지멘스 디지털 인더스트리가 사이버 보안 웨비나를 진행했다.
전 세계 제조자동화 시장을 주도하고 있는 지멘스 디지털 인더스트리가 지난 5월 26일, 산업제어시스템을 위한 사이버 보안 웨비나를 진행했다.
이번 웨비나를 통해 지멘스는, 디지털화는 필연적으로 내부의 디바이스가 네트워크로 연결될 수밖에 없으며, 이에 따라 사이버공격이라는 리스크가 존재하기 때문에 사이버보안이 없는 디지털화는 가능하지 않다고 강조하고, 지멘스는 디지털화에 대한 깊은 이해와 산업 노하우를 가진 신뢰도 높은 파트너라는 점을 강조했다.
지멘스는 이번 세미나를 산업보안서비스, 보안서비스인 심층방어, 보안을 위한 제품소개라는 3개의 세션으로 나누어 진행했다.
첫 번째 산업보안서비스 세션에서는 산업보안 컨설팅과 보안 구축, 보안 최적화에 대해 설명하고, 두 번째 세션에서는 지멘스가 제안하는 보안 콘셉트인 심층방어에 대해 소개했다. 심층방어는 플랜트 보안, 네트워크 보안, 시스템통합과 무결성 이 3개로 구성이 된다. 마지막 세션에서는 시스템 및 솔루션 구축을 위한 제품소개로 마무리가 됐다.
이번 웨비나의 핵심 주제는 지멘스의 산업보안 제품은 포괄적인 심층방어 개념을 기반으로, 모든 측면에서 산업제어 시스템을 보호하고 방어한다는 점이다.
한국지멘스 이소우 이사는 산업 제어 시스템을 위한 사이버 보안 트렌드와 지멘스 전략에 대해 소개하면서, 일상생활의 디지털화뿐만 아니라 산업군, 제조업에서도 디지털화가 이루어지고 있다고 말하고, 한국에서는 스마트 팩토리 구현이라는 슬로건 아래, IoT, 생산설비 제어, 공장자동화, 설비강화, 5G를 통한 네트워크 등 수많은 디지털 데이터가 존재하는데, 이 데이터는 각 기업의 소중한 자산이며 경쟁력이며, 이 소중한 자산을 보호하기 위해서 산업보안은 더욱 강화되고 중요시되고 있다고 설명했다.
지멘스는 IEC62443 규격에 기반한 산업보안제품과 품질인증 갖추고 있어
디지털화로 모든 것이 변하고 있다. 디지털화는 우리가 제품을 찾는 방식, 구성하고 구매하는 방식, 배송하는 방식까지 바꿔놓았다. 이러한 변화는 산업에 큰 영향을 미친다. 기업은 이러한 변화에 대응하고 디지털 엔터프라이즈로 거듭나야 한다. 통신망은 점차 복잡해지고 있고, 이러한 경향은 모든 분야의 기업으로 확산되고 있다. 가치사슬은 날로 증가하는 디지털 스레드로 구성된 통합체가 되고 있다. 이러한 복잡성과 데이터 의존성의 증가는 그 어느 때보다 기업들을 공격에 더욱 취약하게 만든다. 보안 및 자동화의 구축은 디지털 엔터프라이즈가 되는 과정에서 가장 중요한 요소에 포함된다.
이와 같이 지식자산과 데이터를 통한 정보화가 가치창출의 기반이다. 디지털화에 따른 고객의 지식자산에 대한 사이버공격 위협이 커지고 있다. 이에 지멘스는 IT, OT를 기반으로 한 제품과 시스템, 솔루션을 제공하고 있다. 이는 지멘스 생산공장에도 적용하여 검증이 완료되었으며, 높은 신뢰도를 가지고 있다. 지멘스는 디지털화를 이해하고 선도하며, 경험과 노하우가 축적되어있고, 다양한 영역 산업군의 니즈를 파악하고 있다. 또한 IEC62443 규격에 기반한 산업보안제품과 품질인증을 가지고 있다.
지멘스 산업보안 제품은 포괄적인 심층방어 개념을 기반으로 모든 측면에서 산업제어 시스템을 보호하고 방어한다. 또 통합시스템 보호기능을 통해 시스템 무결성을 확보한다.
지멘스 보안 콘셉트-심층방어(사진. 지멘스)
네트워크 보안은 무단 액세스로부터 자동화 네트워크를 보호하며, 플랜트 보안은 물리적 액세스를 관리하고 보안 모니터링 서비스를 제공한다.
