산업제어시스템(Industrial Control System)이란 제어 신호를 통해 터빈을 돌려 전기를 생산하는 발전소, 공산품을 생산하는 제조시설 등을 의미합니다.이러한 주요 국가 기반 시설인 산업제어시스템은 2010년 이후 시스템 통합 및 외부 네트워크로의 연결이 증가함에 따라 보안의 중요성 또한 증가하고 있습니다.
이에 산업제어시스템 보안 국제 표준인 IEC 62443에 대해 알아보겠습니다.
IEC 62443은 산업제어시스템 네트워크를 통한 위험 최소화를 목적으로 고안되었으며, 발전소, 제조시설, 공장, 시스템 전반에 걸쳐 프로세스를 정의해 놓음으로써 적용 가능한 모든 보안 영역을 구조화시켜 놓았습니다.
IEC 62443의 구성
IEC 62443은 크게 일반, 정책 및 절차, 시스템, 컴포넌트의 네 가지 파트로 구성됩니다.
| Part | 설명 |
| 1. 일반 | • 산업제어시스템 및 보안에 대한 일반적인 용어 및 개념, 시스템 보안 준수 지표 등 |
| 2. 정책 및 절차 | • 시스템 보안 정책을 수립하기 위한 항목 및 운영, 관리 |
| 3. 시스템 | • 산업제어시스템을 위한 보안 기술과 보안 요구사항, 보안 인증 레벨 |
| 4. 컴포넌트 | • 산업제어시스템 제품 개발 요구 사항과, 기술적인 보안 요구사항 |
IEC62443 파트 중 정책 및 절차를 중점적으로 설명 드리겠습니다.
정책 및 절차에서는 기존 ISO 27001을 기반으로 14개 영역의 보안 통제 항목을 제시하고 있습니다.
다음은 ISO 27001과 IEC 62443의 보안 통제 영역 및 통제 항목을 비교한 표입니다.
| 표준 | 영역 | 통제 항목 | 설명 |
| ISO 27001 | 14개 영역 | 113개 | • A.17 정보 보안 연속성 > A.17.2 중복 및 가용성 > 정보처리시설의 가용성 |
| IEC 62443 | 14개 영역 | 114개 | • A.9 접근 통제 > A.9.2 사용자 접근 관리
> 사용자 접근 프로비저닝 (IT 인프라 설정 프로세스) 항목 추가
• A.17 정보 보안 연속성 > A.17.2 중복 및 가용성
> 정보처리시설 및 산업제어시스템의 가용성으로 항목 명칭 변경 |
아래의 그림과 같이 정보 보안 정책을 수립하기 위해서는 하위의 13개 영역에 대한 내용이 포함되어 있어야 합니다.
[그림 1] IEC62443 Part 2-1의 보안 통제 항목
IEC 62443 - 보안 통제의 14개 영역
이제 보안 통제의 14개 영역에 대해 설명 드리겠습니다.
| IEC62443-2-1의 보안 통제 영역 | 세부 통제 항목 | 설명 |
| 1. 정보 보안 정책 | 정보 보안 관리 방향 | • 사업 요구 사항 및 관련 법규와 규정을 준수하기 위한 정보 보안의 관리 방향과 지원을 제공 |
| 2. 정보 보안 조직 | 내부 조직 | • 조직 내 정보 보안의 구현과 운영을 시작하고, 제어하기 위한 관리 프레임워크를 구축 |
| 모바일 장치 및 원격 업무 | • 모바일 장치와 원격 업무의 보안을 보장 |
| 3. 인적 보안 | 고용 전 | • 직원과 회사 간에 보안 책임을 다루는 역할에 적합하고, 자신의 책임을 이해하였음을 보장 |
| 고용 중 | • 직원, 계약직, 공급업체, 계약자가 자신의 정보 보안 책임을 인식하고 이행하도록 보장 |
| 고용 종료 및 변경 | • 고용 종료 및 변경에 따른 조직의 이익을 보호 |
| 4. 자산 관리 | 자산에 대한 책임 | • 산업제어시스템 관련 조직 및 제어시스템 자산 식별 |
| 정보 분류 | • 정보를 조직의 중요성에 따라 분류 |
| 미디어 처리 | • 미디어에 저장된 정보의 무단 공개, 수정, 제거 또는 파괴를 방지 |
