본문 바로가기

이슈&리포트

시스템 보안을 위해 당신이 알아야 할 것

시스템 보안을 위해 당신이 알아야 할 것

당신의 산업용 네트워크, 물리적 자산, 지적 자산을  사이버 공격으로부터 어떻게 보호할 것인가?
산업용 제어와 엔터프라이즈 통신의 컨버징 그리고 계층 보안방법 및 기술을 적용한다.

자넷 크릴링, 기고가

1311trend1-이1.jpg


당신의 회사가 제품을 생산 또는 처리하는 곳을 떠올려 보자.
여러 국가에 있는가? 원거리에 위치해 있는가? 당신의 정보, 배합표, 제조 기법을 어디에 두었던 상관없이, 그 장소는 당신이 바라는 만큼 안전하지 않을 가능성이 높다.
CISSP이자 로크웰 오토메이션 제품 보안 위험 관리 책임자인 더그 와일리(Doug Wilie)의 말에 따르면, 네트워크가 새로 연결될 때마다 사이버 위험은 확장되지만 무엇인가를 파손, 방해, 절도하려는 위협자가 접근할 수 있는 공격 표면은 아주 조금 커질 뿐이다.
“사이버 보안이 일회성 투자가 아니라는 점을 인지하는 것이 중요합니다”라고 와일리는 말한다. “전 세계에서 매일 수백만 개의 장치와 사용자가 새로 연결, 접속되고 있습니다. 보안이란 경계를 지시하는 행동이며 사람, 프로세스, 제품, 기술에 대한 지속적인 투자입니다.”
연결된 대상이 소비자 제품이든 산업용 제어 장치든 상관없이, 방법, 동기, 기회를 고려할 때 공격자는 특정한 장치뿐만 아니라 그 장치가 연결된 시스템까지 영향을 줄 수 있다. 여기에는 잠재적으로 이러한 장치에 존재하면서 시스템 내에 유포되는 정보의 가용성, 무결성, 기밀성에 미치는 영향도 포함된다.
그러므로 우리는 정보 보안에 대해 더 깊이 생각할 필요가 있다. 다행스럽게도 실행이 어렵지 않고, 오히려 수많은 장점이 뒤따른다. 가장 중요한 점은, 우수한 보안 전략이 위태로운 프로세스의 위험을 줄이며 정보와 함께 자산을 보호해 준다는 것이다.
또한, 보안 인프라에서 클라우드, 이동성, 가상화, 스마트 장치 등 첨단 기술을 사용할 수 있기 때문에 훌륭한 생산성의 기회가 생긴다.
기업의 지도자들은 제어 시스템 구축과 운영에 흔히 사용되는 현대적 기술과 개방형 플랫폼을, 계층 보안 및 심층 방어 방식으로 불안해하지 않고 더 쉽게 받아들일 수 있다. 그 이름이 말해 주듯이, 심층 방어(Defense-in-depth) 전략은 다양한 위험에 대처하는 적절한 제어 장치를 적용함으로써 여러 경우에 다중 계층의 방어 (물리적, 전자적, 절차적)를 이용한다.

전사적 보안
산업 보안은 2013년 6월 샌디에이고에서 개최된 로크웰 오토메이션 RSTech Ed 고객 교육 행사의 주제 중 하나였다. 교육 세션에서, 로크웰 오토메이션 부사장이자 제어 및 비쥬얼라이제이션 사업 총괄 매니저인 케빈 자바(Kevin Zaba)와 시스코의 Connected Industries 그룹의 부사장이자 총괄 매니저인 마첵 크란츠(Maciej Kranz)가 보안에 대한 두 회사의 협력적 벤처에 관해 이야기를 나누었다.
네트워크, 장치, 기술의 컨버전스는 엔터프라이즈 네트워크 어디에서나 일어나고 있으며, 이제 그 개념은 보안을 포함한 공장 및 엔터프라이즈 어플리케이션까지 포함할 것이라고 크란츠는 지적했다.
“현재 제조업, 엔터프라이즈 그리고 클라우드 간에 데이터가 이동하고 있습니다. 지금으로부터 10년 후, 인터넷에 연결된 모든 장치 중 27%는 제조 장치가 될 것으로 예상됩니다. 안전 및 운영 무결성(Integrity)을 확보하기 위해 장치 보안은 절대적으로 중요합니다. 산업 네트워크를 인터넷에서 분리한다는 전제는 더 이상 충분하지 않습니다”라고 크란츠는 설명한다.
크란츠와 자바 모두 보안 제어와 실행을 전사적으로 적용했을 때 비즈니스 및 산업 제어 시스템, 기계 및 산업 장비, 특수 산업 제어 장치 및 이러한 시스템 내에 유통되는 핵심 기업 정보에 대한 접근을 통제할 수 있다는데 동의한다. 뿐만 아니라, 보안 최고 실무 및 전반적 우수 보안 실무로 엔터프라이즈 및 부가적 제조 프로세스 시스템의 제어, 설정, 모니터에 사용하는 디지털 정보에 의존하는 특정 작업을 보호할 수 있다.
로크웰 오토메이션과 시스코는 솔루션 개발의 대상이면서 공통 관심사가 되는 세 가지 교차 지점을 파악했다. 사용자 ID 관리, 지적 자산, 그리고 신뢰 장비이다. 솔루션에는 제품과 전략이 모두 포함된다.

