it보안 인력을 위한 ot영역( ics영역) 보안 접근 방안-sk인포섹
TRANSCRIPT
Leading Security Company
IT 보안 인력을 위한
OT영역(ICS 영역) 보안 접근 방안
CONTENTS
ICS 보안에 대한 이해
ICS 보안의 중요성
ICS 보안 점검 방법론
The Trust Beyond the Security 목 차
2
I ICS에 대한 이해
II ICS 사이버 보안의 중요성
III ICS 보안 분석 프레임워크
The Trust Beyond the Security 1 Industrial Control System의 변화
4
1세대 Co-Located Control 1970년대
- 컴퓨터와 장비가 동일 구역에 위치 유선 연결
- 네트워크연결 안 됨
- 외부로부터의 공격 불가능
- 내부자 공격 가능성 낮음 (팀 단위 운영)
2세대 분산 제어 1980~1990년대
- 전용 프로토콜을 사용하는 Device와 Network를 통해 연결
- 외부 네트워크와는 연결 안 됨
- 내부자 공격 가능성 있음 (분산 운영됨)
The Trust Beyond the Security 1 Industrial Control System의 변화
5
3세대 Networked Systems 2000년대
- 독립된 사이트에 존재하지 않음 외부 네트워크와 연결
- 인터넷과 직접 연결 가능한 PC(컴퓨터)를 통해 외부와 연결
- MES(공정제어시스템)등과 같은 인터넷 연결 시스템과 연계 가능
- 표준 프로토콜을 사용 (TCPIP 및 기타 통신 표준 프로토콜)
- 원격 모니터링 혹은 업그레이드를 위하여 네트워크 연결이 필요
4세대 IoT 2010년대 ~
- Cloud 환경에서 수평적인 증가가 가능하도록 설계
- near real-time 지원
PLC 기반에서 동작하는 알고리즘보다 복잡한 알고리즘을 지원하기 위해
- 각종 센서 Actuator 등 Field Device와 연계
- 통신 프로토콜의 다양성 증가
The Trust Beyond the Security 2 PLCDCSAPCSCADA
6
PLC (Programmable Logic Control)
- Relay의 대체로 개발 됨
- 자동차 반도체 전자 등 불연속 공정에 주로 적용
- 반도체기술의 발전과 함께 발전
SCADA
- 독립된 사이트에 존재하지 않음 외부 네트워크와 연결
- 인터넷과 직접 연결 가능한 PC(컴퓨터)를 통해 외부와 연결
- MES(공정제어시스템)등과 같은 인터넷 연결 시스템과 연계 가능
- 표준 프로토콜을 사용 (TCPIP 및 기타 통신 표준 프로토콜)
- 원격 모니터링 혹은 업그레이드를 위하여 네트워크 연결이 필요
The Trust Beyond the Security 2 PLCDCSAPCSCADA
7
DCS (Distributed Control System)
- 자동제어프로그램이 내장된 다수의 제어용 컴퓨터를 기능별로 분산하여 위험을 최소화
- 전체적인 관리는 중앙에서 모니터링 및 컨트롤
- 수처리 발전 보일러 제철 석유화학 등 연속공정에 주로 적용
- Analog 연속제어에 사용
- APC (Advanced Process Control)로 발전
APC (Advanced Process Control)
- DCS와 연계되며 다수의 DCS와 연결되어 상위에서 조절
- DCS는 하나의 조절변수와 하나의 제어변수 만을 고려
- APC는 다수의 입력변수를 받아 이들의 상호관계를 예측하여 제어함으로써 공정을 좀 더 지
속적으로 안정화
- DCS의 발전된 형태
The Trust Beyond the Security 3 ICS 구성에 대한 이해
8
[공장자동화] [사무자동화] [웹 서비스]
대 고객
온라인서비스
경영지원
시스템 (ERP 등)
산업제어
시스템
인터넷 (OA) (FA)
The Trust Beyond the Security 4 IT와 OT (ICS) 주요 차이점
9
구분 IT 시스템 ICS 시스템 (SCADA 중심)
성능요구 비 실시간 실시간
가용성 재구동 허용 재 구동 불허 계획된 정지 고가용성
보호대상 정보 필드 장치 프로세스
시스템 운영 개방형 운영체제 전용 운영체제
생명주기 3 ~ 5년 15 ~ 20년
통신 표준 프로토콜 전용 프로토콜
SW 변경관리 보안정책에 따라 자동적용 사전 시험 후 점진적 적용 계획된 정지시기에 적용
접근 용이성 지역에 국한 접근 용이 넓은 영역에 퍼짐
물리적 접근 노력 필요
The Trust Beyond the Security 1 ICS가 원인이 된 사고사례
11
일시 분야 대상 내용
2007 교통 미국 LA 교통시스템 내부자에 의한 시스템 침해
2009 4 전력 미국 전력망 Conficker worm 제어시스템 감염 1천 2백만 컴퓨터 감염
2009 8 수자원 러시아 Sayano-shushenskaya 댐 제어시스템 문제로 발전기 터빈 폭발
2010 11 원자력 이란 우라늄 원심분리기 Stuxnet 감염으로 원심분리기 1000개 감염
2011 상수도 미국 상수도 시설 원격접속을 통한 해킹으로 제어 펌프 장악
2012 사우디 아람코 악성코드 감염 네트워크 마비
2012 가스 카타르 LNG 생산시설 악성코드 감염 네트워크 마비
2012 상수도 미국 휴스턴 상수도 제어시스템에 미공개 악성코드 감염
2013 교통 이스라엘 터널 개폐장치 악성코드 감염으로 교통혼잡 발생
2014 원자력 일본 원자력 발전소 악성코드 감염 직원 정보 유출
2014 발전 한국수력원자력 e-mail 통한 악성코드 감염 도면 유출
2015 전력 우크라이나 전력 악성코드로 인한 정전사태 (Black Energy KillDisk)
The Trust Beyond the Security 2 ICS 사이버 보안의 중요성
12
IT 기술 시스템의 접목으로
현재의 SCADA Automation Protection Control system 은
- 상용 IT 제품활용 증가
- IP 기반 통신 프로토콜 사용 등 전용장비규격에서 표준장비규격 활용이 증가
- 물리적으로 분산되어 있으나 네트워크로 연결
- 모바일 기기와 스토리지 활용
제어시스템에 IT 기술의 비중이 증가할수록
Hacking Employee Mistake
Malicious software installed via USB port
The Trust Beyond the Security 1 어떻게 접근할 것인가
14
질문 1 우리는
- IT 인력 + IT 보안 인력
질문 2 IT 보안 점검 기준은
- K-ISMS
- ISO2700127019
- 기반시설취약점분석평가
- NIST Cyber Security Framework
질문 3 방향성은
- ICS 보안프레임워크에 기반한 점검
ICS 보안프레임워크 수립
ICS 보안분석서 기반의 점검
bull IT인력의 OT 접근
용이성 제공
bull 기준문서를 통한
점검 품질 평준화
bull IT 항목 기준으로
세부점검 방식
bull 각 항목별 기초적
대응방안 기술
The Trust Beyond the Security
ISA95 Standard Industry Architecture
[ Products ] [ Description of Level ]
Source ISA( International Society of Automation) ISA95 Enterprise-Control Integration Standard)
Business Logistics Plant Production Scheduling Shipping
Receiving Inventory etc
Manufacturing Operation Management
Dispatching Detailed Production Scheduling Production Tracking
Continuous Production
Control
Discrete Production
Control
Batch Production
Control
L4
L3
L2
L1
L0 Field DeviceInstrumentation
Equipment
Production Data Acquisition
Monitoring amp Automation Control
ERP for Manufacturing
SCM WMS
MES PLM
DCS SCADA Unit Level Control
Process Safety System
PLC HMI Machine Control
Discrete Safety System
Motors Drive Pumps Valves Compressors Actuators Robotics
②
①
[ 관리 ]
경영
생산
IT
OA
Biz
ICS
Purdue Reference Model
2 ICS 구성에 대한 이해 ndash 표준 Architecture
15
OT
FA
Critical Infra
Level 5 Enterprise (DMZ) Level 5 Enterprise
Level 3 Site Manufacturing Operation and Control
Level2 Area Supervisory Control
Level1 Basic Control
Level 0 Process
Level 4 Site Business Planning and Logistics
The Trust Beyond the Security 3 IT 보안컨설팅방법론 차용
16
빈도lsquo상rsquo 수행 모듈
빈도lsquo중rsquo 수행 모듈
빈도lsquo하rsquo 수행 모듈
범례
분석 [P1] 평가 [P2] 설계 [P3] 구현 [P4] 이행 [P5]
bull 국내 법규 bull 국내외 컴플라이언스
bull 정보보호 인증 규격
참조기준
bull Gap 분석 bull 인터뷰 bull 문서검토 bull 실사
수행기법
bull 진단 항목 bull (정품)진단도구 자체 개발 도구 bull FIRST 및 CVE DB 등
Tool
Consulting Process
요구사항 분석
조직업무 IT환경 분석
기술(요소)분석
자산분석∙평가
위협분석∙평가
취약점분석∙평가 (관리물리IT시스템)
취약점분석∙평가 (모의해킹진단)
위험분석∙평가
정보보호 Framework 설계
체계설계 (관리기술 Arch)
정보보호 솔루션 선정
마스터플랜 수립
조직체계 구현
이행점검 (모의감사)
이행지원
정책지침 재개정
T1
T2
T3
T1
T3
T6
T1
T2
T3
T1
T2
T3
T1
T2
T2
T5
T4
1
2
기술(요소)분석 ICS 분석 Framework (ICS Layering 및 ITU-T X805 보안기술영역 차용 [ISCM-ICS-P1-T3] SCADA용 Continuous Process용 Discrete Process용 구현) ICS보안정보분석서 (SCADA용 Purdue 모델 Protocol 기반 보안정보분석서 구현)
취약점 분석ㆍ평가 관리물리 기술영역 모의해킹 진단 항목 (모의해킹은 진단 시나리오 포함) [ISCM-ICS-P2-T3] [ISCM-ICS-P2-T4] [ISCM-ICS-P2-T5]
1
2
2
The Trust Beyond the Security 4 ICS 보안분석프레임워크
17
분석 Framework
[ Products ] [ 구분 ]
[Control Center] HMI--MTU--FEP[|OPC] Historian
(HMI Viewer)--HMI(OPC Historian)--PLCs--장치
Actuators (Drive Valves Compressors
Robotics hellip)
ERP SCM WMS IT Infra System 점검 영역 갈음
예외) 점검 대상 SAP ERP MII ndash PCo
MES PLM ( ProcessㆍManufacturing Operation Management )
Field Device Instrumentation Equipment
High Lv Protocol OPC ICCP MMS hellip Low Lv Prptocol Modbus DNP3 PROFIBUS WLAN PAN Mobile 유선
[ System Layering ]
경영
생산
IT
OA
Biz
ICS
분석 Framework를 통한 ICS보안정보분석
OT
FA
Critical Infra
산업정보관리
산업공정운영
산업제어시스템
Sensor Motor Pump
hellip IED n IED 1 IED 2 IED 3
Data Comm
ICS(SCADADCS) 보안정보 분석 Framework
권한관리 정보(Data) 보안 통신보안 무결성 보안 가용성 보안 비고
Lv1 Lv2 Lv3 관리 물리 PT 기술 계정관리 인증관리 비밀번호 기타 (보안 솔루션 등)
1Management Information
System 경영정보시스템
2Enterprise Resource
planning 전사 자원 관리
3Supply Chain Management
공급망 관리 시스템
4Warehouse Management
System 창고관리시스템
5
Manufacturing
Operation
Management
PLM
Product Lifecycle
Management 제품 수명주기
관리
6 APC
Advanced Process Control
고급공정제어기술로서 DCS
포함 기술임
7 MES
Manufacturing Execution
System 생산관리시스템
산업군에 따라 Lv2 영역 중첩
8[ Control
Center ][Center] HMI
Human-Machine Interface
센터 측면 통합 관제시스템
Field level HMI 고려 대상
(아주 간단한 제어기능 포함)
9 MTUMain Terminal Unit
SCADA 경우 Server를 의미
10 [ FEP ]
Front-End Processor
Gateway 역할 수행 (옵션)
PLC의 프로토콜 적용 수준을
확장해 주는 역할 수행
통신 관리자 감독 중앙시스
템에 보고 분리된 AP 기능
통합 등을 수행
11 Misc
Runtile Library(다른 컨트롤
시스템 업무시스템 통합
Alarms Contigency
Analysis Project Files
12 Data Comm[상위레벨 데이터]
통신 프로토콜
OPC
ICCP
hellip
13[하위레벨 데이터]
통신 프로토콜
Modbus
DNP3
14Vendor Dependent
Protocol
사이트에는 일반적으로 벤더
에서 개발된 독자적 프로토콜
이 사용됨 (150여개 혼용)
15 WLAN PAN
IEEE80211abgnac(Wi-Fi)
ZigBee(Peer-to-Peer)
Bluetooth(Master-Slave)
16 원거리 통신
- Cable Comm PSTN
(MODEM) 전용선 전력선
광케이블
- Mesh RF WirelessHART
ZigBee Wi-Fi mesh
ISA10011
- Licensed Radio
Microwave
- Cellular Backhaul CDMA
GSM LTE
- Satellite Uplink VSAT
BGAN
17 Control [Field] HMI
Human-Machine Interface
다수 PLC 등과 직접 연결되
어 제어 수행
18 RTU
Remote Terminal Unit
Firmware [gt Embeded OS gt
RTOS] 탑재 장치 일반적으로
SCADA 내에서 센서 데이터
를 디지털로 변환시켜 관리
시스템에 전송하는 통신 장치
역할 수행
19 PLC
Programmable Logic
Controller RTOS 탑재 장치
DCS의 경우 RTU 역할 포함
(자체 GUI HMI 제공 uarr)
20 [Plant] Historian
별도의 DB를 갖는 operation
HIStorian Server를 의미
DMZ의 Shared HIStorian의
경우 업무망에서 PLC 직접
접근방지 Historian를 통하여
데이터 접근 허용함
21 [ PAC ][programerable |] Process
Automation Controller
22 [ PMU ]
Phaser Measurement Unit
전력 시장 실시간 AC 파형을
수학적으로 표현(분석용도)
IEEE C37 118 사용 GPS 시
각 동기화(Synchro-phasers)
23 IED
Intelligent Electronic Device
Actuator 등에 붙어 MTU 명
령없이 자체처리 수준을 정의
하여 수행 (필요시 RTU와 통
신)
24 ActuatorSensor Motor Valve 등을
통칭하는 일반 용어
25 Sensor -
26 (Level 0) Mortor -
27 Misc
Drive Pumps Valves
Compressors(압축기) 버너
Robotics 솔레노이드
WMS
산
업
공
정
관
리
산
업
제
어
시
스
템
(
I
C
S
I
n
d
u
s
t
r
i
a
l
C
o
n
t
r
o
l
S
y
s
t
e
m
)
NO구분
설명취약점 분석 접근제어
산
업
정
보
관
리
MIS
ERP
SCM
Field Device
Instrumentation
Equipment
ITU-T X805 차용
- 접근제어 - 권한관리 - 정보보안 - 통신보안 - 무결성보안 - 가용성보안
Digital Analog Digital + Analog
참조 ISA95 amp Purdue Model
The Trust Beyond the Security 5 ICS 보안정보분석서
18
ICS Purdue Model 기반의 보안정보분석서
대구분 설명 공격 형태 취약성 정보 보호대책
Lv5 Enterprise Business Network
Lv4
Site Business Planning and
Logitics
Business Unit or Plant Network
-
Air-gap 구성안 (Waterfall 솔루션)
- 상위 망 - Airgap - 하위 망
Airgap Phygical or Unidirectional Airgap using a
Data Diode (단방향 통신 게이트웨이)
Data Diode in bypass mode(단방향 두개 설치)
Logical Airgap FW 이용
Data Guard
- 패킷의 모든 데이터(메시지 파일 유형 등) 검사
--gt network packet whitelist 솔루션
DMZDMZ
- 개발시스템 앱 서버 등TBD
- Shared HIStorian을 통한 Field Devices 직접 통제를
제한함으로써 침해 위협 조치
- Data Classification (데이터 위치 이동방향에 따른 레벨)
- DNS Sec 등 IT System 보안
-
- Honeypot Tech [low | high] Interaction Honeypots
결과분석에 필요한 리소스 보유 필요
사용 시 위험요소가 존재하는 지 확인 필요
허니팟을 통해 어떤 정보를 얻을 수 있는지 확인 필요
주gt 비용 인원 기술 한계점 파악 등 선결 내용
Manufacturing
Zone
(Operation Zone
Lv3210 포함)
Lv3
Production amp Scheduling System
Plant HIStorian
HMI DBMS
Console Workstation
Operation Support (Simulation amp
Modeling System Operation
Analysis System Test System
Engineering Workstation Misc)
Site Manufacturing
Operation amp Control
운영 지원
- ICS 테스트 amp 개발
- 데이터 분석
- 엔지니어링 설계 및 구성
- DHCP LDAP DNS File
Server 등의 IT시스템
공격자의 주 타겟 중 하나 HMIs
- Default or Weak Passwords
Brute force or dictionary attack 등으로 크랙 가능
- Web-based Attack
인증우회취약한세션관리LFIRFIXSSCSRFSQLinjection
- Malware on USB Device (Lv32)
Stuxnet OO Duqu(2011) Flame(2012) Shamoon(2012)
HavexDargonfly(2014) Black Energy BE2 (2014)
- Compromised IT System (ServerPC)
- DNS Spoofing(Cash Poisoning)
ICS Hardening
- AP whitelisting AP Sandboxing
--gt Windows(AppLocker) 및 third-party 솔루션
- Tripwire iptables chroot() chkrootkit
- Historian DBMS 보안 적용
- DNS Spoofing 방어 DNS 서버 설정 강화
DNS 서버를 다른 시큐리티 존에 위치시킴
-
- TOPINO CMP(콘솔) Xenon SA(Security Appliance)
가용성 산업용 HW Spec 제품 설치구성테스트
firmware update 시 무중단 가용성 지원
단방향양방향 통신 모드 모두 지원
주로 Modbus 같은 산업용 네트워크 프로토콜 제어
장비 프로파일 기반의 방화벽 룰 적용
LSM(Loadable Security Module) being installed Appliance
Lv2
Supervisory Control Network
(-Plant- Data Historian
Engineering Workstation
Comm Front-ends)
Area Supervisory Control
Control Server Compromise
- [Malicious Insider gt] Authentication bypass in HMI
- Malicious USB Key | client-side attack
gt Compromised Engineer Credentials
- Remote Station Physical Compromise
gt Compromised Field Device or Network
- Port Scanning Googling SHODAN 검색
- Default admin username amp password Deffault
running services Default security settings
- Poor AuthenticationAuthorization
SCADA Pass 모니터 부착 PW 메모지 등
- Buffer Overflows and Remote Code Execution
- Attacking Historian and DB
Attacks on Network Comm
- Traffic Capture injection relay Data Extraction DoS
Spoofing Control Signals Wireless Attacks MITM
Fuzzing(데이터 입력 테스트 기법) Network Protocol
DoS Attack Jamming RF EMT(Electro Magnetic
Transmission
MITM 기반 기술 ARP Spoofing (주로 HMI - PLC 간)
취약한 무결성 체크 및 인증 시스템
- Eavesdropping WiFi Bluetooth ZeeBee GSM
- Masquerading Evil Twin 공격 GSM 공격
FEP 등 원격지 공격 코드 실행
upstream (시리얼 프로토콜) 공격
Hardening ICS Control Software
- SW Vendor로부터의 보안 방안 적용
- 유선 보안솔루션의 VPN proxy 인터페이스 사용
AP Whitelisting Sandboxing
- 기본 구성 취약점 보호대책
암호키 만료갱신 암호강화 관리자 역할 강화 장치인증
- Missing Security Patches
ICS는 시스템 특성상 보안설정 적용이 어려운 경우 존재
Security on Network Comm
- 취약한 인증 기능을 가진 프로토콜은 사용 지양
- 데이터 다이오드 등으로 관리 제어 영역 구분(대역 분리)
- VPN으로 네트워크 트래픽 암호화
- 프로토콜 고유의 시그니처를 이용한 패킷 모니터링
- ICS 제조사(eg Honeywell 등)가 기본 방화벽 설정 지원
Whitelist 방식의 차단 솔루션
허용되는 작동 외의 모든 작동을 차단하는 방식
Testbed 담당자는 하기 사유로 부정적 의견 제시
whitelist 방식으로 관리 시 다수의 예외 처리 필요
솔루션 예시 Ahnlab 솔루션 (하이닉스에서 사용중
방식 불명) Symantec 솔루션 (에이전트 방식 패킷 분석)
Lv1
Control Devices (RTU PLC
Control Processor Progammable
Relay Dedicated Control
Operator Workstation)
Basic Control
컨트롤 장치 Field
Components 영역
- SIS amp Protection System
과의 통합
- unauthentication on Wireless Access
- RTUPLC의 마스터 서버로의 데이터 전송을 악용한
원격 익스플로잇 등 공격 시도 가능
TBD
Lv0
Process Control Instrumentation
Bus Network (IED Actuator
Misc)
Process
(End-Point) Field Devices
Physical or Remote Devices Attacks
- 인증 과정 우회 공격 물리적 접근 HW 공격 인증 우회
Embedded Electronic Attacks
Dumping Data at Rest from EEPROMs
Bus Snooping Data in Motion
Using Entropy to Find Key
--gt 공격자는 저장장치 또는 버스에서 데이터 획득
--gt 비대칭키는 엔트로피 높음 그래프에서 변화폭 큼
Firmware Attacks
--gt 암호 키알고리즘 주파수 도약(hopping) 분석 가능
--gt 역공학 원격 익스플로잇 가능 취약점 탐색
펌웨어 수정 공격툴 업로드 목적
Controller amp Field Device Security
- 산업 네트워크 upstream amp downstream Field Bus
네트워크 장비 amp 통신 브릿지 산업용프로토콜
관리프로토콜 시간동기화 FW RTOS EmBededOS
NIC WS 프로그램 파일 진단계기 장비 원격접속
장비 안전보안 장비 보호 필요
- 물리보안 hellip 사용 가능 포트ㆍ진단 포트ㆍ무선 Inf
외관 검사ㆍanti-tamper 제어실 접근 알림 포함 필요
소구분
업무망
- 기업 현장 공장 시설
네트워크 포함
- ICS 데이터 획득 가능
- ICS 원격접속 주관
- NERC(the North-american Electric Reliability Corporation)
보안 정책 참고(기반시설 사이버보안을 위한 표준 프레임
워크 개발)
- IAEA(Internal Atomic Energy Agency)
- Log Management remote log server gt ICS Central log
server(Comm F-E 등) gt Primary Analysis log server
- Auditing Forensics(침해흔적 조사 포함)
- ICS BackupRestore BCP amp DRP Incident handling
- Compromised Remote Access
- Malicious Insider
- 공격 시나리오 원격지 gt 서버워크스테이션(HMI) SW 공격
(주로 OS는 UnixLinuxWin TCPIP) gt ICS DB를 타겟팅
Business Zone
Enforcement Zone
(각 Level은 Enforcement Zone에 의해 분리됨
-Firewall ACL IDS 데이터 다이오드 등-)
Business Zone과 OperationControl
Zone 사이에서 데이터를 공유하는 영역
(via Shared HIStorian) IT시스템
Safety Zone
Enforcement Zone
CellArea Zone
Enforcement Zone
ICS Data Comm 레벨 보안정보분석서
NO 설명 공격 형태 취약성 정보 보호대책 비고
1 OPC
- OLE for Process Control
- 서로 다른 종류의 PLC 제품들을
하나의 제어시스템으로 통합 운영
하기 위한 중간 역할
- 구성 OPC Client - OPC Server
- PLCs - devices
상위 레벨 프로토콜이므로 전용
서버 또는 HMI 등과 같이 운용
가능 (Windows OS 탑재 상위
프로토콜)
- OPC UA TCP502
OPC UA XML TCP80 TCP443
TBD TBD
- OLE Object Linking and Embedding
(선행조건 Windows OS 기반 ICS)
- High Level Data Protocol 특성
Human Readable Info
기업-Control Network간 동작
DB - AP 간 데이터 명령어 전송
제품 Kepware Technologies Co Ltd
KEPServerEX MatrikonOPC
Universal ICS Protocol
- OPC Modbus
2
ICCP
(IEC 60870-6
TASE2)
- Inter-control Center Comm
Protocol
- TCP102
- read only (TBD )
- 인증 암호화 기능 미보유
- 데이터 통신 시 ARP 사용
으로 인한 취약점 존재
- No Security
- Electric independent System Operator
(ISO)에서 사용 -Smart Grid 포함-
Eg MISO (Midwest-미국 중서부-
Independent System Operator)
3MMS
(IEC 61850-8-1)
- Manufacturing Messaging
Specification
- TCP102
- 변전소 사용 프로토콜
- 관리장비(HMI FEP) - 현장장비
(RTU PLC IED) 간 통신 용도
TBD TBD
참고 Energy Sector Specific Protocol
- DNP3 DLMSCOSEM(TCP4059
UDP4059) ICCP IEC 104(TCP102)
IEEE C37118 (TCP4712 UDP4713)
MMS
4 Modbus
- Serial TCP 용 Proto 존재
- Master-Slave
- port 502
TBD - No Security- low level data protocol 특성
clear text no authentication
5 Modbus TCP
- Modicon사에서 개발(1979년)한
requestreponse 체계의 간단한
Open 프로토콜
- 관리장비(HMI FEP) - 현장장비
(RTU PLC IED) 간 통신 용도
- Wireshark
대부분의 ICS 프로토콜을
지원하므로 공격 분 석
기능 지원
- 보안 미고려 설계 동작 방식
- Master Station이 field device를 폴링
- field device는 통신 초기화 불가능
6DNP3
(IEEE 1915-2012)
- Distributed Network Protocol
- MasterSlave
- Port 19999 with TLS
Port 20000 without TLS
- 관리장비(HMI FEP) - 현장장비
(RTU PLC IED) 간 통신 용도
TBD- 사용자 - 장치간 인증 및
데이터 보호 (TLS)
- 북아메리카 호주 등에서 주로 변전소
(electrical substation) 통신에 사용
- 경우에 따라 TCP20000 UDP20000
7 IEC 60870-5-104
- 관리장비(HMI FEP) - 현장장비
(RTU PLC IED) 간 통신 용도
- send request accept request
confirmation timeouts error
recovery 등이 function에 포함
TBD TBD- DNP 30과 유사하며 유럽 등에서는
DNP 30보다 사용률이 높음
8 HART TBD TBD TBD -
9 BACnet2- MasterSlave
- BACnetIP UDP47808TBD TBD - BMS(빌딩관리시스템) 프로토콜
10LonWorks
LonTalk3
- Peer-to-Peer
- LonTalk UDP1628 UDP1629
- LonTalk3 Port 1679
TBD TBD
- BMS(빌딩관리시스템) 프로토콜
종류 BACnetIP LonTalk Fox
Fox 프로토콜 (TridiumNiagara)
TCP1911
11 EthernetIP
- Ethernet 인프라에 적용하여 장치
(Host PLC Actuator CNC 기기
등) 간의 통신 용도
- 인터넷 통지 지원 (Web AP 지원)
- 산업용 AP를 위해 Ethernet 기술
표준 허용
TBD TBD
- 참고
OPC와 같은 데이터 접근교환을
위해 HTTPFTPSNMPDHCP 등
인터넷 프로토콜 표준 및 산업
프로토콜 표준과 호환성 보증
12 PROFIBUS
- SIEMENS 사에서 개발
- Fieldbus Network(EIA-485) 사용
- 버전 PROFIBUS DP(FA) FMS
(Multiple Master Peer-to-Peer)
PA(Process Automation)
- ProcessField 버스 사용상 이점
No TCPIP Overhead
Low latency
Non-routable
TBD TBD
- 통신 프로토콜의 변화
시리얼 --gt 네트워크 프로토콜
여러 통신층에서 정보 교환 가능
(eg Ethernet TCPIP)
- Ethernet 기반 ICS 통신 프로토콜
일부 ICS 시리얼 프로토콜은 Ethernet
인프라를 사용해서 변환 통신 수행
Goose Messaging (IEC 61850-9-1)
SAV or Sampled Values (61850-9-2)
Process Automation Specific Protocol
- EtherCAT(UDP34980) EthernetIP
(TCP44818 UDP2222 44818)
FL-net (UDP55000~55003) Fieldbus
HSE (TCP1089~1091UDP1089~1091)
HART-IP(TCP5094 UDP5094)
PROFINET (TCP34962~34964 UDP
34962~34964)
[상위 레벨 데이터]
통신 프로토콜
[하위 레벨 데이터]
통신 프로토콜
구분
공격형태 취약성 정보 보호대책
[하위 레벨 데이터] 통신
프로토콜
The Trust Beyond the Security 6 ICS 취약점분석 기준 ndash 관리물리기술영역
19
관리물리 취약점 진단 항목Framework 기술영역 취약점 진단 항목Framework
A731 퇴직 및 직무변경 책임 임직원 혹은 계약자에 대한 퇴직 혹은 업무 변경 후에
유효한 정보보호책임과 의무를 정의하고 강제해야 하
며 의사소통을 해야 한다
퇴직 및 직무 변경에 관한 책임이 명시적으로 정의되고 지정되어야
함
a) 퇴직 시 정보보호 서약서 징구 등을 통한 비밀유지 서약을 실시
함
b) 퇴직 후 정해진 기간 동안 비밀유지 책임을 명시함
c) 새로운 업무와 책임에 대한 책임은 통제 되어야 하며 직무 변경
및 고용 종료 후에도 책임에 대해 관리되어야 함
A811 자산 목록 정보 및 정보처리 설비와 관련된 자산은 식별하고 자
산목록을 작성하고 유지해야 한다
모든 자산은 명확하게 인식되고 모든 중요 자산의 목록은 관리되어
야 함
a) 모든 자산과 그 자산에 대해 중요도를 문서화함
b) 정보의 라이프사이클은 정보의 생성 처리 저장 전송 등을 포함
함
c) 문서화된 자산 목록은 기존 재고 목록과 적절하게 사용되어야
한다
d) 자산관리자 지정 및 정보 등급화가 되어 있고 이에 대한 문서화
가 되어 있음
e) 자산 목록은 효과적인 자산 보호를 보장해야 하며 자산의 안전
및 금융(자산 관리)에 사용할 수 있다
확장 711 자산의 목록 [에너지 유틸리티 관련 구현 지침]
조직의 중요한 자산의 재고를 유지하고 관리하는 경우 별개의 책임
을 명확하게 규정하고 문서화해야 한다
자산의 재고는 관련된 프로세스 제어 시스템 자산과 응용프로그램
의 정보를 모두 포함한다
[에너지 유틸리티에 대한 추가 정보]
상기 분류에 대해 보충으로 에너지 공급 영역의 다른 넓은 범위의
섹터별 특정 자산 카테고리 또한 포함한다
a) 정보 그리드 및 네트워크 계획 스케줄링과 우선순위 정보 지리
와 지리참조 정보 위기와 비상계획 그리드 재해 복구 계획 스위칭
동작 정보 측정된 값 및 측정 데이터 계량 및 계량된 데이터 운영
기록 모수화 데이터 측정 및 메시지 아카이브
b) 소프트웨어 프로세스 제어 소프트웨어 시각화 시스템 에너지
관리 및 최적화 소프트웨어 시뮬레이션 소프트웨어 모수화 소프트
웨어 관리 및 모니터링 시스템 운영 자원 관리(ERP) 시스템 프로그
래밍 환경 펌웨어 아카이빙 소프트웨어 기타 등
c) 물리적 자산 제어 및 자동화 구성요소 원격 측정 및 원격 제어
구성요소 원격 단말 장치 데이터 전송 시스템 구성요소 디지털 보
호 및 안전 요소 디지털 계량 및 측정 장치 스마트 미터 디지털 센
서 및 작동 요소 모수화 및 프로그래밍 장치 시각화 및 운영요소
디지털 모니터링 및 기록 시스템 기타 등
d) 서비스 통신 서비스 비상 통신 서비스 정보 서비스 기상 서비
스 기타 등
A812 자산의 소유권 소유된 자산은 목록으로 유지되어야 한다 정보처리시설과 관련된 모든 정보 및 자산은 조직 내에서 명시적으
로 자산의 관리자를 지정 하여 관리하여야 함
a) 자산을 확실하게 파악 조사해야 함
b) 자산의 적절한 등급 분류와 보호 보장
c) 접근통제 정책에 대한 정의 및 주기적인 검토
d) 자산의 파기 혹은 삭제 할 때의 적절한 처리
확장 721 자산의 소유권 [에너지 유틸리티에 대한 추가 정보]
프로세스 제어 시스템을 사용하는 조직의 잠재적으로 복잡한 구조는
상업 및 운영 소유권의 종료와 관련하여 매우 다양한 책임을 의미한
다 결과적으로 자산 소유권 및 관련 책임 정보보안의 관점에서 자
산 소유자와 자산 운영자의 역할은 정확하게 정의되고 문서화되어야
한다
세부통제항목 내용
ISO270012013 ISO270022013 200192013 반영
270192013 반영 270022013 반영 27001 인증 규격
[ ICS 전용 정보보호 관리체계 진단 기준 ] 21개 항목 29개 세부기준
[ 27001 인증 심사 시 27019 Energy Utility 분야 보안 모범사례 반영 ]
A712 고용 약정 및 조건
직원 및 계약직 인원의 계약합의서에서는 조직과 그들의 정보보안책
임을 명시해야 한다
813 고용 조건
[에너지 유틸리티 관련 구현 지침]
파업권 또는 비상 상황에서 최대 근로 시간을 초과할 권한으로 직원
의 권리에 대한 제한은 중요 인프라 및 민감함 시스템의 동작을 위한
허용 가능한 법적 요구사항으로 주요한 개인의 책임을 고려해야 한
다 고용 계약을 체결하는 경우 모니터와 같은 스위칭 동작 등 특정
작업 기록에 관한 협정도 고려해야 한다
X805 기술 영역 차용 - 계정관리 - 권한관리 - 접근통제 - 가용성 - 무결성 - 암호화 - 부인방지
참고 진단 기준 - 기반시설 진단 기준 - SK인포섹 점검기준
- ITU-T X805 기반 진단 기준을 수립 중이며 해당 기준은 자경단 Deloitte 진단 Framework(56개 점검항목 2015년 작성) 및 주요정보통신기반시설 진단 기준을 100 포함하고 있음
- PLCRTU 등의 Firmware
Embeded OS RTOS 에 적용 가
능한 최상의 보안 수준을 적용하
는가
- 인가된 자만 시스템에 접속 가능 여부 확인
비밀번호 컴플라이언스 충족 여부 확인 등
- replay attack 등의 방지를 위한 인가 IP 접속 기
능 적용 확인 (보안장비 대체 적용 여부 확인)
- 장비간 주요 정보 통신 시 암호화 적용 미흡할
경우 이를 보완하는 보안장비 적용 여부 확인
- 54개 항목
114개 항목 38개 항목
SK인포섹 13486 경기도 성남시 분당구 판교로255번길 46 4층 E-mail skinfosecmktskcom TEL 02)6361-9114 FAX 02) 6361-9998
201604
CONTENTS
ICS 보안에 대한 이해
ICS 보안의 중요성
ICS 보안 점검 방법론
The Trust Beyond the Security 목 차
2
I ICS에 대한 이해
II ICS 사이버 보안의 중요성
III ICS 보안 분석 프레임워크
The Trust Beyond the Security 1 Industrial Control System의 변화
4
1세대 Co-Located Control 1970년대
- 컴퓨터와 장비가 동일 구역에 위치 유선 연결
- 네트워크연결 안 됨
- 외부로부터의 공격 불가능
- 내부자 공격 가능성 낮음 (팀 단위 운영)
2세대 분산 제어 1980~1990년대
- 전용 프로토콜을 사용하는 Device와 Network를 통해 연결
- 외부 네트워크와는 연결 안 됨
- 내부자 공격 가능성 있음 (분산 운영됨)
The Trust Beyond the Security 1 Industrial Control System의 변화
5
3세대 Networked Systems 2000년대
- 독립된 사이트에 존재하지 않음 외부 네트워크와 연결
- 인터넷과 직접 연결 가능한 PC(컴퓨터)를 통해 외부와 연결
- MES(공정제어시스템)등과 같은 인터넷 연결 시스템과 연계 가능
- 표준 프로토콜을 사용 (TCPIP 및 기타 통신 표준 프로토콜)
- 원격 모니터링 혹은 업그레이드를 위하여 네트워크 연결이 필요
4세대 IoT 2010년대 ~
- Cloud 환경에서 수평적인 증가가 가능하도록 설계
- near real-time 지원
PLC 기반에서 동작하는 알고리즘보다 복잡한 알고리즘을 지원하기 위해
- 각종 센서 Actuator 등 Field Device와 연계
- 통신 프로토콜의 다양성 증가
The Trust Beyond the Security 2 PLCDCSAPCSCADA
6
PLC (Programmable Logic Control)
- Relay의 대체로 개발 됨
- 자동차 반도체 전자 등 불연속 공정에 주로 적용
- 반도체기술의 발전과 함께 발전
SCADA
- 독립된 사이트에 존재하지 않음 외부 네트워크와 연결
- 인터넷과 직접 연결 가능한 PC(컴퓨터)를 통해 외부와 연결
- MES(공정제어시스템)등과 같은 인터넷 연결 시스템과 연계 가능
- 표준 프로토콜을 사용 (TCPIP 및 기타 통신 표준 프로토콜)
- 원격 모니터링 혹은 업그레이드를 위하여 네트워크 연결이 필요
The Trust Beyond the Security 2 PLCDCSAPCSCADA
7
DCS (Distributed Control System)
- 자동제어프로그램이 내장된 다수의 제어용 컴퓨터를 기능별로 분산하여 위험을 최소화
- 전체적인 관리는 중앙에서 모니터링 및 컨트롤
- 수처리 발전 보일러 제철 석유화학 등 연속공정에 주로 적용
- Analog 연속제어에 사용
- APC (Advanced Process Control)로 발전
APC (Advanced Process Control)
- DCS와 연계되며 다수의 DCS와 연결되어 상위에서 조절
- DCS는 하나의 조절변수와 하나의 제어변수 만을 고려
- APC는 다수의 입력변수를 받아 이들의 상호관계를 예측하여 제어함으로써 공정을 좀 더 지
속적으로 안정화
- DCS의 발전된 형태
The Trust Beyond the Security 3 ICS 구성에 대한 이해
8
[공장자동화] [사무자동화] [웹 서비스]
대 고객
온라인서비스
경영지원
시스템 (ERP 등)
산업제어
시스템
인터넷 (OA) (FA)
The Trust Beyond the Security 4 IT와 OT (ICS) 주요 차이점
9
구분 IT 시스템 ICS 시스템 (SCADA 중심)
성능요구 비 실시간 실시간
가용성 재구동 허용 재 구동 불허 계획된 정지 고가용성
보호대상 정보 필드 장치 프로세스
시스템 운영 개방형 운영체제 전용 운영체제
생명주기 3 ~ 5년 15 ~ 20년
통신 표준 프로토콜 전용 프로토콜
SW 변경관리 보안정책에 따라 자동적용 사전 시험 후 점진적 적용 계획된 정지시기에 적용
접근 용이성 지역에 국한 접근 용이 넓은 영역에 퍼짐
물리적 접근 노력 필요
The Trust Beyond the Security 1 ICS가 원인이 된 사고사례
11
일시 분야 대상 내용
2007 교통 미국 LA 교통시스템 내부자에 의한 시스템 침해
2009 4 전력 미국 전력망 Conficker worm 제어시스템 감염 1천 2백만 컴퓨터 감염
2009 8 수자원 러시아 Sayano-shushenskaya 댐 제어시스템 문제로 발전기 터빈 폭발
2010 11 원자력 이란 우라늄 원심분리기 Stuxnet 감염으로 원심분리기 1000개 감염
2011 상수도 미국 상수도 시설 원격접속을 통한 해킹으로 제어 펌프 장악
2012 사우디 아람코 악성코드 감염 네트워크 마비
2012 가스 카타르 LNG 생산시설 악성코드 감염 네트워크 마비
2012 상수도 미국 휴스턴 상수도 제어시스템에 미공개 악성코드 감염
2013 교통 이스라엘 터널 개폐장치 악성코드 감염으로 교통혼잡 발생
2014 원자력 일본 원자력 발전소 악성코드 감염 직원 정보 유출
2014 발전 한국수력원자력 e-mail 통한 악성코드 감염 도면 유출
2015 전력 우크라이나 전력 악성코드로 인한 정전사태 (Black Energy KillDisk)
The Trust Beyond the Security 2 ICS 사이버 보안의 중요성
12
IT 기술 시스템의 접목으로
현재의 SCADA Automation Protection Control system 은
- 상용 IT 제품활용 증가
- IP 기반 통신 프로토콜 사용 등 전용장비규격에서 표준장비규격 활용이 증가
- 물리적으로 분산되어 있으나 네트워크로 연결
- 모바일 기기와 스토리지 활용
제어시스템에 IT 기술의 비중이 증가할수록
Hacking Employee Mistake
Malicious software installed via USB port
The Trust Beyond the Security 1 어떻게 접근할 것인가
14
질문 1 우리는
- IT 인력 + IT 보안 인력
질문 2 IT 보안 점검 기준은
- K-ISMS
- ISO2700127019
- 기반시설취약점분석평가
- NIST Cyber Security Framework
질문 3 방향성은
- ICS 보안프레임워크에 기반한 점검
ICS 보안프레임워크 수립
ICS 보안분석서 기반의 점검
bull IT인력의 OT 접근
용이성 제공
bull 기준문서를 통한
점검 품질 평준화
bull IT 항목 기준으로
세부점검 방식
bull 각 항목별 기초적
대응방안 기술
The Trust Beyond the Security
ISA95 Standard Industry Architecture
[ Products ] [ Description of Level ]
Source ISA( International Society of Automation) ISA95 Enterprise-Control Integration Standard)
Business Logistics Plant Production Scheduling Shipping
Receiving Inventory etc
Manufacturing Operation Management
Dispatching Detailed Production Scheduling Production Tracking
Continuous Production
Control
Discrete Production
Control
Batch Production
Control
L4
L3
L2
L1
L0 Field DeviceInstrumentation
Equipment
Production Data Acquisition
Monitoring amp Automation Control
ERP for Manufacturing
SCM WMS
MES PLM
DCS SCADA Unit Level Control
Process Safety System
PLC HMI Machine Control
Discrete Safety System
Motors Drive Pumps Valves Compressors Actuators Robotics
②
①
[ 관리 ]
경영
생산
IT
OA
Biz
ICS
Purdue Reference Model
2 ICS 구성에 대한 이해 ndash 표준 Architecture
15
OT
FA
Critical Infra
Level 5 Enterprise (DMZ) Level 5 Enterprise
Level 3 Site Manufacturing Operation and Control
Level2 Area Supervisory Control
Level1 Basic Control
Level 0 Process
Level 4 Site Business Planning and Logistics
The Trust Beyond the Security 3 IT 보안컨설팅방법론 차용
16
빈도lsquo상rsquo 수행 모듈
빈도lsquo중rsquo 수행 모듈
빈도lsquo하rsquo 수행 모듈
범례
분석 [P1] 평가 [P2] 설계 [P3] 구현 [P4] 이행 [P5]
bull 국내 법규 bull 국내외 컴플라이언스
bull 정보보호 인증 규격
참조기준
bull Gap 분석 bull 인터뷰 bull 문서검토 bull 실사
수행기법
bull 진단 항목 bull (정품)진단도구 자체 개발 도구 bull FIRST 및 CVE DB 등
Tool
Consulting Process
요구사항 분석
조직업무 IT환경 분석
기술(요소)분석
자산분석∙평가
위협분석∙평가
취약점분석∙평가 (관리물리IT시스템)
취약점분석∙평가 (모의해킹진단)
위험분석∙평가
정보보호 Framework 설계
체계설계 (관리기술 Arch)
정보보호 솔루션 선정
마스터플랜 수립
조직체계 구현
이행점검 (모의감사)
이행지원
정책지침 재개정
T1
T2
T3
T1
T3
T6
T1
T2
T3
T1
T2
T3
T1
T2
T2
T5
T4
1
2
기술(요소)분석 ICS 분석 Framework (ICS Layering 및 ITU-T X805 보안기술영역 차용 [ISCM-ICS-P1-T3] SCADA용 Continuous Process용 Discrete Process용 구현) ICS보안정보분석서 (SCADA용 Purdue 모델 Protocol 기반 보안정보분석서 구현)
취약점 분석ㆍ평가 관리물리 기술영역 모의해킹 진단 항목 (모의해킹은 진단 시나리오 포함) [ISCM-ICS-P2-T3] [ISCM-ICS-P2-T4] [ISCM-ICS-P2-T5]
1
2
2
The Trust Beyond the Security 4 ICS 보안분석프레임워크
17
분석 Framework
[ Products ] [ 구분 ]
[Control Center] HMI--MTU--FEP[|OPC] Historian
(HMI Viewer)--HMI(OPC Historian)--PLCs--장치
Actuators (Drive Valves Compressors
Robotics hellip)
ERP SCM WMS IT Infra System 점검 영역 갈음
예외) 점검 대상 SAP ERP MII ndash PCo
MES PLM ( ProcessㆍManufacturing Operation Management )
Field Device Instrumentation Equipment
High Lv Protocol OPC ICCP MMS hellip Low Lv Prptocol Modbus DNP3 PROFIBUS WLAN PAN Mobile 유선
[ System Layering ]
경영
생산
IT
OA
Biz
ICS
분석 Framework를 통한 ICS보안정보분석
OT
FA
Critical Infra
산업정보관리
산업공정운영
산업제어시스템
Sensor Motor Pump
hellip IED n IED 1 IED 2 IED 3
Data Comm
ICS(SCADADCS) 보안정보 분석 Framework
권한관리 정보(Data) 보안 통신보안 무결성 보안 가용성 보안 비고
Lv1 Lv2 Lv3 관리 물리 PT 기술 계정관리 인증관리 비밀번호 기타 (보안 솔루션 등)
1Management Information
System 경영정보시스템
2Enterprise Resource
planning 전사 자원 관리
3Supply Chain Management
공급망 관리 시스템
4Warehouse Management
System 창고관리시스템
5
Manufacturing
Operation
Management
PLM
Product Lifecycle
Management 제품 수명주기
관리
6 APC
Advanced Process Control
고급공정제어기술로서 DCS
포함 기술임
7 MES
Manufacturing Execution
System 생산관리시스템
산업군에 따라 Lv2 영역 중첩
8[ Control
Center ][Center] HMI
Human-Machine Interface
센터 측면 통합 관제시스템
Field level HMI 고려 대상
(아주 간단한 제어기능 포함)
9 MTUMain Terminal Unit
SCADA 경우 Server를 의미
10 [ FEP ]
Front-End Processor
Gateway 역할 수행 (옵션)
PLC의 프로토콜 적용 수준을
확장해 주는 역할 수행
통신 관리자 감독 중앙시스
템에 보고 분리된 AP 기능
통합 등을 수행
11 Misc
Runtile Library(다른 컨트롤
시스템 업무시스템 통합
Alarms Contigency
Analysis Project Files
12 Data Comm[상위레벨 데이터]
통신 프로토콜
OPC
ICCP
hellip
13[하위레벨 데이터]
통신 프로토콜
Modbus
DNP3
14Vendor Dependent
Protocol
사이트에는 일반적으로 벤더
에서 개발된 독자적 프로토콜
이 사용됨 (150여개 혼용)
15 WLAN PAN
IEEE80211abgnac(Wi-Fi)
ZigBee(Peer-to-Peer)
Bluetooth(Master-Slave)
16 원거리 통신
- Cable Comm PSTN
(MODEM) 전용선 전력선
광케이블
- Mesh RF WirelessHART
ZigBee Wi-Fi mesh
ISA10011
- Licensed Radio
Microwave
- Cellular Backhaul CDMA
GSM LTE
- Satellite Uplink VSAT
BGAN
17 Control [Field] HMI
Human-Machine Interface
다수 PLC 등과 직접 연결되
어 제어 수행
18 RTU
Remote Terminal Unit
Firmware [gt Embeded OS gt
RTOS] 탑재 장치 일반적으로
SCADA 내에서 센서 데이터
를 디지털로 변환시켜 관리
시스템에 전송하는 통신 장치
역할 수행
19 PLC
Programmable Logic
Controller RTOS 탑재 장치
DCS의 경우 RTU 역할 포함
(자체 GUI HMI 제공 uarr)
20 [Plant] Historian
별도의 DB를 갖는 operation
HIStorian Server를 의미
DMZ의 Shared HIStorian의
경우 업무망에서 PLC 직접
접근방지 Historian를 통하여
데이터 접근 허용함
21 [ PAC ][programerable |] Process
Automation Controller
22 [ PMU ]
Phaser Measurement Unit
전력 시장 실시간 AC 파형을
수학적으로 표현(분석용도)
IEEE C37 118 사용 GPS 시
각 동기화(Synchro-phasers)
23 IED
Intelligent Electronic Device
Actuator 등에 붙어 MTU 명
령없이 자체처리 수준을 정의
하여 수행 (필요시 RTU와 통
신)
24 ActuatorSensor Motor Valve 등을
통칭하는 일반 용어
25 Sensor -
26 (Level 0) Mortor -
27 Misc
Drive Pumps Valves
Compressors(압축기) 버너
Robotics 솔레노이드
WMS
산
업
공
정
관
리
산
업
제
어
시
스
템
(
I
C
S
I
n
d
u
s
t
r
i
a
l
C
o
n
t
r
o
l
S
y
s
t
e
m
)
NO구분
설명취약점 분석 접근제어
산
업
정
보
관
리
MIS
ERP
SCM
Field Device
Instrumentation
Equipment
ITU-T X805 차용
- 접근제어 - 권한관리 - 정보보안 - 통신보안 - 무결성보안 - 가용성보안
Digital Analog Digital + Analog
참조 ISA95 amp Purdue Model
The Trust Beyond the Security 5 ICS 보안정보분석서
18
ICS Purdue Model 기반의 보안정보분석서
대구분 설명 공격 형태 취약성 정보 보호대책
Lv5 Enterprise Business Network
Lv4
Site Business Planning and
Logitics
Business Unit or Plant Network
-
Air-gap 구성안 (Waterfall 솔루션)
- 상위 망 - Airgap - 하위 망
Airgap Phygical or Unidirectional Airgap using a
Data Diode (단방향 통신 게이트웨이)
Data Diode in bypass mode(단방향 두개 설치)
Logical Airgap FW 이용
Data Guard
- 패킷의 모든 데이터(메시지 파일 유형 등) 검사
--gt network packet whitelist 솔루션
DMZDMZ
- 개발시스템 앱 서버 등TBD
- Shared HIStorian을 통한 Field Devices 직접 통제를
제한함으로써 침해 위협 조치
- Data Classification (데이터 위치 이동방향에 따른 레벨)
- DNS Sec 등 IT System 보안
-
- Honeypot Tech [low | high] Interaction Honeypots
결과분석에 필요한 리소스 보유 필요
사용 시 위험요소가 존재하는 지 확인 필요
허니팟을 통해 어떤 정보를 얻을 수 있는지 확인 필요
주gt 비용 인원 기술 한계점 파악 등 선결 내용
Manufacturing
Zone
(Operation Zone
Lv3210 포함)
Lv3
Production amp Scheduling System
Plant HIStorian
HMI DBMS
Console Workstation
Operation Support (Simulation amp
Modeling System Operation
Analysis System Test System
Engineering Workstation Misc)
Site Manufacturing
Operation amp Control
운영 지원
- ICS 테스트 amp 개발
- 데이터 분석
- 엔지니어링 설계 및 구성
- DHCP LDAP DNS File
Server 등의 IT시스템
공격자의 주 타겟 중 하나 HMIs
- Default or Weak Passwords
Brute force or dictionary attack 등으로 크랙 가능
- Web-based Attack
인증우회취약한세션관리LFIRFIXSSCSRFSQLinjection
- Malware on USB Device (Lv32)
Stuxnet OO Duqu(2011) Flame(2012) Shamoon(2012)
HavexDargonfly(2014) Black Energy BE2 (2014)
- Compromised IT System (ServerPC)
- DNS Spoofing(Cash Poisoning)
ICS Hardening
- AP whitelisting AP Sandboxing
--gt Windows(AppLocker) 및 third-party 솔루션
- Tripwire iptables chroot() chkrootkit
- Historian DBMS 보안 적용
- DNS Spoofing 방어 DNS 서버 설정 강화
DNS 서버를 다른 시큐리티 존에 위치시킴
-
- TOPINO CMP(콘솔) Xenon SA(Security Appliance)
가용성 산업용 HW Spec 제품 설치구성테스트
firmware update 시 무중단 가용성 지원
단방향양방향 통신 모드 모두 지원
주로 Modbus 같은 산업용 네트워크 프로토콜 제어
장비 프로파일 기반의 방화벽 룰 적용
LSM(Loadable Security Module) being installed Appliance
Lv2
Supervisory Control Network
(-Plant- Data Historian
Engineering Workstation
Comm Front-ends)
Area Supervisory Control
Control Server Compromise
- [Malicious Insider gt] Authentication bypass in HMI
- Malicious USB Key | client-side attack
gt Compromised Engineer Credentials
- Remote Station Physical Compromise
gt Compromised Field Device or Network
- Port Scanning Googling SHODAN 검색
- Default admin username amp password Deffault
running services Default security settings
- Poor AuthenticationAuthorization
SCADA Pass 모니터 부착 PW 메모지 등
- Buffer Overflows and Remote Code Execution
- Attacking Historian and DB
Attacks on Network Comm
- Traffic Capture injection relay Data Extraction DoS
Spoofing Control Signals Wireless Attacks MITM
Fuzzing(데이터 입력 테스트 기법) Network Protocol
DoS Attack Jamming RF EMT(Electro Magnetic
Transmission
MITM 기반 기술 ARP Spoofing (주로 HMI - PLC 간)
취약한 무결성 체크 및 인증 시스템
- Eavesdropping WiFi Bluetooth ZeeBee GSM
- Masquerading Evil Twin 공격 GSM 공격
FEP 등 원격지 공격 코드 실행
upstream (시리얼 프로토콜) 공격
Hardening ICS Control Software
- SW Vendor로부터의 보안 방안 적용
- 유선 보안솔루션의 VPN proxy 인터페이스 사용
AP Whitelisting Sandboxing
- 기본 구성 취약점 보호대책
암호키 만료갱신 암호강화 관리자 역할 강화 장치인증
- Missing Security Patches
ICS는 시스템 특성상 보안설정 적용이 어려운 경우 존재
Security on Network Comm
- 취약한 인증 기능을 가진 프로토콜은 사용 지양
- 데이터 다이오드 등으로 관리 제어 영역 구분(대역 분리)
- VPN으로 네트워크 트래픽 암호화
- 프로토콜 고유의 시그니처를 이용한 패킷 모니터링
- ICS 제조사(eg Honeywell 등)가 기본 방화벽 설정 지원
Whitelist 방식의 차단 솔루션
허용되는 작동 외의 모든 작동을 차단하는 방식
Testbed 담당자는 하기 사유로 부정적 의견 제시
whitelist 방식으로 관리 시 다수의 예외 처리 필요
솔루션 예시 Ahnlab 솔루션 (하이닉스에서 사용중
방식 불명) Symantec 솔루션 (에이전트 방식 패킷 분석)
Lv1
Control Devices (RTU PLC
Control Processor Progammable
Relay Dedicated Control
Operator Workstation)
Basic Control
컨트롤 장치 Field
Components 영역
- SIS amp Protection System
과의 통합
- unauthentication on Wireless Access
- RTUPLC의 마스터 서버로의 데이터 전송을 악용한
원격 익스플로잇 등 공격 시도 가능
TBD
Lv0
Process Control Instrumentation
Bus Network (IED Actuator
Misc)
Process
(End-Point) Field Devices
Physical or Remote Devices Attacks
- 인증 과정 우회 공격 물리적 접근 HW 공격 인증 우회
Embedded Electronic Attacks
Dumping Data at Rest from EEPROMs
Bus Snooping Data in Motion
Using Entropy to Find Key
--gt 공격자는 저장장치 또는 버스에서 데이터 획득
--gt 비대칭키는 엔트로피 높음 그래프에서 변화폭 큼
Firmware Attacks
--gt 암호 키알고리즘 주파수 도약(hopping) 분석 가능
--gt 역공학 원격 익스플로잇 가능 취약점 탐색
펌웨어 수정 공격툴 업로드 목적
Controller amp Field Device Security
- 산업 네트워크 upstream amp downstream Field Bus
네트워크 장비 amp 통신 브릿지 산업용프로토콜
관리프로토콜 시간동기화 FW RTOS EmBededOS
NIC WS 프로그램 파일 진단계기 장비 원격접속
장비 안전보안 장비 보호 필요
- 물리보안 hellip 사용 가능 포트ㆍ진단 포트ㆍ무선 Inf
외관 검사ㆍanti-tamper 제어실 접근 알림 포함 필요
소구분
업무망
- 기업 현장 공장 시설
네트워크 포함
- ICS 데이터 획득 가능
- ICS 원격접속 주관
- NERC(the North-american Electric Reliability Corporation)
보안 정책 참고(기반시설 사이버보안을 위한 표준 프레임
워크 개발)
- IAEA(Internal Atomic Energy Agency)
- Log Management remote log server gt ICS Central log
server(Comm F-E 등) gt Primary Analysis log server
- Auditing Forensics(침해흔적 조사 포함)
- ICS BackupRestore BCP amp DRP Incident handling
- Compromised Remote Access
- Malicious Insider
- 공격 시나리오 원격지 gt 서버워크스테이션(HMI) SW 공격
(주로 OS는 UnixLinuxWin TCPIP) gt ICS DB를 타겟팅
Business Zone
Enforcement Zone
(각 Level은 Enforcement Zone에 의해 분리됨
-Firewall ACL IDS 데이터 다이오드 등-)
Business Zone과 OperationControl
Zone 사이에서 데이터를 공유하는 영역
(via Shared HIStorian) IT시스템
Safety Zone
Enforcement Zone
CellArea Zone
Enforcement Zone
ICS Data Comm 레벨 보안정보분석서
NO 설명 공격 형태 취약성 정보 보호대책 비고
1 OPC
- OLE for Process Control
- 서로 다른 종류의 PLC 제품들을
하나의 제어시스템으로 통합 운영
하기 위한 중간 역할
- 구성 OPC Client - OPC Server
- PLCs - devices
상위 레벨 프로토콜이므로 전용
서버 또는 HMI 등과 같이 운용
가능 (Windows OS 탑재 상위
프로토콜)
- OPC UA TCP502
OPC UA XML TCP80 TCP443
TBD TBD
- OLE Object Linking and Embedding
(선행조건 Windows OS 기반 ICS)
- High Level Data Protocol 특성
Human Readable Info
기업-Control Network간 동작
DB - AP 간 데이터 명령어 전송
제품 Kepware Technologies Co Ltd
KEPServerEX MatrikonOPC
Universal ICS Protocol
- OPC Modbus
2
ICCP
(IEC 60870-6
TASE2)
- Inter-control Center Comm
Protocol
- TCP102
- read only (TBD )
- 인증 암호화 기능 미보유
- 데이터 통신 시 ARP 사용
으로 인한 취약점 존재
- No Security
- Electric independent System Operator
(ISO)에서 사용 -Smart Grid 포함-
Eg MISO (Midwest-미국 중서부-
Independent System Operator)
3MMS
(IEC 61850-8-1)
- Manufacturing Messaging
Specification
- TCP102
- 변전소 사용 프로토콜
- 관리장비(HMI FEP) - 현장장비
(RTU PLC IED) 간 통신 용도
TBD TBD
참고 Energy Sector Specific Protocol
- DNP3 DLMSCOSEM(TCP4059
UDP4059) ICCP IEC 104(TCP102)
IEEE C37118 (TCP4712 UDP4713)
MMS
4 Modbus
- Serial TCP 용 Proto 존재
- Master-Slave
- port 502
TBD - No Security- low level data protocol 특성
clear text no authentication
5 Modbus TCP
- Modicon사에서 개발(1979년)한
requestreponse 체계의 간단한
Open 프로토콜
- 관리장비(HMI FEP) - 현장장비
(RTU PLC IED) 간 통신 용도
- Wireshark
대부분의 ICS 프로토콜을
지원하므로 공격 분 석
기능 지원
- 보안 미고려 설계 동작 방식
- Master Station이 field device를 폴링
- field device는 통신 초기화 불가능
6DNP3
(IEEE 1915-2012)
- Distributed Network Protocol
- MasterSlave
- Port 19999 with TLS
Port 20000 without TLS
- 관리장비(HMI FEP) - 현장장비
(RTU PLC IED) 간 통신 용도
TBD- 사용자 - 장치간 인증 및
데이터 보호 (TLS)
- 북아메리카 호주 등에서 주로 변전소
(electrical substation) 통신에 사용
- 경우에 따라 TCP20000 UDP20000
7 IEC 60870-5-104
- 관리장비(HMI FEP) - 현장장비
(RTU PLC IED) 간 통신 용도
- send request accept request
confirmation timeouts error
recovery 등이 function에 포함