| 5. 접근 통제 | 접근 통제의 비즈니스 요구 사항 | • 정보와 정보 처리 시설의 접근을 제한 |
| 사용자 접근 관리 | • 시스템과 서비스에 인가된 사용자만 접근하도록 보장 |
| 사용자 책임 | • 사용자가 자신의 인증 정보를 보호할 책임을 갖도록 하기 위함 |
| 시스템과 어플리케이션 접근 통제 | • 시스템과 어플리케이션에 대한 인가되지 않은 접근을 막기 위함 |
| 6. 암호화 | 암호화 통제 | • 정보의 기밀성과 신뢰성, 무결성을 보호하기 위해 적절하고 효과적인 암호화 사용을 보장 |
| 7. 물리 및 환경 보안 | 보안 구역 | • 조직의 정보 및 정보 처리 시설에 대한 인가되지 않은 물리적 접근, 손상 및 간섭을 방지 |
| 장비 | • 자산의 손실, 손상, 도난 또는 도용과 조직 운영 중단을 방지 |
| 8. 운영 보안 | 운영 보안 절차와 책임 | • 정보 처리 시설의 정확하고 안전한 운영을 보장 |
| 9. 통신 보안 | 네트워크 보안 관리 | • 네트워크 상의 제어 시스템과 비즈니스 프로세스, 정보와 정보 처리 시설의 보호를 보장 |
| 정보 전송 | • 조직 내부 및 외부에 전송되는 정보의 보안을 유지하기 위함 |
| 10. 시스템 도입 및 개발, 유지 보수 | 정보시스템 보안 요구 사항 | • 정보 보안이 전체 라이프사이클에 걸쳐 정보 시스템에 필수 요소임을 보장 |
| 개발 및 지원 절차 관련 보안 | • 정보 보안이 정보 시스템의 개발 수명 주기 내에서 설계되고 구현되도록 보장 |
| 테스트 데이터 | • 테스트에 사용된 데이터의 보호를 보장 |
| 11. 공급 업체 관계 | 공급 업체 관계에서의 정보 보안 | • 공급 업체가 접근할 수 있는 조직의 자산에 대한 보호를 보장 |
| 공급 업체 서비스 제공 관리 | • 공급 업체 계약에 따라 합의된 수준의 정보 보안 및 서비스 제공을 유지 |
| 12. 정보 보안 사고 관리 | 정보 보안 사고 및 조치에 대한 관리 | • 정보 보안 사고 관리에 대한 일관되고 효과적인 접근 방식을 보장
• 제어시스템의 보안 이벤트 및 취약점 등을 포함 |
| 13. 정보 보안 측면에서의 사업 연속성 관리 | 정보 보안 연속성 | • 정보 보안 연속성은 조직의 사업 연속성 관리 시스템에 포함되어야 함 |
| 중복 및 가용성 | • 정보 처리 시설 및 제어시스템의 가용성을 보장 |
| 14. 준법 | 법 및 계약 요구 사항의 준수 | • 정보 보안 및 보안 요구 사항과 관련된 법적, 규제적 또는 계약 상의 의무 위반을 방지 |
| 정보 보안 검토 | • 조직의 정책 및 절차에 따라 정보 보안이 구현되고, 운영되도록 보장 |
지난 6월, 유엔 유럽경제위원회(UNECE)에서는 기술의 발달로 차량 간 연결이 용이해 지고 이에 따른 사이버 보안의 위협이 높아짐에 따라 '사이버 보안 관리 시스템(CSMS, Cyber Security Management System)에 관한 법규'를 채택하였습니다.
이에 따라 2022년 7월 이후부터 유럽에서 나오는 신차는 제품 개발부터 사이버 보안에 대한 고려가 있었음을 증명해야 하는데요, 위에서 말한 IEC 62443-2-1는 IACS 사이버 보안 관리 시스템(CSMS)을 구축하는데 필요한 요소를 정의하고 있으며, 이 요소를 개발하는 방법에 대한 지침으로 제공하고 있습니다.
지금까지 IEC 62443의 개념에 대해 알아보았습니다.
다음 기술노트에서는 IEC 62443에서의 키 관리와 키 관리 시스템(KMS)의 기능 요건 중 암호화 항목에 대해 알아보겠습니다.
📧 nkm_biz@mdsit.co.kr ✍️ 문의남기기
