사이버 공격으로부터 프로세스 제어 시스템 보호하기-아이씨엔매거진

사이버 보안은 프로세스 제조 업체들에게 점점 더 긴박한 관심 사항이 되고 있다. 바이러스 스캐너, 방화벽 및 암호만으로는 더 이상 해커들로부터 충분한 보호를 제공하지 못한다. 그들에게 필요한 것은 각각의 독특한 상황에 대해 맞춤화된 포괄적인 보안 솔루션이다.

최대 보안을 위한 이중 방화벽: 프로세스 제어 시스템으로부터의 데이터는 먼저 주변 구역(perimeter zone)으로 전송되고 그 다음에 외부로부터 접근될 수 있다.

프로세스 제조 공장의 생산 및 자동화 수준은 상호간에 그리고 인터넷에 대해 점점 더 긴밀하게 상호 연결되고 있다. 그러나 연결성의 장점에는 바이러스와 트로이 목마 그리고 웜(worm)과 같은 악의적인 소프트웨어를 통한 파괴 행위와 조작에 대한 더욱 높아진 취약성이 수반된다. 이러한 위협이 지속적으로 성장함에 따라 기업들은 자신의 시스템을 보호하기 위한 최선의 방법을 찾고 있다.

2016년 하노버 국제 박람회에서, 독일의 디지털 산업 연합 Bitkom은 이미 그러한 위험이 얼마나 중대한지에 대해 발표하였다. 디지털 산업 연합에 의해 실시된 504개 제조 업체에 대한 조사에 의하면 지난 2년간 대상 업체의 69%가 데이터 도난, 산업 스파이 또는 파괴 행위의 피해를 입었다는 것이 밝혀졌다. 사고의 1/3 이상을 차지하는 가장 일반적인 피해는 스마트폰, 컴퓨터 또는 태블릿의 도난이었다. 그 밖의 18%는 사업 운영을 방해하거나 지장을 줄 목적으로 하는 파괴 행위를 보고하였다.

계획과 위험 평가

바이러스 스캐너, 방화벽 및 암호는 이미 모든 IT 보안 솔루션의 표준적인 구성요소이다. “그러나 사이버 공격으로부터 프로세스 제어 시스템을 보호하기 위해 이러한 조치만으로는 충분하지 않습니다.” B&R의 프로세스 자동화 사업 부서의 관리자인 Martin Reichinger는 말한다. Reichinger에 의하면, 모든 공정 플랜트에 대한 설계 프로세스에는 사이버 보안을 위한 포괄적 계획을 개발하는 데 이용될 수 있는 위험 평가가 포함되어야 한다고 한다. 결국 올바른 보안 전략은 프로세스, 기반구조 및 그 밖의 현장 조건에 좌우된다. “사이버 보안에 관한 한 모든 상황에 적합한 단일 솔루션은 존재하지 않습니다.” Reichinger는 이렇게 힘주어 말한다.

특히 심각한 보안 위험은 취약한 암호, 소프트웨어 업데이트 설치 실패 그리고 USB 메모리를 통한 손쉬운 접근 등에 의해 제기된다.

최대 가용성을 위한 보안 셀(security cell)

보안 개념의 한 가지 구성요소는 공정 단계들을 특정 업무의 사이버 보안 셀들로 격리시키는 것이 될 수 있다. 이것은 전체적으로 시스템의 가용성을 보장하는 데 도움이 될 수 있다고 Reichinger는 설명한다. “특정 기반구조 요소가 공격에 의해 영향을 받는 경우에도 다른 셀들은 운전을 지속할 수 있습니다. 한 셀 내의 위협은 그 셀만으로 제한됩니다.”

만약 예를 들어 버퍼 컨테이너(buffer container)의 부재와 같은 이유로 인해 셀로 분할하는 것이 적합하지 않다면, 대안으로써 접근과 운전에 대한 특정 업무의 사용자 권한을 할당함으로써 시스템을 보호할 수 있다. “중요한 것은 모든 생산 레벨을 고려하여 이러한 책임 영역을 정의하는 것입니다.” Reichinger는 말한다. 근본적인 원칙으로써 접근 허가는 절대적으로 필요한 경우에만 허용되어야 한다.

