수정 날짜: 7/31/2024
Claroty 에서 다룬 다른 많은 사이버 보안 주제와 마찬가지로 '산업 제어 시스템'(ICS)이라는 용어는 때때로 정의하기 어려울 수 있습니다. 오늘은 산업 제어 시스템의 의미를 세분화하고 중요한 ICS를 사이버 공격으로부터 보호하는 데 필요한 도구를 제공하고자 합니다. 올바른 사이버 보안 전략을 통해 조직은 ICS와 관련된 위험을 보다 명확하게 파악하고 이러한 위험으로부터 신속하고 효율적으로 보호하고 해결할 수 있습니다.
산업 제어 시스템 은 산업 프로세스를 모니터링, 제어, 운영 및/또는 자동화하도록 설계된 하드웨어 및 소프트웨어 시스템, 네트워크, 제어장치의 집합으로 정의할 수 있습니다. 이러한 시스템은 화학, 전기, 석유 및 가스, 제조, 운송 등 다양한 핵심 인프라 산업에 존재합니다. ICS는 일반적으로 센서, PLC(프로그래머블 로직 컨트롤러), HMI(휴먼 머신 인터페이스) 및 통신 네트워크와 같은 다양한 구성 요소로 이루어져 있습니다. 이러한 구성 요소는 함께 작동하여 온도, 압력, 유량 및 기타 변수와 같은 다양한 운영 기술(OT) 시스템을 모니터링하고 제어합니다.
산업 제어 시스템은 안전과 효율성을 보장하는 데 자주 사용되기 때문에 산업 운영에서 매우 중요한 것으로 간주됩니다. ICS는 비상 종료 시스템, 화재 감지 및 진압 시스템, 독성 가스 감지 시스템 등 안전에 중요한 여러 시스템을 모니터링하고 제어하는 데 사용됩니다. 이러한 시스템은 산업 공정 중에 발생할 수 있는 위험으로부터 작업자와 장비를 보호하도록 설계되었으며, 사이버 공격으로부터 제대로 보호되지 않으면 치명적인 재앙을 초래할 수 있습니다. ICS와 OT의 차이점은 무엇인가요?
이제 산업 제어 시스템의 정의를 알았으니, 이 두 시스템이 운영 기술(OT)과 어떻게 관련되고 어떻게 다른지 이해하는 것이 중요합니다. 두 용어는 때때로 같은 의미로 사용되기도 하지만, ICS는 OT 부문의 주요 하위 집합이며 산업 프로세스를 모니터링하고 제어하는 데 사용되는 시스템으로 구성됩니다. 이러한 시스템은 일반적으로 산업 환경을 위해 특별히 설계된 특수 프로토콜과 하드웨어를 사용합니다. 반면 OT는 ICS를 포함하여 산업 프로세스를 관리하고 제어하는 데 사용되는 모든 하드웨어와 소프트웨어를 포괄하는 훨씬 더 큰 포괄적인 용어입니다. ICS 외에도 OT에는 감독 제어 및 데이터 수집(SCADA) 시스템, 분산 제어 시스템(DCS) 및 산업 프로세스를 관리하고 모니터링하는 데 사용되는 기타 기술 등이 포함됩니다. 이러한 시스템은 일반적으로 안정적이고 안전하며 복원력이 뛰어나도록 설계되며, 구현 및 유지보수를 위해 전문적인 전문 지식이 필요한 경우가 많습니다. 기본적으로 모든 ICS는 OT의 한 형태로 분류할 수 있지만 모든 OT를 ICS로 간주할 수는 없습니다.
이제 산업 제어 시스템의 정의를 알았으니, 이 두 시스템이 운영 기술(OT)과 어떻게 관련되고 어떻게 다른지 이해하는 것이 중요합니다. 두 용어는 때때로 같은 의미로 사용되기도 하지만, ICS는 OT 부문의 주요 하위 집합이며 산업 프로세스를 모니터링하고 제어하는 데 사용되는 시스템으로 구성됩니다. 이러한 시스템은 일반적으로 산업 환경을 위해 특별히 설계된 특수 프로토콜과 하드웨어를 사용합니다.
반면 OT는 ICS를 포함하여 산업 프로세스를 관리하고 제어하는 데 사용되는 모든 하드웨어와 소프트웨어를 포괄하는 훨씬 더 큰 포괄적인 용어입니다. ICS 외에도 OT에는 SCADA(감시 제어 및 데이터 수집) 시스템, DCS(분산 제어 시스템) 및 산업 프로세스를 관리하고 모니터링하는 데 사용되는 기타 기술 등이 포함됩니다. 이러한 시스템은 일반적으로 안정적이고 안전하며 복원력이 뛰어나도록 설계되며, 구현 및 유지보수를 위해 전문 지식이 필요한 경우가 많습니다. 기본적으로 모든 ICS는 OT의 한 형태로 분류할 수 있지만 모든 OT를 ICS로 간주할 수는 없습니다.
