최근 제조 기업들의 디지털 전환이 가속화되는 가운데 기업들에게는 한 가지 걱정거리가 생겼어요. 바로 생산 시설을 대상으로 한 사이버 공격이에요. IBM의 연례 보고서에 따르면 작년 전 세계에서 금융권을 제치고 가장 많은 사이버 공격을 받은 업종이 제조업이었다고 해요. 2022년 12월 우리 회사는 사이버 보안 위협에 대응하기 위해 국내 최초로 IEC 62443-4-1 인증을 취득했는데요. 자동화연)Network Architect Chapter 이수강 매니저가 IEC 62443 취득이 지니는 의미를 소개해드릴게요.
산업 제어 시스템의 보안성을
높이기 위해 보안에 대한
전체적인 접근 방식을 정의한
국제 표준 규정이에요.
2019년, 세계 최대 알루미늄 제조사인 노르스크 하이드로가 랜섬웨어 공격을 받아, 노르웨이, 브라질, 미국 등 자사 자동화 공정 일부가 중단된 일이 있었어요. 보안 공격의 여파가 바다 건너까지 퍼진 이유가 무엇이냐고요? 요즘은 PLC를 비롯한 공장 내 장치들이 네트워크에 연결되기 때문에 사이버 공격을 받으면 그 여파가 전방위로 확대될 수 있어요. 이는 기업뿐만 아니라 시장 전체에도 위협 요소예요. 당시 노르스크 하이드로의 공정 중단으로 인해 글로벌 알루미늄 가격이 1.2%나 급등했다고 해요.
IEC(국제전기기술위원회)는 산업 제어 시스템의 사이버 보안을 위한 국제 표준을 마련하고 있는데요. IEC 62443이 바로 그것이에요. 사이버 보안 시스템 구현을 위해서는 IEC 62443 규격에 따라 제품이 개발되어야 해요. 산업 제어 시스템을 비롯한 OT(Operational Technology)에 IT 시스템과는 다른 보안 규정이 필요한 데에는 이유가 있어요. IT 시스템은 기밀성, 무결성, 가용성이라는 보안의 세 가지 핵심 요소 중 기밀성을 가장 중요한 요소로 취급해요. 은행 시스템에 대한 해킹을 떠올려 보시면 이해가 쉬울 거예요. 반면 OT 보안에서는 앞서 살펴본 것처럼 생산 시설 중단이 가장 치명적인 상황이기에 가용성을 중요하게 취급할 수밖에 없어요. IEC는 바로 그러한 환경 차이를 고려해 산업 제어 시스템의 보안을 위한 국제 표준을 정의하고 있답니다.
안전한 제품을 개발할
프로세스가 마련되었음을
인증해주는 규정이에요.
IEC 62443은 일반, 정책 및 절차, 시스템, 구성 요소 4개 영역에서 보안 표준을 정의하고 있는데요. 사양에서 통합, 운용, 유지보수 및 폐지까지 산업의 전 과정을 포괄하고 있고, 기업들은 시스템 설계자, 제품 공급자 등 역할에 따라 보안 표준 사항을 선택해 취득할 수 있어요. 예를 들어 제품 공급자인 우리 회사의 입장에선 장치 보안에 필요한 요건을 규정하는 IEC 62443-4-1과 IEC 62443-4-2의 취득이 중요해요.
우리 회사가 국내 최초로 취득한 IEC 62443-4-1은 제품 개발 프로세스에 관한 규정이에요. 이 프로세스에 따르면 제품 공급자는 개발, 테스트 부서 등 제품 개발에 참여하는 조직의 역할과 역량을 설정해야 하고, 개발 진행 중에는 사이버 보안에 대한 위협 모델링, 위협 요소에 관한 대응법 등의 세부적인 절차를 마련해야 해요. 또한 제품 양산 후 보안 문제 발생 시 각 조직이 어떻게 대응할지도 논의해야 하죠. IEC 62443-4-1 인증을 취득했다는 건 한마디로 사이버 보안 제품을 개발할 준비가 완료되었다는 것을 의미해요.
IEC 62443-4-2는 4-1을 취득한 후에 받을 수 있는 인증인데요. 사이버 보안 제품이 갖추어야 할 사항을 규정하고 있어요. 4-2를 취득한 제품은 기본적으로 장치의 사용자를 식별하고 인증할 수 있어요. 적법한 사용자가 기기에 접속했는지 확인하고, 그가 언제 접속해 어떤 행위를 하였으며, 언제 종료했는지 등의 이력도 남게 돼요. 이러한 이력이 삭제되지 않고, 적절한 권한이 있는 관리자가 확인 및 관리할 수 있는 기능 역시 포함하고 있어요. IEC 62443-4-2는 제품의 보안 등급(SL, Security Level)을 1~4단계까지 정의하고 있는데요. 1단계는 우연히 발생한 사이버 보안 위협에 대응하는 수준을 말하고, 4단계는 조직적이고 계획적인 공격에 대응할 수 있는 수준을 의미해요.
사이버 보안 제품 개발을 위해
자동화CIC에서는 2019년부터 IEC 62443 인증 취득 준비를 시작해 사이버 보안 제품 개발 및 인증 유관 부서와의 협의를 진행해왔어요. 2021년부터는 IEC 62443-4-1 인증을 위한 과제에 본격적으로 착수해 2022년 12월 인증을 획득할 수 있었죠. 올해엔 사이버 보안 제품 개발에 앞서 필수적인 개발 요소들에 대한 기술적 준비를 진행했는데요. 개발자 대상으로 사이버 보안 전문가 과정 교육을 진행해 자격을 취득케 했고, 사용자 식별 및 인증을 위한 솔루션 검토, 위협 모델링 및 시큐어 코딩 과정에 대한 검토도 진행했어요. 내년부터는 2026년 제품 출시를 목표로, 사이버 보안 대상 제품을 선정하여 제품 개발을 추진할 예정이에요.
내년에는 IEC 62443 추가 취득과
보안 제품 개발을 동시에 추진해요.
우리 회사는 내년부터 IEC 62443-4-1 ML3와 IEC 62443-4-2 SL1 인증을 추가로 취득할 계획인데요. 4-1의 ML은 ‘Maturity Level’의 약자로 성숙도 단계를 의미해요. ML2가 ‘문서상의 프로세스가 존재한다’는 수준을 인증하는 단계라면 ML3은 실제 제품을 개발해 문서상의 내용들이 보완되는 단계를 말하죠. IEC 62443-4-1 ML3 인증을 취득하면 SL1 제품을 개발할 수 있어요. 내년부터 SL1의 제품을 개발하고 추후 더 높은 단계의 제품도 개발할 계획이랍니다.
OT와 IT의 결합으로 제조 기업을 대상으로 한 사이버 공격이 점차 늘고 있다는 소식을 접할 때마다 사이버 보안 제품 출시에 박차를 가해야겠다는 생각이 드는데요. 고객이 필요로 하는 제품을 선정해, 가장 빠르고 효율적인 방식으로 제품을 개발하고 이를 인증받기 위해 노력하려 해요. 고객은 사이버 공격에 대한 걱정을 덜고, 우리 회사는 새로운 매출원을 확보할 그 날을 기대해주세요!
이번 시간엔 우리 회사가 취득한 IEC 62443 인증에 관해 알아보았는데요.
한번 배운 내용 잊어버리면 너무 아깝겠죠?
아래 문제를 풀어보고 오늘 배운 내용 잊지 마세요~