1. 지멘스의 산업용 보안 서비스
한국지멘스 정성문 부장이 지멘스의 산업용 보안 서비스를 주제로 발표를 했다. 이 세션에서는 지멘스가 제공하는 다양한 보안 솔루션 중에서 보안 서비스영역이 소개됐다.
최근 산업계에서 사이버보안 위협은 다양한 형태로 발생하고 있다. 과거 단순 과시가 목적이었던 해킹은 경제국가이익을 목적으로 하는 전문적인 해킹으로 발전하고 있으며, 디지털화 및 IoT 기술혁신 효과를 극대화하기 위해서는 독립적으로 운영되던 자동화 시스템이 네트워크로 상호연결되어야 하는 환경으로 진화하고 있다. 또한 이러한 변화에 대응하기 위해 국가의 중요 플랜트를 대상으로 법률제도적 보안시스템 구축에 대한 요구사항도 점차 증가하고 있다. 일반인들에게는 잘 알려져 있지 않지만 산업계의 사이버보안 범죄는 단순히 상상 속의 우려가 아닌 현실적인 우려로 다가오고 있다. 특히 2010년 이후 국가이익을 위해 상대국가를 사이버공격하는 형태로 나타나고 있다. 이는 오늘 정상적으로 잘 돌아가던 공장이 보안에 무관심하다면 언제든지 정지할 수 있다는 것을 의미한다.
그렇다면 이러한 위협에 대응하기 위한 보안체계에서 사무실 환경의 IT 보안과 공장 플랜트를 대상으로 하는 산업보안은 어떤 차이가 있을까? 위협의 형태가 유사하기 때문에 지금까지 사무실에서 적용해왔던 IT보안을 공장환경에 그대로 적용하면 되지 않을까 생각할 것이다. 그러나 IT보안과 산업보안은 여러 측면에서 차이점이 있다.
IT보안은 기밀유지에 그 목적이 있으나, 산업현장은 지속적인 생산이 매우 중요하기 때문에 보안뿐만 아니라 안정적인 운영의 보장이 필수적인 것이다. 장비의 사용연한도 공장에서는 30년 이상 사용되는 경우도 흔하며, 이와 동시에 소프트웨어 사용년수도 매우 길다. 윈도우7, 10이 IT 컴퓨터 환경에서 사용되고 있지만, 10년 된 공장은 거의 신규공장이라고 말할 수 있다. 이곳에선 MS 윈도 XP가 사용이 되고 유닉스 환경도 흔히 볼 수 있다. 이러한 점을 고려했을 때, 산업보안을 효과적으로 구축하기 위해서는 생산활동을 방해하지 않으면서도 효과적인 방어가 가능하도록 최적화된 보안시스템이 도입돼야 한다.
(1). 지멘스 산업 보안 서비스 구성
지멘스가 제공하는 산업보안 서비스는 3가지 영역으로 구성된다.
첫 번째는 보안시스템을 도입하기 위한 초기단계에서의 보안 컨설팅이고, 두 번째는 컨설팅 결과를 바탕으로 추진되는 보안시스템의 도입, 세 번째는 장기적인 운영을 위한 보안최적화다.
1). 보안컨설팅
보안컨설팅에서는 산업보안 평가, 실제 네트워크에서의 정보수집 시스템을 구축하여 진행하는 스캐닝 서비스가 있으며, 보안시스템 도입단계에서는 직원들의 보안인식 교육, 차세대 방화벽, 산업 네트워크 이상동작 검출과 같은 서비스가 있고, 장기적인 운영 측면의 보안최적화 단계에서는 산업보안 상황 모니터링, 원격이상 조치, 산업네트워크 취약성 관리 등이 있다.
① 보안 컨설팅 IEC 62443 또는 ISO 27001 평가
보안컨설팅 서비스 중 하나인 IEC 62443 또는 ISO 27001 평가는 산업보안 서비스 시스템의 도입 초기에 진행하는 것이 좋다. 특히 산업표준인 IEC 62443 또는 ISO27001에서 정의된 방식에 따른 보안평가를 진행할 수 있으며, 하루 또는 2일의 단기간에 걸쳐 수행이 되고 비교적 낮은 비용으로 수행할 수 있는 것이 장점이다. 이 프로젝트의 결과로 리스크 분석 및 이에 대한 대응방안을 리포트로 제공하고, 지멘스 제품뿐만 아니라 타사제품에 대해서도 적용이 가능하다. 특히 이 서비스는 산업보안 서비스 도입 초기단계에서 기업의 산업보안 적용방안을 수립하고 현재 단계에 대한 이해 및 발전수준 평가에 용이한 컨설팅 서비스다. 만약 실제 네트워크에 흐르고 있는 데이터의 분석까지 필요하다면 스캐닝 서비스도 선택할만한 옵션이다.
