeland Security Advisory System Threat Level)에 기반한 산업제어시스템(ICS) 보안 정책 및 절차 고려.

n Addressing security throughout the lifecycle of the ICS from architecture design to procurement to installation to maintenance to decommissioning.

n Implementing a network topology for the ICS that has multiple layers, with the most critical communications occurring in the most secure and reliable layer.

n Providing logical separation between the corporate and ICS networks (e.g., stateful inspection firewall(s) between the networks, unidirectional gateways).

n Employing a DMZ network architecture (i.e., prevent direct traffic between the corporate and ICS networks).

n Ensuring that critical components are redundant and are on redundant networks.

n Designing critical systems for graceful degradation (fault tolerant) to prevent catastrophic cascading events.

n Disabling unused ports and services on ICS devices after testing to assure this will not impact ICS operation.

n Restricting physical access to the ICS network and devices.

n Restricting ICS user privileges to only those that are required to perform each person’s job (i.e., establishing role-based access control and configuring each role based on the principle of least privilege).

n Using separate authentication mechanisms and credentials for users of the ICS network and the corporate network (i.e., ICS network accounts do not use corporate network user accounts).

n Using modern technology, such as smart cards for Personal Identity Verification (PIV).

n Implementing security controls such as intrusion detection software, antivirus software and file integrity checking software, where technically feasible, to prevent, deter, detect, and mitigate the introduction, exposure, and propagation of malicious software to, within, and from the ICS.

n Applying security techniques such as encryption and/or cryptographic hashes to ICS data storage and communications where determined appropriate.

n 구조 설계에서 조달, 설치, 유지보수, 해체에 이르는 산업제어시스템(ICS)의 전체 수명에 걸친 보안 해결.

n 가장 중요한 통신이 가장 안전하고 신뢰할 수 있는 계층에서 발생되는 다수의 계층이 있는 네트워크 구성 방식을 산업제어시스템(ICS)에 구현.

n 기업 및 산업제어시스템(ICS) 네트워크 사이에 논리적 분리 제공(예:

단방향 게이트웨이, 네트워크 사이에 상태 기반 검사 방화벽).

n 경계네트워크구간(DMZ) 네트워크 구조적용(즉, 기업 및 산업제어시스템(ICS) 네트워크 사이의 직접 트래픽 방지).

n 중요한 구성요소가 중복되며 중복 네트워크상에 있음을 보장.

n 중요한 시스템에는 우아한 성능 저하(내결함성)를 위해 설계하여 치명적인 연쇄 이벤트를 방지.

n 산업제어시스템(ICS) 장치에서 사용하지 않는 포트 및 서비스를 비활성화하는 것이 산업제어시스템(ICS) 작동에 영향을 주지 않는 것을 보증하는 테스트를 수행한 후 포트 및 서비스를 비활성화.

n 산업제어시스템(ICS) 네트워크 및 장치에 대한 물리적 접근 제한.

n 산업제어시스템(ICS)의 사용자 권한을 각 개인의 작업 수행에 맞게 제한(즉, 역할 기반 접근통제 설정 및 최소 권한의 원칙에 기반을 두어 각 역할 구성).

n 산업제어시스템(ICS) 네트워크 및 업무 네트워크 사용자에 대해 별도의 인증 메커니즘 및 자격증명 사용(즉, 산업제어시스템(ICS) 네트워크 계정에는 업무 네트워크 사용자 계정을 사용하지 않음).

n 개인신원확인(PIV)을 위한 스마트카드 등의 최신 기술 사용.

n 산업제어시스템(ICS)과 관련된 악성 소프트웨어의 전래, 노출 및 전파를 기술적으로 방지, 억제, 감지, 완화할 수 있는 침입 탐지 소프트웨어, 바이러스 퇴치 소프트웨어 및 파일 무결성 검사 소프트웨어 등의 보안 통제 수단 구현.

n 적절하다고 판단되는 산업제어시스템(ICS) 데이터 저장소 및 통신에 암호화 및/또는 암호화 해시 등의 보안 기법 적용.

n

n Expeditiously deploying security patches after testing all patches under field conditions on a test system if possible, before installation on the ICS.

n Tracking and monitoring audit trails on critical areas of the ICS.

n Employing reliable and secure network protocols and services where feasible.

The National Institute of Standards and Technology (NIST), in cooperation with the public and private sector ICS community, has developed specific guidance on the application of the security controls in NIST Special Publication (SP) 800-53 Revision 4, Security and Privacy Controls for Federal Information Systems and Organizations [22], to ICS.