TBD TBD- DNP 30과 유사하며 유럽 등에서는
DNP 30보다 사용률이 높음
8 HART TBD TBD TBD -
9 BACnet2- MasterSlave
- BACnetIP UDP47808TBD TBD - BMS(빌딩관리시스템) 프로토콜
10LonWorks
LonTalk3
- Peer-to-Peer
- LonTalk UDP1628 UDP1629
- LonTalk3 Port 1679
TBD TBD
- BMS(빌딩관리시스템) 프로토콜
종류 BACnetIP LonTalk Fox
Fox 프로토콜 (TridiumNiagara)
TCP1911
11 EthernetIP
- Ethernet 인프라에 적용하여 장치
(Host PLC Actuator CNC 기기
등) 간의 통신 용도
- 인터넷 통지 지원 (Web AP 지원)
- 산업용 AP를 위해 Ethernet 기술
표준 허용
TBD TBD
- 참고
OPC와 같은 데이터 접근교환을
위해 HTTPFTPSNMPDHCP 등
인터넷 프로토콜 표준 및 산업
프로토콜 표준과 호환성 보증
12 PROFIBUS
- SIEMENS 사에서 개발
- Fieldbus Network(EIA-485) 사용
- 버전 PROFIBUS DP(FA) FMS
(Multiple Master Peer-to-Peer)
PA(Process Automation)
- ProcessField 버스 사용상 이점
No TCPIP Overhead
Low latency
Non-routable
TBD TBD
- 통신 프로토콜의 변화
시리얼 --gt 네트워크 프로토콜
여러 통신층에서 정보 교환 가능
(eg Ethernet TCPIP)
- Ethernet 기반 ICS 통신 프로토콜
일부 ICS 시리얼 프로토콜은 Ethernet
인프라를 사용해서 변환 통신 수행
Goose Messaging (IEC 61850-9-1)
SAV or Sampled Values (61850-9-2)
Process Automation Specific Protocol
- EtherCAT(UDP34980) EthernetIP
(TCP44818 UDP2222 44818)
FL-net (UDP55000~55003) Fieldbus
HSE (TCP1089~1091UDP1089~1091)
HART-IP(TCP5094 UDP5094)
PROFINET (TCP34962~34964 UDP
34962~34964)
[상위 레벨 데이터]
통신 프로토콜
[하위 레벨 데이터]
통신 프로토콜
구분
공격형태 취약성 정보 보호대책
[하위 레벨 데이터] 통신
프로토콜
The Trust Beyond the Security 6 ICS 취약점분석 기준 ndash 관리물리기술영역
19
관리물리 취약점 진단 항목Framework 기술영역 취약점 진단 항목Framework
A731 퇴직 및 직무변경 책임 임직원 혹은 계약자에 대한 퇴직 혹은 업무 변경 후에
유효한 정보보호책임과 의무를 정의하고 강제해야 하
며 의사소통을 해야 한다
퇴직 및 직무 변경에 관한 책임이 명시적으로 정의되고 지정되어야
함
a) 퇴직 시 정보보호 서약서 징구 등을 통한 비밀유지 서약을 실시
함
b) 퇴직 후 정해진 기간 동안 비밀유지 책임을 명시함
c) 새로운 업무와 책임에 대한 책임은 통제 되어야 하며 직무 변경
및 고용 종료 후에도 책임에 대해 관리되어야 함
A811 자산 목록 정보 및 정보처리 설비와 관련된 자산은 식별하고 자
산목록을 작성하고 유지해야 한다
모든 자산은 명확하게 인식되고 모든 중요 자산의 목록은 관리되어
야 함
a) 모든 자산과 그 자산에 대해 중요도를 문서화함
b) 정보의 라이프사이클은 정보의 생성 처리 저장 전송 등을 포함
함
c) 문서화된 자산 목록은 기존 재고 목록과 적절하게 사용되어야
한다
d) 자산관리자 지정 및 정보 등급화가 되어 있고 이에 대한 문서화
가 되어 있음
e) 자산 목록은 효과적인 자산 보호를 보장해야 하며 자산의 안전
및 금융(자산 관리)에 사용할 수 있다
확장 711 자산의 목록 [에너지 유틸리티 관련 구현 지침]
조직의 중요한 자산의 재고를 유지하고 관리하는 경우 별개의 책임
을 명확하게 규정하고 문서화해야 한다
자산의 재고는 관련된 프로세스 제어 시스템 자산과 응용프로그램
의 정보를 모두 포함한다
[에너지 유틸리티에 대한 추가 정보]
상기 분류에 대해 보충으로 에너지 공급 영역의 다른 넓은 범위의
섹터별 특정 자산 카테고리 또한 포함한다
a) 정보 그리드 및 네트워크 계획 스케줄링과 우선순위 정보 지리
와 지리참조 정보 위기와 비상계획 그리드 재해 복구 계획 스위칭
동작 정보 측정된 값 및 측정 데이터 계량 및 계량된 데이터 운영
기록 모수화 데이터 측정 및 메시지 아카이브
b) 소프트웨어 프로세스 제어 소프트웨어 시각화 시스템 에너지
관리 및 최적화 소프트웨어 시뮬레이션 소프트웨어 모수화 소프트
웨어 관리 및 모니터링 시스템 운영 자원 관리(ERP) 시스템 프로그
래밍 환경 펌웨어 아카이빙 소프트웨어 기타 등
c) 물리적 자산 제어 및 자동화 구성요소 원격 측정 및 원격 제어
구성요소 원격 단말 장치 데이터 전송 시스템 구성요소 디지털 보
호 및 안전 요소 디지털 계량 및 측정 장치 스마트 미터 디지털 센
서 및 작동 요소 모수화 및 프로그래밍 장치 시각화 및 운영요소
디지털 모니터링 및 기록 시스템 기타 등
d) 서비스 통신 서비스 비상 통신 서비스 정보 서비스 기상 서비
스 기타 등
A812 자산의 소유권 소유된 자산은 목록으로 유지되어야 한다 정보처리시설과 관련된 모든 정보 및 자산은 조직 내에서 명시적으
로 자산의 관리자를 지정 하여 관리하여야 함
a) 자산을 확실하게 파악 조사해야 함
b) 자산의 적절한 등급 분류와 보호 보장
c) 접근통제 정책에 대한 정의 및 주기적인 검토
d) 자산의 파기 혹은 삭제 할 때의 적절한 처리
확장 721 자산의 소유권 [에너지 유틸리티에 대한 추가 정보]
프로세스 제어 시스템을 사용하는 조직의 잠재적으로 복잡한 구조는
상업 및 운영 소유권의 종료와 관련하여 매우 다양한 책임을 의미한
다 결과적으로 자산 소유권 및 관련 책임 정보보안의 관점에서 자
산 소유자와 자산 운영자의 역할은 정확하게 정의되고 문서화되어야
한다
세부통제항목 내용
ISO270012013 ISO270022013 200192013 반영
270192013 반영 270022013 반영 27001 인증 규격
[ ICS 전용 정보보호 관리체계 진단 기준 ] 21개 항목 29개 세부기준
[ 27001 인증 심사 시 27019 Energy Utility 분야 보안 모범사례 반영 ]
A712 고용 약정 및 조건
직원 및 계약직 인원의 계약합의서에서는 조직과 그들의 정보보안책
임을 명시해야 한다
813 고용 조건
[에너지 유틸리티 관련 구현 지침]
파업권 또는 비상 상황에서 최대 근로 시간을 초과할 권한으로 직원
의 권리에 대한 제한은 중요 인프라 및 민감함 시스템의 동작을 위한
허용 가능한 법적 요구사항으로 주요한 개인의 책임을 고려해야 한
다 고용 계약을 체결하는 경우 모니터와 같은 스위칭 동작 등 특정
작업 기록에 관한 협정도 고려해야 한다
X805 기술 영역 차용 - 계정관리 - 권한관리 - 접근통제 - 가용성 - 무결성 - 암호화 - 부인방지
참고 진단 기준 - 기반시설 진단 기준 - SK인포섹 점검기준
- ITU-T X805 기반 진단 기준을 수립 중이며 해당 기준은 자경단 Deloitte 진단 Framework(56개 점검항목 2015년 작성) 및 주요정보통신기반시설 진단 기준을 100 포함하고 있음
- PLCRTU 등의 Firmware
Embeded OS RTOS 에 적용 가
능한 최상의 보안 수준을 적용하
는가
- 인가된 자만 시스템에 접속 가능 여부 확인
비밀번호 컴플라이언스 충족 여부 확인 등
- replay attack 등의 방지를 위한 인가 IP 접속 기
능 적용 확인 (보안장비 대체 적용 여부 확인)
- 장비간 주요 정보 통신 시 암호화 적용 미흡할
경우 이를 보완하는 보안장비 적용 여부 확인
- 54개 항목
114개 항목 38개 항목
SK인포섹 13486 경기도 성남시 분당구 판교로255번길 46 4층 E-mail skinfosecmktskcom TEL 02)6361-9114 FAX 02) 6361-9998
201604
The Trust Beyond the Security 목 차
2
I ICS에 대한 이해
II ICS 사이버 보안의 중요성
III ICS 보안 분석 프레임워크
The Trust Beyond the Security 1 Industrial Control System의 변화
4
1세대 Co-Located Control 1970년대
- 컴퓨터와 장비가 동일 구역에 위치 유선 연결
- 네트워크연결 안 됨
- 외부로부터의 공격 불가능
- 내부자 공격 가능성 낮음 (팀 단위 운영)
2세대 분산 제어 1980~1990년대
- 전용 프로토콜을 사용하는 Device와 Network를 통해 연결
- 외부 네트워크와는 연결 안 됨
- 내부자 공격 가능성 있음 (분산 운영됨)
The Trust Beyond the Security 1 Industrial Control System의 변화
5
3세대 Networked Systems 2000년대
- 독립된 사이트에 존재하지 않음 외부 네트워크와 연결
- 인터넷과 직접 연결 가능한 PC(컴퓨터)를 통해 외부와 연결
- MES(공정제어시스템)등과 같은 인터넷 연결 시스템과 연계 가능
- 표준 프로토콜을 사용 (TCPIP 및 기타 통신 표준 프로토콜)
- 원격 모니터링 혹은 업그레이드를 위하여 네트워크 연결이 필요
4세대 IoT 2010년대 ~
- Cloud 환경에서 수평적인 증가가 가능하도록 설계
- near real-time 지원
PLC 기반에서 동작하는 알고리즘보다 복잡한 알고리즘을 지원하기 위해
- 각종 센서 Actuator 등 Field Device와 연계
- 통신 프로토콜의 다양성 증가
The Trust Beyond the Security 2 PLCDCSAPCSCADA
6
PLC (Programmable Logic Control)
- Relay의 대체로 개발 됨
- 자동차 반도체 전자 등 불연속 공정에 주로 적용
- 반도체기술의 발전과 함께 발전
SCADA
- 독립된 사이트에 존재하지 않음 외부 네트워크와 연결
- 인터넷과 직접 연결 가능한 PC(컴퓨터)를 통해 외부와 연결
- MES(공정제어시스템)등과 같은 인터넷 연결 시스템과 연계 가능
- 표준 프로토콜을 사용 (TCPIP 및 기타 통신 표준 프로토콜)
- 원격 모니터링 혹은 업그레이드를 위하여 네트워크 연결이 필요
The Trust Beyond the Security 2 PLCDCSAPCSCADA
7
DCS (Distributed Control System)
- 자동제어프로그램이 내장된 다수의 제어용 컴퓨터를 기능별로 분산하여 위험을 최소화
- 전체적인 관리는 중앙에서 모니터링 및 컨트롤
- 수처리 발전 보일러 제철 석유화학 등 연속공정에 주로 적용
- Analog 연속제어에 사용
- APC (Advanced Process Control)로 발전
APC (Advanced Process Control)
- DCS와 연계되며 다수의 DCS와 연결되어 상위에서 조절
- DCS는 하나의 조절변수와 하나의 제어변수 만을 고려
- APC는 다수의 입력변수를 받아 이들의 상호관계를 예측하여 제어함으로써 공정을 좀 더 지
속적으로 안정화
- DCS의 발전된 형태
The Trust Beyond the Security 3 ICS 구성에 대한 이해
8
[공장자동화] [사무자동화] [웹 서비스]
대 고객
온라인서비스
경영지원
시스템 (ERP 등)
산업제어
시스템
인터넷 (OA) (FA)
The Trust Beyond the Security 4 IT와 OT (ICS) 주요 차이점
9
구분 IT 시스템 ICS 시스템 (SCADA 중심)
성능요구 비 실시간 실시간
가용성 재구동 허용 재 구동 불허 계획된 정지 고가용성
보호대상 정보 필드 장치 프로세스
시스템 운영 개방형 운영체제 전용 운영체제
생명주기 3 ~ 5년 15 ~ 20년
통신 표준 프로토콜 전용 프로토콜
SW 변경관리 보안정책에 따라 자동적용 사전 시험 후 점진적 적용 계획된 정지시기에 적용
접근 용이성 지역에 국한 접근 용이 넓은 영역에 퍼짐
물리적 접근 노력 필요
The Trust Beyond the Security 1 ICS가 원인이 된 사고사례
11
일시 분야 대상 내용
2007 교통 미국 LA 교통시스템 내부자에 의한 시스템 침해
2009 4 전력 미국 전력망 Conficker worm 제어시스템 감염 1천 2백만 컴퓨터 감염
2009 8 수자원 러시아 Sayano-shushenskaya 댐 제어시스템 문제로 발전기 터빈 폭발
2010 11 원자력 이란 우라늄 원심분리기 Stuxnet 감염으로 원심분리기 1000개 감염
2011 상수도 미국 상수도 시설 원격접속을 통한 해킹으로 제어 펌프 장악
2012 사우디 아람코 악성코드 감염 네트워크 마비
2012 가스 카타르 LNG 생산시설 악성코드 감염 네트워크 마비
2012 상수도 미국 휴스턴 상수도 제어시스템에 미공개 악성코드 감염
2013 교통 이스라엘 터널 개폐장치 악성코드 감염으로 교통혼잡 발생
2014 원자력 일본 원자력 발전소 악성코드 감염 직원 정보 유출
2014 발전 한국수력원자력 e-mail 통한 악성코드 감염 도면 유출
2015 전력 우크라이나 전력 악성코드로 인한 정전사태 (Black Energy KillDisk)
The Trust Beyond the Security 2 ICS 사이버 보안의 중요성
12
IT 기술 시스템의 접목으로
현재의 SCADA Automation Protection Control system 은
- 상용 IT 제품활용 증가
- IP 기반 통신 프로토콜 사용 등 전용장비규격에서 표준장비규격 활용이 증가
- 물리적으로 분산되어 있으나 네트워크로 연결
- 모바일 기기와 스토리지 활용
제어시스템에 IT 기술의 비중이 증가할수록
Hacking Employee Mistake
Malicious software installed via USB port
The Trust Beyond the Security 1 어떻게 접근할 것인가
14
질문 1 우리는
- IT 인력 + IT 보안 인력
질문 2 IT 보안 점검 기준은
- K-ISMS
- ISO2700127019
- 기반시설취약점분석평가
- NIST Cyber Security Framework
질문 3 방향성은
- ICS 보안프레임워크에 기반한 점검
ICS 보안프레임워크 수립
ICS 보안분석서 기반의 점검
bull IT인력의 OT 접근
용이성 제공
bull 기준문서를 통한
점검 품질 평준화
bull IT 항목 기준으로
세부점검 방식
bull 각 항목별 기초적
대응방안 기술
The Trust Beyond the Security
ISA95 Standard Industry Architecture
[ Products ] [ Description of Level ]
Source ISA( International Society of Automation) ISA95 Enterprise-Control Integration Standard)
Business Logistics Plant Production Scheduling Shipping
Receiving Inventory etc
Manufacturing Operation Management
Dispatching Detailed Production Scheduling Production Tracking
Continuous Production
Control
Discrete Production
Control
Batch Production
Control
L4
L3
L2
L1
L0 Field DeviceInstrumentation
Equipment
Production Data Acquisition
Monitoring amp Automation Control
ERP for Manufacturing
SCM WMS
MES PLM
DCS SCADA Unit Level Control
Process Safety System
PLC HMI Machine Control
Discrete Safety System
Motors Drive Pumps Valves Compressors Actuators Robotics
②
①
[ 관리 ]
경영
생산
IT
OA
Biz
ICS
Purdue Reference Model
2 ICS 구성에 대한 이해 ndash 표준 Architecture
15
OT
FA
Critical Infra
Level 5 Enterprise (DMZ) Level 5 Enterprise
Level 3 Site Manufacturing Operation and Control
Level2 Area Supervisory Control
Level1 Basic Control
Level 0 Process
Level 4 Site Business Planning and Logistics
The Trust Beyond the Security 3 IT 보안컨설팅방법론 차용
16
빈도lsquo상rsquo 수행 모듈
빈도lsquo중rsquo 수행 모듈
빈도lsquo하rsquo 수행 모듈
범례
분석 [P1] 평가 [P2] 설계 [P3] 구현 [P4] 이행 [P5]
bull 국내 법규 bull 국내외 컴플라이언스
bull 정보보호 인증 규격
참조기준
bull Gap 분석 bull 인터뷰 bull 문서검토 bull 실사
수행기법
bull 진단 항목 bull (정품)진단도구 자체 개발 도구 bull FIRST 및 CVE DB 등
Tool
Consulting Process
요구사항 분석
조직업무 IT환경 분석
기술(요소)분석
자산분석∙평가
위협분석∙평가
취약점분석∙평가 (관리물리IT시스템)
취약점분석∙평가 (모의해킹진단)
위험분석∙평가
정보보호 Framework 설계
체계설계 (관리기술 Arch)
정보보호 솔루션 선정
마스터플랜 수립
조직체계 구현
이행점검 (모의감사)
이행지원
정책지침 재개정
T1
T2
T3
T1
T3
T6
T1
T2
T3
T1
T2
T3
T1
T2
T2
T5
T4
1
2
기술(요소)분석 ICS 분석 Framework (ICS Layering 및 ITU-T X805 보안기술영역 차용 [ISCM-ICS-P1-T3] SCADA용 Continuous Process용 Discrete Process용 구현) ICS보안정보분석서 (SCADA용 Purdue 모델 Protocol 기반 보안정보분석서 구현)
취약점 분석ㆍ평가 관리물리 기술영역 모의해킹 진단 항목 (모의해킹은 진단 시나리오 포함) [ISCM-ICS-P2-T3] [ISCM-ICS-P2-T4] [ISCM-ICS-P2-T5]
1
2
2
The Trust Beyond the Security 4 ICS 보안분석프레임워크
17
분석 Framework
[ Products ] [ 구분 ]
[Control Center] HMI--MTU--FEP[|OPC] Historian
(HMI Viewer)--HMI(OPC Historian)--PLCs--장치
Actuators (Drive Valves Compressors
Robotics hellip)
ERP SCM WMS IT Infra System 점검 영역 갈음
예외) 점검 대상 SAP ERP MII ndash PCo
MES PLM ( ProcessㆍManufacturing Operation Management )
Field Device Instrumentation Equipment
High Lv Protocol OPC ICCP MMS hellip Low Lv Prptocol Modbus DNP3 PROFIBUS WLAN PAN Mobile 유선
[ System Layering ]
경영
생산
IT
OA
Biz
ICS
분석 Framework를 통한 ICS보안정보분석
OT
FA
Critical Infra
산업정보관리
산업공정운영
산업제어시스템
Sensor Motor Pump
hellip IED n IED 1 IED 2 IED 3
Data Comm
ICS(SCADADCS) 보안정보 분석 Framework
권한관리 정보(Data) 보안 통신보안 무결성 보안 가용성 보안 비고
Lv1 Lv2 Lv3 관리 물리 PT 기술 계정관리 인증관리 비밀번호 기타 (보안 솔루션 등)
1Management Information
System 경영정보시스템
2Enterprise Resource
planning 전사 자원 관리
3Supply Chain Management
공급망 관리 시스템
4Warehouse Management
System 창고관리시스템
5
Manufacturing
Operation
Management
PLM
Product Lifecycle
Management 제품 수명주기
관리
6 APC
Advanced Process Control
고급공정제어기술로서 DCS
포함 기술임
7 MES
Manufacturing Execution
System 생산관리시스템
산업군에 따라 Lv2 영역 중첩
8[ Control
Center ][Center] HMI
Human-Machine Interface
센터 측면 통합 관제시스템
Field level HMI 고려 대상
(아주 간단한 제어기능 포함)
9 MTUMain Terminal Unit
SCADA 경우 Server를 의미
10 [ FEP ]
Front-End Processor
Gateway 역할 수행 (옵션)
PLC의 프로토콜 적용 수준을
확장해 주는 역할 수행
통신 관리자 감독 중앙시스
템에 보고 분리된 AP 기능
통합 등을 수행
11 Misc
Runtile Library(다른 컨트롤
시스템 업무시스템 통합
Alarms Contigency
Analysis Project Files
12 Data Comm[상위레벨 데이터]
통신 프로토콜
OPC
ICCP
hellip
13[하위레벨 데이터]
통신 프로토콜
Modbus
DNP3
14Vendor Dependent
Protocol
사이트에는 일반적으로 벤더
에서 개발된 독자적 프로토콜
이 사용됨 (150여개 혼용)
15 WLAN PAN
IEEE80211abgnac(Wi-Fi)
ZigBee(Peer-to-Peer)
Bluetooth(Master-Slave)
16 원거리 통신
- Cable Comm PSTN
(MODEM) 전용선 전력선
광케이블
- Mesh RF WirelessHART
ZigBee Wi-Fi mesh
ISA10011
- Licensed Radio
Microwave
- Cellular Backhaul CDMA
GSM LTE
- Satellite Uplink VSAT
BGAN
17 Control [Field] HMI
Human-Machine Interface
다수 PLC 등과 직접 연결되
어 제어 수행
18 RTU
Remote Terminal Unit
Firmware [gt Embeded OS gt
RTOS] 탑재 장치 일반적으로
SCADA 내에서 센서 데이터
를 디지털로 변환시켜 관리
시스템에 전송하는 통신 장치
역할 수행
19 PLC
Programmable Logic
Controller RTOS 탑재 장치
DCS의 경우 RTU 역할 포함
(자체 GUI HMI 제공 uarr)
20 [Plant] Historian
별도의 DB를 갖는 operation
HIStorian Server를 의미
DMZ의 Shared HIStorian의
경우 업무망에서 PLC 직접
접근방지 Historian를 통하여
데이터 접근 허용함
21 [ PAC ][programerable |] Process
Automation Controller
22 [ PMU ]
Phaser Measurement Unit
전력 시장 실시간 AC 파형을
수학적으로 표현(분석용도)
IEEE C37 118 사용 GPS 시
각 동기화(Synchro-phasers)
23 IED
Intelligent Electronic Device
Actuator 등에 붙어 MTU 명
령없이 자체처리 수준을 정의
하여 수행 (필요시 RTU와 통
신)
24 ActuatorSensor Motor Valve 등을
통칭하는 일반 용어
25 Sensor -
26 (Level 0) Mortor -
27 Misc
Drive Pumps Valves
Compressors(압축기) 버너
Robotics 솔레노이드
WMS
산
업
공
정
관
리
산
업
제
어
시
스
템
(
I
C
S
I
n
d
u
s
t
r
i
a
l
C
o
n
t
r
o
l
S
y
s
t
e
m
)
NO구분
설명취약점 분석 접근제어
산
업
정
보
관
리
MIS
ERP
SCM
Field Device
Instrumentation
Equipment
ITU-T X805 차용
- 접근제어 - 권한관리 - 정보보안 - 통신보안 - 무결성보안 - 가용성보안
Digital Analog Digital + Analog
참조 ISA95 amp Purdue Model
The Trust Beyond the Security 5 ICS 보안정보분석서
18
ICS Purdue Model 기반의 보안정보분석서
대구분 설명 공격 형태 취약성 정보 보호대책
Lv5 Enterprise Business Network
Lv4
Site Business Planning and
Logitics
Business Unit or Plant Network
-
Air-gap 구성안 (Waterfall 솔루션)
- 상위 망 - Airgap - 하위 망
Airgap Phygical or Unidirectional Airgap using a
Data Diode (단방향 통신 게이트웨이)
Data Diode in bypass mode(단방향 두개 설치)
Logical Airgap FW 이용
Data Guard
- 패킷의 모든 데이터(메시지 파일 유형 등) 검사
--gt network packet whitelist 솔루션
DMZDMZ
- 개발시스템 앱 서버 등TBD
- Shared HIStorian을 통한 Field Devices 직접 통제를
제한함으로써 침해 위협 조치
- Data Classification (데이터 위치 이동방향에 따른 레벨)
- DNS Sec 등 IT System 보안
-
- Honeypot Tech [low | high] Interaction Honeypots
결과분석에 필요한 리소스 보유 필요
사용 시 위험요소가 존재하는 지 확인 필요
허니팟을 통해 어떤 정보를 얻을 수 있는지 확인 필요
주gt 비용 인원 기술 한계점 파악 등 선결 내용
Manufacturing
Zone
(Operation Zone
Lv3210 포함)
Lv3
Production amp Scheduling System
Plant HIStorian
HMI DBMS
Console Workstation
Operation Support (Simulation amp
Modeling System Operation
Analysis System Test System
Engineering Workstation Misc)
Site Manufacturing
Operation amp Control
운영 지원
- ICS 테스트 amp 개발
- 데이터 분석
- 엔지니어링 설계 및 구성
- DHCP LDAP DNS File
Server 등의 IT시스템
공격자의 주 타겟 중 하나 HMIs
- Default or Weak Passwords
Brute force or dictionary attack 등으로 크랙 가능
- Web-based Attack
인증우회취약한세션관리LFIRFIXSSCSRFSQLinjection
- Malware on USB Device (Lv32)
Stuxnet OO Duqu(2011) Flame(2012) Shamoon(2012)
HavexDargonfly(2014) Black Energy BE2 (2014)
- Compromised IT System (ServerPC)
- DNS Spoofing(Cash Poisoning)
ICS Hardening
- AP whitelisting AP Sandboxing
--gt Windows(AppLocker) 및 third-party 솔루션
- Tripwire iptables chroot() chkrootkit
- Historian DBMS 보안 적용
- DNS Spoofing 방어 DNS 서버 설정 강화
DNS 서버를 다른 시큐리티 존에 위치시킴
-
- TOPINO CMP(콘솔) Xenon SA(Security Appliance)
가용성 산업용 HW Spec 제품 설치구성테스트
firmware update 시 무중단 가용성 지원
단방향양방향 통신 모드 모두 지원
주로 Modbus 같은 산업용 네트워크 프로토콜 제어
장비 프로파일 기반의 방화벽 룰 적용
LSM(Loadable Security Module) being installed Appliance
Lv2
Supervisory Control Network
(-Plant- Data Historian
Engineering Workstation
Comm Front-ends)
Area Supervisory Control
Control Server Compromise
- [Malicious Insider gt] Authentication bypass in HMI
- Malicious USB Key | client-side attack
gt Compromised Engineer Credentials
- Remote Station Physical Compromise
gt Compromised Field Device or Network
- Port Scanning Googling SHODAN 검색
- Default admin username amp password Deffault
running services Default security settings
- Poor AuthenticationAuthorization
SCADA Pass 모니터 부착 PW 메모지 등
- Buffer Overflows and Remote Code Execution
- Attacking Historian and DB
Attacks on Network Comm
- Traffic Capture injection relay Data Extraction DoS
Spoofing Control Signals Wireless Attacks MITM
Fuzzing(데이터 입력 테스트 기법) Network Protocol
DoS Attack Jamming RF EMT(Electro Magnetic
Transmission
MITM 기반 기술 ARP Spoofing (주로 HMI - PLC 간)
취약한 무결성 체크 및 인증 시스템
- Eavesdropping WiFi Bluetooth ZeeBee GSM
- Masquerading Evil Twin 공격 GSM 공격
FEP 등 원격지 공격 코드 실행
upstream (시리얼 프로토콜) 공격
Hardening ICS Control Software
- SW Vendor로부터의 보안 방안 적용
- 유선 보안솔루션의 VPN proxy 인터페이스 사용
AP Whitelisting Sandboxing
- 기본 구성 취약점 보호대책
암호키 만료갱신 암호강화 관리자 역할 강화 장치인증
- Missing Security Patches
ICS는 시스템 특성상 보안설정 적용이 어려운 경우 존재
Security on Network Comm
- 취약한 인증 기능을 가진 프로토콜은 사용 지양
- 데이터 다이오드 등으로 관리 제어 영역 구분(대역 분리)
- VPN으로 네트워크 트래픽 암호화
- 프로토콜 고유의 시그니처를 이용한 패킷 모니터링
- ICS 제조사(eg Honeywell 등)가 기본 방화벽 설정 지원
Whitelist 방식의 차단 솔루션
허용되는 작동 외의 모든 작동을 차단하는 방식
Testbed 담당자는 하기 사유로 부정적 의견 제시
whitelist 방식으로 관리 시 다수의 예외 처리 필요
솔루션 예시 Ahnlab 솔루션 (하이닉스에서 사용중
방식 불명) Symantec 솔루션 (에이전트 방식 패킷 분석)
Lv1
Control Devices (RTU PLC
Control Processor Progammable
Relay Dedicated Control
Operator Workstation)
Basic Control
컨트롤 장치 Field
Components 영역
- SIS amp Protection System
과의 통합
- unauthentication on Wireless Access
- RTUPLC의 마스터 서버로의 데이터 전송을 악용한
원격 익스플로잇 등 공격 시도 가능
TBD
Lv0
Process Control Instrumentation
Bus Network (IED Actuator
Misc)
Process
(End-Point) Field Devices
Physical or Remote Devices Attacks
- 인증 과정 우회 공격 물리적 접근 HW 공격 인증 우회
Embedded Electronic Attacks
Dumping Data at Rest from EEPROMs
Bus Snooping Data in Motion
Using Entropy to Find Key
--gt 공격자는 저장장치 또는 버스에서 데이터 획득
--gt 비대칭키는 엔트로피 높음 그래프에서 변화폭 큼
Firmware Attacks
--gt 암호 키알고리즘 주파수 도약(hopping) 분석 가능
--gt 역공학 원격 익스플로잇 가능 취약점 탐색
펌웨어 수정 공격툴 업로드 목적
Controller amp Field Device Security
- 산업 네트워크 upstream amp downstream Field Bus
네트워크 장비 amp 통신 브릿지 산업용프로토콜
관리프로토콜 시간동기화 FW RTOS EmBededOS
NIC WS 프로그램 파일 진단계기 장비 원격접속
장비 안전보안 장비 보호 필요
- 물리보안 hellip 사용 가능 포트ㆍ진단 포트ㆍ무선 Inf
외관 검사ㆍanti-tamper 제어실 접근 알림 포함 필요
소구분
업무망
- 기업 현장 공장 시설
네트워크 포함
- ICS 데이터 획득 가능
- ICS 원격접속 주관
- NERC(the North-american Electric Reliability Corporation)
보안 정책 참고(기반시설 사이버보안을 위한 표준 프레임
워크 개발)
- IAEA(Internal Atomic Energy Agency)
- Log Management remote log server gt ICS Central log
server(Comm F-E 등) gt Primary Analysis log server
- Auditing Forensics(침해흔적 조사 포함)
- ICS BackupRestore BCP amp DRP Incident handling
- Compromised Remote Access
- Malicious Insider
- 공격 시나리오 원격지 gt 서버워크스테이션(HMI) SW 공격
(주로 OS는 UnixLinuxWin TCPIP) gt ICS DB를 타겟팅
Business Zone
Enforcement Zone
(각 Level은 Enforcement Zone에 의해 분리됨
-Firewall ACL IDS 데이터 다이오드 등-)
Business Zone과 OperationControl
Zone 사이에서 데이터를 공유하는 영역
(via Shared HIStorian) IT시스템
Safety Zone
Enforcement Zone
CellArea Zone
Enforcement Zone
ICS Data Comm 레벨 보안정보분석서
NO 설명 공격 형태 취약성 정보 보호대책 비고
1 OPC
- OLE for Process Control
- 서로 다른 종류의 PLC 제품들을
하나의 제어시스템으로 통합 운영
하기 위한 중간 역할
- 구성 OPC Client - OPC Server
- PLCs - devices
상위 레벨 프로토콜이므로 전용
서버 또는 HMI 등과 같이 운용
가능 (Windows OS 탑재 상위
프로토콜)
- OPC UA TCP502
OPC UA XML TCP80 TCP443
TBD TBD
- OLE Object Linking and Embedding
(선행조건 Windows OS 기반 ICS)
- High Level Data Protocol 특성
Human Readable Info
기업-Control Network간 동작
DB - AP 간 데이터 명령어 전송
제품 Kepware Technologies Co Ltd
KEPServerEX MatrikonOPC
Universal ICS Protocol
- OPC Modbus
2
ICCP
(IEC 60870-6
TASE2)
- Inter-control Center Comm
Protocol
- TCP102
- read only (TBD )
- 인증 암호화 기능 미보유
- 데이터 통신 시 ARP 사용
으로 인한 취약점 존재
- No Security
- Electric independent System Operator
(ISO)에서 사용 -Smart Grid 포함-
Eg MISO (Midwest-미국 중서부-
Independent System Operator)
3MMS
(IEC 61850-8-1)
- Manufacturing Messaging
Specification
- TCP102
- 변전소 사용 프로토콜
- 관리장비(HMI FEP) - 현장장비
(RTU PLC IED) 간 통신 용도
TBD TBD
참고 Energy Sector Specific Protocol
- DNP3 DLMSCOSEM(TCP4059
UDP4059) ICCP IEC 104(TCP102)
IEEE C37118 (TCP4712 UDP4713)
MMS
4 Modbus
- Serial TCP 용 Proto 존재
- Master-Slave
- port 502
TBD - No Security- low level data protocol 특성
clear text no authentication
5 Modbus TCP
- Modicon사에서 개발(1979년)한
requestreponse 체계의 간단한
Open 프로토콜
- 관리장비(HMI FEP) - 현장장비
(RTU PLC IED) 간 통신 용도
- Wireshark
대부분의 ICS 프로토콜을
지원하므로 공격 분 석
기능 지원
- 보안 미고려 설계 동작 방식
- Master Station이 field device를 폴링
- field device는 통신 초기화 불가능
6DNP3
(IEEE 1915-2012)
- Distributed Network Protocol
- MasterSlave
- Port 19999 with TLS
Port 20000 without TLS
- 관리장비(HMI FEP) - 현장장비
(RTU PLC IED) 간 통신 용도
TBD- 사용자 - 장치간 인증 및
데이터 보호 (TLS)
- 북아메리카 호주 등에서 주로 변전소
(electrical substation) 통신에 사용
- 경우에 따라 TCP20000 UDP20000
7 IEC 60870-5-104
- 관리장비(HMI FEP) - 현장장비
(RTU PLC IED) 간 통신 용도
- send request accept request
confirmation timeouts error
recovery 등이 function에 포함
TBD TBD- DNP 30과 유사하며 유럽 등에서는
DNP 30보다 사용률이 높음
8 HART TBD TBD TBD -
9 BACnet2- MasterSlave
- BACnetIP UDP47808TBD TBD - BMS(빌딩관리시스템) 프로토콜
10LonWorks
LonTalk3
- Peer-to-Peer
- LonTalk UDP1628 UDP1629
- LonTalk3 Port 1679
TBD TBD
- BMS(빌딩관리시스템) 프로토콜
종류 BACnetIP LonTalk Fox
Fox 프로토콜 (TridiumNiagara)
TCP1911
11 EthernetIP
- Ethernet 인프라에 적용하여 장치
(Host PLC Actuator CNC 기기
등) 간의 통신 용도
- 인터넷 통지 지원 (Web AP 지원)
- 산업용 AP를 위해 Ethernet 기술
표준 허용
TBD TBD
- 참고
OPC와 같은 데이터 접근교환을
위해 HTTPFTPSNMPDHCP 등
인터넷 프로토콜 표준 및 산업
프로토콜 표준과 호환성 보증
12 PROFIBUS
- SIEMENS 사에서 개발
- Fieldbus Network(EIA-485) 사용
- 버전 PROFIBUS DP(FA) FMS
(Multiple Master Peer-to-Peer)
PA(Process Automation)
- ProcessField 버스 사용상 이점
No TCPIP Overhead
Low latency
Non-routable
TBD TBD
- 통신 프로토콜의 변화
시리얼 --gt 네트워크 프로토콜
여러 통신층에서 정보 교환 가능
(eg Ethernet TCPIP)
- Ethernet 기반 ICS 통신 프로토콜
일부 ICS 시리얼 프로토콜은 Ethernet
인프라를 사용해서 변환 통신 수행
Goose Messaging (IEC 61850-9-1)
SAV or Sampled Values (61850-9-2)
Process Automation Specific Protocol
- EtherCAT(UDP34980) EthernetIP
(TCP44818 UDP2222 44818)
FL-net (UDP55000~55003) Fieldbus
HSE (TCP1089~1091UDP1089~1091)
HART-IP(TCP5094 UDP5094)
PROFINET (TCP34962~34964 UDP
34962~34964)
[상위 레벨 데이터]
통신 프로토콜
[하위 레벨 데이터]
통신 프로토콜
구분
공격형태 취약성 정보 보호대책
[하위 레벨 데이터] 통신
프로토콜
The Trust Beyond the Security 6 ICS 취약점분석 기준 ndash 관리물리기술영역
19
관리물리 취약점 진단 항목Framework 기술영역 취약점 진단 항목Framework
A731 퇴직 및 직무변경 책임 임직원 혹은 계약자에 대한 퇴직 혹은 업무 변경 후에
유효한 정보보호책임과 의무를 정의하고 강제해야 하
며 의사소통을 해야 한다
퇴직 및 직무 변경에 관한 책임이 명시적으로 정의되고 지정되어야
함
a) 퇴직 시 정보보호 서약서 징구 등을 통한 비밀유지 서약을 실시
함
b) 퇴직 후 정해진 기간 동안 비밀유지 책임을 명시함
c) 새로운 업무와 책임에 대한 책임은 통제 되어야 하며 직무 변경
및 고용 종료 후에도 책임에 대해 관리되어야 함
A811 자산 목록 정보 및 정보처리 설비와 관련된 자산은 식별하고 자
산목록을 작성하고 유지해야 한다
모든 자산은 명확하게 인식되고 모든 중요 자산의 목록은 관리되어
야 함
a) 모든 자산과 그 자산에 대해 중요도를 문서화함
b) 정보의 라이프사이클은 정보의 생성 처리 저장 전송 등을 포함
함
c) 문서화된 자산 목록은 기존 재고 목록과 적절하게 사용되어야
한다
d) 자산관리자 지정 및 정보 등급화가 되어 있고 이에 대한 문서화
가 되어 있음
e) 자산 목록은 효과적인 자산 보호를 보장해야 하며 자산의 안전
및 금융(자산 관리)에 사용할 수 있다
확장 711 자산의 목록 [에너지 유틸리티 관련 구현 지침]
조직의 중요한 자산의 재고를 유지하고 관리하는 경우 별개의 책임
을 명확하게 규정하고 문서화해야 한다
자산의 재고는 관련된 프로세스 제어 시스템 자산과 응용프로그램
의 정보를 모두 포함한다
[에너지 유틸리티에 대한 추가 정보]
상기 분류에 대해 보충으로 에너지 공급 영역의 다른 넓은 범위의
섹터별 특정 자산 카테고리 또한 포함한다
a) 정보 그리드 및 네트워크 계획 스케줄링과 우선순위 정보 지리
와 지리참조 정보 위기와 비상계획 그리드 재해 복구 계획 스위칭
동작 정보 측정된 값 및 측정 데이터 계량 및 계량된 데이터 운영
기록 모수화 데이터 측정 및 메시지 아카이브
b) 소프트웨어 프로세스 제어 소프트웨어 시각화 시스템 에너지
관리 및 최적화 소프트웨어 시뮬레이션 소프트웨어 모수화 소프트
웨어 관리 및 모니터링 시스템 운영 자원 관리(ERP) 시스템 프로그
래밍 환경 펌웨어 아카이빙 소프트웨어 기타 등
c) 물리적 자산 제어 및 자동화 구성요소 원격 측정 및 원격 제어
구성요소 원격 단말 장치 데이터 전송 시스템 구성요소 디지털 보
호 및 안전 요소 디지털 계량 및 측정 장치 스마트 미터 디지털 센
서 및 작동 요소 모수화 및 프로그래밍 장치 시각화 및 운영요소
디지털 모니터링 및 기록 시스템 기타 등
d) 서비스 통신 서비스 비상 통신 서비스 정보 서비스 기상 서비
스 기타 등
A812 자산의 소유권 소유된 자산은 목록으로 유지되어야 한다 정보처리시설과 관련된 모든 정보 및 자산은 조직 내에서 명시적으
로 자산의 관리자를 지정 하여 관리하여야 함
a) 자산을 확실하게 파악 조사해야 함
b) 자산의 적절한 등급 분류와 보호 보장
c) 접근통제 정책에 대한 정의 및 주기적인 검토
d) 자산의 파기 혹은 삭제 할 때의 적절한 처리
확장 721 자산의 소유권 [에너지 유틸리티에 대한 추가 정보]
프로세스 제어 시스템을 사용하는 조직의 잠재적으로 복잡한 구조는
상업 및 운영 소유권의 종료와 관련하여 매우 다양한 책임을 의미한
다 결과적으로 자산 소유권 및 관련 책임 정보보안의 관점에서 자
산 소유자와 자산 운영자의 역할은 정확하게 정의되고 문서화되어야
한다
세부통제항목 내용
ISO270012013 ISO270022013 200192013 반영
270192013 반영 270022013 반영 27001 인증 규격
[ ICS 전용 정보보호 관리체계 진단 기준 ] 21개 항목 29개 세부기준
[ 27001 인증 심사 시 27019 Energy Utility 분야 보안 모범사례 반영 ]
A712 고용 약정 및 조건
직원 및 계약직 인원의 계약합의서에서는 조직과 그들의 정보보안책
임을 명시해야 한다
813 고용 조건
[에너지 유틸리티 관련 구현 지침]
파업권 또는 비상 상황에서 최대 근로 시간을 초과할 권한으로 직원
의 권리에 대한 제한은 중요 인프라 및 민감함 시스템의 동작을 위한
허용 가능한 법적 요구사항으로 주요한 개인의 책임을 고려해야 한
다 고용 계약을 체결하는 경우 모니터와 같은 스위칭 동작 등 특정
작업 기록에 관한 협정도 고려해야 한다
X805 기술 영역 차용 - 계정관리 - 권한관리 - 접근통제 - 가용성 - 무결성 - 암호화 - 부인방지
참고 진단 기준 - 기반시설 진단 기준 - SK인포섹 점검기준
- ITU-T X805 기반 진단 기준을 수립 중이며 해당 기준은 자경단 Deloitte 진단 Framework(56개 점검항목 2015년 작성) 및 주요정보통신기반시설 진단 기준을 100 포함하고 있음
- PLCRTU 등의 Firmware
Embeded OS RTOS 에 적용 가
능한 최상의 보안 수준을 적용하
는가
- 인가된 자만 시스템에 접속 가능 여부 확인
비밀번호 컴플라이언스 충족 여부 확인 등
- replay attack 등의 방지를 위한 인가 IP 접속 기
능 적용 확인 (보안장비 대체 적용 여부 확인)
- 장비간 주요 정보 통신 시 암호화 적용 미흡할
경우 이를 보완하는 보안장비 적용 여부 확인
- 54개 항목
114개 항목 38개 항목
SK인포섹 13486 경기도 성남시 분당구 판교로255번길 46 4층 E-mail skinfosecmktskcom TEL 02)6361-9114 FAX 02) 6361-9998
201604
The Trust Beyond the Security 1 Industrial Control System의 변화
4
1세대 Co-Located Control 1970년대
- 컴퓨터와 장비가 동일 구역에 위치 유선 연결
- 네트워크연결 안 됨
- 외부로부터의 공격 불가능
- 내부자 공격 가능성 낮음 (팀 단위 운영)
2세대 분산 제어 1980~1990년대
- 전용 프로토콜을 사용하는 Device와 Network를 통해 연결
- 외부 네트워크와는 연결 안 됨
- 내부자 공격 가능성 있음 (분산 운영됨)
The Trust Beyond the Security 1 Industrial Control System의 변화
5
3세대 Networked Systems 2000년대
- 독립된 사이트에 존재하지 않음 외부 네트워크와 연결
- 인터넷과 직접 연결 가능한 PC(컴퓨터)를 통해 외부와 연결
- MES(공정제어시스템)등과 같은 인터넷 연결 시스템과 연계 가능
- 표준 프로토콜을 사용 (TCPIP 및 기타 통신 표준 프로토콜)
- 원격 모니터링 혹은 업그레이드를 위하여 네트워크 연결이 필요
4세대 IoT 2010년대 ~
- Cloud 환경에서 수평적인 증가가 가능하도록 설계
- near real-time 지원
PLC 기반에서 동작하는 알고리즘보다 복잡한 알고리즘을 지원하기 위해
- 각종 센서 Actuator 등 Field Device와 연계
- 통신 프로토콜의 다양성 증가
The Trust Beyond the Security 2 PLCDCSAPCSCADA
6
PLC (Programmable Logic Control)
- Relay의 대체로 개발 됨
- 자동차 반도체 전자 등 불연속 공정에 주로 적용
- 반도체기술의 발전과 함께 발전
SCADA
- 독립된 사이트에 존재하지 않음 외부 네트워크와 연결
- 인터넷과 직접 연결 가능한 PC(컴퓨터)를 통해 외부와 연결
- MES(공정제어시스템)등과 같은 인터넷 연결 시스템과 연계 가능
- 표준 프로토콜을 사용 (TCPIP 및 기타 통신 표준 프로토콜)
- 원격 모니터링 혹은 업그레이드를 위하여 네트워크 연결이 필요
The Trust Beyond the Security 2 PLCDCSAPCSCADA
7
DCS (Distributed Control System)
- 자동제어프로그램이 내장된 다수의 제어용 컴퓨터를 기능별로 분산하여 위험을 최소화
- 전체적인 관리는 중앙에서 모니터링 및 컨트롤
- 수처리 발전 보일러 제철 석유화학 등 연속공정에 주로 적용
- Analog 연속제어에 사용
- APC (Advanced Process Control)로 발전
APC (Advanced Process Control)
- DCS와 연계되며 다수의 DCS와 연결되어 상위에서 조절
- DCS는 하나의 조절변수와 하나의 제어변수 만을 고려
- APC는 다수의 입력변수를 받아 이들의 상호관계를 예측하여 제어함으로써 공정을 좀 더 지
속적으로 안정화
- DCS의 발전된 형태
The Trust Beyond the Security 3 ICS 구성에 대한 이해
8
[공장자동화] [사무자동화] [웹 서비스]
대 고객
온라인서비스
경영지원
시스템 (ERP 등)
산업제어
시스템
인터넷 (OA) (FA)
The Trust Beyond the Security 4 IT와 OT (ICS) 주요 차이점
9
구분 IT 시스템 ICS 시스템 (SCADA 중심)
성능요구 비 실시간 실시간
가용성 재구동 허용 재 구동 불허 계획된 정지 고가용성
보호대상 정보 필드 장치 프로세스
시스템 운영 개방형 운영체제 전용 운영체제
생명주기 3 ~ 5년 15 ~ 20년
통신 표준 프로토콜 전용 프로토콜
SW 변경관리 보안정책에 따라 자동적용 사전 시험 후 점진적 적용 계획된 정지시기에 적용
접근 용이성 지역에 국한 접근 용이 넓은 영역에 퍼짐
물리적 접근 노력 필요
The Trust Beyond the Security 1 ICS가 원인이 된 사고사례
11
일시 분야 대상 내용
2007 교통 미국 LA 교통시스템 내부자에 의한 시스템 침해
2009 4 전력 미국 전력망 Conficker worm 제어시스템 감염 1천 2백만 컴퓨터 감염
2009 8 수자원 러시아 Sayano-shushenskaya 댐 제어시스템 문제로 발전기 터빈 폭발
2010 11 원자력 이란 우라늄 원심분리기 Stuxnet 감염으로 원심분리기 1000개 감염
2011 상수도 미국 상수도 시설 원격접속을 통한 해킹으로 제어 펌프 장악
2012 사우디 아람코 악성코드 감염 네트워크 마비
2012 가스 카타르 LNG 생산시설 악성코드 감염 네트워크 마비
2012 상수도 미국 휴스턴 상수도 제어시스템에 미공개 악성코드 감염
2013 교통 이스라엘 터널 개폐장치 악성코드 감염으로 교통혼잡 발생
2014 원자력 일본 원자력 발전소 악성코드 감염 직원 정보 유출
2014 발전 한국수력원자력 e-mail 통한 악성코드 감염 도면 유출
2015 전력 우크라이나 전력 악성코드로 인한 정전사태 (Black Energy KillDisk)
The Trust Beyond the Security 2 ICS 사이버 보안의 중요성
12
IT 기술 시스템의 접목으로
현재의 SCADA Automation Protection Control system 은
- 상용 IT 제품활용 증가
- IP 기반 통신 프로토콜 사용 등 전용장비규격에서 표준장비규격 활용이 증가
- 물리적으로 분산되어 있으나 네트워크로 연결
- 모바일 기기와 스토리지 활용
제어시스템에 IT 기술의 비중이 증가할수록
Hacking Employee Mistake
Malicious software installed via USB port
The Trust Beyond the Security 1 어떻게 접근할 것인가
14
질문 1 우리는
- IT 인력 + IT 보안 인력
질문 2 IT 보안 점검 기준은
- K-ISMS
- ISO2700127019
- 기반시설취약점분석평가
- NIST Cyber Security Framework
질문 3 방향성은
- ICS 보안프레임워크에 기반한 점검
ICS 보안프레임워크 수립
ICS 보안분석서 기반의 점검
bull IT인력의 OT 접근
용이성 제공
bull 기준문서를 통한
점검 품질 평준화
bull IT 항목 기준으로
세부점검 방식
bull 각 항목별 기초적
대응방안 기술
The Trust Beyond the Security
ISA95 Standard Industry Architecture
[ Products ] [ Description of Level ]
Source ISA( International Society of Automation) ISA95 Enterprise-Control Integration Standard)
Business Logistics Plant Production Scheduling Shipping
Receiving Inventory etc
Manufacturing Operation Management
Dispatching Detailed Production Scheduling Production Tracking
Continuous Production
Control
Discrete Production
Control
Batch Production
Control
L4
L3
L2
L1
L0 Field DeviceInstrumentation
Equipment
Production Data Acquisition
Monitoring amp Automation Control
ERP for Manufacturing
SCM WMS
MES PLM
DCS SCADA Unit Level Control
Process Safety System
PLC HMI Machine Control
Discrete Safety System
Motors Drive Pumps Valves Compressors Actuators Robotics
②
①
[ 관리 ]
경영
생산
IT
OA
Biz
ICS
Purdue Reference Model
2 ICS 구성에 대한 이해 ndash 표준 Architecture
15
OT
FA
Critical Infra
Level 5 Enterprise (DMZ) Level 5 Enterprise
Level 3 Site Manufacturing Operation and Control
Level2 Area Supervisory Control
Level1 Basic Control
Level 0 Process
Level 4 Site Business Planning and Logistics
The Trust Beyond the Security 3 IT 보안컨설팅방법론 차용
16
빈도lsquo상rsquo 수행 모듈
빈도lsquo중rsquo 수행 모듈
빈도lsquo하rsquo 수행 모듈
범례
분석 [P1] 평가 [P2] 설계 [P3] 구현 [P4] 이행 [P5]
bull 국내 법규 bull 국내외 컴플라이언스
bull 정보보호 인증 규격
참조기준
bull Gap 분석 bull 인터뷰 bull 문서검토 bull 실사
수행기법
bull 진단 항목 bull (정품)진단도구 자체 개발 도구 bull FIRST 및 CVE DB 등
Tool
Consulting Process
요구사항 분석
조직업무 IT환경 분석
기술(요소)분석
자산분석∙평가
위협분석∙평가
취약점분석∙평가 (관리물리IT시스템)
취약점분석∙평가 (모의해킹진단)
위험분석∙평가
정보보호 Framework 설계
체계설계 (관리기술 Arch)
정보보호 솔루션 선정
마스터플랜 수립
조직체계 구현
이행점검 (모의감사)
이행지원
정책지침 재개정
T1
T2
T3
T1
T3
T6
T1
T2
T3
T1
T2
T3
T1
T2
T2
T5
T4
1
2
기술(요소)분석 ICS 분석 Framework (ICS Layering 및 ITU-T X805 보안기술영역 차용 [ISCM-ICS-P1-T3] SCADA용 Continuous Process용 Discrete Process용 구현) ICS보안정보분석서 (SCADA용 Purdue 모델 Protocol 기반 보안정보분석서 구현)
취약점 분석ㆍ평가 관리물리 기술영역 모의해킹 진단 항목 (모의해킹은 진단 시나리오 포함) [ISCM-ICS-P2-T3] [ISCM-ICS-P2-T4] [ISCM-ICS-P2-T5]
1
2
2
The Trust Beyond the Security 4 ICS 보안분석프레임워크
17
분석 Framework
[ Products ] [ 구분 ]
[Control Center] HMI--MTU--FEP[|OPC] Historian
(HMI Viewer)--HMI(OPC Historian)--PLCs--장치
Actuators (Drive Valves Compressors
Robotics hellip)
ERP SCM WMS IT Infra System 점검 영역 갈음
예외) 점검 대상 SAP ERP MII ndash PCo
MES PLM ( ProcessㆍManufacturing Operation Management )
Field Device Instrumentation Equipment
High Lv Protocol OPC ICCP MMS hellip Low Lv Prptocol Modbus DNP3 PROFIBUS WLAN PAN Mobile 유선
[ System Layering ]
경영
생산
IT
OA
Biz
ICS
분석 Framework를 통한 ICS보안정보분석
OT
FA
Critical Infra
산업정보관리
산업공정운영
산업제어시스템
Sensor Motor Pump
hellip IED n IED 1 IED 2 IED 3
Data Comm
ICS(SCADADCS) 보안정보 분석 Framework
권한관리 정보(Data) 보안 통신보안 무결성 보안 가용성 보안 비고
Lv1 Lv2 Lv3 관리 물리 PT 기술 계정관리 인증관리 비밀번호 기타 (보안 솔루션 등)
1Management Information
System 경영정보시스템
2Enterprise Resource
planning 전사 자원 관리
3Supply Chain Management
공급망 관리 시스템
4Warehouse Management
System 창고관리시스템
5
Manufacturing
Operation
Management
PLM
Product Lifecycle
Management 제품 수명주기
관리
6 APC
Advanced Process Control
고급공정제어기술로서 DCS
포함 기술임
7 MES
Manufacturing Execution
System 생산관리시스템
산업군에 따라 Lv2 영역 중첩
8[ Control
Center ][Center] HMI
Human-Machine Interface
센터 측면 통합 관제시스템
Field level HMI 고려 대상
(아주 간단한 제어기능 포함)
9 MTUMain Terminal Unit
SCADA 경우 Server를 의미
10 [ FEP ]
Front-End Processor
Gateway 역할 수행 (옵션)
PLC의 프로토콜 적용 수준을
확장해 주는 역할 수행
통신 관리자 감독 중앙시스
템에 보고 분리된 AP 기능
통합 등을 수행
11 Misc
Runtile Library(다른 컨트롤
시스템 업무시스템 통합
Alarms Contigency
Analysis Project Files
12 Data Comm[상위레벨 데이터]
통신 프로토콜
OPC
ICCP
hellip
13[하위레벨 데이터]
통신 프로토콜
Modbus
DNP3
14Vendor Dependent
Protocol
사이트에는 일반적으로 벤더
에서 개발된 독자적 프로토콜
이 사용됨 (150여개 혼용)
15 WLAN PAN
IEEE80211abgnac(Wi-Fi)
ZigBee(Peer-to-Peer)
Bluetooth(Master-Slave)
16 원거리 통신
- Cable Comm PSTN
(MODEM) 전용선 전력선
광케이블
- Mesh RF WirelessHART
ZigBee Wi-Fi mesh
ISA10011
- Licensed Radio
Microwave
- Cellular Backhaul CDMA
GSM LTE
- Satellite Uplink VSAT
BGAN
17 Control [Field] HMI
Human-Machine Interface
다수 PLC 등과 직접 연결되
어 제어 수행
18 RTU
Remote Terminal Unit
Firmware [gt Embeded OS gt
RTOS] 탑재 장치 일반적으로
SCADA 내에서 센서 데이터
를 디지털로 변환시켜 관리
시스템에 전송하는 통신 장치
역할 수행
19 PLC
Programmable Logic
Controller RTOS 탑재 장치
DCS의 경우 RTU 역할 포함
(자체 GUI HMI 제공 uarr)
20 [Plant] Historian
별도의 DB를 갖는 operation
HIStorian Server를 의미
DMZ의 Shared HIStorian의
경우 업무망에서 PLC 직접
접근방지 Historian를 통하여
데이터 접근 허용함
21 [ PAC ][programerable |] Process
Automation Controller
22 [ PMU ]
Phaser Measurement Unit
전력 시장 실시간 AC 파형을
수학적으로 표현(분석용도)
IEEE C37 118 사용 GPS 시
각 동기화(Synchro-phasers)
23 IED
Intelligent Electronic Device
Actuator 등에 붙어 MTU 명
령없이 자체처리 수준을 정의
하여 수행 (필요시 RTU와 통
신)
24 ActuatorSensor Motor Valve 등을
통칭하는 일반 용어
25 Sensor -
26 (Level 0) Mortor -
27 Misc
Drive Pumps Valves
Compressors(압축기) 버너
Robotics 솔레노이드
WMS
산
업
공
정
관
리
산
업
제
어
시
스
템
(
I
C
S
I
n
d
u
s
t
r
i
a
l
C
o
n
t
r
o
l
S
y
s
t
e
m
)
NO구분
설명취약점 분석 접근제어
산
업
정
보
관
리
MIS
ERP
SCM
Field Device
Instrumentation
Equipment
ITU-T X805 차용
- 접근제어 - 권한관리 - 정보보안 - 통신보안 - 무결성보안 - 가용성보안
Digital Analog Digital + Analog
참조 ISA95 amp Purdue Model
The Trust Beyond the Security 5 ICS 보안정보분석서
18
ICS Purdue Model 기반의 보안정보분석서
대구분 설명 공격 형태 취약성 정보 보호대책
Lv5 Enterprise Business Network
Lv4
Site Business Planning and
Logitics
Business Unit or Plant Network
-
Air-gap 구성안 (Waterfall 솔루션)
- 상위 망 - Airgap - 하위 망
Airgap Phygical or Unidirectional Airgap using a
Data Diode (단방향 통신 게이트웨이)
Data Diode in bypass mode(단방향 두개 설치)
Logical Airgap FW 이용
Data Guard
- 패킷의 모든 데이터(메시지 파일 유형 등) 검사
--gt network packet whitelist 솔루션
DMZDMZ
- 개발시스템 앱 서버 등TBD
- Shared HIStorian을 통한 Field Devices 직접 통제를
제한함으로써 침해 위협 조치
- Data Classification (데이터 위치 이동방향에 따른 레벨)
- DNS Sec 등 IT System 보안
-
- Honeypot Tech [low | high] Interaction Honeypots
결과분석에 필요한 리소스 보유 필요
사용 시 위험요소가 존재하는 지 확인 필요
허니팟을 통해 어떤 정보를 얻을 수 있는지 확인 필요
주gt 비용 인원 기술 한계점 파악 등 선결 내용
Manufacturing
Zone
(Operation Zone
Lv3210 포함)
Lv3
Production amp Scheduling System
Plant HIStorian
HMI DBMS
Console Workstation
Operation Support (Simulation amp
Modeling System Operation
Analysis System Test System
Engineering Workstation Misc)
Site Manufacturing
Operation amp Control
운영 지원
- ICS 테스트 amp 개발
- 데이터 분석
- 엔지니어링 설계 및 구성
- DHCP LDAP DNS File
Server 등의 IT시스템
공격자의 주 타겟 중 하나 HMIs
- Default or Weak Passwords
Brute force or dictionary attack 등으로 크랙 가능
- Web-based Attack
인증우회취약한세션관리LFIRFIXSSCSRFSQLinjection
- Malware on USB Device (Lv32)
Stuxnet OO Duqu(2011) Flame(2012) Shamoon(2012)
HavexDargonfly(2014) Black Energy BE2 (2014)
- Compromised IT System (ServerPC)
- DNS Spoofing(Cash Poisoning)
ICS Hardening
- AP whitelisting AP Sandboxing
--gt Windows(AppLocker) 및 third-party 솔루션
- Tripwire iptables chroot() chkrootkit
- Historian DBMS 보안 적용
- DNS Spoofing 방어 DNS 서버 설정 강화
DNS 서버를 다른 시큐리티 존에 위치시킴
-
- TOPINO CMP(콘솔) Xenon SA(Security Appliance)
가용성 산업용 HW Spec 제품 설치구성테스트
firmware update 시 무중단 가용성 지원
단방향양방향 통신 모드 모두 지원
주로 Modbus 같은 산업용 네트워크 프로토콜 제어
장비 프로파일 기반의 방화벽 룰 적용
LSM(Loadable Security Module) being installed Appliance
Lv2
Supervisory Control Network
(-Plant- Data Historian
Engineering Workstation
Comm Front-ends)
Area Supervisory Control
Control Server Compromise
- [Malicious Insider gt] Authentication bypass in HMI
- Malicious USB Key | client-side attack
gt Compromised Engineer Credentials
- Remote Station Physical Compromise
gt Compromised Field Device or Network
- Port Scanning Googling SHODAN 검색
- Default admin username amp password Deffault
running services Default security settings
- Poor AuthenticationAuthorization
SCADA Pass 모니터 부착 PW 메모지 등
- Buffer Overflows and Remote Code Execution
- Attacking Historian and DB
Attacks on Network Comm
- Traffic Capture injection relay Data Extraction DoS
Spoofing Control Signals Wireless Attacks MITM
Fuzzing(데이터 입력 테스트 기법) Network Protocol
DoS Attack Jamming RF EMT(Electro Magnetic
Transmission
MITM 기반 기술 ARP Spoofing (주로 HMI - PLC 간)
취약한 무결성 체크 및 인증 시스템
- Eavesdropping WiFi Bluetooth ZeeBee GSM
- Masquerading Evil Twin 공격 GSM 공격
FEP 등 원격지 공격 코드 실행
upstream (시리얼 프로토콜) 공격
Hardening ICS Control Software
- SW Vendor로부터의 보안 방안 적용
- 유선 보안솔루션의 VPN proxy 인터페이스 사용
AP Whitelisting Sandboxing
- 기본 구성 취약점 보호대책
암호키 만료갱신 암호강화 관리자 역할 강화 장치인증
- Missing Security Patches
ICS는 시스템 특성상 보안설정 적용이 어려운 경우 존재
Security on Network Comm
- 취약한 인증 기능을 가진 프로토콜은 사용 지양
- 데이터 다이오드 등으로 관리 제어 영역 구분(대역 분리)
- VPN으로 네트워크 트래픽 암호화
- 프로토콜 고유의 시그니처를 이용한 패킷 모니터링
- ICS 제조사(eg Honeywell 등)가 기본 방화벽 설정 지원
