산업제어시스템(ICS) 보안 가이드
감시 제어 및 데이터 수집(SCADA) 시스템, 분산제어시스템(DCS) 및 프로그래머블 로직 컨트롤러(PLC) 등의 기타 제어시스템 구성
Keith Stouffer Victoria Pillitteri Suzanne Lightman Marshall Abrams Adam Hahn
이 번역은 미국 정부 및 NIST의 공식적인 번역이 아닙니다. 번역본에서 명확하지 않은 부분은 아래 NIST 원문 내용을 참조하시기 바랍니다.
http://dx.doi.org/10.6028/NIST.SP.800-82r2
NIST 800-82 한글 번역본의 저작권은 한국인터넷진흥원에 있으며, 자료 내용의 무단 복제, 무단 배포 등을 금합니다.
산업제어시스템(ICS) 보안 가이드
감시 제어 및 데이터 수집(SCADA) 시스템, 분산제어시스템(DCS) 및 프로그래머블 로직 컨트롤러(PLC) 등의 기타 제어시스템 구성
Keith Stouffer 지능 시스템부 공학 연구소 (Intelligent Systems Division Engineering Laboratory)
Victoria Pillitteri Suzanne Lightman 컴퓨터 보안부 정보기술 연구소 (Computer Security Division Information Technology Laboratory)
Marshall Abrams
MITRE 회사 (The MITRE Corporation)
Adam Hahn 워싱턴주립대학교 (Washington State University)
본 발행물은 http://dx.doi.org/10.6028/NIST.SP.800-82r2에서 무료로 제공된다.
2015년 5월
미국 상무부(U.S. Department of Commerce) Penny Pritzker, 장관
미국국립표준기술연구소(NIST) Willie May, 표준기술 상무차관 및 연구소장 (Under Secretary of Commerce for Standards and Technology and Director)
권한
본 발행물은 미국 국립표준기술연구소(NIST)가 연방 정보보안 현대화법(the Federal Information Security Modernization Act, FISMA, 2014, 44 U.S.C. § 3541 et seq., 미 공법(Public Law) 113-283)에 따라 법적 책임을 강화하기 위해 개발한 것이다. 미국국립표준기술연구소(NIST)는 연방 정보시스템에 대한 최소 요구사항을 포함하여 정보 보안 표준 및 가이드를 개발할 책임이 있지만, 이러한 표준 및 가이드는 해당 시스템에 대해 정책 권한을 행사하는 적절한 연방 공무원의 명시적 승인 없이는 국가 보안 시스템에 적용되지 않는다. 본 가이드는 예산관리국(the Office of Management and Budget, OMB) 회람(Circular) A-130, 8b(3) 절, 기관 정보시스템 보안(Securing Agency Information Systems)의 요구사항과 일관되며, 분석은 회람(Circular) A-130, 부록 IV: 핵심 부문의 분석(Analysis of Key Sections)에서 찾을 수 있다. 추가 정보는 회람(Circular) A-130, 부록 III, 연방 자동화 정보 자원의 보안(Security of Federal Automated Information Resources)에서 제공된다.
본 발행물은 법적 권한을 가지는 미국 상무부 장관(Secretary of Commerce)에 의해 연방 기관이 지켜야 할 의무적이고 구속력 있는 표준이나 가이드에 반하는 것은 없다. 미국 상무부 장관, 예산관리국(OMB) 국장 또는 기타 모든 연방 공무원의 기존 권한을 변경 또는 대체하는 것으로 해석되어서도 안 된다. 본 발행물은 자유의사에 따라 비정부기구에서 사용할 수 있으며, 미국에서 저작권의 대상이 아니다. 하지만, 저작자 표시를 하는 것이 바람직하다.
미국국립표준기술연구소(NIST) 특별 발행 800-82, 2차 개정판
Natl. Inst. Stand. Technol. Spec. Publ. 800-82, Rev. 2, 247페이지(2015년 5월) 본 발행물은 http://dx.doi.org/10.6028/NIST.SP.800-82r2 에서 무료로 제공된다.
CODEN: NSPUE2
본 문서에서 실험적 절차나 개념을 적절하게 설명하기 위해 사용된 특정 영리 기 관, 장비 또는 재료를 확인할 수 있을 것이다. 이러한 내용은 미국국립표준기술연 구소(NIST)의 권장 또는 보증을 의미하는 것은 아니며, 언급된 기관, 장비 또는 재료가 반드시 해당 목적에 가장 적합하게 사용될 수 있다는 것을 의미하는 것도 아니다.
본 발행물에 대한 의견은 다음의 주소로 제출할 수 있다.
National Institute of Standards and Technology
Attn: Computer Security Division, Information Technology Laboratory 100 Bureau Drive (Mail Stop 8930) Gaithersburg, MD 20899-8930
전자 메일: nist800-82rev2comments@nist.gov
본 발행물에는 미국국립표준기술연구소(NIST)에 지정된 법적 책임에 따라 현재 개 발 중인 기타 발행물에 대한 언급이 있을 수 있다. 그리고 해당 발행물이 완료되 기 전이라도 연방 기관이 본 발행물의 개념 및 방법 등의 정보를 사용할 수 있다.
따라서 각 발행물이 완료될 때까지 현재의 요구사항, 가이드 및 절차는 존재하는 곳에서 그 효력을 유지한다. 연방 기관에서는 기획 및 이행의 목적으로 미국국립 표준기술연구소(NIST)에 의한 이러한 새 발행물의 개발을 긴밀히 따라가기를 바란 다.
조직과 단체에서는 공개적인 의견 수렴 기간 동안 모든 발행물 초안을 검토하고 미국 국립표준기술연구소(NIST)에 피드백을 제공할 것을 적극 권장한다. 위에서 언급한 것 이외의 모든 미국국립표준기술연구소(NIST) 컴퓨터 보안부(Computer Security Division) 발행물은 http://csrc.nist.gov/publications 에서 확인할 수 있다.
컴퓨터 시스템 기술에 대한 보고서
미국국립표준기술연구소(NIST)의 정보기술연구소(the Information Technology Laboratory, ITL)는 국가 측정 및 표준 인프라에 대한 기술 리더십을 제공하여 미국 경제 및 공공복지를 촉진한다.
정보기술연구소(ITL)에서는 정보기술의 개발 및 생산적인 사용을 진척시키기 위해서 테스트, 테스트 방법, 참조 데이터, 개념 증명 구현 및 기술적 분석 방법을 개발한다. 정보기술연구소(ITL)의 책임에는 연방 정보시스템의 국가 보안 관련 정보 이외의 프라이버시 및 비용 효율적인 보안에 대한 관리, 행정, 기술 및 물리적 표준과 가이드의 개발이 포함되어 있다. 특별 발행 800시리즈에는 정보시스템 보안에 관한 정보기술연구소(ITL)의 연구, 가이드, 확장 노력 및 업계, 정부, 학술 단체와의 협력 활동에 대한 보고 내용이 포함되어 있다.
개요
본 문서에서는 감시 제어 및 데이터 수집(Supervisory Control and Data Acquisition, SCADA), 분산제어시스템(Distributed Control Systems, DCS) 및 프로그래머블 로직 컨트롤러(Programmable Logic Controllers, PLC) 등의 기타 제어시스템 구성을 포함한 산업제어시스템(ICS)의 고유의 성능, 신뢰성 및 안전 요구사항을 다루면서 보안을 적용하는 방법에 대한 가이드를 제공한다. 본 문서는 산업제어시스템(ICS) 및 전형적인 시스템 구성 방식의 개요를 제공하고 이러한 시스템에 대한 전형적인 위협 및 취약점을 파악하며 관련된 위험을 완화하기 위한 권장 보안 대책을 제공한다.
키워드
컴퓨터 보안, 분산제어시스템(DCS), 산업제어시스템(ICS), 정보 보안, 네트워크 보안, 프로그래머블 로직 컨트롤러(PLC), 위험 관리, 보안 통제, 감시 제어 및 데이터 수집(SCADA) 시스템
2차 개정판에 대한 감사의 글
저자 일동은 사려 깊고 건설적인 의견으로 본 발행물의 전체적인 품질, 철두철미함 및 유용성을 향상시키는데 주요한 공헌을 해주신 공공 및 민간 부문의 개인 혹은 단체에 진심으로 감사를 드린다. 또한, 본 발행물에 탁월한 공헌을 해주신 Lisa Kaiser, 국토안보부(Department of Homeland Security), 국토안보부 산업제어시스템(ICS) 공동 작업반(Department of Homeland Security Industrial Control System Joint Working Group) 및 설비 환경 국방부 부차관실(Office of the Deputy Undersecretary of Defense for Installations and Environment), 기업 통합 이사회(Business Enterprise Integration Directorate) 일동, Daryl Haegley 및 Michael Chipley 님에게 특별한 감사를 드린다.
이전 버전에 대한 감사의 글
원작자인 미국국립표준기술연구소(NIST)의 Keith Stouffer, Joe Falco 및 Karen Scarfone는 문서의 원본 초안을 검토하고 기술 내용에 기여해 준 동료들에게 감사의 말을 전한다. 문서 개발의 처음부터 끝까지 예리하고 통찰력 있는 지원을 해준 미국국립표준기술연구소(NIST)의 Tim Grance, Ron Ross, Stu Katzke 및 Freemon Johnson 님에게 특별히 감사를 드린다.