②. 보안시스템의 도입
보안시스템 도입단계에서 지멘스가 제공하는 솔루션에는 산업 네트워크 이상동작 검출 시스템이 있다. 이 솔루션은 현재 운영 중인 산업 네트워크에 지멘스 IPC를 기반으로 만들어진 센서시스템을 부착하여 정상적인 네트워크 운영상황을 학습하고, 그 이후 운영상태에서 만약 바이러스 프로그램으로 비정상적인 통신이 발생하거나 인가되지 않은 디바이스가 네트워크에 연결되어 활동하면 이를 감지하여 문제발생시 담당자가 즉각 대응할 수 있도록 하는 것이다. 특히 이 시스템은 패시브 형태로 운영되기 때문에 공장운영에는 전혀 부하를 주지 않고 감청만 한다. 그리고 상위에 SIEM(Security information and event management 보안정보와 이벤트관리) 시스템인 Combo 500 디바이스를 클라우드에서 연결하거나 관리하는 것도 가능하다.
차세대 방화벽인 NG파이어월은 일반적인 특정 이더넷포트를 차단하는 과거의 방화벽과는 달리, 사용자 인증에 따라 유연하게 이더넷 포트 관리를 가능하게 하는 디바이스다.
화이트리스팅(Whitelisting)은 차단을 위한 블랙리스팅과는 반대로 동작한다. 공장환경에 사용되는 어플리케이션의 숫자는 매일매일 변화하는 IT 환경과는 달리 매우 제한적이므로, 이런 특성을 이용해 사전에 승인받은 어플리케이션만 실행될 수 있도록 하는 일종의 허가제다. 화이트리스팅의 경우 사용환경에 매우 빨리 그리고 지속적으로 변화하는 IT 환경에는 적용하더라도 관리하기가 매우 어려운 시스템이다. 그렇지만 산업보안 환경은 그 변화가 매우 적으므로 적용이 용이한 서비스다.
③. 보안 최적화-마인드스피어 기반의 보안 취약성 관리 시스템
보안최적화 시스템 중의 하나인 보안 취약성 관리는 클라우드 환경에서 운영되는 형태이다. 산업네트워크 이상동작 검출에서 SIEM 디바이스인 콤보500을 이용해 지멘스의 클라우드 환경인 마인드스피어(MindSphere)로 연결할 수 있다. 이렇게 연결된 시스템은 공장 디바이스에 설치된 앱의 설치 및 업데이트와 같은 관리가 가능하며, 취약점을 감지하여 대응방법과 함께 통보하면 현장에서 즉각 대응할 수 있는 체계로 연결될 수 있다. 또한 장기적인 취약성에 대한 데이터를 검출하여 향후 보안 방향을 제시할 수 있는 것도 장점이다.
2). 디지털화와 보안
최근 디지털화에 대한 많은 언급이 있다. 디지털화는 지금까지 없던 완전히 새로운 시스템의 도입이 아니며, 이미 존재하는 다양한 시스템의 데이터를 체계적으로 통합하고 분석하여 이를 기반으로 도출된 새로운 통찰력으로 좀 더 효율적이고 체계적인 개념으로 발전시키는 것이다. 디지털화는 필연적으로 내부의 디바이스가 네트워크로 연결될 수밖에 없으며, 이에 따라 사이버공격이라는 리스크가 존재한다. 사이버보안이 없는 디지털화는 가능하지 않다. 지멘스는 디지털화에 대한 깊은 이해와 산업노하우를 이해하는 신뢰도 높은 파트너다.
2. IEC 62443에 기반한 산업 제어 시스템 설계방법 및 지멘스 보안 플랫폼
이어서 한국지멘스 박유진 대리가 IEC 62443에 기반한 산업제어시스템 설계방법 및 지멘스 보안 플랫폼을 주제로 국제보안 표준에 준하여 산업제어시스템을 안전하게 설계하는 방법과 최근 지멘스가 OT현황에 맞게 제시하는 안전한 보안플랫폼에 대해서 설명했다.