가장 일반적인 산업용 제어 시스템 유형은 다음과 같습니다. 감독 제어 및 데이터 수집(SCADA) 시스템입니다. 이 소프트웨어 및 하드웨어 요소로 구성된 시스템은 감독 수준에서 제어 기능을 제공합니다. 이를 통해 산업 조직은 로컬 또는 원격 위치에서 프로세스를 제어하고, 실시간 데이터를 모니터링, 수집 및 처리하고, HMI(인간-기계 인터페이스) 소프트웨어를 통해 센서, 밸브, 펌프, 모터 등과 같은 장치와 상호 작용하고, 이벤트를 로그 파일에 기록할 수 있습니다. SCADA 시스템은 주로 중앙 집중식 제어 시스템을 통해 현장의 장거리 모니터링 및 제어에 사용됩니다. 파이프라인 모니터링 및 제어, 수처리 센터 및 배전, 전력 송배전 등의 산업에서 흔히 볼 수 있습니다.
이러한 시스템을 통해 해당 산업 분야의 작업자는 일상적인 작업을 자동화하여 장거리 이동 없이도 현장 현장을 모니터링하고 제어할 수 있습니다. 비용 절감, 유연성, 성능 효율성 등 SCADA 시스템에는 여러 가지 장점이 있지만 최근 원격 액세스 및 인터넷 연결이 증가함에 따라 이러한 시스템에 대한 위협이 크게 증가했습니다. 극단적인 경우, 이러한 시스템을 해킹하면 공격자가 도시의 상수도 시스템을 제어하거나 전기를 차단하거나 원자로의 오작동을 일으킬 수 있습니다. 이러한 사례는 ICS 보안이 왜 중요한지 잘 보여줍니다.
빌딩 관리 시스템(BMS) 은 ICS의 또 다른 일반적인 예입니다. BMS는 건물 시스템의 다양한 측면을 모니터링하고 규제하는 데 사용되는 컴퓨터 기반 제어 시스템입니다. 건물 관리 시스템의 목표는 시설 운영의 안전을 보장하고 이러한 시스템의 성능을 최적화하고 에너지 소비를 줄이는 것입니다. BMS의 예로는 HVAC 시스템, 조명 시스템, 에너지 관리 시스템, 보안 시스템, 화재 및 생명 안전 시스템, 엘리베이터 및 에스컬레이터 시스템 등이 있습니다. 이러한 형태의 ICS는 운영 비용과 환경에 미치는 영향을 줄이면서 전반적인 운영 효율성, 건물 거주자(많은 경우 의료 서비스 제공 기관(HDO)의 환자 포함)의 편의성, 안전을 개선하도록 설계되었습니다.
SCADA 시스템과 마찬가지로 BMS에 대한 사이버 공격은 심각도에 따라 다양한 문제를 일으킬 수 있습니다. 공격으로 인해 중요한 제조 공정이 중단되거나 변조될 수 있고, 중요한 기업 데이터가 도난당하거나 병원에서 환자의 안전이 위협받을 수도 있습니다. 이 두 가지 예는 다양한 산업에서 사용되는 다양한 유형의 ICS 중 일부에 불과합니다. 그러나 이들 모두는 포괄적인 ICS 보안 전략을 통해 고유한 문제로부터 보호해야 한다는 한 가지 공통점을 가지고 있습니다.
산업 제어 시스템은 사이버 공격에 취약한 5가지 주요 과제를 안고 있습니다:
산업 제어 시스템이 직면한 가장 큰 도전 과제는 IT와 OT. 역사적으로 IT와 OT 시스템은 각 영역을 담당하는 다른 팀에 의해 개별적으로 관리되어 왔습니다. 기술이 발전하고 조직이 상호 연결된 시스템에 더 많이 의존하게 되면서 이 두 영역을 융합하는 방향으로 성장해 왔습니다. IT/OT 융합을 통해 조직은 공급망의 통합과 가시성을 향상시킬 수 있지만 공급망하지만 이러한 상호 연결성은 공격 표면을 증가시키고 해커가 취약점을 더 쉽게 악용할 수 있게 합니다. 또한 많은 조직의 OT 인프라는 사이버 공격으로부터 제대로 보호되지 않습니다. 이는 기존의 IT 보안 도구가 중요한 프로세스를 방해하여 생산 손실 또는 더 심각한 안전 문제로 이어질 수 있는 잠재력을 가지고 있기 때문에 OT 환경을 보호하는 데 사용할 수 없기 때문입니다.
ICS가 직면한 또 다른 주요 문제는 산업 환경에 레거시 시스템이 많다는 점입니다. 많은 산업 제어 시스템은 보안을 염두에 두지 않고 수십 년 전에 구축되었으며, 사이버 공격으로부터 시스템을 보호하는 데 필요한 암호화 및 인증과 같은 기능이 부족한 경우가 많습니다.