사려 깊고 건설적인 의견으로 발행물의 품질 및 유용성을 향상시킨 공공 및 민간 부문의 많은 공헌에 진심으로 감사를 드린다. ISA99의 구성원들에게 특별한 감사를 드린다. 또한 감시 제어 및 데이터 수집(SCADA)과 프로세스 제어 네트워크를 위한 방화벽 배치에 관한 모범 사례서(Good Practice Guide on Firewall Deployment for SCADA and Process Control Network)의 일부를 본 문서에 사용할 수 있도록 허용해준 영국국립국가기반보호센터(UK National Centre for the Protection of National Infrastructure) 및 ISA-62443 표준의 일부를 본 문서에 사용할 수 있도록 허용해준 ISA 모두에 감사를 드린다.
독자 참고
본 문서는 미국국립표준기술연구소(NIST) SP 800-82 산업제어시스템(ICS) 보안 가이드의 2차 개정판이다. 본 개정판에 포함된 업데이트는 다음과 같다.
산업제어시스템(ICS) 위협 및 취약점에 대한 업데이트.
산업제어시스템(ICS) 위험 관리, 권고 방식 및 구조에 대한 업데이트.
산업제어시스템(ICS) 보안의 현재 활동에 대한 업데이트.
산업제어시스템(ICS)의 보안 기능 및 도구에 대한 업데이트.
다른 산업제어시스템(ICS) 보안 표준 및 가이드와의 추가 조정.
산업제어시스템(ICS) 보안 통제 오버레이(security control Overlay)를 포함하여 미국국립표준기술연구소(NIST) SP 800-53 4차 개정판 보안 통제에 대한 새로운 조정 가이드.
저충격, 보통 충격 및 고충격 산업제어시스템(ICS)에 대한 맞춤형 보안 통제 기준선을 제공하는 미국국립표준기술연구소(NIST) SP 800-53 4차 개정판 보안 통제에 대한 산업제어시스템(ICS) 오버레이(security control Overlay).
목 차
요약 ··· 1 1. 서문 ··· 1-1 1.1 목적 및 범위 ··· 1-1 1.2 독자 ··· 1-2 1.3 문서 구조 ··· 1-2 2. 산업제어시스템의 개요 ··· 2-1 2.1 산업제어시스템의 진화 ··· 2-2 2.2 산업제어시스템(ICS) 산업 부문 및 상호의존성 ··· 2-2 2.2.1 제조업 ··· 2-2 2.2.2 에너지배급업 ··· 2-3 2.2.3 제조 및 유통 산업제어시스템(ICS)의 차이점 ··· 2-3 2.2.4 산업제어시스템(ICS)과 주요기반 상호의존성 ··· 2-3 2.3 산업제어시스템(ICS) 작동 및 구성요소 ··· 2-4 2.3.1 산업제어시스템(ICS) 설계 고려사항 ··· 2-6 2.3.2 감시 제어 및 데이터 수집(SCADA) 시스템 ··· 2-8 2.3.3 분산제어시스템(DCS) ··· 2-14 2.3.4 프로그래머블 로직 컨트롤러(PLC) 기반 구성 방식 ··· 2-16 2.4 산업제어시스템(ICS) 및 정보기술(IT) 시스템 보안 비교 ··· 2-18 2.5 기타 유형의 제어시스템 ··· 2-24 3. 산업제어시스템(ICS) 위험 관리 및 평가 ··· 3-1 3.1 위험 관리 ··· 3-1 3.2 위험 관리 절차 소개 ··· 3-2 3.3 산업제어시스템(ICS) 위험 평가 수행 시 특별 고려 사항 ··· 3-5 3.3.1 산업제어시스템(ICS) 정보 보안 위험 평가 중 안전 ··· 3-6 3.3.2 잠재적인 산업제어시스템(ICS) 사고의 물리적 영향 ··· 3-6 3.3.3 산업제어시스템(ICS) 공정의 물리적 중단의 영향 ··· 3-7 3.3.4 영향 평가에 비디지털(Non-Digital) 측면의 ICS 통합 ··· 3-8 3.3.5 안전 시스템의 영향 통합 ··· 3-9 3.3.6 연결된 시스템에 대한 파급 영향 고려 ··· 3-10 4. 산업제어시스템(ICS) 보안 프로그램 개발 및 배치 ··· 4-1 4.1 보안의 업무 적용 사례 ··· 4-2 4.1.1 혜택 ··· 4-3
4.1.2 잠재적 결과 ··· 4-4 4.1.3 업무 적용 사례 구축을 위한 자원 ··· 4-6 4.1.4 경영진에 업무 적용 사례 제시 ··· 4-6 4.2 다기능팀 전략 구축 및 훈련 ··· 4-7 4.3 헌장 및 범위 정의 ··· 4-8 4.4 산업제어시스템(ICS)별 보안 정책 및 절차 정의 ··· 4-8 4.5 산업제어시스템(ICS) 보안 위험 관리 프레임워크 구현 ··· 4-9 4.5.1 산업제어시스템(ICS)의 시스템 및 네트워크 자산 분류 ··· 4-10 4.5.2 산업제어시스템(ICS) 보안 통제 선택 ··· 4-11 4.5.3 위험 평가 수행 ··· 4-12 4.5.4 보안 통제 수단 구현 ··· 4-13 5. 산업제어시스템(ICS) 보안 구조 ··· 5-1 5.1 네트워크 분할 및 격리 ··· 5-1 5.2 경계 보호 ··· 5-4 5.3 방화벽 ··· 5-7 5.4 논리적 분리형 제어 네트워크 ··· 5-10 5.5 네트워크 격리 ··· 5-11 5.5.1 이중 홈 컴퓨터/듀얼 네트워크 인터페이스 카드(NIC) ··· 5-11 5.5.2 업무 네트워크와 제어 네트워크 사이의 방화벽 ··· 5-12 5.5.3 업무 네트워크와 제어 네트워크 사이의 방화벽과 라우터 ··· 5-13 5.5.4 업무 네트워크와 제어 네트워크 사이의 경계 네트워크
구간(DMZ)과 방화벽 ··· 5-14 5.5.5 업무 네트워크와 제어 네트워크 사이의 이중 방화벽 ··· 5-16 5.5.6 네트워크 격리 요약 ··· 5-18 5.6 권장 심층 방어 구조 ··· 5-18 5.7 산업제어시스템(ICS)의 일반 방화벽 정책 ··· 5-20 5.8 특정 서비스에 대한 권장 방화벽 규칙 ··· 5-23 5.8.1 도메인 네임 시스템(DNS) ··· 5-24 5.8.2 하이퍼텍스트 전송 프로토콜(HTTP) ··· 5-24 5.8.3 FTP 및 간이 파일 전송 프로토콜(TFTP) ··· 5-25 5.8.4 텔넷(Telnet) ··· 5-25 5.8.5 동적 호스트 구성 프로토콜(DHCP) ··· 5-25 5.8.6 시큐어 셸(SSH) ··· 5-26 5.8.7 단순 객체 접근 프로토콜(SOAP) ··· 5-26
5.8.8 단순 우편 전송 프로토콜(SMTP) ··· 5-26 5.8.9 단순 네트워크 관리 프로토콜(SNMP) ··· 5-26 5.8.10 분산 컴포넌트 객체 모델(DCOM) ··· 5-27 5.8.11 감시 제어 및 데이터 수집(SCADA) 시스템과 산업용 네트워크
프로토콜 ··· 5-27 5.9 네트워크 주소 변환(NAT) ··· 5-27 5.10 특정 산업제어시스템(ICS) 방화벽 문제 ··· 5-29 5.10.1 데이터 이력 관리 장치(Data Historians) ··· 5-29 5.10.2 원격 지원 접근 ··· 5-29 5.10.3 멀티캐스트 트래픽 ··· 5-30 5.11 단방향 게이트웨이 ··· 5-31 5.12 단일 장애 지점 ··· 5-31 5.13 중복 및 내결함성 ··· 5-31 5.14 중간자 공격 방지 ··· 5-32 5.15 인증 및 인가 ··· 5-34 5.15.1 산업제어시스템(ICS) 구현 고려 사항 ··· 5-36 5.16 모니터링, 기록 및 감사 ··· 5-36 5.17 사고 탐지, 대응 및 시스템 복구 ··· 5-37 6. 산업제어시스템(ICS)에 대한 보안 통제 적용 ··· 6-1 6.1 산업제어시스템(ICS)에 대한 위험 관리 프레임워크 작업 실행 ···· 6-1 6.1.1 제1단계: 정보시스템 분류 ··· 6-2 6.1.2 제2단계: 보안 통제 수단 선택 ··· 6-4 6.1.3 제3단계: 보안 통제 수단 구현 ··· 6-6 6.1.4 제4단계: 보안 통제 수단 접근 ··· 6-7 6.1.5 제5단계: 정보시스템 인가 ··· 6-7 6.1.6 제6단계: 보안 통제 수단 모니터링 ··· 6-7 6.2 산업제어시스템(ICS)에 대한 보안 통제 수단 적용 가이드 ··· 6-7 6.2.1 접근통제 ··· 6-10 6.2.2 인식 및 훈련 ··· 6-17 6.2.3 감사 및 책임 추적성 ··· 6-18 6.2.4 보안 평가 및 인가 ··· 6-20 6.2.5 형상 관리 ··· 6-21 6.2.6 긴급 사태 대책 ··· 6-22 6.2.7 식별 및 인증 ··· 6-25