<그림2> OT환경에서의 사이버 보안의 필요성이 증가(사진. 지멘스)
최근 OT환경에서도 사이버보안에 대한 필요성이 날로 증가하고 있다. 그 주된 이유로는 디지털화 그리고 IT, OT 연결성 증가로 인한 보안 취약성 증가가 있다. 특히 최근 제시되고 있는 다양한 국제보안 규제들을 준수하기 위해 보안솔루션을 필요로 하는 다양한 산업군의 증가가 있다. 다양한 산업군만큼이나 다양한 보안규제, 그리고 보안 가이드라인이 존재한다. 예를 들어 북미의 전력시장에 특화된 NERC CIP 규정, 또는 국가표준기술협회 리스트에서 제시하는 보안규칙정책 등이 있다. 이러한 다양한 표준들 중에서 지멘스는 국제적으로 가장 포괄적인 산업제어시스템의 보안 가이드라인을 제시하는 IEC 62443을 준수하여 보안솔루션을 제시하고 있다.
보안의 개념은 보안 기능이 제공하는 기술적인 측면말고도 이를 지속적으로 제공하기 위한 정책 및 지침과 같은 프로세스, 그리고 이를 수행하는 담당자들의 능력이 포함된다. 이에 따라서 이 모든 부분에 대한 보안정책을 수립해야 한다. 이에 따라 지멘스는 심층방어라는 콘셉트를 제시하는데, 이는 크게 플랜트 보안, 네트워크 보안, 시스템 무결성으로 구분된다. 다음은 시스템을 안전하게 설계하기 위한 단계적인 방법들이다.
(1). 플랜트 보안 필수 설계 요소
첫 번째 플랜트 보안 측면이다. 기본적으로 플랜트의 물리적 접근제어가 필요하다. 예를 들어 CCTV를 통한 감시제어, 사용하지 않는 미사용 포트에 대한 잠금장치가 이에 포함된다. 또한 지속적인 관리 운영을 위한 프로세스, 그리고 사내정책이 정의되어야 하며 이런 정책들은 국가 또는 국제보안표준에 준하여 적용되어야 한다. 마지막으로 통합보안 모니터링 솔루션도 함께 설계 되어야 한다.
(2). 네트워크 보안 필수 설계 요소
다음은 네트워크 보안을 향상 시키기 위한 필수 설계 요소들이다.
우선 DMZ(비무장지대) 구간을 이용한 데이터교환을 통해 안전하지 않은 외부 네트워크로부터의 직접적인 액세스를 차단해야 한다. 또한 인터넷, 모바일 네트워크를 통한 데이터교환이 필요한 경우 방화벽 VPN을 이용한 안전한 원격접속이 필요하다. 또한 OT환경에서 가용성 향상을 위해 PLC 이중화 구성개념과 같이 보안 모듈에 대한 이중화 개념도 고려해볼 필요가 있다. 마지막은 셀 보호다. 대부분의 자동화 장비들은 자체적으로 보안기능을 가지고 있지 않기 때문에 이런 자동화 장비들을 하나의 셀 안에 관리함으로써 또한 그 상단에 보안모듈을 설치함으로써, 외부로부터의 액세스를 제어할 수 있다. 이 셀 보호 개념은 매우 기본적이지만 매우 중요하다.
<그림3> 셀 보호를 통한 네트워크 보안(사진. 지멘스)
시스템 구성도 내에 빨간 자물쇠가 있는 부분은 VPN 또는 방화벽과 같은 보안기능이 있는 제품이다.
모두 5개 셀로 구분되어 있다.
첫 번째 셀을 예로 들었을 때 하단에 보안기능이 없는 자동화장비들을 하나의 셀 안에 구분지은 뒤 그 상단에 보안기능이 있는 모듈을 설치함으로써 셀 단위의 보호가 필요하다.
(3). 시스템 무결성 필수 설계 요소
마지막으로 시스템 무결성을 높이기 위한 조치로는 패치관리, 시스템 하드닝을 위한 안티바이러스, 화이트리스팅을 예로 들 수 있다. 추가적으로 OT 환경에서 기본적으로 제공해야 하는 요소들은 다음과 같다.
우선 패스워드를 통한 PLC 프로젝트 보호, 무단 복사방지를 위한 기능, 그리고 각 사용자별로 상이한 액세스 권한을 부여함으로써, 무단 액세스를 방지해야 한다. 또한 자동화 장비간 데이터를 주고받을 때 전달된 데이터가 잘 전달되었는지 혹시 조작되지는 않았는지에 대한 확인이 필요하다.
