정보통신단체표준( 국문표준) TTAx.xx-xx.xxxx/R1 제( 개) 정일: 20xx년 xx월 xx일 T T A S t a n d a r d 산업제어시스템보안요구사항 1 부: 개념및참조모델 Security Requirements for Industrial Control System Part 1: Concepts and Reference Model
표준초안검토위원회응용보안및평가인증프로젝트그룹 (PG504) 표준안심의위원회 정보보호기술위원회 (TC5) 성명 소속 직위 위원회및직위표준번호 표준( 과제) 제안 이종후 책임연구원 PG504 위원 표준초안작성자 이종후 책임연구원 PG504 위원 조영준 연구원 최승오 연구원 박경미 선임연구원 신동훈 선임연구원 김경민 연구원 민법기 연구원 이진경 연구원 김우년 책임연구원 사무국담당 - 본문서에대한저작권은 TTA 에있으며, TTA와사전협의없이이문서의전체또는일부를상업적목적으로복제또는배 포해서는안됩니다. 본표준발간이전에접수된지식재산권확약서정보는본표준의 부록( 지식재산권확약서정보) 에명시하고있으며, 후접수된지식재산권확약서는 TTA 웹사이트에서확인할수있습니다. 본표준과관련하여접수된확약서외의지식재산권이존재할수있습니다. 이 발행인 : 한국정보통신기술협회회장 발행처 : 한국정보통신기술협회 발행일 : 20xx.xx 13591, 경기도성남시분당구분당로 47 Tel : 031-724-0114, Fax : 031-724-0109
서문 1 표준의목적 본표준의목적은산업제어시스템의보안요구사항을정의하는데있다. 산업제어시스템은 현장장치계층, 제어계층, 운영계층등 3 계층으로구성된다. 본표준의 1부에서는산업 제어시스템보안요구사항을정의하는데필요한보안개념과보안참조모델을기술한다. 2 부에서는현장장치계층에적용되는보안요구사항을정의하고, 3부에서는제어계층에 적용되는보안요구사항을정의한다. 4부에서는운영계층에적용되는보안요구사항을정 의한다. 2 주요내용요약 산업제어시스템은운영계층, 제어계층, 현장장치계층등 3 계층으로구성된다. 본표준 에서는산업제어시스템을구성하는각계층에적용되는보안요구사항을정의하기위해서 필요한보안개념과보안참조모델을기술한다. 산업제어시스템은 IT 시스템과비교하여가 용성의중요도가매우높다. 여산업제어시스템보안개념과보안참조모델을정의한다. 본표준에서는이와같은산업제어시스템의특징을반영하 3 인용표준과의비교 - 해당사항없음 - 1 -
Preface 1 Purpose This standard is to define security requirements for ICS (Industrial Control System). ICS is consist of 3 layers Field Device layer, Control layer and Operational layer. Part 1 describes the security concepts and the security reference model of ICS to define security requirements for ICS. Part 2 defines security requirements for Field Device layer, part 3 defines security requirements for Control layer. And part 4 defines security requirements for Operationa lyer. 2 Summary ICS is consist of 3 layers Operation layer, Control layer and Field Device layer. The standard is to define the security concepts and the security reference model of ICS and the security concepts and the security reference model of ICS will be used to define security requirements of ICS layers. Compared to IT system, the priority of availability requirements is very high. The standard defines ICS security concept and security reference model taking in consideration the characteristics of ICS 3 Relationship to Reference Standards N/A - 2 -