6.2.8 사고 대응 ··· 6-34 6.2.9 유지보수 ··· 6-36 6.2.10 매체 보호 ··· 6-36 6.2.11 물리적 및 환경적 보호 ··· 6-37 6.2.12 기획 ··· 6-42 6.2.13 인적 보안 ··· 6-43 6.2.14 위험 평가 ··· 6-44 6.2.15 시스템 및 서비스 수집 ··· 6-46 6.2.16 시스템 및 통신 보호 ··· 6-47 6.2.17 시스템 및 정보 무결성 ··· 6-52 6.2.18 프로그램 관리 ··· 6-56 6.2.19 프라이버시 통제 수단 ··· 6-56
부록 목차
부록 A - 두문자어 및 약어 ··· A-1 부록 B - 용어 해설 설명 ··· B-1 부록 C - 위협원, 취약점 및 사고 ··· C-1 부록 D - 산업제어시스템 보안의 현재 활동 ··· D-1 부록 E - 산업제어시스템(ICS) 보안 기능 및 도구 ··· E-1 부록 F - 참조(References) ··· F-1 부록 G - 산업제어시스템(ICS) 오버레이(Overlay) ··· G-1
그림 목차
그림 2-1. 산업제어시스템(ICS) 작동 ··· 2-6 그림 2-2. 감시 제어 및 데이터 수집(SCADA) 시스템 일반 구조 ··· 2-10 그림 2-3. 감시 제어 및 데이터 수집(SCADA) 시스템의 기본 통신 구성 · 2-11 그림 2-4. 감시 제어 및 데이터 수집(SCADA) 시스템의 대형 통신 구성 · 2-12 그림 2-5. 감시 제어 및 데이터 수집(SCADA) 시스템 구현 예제
(에너지배급 모니터링 및 제어) ··· 2-13 그림 2-6. 감시 제어 및 데이터 수집(SCADA) 시스템 구현 예제
(철도 모니터링 및 제어) ··· 2-14 그림 2-7. DCS 구현 예제 ··· 2-16 그림 2-8. 프로그래머블 로직 컨트롤러(PLC) 제어시스템 구현 예제 ··· 2-18 그림 3-1. 계층 전반에 걸쳐 적용된 위험 관리 절차 ··· 3-3 그림 5-1. 업무 네트워크와 제어 네트워크 사이의 방화벽 ··· 5-12 그림 5-2. 업무 네트워크와 제어 네트워크 사이의 방화벽과 라우터 ··· 5-14 그림 5-3. 업무 네트워크와 제어 네트워크 사이의 경계 네트워크
구간(DMZ)과 방화벽 ··· 5-15 그림 5-4. 업무 네트워크와 제어 네트워크 사이의 이중 방화벽 ··· 5-17 그림 5-5. 제어시스템 보안 프로그램(CSSP) 권장 심층 방어 구조 ··· 5-20 그림 6-1. 위험 관리 프레임워크 작업 ··· 6-2 그림 C-1. 연도별로 ICS-CERT에 보고된 사고 ··· C-17 그림 G-1 오버레이(Overlay) 제어 상세 설명서 ··· G-17
표 목차
표 2-1. 정보기술(IT) 시스템 및 산업제어시스템(ICS) 차이점 요약 ··· 2-22 표 3-1. 비디지털(Non-Digital) 산업제어시스템(ICS) 제어 구성요소의 범주 3-8 표 6-1. ISA99에 기반한 산업제어시스템(ICS) 영향도 정의 ··· 6-4 표 6-2. 생산 제품, 업계 및 보안 문제에 기반한 산업제어시스템(ICS)
영향도의 가능한 정의 ··· 6-4 표 C-1. 산업제어시스템(ICS)에 대한 위협 ··· C-2 표 C-2. 정책 및 절차 취약점과 선행조건 ··· C-6 표 C-3. 구조 및 설계 취약점과 선행조건 ··· C-8 표 C-4. 형상 및 유지보수 취약점과 선행조건 ··· C-9 표 C-5. 물리적 취약점과 선행조건 ··· C-12 표 C-6. 소프트웨어 개발 취약점과 선행조건 ··· C-13 표 C-7. 통신 및 네트워크 구성 취약점과 선행조건 ··· C-13 표 C-8. 적대적 사건 사례 ··· C-15 표 G-1 보안 통제 기준선 ··· G-4
요약
본 문서는 산업제어시스템(ICS)에 보안을 설정하기 위한 가이드를 제공한다.
이러한 산업제어시스템(ICS)에는 감시 제어 및 데이터 수집(SCADA) 시스템, 분산제어시스템(DCS) 및 프로그래머블 로직 컨트롤러(PLC) 등의 기타 제어시스템 구성이 포함되어 있으며 산업용 제어 부문에서 흔히 발견된다.
산업제어시스템(ICS)은 일반적으로 전기, 물 및 폐수, 석유 및 천연 가스, 운송, 화학, 제약, 펄프 및 제지, 식품 및 음료, 그리고 개별 품목 제조(예:
자동차, 항공우주 및 내구재) 산업 등에서 사용된다. 감시 제어 및 데이터 수집(SCADA) 시스템은 일반적으로 중앙 집중식 데이터 수집 및 감시 제어를 이용하여 분산된 자산을 제어하는 데 사용된다. 분산제어시스템(DCS)은 일반적으로 공장과 같은 지역에서 감시 및 규제 제어를 이용하여 생산 시스템을 제어하는 데 사용된다. 프로그래머블 로직 컨트롤러(PLC)는 일반적으로 특정 응용 프로그램에 대한 이산 제어를 위해 제어시스템(ICS) 및 전형적인 시스템 구성 방식의 개요를 제공하고, 이러한 시스템에 대한 전형적인 위협 및 취약점을 파악하며, 관련된 위험을 완화하기 위해 권장 보안 대책을 제공한다.
초기에 산업제어시스템(ICS)은 특수한 하드웨어와 소프트웨어를 사용하여 독점적인 제어 프로토콜이 실행되는 격리된 시스템이라는 점에서 전통적인 정보기술(IT) 시스템과 비슷한 점이 거의 없었다. 산업제어시스템(ICS)의 대부분의 구성요소들은 물리적으로 안전한 영역에 있었으며 정보기술(IT) 네트워크나 시스템에 연결되어 있지 않았다. 지금은 널리 보급된 저비용의 인터넷 프로토콜(IP) 장치가 독점 솔루션을 대체하고 있으며, 이에 따라 사이버보안 취약점 및 사고의 가능성이 증가하고 있다. 산업제어시스템(ICS)에 정보기술(IT) 솔루션이 채택되어 기업 비즈니스 시스템의 연결 및 원격 접근 기능을 촉진하고, 업계 표준 컴퓨터, 운영 체제(OS) 및 네트워크 프로토콜을 사용하여 설계 및 구현됨에 따라 정보기술(IT) 시스템과 유사해지고 있다. 이 통합에는 새로운 정보기술(IT) 기능이 지원되지만 이전 모델의 시스템에 비해 산업제어시스템(ICS)을 바깥세상으로부터 격리시킬 수 없기 때문에 이러한 시스템에 대한 보안 적용의 필요성이 더 커지고 있다. 무선 네트워킹의 사용 증가로 인해, 장비에 직접적인 물리적 접근 권한이 없는 공격자가 상대적으로 인접하게 되면서 산업제어시스템(ICS)을 커다란 위험에 빠뜨리고 있다. 보안 솔루션이 전형적인 정보기술(IT) 시스템에서 이러한 보안 문제를 처리하기 위해 설계되었지만 이와 같은 솔루션을 산업제어시스템(ICS) 환경에 도입할
때는 특별한 예방 조치를 취해야 한다. 어떤 경우에는 산업제어시스템(ICS) 환경에 새로운 맞춤형 보안 솔루션이 필요하다.
산업제어시스템(ICS)에는 전통적인 정보 처리 시스템과 일부 유사한 특성도 있지만 다른 특성도 있다. 이러한 차이의 대부분은 산업제어시스템(ICS)에서 실행되는 로직이 현실 세계에 직접적인 영향을 준다는 사실에서 유래한다.
이러한 일부 특성에는 인간 삶의 건강과 안전에 대한 상당한 위험 및 심각한 환경 손상 뿐 아니라 생산 손실, 국가의 경제에 대한 악영향 및 독점 정보의 누설 등의 심각한 재정 문제가 포함된다. 산업제어시스템(ICS)에는 고유의 성능 및 신뢰성 요구사항이 있으며 전형적인 정보기술(IT) 인력에게는 변칙적으로 간주될 수 있는 운영 체제 및 응용 프로그램이 사용된다. 더욱이, 안전 및 효율의 목표는 때로는 제어시스템의 설계 및 작동에서 보안과 모순된다.
