<특집: 제어 시스템 사이버 보안 대책의 현황과 과제>전력 분야에서의 OT 보안 대책에 대한 대처 > 전체기사

전체기사
Monthly Magazine of Automatic Control Instrumentation

기획특집 <특집: 제어 시스템 사이버 보안 대책의 현황과 과제>전력 분야에서의 OT 보안 대책에 대한 대처

페이지 정보

작성자 댓글 0건 조회 3,258회 작성일 21-02-04 16:17

본문

서론

일본의 전력 산업에서는 전자 시스템 개혁에 따른 비즈니스 환경 등의 변화로 인해 전력 제어 시스템 설계에서도 비용 절감을 도모하고 오픈 기술의 채용과 저렴한 IT 제품의 채용을 검토하는 사례가 늘고 있다. 또한 다른 시스템과의 온라인 연계 요구가 증가하여 다른 네트워크와 외부 네트워크와의 연결도 필요해졌다. 이처럼 최근의 전력 제어 시스템은 이전과 같은 고립된 독자적인 시스템에서 크게 달라지고 있다.


한편으로 해외에서는 제어 시스템, 특히 사회 인프라를 지지하는 시스템에 대한 사이버 공격에 대한 보고가 자주 들어오고 있으며, 이들 공격은 더 진보하고 정교해지고 있다.

이런 점에서 일본의 전력 산업에서는 보안을 한층 더 강화할 필요가 있다는 인식이 높아졌다. 정부로서도 국민 생활과 경제 활동을 지지하는 전력 인프라를 사이버 공격으로부터 지키기 위해 검토를 거듭해왔다.


우선 20165월에 전력 제어 시스템 보안 가이드라인이라는 명칭의 민간 규격이 새롭게 작성되었다. 전기 사업을 영위하는 전력 회사, 가스 회사, 철강 회사뿐만 아니라 사이버 보안 전문 조직, 학계 등 다양한 분야의 사람들이 이 가이드라인 작성에 기여하였다. 이 후 20169월에 정부는 이 가이드라인을 법령에 인용하는 성령을 개정하여 전력 분야의 보안을 법적으로 규제하는 조직, 즉 전력 제어 시스템의 보안 가이드라인 법제화가 도입되었다. 또한 가이드라인 제정과 법제화 후의 운용을 거쳐 전달된 다양한 의견과 요구, 제언을 반영하기 위하여 20197월에 개정되었다.


본고에서는 우선 전력 제어 시스템 보안 대책의 이상적인 모습에 관하여 논의한다. 그리고 전력 분야에서의 보안 대책 예로 당사(도쿄전력PG)에서의 대처에 관하여 소개하도록 한다.

 

전력 제어 시스템의 사이버 보안 대책에 대한 이상적인 모습

전력 제어 시스템의 사이버 보안 대책은 아래 내용을 고려하여 추진하는 것이 바람직하다고 생각된다.


(1) 일원적인 보안 체제의 구축

경영진과 가까운 위치에 CSIRT(Computer Security Incident Response Team)와 같은 보안 거버넌스의 전담 조직을 설치하고 전력 제어 시스템의 보안 거버넌스 체제를 일원화하는 것이 바람직하다.

전력 제어 시스템은 계통 제어, 송전, 변전, 배전 등 전력 계통의 각 분야에 맞는 시스템으로 구성되어있다. 각 시스템은 전문 부서의 관리 하에 있으며 설계 방법이나 시스템 구성은 다양하다.


그래서 보안 전략과 전사적인 규칙 책정의 권한을 전담 조직에 부여함으로써 통일된 보안 대책의 추진과 존재하는 위험에 대한 객관적인 파악을 가능하게 해준다. 또한 경영층의 보안에 대한 이해가 깊어지고 각 부문의 이해와 협조를 얻거나 보안 분야에 대한 경영 자원 투입이 촉진되는 등의 성과를 기대할 수 있다.


직원 개개인에 대한 교육에도 전담 조직이 대응하는 것이 자연스러울 것이다.

서두에서도 언급했듯이 비즈니스 환경의 변화와 사이버 보안 법제화를 통해 전력 회사로서도 사이버 위험이 중요한 경영 과제 중 하나로 자리매김하였다. 경영층의 이해 하에 전담 조직에 의한 일원적인 보안 거버넌스 체제를 갖추는 것이 합리적이다.

 

(2) 오퍼레이션에 정통한 보안 인재의 확보

전력 제어 시스템에서는 시스템 조작에 대한 공격이 예상된다. 전력 제어 시스템의 설치 장소와 관계자는 광범위하게 포진되어 있기 때문에 내부로부터의 침입 시나리오(물리적, 다른 시스템 경유 공격 포함)도 충분히 예상된다. 이 시나리오 상으로는 사이버 공격과 오조작이나 우발적인 고장에 기인한 이상과의 구별이 되지 않을 가능성이 높다.


이러한 사태를 고려하면 SOC(Security Operations Center) 요원에게는 각 시스템의 지식이나 각 시스템의 조작 담당 부분과의 연계가 요구된다.

