ICS 보안 종합 가이드 | Rockwell Automation

ICS 보안 종합 가이드

핵심적인 인프라를 보안하는 것이 그 어느 때보다 중요해졌습니다. 보안 우려의 핵심에는 중요한 질문이 자리합니다. ICS 보안이란 과연 무엇일까요? 산업 제어 시스템(ICS) 보안은 전력망, 수처리 시설, 제조 공장 및 기타 필수 산업 공정을 관리하는 시스템을 보호하는 방어의 최전선입니다. 사이버 위협이 진화하고 중요 산업 시스템에 대한 공격이 정교해지면서, 기업, 정부 및 보안 전문가 모두가 ICS 보안에 대해 이해할 필요성이 커졌습니다.

이 게시물은 노련한 산업 전문가는 물론 운영 기술 입문자들에게도 현대 산업 환경의 근간을 보호하는 데 도움을 주는 가치 있는 인사이트를 제공합니다. ICS 보안의 복잡성에 대해 자세히 살펴보고, 왜 ICS 보안이 산업 인프라의 안전성, 신뢰 및 복원력을 유지하는 데 중요한지 알아봅니다.

산업용 제어 시스템(ICS)이란?

산업 제어 시스템(Industrial Control Systems, ICS)은 현대 산업 운영의 중추로서 중요한 인프라와 제조 공정을 위한 신경계 역할을 합니다. 이러한 시스템에는 다양한 부문의 산업 프로세스를 모니터링, 제어 및 자동화하도록 설계된 다양한 기술과 장비가 포함됩니다.

ICS 보안이란?

ICS 보안은 산업 제어 시스템 보안의 약자로 산업 프로세스를 제어하고 모니터링하는 중요 시스템을 보호하는 데 도움이 되는 사이버 보안의 한 분야입니다. 운영 기술(Operational Technology, OT) 보안이라고도 하며, 다음과 같은 광범위한 산업 인프라를 보호합니다:

감독 제어 및 데이터 수집 (SCADA) 시스템은 여러 곳에 분산되어 있는 프로세스를 모니터링하고 제어하며, 주로 발전, 용수 처리, 석유 및 가스 등의 업계에서 사용됩니다.
프로그래머블 로직 컨트롤러 (PLCs)는 조립 라인 또는 로봇 암 제어 같은 산업 공정 내의 특정 작업을 자동화합니다.
분산 제어 시스템 (DCS)은 서로 연결된 컨트롤러와 센서 간에 이뤄지는 복잡한 산업 공정을 관리하며 주로 정유소, 화학 플랜트 및 제조 시설에서 찾아볼 수 있습니다.
인간-기계 인터페이스 (HMIs)는 산업 프로세스와 상호 작용하고 제어합니다.

ICS 보안의 진화

전통적으로 ICS는 기업 IT 네트워크와 별도로 격리된 환경에서 운영되었습니다. 그러나 효율성과 실시간 데이터 액세스의 필요성이 부각되면서 ICS가 IT 네트워크에 연결되는 경우가 늘어났습니다. IT/OT 통합이라고도 하는 이러한 융합은 상당한 이점을 주었지만, 새로운 사이버 보안 과제도 생겨났습니다.

산업용 사물인터넷(IIoT)은 ICS 환경에 큰 변화를 몰고와 스마트 팩토리와 예측적 유지 보수를 가능하게 만들었지만, 동시에 사이버 위협에 대한 잠재적 공격 표면을 확장시켰습니다.

ICS 보안의 주요 구성 요소:

자산 재고: ICS 환경 내의 모든 장치와 시스템이 포함된 포괄적인 목록 유지 관리
취약점 관리: ICS 구성 요소의 취약점 식별, 평가 및 완화
네트워크 세분화: 보안 수준이 낮은 네트워크로부터 중요 시스템 격리
엔드포인트 보호: ICS 네트워크 내의 개별 장치 보안
패치 관리: 알려진 취약점을 해결하기 위해 소프트웨어 및 펌웨어를 안전하게 업데이트

ICS 보안에는 산업 운영의 무결성, 가용성 및 안전성을 유지하기 위해 사이버 위협으로부터 이러한 시스템을 보호하도록 설계된 다양한 사례와 기술이 포함됩니다. 이는 디지털 시스템 자체뿐만 아니라 디지털 시스템이 제어하는 물리적 인프라를 보호하는 데도 도움이 됩니다.

