스마트공장 구축/운영 시 보안사고 예방과 신속한 탐지 및 대응 위해 보안 거버넌스 체계 수립해야
[보안뉴스= 홍성권 노르마 컨설팅본부장] 전 세계적인 이슈로 떠오른 스마트공장의 구축은 기업 제조공장에 어떤 변화를 가져올까? 가장 대표적인 변화는 폐쇄망 형태의 공장망(OT망)이 IT망과 통합이 되어, IT망에서 임직원이 제조 어플리케이션을 통해 OT망의 상황을 쉽게 모니터링할 수 있게 된다는 점이다.
[이미지=iclickart]
공장의 스마트화가 진행되면 불필요한 작업시간 또는 작업절차의 단축, 품질검사의 자동화 등을 통한 생산성 개선 등 다양한 효과가 기대되지만 보안대책이 고려되지 않은 공장망은 IT 보안 위협에 노출되어 제조공정 정보유출, 악성코드 감염에 따른 생산라인 중단 등이 발생할 수 있다.
제조 어플리케이션을 이용하여 스마트공장을 추진 시 IT/OT네트워크 구축을 위한 방안을 다음과 같이 제시하고자 한다.
▲IT/OT Network Architecture[자료=노르마]
첫 번째로는 OT Zone에 있는 각종 서버, PC/단말, HMI, PLC/RTU 등 설비에 대해 식별하고 재배치해야 한다. 스마트공장 추진 시, 각 설비가 혼재되어 있는 경우 IT Zone에서 OT Zone의 하부 구간까지 접근이 가능하여 악성코드 감염으로 인한 정보유출, 제조라인의 중단 등이 발생할 수 있다. 따라서 스마트공장 추진 시 ‘IT/OT Network Architecture’를 참고해 기존 공장에 있는 서버/시스템/설비 등을 재배치한다.
두 번째로는 IT Zone과 OT Zone의 연결 지점에 방화벽을 구축해야 한다. OT Zone에 구축되는 방화벽은 IT Zone에서 이용되는 방화벽과 다른 제조사에서 만든 방화벽 사용을 권고한다. 구축된 방화벽에 Rule set을 추가하거나 기존 구축된 방화벽이 있다면 다음 사항을 고려하여 불필요한 정책이 설정되지 않도록 관리해야 한다. 방화벽 Rule set 설정의 기본 원칙은 IT보안과 동일하나 OT Zone의 특성에 따른 보안 Rule set을 설정해야 한다.
△IT Zone과 OT Zone의 직접접근 허용 정책 설정 금지
△데이터 전송 시 필요한 IP와 Port 허용하되 단방향으로 허용
세 번째로는 OT Zone에 있는 설비의 패치를 위한 목적으로 원격접근을 허용하지 않아야 한다. 원칙적으로 외부 인터넷망을 통해 OT Zone에 접근을 허용하지 않아야 한다. 만약 OT Zone에 있는 설비를 원격으로 패치해야 한다면 iDMZ에 구축된 RAS(Remote Access System) 또는 Jump Server를 통해 해당 설비로 접근을 허용하여야 한다. RAS나 Jump server에서 담당자가 직접 모니터링하거나 모니터링 프로그램을 설치해 사후 확인/검증을 해야 한다.
스마트공장 구축에 따른 구축/운영 시 보안사고의 예방과 신속한 탐지 및 대응을 위해 보안 거버넌스 체계를 수립하여야 하므로 다음 사항을 고려하여야 한다.
▲홍성권 노르마 컨설팅본부장[사진=노르마]
첫 번째, 스마트공장의 보안과 관련된 규정을 수립하여야 한다. 스마트공장에서 이용되는 제조 어플리케이션, 서버/DB 등은 IT보안에서 사용되는 규정을 준용해 사용하는 것이 가능하다. 하지만 스마트공장을 위한 보안활동, 예를 들어 스마트공장 네트워크 구성과 방화벽의 Rule set 설정, 백신 등 단말보안 솔루션의 설치와 운영, 원격접근 등은 별도로 규정하는 것이 필요하다. 또한 외부에서 패치파일을 반입해 패치하고자 하는 경우 패치파일의 안전성 검증, 패치파일 작업 절차 등에 대해 절차를 수립해야 한다.
두 번째로는 스마트공장 보안 업무에 대한 수행주체와 책임/역할을 정의해야 한다. 수행주체가 명확하지 않은 보안업무는 아무도 준수하지 않고 그레이 영역으로 남아 보안사고를 유발할 수 있다. 보안업무를 정의하면 관련된 이해관계자가 모두 모여 수행주체를 명확히 정의하고 관련 내용을 교육하고 필요하다면 주기적인 훈련을 실시해야 한다.
