IEC 62443 표준 : 인프라 사이버 공격에 대한 대응 방안

2023.07.10 17:10:21

이 글에서는 IEC 62443 표준 시리즈가 개발된 배경과 이 표준의 이점에 대해서 설명한다. IEC 62443은 사이버 보안 역량을 구축하고 주요 인프라 및 디지털 팩토리를 보호하기 위한 일련의 규약으로 이뤄졌다. 이 선도적인 표준은 포괄적인 보안 계층을 제공한다. 그러나 이 표준에 대한 인증을 취득하기 위해서는 여러 과제들을 해결해야 한다. 산업 자동화 제어 시스템(IACS) 장비에 대해 이 인증 요건을 충족하고자 할 때 보안 IC를 활용하면 큰 도움을 받을 수 있다.

 

 

사이버 공격이 갈수록 정교해질 것으로 예상됨에도 불구하고 이전에는 산업 자동화 제어 시스템(IACS)에 보안 조치들을 도입하려는 움직임이 더딘 편이었다. 여기에는 이러한 시스템의 설계자와 작업자가 공통적으로 참조할 수 있는 기준이 존재하지 않았다는 것도 일정 부분 영향을 미쳤다. IEC 62443 표준 시리즈는 보안성이 강화된 산업용 인프라를 향해 나아갈 길을 열었다. 하지만 기업이 이 표준을 성공적으로 활용하기 위해서는 표준의 복잡함을 이해하고 새롭게 제기되는 과제를 해결해야 한다.

 

산업용 시스템이 직면한 위협

 

상하수도나 전력망 같은 기간 인프라의 디지털화 덕분에 일상 생활에 필요한 이러한 필수 서비스를 중단 없이 이용하게 됐다. 하지만 사이버 공격은 여전히 이러한 시스템을 마비시킬 수 있는 요인이 되며, 공격은 증가할 것으로 예상된다. 인더스트리 4.0을 위해서는 센서, 액추에이터, 게이트웨이, 애그리게이터 같은 장비를 네트워크에 연결해야 한다. 하지만 연결성이 높아질수록 사이버 공격의 위험도 높아진다. 보안 조치 도입이 어느 때보다 중요해지는 이유다. 미국의 사이버 보안 및 인프라 안보국(CISA) 같은 기구의 생성은 주요 인프라를 보호하고 사이버 공격에 대한 대응 능력을 구축하는 것이 얼마나 중요한지를 잘 보여준다.

 

왜 IEC 62443인가?

 

2010년에 스턱스넷의 등장은 산업용 인프라를 속수무책의 상태로 몰아넣었다. 스턱스넷은 세계 최초로 공개적으로 알려진 사이버 공격으로서, 멀리 떨어진 곳에서 IACS를 겨냥한 사이버 공격이 어떻게 일어날 수 있는지를 보여줬다. 그 뒤를 이어 사이버 공격이 계속됨으로써 산업용 인프라가 특정 유형의 장비를 겨냥한 원격 공격에 의해 피해를 입을 수 있다는 인식이 확실히 자리잡게 됐다. 정부 당국, 유틸리티 회사, IACS 사용자, 장비 제조사가 모두 IACS 보호가 필요하다는 것을 금세 깨달았다. 정부 당국과 사용자들이 자연스레 조직적으로 조치를 취하고 보안 정책을 수립하는 쪽으로 검토하는 동안, 장비 제조사들은 하드웨어와 소프트웨어 차원의 대응 조치들을 검토했다. 하지만 보안 조치의 도입은 인프라의 복잡성, 이해 당사자 간 다른 이해와 관심사, 이용하는 기법의 다양성, 측정 가능한 목표의 부재 등으로 인해 더디게 진행됐다. 전반적으로, 이해 당사자들은 어느 정도의 보안 수준을 목표로 해야 할지 알 수 없었다. 다만 보호와 비용이 적절히 균형을 이루어야 한다는 것은 확실했다.

 

ISA(International Society for Automation)는 ISA99 이니셔티브 하에 공통의 기준을 확립하기 위한 워킹 그룹을 설립했다. 그러한 노력은 마침내 IEC 62443 표준 시리즈 제정 및 공표로 이어졌다. 현재 이 표준 시리즈는 네 가지 레벨 및 카테고리를 정의한다(그림 1). 포괄적인 적용 범위를 특징으로 하는 IEC 62443 표준은 조직적 정책, 절차, 위험 평가, 하드웨어 및 소프트웨어 보안을 모두 포함한다. 이 표준의 포괄성은 현재의 실정을 반영하는 것이다. ISA는 IACS와 연관돼 있는 모든 이해 당사자의 다양한 이해 관계를 조율하기 위해서도 포괄적인 접근법을 취한다. 일반적으로, 보안에 대한 시각은 이해 당사자마다 다를 수 있다. 예를 들어 IP 도용이라는 문제에 대해 IACS 작업자는 제조 프로세스를 보호하는 것에 관심이 있을 것이고, 장비 제조사는 AI 알고리즘이 역공학을 당하지 않도록 보호하는 것에 관심이 있을 수 있다.