고객의 보안상태를 자가점검할 수 있는 툴이 지멘스코리아 홈페이지에 업데이트되어 있다
(4). 데이터 보안-심층방어
<그림4> 데이터 보안-심층방어(사진. 지멘스)
왼쪽이 공장시스템의 개요라고 하면 심층방어 콘셉트에 따라 최상위에서 필드레벨까지 주고받는 모든 데이터를 보호해야 한다. 즉 데이터가 전달되는 모든 흐름에 따라 모든 시스템 계층에 적절한 보안조치로 보호해야 한다. 이러한 보안조치가 가능하도록 최근 지멘스에서는 OT환경에 적합한 엔터프라이즈 보안 플랫폼을 출시하고 있다. 기존에 각 계층별 별도의 장비 장치를 설치함으로써 관리나 확장에 어려움이 있었는데, 이 부분을 해소하기 위해서 지멘스는 단일 하드웨어 보안 플랫폼 형태로 제공하고 있다.
<그림5> 지멘스 엔터프라이즈 보안 플랫폼(사진. 지멘스)
이 플랫폼은 각기 다른 산업, 다양한 어플리케이션에서 요구하는 보안 솔루션을 선택 적용할 수 있게 함으로써, 불필요한 다운타임을 줄이고 효율적인 보안운영을 가능하게 한다.
다양한 보안기술 중 최근 OT환경에서 많이 요구되고 있는 보안기술들은 다음과 같다.
첫 번째 침입 탐지 시스템이다.
시스템 내에 비정상적인 행위가 발생했을 때, 이를 탐지하여 관리자에게 알림으로써 빠른 대응 조치가 기능하도록 하는 솔루션이다.
두 번째 자동화 장비들 간에 통신데이터의 무결성을 보장하는 심층 패킷 분석 기술이 있다.
세 번째 침입 방지 시스템이다. 시스템 내의 비정상 행위를 탐지하고 이러한 이벤트가 발생했을 때 해당 네트워크층을 차단하는 기술이다.
마지막 차세대 방화벽이다. 앞의 세 가지 기술의 장점을 기반으로, 알려진 위협을 탐지하고 차단하는 기술이다. 이 네 가지 기술 모두 지멘스 보안 플랫폼에서 제공이 가능하다.
OT환경의 안전한 보안 설계에 있어서 가장 중요한 개념을 설명하는 문장이 있다. 바로 ‘The Right Solution, in the Right Place’다. 같은 기술을 적용하더라도 어디에 어떻게 배치하고 설계하느냐에 따라 효과가 달라지기 때문이다. 앞서 본 보안기술들이 적재적소에 배치되어 더욱 안전한 시스템을 설계할 수 있도록 지멘스는 고객 요구사항별로 맞춤 솔루션을 제공하고 있다.
지멘스는 산업제어 시스템 공급업체로서 안전한 제품, 안전한 솔루션을 개발할 뿐만 아니라, 오랜 기간 쌓아온 산업군별 노하우를 바탕으로, 각 이해관계자별로 요구하는 보안 요구사항, 보안 솔루션에 맞춰 자동화 시스템이 안전하게 설계, 운영, 관리될 수 있도록 지원하고 있다.
3. 산업용 제어시스템 및 엔지니어링을 위한 보안
이어서 한국지멘스 윤웅현 차장이 PLC나 HMI 등 산업용 제어시스템과 해당 엔지니어링 관점에서 보안 솔루션을 설명했다.
패스워드를 활용한 지적자산 혹은 생산자산 방어부터 요즘 강조되고 있는 접근의 개인화 즉, 사용자 기반 접근제어 기법과 산업현장의 디지털화가 진행되면서 계속 강조되고 있는 통신방호 부분까지 설명을 했다.
지금까지는 산업현장에서의 보안이라고 하면 보안기능이 있는 스위치나 라우터같은 네트워크 장비를 사용하거나 제어판넬의 잠금장치와 같은 물리적인 방법을 사용해서 현장의 자산을 보호하는 것을 주로 의미했다. 그러나 계속해서 유무선 통신이나 새로운 유형의 센서들, 가상화나 클라우드 같은 IT 기반의 기술이 산업현장에서 실용화 되어가고 있는 상황에서 자동화 영역에서의 보안 또한 하나의 화두로서 등장하고 있다. 요즘의 생산기술은 예전과 비교할 때 매우 고도화 되어가고 있고, 그에 따라 생산기술에 대한 지적재산으로서의 관리 또한 중요해졌기 때문에, 생산성 유지를 위해서도 보안은 독립된 하나의 수단으로서 그 중요성이 커져가고 있다. 따라서 자동화 시스템은 기본적으로 제공하는 심층방어 시스템의 보안 콘셉트와는 별개로 지적 혹은 생산자산의 보호와 비인가자의 시스템 접근을 방지하기 위한 접근제어, 그리고 외부에서의 통신을 통한 비인가 접속을 예방하기 위한 통신방호 차원에서의 자체적인 보안체계를 갖추어 가고 있고, 앞으로도 더욱 강화될 것이라는 것이 일반적인 시각이다.
