Cyber Security of Nuclear Power Plant

건국대학교IT융합정보보호학과

박승수blackkae@konkuk.ac.kr

1

IDEX

2

3

배경 지식

4

• 원전 운전에 대한 보호와 감시 및 시스템 제어기능 수행

• 아날로그 기술에서 컴퓨터와 데이터통신망을 기반으로 하는 디지털 기술로 변모

• PLC(Programmable Logic Controller) 및 DCS(Distributed Control System)를 기반으로 설계 및 제작

• 산업용 제어기기에서 IT자원을 사용하는 비율이 증가

• 계측제어시스템의 정보는 쉽게 접근할 수 없다는 이유로 사이버 공격에 안전하다 생각

• 하지만, 2010년 이란의 부셰르 원자력 발전소의 원심분리기의 가동을 중단시킨 스턱스넷의 출현으로 사이버 보안의 필요성이 대두됨

디지털 계측 제어(Instrumentation and Control, I&C) 시스템

배경 지식

5

• 기능 및 시스템 구성, 규제 등급에 따라 안전계통과 비안전계통으로 구분

• 안전계통- 원전의 사고를 방지하거나 완화시키는 기능을 수행하는 계통- 원전 특성으로 인한 고유한 기능을 갖춤

• 비안전계통- 플랜트 운전에 요구되는 계측, 제어, 감시 및 정보처리 기능 수행

• 디지털 I&C 시스템- 감시 제어 및 데이터수집(SCADA)시스템- 분산 제어시스템(DCS)- 중앙디지털제어시스템- PLC로 이루어진 제어시스템- 마이크로 컨트롤러, “스마트”장치- 프로그램된 장치(예, 필드 프로그램이 가능한 소자, 콤플렉스 프로그램이 가능한 장치 및 특

정 용도용 집적회로)를 사용하는 시스템

디지털 계측 제어(Instrumentation and Control, I&C) 시스템

6

규제 지침

7

• 미국의 원자력규제위원회(NRC)는 원자력 시설의 디지털 컴퓨터와통신 시스템, 네트워크를 사이버공격으로 부터 보호하기 위해Regulatory Guide(RG) 5.71 발간

• RG 5.71은 미연방법 10 CFR 73.54에서 명시한 사이버보안에 대한법령을 구체화한 규제지침

• 식별된 방어 아키텍처와 포괄적 보안 통제수단을 적용

• CDA(Critical Digital Asset)의 사이버보안 위험 가능성을 처리

• 사이버보안 적용범위 SSEP(Safety, Security & Emergency Preparedness) 기능을 수행하는 CDA로 규정

RG 5.71

규제 지침

8

• 디지털 컴퓨터와 통신 시스템, 네트워크를 분석• CDA 식별• 방어 아키텍처를 적용• 사이버보안 프로그램을 재정하고 수명주기 활동을 이행하여 사이버보안 프

로그램을 유지하도록 명시

RG 5.71

규제 지침

9

• 국제 원자력 기구• Nuclear Security Series No.17 ‘Computer Security at Nuclear Facilities’• 원자력 시설 파괴 및 다른 악의적 행위로부터 계측제어시스템, 네트워크, 정

보시스템 등 원자력 시설에 대한 보안 및 안전을 보장하기 위한 권고사항및 이행에 관한 기술지침

• Part Ⅰ- 정책, 설계 및 사이버보안 관리 관련 정책

결정에 도움을 줌

• Part Ⅱ- 종합적인 사이버보안계획을 이행하는데

필요한 기술적이고 행정적인 가이드 제공

• 지속적인 평가와 개선이 요구되므로관리 프로세스의 수명주기를 통해보안관리를 유지하도록 명시

IAEA

규제 지침

10

• 한국원자력안전기술원• ‘Instrumentation and control system’ KINS 규제지침 8.22• 적용범위

- 안전기능을 수행하는 계측제어계통- 이를 시험 및 평가하는 디지털 보조기기- 그 외 계측제어계통은 이행을 요구하지 않으나 안전기능에 영향이 없음을 보장하는 사이버

위협에 대한 분석을 수행하도록 명시

• 사이버보안 활동을 수행하기 위해- 사이버보안 정책을 개발- 사이버보안 계획을 수립- 이에 따라 철저하게 이행

• 사이버 위협의 유형과 가능성은 지속적으로 변화하는 특성• 적용 대상에 영향을 미칠 수 있는 사이버 위협의 분석 및 적용 대상의 취약

성 분석을 포함한 사이버 보안성 평가는 모든 생명주기 동안 주기적으로 수행되어야 함

KINS

11

안전 네트워크의 보안 기준

12

• IT 네트워크 및 관련 신기술들을 적용한 원전 계측 제어계통의 데이터 네트워크

- 장점• 발전소의 운전 효율을 향상 시킬 수 있도록 자동화 정도를 극대화• 운전원의 부담 경감• 정상 및 비정상 운전 조건에 대한 상황인지력 증가

- 단점• 일반적인 IT 환경에서의 각종 정보 시스템이 가지는 사이버보안 위협, 보안 취약성 및

사고의 가능성 존재

• 단점 극복 방안- 데이터 네트워크의 신뢰성, 성능 및 보안요건을 충분히 고려- 사이버 위협에 안전한 네트워크의 설계 및 평가가 이루어져야 함

안전 네트워크의 보안 기준

13

• 보안정책 기준- 필수 디지털 자산을 보호하기 위해 발전소 자체의 보안 정책 및 절차들에 대한 주기적인 검

토 요구- 기술발전 현황 평가- 조직원들의 역할 및 책임사항과 관련된 위험요소를 확인

• 물리적 보안 기준- 다중 레이어 및 중복성을 겸비한 제대로 설계된 물리적 방호시스템이 요구- 효율적인 물리적 방호시스템이 되기 위해서 발견, 지연 및 대처 기능이 충분히 고려