 

 

IACS는 특성적으로 복잡하기에 전체적인 보안 스펙트럼을 고려해야 한다. 보안 장비가 뒷받침되지 않는다면 절차와 정책만으로는 불충분할 것이며, 견고한 부품은 그 부품을 절차 과정상에 보안성 있게 사용하는 것을 적절히 정의하지 않는다면 쓸모가 없을 것이다. 그림 2의 그래프는 ISA 인증을 통한 IEC 62443 표준의 도입 비율을 보여준다. 업계의 주요 당사자들이 정의한 표준 덕에 보안 조치의 구현이 빠르게 늘어나고 있다는 것을 알 수 있다.

 

 

IEC 62443 인증 달성: 복잡한 과제

 

IEC 62443은 사이버 보안에 관해 굉장히 포괄적이고 효과적인 표준인데, 복잡함 역시 압도적이다. 표준을 정의한 문서만 해도 장장 1000페이지에 달한다. 사이버 보안 프로토콜들을 명확히 이해하는 것은 학습 곡선을 수반하며, 단지 기술적 언어를 흡수하는 것 이상을 필요로 한다. IEC 62443의 각각의 장을 더 큰 전체의 일부로서 이해해야 한다. 그림 3에서 보듯이, 개념들이 서로 연관되어 있기 때문이다. 한 예로 IEC 62443-4-2에 따르면, 전체적인 IACS를 대상으로 위험성 평가를 실시해야 하며, 이 결과에 따라서 해당 장비에 대한 목표 보안 레벨을 결정할 수 있다.

 

 

IEC 62443을 충족하는 장비 설계

 

IEC 62443은 그림 4에서 보는 것과 같이 보안 레벨들을 짧은 문장으로 정의하고 있다.

 

 

IEC 62443-2-1에서는 보안 위험성 평가를 실시할 것을 규정하고 있다. 이 프로세스의 결과에 따라서 각각의 장비에 대한 목표 보안 레벨(SL-T)이 부여된다. 그림 1과 그림 3에서 보듯이, 이 표준의 어떤 부분들은 프로세스와 절차를 다루고 있고 IEC 62443-4-1과 IEC 62443-4-2에서는 구성 요소 차원의 보안을 다루고 있다. IEC 62443-4-2에 따른 구성 요소 유형에는 소프트웨어 애플리케이션, 호스트 디바이스, 임베디드 디바이스, 네트워크 디바이스가 포함된다. 이들 각각의 구성 요소 유형에 대해서 IEC 62443-4-2에서 해당 CR과 RE를 근거로 달성 가능한 보안 레벨(SL-C)을 정의하고 있다. 표 1은 SL-A, SL-C, SL-T와 이들의 관계에 대해 정리한 것이다.

 

 

네트워크에 연결된 프로그래머블 로직 컨트롤러(PLC)를 예로 들어 보자. PLC가 공격을 위한 진입 지점이 되지 않도록 하기 위해 네트워크 보안은 PLC 인증을 필요로 한다. 이를 위해서 잘 알려진 기법이 공개 키 기반 인증이다. IEC 62443-4-2에 의하면, 레벨 1은 공개 키 암호화를 신경 쓰지 않아도 된다. 레벨 2는 인증서 서명 검사 같이 널리 사용되고 있는 프로세스를 필요로 한다. 레벨 3과 레벨 4는 인증 프로세스에 사용되는 개인 키의 하드웨어 보호를 필요로 한다.

 

보안 레벨 2부터 보자면, 비밀 키 또는 개인 키를 사용한 암호화에 기반한 메커니즘을 비롯한 많은 보안 기능이 요구된다. 보안 레벨 3과 4를 위해서는 많은 경우에 하드웨어 기반의 보호 또는 암호화 기능이 필요하다. 이럴 때 산업용 장치 설계 엔지니어에게 유용한 것이 보안 키 저장, 부채널 공격 방어, 다음과 같은 기능을 위한 명령(메시지 암호화, 디지털 서명 계산, 디지털 서명 검사)처럼 필수 메커니즘을 모두 포함하는 턴키 보안 IC다.