Whitelist 방식의 차단 솔루션
허용되는 작동 외의 모든 작동을 차단하는 방식
Testbed 담당자는 하기 사유로 부정적 의견 제시
whitelist 방식으로 관리 시 다수의 예외 처리 필요
솔루션 예시 Ahnlab 솔루션 (하이닉스에서 사용중
방식 불명) Symantec 솔루션 (에이전트 방식 패킷 분석)
Lv1
Control Devices (RTU PLC
Control Processor Progammable
Relay Dedicated Control
Operator Workstation)
Basic Control
컨트롤 장치 Field
Components 영역
- SIS amp Protection System
과의 통합
- unauthentication on Wireless Access
- RTUPLC의 마스터 서버로의 데이터 전송을 악용한
원격 익스플로잇 등 공격 시도 가능
TBD
Lv0
Process Control Instrumentation
Bus Network (IED Actuator
Misc)
Process
(End-Point) Field Devices
Physical or Remote Devices Attacks
- 인증 과정 우회 공격 물리적 접근 HW 공격 인증 우회
Embedded Electronic Attacks
Dumping Data at Rest from EEPROMs
Bus Snooping Data in Motion
Using Entropy to Find Key
--gt 공격자는 저장장치 또는 버스에서 데이터 획득
--gt 비대칭키는 엔트로피 높음 그래프에서 변화폭 큼
Firmware Attacks
--gt 암호 키알고리즘 주파수 도약(hopping) 분석 가능
--gt 역공학 원격 익스플로잇 가능 취약점 탐색
펌웨어 수정 공격툴 업로드 목적
Controller amp Field Device Security
- 산업 네트워크 upstream amp downstream Field Bus
네트워크 장비 amp 통신 브릿지 산업용프로토콜
관리프로토콜 시간동기화 FW RTOS EmBededOS
NIC WS 프로그램 파일 진단계기 장비 원격접속
장비 안전보안 장비 보호 필요
- 물리보안 hellip 사용 가능 포트ㆍ진단 포트ㆍ무선 Inf
외관 검사ㆍanti-tamper 제어실 접근 알림 포함 필요
소구분
업무망
- 기업 현장 공장 시설
네트워크 포함
- ICS 데이터 획득 가능
- ICS 원격접속 주관
- NERC(the North-american Electric Reliability Corporation)
보안 정책 참고(기반시설 사이버보안을 위한 표준 프레임
워크 개발)
- IAEA(Internal Atomic Energy Agency)
- Log Management remote log server gt ICS Central log
server(Comm F-E 등) gt Primary Analysis log server
- Auditing Forensics(침해흔적 조사 포함)
- ICS BackupRestore BCP amp DRP Incident handling
- Compromised Remote Access
- Malicious Insider
- 공격 시나리오 원격지 gt 서버워크스테이션(HMI) SW 공격
(주로 OS는 UnixLinuxWin TCPIP) gt ICS DB를 타겟팅
Business Zone
Enforcement Zone
(각 Level은 Enforcement Zone에 의해 분리됨
-Firewall ACL IDS 데이터 다이오드 등-)
Business Zone과 OperationControl
Zone 사이에서 데이터를 공유하는 영역
(via Shared HIStorian) IT시스템
Safety Zone
Enforcement Zone
CellArea Zone
Enforcement Zone
ICS Data Comm 레벨 보안정보분석서
NO 설명 공격 형태 취약성 정보 보호대책 비고
1 OPC
- OLE for Process Control
- 서로 다른 종류의 PLC 제품들을
하나의 제어시스템으로 통합 운영
하기 위한 중간 역할
- 구성 OPC Client - OPC Server
- PLCs - devices
상위 레벨 프로토콜이므로 전용
서버 또는 HMI 등과 같이 운용
가능 (Windows OS 탑재 상위
프로토콜)
- OPC UA TCP502
OPC UA XML TCP80 TCP443
TBD TBD
- OLE Object Linking and Embedding
(선행조건 Windows OS 기반 ICS)
- High Level Data Protocol 특성
Human Readable Info
기업-Control Network간 동작
DB - AP 간 데이터 명령어 전송
제품 Kepware Technologies Co Ltd
KEPServerEX MatrikonOPC
Universal ICS Protocol
- OPC Modbus
2
ICCP
(IEC 60870-6
TASE2)
- Inter-control Center Comm
Protocol
- TCP102
- read only (TBD )
- 인증 암호화 기능 미보유
- 데이터 통신 시 ARP 사용
으로 인한 취약점 존재
- No Security
- Electric independent System Operator
(ISO)에서 사용 -Smart Grid 포함-
Eg MISO (Midwest-미국 중서부-
Independent System Operator)
3MMS
(IEC 61850-8-1)
- Manufacturing Messaging
Specification
- TCP102
- 변전소 사용 프로토콜
- 관리장비(HMI FEP) - 현장장비
(RTU PLC IED) 간 통신 용도
TBD TBD
참고 Energy Sector Specific Protocol
- DNP3 DLMSCOSEM(TCP4059
UDP4059) ICCP IEC 104(TCP102)
IEEE C37118 (TCP4712 UDP4713)
MMS
4 Modbus
- Serial TCP 용 Proto 존재
- Master-Slave
- port 502
TBD - No Security- low level data protocol 특성
clear text no authentication
5 Modbus TCP
- Modicon사에서 개발(1979년)한
requestreponse 체계의 간단한
Open 프로토콜
- 관리장비(HMI FEP) - 현장장비
(RTU PLC IED) 간 통신 용도
- Wireshark
대부분의 ICS 프로토콜을
지원하므로 공격 분 석
기능 지원
- 보안 미고려 설계 동작 방식
- Master Station이 field device를 폴링
- field device는 통신 초기화 불가능
6DNP3
(IEEE 1915-2012)
- Distributed Network Protocol
- MasterSlave
- Port 19999 with TLS
Port 20000 without TLS
- 관리장비(HMI FEP) - 현장장비
(RTU PLC IED) 간 통신 용도
TBD- 사용자 - 장치간 인증 및
데이터 보호 (TLS)
- 북아메리카 호주 등에서 주로 변전소
(electrical substation) 통신에 사용
- 경우에 따라 TCP20000 UDP20000
7 IEC 60870-5-104
- 관리장비(HMI FEP) - 현장장비
(RTU PLC IED) 간 통신 용도
- send request accept request
confirmation timeouts error
recovery 등이 function에 포함
TBD TBD- DNP 30과 유사하며 유럽 등에서는
DNP 30보다 사용률이 높음
8 HART TBD TBD TBD -
9 BACnet2- MasterSlave
- BACnetIP UDP47808TBD TBD - BMS(빌딩관리시스템) 프로토콜
10LonWorks
LonTalk3
- Peer-to-Peer
- LonTalk UDP1628 UDP1629
- LonTalk3 Port 1679
TBD TBD
- BMS(빌딩관리시스템) 프로토콜
종류 BACnetIP LonTalk Fox
Fox 프로토콜 (TridiumNiagara)
TCP1911
11 EthernetIP
- Ethernet 인프라에 적용하여 장치
(Host PLC Actuator CNC 기기
등) 간의 통신 용도
- 인터넷 통지 지원 (Web AP 지원)
- 산업용 AP를 위해 Ethernet 기술
표준 허용
TBD TBD
- 참고
OPC와 같은 데이터 접근교환을
위해 HTTPFTPSNMPDHCP 등
인터넷 프로토콜 표준 및 산업
프로토콜 표준과 호환성 보증
12 PROFIBUS
- SIEMENS 사에서 개발
- Fieldbus Network(EIA-485) 사용
- 버전 PROFIBUS DP(FA) FMS
(Multiple Master Peer-to-Peer)
PA(Process Automation)
- ProcessField 버스 사용상 이점
No TCPIP Overhead
Low latency
Non-routable
TBD TBD
- 통신 프로토콜의 변화
시리얼 --gt 네트워크 프로토콜
여러 통신층에서 정보 교환 가능
(eg Ethernet TCPIP)
- Ethernet 기반 ICS 통신 프로토콜
일부 ICS 시리얼 프로토콜은 Ethernet
인프라를 사용해서 변환 통신 수행
Goose Messaging (IEC 61850-9-1)
SAV or Sampled Values (61850-9-2)
Process Automation Specific Protocol
- EtherCAT(UDP34980) EthernetIP
(TCP44818 UDP2222 44818)
FL-net (UDP55000~55003) Fieldbus
HSE (TCP1089~1091UDP1089~1091)
HART-IP(TCP5094 UDP5094)
PROFINET (TCP34962~34964 UDP
34962~34964)
[상위 레벨 데이터]
통신 프로토콜
[하위 레벨 데이터]
통신 프로토콜
구분
공격형태 취약성 정보 보호대책
[하위 레벨 데이터] 통신
프로토콜
The Trust Beyond the Security 6 ICS 취약점분석 기준 ndash 관리물리기술영역
19
관리물리 취약점 진단 항목Framework 기술영역 취약점 진단 항목Framework
A731 퇴직 및 직무변경 책임 임직원 혹은 계약자에 대한 퇴직 혹은 업무 변경 후에
유효한 정보보호책임과 의무를 정의하고 강제해야 하
며 의사소통을 해야 한다
퇴직 및 직무 변경에 관한 책임이 명시적으로 정의되고 지정되어야
함
a) 퇴직 시 정보보호 서약서 징구 등을 통한 비밀유지 서약을 실시
함
b) 퇴직 후 정해진 기간 동안 비밀유지 책임을 명시함
c) 새로운 업무와 책임에 대한 책임은 통제 되어야 하며 직무 변경
및 고용 종료 후에도 책임에 대해 관리되어야 함
A811 자산 목록 정보 및 정보처리 설비와 관련된 자산은 식별하고 자
산목록을 작성하고 유지해야 한다
모든 자산은 명확하게 인식되고 모든 중요 자산의 목록은 관리되어
야 함
a) 모든 자산과 그 자산에 대해 중요도를 문서화함
b) 정보의 라이프사이클은 정보의 생성 처리 저장 전송 등을 포함
함
c) 문서화된 자산 목록은 기존 재고 목록과 적절하게 사용되어야
한다
d) 자산관리자 지정 및 정보 등급화가 되어 있고 이에 대한 문서화
가 되어 있음
e) 자산 목록은 효과적인 자산 보호를 보장해야 하며 자산의 안전
및 금융(자산 관리)에 사용할 수 있다
확장 711 자산의 목록 [에너지 유틸리티 관련 구현 지침]
조직의 중요한 자산의 재고를 유지하고 관리하는 경우 별개의 책임
을 명확하게 규정하고 문서화해야 한다
자산의 재고는 관련된 프로세스 제어 시스템 자산과 응용프로그램
의 정보를 모두 포함한다
[에너지 유틸리티에 대한 추가 정보]
상기 분류에 대해 보충으로 에너지 공급 영역의 다른 넓은 범위의
섹터별 특정 자산 카테고리 또한 포함한다
a) 정보 그리드 및 네트워크 계획 스케줄링과 우선순위 정보 지리
와 지리참조 정보 위기와 비상계획 그리드 재해 복구 계획 스위칭
동작 정보 측정된 값 및 측정 데이터 계량 및 계량된 데이터 운영
기록 모수화 데이터 측정 및 메시지 아카이브
b) 소프트웨어 프로세스 제어 소프트웨어 시각화 시스템 에너지
관리 및 최적화 소프트웨어 시뮬레이션 소프트웨어 모수화 소프트
웨어 관리 및 모니터링 시스템 운영 자원 관리(ERP) 시스템 프로그
래밍 환경 펌웨어 아카이빙 소프트웨어 기타 등
c) 물리적 자산 제어 및 자동화 구성요소 원격 측정 및 원격 제어
구성요소 원격 단말 장치 데이터 전송 시스템 구성요소 디지털 보
호 및 안전 요소 디지털 계량 및 측정 장치 스마트 미터 디지털 센
서 및 작동 요소 모수화 및 프로그래밍 장치 시각화 및 운영요소
디지털 모니터링 및 기록 시스템 기타 등
d) 서비스 통신 서비스 비상 통신 서비스 정보 서비스 기상 서비
스 기타 등
A812 자산의 소유권 소유된 자산은 목록으로 유지되어야 한다 정보처리시설과 관련된 모든 정보 및 자산은 조직 내에서 명시적으
로 자산의 관리자를 지정 하여 관리하여야 함
a) 자산을 확실하게 파악 조사해야 함
b) 자산의 적절한 등급 분류와 보호 보장
c) 접근통제 정책에 대한 정의 및 주기적인 검토
d) 자산의 파기 혹은 삭제 할 때의 적절한 처리
확장 721 자산의 소유권 [에너지 유틸리티에 대한 추가 정보]
프로세스 제어 시스템을 사용하는 조직의 잠재적으로 복잡한 구조는
상업 및 운영 소유권의 종료와 관련하여 매우 다양한 책임을 의미한
다 결과적으로 자산 소유권 및 관련 책임 정보보안의 관점에서 자
산 소유자와 자산 운영자의 역할은 정확하게 정의되고 문서화되어야
한다
세부통제항목 내용
ISO270012013 ISO270022013 200192013 반영
270192013 반영 270022013 반영 27001 인증 규격
[ ICS 전용 정보보호 관리체계 진단 기준 ] 21개 항목 29개 세부기준
[ 27001 인증 심사 시 27019 Energy Utility 분야 보안 모범사례 반영 ]
A712 고용 약정 및 조건
직원 및 계약직 인원의 계약합의서에서는 조직과 그들의 정보보안책
임을 명시해야 한다
813 고용 조건
[에너지 유틸리티 관련 구현 지침]
파업권 또는 비상 상황에서 최대 근로 시간을 초과할 권한으로 직원
의 권리에 대한 제한은 중요 인프라 및 민감함 시스템의 동작을 위한
허용 가능한 법적 요구사항으로 주요한 개인의 책임을 고려해야 한
다 고용 계약을 체결하는 경우 모니터와 같은 스위칭 동작 등 특정
작업 기록에 관한 협정도 고려해야 한다
X805 기술 영역 차용 - 계정관리 - 권한관리 - 접근통제 - 가용성 - 무결성 - 암호화 - 부인방지
참고 진단 기준 - 기반시설 진단 기준 - SK인포섹 점검기준
- ITU-T X805 기반 진단 기준을 수립 중이며 해당 기준은 자경단 Deloitte 진단 Framework(56개 점검항목 2015년 작성) 및 주요정보통신기반시설 진단 기준을 100 포함하고 있음
- PLCRTU 등의 Firmware
Embeded OS RTOS 에 적용 가
능한 최상의 보안 수준을 적용하
는가
- 인가된 자만 시스템에 접속 가능 여부 확인
비밀번호 컴플라이언스 충족 여부 확인 등
- replay attack 등의 방지를 위한 인가 IP 접속 기
능 적용 확인 (보안장비 대체 적용 여부 확인)
- 장비간 주요 정보 통신 시 암호화 적용 미흡할
경우 이를 보완하는 보안장비 적용 여부 확인
- 54개 항목
114개 항목 38개 항목
SK인포섹 13486 경기도 성남시 분당구 판교로255번길 46 4층 E-mail skinfosecmktskcom TEL 02)6361-9114 FAX 02) 6361-9998
201604
The Trust Beyond the Security 1 Industrial Control System의 변화
5
3세대 Networked Systems 2000년대
- 독립된 사이트에 존재하지 않음 외부 네트워크와 연결
- 인터넷과 직접 연결 가능한 PC(컴퓨터)를 통해 외부와 연결
- MES(공정제어시스템)등과 같은 인터넷 연결 시스템과 연계 가능
- 표준 프로토콜을 사용 (TCPIP 및 기타 통신 표준 프로토콜)
- 원격 모니터링 혹은 업그레이드를 위하여 네트워크 연결이 필요
4세대 IoT 2010년대 ~
- Cloud 환경에서 수평적인 증가가 가능하도록 설계
- near real-time 지원
PLC 기반에서 동작하는 알고리즘보다 복잡한 알고리즘을 지원하기 위해
- 각종 센서 Actuator 등 Field Device와 연계
- 통신 프로토콜의 다양성 증가
The Trust Beyond the Security 2 PLCDCSAPCSCADA
6
PLC (Programmable Logic Control)
- Relay의 대체로 개발 됨
- 자동차 반도체 전자 등 불연속 공정에 주로 적용
- 반도체기술의 발전과 함께 발전
SCADA
- 독립된 사이트에 존재하지 않음 외부 네트워크와 연결
- 인터넷과 직접 연결 가능한 PC(컴퓨터)를 통해 외부와 연결
- MES(공정제어시스템)등과 같은 인터넷 연결 시스템과 연계 가능
- 표준 프로토콜을 사용 (TCPIP 및 기타 통신 표준 프로토콜)
- 원격 모니터링 혹은 업그레이드를 위하여 네트워크 연결이 필요
The Trust Beyond the Security 2 PLCDCSAPCSCADA
7
DCS (Distributed Control System)
- 자동제어프로그램이 내장된 다수의 제어용 컴퓨터를 기능별로 분산하여 위험을 최소화
- 전체적인 관리는 중앙에서 모니터링 및 컨트롤
- 수처리 발전 보일러 제철 석유화학 등 연속공정에 주로 적용
- Analog 연속제어에 사용
- APC (Advanced Process Control)로 발전
APC (Advanced Process Control)
- DCS와 연계되며 다수의 DCS와 연결되어 상위에서 조절
- DCS는 하나의 조절변수와 하나의 제어변수 만을 고려
- APC는 다수의 입력변수를 받아 이들의 상호관계를 예측하여 제어함으로써 공정을 좀 더 지
속적으로 안정화
- DCS의 발전된 형태
The Trust Beyond the Security 3 ICS 구성에 대한 이해
8
[공장자동화] [사무자동화] [웹 서비스]
대 고객
온라인서비스
경영지원
시스템 (ERP 등)
산업제어
시스템
인터넷 (OA) (FA)
The Trust Beyond the Security 4 IT와 OT (ICS) 주요 차이점
9
구분 IT 시스템 ICS 시스템 (SCADA 중심)
성능요구 비 실시간 실시간
가용성 재구동 허용 재 구동 불허 계획된 정지 고가용성
보호대상 정보 필드 장치 프로세스
시스템 운영 개방형 운영체제 전용 운영체제
생명주기 3 ~ 5년 15 ~ 20년
통신 표준 프로토콜 전용 프로토콜
SW 변경관리 보안정책에 따라 자동적용 사전 시험 후 점진적 적용 계획된 정지시기에 적용
접근 용이성 지역에 국한 접근 용이 넓은 영역에 퍼짐
물리적 접근 노력 필요
The Trust Beyond the Security 1 ICS가 원인이 된 사고사례
11
일시 분야 대상 내용
2007 교통 미국 LA 교통시스템 내부자에 의한 시스템 침해
2009 4 전력 미국 전력망 Conficker worm 제어시스템 감염 1천 2백만 컴퓨터 감염
2009 8 수자원 러시아 Sayano-shushenskaya 댐 제어시스템 문제로 발전기 터빈 폭발
2010 11 원자력 이란 우라늄 원심분리기 Stuxnet 감염으로 원심분리기 1000개 감염
2011 상수도 미국 상수도 시설 원격접속을 통한 해킹으로 제어 펌프 장악
2012 사우디 아람코 악성코드 감염 네트워크 마비
2012 가스 카타르 LNG 생산시설 악성코드 감염 네트워크 마비
2012 상수도 미국 휴스턴 상수도 제어시스템에 미공개 악성코드 감염
2013 교통 이스라엘 터널 개폐장치 악성코드 감염으로 교통혼잡 발생
2014 원자력 일본 원자력 발전소 악성코드 감염 직원 정보 유출
2014 발전 한국수력원자력 e-mail 통한 악성코드 감염 도면 유출
2015 전력 우크라이나 전력 악성코드로 인한 정전사태 (Black Energy KillDisk)
The Trust Beyond the Security 2 ICS 사이버 보안의 중요성
12
IT 기술 시스템의 접목으로
현재의 SCADA Automation Protection Control system 은
- 상용 IT 제품활용 증가
- IP 기반 통신 프로토콜 사용 등 전용장비규격에서 표준장비규격 활용이 증가
- 물리적으로 분산되어 있으나 네트워크로 연결
- 모바일 기기와 스토리지 활용
제어시스템에 IT 기술의 비중이 증가할수록
Hacking Employee Mistake
Malicious software installed via USB port
The Trust Beyond the Security 1 어떻게 접근할 것인가
14
질문 1 우리는
- IT 인력 + IT 보안 인력
질문 2 IT 보안 점검 기준은
- K-ISMS
- ISO2700127019
- 기반시설취약점분석평가
- NIST Cyber Security Framework
질문 3 방향성은
- ICS 보안프레임워크에 기반한 점검
ICS 보안프레임워크 수립
ICS 보안분석서 기반의 점검
bull IT인력의 OT 접근
용이성 제공
bull 기준문서를 통한
점검 품질 평준화
bull IT 항목 기준으로
세부점검 방식
bull 각 항목별 기초적
대응방안 기술
The Trust Beyond the Security
ISA95 Standard Industry Architecture
[ Products ] [ Description of Level ]
Source ISA( International Society of Automation) ISA95 Enterprise-Control Integration Standard)
Business Logistics Plant Production Scheduling Shipping
Receiving Inventory etc
Manufacturing Operation Management
Dispatching Detailed Production Scheduling Production Tracking
Continuous Production
Control
Discrete Production
Control
Batch Production
Control
L4
L3
L2
L1
L0 Field DeviceInstrumentation
Equipment
Production Data Acquisition
Monitoring amp Automation Control
ERP for Manufacturing
SCM WMS
MES PLM
DCS SCADA Unit Level Control
Process Safety System
PLC HMI Machine Control
Discrete Safety System
Motors Drive Pumps Valves Compressors Actuators Robotics
②
①
[ 관리 ]
경영
생산
IT
OA
Biz
ICS
Purdue Reference Model
2 ICS 구성에 대한 이해 ndash 표준 Architecture
15
OT
FA
Critical Infra
Level 5 Enterprise (DMZ) Level 5 Enterprise
Level 3 Site Manufacturing Operation and Control
Level2 Area Supervisory Control
Level1 Basic Control
Level 0 Process
Level 4 Site Business Planning and Logistics
The Trust Beyond the Security 3 IT 보안컨설팅방법론 차용
16
빈도lsquo상rsquo 수행 모듈
빈도lsquo중rsquo 수행 모듈
빈도lsquo하rsquo 수행 모듈
범례
분석 [P1] 평가 [P2] 설계 [P3] 구현 [P4] 이행 [P5]
bull 국내 법규 bull 국내외 컴플라이언스
bull 정보보호 인증 규격
참조기준
bull Gap 분석 bull 인터뷰 bull 문서검토 bull 실사
수행기법
bull 진단 항목 bull (정품)진단도구 자체 개발 도구 bull FIRST 및 CVE DB 등
Tool
Consulting Process
요구사항 분석
조직업무 IT환경 분석
기술(요소)분석
자산분석∙평가
위협분석∙평가
취약점분석∙평가 (관리물리IT시스템)
취약점분석∙평가 (모의해킹진단)
위험분석∙평가
정보보호 Framework 설계
체계설계 (관리기술 Arch)
정보보호 솔루션 선정
마스터플랜 수립
조직체계 구현
이행점검 (모의감사)
이행지원
정책지침 재개정
T1
T2
T3
T1
T3
T6
T1
T2
T3
T1
T2
T3
T1
T2
T2
T5
T4
1
2
기술(요소)분석 ICS 분석 Framework (ICS Layering 및 ITU-T X805 보안기술영역 차용 [ISCM-ICS-P1-T3] SCADA용 Continuous Process용 Discrete Process용 구현) ICS보안정보분석서 (SCADA용 Purdue 모델 Protocol 기반 보안정보분석서 구현)
취약점 분석ㆍ평가 관리물리 기술영역 모의해킹 진단 항목 (모의해킹은 진단 시나리오 포함) [ISCM-ICS-P2-T3] [ISCM-ICS-P2-T4] [ISCM-ICS-P2-T5]
1
2
2
The Trust Beyond the Security 4 ICS 보안분석프레임워크
17
분석 Framework
[ Products ] [ 구분 ]
[Control Center] HMI--MTU--FEP[|OPC] Historian
(HMI Viewer)--HMI(OPC Historian)--PLCs--장치
Actuators (Drive Valves Compressors
Robotics hellip)
ERP SCM WMS IT Infra System 점검 영역 갈음
예외) 점검 대상 SAP ERP MII ndash PCo
MES PLM ( ProcessㆍManufacturing Operation Management )
Field Device Instrumentation Equipment
High Lv Protocol OPC ICCP MMS hellip Low Lv Prptocol Modbus DNP3 PROFIBUS WLAN PAN Mobile 유선
[ System Layering ]
경영
생산
IT
OA
Biz
ICS
분석 Framework를 통한 ICS보안정보분석
OT
FA
Critical Infra
산업정보관리
산업공정운영
산업제어시스템
Sensor Motor Pump
hellip IED n IED 1 IED 2 IED 3
Data Comm
ICS(SCADADCS) 보안정보 분석 Framework
권한관리 정보(Data) 보안 통신보안 무결성 보안 가용성 보안 비고
Lv1 Lv2 Lv3 관리 물리 PT 기술 계정관리 인증관리 비밀번호 기타 (보안 솔루션 등)
1Management Information
System 경영정보시스템
2Enterprise Resource
planning 전사 자원 관리
3Supply Chain Management
공급망 관리 시스템
4Warehouse Management
System 창고관리시스템
5
Manufacturing
Operation
Management
PLM
Product Lifecycle
Management 제품 수명주기
관리
6 APC
Advanced Process Control
고급공정제어기술로서 DCS
포함 기술임
7 MES
Manufacturing Execution
System 생산관리시스템
산업군에 따라 Lv2 영역 중첩
8[ Control
Center ][Center] HMI
Human-Machine Interface
센터 측면 통합 관제시스템
Field level HMI 고려 대상
(아주 간단한 제어기능 포함)
9 MTUMain Terminal Unit
SCADA 경우 Server를 의미
10 [ FEP ]
Front-End Processor
Gateway 역할 수행 (옵션)
PLC의 프로토콜 적용 수준을
확장해 주는 역할 수행
통신 관리자 감독 중앙시스
템에 보고 분리된 AP 기능
통합 등을 수행
11 Misc
Runtile Library(다른 컨트롤
시스템 업무시스템 통합
Alarms Contigency
Analysis Project Files
12 Data Comm[상위레벨 데이터]
통신 프로토콜
OPC
ICCP
hellip
13[하위레벨 데이터]
통신 프로토콜
Modbus
DNP3
14Vendor Dependent
Protocol
사이트에는 일반적으로 벤더
에서 개발된 독자적 프로토콜
이 사용됨 (150여개 혼용)
15 WLAN PAN
IEEE80211abgnac(Wi-Fi)
ZigBee(Peer-to-Peer)
Bluetooth(Master-Slave)
16 원거리 통신
- Cable Comm PSTN
(MODEM) 전용선 전력선
광케이블
- Mesh RF WirelessHART
ZigBee Wi-Fi mesh
ISA10011
- Licensed Radio
Microwave
- Cellular Backhaul CDMA
GSM LTE
- Satellite Uplink VSAT
BGAN
17 Control [Field] HMI
Human-Machine Interface
다수 PLC 등과 직접 연결되
어 제어 수행
18 RTU
Remote Terminal Unit
Firmware [gt Embeded OS gt
RTOS] 탑재 장치 일반적으로
SCADA 내에서 센서 데이터
를 디지털로 변환시켜 관리
시스템에 전송하는 통신 장치
역할 수행
19 PLC
Programmable Logic
Controller RTOS 탑재 장치
DCS의 경우 RTU 역할 포함
(자체 GUI HMI 제공 uarr)
20 [Plant] Historian
별도의 DB를 갖는 operation
HIStorian Server를 의미
DMZ의 Shared HIStorian의
경우 업무망에서 PLC 직접
접근방지 Historian를 통하여
데이터 접근 허용함
21 [ PAC ][programerable |] Process
Automation Controller
22 [ PMU ]
Phaser Measurement Unit
전력 시장 실시간 AC 파형을
수학적으로 표현(분석용도)
IEEE C37 118 사용 GPS 시
각 동기화(Synchro-phasers)
23 IED
Intelligent Electronic Device
Actuator 등에 붙어 MTU 명
령없이 자체처리 수준을 정의
하여 수행 (필요시 RTU와 통
신)
24 ActuatorSensor Motor Valve 등을
통칭하는 일반 용어
25 Sensor -
26 (Level 0) Mortor -
27 Misc
Drive Pumps Valves
Compressors(압축기) 버너
Robotics 솔레노이드
WMS
산
업
공
정
관
리
산
업
제
어
시
스
템
(
I
C
S
I
n
d
u
s
t
r
i
a
l
C
o
n
t
r
o
l
S
y
s
t
e
m
)
NO구분
설명취약점 분석 접근제어
산
업
정
보
관
리
MIS
ERP
SCM
Field Device
Instrumentation
Equipment
ITU-T X805 차용
- 접근제어 - 권한관리 - 정보보안 - 통신보안 - 무결성보안 - 가용성보안
Digital Analog Digital + Analog
참조 ISA95 amp Purdue Model
The Trust Beyond the Security 5 ICS 보안정보분석서
18
ICS Purdue Model 기반의 보안정보분석서
대구분 설명 공격 형태 취약성 정보 보호대책
Lv5 Enterprise Business Network
Lv4
Site Business Planning and
Logitics
Business Unit or Plant Network
-
Air-gap 구성안 (Waterfall 솔루션)
- 상위 망 - Airgap - 하위 망
Airgap Phygical or Unidirectional Airgap using a
Data Diode (단방향 통신 게이트웨이)
Data Diode in bypass mode(단방향 두개 설치)
Logical Airgap FW 이용
Data Guard
- 패킷의 모든 데이터(메시지 파일 유형 등) 검사
--gt network packet whitelist 솔루션
DMZDMZ
- 개발시스템 앱 서버 등TBD
- Shared HIStorian을 통한 Field Devices 직접 통제를
제한함으로써 침해 위협 조치
- Data Classification (데이터 위치 이동방향에 따른 레벨)
- DNS Sec 등 IT System 보안
-
- Honeypot Tech [low | high] Interaction Honeypots
결과분석에 필요한 리소스 보유 필요
사용 시 위험요소가 존재하는 지 확인 필요
허니팟을 통해 어떤 정보를 얻을 수 있는지 확인 필요
주gt 비용 인원 기술 한계점 파악 등 선결 내용
Manufacturing
Zone
(Operation Zone
Lv3210 포함)
Lv3
Production amp Scheduling System
Plant HIStorian
HMI DBMS
Console Workstation
Operation Support (Simulation amp
Modeling System Operation
Analysis System Test System
Engineering Workstation Misc)
Site Manufacturing
Operation amp Control
운영 지원
- ICS 테스트 amp 개발
- 데이터 분석
- 엔지니어링 설계 및 구성
- DHCP LDAP DNS File
Server 등의 IT시스템
공격자의 주 타겟 중 하나 HMIs
- Default or Weak Passwords
Brute force or dictionary attack 등으로 크랙 가능
- Web-based Attack
인증우회취약한세션관리LFIRFIXSSCSRFSQLinjection
- Malware on USB Device (Lv32)
Stuxnet OO Duqu(2011) Flame(2012) Shamoon(2012)
HavexDargonfly(2014) Black Energy BE2 (2014)
- Compromised IT System (ServerPC)
- DNS Spoofing(Cash Poisoning)
ICS Hardening
- AP whitelisting AP Sandboxing
--gt Windows(AppLocker) 및 third-party 솔루션
- Tripwire iptables chroot() chkrootkit
- Historian DBMS 보안 적용
- DNS Spoofing 방어 DNS 서버 설정 강화
DNS 서버를 다른 시큐리티 존에 위치시킴
-
- TOPINO CMP(콘솔) Xenon SA(Security Appliance)
가용성 산업용 HW Spec 제품 설치구성테스트
firmware update 시 무중단 가용성 지원
단방향양방향 통신 모드 모두 지원
주로 Modbus 같은 산업용 네트워크 프로토콜 제어
장비 프로파일 기반의 방화벽 룰 적용
LSM(Loadable Security Module) being installed Appliance
Lv2
Supervisory Control Network
(-Plant- Data Historian
Engineering Workstation
Comm Front-ends)
Area Supervisory Control
Control Server Compromise
- [Malicious Insider gt] Authentication bypass in HMI
- Malicious USB Key | client-side attack
gt Compromised Engineer Credentials
- Remote Station Physical Compromise
gt Compromised Field Device or Network
- Port Scanning Googling SHODAN 검색
- Default admin username amp password Deffault
running services Default security settings
- Poor AuthenticationAuthorization
SCADA Pass 모니터 부착 PW 메모지 등
- Buffer Overflows and Remote Code Execution
- Attacking Historian and DB
Attacks on Network Comm
- Traffic Capture injection relay Data Extraction DoS
Spoofing Control Signals Wireless Attacks MITM
Fuzzing(데이터 입력 테스트 기법) Network Protocol
DoS Attack Jamming RF EMT(Electro Magnetic
Transmission
MITM 기반 기술 ARP Spoofing (주로 HMI - PLC 간)
취약한 무결성 체크 및 인증 시스템
- Eavesdropping WiFi Bluetooth ZeeBee GSM
- Masquerading Evil Twin 공격 GSM 공격
FEP 등 원격지 공격 코드 실행
upstream (시리얼 프로토콜) 공격
Hardening ICS Control Software
- SW Vendor로부터의 보안 방안 적용
- 유선 보안솔루션의 VPN proxy 인터페이스 사용
AP Whitelisting Sandboxing
- 기본 구성 취약점 보호대책
암호키 만료갱신 암호강화 관리자 역할 강화 장치인증
- Missing Security Patches
ICS는 시스템 특성상 보안설정 적용이 어려운 경우 존재
Security on Network Comm
- 취약한 인증 기능을 가진 프로토콜은 사용 지양
- 데이터 다이오드 등으로 관리 제어 영역 구분(대역 분리)
- VPN으로 네트워크 트래픽 암호화
- 프로토콜 고유의 시그니처를 이용한 패킷 모니터링
- ICS 제조사(eg Honeywell 등)가 기본 방화벽 설정 지원
Whitelist 방식의 차단 솔루션
허용되는 작동 외의 모든 작동을 차단하는 방식
Testbed 담당자는 하기 사유로 부정적 의견 제시
whitelist 방식으로 관리 시 다수의 예외 처리 필요
솔루션 예시 Ahnlab 솔루션 (하이닉스에서 사용중
방식 불명) Symantec 솔루션 (에이전트 방식 패킷 분석)
Lv1
Control Devices (RTU PLC
Control Processor Progammable
Relay Dedicated Control
Operator Workstation)
Basic Control
컨트롤 장치 Field
Components 영역
- SIS amp Protection System
과의 통합
- unauthentication on Wireless Access
- RTUPLC의 마스터 서버로의 데이터 전송을 악용한
원격 익스플로잇 등 공격 시도 가능
TBD
Lv0
Process Control Instrumentation
Bus Network (IED Actuator
Misc)
Process
(End-Point) Field Devices
Physical or Remote Devices Attacks
- 인증 과정 우회 공격 물리적 접근 HW 공격 인증 우회
Embedded Electronic Attacks
Dumping Data at Rest from EEPROMs
Bus Snooping Data in Motion
Using Entropy to Find Key
--gt 공격자는 저장장치 또는 버스에서 데이터 획득
--gt 비대칭키는 엔트로피 높음 그래프에서 변화폭 큼
Firmware Attacks
--gt 암호 키알고리즘 주파수 도약(hopping) 분석 가능
--gt 역공학 원격 익스플로잇 가능 취약점 탐색
펌웨어 수정 공격툴 업로드 목적
Controller amp Field Device Security
- 산업 네트워크 upstream amp downstream Field Bus
네트워크 장비 amp 통신 브릿지 산업용프로토콜
관리프로토콜 시간동기화 FW RTOS EmBededOS
NIC WS 프로그램 파일 진단계기 장비 원격접속
장비 안전보안 장비 보호 필요
- 물리보안 hellip 사용 가능 포트ㆍ진단 포트ㆍ무선 Inf
외관 검사ㆍanti-tamper 제어실 접근 알림 포함 필요
소구분
업무망
- 기업 현장 공장 시설
네트워크 포함
- ICS 데이터 획득 가능
- ICS 원격접속 주관
- NERC(the North-american Electric Reliability Corporation)
보안 정책 참고(기반시설 사이버보안을 위한 표준 프레임
워크 개발)
- IAEA(Internal Atomic Energy Agency)
- Log Management remote log server gt ICS Central log
server(Comm F-E 등) gt Primary Analysis log server
- Auditing Forensics(침해흔적 조사 포함)
- ICS BackupRestore BCP amp DRP Incident handling
- Compromised Remote Access
- Malicious Insider
- 공격 시나리오 원격지 gt 서버워크스테이션(HMI) SW 공격
(주로 OS는 UnixLinuxWin TCPIP) gt ICS DB를 타겟팅
Business Zone
Enforcement Zone
(각 Level은 Enforcement Zone에 의해 분리됨
-Firewall ACL IDS 데이터 다이오드 등-)
Business Zone과 OperationControl
Zone 사이에서 데이터를 공유하는 영역
(via Shared HIStorian) IT시스템
Safety Zone
Enforcement Zone
CellArea Zone
Enforcement Zone
ICS Data Comm 레벨 보안정보분석서
NO 설명 공격 형태 취약성 정보 보호대책 비고
1 OPC
- OLE for Process Control
- 서로 다른 종류의 PLC 제품들을
하나의 제어시스템으로 통합 운영
하기 위한 중간 역할
- 구성 OPC Client - OPC Server
- PLCs - devices
상위 레벨 프로토콜이므로 전용
서버 또는 HMI 등과 같이 운용
가능 (Windows OS 탑재 상위
프로토콜)
- OPC UA TCP502
OPC UA XML TCP80 TCP443
TBD TBD
- OLE Object Linking and Embedding
(선행조건 Windows OS 기반 ICS)
- High Level Data Protocol 특성
Human Readable Info
기업-Control Network간 동작
DB - AP 간 데이터 명령어 전송
제품 Kepware Technologies Co Ltd
KEPServerEX MatrikonOPC
Universal ICS Protocol
- OPC Modbus
2
ICCP
(IEC 60870-6
TASE2)
- Inter-control Center Comm
Protocol
- TCP102
- read only (TBD )
- 인증 암호화 기능 미보유
- 데이터 통신 시 ARP 사용
으로 인한 취약점 존재
- No Security
- Electric independent System Operator
(ISO)에서 사용 -Smart Grid 포함-
Eg MISO (Midwest-미국 중서부-
Independent System Operator)
3MMS
(IEC 61850-8-1)
- Manufacturing Messaging
Specification
- TCP102
- 변전소 사용 프로토콜
- 관리장비(HMI FEP) - 현장장비
(RTU PLC IED) 간 통신 용도
TBD TBD
참고 Energy Sector Specific Protocol
- DNP3 DLMSCOSEM(TCP4059
UDP4059) ICCP IEC 104(TCP102)
IEEE C37118 (TCP4712 UDP4713)
MMS
4 Modbus
- Serial TCP 용 Proto 존재
- Master-Slave
- port 502
TBD - No Security- low level data protocol 특성
clear text no authentication
5 Modbus TCP
- Modicon사에서 개발(1979년)한
requestreponse 체계의 간단한
Open 프로토콜
- 관리장비(HMI FEP) - 현장장비
(RTU PLC IED) 간 통신 용도
- Wireshark
대부분의 ICS 프로토콜을
지원하므로 공격 분 석
기능 지원
- 보안 미고려 설계 동작 방식
- Master Station이 field device를 폴링
- field device는 통신 초기화 불가능
6DNP3
(IEEE 1915-2012)
- Distributed Network Protocol
- MasterSlave
- Port 19999 with TLS
Port 20000 without TLS
- 관리장비(HMI FEP) - 현장장비
(RTU PLC IED) 간 통신 용도
TBD- 사용자 - 장치간 인증 및
데이터 보호 (TLS)
- 북아메리카 호주 등에서 주로 변전소
(electrical substation) 통신에 사용
- 경우에 따라 TCP20000 UDP20000
7 IEC 60870-5-104
- 관리장비(HMI FEP) - 현장장비
(RTU PLC IED) 간 통신 용도
- send request accept request
confirmation timeouts error
recovery 등이 function에 포함
TBD TBD- DNP 30과 유사하며 유럽 등에서는
DNP 30보다 사용률이 높음
8 HART TBD TBD TBD -
9 BACnet2- MasterSlave
- BACnetIP UDP47808TBD TBD - BMS(빌딩관리시스템) 프로토콜
10LonWorks
LonTalk3
- Peer-to-Peer
- LonTalk UDP1628 UDP1629
- LonTalk3 Port 1679
TBD TBD
- BMS(빌딩관리시스템) 프로토콜
종류 BACnetIP LonTalk Fox
Fox 프로토콜 (TridiumNiagara)
TCP1911
11 EthernetIP
- Ethernet 인프라에 적용하여 장치
(Host PLC Actuator CNC 기기
등) 간의 통신 용도
- 인터넷 통지 지원 (Web AP 지원)
- 산업용 AP를 위해 Ethernet 기술
표준 허용
TBD TBD
- 참고
OPC와 같은 데이터 접근교환을
위해 HTTPFTPSNMPDHCP 등
인터넷 프로토콜 표준 및 산업
프로토콜 표준과 호환성 보증
12 PROFIBUS
- SIEMENS 사에서 개발
- Fieldbus Network(EIA-485) 사용
- 버전 PROFIBUS DP(FA) FMS
(Multiple Master Peer-to-Peer)
PA(Process Automation)
- ProcessField 버스 사용상 이점
No TCPIP Overhead
Low latency
Non-routable
TBD TBD
- 통신 프로토콜의 변화
시리얼 --gt 네트워크 프로토콜
여러 통신층에서 정보 교환 가능
(eg Ethernet TCPIP)
- Ethernet 기반 ICS 통신 프로토콜
일부 ICS 시리얼 프로토콜은 Ethernet
인프라를 사용해서 변환 통신 수행
Goose Messaging (IEC 61850-9-1)
SAV or Sampled Values (61850-9-2)
Process Automation Specific Protocol
- EtherCAT(UDP34980) EthernetIP
(TCP44818 UDP2222 44818)
FL-net (UDP55000~55003) Fieldbus
HSE (TCP1089~1091UDP1089~1091)
HART-IP(TCP5094 UDP5094)
PROFINET (TCP34962~34964 UDP
34962~34964)
[상위 레벨 데이터]
통신 프로토콜
[하위 레벨 데이터]
통신 프로토콜
구분
공격형태 취약성 정보 보호대책
[하위 레벨 데이터] 통신
프로토콜
The Trust Beyond the Security 6 ICS 취약점분석 기준 ndash 관리물리기술영역
19
관리물리 취약점 진단 항목Framework 기술영역 취약점 진단 항목Framework
A731 퇴직 및 직무변경 책임 임직원 혹은 계약자에 대한 퇴직 혹은 업무 변경 후에
유효한 정보보호책임과 의무를 정의하고 강제해야 하
며 의사소통을 해야 한다
퇴직 및 직무 변경에 관한 책임이 명시적으로 정의되고 지정되어야
함
a) 퇴직 시 정보보호 서약서 징구 등을 통한 비밀유지 서약을 실시
함
b) 퇴직 후 정해진 기간 동안 비밀유지 책임을 명시함
c) 새로운 업무와 책임에 대한 책임은 통제 되어야 하며 직무 변경
및 고용 종료 후에도 책임에 대해 관리되어야 함
A811 자산 목록 정보 및 정보처리 설비와 관련된 자산은 식별하고 자
산목록을 작성하고 유지해야 한다
모든 자산은 명확하게 인식되고 모든 중요 자산의 목록은 관리되어
야 함
a) 모든 자산과 그 자산에 대해 중요도를 문서화함
b) 정보의 라이프사이클은 정보의 생성 처리 저장 전송 등을 포함
함
c) 문서화된 자산 목록은 기존 재고 목록과 적절하게 사용되어야
한다
d) 자산관리자 지정 및 정보 등급화가 되어 있고 이에 대한 문서화
가 되어 있음
e) 자산 목록은 효과적인 자산 보호를 보장해야 하며 자산의 안전
및 금융(자산 관리)에 사용할 수 있다
확장 711 자산의 목록 [에너지 유틸리티 관련 구현 지침]
조직의 중요한 자산의 재고를 유지하고 관리하는 경우 별개의 책임
을 명확하게 규정하고 문서화해야 한다
자산의 재고는 관련된 프로세스 제어 시스템 자산과 응용프로그램
의 정보를 모두 포함한다
[에너지 유틸리티에 대한 추가 정보]
상기 분류에 대해 보충으로 에너지 공급 영역의 다른 넓은 범위의
섹터별 특정 자산 카테고리 또한 포함한다
a) 정보 그리드 및 네트워크 계획 스케줄링과 우선순위 정보 지리
와 지리참조 정보 위기와 비상계획 그리드 재해 복구 계획 스위칭
동작 정보 측정된 값 및 측정 데이터 계량 및 계량된 데이터 운영
기록 모수화 데이터 측정 및 메시지 아카이브
b) 소프트웨어 프로세스 제어 소프트웨어 시각화 시스템 에너지
관리 및 최적화 소프트웨어 시뮬레이션 소프트웨어 모수화 소프트
웨어 관리 및 모니터링 시스템 운영 자원 관리(ERP) 시스템 프로그
래밍 환경 펌웨어 아카이빙 소프트웨어 기타 등
c) 물리적 자산 제어 및 자동화 구성요소 원격 측정 및 원격 제어
구성요소 원격 단말 장치 데이터 전송 시스템 구성요소 디지털 보
호 및 안전 요소 디지털 계량 및 측정 장치 스마트 미터 디지털 센
서 및 작동 요소 모수화 및 프로그래밍 장치 시각화 및 운영요소
디지털 모니터링 및 기록 시스템 기타 등
d) 서비스 통신 서비스 비상 통신 서비스 정보 서비스 기상 서비
스 기타 등
A812 자산의 소유권 소유된 자산은 목록으로 유지되어야 한다 정보처리시설과 관련된 모든 정보 및 자산은 조직 내에서 명시적으
로 자산의 관리자를 지정 하여 관리하여야 함
a) 자산을 확실하게 파악 조사해야 함
b) 자산의 적절한 등급 분류와 보호 보장
c) 접근통제 정책에 대한 정의 및 주기적인 검토
d) 자산의 파기 혹은 삭제 할 때의 적절한 처리
확장 721 자산의 소유권 [에너지 유틸리티에 대한 추가 정보]
프로세스 제어 시스템을 사용하는 조직의 잠재적으로 복잡한 구조는
상업 및 운영 소유권의 종료와 관련하여 매우 다양한 책임을 의미한
다 결과적으로 자산 소유권 및 관련 책임 정보보안의 관점에서 자
산 소유자와 자산 운영자의 역할은 정확하게 정의되고 문서화되어야
한다
세부통제항목 내용
ISO270012013 ISO270022013 200192013 반영
270192013 반영 270022013 반영 27001 인증 규격
[ ICS 전용 정보보호 관리체계 진단 기준 ] 21개 항목 29개 세부기준
[ 27001 인증 심사 시 27019 Energy Utility 분야 보안 모범사례 반영 ]
A712 고용 약정 및 조건
직원 및 계약직 인원의 계약합의서에서는 조직과 그들의 정보보안책
임을 명시해야 한다
813 고용 조건
[에너지 유틸리티 관련 구현 지침]
파업권 또는 비상 상황에서 최대 근로 시간을 초과할 권한으로 직원
의 권리에 대한 제한은 중요 인프라 및 민감함 시스템의 동작을 위한
허용 가능한 법적 요구사항으로 주요한 개인의 책임을 고려해야 한
다 고용 계약을 체결하는 경우 모니터와 같은 스위칭 동작 등 특정
작업 기록에 관한 협정도 고려해야 한다
X805 기술 영역 차용 - 계정관리 - 권한관리 - 접근통제 - 가용성 - 무결성 - 암호화 - 부인방지
참고 진단 기준 - 기반시설 진단 기준 - SK인포섹 점검기준
- ITU-T X805 기반 진단 기준을 수립 중이며 해당 기준은 자경단 Deloitte 진단 Framework(56개 점검항목 2015년 작성) 및 주요정보통신기반시설 진단 기준을 100 포함하고 있음
- PLCRTU 등의 Firmware
Embeded OS RTOS 에 적용 가
능한 최상의 보안 수준을 적용하
는가
- 인가된 자만 시스템에 접속 가능 여부 확인
비밀번호 컴플라이언스 충족 여부 확인 등
- replay attack 등의 방지를 위한 인가 IP 접속 기
능 적용 확인 (보안장비 대체 적용 여부 확인)
- 장비간 주요 정보 통신 시 암호화 적용 미흡할
경우 이를 보완하는 보안장비 적용 여부 확인
- 54개 항목
114개 항목 38개 항목
SK인포섹 13486 경기도 성남시 분당구 판교로255번길 46 4층 E-mail skinfosecmktskcom TEL 02)6361-9114 FAX 02) 6361-9998
201604
The Trust Beyond the Security 2 PLCDCSAPCSCADA
6
PLC (Programmable Logic Control)
- Relay의 대체로 개발 됨
- 자동차 반도체 전자 등 불연속 공정에 주로 적용
- 반도체기술의 발전과 함께 발전
SCADA
- 독립된 사이트에 존재하지 않음 외부 네트워크와 연결
- 인터넷과 직접 연결 가능한 PC(컴퓨터)를 통해 외부와 연결
- MES(공정제어시스템)등과 같은 인터넷 연결 시스템과 연계 가능
- 표준 프로토콜을 사용 (TCPIP 및 기타 통신 표준 프로토콜)
- 원격 모니터링 혹은 업그레이드를 위하여 네트워크 연결이 필요
The Trust Beyond the Security 2 PLCDCSAPCSCADA
7
DCS (Distributed Control System)
- 자동제어프로그램이 내장된 다수의 제어용 컴퓨터를 기능별로 분산하여 위험을 최소화
- 전체적인 관리는 중앙에서 모니터링 및 컨트롤
- 수처리 발전 보일러 제철 석유화학 등 연속공정에 주로 적용
- Analog 연속제어에 사용
- APC (Advanced Process Control)로 발전
APC (Advanced Process Control)
- DCS와 연계되며 다수의 DCS와 연결되어 상위에서 조절
- DCS는 하나의 조절변수와 하나의 제어변수 만을 고려
- APC는 다수의 입력변수를 받아 이들의 상호관계를 예측하여 제어함으로써 공정을 좀 더 지
속적으로 안정화
- DCS의 발전된 형태
The Trust Beyond the Security 3 ICS 구성에 대한 이해
8
[공장자동화] [사무자동화] [웹 서비스]
대 고객
온라인서비스
경영지원
시스템 (ERP 등)
산업제어
시스템
인터넷 (OA) (FA)
The Trust Beyond the Security 4 IT와 OT (ICS) 주요 차이점
9
구분 IT 시스템 ICS 시스템 (SCADA 중심)
성능요구 비 실시간 실시간
가용성 재구동 허용 재 구동 불허 계획된 정지 고가용성
보호대상 정보 필드 장치 프로세스
시스템 운영 개방형 운영체제 전용 운영체제
생명주기 3 ~ 5년 15 ~ 20년
통신 표준 프로토콜 전용 프로토콜
SW 변경관리 보안정책에 따라 자동적용 사전 시험 후 점진적 적용 계획된 정지시기에 적용
접근 용이성 지역에 국한 접근 용이 넓은 영역에 퍼짐
물리적 접근 노력 필요
The Trust Beyond the Security 1 ICS가 원인이 된 사고사례
11
일시 분야 대상 내용
2007 교통 미국 LA 교통시스템 내부자에 의한 시스템 침해
2009 4 전력 미국 전력망 Conficker worm 제어시스템 감염 1천 2백만 컴퓨터 감염
2009 8 수자원 러시아 Sayano-shushenskaya 댐 제어시스템 문제로 발전기 터빈 폭발
2010 11 원자력 이란 우라늄 원심분리기 Stuxnet 감염으로 원심분리기 1000개 감염
2011 상수도 미국 상수도 시설 원격접속을 통한 해킹으로 제어 펌프 장악
2012 사우디 아람코 악성코드 감염 네트워크 마비
2012 가스 카타르 LNG 생산시설 악성코드 감염 네트워크 마비
2012 상수도 미국 휴스턴 상수도 제어시스템에 미공개 악성코드 감염
2013 교통 이스라엘 터널 개폐장치 악성코드 감염으로 교통혼잡 발생
2014 원자력 일본 원자력 발전소 악성코드 감염 직원 정보 유출
2014 발전 한국수력원자력 e-mail 통한 악성코드 감염 도면 유출
2015 전력 우크라이나 전력 악성코드로 인한 정전사태 (Black Energy KillDisk)
The Trust Beyond the Security 2 ICS 사이버 보안의 중요성
12
IT 기술 시스템의 접목으로
현재의 SCADA Automation Protection Control system 은
- 상용 IT 제품활용 증가
- IP 기반 통신 프로토콜 사용 등 전용장비규격에서 표준장비규격 활용이 증가
- 물리적으로 분산되어 있으나 네트워크로 연결
- 모바일 기기와 스토리지 활용
제어시스템에 IT 기술의 비중이 증가할수록
Hacking Employee Mistake
Malicious software installed via USB port
The Trust Beyond the Security 1 어떻게 접근할 것인가
14
질문 1 우리는
- IT 인력 + IT 보안 인력
질문 2 IT 보안 점검 기준은
- K-ISMS
- ISO2700127019
- 기반시설취약점분석평가
- NIST Cyber Security Framework
질문 3 방향성은
- ICS 보안프레임워크에 기반한 점검
ICS 보안프레임워크 수립
ICS 보안분석서 기반의 점검
bull IT인력의 OT 접근
용이성 제공
bull 기준문서를 통한
점검 품질 평준화
bull IT 항목 기준으로
세부점검 방식
bull 각 항목별 기초적
대응방안 기술
The Trust Beyond the Security
ISA95 Standard Industry Architecture
[ Products ] [ Description of Level ]
Source ISA( International Society of Automation) ISA95 Enterprise-Control Integration Standard)
Business Logistics Plant Production Scheduling Shipping
Receiving Inventory etc
Manufacturing Operation Management
Dispatching Detailed Production Scheduling Production Tracking
Continuous Production
Control
Discrete Production
Control
Batch Production
Control
L4
L3
L2
L1
L0 Field DeviceInstrumentation
Equipment
Production Data Acquisition
Monitoring amp Automation Control
ERP for Manufacturing
SCM WMS
MES PLM
DCS SCADA Unit Level Control
Process Safety System
PLC HMI Machine Control
Discrete Safety System
Motors Drive Pumps Valves Compressors Actuators Robotics
②
①
[ 관리 ]
경영
생산
IT
OA
Biz
ICS
Purdue Reference Model
2 ICS 구성에 대한 이해 ndash 표준 Architecture
15
OT
FA
Critical Infra
Level 5 Enterprise (DMZ) Level 5 Enterprise
Level 3 Site Manufacturing Operation and Control
Level2 Area Supervisory Control
Level1 Basic Control
Level 0 Process
Level 4 Site Business Planning and Logistics
The Trust Beyond the Security 3 IT 보안컨설팅방법론 차용
16
빈도lsquo상rsquo 수행 모듈
빈도lsquo중rsquo 수행 모듈
빈도lsquo하rsquo 수행 모듈
범례
분석 [P1] 평가 [P2] 설계 [P3] 구현 [P4] 이행 [P5]
bull 국내 법규 bull 국내외 컴플라이언스
bull 정보보호 인증 규격
참조기준
bull Gap 분석 bull 인터뷰 bull 문서검토 bull 실사
수행기법
bull 진단 항목 bull (정품)진단도구 자체 개발 도구 bull FIRST 및 CVE DB 등
Tool
Consulting Process
요구사항 분석
조직업무 IT환경 분석
기술(요소)분석
자산분석∙평가
위협분석∙평가
취약점분석∙평가 (관리물리IT시스템)
취약점분석∙평가 (모의해킹진단)
위험분석∙평가
정보보호 Framework 설계
체계설계 (관리기술 Arch)
정보보호 솔루션 선정
마스터플랜 수립
조직체계 구현
이행점검 (모의감사)
이행지원
정책지침 재개정
T1
T2
T3
T1
T3
T6
T1
T2
T3
T1
T2
T3
T1
T2
T2
T5
T4
1
2
기술(요소)분석 ICS 분석 Framework (ICS Layering 및 ITU-T X805 보안기술영역 차용 [ISCM-ICS-P1-T3] SCADA용 Continuous Process용 Discrete Process용 구현) ICS보안정보분석서 (SCADA용 Purdue 모델 Protocol 기반 보안정보분석서 구현)
취약점 분석ㆍ평가 관리물리 기술영역 모의해킹 진단 항목 (모의해킹은 진단 시나리오 포함) [ISCM-ICS-P2-T3] [ISCM-ICS-P2-T4] [ISCM-ICS-P2-T5]
1
2
2
The Trust Beyond the Security 4 ICS 보안분석프레임워크
17
분석 Framework
[ Products ] [ 구분 ]
[Control Center] HMI--MTU--FEP[|OPC] Historian
(HMI Viewer)--HMI(OPC Historian)--PLCs--장치
Actuators (Drive Valves Compressors
Robotics hellip)
ERP SCM WMS IT Infra System 점검 영역 갈음
예외) 점검 대상 SAP ERP MII ndash PCo
MES PLM ( ProcessㆍManufacturing Operation Management )
Field Device Instrumentation Equipment
High Lv Protocol OPC ICCP MMS hellip Low Lv Prptocol Modbus DNP3 PROFIBUS WLAN PAN Mobile 유선
[ System Layering ]
경영
생산
IT
OA
Biz
ICS
분석 Framework를 통한 ICS보안정보분석
OT
FA
Critical Infra
산업정보관리
산업공정운영
산업제어시스템
Sensor Motor Pump
hellip IED n IED 1 IED 2 IED 3
Data Comm
ICS(SCADADCS) 보안정보 분석 Framework
권한관리 정보(Data) 보안 통신보안 무결성 보안 가용성 보안 비고
Lv1 Lv2 Lv3 관리 물리 PT 기술 계정관리 인증관리 비밀번호 기타 (보안 솔루션 등)
1Management Information
System 경영정보시스템
2Enterprise Resource
planning 전사 자원 관리
3Supply Chain Management
공급망 관리 시스템
4Warehouse Management
System 창고관리시스템
5
Manufacturing
Operation
Management
PLM
Product Lifecycle
Management 제품 수명주기
관리
6 APC
Advanced Process Control
고급공정제어기술로서 DCS
포함 기술임
7 MES
Manufacturing Execution
System 생산관리시스템
산업군에 따라 Lv2 영역 중첩
8[ Control
Center ][Center] HMI
Human-Machine Interface
센터 측면 통합 관제시스템
Field level HMI 고려 대상
(아주 간단한 제어기능 포함)
9 MTUMain Terminal Unit
SCADA 경우 Server를 의미
10 [ FEP ]
Front-End Processor
Gateway 역할 수행 (옵션)
PLC의 프로토콜 적용 수준을
확장해 주는 역할 수행
통신 관리자 감독 중앙시스
템에 보고 분리된 AP 기능
통합 등을 수행
11 Misc
Runtile Library(다른 컨트롤
시스템 업무시스템 통합
Alarms Contigency
Analysis Project Files
12 Data Comm[상위레벨 데이터]
통신 프로토콜
OPC
ICCP
hellip
13[하위레벨 데이터]
통신 프로토콜
Modbus
DNP3
14Vendor Dependent
Protocol
사이트에는 일반적으로 벤더
에서 개발된 독자적 프로토콜
이 사용됨 (150여개 혼용)
15 WLAN PAN
IEEE80211abgnac(Wi-Fi)
ZigBee(Peer-to-Peer)
Bluetooth(Master-Slave)
16 원거리 통신
- Cable Comm PSTN
(MODEM) 전용선 전력선
광케이블
- Mesh RF WirelessHART
ZigBee Wi-Fi mesh
ISA10011
- Licensed Radio
Microwave
- Cellular Backhaul CDMA
GSM LTE
- Satellite Uplink VSAT
BGAN
17 Control [Field] HMI
Human-Machine Interface
다수 PLC 등과 직접 연결되
어 제어 수행
18 RTU
Remote Terminal Unit
Firmware [gt Embeded OS gt
RTOS] 탑재 장치 일반적으로
SCADA 내에서 센서 데이터
를 디지털로 변환시켜 관리
시스템에 전송하는 통신 장치
역할 수행
19 PLC
Programmable Logic
Controller RTOS 탑재 장치
DCS의 경우 RTU 역할 포함
(자체 GUI HMI 제공 uarr)
20 [Plant] Historian
별도의 DB를 갖는 operation
HIStorian Server를 의미
DMZ의 Shared HIStorian의
경우 업무망에서 PLC 직접
접근방지 Historian를 통하여
데이터 접근 허용함
21 [ PAC ][programerable |] Process
Automation Controller
22 [ PMU ]
Phaser Measurement Unit
전력 시장 실시간 AC 파형을
수학적으로 표현(분석용도)
IEEE C37 118 사용 GPS 시
각 동기화(Synchro-phasers)
23 IED
Intelligent Electronic Device
Actuator 등에 붙어 MTU 명
령없이 자체처리 수준을 정의
하여 수행 (필요시 RTU와 통
신)
24 ActuatorSensor Motor Valve 등을
통칭하는 일반 용어
25 Sensor -
26 (Level 0) Mortor -
27 Misc
Drive Pumps Valves
Compressors(압축기) 버너
Robotics 솔레노이드
WMS
산
업
공
정
관
리
산
업
제
어
시
스
템
(
I
C
S
I
n
d
u
s
t
r
i
a
l
C
o
n
t
r
o
l
S
y
s
t
e
m
)
NO구분
설명취약점 분석 접근제어
산
업
정
보
관
리
MIS
ERP
SCM
Field Device
Instrumentation
Equipment
ITU-T X805 차용
- 접근제어 - 권한관리 - 정보보안 - 통신보안 - 무결성보안 - 가용성보안
Digital Analog Digital + Analog
참조 ISA95 amp Purdue Model
The Trust Beyond the Security 5 ICS 보안정보분석서
18
ICS Purdue Model 기반의 보안정보분석서
대구분 설명 공격 형태 취약성 정보 보호대책
Lv5 Enterprise Business Network
Lv4
Site Business Planning and
Logitics
Business Unit or Plant Network
-
Air-gap 구성안 (Waterfall 솔루션)
- 상위 망 - Airgap - 하위 망
Airgap Phygical or Unidirectional Airgap using a
Data Diode (단방향 통신 게이트웨이)
Data Diode in bypass mode(단방향 두개 설치)
Logical Airgap FW 이용
Data Guard
- 패킷의 모든 데이터(메시지 파일 유형 등) 검사
--gt network packet whitelist 솔루션
DMZDMZ
- 개발시스템 앱 서버 등TBD
- Shared HIStorian을 통한 Field Devices 직접 통제를
제한함으로써 침해 위협 조치
- Data Classification (데이터 위치 이동방향에 따른 레벨)
- DNS Sec 등 IT System 보안
-
- Honeypot Tech [low | high] Interaction Honeypots