ICS 보안이 요구되는 산업

에너지 및 유틸리티(발전, 수처리)
제조(자동차, 식음료, 제약)
교통(철도, 항공 교통 관제)
오일 및 가스(정유 공장, 파이프라인)
화학 처리
광업 및 금속

ICS 보안의 중요성

ICS가 제어하는 프로세스의 중요성을 감안할 때 보안 유지가 무엇보다 중요합니다. ICS가 침해되면 다음과 같은 결과가 야기될 수 있습니다.

생산 중단
장비 손상
환경 재해
공공 안전 위험
심각한 재정적 손실

효과적인 ICS 보안 전략을 수립하려면 산업 제어 시스템의 고유한 특성과 요구 사항을 이해하는 것이 필요합니다. 이러한 시스템들 간의 연결과 디지털 의존성이 늘어나면서 강력하고 전문적인 보안 조치의 필요성도 점점 더 커지고 있습니다.

ICS 보안 위협 및 공격의 실제 사례

2024년 미국에서는 48,000개 이상의 ICS 서비스가 노출되었습니다. 작년에 발생한 러시아 사이버 군 2기(CARR)의 공격을 예로 들 수 있습니다. 국가적 지원을 받는 이 조직은 텔레그램(Telegram)을 통해HMI에 무단 접근해 조작함으로써, 텍사스주 멀레슈에 위치한 물 저장 탱크를 범람시켜 다운타임과 손상을 야기했습니다.

ICS 보안이 필요한 이유

강력한 ICS 보안의 필요성이 그 어느 때보다 커졌습니다. 기업 네트워크와 인터넷에 연결되는 산업 시스템이 늘어나면서 사이버 범죄자와 국가 지원 위협 행위자의 매력적인 표적이 되고 있습니다. 통계 수치는 우려할만한 수준입니다.

미국 사이버 보안 및 인프라 보안국 (CISA)에 따르면 2023년 주요 인프라 부문을 대상으로 한 사이버 보안 사고가 전년도에 비해 30% 증가했습니다.
국립 표준 기술 연구소(NIST)는 산업 제어 시스템의 취약성이 2020년에 44% 증가했다고 발표했습니다.
미국 정부 책임처(GAO)의 보고서에 따르면 연방 기관들이 보고한 사이버 보안 사고 건수는 2006년부터 2015년 사이에 1,300% 이상 증가했습니다.
세계 경제 포럼의 2021 글로벌 리스크 보고서에서 중요 인프라에 대한 사이버 공격은 가능성 기준으로 5위, 영향력 기준으로 8위에 올랐습니다.

ICS 침해의 잠재적 영향

ICS 공격이 성공하면 심각하고 광범위한 영향을 미칠 수 있습니다.

안전 위험: 2021년, 미국 플로리다주 올즈마 지역에서는 상수도 시설을 해킹해 수처리 시설에 들어가는 수산화나트륨 농도를 높이려는 시도가 있었습니다. 이 시도는 저지되었지만, 해킹이 일반 대중에게 신체적 위해를 가할 수도 있음을 보여주었습니다.
경제적 손실: 2017년 낫페티아(NotPetya) 공격은 거대 해운 기업인 머스크를 포함한 수많은 기업에 영향을 미쳤으며, 전 세계적으로 100억 달러의 손해를 입혔습니다.
환경 피해: 2000년 호주 마루치 셔에서는 불만을 품은 전 직원이 하수 처리 시설의 통제 시스템을 해킹하여 수백만 리터의 미처리 하수가 지역 공원과 강으로 유입되는 사고가 발생했습니다.
국가 안보 위협: 2015년 우크라이나 전력망에 대한 러시아 해커들의 공격으로 인해 23만 명의 주민들이 최대 6시간 동안 전력을 공급받지 못했습니다. ICS 공격이 중요한 국가 인프라를 붕괴시킬 가능성이 있음을 보여주는 사례였습니다.
평판 훼손: 2014년 독일의 한 제철소는 사이버 공격으로 용광로를 제대로 중단시키지 못해 심각한 피해를 입었습니다. 이러한 사고는 즉각적으로 물리적 및 재정적 영향을 줄 뿐만 아니라 기업의 평판과 고객 신뢰에 심각한 피해를 입힐 수 있습니다.

