오늘날 생산성 목표를 달성하기 위해서는 엔지니어부터 임원진에 이르는 모든 직원들에게 플랜트 현장의 운영 상황에 대한 정확한 통찰력은 필수적으로 요구된다. 정보를 활용하여 프로그램할 수 있는 컨트롤러, 그리고 모든 직원들이 필요한 정보에 접속 가능하도록 하는 현대식 HMI와 같은 기술의 진보는 이러한 통찰력의 확보를 현실로 만들고 있다. 하지만, 기술의 진보는 보안 위험이라는 부작용 또한 야기하였으며, 이로 인해 가동 중단시간 및 데이터 손실과 같은 잠재적인 위험을 발생시키고 있다.
견실한 보안 프로그램을 활용한다면, 제조업체는 피하고 싶은 잠재적 상황에서부터 올 수 있는 내재적인 위험을 해결하는 동시에 기술이 제공하는 엄청난 혜택까지 활용할 수 있게 된다. 그러나 모든 제조업체의 운영 현황이 천차만별이듯, 보안 솔루션 역시 각양각색의 요구에 따라 다양할 수 밖에 없다.
성공적인 산업용 제어 시스템 보안 전략은 사업의 모든 측면에 자산을 기반으로 한 위험 평가에서부터 시작되며, 이를 통해, 성공 사례를 중심으로 한 보안 정책 그리고 위험을 감소시키고 제조 자산을 보호하는 진보적인 기술이 반영된 맞춤형 로드맵이 탄생하게 된다.
보안 시스템 구축
로크웰 오토메이션의 Industrial Security Business 매니저인 Brad Hegrat는 보안 시스템을 설계하는 과정에서 제조업체가 생산과 관련된 모든 요소에 대하여 완벽하게 파악하는 것이 우선이라고 말한다. 그래야만 네트워크화된 자산, 데이터 그리고 엔드 포인트를 보호하기 위한 복합적 층위의 보안 구성이 가능하기 때문이다.
각각의 계층 구조를 이해하는 것은 보안에 있어 핵심적인 부분이자, 가동시간을 증가시키고 결과적으로 수익성 향상을 달성하는데 중요한 과정이 된다.
포괄적인 보안 프로그램은 정보의 보안성과 접근성 간의 균형 유지에 초석이 된다. 오늘날 대부분의 제조업체들은 네트워크 흐름 데이터나 커뮤니케이션 경로와 같은 한 두 개 시스템의 접속만이 가능한 실정인데, 이처럼 다른 시스템에 대한 통찰력을 확보하지 못한 상태에서는 엔지니어가 장치, 제어실 그리고 고도로 민감한 영역이나 기타 소중한 자산을 보호하는 보안 기능이나 광범위한 진단 프로그램에 접속할 수 없게 된다.
최상의 보안 시스템 구축은 상호 기능을 수행하는 팀과의 협업에서 시작한다고 Hegrat는 말한다. 제어 엔지니어와 IT 프로페셔널의 지식과 전문성을 결합해야만 가장 효율적인 보안 프로그램이 탄생할 수 있기 때문이다. 하지만 서로 다른 목표, 우선순위 그리고 절차를 추구하는 두 팀의 차이를 극복하는 것이 쉽지만은 않다.
예를 들어, 데이터를 처리할 때 IT 전문가는 기밀성, 무결성 그리고 마지막으로 가용성을 중시하는 반면, 제어 엔지니어는 IT 전문가와 반대로 가용성, 무결성 그리고 기밀성의 순서로 우선순위를 정의한다. 또한, IT 전문가는 비즈니스 네트워크에서 98%의 가동시간을 양호한 수준으로 여기지만, 주요 공정을 담당하는 제어 엔지니어에게 이는 용납할 수 없는 상황이다.
이러한 현격한 차이는 비즈니스 모델의 차이에서 기인한다. IT 전문가는 서버와 같은 하드웨어나 소프트웨어 개체를 다수 연결하여 하나의 논리적 장치로 작동시키는 수평적 확장성을 활용할 수 있기 때문에, 여러 개의 서버를 하나처럼 작동할 수도 있고, 그 중 하나에 오류가 발생하더라도 전체 가동에는 전혀 영향을 미치지 않을 수 있다.
하지만, 제어 엔지니어는 식품 가공 공장에서의 오븐과 같이 단일한 논리적 장치로 가동할 수 없는 수직적 확장성의 한계에 직면해 있다. 하나의 오븐에 문제가 발생하면, 이는 전체 생산에 영향을 미치게 되므로 제조업체 입장에서는 개별 시스템의 가동시간에 매우 민감할 수 밖에 없다.
진보적인 사고의 제조업체들은 공통 분모를 찾고, 주요 우선순위에 집중하는 방식으로 이 같은 차이점을 극복하고 있다. 예컨대, 팀 전체 구성원의 가장 중요한 우선순위는 제조설비와 관련 정책 및 절차를 확보하고, 개별 생산 구역에 대한 물리적, 전자적 장벽을 구축하여 시스템과 공정 가동시간을 확보하는 것이다.