결과분석에 필요한 리소스 보유 필요
사용 시 위험요소가 존재하는 지 확인 필요
허니팟을 통해 어떤 정보를 얻을 수 있는지 확인 필요
주gt 비용 인원 기술 한계점 파악 등 선결 내용
Manufacturing
Zone
(Operation Zone
Lv3210 포함)
Lv3
Production amp Scheduling System
Plant HIStorian
HMI DBMS
Console Workstation
Operation Support (Simulation amp
Modeling System Operation
Analysis System Test System
Engineering Workstation Misc)
Site Manufacturing
Operation amp Control
운영 지원
- ICS 테스트 amp 개발
- 데이터 분석
- 엔지니어링 설계 및 구성
- DHCP LDAP DNS File
Server 등의 IT시스템
공격자의 주 타겟 중 하나 HMIs
- Default or Weak Passwords
Brute force or dictionary attack 등으로 크랙 가능
- Web-based Attack
인증우회취약한세션관리LFIRFIXSSCSRFSQLinjection
- Malware on USB Device (Lv32)
Stuxnet OO Duqu(2011) Flame(2012) Shamoon(2012)
HavexDargonfly(2014) Black Energy BE2 (2014)
- Compromised IT System (ServerPC)
- DNS Spoofing(Cash Poisoning)
ICS Hardening
- AP whitelisting AP Sandboxing
--gt Windows(AppLocker) 및 third-party 솔루션
- Tripwire iptables chroot() chkrootkit
- Historian DBMS 보안 적용
- DNS Spoofing 방어 DNS 서버 설정 강화
DNS 서버를 다른 시큐리티 존에 위치시킴
-
- TOPINO CMP(콘솔) Xenon SA(Security Appliance)
가용성 산업용 HW Spec 제품 설치구성테스트
firmware update 시 무중단 가용성 지원
단방향양방향 통신 모드 모두 지원
주로 Modbus 같은 산업용 네트워크 프로토콜 제어
장비 프로파일 기반의 방화벽 룰 적용
LSM(Loadable Security Module) being installed Appliance
Lv2
Supervisory Control Network
(-Plant- Data Historian
Engineering Workstation
Comm Front-ends)
Area Supervisory Control
Control Server Compromise
- [Malicious Insider gt] Authentication bypass in HMI
- Malicious USB Key | client-side attack
gt Compromised Engineer Credentials
- Remote Station Physical Compromise
gt Compromised Field Device or Network
- Port Scanning Googling SHODAN 검색
- Default admin username amp password Deffault
running services Default security settings
- Poor AuthenticationAuthorization
SCADA Pass 모니터 부착 PW 메모지 등
- Buffer Overflows and Remote Code Execution
- Attacking Historian and DB
Attacks on Network Comm
- Traffic Capture injection relay Data Extraction DoS
Spoofing Control Signals Wireless Attacks MITM
Fuzzing(데이터 입력 테스트 기법) Network Protocol
DoS Attack Jamming RF EMT(Electro Magnetic
Transmission
MITM 기반 기술 ARP Spoofing (주로 HMI - PLC 간)
취약한 무결성 체크 및 인증 시스템
- Eavesdropping WiFi Bluetooth ZeeBee GSM
- Masquerading Evil Twin 공격 GSM 공격
FEP 등 원격지 공격 코드 실행
upstream (시리얼 프로토콜) 공격
Hardening ICS Control Software
- SW Vendor로부터의 보안 방안 적용
- 유선 보안솔루션의 VPN proxy 인터페이스 사용
AP Whitelisting Sandboxing
- 기본 구성 취약점 보호대책
암호키 만료갱신 암호강화 관리자 역할 강화 장치인증
- Missing Security Patches
ICS는 시스템 특성상 보안설정 적용이 어려운 경우 존재
Security on Network Comm
- 취약한 인증 기능을 가진 프로토콜은 사용 지양
- 데이터 다이오드 등으로 관리 제어 영역 구분(대역 분리)
- VPN으로 네트워크 트래픽 암호화
- 프로토콜 고유의 시그니처를 이용한 패킷 모니터링
- ICS 제조사(eg Honeywell 등)가 기본 방화벽 설정 지원
Whitelist 방식의 차단 솔루션
허용되는 작동 외의 모든 작동을 차단하는 방식
Testbed 담당자는 하기 사유로 부정적 의견 제시
whitelist 방식으로 관리 시 다수의 예외 처리 필요
솔루션 예시 Ahnlab 솔루션 (하이닉스에서 사용중
방식 불명) Symantec 솔루션 (에이전트 방식 패킷 분석)
Lv1
Control Devices (RTU PLC
Control Processor Progammable
Relay Dedicated Control
Operator Workstation)
Basic Control
컨트롤 장치 Field
Components 영역
- SIS amp Protection System
과의 통합
- unauthentication on Wireless Access
- RTUPLC의 마스터 서버로의 데이터 전송을 악용한
원격 익스플로잇 등 공격 시도 가능
TBD
Lv0
Process Control Instrumentation
Bus Network (IED Actuator
Misc)
Process
(End-Point) Field Devices
Physical or Remote Devices Attacks
- 인증 과정 우회 공격 물리적 접근 HW 공격 인증 우회
Embedded Electronic Attacks
Dumping Data at Rest from EEPROMs
Bus Snooping Data in Motion
Using Entropy to Find Key
--gt 공격자는 저장장치 또는 버스에서 데이터 획득
--gt 비대칭키는 엔트로피 높음 그래프에서 변화폭 큼
Firmware Attacks
--gt 암호 키알고리즘 주파수 도약(hopping) 분석 가능
--gt 역공학 원격 익스플로잇 가능 취약점 탐색
펌웨어 수정 공격툴 업로드 목적
Controller amp Field Device Security
- 산업 네트워크 upstream amp downstream Field Bus
네트워크 장비 amp 통신 브릿지 산업용프로토콜
관리프로토콜 시간동기화 FW RTOS EmBededOS
NIC WS 프로그램 파일 진단계기 장비 원격접속
장비 안전보안 장비 보호 필요
- 물리보안 hellip 사용 가능 포트ㆍ진단 포트ㆍ무선 Inf
외관 검사ㆍanti-tamper 제어실 접근 알림 포함 필요
소구분
업무망
- 기업 현장 공장 시설
네트워크 포함
- ICS 데이터 획득 가능
- ICS 원격접속 주관
- NERC(the North-american Electric Reliability Corporation)
보안 정책 참고(기반시설 사이버보안을 위한 표준 프레임
워크 개발)
- IAEA(Internal Atomic Energy Agency)
- Log Management remote log server gt ICS Central log
server(Comm F-E 등) gt Primary Analysis log server
- Auditing Forensics(침해흔적 조사 포함)
- ICS BackupRestore BCP amp DRP Incident handling
- Compromised Remote Access
- Malicious Insider
- 공격 시나리오 원격지 gt 서버워크스테이션(HMI) SW 공격
(주로 OS는 UnixLinuxWin TCPIP) gt ICS DB를 타겟팅
Business Zone
Enforcement Zone
(각 Level은 Enforcement Zone에 의해 분리됨
-Firewall ACL IDS 데이터 다이오드 등-)
Business Zone과 OperationControl
Zone 사이에서 데이터를 공유하는 영역
(via Shared HIStorian) IT시스템
Safety Zone
Enforcement Zone
CellArea Zone
Enforcement Zone
ICS Data Comm 레벨 보안정보분석서
NO 설명 공격 형태 취약성 정보 보호대책 비고
1 OPC
- OLE for Process Control
- 서로 다른 종류의 PLC 제품들을
하나의 제어시스템으로 통합 운영
하기 위한 중간 역할
- 구성 OPC Client - OPC Server
- PLCs - devices
상위 레벨 프로토콜이므로 전용
서버 또는 HMI 등과 같이 운용
가능 (Windows OS 탑재 상위
프로토콜)
- OPC UA TCP502
OPC UA XML TCP80 TCP443
TBD TBD
- OLE Object Linking and Embedding
(선행조건 Windows OS 기반 ICS)
- High Level Data Protocol 특성
Human Readable Info
기업-Control Network간 동작
DB - AP 간 데이터 명령어 전송
제품 Kepware Technologies Co Ltd
KEPServerEX MatrikonOPC
Universal ICS Protocol
- OPC Modbus
2
ICCP
(IEC 60870-6
TASE2)
- Inter-control Center Comm
Protocol
- TCP102
- read only (TBD )
- 인증 암호화 기능 미보유
- 데이터 통신 시 ARP 사용
으로 인한 취약점 존재
- No Security
- Electric independent System Operator
(ISO)에서 사용 -Smart Grid 포함-
Eg MISO (Midwest-미국 중서부-
Independent System Operator)
3MMS
(IEC 61850-8-1)
- Manufacturing Messaging
Specification
- TCP102
- 변전소 사용 프로토콜
- 관리장비(HMI FEP) - 현장장비
(RTU PLC IED) 간 통신 용도
TBD TBD
참고 Energy Sector Specific Protocol
- DNP3 DLMSCOSEM(TCP4059
UDP4059) ICCP IEC 104(TCP102)
IEEE C37118 (TCP4712 UDP4713)
MMS
4 Modbus
- Serial TCP 용 Proto 존재
- Master-Slave
- port 502
TBD - No Security- low level data protocol 특성
clear text no authentication
5 Modbus TCP
- Modicon사에서 개발(1979년)한
requestreponse 체계의 간단한
Open 프로토콜
- 관리장비(HMI FEP) - 현장장비
(RTU PLC IED) 간 통신 용도
- Wireshark
대부분의 ICS 프로토콜을
지원하므로 공격 분 석
기능 지원
- 보안 미고려 설계 동작 방식
- Master Station이 field device를 폴링
- field device는 통신 초기화 불가능
6DNP3
(IEEE 1915-2012)
- Distributed Network Protocol
- MasterSlave
- Port 19999 with TLS
Port 20000 without TLS
- 관리장비(HMI FEP) - 현장장비
(RTU PLC IED) 간 통신 용도
TBD- 사용자 - 장치간 인증 및
데이터 보호 (TLS)
- 북아메리카 호주 등에서 주로 변전소
(electrical substation) 통신에 사용
- 경우에 따라 TCP20000 UDP20000
7 IEC 60870-5-104
- 관리장비(HMI FEP) - 현장장비
(RTU PLC IED) 간 통신 용도
- send request accept request
confirmation timeouts error
recovery 등이 function에 포함
TBD TBD- DNP 30과 유사하며 유럽 등에서는
DNP 30보다 사용률이 높음
8 HART TBD TBD TBD -
9 BACnet2- MasterSlave
- BACnetIP UDP47808TBD TBD - BMS(빌딩관리시스템) 프로토콜
10LonWorks
LonTalk3
- Peer-to-Peer
- LonTalk UDP1628 UDP1629
- LonTalk3 Port 1679
TBD TBD
- BMS(빌딩관리시스템) 프로토콜
종류 BACnetIP LonTalk Fox
Fox 프로토콜 (TridiumNiagara)
TCP1911
11 EthernetIP
- Ethernet 인프라에 적용하여 장치
(Host PLC Actuator CNC 기기
등) 간의 통신 용도
- 인터넷 통지 지원 (Web AP 지원)
- 산업용 AP를 위해 Ethernet 기술
표준 허용
TBD TBD
- 참고
OPC와 같은 데이터 접근교환을
위해 HTTPFTPSNMPDHCP 등
인터넷 프로토콜 표준 및 산업
프로토콜 표준과 호환성 보증
12 PROFIBUS
- SIEMENS 사에서 개발
- Fieldbus Network(EIA-485) 사용
- 버전 PROFIBUS DP(FA) FMS
(Multiple Master Peer-to-Peer)
PA(Process Automation)
- ProcessField 버스 사용상 이점
No TCPIP Overhead
Low latency
Non-routable
TBD TBD
- 통신 프로토콜의 변화
시리얼 --gt 네트워크 프로토콜
여러 통신층에서 정보 교환 가능
(eg Ethernet TCPIP)
- Ethernet 기반 ICS 통신 프로토콜
일부 ICS 시리얼 프로토콜은 Ethernet
인프라를 사용해서 변환 통신 수행
Goose Messaging (IEC 61850-9-1)
SAV or Sampled Values (61850-9-2)
Process Automation Specific Protocol
- EtherCAT(UDP34980) EthernetIP
(TCP44818 UDP2222 44818)
FL-net (UDP55000~55003) Fieldbus
HSE (TCP1089~1091UDP1089~1091)
HART-IP(TCP5094 UDP5094)
PROFINET (TCP34962~34964 UDP
34962~34964)
[상위 레벨 데이터]
통신 프로토콜
[하위 레벨 데이터]
통신 프로토콜
구분
공격형태 취약성 정보 보호대책
[하위 레벨 데이터] 통신
프로토콜
The Trust Beyond the Security 6 ICS 취약점분석 기준 ndash 관리물리기술영역
19
관리물리 취약점 진단 항목Framework 기술영역 취약점 진단 항목Framework
A731 퇴직 및 직무변경 책임 임직원 혹은 계약자에 대한 퇴직 혹은 업무 변경 후에
유효한 정보보호책임과 의무를 정의하고 강제해야 하
며 의사소통을 해야 한다
퇴직 및 직무 변경에 관한 책임이 명시적으로 정의되고 지정되어야
함
a) 퇴직 시 정보보호 서약서 징구 등을 통한 비밀유지 서약을 실시
함
b) 퇴직 후 정해진 기간 동안 비밀유지 책임을 명시함
c) 새로운 업무와 책임에 대한 책임은 통제 되어야 하며 직무 변경
및 고용 종료 후에도 책임에 대해 관리되어야 함
A811 자산 목록 정보 및 정보처리 설비와 관련된 자산은 식별하고 자
산목록을 작성하고 유지해야 한다
모든 자산은 명확하게 인식되고 모든 중요 자산의 목록은 관리되어
야 함
a) 모든 자산과 그 자산에 대해 중요도를 문서화함
b) 정보의 라이프사이클은 정보의 생성 처리 저장 전송 등을 포함
함
c) 문서화된 자산 목록은 기존 재고 목록과 적절하게 사용되어야
한다
d) 자산관리자 지정 및 정보 등급화가 되어 있고 이에 대한 문서화
가 되어 있음
e) 자산 목록은 효과적인 자산 보호를 보장해야 하며 자산의 안전
및 금융(자산 관리)에 사용할 수 있다
확장 711 자산의 목록 [에너지 유틸리티 관련 구현 지침]
조직의 중요한 자산의 재고를 유지하고 관리하는 경우 별개의 책임
을 명확하게 규정하고 문서화해야 한다
자산의 재고는 관련된 프로세스 제어 시스템 자산과 응용프로그램
의 정보를 모두 포함한다
[에너지 유틸리티에 대한 추가 정보]
상기 분류에 대해 보충으로 에너지 공급 영역의 다른 넓은 범위의
섹터별 특정 자산 카테고리 또한 포함한다
a) 정보 그리드 및 네트워크 계획 스케줄링과 우선순위 정보 지리
와 지리참조 정보 위기와 비상계획 그리드 재해 복구 계획 스위칭
동작 정보 측정된 값 및 측정 데이터 계량 및 계량된 데이터 운영
기록 모수화 데이터 측정 및 메시지 아카이브
b) 소프트웨어 프로세스 제어 소프트웨어 시각화 시스템 에너지
관리 및 최적화 소프트웨어 시뮬레이션 소프트웨어 모수화 소프트
웨어 관리 및 모니터링 시스템 운영 자원 관리(ERP) 시스템 프로그
래밍 환경 펌웨어 아카이빙 소프트웨어 기타 등
c) 물리적 자산 제어 및 자동화 구성요소 원격 측정 및 원격 제어
구성요소 원격 단말 장치 데이터 전송 시스템 구성요소 디지털 보
호 및 안전 요소 디지털 계량 및 측정 장치 스마트 미터 디지털 센
서 및 작동 요소 모수화 및 프로그래밍 장치 시각화 및 운영요소
디지털 모니터링 및 기록 시스템 기타 등
d) 서비스 통신 서비스 비상 통신 서비스 정보 서비스 기상 서비
스 기타 등
A812 자산의 소유권 소유된 자산은 목록으로 유지되어야 한다 정보처리시설과 관련된 모든 정보 및 자산은 조직 내에서 명시적으
로 자산의 관리자를 지정 하여 관리하여야 함
a) 자산을 확실하게 파악 조사해야 함
b) 자산의 적절한 등급 분류와 보호 보장
c) 접근통제 정책에 대한 정의 및 주기적인 검토
d) 자산의 파기 혹은 삭제 할 때의 적절한 처리
확장 721 자산의 소유권 [에너지 유틸리티에 대한 추가 정보]
프로세스 제어 시스템을 사용하는 조직의 잠재적으로 복잡한 구조는
상업 및 운영 소유권의 종료와 관련하여 매우 다양한 책임을 의미한
다 결과적으로 자산 소유권 및 관련 책임 정보보안의 관점에서 자
산 소유자와 자산 운영자의 역할은 정확하게 정의되고 문서화되어야
한다
세부통제항목 내용
ISO270012013 ISO270022013 200192013 반영
270192013 반영 270022013 반영 27001 인증 규격
[ ICS 전용 정보보호 관리체계 진단 기준 ] 21개 항목 29개 세부기준
[ 27001 인증 심사 시 27019 Energy Utility 분야 보안 모범사례 반영 ]
A712 고용 약정 및 조건
직원 및 계약직 인원의 계약합의서에서는 조직과 그들의 정보보안책
임을 명시해야 한다
813 고용 조건
[에너지 유틸리티 관련 구현 지침]
파업권 또는 비상 상황에서 최대 근로 시간을 초과할 권한으로 직원
의 권리에 대한 제한은 중요 인프라 및 민감함 시스템의 동작을 위한
허용 가능한 법적 요구사항으로 주요한 개인의 책임을 고려해야 한
다 고용 계약을 체결하는 경우 모니터와 같은 스위칭 동작 등 특정
작업 기록에 관한 협정도 고려해야 한다
X805 기술 영역 차용 - 계정관리 - 권한관리 - 접근통제 - 가용성 - 무결성 - 암호화 - 부인방지
참고 진단 기준 - 기반시설 진단 기준 - SK인포섹 점검기준
- ITU-T X805 기반 진단 기준을 수립 중이며 해당 기준은 자경단 Deloitte 진단 Framework(56개 점검항목 2015년 작성) 및 주요정보통신기반시설 진단 기준을 100 포함하고 있음
- PLCRTU 등의 Firmware
Embeded OS RTOS 에 적용 가
능한 최상의 보안 수준을 적용하
는가
- 인가된 자만 시스템에 접속 가능 여부 확인
비밀번호 컴플라이언스 충족 여부 확인 등
- replay attack 등의 방지를 위한 인가 IP 접속 기
능 적용 확인 (보안장비 대체 적용 여부 확인)
- 장비간 주요 정보 통신 시 암호화 적용 미흡할
경우 이를 보완하는 보안장비 적용 여부 확인
- 54개 항목
114개 항목 38개 항목
SK인포섹 13486 경기도 성남시 분당구 판교로255번길 46 4층 E-mail skinfosecmktskcom TEL 02)6361-9114 FAX 02) 6361-9998
201604
The Trust Beyond the Security 2 PLCDCSAPCSCADA
7
DCS (Distributed Control System)
- 자동제어프로그램이 내장된 다수의 제어용 컴퓨터를 기능별로 분산하여 위험을 최소화
- 전체적인 관리는 중앙에서 모니터링 및 컨트롤
- 수처리 발전 보일러 제철 석유화학 등 연속공정에 주로 적용
- Analog 연속제어에 사용
- APC (Advanced Process Control)로 발전
APC (Advanced Process Control)
- DCS와 연계되며 다수의 DCS와 연결되어 상위에서 조절
- DCS는 하나의 조절변수와 하나의 제어변수 만을 고려
- APC는 다수의 입력변수를 받아 이들의 상호관계를 예측하여 제어함으로써 공정을 좀 더 지
속적으로 안정화
- DCS의 발전된 형태
The Trust Beyond the Security 3 ICS 구성에 대한 이해
8
[공장자동화] [사무자동화] [웹 서비스]
대 고객
온라인서비스
경영지원
시스템 (ERP 등)
산업제어
시스템
인터넷 (OA) (FA)
The Trust Beyond the Security 4 IT와 OT (ICS) 주요 차이점
9
구분 IT 시스템 ICS 시스템 (SCADA 중심)
성능요구 비 실시간 실시간
가용성 재구동 허용 재 구동 불허 계획된 정지 고가용성
보호대상 정보 필드 장치 프로세스
시스템 운영 개방형 운영체제 전용 운영체제
생명주기 3 ~ 5년 15 ~ 20년
통신 표준 프로토콜 전용 프로토콜
SW 변경관리 보안정책에 따라 자동적용 사전 시험 후 점진적 적용 계획된 정지시기에 적용
접근 용이성 지역에 국한 접근 용이 넓은 영역에 퍼짐
물리적 접근 노력 필요
The Trust Beyond the Security 1 ICS가 원인이 된 사고사례
11
일시 분야 대상 내용
2007 교통 미국 LA 교통시스템 내부자에 의한 시스템 침해
2009 4 전력 미국 전력망 Conficker worm 제어시스템 감염 1천 2백만 컴퓨터 감염
2009 8 수자원 러시아 Sayano-shushenskaya 댐 제어시스템 문제로 발전기 터빈 폭발
2010 11 원자력 이란 우라늄 원심분리기 Stuxnet 감염으로 원심분리기 1000개 감염
2011 상수도 미국 상수도 시설 원격접속을 통한 해킹으로 제어 펌프 장악
2012 사우디 아람코 악성코드 감염 네트워크 마비
2012 가스 카타르 LNG 생산시설 악성코드 감염 네트워크 마비
2012 상수도 미국 휴스턴 상수도 제어시스템에 미공개 악성코드 감염
2013 교통 이스라엘 터널 개폐장치 악성코드 감염으로 교통혼잡 발생
2014 원자력 일본 원자력 발전소 악성코드 감염 직원 정보 유출
2014 발전 한국수력원자력 e-mail 통한 악성코드 감염 도면 유출
2015 전력 우크라이나 전력 악성코드로 인한 정전사태 (Black Energy KillDisk)
The Trust Beyond the Security 2 ICS 사이버 보안의 중요성
12
IT 기술 시스템의 접목으로
현재의 SCADA Automation Protection Control system 은
- 상용 IT 제품활용 증가
- IP 기반 통신 프로토콜 사용 등 전용장비규격에서 표준장비규격 활용이 증가
- 물리적으로 분산되어 있으나 네트워크로 연결
- 모바일 기기와 스토리지 활용
제어시스템에 IT 기술의 비중이 증가할수록
Hacking Employee Mistake
Malicious software installed via USB port
The Trust Beyond the Security 1 어떻게 접근할 것인가
14
질문 1 우리는
- IT 인력 + IT 보안 인력
질문 2 IT 보안 점검 기준은
- K-ISMS
- ISO2700127019
- 기반시설취약점분석평가
- NIST Cyber Security Framework
질문 3 방향성은
- ICS 보안프레임워크에 기반한 점검
ICS 보안프레임워크 수립
ICS 보안분석서 기반의 점검
bull IT인력의 OT 접근
용이성 제공
bull 기준문서를 통한
점검 품질 평준화
bull IT 항목 기준으로
세부점검 방식
bull 각 항목별 기초적
대응방안 기술
The Trust Beyond the Security
ISA95 Standard Industry Architecture
[ Products ] [ Description of Level ]
Source ISA( International Society of Automation) ISA95 Enterprise-Control Integration Standard)
Business Logistics Plant Production Scheduling Shipping
Receiving Inventory etc
Manufacturing Operation Management
Dispatching Detailed Production Scheduling Production Tracking
Continuous Production
Control
Discrete Production
Control
Batch Production
Control
L4
L3
L2
L1
L0 Field DeviceInstrumentation
Equipment
Production Data Acquisition
Monitoring amp Automation Control
ERP for Manufacturing
SCM WMS
MES PLM
DCS SCADA Unit Level Control
Process Safety System
PLC HMI Machine Control
Discrete Safety System
Motors Drive Pumps Valves Compressors Actuators Robotics
②
①
[ 관리 ]
경영
생산
IT
OA
Biz
ICS
Purdue Reference Model
2 ICS 구성에 대한 이해 ndash 표준 Architecture
15
OT
FA
Critical Infra
Level 5 Enterprise (DMZ) Level 5 Enterprise
Level 3 Site Manufacturing Operation and Control
Level2 Area Supervisory Control
Level1 Basic Control
Level 0 Process
Level 4 Site Business Planning and Logistics
The Trust Beyond the Security 3 IT 보안컨설팅방법론 차용
16
빈도lsquo상rsquo 수행 모듈
빈도lsquo중rsquo 수행 모듈
빈도lsquo하rsquo 수행 모듈
범례
분석 [P1] 평가 [P2] 설계 [P3] 구현 [P4] 이행 [P5]
bull 국내 법규 bull 국내외 컴플라이언스
bull 정보보호 인증 규격
참조기준
bull Gap 분석 bull 인터뷰 bull 문서검토 bull 실사
수행기법
bull 진단 항목 bull (정품)진단도구 자체 개발 도구 bull FIRST 및 CVE DB 등
Tool
Consulting Process
요구사항 분석
조직업무 IT환경 분석
기술(요소)분석
자산분석∙평가
위협분석∙평가
취약점분석∙평가 (관리물리IT시스템)
취약점분석∙평가 (모의해킹진단)
위험분석∙평가
정보보호 Framework 설계
체계설계 (관리기술 Arch)
정보보호 솔루션 선정
마스터플랜 수립
조직체계 구현
이행점검 (모의감사)
이행지원
정책지침 재개정
T1
T2
T3
T1
T3
T6
T1
T2
T3
T1
T2
T3
T1
T2
T2
T5
T4
1
2
기술(요소)분석 ICS 분석 Framework (ICS Layering 및 ITU-T X805 보안기술영역 차용 [ISCM-ICS-P1-T3] SCADA용 Continuous Process용 Discrete Process용 구현) ICS보안정보분석서 (SCADA용 Purdue 모델 Protocol 기반 보안정보분석서 구현)
취약점 분석ㆍ평가 관리물리 기술영역 모의해킹 진단 항목 (모의해킹은 진단 시나리오 포함) [ISCM-ICS-P2-T3] [ISCM-ICS-P2-T4] [ISCM-ICS-P2-T5]
1
2
2
The Trust Beyond the Security 4 ICS 보안분석프레임워크
17
분석 Framework
[ Products ] [ 구분 ]
[Control Center] HMI--MTU--FEP[|OPC] Historian
(HMI Viewer)--HMI(OPC Historian)--PLCs--장치
Actuators (Drive Valves Compressors
Robotics hellip)
ERP SCM WMS IT Infra System 점검 영역 갈음
예외) 점검 대상 SAP ERP MII ndash PCo
MES PLM ( ProcessㆍManufacturing Operation Management )
Field Device Instrumentation Equipment
High Lv Protocol OPC ICCP MMS hellip Low Lv Prptocol Modbus DNP3 PROFIBUS WLAN PAN Mobile 유선
[ System Layering ]
경영
생산
IT
OA
Biz
ICS
분석 Framework를 통한 ICS보안정보분석
OT
FA
Critical Infra
산업정보관리
산업공정운영
산업제어시스템
Sensor Motor Pump
hellip IED n IED 1 IED 2 IED 3
Data Comm
ICS(SCADADCS) 보안정보 분석 Framework
권한관리 정보(Data) 보안 통신보안 무결성 보안 가용성 보안 비고
Lv1 Lv2 Lv3 관리 물리 PT 기술 계정관리 인증관리 비밀번호 기타 (보안 솔루션 등)
1Management Information
System 경영정보시스템
2Enterprise Resource
planning 전사 자원 관리
3Supply Chain Management
공급망 관리 시스템
4Warehouse Management
System 창고관리시스템
5
Manufacturing
Operation
Management
PLM
Product Lifecycle
Management 제품 수명주기
관리
6 APC
Advanced Process Control
고급공정제어기술로서 DCS
포함 기술임
7 MES
Manufacturing Execution
System 생산관리시스템
산업군에 따라 Lv2 영역 중첩
8[ Control
Center ][Center] HMI
Human-Machine Interface
센터 측면 통합 관제시스템
Field level HMI 고려 대상
(아주 간단한 제어기능 포함)
9 MTUMain Terminal Unit
SCADA 경우 Server를 의미
10 [ FEP ]
Front-End Processor
Gateway 역할 수행 (옵션)
PLC의 프로토콜 적용 수준을
확장해 주는 역할 수행
통신 관리자 감독 중앙시스
템에 보고 분리된 AP 기능
통합 등을 수행
11 Misc
Runtile Library(다른 컨트롤
시스템 업무시스템 통합
Alarms Contigency
Analysis Project Files
12 Data Comm[상위레벨 데이터]
통신 프로토콜
OPC
ICCP
hellip
13[하위레벨 데이터]
통신 프로토콜
Modbus
DNP3
14Vendor Dependent
Protocol
사이트에는 일반적으로 벤더
에서 개발된 독자적 프로토콜
이 사용됨 (150여개 혼용)
15 WLAN PAN
IEEE80211abgnac(Wi-Fi)
ZigBee(Peer-to-Peer)
Bluetooth(Master-Slave)
16 원거리 통신
- Cable Comm PSTN
(MODEM) 전용선 전력선
광케이블
- Mesh RF WirelessHART
ZigBee Wi-Fi mesh
ISA10011
- Licensed Radio
Microwave
- Cellular Backhaul CDMA
GSM LTE
- Satellite Uplink VSAT
BGAN
17 Control [Field] HMI
Human-Machine Interface
다수 PLC 등과 직접 연결되
어 제어 수행
18 RTU
Remote Terminal Unit
Firmware [gt Embeded OS gt
RTOS] 탑재 장치 일반적으로
SCADA 내에서 센서 데이터
를 디지털로 변환시켜 관리
시스템에 전송하는 통신 장치
역할 수행
19 PLC
Programmable Logic
Controller RTOS 탑재 장치
DCS의 경우 RTU 역할 포함
(자체 GUI HMI 제공 uarr)
20 [Plant] Historian
별도의 DB를 갖는 operation
HIStorian Server를 의미
DMZ의 Shared HIStorian의
경우 업무망에서 PLC 직접
접근방지 Historian를 통하여
데이터 접근 허용함
21 [ PAC ][programerable |] Process
Automation Controller
22 [ PMU ]
Phaser Measurement Unit
전력 시장 실시간 AC 파형을
수학적으로 표현(분석용도)
IEEE C37 118 사용 GPS 시
각 동기화(Synchro-phasers)
23 IED
Intelligent Electronic Device
Actuator 등에 붙어 MTU 명
령없이 자체처리 수준을 정의
하여 수행 (필요시 RTU와 통
신)
24 ActuatorSensor Motor Valve 등을
통칭하는 일반 용어
25 Sensor -
26 (Level 0) Mortor -
27 Misc
Drive Pumps Valves
Compressors(압축기) 버너
Robotics 솔레노이드
WMS
산
업
공
정
관
리
산
업
제
어
시
스
템
(
I
C
S
I
n
d
u
s
t
r
i
a
l
C
o
n
t
r
o
l
S
y
s
t
e
m
)
NO구분
설명취약점 분석 접근제어
산
업
정
보
관
리
MIS
ERP
SCM
Field Device
Instrumentation
Equipment
ITU-T X805 차용
- 접근제어 - 권한관리 - 정보보안 - 통신보안 - 무결성보안 - 가용성보안
Digital Analog Digital + Analog
참조 ISA95 amp Purdue Model
The Trust Beyond the Security 5 ICS 보안정보분석서
18
ICS Purdue Model 기반의 보안정보분석서
대구분 설명 공격 형태 취약성 정보 보호대책
Lv5 Enterprise Business Network
Lv4
Site Business Planning and
Logitics
Business Unit or Plant Network
-
Air-gap 구성안 (Waterfall 솔루션)
- 상위 망 - Airgap - 하위 망
Airgap Phygical or Unidirectional Airgap using a
Data Diode (단방향 통신 게이트웨이)
Data Diode in bypass mode(단방향 두개 설치)
Logical Airgap FW 이용
Data Guard
- 패킷의 모든 데이터(메시지 파일 유형 등) 검사
--gt network packet whitelist 솔루션
DMZDMZ
- 개발시스템 앱 서버 등TBD
- Shared HIStorian을 통한 Field Devices 직접 통제를
제한함으로써 침해 위협 조치
- Data Classification (데이터 위치 이동방향에 따른 레벨)
- DNS Sec 등 IT System 보안
-
- Honeypot Tech [low | high] Interaction Honeypots
결과분석에 필요한 리소스 보유 필요
사용 시 위험요소가 존재하는 지 확인 필요
허니팟을 통해 어떤 정보를 얻을 수 있는지 확인 필요
주gt 비용 인원 기술 한계점 파악 등 선결 내용
Manufacturing
Zone
(Operation Zone
Lv3210 포함)
Lv3
Production amp Scheduling System
Plant HIStorian
HMI DBMS
Console Workstation
Operation Support (Simulation amp
Modeling System Operation
Analysis System Test System
Engineering Workstation Misc)
Site Manufacturing
Operation amp Control
운영 지원
- ICS 테스트 amp 개발
- 데이터 분석
- 엔지니어링 설계 및 구성
- DHCP LDAP DNS File
Server 등의 IT시스템
공격자의 주 타겟 중 하나 HMIs
- Default or Weak Passwords
Brute force or dictionary attack 등으로 크랙 가능
- Web-based Attack
인증우회취약한세션관리LFIRFIXSSCSRFSQLinjection
- Malware on USB Device (Lv32)
Stuxnet OO Duqu(2011) Flame(2012) Shamoon(2012)
HavexDargonfly(2014) Black Energy BE2 (2014)
- Compromised IT System (ServerPC)
- DNS Spoofing(Cash Poisoning)
ICS Hardening
- AP whitelisting AP Sandboxing
--gt Windows(AppLocker) 및 third-party 솔루션
- Tripwire iptables chroot() chkrootkit
- Historian DBMS 보안 적용
- DNS Spoofing 방어 DNS 서버 설정 강화
DNS 서버를 다른 시큐리티 존에 위치시킴
-
- TOPINO CMP(콘솔) Xenon SA(Security Appliance)
가용성 산업용 HW Spec 제품 설치구성테스트
firmware update 시 무중단 가용성 지원
단방향양방향 통신 모드 모두 지원
주로 Modbus 같은 산업용 네트워크 프로토콜 제어
장비 프로파일 기반의 방화벽 룰 적용
LSM(Loadable Security Module) being installed Appliance
Lv2
Supervisory Control Network
(-Plant- Data Historian
Engineering Workstation
Comm Front-ends)
Area Supervisory Control
Control Server Compromise
- [Malicious Insider gt] Authentication bypass in HMI
- Malicious USB Key | client-side attack
gt Compromised Engineer Credentials
- Remote Station Physical Compromise
gt Compromised Field Device or Network
- Port Scanning Googling SHODAN 검색
- Default admin username amp password Deffault
running services Default security settings
- Poor AuthenticationAuthorization
SCADA Pass 모니터 부착 PW 메모지 등
- Buffer Overflows and Remote Code Execution
- Attacking Historian and DB
Attacks on Network Comm
- Traffic Capture injection relay Data Extraction DoS
Spoofing Control Signals Wireless Attacks MITM
Fuzzing(데이터 입력 테스트 기법) Network Protocol
DoS Attack Jamming RF EMT(Electro Magnetic
Transmission
MITM 기반 기술 ARP Spoofing (주로 HMI - PLC 간)
취약한 무결성 체크 및 인증 시스템
- Eavesdropping WiFi Bluetooth ZeeBee GSM
- Masquerading Evil Twin 공격 GSM 공격
FEP 등 원격지 공격 코드 실행
upstream (시리얼 프로토콜) 공격
Hardening ICS Control Software
- SW Vendor로부터의 보안 방안 적용
- 유선 보안솔루션의 VPN proxy 인터페이스 사용
AP Whitelisting Sandboxing
- 기본 구성 취약점 보호대책
암호키 만료갱신 암호강화 관리자 역할 강화 장치인증
- Missing Security Patches
ICS는 시스템 특성상 보안설정 적용이 어려운 경우 존재
Security on Network Comm
- 취약한 인증 기능을 가진 프로토콜은 사용 지양
- 데이터 다이오드 등으로 관리 제어 영역 구분(대역 분리)
- VPN으로 네트워크 트래픽 암호화
- 프로토콜 고유의 시그니처를 이용한 패킷 모니터링
- ICS 제조사(eg Honeywell 등)가 기본 방화벽 설정 지원
Whitelist 방식의 차단 솔루션
허용되는 작동 외의 모든 작동을 차단하는 방식
Testbed 담당자는 하기 사유로 부정적 의견 제시
whitelist 방식으로 관리 시 다수의 예외 처리 필요
솔루션 예시 Ahnlab 솔루션 (하이닉스에서 사용중
방식 불명) Symantec 솔루션 (에이전트 방식 패킷 분석)
Lv1
Control Devices (RTU PLC
Control Processor Progammable
Relay Dedicated Control
Operator Workstation)
Basic Control
컨트롤 장치 Field
Components 영역
- SIS amp Protection System
과의 통합
- unauthentication on Wireless Access
- RTUPLC의 마스터 서버로의 데이터 전송을 악용한
원격 익스플로잇 등 공격 시도 가능
TBD
Lv0
Process Control Instrumentation
Bus Network (IED Actuator
Misc)
Process
(End-Point) Field Devices
Physical or Remote Devices Attacks
- 인증 과정 우회 공격 물리적 접근 HW 공격 인증 우회
Embedded Electronic Attacks
Dumping Data at Rest from EEPROMs
Bus Snooping Data in Motion
Using Entropy to Find Key
--gt 공격자는 저장장치 또는 버스에서 데이터 획득
--gt 비대칭키는 엔트로피 높음 그래프에서 변화폭 큼
Firmware Attacks
--gt 암호 키알고리즘 주파수 도약(hopping) 분석 가능
--gt 역공학 원격 익스플로잇 가능 취약점 탐색
펌웨어 수정 공격툴 업로드 목적
Controller amp Field Device Security
- 산업 네트워크 upstream amp downstream Field Bus
네트워크 장비 amp 통신 브릿지 산업용프로토콜
관리프로토콜 시간동기화 FW RTOS EmBededOS
NIC WS 프로그램 파일 진단계기 장비 원격접속
장비 안전보안 장비 보호 필요
- 물리보안 hellip 사용 가능 포트ㆍ진단 포트ㆍ무선 Inf
외관 검사ㆍanti-tamper 제어실 접근 알림 포함 필요
소구분
업무망
- 기업 현장 공장 시설
네트워크 포함
- ICS 데이터 획득 가능
- ICS 원격접속 주관
- NERC(the North-american Electric Reliability Corporation)
보안 정책 참고(기반시설 사이버보안을 위한 표준 프레임
워크 개발)
- IAEA(Internal Atomic Energy Agency)
- Log Management remote log server gt ICS Central log
server(Comm F-E 등) gt Primary Analysis log server
- Auditing Forensics(침해흔적 조사 포함)
- ICS BackupRestore BCP amp DRP Incident handling
- Compromised Remote Access
- Malicious Insider
- 공격 시나리오 원격지 gt 서버워크스테이션(HMI) SW 공격
(주로 OS는 UnixLinuxWin TCPIP) gt ICS DB를 타겟팅
Business Zone
Enforcement Zone
(각 Level은 Enforcement Zone에 의해 분리됨
-Firewall ACL IDS 데이터 다이오드 등-)
Business Zone과 OperationControl
Zone 사이에서 데이터를 공유하는 영역
(via Shared HIStorian) IT시스템
Safety Zone
Enforcement Zone
CellArea Zone
Enforcement Zone
ICS Data Comm 레벨 보안정보분석서
NO 설명 공격 형태 취약성 정보 보호대책 비고
1 OPC
- OLE for Process Control
- 서로 다른 종류의 PLC 제품들을
하나의 제어시스템으로 통합 운영
하기 위한 중간 역할
- 구성 OPC Client - OPC Server
- PLCs - devices
상위 레벨 프로토콜이므로 전용
서버 또는 HMI 등과 같이 운용
가능 (Windows OS 탑재 상위
프로토콜)
- OPC UA TCP502
OPC UA XML TCP80 TCP443
TBD TBD
- OLE Object Linking and Embedding
(선행조건 Windows OS 기반 ICS)
- High Level Data Protocol 특성
Human Readable Info
기업-Control Network간 동작
DB - AP 간 데이터 명령어 전송
제품 Kepware Technologies Co Ltd
KEPServerEX MatrikonOPC
Universal ICS Protocol
- OPC Modbus
2
ICCP
(IEC 60870-6
TASE2)
- Inter-control Center Comm
Protocol
- TCP102
- read only (TBD )
- 인증 암호화 기능 미보유
- 데이터 통신 시 ARP 사용
으로 인한 취약점 존재
- No Security
- Electric independent System Operator
(ISO)에서 사용 -Smart Grid 포함-
Eg MISO (Midwest-미국 중서부-
Independent System Operator)
3MMS
(IEC 61850-8-1)
- Manufacturing Messaging
Specification
- TCP102
- 변전소 사용 프로토콜
- 관리장비(HMI FEP) - 현장장비
(RTU PLC IED) 간 통신 용도
TBD TBD
참고 Energy Sector Specific Protocol
- DNP3 DLMSCOSEM(TCP4059
UDP4059) ICCP IEC 104(TCP102)
IEEE C37118 (TCP4712 UDP4713)
MMS
4 Modbus
- Serial TCP 용 Proto 존재
- Master-Slave
- port 502
TBD - No Security- low level data protocol 특성
clear text no authentication
5 Modbus TCP
- Modicon사에서 개발(1979년)한
requestreponse 체계의 간단한
Open 프로토콜
- 관리장비(HMI FEP) - 현장장비
(RTU PLC IED) 간 통신 용도
- Wireshark
대부분의 ICS 프로토콜을
지원하므로 공격 분 석
기능 지원
- 보안 미고려 설계 동작 방식
- Master Station이 field device를 폴링
- field device는 통신 초기화 불가능
6DNP3
(IEEE 1915-2012)
- Distributed Network Protocol
- MasterSlave
- Port 19999 with TLS
Port 20000 without TLS
- 관리장비(HMI FEP) - 현장장비
(RTU PLC IED) 간 통신 용도
TBD- 사용자 - 장치간 인증 및
데이터 보호 (TLS)
- 북아메리카 호주 등에서 주로 변전소
(electrical substation) 통신에 사용
- 경우에 따라 TCP20000 UDP20000
7 IEC 60870-5-104
- 관리장비(HMI FEP) - 현장장비
(RTU PLC IED) 간 통신 용도
- send request accept request
confirmation timeouts error
recovery 등이 function에 포함
TBD TBD- DNP 30과 유사하며 유럽 등에서는
DNP 30보다 사용률이 높음
8 HART TBD TBD TBD -
9 BACnet2- MasterSlave
- BACnetIP UDP47808TBD TBD - BMS(빌딩관리시스템) 프로토콜
10LonWorks
LonTalk3
- Peer-to-Peer
- LonTalk UDP1628 UDP1629
- LonTalk3 Port 1679
TBD TBD
- BMS(빌딩관리시스템) 프로토콜
종류 BACnetIP LonTalk Fox
Fox 프로토콜 (TridiumNiagara)
TCP1911
11 EthernetIP
- Ethernet 인프라에 적용하여 장치
(Host PLC Actuator CNC 기기
등) 간의 통신 용도
- 인터넷 통지 지원 (Web AP 지원)
- 산업용 AP를 위해 Ethernet 기술
표준 허용
TBD TBD
- 참고
OPC와 같은 데이터 접근교환을
위해 HTTPFTPSNMPDHCP 등
인터넷 프로토콜 표준 및 산업
프로토콜 표준과 호환성 보증
12 PROFIBUS
- SIEMENS 사에서 개발
- Fieldbus Network(EIA-485) 사용
- 버전 PROFIBUS DP(FA) FMS
(Multiple Master Peer-to-Peer)
PA(Process Automation)
- ProcessField 버스 사용상 이점
No TCPIP Overhead
Low latency
Non-routable
TBD TBD
- 통신 프로토콜의 변화
시리얼 --gt 네트워크 프로토콜
여러 통신층에서 정보 교환 가능
(eg Ethernet TCPIP)
- Ethernet 기반 ICS 통신 프로토콜
일부 ICS 시리얼 프로토콜은 Ethernet
인프라를 사용해서 변환 통신 수행
Goose Messaging (IEC 61850-9-1)
SAV or Sampled Values (61850-9-2)
Process Automation Specific Protocol
- EtherCAT(UDP34980) EthernetIP
(TCP44818 UDP2222 44818)
FL-net (UDP55000~55003) Fieldbus
HSE (TCP1089~1091UDP1089~1091)
HART-IP(TCP5094 UDP5094)
PROFINET (TCP34962~34964 UDP
34962~34964)
[상위 레벨 데이터]
통신 프로토콜
[하위 레벨 데이터]
통신 프로토콜
구분
공격형태 취약성 정보 보호대책
[하위 레벨 데이터] 통신
프로토콜
The Trust Beyond the Security 6 ICS 취약점분석 기준 ndash 관리물리기술영역
19
관리물리 취약점 진단 항목Framework 기술영역 취약점 진단 항목Framework
A731 퇴직 및 직무변경 책임 임직원 혹은 계약자에 대한 퇴직 혹은 업무 변경 후에
유효한 정보보호책임과 의무를 정의하고 강제해야 하
며 의사소통을 해야 한다
퇴직 및 직무 변경에 관한 책임이 명시적으로 정의되고 지정되어야
함
a) 퇴직 시 정보보호 서약서 징구 등을 통한 비밀유지 서약을 실시
함
b) 퇴직 후 정해진 기간 동안 비밀유지 책임을 명시함
c) 새로운 업무와 책임에 대한 책임은 통제 되어야 하며 직무 변경
및 고용 종료 후에도 책임에 대해 관리되어야 함
A811 자산 목록 정보 및 정보처리 설비와 관련된 자산은 식별하고 자
산목록을 작성하고 유지해야 한다
모든 자산은 명확하게 인식되고 모든 중요 자산의 목록은 관리되어
야 함
a) 모든 자산과 그 자산에 대해 중요도를 문서화함
b) 정보의 라이프사이클은 정보의 생성 처리 저장 전송 등을 포함
함
c) 문서화된 자산 목록은 기존 재고 목록과 적절하게 사용되어야
한다
d) 자산관리자 지정 및 정보 등급화가 되어 있고 이에 대한 문서화
가 되어 있음
e) 자산 목록은 효과적인 자산 보호를 보장해야 하며 자산의 안전
및 금융(자산 관리)에 사용할 수 있다
확장 711 자산의 목록 [에너지 유틸리티 관련 구현 지침]
조직의 중요한 자산의 재고를 유지하고 관리하는 경우 별개의 책임
을 명확하게 규정하고 문서화해야 한다
자산의 재고는 관련된 프로세스 제어 시스템 자산과 응용프로그램
의 정보를 모두 포함한다
[에너지 유틸리티에 대한 추가 정보]
상기 분류에 대해 보충으로 에너지 공급 영역의 다른 넓은 범위의
섹터별 특정 자산 카테고리 또한 포함한다
a) 정보 그리드 및 네트워크 계획 스케줄링과 우선순위 정보 지리
와 지리참조 정보 위기와 비상계획 그리드 재해 복구 계획 스위칭
동작 정보 측정된 값 및 측정 데이터 계량 및 계량된 데이터 운영
기록 모수화 데이터 측정 및 메시지 아카이브
b) 소프트웨어 프로세스 제어 소프트웨어 시각화 시스템 에너지
관리 및 최적화 소프트웨어 시뮬레이션 소프트웨어 모수화 소프트
웨어 관리 및 모니터링 시스템 운영 자원 관리(ERP) 시스템 프로그
래밍 환경 펌웨어 아카이빙 소프트웨어 기타 등
c) 물리적 자산 제어 및 자동화 구성요소 원격 측정 및 원격 제어
구성요소 원격 단말 장치 데이터 전송 시스템 구성요소 디지털 보
호 및 안전 요소 디지털 계량 및 측정 장치 스마트 미터 디지털 센
서 및 작동 요소 모수화 및 프로그래밍 장치 시각화 및 운영요소
디지털 모니터링 및 기록 시스템 기타 등
d) 서비스 통신 서비스 비상 통신 서비스 정보 서비스 기상 서비
스 기타 등
A812 자산의 소유권 소유된 자산은 목록으로 유지되어야 한다 정보처리시설과 관련된 모든 정보 및 자산은 조직 내에서 명시적으
로 자산의 관리자를 지정 하여 관리하여야 함
a) 자산을 확실하게 파악 조사해야 함
b) 자산의 적절한 등급 분류와 보호 보장
c) 접근통제 정책에 대한 정의 및 주기적인 검토
d) 자산의 파기 혹은 삭제 할 때의 적절한 처리
확장 721 자산의 소유권 [에너지 유틸리티에 대한 추가 정보]
프로세스 제어 시스템을 사용하는 조직의 잠재적으로 복잡한 구조는
상업 및 운영 소유권의 종료와 관련하여 매우 다양한 책임을 의미한
다 결과적으로 자산 소유권 및 관련 책임 정보보안의 관점에서 자
산 소유자와 자산 운영자의 역할은 정확하게 정의되고 문서화되어야
한다
세부통제항목 내용
ISO270012013 ISO270022013 200192013 반영
270192013 반영 270022013 반영 27001 인증 규격
[ ICS 전용 정보보호 관리체계 진단 기준 ] 21개 항목 29개 세부기준
[ 27001 인증 심사 시 27019 Energy Utility 분야 보안 모범사례 반영 ]
A712 고용 약정 및 조건
직원 및 계약직 인원의 계약합의서에서는 조직과 그들의 정보보안책
임을 명시해야 한다
813 고용 조건
[에너지 유틸리티 관련 구현 지침]
파업권 또는 비상 상황에서 최대 근로 시간을 초과할 권한으로 직원
의 권리에 대한 제한은 중요 인프라 및 민감함 시스템의 동작을 위한
허용 가능한 법적 요구사항으로 주요한 개인의 책임을 고려해야 한
다 고용 계약을 체결하는 경우 모니터와 같은 스위칭 동작 등 특정
작업 기록에 관한 협정도 고려해야 한다
X805 기술 영역 차용 - 계정관리 - 권한관리 - 접근통제 - 가용성 - 무결성 - 암호화 - 부인방지
참고 진단 기준 - 기반시설 진단 기준 - SK인포섹 점검기준
- ITU-T X805 기반 진단 기준을 수립 중이며 해당 기준은 자경단 Deloitte 진단 Framework(56개 점검항목 2015년 작성) 및 주요정보통신기반시설 진단 기준을 100 포함하고 있음
- PLCRTU 등의 Firmware
Embeded OS RTOS 에 적용 가
능한 최상의 보안 수준을 적용하
는가
- 인가된 자만 시스템에 접속 가능 여부 확인
비밀번호 컴플라이언스 충족 여부 확인 등
- replay attack 등의 방지를 위한 인가 IP 접속 기
능 적용 확인 (보안장비 대체 적용 여부 확인)
- 장비간 주요 정보 통신 시 암호화 적용 미흡할
경우 이를 보완하는 보안장비 적용 여부 확인
- 54개 항목
114개 항목 38개 항목
SK인포섹 13486 경기도 성남시 분당구 판교로255번길 46 4층 E-mail skinfosecmktskcom TEL 02)6361-9114 FAX 02) 6361-9998
201604
The Trust Beyond the Security 3 ICS 구성에 대한 이해
8
[공장자동화] [사무자동화] [웹 서비스]
대 고객
온라인서비스
경영지원
시스템 (ERP 등)
산업제어
시스템
인터넷 (OA) (FA)
The Trust Beyond the Security 4 IT와 OT (ICS) 주요 차이점
9
구분 IT 시스템 ICS 시스템 (SCADA 중심)
성능요구 비 실시간 실시간
가용성 재구동 허용 재 구동 불허 계획된 정지 고가용성
보호대상 정보 필드 장치 프로세스
시스템 운영 개방형 운영체제 전용 운영체제
생명주기 3 ~ 5년 15 ~ 20년
통신 표준 프로토콜 전용 프로토콜
SW 변경관리 보안정책에 따라 자동적용 사전 시험 후 점진적 적용 계획된 정지시기에 적용
접근 용이성 지역에 국한 접근 용이 넓은 영역에 퍼짐
물리적 접근 노력 필요
The Trust Beyond the Security 1 ICS가 원인이 된 사고사례
11
일시 분야 대상 내용
2007 교통 미국 LA 교통시스템 내부자에 의한 시스템 침해
2009 4 전력 미국 전력망 Conficker worm 제어시스템 감염 1천 2백만 컴퓨터 감염
2009 8 수자원 러시아 Sayano-shushenskaya 댐 제어시스템 문제로 발전기 터빈 폭발
2010 11 원자력 이란 우라늄 원심분리기 Stuxnet 감염으로 원심분리기 1000개 감염
2011 상수도 미국 상수도 시설 원격접속을 통한 해킹으로 제어 펌프 장악
2012 사우디 아람코 악성코드 감염 네트워크 마비
2012 가스 카타르 LNG 생산시설 악성코드 감염 네트워크 마비
2012 상수도 미국 휴스턴 상수도 제어시스템에 미공개 악성코드 감염
2013 교통 이스라엘 터널 개폐장치 악성코드 감염으로 교통혼잡 발생
2014 원자력 일본 원자력 발전소 악성코드 감염 직원 정보 유출
2014 발전 한국수력원자력 e-mail 통한 악성코드 감염 도면 유출
2015 전력 우크라이나 전력 악성코드로 인한 정전사태 (Black Energy KillDisk)
The Trust Beyond the Security 2 ICS 사이버 보안의 중요성
12
IT 기술 시스템의 접목으로
현재의 SCADA Automation Protection Control system 은
- 상용 IT 제품활용 증가
- IP 기반 통신 프로토콜 사용 등 전용장비규격에서 표준장비규격 활용이 증가
- 물리적으로 분산되어 있으나 네트워크로 연결
- 모바일 기기와 스토리지 활용
제어시스템에 IT 기술의 비중이 증가할수록
Hacking Employee Mistake
Malicious software installed via USB port
The Trust Beyond the Security 1 어떻게 접근할 것인가
14
질문 1 우리는
- IT 인력 + IT 보안 인력
질문 2 IT 보안 점검 기준은
- K-ISMS
- ISO2700127019
- 기반시설취약점분석평가
- NIST Cyber Security Framework
질문 3 방향성은
- ICS 보안프레임워크에 기반한 점검
ICS 보안프레임워크 수립
ICS 보안분석서 기반의 점검
bull IT인력의 OT 접근
용이성 제공
bull 기준문서를 통한
점검 품질 평준화
bull IT 항목 기준으로
세부점검 방식
bull 각 항목별 기초적
대응방안 기술
The Trust Beyond the Security
ISA95 Standard Industry Architecture
[ Products ] [ Description of Level ]
Source ISA( International Society of Automation) ISA95 Enterprise-Control Integration Standard)
Business Logistics Plant Production Scheduling Shipping
Receiving Inventory etc
Manufacturing Operation Management
Dispatching Detailed Production Scheduling Production Tracking
Continuous Production
Control
Discrete Production
Control
Batch Production
Control
L4
L3
L2
L1
L0 Field DeviceInstrumentation
Equipment
Production Data Acquisition
Monitoring amp Automation Control
ERP for Manufacturing
SCM WMS
MES PLM
DCS SCADA Unit Level Control
Process Safety System
PLC HMI Machine Control
Discrete Safety System
Motors Drive Pumps Valves Compressors Actuators Robotics
②
①
[ 관리 ]
경영
생산
IT
OA
Biz
ICS
Purdue Reference Model
2 ICS 구성에 대한 이해 ndash 표준 Architecture
15
OT
FA
Critical Infra
Level 5 Enterprise (DMZ) Level 5 Enterprise
Level 3 Site Manufacturing Operation and Control
Level2 Area Supervisory Control
Level1 Basic Control
Level 0 Process
Level 4 Site Business Planning and Logistics
The Trust Beyond the Security 3 IT 보안컨설팅방법론 차용
16
빈도lsquo상rsquo 수행 모듈
빈도lsquo중rsquo 수행 모듈
빈도lsquo하rsquo 수행 모듈
범례
분석 [P1] 평가 [P2] 설계 [P3] 구현 [P4] 이행 [P5]
bull 국내 법규 bull 국내외 컴플라이언스
bull 정보보호 인증 규격
참조기준
bull Gap 분석 bull 인터뷰 bull 문서검토 bull 실사
수행기법
bull 진단 항목 bull (정품)진단도구 자체 개발 도구 bull FIRST 및 CVE DB 등
Tool
Consulting Process
요구사항 분석
조직업무 IT환경 분석
기술(요소)분석
자산분석∙평가
위협분석∙평가
취약점분석∙평가 (관리물리IT시스템)
취약점분석∙평가 (모의해킹진단)
위험분석∙평가
정보보호 Framework 설계
체계설계 (관리기술 Arch)
정보보호 솔루션 선정
마스터플랜 수립
조직체계 구현
이행점검 (모의감사)
이행지원
정책지침 재개정
T1
T2
T3
T1
T3
T6
T1
T2
T3
T1
T2
T3
T1
T2
T2
T5
T4
1
2
기술(요소)분석 ICS 분석 Framework (ICS Layering 및 ITU-T X805 보안기술영역 차용 [ISCM-ICS-P1-T3] SCADA용 Continuous Process용 Discrete Process용 구현) ICS보안정보분석서 (SCADA용 Purdue 모델 Protocol 기반 보안정보분석서 구현)
취약점 분석ㆍ평가 관리물리 기술영역 모의해킹 진단 항목 (모의해킹은 진단 시나리오 포함) [ISCM-ICS-P2-T3] [ISCM-ICS-P2-T4] [ISCM-ICS-P2-T5]
1
2
2
The Trust Beyond the Security 4 ICS 보안분석프레임워크
17
분석 Framework
[ Products ] [ 구분 ]
[Control Center] HMI--MTU--FEP[|OPC] Historian
(HMI Viewer)--HMI(OPC Historian)--PLCs--장치
Actuators (Drive Valves Compressors
Robotics hellip)
ERP SCM WMS IT Infra System 점검 영역 갈음
예외) 점검 대상 SAP ERP MII ndash PCo
MES PLM ( ProcessㆍManufacturing Operation Management )
Field Device Instrumentation Equipment
High Lv Protocol OPC ICCP MMS hellip Low Lv Prptocol Modbus DNP3 PROFIBUS WLAN PAN Mobile 유선
[ System Layering ]
경영
생산
IT
OA
Biz
ICS
분석 Framework를 통한 ICS보안정보분석
OT
FA
Critical Infra
산업정보관리
산업공정운영
산업제어시스템
Sensor Motor Pump
hellip IED n IED 1 IED 2 IED 3
Data Comm
ICS(SCADADCS) 보안정보 분석 Framework
권한관리 정보(Data) 보안 통신보안 무결성 보안 가용성 보안 비고
Lv1 Lv2 Lv3 관리 물리 PT 기술 계정관리 인증관리 비밀번호 기타 (보안 솔루션 등)
1Management Information
System 경영정보시스템
2Enterprise Resource
planning 전사 자원 관리
3Supply Chain Management
공급망 관리 시스템
4Warehouse Management
System 창고관리시스템
5
Manufacturing
Operation
Management
PLM
Product Lifecycle
Management 제품 수명주기
관리
6 APC
Advanced Process Control
고급공정제어기술로서 DCS
포함 기술임
7 MES
Manufacturing Execution
System 생산관리시스템
산업군에 따라 Lv2 영역 중첩
8[ Control
Center ][Center] HMI
Human-Machine Interface
센터 측면 통합 관제시스템
Field level HMI 고려 대상
(아주 간단한 제어기능 포함)
9 MTUMain Terminal Unit
SCADA 경우 Server를 의미
10 [ FEP ]
Front-End Processor
Gateway 역할 수행 (옵션)
PLC의 프로토콜 적용 수준을
확장해 주는 역할 수행
통신 관리자 감독 중앙시스
템에 보고 분리된 AP 기능
통합 등을 수행
11 Misc
Runtile Library(다른 컨트롤
시스템 업무시스템 통합
Alarms Contigency
Analysis Project Files
12 Data Comm[상위레벨 데이터]
통신 프로토콜
OPC
ICCP
hellip
13[하위레벨 데이터]
통신 프로토콜
Modbus
DNP3
14Vendor Dependent
Protocol
사이트에는 일반적으로 벤더
에서 개발된 독자적 프로토콜
이 사용됨 (150여개 혼용)
15 WLAN PAN
IEEE80211abgnac(Wi-Fi)
ZigBee(Peer-to-Peer)
Bluetooth(Master-Slave)
16 원거리 통신
- Cable Comm PSTN
(MODEM) 전용선 전력선
광케이블
- Mesh RF WirelessHART
ZigBee Wi-Fi mesh
ISA10011
- Licensed Radio
Microwave
- Cellular Backhaul CDMA
GSM LTE
- Satellite Uplink VSAT
BGAN
17 Control [Field] HMI
Human-Machine Interface
다수 PLC 등과 직접 연결되
어 제어 수행
18 RTU
Remote Terminal Unit
Firmware [gt Embeded OS gt
RTOS] 탑재 장치 일반적으로
SCADA 내에서 센서 데이터
를 디지털로 변환시켜 관리
시스템에 전송하는 통신 장치
역할 수행
19 PLC
Programmable Logic
Controller RTOS 탑재 장치
DCS의 경우 RTU 역할 포함
(자체 GUI HMI 제공 uarr)
20 [Plant] Historian
별도의 DB를 갖는 operation
HIStorian Server를 의미
DMZ의 Shared HIStorian의
경우 업무망에서 PLC 직접
접근방지 Historian를 통하여
데이터 접근 허용함
21 [ PAC ][programerable |] Process
Automation Controller
22 [ PMU ]
Phaser Measurement Unit
전력 시장 실시간 AC 파형을
수학적으로 표현(분석용도)
IEEE C37 118 사용 GPS 시
각 동기화(Synchro-phasers)
23 IED
Intelligent Electronic Device