많은 산업 제어 시스템에는 충분한 액세스 제어 기능이 없기 때문에 사이버 범죄자가 중요한 시스템에 무단으로 액세스하기가 쉽습니다. 또한 유지보수 또는 기타 목적으로 산업 자산에 대한 원격 액세스가 필요한 내부 및 타사 사용자 문제에도 직면합니다. 타사 사용자는 일반적으로 점프 서버나 기타 인프라를 공유할 수 없기 때문에 관리자에게 비용이 많이 들고 복잡할 수 있어 특히 지원하기가 어려울 수 있습니다. 없는 안전한 원격 액세스조직은 환경에서 수행되는 작업에 대한 가시성이 떨어지고 제어 기능이 부족하여 궁극적으로 가동 시간과 안전에 영향을 미칩니다. 중앙 집중식 모니터링 시스템이 없으면 사이버 사고를 감지하고 대응하는 능력도 제한됩니다.
많은 산업 환경에서는 다운타임을 용납하지 않기 때문에 유지보수 기간이 매우 드뭅니다. 이로 인해 시스템은 예방할 수 있었던 알려진 공격에 노출되기 때문에 특히 위험에 취약합니다.
산업 제어 시스템은 종종 다음과 같은 정교한 사이버 공격의 표적이 됩니다. 지능형 지속 위협(APT). APT 공격자들은 ICS를 표적으로 삼기 위해 맞춤형 도구를 개발했으며, 이러한 공격은 오랜 기간 동안 탐지되지 않도록 설계되어 중요 인프라에 심각한 피해를 입힐 수 있습니다. 강력한 ICS 보안 전략이 없다면 시스템을 보호하기 어려울 수 있습니다.
이제 산업 제어 시스템이 직면한 주요 과제를 살펴보았으니 이제 이를 보호하는 방법을 알아볼 차례입니다. 그 시작은 중요 인프라의 보호와 무결성을 보장하는 ICS 보안 전략을 구현하고, 이를 지원할 수 있는 적절한 사이버 물리 시스템(CPS) 보안 공급업체와 협력하는 것부터 시작됩니다. 여기서부터 시작하세요:
연결된 ICS 환경에서 위험을 줄이고 사이버 복원력을 강화하기 위한 첫 번째 단계는 심층적인 자산 인벤토리를 구축하는 것입니다. 보이지 않는 것은 보호할 수 없으므로 자산 인벤토리는 훌륭한 ICS 보안 전략의 기초가 됩니다. Claroty 와 같은 CPS 보안 공급업체는 조직이 포괄적이고 완전히 자동화된 자산 인벤토리를 확보할 수 있도록 지원하여 심층적인 자산 가시성 원하는 방식으로. 이러한 세분화된 가시성은 ICS 환경의 다양한 신규 및 레거시 디바이스 조합을 식별하고 일반화된 보안 도구에서는 보이지 않는 OT, BMS 및 기타 산업 자산에서 사용하는 독점 프로토콜을 인식하는 데 핵심적인 역할을 합니다.
포괄적인 전사적 가시성이 확보되면 사이버 회복탄력성의 또 다른 주요 장벽을 해결할 수 있습니다. 이 장벽은 산업 제어 시스템에 존재하는 취약성입니다. Claroty 는 중요 인프라 조직이 이 장벽을 제거하는 데 도움을 줄 수 있습니다. 공격 노출 관리 중요 자산과 취약성 및 위험 정보를 자동으로 상호 연관시키는 기능을 제공합니다. 그런 다음 위험이 운영에 얼마나 중요한지, 안전에 미치는 영향에 따라 해결 노력의 우선순위를 정할 수 있습니다. 아시다시피 ICS 환경에서는 패치가 거의 허용되지 않으므로 Claroty 에서 올바른 보완 제어를 식별하고 구현하여 위험 상태를 개선하기 위한 조치를 취합니다. 또한 통합을 통해 사각지대를 안전하게 제거하여 가장 지능적인 공격으로부터 조직을 보호할 수 있도록 합니다.
취약점을 식별하고 위험을 해결하면 Claroty 효과적인 네트워크 보호로 사이버 복원력을 유지하는 데 도움이 될 수 있습니다. 네트워크 보호. 고유한 환경에 맞는 세분화 프로그램을 시작하려면 어떤 정책을 정의하고 어떻게 적용할지, 어떤 기술을 사용하여 정책을 시행할지 결정하는 것이 어려울 수 있습니다. Claroty 은 도메인 전문 지식을 활용하여 기존 인프라를 통해 쉽고 자동으로 시행할 수 있는 세분화 정책을 추천함으로써 이 문제를 해결하여 환경을 보호합니다. 원격 내부 및 타사 사용자에 대한 세분화된 액세스 제어를 적용하여 조직이 안전한 원격 액세스를 보장할 수 있도록 지원합니다.
