1. 산업 제어 시스템 보안의 이정표, ISA/IEC 62443의 개요
정의: 공장 자동화, 에너지, 발전 등 산업 제어 시스템(IACS)의 전 생애주기에 걸쳐 보안 위협을 관리하기 위해 국제자동화협회(ISA)와 국제전기기술위원회(IEC)가 공동 제정한 OT 보안 국제 표준.
등장 배경: 스마트 팩토리 확산에 따른 IT-OT 융합(Convergence), Stuxnet 등 국가 기반 시설을 노린 사이버 공격 증가, 기존 IT 보안 표준(ISO 27001)의 제어 현장 적용 한계.
2. ISA/IEC 62443의 4개 계층(Tier) 구조
본 표준은 대상과 목적에 따라 총 4개의 그룹(General, Policies, System, Component)으로 구성됩니다.
| 구분 | 명칭 | 주요 내용 및 특징 |
| Tier 1 | General (일반) | 개념, 용어, 지표 및 보안 라이프사이클 정의 (62443-1-x) |
| Tier 2 | Policies & Procedures (정책) | 자산 소유자를 위한 보안 관리 체계 및 인력 교육 (62443-2-x) |
| Tier 3 | System (시스템) | 제어 시스템의 기술적 보안 요구사항 및 설계 (62443-3-x) |
| Tier 4 | Component (구성요소) | PLC, RTU, 센서 등 개별 제품의 보안 사양 (62443-4-x) |
3. ISA/IEC 62443의 핵심 보안 개념
가. Zone & Conduit (구역 및 통로) 모델
Zone: 유사한 보안 요구사항을 가진 자산들의 논리적/물리적 집합.
Conduit: 구역 간의 통신을 수행하는 통로로, 구역 간 경계 보안(Firewall, IPS 등) 적용 지점.
나. 보안 수준 (Security Level, SL)
자산의 중요도와 공격자의 역량에 따라 5단계(0~4)로 구분하여 대응 수준을 결정합니다.
SL 1: 부주의한 실수나 단순 오작동 방지.
SL 4: 국가 지원 조직 등 높은 역량을 가진 공격자의 정교한 공격 방어.
다. 7대 기본 요구사항 (Foundational Requirements, FR)
식별 및 인증 제어 (IAC): 사용자 및 장치 인증.
이용 제어 (UC): 권한에 따른 접근 제어.
시스템 무결성 (SI): 무단 변경 방지.
데이터 기밀성 (DC): 통신 및 저장 데이터 암호화.
제한적 데이터 흐름 (RDF): 불필요한 통신 차단 (Zone/Conduit 연계).
사건에 대한 적시 응답 (TRE): 보안 침해 감시 및 보고.
리소스 가용성 (RA): 서비스 거부(DoS) 공격 방어 및 가용성 확보.
4. IT 보안 표준(ISO 27001)과의 비교
| 구분 | ISO 27001 (IT 보안) | ISA/IEC 62443 (OT 보안) |
| 우선순위 | 기밀성(C) > 무결성(I) > 가용성(A) | 가용성(A) > 무결성(I) > 기밀성(C) |
| 관리 대상 | 정보 자산 (Data) | 물리 공정 및 제어 장치 (Process) |
| 장비 특성 | 범용 OS, 짧은 교체 주기 | 실시간성, 폐쇄적 프로토콜, 긴 수명(10~20년) |
| 가동성 | 패치 및 재부팅 비교적 자유로움 | 24/7 무중단 운영, 실시간성 필수 |
5. 성공적인 OT 보안 구축을 위한 기술사적 제언
Defense in Depth (심층 방어): 개별 장비(Component) 보안부터 네트워크(System), 절차(Policy)까지 다중 방어 체계 구축 필수.
공급망 보안 강화: Tier 4(Component) 표준을 기반으로 납품 장비에 대한 보안 인증(ISASecure 등)을 요구하여 도입 단계부터 보안성 확보.
결언: ISA/IEC 62443은 스마트 제조 환경의 필수 요건임. 기술사는 현장의 가용성을 저해하지 않으면서도 보안성을 확보할 수 있도록 **가시성 확보(Asset Inventory)**와 세분화(Segmentation) 중심의 보안 아키텍처를 설계해야 함.
댓글 없음:
댓글 쓰기