안전한 계장 시스템을 위한 지속 가능한 사이버 보안 아키텍처 에머슨 DeltaV 제품 매니저 세르히오 디아즈(SERGIO DIAZ), 알렉산드라 페이쇼투(ALEXANDRE PEIXOTO)
최교식 2019-11-11 17:37:23

제품 수명주기 동안 운영 보안을 위한 안전 계장 시스템(SIS) 아키텍처를 선택하는 것은 기업이 가장 먼저 결정해야만 하는 사항이며, 기업은 적용할 수 있는 표준에 대해 잘 알고 있어야 한다.


조직이 안전 계장 시스템(SIS) 프로젝트를 시작할 때 관계자가 가장 먼저 내려야 할 결정 중 하나는 아키텍처에 대한 선택이다.


IEC(International Electrochemical Commission) 62443(ANSI/ISA 62443 표준 제품군)과 같은 국제 사이버 보안 표준의 제약 또는 공정 산업 자동화 기술 사용자 협회(NAMUR) 지침과 같은 가이드라인 내에서 인터페이스 또는 통합 SIS 아키텍처를 사용하여 성공적이고 강화된 시스템을 제공할 수 있다. 조직의 필요에 가장 잘 맞는 결정을 내리는 데는 각 아키텍처가 지니는 고유한 이점과 고려 사항을 이해하는 것이 중요하다.

 

표준의 이해

사이버 보안 표준은 필수 안전과 비 필수 안전의 구성요소를 분리하기 위한 가이드를 제공한다. ISA 지침에 따라 필수 안전 자산은 비 필수 안전 자산과 물리적 또는 논리적으로 분리된 구역으로 그룹화되어 있어야 한다.


NAMUR는 워크시트 NA 163의 ‘SIS의 보안 위험 평가’ 부분에서 유사한 지침을 내리고 있다. 이 가이드라인은 물리적 또는 논리적으로 분리되어 있어야만 하는 핵심 SIS, 확장 SIS, 제어 시스템 아키텍처(NAMUR는 ‘주변 장치(Peripherals)’라고 지칭)의 세 가지 논리적 영역을 정의했다.

 

NAMUR는 ISA 62443 의 사이버보안 표준과 유사한 지침으로, SIS 기능에 따라 핵심 SIS, 확장 SIS, 제어 시스템 아키텍처(NAMUR는 “주변 장치(Peripherals)”라고 지칭)의 세 개 구역으로 구분했다.


핵심 SIS는 안전 기능을 실행하는 데는 필수 구성 요소(로직 솔버, 입/출력 구성 요소, 센서 및 최종 요소)가 있다. 확장 SIS는 안전 기능 실행이 필요가 없는 안전 시스템 구성 요소를 포함 하고 있다(예 : 엔지니어링 워크 스테이션). 주변 장치는 기본 프로세스 제어 시스템(BPCS)과 같은 구성 요소 및 시스템으로, SIS에 직·간접적으로 할당되지는 않지만 안전 기능의 의미로 사용될 수 있다. 안전 기능에는 BPCS에서 재전송된 요청이나 HMI에서 안전 기능을 시각화한 것이 포함될 수 있다.


두 표준 모두 요구되는 아키텍처를 정의하고 있지 않다. 사용자는 최상의 SIS 네트워크 구성 방법을 결정하고 최종 설계가 BPCS와 SIS 사이에 논리적 및 물리적으로 충분히 분리되어 있는지 확인해야 한다. 조직은 SIS 네트워크 설계에 있어 아래의 세 가지 사항을 선택할 수 있다.


• BPCS와 완전히 단절되고 독립적인 분리된 SIS
• 산업용 프로토콜 (일반적으로 Modbus)을 통해 BPCS에 연결되어 인터페이스 된 SIS
• BPCS와 상호 연결되어 인터페이스 된 SIS지만, 충분히 격리되어 있어 사이버 보안 표준에 적합


일부는 분리된 SIS가 다른 SIS 유형보다 좀 더 안전하다고 주장하기도 한다. 하지만, 보안 포스처를 사전에 정의하고 안전 시스템 설계, 구현 및 유지 보수 중에 그 상태가 실행되는 한은 열거된 모든 아키텍처가 강화된 포스처를 제공할 수 있다. SIS 아키텍처가 중요하긴 하지만 안전 시스템의 보안을 정하는데 있어서는 한 가지 뿐이다.