Actuator 등에 붙어 MTU 명
령없이 자체처리 수준을 정의
하여 수행 (필요시 RTU와 통
신)
24 ActuatorSensor Motor Valve 등을
통칭하는 일반 용어
25 Sensor -
26 (Level 0) Mortor -
27 Misc
Drive Pumps Valves
Compressors(압축기) 버너
Robotics 솔레노이드
WMS
산
업
공
정
관
리
산
업
제
어
시
스
템
(
I
C
S
I
n
d
u
s
t
r
i
a
l
C
o
n
t
r
o
l
S
y
s
t
e
m
)
NO구분
설명취약점 분석 접근제어
산
업
정
보
관
리
MIS
ERP
SCM
Field Device
Instrumentation
Equipment
ITU-T X805 차용
- 접근제어 - 권한관리 - 정보보안 - 통신보안 - 무결성보안 - 가용성보안
Digital Analog Digital + Analog
참조 ISA95 amp Purdue Model
The Trust Beyond the Security 5 ICS 보안정보분석서
18
ICS Purdue Model 기반의 보안정보분석서
대구분 설명 공격 형태 취약성 정보 보호대책
Lv5 Enterprise Business Network
Lv4
Site Business Planning and
Logitics
Business Unit or Plant Network
-
Air-gap 구성안 (Waterfall 솔루션)
- 상위 망 - Airgap - 하위 망
Airgap Phygical or Unidirectional Airgap using a
Data Diode (단방향 통신 게이트웨이)
Data Diode in bypass mode(단방향 두개 설치)
Logical Airgap FW 이용
Data Guard
- 패킷의 모든 데이터(메시지 파일 유형 등) 검사
--gt network packet whitelist 솔루션
DMZDMZ
- 개발시스템 앱 서버 등TBD
- Shared HIStorian을 통한 Field Devices 직접 통제를
제한함으로써 침해 위협 조치
- Data Classification (데이터 위치 이동방향에 따른 레벨)
- DNS Sec 등 IT System 보안
-
- Honeypot Tech [low | high] Interaction Honeypots
결과분석에 필요한 리소스 보유 필요
사용 시 위험요소가 존재하는 지 확인 필요
허니팟을 통해 어떤 정보를 얻을 수 있는지 확인 필요
주gt 비용 인원 기술 한계점 파악 등 선결 내용
Manufacturing
Zone
(Operation Zone
Lv3210 포함)
Lv3
Production amp Scheduling System
Plant HIStorian
HMI DBMS
Console Workstation
Operation Support (Simulation amp
Modeling System Operation
Analysis System Test System
Engineering Workstation Misc)
Site Manufacturing
Operation amp Control
운영 지원
- ICS 테스트 amp 개발
- 데이터 분석
- 엔지니어링 설계 및 구성
- DHCP LDAP DNS File
Server 등의 IT시스템
공격자의 주 타겟 중 하나 HMIs
- Default or Weak Passwords
Brute force or dictionary attack 등으로 크랙 가능
- Web-based Attack
인증우회취약한세션관리LFIRFIXSSCSRFSQLinjection
- Malware on USB Device (Lv32)
Stuxnet OO Duqu(2011) Flame(2012) Shamoon(2012)
HavexDargonfly(2014) Black Energy BE2 (2014)
- Compromised IT System (ServerPC)
- DNS Spoofing(Cash Poisoning)
ICS Hardening
- AP whitelisting AP Sandboxing
--gt Windows(AppLocker) 및 third-party 솔루션
- Tripwire iptables chroot() chkrootkit
- Historian DBMS 보안 적용
- DNS Spoofing 방어 DNS 서버 설정 강화
DNS 서버를 다른 시큐리티 존에 위치시킴
-
- TOPINO CMP(콘솔) Xenon SA(Security Appliance)
가용성 산업용 HW Spec 제품 설치구성테스트
firmware update 시 무중단 가용성 지원
단방향양방향 통신 모드 모두 지원
주로 Modbus 같은 산업용 네트워크 프로토콜 제어
장비 프로파일 기반의 방화벽 룰 적용
LSM(Loadable Security Module) being installed Appliance
Lv2
Supervisory Control Network
(-Plant- Data Historian
Engineering Workstation
Comm Front-ends)
Area Supervisory Control
Control Server Compromise
- [Malicious Insider gt] Authentication bypass in HMI
- Malicious USB Key | client-side attack
gt Compromised Engineer Credentials
- Remote Station Physical Compromise
gt Compromised Field Device or Network
- Port Scanning Googling SHODAN 검색
- Default admin username amp password Deffault
running services Default security settings
- Poor AuthenticationAuthorization
SCADA Pass 모니터 부착 PW 메모지 등
- Buffer Overflows and Remote Code Execution
- Attacking Historian and DB
Attacks on Network Comm
- Traffic Capture injection relay Data Extraction DoS
Spoofing Control Signals Wireless Attacks MITM
Fuzzing(데이터 입력 테스트 기법) Network Protocol
DoS Attack Jamming RF EMT(Electro Magnetic
Transmission
MITM 기반 기술 ARP Spoofing (주로 HMI - PLC 간)
취약한 무결성 체크 및 인증 시스템
- Eavesdropping WiFi Bluetooth ZeeBee GSM
- Masquerading Evil Twin 공격 GSM 공격
FEP 등 원격지 공격 코드 실행
upstream (시리얼 프로토콜) 공격
Hardening ICS Control Software
- SW Vendor로부터의 보안 방안 적용
- 유선 보안솔루션의 VPN proxy 인터페이스 사용
AP Whitelisting Sandboxing
- 기본 구성 취약점 보호대책
암호키 만료갱신 암호강화 관리자 역할 강화 장치인증
- Missing Security Patches
ICS는 시스템 특성상 보안설정 적용이 어려운 경우 존재
Security on Network Comm
- 취약한 인증 기능을 가진 프로토콜은 사용 지양
- 데이터 다이오드 등으로 관리 제어 영역 구분(대역 분리)
- VPN으로 네트워크 트래픽 암호화
- 프로토콜 고유의 시그니처를 이용한 패킷 모니터링
- ICS 제조사(eg Honeywell 등)가 기본 방화벽 설정 지원
Whitelist 방식의 차단 솔루션
허용되는 작동 외의 모든 작동을 차단하는 방식
Testbed 담당자는 하기 사유로 부정적 의견 제시
whitelist 방식으로 관리 시 다수의 예외 처리 필요
솔루션 예시 Ahnlab 솔루션 (하이닉스에서 사용중
방식 불명) Symantec 솔루션 (에이전트 방식 패킷 분석)
Lv1
Control Devices (RTU PLC
Control Processor Progammable
Relay Dedicated Control
Operator Workstation)
Basic Control
컨트롤 장치 Field
Components 영역
- SIS amp Protection System
과의 통합
- unauthentication on Wireless Access
- RTUPLC의 마스터 서버로의 데이터 전송을 악용한
원격 익스플로잇 등 공격 시도 가능
TBD
Lv0
Process Control Instrumentation
Bus Network (IED Actuator
Misc)
Process
(End-Point) Field Devices
Physical or Remote Devices Attacks
- 인증 과정 우회 공격 물리적 접근 HW 공격 인증 우회
Embedded Electronic Attacks
Dumping Data at Rest from EEPROMs
Bus Snooping Data in Motion
Using Entropy to Find Key
--gt 공격자는 저장장치 또는 버스에서 데이터 획득
--gt 비대칭키는 엔트로피 높음 그래프에서 변화폭 큼
Firmware Attacks
--gt 암호 키알고리즘 주파수 도약(hopping) 분석 가능
--gt 역공학 원격 익스플로잇 가능 취약점 탐색
펌웨어 수정 공격툴 업로드 목적
Controller amp Field Device Security
- 산업 네트워크 upstream amp downstream Field Bus
네트워크 장비 amp 통신 브릿지 산업용프로토콜
관리프로토콜 시간동기화 FW RTOS EmBededOS
NIC WS 프로그램 파일 진단계기 장비 원격접속
장비 안전보안 장비 보호 필요
- 물리보안 hellip 사용 가능 포트ㆍ진단 포트ㆍ무선 Inf
외관 검사ㆍanti-tamper 제어실 접근 알림 포함 필요
소구분
업무망
- 기업 현장 공장 시설
네트워크 포함
- ICS 데이터 획득 가능
- ICS 원격접속 주관
- NERC(the North-american Electric Reliability Corporation)
보안 정책 참고(기반시설 사이버보안을 위한 표준 프레임
워크 개발)
- IAEA(Internal Atomic Energy Agency)
- Log Management remote log server gt ICS Central log
server(Comm F-E 등) gt Primary Analysis log server
- Auditing Forensics(침해흔적 조사 포함)
- ICS BackupRestore BCP amp DRP Incident handling
- Compromised Remote Access
- Malicious Insider
- 공격 시나리오 원격지 gt 서버워크스테이션(HMI) SW 공격
(주로 OS는 UnixLinuxWin TCPIP) gt ICS DB를 타겟팅
Business Zone
Enforcement Zone
(각 Level은 Enforcement Zone에 의해 분리됨
-Firewall ACL IDS 데이터 다이오드 등-)
Business Zone과 OperationControl
Zone 사이에서 데이터를 공유하는 영역
(via Shared HIStorian) IT시스템
Safety Zone
Enforcement Zone
CellArea Zone
Enforcement Zone
ICS Data Comm 레벨 보안정보분석서
NO 설명 공격 형태 취약성 정보 보호대책 비고
1 OPC
- OLE for Process Control
- 서로 다른 종류의 PLC 제품들을
하나의 제어시스템으로 통합 운영
하기 위한 중간 역할
- 구성 OPC Client - OPC Server
- PLCs - devices
상위 레벨 프로토콜이므로 전용
서버 또는 HMI 등과 같이 운용
가능 (Windows OS 탑재 상위
프로토콜)
- OPC UA TCP502
OPC UA XML TCP80 TCP443
TBD TBD
- OLE Object Linking and Embedding
(선행조건 Windows OS 기반 ICS)
- High Level Data Protocol 특성
Human Readable Info
기업-Control Network간 동작
DB - AP 간 데이터 명령어 전송
제품 Kepware Technologies Co Ltd
KEPServerEX MatrikonOPC
Universal ICS Protocol
- OPC Modbus
2
ICCP
(IEC 60870-6
TASE2)
- Inter-control Center Comm
Protocol
- TCP102
- read only (TBD )
- 인증 암호화 기능 미보유
- 데이터 통신 시 ARP 사용
으로 인한 취약점 존재
- No Security
- Electric independent System Operator
(ISO)에서 사용 -Smart Grid 포함-
Eg MISO (Midwest-미국 중서부-
Independent System Operator)
3MMS
(IEC 61850-8-1)
- Manufacturing Messaging
Specification
- TCP102
- 변전소 사용 프로토콜
- 관리장비(HMI FEP) - 현장장비
(RTU PLC IED) 간 통신 용도
TBD TBD
참고 Energy Sector Specific Protocol
- DNP3 DLMSCOSEM(TCP4059
UDP4059) ICCP IEC 104(TCP102)
IEEE C37118 (TCP4712 UDP4713)
MMS
4 Modbus
- Serial TCP 용 Proto 존재
- Master-Slave
- port 502
TBD - No Security- low level data protocol 특성
clear text no authentication
5 Modbus TCP
- Modicon사에서 개발(1979년)한
requestreponse 체계의 간단한
Open 프로토콜
- 관리장비(HMI FEP) - 현장장비
(RTU PLC IED) 간 통신 용도
- Wireshark
대부분의 ICS 프로토콜을
지원하므로 공격 분 석
기능 지원
- 보안 미고려 설계 동작 방식
- Master Station이 field device를 폴링
- field device는 통신 초기화 불가능
6DNP3
(IEEE 1915-2012)
- Distributed Network Protocol
- MasterSlave
- Port 19999 with TLS
Port 20000 without TLS
- 관리장비(HMI FEP) - 현장장비
(RTU PLC IED) 간 통신 용도
TBD- 사용자 - 장치간 인증 및
데이터 보호 (TLS)
- 북아메리카 호주 등에서 주로 변전소
(electrical substation) 통신에 사용
- 경우에 따라 TCP20000 UDP20000
7 IEC 60870-5-104
- 관리장비(HMI FEP) - 현장장비
(RTU PLC IED) 간 통신 용도
- send request accept request
confirmation timeouts error
recovery 등이 function에 포함
TBD TBD- DNP 30과 유사하며 유럽 등에서는
DNP 30보다 사용률이 높음
8 HART TBD TBD TBD -
9 BACnet2- MasterSlave
- BACnetIP UDP47808TBD TBD - BMS(빌딩관리시스템) 프로토콜
10LonWorks
LonTalk3
- Peer-to-Peer
- LonTalk UDP1628 UDP1629
- LonTalk3 Port 1679
TBD TBD
- BMS(빌딩관리시스템) 프로토콜
종류 BACnetIP LonTalk Fox
Fox 프로토콜 (TridiumNiagara)
TCP1911
11 EthernetIP
- Ethernet 인프라에 적용하여 장치
(Host PLC Actuator CNC 기기
등) 간의 통신 용도
- 인터넷 통지 지원 (Web AP 지원)
- 산업용 AP를 위해 Ethernet 기술
표준 허용
TBD TBD
- 참고
OPC와 같은 데이터 접근교환을
위해 HTTPFTPSNMPDHCP 등
인터넷 프로토콜 표준 및 산업
프로토콜 표준과 호환성 보증
12 PROFIBUS
- SIEMENS 사에서 개발
- Fieldbus Network(EIA-485) 사용
- 버전 PROFIBUS DP(FA) FMS
(Multiple Master Peer-to-Peer)
PA(Process Automation)
- ProcessField 버스 사용상 이점
No TCPIP Overhead
Low latency
Non-routable
TBD TBD
- 통신 프로토콜의 변화
시리얼 --gt 네트워크 프로토콜
여러 통신층에서 정보 교환 가능
(eg Ethernet TCPIP)
- Ethernet 기반 ICS 통신 프로토콜
일부 ICS 시리얼 프로토콜은 Ethernet
인프라를 사용해서 변환 통신 수행
Goose Messaging (IEC 61850-9-1)
SAV or Sampled Values (61850-9-2)
Process Automation Specific Protocol
- EtherCAT(UDP34980) EthernetIP
(TCP44818 UDP2222 44818)
FL-net (UDP55000~55003) Fieldbus
HSE (TCP1089~1091UDP1089~1091)
HART-IP(TCP5094 UDP5094)
PROFINET (TCP34962~34964 UDP
34962~34964)
[상위 레벨 데이터]
통신 프로토콜
[하위 레벨 데이터]
통신 프로토콜
구분
공격형태 취약성 정보 보호대책
[하위 레벨 데이터] 통신
프로토콜
The Trust Beyond the Security 6 ICS 취약점분석 기준 ndash 관리물리기술영역
19
관리물리 취약점 진단 항목Framework 기술영역 취약점 진단 항목Framework
A731 퇴직 및 직무변경 책임 임직원 혹은 계약자에 대한 퇴직 혹은 업무 변경 후에
유효한 정보보호책임과 의무를 정의하고 강제해야 하
며 의사소통을 해야 한다
퇴직 및 직무 변경에 관한 책임이 명시적으로 정의되고 지정되어야
함
a) 퇴직 시 정보보호 서약서 징구 등을 통한 비밀유지 서약을 실시
함
b) 퇴직 후 정해진 기간 동안 비밀유지 책임을 명시함
c) 새로운 업무와 책임에 대한 책임은 통제 되어야 하며 직무 변경
및 고용 종료 후에도 책임에 대해 관리되어야 함
A811 자산 목록 정보 및 정보처리 설비와 관련된 자산은 식별하고 자
산목록을 작성하고 유지해야 한다
모든 자산은 명확하게 인식되고 모든 중요 자산의 목록은 관리되어
야 함
a) 모든 자산과 그 자산에 대해 중요도를 문서화함
b) 정보의 라이프사이클은 정보의 생성 처리 저장 전송 등을 포함
함
c) 문서화된 자산 목록은 기존 재고 목록과 적절하게 사용되어야
한다
d) 자산관리자 지정 및 정보 등급화가 되어 있고 이에 대한 문서화
가 되어 있음
e) 자산 목록은 효과적인 자산 보호를 보장해야 하며 자산의 안전
및 금융(자산 관리)에 사용할 수 있다
확장 711 자산의 목록 [에너지 유틸리티 관련 구현 지침]
조직의 중요한 자산의 재고를 유지하고 관리하는 경우 별개의 책임
을 명확하게 규정하고 문서화해야 한다
자산의 재고는 관련된 프로세스 제어 시스템 자산과 응용프로그램
의 정보를 모두 포함한다
[에너지 유틸리티에 대한 추가 정보]
상기 분류에 대해 보충으로 에너지 공급 영역의 다른 넓은 범위의
섹터별 특정 자산 카테고리 또한 포함한다
a) 정보 그리드 및 네트워크 계획 스케줄링과 우선순위 정보 지리
와 지리참조 정보 위기와 비상계획 그리드 재해 복구 계획 스위칭
동작 정보 측정된 값 및 측정 데이터 계량 및 계량된 데이터 운영
기록 모수화 데이터 측정 및 메시지 아카이브
b) 소프트웨어 프로세스 제어 소프트웨어 시각화 시스템 에너지
관리 및 최적화 소프트웨어 시뮬레이션 소프트웨어 모수화 소프트
웨어 관리 및 모니터링 시스템 운영 자원 관리(ERP) 시스템 프로그
래밍 환경 펌웨어 아카이빙 소프트웨어 기타 등
c) 물리적 자산 제어 및 자동화 구성요소 원격 측정 및 원격 제어
구성요소 원격 단말 장치 데이터 전송 시스템 구성요소 디지털 보
호 및 안전 요소 디지털 계량 및 측정 장치 스마트 미터 디지털 센
서 및 작동 요소 모수화 및 프로그래밍 장치 시각화 및 운영요소
디지털 모니터링 및 기록 시스템 기타 등
d) 서비스 통신 서비스 비상 통신 서비스 정보 서비스 기상 서비
스 기타 등
A812 자산의 소유권 소유된 자산은 목록으로 유지되어야 한다 정보처리시설과 관련된 모든 정보 및 자산은 조직 내에서 명시적으
로 자산의 관리자를 지정 하여 관리하여야 함
a) 자산을 확실하게 파악 조사해야 함
b) 자산의 적절한 등급 분류와 보호 보장
c) 접근통제 정책에 대한 정의 및 주기적인 검토
d) 자산의 파기 혹은 삭제 할 때의 적절한 처리
확장 721 자산의 소유권 [에너지 유틸리티에 대한 추가 정보]
프로세스 제어 시스템을 사용하는 조직의 잠재적으로 복잡한 구조는
상업 및 운영 소유권의 종료와 관련하여 매우 다양한 책임을 의미한
다 결과적으로 자산 소유권 및 관련 책임 정보보안의 관점에서 자
산 소유자와 자산 운영자의 역할은 정확하게 정의되고 문서화되어야
한다
세부통제항목 내용
ISO270012013 ISO270022013 200192013 반영
270192013 반영 270022013 반영 27001 인증 규격
[ ICS 전용 정보보호 관리체계 진단 기준 ] 21개 항목 29개 세부기준
[ 27001 인증 심사 시 27019 Energy Utility 분야 보안 모범사례 반영 ]
A712 고용 약정 및 조건
직원 및 계약직 인원의 계약합의서에서는 조직과 그들의 정보보안책
임을 명시해야 한다
813 고용 조건
[에너지 유틸리티 관련 구현 지침]
파업권 또는 비상 상황에서 최대 근로 시간을 초과할 권한으로 직원
의 권리에 대한 제한은 중요 인프라 및 민감함 시스템의 동작을 위한
허용 가능한 법적 요구사항으로 주요한 개인의 책임을 고려해야 한
다 고용 계약을 체결하는 경우 모니터와 같은 스위칭 동작 등 특정
작업 기록에 관한 협정도 고려해야 한다
X805 기술 영역 차용 - 계정관리 - 권한관리 - 접근통제 - 가용성 - 무결성 - 암호화 - 부인방지
참고 진단 기준 - 기반시설 진단 기준 - SK인포섹 점검기준
- ITU-T X805 기반 진단 기준을 수립 중이며 해당 기준은 자경단 Deloitte 진단 Framework(56개 점검항목 2015년 작성) 및 주요정보통신기반시설 진단 기준을 100 포함하고 있음
- PLCRTU 등의 Firmware
Embeded OS RTOS 에 적용 가
능한 최상의 보안 수준을 적용하
는가
- 인가된 자만 시스템에 접속 가능 여부 확인
비밀번호 컴플라이언스 충족 여부 확인 등
- replay attack 등의 방지를 위한 인가 IP 접속 기
능 적용 확인 (보안장비 대체 적용 여부 확인)
- 장비간 주요 정보 통신 시 암호화 적용 미흡할
경우 이를 보완하는 보안장비 적용 여부 확인
- 54개 항목
114개 항목 38개 항목
SK인포섹 13486 경기도 성남시 분당구 판교로255번길 46 4층 E-mail skinfosecmktskcom TEL 02)6361-9114 FAX 02) 6361-9998
201604
The Trust Beyond the Security 4 IT와 OT (ICS) 주요 차이점
9
구분 IT 시스템 ICS 시스템 (SCADA 중심)
성능요구 비 실시간 실시간
가용성 재구동 허용 재 구동 불허 계획된 정지 고가용성
보호대상 정보 필드 장치 프로세스
시스템 운영 개방형 운영체제 전용 운영체제
생명주기 3 ~ 5년 15 ~ 20년
통신 표준 프로토콜 전용 프로토콜
SW 변경관리 보안정책에 따라 자동적용 사전 시험 후 점진적 적용 계획된 정지시기에 적용
접근 용이성 지역에 국한 접근 용이 넓은 영역에 퍼짐
물리적 접근 노력 필요
The Trust Beyond the Security 1 ICS가 원인이 된 사고사례
11
일시 분야 대상 내용
2007 교통 미국 LA 교통시스템 내부자에 의한 시스템 침해
2009 4 전력 미국 전력망 Conficker worm 제어시스템 감염 1천 2백만 컴퓨터 감염
2009 8 수자원 러시아 Sayano-shushenskaya 댐 제어시스템 문제로 발전기 터빈 폭발
2010 11 원자력 이란 우라늄 원심분리기 Stuxnet 감염으로 원심분리기 1000개 감염
2011 상수도 미국 상수도 시설 원격접속을 통한 해킹으로 제어 펌프 장악
2012 사우디 아람코 악성코드 감염 네트워크 마비
2012 가스 카타르 LNG 생산시설 악성코드 감염 네트워크 마비
2012 상수도 미국 휴스턴 상수도 제어시스템에 미공개 악성코드 감염
2013 교통 이스라엘 터널 개폐장치 악성코드 감염으로 교통혼잡 발생
2014 원자력 일본 원자력 발전소 악성코드 감염 직원 정보 유출
2014 발전 한국수력원자력 e-mail 통한 악성코드 감염 도면 유출
2015 전력 우크라이나 전력 악성코드로 인한 정전사태 (Black Energy KillDisk)
The Trust Beyond the Security 2 ICS 사이버 보안의 중요성
12
IT 기술 시스템의 접목으로
현재의 SCADA Automation Protection Control system 은
- 상용 IT 제품활용 증가
- IP 기반 통신 프로토콜 사용 등 전용장비규격에서 표준장비규격 활용이 증가
- 물리적으로 분산되어 있으나 네트워크로 연결
- 모바일 기기와 스토리지 활용
제어시스템에 IT 기술의 비중이 증가할수록
Hacking Employee Mistake
Malicious software installed via USB port
The Trust Beyond the Security 1 어떻게 접근할 것인가
14
질문 1 우리는
- IT 인력 + IT 보안 인력
질문 2 IT 보안 점검 기준은
- K-ISMS
- ISO2700127019
- 기반시설취약점분석평가
- NIST Cyber Security Framework
질문 3 방향성은
- ICS 보안프레임워크에 기반한 점검
ICS 보안프레임워크 수립
ICS 보안분석서 기반의 점검
bull IT인력의 OT 접근
용이성 제공
bull 기준문서를 통한
점검 품질 평준화
bull IT 항목 기준으로
세부점검 방식
bull 각 항목별 기초적
대응방안 기술
The Trust Beyond the Security
ISA95 Standard Industry Architecture
[ Products ] [ Description of Level ]
Source ISA( International Society of Automation) ISA95 Enterprise-Control Integration Standard)
Business Logistics Plant Production Scheduling Shipping
Receiving Inventory etc
Manufacturing Operation Management
Dispatching Detailed Production Scheduling Production Tracking
Continuous Production
Control
Discrete Production
Control
Batch Production
Control
L4
L3
L2
L1
L0 Field DeviceInstrumentation
Equipment
Production Data Acquisition
Monitoring amp Automation Control
ERP for Manufacturing
SCM WMS
MES PLM
DCS SCADA Unit Level Control
Process Safety System
PLC HMI Machine Control
Discrete Safety System
Motors Drive Pumps Valves Compressors Actuators Robotics
②
①
[ 관리 ]
경영
생산
IT
OA
Biz
ICS
Purdue Reference Model
2 ICS 구성에 대한 이해 ndash 표준 Architecture
15
OT
FA
Critical Infra
Level 5 Enterprise (DMZ) Level 5 Enterprise
Level 3 Site Manufacturing Operation and Control
Level2 Area Supervisory Control
Level1 Basic Control
Level 0 Process
Level 4 Site Business Planning and Logistics
The Trust Beyond the Security 3 IT 보안컨설팅방법론 차용
16
빈도lsquo상rsquo 수행 모듈
빈도lsquo중rsquo 수행 모듈
빈도lsquo하rsquo 수행 모듈
범례
분석 [P1] 평가 [P2] 설계 [P3] 구현 [P4] 이행 [P5]
bull 국내 법규 bull 국내외 컴플라이언스
bull 정보보호 인증 규격
참조기준
bull Gap 분석 bull 인터뷰 bull 문서검토 bull 실사
수행기법
bull 진단 항목 bull (정품)진단도구 자체 개발 도구 bull FIRST 및 CVE DB 등
Tool
Consulting Process
요구사항 분석
조직업무 IT환경 분석
기술(요소)분석
자산분석∙평가
위협분석∙평가
취약점분석∙평가 (관리물리IT시스템)
취약점분석∙평가 (모의해킹진단)
위험분석∙평가
정보보호 Framework 설계
체계설계 (관리기술 Arch)
정보보호 솔루션 선정
마스터플랜 수립
조직체계 구현
이행점검 (모의감사)
이행지원
정책지침 재개정
T1
T2
T3
T1
T3
T6
T1
T2
T3
T1
T2
T3
T1
T2
T2
T5
T4
1
2
기술(요소)분석 ICS 분석 Framework (ICS Layering 및 ITU-T X805 보안기술영역 차용 [ISCM-ICS-P1-T3] SCADA용 Continuous Process용 Discrete Process용 구현) ICS보안정보분석서 (SCADA용 Purdue 모델 Protocol 기반 보안정보분석서 구현)
취약점 분석ㆍ평가 관리물리 기술영역 모의해킹 진단 항목 (모의해킹은 진단 시나리오 포함) [ISCM-ICS-P2-T3] [ISCM-ICS-P2-T4] [ISCM-ICS-P2-T5]
1
2
2
The Trust Beyond the Security 4 ICS 보안분석프레임워크
17
분석 Framework
[ Products ] [ 구분 ]
[Control Center] HMI--MTU--FEP[|OPC] Historian
(HMI Viewer)--HMI(OPC Historian)--PLCs--장치
Actuators (Drive Valves Compressors
Robotics hellip)
ERP SCM WMS IT Infra System 점검 영역 갈음
예외) 점검 대상 SAP ERP MII ndash PCo
MES PLM ( ProcessㆍManufacturing Operation Management )
Field Device Instrumentation Equipment
High Lv Protocol OPC ICCP MMS hellip Low Lv Prptocol Modbus DNP3 PROFIBUS WLAN PAN Mobile 유선
[ System Layering ]
경영
생산
IT
OA
Biz
ICS
분석 Framework를 통한 ICS보안정보분석
OT
FA
Critical Infra
산업정보관리
산업공정운영
산업제어시스템
Sensor Motor Pump
hellip IED n IED 1 IED 2 IED 3
Data Comm
ICS(SCADADCS) 보안정보 분석 Framework
권한관리 정보(Data) 보안 통신보안 무결성 보안 가용성 보안 비고
Lv1 Lv2 Lv3 관리 물리 PT 기술 계정관리 인증관리 비밀번호 기타 (보안 솔루션 등)
1Management Information
System 경영정보시스템
2Enterprise Resource
planning 전사 자원 관리
3Supply Chain Management
공급망 관리 시스템
4Warehouse Management
System 창고관리시스템
5
Manufacturing
Operation
Management
PLM
Product Lifecycle
Management 제품 수명주기
관리
6 APC
Advanced Process Control
고급공정제어기술로서 DCS
포함 기술임
7 MES
Manufacturing Execution
System 생산관리시스템
산업군에 따라 Lv2 영역 중첩
8[ Control
Center ][Center] HMI
Human-Machine Interface
센터 측면 통합 관제시스템
Field level HMI 고려 대상
(아주 간단한 제어기능 포함)
9 MTUMain Terminal Unit
SCADA 경우 Server를 의미
10 [ FEP ]
Front-End Processor
Gateway 역할 수행 (옵션)
PLC의 프로토콜 적용 수준을
확장해 주는 역할 수행
통신 관리자 감독 중앙시스
템에 보고 분리된 AP 기능
통합 등을 수행
11 Misc
Runtile Library(다른 컨트롤
시스템 업무시스템 통합
Alarms Contigency
Analysis Project Files
12 Data Comm[상위레벨 데이터]
통신 프로토콜
OPC
ICCP
hellip
13[하위레벨 데이터]
통신 프로토콜
Modbus
DNP3
14Vendor Dependent
Protocol
사이트에는 일반적으로 벤더
에서 개발된 독자적 프로토콜
이 사용됨 (150여개 혼용)
15 WLAN PAN
IEEE80211abgnac(Wi-Fi)
ZigBee(Peer-to-Peer)
Bluetooth(Master-Slave)
16 원거리 통신
- Cable Comm PSTN
(MODEM) 전용선 전력선
광케이블
- Mesh RF WirelessHART
ZigBee Wi-Fi mesh
ISA10011
- Licensed Radio
Microwave
- Cellular Backhaul CDMA
GSM LTE
- Satellite Uplink VSAT
BGAN
17 Control [Field] HMI
Human-Machine Interface
다수 PLC 등과 직접 연결되
어 제어 수행
18 RTU
Remote Terminal Unit
Firmware [gt Embeded OS gt
RTOS] 탑재 장치 일반적으로
SCADA 내에서 센서 데이터
를 디지털로 변환시켜 관리
시스템에 전송하는 통신 장치
역할 수행
19 PLC
Programmable Logic
Controller RTOS 탑재 장치
DCS의 경우 RTU 역할 포함
(자체 GUI HMI 제공 uarr)
20 [Plant] Historian
별도의 DB를 갖는 operation
HIStorian Server를 의미
DMZ의 Shared HIStorian의
경우 업무망에서 PLC 직접
접근방지 Historian를 통하여
데이터 접근 허용함
21 [ PAC ][programerable |] Process
Automation Controller
22 [ PMU ]
Phaser Measurement Unit
전력 시장 실시간 AC 파형을
수학적으로 표현(분석용도)
IEEE C37 118 사용 GPS 시
각 동기화(Synchro-phasers)
23 IED
Intelligent Electronic Device
Actuator 등에 붙어 MTU 명
령없이 자체처리 수준을 정의
하여 수행 (필요시 RTU와 통
신)
24 ActuatorSensor Motor Valve 등을
통칭하는 일반 용어
25 Sensor -
26 (Level 0) Mortor -
27 Misc
Drive Pumps Valves
Compressors(압축기) 버너
Robotics 솔레노이드
WMS
산
업
공
정
관
리
산
업
제
어
시
스
템
(
I
C
S
I
n
d
u
s
t
r
i
a
l
C
o
n
t
r
o
l
S
y
s
t
e
m
)
NO구분
설명취약점 분석 접근제어
산
업
정
보
관
리
MIS
ERP
SCM
Field Device
Instrumentation
Equipment
ITU-T X805 차용
- 접근제어 - 권한관리 - 정보보안 - 통신보안 - 무결성보안 - 가용성보안
Digital Analog Digital + Analog
참조 ISA95 amp Purdue Model
The Trust Beyond the Security 5 ICS 보안정보분석서
18
ICS Purdue Model 기반의 보안정보분석서
대구분 설명 공격 형태 취약성 정보 보호대책
Lv5 Enterprise Business Network
Lv4
Site Business Planning and
Logitics
Business Unit or Plant Network
-
Air-gap 구성안 (Waterfall 솔루션)
- 상위 망 - Airgap - 하위 망
Airgap Phygical or Unidirectional Airgap using a
Data Diode (단방향 통신 게이트웨이)
Data Diode in bypass mode(단방향 두개 설치)
Logical Airgap FW 이용
Data Guard
- 패킷의 모든 데이터(메시지 파일 유형 등) 검사
--gt network packet whitelist 솔루션
DMZDMZ
- 개발시스템 앱 서버 등TBD
- Shared HIStorian을 통한 Field Devices 직접 통제를
제한함으로써 침해 위협 조치
- Data Classification (데이터 위치 이동방향에 따른 레벨)
- DNS Sec 등 IT System 보안
-
- Honeypot Tech [low | high] Interaction Honeypots
결과분석에 필요한 리소스 보유 필요
사용 시 위험요소가 존재하는 지 확인 필요
허니팟을 통해 어떤 정보를 얻을 수 있는지 확인 필요
주gt 비용 인원 기술 한계점 파악 등 선결 내용
Manufacturing
Zone
(Operation Zone
Lv3210 포함)
Lv3
Production amp Scheduling System
Plant HIStorian
HMI DBMS
Console Workstation
Operation Support (Simulation amp
Modeling System Operation
Analysis System Test System
Engineering Workstation Misc)
Site Manufacturing
Operation amp Control
운영 지원
- ICS 테스트 amp 개발
- 데이터 분석
- 엔지니어링 설계 및 구성
- DHCP LDAP DNS File
Server 등의 IT시스템
공격자의 주 타겟 중 하나 HMIs
- Default or Weak Passwords
Brute force or dictionary attack 등으로 크랙 가능
- Web-based Attack
인증우회취약한세션관리LFIRFIXSSCSRFSQLinjection
- Malware on USB Device (Lv32)
Stuxnet OO Duqu(2011) Flame(2012) Shamoon(2012)
HavexDargonfly(2014) Black Energy BE2 (2014)
- Compromised IT System (ServerPC)
- DNS Spoofing(Cash Poisoning)
ICS Hardening
- AP whitelisting AP Sandboxing
--gt Windows(AppLocker) 및 third-party 솔루션
- Tripwire iptables chroot() chkrootkit
- Historian DBMS 보안 적용
- DNS Spoofing 방어 DNS 서버 설정 강화
DNS 서버를 다른 시큐리티 존에 위치시킴
-
- TOPINO CMP(콘솔) Xenon SA(Security Appliance)
가용성 산업용 HW Spec 제품 설치구성테스트
firmware update 시 무중단 가용성 지원
단방향양방향 통신 모드 모두 지원
주로 Modbus 같은 산업용 네트워크 프로토콜 제어
장비 프로파일 기반의 방화벽 룰 적용
LSM(Loadable Security Module) being installed Appliance
Lv2
Supervisory Control Network
(-Plant- Data Historian
Engineering Workstation
Comm Front-ends)
Area Supervisory Control
Control Server Compromise
- [Malicious Insider gt] Authentication bypass in HMI
- Malicious USB Key | client-side attack
gt Compromised Engineer Credentials
- Remote Station Physical Compromise
gt Compromised Field Device or Network
- Port Scanning Googling SHODAN 검색
- Default admin username amp password Deffault
running services Default security settings
- Poor AuthenticationAuthorization
SCADA Pass 모니터 부착 PW 메모지 등
- Buffer Overflows and Remote Code Execution
- Attacking Historian and DB
Attacks on Network Comm
- Traffic Capture injection relay Data Extraction DoS
Spoofing Control Signals Wireless Attacks MITM
Fuzzing(데이터 입력 테스트 기법) Network Protocol
DoS Attack Jamming RF EMT(Electro Magnetic
Transmission
MITM 기반 기술 ARP Spoofing (주로 HMI - PLC 간)
취약한 무결성 체크 및 인증 시스템
- Eavesdropping WiFi Bluetooth ZeeBee GSM
- Masquerading Evil Twin 공격 GSM 공격
FEP 등 원격지 공격 코드 실행
upstream (시리얼 프로토콜) 공격
Hardening ICS Control Software
- SW Vendor로부터의 보안 방안 적용
- 유선 보안솔루션의 VPN proxy 인터페이스 사용
AP Whitelisting Sandboxing
- 기본 구성 취약점 보호대책
암호키 만료갱신 암호강화 관리자 역할 강화 장치인증
- Missing Security Patches
ICS는 시스템 특성상 보안설정 적용이 어려운 경우 존재
Security on Network Comm
- 취약한 인증 기능을 가진 프로토콜은 사용 지양
- 데이터 다이오드 등으로 관리 제어 영역 구분(대역 분리)
- VPN으로 네트워크 트래픽 암호화
- 프로토콜 고유의 시그니처를 이용한 패킷 모니터링
- ICS 제조사(eg Honeywell 등)가 기본 방화벽 설정 지원
Whitelist 방식의 차단 솔루션
허용되는 작동 외의 모든 작동을 차단하는 방식
Testbed 담당자는 하기 사유로 부정적 의견 제시
whitelist 방식으로 관리 시 다수의 예외 처리 필요
솔루션 예시 Ahnlab 솔루션 (하이닉스에서 사용중
방식 불명) Symantec 솔루션 (에이전트 방식 패킷 분석)
Lv1
Control Devices (RTU PLC
Control Processor Progammable
Relay Dedicated Control
Operator Workstation)
Basic Control
컨트롤 장치 Field
Components 영역
- SIS amp Protection System
과의 통합
- unauthentication on Wireless Access
- RTUPLC의 마스터 서버로의 데이터 전송을 악용한
원격 익스플로잇 등 공격 시도 가능
TBD
Lv0
Process Control Instrumentation
Bus Network (IED Actuator
Misc)
Process
(End-Point) Field Devices
Physical or Remote Devices Attacks
- 인증 과정 우회 공격 물리적 접근 HW 공격 인증 우회
Embedded Electronic Attacks
Dumping Data at Rest from EEPROMs
Bus Snooping Data in Motion
Using Entropy to Find Key
--gt 공격자는 저장장치 또는 버스에서 데이터 획득
--gt 비대칭키는 엔트로피 높음 그래프에서 변화폭 큼
Firmware Attacks
--gt 암호 키알고리즘 주파수 도약(hopping) 분석 가능
--gt 역공학 원격 익스플로잇 가능 취약점 탐색
펌웨어 수정 공격툴 업로드 목적
Controller amp Field Device Security
- 산업 네트워크 upstream amp downstream Field Bus
네트워크 장비 amp 통신 브릿지 산업용프로토콜
관리프로토콜 시간동기화 FW RTOS EmBededOS
NIC WS 프로그램 파일 진단계기 장비 원격접속
장비 안전보안 장비 보호 필요
- 물리보안 hellip 사용 가능 포트ㆍ진단 포트ㆍ무선 Inf
외관 검사ㆍanti-tamper 제어실 접근 알림 포함 필요
소구분
업무망
- 기업 현장 공장 시설
네트워크 포함
- ICS 데이터 획득 가능
- ICS 원격접속 주관
- NERC(the North-american Electric Reliability Corporation)
보안 정책 참고(기반시설 사이버보안을 위한 표준 프레임
워크 개발)
- IAEA(Internal Atomic Energy Agency)
- Log Management remote log server gt ICS Central log
server(Comm F-E 등) gt Primary Analysis log server
- Auditing Forensics(침해흔적 조사 포함)
- ICS BackupRestore BCP amp DRP Incident handling
- Compromised Remote Access
- Malicious Insider
- 공격 시나리오 원격지 gt 서버워크스테이션(HMI) SW 공격
(주로 OS는 UnixLinuxWin TCPIP) gt ICS DB를 타겟팅
Business Zone
Enforcement Zone
(각 Level은 Enforcement Zone에 의해 분리됨
-Firewall ACL IDS 데이터 다이오드 등-)
Business Zone과 OperationControl
Zone 사이에서 데이터를 공유하는 영역
(via Shared HIStorian) IT시스템
Safety Zone
Enforcement Zone
CellArea Zone
Enforcement Zone
ICS Data Comm 레벨 보안정보분석서
NO 설명 공격 형태 취약성 정보 보호대책 비고
1 OPC
- OLE for Process Control
- 서로 다른 종류의 PLC 제품들을
하나의 제어시스템으로 통합 운영
하기 위한 중간 역할
- 구성 OPC Client - OPC Server
- PLCs - devices
상위 레벨 프로토콜이므로 전용
서버 또는 HMI 등과 같이 운용
가능 (Windows OS 탑재 상위
프로토콜)
- OPC UA TCP502
OPC UA XML TCP80 TCP443
TBD TBD
- OLE Object Linking and Embedding
(선행조건 Windows OS 기반 ICS)
- High Level Data Protocol 특성
Human Readable Info
기업-Control Network간 동작
DB - AP 간 데이터 명령어 전송
제품 Kepware Technologies Co Ltd
KEPServerEX MatrikonOPC
Universal ICS Protocol
- OPC Modbus
2
ICCP
(IEC 60870-6
TASE2)
- Inter-control Center Comm
Protocol
- TCP102
- read only (TBD )
- 인증 암호화 기능 미보유
- 데이터 통신 시 ARP 사용
으로 인한 취약점 존재
- No Security
- Electric independent System Operator
(ISO)에서 사용 -Smart Grid 포함-
Eg MISO (Midwest-미국 중서부-
Independent System Operator)
3MMS
(IEC 61850-8-1)
- Manufacturing Messaging
Specification
- TCP102
- 변전소 사용 프로토콜
- 관리장비(HMI FEP) - 현장장비
(RTU PLC IED) 간 통신 용도
TBD TBD
참고 Energy Sector Specific Protocol
- DNP3 DLMSCOSEM(TCP4059
UDP4059) ICCP IEC 104(TCP102)
IEEE C37118 (TCP4712 UDP4713)
MMS
4 Modbus
- Serial TCP 용 Proto 존재
- Master-Slave
- port 502
TBD - No Security- low level data protocol 특성
clear text no authentication
5 Modbus TCP
- Modicon사에서 개발(1979년)한
requestreponse 체계의 간단한
Open 프로토콜
- 관리장비(HMI FEP) - 현장장비
(RTU PLC IED) 간 통신 용도
- Wireshark
대부분의 ICS 프로토콜을
지원하므로 공격 분 석
기능 지원
- 보안 미고려 설계 동작 방식
- Master Station이 field device를 폴링
- field device는 통신 초기화 불가능
6DNP3
(IEEE 1915-2012)
- Distributed Network Protocol
- MasterSlave
- Port 19999 with TLS
Port 20000 without TLS
- 관리장비(HMI FEP) - 현장장비
(RTU PLC IED) 간 통신 용도
TBD- 사용자 - 장치간 인증 및
데이터 보호 (TLS)
- 북아메리카 호주 등에서 주로 변전소
(electrical substation) 통신에 사용
- 경우에 따라 TCP20000 UDP20000
7 IEC 60870-5-104
- 관리장비(HMI FEP) - 현장장비
(RTU PLC IED) 간 통신 용도
- send request accept request
confirmation timeouts error
recovery 등이 function에 포함
TBD TBD- DNP 30과 유사하며 유럽 등에서는
DNP 30보다 사용률이 높음
8 HART TBD TBD TBD -
9 BACnet2- MasterSlave
- BACnetIP UDP47808TBD TBD - BMS(빌딩관리시스템) 프로토콜
10LonWorks
LonTalk3
- Peer-to-Peer
- LonTalk UDP1628 UDP1629
- LonTalk3 Port 1679
TBD TBD
- BMS(빌딩관리시스템) 프로토콜
종류 BACnetIP LonTalk Fox
Fox 프로토콜 (TridiumNiagara)
TCP1911
11 EthernetIP
- Ethernet 인프라에 적용하여 장치
(Host PLC Actuator CNC 기기
등) 간의 통신 용도
- 인터넷 통지 지원 (Web AP 지원)
- 산업용 AP를 위해 Ethernet 기술
표준 허용
TBD TBD
- 참고
OPC와 같은 데이터 접근교환을
위해 HTTPFTPSNMPDHCP 등
인터넷 프로토콜 표준 및 산업
프로토콜 표준과 호환성 보증
12 PROFIBUS
- SIEMENS 사에서 개발
- Fieldbus Network(EIA-485) 사용
- 버전 PROFIBUS DP(FA) FMS
(Multiple Master Peer-to-Peer)
PA(Process Automation)
- ProcessField 버스 사용상 이점
No TCPIP Overhead
Low latency
Non-routable
TBD TBD
- 통신 프로토콜의 변화
시리얼 --gt 네트워크 프로토콜
여러 통신층에서 정보 교환 가능
(eg Ethernet TCPIP)
- Ethernet 기반 ICS 통신 프로토콜
일부 ICS 시리얼 프로토콜은 Ethernet
인프라를 사용해서 변환 통신 수행
Goose Messaging (IEC 61850-9-1)
SAV or Sampled Values (61850-9-2)
Process Automation Specific Protocol
- EtherCAT(UDP34980) EthernetIP
(TCP44818 UDP2222 44818)
FL-net (UDP55000~55003) Fieldbus
HSE (TCP1089~1091UDP1089~1091)
HART-IP(TCP5094 UDP5094)
PROFINET (TCP34962~34964 UDP
34962~34964)
[상위 레벨 데이터]
통신 프로토콜
[하위 레벨 데이터]
통신 프로토콜
구분
공격형태 취약성 정보 보호대책
[하위 레벨 데이터] 통신
프로토콜
The Trust Beyond the Security 6 ICS 취약점분석 기준 ndash 관리물리기술영역
19
관리물리 취약점 진단 항목Framework 기술영역 취약점 진단 항목Framework
A731 퇴직 및 직무변경 책임 임직원 혹은 계약자에 대한 퇴직 혹은 업무 변경 후에
유효한 정보보호책임과 의무를 정의하고 강제해야 하
며 의사소통을 해야 한다
퇴직 및 직무 변경에 관한 책임이 명시적으로 정의되고 지정되어야
함
a) 퇴직 시 정보보호 서약서 징구 등을 통한 비밀유지 서약을 실시
함
b) 퇴직 후 정해진 기간 동안 비밀유지 책임을 명시함
c) 새로운 업무와 책임에 대한 책임은 통제 되어야 하며 직무 변경
및 고용 종료 후에도 책임에 대해 관리되어야 함
A811 자산 목록 정보 및 정보처리 설비와 관련된 자산은 식별하고 자
산목록을 작성하고 유지해야 한다
모든 자산은 명확하게 인식되고 모든 중요 자산의 목록은 관리되어
야 함
a) 모든 자산과 그 자산에 대해 중요도를 문서화함
b) 정보의 라이프사이클은 정보의 생성 처리 저장 전송 등을 포함
함
c) 문서화된 자산 목록은 기존 재고 목록과 적절하게 사용되어야
한다
d) 자산관리자 지정 및 정보 등급화가 되어 있고 이에 대한 문서화
가 되어 있음
e) 자산 목록은 효과적인 자산 보호를 보장해야 하며 자산의 안전
및 금융(자산 관리)에 사용할 수 있다
확장 711 자산의 목록 [에너지 유틸리티 관련 구현 지침]
조직의 중요한 자산의 재고를 유지하고 관리하는 경우 별개의 책임
을 명확하게 규정하고 문서화해야 한다
자산의 재고는 관련된 프로세스 제어 시스템 자산과 응용프로그램
의 정보를 모두 포함한다
[에너지 유틸리티에 대한 추가 정보]
상기 분류에 대해 보충으로 에너지 공급 영역의 다른 넓은 범위의
섹터별 특정 자산 카테고리 또한 포함한다
a) 정보 그리드 및 네트워크 계획 스케줄링과 우선순위 정보 지리
와 지리참조 정보 위기와 비상계획 그리드 재해 복구 계획 스위칭
동작 정보 측정된 값 및 측정 데이터 계량 및 계량된 데이터 운영
기록 모수화 데이터 측정 및 메시지 아카이브
b) 소프트웨어 프로세스 제어 소프트웨어 시각화 시스템 에너지
관리 및 최적화 소프트웨어 시뮬레이션 소프트웨어 모수화 소프트
웨어 관리 및 모니터링 시스템 운영 자원 관리(ERP) 시스템 프로그
래밍 환경 펌웨어 아카이빙 소프트웨어 기타 등
c) 물리적 자산 제어 및 자동화 구성요소 원격 측정 및 원격 제어
구성요소 원격 단말 장치 데이터 전송 시스템 구성요소 디지털 보
호 및 안전 요소 디지털 계량 및 측정 장치 스마트 미터 디지털 센
서 및 작동 요소 모수화 및 프로그래밍 장치 시각화 및 운영요소
디지털 모니터링 및 기록 시스템 기타 등
d) 서비스 통신 서비스 비상 통신 서비스 정보 서비스 기상 서비
스 기타 등
A812 자산의 소유권 소유된 자산은 목록으로 유지되어야 한다 정보처리시설과 관련된 모든 정보 및 자산은 조직 내에서 명시적으
로 자산의 관리자를 지정 하여 관리하여야 함
a) 자산을 확실하게 파악 조사해야 함
b) 자산의 적절한 등급 분류와 보호 보장
c) 접근통제 정책에 대한 정의 및 주기적인 검토
d) 자산의 파기 혹은 삭제 할 때의 적절한 처리
확장 721 자산의 소유권 [에너지 유틸리티에 대한 추가 정보]
프로세스 제어 시스템을 사용하는 조직의 잠재적으로 복잡한 구조는
상업 및 운영 소유권의 종료와 관련하여 매우 다양한 책임을 의미한
다 결과적으로 자산 소유권 및 관련 책임 정보보안의 관점에서 자
산 소유자와 자산 운영자의 역할은 정확하게 정의되고 문서화되어야
한다
세부통제항목 내용
ISO270012013 ISO270022013 200192013 반영
270192013 반영 270022013 반영 27001 인증 규격
[ ICS 전용 정보보호 관리체계 진단 기준 ] 21개 항목 29개 세부기준
[ 27001 인증 심사 시 27019 Energy Utility 분야 보안 모범사례 반영 ]
A712 고용 약정 및 조건
직원 및 계약직 인원의 계약합의서에서는 조직과 그들의 정보보안책
임을 명시해야 한다
813 고용 조건
[에너지 유틸리티 관련 구현 지침]
파업권 또는 비상 상황에서 최대 근로 시간을 초과할 권한으로 직원
의 권리에 대한 제한은 중요 인프라 및 민감함 시스템의 동작을 위한
허용 가능한 법적 요구사항으로 주요한 개인의 책임을 고려해야 한
다 고용 계약을 체결하는 경우 모니터와 같은 스위칭 동작 등 특정
작업 기록에 관한 협정도 고려해야 한다
X805 기술 영역 차용 - 계정관리 - 권한관리 - 접근통제 - 가용성 - 무결성 - 암호화 - 부인방지
참고 진단 기준 - 기반시설 진단 기준 - SK인포섹 점검기준
- ITU-T X805 기반 진단 기준을 수립 중이며 해당 기준은 자경단 Deloitte 진단 Framework(56개 점검항목 2015년 작성) 및 주요정보통신기반시설 진단 기준을 100 포함하고 있음
- PLCRTU 등의 Firmware
Embeded OS RTOS 에 적용 가
능한 최상의 보안 수준을 적용하
는가
- 인가된 자만 시스템에 접속 가능 여부 확인
비밀번호 컴플라이언스 충족 여부 확인 등
- replay attack 등의 방지를 위한 인가 IP 접속 기
능 적용 확인 (보안장비 대체 적용 여부 확인)
- 장비간 주요 정보 통신 시 암호화 적용 미흡할
경우 이를 보완하는 보안장비 적용 여부 확인
- 54개 항목
114개 항목 38개 항목
SK인포섹 13486 경기도 성남시 분당구 판교로255번길 46 4층 E-mail skinfosecmktskcom TEL 02)6361-9114 FAX 02) 6361-9998
201604
The Trust Beyond the Security 1 ICS가 원인이 된 사고사례
11
일시 분야 대상 내용
2007 교통 미국 LA 교통시스템 내부자에 의한 시스템 침해
2009 4 전력 미국 전력망 Conficker worm 제어시스템 감염 1천 2백만 컴퓨터 감염
2009 8 수자원 러시아 Sayano-shushenskaya 댐 제어시스템 문제로 발전기 터빈 폭발
2010 11 원자력 이란 우라늄 원심분리기 Stuxnet 감염으로 원심분리기 1000개 감염
2011 상수도 미국 상수도 시설 원격접속을 통한 해킹으로 제어 펌프 장악
2012 사우디 아람코 악성코드 감염 네트워크 마비
2012 가스 카타르 LNG 생산시설 악성코드 감염 네트워크 마비
2012 상수도 미국 휴스턴 상수도 제어시스템에 미공개 악성코드 감염
2013 교통 이스라엘 터널 개폐장치 악성코드 감염으로 교통혼잡 발생
2014 원자력 일본 원자력 발전소 악성코드 감염 직원 정보 유출
2014 발전 한국수력원자력 e-mail 통한 악성코드 감염 도면 유출
2015 전력 우크라이나 전력 악성코드로 인한 정전사태 (Black Energy KillDisk)
The Trust Beyond the Security 2 ICS 사이버 보안의 중요성
12
IT 기술 시스템의 접목으로
현재의 SCADA Automation Protection Control system 은
- 상용 IT 제품활용 증가
- IP 기반 통신 프로토콜 사용 등 전용장비규격에서 표준장비규격 활용이 증가
- 물리적으로 분산되어 있으나 네트워크로 연결
- 모바일 기기와 스토리지 활용
제어시스템에 IT 기술의 비중이 증가할수록
Hacking Employee Mistake
Malicious software installed via USB port
The Trust Beyond the Security 1 어떻게 접근할 것인가
14
질문 1 우리는
- IT 인력 + IT 보안 인력
질문 2 IT 보안 점검 기준은
- K-ISMS
- ISO2700127019
- 기반시설취약점분석평가
- NIST Cyber Security Framework
질문 3 방향성은
- ICS 보안프레임워크에 기반한 점검
ICS 보안프레임워크 수립
ICS 보안분석서 기반의 점검
bull IT인력의 OT 접근
용이성 제공
bull 기준문서를 통한
점검 품질 평준화
bull IT 항목 기준으로
세부점검 방식
bull 각 항목별 기초적
대응방안 기술
The Trust Beyond the Security
ISA95 Standard Industry Architecture
[ Products ] [ Description of Level ]
Source ISA( International Society of Automation) ISA95 Enterprise-Control Integration Standard)
Business Logistics Plant Production Scheduling Shipping
Receiving Inventory etc
Manufacturing Operation Management
Dispatching Detailed Production Scheduling Production Tracking
Continuous Production
Control
Discrete Production
Control
Batch Production
Control
L4
L3
L2
L1
L0 Field DeviceInstrumentation
Equipment
Production Data Acquisition
Monitoring amp Automation Control
ERP for Manufacturing
SCM WMS
MES PLM
DCS SCADA Unit Level Control
Process Safety System
PLC HMI Machine Control
Discrete Safety System
Motors Drive Pumps Valves Compressors Actuators Robotics
②
①
[ 관리 ]
경영
생산
IT
OA
Biz
ICS
Purdue Reference Model
2 ICS 구성에 대한 이해 ndash 표준 Architecture
15
OT
FA
Critical Infra
Level 5 Enterprise (DMZ) Level 5 Enterprise
Level 3 Site Manufacturing Operation and Control
Level2 Area Supervisory Control
Level1 Basic Control
Level 0 Process
Level 4 Site Business Planning and Logistics
The Trust Beyond the Security 3 IT 보안컨설팅방법론 차용
16
빈도lsquo상rsquo 수행 모듈
빈도lsquo중rsquo 수행 모듈
빈도lsquo하rsquo 수행 모듈
범례
분석 [P1] 평가 [P2] 설계 [P3] 구현 [P4] 이행 [P5]
bull 국내 법규 bull 국내외 컴플라이언스
bull 정보보호 인증 규격
참조기준
bull Gap 분석 bull 인터뷰 bull 문서검토 bull 실사
수행기법
bull 진단 항목 bull (정품)진단도구 자체 개발 도구 bull FIRST 및 CVE DB 등
Tool
Consulting Process
요구사항 분석
조직업무 IT환경 분석
기술(요소)분석
자산분석∙평가
위협분석∙평가
취약점분석∙평가 (관리물리IT시스템)
취약점분석∙평가 (모의해킹진단)
위험분석∙평가
정보보호 Framework 설계
체계설계 (관리기술 Arch)
정보보호 솔루션 선정
마스터플랜 수립
조직체계 구현
이행점검 (모의감사)
이행지원
정책지침 재개정
T1
T2
T3
T1
T3
T6
T1
T2
T3
T1
T2
T3
T1
T2
T2
T5
T4
1
2
기술(요소)분석 ICS 분석 Framework (ICS Layering 및 ITU-T X805 보안기술영역 차용 [ISCM-ICS-P1-T3] SCADA용 Continuous Process용 Discrete Process용 구현) ICS보안정보분석서 (SCADA용 Purdue 모델 Protocol 기반 보안정보분석서 구현)
취약점 분석ㆍ평가 관리물리 기술영역 모의해킹 진단 항목 (모의해킹은 진단 시나리오 포함) [ISCM-ICS-P2-T3] [ISCM-ICS-P2-T4] [ISCM-ICS-P2-T5]
1
2
2
The Trust Beyond the Security 4 ICS 보안분석프레임워크
17
분석 Framework
[ Products ] [ 구분 ]
[Control Center] HMI--MTU--FEP[|OPC] Historian
(HMI Viewer)--HMI(OPC Historian)--PLCs--장치
Actuators (Drive Valves Compressors
Robotics hellip)
ERP SCM WMS IT Infra System 점검 영역 갈음
예외) 점검 대상 SAP ERP MII ndash PCo
MES PLM ( ProcessㆍManufacturing Operation Management )
Field Device Instrumentation Equipment
High Lv Protocol OPC ICCP MMS hellip Low Lv Prptocol Modbus DNP3 PROFIBUS WLAN PAN Mobile 유선
[ System Layering ]
경영
생산
IT
OA
Biz
ICS
분석 Framework를 통한 ICS보안정보분석
OT
FA
Critical Infra
산업정보관리
산업공정운영
산업제어시스템
Sensor Motor Pump
hellip IED n IED 1 IED 2 IED 3
Data Comm
ICS(SCADADCS) 보안정보 분석 Framework
권한관리 정보(Data) 보안 통신보안 무결성 보안 가용성 보안 비고
Lv1 Lv2 Lv3 관리 물리 PT 기술 계정관리 인증관리 비밀번호 기타 (보안 솔루션 등)
1Management Information
System 경영정보시스템
2Enterprise Resource
planning 전사 자원 관리
3Supply Chain Management
공급망 관리 시스템
4Warehouse Management
System 창고관리시스템
5
Manufacturing
Operation
Management
PLM
Product Lifecycle
Management 제품 수명주기
관리
6 APC
Advanced Process Control
고급공정제어기술로서 DCS
포함 기술임
7 MES
Manufacturing Execution
System 생산관리시스템
산업군에 따라 Lv2 영역 중첩
8[ Control
Center ][Center] HMI
Human-Machine Interface
센터 측면 통합 관제시스템
Field level HMI 고려 대상
(아주 간단한 제어기능 포함)
9 MTUMain Terminal Unit
SCADA 경우 Server를 의미
10 [ FEP ]
Front-End Processor
Gateway 역할 수행 (옵션)
PLC의 프로토콜 적용 수준을
확장해 주는 역할 수행
통신 관리자 감독 중앙시스
템에 보고 분리된 AP 기능
통합 등을 수행
11 Misc
Runtile Library(다른 컨트롤
시스템 업무시스템 통합
Alarms Contigency
Analysis Project Files
12 Data Comm[상위레벨 데이터]
통신 프로토콜
OPC
ICCP
hellip
13[하위레벨 데이터]
통신 프로토콜
Modbus
DNP3
14Vendor Dependent
Protocol
사이트에는 일반적으로 벤더
에서 개발된 독자적 프로토콜
이 사용됨 (150여개 혼용)
15 WLAN PAN
IEEE80211abgnac(Wi-Fi)
ZigBee(Peer-to-Peer)
Bluetooth(Master-Slave)
16 원거리 통신
- Cable Comm PSTN
(MODEM) 전용선 전력선
광케이블
- Mesh RF WirelessHART
ZigBee Wi-Fi mesh
ISA10011
- Licensed Radio
Microwave
- Cellular Backhaul CDMA
GSM LTE
- Satellite Uplink VSAT
BGAN
17 Control [Field] HMI
Human-Machine Interface
다수 PLC 등과 직접 연결되
어 제어 수행
18 RTU
Remote Terminal Unit
Firmware [gt Embeded OS gt
RTOS] 탑재 장치 일반적으로
SCADA 내에서 센서 데이터
를 디지털로 변환시켜 관리
시스템에 전송하는 통신 장치
역할 수행
19 PLC
Programmable Logic
Controller RTOS 탑재 장치
DCS의 경우 RTU 역할 포함
(자체 GUI HMI 제공 uarr)
20 [Plant] Historian
별도의 DB를 갖는 operation
HIStorian Server를 의미
DMZ의 Shared HIStorian의
경우 업무망에서 PLC 직접
접근방지 Historian를 통하여
데이터 접근 허용함
