C-18 제어시스템 구성요소의 알려진 취약점에 대해 보안패치 적용 또는 상응하는 대응책 적용
가이드라인 원문
| 항목 | 내용 |
|---|---|
| 항목코드 | C-18 |
| 점검내용 | 제어시스템 구성요소에서 알려진 취약점이 제거되어 있거나, 취약점이 존재하는 경우에 대한 대응방안 존재여부점검 |
| 점검대상 | 점검대상및판단기준 |
| 판단기준 | 양호: 제어시스템 내부 구성요소에서 알려진 취약점이 없거나, 존재하는 취약점에 대한 조치방안이 이루어진경무 |
| 판단기준 | 취약: 제어시스템내부구성요소에서알려진취약점이있으며,이에대한조치방안이이루어지지않은경무 |
| 조치방법 | 알려진취약점에대한조치방안(업그레이드또는패치, 이에상응하는대응방안적용)테스트후영향성 검토및승인절차를통한해당취약점조치 |
상세 설명
1. 항목 개요
제어시스템 구성요소의 알려진 취약점에 대해 보안패치를 적용하거나 상응하는 대응책을 적용하는 것은 알려진 취약점으로 인한 제어시스템의 보안위협을 감소시키기 위한 필수적인 보안 활동입니다.
스턱스넷(Stuxnet)과 같은 악성코드는 알려진 취약점을 악용하므로, 이러한 취약점이 조치되지 않은 경우 매우 취약한 환경으로 볼 수 있습니다.
2. 왜 이 항목이 필요한가요?
이 항목은 최신 보안취약점의 주기적인 확인, 조치 전 영향성 검토, 취약점 조치 등의 체계적인 업무절차를 수립하고 이를 이행함으로써 알려진 취약점으로 인한 제어시스템의 보안위협을 감소시키기 위함입니다.
보안 위협 시나리오:
알려진 취약점 악용
- 알려진 취약점에 대해 조치하지 못한 제어시스템 대상 침해 시도
- 자동화된 악성코드 감염 우려
스턱스넷(Stuxnet) 사례
- 알려진 취약점 악용
- 제어시스템 장악 및 파괴
- 취약점 미조치 환경은 매우 높은 위험 노출
취약점 누적
- 조치되지 않은 취약점의 지속적 노출
- 연쇄적인 보안 사고 발생 가능성
3. 점검 대상
- 전체 제어시스템 구성요소
4. 판단 기준
- 양호: 제어시스템 내부 구성요소에서 알려진 취약점이 없거나, 존재하는 취약점에 대한 조치방안이 이루어진 경우
- 취약: 제어시스템 내부 구성요소에서 알려진 취약점이 있으며, 이에 대한 조치방안이 이루어지지 않은 경우
5. 점검 방법
공통 점검 절차
Step 1) 취약점 검색
제어시스템 구성요소 현황에 대해 취약점 관련 사이트에 제품명, 버전에 대한 취약점 검색을 수행한 후, 공개된 취약점이 있는지 확인합니다.
- 예시: CISA ICS 취약점 목록, CVE 목록, 제조사의 제품 보안 관련 웹페이지 등
Step 2) 취약점 확인 및 대응방안 수립
검색된 취약점이 존재하는 경우 이에 대한 조치방안을 수립합니다.
6. 조치 방법
취약점 조치 방안
보안패치 적용
- 제조사 제공 보안패치 적용
- 최신 버전으로 업그레이드
상응하는 대응책 적용
- 보안패치가 불가능한 경우 대응책 수립
- 네트워크 접근통제 강화
- 방화벽 규칙 추가
- 모니터링 강화
체계적인 업무절차 수립
- 최신 보안취약점 주기적 확인
- 조치 전 영향성 검토
- 취약점 조치 및 검증
- 사후 모니터링
취약점 정보 제공 사이트
- CISA ICS 취약점 목록: https://cisa.gov/news-events/cybersecurity-advisories
- CVE (Common Vulnerabilities and Exposures)
- 제조사 보안 공지 사이트
7. 조치 시 주의사항
- 일반적인 경우 영향 없음
- 보안패치 적용 전 반드시 테스트 환경에서 검증
- 영향성 검토 및 승인 절차 필수
- 운영 중인 시스템에 영향이 없도록 철저한 사전 준비
- 롤백 계획 수립
8. 참고 자료
- NIST SP 800-82: Guide to Industrial Control Systems Security
- IEC 62443: Industrial Communication Networks - Network and System Security
- CISA ICS-CERT Advisories
요약
제어시스템 구성요소의 알려진 취약점에 대해 보안패치를 적용하거나 상응하는 대응책을 적용하고, 체계적인 업무절차를 수립하여 알려진 취약점으로 인한 보안위협을 감소시켜야 합니다.