While many controls in Appendix F of NIST SP 800-53 are applicable to ICS as written, many controls require ICS-specific interpretation and/or augmentation by adding one or more of the following to the control:

§ ICS Supplemental Guidance provides organizations with additional information on the application of the security controls and control enhancements in Appendix F of NIST SP 80053 to ICS and the environments in which these specialized systems operate. The Supplemental Guidance also provides information as to why a particular security control or control enhancement may not be applicable in some ICS environments and may be a candidate for tailoring (i.e., the application of scoping guidance and/or compensating controls). ICS Supplemental Guidance does not replace the original Supplemental Guidance in Appendix F of NIST SP 800-53.

§ ICS Enhancements (one or more) that provide enhancement augmentations to the original control that may be required for some ICS.

§ ICS Enhancement Supplemental Guidance that provides guidance on how the control enhancement applies, or does not apply, in ICS environments.

n 모든 패치를 현장 조건의 테스트 시스템에서 테스트한 후에 가급적이면 산업제어시스템(ICS)에 설치하기 전에 신속하게 보안 패치 배치.

n 산업제어시스템(ICS)의 중요한 영역에 대한 감사 기록 추적 및 모니터링.

n 가능한 경우 신뢰할 수 있고 보안 네트워크 프로토콜 및 서비스 적용.

미국국립표준기술연구소(NIST)는 공공 및 민간 부문 산업제어시스템(ICS) 공동체와 협력하여 산업제어시스템(ICS)에 대한 보안 통제 수단의 적용에 관한 구체적인 가이드(미국국립표준기술연구소(NIST) 특별 발행(SP) 800-53 4차 개정판, 연방 정보시스템 및 조직용 보안 및 프라이버시 통제 수단(Security and Privacy Controls for Federal Information Systems and Organizations) [22])을 개발했다.

미국국립표준기술연구소(NIST) SP 800-53의 부록 F에 있는 대부분의 통제 수단은 기록된 바와 같이 산업제어시스템(ICS)에 적용할 수 있지만, 대부분의 통제 수단에는 산업제어시스템(ICS)별 해석 및/또는 증강을 위해 해당 통제 수단에 다음 중 하나 이상을 추가해야 한다.

§ 산업제어시스템(ICS) 추가적인 가이드는

미국국립표준기술연구소(NIST) SP 800-53의 부록 F에서 산업제어시스템(ICS)에 대한 보안 통제 수단 및 향상된 통제 수단의 적용과 이러한 전문화된 시스템이 작동하는 환경에 대한 추가 정보를 조직에 제공한다. 또한 추가적인 가이드는 특정 보안 통제 수단 또는 향상된 통제 수단이 일부 산업제어시스템(ICS) 환경에 적용되지 않을 수 있고 맞춤형 지정(즉, 범위 지정 가이드 및/또는 보완 통제 수단의 적용)이 필요할 수 있는 이유에 대한 정보를 제공한다.

산업제어시스템(ICS) 추가적인 가이드는

미국국립표준기술연구소(NIST) SP 800-53의 부록 F에 있는 원래의 추가적인 가이드를 대체하지 않는다.

§ 일부 산업제어시스템(ICS)에 필요할 수 있는 원래의 통제 수단에 대해 향상 증강 기능을 제공하는 산업제어시스템(ICS)의 향상된 기능(하나 이상)

§ 산업제어시스템(ICS) 환경에서 향상된 통제 수단을 적용하거나 적용하지 않는 방법에 대한 가이드를 제공하는 산업제어시스템(ICS)

향상 기능 추가적인 가이드.

The most successful method for securing an ICS is to gather industry recommended practices and engage in a proactive, collaborative effort between management, the controls engineer and operator, the IT organization, and a trusted automation advisor. This team should draw upon the wealth of information available from ongoing federal government, industry groups, vendor and standards organizational activities listed in Appendix D—.

산업제어시스템(ICS)에 보안을 적용하는 가장 성공적인 방법은 업계 권고 방식을 모으고 관리팀, 제어 기사 및 운영자, IT 조직 및 신임 받는 자동화 자문가 간의 사전 공동 노력에 참여하는 것이다. 이 팀은 “부록 D—”에 나열된 지속적인 연방 정부, 업계 단체, 공급자의 표준 조직 활동에서 얻을 수 있는 풍부한 정보를 인용 해야 한다.