사이버보안은 현대 산업 공정의 안전하고 신뢰할 수 있는 운영에 필수적이기 때문에 산업제어시스템(ICS) 사이버보안 프로그램은 항상 산업 현장 및 기업 사이버보안 프로그램 모두에서 폭 넓은 산업제어시스템(ICS) 안전 및 신뢰성 프로그램의 일부이어야 한다. 제어시스템에 대한 위협은 적대적인 정부, 테러 집단, 불만을 품은 직원, 악의적인 침입자, 복잡한 문제, 사고 및 자연 재해뿐 아니라 내부자에 의한 악의적이거나 돌발적인 행동 등의 다양한 원천에서 올 수 있다. 산업제어시스템(ICS) 보안 목표는 전형적으로 가용성, 무결성, 비밀성의 우선순위를 따른다.
산업제어시스템(ICS)에는 다음과 같은 사고가 있을 수 있다.
n 산업제어시스템(ICS) 네트워크에서 정보의 흐름을 차단 또는 지연시켜 산업제어시스템(ICS)의 작동을 방해.
n 가이드, 명령 또는 경보 임계값을 무단으로 변경하여 장비를 손상, 불능화 또는 정지시켜 환경적 충격을 초래하거나 인간의 생명을 위태롭게 함.
n 시스템 운영자에게 부정확한 정보를 전송하여 무단 변경을 위장하거나 운영자가 부적절한 행동을 시작하도록 하여 다양하고 악영향을 줌.
n 산업제어시스템(ICS) 소프트웨어 또는 형상 설정이 수정되거나 산업제어시스템(ICS) 소프트웨어가 악성코드에 감염되어 다양하고 악영향을 줌.
n 장비 보호 시스템의 작동을 방해하여 교체하기 힘든 고가의 장비를 위험에 빠뜨림.
n 안전 시스템의 작동을 방해하여 인간의 생명을 위태롭게 함.
산업제어시스템(ICS) 구현을 위한 주요 보안 목표에는 다음 사항이 포함되어야 한다.
n 산업제어시스템(ICS) 네트워크 및 네트워크 활동에 대한 논리적 접근 제한.
이는 네트워크 트래픽이 기업 및 산업제어시스템(ICS) 네트워크 사이를 곧장 통과하는 것을 방지하기 위해 단방향 게이트웨이, 방화벽과 경계네트워크구간(DMZ) 네트워크 구조를 사용하는 것과 기업 및 산업제어시스템(ICS) 네트워크의 사용자를 위해 별도의 인증 메커니즘 및 자격증명을 운영하는 것을 포함할 수 있다. 또한 산업제어시스템(ICS)에는 가장 중요한 통신이 가장 안전하고 신뢰할 수 있는 계층에서 발생되는 다수의 계층이 있는 네트워크 구성 방식을 사용해야 한다.
n 산업제어시스템(ICS) 네트워크 및 장치에 대한 물리적 접근 제한.
구성요소에 대한 물리적인 무단 접근은 산업제어시스템(ICS)의 기능에 심각한 지장을 줄 수 있다. 잠금 장치, 카드 판독기 및/또는 경비원 등 여러 가지 물리적 접근 통제 수단의 조합을 사용해야 한다.
n 개별 산업제어시스템(ICS) 구성요소에 대한 악용 방지. 여기에는 가능한 빨리 보안 패치를 현장 조건에서 테스트를 한 후에 배치하고, 사용하지 않는 모든 포트 및 서비스를 비활성화하여 이 상태가 유지되는 것을 보장하며, 산업제어시스템(ICS)의 사용자 권한을 각 개인의 역할에 맞게 제한하고, 감사 기록을 추적 및 모니터링하며, 악성코드를 기술적으로 방지, 억제, 감지, 완화시킬 수 있는 바이러스 퇴치 소프트웨어와 파일 무결성 검사 소프트웨어와 같은 보안 통제 수단을 사용하는 것이 포함되어 있다.
n 데이터의 무단 변경 제한. 최소한 네트워크 경계를 넘어서 전송되는 데이터 및 저장 중인 데이터가 포함된다.
n 보안사건 및 사고 감지. 사고로 확대되지 않은 보안 사건을 감지하는 경우 방어자는 공격자가 공격 목표를 달성하기 전에 연쇄 공격을 깰 수 있다.
이것에는 결함이 발생한 산업제어시스템(ICS) 구성요소, 사용할 수 없는 서비스 및 소진된 자원을 감지하는 기능이 포함되며, 이 기능은
산업제어시스템(ICS)의 적절하고 안전한 작동을 제공하는 데 중요하다.
n 악조건에서 기능 유지. 중요한 각 구성요소에 중복 구성요소가 포함되도록 산업제어시스템(ICS)을 설계하는 것이 포함된다. 또한, 구성요소에 결함이 발생하는 경우 산업제어시스템(ICS) 또는 기타 네트워크에 필요하지 않는 트래픽을 발생시키지 않아야 하며 연쇄 이벤트와 같은 또 다른 문제를 딴 곳에서 일으키지 않아야 한다. 또한 산업제어시스템(ICS)에서는 완전 자동화되는 "정상 작동"으로부터 자동화가 적고 운영자가 더 관여하는
"비상 작동" 및 자동화가 없는 "수동 작동"으로의 이동과 같은 우아한 성능 저하가 허용되어야 한다.
n 사고 후 시스템 복원. 사고는 불가피하며 사고 대응 계획은 필수적이다.
우수한 보안 프로그램의 주요 특성 중의 한 가지는 사고가 발생한 후에 얼마나 빠르게 시스템을 복원할 수 있는가 하는 것이다.
산업제어시스템(ICS)에서 보안을 제대로 해결하려면 상호 기능형 사이버보안 팀이 다양한 특정 분야의 지식과 경험을 공유하여 산업제어시스템(ICS)에 대한 위험을 평가하고 완화하는 것이 필수적이다. 사이버보안 팀은 최소한도로 조직의 IT 직원, 제어 기사, 제어시스템 운영자, 네트워크 및 시스템 보안 전문가, 관리 직원 및 물리적 보안 부서의 일원으로 구성되어야 한다. 연속성 및 완전성을 위해 사이버보안 팀은 제어시스템 공급자 및/또는 시스템 통합 사업자의 자문도 구해야 한다. 사이버보안 팀은 사이버보안 및 산업제어시스템(ICS)과 사이버 사고에 직접 또는 간접적인 원인이 있는 모든 안전사고, 신뢰성 사고 또는 장비 손상에 대해 전적인 책임 및 책임 추적성이 있는 회사의 최고 정보 책임자(CIO) 또는 최고 보안 책임자(CSO) 및 현장 관리자(예: 시설 감독관)와 긴밀하게 협조해야 한다. 산업제어시스템(ICS)에 대한 효과적인 사이버보안 프로그램에는 “심층 방어”로 알려진 전략을 적용하여 어떤 하나의 메커니즘에 발생한 결함의 영향을 최소화하는 보안 메커니즘의 층을 쌓아야 한다. 조직은 “은둔 보안”에 의존해서는 안 된다.
이것은 전형적인 산업제어시스템(ICS)에서 다음 사항을 포함하는 심층 방어 전략을 의미한다.
n 산업제어시스템(ICS)에 구체적으로 적용되는 보안 정책, 절차, 교육 및 훈련 자료 개발.
n 위협 수준(Threat Level)이 증가함에 따라 더욱 강화된 보안 태세를
전개하는 국토 안보 자문 시스템 위협 수준(Homeland Security Advisory System Threat Level)에 기반한 산업제어시스템(ICS) 보안 정책 및 절차 고려.
n 구조 설계에서 조달, 설치, 유지보수, 해체에 이르는 산업제어시스템(ICS)의 전체 수명에 걸친 보안 해결.
n 가장 중요한 통신이 가장 안전하고 신뢰할 수 있는 계층에서 발생되는 다수의 계층이 있는 네트워크 구성 방식을 산업제어시스템(ICS)에 구현.
n 기업 및 산업제어시스템(ICS) 네트워크 사이에 논리적 분리 제공(예:
단방향 게이트웨이, 네트워크 사이에 상태 기반 검사 방화벽).
n 경계네트워크구간(DMZ) 네트워크 구조적용(즉, 기업 및 산업제어시스템(ICS) 네트워크 사이의 직접 트래픽 방지).
n 중요한 구성요소가 중복되며 중복 네트워크상에 있음을 보장.
n 중요한 시스템에는 우아한 성능 저하(내결함성)를 위해 설계하여 치명적인 연쇄 이벤트를 방지.
n 산업제어시스템(ICS) 장치에서 사용하지 않는 포트 및 서비스를 비활성화하는 것이 산업제어시스템(ICS) 작동에 영향을 주지 않는 것을 보증하는 테스트를 수행한 후 포트 및 서비스를 비활성화.
n 산업제어시스템(ICS) 네트워크 및 장치에 대한 물리적 접근 제한.
n 산업제어시스템(ICS)의 사용자 권한을 각 개인의 작업 수행에 맞게 제한(즉, 역할 기반 접근통제 설정 및 최소 권한의 원칙에 기반을 두어 각 역할 구성).
n 산업제어시스템(ICS) 네트워크 및 업무 네트워크 사용자에 대해 별도의 인증 메커니즘 및 자격증명 사용(즉, 산업제어시스템(ICS) 네트워크 계정에는 업무 네트워크 사용자 계정을 사용하지 않음).
n 개인신원확인(PIV)을 위한 스마트카드 등의 최신 기술 사용.
n 산업제어시스템(ICS)과 관련된 악성 소프트웨어의 전래, 노출 및 전파를 기술적으로 방지, 억제, 감지, 완화할 수 있는 침입 탐지 소프트웨어, 바이러스 퇴치 소프트웨어 및 파일 무결성 검사 소프트웨어 등의 보안 통제 수단 구현.
n 적절하다고 판단되는 산업제어시스템(ICS) 데이터 저장소 및 통신에 암호화 및/또는 암호화 해시 등의 보안 기법 적용.
n 모든 패치를 현장 조건의 테스트 시스템에서 테스트한 후에 가급적이면 산업제어시스템(ICS)에 설치하기 전에 신속하게 보안 패치 배치.
n 산업제어시스템(ICS)의 중요한 영역에 대한 감사 기록 추적 및 모니터링.
n 가능한 경우 신뢰할 수 있고 보안 네트워크 프로토콜 및 서비스 적용.