이중 보호를 위한 이중 방화벽

“사이버 공격으로부터 프로세스 제어 시스템을 보호하는 방법은 여러 가지가 있습니다.” Reichinger는 말한다. 조작 방지는 언제나 중요한 기능이다. 보안 구조는 반드시 중요한 데이터의 조작에 대한 최대한의 보호를 제공하도록 설계되어야 한다.

프로세스 제어 시스템에 대한 가장 중요한 규칙은 제어 시스템을 비무장 지대(demilitarized zone: DMZ)라고 알려진 보안이 갖춰진 경계 네트워크에 의해 상위 시스템으로부터 격리시키는 것이다. 프로세스 시스템으로부터의 데이터는 먼저 이 경계 네트워크에 전송된 다음에 외부로부터 접근이 가능하다. 경계 네트워크는 개별적인 연결을 허용하는 3중 홈(triple-homed) 방화벽이나 두 제조사로부터 공급된 2개의 방화벽에 의해 보호된다.

개별 공정 단계를 보안 셀로 구분하면 성공적인 공격이 이루어지는 경우라도 영향을 그 셀로 제한하는 데 도움이 된다.

“대부분의 경우에, 이러한 솔루션은 방화벽이 손상되는 경우에 공역을 검출하고 차단할 수 있는 충분한 시간을 제공합니다.” Reichinger는 말한다. 또한 실시간으로 허용되지 않은 운전을 검출하기 위한 심층 패킷 검사(deep packet inspection) 기술도 이용된다.

특히 보안에 강한 SQL 데이터베이스

Reichinger에 의하면 APROL 의 가장 중요한 장점에는 SQL 서버가 외부 네트워크에 배타적인 읽기 전용 접근만을 허용한다는 점이라고 한다. 이것은 처음부터 서버 상의 데이터를 조작할 수 있는 해커의 능력에 심각한 지장을 초래한다. 또한 APROL 서버에는 통합된 방화벽이 갖춰져 있다. “방화벽은 최초 기동 시에 자동적으로 설치되고 설정됩니다.” Reichinger는 말한다. APROL은 가능한 최선의 보안을 제공하기 위해 SUSE Linux Enterprise Server 12 SP4 운영체계를 기반으로 한다.

공격 지점의 최소화

독일 연방 정부 정부 보안청(BSI)은 시스템 소프트웨어를 강화할 것을 명시하고 있으며, B&R은 APROL 4.0 또는 그 이상으로 이 요구사항을 충족시킨다. 이들 버전에는 프로그램의 의도된 태스크를 충족시키기 위해 프로그램 기능에 필수적인 소프트웨어 컴포넌트와 기능만이 포함되어 있다. 공격자들은 흔히 처음부터 그곳에 있어야 할 필요가 전혀 없는 프로그램을 악용함으로써 서버에 접근하게 될 수 있는 경우가 있다. “마찬가지로, 사용되지 않는 포트와 하드웨어 인터페이스를 차단하는 것도 중요합니다. 그렇지 않으면 누군가가 USB 메모리 장치를 삽입하고 악의적인 소프트웨어를 업로드할 수 있게 되기 때문입니다.” Reichinger는 지적한다.

그는 마지막 고려사항으로 결론을 내린다. “최선의 보안 설계라도 사용자의 일상적인 부주의한 행위까지 보호하지는 못합니다.” 특히 심각한 위험 부담은 취약한 암호, 잘못 유지되는 사용자 허가 및 소프트웨어 최신 상태 유지 실패에 의해 제기된다. “보안은 반드시 시스템 전체 수명 주기에 걸쳐서 공장 운영자의 최고의 우선순위가 되어야 합니다.”

안전과 보안

안전과 보안은 산업 생산의 결정적으로 중요한 두 가지 측면이다. 안전 기술은 인간이 자신이 운전하는 기기에 의해 피해를 당하는 것을 방지한다. 안전 기술은 반드시 사고가 발생하기 전에 위험을 제거하는 데 충분할 정도로 기계나 생산 라인이 자동적으로 차단되거나 속도를 줄이는 것을 보장해야 한다. 반면에 보안 기술은 시스템이 인간에 의해 의도적으로 조작되는 것을 방지한다. IT 분야의 보안 위협에는 트로이 목마, 바이러스 및 해커 공격이 포함된다. 인간과 기계가 점점 더 밀접하게 운영됨에 따라 안전과 보안은 모두 중요성이 높아지고 있다.