ID 관리
ID 관리는 접속자의 신원, 위치를 파악하고 네트워크 시스템에 접근 권한을 얻은 접속자의 역할과 책임을 관리하는 것이다. 크란츠는 다음과 같이 설명한다.
“ID를 통제하는 네트워크 인프라에 설정된 접근 정책은 정보 및 자산 보호의 기본입니다. 이를 테면 계약자는 오전 8시에서  오후 5시 사이에만  그리고 어느 건물의 특정 층에서만 접근이 허가되도록 할 수 있습니다. 또는 정규 직원은 커피숍의 WiFi 네트워크에서는 접근할 수 없고 사무실이나 자택에서만 접근할 수 있도록 할 수 있습니다."
자바(Zaba)는 그러한 정책의 중요성을 특별히 강조하면서 다음과 같이 말한다.
“자동화 시스템은 수명 주기가 긴 편입니다. 설치 후 수년에서 몇 십 년 동안 운영됩니다. 그리고 이러한 시스템과 수많은 물리적 교류가 발생합니다.
바로 운영자, 유지보수 엔지니어, 계약 작업자들입니다. 일부는 원격 장소에서 작업을 하는 경우도 있습니다. 이런 모든 사람들의 접근을 신중하게 제어해야 합니다. 또한, 접근을 실시간으로, 동적으로 변경할 수 있어야 합니다.”
두 회사에서 내 놓은 솔루션은 시스코의 ISE(Identity Service Engine)를 기반으로 하고 있으며, 유선 및 무선 네트워크상에서 일관된 정책을 시행함으로써 보안을 강화한다. 크랜츠에 따르면 이 기술은 동적으로 사용자 프로파일에 연결하여 신원, 직무, 위치, 접속 시간을 파악한 후 접속을 허가 또는 보류한다.
“어느 직원이 떠나면 그 직원의 프로파일을 즉시 삭제할 수 있습니다. 그리고 새로운 직원이나 계약자를 곧바로 추가할 수 있습니다."
로크웰 오토메이션은 ISE 기능을 자사 Stratix 5900 보안 어플라이언스에 추가하고 있다고 자바는 전한다. “이 어플라이언스에서 우리는 최초로 VPN과 방화벽을 동시에 제공하고 있으며, 이는 셀/구역 존 보안과 원격 운영 연결에 이상적입니다.

지적 재산
“디지털 범죄의 60%가 조직적인 범죄와 관련되어 있다고 추정됩니다”라고 크란츠는 강조한다. 고객은 어느 나라에서나 운영할 수 있으며, 현지에서도 어느 정도 지원 받을 수 있다.
“제품 제조 레시피와 제조 기법과 같은 지적재산의 보호는 아주 중요합니다”라고 자바는 설명한다. “단, 우리는 보안 관리와 사용성 사이에 균형을 유지해야 합니다.” 유연성을 발휘하여 알맞은 사람들에게 알맞은 레벨의 산업 제어 시스템 접근을 인가하고, 그에 따라 이러한 시스템 접근에 대한 계획을 세울 수 있다.
시스코는 Cisco Prime이라는 네트워크 관리 스위트를 공급하며, 이를 이용해 사용자는 “네트워크와 모바일 장치 등 기타 인프라 장치를 모두 포함한 자산을 관리하고, 문제를 해결하며, 보안 어플리케이션을 다루고 데이터를 관리할 수 있다”고 크란츠는 전한다. “우리는 현재 Cisco Prime의 기능을 로크웰 오토메이션Studio 5000 소프트웨어 환경과 통합하는 작업을 하고 있습니다. 그것이 우리의 로드맵입니다.”

신뢰 장치
“산업용 제어장치는 점점 더 스마트해지고 있습니다.” 자바는 덧 붙였다. “우리는 어떤 방식으로도 그 기능들을 제한하고 싶지 않습니다. 그 기능들을 수용하고 싶습니다.”
자동화 시스템 내에서 스마트 장치의 유용성을 적절하게 활용하기 위해서는 이러한 시스템의 보안과 무결성(Integrity)이 아주 중요하다. PAC와 같은 주요 제어 제품과 매니지드 스위치나 보안 어플라이언스와 같은 네트워크 인프라 컴포넌트는 서로 치밀하게 결합해 사용되는 경우 전반적인 제어 시스템 보안을 강화해 준다.
Cisco ISE 및Cisco Prime, Stratix 5900 보안 어플라이언스, 그리고 Studio5000 자동화 엔지니어링 및 설계 환경에 그러한 기능을 구축함으로써, 보안 환경이 새로운 장치의 회사 네트워크 사용과 어플리케이션 로딩을 인가할 수 있다고 크란츠는 말한다. 연결된 산업 제어 시스템이 모두 보안 위험에 노출되는 것은 아니지만, 최신 기술 및 보안용으로 설계된 산업용 제어 제품을 사용하면 시스템에 영향을 주는 수많은 위협의 성공 확률을 현저하게 줄일 수 있다. 또한, 시스템 작동 시간이 늘어나면 곧 회사 수익의 증가로 이어지기 때문에 제어 시스템 보안과 관련된 비용은 배당금으로 상환되는 투자임이 입증될 수 있으며, 이는 신뢰성 있는 생산 및 보안이 향상된 회사 자산과 정보에 의해 측정된다.
자동화 시스템 내에서 스마트 장치의 유용성을 적절하게 활용하기 위해서는 이러한 시스템의 보안과 무결성이 아주 중요하다.

로크웰 오토메이션 보안 솔루션
www.rockwellautomation.com/go/tjsecurity
Cisco
www.rockwellautomation.com/go/cisco

자료제공: 로크웰 오토메이션

"산업 네트워크를 인터넷에서 분리한다는 전제는 더 이상 충분하지 않습니다.
- 마첵 크란츠, 시스코의 Connected Industries 그룹"

※ 출처 : EngNews (산업포탈 여기에) - 시스템 보안을 위해 당신이 알아야 할 것