미국국립표준기술연구소(NIST)는 공공 및 민간 부문 산업제어시스템(ICS) 공동체와 협력하여 산업제어시스템(ICS)에 대한 보안 통제 수단의 적용에 관한 구체적인 가이드(미국국립표준기술연구소(NIST) 특별 발행(SP) 800-53 4차 개정판, 연방 정보시스템 및 조직용 보안 및 프라이버시 통제 수단(Security and Privacy Controls for Federal Information Systems and Organizations) [22])을 개발했다.
미국국립표준기술연구소(NIST) SP 800-53의 부록 F에 있는 대부분의 통제 수단은 기록된 바와 같이 산업제어시스템(ICS)에 적용할 수 있지만, 대부분의 통제 수단에는 산업제어시스템(ICS)별 해석 및/또는 증강을 위해 해당 통제 수단에 다음 중 하나 이상을 추가해야 한다.
§ 산업제어시스템(ICS) 추가적인 가이드는
미국국립표준기술연구소(NIST) SP 800-53의 부록 F에서 산업제어시스템(ICS)에 대한 보안 통제 수단 및 향상된 통제 수단의 적용과 이러한 전문화된 시스템이 작동하는 환경에 대한 추가 정보를 조직에 제공한다. 또한 추가적인 가이드는 특정 보안 통제 수단 또는 향상된 통제 수단이 일부 산업제어시스템(ICS) 환경에 적용되지 않을 수 있고 맞춤형 지정(즉, 범위 지정 가이드 및/또는 보완 통제 수단의 적용)이 필요할 수 있는 이유에 대한 정보를 제공한다.
산업제어시스템(ICS) 추가적인 가이드는
미국국립표준기술연구소(NIST) SP 800-53의 부록 F에 있는 원래의 추가적인 가이드를 대체하지 않는다.
§ 일부 산업제어시스템(ICS)에 필요할 수 있는 원래의 통제 수단에 대해 향상 증강 기능을 제공하는 산업제어시스템(ICS)의 향상된 기능(하나 이상)
§ 산업제어시스템(ICS) 환경에서 향상된 통제 수단을 적용하거나 적용하지 않는 방법에 대한 가이드를 제공하는 산업제어시스템(ICS) 향상 기능 추가적인 가이드.
산업제어시스템(ICS)에 보안을 적용하는 가장 성공적인 방법은 업계 권고 방식을 모으고 관리팀, 제어 기사 및 운영자, IT 조직 및 신임 받는 자동화 자문가 간의 사전 공동 노력에 참여하는 것이다. 이 팀은 “부록 D—”에 나열된 지속적인 연방 정부, 업계 단체, 공급자의 표준 조직 활동에서 얻을 수 있는 풍부한 정보를 인용 해야 한다.
1. 서문
1.1 목적 및 범위
본 문서의 목적은 감시 제어 및 데이터
수집(SCADA) 시스템,
분산제어시스템(DCS) 및 제어 기능을 수행하는 기타 시스템 등의 산업제어시스템(ICS) 보안에 대한 가이드를 제공하는 것이다. 본 문서에서는 산업제어시스템(ICS)에 대한 개념상의 개요를 제공하고, 전형적인 시스템 구성 방식 및 구조를 검토하며, 이러한 시스템에 대해 알려진 위협 및 취약점을 파악하고, 관련된 위험을 완화하기 위한 권장 보안 대책을 제공한다. 그리고 본 문서에서는 미국국립표준기술연구소(NIST) SP 800-53 Rev. 4 [22]에 기반을 두어 산업제어시스템(ICS) 분야의 고유의 특성에 적용되는 통제 수단의 맞춤화를 제공하기 위한 산업제어시스템(ICS) 맞춤형 보안 통제 오버레이(Overlay)를 제시한다. 본 문서의 본문에서는 오버레이(Overlay)의 맥락을 제공하지만, 오버레이(Overlay)는 독립형으로 계획된 것이다.
산업제어시스템(ICS)은 전기, 물 및 폐수, 석유 및 천연 가스, 화학, 제약, 펄프 및 제지, 식품 및 음료 및 개별 품목 제조(예: 자동차, 항공우주 및 내구재)업 등에 상당히 많다. 다양한 유형의 산업제어시스템(ICS)에 다양한 수준의 잠재적인 위험 및 영향이 있기
행정 명령 13636 “주요기반 사이버보안 향상(Improving Critical Infrastructure Cybersecurity)” 과의 관계
미국의 국가 경제적 보안은 주요기반의 신 뢰할 수 있는 기능에 달려 있음을 인식하는 미국 대통령은 행정 명령 “주요기반 사이버 보안 향상(Improving Critical Infrastructure Cybersecurity)” [82]에 따라 미국국립표 준기술연구소(NIST)가 관계자들과 협업하 여 주요기반에 대한 사이버 위험을 줄이기 위한 자발적인 프레임워크를 개발할 것을 지시했다. 사이버보안 프레임워크(CSF) [83]는 주요기반에 대한 보호를 촉진하기 위한 표준, 가이드 및 모범 사례로 구성되 어 있다. 이 프레임워크에 대한 우선순위 기반, 유연적, 반복적, 성능 기반, 비용 효 과적인 접근방법은 주요기반의 소유자 및 운영자가 비즈니스 비밀성, 개별 프라이버 시 및 시민 자유를 보호하면서 사이버보안 관련 위험을 관리하는 데 도움이 된다.
2014년 2월에 발표된 초기 사이버보안 프 레임워크(CSF)는 여러 분야 및 서로 다른 작동 환경에 적용하기 충분하게 유연한 국 가 수준의 프레임워크를 만들었다. 사이버 보안 프레임워크(CSF)는 다양한 분야의 기 존 작업이 이 프레임워크 내에서 활용되도 록 보장하는 것에 도움이 되도록 관계자의 입력에 기반을 두어 개발되었다. 산업제어 시스템(ICS) 사이버보안 표준, 가이드 및 사례는 조직의 위험 관리 프로그램의 맥락 에서 사이버보안 프레임워크(CSF) 기능을 다루는 데 활용할 수 있다.
때문에 본 문서에서는 산업제어시스템(ICS)에 보안을 적용하기 위한 다양한 방법과 기법의 목록을 제공한다. 본 문서는 전적으로 특정 시스템을 안전하게 하기 위한 점검표로 사용해서는 안 된다. 독자들은 자신들의 시스템에 위험 기반 평가를 수행하고 권장 가이드 및 솔루션을 맞춤형 지정하여 특정 보안, 비즈니스 및 운영 요구사항을 충족하기 바란다. 본 문서에 제시된 제어시스템 보안에 대한 기본 개념의 적용 가능성의 범위는 확장되고 있다.
1.2 독자
본 문서에서는 산업제어시스템(ICS)에 특정된 자세한 내용을 다룬다. 본 문서의 독자는 네트워킹에서 사용되는 일반 컴퓨터 보안 개념 및 통신 프로토콜에 익숙해야 한다. 본 문서는 기술 문서이지만, 논의 주제를 이해하는 데 필요한 배경을 제공한다.
대상 독자는 다양하며 다음과 같다.
n 제어 기사, 통합 사업자 및 보안이 적용된 산업제어시스템(ICS)을 설계 또는 구현하는 설계자.
n 산업제어시스템(ICS)을 관리하고 패치와 보안을 적용하는 시스템 관리자, 기사 및 기타 정보기술(IT) 전문가.
n 산업제어시스템(ICS)의 침투 시험 및 보안 평가를 수행하는 보안 컨설턴트.
n 산업제어시스템(ICS)의 담당 관리자.
n 비즈니스 기능에 대한 영향을 완화하는 데 도움이 되는 산업제어시스템(ICS) 사이버보안 프로그램을 정당화하고 적용하며, 예상되는 영향과 결과를 파악하려는 고위 관리.
n 산업제어시스템(ICS) 고유의 보안 필요성을 파악하려는 연구원 및 분석가.
n 산업제어시스템(ICS)의 일부로서 배치되는 제품을 개발하고 있는 공급자.