자동화 메이커에서 일반적으로 제공하는 자동화 레벨에서의 지적재산권 보호를 위한 수단과 생산설비 및 안전을 지키기 위한 보안솔루션은 다음과 같다.
(1) 패스워드 기반의 자산보호
첫 번째 일반적으로 많이 제공하고 있는 패스워드 기반의 자산보호 개념이다.
의도치 않은 지적재산의 유출이나 장비의 오작동을 유도하는 편집을 예방하기 위해 프로젝트에 패스워드를 사용하는 노하우 프로텍션이라는 기능인데, 프로젝트를 악의적으로 편집해서 다운로드하거나 노하우를 유출시키는 등의 행위를 제어하는 매우 일반적인 방법이다. 예를 들면 엔지니어링 스테이션의 해킹을 통해서 PLC 혹은 HMI 프로젝트 파일을 무단으로 업로드하거나 편집해서 다운로드하는 경우 막아낼 수 있는 효과적인 하나의 수단이 될 수 있다.
경우에 따라서는 전체가 아닌 개별블록에 패스워드를 적용해서 특정 노하우 유출을 방지할 수 있는 블록 프로텍션이라는 기능도 있고, 최근 출시되는 스마트 PLC는 복수 개의 패스워드를 이용해서 다수의 접근 권한을 부여하거나 혹은 소스 코드가 저장되는 메모리카드를 CPU 시리얼 넘버에 종속시켜서 복사를 방지하는 기능도 제공한다.
(2). 사용자 기반 접근제어-HMI
다음은 HMI에 대한 보안이다. HMI의 경우 패널의 제어권을 얻기 위해 패스워드를 입력하는 방법을 가장 폭넓게 이용하고 있는데, 초기화면에 접근하거나 혹은 특정 페이지로의 전환을 하고 싶을 때마다 비밀번호를 입력해야만 접근 권한을 부여받을 수 있도록 조치가 가능하다. HMI 경우는 판넬 외부에서 가장 먼저 접근할 수 있는 장비이기 때문에 가장 단시간에 최소한의 노력으로 장비의 보안에 영향을 끼칠 수 있는 경로이기도 하다. 따라서 요즘은 RFID 카드를 이용해서 인가받은 작업자만 접근이 가능하도록 제어에 활용하고 있기도 하고, 엣지컴퓨팅 기능을 탑재하고 출시되는 터치 제품도 있기 때문에, 보다 유연한 형태의 보안앱을 개발하는 것도 향후에는 가능할 것으로 생각한다.
(3). 사용자 기반 접근제어-PLC
다음은 사용자 기반의 PLC 접근 제어다. 단순한 패스워드만을 사용하는 방식은 간단히 사용할 수 있으나, 개인화된 관리가 불가능하다는 단점이 있다. 그래서 좀 더 강력한 관리를 위해서는 ID와 패스워드를 사용하는 것이 좋겠다는 지적이 늘 있었다. TIA Portal 버전 16과 같은 최신 엔지니어링 툴 같은 경우는 이런 트렌드를 반영해서 개별 혹은 도메인 프로젝트에 접근하고자 할 때 사용자 그룹에 사전 정의된 ID와 패스워드를 입력해야만 접근이 가능하도록 한다. 특히 도메인 프로젝트의 경우에는 윈도우 액티브 디렉토리의 사용자목록을 임포트해서 적용하는 것도 가능하고, 사전정의된 권한이 사용자 ID에 매칭돼서 접근레벨에 따른 작업제어와 관리가 가능하다는 장점이 있다.
