SK인포섹, 산업제어시스템 보안 컨설팅 사업 나서

 

아주경제 이정하 기자 = SK인포섹은 스카다(SCADA)로 대변되는 산업제어시스템(ICS)에 대한 보안 취약점 진단 컨설팅 방법론을 업계 최초로 개발, ICS 정보보호 컨설팅 사업에 본격 나선다고 22일 밝혔다.

산업제어시스템은 산업 공정과 기반시설, 설비 등의 작업 공정을 감시하고 제어하는 시스템으로 발전소, 교통시스템, 전력 및 유류 관리시스템, 공장 생산라인, 국방시스템 등 국가 기반사업 분야에서 널리 사용된다.

독립된 폐쇄망에서 비공개 전용 프로토콜을 사용하고 있어 상대적으로 보안 수준이 높다고 알려졌다.

최근 들어 시스템 환경이 개방형으로 바뀌고, 네트워크 연결의 확산으로 보안 위협이 잦아지고 있다. 예컨대 우크라이나 정전 사태나 국내 한수원 해킹 사고 역시 네트워크를 통해 악성코드를 감염시키는 공격 등이 있었다. 

SK인포섹이 개발한 ICS 정보보호 컨설팅 방법론은 스카다, 분산제어시스템, 반도체·에너지·화학 공정 프로세스 기반의 보안 분석 프레임워크를 바탕으로 산업제어시스템을 구성하는 IT자산에 대한 아키텍처(Architecture)를 분석하고, 취약점을 찾아내 마스터 플랜을 수립하는데 활용한다.

SK인포섹의 표준 보안컨설팅 방법론(ISCM)의 프로세스를 기반으로 △분석 △평가 △설계 △구현 △이행 등 총 5단계로 이뤄져 있다.

ICS 정보보호 컨설팅 방법론에는 반도체 등 생산·제조 공정관리 분야(Discrete process), 에너지·화학 공정관리 분야(Continuous process) 그리고 상하수도·공공발전 분야인 스카다 시스템 등 산업분야별 시스템에 특화된 보안 분석 프레임워크(Framework)를 갖추고 있다.

특히 △PLC, HMI 등 제어시스템에 대한 시나리오 기반의 모의해킹 기준 및 절차 △산업제어 영역에 사용되는 IT시스템에 대한 기술적 점검 기준 △정보보호관리체계의 국제 표준인 ISO27001의 에너지 유틸리티(Energy Utility) 분야 모범사례인 ISO27019를 적용한 관리·물리 진단 기준 등 3박자를 완벽히 갖추고 있다.

이동만 SK인포섹 전략사업부문장은 "산업제어시스템 분야는 IT환경의 폐쇄성과 산업 공정에 대한 이해 부족으로 정보보호 컨설팅서비스가 진입하기 어려운 시장"이라며 "이번에 개발한 방법론을 통해 산업제어시스템 보안 수준을 한 단계 발전시킬 수 있도록 하겠다"고 말했다.