C-20 제어시스템 개선, 신규 시스템 도입, 패치 및 수정 시, 안전성을 테스트하기 위한 테스트베드 또는 시험환경 구축
가이드라인 원문
| 항목 | 내용 |
|---|---|
| 항목코드 | C-20 |
| 점검내용 | 제어시스템의 신규 구축 및 변경(개발수정, 업그레이드, 패치 포함) 전 안정성 테스트 등의 시험환경 구축여부점검 |
| 점검대상 | 점검대상및판단기준 |
| 판단기준 | 양호: 제어시스템의변경사항을시험할수있는환경이구축된경무 |
| 판단기준 | 취약: 제어시스템의변경사항을시험할수있는환경이구축되지않은경무 |
| 조치방법 | 제어시스템의변경사항을테스트할수있는테스트베드구축 |
상세 설명
1. 항목 개요
제어시스템 개선, 신규 시스템 도입, 패치 및 수정 시 안전성을 테스트하기 위한 테스트베드 또는 시험환경을 구축하는 것은 제어시스템의 안정성을 검증한 후 신규 구축 및 변경 등을 적용하기 위한 필수적인 보안 활동입니다.
제어시스템은 각 제어설비를 감시, 통제하기 위한 다양한 구성요소(HMI, PLC, RTU 등)를 포함하고 있어, 구성요소의 변경에 따라 제어시스템 전체의 오작동이 발생할 수 있습니다.
2. 왜 이 항목이 필요한가요?
이 항목은 제어시스템의 일부 또는 전체의 오작동을 방지하기 위해 시험환경을 구축하여 안정성을 검증한 뒤 신규 구축 및 변경 등을 적용하기 위함입니다.
보안 위협 시나리오:
안정성 검증 없는 적용
- 신규 구축 및 변경 등을 안정성 검증 없이 적용
- 제어시스템의 일부 또는 전체의 오작동 발생
구성요소 변경에 따른 오작동
- HMI, PLC, RTU 등 구성요소의 신규 구축, 변경
- 시스템 간 연동 문제로 인한 오작동 발생
운영 중인 시스템 영향
- 테스트 없는 변경으로 인한 운영 중단
- 생산라인 피해 등 경제적 손실
3. 점검 대상
- 제어시스템 구성요소 전체
- HMI, PLC, RTU 등 제어설비
4. 판단 기준
- 양호: 제어시스템의 변경사항을 시험할 수 있는 환경이 구축된 경우
- 취약: 제어시스템의 변경사항을 시험할 수 있는 환경이 구축되지 않은 경우
5. 점검 방법
공통 점검 절차
Step 1) 시험환경 구축 여부 확인
운영 중인 제어시스템에 대한 시험환경 구축이 되어있는지 확인합니다.
- 운영 중인 제어시스템의 특성이 고려된 테스트베드 또는 시험할 수 있는 환경 구축이 이루어져 있는지 확인
6. 조치 방법
테스트베드 구축
시험환경 구축
- 제어시스템의 변경사항을 테스트할 수 있는 테스트베드 구축
- 운영 환경과 유사한 구성으로 시험환경 마련
시험환경 고려사항
- 제어시스템은 IT와 기계적 요소가 결합된 구조
- IT 환경과 같은 방법 적용이 어려울 수 있음
- 기계적 요소의 오작동 가능성을 시험할 수 있는 산업특성 고려
- 자체적인 방안 수립 필요
시험환경 활용
- 신규 시스템 도입 전 테스트
- 패치 및 수정 사항 테스트
- 안정성 검증 수행
시험 절차
테스트 계획 수립
- 변경사항 식별
- 테스트 시나리오 작성
- 성공/실패 기준 정의
테스트 수행
- 기능 테스트
- 성능 테스트
- 안정성 테스트
- 연동 테스트
검증 및 승인
- 테스트 결과 검증
- 영향성 검토
- 운영 적용 승인
7. 조치 시 주의사항
- 일반적인 경우 영향 없음
- 제어시스템의 특성을 충분히 고려한 시험환경 구축
- 운영 환경과 유사한 구성으로 시험환경 마련
- 기계적 요소의 오작동 가능성 시험 방안 수립
8. 참고 자료
- NIST SP 800-82: Guide to Industrial Control Systems Security
- IEC 62443: Industrial Communication Networks - Network and System Security
요약
제어시스템 개선, 신규 시스템 도입, 패치 및 수정 시 안전성을 테스트하기 위한 테스트베드 또는 시험환경을 구축하여 제어시스템의 안정성을 검증한 후 변경사항을 적용해야 합니다.