NIST는 최근 특별 간행물 800-82를 개정 3판으로 업데이트하여 이름을 변경했습니다: "운영 기술(OT) 보안 가이드." 이 명칭 변경은 산업 제어 시스템(ICS)을 넘어 건물 자동화 시스템, 교통 시스템, 물리적 액세스 제어 시스템, 물리적 환경 모니터링 시스템, 물리적 환경 측정 시스템까지 포함하도록 새롭게 확장된 범위를 반영합니다.
개정안에 대한 의견 수렴 기간이 시작되어 7월 1일까지 진행됩니다. NIST 800-82는 산업 환경을 위한 사실상의 사이버 보안 프레임워크로서 300만 회 이상 다운로드되었습니다.
"이 문서는 OT 및 일반적인 시스템 토폴로지에 대한 개요를 제공하고, 이러한 시스템에 대한 일반적인 위협과 취약성을 식별하며, 관련 위험을 완화하기 위한 보안 대책을 권장합니다." NIST는 사이버 보안 문제뿐만 아니라 OT 환경 특유의 성능, 안정성 및 안전 요구 사항도 고려했다고 덧붙였습니다.
이번 업데이트는 통합 사이버-물리 시스템을 향한 빠른 움직임과 산업, 의료, 상업 시장 전반에서 연결된 디바이스가 현재 직면하고 있는 노출 수준을 인정한 것입니다. 연결된 자산은 효율성을 개선하고 기업 및 중요 인프라 운영자의 혁신을 강화할 수 있는 데이터를 생성하지만, 이러한 연결성은 네트워크에서 격리된 자산이 원격 공격자의 손에 닿을 수 있음을 의미합니다.
이는 현장 디바이스에서 실행되는 로직을 대부분 보호하는 독립형 에어 갭 네트워크에 의해 보호되어 왔던 OT의 새로운 역학 관계입니다. 이러한 유형의 프로그래밍에 대한 원격 변조 가능성은 물리적 안전에 영향을 미치거나 중요한 서비스 제공을 중단시킬 수 있습니다.
NIST의 새로운 지침은 다른 NIST 프레임워크와 공급업체 및 숙련된 실무자들이 이미 공유한 많은 OT 사이버 보안 모범 사례를 반영하고 있습니다. 여기에는 OT 네트워크 및 시스템에 대한 논리적 액세스를 제한하는 네트워크 분할, 신속한 소프트웨어 및 펌웨어 패치, 업데이트 및 완화 구현, 네트워크 모니터링 및 탐지 솔루션 사용, 사고 발생 시 신속한 복구 및 복원을 보장하는 중요 구성 요소의 복원력을 보장하는 조치 등이 포함됩니다.
SP 800-82r3에서 NIST는 OT 위협 및 취약성에 대한 업데이트를 제공하고 권장 위험 관리 관행과 보안 아키텍처, 보안 기능 및 도구에 대해 살펴봅니다. 또한 NIST 사이버 보안 프레임워크와의 연계도 살펴봅니다.
이러한 업데이트 중 몇 가지를 자세히 살펴보겠습니다:
NIST의 업데이트된 OT 지침은 대부분의 OT 환경, 특히 시스템 수준에서 익숙한 기존 안전 및 엔지니어링 보호 조치를 보완하는 정보 보안 위험 관리 방법을 제공합니다.
기본적으로 OT 운영자와 OT 환경은 잦은 변경에 불리한 위험 관리 문화를 가지고 있습니다. 예를 들어 소프트웨어 패치 및 펌웨어 업데이트를 위한 장시간 다운타임을 허용하는 산업 환경은 거의 없으며, 이는 완화 조치의 우선순위가 높아진다는 것을 의미합니다.
SP 800-82r3은 OT 환경에서 위험을 구성, 평가, 대응 및 모니터링하기 위한 지침을 간략하게 설명합니다. OT 프로세스에 가장 적합한 시스템 수준 위험 관리에는 위협 및 완화 구현에 대한 훨씬 더 세분화된 평가가 포함됩니다.
이번 개정에 대한 NIST의 접근 방식은 비용이 많이 드는 장치 및 프로세스 중단을 방지하기 위해 시스템 수준의 업데이트 및 패치를 포함한 모든 위험 관리 활동을 통해 비즈니스 연속성을 보장해야 할 필요성을 강조합니다.
