미국 Cybersecurity and Infrastructure Security Agency(CISA)에서 제공하는 OT/ICS 보안 트레이닝(https://ics-training.inl.gov/learn) 프로그램을 정리한 내용입니다.
IT and ICS Security
ICS 환경은 보통 독립된 시스템으로 경비원, 게이트 등 물리적 보안 요소들로 보호하는 경우가 많았다. 하지만 유지보수 비용을 줄일 수 있는 디지털, 원격 시스템으로의 전환이 이루어졌다. 따라서 ICS 환경은 전통적인 보안 시스템과의 경계가 모호해졌다. 이로 인해 미승인 원격 연결, 웜, 바이러스 등 IT 취약점으로 피해가 발생할 가능성이 증가했다.
iT에서는 기밀성이 가장 중요한 요소이지만, ICS에서는 가용성과 무결성이 더 중요하다. 현재 생산되는 전력량이 얼마인지는 비밀이 아니다. 하지만 전력 발전이 공격으로 인해 멈춘다면 이는 국가 안전에 치명적인 피해를 불러온다.
IT and ICS Communication
determinism
IT 시스템은 유저의 요청이나 유지보수 활동에 따라 네트워크 트래픽이 발생한다. 이는 불규칙적이고 예측 불가능하다. 하지만 control system에서는 이런 트래픽을 예측할 수 있다. 즉 결정론적이다. 따라서 IDS와 같은 시스템을 설정하기 편리하다.
Host Application
IT 시스템은 목적이 다양하므로 이에 맞춰 광범위한 애플리케이션이 사용된다. 반면 ICS 환경에서는 모니터링, 프로세스 제어 등 목적이 제한되어 있다.
Internet Access
IT 네트워크는 광범위한 서비스와 애플리케이션에 접속 가능하다. ICS는 전통적으로는 인터넷 연결이 불가능했다. 격리된 환경에서 구동되기 때문이다. 하지만 원격 관리, 원격 제조사 지원, 예산 제한 등으로 인해 인터넷 연결이 필요해졌다.
IT and ICS Operation
NERC CIP: 전력 부분에서의 컴플라이언스
사이버보안 대응 방법을 ICS에 적용할 수 없는 것은 아니다. 다만 성능에 영향을 주지 않도록 조정해야 한다. 보안 패치는 적용해야 하고, 백업 대책은 DRP에 포함되어야 한다.
변경이 이루어지기 전에 테스트를 진행하는 등 변경 관리가 필요하다.
IT and ICS Support
Anti-Virus and Anti-Malware: ICS는 이런 솔루션을 구동할 여력이 없다. 또한 악성코드 시그니처가 시기적절하게 반영되기 어렵다. primary sever를 두고 업데이트를 자동 push하도록 해야 한다.
Patch Management: 패치가 시스템에 손상을 줄 수도 있다. ICS 자산 소유자는 패치를 모두 구현할지 결정해야 한다. 네트워크를 격리한다 해도 USB, 광학 드라이브, 악성 코드 등으로 문제가 발생할 수 있다.
Support Personel: Human Error를 위한 캠페인이 필요하다.
Security Testing: 시스템의 사이버 리스크를 이해하는 과정. ICS에 대한 광범위한 테스팅은 비정상적인 상태를 유발할 수 있으므로 적절한 도구를 이용해야 한다.
Incident Response and Forensics: ICS 벤더에서 사고 대응 및 포렌식이 편리하도록 만들고 있다.
Outsourcing: ICS에서 핵심 인프라를 아웃소싱하는 건 신중하게 고려해야 한다.