공통의 보안기준 마련...표준인증 통해 보안수준 높여야

[보안뉴스 김태형] 일반적인 정보 시스템은 정보보호가 최우선이지만 스카다 시스템은 시스템의 가용성이 우선이다. 이에 스카다 시스템 보안은 다른 분야와는 차별화해 접근해야 한다.

특히, 다양한 제조사 제품들로 시스템이 구성되기 때문에 각각의 개별적 주체보다는 국가나 국제적인 컨소시엄 차원의 적극적이고 강력한 대응이 필요하다.

이에 ISCI(ISA Security Compliance Institute, 국제 자동화학회 보안준수 연구소)는 스카다 시스템을 구성하는 장치와 운영 시스템에 대한 보안수준을 향상시키기 위해 ISASecure 인증 프로그램을 만들었다.

이 인증 프로그램은 △임베디드 장치 인증(ISASecure Embedded Device Security Assurance) △시스템 보안 인증(ISASecure System Security Assurance) △개발 라이프사이클 인증(ISASecure Security Development Lifecycle Assurance) 등으로 나눌 수 있다.

이어서 그는 “실제로 스카다 시스템에 사용되는 산업용 컨트롤러의 대부분이 아주 간단히 변조된 네트워크 패킷만으로도 잘못된 동작을 일으킬 수 있다. 일례로 S7-1200 PLC 취약점 중 하나는 변조된 패킷이 들어왔을 때 내장된 웹 서버가 크래시를 일으켜 해당 PLC의 CPU까지 영향을 미침으로써 결국 DoS(서비스 거부) 상태로 빠지는 것이었다”고 덧붙였다.

스카다 시스템을 위한 제품을 만드는 제조사와 스카다 시스템을 운영하는 기관이나 국가 등이 주체가 되어 만든 이러한 인증 프로그램들을 이미 많은 기업들이 획득했거나 준비 중이다. 미국은 제어시스템의 임베디드 장치에 대한 국제표준 인증인 ‘EDSA’를 시행하고 있다. 특히, 우리와 가까운 일본은 국가 차원에서 ISASecure 인증을 위한 에이전시도 구축하는 등 보다 적극적으로 스카다 시스템 보안강화 작업을 진행하고 있다.

지난 연말 한국수력원자력 해킹 사건에서 보듯 우리나라는 정보통신기반보호법에 의해 국가 주요시설에 대한 관리를 하고 있는데, 여기에는 분명 한계가 있다. 우리도 일본과 미국처럼 제어시스템 등에 대한 국제표준 인증제도를 도입·운영할 필요가 있다.

한편 대부분의 국가에서는 CERT(Computer Emergency Response Team)라는 기관을 통해 보안위협에 신속하게 대응할 수 있는 체계를 갖추고 있다. 우리나라도 한국인터넷진흥원이나 국가사이버안전센터에서 사이버 위기상황에 대응하도록 하고 있다. 하지만 미국에서는 가용성이 우선인 스카다 시스템의 특성을 고려해 ICS-CERT라는 전문기관을 통해 대응한다는 점에서 우리나라와는 차별화된다.

[김태형 기자(boan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>