이 사례들은 강력한 ICS 보안 조치의 필요성을 강조해줍니다. 산업 시스템들 간의 상호 연결이 늘고 디지털 의존도가 높아짐에 따라, 침해로 인한 잠재적 결과는 더욱 심각해지고 있으며, 이로 인해 ICS 보안은 모든 산업 부문의 조직에게 필수 요소가 되어가고 있습니다.

ICS 보안 침해로 인한 재정적 영향

국토 안보 위원회(Committee of Homeland Security의 사이버 위협 스냅샷에 따르면 미국의 경우 데이터 유출로 인한 평균 비용이 936만 달러로 전 세계 평균의 거의 두 배에 달합니다.

다운타임은 비즈니스에 매우 중요하지만 그 심각도는 업계에 따라 달라질 수 있습니다. 최근 한 연구에 따르면 제조 분야의 다운타임 비용은 시간당 260,000 달러를 웃도는 것으로 나타났습니다. 다음은 업계별로 다운타임 비용을 계산하는 주요 방법입니다.

제조 다운타임 = (시간당 인건비 + 시간당 간접비 + 시간당 생산 비용) x 가동 중단 시간
폐수 처리 다운타임 = (규제 벌금 + 환경 정화 비용 + 인건비 + 장비 수리/교체 + 잠재적 공중 보건 비용)
에너지 다운타임 = (전기 판매 손실 + 장비 수리/교체 + 인건비 + 규제 벌금 + 잠재적 안전/환경 비용)

보안 투자의 ROI 입증

보안은 투자가 필요한 영역이지만 이해 관계자들에게 ROI를 입증하는 데 도움이 되는 몇 가지 추적 가능한 지표가 있습니다.

보안 사고 감소: 사이버 공격, 맬웨어 감염 및 무단 접근 시도 횟수를 모니터링합니다.
가동 시간 개선: 중요 시스템의 다운타임 비율을 추적하고 예상치 못한 다운타임의 감소분을 측정합니다.
규정 준수: 벌금이 부과되는 것을 방지하고 실사를 입증하기 위해 업계 표준 및 규정 준수 여부를 문서화합니다.
위험 감소: 직접적으로 수치화하기는 어렵지만 잠재적인 침해의 가능성과 영향을 줄이는 가치를 강조합니다. 위험 평가 프레임워크를 사용하여 위험에 대한 노출이 감소되었음을 입증합니다.

중요 프로세스의 중단에 대한 우려를 해소하는 방법

보안이 곧 운영 중단을 의미하지는 않습니다. 운영 중단을 최소화하기 위해 보안 조치를 전략적으로 구현할 수 있는 몇 가지 방법이 있습니다.

OT 보안 팀의 우선순위에 따라 단계별로 보안 제어 조치를 실시합니다.
가상 패치 또는 보상 제어를 사용해 시스템을 오프라인으로 전환하지 않고 취약점을 해결합니다.
네트워크를 격리된 세그먼트로 분할하여 침해의 영향을 제한합니다.
한 시스템을 오프라인으로 전환해야 하는 경우 대신 사용할 수 있는 백업 시스템을 구축합니다.
필수 가동 시간과 충돌하지 않도록 운영 팀과 테스트 및 업데이트 시기를 조율합니다.

ICS 보안과 IT 보안의 차이점

ICS는 기업 운영의 중추입니다. 전력망에서 제조 라인까지 모든 것과 관련되며, 원활한 시스템 운영은 수익에 직접적인 영향을 미칩니다. IT 보안은 데이터와 네트워크에 중점을 두는 반면, ICS 보안은 시스템이 제어하는 물리적 프로세스를 보안하는 데 중점을 둡니다.

ICS 장치가 사용되는 환경에서 직면하게 되는 도전과제는 보통 고유한 보안 문제를 야기하는 레거시 시스템과 특수 장치로 인한 경우가 많습니다.

많은 ICS 장치들이 더 이상 보안 업데이트가 되지 않는 오래된 운영 체제(예: Windows XP)를 실행합니다.
PLC나 원격 단말 장치(RTU) 같은 임베디드 시스템에는 보안 기능이 내장되어 있지 않은 경우가 많습니다.
ICS 구성 요소는 일반적으로 수명 주기(15-20년)가 길기 때문에 자주 업데이트되거나 교체되지 않습니다.

다양한 위험의 우선순위

ICS와 IT 환경의 위험 우선순위는 근본적으로 다릅니다.

