미국 Cybersecurity and Infrastructure Security Agency(CISA)에서 제공하는 OT/ICS 보안 트레이닝(https://ics-training.inl.gov/learn) 프로그램을 정리한 내용입니다.
Security by Obscurity(모호함에 의한 보안)
일부 제어 시스템 엔지니어와 관리자들은 자사의 '독점' 제어 시스템이 사이버 공격으로부터 안전하다고 생각한다. 그들은 시스템의 모호한 프로토콜, 네트워크, 운영 체제를 이해하는 고도로 훈련된 기술자만이 ICS를 공격할 수 있다고 생각한다.
하지만 이는 잘못된 보안 인식이다. 일반적으로 이런 시스템은 보안을 염두에 두고 설계되지 않았으며 취약점이 많다. 더욱이 공격자는 인터넷에서 거의 사용되지 않는 프로토콜이나 운영 체제에 관련된 풍부한 정보를 얻을 수 있다. 공개되지 않더라도 네트워크 프로토콜이 복잡하지 않아 리버스 엔지니어링이 가능하다.
1. Define Defence-of-Depth
DHS의 Recommended Practice: Improving Industrial Control System Cybersecurity with Defense-in-Depth Strategies에서는 심층보안을 "특정 대응책을 여러 계층으로 구현하여 통합적이고 위험 기반의 보안 태세를 구축하는 전체적인 접근"이라고 정의한다.
심층보안이 효과적이려면 사람(People), 기술(Technology), 운영(Operation)이 모두 포함되어야 한다.
- 사람들은 보안 환경에 대해 훈련을 받고 인지해야 하며, 위험한 행동을 허용 가능한 수준으로 줄여야 한다.
- 보호 대상 시스템의 특정한 요구 사항에 맞게 적절한 기술을 구현하고 조정해야 한다.
- 위험에 노출된 작업을 최소화하려면 조직이나 그룹 내에서 작업이 어떻게 진행되는지 알아야 한다.
심층보안은 계층적인 접근 방식이다. 보안 관리(Layer 1), 물리적 보안(Layer 2), 네트워크 보안(Layer 3), 하드웨어 보안(Layer 4), 소프트웨어 보안(Layer 5)의 모든 요소를 동시에 실행하여 취약점을 줄인다.
2. Create a baseline for defending ICS
기준선을 설정하거나 인지하고, 현재 상황을 감사한다. 정책은 문서화되고 공식화되어야 한다. ICS 네트워크 구성 요소를 파악하고 기준선과 비교한다. 국토안보부(DHS)에서 개발한 소프트웨어 도구인 사이버 보안 평가 도구(CSET®)를 이용하여 기준선을 세울 수 있다.
3. Security Management Layer
기술만으로는 문제를 해결할 수 없다. 사이버 보안을 개선하려면 경영진과 직원이 ICS의 전체 수명 주기(설계, 구현, 운영부터 ICS 폐기까지)에 걸쳐 건전한 사이버 보안 관행을 적용하기 위한 지속적인 노력이 필요하다.
선제적 대응의 일환으로 아키텍처 매핑, 위험 평가, 취약점 식별, 훈련 등을 포함하는 사이버 보안 계획을 수립해야 한다.
정책(policy)
IT 조직에서는 정책과 절차가 널리 채택되고 있는 반면, ICS 그룹은 ICS 정책과 절차 개발에 소극적이다. 하지만 정책과 절차는 탄탄한 ICS 사이버 방어의 기반을 형성하며, 심층 방어 전략의 필수적인 부분이다. 그렇다고 매주 16자리의 복잡한 비밀번호를 변경하도록 강요하는 건 바람직하지 않다. 정책을 너무 복잡하거나 부담스럽게 만들어서 사용자가 정책이 보호하려는 조치를 우회하거나 회피하도록 만들면 안된다.
변경 관리(Change management)
공정 장비 변경은 ICS에 상당한 영향을 미칠 수 있습니다. 새로운 공정을 제어하고 모니터링하기 위해 RTU 또는 PLC 프로그램을 작성해야 한다. 간단한 운영 변경에도 ICS 구성 수정이 필요한 경우가 많다.
