기능안전설계시 사이버보안에 대한 고려
공정산업에 대한 사이버 위협은 최근 몇 년간 세간의 이목을 끄는 공격으로 입증된 것처럼 매우 현실적으로 다가오고 있다. Stuxnet은 근래에 발생한 멀웨어(Malware) 공격의 예로 USB를 통하여 감염되었으며 지멘스의 PLC를 감염시켜 장비의 동작을 변경시켰다. 공정산업분야의 공장 운영자는 사이버공격에 의해 플랜트의 피해를 입었을 때, 외부로의 공개를 꺼리기 때문에 실제로 보고되지 않은 사례를 생각한다면 사이버공격의 사례는 더 많을 것으로 추측한다.
이제 기능안전은 사이버보안의 보호에 대한 담보 없이는 안전하다고 할 수 없게 되었다. 공장 운영자, 안전 담당 엔지니어, 설계 및 지원 담당자가 공정 위험만 인식하는 것은 더 이상 적절하지 않다. 사이버 공격은 재정적 관점에서 비즈니스에 영향을 미칠 뿐만 아니라 공정 안전 사고를 일으킬 수 있다. 이에 대한 대응으로 IEC 62443은 사이버 보안 수명 주기 (Lifecycle) 및 사이버 보안 관리 시스템 (CSMS)을 제시하였다.
기능안전에 관한 국제표준 IEC61508/IEC61511의 2nd 버전에서 안전시스템의 보안 위험 평가를 수행해야 한다고 언급하고 있으며, IEC62443을 참조하라고 명기되어 있다.
IEC61508 7.4.2.3 위험 분석에서 보안 위협을 구성하는 악의적이거나 승인되지 않은 행동이 합리적으로 예측 가능한 것으로 식별되면 보안 위협 분석을 수행해야 한다.
IEC61508 7.5.2.2 보안 위협이 식별된 경우 보안 요구 사항을 지정하기 위해 취약성 분석을 수행해야 한다. 비고 지침은 IEC 62443 시리즈를 참조하길 바란다.
IEC61511 8.2.4 SIS의 보안 취약성을 식별하기 위해 보안 위험 평가를 수행해야 한다.
이에 따라 미국 및 유럽국가들의 공정산업 회사들은 이미 기능안전표준(IEC61508/IEC61511)과 자동화시스템의 사이버보안표준(IEC62443)을 자사의 안전 및 운용보안규정으로 채택하기 시작하였다. 하기와 같이 IEC61508/IEC61511/IEC62443의 블록이 맞추어 지고 있다.
그림1 [기능안전표준에 사이버보안표준의]
기능안전 vs 사이버보안 유사점
첫째, 생명주기(Lifecycle)는 매우 유사한 구조를 가진다. 기능안전과 사이버보안의 생명주기는 최초 위험요소를 분석하고 설계 목표를 설정하는 분석단계에서 시작한다. 분석단계가 끝나면 설정된 목표를 바탕으로 설계 및 제작하는 구현단계를 거친다. 그리고 마지막으로 설정된 목표를 생명주기가 끝날 때까지 유지 관리하는 운영 및 유지보수 단계를 거치게 된다.
둘째, 생명주기(Lifecycle) 관리방법에서의 유사성을 가지고 있다. 기능안전은 FSM(Functional Safety Management)이라고 불리는 기능안전관리 매뉴얼을 갖추어야 한다. FSM 매니저는 기능안전관리 매뉴얼에 따라 직원의 기능안전교육 및 안전설계절차가 잘 지켜지도록 관리를 해야 한다. 사이버보안은 CSMS(Cyber Security Management System)이라고 불리는 사이버보안관리시스템 매뉴얼을 갖추어야 한다. CSMS메니져는 직원에 대한 자사의 사이버보안 분석을 포함한 교육 및 사이버보안 개선을 위한 업무를 지속하여야 한다.