이와 같은 상호 기능을 수행하는 팀은 현장 혹은 원격 접속에 구애를 받지 않고 모든 사용자, 장비제조업체, 직원 그리고 인적자원이나 엔지니어링에 적용되는 포괄적인 규칙을 마련해야 한다.
생산관련 위험 요소를 발생시키는 모든 근원에 대하여, 제조업체는 시스템에 접근할 수 있는 인력을 통제해야만 한다. FactoryTalk® Security를 활용하는 로크웰 오토메이션의 소프트웨어 툴 패키지는 권한 및 역할 기반 인증 기능을 통해 접근을 통제할 수 있도록 해주며, 자동화 시스템에 접속을 시도하는 사용자의 신원을 검증하고, 시스템의 기능과 자원에 대하여 특정 행위를 실행할 권한이 있는 사용자에게만 접근을 허락한다.
또한, 네트워크 보안을 다층적인 구조로 설계하여 제어 및 정보 데이터를 보호하고, 방화벽과 비무장지대(DMZ – 제조부문과 엔터프라이즈 구역 사이의 중립적인 공간으로서, 트래픽이 양측을 직접적으로 이동하는 상황을 방지함)를 설정해 원치 않는 방문자, 바이러스 혹은 스파이웨어의 침투를 차단한다.
하지만, 너무 높게 설정된 보안 수준으로 인해 정당한 접속이나 생산과 관련한 필수적인 제어에 불필요한 제약이 발생하는 상황도 피해야 한다.
이러한 상황에서 균형을 유지하기 위하여, 제조업체의 보안 계획은 잠재적인 취약성을 평가하고 이를 완화할 방안을 결정하기 위한 다음의 두 가지 지침 원칙을 준수해야 한다.
첫 번째 수칙은 ‘최소 특권의 원칙(Principe of Least Privilege)’으로, 제조업체는 사용자에게 필요한 업무 기능을 수행할 수 있는 권한만을 부여하여, 시스템이나 특정 장비 내에서 해당 사용자가 제어할 수 없는 대상으로 접근하는 것을 차단시키는 것을 말한다. 출장을 예로 들면, 호텔에 체크인을 할 때, 프론트 직원은 투숙객의 ID와 신용카드 정보를 요청하고, 예약 정보를 확인하여 투숙 절차를 진행하고 객실 키를 지급하게 된다.
이때 호텔 직원이 사용하는 대부분의 컴퓨터는 신용카드 리더기와 예약 시스템 그리고 호텔의 인트라넷에 연결된 Microsoft® Windows®기반의 POS 시스템이다. 이 과정에서, 해당 터미널에 대한 미승인 사용을 차단하기 위하여 엄격한 기술적 제어가 적용된다.
해당 장치를 운영하는 동안, 직원이 사용하는 계정은 책임자 그룹의 계정이 아니라, 일반 사용자 그룹과 같이 제한적인 접속만이 허용된 그룹의 계정인 것이다. 업무 수행에 필요한 최소한의 요구사항만이 허용된 계정을 사용한 운영이 바로 최소 특권의 한 예이다.
두 번째 수칙은 ‘최소 경로의 원칙(Principle of Least Route)’으로, 장치에 업무 수행할 수 있는 네트워크 접속만을 허용하는 것이다. 예를 들어, 네트워크 계층의 오피스 환경에서는 비정상적인 Layer2 커뮤니케이션(전환된 트래픽)에 무방비하게 된다.
기본적으로, 네트워크에 속한 직원이 옆 사무실의 동료 직원과 업무상의 혹은 사적인 이유로 네트워크를 통한 커뮤니케이션이 발생할 수 밖에 없다. 엔터프라이즈 네트워크 환경은 모든 노드를 거쳐 엔드 투 엔드 방식으로 완벽하게 그리고 유비쿼터스 접속이 가능하도록 구성된다.
산업용 제어 시스템, 스토리지 영역의 네트워크 그리고 인터넷 DMZ과 같이 특정 목적을 가진 네트워크에서는 비정상적 Layer2나 전환된 커뮤니케이션이 가동시간, 보안 및 해당 환경의 전반적인 성능에 대하여 입증 가능한 영향을 미칠수 있다. 따라서, 고유의 기능을 수행함과 동시에 Layer2 트래픽을 최대한 철저하게 차단하는 것이 중요하다.
다수의 생산 라인을 가동하는 제조업체의 경우, PLC를 Line1에 전용으로 할당하여 사용하기도 하는데, 이 때에는 Line1이 해당 소규모 서브넷에만 제한되도록 네트워크를 구성해야 한다.
이렇게 함으로써, 해당 라인은 산업용 방화벽이나 Layer3 접속 제어 리스트로 보호를 받게 되며 (Line1에 연동된 서브넷에 접속하려면 반드시 거쳐가야 하므로), Line2를 포함한 기타 영역도 Line1에 부정적인 영향을 미치지 않도록 차단할 수 있게 된다.