• 네트워크 구조 설계 및 위상 기준- 네트워크의 위상은 문서화되고 검토- 각각의 네트워크 기기 및 경로들은 위치 기반으로 정확하게 확인되어야 함- 네트워크의 분리를 위한 경계는 명확하게 정의- 네트워크의 위상은 가능한 간단한 계층구조를 갖도록 설계되어야 함- 심층 방어 개념 지원 가능

안전 네트워크의 보안 기준

14

• 네트워크 감시 기준- 네트워크 트래픽을 포함한 네트워크 자원을 감시할 목적으로 보안관리 시스템을 적용- 네트워크 감시 목적으로 침입탐지시스템(IDS) 및 침입차단시스템(IPS)을 사용할 수 있음

• 통신 매체 기준- 통신 매체로 동선을 사용할 경우 물리적인 감사 및 검토를 통해 안전계통 네트워크가 전자

파간섭(EMI)으로 자유롭다는 것은 확인- 통신 매체 보호를 위해 물리적인 장벽이 온전히 유지되는지를 확인- 안전기능을 수행하는 계통에 무선기기를 적용한 설계는 허용하지 않음- 상대적으로 광섬유를 사용하는 것은 EMI 및 무선주파수간섭(RFI)으로부터 자유로워 잡음이

존재하는 환경에 적합

• 데이터 흐름 기준- 네트워크에 존재하는 필수 장비들 사이의 데이터 흐름을 파악- 가상랜(VLAN) 사용 시 네트워크에 생성되는 데이터 흐름의 영향을 확인- 가상사설망(VPN)의 사용은 금지

안전 네트워크의 보안 기준

15

• 네트워크 접근제어 기준- 발전소 데이터 네트워크에 접근제어 방법을 적용- 네트워크의 모든 장비들은 주어진 필요한 기능만 수행할 수 있도록 보호- 흐름제어 메커니즘을 적용- 데이터 흐름 필터링을 위해 방화벽의 필터링 룰을 제대로 구성

• 네트워크 정보 보증 기준- 발전소 네트워크상에 전달되는 데이터를 보호- 가용성, 신뢰성, 기밀성, 무결성 등을 유지

• 네트워크 기기 기준- 발전소 데이터 네트워크에 일반적으로 사용되는 기기들의 보안 특성 및 기능을 면밀히 검토- 네트워크기기 : 이더넷장비, 제어기(PLC) 장비, 게이트웨이, 방화벽

• 시스템 사용자 인터페이스 기준- 의도적이거나 부주의로 인한 보안 위반 확률을 경감- 계통의 보안을 전반적으로 향상

16

디지털 I&C 시스템보호에서 컴퓨터 보안의 역할

17

• IAEA에서는 국가의 핵 보안 물리적 방호체제가 아래의 세가지 요소를 통해, 그 목적을 달성하려고 노력해야 한다고 명시- 억지력 및 기밀정보의 보호를 통한 악성행위의 방지- 탐지 지연 대응의 통합 시스템에 의한 악의적 행위나 그 시도의 관리- 악의적 행위의 결과 완화

• 컴퓨터보안영역에 대한 핵 보안 요소의 대응사례- 예방 : 위험한 행위 발생 가능성을 줄일 선제적 방법과 도구

ex) 기존 I&C 시스템은 접근을 제한하여 보안 목표를 달성하기 위해 격리와 관리통제에 의존디지털 시스템에서는 통신 및 정보 교환을 한 방향으로 제한함으로 핵심 시스템의 손상을 방지

- 탐지, 지연, 대응을 포함한 관리유해한 활동을 감지하고 조기에 중단시킬 가능성을 증대시키는 대응방식과 수단

ex) 침입 차단 및 탐지 시스템(Intrusion Prevention and Detection Systems, IPDS)은 사건이나 행위를감지하여 시설의 안전이나 보안에 악영향을 줄 수 있는 유해행위가 시작되기 전에 방호 조치에 착수함으로 시설이 대응할 수 있게 함

- 복구를 포함한 완화유해 행위의 영향을 가능한 최대로 줄일 수 있는 대응 방법과 도구

ex) 재감염을 막기 위해 최신판 백신 갱신이 필요한지 판단하는 것과 시스템의 재 구축, 복구, 시스템무결성 확인 등

디지털 I&C 시스템의 컴퓨터 보안

디지털 I&C 시스템보호에서 컴퓨터 보안의 역할

18

• 정책, 절차 관행, 방법 및 제어로 구성- 컴퓨터 보안의 기능을 저하시키거나 변형시키는 것으로 이어질 가능성이 있는 악의적 공격

과 비 악의적 행위에 대한 예방, 보호, 탐지 및 대응 완화 제공

• 시스템의 취약점 해결이나 여러 겹의 방호 보호막을 제공하는 특정 조치- 기술적 조치

• 침입 및 기타 악의적 행위로부터 보호, 탐지, 완화 및 복구를 위한 하드웨어 및 소프트웨어 해결책

- 물리적 조치• 컴퓨터와 컴퓨터 관련 지원 장치들의 물리적 손상이나 물리적 접근으로부터의 보호를

위한 물리적 장벽• 물리조치들은 허가되지 않은 접근을 방지하거나 지연시키는 잠금, 물리적 밀폐, 봉인,

격리 보관, 출입통제, 경비 등의 방호장벽들- 행정적 조치

• 인적 행위나 행동으로부터 컴퓨터 시스템을 보호하기 위한 정책, 절차 및 관행• 속성상 직접적이며 직원이나 협력업체 직원이 해야 할 것과 하지 말아야 할 것을 명시

컴퓨터 보안 대책

19

20