IT 보안의 우선순위: 1) 기밀성, 2) 무결성, 3) 가용성
ICS 보안의 우선순위: 1) 안전, 2) 가용성, 3) 무결성, 4) 기밀성 - 이러한 차이는 장비 손상, 환경 재해 또는 인명 손실 등 ICS 침해가 초래할 수 있는 물리적 결과에서 기인합니다.

사고 감지 및 대응 탐지, 그리고 ICS 환경에서 보안 사고를 감지하고 대응하기 위해 다른 접근 방식이 필요합니다.

ICS 네트워크의 트래픽 패턴은 보통 예측 가능한 경우가 많아 이상 징후를 보다 간단하게 탐지할 수 있지만 해석을 위해서는 전문적인 지식이 필요합니다.
ICS에서 대응 조치는 중요한 프로세스의 중단을 방지하기 위해 신중하게 계획되어야 합니다. IT 시스템과 달리, ICS 구성 요소는 위협이 감지되었다고 그냥 종료할 수는 없습니다.

전문 지식 요구 사항: 효과적인 ICS 보안을 위해서는 다음과 같은 고유한 기술이 필요합니다.

산업 공정 및 제어 시스템에 대한 심도 있는 이해
특수 프로토콜(예: Modbus, DNP3, OPC)에 대한 지식
산업 부문별 규정 요건 숙지(예: 공공 전력용 NERC CIP)

위 표는 IT와 ICS 보안 간의 주요 차이점을 나란히 비교해 보여줍니다.

이러한 근본적인 차이를 이해함으로써, 조직은 IT 보안에서 차용한 한 가지 범용적 접근 방식으로는 ICS 환경의 고유한 과제를 해결할 수 없다는 점을 인지하고 산업 제어 시스템을 보호하기 위해 보다 효과적인 전략을 구축할 수 있습니다.

ICS 보안을 달성하는 방법

산업 제어 시스템을 보호하려면 IT 보안의 모범 사례를 활용하면서 OT 환경의 고유한 도전과제를 해결하는 포괄적이고 전략적인 접근 방식을 취해야 합니다. 조직이 ICS 보안을 효과적으로 달성하는 방법은 다음과 같습니다.

목표 설정 및 보안 프로그램 설계

현재 상태 평가: 모든 ICS 자산에 대해 철저한 재고 조사를 수행하고 기존 보안 조치를 평가합니다.
목표 정의: 업계 표준(예: NIST 사이버 보안 프레임워크, IEC 62443)에 부합하는 명확하고 측정 가능한 보안 목표를 설정합니다.
정책 및 절차 수립: ICS 환경에 맞게 조정된 포괄적인 보안 정책을 수립합니다.
제어 조치 구현: ICS 자산을 보호할 수 있도록 기술, 관리 및 물리적 제어 조치를 구현합니다.
지속적인 모니터링 및 개선: 보안 프로그램을 정기적으로 평가하고 업데이트하여 새로운 위협에 대처합니다.

통합 보안 접근 방식을 위한 IT와 OT 통합

지식 간극 해소: IT 팀과 OT 팀 간의 지식 공유를 촉진하여 상호 이해를 도모합니다.
공동 거버넌스 수립: ICS 보안 이니셔티브를 감독할 기능 간 팀을 생성합니다.
통합 프로세스 개발: 각 영역의 고유한 요구 사항을 존중하면서 IT 및 OT 보안 프로세스를 조정합니다.
호환 기술 구현: IT 환경과 OT 환경 모두에서 효과적으로 작동할 수 있는 보안 솔루션을 선택합니다.
통합 보안 문화 조성: IT 직원과 OT 직원 모두에게 보안 인식 문화를 조성합니다.

여러 개별 도구가 아닌 단일 보안 플랫폼 선택

통합 보안 플랫폼을 도입하면 여러 포인트 솔루션을 구현하는 것과 비교해 여러 가지 이점을 얻을 수 있습니다.

포괄적인 가시성: 통합 플랫폼은 전체 ICS 환경에 대한 전체적인 뷰를 제공합니다.
관리 간소화: 중앙화된 관리는 복잡성을 줄이고 효율성을 높여줍니다.
일관된 정책 적용: ICS 환경 전반에서 통일된 보안 정책을 구현합니다.
사고 대응 향상: 여러 소스의 데이터를 상호 연관시켜 보다 빠르고 효과적으로 위협을 탐지하고 대응할 수 있습니다.
비용 효율성: 여러 이종 도구를 유지 관리하는 것에 비해 총소유비용이 절감됩니다.
확장성: ICS 환경이 확장되거나 진화함에 따라 보안 범위를 쉽게 확장할 수 있습니다.

