업체 최초 ICS(Industrial Control System, 산업제어시스템) 정보보호 컨설팅 방법론 개발
반도체, 에너지/화학 등 산업공정 분야와 스카다 시스템에 특화된 컨설팅 방법론 갖춰



정보보호 전문기업 SK인포섹(www.skinfosec.com, 대표 한범식)은 스카다(SCADA*)로 대변되는 산업제어시스템(ICS, Industrial Control System)에 대한 보안 취약점 진단 컨설팅 방법론을 업계 최초로 개발, ICS 정보보호 컨설팅 사업에 본격 나선다고 22일 밝혔다.

산업제어시스템은 산업 공정과 기반시설, 설비 등의 작업 공정을 감시하고 제어하는 시스템으로 발전소, 교통시스템, 전력 및 유류 관리시스템, 공장 생산라인, 국방시스템 등 국가 기반사업 분야에서 널리 사용된다. 독립된 폐쇄망에서 비공개 전용 프로토콜을 사용하고 있어 상대적으로 보안 수준이 높다고 알려졌다.

그러나 최근들어 시스템 환경이 개방형으로 바뀌고, 네트워크 연결의 확산으로 보안 위협이 잦아지고 있다. 실제로 최근 우크라이나 정전 사태나 국내 한수원 해킹 사고 역시 네트워크를 통해 악성코드를 감염시키는 공격이었다.

SK인포섹이 개발한 ICS 정보보호 컨설팅 방법론은 스카다, 분산제어시스템, 반도체/에너지/화학 공정 프로세스 기반의 보안 분석 프레임워크를 바탕으로 산업제어시스템을 구성하는 IT자산에 대한 아키텍처(Architecture)를 분석하고, 취약점을 찾아내 마스터 플랜을 수립하는데 활용한다. SK인포섹의 표준 보안컨설팅 방법론(ISCM, Infosec Security Consulting Methodology)의 프로세스를 기반으로분석평가설계구현이행 등 총 5단계로 이뤄져 있다.

ICS 정보보호 컨설팅 방법론에는 반도체 등 생산/제조 공정관리 분야(Discrete process), 에너지/화학 공정관리 분야(Continuous process), 그리고 상하수도/공공발전 분야인 스카다 시스템 등 산업분야별 시스템에 특화된 보안 분석 프레임워크(Framework)를 갖추고 있다.

특히 △PLC*, HMI* 등 제어시스템에 대한 시나리오 기반의 모의해킹 기준 및 절차산업제어 영역에 사용되는 IT시스템에 대한 기술적 점검 기준정보보호관리체계의 국제 표준인 ISO27001의 에너지 유틸리티(Energy Utility) 분야 모범사례인 ISO27019를 적용한 관리/물리 진단 기준 등 3박자를 완벽히 갖추고 있다.

이 회사의 컨설팅 사업을 관장하고 있는 이동만 전략사업부문장은산업제어시스템 분야는 IT환경의 폐쇄성과 산업 공정에 대한 이해 부족으로 정보보호 컨설팅서비스가 진입하기 어려운 시장이었다면서이번에 개발한 방법론을 통해 산업제어시스템 보안 수준을 한 단계 발전시킬 수 있도록 하겠다라고 말했다.


* SCADA (Supervisory Control And Data Acquisition)

 : 산업 공정/기반시설/설비를 바탕으로 한 작업공정을 감시하고 제어하는 컴퓨터 시스템


* PLC (Programmable Logic Controller)

  : 릴레이, 타이머, 카운터 등의 기능을 반도체 소자로 대체한 산업용 제어 컨트롤러


* HMI (Human-Machine Interface)

  : 기계 제어에 사용되는 데이터를 인간에게 친숙한 형태로 변환하여 보여주는 시스템



저작자 표시 비영리 변경 금지
신고

티스토리 툴바