C-21 제어네트워크는 업무망, 인터넷, CCTV망 등 외부망과 물리적으로 분리하여 사용
가이드라인 원문
| 항목 | 내용 |
|---|---|
| 항목코드 | C-21 |
| 점검내용 | 제어시스템을 감시, 통제하는 네트워크 구성에서 제어망(Production Control System Network)의 업무망(Business Network),인터넷망등으로물리적분리여부점검 |
| 점검대상 | 점검대상및판단기준 |
| 판단기준 | 양호: 외부망(인터넷)또는내부망(업무망)과분리하여운영하는경우 |
| 판단기준 | 취약: 외부망(인터넷)또는내부망(업무망)과동일네트워크로구성하여운영하는경무 |
| 조치방법 | 제어시스템운영망과업무망분리및인터넷차단 |
상세 설명
1. 항목 개요
제어네트워크를 업무망, 인터넷, CCTV망 등 외부망과 물리적으로 분리하여 사용하는 것은 제어시스템을 인터넷을 통한 각종 침해위협으로부터 보호하기 위한 가장 기본적이고 중요한 보안 조치입니다.
제어시스템을 운영하는 조직은 제어망(Production Control System Network)과 업무망(Business Network)을 물리적으로 분리하여 운용할 것을 권장합니다.
2. 왜 이 항목이 필요한가요?
이 항목은 제어시스템에 인터넷을 통한 각종 침해위협(악성코드 등)으로부터 보호하기 위함입니다.
보안 위협 시나리오:
스턱스넷(Stuxnet) 감염
- 업무망과 제어망이 분리된 경우에도 업무망 PC에서 제어망 설비 모니터링
- 해당 PC의 인터넷 미차단으로 스턱스넷 같은 악성코드 감염
- 제어망 설비의 운영정보 수집 및 취약점 악용한 제어시스템 마비
CCTV 망 연결에 따른 가용성 저하
- 제어망과 CCTV 망 연결
- CCTV 다수 트래픽으로 인한 제어망 가용성 침해
쇼단(Shodan) 노출
- 미국: 5만 7천 개의 ICS가 인터넷에 연결되어 있다는 보고
- 독일 제철소 용광로 제어시스템 해킹 공격 사례
3. 점검 대상
- 제어시스템을 구성하는 네트워크 전체
4. 판단 기준
- 양호: 외부망(인터넷) 또는 내부망(업무망)과 분리하여 운영하는 경우
- 취약: 외부망(인터넷) 또는 내부망(업무망)과 동일 네트워크로 구성하여 운영하는 경우
5. 점검 방법
공통 점검 절차
Step 1) 네트워크 구성도 검토
제어시스템 네트워크 구성도를 검토하여 제어망, 업무망, 인터넷망 등이 모두 분리되어 접근이 차단되도록 구성되었는지 확인합니다.
Step 2) 물리적 분리 확인
제어망의 네트워크 분리는 물리적 분리 방식이며, 제어망 내부에서 다른 망으로 데이터 전달이 불가능한지 확인합니다.
- 제어망 내 임의의 정보시스템을 선택하여 정보시스템에서 다음 명령어를 수행하고, 수행 결과 연결이 되지 않는지 확인
- 콘솔 창에서
ping,tracert등의 명령어를 제어망이 아닌 업무망, 또는 다른 망의 IP와 공개 DNS IP 주소, 포털사이트의 IP 주소를 대상으로 수행 - (다른 망과 연결이 되는 경우) 해당 연결의 목적, 원인을 파악하여 불필요한 연결일 경우, 연계지점을 확인하고 물리적으로 분리하도록 조치하고 반드시 필요한 연결일 경우, C-22 항목을 참고하여 일방향 자료전달 체계 구축을 권고
6. 조치 방법
물리적 분리 구현
제어망과 업무망 분리
- 물리적으로 분리된 별도의 네트워크 스위치 사용
- 네트워크 케이블 물리적 분리
인터넷 차단
- 제어망에서 인터넷 접속 차단
- 외부 망과의 연결 절대 차단
CCTV망 분리
- 제어망과 CCTV망 물리적 분리
- 가용성 보장
7. 조치 시 주의사항
- 일반적인 경우 영향 없음
- 반드시 필요한 연결의 경우 일방향 자료전달 환경 구축 (C-22 참고)
- 네트워크 구성 변경 시 철저한 사전 검증 필요
8. 참고 자료
- NIST SP 800-82: Guide to Industrial Control Systems Security
- IEC 62443: Industrial Communication Networks - Network and System Security
요약
제어네트워크는 업무망, 인터넷, CCTV망 등 외부망과 물리적으로 분리하여 운영하여 제어시스템을 인터넷을 통한 각종 침해위협으로부터 보호해야 합니다.