사이버 복원력을 보장하기 위한 다음 단계는 위협 탐지입니다. Claroty 은 산업 환경에 영향을 미치는 모든 종류의 위협을 탐지할 수 있는 특수 목적의 모니터링을 제공합니다. 상호 연결성의 증가와 디지털 혁신의 발전으로 인해 사이버 공격의 빈도와 정교함이 증가하고 있습니다. 저희 플랫폼은 사용자 환경에서 잠재적으로 위협이 될 수 있는 활동을 명확하게 표시하여 공격 경로를 쉽게 식별하고 해결함으로써 이 문제를 해결합니다. 잠재적인 악성 활동에 대한 경고를 통해 향후 위반을 방지하는 정책을 정의하고 시행할 수 있으며, 심지어 APT 행위자가 저지른 위반도 방지할 수 있습니다. 또한 위협 경보를 간소화하고 오탐을 최소화할 수 있는 역량을 보유하고 있습니다. 산업 환경의 신규 및 기존 디바이스, 시스템, 프로세스는 내재적으로 복잡하기 때문에 위협 모니터링은 오탐이 발생하기 쉽습니다. Claroty 을 사용하면 이러한 오탐을 자동으로 걸러내고 상호 관련된 모든 이벤트를 하나의 알림으로 통합할 수 있습니다.
Claroty 솔루션은 조직의 중요한 ICS를 보호하는 데 도움을 줄 뿐만 아니라 조직이 사이버 보안 프레임워크, 규제 요건, 업계 가이드라인 및 기타 보안 표준을 준수할 수 있도록 특별히 설계되었습니다. 사이버 보안 프레임워크를 준수하면 귀사와 같은 중요 인프라 조직에 사이버 보안 위험을 관리하기 위한 포괄적인 접근 방식을 제공할 수 있습니다. 미국 국립표준기술연구소(NIST)에서 개발한 사이버 보안 프레임워크인 NIST 사이버 보안 프레임워크(CSF) 은 사이버 보안 태세를 관리하고 개선하기 위한 유연한 위험 기반 접근 방식을 위한 지침, 모범 사례 및 표준을 조직에 제공하는 사이버 보안 프레임워크의 한 예입니다. 조직이 다음과 같은 규제 프레임워크에 부합하는 데 도움을 줄 수 있는 CPS 솔루션 제공업체를 찾아보세요. NIST CSF와 같은 규제 프레임워크에 부합하도록 도와주는 CPS 솔루션 제공업체를 찾으면 사이버 보안 태세 강화, 위험 관리 전략 개선, 업계 모범 사례에 대한 적절한 지침의 이점을 누릴 수 있습니다.
마찬가지로, 다음과 같은 참조 모델을 구현하는 것은 퍼듀 모델 과 같은 참조 모델을 구현하면 조직은 공격자가 컨버지드 엔터프라이즈 내에서 수행하거나 액세스할 수 있는 범위를 제한할 수 있습니다. 퍼듀 모델과 유사한 강력한 네트워크 아키텍처는 전반적인 ICS 사이버 보안을 개선하고 향후 추가 보안 조치를 통합할 수 있는 기반을 제공합니다. Claroty 와 같은 CPS 보안 제공업체와 파트너 관계를 맺으면 퍼듀 모델과 같은 개념을 성공적으로 구현하여 산업 제어 시스템 사이버 보안 전략의 성공을 보장할 수 있습니다.
사이버 공격으로부터 산업 제어 시스템을 보호하는 것은 쉬운 일이 아닙니다. 성공적인 ICS 보안 프레임워크 을 성공적으로 구현하는 것은 이러한 사이버 공격이 금전적 영향뿐만 아니라 인간의 건강과 안전에도 해로운 영향을 미칠 수 있다는 사실 때문에 더욱 어렵습니다. 해커들이 산업 조직이 직면한 근본적인 문제를 점점 더 많이 이용함에 따라 기업 환경의 중요 자산에 대한 전체 상황을 파악하는 것이 그 어느 때보다 중요해졌습니다. 이를 통해 팀은 이러한 강력한 기반을 바탕으로 공격 노출 관리, 네트워크 보호 및 위협 탐지와 관련된 성공적인 전략을 구현할 수 있습니다. 적합한 CPS 보안 공급업체와 협력하면 산업 제어 시스템 사이버 보안 전략을 강화하고 사이버 및 운영 복원력을 보장할 수 있습니다.
ICS 보안: 퍼듀 모델
공공 데이터를 공공 지식으로 전환하기: Claroty 연례 보고서의 비하인드 스토리
Q&A: Team82의 첸 프래드킨이 말하는 ICS 위험 및 취약성 환경