목 차 1 적용범위 1 1.1. 표준범위 1 1.2. 표준구성 1 2 인용표준 1 3 용어정의 1 3.1. 용어정의 1 3.2. 약어 2 4 산업제어시스템보안개념 2 4.1. 산업제어시스템개요 2 4.2. 산업제어시스템특징 3 4.3. 산업제어시스템보안원칙 4 5 산업제어시스템보안참조모델 5 부록 I-1 지식재산권확약서정보 7 I-2 시험인증관련사항 8 I-3 본표준의연계(family) 표준 9 I-4 참고문헌 10 I-5 영문표준해설서 11 I-6 표준의이력 12-3 -
산업제어시스템보안요구사항 1 부: 개념및참조모델 (Security Requirements for Industrial Control System Part 1: Concepts and Reference Model) 1 적용범위 1.1. 표준범위 본표준에서는산업제어시스템의보안요구사항을정의한다. 보안요구사항은외부위협 및내부정보유출위협등에대응하기위해필요하다. 산업제어시스템은운영계층, 제 어계층, 현장장치계층등 3 계층으로구분할수있는데, 본표준에서는각계층별로적 용되는보안요구사항을정의한다. 1.2. 표준구성 본표준은총 4 부로구성되어있다. 1부에서는산업제어시스템보안개념과보안참조모델 을정의하며, 2 ~ 4부는 1부에서정의한보안개념과보안참조모델을고려하여다음과 같이각계층별로보안요구사항을정의한다. 산업제어시스템보안요구사항 2 부: 현장장치계층 산업제어시스템보안요구사항 3 부: 제어계층 산업제어시스템보안요구사항 4 부: 운영계층 2 인용표준 해당사항없음 3 용어정의 3.1. 스마트현장장치 연산및통신기능을제공하는현장장치 3.2. 제어 H/W 제어프로토콜을처리하는임베디드장치로써, 현장장치의상태를수집하거나제어 S/W 의명령을받아현장장치를제어하고, 이벤트사항을통보하는장치로제어계층에위치 3.3. 제어 S/W - 1 -
제어 H/W 등과통신하며관련기기들의상태를모니터링및제어하기위해사용되는 S/W로운영계층에위치 3.4. 현장장치 산업제어현장에서스팀, 액체, 가스등각종물질을계측하거나제어하는데사용되는센 서, 액추에이터( 구동기) 등의장치 3.5. 히스토리안 (Historian) Operational Historian 이라고도하며, 공정데이터, 알람, 운전원이벤트등의정보를시 간순으로저장ㆍ관리하는데이터베이스기능의프로그램 3.6. hard wired 제어시스템의연결방법가운데구리선을이용한연결방법 4 약어 DCS DNP EWS HMI ICS IED PLC RTU Distributed Control System Distributed Network Protocol Engineering Workstation Human Machine Interface Industrial Control System Intelligent Electronic Device Programmable Logic Controller Remote Terminal Unit 5 산업제어시스템보안개념 5.1. 산업제어시스템개요 산업제어시스템이란전력, 가스, 상하수도, 원자력, 운송, 제조등의산업현장을모니터 링하고제어하는데사용되는시스템을의미한다. 산업제어시스템은물리적장치의상태 를계측ㆍ모니터링하고물리적장치를직접제어한다. 따라서산업제어시스템이사이버 공격을받게되면물리적피해를유발하게되며특히사람의안전과환경에영향을끼칠 수있다. 이와같은산업제어시스템은일반적으로발전소, 가스생상ㆍ공급기지, 댐등국가ㆍ사회운영에있어서필수적인기능을제공하는기반시설에서사용된다. 따라서산업제어시스템이사이버공격을받을경우국가ㆍ사회기능이마비되는등피해규모가매우큰경 - 2 -