[글_ 홍성권 노르마 컨설팅본부장(sungkwon.hong@gmail.com)]
[보안뉴스= 홍성권 노르마 컨설팅본부장] 전 세계적인 이슈로 떠오른 스마트공장의 구축은 기업 제조공장에 어떤 변화를 가져올까? 가장 대표적인 변화는 폐쇄망 형태의 공장망(OT망)이 IT망과 통합이 되어, IT망에서 임직원이 제조 어플리케이션을 통해 OT망의 상황을 쉽게 모니터링할 수 있게 된다는 점이다.
[이미지=iclickart]
공장의 스마트화가 진행되면 불필요한 작업시간 또는 작업절차의 단축, 품질검사의 자동화 등을 통한 생산성 개선 등 다양한 효과가 기대되지만 보안대책이 고려되지 않은 공장망은 IT 보안 위협에 노출되어 제조공정 정보유출, 악성코드 감염에 따른 생산라인 중단 등이 발생할 수 있다.
제조 어플리케이션을 이용하여 스마트공장을 추진 시 IT/OT네트워크 구축을 위한 방안을 다음과 같이 제시하고자 한다.
▲IT/OT Network Architecture[자료=노르마]
첫 번째로는 OT Zone에 있는 각종 서버, PC/단말, HMI, PLC/RTU 등 설비에 대해 식별하고 재배치해야 한다. 스마트공장 추진 시, 각 설비가 혼재되어 있는 경우 IT Zone에서 OT Zone의 하부 구간까지 접근이 가능하여 악성코드 감염으로 인한 정보유출, 제조라인의 중단 등이 발생할 수 있다. 따라서 스마트공장 추진 시 ‘IT/OT Network Architecture’를 참고해 기존 공장에 있는 서버/시스템/설비 등을 재배치한다.
두 번째로는 IT Zone과 OT Zone의 연결 지점에 방화벽을 구축해야 한다. OT Zone에 구축되는 방화벽은 IT Zone에서 이용되는 방화벽과 다른 제조사에서 만든 방화벽 사용을 권고한다. 구축된 방화벽에 Rule set을 추가하거나 기존 구축된 방화벽이 있다면 다음 사항을 고려하여 불필요한 정책이 설정되지 않도록 관리해야 한다. 방화벽 Rule set 설정의 기본 원칙은 IT보안과 동일하나 OT Zone의 특성에 따른 보안 Rule set을 설정해야 한다.
△IT Zone과 OT Zone의 직접접근 허용 정책 설정 금지
△데이터 전송 시 필요한 IP와 Port 허용하되 단방향으로 허용
세 번째로는 OT Zone에 있는 설비의 패치를 위한 목적으로 원격접근을 허용하지 않아야 한다. 원칙적으로 외부 인터넷망을 통해 OT Zone에 접근을 허용하지 않아야 한다. 만약 OT Zone에 있는 설비를 원격으로 패치해야 한다면 iDMZ에 구축된 RAS(Remote Access System) 또는 Jump Server를 통해 해당 설비로 접근을 허용하여야 한다. RAS나 Jump server에서 담당자가 직접 모니터링하거나 모니터링 프로그램을 설치해 사후 확인/검증을 해야 한다.
스마트공장 구축에 따른 구축/운영 시 보안사고의 예방과 신속한 탐지 및 대응을 위해 보안 거버넌스 체계를 수립하여야 하므로 다음 사항을 고려하여야 한다.
▲홍성권 노르마 컨설팅본부장[사진=노르마]
첫 번째, 스마트공장의 보안과 관련된 규정을 수립하여야 한다. 스마트공장에서 이용되는 제조 어플리케이션, 서버/DB 등은 IT보안에서 사용되는 규정을 준용해 사용하는 것이 가능하다. 하지만 스마트공장을 위한 보안활동, 예를 들어 스마트공장 네트워크 구성과 방화벽의 Rule set 설정, 백신 등 단말보안 솔루션의 설치와 운영, 원격접근 등은 별도로 규정하는 것이 필요하다. 또한 외부에서 패치파일을 반입해 패치하고자 하는 경우 패치파일의 안전성 검증, 패치파일 작업 절차 등에 대해 절차를 수립해야 한다.
두 번째로는 스마트공장 보안 업무에 대한 수행주체와 책임/역할을 정의해야 한다. 수행주체가 명확하지 않은 보안업무는 아무도 준수하지 않고 그레이 영역으로 남아 보안사고를 유발할 수 있다. 보안업무를 정의하면 관련된 이해관계자가 모두 모여 수행주체를 명확히 정의하고 관련 내용을 교육하고 필요하다면 주기적인 훈련을 실시해야 한다.
[글_ 홍성권 노르마 컨설팅본부장(sungkwon.hong@gmail.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.png)
.jpg)
.jpg)
.jpg)
.png)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.png){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
