플랜트 자동화를 위한 사이버 보안

 

[월간 무인화기술 12월호]

Column

 

 

 

플랜트 자동화를 위한 사이버 보안

 

 

 

 

 

 

By Patrick Deruytter
Vice President & General Manager of Emerson Process Management Korea

 

 

 

플랜트 자동화 시스템에서 ‘이미 만들어진` IT 부품 사용이 광범위해짐에 따라, 우리의 시스템은 성능 면에서 많은 향상을 이루었습니다. 하지만, 새롭게 부상하고 있는 문제인 사이버 보안(Cyber security)에 대해 이야기 하고 싶습니다.

 

실제로, 견고한 사이버 보안 프로그램의 실행은 필수적이 되었습니다. 자동화 시스템의 인터넷 접속 여부와는 무관하게, 자동화 시스템은 다양한 위협에 노출되어 있습니다. 다양한 커뮤니케이션 인터페이스(USB 입력장치, CD-플레이어, 스위치 상에서 개방된 포트(port) 등)로 인하여, 여러 취약한 지점에 주의를 기울여야 합니다.  

 

지금까지, 사이버 보안 사고가 언론에 보도된 경우는 거의 없습니다. 하지만 최근, 자동화 업계에서는 몇 건의 사고가 있었습니다. Repository of Industrial Security Incidents는 프로제스 제어, 산업 자동화, 혹은 감시 제어 데이터 수집(SCADA) 시스템에 영향을 미쳤거나(또는 미쳤을 가능성이 있는) 사이버 보안의 특성을 지닌 사고에 관한 데이터베이스를 보관하고 있습니다. 최근에 발생한 사고에는 해킹을 당한 South Houston의 상수도 관망, Conifcker 바이러스에 감염된 철강 플랜트의 발전소 등이 포함됩니다. 이러한 사고 중 몇몇에서는 생산 중단 및 안전 관련 사고가 발생했습니다. 일부 사고에서는 프로세스에 외란(disturbance)이 발생하지 않았으나, 산업 스파이나 작업자를 방해하는 위험 요소가 존재하는 사례도 있었습니다. 사이버 보안은 아주 중요하면서도 위험한 주제인 것입니다.

 

 

 

인터넷으로부터 시스템을 완벽하게 고립시키는 것은 그 해결책이 아닙니다. 경쟁적인 사업 환경에서, 다양한 사업 시스템과 자동화 시스템과의 상호작용은 효율적인 운영을 위해 필수적입니다. 예를 들어, 작업 현장의 처리 상황에 대해 알지 못한다면, ERP 시스템으로 고객과의 인도기한을 지키는 것은 불가능할 것입니다. 또한, 무관한 소프트웨어를 USB 포트에 로딩하는 것처럼 기기를 잘못 사용함으로써 일부 위협적인 요소가 유발됩니다. 고려해야 할 여러 잠재적인 위협 요소에 대해 생각해 보면, 모든 플랜트에서 사이버 보안에 대한 명확한 전략을 세우는 것이 필수적이라는 것을 알 수 있습니다. 이러한 전략은 진화하고 있는 위협요소에 부합하여, 함께 진화해야 합니다. 사이버 보안을  ‘설정 후 방치(set and forget)` 로 수립하는 것은 전혀 효과가 없을 것입니다!

 

 

 

자동화 커뮤니티 내에서 이러한 주제에 대한 관심이 증가하고 있습니다.
ISA 기구는 사이버 보안에 관한 다양한 워크 그룹/위원회를 운영하기 시작했습니다. ISA99 위원회의 목적은 기준과 권장 관례, 기술 리포트를 개발 및 확립하며, 전자적으로 보안되는 산업 자동화 및 제어 시스템과 보안 관례를 실행하고 전자 보안의 성능을 평가하는 절차를 규정할 수 있는 관련 정보를 확립하는 것입니다. 주요 지도 내용은 산업 자동화 및 제어 시스템을 위원회가 규정한 기준대로 설계, 실행 또는 관리하는 것입니다. 이는 사용자와 시스템 통합자, 보안 실행자 및 제어 시스템 제조사와 판매자에게 모두 적용됩니다. International Electrotechnical Commission는 멀티 기준의 IEC 62443 시리즈 생산을 위하여 원본 및 진행 중인 ISA99 작업을 활용하고 있습니다.

 

플랜트에 사이버 보안 전략을 설정하는 경우, ISA99로 시작하는 것이 좋습니다. ISA99는 최고의 관례를 기반으로 하는 사이버 보안 프로그램을 시설에 설치하는데 알아야 할 거의 모든 것을 개괄적으로 보여줍니다. ISA99는 정책 및 절차 작성에 대한 경영 사례를 확립하는 데 위험 인자로 작용하는 요소를 확인하고, 이후 훌륭한 수준의 보안을 유지하는 방법에 대해 알립니다. 또, 다양한 정보를 제공할 것입니다.

 

 

 

사이버 보안이 토털 기업(total corporation)에서 큰 역할을 하는 반면, 프로세스 자동화 시스템에는 특수한 요건이 존재한다는 것을 반드시 염두 해야 합니다. 사실 운영 시스템의 새로운 패치(patches)에는 IT 업계의 표준 이상의 테스트가 요구됩니다. 자동화 공급자에 의해 인정받은 소프트웨어 패치만이 자동화 시스템 상에서 설치하기에 안전한 것으로 판단되어야 하며, 그렇지 않은 경우, 사용자는 일부 시스템 기능이나 인터페이스의 수정 기능에 잠재적인 위해가 발생된다는 점을 인지하여야 합니다. 

 

 

 

보안 침입이 지닌 잠재적인 영향에 대해 고려한다면, 각 프로세스 플랜트의 상위 관리 조직은 이러한 주제에 대해 관심을 기울여야 합니다. 사이버 보안은 별로 중요하지 않은 문제로 인식되지만, 사실, 이는 ‘침입’이 발생되기 전에 미리 관심을 기울여야 하는 주제입니다. 바이 인 운영(buy-in management)을 통해 완전한 전략이 개발 및 실행될 수 있으며, 전략에 필요한 자금을 충당할 수 있습니다. 시스템 공급자와의 긴밀한 협력이 이러한 전략을 실행하고 유지하는 데 필수적인 요소가 될 것입니다.

 

사이버 보안과 관련된 흥미 있는 가이드는 Emerson DeltaV 웹사이트에서 확인하실 수 있습니다.