우가대부분이다. 일반적인산업제어시스템네트워크구성및서비스시나리오는 ( 그림 4-1) 과같다. 센서, 액츄에이터등의현장장치는유무선랜, 시리얼케이블또는구리선에의한 hard wired 방법등을통해 PLC, DCS, RTU 등제어 H/W 와연결되며, 제어 H/W 는 ( 산업용) 이더 넷또는시리얼케이블을통해제어 S/W 와연결된다. ( 그림 4-1) 에서제어 H/W 는센서를통해수집된압력, 온도등의현장장치상태데이터 를취합하여제어 S/W 로전송하며, 사용자는 HMI 등제어 S/W를이용해서취합된현장 데이터를모니터링함으로써현장장치의상태를확인할수있다. 현장에설치된밸브의 개폐등액츄에이터의제어가필요한경우, 사용자는 HMI 등제어 S/W를이용해서제어 명령을입력할수있다. 사용자가입력한제어명령은제어 H/W 에게전달되며, 제어 H/W 는제어명령에따라현장장치를제어한다. 또한제어 H/W는이상상황또는설정된 이벤트가발생한경우에는제어 S/W 에보고( 알람) 를통해해당상황을알릴수있다. 이 와같은명령, 제어, 보고, 모니터링을산업제어시스템의필수서비스로정의할수있다. 한편, 제어 S/W 가운데 EWS는제어 H/W에사용되는제어로직을개발하여제어 H/W에 설치하는기능을제공한다. 따라서 EWS는산업제어시스템필수서비스를직접제공하지 는않지만, 제어 S/W 로분류할수있다. ( 그림 4-1) 산업제어시스템네트워크구성및서비스시나리오 ( 그림 4-1) 은산업제어시스템단일네트워크구성만을나타낸것이다. 산업제어시스템 - 3 -
네트워크는다른네트워크와연결되어확장된산업제어시스템네트워크를구성할수있다. 5.2. 산업제어시스템특징 산업제어시스템에서는 IT 시스템에비해서운영의연속성이매우중요하다. 예기치않은 산업제어시스템의운영중단은 IT 시스템과는비교할수없는큰피해를일으킬수있기 때문이다. 따라서산업제어시스템의유지ㆍ보수는일반적으로사전에계획되고운영에 끼치는영향분석이완료된후에이루어지는것이일반적이다. 그러나산업제어시스템에 서사이버보안사고에의한피해가발생하더라도운영은지속되어야한다. 즉, 산업제어 시스템의경우사이버공격에의한피해가탐지된다고하더라도 즉시시스템을중단하고사고조사및대응을수행할수없음을의미한다. 일반적으로 IT IT 시스템과같이탐지 시스템에서는정보의기밀성유지가높은우선순위를갖는요구사항이라 고한다면, 산업제어시스템에서는가용성이가장높은우선순위의요구사항이다. 산업제 어시스템을관리및운영하는데있어서지연또는중단이발생하지않도록운영환경을 유지하는것이중요하며, 산업제어시스템의핵심기능이제어기능유지를위해서다른 기능을일시적으로제공하지않는상황이발생할수도있다. IT시스템과비교하여산업제 어시스템의특징을살펴보면 < 표 4-1> 과같다. < 표 4-1> IT 시스템과산업제어시스템의특성비교 항목 하드웨어및소프트웨어 네트워크성능요구사항 위험관리목표 사고영향 정보보호우선순위 IT 시스템 산업제어시스템 짧은교체주기 장기간의교체주기 (3 5 년) (15 20 년) 전용애플리케이션및비공개다양한애플리케이션및범용전용프로토콜( 제어프로토콜) 프로토콜사용사용 패치등유지ㆍ보수가용이 패치등유지ㆍ보수가어려움 범용 OS 사용 ( 윈도우, 리눅스등) 전용 OS/ 실시간 OS 사용 전체성능(throughput) 에초점 견고성및실시간요구사항중시 응답의신뢰성이중요하며일부 응답시간이중요하며통신지연 통신지연허용 불허 데이터의무결성중요 인간의안전및시스템가용성중요 일부고장및장애허용 운전정지가허용되지않음 사고발생시산업현장운영사고발생시업무불편및지연중단으로인한인명피해및등상대적으로미미한경제적대규모물리적ㆍ경제적피해피해발생발생 기밀성 > 무결성 > 가용성가용성 > 무결성 > 기밀성 5.3. 산업제어시스템보안원칙 - 4 -
가용성의우선순위가높은특성을고려하여산업제어시스템은다음과같은보안원칙에 따라보안요구사항을만족시켜야한다. 네트워크견고성: 산업제어시스템구성요소는비정상적인통신데이터및과도한양의 통신데이터가유입되는경우에도명령, 제어, 보고, 모니터링등산업제어시스템필수 서비스를제공해야한다. 서비스지속성: 산업제어시스템구성요소는업무연속성확보를위한기능을제공해야 한다. 이는전원, 저장장치등산업제어시스템이사용하는자원의가용성확보와물리적 인공격에대한보호기능등을포함한다. 보안기능: 식별ㆍ인증, 접근통제, 전송및저장데이터보호등산업제어시스템구성요소 의보안성확보를위한보안기능을제공해야한다. 6 산업제어시스템보안참조모델 ( 그림 5-1) 은산업제어시스템보안참조모델이다. 산업제어시스템은운영계층, 제어계 층, 현장장치계층등 3 계층으로구성된다. ( 그림 5-1) 산업제어시스템보안참조모델 - 5 -
