본문 바로가기

Work Log/As Cybersecurity Consultant

산업용제어시스템(ICS, Industrial Control System)의 사이버보안과 기존 정보보안과는 무엇이 다를까?

결론적으로 접근방법이 다르지는 않다고 생각한다.


다만, 기존 정보보안의 대상인 IT시스템과 산업용 제어시스템 간의 요구사항 차이 때문에 보안목표의 우선순위가 다르고 보증수준이 다르다.

IT시스템은 정보를 처리하기 위하여 컴퓨터와 같은 물리적인 설비를 이용하지만, 산업제어시스템은 물리적인 설비를 처리하기 위하여 정보를 사용한다.


기존 정보보안에서의 대상인 IT시스템과 IT시스템을 통하여 처리되는 정보의 속성이 달라, 

IT시스템에서는 기밀성이 중요한 목적이지만 산업용제어시스템에서는 가용성이나 무결성이 기밀성보다 높은 우선순위를 가진다.


또한 산업용제어시스템의 경우 제어되는 설비가 실 생활에 미치는 영향이나 해당 기업에 미치는 경제적인 손실 등의 영향이 매우 크고, 광범위하기 때문에 해당 시스템에 대한 보증수준이 매우 높을 수밖에 없다. 따라서, 해당 시스템이 설계되고 구현 될 때에도 철저한 V&V(Verification and Validation)을 통하도록 요구되고 있는 것처럼, 보안에 대한 보증수준 역시 높아야 할 것이다.


좀 더 실무적으로 생각을 해보면,

People & Process 관점에서는 ISO21827(SSE-CMM)에서의 성숙도모델을 기반으로 성숙도 수준을 평가하기 위한 항목을 최근의 CMMI 수준으로 고도화하여 높은 수준의 성숙도를 유지하도록 만들고,

Technical 관점에서는 ISO15408(Common Criteria)에서 EAL(평가보증등급)의 개념을 가져와서, 등급 별 요구수준 및 보증을 위한 각 수준 별 증거 정의, 그리고 각 네트워크, 플랫폼 등 대상 별로 평가 방법을 개발해 나가는 것이 필요하다고 생각한다.