 

이러한 턴키 보안 IC는 IACS 장치 개발자가 복잡한 보안 초기 설계를 해야 하는 부담을 덜어준다. 보안 IC를 사용할 때 또 다른 이점은 일반 기능과 전문적인 보안 기능이 자연스럽게 분리된다는 것이다. 보안이 시스템 전체에 걸쳐서 분산돼 있는 것이 아니라 어느 한 소자에 집중돼 있으면 보안 기능의 강점을 체감할 수 있다. 또한, 이렇게 분리되어 있기에, 장치의 소프트웨어와 하드웨어를 수정하더라도 보안 기능의 검증은 그대로 보존된다. 그러므로 전체적인 보안 기능을 다시 평가할 필요 없이 업그레이드를 할 수 있다.

 

이뿐 아니라 보안 IC 제조사들은 PCB나 시스템 차원에서 접근할 수 없는 지극히 강력한 보호 기법들을 구현한다. 하드 EEPROM나 플래시 메모리, 또는 물리적 복제 방지 기능(physical unclonable function, PUF)이 바로 그러한 경우다. PUF는 극히 정교한 공격에 대해 최고 수준의 방어를 달성할 수 있다. 요컨대 보안 IC는 시스템 보안을 구축하기 위한 훌륭한 토대를 제공한다.

 

에지상의 보안

 

인더스트리 4.0은 언제 어디서나 데이터를 포착하기 위해 갈수록 더 많은 에지 디바이스를 설치하게 될 것이다. IACS 에지 디바이스로는 센서, 액추에이터, 로봇 팔, PLC와 이를 위한 I/O 모듈 등을 포함한다. 각각의 에지 디바이스는 고도의 네트워크를 형성하는 인프라에 연결되므로 이러한 디바이스는 해커의 진입 지점이 될 수 있다. 디바이스 수의 증가에 비례해 공격 표면이 증가할 뿐 아니라, 디바이스들의 다양한 구성 또한 본질적으로 공격 벡터의 다양성을 증가시킨다. 앱 보안 및 침투 테스트 회사인 SEWORKS의 야니브 카르타(Yaniv Karta) CTO는 “기존 플랫폼에서는 실행 가능한 공격 벡터가 많이 존재하고 엔드포인트와 에지 디바이스 두 가지 모두에서 노출이 증가하고 있다”고 말했다. 예를 들어서 복잡한 IACS에서 모든 센서가 동일한 회사 제품이 아닐 수 있으며, 마이크로컨트롤러, 운영 체제, 통신 스택 역시 동일한 아키텍처가 아닐 수 있다.

 

각각의 아키텍처들도 나름의 취약성을 가질 수 있다. 따라서 MITRE ATT&CK 데이터베이스나 ICS-CERT 보고서에서 지적하는 것처럼, IACS는 모든 취약성들을 가질 수 있고, 그러한 위험에 노출될 수 있다. 게다가 에지 상에 더 많은 인텔리전스가 도입되는 산업용 IoT의 추세에 따라, 디바이스는 자율적으로 의사결정을 하도록 개발되고 있다. 이러한 의사결정은 안전이나 시스템 가동을 위해 중요하므로 디바이스 하드웨어와 소프트웨어의 신뢰성을 높이는 것이 중요해졌다. 이뿐 아니라 AI 알고리즘 같이 디바이스 개발자가 공들여 개발한 IP가 무단 도용되지 않도록 지적재산을 보호하는 것 역시 보호 조치 도입을 결정하는 일반적인 고려사항인데, 이럴 때 큰 도움이 될 수 있는 것이 턴키 보안 IC다.

 

또 다른 중요한 점은 불충분한 사이버 보안은 기능 안전에 부정적인 영향을 미칠 수 있다는 것이다. 기능 안전과 사이버 보안은 복잡하게 상호작용하는 것으로서, 이 주제에 관한 논의만 해도 별도의 지면이 필요할 것이다. 다만 다음과 같은 점들은 간략하게라도 짚고 넘어갈 필요가 있다. 먼저 IEC 61508의 경우 전기·전자·프로그래머블 전자 안전 관련 시스템의 기능 안전은 IEC 62443에 의거해 사이버 보안 위험성 분석을 실시할 것을 규정하고 있다. IEC 61508은 주로 위험 요소 및 위험성 분석에 초점이 맞춰져 있으나, 사이버 보안 사고가 심각하게 발생했을 때는 후속적인 보안 위협 분석 및 취약성 분석을 실시할 것을 규정하고 있다.

