인포섹, 스카다 등 산업제어시스템 보안컨설팅 진출

인터넷입력 :2016/06/22 11:22

손경호 기자

SK인포섹(대표 한범식)이 스카다(SCADA)로 대표되는 산업제어시스템(ICS)에 대한 보안컨설팅에 나선다고 22일 밝혔다.

반도체, 에너지 및 화학 분야 등 산업공정을 제어하는데 사용되는 여러 시스템들의 보안성을 높이기 위해 개발한 보안 취약점 진단 컨설팅 방법론에 따라 해당 분야에 대한 본격적인 보안컨설팅 사업에 진출한다는 계획이다.

ICS는 산업 공정과 기반시설, 설비 등의 작업 공정을 감시하고 제어하는 시스템으로 발전소, 교통시스템, 전력 및 유류 관리시스템, 공장 생산라인, 국방시스템 등 국가 기반사업 분야에서 널리 사용된다. 독립된 폐쇄망에서 비공개 전용 프로토콜을 사용하기 때문에 상대적으로 보안 수준이 높다고 알려졌다.

그러나 한국수력원자력 해킹사고나 최근 우크라이나 정전 사태 등에서 보듯 이러한 시스템을 노린 해킹시도가 실제로 성공하는 사례들이 나오고 있는 실정이다.

인포섹이 개발한 ICS 정보보호 컨설팅 방법론은 스카다, 분산제어시스템, 반도체/에너지/화학 공정 프로세스 기반의 보안 분석 프레임워크를 바탕으로 산업제어시스템을 구성하는 IT자산에 대한 아키텍처를 분석하고, 취약점을 찾아내 마스터 플랜을 수립하는데 활용된다.

ICS 정보보호 컨설팅 방법론에는 ▲반도체 등 생산/제조 공정관리 분야(Discrete process) ▲에너지/화학 공정관리 분야(Continuous process) ▲상하수도/공공발전 분야인 스카다 시스템 등 산업분야별 시스템에 특화된 보안 분석 프레임워크가 포함된다.

관련기사

이와 함께 ▲릴레이, 타이머, 카운터 등 기능을 반도체 소자로 대체한 산업용 제어 컨트롤러인 PLC, 기계를 제어하는데 사용되는 데이터들을 사람이 확인하기에 익숙한 형태로 변환해 보여주는 HMI 등 제어시스템에 대한 시나리오 기반 모의해킹 기준 및 절차 ▲산업제어 영역에 사용되는 IT시스템에 대한 기술적 점검 기준 ▲정보보호관리체계의 국제표준인 ISO27001의 에너지 시설 분야 모범사례인 ISO27019를 적용한 관리/물리 진단 기준 등을 제공한다.

이 회사 컨설팅 사업을 관장하고 있는 이동만 전략사업부문장은 "ICS는 IT환경의 폐쇄성과 산업 공정에 대한 이해 부족으로 정보보호 컨설팅서비스가 진입하기 어려운 시장이었다"며 "새로 개발한 방법론을 통해 ICS 보안 수준을 한 단계 발전시킬 수 있도록 하겠다"고 말했다.