 

심층 방어 최대화

SIS를 보호하려면 심층 방어 접근 방식이 필요하다. 사이버 공격이 매년 증가하면서 필수 안전 자산을 1개 레이어로 보호하는 것은 적합하지 않다. 네트워크 관리자는 안티 바이러스, 사용자 관리, 다단계 인증, 침입 탐지/예방, 화이트리스트, 방화벽 등과 같이 여러 레이어로 보안하여 권한이 없는 사용자는 침입할 수 없도록 해야 한다. 심층 방어 전략의 목표는 접근 제어의 보호 메커니즘을 증가시키는 것인데, 이는 상호 보완하는 보호 레이어를 추가하면 된다.

 

심층 방어-분리 시스템

SIS를 보호하는 가장 일반적인 방법 중 하나는 시스템을 완전히 분리하여 핵심 SIS 기능과 BPCS 사이에 ‘에어 갭(air-gap)’을 만드는 것이다(그림 2). 이와 같은 접근법의 이점은 명확하다. SIS가 다른 시스템과 분리되어 있다면, 자연스럽게 하지만 강력하게 침입을 막게 된다.

에어갭(Air-gap) 인프라 스트럭처는 안전 기능과 비안전 핵심 SIS를 분리하지만, 두 개의 다른 시스템에서 심층방어 안전을 유지하기 위한 추가적인 관리 기능 레이어를 추가한다.


그러나 분리 시스템도 사이버 공격에는 영향을 받지 않는다. 사용자는 결국 이벤트 분석, 우회, 중단, 검증 시험 기록 시퀀스에 대한 이벤트 기록을 추출하거나, 설정 변경 및 보안 업데이트 적용과 같은 작업을 위해서 외부에서 시스템에 접속해야 할 것이다. 업데이트를 위해 흔하게 사용하는 USB 드라이브는 보호가 어렵다.


분리 SIS가 BPCS 보호를 위한 추가 보호 레이어와 같이 여전히 추가적 레이어가 필요한 것은 외부 미디어의 종속성이 주된 이유 중 하나다. 사용자는 적절한 시스템 강화를 위해 두 가지 별도의 심층 방어 아키텍처를 관리해야 하며, 더 많은 작업 시간, 더 긴 다운 타임 및 감독이 보호 레이어의 허점이 될 수 있다.

 

심층 방어-인터페이스 시스템

인터페이스 시스템은 안전 기능이 비안전 기능과 물리적으로 분리된다는 점에서 분리 시스템과 같다(그림 3). 차이점은 인터페이스 시스템에 있다. BPCS의 구성 요소와 핵심 SIS 기능은 산업용 개방형 프로토콜로 설계된 링크를 사용하여 연결된다. 일반적으로 방화벽 또는 기타 보안 하드웨어와 소프트웨어는 BPCS와 SIS 간의 트래픽을 제한한다.

 

인터페이스 아키텍처에서는 SIS를 BPCS와 물리적으로는 분리하지만 연결은 유지한다. 이 구성에서는 일반적으로 여러 개로 설계된 링크와 심층 방어 시스템이 유지관리 되어야 한다.

 

핵심 SIS와 확장 SIS는 물리적으로 주변 장치와 분리되어 있기 때문에 인터페이스 시스템은 ISA 및 NAMUR 표준을 따르는 적절한 보호 기능이 있다. 그러나 별도의 시스템과 마찬가지로 SIS 하드웨어 및 소프트웨어를 보호해야 한다. 사용자는 확장된 SIS와의 연결을 통해 핵심 SIS가 손상되지 않도록 해야 한다. 이것을 보호하기 위해 인터페이스 시스템에서는 여러 시스템에 심층 방어 보안 레이어를 복제해야 한다. 경우에 따라 모니터링이 필요한 여러 사이버 보안 인스턴스가 적절한 보안을 유지하는 데 필요한 워크로드를 증가시킬 수 있다. BPCS와 SIS 간의 링크를 관리하여 시스템을 위험에 노출 시키지 않도록 구성하는 것은 최종 사용자에 달려 있다.

 

심층 방어-통합 시스템

분리 시스템 설계를 위한 또 다른 옵션은 통합 SIS다 (그림 4). 이 접근 방식에서 SIS는 BPCS에 통합되어 있지만 핵심 SIS와 확장 SIS 사이에는 논리적 및 물리적으로 분리되어 있다. 이 경우 일반적으로 기본 내장형 사이버 보안을 사용하는 독점 프로토콜이 제공된다. 따라서 SIS와 BPCS 간의 연결을 수동으로 설계함으로써 발생하는 많은 보안 위험이 제거된다.