ICS 공급업체는 소프트웨어 문제를 해결하기 위해 패치를 배포하거나 제품 기능 확장을 위한 업그레이드를 제공한다. 이러한 패치나 업그레이드가 테스트되지 않으면 새로운 사이버 취약점이 발생하거나 기존 소프트웨어가 손상될 수 있다.
그러나 시스템 변경, 특히 보안 패치 적용을 피하는 것은 좋은 전략이 아니다. 보안 패치를 적용하지 않으면 공격자가 시스템을 악용할 새로운 방법을 찾아내면서 시간이 지남에 따라 시스템이 더욱 취약해질 것이다.
ICS를 즉석에서 변경하는 대신, 문서화된 변경 관리 프로세스를 따르면 많은 문제를 예방할 수 있다. 절차에는 변경으로 인해 시스템에 발생할 사이버 보안 문제(있는 경우)와 변경을 수행하고 승인할 권한이 있는 담당자의 역할 및 책임이 명시되어야 한다. 절차는 작업을 상당히 지연시킬 정도로 지나치게 관료적이어서는 안 되지만, 변경 이유와 변경 사항을 적절하게 문서화하는 것의 중요성을 강조해야 한다.
접근 제어(Access Control)
시스템 관리자는 사용자에게 프로세스 모니터링 및 제어에 필요한 권한과 특권만 부여하는 '최소 권한' 전략을 사용해야 한다. 백업이나 기타 시스템 관리 기능을 수행할 책임이 있는 경우, 이러한 작업을 수행할 수 있는 별도의 사용자 ID를 부여해야 한다.
기타: 비밀번호 관리 등
사고 대응
준비 - 식별 - 격리 - 정리 및 복구 - 후속 처리
테스트
최선의 대응 계획이라도 실제 사고 발생 시 직면하게 될 모든 장애물을 예상할 수는 없으며, 예상치 못한 상황에 사람들이 어떻게 반응할지 예측할 수 없다. 실제 사고에서 발생할 수 있는 많은 문제를 경험하기 위해 테스트가 필요하다. 회의실에서 워크 스루(walk-through)를 진행하거나, 실제 공격을 테스트 ICS에 시도하는 시뮬레이션 테스트 등이 있다. 전체 중단 테스트는 심각한 위험을 초래할 수 있다.
포렌식
IT 사이버 포렌식 프로그램을 ICS에 적용하는 것은 어렵다. ICS는 포렌식 프로그램을 수용하도록 쉽게 구성할 수 없다. 비표준 프로토콜, 레거시 아키텍처, 그리고 독점 기술로 인해 ICS 사이버 포렌식 프로그램의 개발 및 구현이 어렵다. 현장 컨트롤러는 로깅 기능을 거의 갖추고 있지 않으며, 갖추고 있다 하더라도 이러한 기능이 비활성화되거나 문제 진단에 필요한 모든 중요 이벤트를 저장할 메모리가 부족한 경우가 많다.
예시 권장사항
- 모든 제어 시스템 자산을 비즈니스 네트워크와 분리된 방화벽 뒤에 배치.
- 원격 액세스를 위해 VPN(가상 사설망)과 같은 안전한 원격 액세스 방법 배포.
- 가능한 경우 기본 시스템 계정을 제거, 비활성화 또는 이름 변경
- 무차별 대입 공격으로 인한 위험을 줄이기 위해 계정 잠금 정책을 구현.
- 강력한 암호 사용을 요구하는 정책 구현
- 타사 공급업체가 관리자 수준 계정을 생성하는 것을 모니터링.
4. Physical Security Layer
서버, 워크스테이션, 노트북, 네트워크 장비, 휴대용 미디어, 장치 컨트롤러 등 ICS 구성 요소에 대한 원치 않는 물리적 접근이나 도난을 방지하는 것을 의미한다. 도난당한 노트북의 하드 드라이브가 암호화되지 않은 경우, 디스크에서 부팅하여 노트북 내부로 침입하지 않고도 데이터를 복사할 수 있다. 또한, 전력 공급 및 통신 회선과 같은 지원 인프라도 보호해야 한다. ICS 전원 스위치에 접근한 공격자는 중요 서버의 전원을 차단하는 것만으로도 서비스 거부(DoS) 공격을 실행할 수 있다.
물리적 보안을 위한 정책과 절차를 개발해야 한다.