1.3 문서 구조
본 가이드의 나머지 부분은 다음과 같은 주요 절로 구성되어 있다.
n 제2절에서는 산업제어시스템(ICS)과 정보기술(IT) 시스템의 비교를 포함한
산업제어시스템(ICS)의 개요가 제공된다.
n 제3절에서는 산업제어시스템(ICS) 위험 관리 및 평가에 대한 설명이 제공된다.
n 제4절에서는 부록 C에 정의된 취약점의 위험을 완화시키기 위한 산업제어시스템(ICS) 보안 프로그램의 개발 및 배치에 대한 개요가 제공된다.
n 제5절에서는 산업제어시스템(ICS)에서 전형적으로 발견되는 네트워크 구조에 보안을 통합하기 위한 네트워크 격리 사례에 중점을 둔 권장 사항이 제공된다.
n 제6절에서는 미국국립표준기술연구소(NIST) 특별 발행 800-53, 연방 정보시스템 및 조직용 보안 및 프라이버시 통제 수단(Security and Privacy Controls for Federal Information Systems and Organizations)에 정의된 관리, 작동 및 기술 통제 수단에 대한 요약이 제공되고, 이러한 보안 통제 수단을 산업제어시스템(ICS)에 적용하는 방법에 대한 초기 가이드가 제공된다.
또한 본 가이드에 포함되어 있는 다수의 보조 자료와 부록은 다음과 같다.
n 부록 A— 본 문서에서 사용되는 두문자어 및 약어 목록 제공.
n 부록 B— 본 문서에서 사용되는 용어 해설 설명을 제공.
n 부록 C— 산업제어시스템(ICS)에 대한 위협, 취약점 및 사고의 목록을 제공.
n 부록 D— 산업제어시스템(ICS) 보안 활동의 목록을 제공.
n 부록 E— 산업제어시스템(ICS) 보안 기능 및 도구의 목록을 제공.
n 부록 F— 본 문서의 개발에 사용된 참고 문헌의 목록을 제공.
n 부록 G— 산업제어시스템(ICS) 오버레이(Overlay)를 제공하고, 산업제어시스템(ICS)에 특별히 적용되는 보안 통제 수단, 향상된 기능 및 추가적인 가이드를 나열.
2. 산업제어시스템의 개요
산업제어시스템(ICS)은 산업 부문 및 주요기반에서 찾을 수 있는 감시 제어 및 데이터 수집(SCADA) 시스템, 분산제어시스템(DCS) 및 프로그래머블 로직 컨트롤러(PLC)와 같은 기타 제어시스템 구성 등 여러 유형의 제어시스템을 포함하는 일반적인 용어이다. 산업제어시스템(ICS)은 하나의 산업 목표(예:
제조, 물질이나 에너지의 운송)를 달성하기 위해 함께 작동하는 제어 구성요소(예: 전기, 기계, 유압, 공압)의 조합들로 구성된다. 주로 출력 생성에 관련된 시스템의 부분은 공정이라고 한다. 시스템의 제어 부분에는 원하는 출력 또는 성능의 사양이 포함되어 있다. 제어는 완전히 자동화하거나 인력을 일원으로 포함시킬 수 있다. 개방형 루프, 폐쇄형 루프 및 수동 모드를 작동하도록 시스템을 구성할 수 있다. 개방형 루프 제어시스템에서 출력은 정해진 설정 값에 의해 제어된다. 폐쇄형 루프 제어시스템에서 출력은 원하는 목표를 유지하는 방식으로 입력에 영향을 미친다. 수동 모드의 시스템은 완전히 인력에 의해서 제어된다. 주로 사양과의 적합성을 유지하는데 관련된 시스템의 부분은 컨트롤러(또는 제어)라고 한다. 전형적인 산업제어시스템(ICS)에는 수많은 제어 루프, 휴먼 머신 인터페이스(HMI) 및 다수의 네트워크 프로토콜을 사용하여 구축되는 유지보수 도구와 원격 진단이 포함될 수 있다. 산업제어시스템(ICS) 제어 산업용 공정은 전형적으로 전기, 물 및 폐수, 석유 및 천연 가스, 화학, 운송, 제약, 펄프 및 제지, 식품, 음료 및 개별 품목 제조(예: 자동차, 항공우주 및 내구재) 산업에서 사용된다.
산업제어시스템(ICS)은 종종 매우 상호 연결적이고 의존적인 시스템인 미국 주요기반의 운영에 중요하다. 미국의 주요기반의 약 85%가 개인 소유로 운영되고 있는 것에 주목해야 한다1. 또한 연방 기관에서는 위에 언급된 대부분의 산업용 공정 뿐 아니라 항공 교통 관제를 운영하고 있다. 이 절에서는 전형적인 구성 방식 및 구성요소를 포함하여 감시 제어 및 데이터 수집(SCADA), 분산제어시스템(DCS) 및 프로그래머블 로직 컨트롤러(PLC) 시스템의 개요를 제공한다. 이러한 시스템에 대한 이해를 돕기 위해 각 시스템에서 전형적으로 발견되는 네트워크 구성 방식, 연결, 구성요소 및 프로토콜을 여러 도형에 묘사하였다. 이러한 예는 단지 개념상의 구성 방식 개념을 식별하기 위한 시도이다. 실제 산업제어시스템(ICS)의 구현은 분산제어시스템(DCS)과 감시 제어 및 데이터 수집(SCADA) 시스템의 경계를 흐리는 복합형일 수 있다. 이 절의 도형에서는 산업제어시스템(ICS)의 보안에 중점을 두지는
1 http://www.dhs.gov/critical-infrastructure-sector-partnerships (2014년 4월 업데이트됨)
않는 점을 주목한다. 보안 구조 및 보안 통제는 본 문서의 제5절과 제6절에서 각각 설명된다.
2.1 산업제어시스템의 진화
오늘날 대부분의 산업제어시스템(ICS)은 기존의 물리적 시스템에 종종 물리적 제어 메커니즘을 교체하거나 보충하는 IT 기능을 첨가하여 진화했다. 예를 들어, 내장형 디지털 제어는 회전 기계 및 엔진의 아날로그 기계 제어를 대체했다. 비용과 성능의 개선이 이 진화를 촉진하여 스마트 전력망, 스마트 운송, 스마트 빌딩 및 스마트 제조와 같은 오늘날의 많은 “스마트” 기술을 낳았다. 이로써 이러한 시스템의 연결성 및 중대성이 증가하지만 시스템의 적응성, 회복성, 안전 및 보안에 대한 더 큰 필요도 생긴다.
산업제어시스템(ICS)의 공학 기술은 이러한 시스템의 전형적인 긴 수명주기를 유지하면서 새로운 기능을 제공하기 위해 진화하고 있다. 물리적 시스템에 대한 IT 기능의 도입은 보안에 영향을 미치는 불시의 행동을 낳기도 한다.
모델 및 분석 공학 기술은 이러한 안전, 보안, 프라이버시 및 환경적 영향의 상호의존성 등의 출현 속성을 해결하기 위해 진화하고 있다.
2.2 산업제어시스템(ICS) 산업 부문 및 상호의존성
제어시스템은 제조, 배급, 운송 등의 다양한 산업 부문 및 주요기반에서 사용된다.
2.2.1 제조업
제조업은 공정 기반(process-based)과 개별 품목 기반(discrete-based)의 제조업으로 분류할 수 있는 많은 다양한 공정의 광범위한 산업 부문이다.
공정 기반의 제조업에서는 전형적으로 두 가지의 주요 공정이[1] 활용된다.
n 연속 제조 공정. 종종 서로 다른 등급의 제품을 생산하기 위한 전환이 포함되는 이러한 공정은 연속적으로 실행된다. 전형적인 연속 제조 공정에는 발전소의 연료나 증기 흐름, 정유 공장의 석유, 화학 공장의 증류물이 포함된다.
n 일괄 제조 공정. 이러한 공정에는 재료의 수량에 대해 수행되는 뚜렷한
공정 단계가 있다. 중간 단계 중에 짧은 정상 상태 작동의 가능성이 있으며 일괄 공정에 대해 뚜렷한 시작과 종료 단계가 있다. 전형적인 일괄 제조 공정에는 식품 제조가 포함된다.
개별 품목 기반 제조업에서는 최종 제품을 생산하기 위해 전형적으로 단일 장치에 일련의 단계가 수행된다. 전자 기계 부품 조립 및 부품 가공업이 이러한 유형의 전형적인 예이다.
공정 기반 및 개별 품목 기반 산업 모두에서는 동일 유형의 제어시스템, 센서 및 네트워크가 활용된다. 일부 시설은 개별 품목 및 공정 기반 제조의 복합형이다.
2.2.2 에너지배급업
산업제어시스템(ICS)은 지리적으로 때로는 수 천 평방 킬로미터에 걸쳐서 분산된 물 배급 시스템, 폐수 회수 시스템, 농업용 관개 시스템, 석유 및 천연 가스 배관, 전기 송전선망 및 철도 운송 시스템과 같은 에너지배급 시스템 등의 자산을 제어하는 데 사용된다.