(4). 통신방호
최근 자동화 시스템의 연결성이 계속 강조되어가고 있고, 비대면 업무의 범위 또한 지속적으로 늘어나고 있기 때문에, 통신방호에 대한 부분도 계속해서 강조가 되고 있다. 예전의 산업현장과는 달리 이제는 유무선으로 자동화기기의 상태를 확인해서 보전에 활용하거나 모니터링 하는 등 계속해서 네트워크를 통한 원격작업이 늘어나고 있다. 그렇기 때문에 표준 프로토콜로 빠르게 성장하고 있는 OPC UA의 경우에도 범용성과 더불어 보안에 대한 부분이 강조가 되어 가고 있다. 이 경우에도 암호화 통신을 제공하거나 혹은 클라이언트와 서버 양쪽에서 보안정책을 선택할 수 있고, 인증서에 의거한 보안기능들이 적극적으로 사용되고 있는가 하면 PLC의 각 변수에 대해서도 사용자의 인증과 접근제한이 가능하도록 설계가 되어있다.
<그림6> 통신방호- OPC UA(사진. 지멘스)
OPC UA 이외에도 자동화 시스템은 개방형 통신을 통한 상위 데이터 서버나 ERP, MES, CIM과 같은 서드파티 시스템 통신에도 대응이 가능해야 한다. 이런 경우 대부분 MODBUS TCP같은 TCP 기반의 통신이 일반적으로 사용되고 있는데, HTTPS 혹은 FTPS 기술을 활용한 통신보안 기술이 적용되고 있기도 하고, 생산데이터의 모니터 및 관리가 안전한 환경에서 사용 가능하게끔 고객 정의 통신의 경우에도 TLS나 SSL 같은 보안방식을 지원하고 있다.
<그림7> 통신방호-개방형 통신을 위한 보안(사진. 지멘스)
(5). 통신방호-보안모듈
마지막으로 PLC 보안모듈에 대해 설명을 진행했다.
최근의 PLC는 외부에서의 원격접속 혹은 내부에서의 심층방어 콘셉트의 일부로 적극적으로 보안정책에 참여해가는 양상을 보이고 있다. 예를 들면 이미 납품한 장비에 접속을 해서 서비스를 해야 하거나 최종사용자가 원격으로 현장에 접속해야 하는 등의 경우가 점점 늘어나고 있는데, 이런 형태의 서비스를 이용한 것이 바로 보안기능을 탑재한 모듈형 네트워크 카드(CP1543-1)다.
안전한 접속을 위해서 일반적으로 VPN을 사용하거나 방화벽을 사용하는 경우가 많은데, 시마틱 PLC의 경우 거의 대부분의 제품군에 VPN이나 방화벽을 지원하는 네트워크 카드를 모듈로 장착이 가능하기 때문에, 단독 혹은 기존 보안체계의 일부로 원격접속에 대한 대응이나 방화벽 대응이 가능하다.
<그림8 > 통신방호 –보안모듈(사진. 지멘스)
<Q&A with Siemens>
“지멘스는 극히 제한적인 컴퓨터 퍼포먼스 부분에서도 공장의 생산을 저해하지 않는 형태로 보안을 할 수 있어”
한국지멘스 정성문 부장·윤웅현 차장·박유진 대리
Q. 산업제어 시스템은 사이버 공격에 취약하다고 볼 수 있다. 지멘스의 보안 소프트웨어는 지멘스 제품에 대해서만 지원이 되나, 아니면 다른 산업제어 시스템에도 적용할 수 있나?
A. 지멘스의 보안솔루션은 지멘스 제품뿐만 아니라, 다양한 제품에 대해서도 지원을 하고 있다.
Q. 지멘스 산업보안 시스템의 장점은 무엇인가?
A. 산업보안에서만 사용되는 특수한 프로토콜이 많이 있는데, 지멘스 보안시스템은 이런 부분을 지원할 수 있고, 극히 제한적인 컴퓨터 퍼포먼스 부분에서도 필수적인 부분에서 공장의 생산을 저해하지 않는 형태로 보안을 할 수 있다. 또 산업의 노하우를 많이 가지고 있기 때문에 이 부분도 타 경쟁사 대비 장점이라고 설명할 수 있다.
Q. 제조업에서의 디지털 트윈 구축에서 설비에 대한 실시간 제어까지 적용하기 위해 1~10 미리세컨드 주기로 데이터를 전송해야 할 경우, 사이버보안에서 가장 중요하게 고려해야 할 사항은 무엇인가?
A. 이런 경우 고속의 데이터통신을 하기 때문에 별도의 시스템을 구축하는 것이 좋고, 만약 외부와 연결을 한다면 방화벽이나 차세대 방화벽을 통해서 세그먼트를 분리하는 것이 가장 중요하다고 본다. 마찬가지로 이 부분에서도 보안보다는 안정적인 운영을 더 중요한 측면으로 고려해야 한다.