Layer2 트래픽을 이러한 방식으로 제한함으로써, 제어 시스템은 ‘최소 경로의 원칙’을 따르게 되는 것이다. 이 원칙은 모든 노트에서 엔드 투 엔드 방식으로 끊김 없이 완벽하게 유비쿼터스로 접속이 가능한 엔터프라이즈 네트워크 모델과 반대의 개념이라고 할 수 있다.
HMI 영향
HMI는 인간과 기술 간 상호 작용의 중심점이다. 공장 현장에서의 거친 환경을 견디기 위하여 컴퓨터가 물리적으로 강화되어야 한다는 논의가 지난 수 년간 활발했다. 하지만 현재의 보안 위협으로 인해 완전히 새로운 수준의 강화가 필요한 실정이다.
IT 전문가가 엔터프라이즈 컴퓨터에 적용한 선진사례를 제조부문 컴퓨터에도 동일하게 적용해야 한다. 시스템의 관리 오류 상황을 방지하려면, 제조업체는 견고한 패치 관리 전략, 충분한 구성 관리 문서화 그리고 안티 바이러스 정의의 테스트 및 출시에 대한 실행 방안을 마련해야 한다. 또한, 게스트 계정을 불능화시키고, 게스트 정책을 실시하여 보안에 영향을 미치지 않으면서도 통제된 접속이 이루어지도록 해야 한다.
Windows 프로그램(예. Outlook® Express)이나, USB 포트와 같이 사용하지 않는 구성을 삭제하는 것도 좋은 방법 중에 하나이다. 사용자가 이메일을 확인하거나 바이러스가 가득한 미승인 USB를 포트에 연결하는 것과 같은 생산과 무관한 작업을 못하도록 방지할 수 있게 때문이다. 겉보기에는 전혀 위험해 보이지 않는 이런 행동이 바이러스 감염이나 예상치 못한 가동중단 사태를 야기할 수 있다.
이러한 선례를 준수함으로써 정보의 접근성에 대한 새로운 장을 열 수 있게 된다. Hegrat 는 오퍼레이터가 HMI를 통해 생산 관련 모든 요소에 대한 모니터링, 관리 및 제어를 대시보드에서 안전하게 실행할 수 있다고 설명하고, 보안에 대한 다층적인 접근 방식은 오퍼레이터가 적격한 업무만을 수행하고 중요한 제조관련 정보를 보호하는 견실한 가상화 시스템의 토대를 제공한다며 다음과 같이 덧붙였다.
“정보 접근성이 빠르게 진보하는 만큼 생산성, 자산 그리고 데이터에 대재앙 수준의 손실을 끼칠 수 있는 보안 위협 또한 급증하고 있습니다. 정교하게 수립된 포괄적인 보안 전략을 활용하면, 제조업체가 생산성을 유지함과 동시에 정보 접근성을 최적화해주는 최상의 균형을 유지할 수 있습니다.”
로크웰 오토메이션 www.rockwellautomation.co.kr
보안수명의 주기관리
제어 시스템의 자동화 수명 주기 동안 보안을 유지하려면 진화하는 위협으로부터 시스템을 보호하기 위한 지속적인 투자가 필요하다. 로크웰 오토메이션의 Industrial Security Business Development 매니저인 Doug Wyle은 선제적인 계획을 수립하고, 진부화 및 제품과 시스템의 노후로 인한 위험에 대처할 수 있는 제어 시스템 전략을 실행해야 한다고 말한다.
이러한 위험을 해결하기 위해서는 기술적인 요소와 비기술적인 요소를 모두 포괄하는 보안이 필요하다. 특히 제어 시스템 오퍼레이터와 유지보수 인력의 숙련도를 유지하여 진화하는 보안 위험을 감소시켜야 한다. 트레이닝, 지속적인 개선 그리고 인력, 프로세스 및 구성품에 대한 모니터링, 감사, 유지보수를 수명 주기관리에서 가장 중점적인 부분으로 다루어야 한다.
향후 보다 직접적인 형태의 공격이 예견됨에 따라 대상이 되는 산업 시스템에 대한 인식이 확산되고 있다. 물론 간접적인 공격 역시 항시 주위에 도사리고 있다. 따라서 안전을 위하여 더 많은 시스템들의 설계가 처음부터 철저하게 진행될 것이며, 보안 설계의 주안점도 물리적인 보안에서 시스템의 감사, 지속적인 모니터링 준수 그리고 최신식 기술로 이동할 것이다.
서비스 컨설팅 전문가는 보안 현황에 대한 더욱 철저하고 완벽한 평가를 실시하는데 도움을 줄 수 있다. 특히, 로크웰 오토메이션의 Network & Security Services 그룹은 산업 보안 문제를 균형 잡힌 방법으로 해결해 줄 전문 지식을 갖추고 있다.
Wylie는 로크웰 오토메이션의 안전한 산업 제어 솔루션을 통해 고객이 목표를 달성할 수 있도록 제품 개발과 자산 관리에 계속적인 투자를 실시하고 있다고 설명하며, 고객과의 지속적인 협업을 통해 세이프티 및 제어 시스템의 운영상 무결성에 발생하는 위험을 해결할 것이라고 덧붙였다.
아이씨엔 매거진 2013년 02월호