2.2.3 제조 및 유통 산업제어시스템(ICS)의 차이점
제조업과 에너지배급업에서 사용되는 제어시스템은 작동에서는 매우 유사하지만, 어떤 면에서는 서로 다르다. 지리적으로 분산된 에너지배급업에 비교했을 때 제조업체는 일반적으로 좁고 사방이 막힌 공장 또는 공장 중심의 지역에 위치한다. 일반적으로 제조업의 통신은 에너지배급업계에서 사용하는 장거리 통신 광역 통신망(WAN) 및 무선/RF(무선 주파수) 기술에 비교하여 전형적으로 더 신뢰할 수 있고 고속인 근거리 통신망(LAN) 기술을 사용하여 수행된다. 에너지배급업계에서 사용되는 산업제어시스템(ICS)은 다양한 사용 통신 매체에 의해 발생되는 지연 및 데이터 손실 등의 장거리 통신 문제를 처리하도록 설계되어 있다. 보안 통제 수단은 네트워크 유형에 따라 다를 수 있다.
2.2.4 산업제어시스템(ICS)과 주요기반 상호의존성
미국의 주요기반은 다양한 산업 부문 뿐 아니라 사업 협력자들 사이의 상호 접속 사이에 존재하는 상호의존성[8] [9] 때문에 “시스템의 시스템”이라고도
한다. 주요기반은 물리적이고 다수의 정보 통신 기술적인 측면에서 고도로 상호 접속되어 있으며 복잡한 방식으로 상호 의존적이다.
하나의 인프라에서 발생한 사고는 연쇄적이고 확대적인 결함을 통해 직간접적으로 다른 인프라에도 영향을 준다.
송전망 및 에너지배급망 업계 모두에서는 지리적으로 분산된 감시 제어 및 데이터 수집(SCADA) 제어 기술을 사용하여 최종 사용자에게 전기를 공급하기 위한 무수한 공공시설, 사유 시설 및 지방 협동조합으로 구성된 고도로 상호 접속되고 동적인 시스템들을 운영한다. 일부 감시 제어 및 데이터 수집(SCADA) 시스템은 중앙 집중식 위치에서 지리적으로 멀리 떨어져 있는 현장 제어국으로 명령을 내리고 데이터를 수집하여 전기 배급을 모니터링하고 제어한다. 또한 감시 제어 및 데이터 수집(SCADA) 시스템은 배관, 선박, 트럭 및 철도 시스템을 포함한 물, 석유 및 천연 가스 배급 뿐 아니라 폐수 회수 시스템을 모니터링하고 제어하는 데 사용된다.
감시 제어 및 데이터 수집(SCADA) 시스템과 분산제어시스템(DCS)은 종종 네트워크로 연결된다. 이것은 전력 제어센터와 발전 시설의 경우이다.
분산제어시스템(DCS)에서 발전 시설의 작동을 제어하지만 분산제어시스템(DCS)은 전송 및 배급 수요와 생산 출력을 조정하기 위해 감시 제어 및 데이터 수집(SCADA) 시스템과 통신해야 한다.
전력은 종종 상호 의존적 주요기반 붕괴의 가장 일반적인 자원 중의 한 가지로 여겨진다. 한 예로서, 연쇄 결함은 송전 감시 제어 및 데이터 수집(SCADA) 시스템에 사용되는 마이크로파 통신 네트워크의 붕괴에 의해서 시작될 수 있다. 모니터링 및 제어 기능의 부족은 대형 발전 설비의 오프라인 상태를 초래하여 송전 변전소에서 전력이 손실될 수 있다. 이 손실은 전력망 전체에 연쇄 결함을 유발할 수 있는 주요 불균형의 원인이 될 수 있다. 이것은 광대한 지역에서 정전을 초래하여 전력을 전력망에 의존하는 석유 및 천연 가스 생산, 정유 공장 작동, 물 처리시스템, 폐수 회수 시스템 및 배관 운송 시스템에 영향을 줄 수 있다.
2.3 산업제어시스템(ICS) 작동 및 구성요소
산업제어시스템(ICS)의 기본 작동은 그림 2-1 [2]에 표시된 바와 같다. 일부
중요한 공정에는 안전 시스템도 포함될 수 있다. 핵심 구성요소에는 다음 사항이 포함된다.
전형적인 산업제어시스템(ICS)에는 수많은 제어 루프, 휴먼 인터페이스, 그리고 계층화된 네트워크 구조에 있는 다수의 네트워크 프로토콜을 사용하여 구축되는 유지보수 도구와 원격 진단이 포함된다. 제어 루프에서는 일부 제어 공정을 조작하기 위해 센서, 액추에이터 및 컨트롤러(예: 프로그래머블 로직 컨트롤러(PLC))가 사용된다. 센서는 일부 물리적 속성의 측정값을 산출한 다음 이 정보를 제어 변수로서 컨트롤러에 보내는 장치이다. 컨트롤러는 제어 알고리즘 및 목표 설정 값에 기반을 두어 신호를 해석하고 조작 변수를 생성하여 액추에이터로 전송한다. 제어 밸브, 차단기, 스위치 및 모터 등의 액추에이터는 컨트롤러의 명령에 기반을 두어서 제어 공정을 직접 조작하는 데 사용된다.
운영자 및 기사는 휴먼 인터페이스를 사용하여 설정값, 제어 알고리즘을 모니터링하고 구성하며, 컨트롤러에서 매개 변수를 설정하고 조정한다. 또한 휴먼 인터페이스에는 공정 상태 정보 및 기록 정보가 표시된다. 진단 및 유지보수 시설은 비정상 작동 또는 결함을 방지하고 식별하며, 이로부터 복구하는 데 사용된다.
때때로 이러한 제어 루프는 중첩 및/또는 연쇄적이다. 즉, 하나의 루프에 대한 설정값이 다른 루프에 의해 결정된 공정 변수에 기반을 둔다. 감시 수준 루프와 하위 수준 루프는 밀리 초에서 분 단위의 사이클 시간의 공정 지속 시간 동안 연속적으로 작동한다.
휴먼 머신 인터페이스(HMI) 원격진단 및 유지보수
컨트롤러 설정값, 제어 알고리즘,
매개변수 제약, 공정 데이터
조작 변수
액추에이터
제어 공정
센서
공정 입력
제어 변수
교란
공정 출력
그림 2-1. 산업제어시스템(ICS) 작동
이후의 설명을 지원하기 위해 이 절에서는 제어 및 네트워킹에서 사용되는 산업제어시스템(ICS)의 핵심 구성요소를 정의한다. 이러한 구성요소의 일부는 감시 제어 및 데이터 수집(SCADA) 시스템, 분산제어시스템(DCS) 및 프로그래머블 로직 컨트롤러(PLC)에서의 사용을 위해 포괄적으로 설명될 수 있는 반면, 다른 구성요소에 대한 설명은 각각 고유하다. 부록 B—의 용어 해설 설명에는 제어 및 네트워킹 구성요소가 더 상세하게 나열되어 있다.
그리고 그림 2-5 및 2-6은 감시 제어 및 데이터 수집(SCADA) 구현 예제를, 그림 2-7은 분산제어시스템(DCS) 구현 예제를, 그림 2-8은 이러한 구성요소를 통합하는 프로그래머블 로직 컨트롤러(PLC) 구현 예제를 나타낸다.
2.3.1 산업제어시스템(ICS) 설계시 고려사항
2.3절에서 산업제어시스템(ICS)의 기본 구성요소가 소개된 반면, 감시 제어 및 데이터 수집(SCADA), 분산제어시스템(DCS) 또는 프로그래머블 로직 컨트롤러(PLC) 기반 구성 방식이 사용되는지 여부를 포함한
산업제어시스템(ICS)의 설계는 여러 요인들에 달려 있다. 이 절에서는 산업제어시스템(ICS)의 제어, 통신, 신뢰성 및 중복 속성에 관한 설계 결정사항을 결정짓는 핵심 요인을 식별한다. 이러한 요인들은 산업제어시스템(ICS)의 설계에 막대한 영향을 끼치기 때문에 시스템의 보안 필요성을 결정하는 데 도움이 된다.
n 제어 시간조절 요구사항. 산업제어시스템(ICS) 공정에는 초고속, 일관성, 규칙성 및 동기화 등의 광범위한 시간 관련 요구사항이 있다. 인간은 이러한 요구사항을 안정적이고 지속적으로 충족하지 못해서 자동화된 컨트롤러가 필요할 수 있다. 일부 시스템에는 통신 지연을 줄이고 시간에 맞추어서 필요한 제어 동작을 수행하기 위해서 센서와 액추에이터에 가능한 가깝게 컴퓨터 계산을 수행할 필요가 있다.
n 지리적 배급. 시스템에는 소형 시스템(예: 지역 프로그래머블 로직 컨트롤러(PLC) 제어 공정)에서 대형, 분산 시스템(예: 석유 배관, 전력망)에 이르는 다양한 등급의 배급이 있다. 배급이 대형일수록 전형적으로 광역(예: 전용선, 회로 전환 및 패킷 교환) 및 이동 통신의 필요성을 암시한다.
n 계층. 감시 제어는 여러 위치의 데이터를 집계할 수 있는 중앙 위치를 제공하기 위해 사용되며 시스템의 현재 상태에 기반을 두어 제어 결정을 지원한다. 종종 계층식/중앙 집중식 제어는 인간 운영자에게 전체 시스템의 포괄적 보기를 제공하기 위해 사용된다.
n 제어 복잡성. 종종 제어 기능은 단순 컨트롤러 및 사전 설정 알고리즘에 의해 수행된다. 하지만, 더욱 복잡한 시스템(예: 항공 교통 관제)에는 인간 운영자가 모든 제어 동작이 시스템의 대형 목표를 충족하기에 적절한 지를 확인한다.
n 가용성. 시스템의 가용성(즉, 신뢰성) 요구사항도 설계에서 중요한 요인이다. 시스템의 가용성/가동 시간 요구사항이 엄격한 경우 모든 통신 및 제어에 걸쳐서 중복 또는 대체 구현이 더 필요할 수 있다.
n 결함의 영향. 제어 기능의 결함은 영역 간에 현저히 다른 영향을 초래할 수 있다. 영향이 큰 시스템일수록 중복 제어를 통해서 작동을 계속하는 기능이나 성능 저하 상태에서 작동하는 기능이 자주 요구될 수 있다.