셋째, 기능안전 및 사이버보안 등급은 가장 낮은 단계인 Level 1에서 가장 높은 단계인 Level 4로 나뉜다는 점도 공통점이다. 기능안전표준인 IEC61508에서는 위험고장의 확률 값을 기준으로 위험고장 평균인 PFDavg= 1/100~1/10 구간은 SIL-1, PFDavg= 1/1000~1/100 구간은 SIL-2, PFDavg= 1/10000~1/1000 구간은 SIL-3, PFDavg= ~ 1/10000 구간은 SIL-4 로 정의한다. 반면, 사이버보안표준(IEC62443)의 해당 보안 수준(SL: Security Level)은 위협의 주관적인 특성을 반영하여 정해진다. 보안 레벨 (SL-1)은 우연한 위반 또는 우연한 위반에 대한 보호일 경우, SL-2는 간단한 수단을 사용한 내부 위반으로부터 보호, SL-3는 정교한 수단을 사용하여 내부 위반으로부터 보호, SL-4는 확장된 리소스와 정교한 수단을 사용하여 국제 위반으로부터 보호라는 기준으로 정해지게 된다. 예로, 북한의 사이버 공격을 받을 가능성이 있다면 SIL-4를 목표로 사이버보안을 구축되어야 한다.
그림2 [기능안전과 사이버보안 비교]
기능안전과 사이버 보안의 통합 검토
산업 제어시스템의 위험 관리에는 기능 안전, 사이버 보안 관리 수명 주기(Lifecycle)에 대한 심층 분석이 필요하다. 이러한 각 수명 주기는 서로 다른 안전 표준에 따라 결정되며 전통적으로 조직 내 서로 다른 부서에서 수행한다. 그룹 간의 의사 소통이 거의 이루어지지 않으면 공장 운영 중에 모든 위험을 이해하고 포괄적인 사고 대응 절차 및 계획을 수립하는 것이 어렵다.
이러한 이유로 미국과 유럽에서는 이미 기능안전과 사이버 보안을 통합하여 관리해야 한다고 전문가들은 말하고 있다.
그림3 [통합관리를 통한 목표]
맺음말
국내에서 중대재해기업처벌법의 국회 통과로 많은 기업들의 사고 예방에 대한 관심이 더욱 커지는 추세이다. 사고 예방의 방법으로 사이버보안(IEC62443)을 전제로 한 기능안전표준(IEC61508/IEC61511)의 도입 및 적용이 한 방법이 될 것이다. 이러한 국제표준 접근 시 기능안전과 사이버보안의 개별 독립적인 접근보다는 통합적인 접근 방법이 되어야 설계 및 운영상에서 발생할 취약성을 막을 수 있을 것이다. 또한, 통합적인 접근 방식은 시간과 비용을 줄여 투자에 대한 효율성을 높이게 될 것이다.
한국요꼬가와전기는 기능안전과 사이버보안분야에서의 전문지식과 노하우를 바탕으로 공정산업에서 사용자에서 혁신적인 통합 솔루션을 제공하고 있으며, 많은 국제적인 전문가를 배출하여 사회에 공헌하고 있다.
<작성자 소개>
한국요꼬가와전기 강완기 부장은 미국의 대표적인 기능안전과 사이버보안 인증, 교육, 컨설팅 업체로 유명한 exida로부터 기능안전전문가(CFSE)와 IEC62443의 사이버보안 전문가(CACE) 국제인증 자격증을 취득하여 보유하고 있다. 또한, 그는 독일의 유명한 인증업체 TÜV Rheinland로부터 기능안전전문가(TÜV FS Expert: SIS, FSM)도 취득하여 보유하고 있다. 그의 국제인증 전문가 자격증은 다음과 같다.
Functional Safety & IACS Cybersecurity Expert 국제공인자격증
•CACE (IEC62443 Certified Automation Cybersecurity Expert, ID: 210805 001) by exida, USA
•CFSE (Certified Functional Safety Expert, ID: 200617 001) by exida, USA
•Functional Safety Expert (TÜV Rheinland #309/2021- SIS, FSM), by Germany
그림4 [강완기부장의 국제공인 자격증]
국내 공정산업에서 IEC61508/IEC61511의 기능안전과 IEC62443의 사이버보안 국제인증 전문가 자격증을 동시에 보유하고 있는 사람은 한국요꼬가와전기의 강완기 부장이 유일하다.