<특집: 제어 시스템 사이버 보안 대책의 현황과 과제>제어 시스템 벤더의 취약성 대응 현실 > 전체기사

전체기사
Monthly Magazine of Automatic Control Instrumentation

기획특집 <특집: 제어 시스템 사이버 보안 대책의 현황과 과제>제어 시스템 벤더의 취약성 대응 현실

페이지 정보

작성자 댓글 0건 조회 3,614회 작성일 21-02-04 15:48

본문

그림 1. 사이버 보안 리스크


 

서론

제어 시스템 사용자(이하 사용자)가 목표로 하는 장치의 장기적인 안정 가동을 실현하는데 있어서 중요한 리스크 중 하나로 사이버 보안 리스크가 있다. 사용자가 사이버 보안 리스크를 관리하기 위해서는 리스크를 평가하고 허용 가능한 수준까지 리스크를 줄이기 위한 보안 대책을 실시하는 것이 중요하다. 이 사이버 보안 리스크 관리 활동을 위해 제어 시스템 벤더(이하 벤더)에게는 취약성에 대한 대응이 요구된다. 여기에서의 취약성 대응이란 벤더가 제품의 취약성에 관한 정보 및 대책을 사용자에게 제공하는 지원을 가리킨다. 벤더에게 요구되는 것은 제품의 취약성 정보를 입수하여 필요한 대책을 검토하여 실시한 후에 정확한 정보 및 대책을 사용자에게 제공하는 것이다.


당사 그룹에서는 2005년에 취약성 대응 체제를 구축하고 운용을 시작하였다. 그러나 벤더로서 취약성에 대해 어떻게 대응할 것인가?’라는 점에서는 명확한 답은 찾지 못하고 시행착오를 반복해왔다. 본고에서는 당사 그룹의 취약성 대응과 특히 중요하다고 생각되는 취약성 대응의 포인트에 관해 소개한다.

 

취약성 대응에 대해

취약성이란 보안상 약점이다. 본고에서는 특히 소프트웨어에서의 보안상 약점을 취약성이라고 한다. 벤더는 제품 출하 전에 최대한 취약성을 제거하기 위해 노력하지만 모든 취약성을 제거하기는 어렵다. 또한, 사이버 공격 수법의 진화에 따라 제품 출하 시에는 문제가 없어도 제품 출하 후에 취약성이 드러나는 경우가 있다. 제품 출하 후 취약성을 발견한 경우 벤더는 취약성에 관한 정확한 정보를 입수하고 필요한 대책을 검토 및 실시한다. 필요한 준비가 되는대로 사용자에게 취약성에 관한 정보와 대책을 제공하는 취약성 대응을 실시한다.


당사 그룹은 2005년에 이 취약성에 대응하기 위한 체제를 구축하고 운용을 시작하였다. 당시에는 아직 제어 시스템 보안이 중요한 과제로 인식되지 않았으며 또한 취약성 대응의 지식도 적었기 때문에 시행착오를 반복하면서 대처해왔다.

본고에서는 이러한 취약성 대응에 관한 당사의 지식을 소개한다. 먼저 제어 시스템의 보안 확보에서 벤더의 취약성 대응이 가진 위치에 대하여 설명하고, 이어서 현재의 당사 그룹 취약성 대응 체제에 대하여 설명한다. 마지막으로 취약성 대응에서의 중요한 포인트에 대하여 설명한다.

 

제품 취약성 대응의 자리 매김

벤더는 제품에 대하여 개발 단계에서 적절한 보안 대책을 실시한다. 이 보안 대책에는 사용자 인증이나 암호화라고 하는 보안 기능 요건의 구현과 취약성 제거라고 하는 비기능 요건의 충족이 있다. 제품 개발 단계에서 가능한 한 취약성을 제거하기는 하지만 제품 출하 후에 취약성이 발견되는 경우도 있다. 제품 출하 후에 취약성이 발견된 경우에는 사용자에 대하여 취약성의 정보와 대책을 제공하는 취약성 대응을 실시한다.


제품의 취약성은 소프트웨어의 보안상 약점이다. 사이버 공격을 받지 않으면 제품의 동작에 미치는 영향이 없다는 점에서 제품의 기능 장애와는 다르다. 이 취약성에 관한 사이버 보안 리스크는 <그림 1>의 식으로 나타낼 수 있다.

 

만약 공격을 받을 가능성이 없는 경우에는 리스크 제로가 되기 때문에 취약성이 있다고 해도 그 대책을 실시하지 않아도 된다. 한편 공격을 받을 가능성이 있으며 피해 영향도가 막대한 경우에는 경미한 취약성이 있어도 리스크가 높아지기 때문에 시급하게 대책을 실시할 것이 요구된다. 사용자가 자신이 관리 및 운용하는 제어 시스템에 대한 사이버 보안 리스크를 적절하게 관리할 수 있도록, 벤더는 리스크를 평가하기 위한 취약성 정보를 제공함과 동시에 리스크를 줄이기 위한 취약성 대책을 제공할 필요가 있다.

 

당사 그룹의 취약성 대응 체제

당사 그룹에서는 제품 취약성에 관한 정보와 대책을 제공함으로써 사용자에 의한 리스크 관리를 지원한다는 기본 방침(1)을 정하고 취약성 대응을 실시하고 있다.


(1) 취약성 대응 조직 체제

당사 그룹에서는 취약성을 다루는 조직인 Yokogawa PSIRT(Product Security Incident Response Team)가 중심이 되어 사내외 이해관계자와 제휴하여 제품의 취약성 대응을 실시하고 있다.(그림 2)


49648412021d50a5392e39b93fdb3681_1612421316_74.jpg

그림 2. 취약성 대응 조직 체제 



..(후략)


川俣 創 林 健太郎 / 요꼬가와전기

  본 기사는 2021년 2월호에 게재되었습니다. 

  

-------------------------------------------------------------------------------------------------------------------------

본 기사는 월간지[計側技術] (일본일본공업출판주식회사 발행)로부터 번역·전재한 것입니다.

전체 기사를 보기 원하시는 분께서는 아래 메일 주소로 문의 주시기 바랍니.

autocontrol5@autocontrol5.co.kr / 031-873-5686

제어계측사     대표자  이윤성     사업자등록번호  107-19-58315     TEL  031-873-5686     FAX  031-873-5685
ADD  경기도 의정부시 신흥로258번길 25 해태프라자 1501호      E-mail  autocontrol5@autocontrol5.co.kr
Copyrights ⓒ 2020 제어계측사 All rights reserved.