21 [ PAC ][programerable |] Process
Automation Controller
22 [ PMU ]
Phaser Measurement Unit
전력 시장 실시간 AC 파형을
수학적으로 표현(분석용도)
IEEE C37 118 사용 GPS 시
각 동기화(Synchro-phasers)
23 IED
Intelligent Electronic Device
Actuator 등에 붙어 MTU 명
령없이 자체처리 수준을 정의
하여 수행 (필요시 RTU와 통
신)
24 ActuatorSensor Motor Valve 등을
통칭하는 일반 용어
25 Sensor -
26 (Level 0) Mortor -
27 Misc
Drive Pumps Valves
Compressors(압축기) 버너
Robotics 솔레노이드
WMS
산
업
공
정
관
리
산
업
제
어
시
스
템
(
I
C
S
I
n
d
u
s
t
r
i
a
l
C
o
n
t
r
o
l
S
y
s
t
e
m
)
NO구분
설명취약점 분석 접근제어
산
업
정
보
관
리
MIS
ERP
SCM
Field Device
Instrumentation
Equipment
ITU-T X805 차용
- 접근제어 - 권한관리 - 정보보안 - 통신보안 - 무결성보안 - 가용성보안
Digital Analog Digital + Analog
참조 ISA95 amp Purdue Model
The Trust Beyond the Security 5 ICS 보안정보분석서
18
ICS Purdue Model 기반의 보안정보분석서
대구분 설명 공격 형태 취약성 정보 보호대책
Lv5 Enterprise Business Network
Lv4
Site Business Planning and
Logitics
Business Unit or Plant Network
-
Air-gap 구성안 (Waterfall 솔루션)
- 상위 망 - Airgap - 하위 망
Airgap Phygical or Unidirectional Airgap using a
Data Diode (단방향 통신 게이트웨이)
Data Diode in bypass mode(단방향 두개 설치)
Logical Airgap FW 이용
Data Guard
- 패킷의 모든 데이터(메시지 파일 유형 등) 검사
--gt network packet whitelist 솔루션
DMZDMZ
- 개발시스템 앱 서버 등TBD
- Shared HIStorian을 통한 Field Devices 직접 통제를
제한함으로써 침해 위협 조치
- Data Classification (데이터 위치 이동방향에 따른 레벨)
- DNS Sec 등 IT System 보안
-
- Honeypot Tech [low | high] Interaction Honeypots
결과분석에 필요한 리소스 보유 필요
사용 시 위험요소가 존재하는 지 확인 필요
허니팟을 통해 어떤 정보를 얻을 수 있는지 확인 필요
주gt 비용 인원 기술 한계점 파악 등 선결 내용
Manufacturing
Zone
(Operation Zone
Lv3210 포함)
Lv3
Production amp Scheduling System
Plant HIStorian
HMI DBMS
Console Workstation
Operation Support (Simulation amp
Modeling System Operation
Analysis System Test System
Engineering Workstation Misc)
Site Manufacturing
Operation amp Control
운영 지원
- ICS 테스트 amp 개발
- 데이터 분석
- 엔지니어링 설계 및 구성
- DHCP LDAP DNS File
Server 등의 IT시스템
공격자의 주 타겟 중 하나 HMIs
- Default or Weak Passwords
Brute force or dictionary attack 등으로 크랙 가능
- Web-based Attack
인증우회취약한세션관리LFIRFIXSSCSRFSQLinjection
- Malware on USB Device (Lv32)
Stuxnet OO Duqu(2011) Flame(2012) Shamoon(2012)
HavexDargonfly(2014) Black Energy BE2 (2014)
- Compromised IT System (ServerPC)
- DNS Spoofing(Cash Poisoning)
ICS Hardening
- AP whitelisting AP Sandboxing
--gt Windows(AppLocker) 및 third-party 솔루션
- Tripwire iptables chroot() chkrootkit
- Historian DBMS 보안 적용
- DNS Spoofing 방어 DNS 서버 설정 강화
DNS 서버를 다른 시큐리티 존에 위치시킴
-
- TOPINO CMP(콘솔) Xenon SA(Security Appliance)
가용성 산업용 HW Spec 제품 설치구성테스트
firmware update 시 무중단 가용성 지원
단방향양방향 통신 모드 모두 지원
주로 Modbus 같은 산업용 네트워크 프로토콜 제어
장비 프로파일 기반의 방화벽 룰 적용
LSM(Loadable Security Module) being installed Appliance
Lv2
Supervisory Control Network
(-Plant- Data Historian
Engineering Workstation
Comm Front-ends)
Area Supervisory Control
Control Server Compromise
- [Malicious Insider gt] Authentication bypass in HMI
- Malicious USB Key | client-side attack
gt Compromised Engineer Credentials
- Remote Station Physical Compromise
gt Compromised Field Device or Network
- Port Scanning Googling SHODAN 검색
- Default admin username amp password Deffault
running services Default security settings
- Poor AuthenticationAuthorization
SCADA Pass 모니터 부착 PW 메모지 등
- Buffer Overflows and Remote Code Execution
- Attacking Historian and DB
Attacks on Network Comm
- Traffic Capture injection relay Data Extraction DoS
Spoofing Control Signals Wireless Attacks MITM
Fuzzing(데이터 입력 테스트 기법) Network Protocol
DoS Attack Jamming RF EMT(Electro Magnetic
Transmission
MITM 기반 기술 ARP Spoofing (주로 HMI - PLC 간)
취약한 무결성 체크 및 인증 시스템
- Eavesdropping WiFi Bluetooth ZeeBee GSM
- Masquerading Evil Twin 공격 GSM 공격
FEP 등 원격지 공격 코드 실행
upstream (시리얼 프로토콜) 공격
Hardening ICS Control Software
- SW Vendor로부터의 보안 방안 적용
- 유선 보안솔루션의 VPN proxy 인터페이스 사용
AP Whitelisting Sandboxing
- 기본 구성 취약점 보호대책
암호키 만료갱신 암호강화 관리자 역할 강화 장치인증
- Missing Security Patches
ICS는 시스템 특성상 보안설정 적용이 어려운 경우 존재
Security on Network Comm
- 취약한 인증 기능을 가진 프로토콜은 사용 지양
- 데이터 다이오드 등으로 관리 제어 영역 구분(대역 분리)
- VPN으로 네트워크 트래픽 암호화
- 프로토콜 고유의 시그니처를 이용한 패킷 모니터링
- ICS 제조사(eg Honeywell 등)가 기본 방화벽 설정 지원
Whitelist 방식의 차단 솔루션
허용되는 작동 외의 모든 작동을 차단하는 방식
Testbed 담당자는 하기 사유로 부정적 의견 제시
whitelist 방식으로 관리 시 다수의 예외 처리 필요
솔루션 예시 Ahnlab 솔루션 (하이닉스에서 사용중
방식 불명) Symantec 솔루션 (에이전트 방식 패킷 분석)
Lv1
Control Devices (RTU PLC
Control Processor Progammable
Relay Dedicated Control
Operator Workstation)
Basic Control
컨트롤 장치 Field
Components 영역
- SIS amp Protection System
과의 통합
- unauthentication on Wireless Access
- RTUPLC의 마스터 서버로의 데이터 전송을 악용한
원격 익스플로잇 등 공격 시도 가능
TBD
Lv0
Process Control Instrumentation
Bus Network (IED Actuator
Misc)
Process
(End-Point) Field Devices
Physical or Remote Devices Attacks
- 인증 과정 우회 공격 물리적 접근 HW 공격 인증 우회
Embedded Electronic Attacks
Dumping Data at Rest from EEPROMs
Bus Snooping Data in Motion
Using Entropy to Find Key
--gt 공격자는 저장장치 또는 버스에서 데이터 획득
--gt 비대칭키는 엔트로피 높음 그래프에서 변화폭 큼
Firmware Attacks
--gt 암호 키알고리즘 주파수 도약(hopping) 분석 가능
--gt 역공학 원격 익스플로잇 가능 취약점 탐색
펌웨어 수정 공격툴 업로드 목적
Controller amp Field Device Security
- 산업 네트워크 upstream amp downstream Field Bus
네트워크 장비 amp 통신 브릿지 산업용프로토콜
관리프로토콜 시간동기화 FW RTOS EmBededOS
NIC WS 프로그램 파일 진단계기 장비 원격접속
장비 안전보안 장비 보호 필요
- 물리보안 hellip 사용 가능 포트ㆍ진단 포트ㆍ무선 Inf
외관 검사ㆍanti-tamper 제어실 접근 알림 포함 필요
소구분
업무망
- 기업 현장 공장 시설
네트워크 포함
- ICS 데이터 획득 가능
- ICS 원격접속 주관
- NERC(the North-american Electric Reliability Corporation)
보안 정책 참고(기반시설 사이버보안을 위한 표준 프레임
워크 개발)
- IAEA(Internal Atomic Energy Agency)
- Log Management remote log server gt ICS Central log
server(Comm F-E 등) gt Primary Analysis log server
- Auditing Forensics(침해흔적 조사 포함)
- ICS BackupRestore BCP amp DRP Incident handling
- Compromised Remote Access
- Malicious Insider
- 공격 시나리오 원격지 gt 서버워크스테이션(HMI) SW 공격
(주로 OS는 UnixLinuxWin TCPIP) gt ICS DB를 타겟팅
Business Zone
Enforcement Zone
(각 Level은 Enforcement Zone에 의해 분리됨
-Firewall ACL IDS 데이터 다이오드 등-)
Business Zone과 OperationControl
Zone 사이에서 데이터를 공유하는 영역
(via Shared HIStorian) IT시스템
Safety Zone
Enforcement Zone
CellArea Zone
Enforcement Zone
ICS Data Comm 레벨 보안정보분석서
NO 설명 공격 형태 취약성 정보 보호대책 비고
1 OPC
- OLE for Process Control
- 서로 다른 종류의 PLC 제품들을
하나의 제어시스템으로 통합 운영
하기 위한 중간 역할
- 구성 OPC Client - OPC Server
- PLCs - devices
상위 레벨 프로토콜이므로 전용
서버 또는 HMI 등과 같이 운용
가능 (Windows OS 탑재 상위
프로토콜)
- OPC UA TCP502
OPC UA XML TCP80 TCP443
TBD TBD
- OLE Object Linking and Embedding
(선행조건 Windows OS 기반 ICS)
- High Level Data Protocol 특성
Human Readable Info
기업-Control Network간 동작
DB - AP 간 데이터 명령어 전송
제품 Kepware Technologies Co Ltd
KEPServerEX MatrikonOPC
Universal ICS Protocol
- OPC Modbus
2
ICCP
(IEC 60870-6
TASE2)
- Inter-control Center Comm
Protocol
- TCP102
- read only (TBD )
- 인증 암호화 기능 미보유
- 데이터 통신 시 ARP 사용
으로 인한 취약점 존재
- No Security
- Electric independent System Operator
(ISO)에서 사용 -Smart Grid 포함-
Eg MISO (Midwest-미국 중서부-
Independent System Operator)
3MMS
(IEC 61850-8-1)
- Manufacturing Messaging
Specification
- TCP102
- 변전소 사용 프로토콜
- 관리장비(HMI FEP) - 현장장비
(RTU PLC IED) 간 통신 용도
TBD TBD
참고 Energy Sector Specific Protocol
- DNP3 DLMSCOSEM(TCP4059
UDP4059) ICCP IEC 104(TCP102)
IEEE C37118 (TCP4712 UDP4713)
MMS
4 Modbus
- Serial TCP 용 Proto 존재
- Master-Slave
- port 502
TBD - No Security- low level data protocol 특성
clear text no authentication
5 Modbus TCP
- Modicon사에서 개발(1979년)한
requestreponse 체계의 간단한
Open 프로토콜
- 관리장비(HMI FEP) - 현장장비
(RTU PLC IED) 간 통신 용도
- Wireshark
대부분의 ICS 프로토콜을
지원하므로 공격 분 석
기능 지원
- 보안 미고려 설계 동작 방식
- Master Station이 field device를 폴링
- field device는 통신 초기화 불가능
6DNP3
(IEEE 1915-2012)
- Distributed Network Protocol
- MasterSlave
- Port 19999 with TLS
Port 20000 without TLS
- 관리장비(HMI FEP) - 현장장비
(RTU PLC IED) 간 통신 용도
TBD- 사용자 - 장치간 인증 및
데이터 보호 (TLS)
- 북아메리카 호주 등에서 주로 변전소
(electrical substation) 통신에 사용
- 경우에 따라 TCP20000 UDP20000
7 IEC 60870-5-104
- 관리장비(HMI FEP) - 현장장비
(RTU PLC IED) 간 통신 용도
- send request accept request
confirmation timeouts error
recovery 등이 function에 포함
TBD TBD- DNP 30과 유사하며 유럽 등에서는
DNP 30보다 사용률이 높음
8 HART TBD TBD TBD -
9 BACnet2- MasterSlave
- BACnetIP UDP47808TBD TBD - BMS(빌딩관리시스템) 프로토콜
10LonWorks
LonTalk3
- Peer-to-Peer
- LonTalk UDP1628 UDP1629
- LonTalk3 Port 1679
TBD TBD
- BMS(빌딩관리시스템) 프로토콜
종류 BACnetIP LonTalk Fox
Fox 프로토콜 (TridiumNiagara)
TCP1911
11 EthernetIP
- Ethernet 인프라에 적용하여 장치
(Host PLC Actuator CNC 기기
등) 간의 통신 용도
- 인터넷 통지 지원 (Web AP 지원)
- 산업용 AP를 위해 Ethernet 기술
표준 허용
TBD TBD
- 참고
OPC와 같은 데이터 접근교환을
위해 HTTPFTPSNMPDHCP 등
인터넷 프로토콜 표준 및 산업
프로토콜 표준과 호환성 보증
12 PROFIBUS
- SIEMENS 사에서 개발
- Fieldbus Network(EIA-485) 사용
- 버전 PROFIBUS DP(FA) FMS
(Multiple Master Peer-to-Peer)
PA(Process Automation)
- ProcessField 버스 사용상 이점
No TCPIP Overhead
Low latency
Non-routable
TBD TBD
- 통신 프로토콜의 변화
시리얼 --gt 네트워크 프로토콜
여러 통신층에서 정보 교환 가능
(eg Ethernet TCPIP)
- Ethernet 기반 ICS 통신 프로토콜
일부 ICS 시리얼 프로토콜은 Ethernet
인프라를 사용해서 변환 통신 수행
Goose Messaging (IEC 61850-9-1)
SAV or Sampled Values (61850-9-2)
Process Automation Specific Protocol
- EtherCAT(UDP34980) EthernetIP
(TCP44818 UDP2222 44818)
FL-net (UDP55000~55003) Fieldbus
HSE (TCP1089~1091UDP1089~1091)
HART-IP(TCP5094 UDP5094)
PROFINET (TCP34962~34964 UDP
34962~34964)
[상위 레벨 데이터]
통신 프로토콜
[하위 레벨 데이터]
통신 프로토콜
구분
공격형태 취약성 정보 보호대책
[하위 레벨 데이터] 통신
프로토콜
The Trust Beyond the Security 6 ICS 취약점분석 기준 ndash 관리물리기술영역
19
관리물리 취약점 진단 항목Framework 기술영역 취약점 진단 항목Framework
A731 퇴직 및 직무변경 책임 임직원 혹은 계약자에 대한 퇴직 혹은 업무 변경 후에
유효한 정보보호책임과 의무를 정의하고 강제해야 하
며 의사소통을 해야 한다
퇴직 및 직무 변경에 관한 책임이 명시적으로 정의되고 지정되어야
함
a) 퇴직 시 정보보호 서약서 징구 등을 통한 비밀유지 서약을 실시
함
b) 퇴직 후 정해진 기간 동안 비밀유지 책임을 명시함
c) 새로운 업무와 책임에 대한 책임은 통제 되어야 하며 직무 변경
및 고용 종료 후에도 책임에 대해 관리되어야 함
A811 자산 목록 정보 및 정보처리 설비와 관련된 자산은 식별하고 자
산목록을 작성하고 유지해야 한다
모든 자산은 명확하게 인식되고 모든 중요 자산의 목록은 관리되어
야 함
a) 모든 자산과 그 자산에 대해 중요도를 문서화함
b) 정보의 라이프사이클은 정보의 생성 처리 저장 전송 등을 포함
함
c) 문서화된 자산 목록은 기존 재고 목록과 적절하게 사용되어야
한다
d) 자산관리자 지정 및 정보 등급화가 되어 있고 이에 대한 문서화
가 되어 있음
e) 자산 목록은 효과적인 자산 보호를 보장해야 하며 자산의 안전
및 금융(자산 관리)에 사용할 수 있다
확장 711 자산의 목록 [에너지 유틸리티 관련 구현 지침]
조직의 중요한 자산의 재고를 유지하고 관리하는 경우 별개의 책임
을 명확하게 규정하고 문서화해야 한다
자산의 재고는 관련된 프로세스 제어 시스템 자산과 응용프로그램
의 정보를 모두 포함한다
[에너지 유틸리티에 대한 추가 정보]
상기 분류에 대해 보충으로 에너지 공급 영역의 다른 넓은 범위의
섹터별 특정 자산 카테고리 또한 포함한다
a) 정보 그리드 및 네트워크 계획 스케줄링과 우선순위 정보 지리
와 지리참조 정보 위기와 비상계획 그리드 재해 복구 계획 스위칭
동작 정보 측정된 값 및 측정 데이터 계량 및 계량된 데이터 운영
기록 모수화 데이터 측정 및 메시지 아카이브
b) 소프트웨어 프로세스 제어 소프트웨어 시각화 시스템 에너지
관리 및 최적화 소프트웨어 시뮬레이션 소프트웨어 모수화 소프트
웨어 관리 및 모니터링 시스템 운영 자원 관리(ERP) 시스템 프로그
래밍 환경 펌웨어 아카이빙 소프트웨어 기타 등
c) 물리적 자산 제어 및 자동화 구성요소 원격 측정 및 원격 제어
구성요소 원격 단말 장치 데이터 전송 시스템 구성요소 디지털 보
호 및 안전 요소 디지털 계량 및 측정 장치 스마트 미터 디지털 센
서 및 작동 요소 모수화 및 프로그래밍 장치 시각화 및 운영요소
디지털 모니터링 및 기록 시스템 기타 등
d) 서비스 통신 서비스 비상 통신 서비스 정보 서비스 기상 서비
스 기타 등
A812 자산의 소유권 소유된 자산은 목록으로 유지되어야 한다 정보처리시설과 관련된 모든 정보 및 자산은 조직 내에서 명시적으
로 자산의 관리자를 지정 하여 관리하여야 함
a) 자산을 확실하게 파악 조사해야 함
b) 자산의 적절한 등급 분류와 보호 보장
c) 접근통제 정책에 대한 정의 및 주기적인 검토
d) 자산의 파기 혹은 삭제 할 때의 적절한 처리
확장 721 자산의 소유권 [에너지 유틸리티에 대한 추가 정보]
프로세스 제어 시스템을 사용하는 조직의 잠재적으로 복잡한 구조는
상업 및 운영 소유권의 종료와 관련하여 매우 다양한 책임을 의미한
다 결과적으로 자산 소유권 및 관련 책임 정보보안의 관점에서 자
산 소유자와 자산 운영자의 역할은 정확하게 정의되고 문서화되어야
한다
세부통제항목 내용
ISO270012013 ISO270022013 200192013 반영
270192013 반영 270022013 반영 27001 인증 규격
[ ICS 전용 정보보호 관리체계 진단 기준 ] 21개 항목 29개 세부기준
[ 27001 인증 심사 시 27019 Energy Utility 분야 보안 모범사례 반영 ]
A712 고용 약정 및 조건
직원 및 계약직 인원의 계약합의서에서는 조직과 그들의 정보보안책
임을 명시해야 한다
813 고용 조건
[에너지 유틸리티 관련 구현 지침]
파업권 또는 비상 상황에서 최대 근로 시간을 초과할 권한으로 직원
의 권리에 대한 제한은 중요 인프라 및 민감함 시스템의 동작을 위한
허용 가능한 법적 요구사항으로 주요한 개인의 책임을 고려해야 한
다 고용 계약을 체결하는 경우 모니터와 같은 스위칭 동작 등 특정
작업 기록에 관한 협정도 고려해야 한다
X805 기술 영역 차용 - 계정관리 - 권한관리 - 접근통제 - 가용성 - 무결성 - 암호화 - 부인방지
참고 진단 기준 - 기반시설 진단 기준 - SK인포섹 점검기준
- ITU-T X805 기반 진단 기준을 수립 중이며 해당 기준은 자경단 Deloitte 진단 Framework(56개 점검항목 2015년 작성) 및 주요정보통신기반시설 진단 기준을 100 포함하고 있음
- PLCRTU 등의 Firmware
Embeded OS RTOS 에 적용 가
능한 최상의 보안 수준을 적용하
는가
- 인가된 자만 시스템에 접속 가능 여부 확인
비밀번호 컴플라이언스 충족 여부 확인 등
- replay attack 등의 방지를 위한 인가 IP 접속 기
능 적용 확인 (보안장비 대체 적용 여부 확인)
- 장비간 주요 정보 통신 시 암호화 적용 미흡할
경우 이를 보완하는 보안장비 적용 여부 확인
- 54개 항목
114개 항목 38개 항목
SK인포섹 13486 경기도 성남시 분당구 판교로255번길 46 4층 E-mail skinfosecmktskcom TEL 02)6361-9114 FAX 02) 6361-9998
201604
The Trust Beyond the Security 2 ICS 사이버 보안의 중요성
12
IT 기술 시스템의 접목으로
현재의 SCADA Automation Protection Control system 은
- 상용 IT 제품활용 증가
- IP 기반 통신 프로토콜 사용 등 전용장비규격에서 표준장비규격 활용이 증가
- 물리적으로 분산되어 있으나 네트워크로 연결
- 모바일 기기와 스토리지 활용
제어시스템에 IT 기술의 비중이 증가할수록
Hacking Employee Mistake
Malicious software installed via USB port
The Trust Beyond the Security 1 어떻게 접근할 것인가
14
질문 1 우리는
- IT 인력 + IT 보안 인력
질문 2 IT 보안 점검 기준은
- K-ISMS
- ISO2700127019
- 기반시설취약점분석평가
- NIST Cyber Security Framework
질문 3 방향성은
- ICS 보안프레임워크에 기반한 점검
ICS 보안프레임워크 수립
ICS 보안분석서 기반의 점검
bull IT인력의 OT 접근
용이성 제공
bull 기준문서를 통한
점검 품질 평준화
bull IT 항목 기준으로
세부점검 방식
bull 각 항목별 기초적
대응방안 기술
The Trust Beyond the Security
ISA95 Standard Industry Architecture
[ Products ] [ Description of Level ]
Source ISA( International Society of Automation) ISA95 Enterprise-Control Integration Standard)
Business Logistics Plant Production Scheduling Shipping
Receiving Inventory etc
Manufacturing Operation Management
Dispatching Detailed Production Scheduling Production Tracking
Continuous Production
Control
Discrete Production
Control
Batch Production
Control
L4
L3
L2
L1
L0 Field DeviceInstrumentation
Equipment
Production Data Acquisition
Monitoring amp Automation Control
ERP for Manufacturing
SCM WMS
MES PLM
DCS SCADA Unit Level Control
Process Safety System
PLC HMI Machine Control
Discrete Safety System
Motors Drive Pumps Valves Compressors Actuators Robotics
②
①
[ 관리 ]
경영
생산
IT
OA
Biz
ICS
Purdue Reference Model
2 ICS 구성에 대한 이해 ndash 표준 Architecture
15
OT
FA
Critical Infra
Level 5 Enterprise (DMZ) Level 5 Enterprise
Level 3 Site Manufacturing Operation and Control
Level2 Area Supervisory Control
Level1 Basic Control
Level 0 Process
Level 4 Site Business Planning and Logistics
The Trust Beyond the Security 3 IT 보안컨설팅방법론 차용
16
빈도lsquo상rsquo 수행 모듈
빈도lsquo중rsquo 수행 모듈
빈도lsquo하rsquo 수행 모듈
범례
분석 [P1] 평가 [P2] 설계 [P3] 구현 [P4] 이행 [P5]
bull 국내 법규 bull 국내외 컴플라이언스
bull 정보보호 인증 규격
참조기준
bull Gap 분석 bull 인터뷰 bull 문서검토 bull 실사
수행기법
bull 진단 항목 bull (정품)진단도구 자체 개발 도구 bull FIRST 및 CVE DB 등
Tool
Consulting Process
요구사항 분석
조직업무 IT환경 분석
기술(요소)분석
자산분석∙평가
위협분석∙평가
취약점분석∙평가 (관리물리IT시스템)
취약점분석∙평가 (모의해킹진단)
위험분석∙평가
정보보호 Framework 설계
체계설계 (관리기술 Arch)
정보보호 솔루션 선정
마스터플랜 수립
조직체계 구현
이행점검 (모의감사)
이행지원
정책지침 재개정
T1
T2
T3
T1
T3
T6
T1
T2
T3
T1
T2
T3
T1
T2
T2
T5
T4
1
2
기술(요소)분석 ICS 분석 Framework (ICS Layering 및 ITU-T X805 보안기술영역 차용 [ISCM-ICS-P1-T3] SCADA용 Continuous Process용 Discrete Process용 구현) ICS보안정보분석서 (SCADA용 Purdue 모델 Protocol 기반 보안정보분석서 구현)
취약점 분석ㆍ평가 관리물리 기술영역 모의해킹 진단 항목 (모의해킹은 진단 시나리오 포함) [ISCM-ICS-P2-T3] [ISCM-ICS-P2-T4] [ISCM-ICS-P2-T5]
1
2
2
The Trust Beyond the Security 4 ICS 보안분석프레임워크
17
분석 Framework
[ Products ] [ 구분 ]
[Control Center] HMI--MTU--FEP[|OPC] Historian
(HMI Viewer)--HMI(OPC Historian)--PLCs--장치
Actuators (Drive Valves Compressors
Robotics hellip)
ERP SCM WMS IT Infra System 점검 영역 갈음
예외) 점검 대상 SAP ERP MII ndash PCo
MES PLM ( ProcessㆍManufacturing Operation Management )
Field Device Instrumentation Equipment
High Lv Protocol OPC ICCP MMS hellip Low Lv Prptocol Modbus DNP3 PROFIBUS WLAN PAN Mobile 유선
[ System Layering ]
경영
생산
IT
OA
Biz
ICS
분석 Framework를 통한 ICS보안정보분석
OT
FA
Critical Infra
산업정보관리
산업공정운영
산업제어시스템
Sensor Motor Pump
hellip IED n IED 1 IED 2 IED 3
Data Comm
ICS(SCADADCS) 보안정보 분석 Framework
권한관리 정보(Data) 보안 통신보안 무결성 보안 가용성 보안 비고
Lv1 Lv2 Lv3 관리 물리 PT 기술 계정관리 인증관리 비밀번호 기타 (보안 솔루션 등)
1Management Information
System 경영정보시스템
2Enterprise Resource
planning 전사 자원 관리
3Supply Chain Management
공급망 관리 시스템
4Warehouse Management
System 창고관리시스템
5
Manufacturing
Operation
Management
PLM
Product Lifecycle
Management 제품 수명주기
관리
6 APC
Advanced Process Control
고급공정제어기술로서 DCS
포함 기술임
7 MES
Manufacturing Execution
System 생산관리시스템
산업군에 따라 Lv2 영역 중첩
8[ Control
Center ][Center] HMI
Human-Machine Interface
센터 측면 통합 관제시스템
Field level HMI 고려 대상
(아주 간단한 제어기능 포함)
9 MTUMain Terminal Unit
SCADA 경우 Server를 의미
10 [ FEP ]
Front-End Processor
Gateway 역할 수행 (옵션)
PLC의 프로토콜 적용 수준을
확장해 주는 역할 수행
통신 관리자 감독 중앙시스
템에 보고 분리된 AP 기능
통합 등을 수행
11 Misc
Runtile Library(다른 컨트롤
시스템 업무시스템 통합
Alarms Contigency
Analysis Project Files
12 Data Comm[상위레벨 데이터]
통신 프로토콜
OPC
ICCP
hellip
13[하위레벨 데이터]
통신 프로토콜
Modbus
DNP3
14Vendor Dependent
Protocol
사이트에는 일반적으로 벤더
에서 개발된 독자적 프로토콜
이 사용됨 (150여개 혼용)
15 WLAN PAN
IEEE80211abgnac(Wi-Fi)
ZigBee(Peer-to-Peer)
Bluetooth(Master-Slave)
16 원거리 통신
- Cable Comm PSTN
(MODEM) 전용선 전력선
광케이블
- Mesh RF WirelessHART
ZigBee Wi-Fi mesh
ISA10011
- Licensed Radio
Microwave
- Cellular Backhaul CDMA
GSM LTE
- Satellite Uplink VSAT
BGAN
17 Control [Field] HMI
Human-Machine Interface
다수 PLC 등과 직접 연결되
어 제어 수행
18 RTU
Remote Terminal Unit
Firmware [gt Embeded OS gt
RTOS] 탑재 장치 일반적으로
SCADA 내에서 센서 데이터
를 디지털로 변환시켜 관리
시스템에 전송하는 통신 장치
역할 수행
19 PLC
Programmable Logic
Controller RTOS 탑재 장치
DCS의 경우 RTU 역할 포함
(자체 GUI HMI 제공 uarr)
20 [Plant] Historian
별도의 DB를 갖는 operation
HIStorian Server를 의미
DMZ의 Shared HIStorian의
경우 업무망에서 PLC 직접
접근방지 Historian를 통하여
데이터 접근 허용함
21 [ PAC ][programerable |] Process
Automation Controller
22 [ PMU ]
Phaser Measurement Unit
전력 시장 실시간 AC 파형을
수학적으로 표현(분석용도)
IEEE C37 118 사용 GPS 시
각 동기화(Synchro-phasers)
23 IED
Intelligent Electronic Device
Actuator 등에 붙어 MTU 명
령없이 자체처리 수준을 정의
하여 수행 (필요시 RTU와 통
신)
24 ActuatorSensor Motor Valve 등을
통칭하는 일반 용어
25 Sensor -
26 (Level 0) Mortor -
27 Misc
Drive Pumps Valves
Compressors(압축기) 버너
Robotics 솔레노이드
WMS
산
업
공
정
관
리
산
업
제
어
시
스
템
(
I
C
S
I
n
d
u
s
t
r
i
a
l
C
o
n
t
r
o
l
S
y
s
t
e
m
)
NO구분
설명취약점 분석 접근제어
산
업
정
보
관
리
MIS
ERP
SCM
Field Device
Instrumentation
Equipment
ITU-T X805 차용
- 접근제어 - 권한관리 - 정보보안 - 통신보안 - 무결성보안 - 가용성보안
Digital Analog Digital + Analog
참조 ISA95 amp Purdue Model
The Trust Beyond the Security 5 ICS 보안정보분석서
18
ICS Purdue Model 기반의 보안정보분석서
대구분 설명 공격 형태 취약성 정보 보호대책
Lv5 Enterprise Business Network
Lv4
Site Business Planning and
Logitics
Business Unit or Plant Network
-
Air-gap 구성안 (Waterfall 솔루션)
- 상위 망 - Airgap - 하위 망
Airgap Phygical or Unidirectional Airgap using a
Data Diode (단방향 통신 게이트웨이)
Data Diode in bypass mode(단방향 두개 설치)
Logical Airgap FW 이용
Data Guard
- 패킷의 모든 데이터(메시지 파일 유형 등) 검사
--gt network packet whitelist 솔루션
DMZDMZ
- 개발시스템 앱 서버 등TBD
- Shared HIStorian을 통한 Field Devices 직접 통제를
제한함으로써 침해 위협 조치
- Data Classification (데이터 위치 이동방향에 따른 레벨)
- DNS Sec 등 IT System 보안
-
- Honeypot Tech [low | high] Interaction Honeypots
결과분석에 필요한 리소스 보유 필요
사용 시 위험요소가 존재하는 지 확인 필요
허니팟을 통해 어떤 정보를 얻을 수 있는지 확인 필요
주gt 비용 인원 기술 한계점 파악 등 선결 내용
Manufacturing
Zone
(Operation Zone
Lv3210 포함)
Lv3
Production amp Scheduling System
Plant HIStorian
HMI DBMS
Console Workstation
Operation Support (Simulation amp
Modeling System Operation
Analysis System Test System
Engineering Workstation Misc)
Site Manufacturing
Operation amp Control
운영 지원
- ICS 테스트 amp 개발
- 데이터 분석
- 엔지니어링 설계 및 구성
- DHCP LDAP DNS File
Server 등의 IT시스템
공격자의 주 타겟 중 하나 HMIs
- Default or Weak Passwords
Brute force or dictionary attack 등으로 크랙 가능
- Web-based Attack
인증우회취약한세션관리LFIRFIXSSCSRFSQLinjection
- Malware on USB Device (Lv32)
Stuxnet OO Duqu(2011) Flame(2012) Shamoon(2012)
HavexDargonfly(2014) Black Energy BE2 (2014)
- Compromised IT System (ServerPC)
- DNS Spoofing(Cash Poisoning)
ICS Hardening
- AP whitelisting AP Sandboxing
--gt Windows(AppLocker) 및 third-party 솔루션
- Tripwire iptables chroot() chkrootkit
- Historian DBMS 보안 적용
- DNS Spoofing 방어 DNS 서버 설정 강화
DNS 서버를 다른 시큐리티 존에 위치시킴
-
- TOPINO CMP(콘솔) Xenon SA(Security Appliance)
가용성 산업용 HW Spec 제품 설치구성테스트
firmware update 시 무중단 가용성 지원
단방향양방향 통신 모드 모두 지원
주로 Modbus 같은 산업용 네트워크 프로토콜 제어
장비 프로파일 기반의 방화벽 룰 적용
LSM(Loadable Security Module) being installed Appliance
Lv2
Supervisory Control Network
(-Plant- Data Historian
Engineering Workstation
Comm Front-ends)
Area Supervisory Control
Control Server Compromise
- [Malicious Insider gt] Authentication bypass in HMI
- Malicious USB Key | client-side attack
gt Compromised Engineer Credentials
- Remote Station Physical Compromise
gt Compromised Field Device or Network
- Port Scanning Googling SHODAN 검색
- Default admin username amp password Deffault
running services Default security settings
- Poor AuthenticationAuthorization
SCADA Pass 모니터 부착 PW 메모지 등
- Buffer Overflows and Remote Code Execution
- Attacking Historian and DB
Attacks on Network Comm
- Traffic Capture injection relay Data Extraction DoS
Spoofing Control Signals Wireless Attacks MITM
Fuzzing(데이터 입력 테스트 기법) Network Protocol
DoS Attack Jamming RF EMT(Electro Magnetic
Transmission
MITM 기반 기술 ARP Spoofing (주로 HMI - PLC 간)
취약한 무결성 체크 및 인증 시스템
- Eavesdropping WiFi Bluetooth ZeeBee GSM
- Masquerading Evil Twin 공격 GSM 공격
FEP 등 원격지 공격 코드 실행
upstream (시리얼 프로토콜) 공격
Hardening ICS Control Software
- SW Vendor로부터의 보안 방안 적용
- 유선 보안솔루션의 VPN proxy 인터페이스 사용
AP Whitelisting Sandboxing
- 기본 구성 취약점 보호대책
암호키 만료갱신 암호강화 관리자 역할 강화 장치인증
- Missing Security Patches
ICS는 시스템 특성상 보안설정 적용이 어려운 경우 존재
Security on Network Comm
- 취약한 인증 기능을 가진 프로토콜은 사용 지양
- 데이터 다이오드 등으로 관리 제어 영역 구분(대역 분리)
- VPN으로 네트워크 트래픽 암호화
- 프로토콜 고유의 시그니처를 이용한 패킷 모니터링
- ICS 제조사(eg Honeywell 등)가 기본 방화벽 설정 지원
Whitelist 방식의 차단 솔루션
허용되는 작동 외의 모든 작동을 차단하는 방식
Testbed 담당자는 하기 사유로 부정적 의견 제시
whitelist 방식으로 관리 시 다수의 예외 처리 필요
솔루션 예시 Ahnlab 솔루션 (하이닉스에서 사용중
방식 불명) Symantec 솔루션 (에이전트 방식 패킷 분석)
Lv1
Control Devices (RTU PLC
Control Processor Progammable
Relay Dedicated Control
Operator Workstation)
Basic Control
컨트롤 장치 Field
Components 영역
- SIS amp Protection System
과의 통합
- unauthentication on Wireless Access
- RTUPLC의 마스터 서버로의 데이터 전송을 악용한
원격 익스플로잇 등 공격 시도 가능
TBD
Lv0
Process Control Instrumentation
Bus Network (IED Actuator
Misc)
Process
(End-Point) Field Devices
Physical or Remote Devices Attacks
- 인증 과정 우회 공격 물리적 접근 HW 공격 인증 우회
Embedded Electronic Attacks
Dumping Data at Rest from EEPROMs
Bus Snooping Data in Motion
Using Entropy to Find Key
--gt 공격자는 저장장치 또는 버스에서 데이터 획득
--gt 비대칭키는 엔트로피 높음 그래프에서 변화폭 큼
Firmware Attacks
--gt 암호 키알고리즘 주파수 도약(hopping) 분석 가능
--gt 역공학 원격 익스플로잇 가능 취약점 탐색
펌웨어 수정 공격툴 업로드 목적
Controller amp Field Device Security
- 산업 네트워크 upstream amp downstream Field Bus
네트워크 장비 amp 통신 브릿지 산업용프로토콜
관리프로토콜 시간동기화 FW RTOS EmBededOS
NIC WS 프로그램 파일 진단계기 장비 원격접속
장비 안전보안 장비 보호 필요
- 물리보안 hellip 사용 가능 포트ㆍ진단 포트ㆍ무선 Inf
외관 검사ㆍanti-tamper 제어실 접근 알림 포함 필요
소구분
업무망
- 기업 현장 공장 시설
네트워크 포함
- ICS 데이터 획득 가능
- ICS 원격접속 주관
- NERC(the North-american Electric Reliability Corporation)
보안 정책 참고(기반시설 사이버보안을 위한 표준 프레임
워크 개발)
- IAEA(Internal Atomic Energy Agency)
- Log Management remote log server gt ICS Central log
server(Comm F-E 등) gt Primary Analysis log server
- Auditing Forensics(침해흔적 조사 포함)
- ICS BackupRestore BCP amp DRP Incident handling
- Compromised Remote Access
- Malicious Insider
- 공격 시나리오 원격지 gt 서버워크스테이션(HMI) SW 공격
(주로 OS는 UnixLinuxWin TCPIP) gt ICS DB를 타겟팅
Business Zone
Enforcement Zone
(각 Level은 Enforcement Zone에 의해 분리됨
-Firewall ACL IDS 데이터 다이오드 등-)
Business Zone과 OperationControl
Zone 사이에서 데이터를 공유하는 영역
(via Shared HIStorian) IT시스템
Safety Zone
Enforcement Zone
CellArea Zone
Enforcement Zone
ICS Data Comm 레벨 보안정보분석서
NO 설명 공격 형태 취약성 정보 보호대책 비고
1 OPC
- OLE for Process Control
- 서로 다른 종류의 PLC 제품들을
하나의 제어시스템으로 통합 운영
하기 위한 중간 역할
- 구성 OPC Client - OPC Server
- PLCs - devices
상위 레벨 프로토콜이므로 전용
서버 또는 HMI 등과 같이 운용
가능 (Windows OS 탑재 상위
프로토콜)
- OPC UA TCP502
OPC UA XML TCP80 TCP443
TBD TBD
- OLE Object Linking and Embedding
(선행조건 Windows OS 기반 ICS)
- High Level Data Protocol 특성
Human Readable Info
기업-Control Network간 동작
DB - AP 간 데이터 명령어 전송
제품 Kepware Technologies Co Ltd
KEPServerEX MatrikonOPC
Universal ICS Protocol
- OPC Modbus
2
ICCP
(IEC 60870-6
TASE2)
- Inter-control Center Comm
Protocol
- TCP102
- read only (TBD )
- 인증 암호화 기능 미보유
- 데이터 통신 시 ARP 사용
으로 인한 취약점 존재
- No Security
- Electric independent System Operator
(ISO)에서 사용 -Smart Grid 포함-
Eg MISO (Midwest-미국 중서부-
Independent System Operator)
3MMS
(IEC 61850-8-1)
- Manufacturing Messaging
Specification
- TCP102
- 변전소 사용 프로토콜
- 관리장비(HMI FEP) - 현장장비
(RTU PLC IED) 간 통신 용도
TBD TBD
참고 Energy Sector Specific Protocol
- DNP3 DLMSCOSEM(TCP4059
UDP4059) ICCP IEC 104(TCP102)
IEEE C37118 (TCP4712 UDP4713)
MMS
4 Modbus
- Serial TCP 용 Proto 존재
- Master-Slave
- port 502
TBD - No Security- low level data protocol 특성
clear text no authentication
5 Modbus TCP
- Modicon사에서 개발(1979년)한
requestreponse 체계의 간단한
Open 프로토콜
- 관리장비(HMI FEP) - 현장장비
(RTU PLC IED) 간 통신 용도
- Wireshark
대부분의 ICS 프로토콜을
지원하므로 공격 분 석
기능 지원
- 보안 미고려 설계 동작 방식
- Master Station이 field device를 폴링
- field device는 통신 초기화 불가능
6DNP3
(IEEE 1915-2012)
- Distributed Network Protocol
- MasterSlave
- Port 19999 with TLS
Port 20000 without TLS
- 관리장비(HMI FEP) - 현장장비
(RTU PLC IED) 간 통신 용도
TBD- 사용자 - 장치간 인증 및
데이터 보호 (TLS)
- 북아메리카 호주 등에서 주로 변전소
(electrical substation) 통신에 사용
- 경우에 따라 TCP20000 UDP20000
7 IEC 60870-5-104
- 관리장비(HMI FEP) - 현장장비
(RTU PLC IED) 간 통신 용도
- send request accept request
confirmation timeouts error
recovery 등이 function에 포함
TBD TBD- DNP 30과 유사하며 유럽 등에서는
DNP 30보다 사용률이 높음
8 HART TBD TBD TBD -
9 BACnet2- MasterSlave
- BACnetIP UDP47808TBD TBD - BMS(빌딩관리시스템) 프로토콜
10LonWorks
LonTalk3
- Peer-to-Peer
- LonTalk UDP1628 UDP1629
- LonTalk3 Port 1679
TBD TBD
- BMS(빌딩관리시스템) 프로토콜
종류 BACnetIP LonTalk Fox
Fox 프로토콜 (TridiumNiagara)
TCP1911
11 EthernetIP
- Ethernet 인프라에 적용하여 장치
(Host PLC Actuator CNC 기기
등) 간의 통신 용도
- 인터넷 통지 지원 (Web AP 지원)
- 산업용 AP를 위해 Ethernet 기술
표준 허용
TBD TBD
- 참고
OPC와 같은 데이터 접근교환을
위해 HTTPFTPSNMPDHCP 등
인터넷 프로토콜 표준 및 산업
프로토콜 표준과 호환성 보증
12 PROFIBUS
- SIEMENS 사에서 개발
- Fieldbus Network(EIA-485) 사용
- 버전 PROFIBUS DP(FA) FMS
(Multiple Master Peer-to-Peer)
PA(Process Automation)
- ProcessField 버스 사용상 이점
No TCPIP Overhead
Low latency
Non-routable
TBD TBD
- 통신 프로토콜의 변화
시리얼 --gt 네트워크 프로토콜
여러 통신층에서 정보 교환 가능
(eg Ethernet TCPIP)
- Ethernet 기반 ICS 통신 프로토콜
일부 ICS 시리얼 프로토콜은 Ethernet
인프라를 사용해서 변환 통신 수행
Goose Messaging (IEC 61850-9-1)
SAV or Sampled Values (61850-9-2)
Process Automation Specific Protocol
- EtherCAT(UDP34980) EthernetIP
(TCP44818 UDP2222 44818)
FL-net (UDP55000~55003) Fieldbus
HSE (TCP1089~1091UDP1089~1091)
HART-IP(TCP5094 UDP5094)
PROFINET (TCP34962~34964 UDP
34962~34964)
[상위 레벨 데이터]
통신 프로토콜
[하위 레벨 데이터]
통신 프로토콜
구분
공격형태 취약성 정보 보호대책
[하위 레벨 데이터] 통신
프로토콜
The Trust Beyond the Security 6 ICS 취약점분석 기준 ndash 관리물리기술영역
19
관리물리 취약점 진단 항목Framework 기술영역 취약점 진단 항목Framework
A731 퇴직 및 직무변경 책임 임직원 혹은 계약자에 대한 퇴직 혹은 업무 변경 후에
유효한 정보보호책임과 의무를 정의하고 강제해야 하
며 의사소통을 해야 한다
퇴직 및 직무 변경에 관한 책임이 명시적으로 정의되고 지정되어야
함
a) 퇴직 시 정보보호 서약서 징구 등을 통한 비밀유지 서약을 실시
함
b) 퇴직 후 정해진 기간 동안 비밀유지 책임을 명시함
c) 새로운 업무와 책임에 대한 책임은 통제 되어야 하며 직무 변경
및 고용 종료 후에도 책임에 대해 관리되어야 함
A811 자산 목록 정보 및 정보처리 설비와 관련된 자산은 식별하고 자
산목록을 작성하고 유지해야 한다
모든 자산은 명확하게 인식되고 모든 중요 자산의 목록은 관리되어
야 함
a) 모든 자산과 그 자산에 대해 중요도를 문서화함
b) 정보의 라이프사이클은 정보의 생성 처리 저장 전송 등을 포함
함
c) 문서화된 자산 목록은 기존 재고 목록과 적절하게 사용되어야
한다
d) 자산관리자 지정 및 정보 등급화가 되어 있고 이에 대한 문서화
가 되어 있음
e) 자산 목록은 효과적인 자산 보호를 보장해야 하며 자산의 안전
및 금융(자산 관리)에 사용할 수 있다
확장 711 자산의 목록 [에너지 유틸리티 관련 구현 지침]
조직의 중요한 자산의 재고를 유지하고 관리하는 경우 별개의 책임
을 명확하게 규정하고 문서화해야 한다
자산의 재고는 관련된 프로세스 제어 시스템 자산과 응용프로그램
의 정보를 모두 포함한다
[에너지 유틸리티에 대한 추가 정보]
상기 분류에 대해 보충으로 에너지 공급 영역의 다른 넓은 범위의
섹터별 특정 자산 카테고리 또한 포함한다
a) 정보 그리드 및 네트워크 계획 스케줄링과 우선순위 정보 지리
와 지리참조 정보 위기와 비상계획 그리드 재해 복구 계획 스위칭
동작 정보 측정된 값 및 측정 데이터 계량 및 계량된 데이터 운영
기록 모수화 데이터 측정 및 메시지 아카이브
b) 소프트웨어 프로세스 제어 소프트웨어 시각화 시스템 에너지
관리 및 최적화 소프트웨어 시뮬레이션 소프트웨어 모수화 소프트
웨어 관리 및 모니터링 시스템 운영 자원 관리(ERP) 시스템 프로그
래밍 환경 펌웨어 아카이빙 소프트웨어 기타 등
c) 물리적 자산 제어 및 자동화 구성요소 원격 측정 및 원격 제어
구성요소 원격 단말 장치 데이터 전송 시스템 구성요소 디지털 보
호 및 안전 요소 디지털 계량 및 측정 장치 스마트 미터 디지털 센
서 및 작동 요소 모수화 및 프로그래밍 장치 시각화 및 운영요소
디지털 모니터링 및 기록 시스템 기타 등
d) 서비스 통신 서비스 비상 통신 서비스 정보 서비스 기상 서비
스 기타 등
A812 자산의 소유권 소유된 자산은 목록으로 유지되어야 한다 정보처리시설과 관련된 모든 정보 및 자산은 조직 내에서 명시적으
로 자산의 관리자를 지정 하여 관리하여야 함
a) 자산을 확실하게 파악 조사해야 함
b) 자산의 적절한 등급 분류와 보호 보장
c) 접근통제 정책에 대한 정의 및 주기적인 검토
d) 자산의 파기 혹은 삭제 할 때의 적절한 처리
확장 721 자산의 소유권 [에너지 유틸리티에 대한 추가 정보]
프로세스 제어 시스템을 사용하는 조직의 잠재적으로 복잡한 구조는
상업 및 운영 소유권의 종료와 관련하여 매우 다양한 책임을 의미한
다 결과적으로 자산 소유권 및 관련 책임 정보보안의 관점에서 자
산 소유자와 자산 운영자의 역할은 정확하게 정의되고 문서화되어야
한다
세부통제항목 내용
ISO270012013 ISO270022013 200192013 반영
270192013 반영 270022013 반영 27001 인증 규격
[ ICS 전용 정보보호 관리체계 진단 기준 ] 21개 항목 29개 세부기준
[ 27001 인증 심사 시 27019 Energy Utility 분야 보안 모범사례 반영 ]
A712 고용 약정 및 조건
직원 및 계약직 인원의 계약합의서에서는 조직과 그들의 정보보안책
임을 명시해야 한다
813 고용 조건
[에너지 유틸리티 관련 구현 지침]
파업권 또는 비상 상황에서 최대 근로 시간을 초과할 권한으로 직원
의 권리에 대한 제한은 중요 인프라 및 민감함 시스템의 동작을 위한
허용 가능한 법적 요구사항으로 주요한 개인의 책임을 고려해야 한
다 고용 계약을 체결하는 경우 모니터와 같은 스위칭 동작 등 특정
작업 기록에 관한 협정도 고려해야 한다
X805 기술 영역 차용 - 계정관리 - 권한관리 - 접근통제 - 가용성 - 무결성 - 암호화 - 부인방지
참고 진단 기준 - 기반시설 진단 기준 - SK인포섹 점검기준
- ITU-T X805 기반 진단 기준을 수립 중이며 해당 기준은 자경단 Deloitte 진단 Framework(56개 점검항목 2015년 작성) 및 주요정보통신기반시설 진단 기준을 100 포함하고 있음
- PLCRTU 등의 Firmware
Embeded OS RTOS 에 적용 가
능한 최상의 보안 수준을 적용하
는가
- 인가된 자만 시스템에 접속 가능 여부 확인
비밀번호 컴플라이언스 충족 여부 확인 등
- replay attack 등의 방지를 위한 인가 IP 접속 기
능 적용 확인 (보안장비 대체 적용 여부 확인)
- 장비간 주요 정보 통신 시 암호화 적용 미흡할
경우 이를 보완하는 보안장비 적용 여부 확인
- 54개 항목
114개 항목 38개 항목
SK인포섹 13486 경기도 성남시 분당구 판교로255번길 46 4층 E-mail skinfosecmktskcom TEL 02)6361-9114 FAX 02) 6361-9998
201604
The Trust Beyond the Security 1 어떻게 접근할 것인가
14
질문 1 우리는
- IT 인력 + IT 보안 인력
질문 2 IT 보안 점검 기준은
- K-ISMS
- ISO2700127019
- 기반시설취약점분석평가
- NIST Cyber Security Framework
질문 3 방향성은
- ICS 보안프레임워크에 기반한 점검
ICS 보안프레임워크 수립
ICS 보안분석서 기반의 점검
bull IT인력의 OT 접근
용이성 제공
bull 기준문서를 통한
점검 품질 평준화
bull IT 항목 기준으로
세부점검 방식
bull 각 항목별 기초적
대응방안 기술
The Trust Beyond the Security
ISA95 Standard Industry Architecture
[ Products ] [ Description of Level ]
Source ISA( International Society of Automation) ISA95 Enterprise-Control Integration Standard)
Business Logistics Plant Production Scheduling Shipping
Receiving Inventory etc
Manufacturing Operation Management
Dispatching Detailed Production Scheduling Production Tracking
Continuous Production
Control
Discrete Production
Control
Batch Production
Control
L4
L3
L2
L1
L0 Field DeviceInstrumentation
Equipment
Production Data Acquisition
Monitoring amp Automation Control
ERP for Manufacturing
SCM WMS
MES PLM
DCS SCADA Unit Level Control
Process Safety System
PLC HMI Machine Control
Discrete Safety System
Motors Drive Pumps Valves Compressors Actuators Robotics
②
①
[ 관리 ]
경영
생산
IT
OA
Biz
ICS
Purdue Reference Model
2 ICS 구성에 대한 이해 ndash 표준 Architecture
15
OT
FA
Critical Infra
Level 5 Enterprise (DMZ) Level 5 Enterprise
Level 3 Site Manufacturing Operation and Control
Level2 Area Supervisory Control
Level1 Basic Control
Level 0 Process
Level 4 Site Business Planning and Logistics
The Trust Beyond the Security 3 IT 보안컨설팅방법론 차용
16
빈도lsquo상rsquo 수행 모듈
빈도lsquo중rsquo 수행 모듈
빈도lsquo하rsquo 수행 모듈
범례
분석 [P1] 평가 [P2] 설계 [P3] 구현 [P4] 이행 [P5]
bull 국내 법규 bull 국내외 컴플라이언스
bull 정보보호 인증 규격
참조기준
bull Gap 분석 bull 인터뷰 bull 문서검토 bull 실사
수행기법
bull 진단 항목 bull (정품)진단도구 자체 개발 도구 bull FIRST 및 CVE DB 등
Tool
Consulting Process
요구사항 분석
조직업무 IT환경 분석
기술(요소)분석
자산분석∙평가
위협분석∙평가
취약점분석∙평가 (관리물리IT시스템)
취약점분석∙평가 (모의해킹진단)
위험분석∙평가
정보보호 Framework 설계
체계설계 (관리기술 Arch)
정보보호 솔루션 선정
마스터플랜 수립
조직체계 구현
이행점검 (모의감사)
이행지원
정책지침 재개정
T1
T2
T3
T1
T3
T6
T1
T2
T3
T1
T2
T3
T1
T2
T2
T5
T4
1
2
기술(요소)분석 ICS 분석 Framework (ICS Layering 및 ITU-T X805 보안기술영역 차용 [ISCM-ICS-P1-T3] SCADA용 Continuous Process용 Discrete Process용 구현) ICS보안정보분석서 (SCADA용 Purdue 모델 Protocol 기반 보안정보분석서 구현)
취약점 분석ㆍ평가 관리물리 기술영역 모의해킹 진단 항목 (모의해킹은 진단 시나리오 포함) [ISCM-ICS-P2-T3] [ISCM-ICS-P2-T4] [ISCM-ICS-P2-T5]
1
2
2
The Trust Beyond the Security 4 ICS 보안분석프레임워크
17
분석 Framework
[ Products ] [ 구분 ]
[Control Center] HMI--MTU--FEP[|OPC] Historian
(HMI Viewer)--HMI(OPC Historian)--PLCs--장치
Actuators (Drive Valves Compressors
Robotics hellip)
ERP SCM WMS IT Infra System 점검 영역 갈음
예외) 점검 대상 SAP ERP MII ndash PCo
MES PLM ( ProcessㆍManufacturing Operation Management )
Field Device Instrumentation Equipment
High Lv Protocol OPC ICCP MMS hellip Low Lv Prptocol Modbus DNP3 PROFIBUS WLAN PAN Mobile 유선
[ System Layering ]
경영
생산
IT
OA
Biz
ICS
분석 Framework를 통한 ICS보안정보분석
OT
FA
Critical Infra
산업정보관리
산업공정운영
산업제어시스템
Sensor Motor Pump
hellip IED n IED 1 IED 2 IED 3
Data Comm
ICS(SCADADCS) 보안정보 분석 Framework
권한관리 정보(Data) 보안 통신보안 무결성 보안 가용성 보안 비고
Lv1 Lv2 Lv3 관리 물리 PT 기술 계정관리 인증관리 비밀번호 기타 (보안 솔루션 등)
1Management Information
System 경영정보시스템
2Enterprise Resource
planning 전사 자원 관리
3Supply Chain Management
공급망 관리 시스템
4Warehouse Management
System 창고관리시스템
5
Manufacturing
Operation
Management
PLM
Product Lifecycle
Management 제품 수명주기
관리
6 APC
Advanced Process Control
고급공정제어기술로서 DCS
포함 기술임
7 MES
Manufacturing Execution
System 생산관리시스템
산업군에 따라 Lv2 영역 중첩
8[ Control
Center ][Center] HMI
Human-Machine Interface
센터 측면 통합 관제시스템
Field level HMI 고려 대상
(아주 간단한 제어기능 포함)
9 MTUMain Terminal Unit
SCADA 경우 Server를 의미
10 [ FEP ]
Front-End Processor
Gateway 역할 수행 (옵션)
PLC의 프로토콜 적용 수준을
확장해 주는 역할 수행
통신 관리자 감독 중앙시스
템에 보고 분리된 AP 기능
통합 등을 수행
11 Misc
Runtile Library(다른 컨트롤
시스템 업무시스템 통합
Alarms Contigency
Analysis Project Files
12 Data Comm[상위레벨 데이터]
통신 프로토콜
OPC
ICCP
hellip
13[하위레벨 데이터]
통신 프로토콜
Modbus
DNP3
14Vendor Dependent
Protocol
사이트에는 일반적으로 벤더
에서 개발된 독자적 프로토콜
이 사용됨 (150여개 혼용)
15 WLAN PAN
IEEE80211abgnac(Wi-Fi)
ZigBee(Peer-to-Peer)
Bluetooth(Master-Slave)
16 원거리 통신
- Cable Comm PSTN
(MODEM) 전용선 전력선
광케이블
- Mesh RF WirelessHART
ZigBee Wi-Fi mesh
ISA10011
- Licensed Radio
Microwave
- Cellular Backhaul CDMA
GSM LTE
- Satellite Uplink VSAT
BGAN
17 Control [Field] HMI
Human-Machine Interface
다수 PLC 등과 직접 연결되
어 제어 수행
18 RTU
Remote Terminal Unit
Firmware [gt Embeded OS gt
RTOS] 탑재 장치 일반적으로
SCADA 내에서 센서 데이터
를 디지털로 변환시켜 관리
시스템에 전송하는 통신 장치
역할 수행
19 PLC
Programmable Logic
Controller RTOS 탑재 장치
DCS의 경우 RTU 역할 포함
(자체 GUI HMI 제공 uarr)
20 [Plant] Historian
별도의 DB를 갖는 operation
HIStorian Server를 의미
DMZ의 Shared HIStorian의
경우 업무망에서 PLC 직접
접근방지 Historian를 통하여
데이터 접근 허용함
21 [ PAC ][programerable |] Process
Automation Controller
22 [ PMU ]
Phaser Measurement Unit
전력 시장 실시간 AC 파형을
수학적으로 표현(분석용도)
IEEE C37 118 사용 GPS 시
각 동기화(Synchro-phasers)
23 IED
Intelligent Electronic Device
Actuator 등에 붙어 MTU 명
령없이 자체처리 수준을 정의
하여 수행 (필요시 RTU와 통
신)
24 ActuatorSensor Motor Valve 등을
통칭하는 일반 용어
25 Sensor -
26 (Level 0) Mortor -
27 Misc
Drive Pumps Valves
Compressors(압축기) 버너
Robotics 솔레노이드
WMS
산
업
공
정
관
리
산
업
제
어
시
스
템
(
I
C
S
I
n
d
u
s
t
r
i
a
l
C
o
n
t
r
o
l
S
y
s
t
e
m
)
NO구분
설명취약점 분석 접근제어
산
업
정
보
관
리
MIS
ERP
SCM
Field Device
Instrumentation
Equipment
ITU-T X805 차용
- 접근제어 - 권한관리 - 정보보안 - 통신보안 - 무결성보안 - 가용성보안
Digital Analog Digital + Analog
참조 ISA95 amp Purdue Model
The Trust Beyond the Security 5 ICS 보안정보분석서
18
ICS Purdue Model 기반의 보안정보분석서
대구분 설명 공격 형태 취약성 정보 보호대책
Lv5 Enterprise Business Network
Lv4
Site Business Planning and
Logitics
Business Unit or Plant Network
-
Air-gap 구성안 (Waterfall 솔루션)
- 상위 망 - Airgap - 하위 망
Airgap Phygical or Unidirectional Airgap using a
Data Diode (단방향 통신 게이트웨이)
Data Diode in bypass mode(단방향 두개 설치)
Logical Airgap FW 이용
Data Guard
- 패킷의 모든 데이터(메시지 파일 유형 등) 검사
--gt network packet whitelist 솔루션
DMZDMZ
- 개발시스템 앱 서버 등TBD
- Shared HIStorian을 통한 Field Devices 직접 통제를
제한함으로써 침해 위협 조치
- Data Classification (데이터 위치 이동방향에 따른 레벨)
- DNS Sec 등 IT System 보안
-
- Honeypot Tech [low | high] Interaction Honeypots
결과분석에 필요한 리소스 보유 필요
사용 시 위험요소가 존재하는 지 확인 필요
허니팟을 통해 어떤 정보를 얻을 수 있는지 확인 필요
주gt 비용 인원 기술 한계점 파악 등 선결 내용
Manufacturing
Zone
(Operation Zone
Lv3210 포함)
Lv3
Production amp Scheduling System
Plant HIStorian
HMI DBMS
Console Workstation
Operation Support (Simulation amp
