사이버 보안에 유일한 상수는 변화

지난 20년간 전력 산업에 종사해 온 사람이라면 보안성 엔지니어링에서 기밀을 요하는 설계나 구현을 사용해 보안성을 제공하는 방식인 모호화 방식 보안성이 시설 자동화 및 제어 시스템에 대체로 부족하다고 평가된 시기가 있었음을 기억할 것이다.

이 경우, 제어 시스템은 본래 외부 세계에서 이를 차단하는 일종의 투명 망토와 같은 사유 소프트웨어 프로토콜을 사용해 구축한 것이다. 하지만 발전소들이 사유 시스템에서 개방형 표준을 기반으로 하는 제어 시스템으로 눈을 돌리기 시작하면서 앞서 언급한 사고방식은 점차 구시대의 유물로 전락하고 말았다.

기성 상용 기술로의 이동은 최신 컴퓨팅 발전을 비용 효과적으로 이용할 수 있는 능력처럼 각 시설에게 다양한 혜택을 제공했다. 이와 반면에, 모호화 방식 보안성에 종지부를 찍으면서 각 조직들은 잠재적 취약성의 적극적 평가 및 사이버 보안성 수단 도입에 대한 필요성을 절감하기 시작했다.

한편, 미국에서 NERC(북미 전력 안정 위원회)의 CIP(중요 인프라 보호) 표준은 진화를 거듭하고 있다. 북미 내 대규모 전력 시스템의 신뢰성 및 보안성 향상에 중점을 두고 있는 조직인 NERC는 발전 업체들이 중요 자산 보호를 위해서 반드시 취해야 하는 조처를 상세히 기술한 CIP 표준을 생성했다.

일반적으로 중요 자산에는 대규모 전력 시스템과 이를 지원하는 네트워크의 안정적인 운영과 관련된 컴퓨터, 소프트웨어, SCADA, 공정 제어 시스템이 포함된다. 제어 시스템의 보안 성능은 저마다 차이가 있으며 동일하지 않다.

그렇기 때문에 각 시설은 사이버 보안성과 관련된 기능에 특별한 초점을 두고 제어 시스템 공급 업체의 역량을 평가를 진행할 필요가 있다. 평가를 시작하기 위한 접근법 중 하나는 시설에서 가장 우려되는 핵심 분야를 기술한 점검표를 개발하는 방법이다. 다음은 세계 전역의 모든 발전 업체에 적용되는 점검표 질문이다.

● 공급 업체가 사이버 보안의 언어를 사용하고 있는가?

● 공급 업체가 자사 시스템의 보안성 기능에 대해 언급하는 빈도는 어느 정도인가?

● 공급 업체는 신규·변경 보안 위협에 대처하기 위한 보안성 기능 업데이트 방식에 대해 능동적으로 소통하고 있는가?

● 공급 업체는 NERC-CIP 표준 최신 사안 및 해당 사안이 자산 생성에 미치는 영향 방식에 대해 인식하고 있는가?

● 공급 업체는 시설의 취약성 평가를 위해 필수적인 전문성을 갖추고 있는가?

● 공급 업체는 현장 시설 레벨에서 기업 IT 레벨까지 전체 조직 전반에 사이버 보안이 미치는 시사점을 이해하고 있는가?

새로운 바이러스를 비롯해 점점 정교해지는 사이버 위협에는 지속적인 조심과 경계가 필요할 것이다. 현재 보류 중인 NERC 표준 및 업계의 여타 보안성 노력과는 별개로 신용할 수 있는 제어 시스템 공급 업체라면 고객을 위한 제어 시스템 보안성이 항시 최우선 사안이 된다는 점을 기억하는 것도 중요하다.

계속해서 변화하는 보안 쟁점 및 잠재적 위협보다 한 발 앞서 나가기 위해서 능동적인 공급 업체들은 이미 지속적으로 자사 시스템의 보안성 기능 및 서비스를 강화하고 있다. 또한, 이들 업체는 새로운 도구가 현실적인 실제 보안 요구 사항을 확실하게 충족하는지 확인하기위해 신규 도구의 테스트 및 검증에 고객을 참여시켜 공조하고 있다.

더불어 공급 업체들은 복잡한 보안성 쟁점을 전체 자동화 및 제어 시스템 전략의 일환으로 효율적으로 관리할 수 있는 솔루션을 제공해야 한다. 이러한 솔루션은 기업이나 차량, 시설, 설비 수준 별로 고객인 발전 업체의 특정한 요구에 맞춰 조정이 가능해야 하며 진화하는 보안 쟁점에 대처할 수 있도록 적응성 또한 갖춰야 한다.

제어 시스템의 공급 업체들이 위에 나열한 사안들을 명심하고 실천한다면 이는 발전소의 현재 운영 효율성, 안전성, 신뢰성 보장에 도움이 될 것이며 발전소의 미래에 긍정적인 영향력으로 작용할 것이다.

FA Journal 편집국 (fa@infothe.com)