ICS 보안 프레임워크

이 프레임워크는 어떻게 다양한 보안 구성 요소가 함께 작동하여 강력한 ICS 보안 프로그램을 만드는지를 시각적으로 보여줍니다.

이러한 전략에 따라 포괄적인 보안 플랫폼을 구현하면 ICS 보안 체계를 대폭 향상할 수 있습니다. ICS 보안을 달성하는 것은 진화하는 위협과 변화하는 산업 환경에 앞서 나가기 위해 지속적인 관심, 업데이트 및 개선이 필요한 프로세스라는 사실을 기억해야 합니다.

오늘날의 연결된 세상에서 ICS 보안의 중요한 역할

산업 제어 시스템(ICS) 보안은 기술적으로 필요한 요소일 뿐 아니라 점점 더 연결되는 세상에서 운영의 복원력과 공공 안전을 유지하는 데 핵심적인 요소입니다. 지금까지 살펴본 내용을 요약해보면, ICS 보안은

에너지 및 공공 자원에서 제조 및 운송에 이르는 다양한 부문에서 산업 공정을 제어하고 모니터링하는 중요 시스템을 보호합니다.
기존 IT 보안과 크게 다르며, 레거시 시스템, 특수 장치, 안전성 및 가용성에 대한 우선순위에서 비롯된 고유한 도전과제가 존재합니다.
자산 관리, 취약점 평가, 네트워크 세분화 및 지속적인 모니터링을 통합하는 포괄적인 접근 방식이 필요합니다.
IT 팀과 OT 팀 간의 협업을 통해 현대 산업 환경의 복잡성을 해결하는 통합 보안 전략을 수립해야 합니다.
생산 중단, 장비 손상, 환경 재해 또는 공공 안전 위험으로 이어질 수 있는 사이버 위협으로부터 보호하는 데 중요한 역할을 합니다.

IoT 및 스마트 제조 시대의 ICS 보안 탐색

스마트 제조는 산업 운영을 혁신하고 있지만 이로 인해 새로운 보안 과제가 도입되었습니다. 네트워크에 더 많은 시스템과 장치를 연결하면 공격을 받을 수 있는 영역이 늘어나고 ICS 환경이 사이버 위협에 더 취약해집니다.

산업 시스템들 간의 연결과 디지털 의존도가 늘어나면서 강력한 보안 조치의 필요성이 커지고 있다는 사실은 두말할 나위가 없습니다. 단순히 데이터를 보호하는 것만 중요한 것이 아니라 데이터 무결성을 보호하고 무단 접근을 방지하며 사회와 경제를 뒷받침하는 중요 인프라의 지속적인 운영을 보장하는 것도 중요합니다.

산업 제어 시스템을 강화하는 방법

ICS 보안 환경은 복잡하고 끊임없이 진화하지만, 자체적으로 해결책을 강구하느라 애쓸 필요는 없습니다. 산업 사이버 보안 태세를 강화하기 위한 첫 걸음을 내딛어야 합니다.

현재 상태 평가: 보유한 ICS 자산에 대해 철저한 재고 조사를 수행하고 기존 보안 조치를 평가합니다. 현재 접근 방식의 간극이나 취약점을 파악합니다.
팀 교육: IT 직원과 OT 직원 모두 ICS 보안의 고유한 도전과제와 중요성을 이해하고 있는지 확인합니다. 전문 교육 프로그램에 투자하는 것을 고려합니다.
로드맵 구축: ICS 보안을 강화할 수 있도록 단기적인 성공과 장기적인 전략 목표가 포함된 포괄적인 계획을 수립합니다.
전문가의 지원 요청: ICS 보안에는 전문적인 지식과 경험이 필요합니다. 특정 산업 환경에 맞게 조언과 솔루션을 제공할 수 있는 전문가의 도움을 구해야 합니다.
통합 솔루션 선택: 통합 보안 플랫폼이 어떻게 노력을 간소화하고 ICS 환경 전반에서 포괄적인 보호 기능을 제공할 수 있는지 고려합니다.

ICS 환경의 취약점을 부각시키는 보안 사고가 발생할 때까지 기다리면 늦습니다. 산업 운영을 보호하고 조직을 위해 탄력적이고 안전한 미래를 구축하려면 지금 행동으로 옮기십시오.

문의하기

Published 2025년 3월 27일