Modeling System Operation
Analysis System Test System
Engineering Workstation Misc)
Site Manufacturing
Operation amp Control
운영 지원
- ICS 테스트 amp 개발
- 데이터 분석
- 엔지니어링 설계 및 구성
- DHCP LDAP DNS File
Server 등의 IT시스템
공격자의 주 타겟 중 하나 HMIs
- Default or Weak Passwords
Brute force or dictionary attack 등으로 크랙 가능
- Web-based Attack
인증우회취약한세션관리LFIRFIXSSCSRFSQLinjection
- Malware on USB Device (Lv32)
Stuxnet OO Duqu(2011) Flame(2012) Shamoon(2012)
HavexDargonfly(2014) Black Energy BE2 (2014)
- Compromised IT System (ServerPC)
- DNS Spoofing(Cash Poisoning)
ICS Hardening
- AP whitelisting AP Sandboxing
--gt Windows(AppLocker) 및 third-party 솔루션
- Tripwire iptables chroot() chkrootkit
- Historian DBMS 보안 적용
- DNS Spoofing 방어 DNS 서버 설정 강화
DNS 서버를 다른 시큐리티 존에 위치시킴
-
- TOPINO CMP(콘솔) Xenon SA(Security Appliance)
가용성 산업용 HW Spec 제품 설치구성테스트
firmware update 시 무중단 가용성 지원
단방향양방향 통신 모드 모두 지원
주로 Modbus 같은 산업용 네트워크 프로토콜 제어
장비 프로파일 기반의 방화벽 룰 적용
LSM(Loadable Security Module) being installed Appliance
Lv2
Supervisory Control Network
(-Plant- Data Historian
Engineering Workstation
Comm Front-ends)
Area Supervisory Control
Control Server Compromise
- [Malicious Insider gt] Authentication bypass in HMI
- Malicious USB Key | client-side attack
gt Compromised Engineer Credentials
- Remote Station Physical Compromise
gt Compromised Field Device or Network
- Port Scanning Googling SHODAN 검색
- Default admin username amp password Deffault
running services Default security settings
- Poor AuthenticationAuthorization
SCADA Pass 모니터 부착 PW 메모지 등
- Buffer Overflows and Remote Code Execution
- Attacking Historian and DB
Attacks on Network Comm
- Traffic Capture injection relay Data Extraction DoS
Spoofing Control Signals Wireless Attacks MITM
Fuzzing(데이터 입력 테스트 기법) Network Protocol
DoS Attack Jamming RF EMT(Electro Magnetic
Transmission
MITM 기반 기술 ARP Spoofing (주로 HMI - PLC 간)
취약한 무결성 체크 및 인증 시스템
- Eavesdropping WiFi Bluetooth ZeeBee GSM
- Masquerading Evil Twin 공격 GSM 공격
FEP 등 원격지 공격 코드 실행
upstream (시리얼 프로토콜) 공격
Hardening ICS Control Software
- SW Vendor로부터의 보안 방안 적용
- 유선 보안솔루션의 VPN proxy 인터페이스 사용
AP Whitelisting Sandboxing
- 기본 구성 취약점 보호대책
암호키 만료갱신 암호강화 관리자 역할 강화 장치인증
- Missing Security Patches
ICS는 시스템 특성상 보안설정 적용이 어려운 경우 존재
Security on Network Comm
- 취약한 인증 기능을 가진 프로토콜은 사용 지양
- 데이터 다이오드 등으로 관리 제어 영역 구분(대역 분리)
- VPN으로 네트워크 트래픽 암호화
- 프로토콜 고유의 시그니처를 이용한 패킷 모니터링
- ICS 제조사(eg Honeywell 등)가 기본 방화벽 설정 지원
Whitelist 방식의 차단 솔루션
허용되는 작동 외의 모든 작동을 차단하는 방식
Testbed 담당자는 하기 사유로 부정적 의견 제시
whitelist 방식으로 관리 시 다수의 예외 처리 필요
솔루션 예시 Ahnlab 솔루션 (하이닉스에서 사용중
방식 불명) Symantec 솔루션 (에이전트 방식 패킷 분석)
Lv1
Control Devices (RTU PLC
Control Processor Progammable
Relay Dedicated Control
Operator Workstation)
Basic Control
컨트롤 장치 Field
Components 영역
- SIS amp Protection System
과의 통합
- unauthentication on Wireless Access
- RTUPLC의 마스터 서버로의 데이터 전송을 악용한
원격 익스플로잇 등 공격 시도 가능
TBD
Lv0
Process Control Instrumentation
Bus Network (IED Actuator
Misc)
Process
(End-Point) Field Devices
Physical or Remote Devices Attacks
- 인증 과정 우회 공격 물리적 접근 HW 공격 인증 우회
Embedded Electronic Attacks
Dumping Data at Rest from EEPROMs
Bus Snooping Data in Motion
Using Entropy to Find Key
--gt 공격자는 저장장치 또는 버스에서 데이터 획득
--gt 비대칭키는 엔트로피 높음 그래프에서 변화폭 큼
Firmware Attacks
--gt 암호 키알고리즘 주파수 도약(hopping) 분석 가능
--gt 역공학 원격 익스플로잇 가능 취약점 탐색
펌웨어 수정 공격툴 업로드 목적
Controller amp Field Device Security
- 산업 네트워크 upstream amp downstream Field Bus
네트워크 장비 amp 통신 브릿지 산업용프로토콜
관리프로토콜 시간동기화 FW RTOS EmBededOS
NIC WS 프로그램 파일 진단계기 장비 원격접속
장비 안전보안 장비 보호 필요
- 물리보안 hellip 사용 가능 포트ㆍ진단 포트ㆍ무선 Inf
외관 검사ㆍanti-tamper 제어실 접근 알림 포함 필요
소구분
업무망
- 기업 현장 공장 시설
네트워크 포함
- ICS 데이터 획득 가능
- ICS 원격접속 주관
- NERC(the North-american Electric Reliability Corporation)
보안 정책 참고(기반시설 사이버보안을 위한 표준 프레임
워크 개발)
- IAEA(Internal Atomic Energy Agency)
- Log Management remote log server gt ICS Central log
server(Comm F-E 등) gt Primary Analysis log server
- Auditing Forensics(침해흔적 조사 포함)
- ICS BackupRestore BCP amp DRP Incident handling
- Compromised Remote Access
- Malicious Insider
- 공격 시나리오 원격지 gt 서버워크스테이션(HMI) SW 공격
(주로 OS는 UnixLinuxWin TCPIP) gt ICS DB를 타겟팅
Business Zone
Enforcement Zone
(각 Level은 Enforcement Zone에 의해 분리됨
-Firewall ACL IDS 데이터 다이오드 등-)
Business Zone과 OperationControl
Zone 사이에서 데이터를 공유하는 영역
(via Shared HIStorian) IT시스템
Safety Zone
Enforcement Zone
CellArea Zone
Enforcement Zone
ICS Data Comm 레벨 보안정보분석서
NO 설명 공격 형태 취약성 정보 보호대책 비고
1 OPC
- OLE for Process Control
- 서로 다른 종류의 PLC 제품들을
하나의 제어시스템으로 통합 운영
하기 위한 중간 역할
- 구성 OPC Client - OPC Server
- PLCs - devices
상위 레벨 프로토콜이므로 전용
서버 또는 HMI 등과 같이 운용
가능 (Windows OS 탑재 상위
프로토콜)
- OPC UA TCP502
OPC UA XML TCP80 TCP443
TBD TBD
- OLE Object Linking and Embedding
(선행조건 Windows OS 기반 ICS)
- High Level Data Protocol 특성
Human Readable Info
기업-Control Network간 동작
DB - AP 간 데이터 명령어 전송
제품 Kepware Technologies Co Ltd
KEPServerEX MatrikonOPC
Universal ICS Protocol
- OPC Modbus
2
ICCP
(IEC 60870-6
TASE2)
- Inter-control Center Comm
Protocol
- TCP102
- read only (TBD )
- 인증 암호화 기능 미보유
- 데이터 통신 시 ARP 사용
으로 인한 취약점 존재
- No Security
- Electric independent System Operator
(ISO)에서 사용 -Smart Grid 포함-
Eg MISO (Midwest-미국 중서부-
Independent System Operator)
3MMS
(IEC 61850-8-1)
- Manufacturing Messaging
Specification
- TCP102
- 변전소 사용 프로토콜
- 관리장비(HMI FEP) - 현장장비
(RTU PLC IED) 간 통신 용도
TBD TBD
참고 Energy Sector Specific Protocol
- DNP3 DLMSCOSEM(TCP4059
UDP4059) ICCP IEC 104(TCP102)
IEEE C37118 (TCP4712 UDP4713)
MMS
4 Modbus
- Serial TCP 용 Proto 존재
- Master-Slave
- port 502
TBD - No Security- low level data protocol 특성
clear text no authentication
5 Modbus TCP
- Modicon사에서 개발(1979년)한
requestreponse 체계의 간단한
Open 프로토콜
- 관리장비(HMI FEP) - 현장장비
(RTU PLC IED) 간 통신 용도
- Wireshark
대부분의 ICS 프로토콜을
지원하므로 공격 분 석
기능 지원
- 보안 미고려 설계 동작 방식
- Master Station이 field device를 폴링
- field device는 통신 초기화 불가능
6DNP3
(IEEE 1915-2012)
- Distributed Network Protocol
- MasterSlave
- Port 19999 with TLS
Port 20000 without TLS
- 관리장비(HMI FEP) - 현장장비
(RTU PLC IED) 간 통신 용도
TBD- 사용자 - 장치간 인증 및
데이터 보호 (TLS)
- 북아메리카 호주 등에서 주로 변전소
(electrical substation) 통신에 사용
- 경우에 따라 TCP20000 UDP20000
7 IEC 60870-5-104
- 관리장비(HMI FEP) - 현장장비
(RTU PLC IED) 간 통신 용도
- send request accept request
confirmation timeouts error
recovery 등이 function에 포함
TBD TBD- DNP 30과 유사하며 유럽 등에서는
DNP 30보다 사용률이 높음
8 HART TBD TBD TBD -
9 BACnet2- MasterSlave
- BACnetIP UDP47808TBD TBD - BMS(빌딩관리시스템) 프로토콜
10LonWorks
LonTalk3
- Peer-to-Peer
- LonTalk UDP1628 UDP1629
- LonTalk3 Port 1679
TBD TBD
- BMS(빌딩관리시스템) 프로토콜
종류 BACnetIP LonTalk Fox
Fox 프로토콜 (TridiumNiagara)
TCP1911
11 EthernetIP
- Ethernet 인프라에 적용하여 장치
(Host PLC Actuator CNC 기기
등) 간의 통신 용도
- 인터넷 통지 지원 (Web AP 지원)
- 산업용 AP를 위해 Ethernet 기술
표준 허용
TBD TBD
- 참고
OPC와 같은 데이터 접근교환을
위해 HTTPFTPSNMPDHCP 등
인터넷 프로토콜 표준 및 산업
프로토콜 표준과 호환성 보증
12 PROFIBUS
- SIEMENS 사에서 개발
- Fieldbus Network(EIA-485) 사용
- 버전 PROFIBUS DP(FA) FMS
(Multiple Master Peer-to-Peer)
PA(Process Automation)
- ProcessField 버스 사용상 이점
No TCPIP Overhead
Low latency
Non-routable
TBD TBD
- 통신 프로토콜의 변화
시리얼 --gt 네트워크 프로토콜
여러 통신층에서 정보 교환 가능
(eg Ethernet TCPIP)
- Ethernet 기반 ICS 통신 프로토콜
일부 ICS 시리얼 프로토콜은 Ethernet
인프라를 사용해서 변환 통신 수행
Goose Messaging (IEC 61850-9-1)
SAV or Sampled Values (61850-9-2)
Process Automation Specific Protocol
- EtherCAT(UDP34980) EthernetIP
(TCP44818 UDP2222 44818)
FL-net (UDP55000~55003) Fieldbus
HSE (TCP1089~1091UDP1089~1091)
HART-IP(TCP5094 UDP5094)
PROFINET (TCP34962~34964 UDP
34962~34964)
[상위 레벨 데이터]
통신 프로토콜
[하위 레벨 데이터]
통신 프로토콜
구분
공격형태 취약성 정보 보호대책
[하위 레벨 데이터] 통신
프로토콜
The Trust Beyond the Security 6 ICS 취약점분석 기준 ndash 관리물리기술영역
19
관리물리 취약점 진단 항목Framework 기술영역 취약점 진단 항목Framework
A731 퇴직 및 직무변경 책임 임직원 혹은 계약자에 대한 퇴직 혹은 업무 변경 후에
유효한 정보보호책임과 의무를 정의하고 강제해야 하
며 의사소통을 해야 한다
퇴직 및 직무 변경에 관한 책임이 명시적으로 정의되고 지정되어야
함
a) 퇴직 시 정보보호 서약서 징구 등을 통한 비밀유지 서약을 실시
함
b) 퇴직 후 정해진 기간 동안 비밀유지 책임을 명시함
c) 새로운 업무와 책임에 대한 책임은 통제 되어야 하며 직무 변경
및 고용 종료 후에도 책임에 대해 관리되어야 함
A811 자산 목록 정보 및 정보처리 설비와 관련된 자산은 식별하고 자
산목록을 작성하고 유지해야 한다
모든 자산은 명확하게 인식되고 모든 중요 자산의 목록은 관리되어
야 함
a) 모든 자산과 그 자산에 대해 중요도를 문서화함
b) 정보의 라이프사이클은 정보의 생성 처리 저장 전송 등을 포함
함
c) 문서화된 자산 목록은 기존 재고 목록과 적절하게 사용되어야
한다
d) 자산관리자 지정 및 정보 등급화가 되어 있고 이에 대한 문서화
가 되어 있음
e) 자산 목록은 효과적인 자산 보호를 보장해야 하며 자산의 안전
및 금융(자산 관리)에 사용할 수 있다
확장 711 자산의 목록 [에너지 유틸리티 관련 구현 지침]
조직의 중요한 자산의 재고를 유지하고 관리하는 경우 별개의 책임
을 명확하게 규정하고 문서화해야 한다
자산의 재고는 관련된 프로세스 제어 시스템 자산과 응용프로그램
의 정보를 모두 포함한다
[에너지 유틸리티에 대한 추가 정보]
상기 분류에 대해 보충으로 에너지 공급 영역의 다른 넓은 범위의
섹터별 특정 자산 카테고리 또한 포함한다
a) 정보 그리드 및 네트워크 계획 스케줄링과 우선순위 정보 지리
와 지리참조 정보 위기와 비상계획 그리드 재해 복구 계획 스위칭
동작 정보 측정된 값 및 측정 데이터 계량 및 계량된 데이터 운영
기록 모수화 데이터 측정 및 메시지 아카이브
b) 소프트웨어 프로세스 제어 소프트웨어 시각화 시스템 에너지
관리 및 최적화 소프트웨어 시뮬레이션 소프트웨어 모수화 소프트
웨어 관리 및 모니터링 시스템 운영 자원 관리(ERP) 시스템 프로그
래밍 환경 펌웨어 아카이빙 소프트웨어 기타 등
c) 물리적 자산 제어 및 자동화 구성요소 원격 측정 및 원격 제어
구성요소 원격 단말 장치 데이터 전송 시스템 구성요소 디지털 보
호 및 안전 요소 디지털 계량 및 측정 장치 스마트 미터 디지털 센
서 및 작동 요소 모수화 및 프로그래밍 장치 시각화 및 운영요소
디지털 모니터링 및 기록 시스템 기타 등
d) 서비스 통신 서비스 비상 통신 서비스 정보 서비스 기상 서비
스 기타 등
A812 자산의 소유권 소유된 자산은 목록으로 유지되어야 한다 정보처리시설과 관련된 모든 정보 및 자산은 조직 내에서 명시적으
로 자산의 관리자를 지정 하여 관리하여야 함
a) 자산을 확실하게 파악 조사해야 함
b) 자산의 적절한 등급 분류와 보호 보장
c) 접근통제 정책에 대한 정의 및 주기적인 검토
d) 자산의 파기 혹은 삭제 할 때의 적절한 처리
확장 721 자산의 소유권 [에너지 유틸리티에 대한 추가 정보]
프로세스 제어 시스템을 사용하는 조직의 잠재적으로 복잡한 구조는
상업 및 운영 소유권의 종료와 관련하여 매우 다양한 책임을 의미한
다 결과적으로 자산 소유권 및 관련 책임 정보보안의 관점에서 자
산 소유자와 자산 운영자의 역할은 정확하게 정의되고 문서화되어야
한다
세부통제항목 내용
ISO270012013 ISO270022013 200192013 반영
270192013 반영 270022013 반영 27001 인증 규격
[ ICS 전용 정보보호 관리체계 진단 기준 ] 21개 항목 29개 세부기준
[ 27001 인증 심사 시 27019 Energy Utility 분야 보안 모범사례 반영 ]
A712 고용 약정 및 조건
직원 및 계약직 인원의 계약합의서에서는 조직과 그들의 정보보안책
임을 명시해야 한다
813 고용 조건
[에너지 유틸리티 관련 구현 지침]
파업권 또는 비상 상황에서 최대 근로 시간을 초과할 권한으로 직원
의 권리에 대한 제한은 중요 인프라 및 민감함 시스템의 동작을 위한
허용 가능한 법적 요구사항으로 주요한 개인의 책임을 고려해야 한
다 고용 계약을 체결하는 경우 모니터와 같은 스위칭 동작 등 특정
작업 기록에 관한 협정도 고려해야 한다
X805 기술 영역 차용 - 계정관리 - 권한관리 - 접근통제 - 가용성 - 무결성 - 암호화 - 부인방지
참고 진단 기준 - 기반시설 진단 기준 - SK인포섹 점검기준
- ITU-T X805 기반 진단 기준을 수립 중이며 해당 기준은 자경단 Deloitte 진단 Framework(56개 점검항목 2015년 작성) 및 주요정보통신기반시설 진단 기준을 100 포함하고 있음
- PLCRTU 등의 Firmware
Embeded OS RTOS 에 적용 가
능한 최상의 보안 수준을 적용하
는가
- 인가된 자만 시스템에 접속 가능 여부 확인
비밀번호 컴플라이언스 충족 여부 확인 등
- replay attack 등의 방지를 위한 인가 IP 접속 기
능 적용 확인 (보안장비 대체 적용 여부 확인)
- 장비간 주요 정보 통신 시 암호화 적용 미흡할
경우 이를 보완하는 보안장비 적용 여부 확인
- 54개 항목
114개 항목 38개 항목
SK인포섹 13486 경기도 성남시 분당구 판교로255번길 46 4층 E-mail skinfosecmktskcom TEL 02)6361-9114 FAX 02) 6361-9998
201604
The Trust Beyond the Security
ISA95 Standard Industry Architecture
[ Products ] [ Description of Level ]
Source ISA( International Society of Automation) ISA95 Enterprise-Control Integration Standard)
Business Logistics Plant Production Scheduling Shipping
Receiving Inventory etc
Manufacturing Operation Management
Dispatching Detailed Production Scheduling Production Tracking
Continuous Production
Control
Discrete Production
Control
Batch Production
Control
L4
L3
L2
L1
L0 Field DeviceInstrumentation
Equipment
Production Data Acquisition
Monitoring amp Automation Control
ERP for Manufacturing
SCM WMS
MES PLM
DCS SCADA Unit Level Control
Process Safety System
PLC HMI Machine Control
Discrete Safety System
Motors Drive Pumps Valves Compressors Actuators Robotics
②
①
[ 관리 ]
경영
생산
IT
OA
Biz
ICS
Purdue Reference Model
2 ICS 구성에 대한 이해 ndash 표준 Architecture
15
OT
FA
Critical Infra
Level 5 Enterprise (DMZ) Level 5 Enterprise
Level 3 Site Manufacturing Operation and Control
Level2 Area Supervisory Control
Level1 Basic Control
Level 0 Process
Level 4 Site Business Planning and Logistics
The Trust Beyond the Security 3 IT 보안컨설팅방법론 차용
16
빈도lsquo상rsquo 수행 모듈
빈도lsquo중rsquo 수행 모듈
빈도lsquo하rsquo 수행 모듈
범례
분석 [P1] 평가 [P2] 설계 [P3] 구현 [P4] 이행 [P5]
bull 국내 법규 bull 국내외 컴플라이언스
bull 정보보호 인증 규격
참조기준
bull Gap 분석 bull 인터뷰 bull 문서검토 bull 실사
수행기법
bull 진단 항목 bull (정품)진단도구 자체 개발 도구 bull FIRST 및 CVE DB 등
Tool
Consulting Process
요구사항 분석
조직업무 IT환경 분석
기술(요소)분석
자산분석∙평가
위협분석∙평가
취약점분석∙평가 (관리물리IT시스템)
취약점분석∙평가 (모의해킹진단)
위험분석∙평가
정보보호 Framework 설계
체계설계 (관리기술 Arch)
정보보호 솔루션 선정
마스터플랜 수립
조직체계 구현
이행점검 (모의감사)
이행지원
정책지침 재개정
T1
T2
T3
T1
T3
T6
T1
T2
T3
T1
T2
T3
T1
T2
T2
T5
T4
1
2
기술(요소)분석 ICS 분석 Framework (ICS Layering 및 ITU-T X805 보안기술영역 차용 [ISCM-ICS-P1-T3] SCADA용 Continuous Process용 Discrete Process용 구현) ICS보안정보분석서 (SCADA용 Purdue 모델 Protocol 기반 보안정보분석서 구현)
취약점 분석ㆍ평가 관리물리 기술영역 모의해킹 진단 항목 (모의해킹은 진단 시나리오 포함) [ISCM-ICS-P2-T3] [ISCM-ICS-P2-T4] [ISCM-ICS-P2-T5]
1
2
2
The Trust Beyond the Security 4 ICS 보안분석프레임워크
17
분석 Framework
[ Products ] [ 구분 ]
[Control Center] HMI--MTU--FEP[|OPC] Historian
(HMI Viewer)--HMI(OPC Historian)--PLCs--장치
Actuators (Drive Valves Compressors
Robotics hellip)
ERP SCM WMS IT Infra System 점검 영역 갈음
예외) 점검 대상 SAP ERP MII ndash PCo
MES PLM ( ProcessㆍManufacturing Operation Management )
Field Device Instrumentation Equipment
High Lv Protocol OPC ICCP MMS hellip Low Lv Prptocol Modbus DNP3 PROFIBUS WLAN PAN Mobile 유선
[ System Layering ]
경영
생산
IT
OA
Biz
ICS
분석 Framework를 통한 ICS보안정보분석
OT
FA
Critical Infra
산업정보관리
산업공정운영
산업제어시스템
Sensor Motor Pump
hellip IED n IED 1 IED 2 IED 3
Data Comm
ICS(SCADADCS) 보안정보 분석 Framework
권한관리 정보(Data) 보안 통신보안 무결성 보안 가용성 보안 비고
Lv1 Lv2 Lv3 관리 물리 PT 기술 계정관리 인증관리 비밀번호 기타 (보안 솔루션 등)
1Management Information
System 경영정보시스템
2Enterprise Resource
planning 전사 자원 관리
3Supply Chain Management
공급망 관리 시스템
4Warehouse Management
System 창고관리시스템
5
Manufacturing
Operation
Management
PLM
Product Lifecycle
Management 제품 수명주기
관리
6 APC
Advanced Process Control
고급공정제어기술로서 DCS
포함 기술임
7 MES
Manufacturing Execution
System 생산관리시스템
산업군에 따라 Lv2 영역 중첩
8[ Control
Center ][Center] HMI
Human-Machine Interface
센터 측면 통합 관제시스템
Field level HMI 고려 대상
(아주 간단한 제어기능 포함)
9 MTUMain Terminal Unit
SCADA 경우 Server를 의미
10 [ FEP ]
Front-End Processor
Gateway 역할 수행 (옵션)
PLC의 프로토콜 적용 수준을
확장해 주는 역할 수행
통신 관리자 감독 중앙시스
템에 보고 분리된 AP 기능
통합 등을 수행
11 Misc
Runtile Library(다른 컨트롤
시스템 업무시스템 통합
Alarms Contigency
Analysis Project Files
12 Data Comm[상위레벨 데이터]
통신 프로토콜
OPC
ICCP
hellip
13[하위레벨 데이터]
통신 프로토콜
Modbus
DNP3
14Vendor Dependent
Protocol
사이트에는 일반적으로 벤더
에서 개발된 독자적 프로토콜
이 사용됨 (150여개 혼용)
15 WLAN PAN
IEEE80211abgnac(Wi-Fi)
ZigBee(Peer-to-Peer)
Bluetooth(Master-Slave)
16 원거리 통신
- Cable Comm PSTN
(MODEM) 전용선 전력선
광케이블
- Mesh RF WirelessHART
ZigBee Wi-Fi mesh
ISA10011
- Licensed Radio
Microwave
- Cellular Backhaul CDMA
GSM LTE
- Satellite Uplink VSAT
BGAN
17 Control [Field] HMI
Human-Machine Interface
다수 PLC 등과 직접 연결되
어 제어 수행
18 RTU
Remote Terminal Unit
Firmware [gt Embeded OS gt
RTOS] 탑재 장치 일반적으로
SCADA 내에서 센서 데이터
를 디지털로 변환시켜 관리
시스템에 전송하는 통신 장치
역할 수행
19 PLC
Programmable Logic
Controller RTOS 탑재 장치
DCS의 경우 RTU 역할 포함
(자체 GUI HMI 제공 uarr)
20 [Plant] Historian
별도의 DB를 갖는 operation
HIStorian Server를 의미
DMZ의 Shared HIStorian의
경우 업무망에서 PLC 직접
접근방지 Historian를 통하여
데이터 접근 허용함
21 [ PAC ][programerable |] Process
Automation Controller
22 [ PMU ]
Phaser Measurement Unit
전력 시장 실시간 AC 파형을
수학적으로 표현(분석용도)
IEEE C37 118 사용 GPS 시
각 동기화(Synchro-phasers)
23 IED
Intelligent Electronic Device
Actuator 등에 붙어 MTU 명
령없이 자체처리 수준을 정의
하여 수행 (필요시 RTU와 통
신)
24 ActuatorSensor Motor Valve 등을
통칭하는 일반 용어
25 Sensor -
26 (Level 0) Mortor -
27 Misc
Drive Pumps Valves
Compressors(압축기) 버너
Robotics 솔레노이드
WMS
산
업
공
정
관
리
산
업
제
어
시
스
템
(
I
C
S
I
n
d
u
s
t
r
i
a
l
C
o
n
t
r
o
l
S
y
s
t
e
m
)
NO구분
설명취약점 분석 접근제어
산
업
정
보
관
리
MIS
ERP
SCM
Field Device
Instrumentation
Equipment
ITU-T X805 차용
- 접근제어 - 권한관리 - 정보보안 - 통신보안 - 무결성보안 - 가용성보안
Digital Analog Digital + Analog
참조 ISA95 amp Purdue Model
The Trust Beyond the Security 5 ICS 보안정보분석서
18
ICS Purdue Model 기반의 보안정보분석서
대구분 설명 공격 형태 취약성 정보 보호대책
Lv5 Enterprise Business Network
Lv4
Site Business Planning and
Logitics
Business Unit or Plant Network
-
Air-gap 구성안 (Waterfall 솔루션)
- 상위 망 - Airgap - 하위 망
Airgap Phygical or Unidirectional Airgap using a
Data Diode (단방향 통신 게이트웨이)
Data Diode in bypass mode(단방향 두개 설치)
Logical Airgap FW 이용
Data Guard
- 패킷의 모든 데이터(메시지 파일 유형 등) 검사
--gt network packet whitelist 솔루션
DMZDMZ
- 개발시스템 앱 서버 등TBD
- Shared HIStorian을 통한 Field Devices 직접 통제를
제한함으로써 침해 위협 조치
- Data Classification (데이터 위치 이동방향에 따른 레벨)
- DNS Sec 등 IT System 보안
-
- Honeypot Tech [low | high] Interaction Honeypots
결과분석에 필요한 리소스 보유 필요
사용 시 위험요소가 존재하는 지 확인 필요
허니팟을 통해 어떤 정보를 얻을 수 있는지 확인 필요
주gt 비용 인원 기술 한계점 파악 등 선결 내용
Manufacturing
Zone
(Operation Zone
Lv3210 포함)
Lv3
Production amp Scheduling System
Plant HIStorian
HMI DBMS
Console Workstation
Operation Support (Simulation amp
Modeling System Operation
Analysis System Test System
Engineering Workstation Misc)
Site Manufacturing
Operation amp Control
운영 지원
- ICS 테스트 amp 개발
- 데이터 분석
- 엔지니어링 설계 및 구성
- DHCP LDAP DNS File
Server 등의 IT시스템
공격자의 주 타겟 중 하나 HMIs
- Default or Weak Passwords
Brute force or dictionary attack 등으로 크랙 가능
- Web-based Attack
인증우회취약한세션관리LFIRFIXSSCSRFSQLinjection
- Malware on USB Device (Lv32)
Stuxnet OO Duqu(2011) Flame(2012) Shamoon(2012)
HavexDargonfly(2014) Black Energy BE2 (2014)
- Compromised IT System (ServerPC)
- DNS Spoofing(Cash Poisoning)
ICS Hardening
- AP whitelisting AP Sandboxing
--gt Windows(AppLocker) 및 third-party 솔루션
- Tripwire iptables chroot() chkrootkit
- Historian DBMS 보안 적용
- DNS Spoofing 방어 DNS 서버 설정 강화
DNS 서버를 다른 시큐리티 존에 위치시킴
-
- TOPINO CMP(콘솔) Xenon SA(Security Appliance)
가용성 산업용 HW Spec 제품 설치구성테스트
firmware update 시 무중단 가용성 지원
단방향양방향 통신 모드 모두 지원
주로 Modbus 같은 산업용 네트워크 프로토콜 제어
장비 프로파일 기반의 방화벽 룰 적용
LSM(Loadable Security Module) being installed Appliance
Lv2
Supervisory Control Network
(-Plant- Data Historian
Engineering Workstation
Comm Front-ends)
Area Supervisory Control
Control Server Compromise
- [Malicious Insider gt] Authentication bypass in HMI
- Malicious USB Key | client-side attack
gt Compromised Engineer Credentials
- Remote Station Physical Compromise
gt Compromised Field Device or Network
- Port Scanning Googling SHODAN 검색
- Default admin username amp password Deffault
running services Default security settings
- Poor AuthenticationAuthorization
SCADA Pass 모니터 부착 PW 메모지 등
- Buffer Overflows and Remote Code Execution
- Attacking Historian and DB
Attacks on Network Comm
- Traffic Capture injection relay Data Extraction DoS
Spoofing Control Signals Wireless Attacks MITM
Fuzzing(데이터 입력 테스트 기법) Network Protocol
DoS Attack Jamming RF EMT(Electro Magnetic
Transmission
MITM 기반 기술 ARP Spoofing (주로 HMI - PLC 간)
취약한 무결성 체크 및 인증 시스템
- Eavesdropping WiFi Bluetooth ZeeBee GSM
- Masquerading Evil Twin 공격 GSM 공격
FEP 등 원격지 공격 코드 실행
upstream (시리얼 프로토콜) 공격
Hardening ICS Control Software
- SW Vendor로부터의 보안 방안 적용
- 유선 보안솔루션의 VPN proxy 인터페이스 사용
AP Whitelisting Sandboxing
- 기본 구성 취약점 보호대책
암호키 만료갱신 암호강화 관리자 역할 강화 장치인증
- Missing Security Patches
ICS는 시스템 특성상 보안설정 적용이 어려운 경우 존재
Security on Network Comm
- 취약한 인증 기능을 가진 프로토콜은 사용 지양
- 데이터 다이오드 등으로 관리 제어 영역 구분(대역 분리)
- VPN으로 네트워크 트래픽 암호화
- 프로토콜 고유의 시그니처를 이용한 패킷 모니터링
- ICS 제조사(eg Honeywell 등)가 기본 방화벽 설정 지원
Whitelist 방식의 차단 솔루션
허용되는 작동 외의 모든 작동을 차단하는 방식
Testbed 담당자는 하기 사유로 부정적 의견 제시
whitelist 방식으로 관리 시 다수의 예외 처리 필요
솔루션 예시 Ahnlab 솔루션 (하이닉스에서 사용중
방식 불명) Symantec 솔루션 (에이전트 방식 패킷 분석)
Lv1
Control Devices (RTU PLC
Control Processor Progammable
Relay Dedicated Control
Operator Workstation)
Basic Control
컨트롤 장치 Field
Components 영역
- SIS amp Protection System
과의 통합
- unauthentication on Wireless Access
- RTUPLC의 마스터 서버로의 데이터 전송을 악용한
원격 익스플로잇 등 공격 시도 가능
TBD
Lv0
Process Control Instrumentation
Bus Network (IED Actuator
Misc)
Process
(End-Point) Field Devices
Physical or Remote Devices Attacks
- 인증 과정 우회 공격 물리적 접근 HW 공격 인증 우회
Embedded Electronic Attacks
Dumping Data at Rest from EEPROMs
Bus Snooping Data in Motion
Using Entropy to Find Key
--gt 공격자는 저장장치 또는 버스에서 데이터 획득
--gt 비대칭키는 엔트로피 높음 그래프에서 변화폭 큼
Firmware Attacks
--gt 암호 키알고리즘 주파수 도약(hopping) 분석 가능
--gt 역공학 원격 익스플로잇 가능 취약점 탐색
펌웨어 수정 공격툴 업로드 목적
Controller amp Field Device Security
- 산업 네트워크 upstream amp downstream Field Bus
네트워크 장비 amp 통신 브릿지 산업용프로토콜
관리프로토콜 시간동기화 FW RTOS EmBededOS
NIC WS 프로그램 파일 진단계기 장비 원격접속
장비 안전보안 장비 보호 필요
- 물리보안 hellip 사용 가능 포트ㆍ진단 포트ㆍ무선 Inf
외관 검사ㆍanti-tamper 제어실 접근 알림 포함 필요
소구분
업무망
- 기업 현장 공장 시설
네트워크 포함
- ICS 데이터 획득 가능
- ICS 원격접속 주관
- NERC(the North-american Electric Reliability Corporation)
보안 정책 참고(기반시설 사이버보안을 위한 표준 프레임
워크 개발)
- IAEA(Internal Atomic Energy Agency)
- Log Management remote log server gt ICS Central log
server(Comm F-E 등) gt Primary Analysis log server
- Auditing Forensics(침해흔적 조사 포함)
- ICS BackupRestore BCP amp DRP Incident handling
- Compromised Remote Access
- Malicious Insider
- 공격 시나리오 원격지 gt 서버워크스테이션(HMI) SW 공격
(주로 OS는 UnixLinuxWin TCPIP) gt ICS DB를 타겟팅
Business Zone
Enforcement Zone
(각 Level은 Enforcement Zone에 의해 분리됨
-Firewall ACL IDS 데이터 다이오드 등-)
Business Zone과 OperationControl
Zone 사이에서 데이터를 공유하는 영역
(via Shared HIStorian) IT시스템
Safety Zone
Enforcement Zone
CellArea Zone
Enforcement Zone
ICS Data Comm 레벨 보안정보분석서
NO 설명 공격 형태 취약성 정보 보호대책 비고
1 OPC
- OLE for Process Control
- 서로 다른 종류의 PLC 제품들을
하나의 제어시스템으로 통합 운영
하기 위한 중간 역할
- 구성 OPC Client - OPC Server
- PLCs - devices
상위 레벨 프로토콜이므로 전용
서버 또는 HMI 등과 같이 운용
가능 (Windows OS 탑재 상위
프로토콜)
- OPC UA TCP502
OPC UA XML TCP80 TCP443
TBD TBD
- OLE Object Linking and Embedding
(선행조건 Windows OS 기반 ICS)
- High Level Data Protocol 특성
Human Readable Info
기업-Control Network간 동작
DB - AP 간 데이터 명령어 전송
제품 Kepware Technologies Co Ltd
KEPServerEX MatrikonOPC
Universal ICS Protocol
- OPC Modbus
2
ICCP
(IEC 60870-6
TASE2)
- Inter-control Center Comm
Protocol
- TCP102
- read only (TBD )
- 인증 암호화 기능 미보유
- 데이터 통신 시 ARP 사용
으로 인한 취약점 존재
- No Security
- Electric independent System Operator
(ISO)에서 사용 -Smart Grid 포함-
Eg MISO (Midwest-미국 중서부-
Independent System Operator)
3MMS
(IEC 61850-8-1)
- Manufacturing Messaging
Specification
- TCP102
- 변전소 사용 프로토콜
- 관리장비(HMI FEP) - 현장장비
(RTU PLC IED) 간 통신 용도
TBD TBD
참고 Energy Sector Specific Protocol
- DNP3 DLMSCOSEM(TCP4059
UDP4059) ICCP IEC 104(TCP102)
IEEE C37118 (TCP4712 UDP4713)
MMS
4 Modbus
- Serial TCP 용 Proto 존재
- Master-Slave
- port 502
TBD - No Security- low level data protocol 특성
clear text no authentication
5 Modbus TCP
- Modicon사에서 개발(1979년)한
requestreponse 체계의 간단한
Open 프로토콜
- 관리장비(HMI FEP) - 현장장비
(RTU PLC IED) 간 통신 용도
- Wireshark
대부분의 ICS 프로토콜을
지원하므로 공격 분 석
기능 지원
- 보안 미고려 설계 동작 방식
- Master Station이 field device를 폴링
- field device는 통신 초기화 불가능
6DNP3
(IEEE 1915-2012)
- Distributed Network Protocol
- MasterSlave
- Port 19999 with TLS
Port 20000 without TLS
- 관리장비(HMI FEP) - 현장장비
(RTU PLC IED) 간 통신 용도
TBD- 사용자 - 장치간 인증 및
데이터 보호 (TLS)
- 북아메리카 호주 등에서 주로 변전소
(electrical substation) 통신에 사용
- 경우에 따라 TCP20000 UDP20000
7 IEC 60870-5-104
- 관리장비(HMI FEP) - 현장장비
(RTU PLC IED) 간 통신 용도
- send request accept request
confirmation timeouts error
recovery 등이 function에 포함
TBD TBD- DNP 30과 유사하며 유럽 등에서는
DNP 30보다 사용률이 높음
8 HART TBD TBD TBD -
9 BACnet2- MasterSlave
- BACnetIP UDP47808TBD TBD - BMS(빌딩관리시스템) 프로토콜
10LonWorks
LonTalk3
- Peer-to-Peer
- LonTalk UDP1628 UDP1629
- LonTalk3 Port 1679
TBD TBD
- BMS(빌딩관리시스템) 프로토콜
종류 BACnetIP LonTalk Fox
Fox 프로토콜 (TridiumNiagara)
TCP1911
11 EthernetIP
- Ethernet 인프라에 적용하여 장치
(Host PLC Actuator CNC 기기
등) 간의 통신 용도
- 인터넷 통지 지원 (Web AP 지원)
- 산업용 AP를 위해 Ethernet 기술
표준 허용
TBD TBD
- 참고
OPC와 같은 데이터 접근교환을
위해 HTTPFTPSNMPDHCP 등
인터넷 프로토콜 표준 및 산업
프로토콜 표준과 호환성 보증
12 PROFIBUS
- SIEMENS 사에서 개발
- Fieldbus Network(EIA-485) 사용
- 버전 PROFIBUS DP(FA) FMS
(Multiple Master Peer-to-Peer)
PA(Process Automation)
- ProcessField 버스 사용상 이점
No TCPIP Overhead
Low latency
Non-routable
TBD TBD
- 통신 프로토콜의 변화
시리얼 --gt 네트워크 프로토콜
여러 통신층에서 정보 교환 가능
(eg Ethernet TCPIP)
- Ethernet 기반 ICS 통신 프로토콜
일부 ICS 시리얼 프로토콜은 Ethernet
인프라를 사용해서 변환 통신 수행
Goose Messaging (IEC 61850-9-1)
SAV or Sampled Values (61850-9-2)
Process Automation Specific Protocol
- EtherCAT(UDP34980) EthernetIP
(TCP44818 UDP2222 44818)
FL-net (UDP55000~55003) Fieldbus
HSE (TCP1089~1091UDP1089~1091)
HART-IP(TCP5094 UDP5094)
PROFINET (TCP34962~34964 UDP
34962~34964)
[상위 레벨 데이터]
통신 프로토콜
[하위 레벨 데이터]
통신 프로토콜
구분
공격형태 취약성 정보 보호대책
[하위 레벨 데이터] 통신
프로토콜
The Trust Beyond the Security 6 ICS 취약점분석 기준 ndash 관리물리기술영역
19
관리물리 취약점 진단 항목Framework 기술영역 취약점 진단 항목Framework
A731 퇴직 및 직무변경 책임 임직원 혹은 계약자에 대한 퇴직 혹은 업무 변경 후에
유효한 정보보호책임과 의무를 정의하고 강제해야 하
며 의사소통을 해야 한다
퇴직 및 직무 변경에 관한 책임이 명시적으로 정의되고 지정되어야
함
a) 퇴직 시 정보보호 서약서 징구 등을 통한 비밀유지 서약을 실시
함
b) 퇴직 후 정해진 기간 동안 비밀유지 책임을 명시함
c) 새로운 업무와 책임에 대한 책임은 통제 되어야 하며 직무 변경
및 고용 종료 후에도 책임에 대해 관리되어야 함
A811 자산 목록 정보 및 정보처리 설비와 관련된 자산은 식별하고 자
산목록을 작성하고 유지해야 한다
모든 자산은 명확하게 인식되고 모든 중요 자산의 목록은 관리되어
야 함
a) 모든 자산과 그 자산에 대해 중요도를 문서화함
b) 정보의 라이프사이클은 정보의 생성 처리 저장 전송 등을 포함
함
c) 문서화된 자산 목록은 기존 재고 목록과 적절하게 사용되어야
한다
d) 자산관리자 지정 및 정보 등급화가 되어 있고 이에 대한 문서화
가 되어 있음
e) 자산 목록은 효과적인 자산 보호를 보장해야 하며 자산의 안전
및 금융(자산 관리)에 사용할 수 있다
확장 711 자산의 목록 [에너지 유틸리티 관련 구현 지침]
조직의 중요한 자산의 재고를 유지하고 관리하는 경우 별개의 책임
을 명확하게 규정하고 문서화해야 한다
자산의 재고는 관련된 프로세스 제어 시스템 자산과 응용프로그램
의 정보를 모두 포함한다
[에너지 유틸리티에 대한 추가 정보]
상기 분류에 대해 보충으로 에너지 공급 영역의 다른 넓은 범위의
섹터별 특정 자산 카테고리 또한 포함한다
a) 정보 그리드 및 네트워크 계획 스케줄링과 우선순위 정보 지리
와 지리참조 정보 위기와 비상계획 그리드 재해 복구 계획 스위칭
동작 정보 측정된 값 및 측정 데이터 계량 및 계량된 데이터 운영
기록 모수화 데이터 측정 및 메시지 아카이브
b) 소프트웨어 프로세스 제어 소프트웨어 시각화 시스템 에너지
관리 및 최적화 소프트웨어 시뮬레이션 소프트웨어 모수화 소프트
웨어 관리 및 모니터링 시스템 운영 자원 관리(ERP) 시스템 프로그
래밍 환경 펌웨어 아카이빙 소프트웨어 기타 등
c) 물리적 자산 제어 및 자동화 구성요소 원격 측정 및 원격 제어
구성요소 원격 단말 장치 데이터 전송 시스템 구성요소 디지털 보
호 및 안전 요소 디지털 계량 및 측정 장치 스마트 미터 디지털 센
서 및 작동 요소 모수화 및 프로그래밍 장치 시각화 및 운영요소
디지털 모니터링 및 기록 시스템 기타 등
d) 서비스 통신 서비스 비상 통신 서비스 정보 서비스 기상 서비
스 기타 등
A812 자산의 소유권 소유된 자산은 목록으로 유지되어야 한다 정보처리시설과 관련된 모든 정보 및 자산은 조직 내에서 명시적으
로 자산의 관리자를 지정 하여 관리하여야 함
a) 자산을 확실하게 파악 조사해야 함
b) 자산의 적절한 등급 분류와 보호 보장
c) 접근통제 정책에 대한 정의 및 주기적인 검토
d) 자산의 파기 혹은 삭제 할 때의 적절한 처리
확장 721 자산의 소유권 [에너지 유틸리티에 대한 추가 정보]
프로세스 제어 시스템을 사용하는 조직의 잠재적으로 복잡한 구조는
상업 및 운영 소유권의 종료와 관련하여 매우 다양한 책임을 의미한
다 결과적으로 자산 소유권 및 관련 책임 정보보안의 관점에서 자
산 소유자와 자산 운영자의 역할은 정확하게 정의되고 문서화되어야
한다
세부통제항목 내용
ISO270012013 ISO270022013 200192013 반영
270192013 반영 270022013 반영 27001 인증 규격
[ ICS 전용 정보보호 관리체계 진단 기준 ] 21개 항목 29개 세부기준
[ 27001 인증 심사 시 27019 Energy Utility 분야 보안 모범사례 반영 ]
A712 고용 약정 및 조건
직원 및 계약직 인원의 계약합의서에서는 조직과 그들의 정보보안책
임을 명시해야 한다
813 고용 조건
[에너지 유틸리티 관련 구현 지침]
파업권 또는 비상 상황에서 최대 근로 시간을 초과할 권한으로 직원
의 권리에 대한 제한은 중요 인프라 및 민감함 시스템의 동작을 위한
허용 가능한 법적 요구사항으로 주요한 개인의 책임을 고려해야 한
다 고용 계약을 체결하는 경우 모니터와 같은 스위칭 동작 등 특정
작업 기록에 관한 협정도 고려해야 한다
X805 기술 영역 차용 - 계정관리 - 권한관리 - 접근통제 - 가용성 - 무결성 - 암호화 - 부인방지
참고 진단 기준 - 기반시설 진단 기준 - SK인포섹 점검기준
- ITU-T X805 기반 진단 기준을 수립 중이며 해당 기준은 자경단 Deloitte 진단 Framework(56개 점검항목 2015년 작성) 및 주요정보통신기반시설 진단 기준을 100 포함하고 있음
- PLCRTU 등의 Firmware
Embeded OS RTOS 에 적용 가
능한 최상의 보안 수준을 적용하
는가
- 인가된 자만 시스템에 접속 가능 여부 확인
비밀번호 컴플라이언스 충족 여부 확인 등
- replay attack 등의 방지를 위한 인가 IP 접속 기
능 적용 확인 (보안장비 대체 적용 여부 확인)
- 장비간 주요 정보 통신 시 암호화 적용 미흡할
경우 이를 보완하는 보안장비 적용 여부 확인
- 54개 항목
114개 항목 38개 항목
SK인포섹 13486 경기도 성남시 분당구 판교로255번길 46 4층 E-mail skinfosecmktskcom TEL 02)6361-9114 FAX 02) 6361-9998
201604
The Trust Beyond the Security 3 IT 보안컨설팅방법론 차용
16
빈도lsquo상rsquo 수행 모듈
빈도lsquo중rsquo 수행 모듈
빈도lsquo하rsquo 수행 모듈
범례
분석 [P1] 평가 [P2] 설계 [P3] 구현 [P4] 이행 [P5]
bull 국내 법규 bull 국내외 컴플라이언스
bull 정보보호 인증 규격
참조기준
bull Gap 분석 bull 인터뷰 bull 문서검토 bull 실사
수행기법
bull 진단 항목 bull (정품)진단도구 자체 개발 도구 bull FIRST 및 CVE DB 등
Tool
Consulting Process
요구사항 분석
조직업무 IT환경 분석
기술(요소)분석
자산분석∙평가
위협분석∙평가
취약점분석∙평가 (관리물리IT시스템)
취약점분석∙평가 (모의해킹진단)
위험분석∙평가
정보보호 Framework 설계
체계설계 (관리기술 Arch)
정보보호 솔루션 선정
마스터플랜 수립
조직체계 구현
이행점검 (모의감사)
이행지원
정책지침 재개정
T1
T2
T3
T1
T3
T6
T1
T2
T3
T1
T2
T3
T1
T2
T2
T5
T4
1
2
기술(요소)분석 ICS 분석 Framework (ICS Layering 및 ITU-T X805 보안기술영역 차용 [ISCM-ICS-P1-T3] SCADA용 Continuous Process용 Discrete Process용 구현) ICS보안정보분석서 (SCADA용 Purdue 모델 Protocol 기반 보안정보분석서 구현)
취약점 분석ㆍ평가 관리물리 기술영역 모의해킹 진단 항목 (모의해킹은 진단 시나리오 포함) [ISCM-ICS-P2-T3] [ISCM-ICS-P2-T4] [ISCM-ICS-P2-T5]
1
2
2
The Trust Beyond the Security 4 ICS 보안분석프레임워크
17
분석 Framework
[ Products ] [ 구분 ]
[Control Center] HMI--MTU--FEP[|OPC] Historian
(HMI Viewer)--HMI(OPC Historian)--PLCs--장치
Actuators (Drive Valves Compressors
Robotics hellip)
ERP SCM WMS IT Infra System 점검 영역 갈음
예외) 점검 대상 SAP ERP MII ndash PCo
MES PLM ( ProcessㆍManufacturing Operation Management )
Field Device Instrumentation Equipment
High Lv Protocol OPC ICCP MMS hellip Low Lv Prptocol Modbus DNP3 PROFIBUS WLAN PAN Mobile 유선
[ System Layering ]
경영
생산
IT
OA
Biz
ICS
분석 Framework를 통한 ICS보안정보분석
OT
FA
Critical Infra
산업정보관리
산업공정운영
산업제어시스템
Sensor Motor Pump
hellip IED n IED 1 IED 2 IED 3
Data Comm
ICS(SCADADCS) 보안정보 분석 Framework
권한관리 정보(Data) 보안 통신보안 무결성 보안 가용성 보안 비고
Lv1 Lv2 Lv3 관리 물리 PT 기술 계정관리 인증관리 비밀번호 기타 (보안 솔루션 등)
1Management Information
System 경영정보시스템
2Enterprise Resource
planning 전사 자원 관리
3Supply Chain Management
공급망 관리 시스템
4Warehouse Management
System 창고관리시스템
5
Manufacturing
Operation
Management
PLM
Product Lifecycle
Management 제품 수명주기
관리
6 APC
Advanced Process Control
고급공정제어기술로서 DCS
포함 기술임
7 MES
Manufacturing Execution
System 생산관리시스템
산업군에 따라 Lv2 영역 중첩
8[ Control
Center ][Center] HMI
Human-Machine Interface
센터 측면 통합 관제시스템
Field level HMI 고려 대상
(아주 간단한 제어기능 포함)
9 MTUMain Terminal Unit
SCADA 경우 Server를 의미
10 [ FEP ]
Front-End Processor
Gateway 역할 수행 (옵션)
PLC의 프로토콜 적용 수준을
확장해 주는 역할 수행
통신 관리자 감독 중앙시스
템에 보고 분리된 AP 기능
통합 등을 수행
11 Misc
Runtile Library(다른 컨트롤
시스템 업무시스템 통합
Alarms Contigency
Analysis Project Files
12 Data Comm[상위레벨 데이터]
통신 프로토콜
OPC
ICCP
hellip
13[하위레벨 데이터]
통신 프로토콜
Modbus
DNP3
14Vendor Dependent
Protocol
사이트에는 일반적으로 벤더
에서 개발된 독자적 프로토콜
이 사용됨 (150여개 혼용)
15 WLAN PAN
IEEE80211abgnac(Wi-Fi)
ZigBee(Peer-to-Peer)
Bluetooth(Master-Slave)
16 원거리 통신
- Cable Comm PSTN
(MODEM) 전용선 전력선
광케이블
- Mesh RF WirelessHART
ZigBee Wi-Fi mesh
ISA10011
- Licensed Radio
Microwave
- Cellular Backhaul CDMA
GSM LTE
- Satellite Uplink VSAT
BGAN
17 Control [Field] HMI
Human-Machine Interface
다수 PLC 등과 직접 연결되
어 제어 수행
18 RTU
Remote Terminal Unit
Firmware [gt Embeded OS gt
RTOS] 탑재 장치 일반적으로
SCADA 내에서 센서 데이터
를 디지털로 변환시켜 관리
시스템에 전송하는 통신 장치
역할 수행
19 PLC
Programmable Logic
Controller RTOS 탑재 장치
DCS의 경우 RTU 역할 포함
(자체 GUI HMI 제공 uarr)
20 [Plant] Historian
별도의 DB를 갖는 operation
HIStorian Server를 의미
DMZ의 Shared HIStorian의
경우 업무망에서 PLC 직접
접근방지 Historian를 통하여
데이터 접근 허용함
21 [ PAC ][programerable |] Process
Automation Controller
22 [ PMU ]
Phaser Measurement Unit
전력 시장 실시간 AC 파형을
수학적으로 표현(분석용도)
IEEE C37 118 사용 GPS 시
각 동기화(Synchro-phasers)
23 IED
Intelligent Electronic Device
Actuator 등에 붙어 MTU 명
령없이 자체처리 수준을 정의
하여 수행 (필요시 RTU와 통
신)
24 ActuatorSensor Motor Valve 등을
통칭하는 일반 용어
25 Sensor -
26 (Level 0) Mortor -
27 Misc
Drive Pumps Valves
Compressors(압축기) 버너
Robotics 솔레노이드
WMS
산
업
공
정
관
리
산
업
제
어
시
스
템
(
I
C
S
I
n
d
u
s
t
r
i
a
l
C
o
n
t
r
o
l
S
y
s
t
e
m
)
NO구분
설명취약점 분석 접근제어
산
업
정
보
관
리
MIS
ERP
SCM
Field Device
Instrumentation
Equipment
ITU-T X805 차용
- 접근제어 - 권한관리 - 정보보안 - 통신보안 - 무결성보안 - 가용성보안
Digital Analog Digital + Analog
참조 ISA95 amp Purdue Model
The Trust Beyond the Security 5 ICS 보안정보분석서
18
ICS Purdue Model 기반의 보안정보분석서
대구분 설명 공격 형태 취약성 정보 보호대책
Lv5 Enterprise Business Network
Lv4
Site Business Planning and
Logitics
Business Unit or Plant Network
-
Air-gap 구성안 (Waterfall 솔루션)
- 상위 망 - Airgap - 하위 망
Airgap Phygical or Unidirectional Airgap using a
Data Diode (단방향 통신 게이트웨이)
Data Diode in bypass mode(단방향 두개 설치)
Logical Airgap FW 이용
Data Guard
- 패킷의 모든 데이터(메시지 파일 유형 등) 검사
--gt network packet whitelist 솔루션
DMZDMZ
- 개발시스템 앱 서버 등TBD
- Shared HIStorian을 통한 Field Devices 직접 통제를
제한함으로써 침해 위협 조치
- Data Classification (데이터 위치 이동방향에 따른 레벨)
- DNS Sec 등 IT System 보안
-
- Honeypot Tech [low | high] Interaction Honeypots
결과분석에 필요한 리소스 보유 필요
사용 시 위험요소가 존재하는 지 확인 필요
허니팟을 통해 어떤 정보를 얻을 수 있는지 확인 필요
주gt 비용 인원 기술 한계점 파악 등 선결 내용
Manufacturing
Zone
(Operation Zone
Lv3210 포함)
Lv3
Production amp Scheduling System
Plant HIStorian
HMI DBMS
Console Workstation
Operation Support (Simulation amp
Modeling System Operation
Analysis System Test System
Engineering Workstation Misc)
Site Manufacturing
Operation amp Control
운영 지원
- ICS 테스트 amp 개발
- 데이터 분석
- 엔지니어링 설계 및 구성
- DHCP LDAP DNS File
Server 등의 IT시스템
공격자의 주 타겟 중 하나 HMIs
- Default or Weak Passwords
Brute force or dictionary attack 등으로 크랙 가능
- Web-based Attack
인증우회취약한세션관리LFIRFIXSSCSRFSQLinjection
- Malware on USB Device (Lv32)
Stuxnet OO Duqu(2011) Flame(2012) Shamoon(2012)
HavexDargonfly(2014) Black Energy BE2 (2014)
- Compromised IT System (ServerPC)
- DNS Spoofing(Cash Poisoning)
ICS Hardening
- AP whitelisting AP Sandboxing
--gt Windows(AppLocker) 및 third-party 솔루션
- Tripwire iptables chroot() chkrootkit
- Historian DBMS 보안 적용
- DNS Spoofing 방어 DNS 서버 설정 강화
DNS 서버를 다른 시큐리티 존에 위치시킴
-
- TOPINO CMP(콘솔) Xenon SA(Security Appliance)
가용성 산업용 HW Spec 제품 설치구성테스트
firmware update 시 무중단 가용성 지원
단방향양방향 통신 모드 모두 지원
주로 Modbus 같은 산업용 네트워크 프로토콜 제어
장비 프로파일 기반의 방화벽 룰 적용
LSM(Loadable Security Module) being installed Appliance
Lv2
Supervisory Control Network
(-Plant- Data Historian
Engineering Workstation
Comm Front-ends)
Area Supervisory Control
Control Server Compromise
- [Malicious Insider gt] Authentication bypass in HMI
- Malicious USB Key | client-side attack
gt Compromised Engineer Credentials
- Remote Station Physical Compromise
gt Compromised Field Device or Network
- Port Scanning Googling SHODAN 검색
- Default admin username amp password Deffault
running services Default security settings
- Poor AuthenticationAuthorization
SCADA Pass 모니터 부착 PW 메모지 등
- Buffer Overflows and Remote Code Execution
- Attacking Historian and DB
Attacks on Network Comm
- Traffic Capture injection relay Data Extraction DoS
Spoofing Control Signals Wireless Attacks MITM
Fuzzing(데이터 입력 테스트 기법) Network Protocol
DoS Attack Jamming RF EMT(Electro Magnetic
Transmission
MITM 기반 기술 ARP Spoofing (주로 HMI - PLC 간)
취약한 무결성 체크 및 인증 시스템
- Eavesdropping WiFi Bluetooth ZeeBee GSM
- Masquerading Evil Twin 공격 GSM 공격
FEP 등 원격지 공격 코드 실행
upstream (시리얼 프로토콜) 공격
Hardening ICS Control Software
- SW Vendor로부터의 보안 방안 적용
- 유선 보안솔루션의 VPN proxy 인터페이스 사용
AP Whitelisting Sandboxing
- 기본 구성 취약점 보호대책
암호키 만료갱신 암호강화 관리자 역할 강화 장치인증
- Missing Security Patches
ICS는 시스템 특성상 보안설정 적용이 어려운 경우 존재
Security on Network Comm
- 취약한 인증 기능을 가진 프로토콜은 사용 지양
- 데이터 다이오드 등으로 관리 제어 영역 구분(대역 분리)
- VPN으로 네트워크 트래픽 암호화
- 프로토콜 고유의 시그니처를 이용한 패킷 모니터링
- ICS 제조사(eg Honeywell 등)가 기본 방화벽 설정 지원
Whitelist 방식의 차단 솔루션
허용되는 작동 외의 모든 작동을 차단하는 방식
Testbed 담당자는 하기 사유로 부정적 의견 제시
whitelist 방식으로 관리 시 다수의 예외 처리 필요
솔루션 예시 Ahnlab 솔루션 (하이닉스에서 사용중
방식 불명) Symantec 솔루션 (에이전트 방식 패킷 분석)
Lv1
Control Devices (RTU PLC
Control Processor Progammable
Relay Dedicated Control
Operator Workstation)
Basic Control
컨트롤 장치 Field
Components 영역
- SIS amp Protection System
과의 통합
- unauthentication on Wireless Access
- RTUPLC의 마스터 서버로의 데이터 전송을 악용한
원격 익스플로잇 등 공격 시도 가능
TBD
Lv0
Process Control Instrumentation
Bus Network (IED Actuator
Misc)
Process
(End-Point) Field Devices
Physical or Remote Devices Attacks
- 인증 과정 우회 공격 물리적 접근 HW 공격 인증 우회
Embedded Electronic Attacks
Dumping Data at Rest from EEPROMs
Bus Snooping Data in Motion
Using Entropy to Find Key
--gt 공격자는 저장장치 또는 버스에서 데이터 획득
--gt 비대칭키는 엔트로피 높음 그래프에서 변화폭 큼
Firmware Attacks
--gt 암호 키알고리즘 주파수 도약(hopping) 분석 가능
--gt 역공학 원격 익스플로잇 가능 취약점 탐색
펌웨어 수정 공격툴 업로드 목적
Controller amp Field Device Security
- 산업 네트워크 upstream amp downstream Field Bus
네트워크 장비 amp 통신 브릿지 산업용프로토콜
관리프로토콜 시간동기화 FW RTOS EmBededOS
NIC WS 프로그램 파일 진단계기 장비 원격접속
장비 안전보안 장비 보호 필요
- 물리보안 hellip 사용 가능 포트ㆍ진단 포트ㆍ무선 Inf
외관 검사ㆍanti-tamper 제어실 접근 알림 포함 필요
소구분
업무망
- 기업 현장 공장 시설
네트워크 포함
- ICS 데이터 획득 가능
- ICS 원격접속 주관
