‘뉴 노멀(New Normal)’ 환경에서의 안전한 플랜트 운영
JAIME FOOSE
발전 및 수처리 솔루션 사업부 보안 솔루션 그룹 매니저, 에머슨 프로세스 매니지먼트
<에머슨의 보안 솔루션 그룹은 사이버 보안 서비스 포트폴리오를 확대해, 발전소가 강력한 보안 태세를 갖출 수 있도록 우수사례 접근방식을 제공하고 있다.>
‘뉴 노멀(New Normal)’이라는 말이 있습니다. 발전 산업에 대한 사이버 위협의 빈도와 그 복잡성은 나날이 증가하고 있습니다. 동시에, 사이버 보안 준수 의무도 진화를 거듭하고 있습니다.
이런 환경에서 유틸리티(utilities)설비 분야에서는 시스템 안전을 보장하고 보안 프로그램을 구축하는 동시에 규정을 준수해야하는 필요성이 더욱 커지고 있습니다. 대부분 최소한의 인력으로 운영되는 발전소에서 이렇듯 직원들의 시간을 빼앗는 작업은 부담스러울 수밖에 없습니다. 점점 더 많은 유틸리티가 제어 시스템 공급업체에 도움을 요청하는 이유가 바로 여기에 있습니다.
운영에 필요한 기술을 보유하고 있는 전문 직원과 사이버 보안, 제어 시스템 및 발전 산업 경험을 두루 갖춘 제어 시스템 공급업체는 유틸리티가 플랜트 내 자동화 및 제어와 관련된 위험 지역을 식별하는 데 도움을 제공할 수 있습니다. 에머슨은 보안 문제에 있어서 언제나 고객과 긴밀한 협력을 유지하며, 에머슨의 보안 솔루션 그룹은 최근 사이버 보안 서비스 포트폴리오를 확대해 발전소가 강력한 보안 태세를 갖출 수 있도록 우수사례 접근방식을 제공하고 있습니다. 이 포트폴리오에는 사이버 보안 평가, 정기적인 사이버 보안 서비스, 보안 프로그램 및 규정준수 서비스가 포함되어 있습니다.
사이버 보안 평가
사이버 보안 평가는 발전소가 사이버 자산을 확인하고, 취약성을 평가하고, 적절한 보안 제어 및 보호조치의 배치를 통해 사이버 보안 위험을 최소화하는 권고사항을 제시하도록 설계되었습니다. 사이버 보안 평가 서비스에 포함되는 항목은 다음과 같습니다.
? 목표 시스템과 주요 산출물 확인을 위한 초기 현장 시찰
? 세부 평가 계획
? 플랜트 전역 사이버 자산 목록 및 감사
? 목표 시스템의 네트워크 매핑(network mapping)
?포트, 프로토콜, 서비스 및 시스템 스캐닝을 통한 호스트 기반 취약성 평가
? 네트워크 보안 분석
? 위험 완화 분석, 검토 및 보고
? 완화 및 개선 권고
조직 보안 태세의 지속적인 개선을 평가 및 추적하기 위해서는 연례 평가가 권장됩니다.
정기적인 사이버 보안 서비스
패치 관리, 안티바이러스(antivirus) 보호, 백업 및 복구 계획은 조직 보안 프로그램의 핵심입니다. 업계 모범사례는 매달 패치 배포, 매주 안티바이러스 프로그램 업데이트, 잦은 백업을 제안합니다. 이런 업데이트 작업은 플랜트 직원들의 업무 부담을 가중시킵니다.
정기적인 사이버 보안 서비스에는 패치 배포를 위한 고객 작업장 정기 방문, 안티바이러스 프로그램 업데이트 및 설치, 백업 생성, 검증 및 보관이 포함됩니다. 어느 서비스든 다른 중요한 업무를 수행하는 필수 인력을 전용하는 일은 없습니다. 또한 이 서비스는 서버, 워크스테이션, 제어기, 네트워크 장비를 비롯한 주요 제어 시스템 구성요소의 전반적인 상태 및 진단 검토와 같이 정기적인 주의를 요구하는 다른 사이버 보안 또는 예방 유지보수 업무에 맞춰 다양한 항목을 포함할 수 있습니다.
보안 프로그램 및 규정준수 서비스
악마는 세부 사항들 속에 있다(the devil is in the details)는 말이 있습니다.
이 말은 특히 진화를 거듭하고 있는 북미전기신뢰성공사(North American Electric Reliability Corporation, NERC)의 주요 인프라 보호(Critical Infrastructure Protection, CIP) 표준에 비춰볼 때 보안 프로그램과 규정준수에 적합한 말입니다. 이 서비스 부문은 유틸리티가 규정을 준수하는 보안 및 규정준수 프로그램을 평가, 개발 및 실행하고 발전 산업 모범사례를 따르도록 지원을 제공하는 데 초점을 맞추고 있습니다. 이 차이는 너무나 중요합니다. 금융 혹은 IT 산업에서 따르던 기존의 모범사례가 발전 산업에도 모범사례란 법은 없고, 사실상 해가 되는 경우도 있기 때문입니다.
사무 환경을 예로 들면, 일정 시간 동안 사용자의 활동이 없는 워크스테이션은 잠금 상태가 되는 것이 IT 업계의 모범 사례입니다. 그러나 이런 상황은 제어실에서, 특히 운전원이 패스워드를 잊어버려 다시 로그인할 수 없는 경우 심각한 결과를 낳을 수 있습니다. 상식과 발전 산업 모범사례가 우선시되어야 하는 이유를 보여주는 좋은 예라 하겠습니다.
보안 프로그램 관련 업무는 다음과 같습니다.
* 규정준수 격차 확인
* 규정준수 감사에 필요한 문서 지원 및 증거 수집
* 필요 시 보안 프로세스와 절차 개발 및 개정
* 사이버 보안 인식 교육 실시
단일 솔루션 아닌 다양한 솔루션
두 플랜트가 완전히 똑같을 수 없듯이, 진화하는 사이버 보안의 위협을 해결하는 솔루션이 단 하나일 수는 없습니다. 사이버 보안 서비스는 기존 프로그램과 계획이 단일 위치에 있든 Fleet 전체에 있든 그 틀 내에서 맞춤형으로 발전해 나가야 합니다.
발전 산업은 증가하는 사이버 보안 위협과 더불어 진화하는 규정준수 의무에 계속해서 직면할 것입니다. 그럴수록 규정준수 의무 및 보안 모범사례에 기반한 보안 프로그램을 개발하는 지혜가 필요합니다. 이것이 시스템 안전을 제대로 보장하고, 규정준수를 위한 솔루션을 제공하며, 메가와트급 생산을 유지하는 최고의 접근법인 것입니다.
JAIME FOOSE는 보안 솔루션 그룹은 강력한 보안 태세를 갖추고 NERC CIP 준수 및 사이버 보안 전반에 걸친 문제에 직면한 고객사들을 지원하며, 발전 어플리케이션을 위한 사이버 보안/ NERC CIP, 디지털 bus 기술, SCADA, 이더넷, 직렬 통신 인터페이스를 포함한 프로그램, 프로젝트 관리, 프로젝트 실행, 소프트웨어 개발 등 다양한 분야에서 14년간 폭넓은 경험을 쌓았다. 피츠버그 대학교에서 컴퓨터공학 학사 학위, 로버트모리스 대학교에서 정보기술 및 프로젝트 관리 석사와 경영학 석사 학위를 받았다.