운영계층은제어계층으로부터전달받은데이터를통해현장장치상태를모니터링하거 나제어명령을전송하는역할을하며, HMI, EWS 등을포함한다. 히스토리안, 관리콘솔, 백신관리서버등산업제어시스템을관리ㆍ운영하는데필요한 IT 요소들도이계층에위 치하나, 현장장치계층과제어계층에포함되는현장장치와제어 H/W 제어하는데직접 사용되지않기때문에산업제어시스템보안참조모델의구성요소로분류하지는않는다. 제어계층은현장장치에서계측ㆍ수집한데이터를모니터링계층으로전달하거나모니터 링계층의제어명령을받아현장장치를제어하는역할을수행한다. PLC, DCS, RTU 등 의제어 H/W 가이계층에포함된다. 또한제어계층에서데이터를주고받거나, 제어계 층과모니터링과의통신에는산업제어전용프로토콜이사용된다. 프로토콜은앞서 이와같은산업제어 < 표 4-1> 에서기술한네트워크성능요구사항을만족시키는특성을갖 고있다. 대표적인산업제어프로토콜로는 DNP, MODBUS, Ethernet/IP 등이있다. 마지막으로현장장치계층에는센서, 액츄에이터등의상태데이터를계측ㆍ수집하거나 제어하는데사용되는현장장치가포함된다. 현장장치는제어계층과유무선랜, 시리얼 케이블, 구리선에의한 hard wired 방법등으로연결된다. 산업제어시스템을구성하는각계층은계층별로네트워크견고성, 서비스지속성, 보안 기능등산업제어시스템보안원칙을제공한다. 즉, 각계층에서준수하는보안원칙은서 로독립적으로어느한계층의보안원칙이다른계층의보안원칙에영향을주지않는다. 보안원칙을제공하기위해필요한보안요구사항은별도표준에서기술한다. 추가적으로 ( 그림 5-1) 에서보는바와같이각계층에서생산ㆍ가공한데이터는산업제 어시스템보안참조모델내에서만유통되며, 별도로정의된경우에만운영계층을통해서 외부로전송될수있다. 또한업무망등외부로부터산업제어시스템으로데이터가유입 될수없다. 이와같은산업제어시스템으로구성된망의분리는본표준의 2 부 ~ 4부에 서기술되는보안요구사항의수립하는데가정사항으로적용된다. - 6 -
부록 Ⅰ-1 ( 본부록은표준을보충하기위한내용으로표준의일부는아님) 지식재산권확약서정보 해당사항없음 상기기재된지식재산권확약서이외에도본표준이발간된후접수된확약서가있을수있으니, TTA 웹사이트에서확인하시기바랍니다. - 7 -
부록 Ⅰ-2 ( 본부록은표준을보충하기위한내용으로표준의일부는아님) 시험인증관련사항 Ⅰ-2.1 시험인증대상여부 본표준의 2 부 ~ 4부에서기술하고있는 3가지계층으로구분해서시험인증을실시할 계획이있음 Ⅰ-2.2 시험표준제정현황 다음과같이본표준의 2 부 ~ 4부에서시험항목을기술하고있음 - 산업제어시스템보안요구사항 2 부: 현장장치계층 의부속서 A 현장장치계층보 안요구사항시험방법 - 산업제어시스템보안요구사항 3 부: 제어계층 의부속서 A 제어계층보안요구사 항시험방법 - 산업제어시스템보안요구사항 4 부: 운영계층 의부속서 A 운영계층보안요구사 항시험방법 - 8 -
부록 Ⅰ-3 ( 본부록은표준을보충하기위한내용으로표준의일부는아님) 본표준의연계(family) 표준 Ⅰ -3.1 산업제어시스템보안요구사항 2 부: 현장장치계층 산업제어시스템보안요구사항 1 부: 개념및참조모델 에서정의된보안개념과보안 참조모델을고려하여산업제어시스템을구성하는 3계층가운데현장장치계층에위치하 는산업제어시스템구성요소들에대한보안요구사항을정의하고있음 Ⅰ -3.2 산업제어시스템보안요구사항 3 부: 제어계층 산업제어시스템보안요구사항 1 부: 개념및참조모델 에서정의된보안개념과보안 참조모델을고려하여산업제어시스템을구성하는 3계층가운데제어계층에위치하는산 업제어시스템구성요소들에대한보안요구사항을정의하고있음 Ⅰ -3.3 산업제어시스템보안요구사항 4 부: 운영계층 산업제어시스템보안요구사항 1 부: 개념및참조모델 에서정의된보안개념과보안 참조모델을고려하여산업제어시스템을구성하는 3계층가운데운영계층에위치하는산 업제어시스템구성요소들에대한보안요구사항을정의하고있음 - 9 -
부록 Ⅰ-4 ( 본부록은표준을보충하기위한내용으로표준의일부는아님) 참고문헌 해당사항없음 - 10 -
부록 Ⅰ-5 ( 본부록은표준을보충하기위한내용으로표준의일부는아님) 영문표준해설서 해당사항없음 - 11 -
부록 Ⅰ-6 ( 본부록은표준을보충하기위한내용으로표준의일부는아님) 표준의이력 판수채택일표준번호내용담당위원회 제1판 2017.03.21. 제정 TTAx.xx-xx.xxxx - 응용보안평가인증 / PG (PG504) - 12 -