• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

Michael Assante 아디아호 국립연구소 인프라보호 전략가 2007.12.10

Greater Good - MICHAEL ASSANTE

아이다호 국립연구소의 인프라보호 전략가로서 주요 인프라 Critical 경제 기반에 대한 연구를 하며 아이다호주 Idaho Falls에 거주하고 있다.

 


Michael Assante는 그의 초기 경력의 대부분을 주요 중서부 공공 사업장에서 시설과 사람 등의 자산들을 보호하는데 보냈다. 그러나 그는 한동안 SCADA(집중 원격감시 제어 시스템 혹은 감시제어 데이터 수집시스템)와 중요한 기반시설을 둘러싼 부정적인 뉴스와 동향을 예의주시했다.


“앞단의 IT 시스템과 그들의 보호방식에는 괄목할 만한 향상이 있었다. 하지만 그 뒷단에 위치한 시스템들은 몸살을 앓고 있었다”고 Assante가 말한다. “시스템이 점차 확대되면서 일부러 의도하지는 않았지만 서로 연결되게 되었으며, 나는 이런 상황이 걱정됐었다.”


그는 핵 에너지 연구와 미국 에너지국과 국토안보부와의 협력에 집중하고 있는 Idaho Falls에 위치한 아이다호국립연구소에서 일을 할 수 있는 기회가 있었다. 오하이오주의 대도시 콜롬버스에서 살던 Assante와 그의 가족이 아이다호주로 옮기고 엘로스톤국립공원 근처와 Grand Teton산 아래에 살게 된다는 것은 그들의 생활에 엄청난 변화가 일어날 것이기 때문에 자리를 옮기는 것에는 불안한 부분이 있었다고 한다.


그는 “그러나 이곳은 정말 아름다웠고 나는 이곳의 대단한 실험실과 연구소가 산업에 끼치는 영향에 깊은 감명을 받았다. 나는 그들이 단지 미국 정부를 위해 일하는 것만이 아니라 최종 사용자들에게 혜택을 제공하고 있다는 것을 깨달았다”고 말한다.


 American Electric Power사의 IT 보안 엔지니어링의 담당자이며 Assante의 상관이었던 Jerry Freese는 Assante를 비전을 가지고 있고 그 비전을 훌륭하게 이끌어갈 사람으로 칭찬하며, “그는 중요한 기반시설 보호계획 등 민감한 보안 핵심을 찾아내기 위해 국제적 보안위협에 관심을 가지고 있는 전략적인 사람이다”고 말한다.


또한, Assante는 2년 전에 국제 기반시설 보호 전략가로 연구소에 들어갈 기회가 있었는데, 이곳에서 그는 고객들이 요청도 없었는데 보안을 강화하는 것에 대해 불만을 토로하는 보안의 중요성을 제대로 인식하지 못하는 통제시스템 공급자들의 공세를 받게 됐다. 결국, 공급자들 대신 고객들이 보안을 강화하는 비용을 지불해야 했다. “사용자들은 실제 공급자들에게 보안을 강화해 달라고 요청하지 않는다.”


Assante는 공급자들의 보안상의 문제들을 보호해주는 소스와 언어, 통제 시스템 관리자들을 포함한 조달계약을 제공하기 시작했다. 그는 통제 시스템 엔지니어, 보안관리자와 공급자들이 함께 하는 SCADA 보안모임을 설립하기 위해 SANS Institute와 Will Pelgrin의 Alan PAller와 뉴욕주 사이버 보안과 중요한 기반시설 통합 사무실의 관리자인 Will Pelgrin로부터 도움을 받았다.


첫 번째 모임은 400명의 전문가들과 함께 2006년 3월에 열렸고, 그것은 SCADA 공급 프로젝트를 시작하는 원동력이 되었다. 현재 제어 시스템의 사이버 보안 공급 언어의 1.6 버전이 Multi-State ISAC 웹 사이트인 msisac.org에 게재되어있다.

Assante는 “마침내 공급자들은 그들이 해야 했던 것을 변화시키도록 압력을 받았고, 그것은 긍정적인 결과를 가져왔다”고 말한다.


SCADA 시스템은 벤더 제공자에 관계없이 공통적으로 취약한 부분이 발생했는데, 예를 들면 외부 서비스의 경우 초기 설정으로 돌아가거나 위험성이 있는 설정을 해결해야 했으며, 패치의 관리/인증 그리고 취약한 보호정책 관리문제와 같은 문제점들이 나타났다. 그의 그룹과 벤더들은 해결책을 필요로 하는 몇 부분들의 확인된 문제들을 해결하기 위해 몇 개월간 수정작업을 해야 했다.


그러나 “SCADA를 통해서 시스템 공급자들은 많은 것으로 얻을 수 있었으며, 누구나 자신의 제품에 이 소스를 추가한다면 보다 안전한 시스템을 얻을 수 있을 것이다”고 Assante는 강조한다.


OUTREACH - Michael S. Mimoso

아이다호 국립연구소는 통제 시스템을 위한 위험관리 프로그램을 개발하기 위해 미국 에너지국 및 국토안보부의 여러 프로그램을 가지고 있다. 이 연구소는 영국과 호주와 같은 동맹국들을 함께 정보공유 워크숍을 해왔으며, 중요한 기반시설 자산 소유주들이 자신들의 시스템을 가상으로 공격하고 그들과 싸우는데 보안기술을 최대한 활용하기 위한 훈련환경을 설립해왔다. Michael Assante는 “우리는 취약성 테스트를 통해 기반시설들 사이의 상호작용 과정에서 많은 위협요소를 찾아내고 해결했다”고 말한다.

 

<글: Michael S. Mimoso>

 Copyright ⓒ 2006 Information Security and TechTarget

 

[월간 정보보호21c 통권 제87호(info@boannews.com)]

             

             <저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>