- NERC(the North-american Electric Reliability Corporation)
보안 정책 참고(기반시설 사이버보안을 위한 표준 프레임
워크 개발)
- IAEA(Internal Atomic Energy Agency)
- Log Management remote log server gt ICS Central log
server(Comm F-E 등) gt Primary Analysis log server
- Auditing Forensics(침해흔적 조사 포함)
- ICS BackupRestore BCP amp DRP Incident handling
- Compromised Remote Access
- Malicious Insider
- 공격 시나리오 원격지 gt 서버워크스테이션(HMI) SW 공격
(주로 OS는 UnixLinuxWin TCPIP) gt ICS DB를 타겟팅
Business Zone
Enforcement Zone
(각 Level은 Enforcement Zone에 의해 분리됨
-Firewall ACL IDS 데이터 다이오드 등-)
Business Zone과 OperationControl
Zone 사이에서 데이터를 공유하는 영역
(via Shared HIStorian) IT시스템
Safety Zone
Enforcement Zone
CellArea Zone
Enforcement Zone
ICS Data Comm 레벨 보안정보분석서
NO 설명 공격 형태 취약성 정보 보호대책 비고
1 OPC
- OLE for Process Control
- 서로 다른 종류의 PLC 제품들을
하나의 제어시스템으로 통합 운영
하기 위한 중간 역할
- 구성 OPC Client - OPC Server
- PLCs - devices
상위 레벨 프로토콜이므로 전용
서버 또는 HMI 등과 같이 운용
가능 (Windows OS 탑재 상위
프로토콜)
- OPC UA TCP502
OPC UA XML TCP80 TCP443
TBD TBD
- OLE Object Linking and Embedding
(선행조건 Windows OS 기반 ICS)
- High Level Data Protocol 특성
Human Readable Info
기업-Control Network간 동작
DB - AP 간 데이터 명령어 전송
제품 Kepware Technologies Co Ltd
KEPServerEX MatrikonOPC
Universal ICS Protocol
- OPC Modbus
2
ICCP
(IEC 60870-6
TASE2)
- Inter-control Center Comm
Protocol
- TCP102
- read only (TBD )
- 인증 암호화 기능 미보유
- 데이터 통신 시 ARP 사용
으로 인한 취약점 존재
- No Security
- Electric independent System Operator
(ISO)에서 사용 -Smart Grid 포함-
Eg MISO (Midwest-미국 중서부-
Independent System Operator)
3MMS
(IEC 61850-8-1)
- Manufacturing Messaging
Specification
- TCP102
- 변전소 사용 프로토콜
- 관리장비(HMI FEP) - 현장장비
(RTU PLC IED) 간 통신 용도
TBD TBD
참고 Energy Sector Specific Protocol
- DNP3 DLMSCOSEM(TCP4059
UDP4059) ICCP IEC 104(TCP102)
IEEE C37118 (TCP4712 UDP4713)
MMS
4 Modbus
- Serial TCP 용 Proto 존재
- Master-Slave
- port 502
TBD - No Security- low level data protocol 특성
clear text no authentication
5 Modbus TCP
- Modicon사에서 개발(1979년)한
requestreponse 체계의 간단한
Open 프로토콜
- 관리장비(HMI FEP) - 현장장비
(RTU PLC IED) 간 통신 용도
- Wireshark
대부분의 ICS 프로토콜을
지원하므로 공격 분 석
기능 지원
- 보안 미고려 설계 동작 방식
- Master Station이 field device를 폴링
- field device는 통신 초기화 불가능
6DNP3
(IEEE 1915-2012)
- Distributed Network Protocol
- MasterSlave
- Port 19999 with TLS
Port 20000 without TLS
- 관리장비(HMI FEP) - 현장장비
(RTU PLC IED) 간 통신 용도
TBD- 사용자 - 장치간 인증 및
데이터 보호 (TLS)
- 북아메리카 호주 등에서 주로 변전소
(electrical substation) 통신에 사용
- 경우에 따라 TCP20000 UDP20000
7 IEC 60870-5-104
- 관리장비(HMI FEP) - 현장장비
(RTU PLC IED) 간 통신 용도
- send request accept request
confirmation timeouts error
recovery 등이 function에 포함
TBD TBD- DNP 30과 유사하며 유럽 등에서는
DNP 30보다 사용률이 높음
8 HART TBD TBD TBD -
9 BACnet2- MasterSlave
- BACnetIP UDP47808TBD TBD - BMS(빌딩관리시스템) 프로토콜
10LonWorks
LonTalk3
- Peer-to-Peer
- LonTalk UDP1628 UDP1629
- LonTalk3 Port 1679
TBD TBD
- BMS(빌딩관리시스템) 프로토콜
종류 BACnetIP LonTalk Fox
Fox 프로토콜 (TridiumNiagara)
TCP1911
11 EthernetIP
- Ethernet 인프라에 적용하여 장치
(Host PLC Actuator CNC 기기
등) 간의 통신 용도
- 인터넷 통지 지원 (Web AP 지원)
- 산업용 AP를 위해 Ethernet 기술
표준 허용
TBD TBD
- 참고
OPC와 같은 데이터 접근교환을
위해 HTTPFTPSNMPDHCP 등
인터넷 프로토콜 표준 및 산업
프로토콜 표준과 호환성 보증
12 PROFIBUS
- SIEMENS 사에서 개발
- Fieldbus Network(EIA-485) 사용
- 버전 PROFIBUS DP(FA) FMS
(Multiple Master Peer-to-Peer)
PA(Process Automation)
- ProcessField 버스 사용상 이점
No TCPIP Overhead
Low latency
Non-routable
TBD TBD
- 통신 프로토콜의 변화
시리얼 --gt 네트워크 프로토콜
여러 통신층에서 정보 교환 가능
(eg Ethernet TCPIP)
- Ethernet 기반 ICS 통신 프로토콜
일부 ICS 시리얼 프로토콜은 Ethernet
인프라를 사용해서 변환 통신 수행
Goose Messaging (IEC 61850-9-1)
SAV or Sampled Values (61850-9-2)
Process Automation Specific Protocol
- EtherCAT(UDP34980) EthernetIP
(TCP44818 UDP2222 44818)
FL-net (UDP55000~55003) Fieldbus
HSE (TCP1089~1091UDP1089~1091)
HART-IP(TCP5094 UDP5094)
PROFINET (TCP34962~34964 UDP
34962~34964)
[상위 레벨 데이터]
통신 프로토콜
[하위 레벨 데이터]
통신 프로토콜
구분
공격형태 취약성 정보 보호대책
[하위 레벨 데이터] 통신
프로토콜
The Trust Beyond the Security 6 ICS 취약점분석 기준 ndash 관리물리기술영역
19
관리물리 취약점 진단 항목Framework 기술영역 취약점 진단 항목Framework
A731 퇴직 및 직무변경 책임 임직원 혹은 계약자에 대한 퇴직 혹은 업무 변경 후에
유효한 정보보호책임과 의무를 정의하고 강제해야 하
며 의사소통을 해야 한다
퇴직 및 직무 변경에 관한 책임이 명시적으로 정의되고 지정되어야
함
a) 퇴직 시 정보보호 서약서 징구 등을 통한 비밀유지 서약을 실시
함
b) 퇴직 후 정해진 기간 동안 비밀유지 책임을 명시함
c) 새로운 업무와 책임에 대한 책임은 통제 되어야 하며 직무 변경
및 고용 종료 후에도 책임에 대해 관리되어야 함
A811 자산 목록 정보 및 정보처리 설비와 관련된 자산은 식별하고 자
산목록을 작성하고 유지해야 한다
모든 자산은 명확하게 인식되고 모든 중요 자산의 목록은 관리되어
야 함
a) 모든 자산과 그 자산에 대해 중요도를 문서화함
b) 정보의 라이프사이클은 정보의 생성 처리 저장 전송 등을 포함
함
c) 문서화된 자산 목록은 기존 재고 목록과 적절하게 사용되어야
한다
d) 자산관리자 지정 및 정보 등급화가 되어 있고 이에 대한 문서화
가 되어 있음
e) 자산 목록은 효과적인 자산 보호를 보장해야 하며 자산의 안전
및 금융(자산 관리)에 사용할 수 있다
확장 711 자산의 목록 [에너지 유틸리티 관련 구현 지침]
조직의 중요한 자산의 재고를 유지하고 관리하는 경우 별개의 책임
을 명확하게 규정하고 문서화해야 한다
자산의 재고는 관련된 프로세스 제어 시스템 자산과 응용프로그램
의 정보를 모두 포함한다
[에너지 유틸리티에 대한 추가 정보]
상기 분류에 대해 보충으로 에너지 공급 영역의 다른 넓은 범위의
섹터별 특정 자산 카테고리 또한 포함한다
a) 정보 그리드 및 네트워크 계획 스케줄링과 우선순위 정보 지리
와 지리참조 정보 위기와 비상계획 그리드 재해 복구 계획 스위칭
동작 정보 측정된 값 및 측정 데이터 계량 및 계량된 데이터 운영
기록 모수화 데이터 측정 및 메시지 아카이브
b) 소프트웨어 프로세스 제어 소프트웨어 시각화 시스템 에너지
관리 및 최적화 소프트웨어 시뮬레이션 소프트웨어 모수화 소프트
웨어 관리 및 모니터링 시스템 운영 자원 관리(ERP) 시스템 프로그
래밍 환경 펌웨어 아카이빙 소프트웨어 기타 등
c) 물리적 자산 제어 및 자동화 구성요소 원격 측정 및 원격 제어
구성요소 원격 단말 장치 데이터 전송 시스템 구성요소 디지털 보
호 및 안전 요소 디지털 계량 및 측정 장치 스마트 미터 디지털 센
서 및 작동 요소 모수화 및 프로그래밍 장치 시각화 및 운영요소
디지털 모니터링 및 기록 시스템 기타 등
d) 서비스 통신 서비스 비상 통신 서비스 정보 서비스 기상 서비
스 기타 등
A812 자산의 소유권 소유된 자산은 목록으로 유지되어야 한다 정보처리시설과 관련된 모든 정보 및 자산은 조직 내에서 명시적으
로 자산의 관리자를 지정 하여 관리하여야 함
a) 자산을 확실하게 파악 조사해야 함
b) 자산의 적절한 등급 분류와 보호 보장
c) 접근통제 정책에 대한 정의 및 주기적인 검토
d) 자산의 파기 혹은 삭제 할 때의 적절한 처리
확장 721 자산의 소유권 [에너지 유틸리티에 대한 추가 정보]
프로세스 제어 시스템을 사용하는 조직의 잠재적으로 복잡한 구조는
상업 및 운영 소유권의 종료와 관련하여 매우 다양한 책임을 의미한
다 결과적으로 자산 소유권 및 관련 책임 정보보안의 관점에서 자
산 소유자와 자산 운영자의 역할은 정확하게 정의되고 문서화되어야
한다
세부통제항목 내용
ISO270012013 ISO270022013 200192013 반영
270192013 반영 270022013 반영 27001 인증 규격
[ ICS 전용 정보보호 관리체계 진단 기준 ] 21개 항목 29개 세부기준
[ 27001 인증 심사 시 27019 Energy Utility 분야 보안 모범사례 반영 ]
A712 고용 약정 및 조건
직원 및 계약직 인원의 계약합의서에서는 조직과 그들의 정보보안책
임을 명시해야 한다
813 고용 조건
[에너지 유틸리티 관련 구현 지침]
파업권 또는 비상 상황에서 최대 근로 시간을 초과할 권한으로 직원
의 권리에 대한 제한은 중요 인프라 및 민감함 시스템의 동작을 위한
허용 가능한 법적 요구사항으로 주요한 개인의 책임을 고려해야 한
다 고용 계약을 체결하는 경우 모니터와 같은 스위칭 동작 등 특정
작업 기록에 관한 협정도 고려해야 한다
X805 기술 영역 차용 - 계정관리 - 권한관리 - 접근통제 - 가용성 - 무결성 - 암호화 - 부인방지
참고 진단 기준 - 기반시설 진단 기준 - SK인포섹 점검기준
- ITU-T X805 기반 진단 기준을 수립 중이며 해당 기준은 자경단 Deloitte 진단 Framework(56개 점검항목 2015년 작성) 및 주요정보통신기반시설 진단 기준을 100 포함하고 있음
- PLCRTU 등의 Firmware
Embeded OS RTOS 에 적용 가
능한 최상의 보안 수준을 적용하
는가
- 인가된 자만 시스템에 접속 가능 여부 확인
비밀번호 컴플라이언스 충족 여부 확인 등
- replay attack 등의 방지를 위한 인가 IP 접속 기
능 적용 확인 (보안장비 대체 적용 여부 확인)
- 장비간 주요 정보 통신 시 암호화 적용 미흡할
경우 이를 보완하는 보안장비 적용 여부 확인
- 54개 항목
114개 항목 38개 항목
SK인포섹 13486 경기도 성남시 분당구 판교로255번길 46 4층 E-mail skinfosecmktskcom TEL 02)6361-9114 FAX 02) 6361-9998
201604
The Trust Beyond the Security 4 ICS 보안분석프레임워크
17
분석 Framework
[ Products ] [ 구분 ]
[Control Center] HMI--MTU--FEP[|OPC] Historian
(HMI Viewer)--HMI(OPC Historian)--PLCs--장치
Actuators (Drive Valves Compressors
Robotics hellip)
ERP SCM WMS IT Infra System 점검 영역 갈음
예외) 점검 대상 SAP ERP MII ndash PCo
MES PLM ( ProcessㆍManufacturing Operation Management )
Field Device Instrumentation Equipment
High Lv Protocol OPC ICCP MMS hellip Low Lv Prptocol Modbus DNP3 PROFIBUS WLAN PAN Mobile 유선
[ System Layering ]
경영
생산
IT
OA
Biz
ICS
분석 Framework를 통한 ICS보안정보분석
OT
FA
Critical Infra
산업정보관리
산업공정운영
산업제어시스템
Sensor Motor Pump
hellip IED n IED 1 IED 2 IED 3
Data Comm
ICS(SCADADCS) 보안정보 분석 Framework
권한관리 정보(Data) 보안 통신보안 무결성 보안 가용성 보안 비고
Lv1 Lv2 Lv3 관리 물리 PT 기술 계정관리 인증관리 비밀번호 기타 (보안 솔루션 등)
1Management Information
System 경영정보시스템
2Enterprise Resource
planning 전사 자원 관리
3Supply Chain Management
공급망 관리 시스템
4Warehouse Management
System 창고관리시스템
5
Manufacturing
Operation
Management
PLM
Product Lifecycle
Management 제품 수명주기
관리
6 APC
Advanced Process Control
고급공정제어기술로서 DCS
포함 기술임
7 MES
Manufacturing Execution
System 생산관리시스템
산업군에 따라 Lv2 영역 중첩
8[ Control
Center ][Center] HMI
Human-Machine Interface
센터 측면 통합 관제시스템
Field level HMI 고려 대상
(아주 간단한 제어기능 포함)
9 MTUMain Terminal Unit
SCADA 경우 Server를 의미
10 [ FEP ]
Front-End Processor
Gateway 역할 수행 (옵션)
PLC의 프로토콜 적용 수준을
확장해 주는 역할 수행
통신 관리자 감독 중앙시스
템에 보고 분리된 AP 기능
통합 등을 수행
11 Misc
Runtile Library(다른 컨트롤
시스템 업무시스템 통합
Alarms Contigency
Analysis Project Files
12 Data Comm[상위레벨 데이터]
통신 프로토콜
OPC
ICCP
hellip
13[하위레벨 데이터]
통신 프로토콜
Modbus
DNP3
14Vendor Dependent
Protocol
사이트에는 일반적으로 벤더
에서 개발된 독자적 프로토콜
이 사용됨 (150여개 혼용)
15 WLAN PAN
IEEE80211abgnac(Wi-Fi)
ZigBee(Peer-to-Peer)
Bluetooth(Master-Slave)
16 원거리 통신
- Cable Comm PSTN
(MODEM) 전용선 전력선
광케이블
- Mesh RF WirelessHART
ZigBee Wi-Fi mesh
ISA10011
- Licensed Radio
Microwave
- Cellular Backhaul CDMA
GSM LTE
- Satellite Uplink VSAT
BGAN
17 Control [Field] HMI
Human-Machine Interface
다수 PLC 등과 직접 연결되
어 제어 수행
18 RTU
Remote Terminal Unit
Firmware [gt Embeded OS gt
RTOS] 탑재 장치 일반적으로
SCADA 내에서 센서 데이터
를 디지털로 변환시켜 관리
시스템에 전송하는 통신 장치
역할 수행
19 PLC
Programmable Logic
Controller RTOS 탑재 장치
DCS의 경우 RTU 역할 포함
(자체 GUI HMI 제공 uarr)
20 [Plant] Historian
별도의 DB를 갖는 operation
HIStorian Server를 의미
DMZ의 Shared HIStorian의
경우 업무망에서 PLC 직접
접근방지 Historian를 통하여
데이터 접근 허용함
21 [ PAC ][programerable |] Process
Automation Controller
22 [ PMU ]
Phaser Measurement Unit
전력 시장 실시간 AC 파형을
수학적으로 표현(분석용도)
IEEE C37 118 사용 GPS 시
각 동기화(Synchro-phasers)
23 IED
Intelligent Electronic Device
Actuator 등에 붙어 MTU 명
령없이 자체처리 수준을 정의
하여 수행 (필요시 RTU와 통
신)
24 ActuatorSensor Motor Valve 등을
통칭하는 일반 용어
25 Sensor -
26 (Level 0) Mortor -
27 Misc
Drive Pumps Valves
Compressors(압축기) 버너
Robotics 솔레노이드
WMS
산
업
공
정
관
리
산
업
제
어
시
스
템
(
I
C
S
I
n
d
u
s
t
r
i
a
l
C
o
n
t
r
o
l
S
y
s
t
e
m
)
NO구분
설명취약점 분석 접근제어
산
업
정
보
관
리
MIS
ERP
SCM
Field Device
Instrumentation
Equipment
ITU-T X805 차용
- 접근제어 - 권한관리 - 정보보안 - 통신보안 - 무결성보안 - 가용성보안
Digital Analog Digital + Analog
참조 ISA95 amp Purdue Model
The Trust Beyond the Security 5 ICS 보안정보분석서
18
ICS Purdue Model 기반의 보안정보분석서
대구분 설명 공격 형태 취약성 정보 보호대책
Lv5 Enterprise Business Network
Lv4
Site Business Planning and
Logitics
Business Unit or Plant Network
-
Air-gap 구성안 (Waterfall 솔루션)
- 상위 망 - Airgap - 하위 망
Airgap Phygical or Unidirectional Airgap using a
Data Diode (단방향 통신 게이트웨이)
Data Diode in bypass mode(단방향 두개 설치)
Logical Airgap FW 이용
Data Guard
- 패킷의 모든 데이터(메시지 파일 유형 등) 검사
--gt network packet whitelist 솔루션
DMZDMZ
- 개발시스템 앱 서버 등TBD
- Shared HIStorian을 통한 Field Devices 직접 통제를
제한함으로써 침해 위협 조치
- Data Classification (데이터 위치 이동방향에 따른 레벨)
- DNS Sec 등 IT System 보안
-
- Honeypot Tech [low | high] Interaction Honeypots
결과분석에 필요한 리소스 보유 필요
사용 시 위험요소가 존재하는 지 확인 필요
허니팟을 통해 어떤 정보를 얻을 수 있는지 확인 필요
주gt 비용 인원 기술 한계점 파악 등 선결 내용
Manufacturing
Zone
(Operation Zone
Lv3210 포함)
Lv3
Production amp Scheduling System
Plant HIStorian
HMI DBMS
Console Workstation
Operation Support (Simulation amp
Modeling System Operation
Analysis System Test System
Engineering Workstation Misc)
Site Manufacturing
Operation amp Control
운영 지원
- ICS 테스트 amp 개발
- 데이터 분석
- 엔지니어링 설계 및 구성
- DHCP LDAP DNS File
Server 등의 IT시스템
공격자의 주 타겟 중 하나 HMIs
- Default or Weak Passwords
Brute force or dictionary attack 등으로 크랙 가능
- Web-based Attack
인증우회취약한세션관리LFIRFIXSSCSRFSQLinjection
- Malware on USB Device (Lv32)
Stuxnet OO Duqu(2011) Flame(2012) Shamoon(2012)
HavexDargonfly(2014) Black Energy BE2 (2014)
- Compromised IT System (ServerPC)
- DNS Spoofing(Cash Poisoning)
ICS Hardening
- AP whitelisting AP Sandboxing
--gt Windows(AppLocker) 및 third-party 솔루션
- Tripwire iptables chroot() chkrootkit
- Historian DBMS 보안 적용
- DNS Spoofing 방어 DNS 서버 설정 강화
DNS 서버를 다른 시큐리티 존에 위치시킴
-
- TOPINO CMP(콘솔) Xenon SA(Security Appliance)
가용성 산업용 HW Spec 제품 설치구성테스트
firmware update 시 무중단 가용성 지원
단방향양방향 통신 모드 모두 지원
주로 Modbus 같은 산업용 네트워크 프로토콜 제어
장비 프로파일 기반의 방화벽 룰 적용
LSM(Loadable Security Module) being installed Appliance
Lv2
Supervisory Control Network
(-Plant- Data Historian
Engineering Workstation
Comm Front-ends)
Area Supervisory Control
Control Server Compromise
- [Malicious Insider gt] Authentication bypass in HMI
- Malicious USB Key | client-side attack
gt Compromised Engineer Credentials
- Remote Station Physical Compromise
gt Compromised Field Device or Network
- Port Scanning Googling SHODAN 검색
- Default admin username amp password Deffault
running services Default security settings
- Poor AuthenticationAuthorization
SCADA Pass 모니터 부착 PW 메모지 등
- Buffer Overflows and Remote Code Execution
- Attacking Historian and DB
Attacks on Network Comm
- Traffic Capture injection relay Data Extraction DoS
Spoofing Control Signals Wireless Attacks MITM
Fuzzing(데이터 입력 테스트 기법) Network Protocol
DoS Attack Jamming RF EMT(Electro Magnetic
Transmission
MITM 기반 기술 ARP Spoofing (주로 HMI - PLC 간)
취약한 무결성 체크 및 인증 시스템
- Eavesdropping WiFi Bluetooth ZeeBee GSM
- Masquerading Evil Twin 공격 GSM 공격
FEP 등 원격지 공격 코드 실행
upstream (시리얼 프로토콜) 공격
Hardening ICS Control Software
- SW Vendor로부터의 보안 방안 적용
- 유선 보안솔루션의 VPN proxy 인터페이스 사용
AP Whitelisting Sandboxing
- 기본 구성 취약점 보호대책
암호키 만료갱신 암호강화 관리자 역할 강화 장치인증
- Missing Security Patches
ICS는 시스템 특성상 보안설정 적용이 어려운 경우 존재
Security on Network Comm
- 취약한 인증 기능을 가진 프로토콜은 사용 지양
- 데이터 다이오드 등으로 관리 제어 영역 구분(대역 분리)
- VPN으로 네트워크 트래픽 암호화
- 프로토콜 고유의 시그니처를 이용한 패킷 모니터링
- ICS 제조사(eg Honeywell 등)가 기본 방화벽 설정 지원
Whitelist 방식의 차단 솔루션
허용되는 작동 외의 모든 작동을 차단하는 방식
Testbed 담당자는 하기 사유로 부정적 의견 제시
whitelist 방식으로 관리 시 다수의 예외 처리 필요
솔루션 예시 Ahnlab 솔루션 (하이닉스에서 사용중
방식 불명) Symantec 솔루션 (에이전트 방식 패킷 분석)
Lv1
Control Devices (RTU PLC
Control Processor Progammable
Relay Dedicated Control
Operator Workstation)
Basic Control
컨트롤 장치 Field
Components 영역
- SIS amp Protection System
과의 통합
- unauthentication on Wireless Access
- RTUPLC의 마스터 서버로의 데이터 전송을 악용한
원격 익스플로잇 등 공격 시도 가능
TBD
Lv0
Process Control Instrumentation
Bus Network (IED Actuator
Misc)
Process
(End-Point) Field Devices
Physical or Remote Devices Attacks
- 인증 과정 우회 공격 물리적 접근 HW 공격 인증 우회
Embedded Electronic Attacks
Dumping Data at Rest from EEPROMs
Bus Snooping Data in Motion
Using Entropy to Find Key
--gt 공격자는 저장장치 또는 버스에서 데이터 획득
--gt 비대칭키는 엔트로피 높음 그래프에서 변화폭 큼
Firmware Attacks
--gt 암호 키알고리즘 주파수 도약(hopping) 분석 가능
--gt 역공학 원격 익스플로잇 가능 취약점 탐색
펌웨어 수정 공격툴 업로드 목적
Controller amp Field Device Security
- 산업 네트워크 upstream amp downstream Field Bus
네트워크 장비 amp 통신 브릿지 산업용프로토콜
관리프로토콜 시간동기화 FW RTOS EmBededOS
NIC WS 프로그램 파일 진단계기 장비 원격접속
장비 안전보안 장비 보호 필요
- 물리보안 hellip 사용 가능 포트ㆍ진단 포트ㆍ무선 Inf
외관 검사ㆍanti-tamper 제어실 접근 알림 포함 필요
소구분
업무망
- 기업 현장 공장 시설
네트워크 포함
- ICS 데이터 획득 가능
- ICS 원격접속 주관
- NERC(the North-american Electric Reliability Corporation)
보안 정책 참고(기반시설 사이버보안을 위한 표준 프레임
워크 개발)
- IAEA(Internal Atomic Energy Agency)
- Log Management remote log server gt ICS Central log
server(Comm F-E 등) gt Primary Analysis log server
- Auditing Forensics(침해흔적 조사 포함)
- ICS BackupRestore BCP amp DRP Incident handling
- Compromised Remote Access
- Malicious Insider
- 공격 시나리오 원격지 gt 서버워크스테이션(HMI) SW 공격
(주로 OS는 UnixLinuxWin TCPIP) gt ICS DB를 타겟팅
Business Zone
Enforcement Zone
(각 Level은 Enforcement Zone에 의해 분리됨
-Firewall ACL IDS 데이터 다이오드 등-)
Business Zone과 OperationControl
Zone 사이에서 데이터를 공유하는 영역
(via Shared HIStorian) IT시스템
Safety Zone
Enforcement Zone
CellArea Zone
Enforcement Zone
ICS Data Comm 레벨 보안정보분석서
NO 설명 공격 형태 취약성 정보 보호대책 비고
1 OPC
- OLE for Process Control
- 서로 다른 종류의 PLC 제품들을
하나의 제어시스템으로 통합 운영
하기 위한 중간 역할
- 구성 OPC Client - OPC Server
- PLCs - devices
상위 레벨 프로토콜이므로 전용
서버 또는 HMI 등과 같이 운용
가능 (Windows OS 탑재 상위
프로토콜)
- OPC UA TCP502
OPC UA XML TCP80 TCP443
TBD TBD
- OLE Object Linking and Embedding
(선행조건 Windows OS 기반 ICS)
- High Level Data Protocol 특성
Human Readable Info
기업-Control Network간 동작
DB - AP 간 데이터 명령어 전송
제품 Kepware Technologies Co Ltd
KEPServerEX MatrikonOPC
Universal ICS Protocol
- OPC Modbus
2
ICCP
(IEC 60870-6
TASE2)
- Inter-control Center Comm
Protocol
- TCP102
- read only (TBD )
- 인증 암호화 기능 미보유
- 데이터 통신 시 ARP 사용
으로 인한 취약점 존재
- No Security
- Electric independent System Operator
(ISO)에서 사용 -Smart Grid 포함-
Eg MISO (Midwest-미국 중서부-
Independent System Operator)
3MMS
(IEC 61850-8-1)
- Manufacturing Messaging
Specification
- TCP102
- 변전소 사용 프로토콜
- 관리장비(HMI FEP) - 현장장비
(RTU PLC IED) 간 통신 용도
TBD TBD
참고 Energy Sector Specific Protocol
- DNP3 DLMSCOSEM(TCP4059
UDP4059) ICCP IEC 104(TCP102)
IEEE C37118 (TCP4712 UDP4713)
MMS
4 Modbus
- Serial TCP 용 Proto 존재
- Master-Slave
- port 502
TBD - No Security- low level data protocol 특성
clear text no authentication
5 Modbus TCP
- Modicon사에서 개발(1979년)한
requestreponse 체계의 간단한
Open 프로토콜
- 관리장비(HMI FEP) - 현장장비
(RTU PLC IED) 간 통신 용도
- Wireshark
대부분의 ICS 프로토콜을
지원하므로 공격 분 석
기능 지원
- 보안 미고려 설계 동작 방식
- Master Station이 field device를 폴링
- field device는 통신 초기화 불가능
6DNP3
(IEEE 1915-2012)
- Distributed Network Protocol
- MasterSlave
- Port 19999 with TLS
Port 20000 without TLS
- 관리장비(HMI FEP) - 현장장비
(RTU PLC IED) 간 통신 용도
TBD- 사용자 - 장치간 인증 및
데이터 보호 (TLS)
- 북아메리카 호주 등에서 주로 변전소
(electrical substation) 통신에 사용
- 경우에 따라 TCP20000 UDP20000
7 IEC 60870-5-104
- 관리장비(HMI FEP) - 현장장비
(RTU PLC IED) 간 통신 용도
- send request accept request
confirmation timeouts error
recovery 등이 function에 포함
TBD TBD- DNP 30과 유사하며 유럽 등에서는
DNP 30보다 사용률이 높음
8 HART TBD TBD TBD -
9 BACnet2- MasterSlave
- BACnetIP UDP47808TBD TBD - BMS(빌딩관리시스템) 프로토콜
10LonWorks
LonTalk3
- Peer-to-Peer
- LonTalk UDP1628 UDP1629
- LonTalk3 Port 1679
TBD TBD
- BMS(빌딩관리시스템) 프로토콜
종류 BACnetIP LonTalk Fox
Fox 프로토콜 (TridiumNiagara)
TCP1911
11 EthernetIP
- Ethernet 인프라에 적용하여 장치
(Host PLC Actuator CNC 기기
등) 간의 통신 용도
- 인터넷 통지 지원 (Web AP 지원)
- 산업용 AP를 위해 Ethernet 기술
표준 허용
TBD TBD
- 참고
OPC와 같은 데이터 접근교환을
위해 HTTPFTPSNMPDHCP 등
인터넷 프로토콜 표준 및 산업
프로토콜 표준과 호환성 보증
12 PROFIBUS
- SIEMENS 사에서 개발
- Fieldbus Network(EIA-485) 사용
- 버전 PROFIBUS DP(FA) FMS
(Multiple Master Peer-to-Peer)
PA(Process Automation)
- ProcessField 버스 사용상 이점
No TCPIP Overhead
Low latency
Non-routable
TBD TBD
- 통신 프로토콜의 변화
시리얼 --gt 네트워크 프로토콜
여러 통신층에서 정보 교환 가능
(eg Ethernet TCPIP)
- Ethernet 기반 ICS 통신 프로토콜
일부 ICS 시리얼 프로토콜은 Ethernet
인프라를 사용해서 변환 통신 수행
Goose Messaging (IEC 61850-9-1)
SAV or Sampled Values (61850-9-2)
Process Automation Specific Protocol
- EtherCAT(UDP34980) EthernetIP
(TCP44818 UDP2222 44818)
FL-net (UDP55000~55003) Fieldbus
HSE (TCP1089~1091UDP1089~1091)
HART-IP(TCP5094 UDP5094)
PROFINET (TCP34962~34964 UDP
34962~34964)
[상위 레벨 데이터]
통신 프로토콜
[하위 레벨 데이터]
통신 프로토콜
구분
공격형태 취약성 정보 보호대책
[하위 레벨 데이터] 통신
프로토콜
The Trust Beyond the Security 6 ICS 취약점분석 기준 ndash 관리물리기술영역
19
관리물리 취약점 진단 항목Framework 기술영역 취약점 진단 항목Framework
A731 퇴직 및 직무변경 책임 임직원 혹은 계약자에 대한 퇴직 혹은 업무 변경 후에
유효한 정보보호책임과 의무를 정의하고 강제해야 하
며 의사소통을 해야 한다
퇴직 및 직무 변경에 관한 책임이 명시적으로 정의되고 지정되어야
함
a) 퇴직 시 정보보호 서약서 징구 등을 통한 비밀유지 서약을 실시
함
b) 퇴직 후 정해진 기간 동안 비밀유지 책임을 명시함
c) 새로운 업무와 책임에 대한 책임은 통제 되어야 하며 직무 변경
및 고용 종료 후에도 책임에 대해 관리되어야 함
A811 자산 목록 정보 및 정보처리 설비와 관련된 자산은 식별하고 자
산목록을 작성하고 유지해야 한다
모든 자산은 명확하게 인식되고 모든 중요 자산의 목록은 관리되어
야 함
a) 모든 자산과 그 자산에 대해 중요도를 문서화함
b) 정보의 라이프사이클은 정보의 생성 처리 저장 전송 등을 포함
함
c) 문서화된 자산 목록은 기존 재고 목록과 적절하게 사용되어야
한다
d) 자산관리자 지정 및 정보 등급화가 되어 있고 이에 대한 문서화
가 되어 있음
e) 자산 목록은 효과적인 자산 보호를 보장해야 하며 자산의 안전
및 금융(자산 관리)에 사용할 수 있다
확장 711 자산의 목록 [에너지 유틸리티 관련 구현 지침]
조직의 중요한 자산의 재고를 유지하고 관리하는 경우 별개의 책임
을 명확하게 규정하고 문서화해야 한다
자산의 재고는 관련된 프로세스 제어 시스템 자산과 응용프로그램
의 정보를 모두 포함한다
[에너지 유틸리티에 대한 추가 정보]
상기 분류에 대해 보충으로 에너지 공급 영역의 다른 넓은 범위의
섹터별 특정 자산 카테고리 또한 포함한다
a) 정보 그리드 및 네트워크 계획 스케줄링과 우선순위 정보 지리
와 지리참조 정보 위기와 비상계획 그리드 재해 복구 계획 스위칭
동작 정보 측정된 값 및 측정 데이터 계량 및 계량된 데이터 운영
기록 모수화 데이터 측정 및 메시지 아카이브
b) 소프트웨어 프로세스 제어 소프트웨어 시각화 시스템 에너지
관리 및 최적화 소프트웨어 시뮬레이션 소프트웨어 모수화 소프트
웨어 관리 및 모니터링 시스템 운영 자원 관리(ERP) 시스템 프로그
래밍 환경 펌웨어 아카이빙 소프트웨어 기타 등
c) 물리적 자산 제어 및 자동화 구성요소 원격 측정 및 원격 제어
구성요소 원격 단말 장치 데이터 전송 시스템 구성요소 디지털 보
호 및 안전 요소 디지털 계량 및 측정 장치 스마트 미터 디지털 센
서 및 작동 요소 모수화 및 프로그래밍 장치 시각화 및 운영요소
디지털 모니터링 및 기록 시스템 기타 등
d) 서비스 통신 서비스 비상 통신 서비스 정보 서비스 기상 서비
스 기타 등
A812 자산의 소유권 소유된 자산은 목록으로 유지되어야 한다 정보처리시설과 관련된 모든 정보 및 자산은 조직 내에서 명시적으
로 자산의 관리자를 지정 하여 관리하여야 함
a) 자산을 확실하게 파악 조사해야 함
b) 자산의 적절한 등급 분류와 보호 보장
c) 접근통제 정책에 대한 정의 및 주기적인 검토
d) 자산의 파기 혹은 삭제 할 때의 적절한 처리
확장 721 자산의 소유권 [에너지 유틸리티에 대한 추가 정보]
프로세스 제어 시스템을 사용하는 조직의 잠재적으로 복잡한 구조는
상업 및 운영 소유권의 종료와 관련하여 매우 다양한 책임을 의미한
다 결과적으로 자산 소유권 및 관련 책임 정보보안의 관점에서 자
산 소유자와 자산 운영자의 역할은 정확하게 정의되고 문서화되어야
한다
세부통제항목 내용
ISO270012013 ISO270022013 200192013 반영
270192013 반영 270022013 반영 27001 인증 규격
[ ICS 전용 정보보호 관리체계 진단 기준 ] 21개 항목 29개 세부기준
[ 27001 인증 심사 시 27019 Energy Utility 분야 보안 모범사례 반영 ]
A712 고용 약정 및 조건
직원 및 계약직 인원의 계약합의서에서는 조직과 그들의 정보보안책
임을 명시해야 한다
813 고용 조건
[에너지 유틸리티 관련 구현 지침]
파업권 또는 비상 상황에서 최대 근로 시간을 초과할 권한으로 직원
의 권리에 대한 제한은 중요 인프라 및 민감함 시스템의 동작을 위한
허용 가능한 법적 요구사항으로 주요한 개인의 책임을 고려해야 한
다 고용 계약을 체결하는 경우 모니터와 같은 스위칭 동작 등 특정
작업 기록에 관한 협정도 고려해야 한다
X805 기술 영역 차용 - 계정관리 - 권한관리 - 접근통제 - 가용성 - 무결성 - 암호화 - 부인방지
참고 진단 기준 - 기반시설 진단 기준 - SK인포섹 점검기준
- ITU-T X805 기반 진단 기준을 수립 중이며 해당 기준은 자경단 Deloitte 진단 Framework(56개 점검항목 2015년 작성) 및 주요정보통신기반시설 진단 기준을 100 포함하고 있음
- PLCRTU 등의 Firmware
Embeded OS RTOS 에 적용 가
능한 최상의 보안 수준을 적용하
는가
- 인가된 자만 시스템에 접속 가능 여부 확인
비밀번호 컴플라이언스 충족 여부 확인 등
- replay attack 등의 방지를 위한 인가 IP 접속 기
능 적용 확인 (보안장비 대체 적용 여부 확인)
- 장비간 주요 정보 통신 시 암호화 적용 미흡할
경우 이를 보완하는 보안장비 적용 여부 확인
- 54개 항목
114개 항목 38개 항목
SK인포섹 13486 경기도 성남시 분당구 판교로255번길 46 4층 E-mail skinfosecmktskcom TEL 02)6361-9114 FAX 02) 6361-9998
201604
The Trust Beyond the Security 5 ICS 보안정보분석서
18
ICS Purdue Model 기반의 보안정보분석서
대구분 설명 공격 형태 취약성 정보 보호대책
Lv5 Enterprise Business Network
Lv4
Site Business Planning and
Logitics
Business Unit or Plant Network
-
Air-gap 구성안 (Waterfall 솔루션)
- 상위 망 - Airgap - 하위 망
Airgap Phygical or Unidirectional Airgap using a
Data Diode (단방향 통신 게이트웨이)
Data Diode in bypass mode(단방향 두개 설치)
Logical Airgap FW 이용
Data Guard
- 패킷의 모든 데이터(메시지 파일 유형 등) 검사
--gt network packet whitelist 솔루션
DMZDMZ
- 개발시스템 앱 서버 등TBD
- Shared HIStorian을 통한 Field Devices 직접 통제를
제한함으로써 침해 위협 조치
- Data Classification (데이터 위치 이동방향에 따른 레벨)
- DNS Sec 등 IT System 보안
-
- Honeypot Tech [low | high] Interaction Honeypots
결과분석에 필요한 리소스 보유 필요
사용 시 위험요소가 존재하는 지 확인 필요
허니팟을 통해 어떤 정보를 얻을 수 있는지 확인 필요
주gt 비용 인원 기술 한계점 파악 등 선결 내용
Manufacturing
Zone
(Operation Zone
Lv3210 포함)
Lv3
Production amp Scheduling System
Plant HIStorian
HMI DBMS
Console Workstation
Operation Support (Simulation amp
Modeling System Operation
Analysis System Test System
Engineering Workstation Misc)
Site Manufacturing
Operation amp Control
운영 지원
- ICS 테스트 amp 개발
- 데이터 분석
- 엔지니어링 설계 및 구성
- DHCP LDAP DNS File
Server 등의 IT시스템
공격자의 주 타겟 중 하나 HMIs
- Default or Weak Passwords
Brute force or dictionary attack 등으로 크랙 가능
- Web-based Attack
인증우회취약한세션관리LFIRFIXSSCSRFSQLinjection
- Malware on USB Device (Lv32)
Stuxnet OO Duqu(2011) Flame(2012) Shamoon(2012)
HavexDargonfly(2014) Black Energy BE2 (2014)
- Compromised IT System (ServerPC)
- DNS Spoofing(Cash Poisoning)
ICS Hardening
- AP whitelisting AP Sandboxing
--gt Windows(AppLocker) 및 third-party 솔루션
- Tripwire iptables chroot() chkrootkit
- Historian DBMS 보안 적용
- DNS Spoofing 방어 DNS 서버 설정 강화
DNS 서버를 다른 시큐리티 존에 위치시킴
-
- TOPINO CMP(콘솔) Xenon SA(Security Appliance)
가용성 산업용 HW Spec 제품 설치구성테스트
firmware update 시 무중단 가용성 지원
단방향양방향 통신 모드 모두 지원
주로 Modbus 같은 산업용 네트워크 프로토콜 제어
장비 프로파일 기반의 방화벽 룰 적용
LSM(Loadable Security Module) being installed Appliance
Lv2
Supervisory Control Network
(-Plant- Data Historian
Engineering Workstation
Comm Front-ends)
Area Supervisory Control
Control Server Compromise
- [Malicious Insider gt] Authentication bypass in HMI
- Malicious USB Key | client-side attack
gt Compromised Engineer Credentials
- Remote Station Physical Compromise
gt Compromised Field Device or Network
- Port Scanning Googling SHODAN 검색
- Default admin username amp password Deffault
running services Default security settings
- Poor AuthenticationAuthorization
SCADA Pass 모니터 부착 PW 메모지 등
- Buffer Overflows and Remote Code Execution
- Attacking Historian and DB
Attacks on Network Comm
- Traffic Capture injection relay Data Extraction DoS
Spoofing Control Signals Wireless Attacks MITM
Fuzzing(데이터 입력 테스트 기법) Network Protocol
DoS Attack Jamming RF EMT(Electro Magnetic
Transmission
MITM 기반 기술 ARP Spoofing (주로 HMI - PLC 간)
취약한 무결성 체크 및 인증 시스템
- Eavesdropping WiFi Bluetooth ZeeBee GSM
- Masquerading Evil Twin 공격 GSM 공격
FEP 등 원격지 공격 코드 실행
upstream (시리얼 프로토콜) 공격
Hardening ICS Control Software
- SW Vendor로부터의 보안 방안 적용
- 유선 보안솔루션의 VPN proxy 인터페이스 사용
AP Whitelisting Sandboxing
- 기본 구성 취약점 보호대책
암호키 만료갱신 암호강화 관리자 역할 강화 장치인증
- Missing Security Patches
ICS는 시스템 특성상 보안설정 적용이 어려운 경우 존재
Security on Network Comm
- 취약한 인증 기능을 가진 프로토콜은 사용 지양
- 데이터 다이오드 등으로 관리 제어 영역 구분(대역 분리)
- VPN으로 네트워크 트래픽 암호화
- 프로토콜 고유의 시그니처를 이용한 패킷 모니터링
- ICS 제조사(eg Honeywell 등)가 기본 방화벽 설정 지원
Whitelist 방식의 차단 솔루션
허용되는 작동 외의 모든 작동을 차단하는 방식
Testbed 담당자는 하기 사유로 부정적 의견 제시
whitelist 방식으로 관리 시 다수의 예외 처리 필요
솔루션 예시 Ahnlab 솔루션 (하이닉스에서 사용중
방식 불명) Symantec 솔루션 (에이전트 방식 패킷 분석)
Lv1
Control Devices (RTU PLC
Control Processor Progammable
Relay Dedicated Control
Operator Workstation)
Basic Control
컨트롤 장치 Field
Components 영역
- SIS amp Protection System
과의 통합
- unauthentication on Wireless Access
- RTUPLC의 마스터 서버로의 데이터 전송을 악용한
원격 익스플로잇 등 공격 시도 가능
TBD
Lv0
Process Control Instrumentation
Bus Network (IED Actuator
Misc)
Process
(End-Point) Field Devices
Physical or Remote Devices Attacks
- 인증 과정 우회 공격 물리적 접근 HW 공격 인증 우회
Embedded Electronic Attacks
Dumping Data at Rest from EEPROMs
Bus Snooping Data in Motion
Using Entropy to Find Key
--gt 공격자는 저장장치 또는 버스에서 데이터 획득
--gt 비대칭키는 엔트로피 높음 그래프에서 변화폭 큼
Firmware Attacks
--gt 암호 키알고리즘 주파수 도약(hopping) 분석 가능
--gt 역공학 원격 익스플로잇 가능 취약점 탐색
펌웨어 수정 공격툴 업로드 목적
Controller amp Field Device Security
- 산업 네트워크 upstream amp downstream Field Bus
네트워크 장비 amp 통신 브릿지 산업용프로토콜
관리프로토콜 시간동기화 FW RTOS EmBededOS
NIC WS 프로그램 파일 진단계기 장비 원격접속
장비 안전보안 장비 보호 필요
- 물리보안 hellip 사용 가능 포트ㆍ진단 포트ㆍ무선 Inf
외관 검사ㆍanti-tamper 제어실 접근 알림 포함 필요
소구분
업무망
- 기업 현장 공장 시설
네트워크 포함
- ICS 데이터 획득 가능
- ICS 원격접속 주관
- NERC(the North-american Electric Reliability Corporation)
보안 정책 참고(기반시설 사이버보안을 위한 표준 프레임
워크 개발)
- IAEA(Internal Atomic Energy Agency)
- Log Management remote log server gt ICS Central log
server(Comm F-E 등) gt Primary Analysis log server
- Auditing Forensics(침해흔적 조사 포함)
- ICS BackupRestore BCP amp DRP Incident handling
- Compromised Remote Access
- Malicious Insider
- 공격 시나리오 원격지 gt 서버워크스테이션(HMI) SW 공격
(주로 OS는 UnixLinuxWin TCPIP) gt ICS DB를 타겟팅
Business Zone
Enforcement Zone
(각 Level은 Enforcement Zone에 의해 분리됨
-Firewall ACL IDS 데이터 다이오드 등-)
Business Zone과 OperationControl
Zone 사이에서 데이터를 공유하는 영역
(via Shared HIStorian) IT시스템
Safety Zone
Enforcement Zone
CellArea Zone
Enforcement Zone
ICS Data Comm 레벨 보안정보분석서
NO 설명 공격 형태 취약성 정보 보호대책 비고
1 OPC
- OLE for Process Control
- 서로 다른 종류의 PLC 제품들을
하나의 제어시스템으로 통합 운영
하기 위한 중간 역할
- 구성 OPC Client - OPC Server
- PLCs - devices
상위 레벨 프로토콜이므로 전용
서버 또는 HMI 등과 같이 운용
가능 (Windows OS 탑재 상위
프로토콜)
- OPC UA TCP502
OPC UA XML TCP80 TCP443
TBD TBD
- OLE Object Linking and Embedding
(선행조건 Windows OS 기반 ICS)
- High Level Data Protocol 특성
Human Readable Info
기업-Control Network간 동작
DB - AP 간 데이터 명령어 전송
제품 Kepware Technologies Co Ltd
KEPServerEX MatrikonOPC
Universal ICS Protocol
- OPC Modbus
2
ICCP
(IEC 60870-6
TASE2)
- Inter-control Center Comm
Protocol
- TCP102
- read only (TBD )
- 인증 암호화 기능 미보유
- 데이터 통신 시 ARP 사용
으로 인한 취약점 존재
- No Security
- Electric independent System Operator
(ISO)에서 사용 -Smart Grid 포함-
Eg MISO (Midwest-미국 중서부-
Independent System Operator)
3MMS
(IEC 61850-8-1)
- Manufacturing Messaging
Specification
- TCP102
- 변전소 사용 프로토콜
- 관리장비(HMI FEP) - 현장장비
(RTU PLC IED) 간 통신 용도
TBD TBD
참고 Energy Sector Specific Protocol
- DNP3 DLMSCOSEM(TCP4059
UDP4059) ICCP IEC 104(TCP102)
IEEE C37118 (TCP4712 UDP4713)
MMS
4 Modbus
- Serial TCP 용 Proto 존재
- Master-Slave
- port 502
TBD - No Security- low level data protocol 특성
clear text no authentication
5 Modbus TCP
- Modicon사에서 개발(1979년)한
requestreponse 체계의 간단한
Open 프로토콜
- 관리장비(HMI FEP) - 현장장비
(RTU PLC IED) 간 통신 용도
- Wireshark
대부분의 ICS 프로토콜을
지원하므로 공격 분 석
기능 지원
- 보안 미고려 설계 동작 방식
- Master Station이 field device를 폴링
- field device는 통신 초기화 불가능
6DNP3
(IEEE 1915-2012)
- Distributed Network Protocol
- MasterSlave
- Port 19999 with TLS
Port 20000 without TLS
- 관리장비(HMI FEP) - 현장장비
(RTU PLC IED) 간 통신 용도
TBD- 사용자 - 장치간 인증 및
데이터 보호 (TLS)
- 북아메리카 호주 등에서 주로 변전소
(electrical substation) 통신에 사용
- 경우에 따라 TCP20000 UDP20000
7 IEC 60870-5-104
- 관리장비(HMI FEP) - 현장장비
(RTU PLC IED) 간 통신 용도
- send request accept request
confirmation timeouts error
recovery 등이 function에 포함
TBD TBD- DNP 30과 유사하며 유럽 등에서는
DNP 30보다 사용률이 높음
8 HART TBD TBD TBD -
9 BACnet2- MasterSlave
- BACnetIP UDP47808TBD TBD - BMS(빌딩관리시스템) 프로토콜
10LonWorks
LonTalk3
- Peer-to-Peer
- LonTalk UDP1628 UDP1629
- LonTalk3 Port 1679
TBD TBD
- BMS(빌딩관리시스템) 프로토콜
종류 BACnetIP LonTalk Fox
Fox 프로토콜 (TridiumNiagara)
TCP1911
11 EthernetIP
- Ethernet 인프라에 적용하여 장치
(Host PLC Actuator CNC 기기
등) 간의 통신 용도
- 인터넷 통지 지원 (Web AP 지원)
- 산업용 AP를 위해 Ethernet 기술
표준 허용
TBD TBD
- 참고
OPC와 같은 데이터 접근교환을
위해 HTTPFTPSNMPDHCP 등
인터넷 프로토콜 표준 및 산업
프로토콜 표준과 호환성 보증
12 PROFIBUS
- SIEMENS 사에서 개발
- Fieldbus Network(EIA-485) 사용
- 버전 PROFIBUS DP(FA) FMS
(Multiple Master Peer-to-Peer)
PA(Process Automation)
- ProcessField 버스 사용상 이점
No TCPIP Overhead
Low latency
Non-routable
TBD TBD
- 통신 프로토콜의 변화
시리얼 --gt 네트워크 프로토콜
여러 통신층에서 정보 교환 가능
(eg Ethernet TCPIP)
- Ethernet 기반 ICS 통신 프로토콜
일부 ICS 시리얼 프로토콜은 Ethernet
인프라를 사용해서 변환 통신 수행
Goose Messaging (IEC 61850-9-1)
SAV or Sampled Values (61850-9-2)
Process Automation Specific Protocol
- EtherCAT(UDP34980) EthernetIP
(TCP44818 UDP2222 44818)
FL-net (UDP55000~55003) Fieldbus
HSE (TCP1089~1091UDP1089~1091)
HART-IP(TCP5094 UDP5094)
PROFINET (TCP34962~34964 UDP
34962~34964)
[상위 레벨 데이터]
통신 프로토콜
[하위 레벨 데이터]
통신 프로토콜
구분
공격형태 취약성 정보 보호대책
[하위 레벨 데이터] 통신
프로토콜
The Trust Beyond the Security 6 ICS 취약점분석 기준 ndash 관리물리기술영역
19
관리물리 취약점 진단 항목Framework 기술영역 취약점 진단 항목Framework
A731 퇴직 및 직무변경 책임 임직원 혹은 계약자에 대한 퇴직 혹은 업무 변경 후에
유효한 정보보호책임과 의무를 정의하고 강제해야 하
며 의사소통을 해야 한다
퇴직 및 직무 변경에 관한 책임이 명시적으로 정의되고 지정되어야
함
a) 퇴직 시 정보보호 서약서 징구 등을 통한 비밀유지 서약을 실시
함
b) 퇴직 후 정해진 기간 동안 비밀유지 책임을 명시함
c) 새로운 업무와 책임에 대한 책임은 통제 되어야 하며 직무 변경
및 고용 종료 후에도 책임에 대해 관리되어야 함
A811 자산 목록 정보 및 정보처리 설비와 관련된 자산은 식별하고 자
산목록을 작성하고 유지해야 한다
모든 자산은 명확하게 인식되고 모든 중요 자산의 목록은 관리되어
야 함
a) 모든 자산과 그 자산에 대해 중요도를 문서화함
b) 정보의 라이프사이클은 정보의 생성 처리 저장 전송 등을 포함
함
c) 문서화된 자산 목록은 기존 재고 목록과 적절하게 사용되어야
한다
d) 자산관리자 지정 및 정보 등급화가 되어 있고 이에 대한 문서화
가 되어 있음
e) 자산 목록은 효과적인 자산 보호를 보장해야 하며 자산의 안전
및 금융(자산 관리)에 사용할 수 있다
확장 711 자산의 목록 [에너지 유틸리티 관련 구현 지침]
조직의 중요한 자산의 재고를 유지하고 관리하는 경우 별개의 책임
을 명확하게 규정하고 문서화해야 한다
자산의 재고는 관련된 프로세스 제어 시스템 자산과 응용프로그램
의 정보를 모두 포함한다
[에너지 유틸리티에 대한 추가 정보]
상기 분류에 대해 보충으로 에너지 공급 영역의 다른 넓은 범위의
섹터별 특정 자산 카테고리 또한 포함한다
a) 정보 그리드 및 네트워크 계획 스케줄링과 우선순위 정보 지리
와 지리참조 정보 위기와 비상계획 그리드 재해 복구 계획 스위칭
동작 정보 측정된 값 및 측정 데이터 계량 및 계량된 데이터 운영
기록 모수화 데이터 측정 및 메시지 아카이브
b) 소프트웨어 프로세스 제어 소프트웨어 시각화 시스템 에너지
관리 및 최적화 소프트웨어 시뮬레이션 소프트웨어 모수화 소프트
웨어 관리 및 모니터링 시스템 운영 자원 관리(ERP) 시스템 프로그
래밍 환경 펌웨어 아카이빙 소프트웨어 기타 등
c) 물리적 자산 제어 및 자동화 구성요소 원격 측정 및 원격 제어
구성요소 원격 단말 장치 데이터 전송 시스템 구성요소 디지털 보
호 및 안전 요소 디지털 계량 및 측정 장치 스마트 미터 디지털 센
서 및 작동 요소 모수화 및 프로그래밍 장치 시각화 및 운영요소
디지털 모니터링 및 기록 시스템 기타 등
d) 서비스 통신 서비스 비상 통신 서비스 정보 서비스 기상 서비
스 기타 등
A812 자산의 소유권 소유된 자산은 목록으로 유지되어야 한다 정보처리시설과 관련된 모든 정보 및 자산은 조직 내에서 명시적으
로 자산의 관리자를 지정 하여 관리하여야 함
a) 자산을 확실하게 파악 조사해야 함
b) 자산의 적절한 등급 분류와 보호 보장
c) 접근통제 정책에 대한 정의 및 주기적인 검토
d) 자산의 파기 혹은 삭제 할 때의 적절한 처리
확장 721 자산의 소유권 [에너지 유틸리티에 대한 추가 정보]
프로세스 제어 시스템을 사용하는 조직의 잠재적으로 복잡한 구조는
상업 및 운영 소유권의 종료와 관련하여 매우 다양한 책임을 의미한
다 결과적으로 자산 소유권 및 관련 책임 정보보안의 관점에서 자
산 소유자와 자산 운영자의 역할은 정확하게 정의되고 문서화되어야
한다
세부통제항목 내용
ISO270012013 ISO270022013 200192013 반영
270192013 반영 270022013 반영 27001 인증 규격
[ ICS 전용 정보보호 관리체계 진단 기준 ] 21개 항목 29개 세부기준
[ 27001 인증 심사 시 27019 Energy Utility 분야 보안 모범사례 반영 ]
A712 고용 약정 및 조건
직원 및 계약직 인원의 계약합의서에서는 조직과 그들의 정보보안책
임을 명시해야 한다
813 고용 조건
[에너지 유틸리티 관련 구현 지침]
파업권 또는 비상 상황에서 최대 근로 시간을 초과할 권한으로 직원
의 권리에 대한 제한은 중요 인프라 및 민감함 시스템의 동작을 위한
허용 가능한 법적 요구사항으로 주요한 개인의 책임을 고려해야 한
다 고용 계약을 체결하는 경우 모니터와 같은 스위칭 동작 등 특정
작업 기록에 관한 협정도 고려해야 한다
X805 기술 영역 차용 - 계정관리 - 권한관리 - 접근통제 - 가용성 - 무결성 - 암호화 - 부인방지
참고 진단 기준 - 기반시설 진단 기준 - SK인포섹 점검기준
- ITU-T X805 기반 진단 기준을 수립 중이며 해당 기준은 자경단 Deloitte 진단 Framework(56개 점검항목 2015년 작성) 및 주요정보통신기반시설 진단 기준을 100 포함하고 있음
- PLCRTU 등의 Firmware
Embeded OS RTOS 에 적용 가
능한 최상의 보안 수준을 적용하
는가
- 인가된 자만 시스템에 접속 가능 여부 확인
비밀번호 컴플라이언스 충족 여부 확인 등
- replay attack 등의 방지를 위한 인가 IP 접속 기
능 적용 확인 (보안장비 대체 적용 여부 확인)
- 장비간 주요 정보 통신 시 암호화 적용 미흡할
경우 이를 보완하는 보안장비 적용 여부 확인
- 54개 항목
114개 항목 38개 항목
SK인포섹 13486 경기도 성남시 분당구 판교로255번길 46 4층 E-mail skinfosecmktskcom TEL 02)6361-9114 FAX 02) 6361-9998
201604
The Trust Beyond the Security 6 ICS 취약점분석 기준 ndash 관리물리기술영역
19
관리물리 취약점 진단 항목Framework 기술영역 취약점 진단 항목Framework
A731 퇴직 및 직무변경 책임 임직원 혹은 계약자에 대한 퇴직 혹은 업무 변경 후에
유효한 정보보호책임과 의무를 정의하고 강제해야 하
며 의사소통을 해야 한다
퇴직 및 직무 변경에 관한 책임이 명시적으로 정의되고 지정되어야
함
a) 퇴직 시 정보보호 서약서 징구 등을 통한 비밀유지 서약을 실시
함
b) 퇴직 후 정해진 기간 동안 비밀유지 책임을 명시함
c) 새로운 업무와 책임에 대한 책임은 통제 되어야 하며 직무 변경
및 고용 종료 후에도 책임에 대해 관리되어야 함
A811 자산 목록 정보 및 정보처리 설비와 관련된 자산은 식별하고 자
산목록을 작성하고 유지해야 한다
모든 자산은 명확하게 인식되고 모든 중요 자산의 목록은 관리되어
야 함
a) 모든 자산과 그 자산에 대해 중요도를 문서화함
b) 정보의 라이프사이클은 정보의 생성 처리 저장 전송 등을 포함
함
c) 문서화된 자산 목록은 기존 재고 목록과 적절하게 사용되어야
한다
d) 자산관리자 지정 및 정보 등급화가 되어 있고 이에 대한 문서화
가 되어 있음
e) 자산 목록은 효과적인 자산 보호를 보장해야 하며 자산의 안전
및 금융(자산 관리)에 사용할 수 있다
확장 711 자산의 목록 [에너지 유틸리티 관련 구현 지침]
조직의 중요한 자산의 재고를 유지하고 관리하는 경우 별개의 책임
을 명확하게 규정하고 문서화해야 한다
자산의 재고는 관련된 프로세스 제어 시스템 자산과 응용프로그램
의 정보를 모두 포함한다
[에너지 유틸리티에 대한 추가 정보]
상기 분류에 대해 보충으로 에너지 공급 영역의 다른 넓은 범위의
섹터별 특정 자산 카테고리 또한 포함한다
a) 정보 그리드 및 네트워크 계획 스케줄링과 우선순위 정보 지리
와 지리참조 정보 위기와 비상계획 그리드 재해 복구 계획 스위칭
동작 정보 측정된 값 및 측정 데이터 계량 및 계량된 데이터 운영
기록 모수화 데이터 측정 및 메시지 아카이브
b) 소프트웨어 프로세스 제어 소프트웨어 시각화 시스템 에너지
관리 및 최적화 소프트웨어 시뮬레이션 소프트웨어 모수화 소프트
웨어 관리 및 모니터링 시스템 운영 자원 관리(ERP) 시스템 프로그
래밍 환경 펌웨어 아카이빙 소프트웨어 기타 등
c) 물리적 자산 제어 및 자동화 구성요소 원격 측정 및 원격 제어
구성요소 원격 단말 장치 데이터 전송 시스템 구성요소 디지털 보
호 및 안전 요소 디지털 계량 및 측정 장치 스마트 미터 디지털 센
서 및 작동 요소 모수화 및 프로그래밍 장치 시각화 및 운영요소
디지털 모니터링 및 기록 시스템 기타 등
d) 서비스 통신 서비스 비상 통신 서비스 정보 서비스 기상 서비
스 기타 등
A812 자산의 소유권 소유된 자산은 목록으로 유지되어야 한다 정보처리시설과 관련된 모든 정보 및 자산은 조직 내에서 명시적으
로 자산의 관리자를 지정 하여 관리하여야 함
a) 자산을 확실하게 파악 조사해야 함
b) 자산의 적절한 등급 분류와 보호 보장
c) 접근통제 정책에 대한 정의 및 주기적인 검토
d) 자산의 파기 혹은 삭제 할 때의 적절한 처리
확장 721 자산의 소유권 [에너지 유틸리티에 대한 추가 정보]
프로세스 제어 시스템을 사용하는 조직의 잠재적으로 복잡한 구조는
상업 및 운영 소유권의 종료와 관련하여 매우 다양한 책임을 의미한
다 결과적으로 자산 소유권 및 관련 책임 정보보안의 관점에서 자
산 소유자와 자산 운영자의 역할은 정확하게 정의되고 문서화되어야
한다
세부통제항목 내용
ISO270012013 ISO270022013 200192013 반영
270192013 반영 270022013 반영 27001 인증 규격
[ ICS 전용 정보보호 관리체계 진단 기준 ] 21개 항목 29개 세부기준
[ 27001 인증 심사 시 27019 Energy Utility 분야 보안 모범사례 반영 ]
A712 고용 약정 및 조건
직원 및 계약직 인원의 계약합의서에서는 조직과 그들의 정보보안책
임을 명시해야 한다
813 고용 조건
[에너지 유틸리티 관련 구현 지침]
파업권 또는 비상 상황에서 최대 근로 시간을 초과할 권한으로 직원
의 권리에 대한 제한은 중요 인프라 및 민감함 시스템의 동작을 위한
허용 가능한 법적 요구사항으로 주요한 개인의 책임을 고려해야 한
다 고용 계약을 체결하는 경우 모니터와 같은 스위칭 동작 등 특정
작업 기록에 관한 협정도 고려해야 한다
X805 기술 영역 차용 - 계정관리 - 권한관리 - 접근통제 - 가용성 - 무결성 - 암호화 - 부인방지
참고 진단 기준 - 기반시설 진단 기준 - SK인포섹 점검기준
- ITU-T X805 기반 진단 기준을 수립 중이며 해당 기준은 자경단 Deloitte 진단 Framework(56개 점검항목 2015년 작성) 및 주요정보통신기반시설 진단 기준을 100 포함하고 있음
- PLCRTU 등의 Firmware
Embeded OS RTOS 에 적용 가
능한 최상의 보안 수준을 적용하
는가
- 인가된 자만 시스템에 접속 가능 여부 확인
비밀번호 컴플라이언스 충족 여부 확인 등
- replay attack 등의 방지를 위한 인가 IP 접속 기
능 적용 확인 (보안장비 대체 적용 여부 확인)
- 장비간 주요 정보 통신 시 암호화 적용 미흡할
경우 이를 보완하는 보안장비 적용 여부 확인
- 54개 항목
114개 항목 38개 항목
SK인포섹 13486 경기도 성남시 분당구 판교로255번길 46 4층 E-mail skinfosecmktskcom TEL 02)6361-9114 FAX 02) 6361-9998
201604
SK인포섹 13486 경기도 성남시 분당구 판교로255번길 46 4층 E-mail skinfosecmktskcom TEL 02)6361-9114 FAX 02) 6361-9998
201604