통합 SIS에는 분리 시스템과 같은 수준의 심층 방어 보호가 필요하지만 일부 보안 레이어는 BPCS와 SIS를 모두 보호하므로 통합 SIS는 보안 레이어를 모니터링, 업데이트 및 유지 관리하는 데 소요되는 시간과 노력을 줄일 수 있다. 이 접근 방식은 일반적인 보안 레이어 이상의 보호 기능을 제공한다. 통합 SIS에는 핵심 SIS를 보호하도록 설계된 추가 보안 레이어가 있다.


통합 환경에서 핵심 SIS와 확장 SIS 사이의 복잡한 엔지니어링 인터페이스를 제거하면 보다 쉽고 빠른 공장 승인 심사(FAT)가 가능하고, 프로젝트를 재작업 없이 빠르게 온라인으로 가져올 수 있다.

 

진입 포인트 관리

심층 방어 레이어를 신중하게 고려하는 것은 사이버 보안 SIS에 중요하지만 충분하지는 않다. SIS 네트워크에 대한 알맞은 보안을 위해 조직은 진입 포인트를 필수 안전 기능에 제한하고, 진입 포인트에 영향을 미치는 모든 위험을 완화시켜야 한다.

 

통합 SIS 아키텍처에서 논리적 및 물리적 필수 안전 기능은 분리되어 있으며, 여전히 동일한 시스템에 ISA 및 NAMUR 표준을 준수한다. 따라서 여러 심층 방어 설계를 유지할 필요가 없다.


SIS의 필수 안전 기능에 진입 포인트가 많을수록 보안 레이어의 취약성을 악용할 수 있는 사이버 공격의 기회가 더 많아진다. 진입 포인트 5개에 대한 침입을 방어할 수 있겠지만, 단 하나의 진입 포인트를 관리하는 것이 훨씬 쉬우며 자원 집약적이다.

 

진입 포인트-인터페이스 시스템

NAMUR은 SIS 아키텍처 구역에 대한 명확한 가이드를 인터페이스된 포맷으로 제공한다 (그림 1). 다이어그램에서 핵심 SIS, 확장 SIS 및 제어 시스템 아키텍처는 각 영역 내에 격리되어 있다. 세 가지 영역의 아키텍처 요소(엔지니어링 스테이션, BPCS, 플랜트 정보 관리 시스템, 자산 관리 시스템 등) 간 엔지니어링된 연결은 핵심 SIS까지 이어진 여러 잠재적 연결 포인트를 만들 수 있다. 이러한 연결 포인트들은 알맞은 심층 방어로 보호된다는 가정하에 본질적으로 보안에 위험이 되지는 않는다. 각각의 진입 통로를 보호해야 하므로 5개 이상의 보안 하드웨어 및 소프트웨어 세트를 관리해야 할 수 있다.

 

진입 포인트-통합 시스템

통합 SIS 아키텍처는 진입 포인트를 제한하여 설계할 수 있다. 최고의 통합 안전 계장 시스템은 필수 안전 기능과의 모든 트래픽에 대해 게이트 키퍼/프록시 역할을 하는 1개의 구성 요소를 가지고 있다. 이로 인해 1개의 진입 포인트에 대해서만 보호하면 되는데, 이는 BPCS 보호에 동일한 심층 방어 레이어를 사용하고 핵심 SIS에는 좀 더 구체적으로 여러 레이어를 추가 하는 것과 같다. 이러한 설계는 유지관리와 모니터링을 줄이면서 다른 아키텍처와 동일하거나 더 높은 수준으로 표준 SIS를 분리하게 한다.


SIS와 BPCS 사이를 보다 물리적으로 분리하는 것이 좀 더 본래의 보안이라는 가정이 있다. 그러나 에어 갭(air-gap) 시스템의 경우, 더 물리적으로 분리할수록 적절한 심층 방어를 위한 유지관리와 모니터링 비용이 증가할 수 있다. 사이버 보안 표준을 달성하려 노력하면서 성과와 생산을 최적화 하려는 조직은 추가되는 비용으로 인해 에어 갭이 가지는 가치를 국한하게 된다.


통합 및 인터페이스 시스템은 심층 방어 사이버 보안 구조에 유연성을 가지면서 높은 수준의 연결성을 달성할 수 있다. 두 개의 아키텍처 모두 최고 수준의 보안을 제공하기 때문에 시스템 수명주기 동안에 SIS를 지키고 유지하기 위한 실행 팀은 종종 조직의 목표에 맞는 BPCS와 SIS의 선택폭이 많다는 것을 발견한다.

 

이 글은 CONTROL ENGNEERING에 기고된 글입니다. 더 자세한 정보는 www.controleng.com에서 확인할 수 있습니다.

디지털여기에 news@yeogie.com <저작권자 @ 여기에. 무단전재 - 재배포금지>