Q. 클라우드망과의 보안에서는 어떤 강점이 있나?
A. 지멘스의 마인드스피어 커넥트같은 디바이스는 그 자체가 방화벽 같은 기능을 한다. 이런 부분이 내부적으로 통신을 연결해주지 않으면 물리적으로 통신이 불가능할 수 있기 때문에, 자체 내부망과 클라우드망과의 보안도 철저하게 유지할 수있다.(여기까지 정성문 부장)
Q. ICS를 대상으로 한 보안은 일반적인 보안과 달라야 하는데, 이런 측면에서의 지멘스의 장점은 무엇인가?
A. 우선 보호해야 할 대상이 다르다. OT는 중요하게 지켜야 할 자산이 산업제어시스템이기 때문에 이에 걸맞는 적절한 솔루션을 적용해서 안전하게 구축을 해야 한다. 지멘스는 산업장비, 솔루션이 있기 때문에, 이를 기반으로 제품을 개발하는 단계에서부터 어떤 기능을 넣으면 실제 사용자들이 시스템을 설계하고 사용하는 입장에서 안전하게 운영할 수 있는지에 대해 생각할 뿐만 아니라, 이를 안전하게 설계할 수 있도록 문서화된 자료를 제공하고 있다. 뿐만 아니라 이런 보안 솔루션들이 IT에서 사용하는 일반적으로 사용하는 기술들이지만, 이 기술들이 제어시스템이 좀 더 안전하게 구축될 수 있도록 산업장비에 설치를 해서 솔루션을 공급하고 있다.
Q. 산업보안 표준 중에서 IEC 62443을 강조하는 이유는 무엇인가?
A. 산업보안, 보안관련 인증은 국제적으로 많다. 예를 들어 NERC CIP는 북미의 전력시스템에 포커스한 인증이다. 지멘스 장비 중에서도 전력산업에 포커스한 제품들은 이런 NERC CIP 규정을 준수하기도 한다. 보안표준이 가지고 있는 목표는 하나다. 산업 제어시스템을 어떻게 하면 안전하게 운영하고 제품을 안전하게 설계할 수 있을 지에 대한 가이드라인이기 때문에, 지멘스 장비는 어디에 사용하느냐에 따라 그런 인증들에 맞게 구축이 되어있다. 다만 IEC 62443을 강조하는 이유는 IEC 62443이 가장 포괄적인 국제 가이드라인이기 때문이다. 특히 지멘스는 TUV에서 발행하는 인증을 따르고 있는데, 이때 3-3이나 2-4에서 시스템 설계자들이 어떻게 하면 안전하게 설계할 수 있는 지부터 제조사들이 어떻게 하면 제품의 라이프사이클에 맞춰서 안전하게 제품을 생산하고, 4-2에 따르려면 어떤 보안기능을 갖춰야 하는 지에 따라서 알맞게 규격에 맞춘 제품을 생산해서 공급하고 있다. (여기까지 박유진 대리)
Q. 지멘스는 하드웨어 자체에서 화이트리스팅을 지원하나?
A. PLC 자체 하드웨어에서 화이트리스팅을 지원하진 않고, 일반적으로는 프로젝트를 만드는데 있어서 토폴로지라고 하는 설정에서 IP어드레스라든지 해당하는 디바이스들을 선설정해놓는 작업을 하게 되어있다. 그래서 거기에 해당하는 제품들만 기본적으로 통신이 가능하게 설정이 되어 있고, 엔지니어링 스테이션은 화이트리스팅 영역에 들어가 있진 않아서 사용자 인증방식이라든지 프로젝트 자체에 대한 인증방식으로 보안솔루션을 제공하고 있다.
Q. OPC UA의 경우 제로트러스트 기반의 실시간 사무실인증이 포함되어 있나?
A. OPC UA는 산업용 프로토콜이라서 기본적으로 실시간 통신, 심리스 통신을 기반으로 하고 있다. 그래서 제로트러스트를 적용할 수 있는 대상은 아닐 것 같고, 향후에 지멘스는 인증서 기반으로 해서 클라이언트와 서버 간의 인증서 기반 보안을 제공할 수 있다.
Q. 엣지장치 레벨에서의 네트워크 보안에 있어서, 지멘스는 타 경쟁사 대비 어떤 강점이 있나?
A. 지멘스는 엣지디바이스가 출시된 지 얼마 되지 않아서 경쟁사 대비 강점을 말하기는 어렵다. 엣지디바이스 자체도 일종의 컴퓨팅 디바이스이기 때문에, 심층보안 개념에 준해서 보안 레벨을 제공하고 있다.