한편 CSIRT 요원도 사고 처리나 경영진과의 정보 공유, 사외로의 정보 공개, 타사와의 정보 공유 등을 적절히 수행하기 위해 각 전력 제어 시스템이나 그 오퍼레이션에 대한 올바른 이해가 필수적이다.


이상의 내용에서 전력 제어 시스템 보안 담당자는 일반적인 보안 기술을 가지고 있는데 더하여 전력 제어 시스템 조작에 정통해야 하며, 이를 위해서는 각 부문과의 인재 교류도 효과적이다.


(3) 보안 대책 공통 기반의 정비와 다층 방어

보안 감시에서 다양한 전력 제어 시스템을 통합적으로 감시하는 것이 바람직하다. 왜냐하면 보안 인재 확보의 관점에서 봤을 때는 개별 시스템 별로 보안 감시 태세를 정비하기는 어렵기 때문이다. 또한 앞으로의 전력 제어 시스템에서는 다른 시스템과의 연결점을 두는 것이 불가피하다고 예상되지만, 책임 부분이 애매해지기 쉬운 연결점을 통해 침입한 사이버 공격을 받을 가능성이 있기 때문이다.


통합적으로 감시하기 위한 툴에는 방화벽이나 IDS(Intrusion Detection System) 혹은 로그 분석을 위한 SIEM(Security Information and Event Management) 등이 있다.

OT용 보안 제품을 도입할 수도 있다. 화이트리스트 방식의 보안 대책 소프트웨어나 데이터 다이오드가 일례이다. 이들 제품 중에는 처리할 수 있는 프로토콜을 커스터마이징함으로써 기존 전력 제어 시스템에 적용 가능한 것도 있다.


보안 대책 제품에 따라서는 취약성 패치나 안티 바이러스의 패턴, 서명 등 항상 최신 정보로 갱신할 필요가 있는 케이스도 있다. 이 경우에는 간접적으로 인터넷으로부터의 정보 갱신을 가능하게 함으로써 단말기의 침해를 기점으로 한 공격 대책이나 비용 절감에 기여할 수 있다. 이러한 통합적인 보안 감시, 대책의 실현에는 공통 기반의 정비가 필수적이다.

한편 시스템 간의 상호 연결은 취약 포인트나 침입 루트를 늘릴 우려도 있다. 보안 대책 공통 기반의 설계, 운용 시에는 다른 시스템 연결점의 적절하고 확실한 관리와 보안 확보에 충분히 주의함과 더불어 다층적인 방어가 요구된다.


(4) 정확한 구성 관리에 근거한 위험 분석대책

적절한 해킹 대책을 위해서는 설비 구성 전체를 파악한 후, 취약 포인트를 빠짐없이 찾아내고 적절한 대책을 검토하고 실시하여야 한다. 그러나 전력 제어 시스템의 구성 기기는 다종다양하며 지리적으로 광범위하면서 대량으로 설치되어 있다. 스마트미터, 통신 케이블을 포함하여 당사의 부지 밖이나 공공장소에 설치되어 있는 설비도 있다.


한편 전력 제어 시스템에도 저렴하면서 범용적인 제품의 채용이 검토되고 있으며 도입 제품의 취약성 파악과 대책이 한층 더 중요해진다. 또한 편리성을 위한 다른 시스템과의 연계를 통해 사내외와의 연결점이 증가하는 것은 불가피한 일이라고 예상된다.

이러한 상황에서 정확하게 설비 구성을 파악하고 취약 포인트를 찾아낸 다음 보안 대책에 만전을 기하기 위해서는 각 부문, 현장 사원을 비롯하여 거래처, 공급업체와 같은 관계자의 이해와 협조를 필수적으로 얻어야 한다.


(5) 취약성 관리 기준의 명확화

전력 제어 시스템에 취약성이 발견되었다고 해도 시스템 자체에는 높은 가용성안전성신뢰성도 요구되기 때문에 즉시 보안 패치를 적용하는 등의 대책을 실시하기는 어렵다. 또한 어떤 취약성이 전력 계통에 미치는 영향이나 위험도 시스템에 따라 다르다.

취약성 정보로부터 패치 등의 지원 필요 여부를 판단하려면 취약성에 기인한 영향의 크기뿐만 아니라 시스템 고유의 환경 조건 등을 고려한 평가 기준을 명확히 한 후에 실시하는 것이 적절하다고 생각된다. 예를 들면 CVSS v3이 이러한 평가 기준 중 하나이다.



..(후략)


谷川 祐太 小山 充芳 岡部 直 / 도쿄전력파워그리드

  본 기사는 2021년 2월호에 게재되었습니다. 

  

-------------------------------------------------------------------------------------------------------------------------

본 기사는 월간지[計側技術] (일본일본공업출판주식회사 발행)로부터 번역·전재한 것입니다.

전체 기사를 보기 원하시는 분께서는 아래 메일 주소로 문의 주시기 바랍니.

autocontrol5@autocontrol5.co.kr / 031-873-5686

제어계측사     대표자  이윤성     사업자등록번호  107-19-58315     TEL  031-873-5686     FAX  031-873-5685
ADD  경기도 의정부시 신흥로258번길 25 해태프라자 1501호      E-mail  autocontrol5@autocontrol5.co.kr
Copyrights ⓒ 2020 제어계측사 All rights reserved.