NIST의 개정안은 기업들이 제로 트러스트 아키텍처를 향한 여정을 시작하고 있음을 인정합니다. 제로 트러스트는 기본적으로 디바이스, 사용자 또는 위치나 리소스에 액세스하려는 모든 시도를 신뢰해서는 안 된다고 가정합니다. 제로 트러스트는 사용자가 자신이 주장하는 사용자임을 보장하고, 타사 공급업체 및 계약업체를 포함한 직원과 파트너의 경우 정책 기반 액세스 제어에 따라 사용자가 액세스할 수 있는 시스템을 제한합니다.
OT 내에서 가장 큰 제로 트러스트 과제는 HMI, 컨트롤러 또는 PLC와 같은 일부 레벨 1 또는 2 디바이스가 제로 트러스트 구현의 목표를 충족하는 데 필요한 프로토콜이나 도구를 지원하지 않을 수 있어 실용적인지 의문을 제기한다는 점이라고 이 문서는 지적합니다.
"대신, 조직은 기능적으로 더 높은 수준의 OT 아키텍처(예: 퍼듀 모델 레벨 3, 4, 5 및 OT DMZ)에서 일반적으로 볼 수 있는 장치와 같은 호환 장치에 ZTA를 적용하는 것을 고려해야 합니다."라고 NIST는 설명합니다. "조직은 운영 및 안전 기능에 미치는 영향도 고려해야 할 수 있습니다. 예를 들어, ZTA 솔루션이 리소스 요청에 응답하는 지연 시간을 늘리거나 하나 이상의 ZTA 구성 요소를 사용할 수 없게 되는 경우 어떤 부정적인 영향이 발생할까요? 이러한 분석을 바탕으로 조직은 지연 시간을 최소화하고 적절한 이중화를 보장하여 OT 및 안전 운영에 대한 위험을 최소화하기 위해 ZTA 구현을 조정하는 것을 고려해야 합니다."
소프트웨어 패치와 펌웨어 업데이트는 성공적인 리스크 관리 노력에 매우 중요합니다. 공급업체와 독립 연구자들은 공격자보다 먼저 악용 가능한 취약점을 발견하기 위해 ICS와 OT에 관심을 돌리고 있습니다. Claroty 보안 위협 및 취약성 보고서에는 새로운 공개 사항, 가장 취약한 제품 유형, 보안 문제를 완화하는 방법 등 이러한 여러 가지 동향이 요약되어 있습니다.
NIST 개정판의 이 섹션에서는 패치 관리 지침이 표준 요금입니다: 소프트웨어 업데이트의 샌드박스 테스트를 통해 패치가 프로덕션에 미치는 영향을 파악하고, 운영 체제를 업데이트하고 보완 제어를 적용하여 알려진 취약성 및 익스플로잇으로부터 환경을 안전하게 유지합니다. 또한, 조직은 승인되지 않은 애플리케이션의 실행을 방지하기 위해 많은 OT 환경의 전반적인 정적 특성을 고려하여 애플리케이션 화이트리스트(허용 목록)를 고려하는 것이 좋습니다.
이 문서는 또한 시스템과 미사용 데이터 간의 데이터 흐름에 대한 액세스 제어 및 암호화를 포함하는 애플리케이션 강화 및 전반적인 구성 관리에 대한 구체적인 지침을 제공합니다.
상호 연결된 시스템을 만드는 디지털 트랜스포메이션은 산업 기업에 새로운 효율성과 혁신을 가져다줄 것입니다. NIST 프레임워크는 산업 전반의 위험 관리 표준으로 간주되며 정보 기술(IT), 산업 제어 시스템(ICS), 사이버 물리 시스템(CPS), 확장 사물 인터넷(XIoT)에 이르는 다양한 분야와 기술의 위험을 관리하는 데 사용할 수 있습니다. 그러나 각 공간마다 고유한 위협, 취약성, 위험 허용 범위가 있기 때문에 사이버 보안 위험을 관리하는 데 있어 획일적인 접근 방식은 없습니다. 각 공간마다 관행을 맞춤화하는 방식은 다르지만, 중요한 전략을 세우는 것은 안전하고 효율적인 운영을 위해 큰 도움이 됩니다.
NIST 사이버 보안 프레임워크 2.0을 사이버 보안 전략에 통합하는 방법
NIST 사이버 보안 프레임워크에 대한 최종 가이드
NIST 프레임워크 구현 성과로 인정받은 물 부문