설계에서 이러한 요구사항을 해결해야 한다.
n 안전. 시스템의 안전 요구사항 영역도 설계에서 중요한 요인이다. 시스템은 불안전한 조건을 감지하고 불안전한 조건을 줄이는 동작을 유발하여 안전하게 할 수 있어야 한다. 안전에 필수적인 대부분의 작동에서 잠재적으로 위험한 공정에 대한 인간의 감독 및 통제는 안전 시스템의 필수 부분이다.
2.3.2 감시 제어 및 데이터 수집(SCADA) 시스템
감시 제어 및 데이터 수집(SCADA) 시스템은 중앙 집중식 데이터 수집이 제어만큼 중요한 경우 분산 자산을 제어하는 데 사용된다[3] [4]. 이러한 시스템은 물 배급 및 폐수 회수 시스템, 석유 및 천연 가스 배관, 송전 및 배전 시스템, 철도 및 기타 공공 운송 시스템 등의 배급 시스템에서 사용된다.
감시 제어 및 데이터 수집(SCADA) 시스템은 데이터 수집 시스템을 데이터 전송 시스템과 휴먼 머신 인터페이스(HMI) 소프트웨어로 통합하여 수많은 공정 입력과 출력을 위한 중앙 집중식 모니터링 및 제어시스템을 제공한다.
감시 제어 및 데이터 수집(SCADA) 시스템은 현장 정보를 수집하고, 수집된 정보를 중앙 컴퓨터 시설로 전송하며, 운영자에게 해당 정보를 도표 또는 문자 형식으로 표시하여 운영자가 거의 실시간으로 전체 시스템을 모니터링 또는 제어할 수 있게 설계된다. 개별 시스템의 고도화와 설정에 기반을 두어 모든 개별 시스템, 작동 또는 작업의 제어를 자동화하거나 운영자 명령에 의해서 수행할 수 있다.
전형적인 하드웨어에 포함되는 제어 서버는 제어센터, 통신 장비(예: 무전기, 전화선로, 케이블 또는 인공위성) 및 한 곳 이상의 지리적으로 분산된 현장에 배치되며, 이 현장은 액추에이터를 제어하거나 센서를 모니터링 하는 프로그래머블 로직 컨트롤러(PLC) 및/또는 원격 단말 장치(RTU)로 구성되어 있다. 원격 단말 장치(RTU) 또는 프로그래머블 로직 컨트롤러(PLC)가 로컬 공정을 제어하는 반면, 제어 서버는 원격 단말 장치(RTU) 입력 및 출력의 정보를 저장하고 처리한다. 통신 하드웨어는 제어 서버와 원격 단말 장치(RTU) 또는 프로그래머블 로직 컨트롤러(PLC) 사이를 왕복해서 정보와 데이터를 전송한다. 소프트웨어는 모니터링의 대상과 시간, 허용 가능한 매개 변수 범위, 매개 변수가 허용 값의 범위 밖으로 변경될 때 시작할 대응 내용을 시스템에 통신하도록 프로그래밍 된다. 보호 계전기와 같은 지능형 전자 장치(IED)가 제어 서버와 직접 통신하거나, 로컬 원격 단말 장치(RTU)가 지능형 전자 장치(IED)를 폴링 하여 데이터를 수집하고 수집한 데이터를 제어
서버로 전달할 수 있다. 지능형 전자 장치(IED)에는 장비 및 센서를 직접 제어하고 모니터링하기 위한 인터페이스가 제공된다. 지능형 전자 장치(IED)는 제어 서버에 의해 직접 폴링 되거나 제어될 수 있으며, 대부분의 경우 로컬 프로그래밍이 있어서 지능형 전자 장치(IED)가 제어센터의 직접적인 가이드가 없이 동작할 수 있다. 감시 제어 및 데이터 수집(SCADA) 시스템은 일반적으로 상당한 중복이 시스템에 내장된 내결함성(fault-tolerant) 시스템으로 설계된다. 중복은 악의적인 공격에 직면했을 때 충분한 대책이 될 수 없다.
그림 2-2는 감시 제어 및 데이터 수집(SCADA) 시스템의 구성요소 및 일반 구성을 보여준다. 제어센터에는 제어 서버 및 통신 라우터가 있다. 제어센터의 그 밖의 구성요소인 휴먼 머신 인터페이스(HMI), 엔지니어링 워크스테이션 및 데이터 이력 관리 장치(Data Historians)는 모두 근거리 통신망(LAN)으로 연결되어 있다. 제어센터에서는 현장에서 모아진 정보를 수집하고 기록하며, 휴먼 머신 인터페이스(HMI)에 정보를 표시하고, 감지된 이벤트에 따라 동작을 발생시킬 수 있다. 또한, 제어센터에서는 중앙 집중식 경보, 추세 분석 및 보고를 담당한다. 현장에서는 액추에이터의 로컬 제어를 수행하고 센서를 모니터링 한다(주의: 센서 및 액추에이터는 그림 2-5에만 표시됨). 현장에는 운영자가 일반적으로 별도의 전화식 모뎀 또는 광역 통신망(WAN) 연결을 통해서 원격 진단 및 수리를 수행할 수 있도록 종종 원격 접근 기능이 갖추어져 있다. 직렬 및 네트워크 통신을 통해 실행되는 표준 및 독점 통신 프로토콜은 제어센터와 현장 사이에서 전화선로, 케이블, 광섬유 및 무선 주파수(예: 방송, 마이크로파 및 인공위성)와 같은 원격 측정 기법을 사용하여 정보를 전송하는 데 사용된다.
감시 제어 및 데이터 수집(SCADA) 통신 구성 방식은 구현에 따라 다양하다.
사용되는 다양한 구성 방식(예: 점대점, 직렬, 직렬스타 및 멀티드롭 방식)은 그림 2-3과 같다 [5].
점대점 방식은 기능적으로는 가장 단순하지만 각 연결에 필요한 개별 채널 때문에 비용이 비싸다. 직렬 구성에서 사용되는 채널의 수는 줄지만 채널 공유가 감시 제어 및 데이터 수집(SCADA) 작동의 효율 및 복잡성에 영향을 준다. 유사하게 장치 당 한 개의 채널이 사용되는 직렬스타 및 멀티드롭 구성에서는 효율이 감소되고 시스템 복잡성이 증가한다.
제어센터 현장 1
현장 2
현장 3 엔지니어링
워크스테이션
데이터 이력 관리 장치(Data Historians)
통신 라우터 제어 서버
교환 전화, 전용선 또는 송전선 기반 통신
라디오 마이크로파 또는 휴대폰
인공위성
광역 통신망
모뎀
모뎀 카드
그림 2-2. 감시 제어 및 데이터 수집(SCADA) 시스템 일반 구조
그림 2-3의 4가지 기본 구성 방식은 통신 교환 뿐 아니라 메시지 교환 및 버퍼링을 관리하기 위해 전용 장치를 사용하여 확장할 수 있다. 수백 개의 원격 단말 장치(RTU)로 구성된 대형 감시 제어 및 데이터 수집(SCADA) 시스템에는 주서버의 부담을 완화하기 위해 종종 부제어 서버가 적용된다.
이런 유형의 구성 방식은 그림 2-4에 표시된다.
그림 2-5는 감시 제어 및 데이터 수집(SCADA) 시스템 구현의 사례를 보여준다. 이 특정 감시 제어 및 데이터 수집(SCADA) 시스템은 한 곳의 주제어센터와 세 곳의 현장으로 구성된다. 두 번째 백업 제어센터는 주제어센터의 기능 장애 시 중복을 제공한다. 점대점 연결은 무선 원격 측정을 사용하는 두 개의 연결과 함께 제어센터에서 현장으로 향하는 모든 통신에 사용된다. 세 번째 현장은 제어센터에 인접하며 WAN 통신이 사용된다. 지역 제어센터는 상위 수준의 감시 제어를 위해 주제어센터 위에 존재한다. 업무 네트워크는 WAN을 통해 모든 제어센터에 접근할 수 있으며, 문제해결 및 유지보수 작업을 위해 원격으로 현장에 접근할 수 있다. 주제어센터는 정의된 간격(예: 5초, 60초)에 따라 현장 장치의 데이터에 대해 폴링을 수행하고, 필요에 따라 현장 장치에 새로운 설정값을 전송할 수 있다. 폴링 수행과 높은 수준의 명령 하달에 덧붙여 제어 서버는 현장 경보 시스템에서 오는 우선 개입 중단도 감시한다.