 

앞서 열거한 IACS 에지 디바이스들은 임베디드 시스템들이다. IEC 62443-4-2에서는 이들 시스템에 대해 악성 코드에 대한 보호 메커니즘, 보안 펌웨어 업데이트, 물리적 무단조작 방지 및 감지, 신뢰점(root of trust, RoT) 프로비저닝, 부트 프로세스 무결성 같은 구체적인 요건들을 정의하고 있다.

 

ADI의 보안 인증 디바이스 활용한 IEC 62443 요건 충족

 

아나로그디바이스의 보안 인증 디바이스는 보안 소자라고도 하는데, 손쉬운 구현을 통해 비용을 절감하면서 필요한 요건을 충족하도록 설계됐다. 이 디바이스는 고정 기능 IC로서, 호스트 프로세서를 위한 완전한 소프트웨어 스택을 포함하는 턴키 솔루션을 제공한다. 따라서 ADI의 보안 인증 디바이스를 활용하면 보안 구현은 ADI에게 맡기고, 장치 설계 엔지니어는 자신의 본업에 집중할 수 있다. 이 보안 인증 디바이스는 본질적으로 신뢰점을 형성하고 루트 키·비밀 정보와 펌웨어 해시 같은 장비 상태에 관한 민감한 정보를 보안상 안전하면서 변경 불가능하게 저장하게 해준다. 인증, 암호화, 보안 데이터 저장, 라이프 사이클 관리, 보안 부트·업데이트를 비롯한 일체의 암호화 기능도 제공한다.

 

ChipDNA PUF 기술은 전통적인 EEPROM이나 플래시 메모리에 암호화 키를 저장하는 것이 아니라, 웨이퍼 제조 공정 시에 자연스럽게 발생하는 임의적인 변동성을 활용해서 암호화 키를 생성한다. 여기에 사용되는 변동성이 작으므로, 공격자가 칩 역공학을 위해 아무리 비싸고 정교한 침투 기법을 사용하더라도 키를 추출하지 못한다. IC 외부에서 행해지는 어떤 기술도 이 정도의 방어를 달성하지는 못한다. 보안 인증 디바이스를 사용해서 인증서 및 인증서 사슬 관리도 할 수 있다. ADI는 자사 공장에서 고도로 보안적인 키 및 인증서 프로그래밍 서비스를 제공한다. 그러므로 OEM은 이미 프로비저닝이 이뤄진 부품을 공급받아 자신의 공개 키 인프라(PKI)에 매끄럽게 결합하며, 오프라인 PKI 적용도 가능하다. 이처럼 견고한 암호화 기능들에 의해서 보안적인 펌웨어 업데이트와 보안 부트가 가능하다.

 

보안 인증 디바이스는 기존 설계에 고급 보안 기능을 추가하는 데에도 최고의 솔루션을 제공한다. 이는 사용자가 보안을 위해 디바이스를 다시 설계해야 하는 수고를 덜어주며, BOM 비용도 낮출 수 있다. 예를 들어 메인 마이크로컨트롤러를 변경할 필요가 없다. 그림 5는 DS28S60과 MAXQ1065 보안 인증 디바이스가 IEC 62443-4-2 요구 조건의 모든 레벨을 충족한다는 것을 보여준다. DS28S60과 MAXQ1065는 3 x 3mm TDFN 패키지로 제공돼 공간이 극히 제약적인 설계에 사용하기에 적합하며, 전력 소모가 적어 전력 제약이 심한 에지 디바이스에 사용하기에 안성맞춤이다.

 

 

IEC 62443-4-2 요건을 충족하기 위해 보안 기능을 지원하는 마이크로컨트롤러를 이미 사용하고 있는 IACS 장치 아키텍처에서도 키 및 인증서 배포용으로 보안 인증 디바이스를 사용할 수 있다. 이 경우, OEM이나 이의 하청 제조사는 기밀 IC 인증을 취급하기 위해 필요되는 제조 설비에 크게 투자할 필요가 없다. 이렇게 하면 마이크로컨트롤러에 저장된 키를 JTAG 같은 디버깅 툴을 통해 추출하려는 시도를 막을 수도 있다.

 

 

맺음말

 

IACS 이해 관계자가 모여서 IEC 62443 표준을 개발 및 도입함으로써 신뢰할 수 있고 안전한 인프라로 나아가기 위한 길을 열어놨다. 보안 인증 디바이스는 견고한 하드웨어 기반 보안을 필요로 하는 IEC 62443 표준 준수 장치를 위한 토대를 제공한다. 장비 제조사는 자신들이 추구하는 인증을 달성하는 데 보안 인증 디바이스가 도움이 될 것이라는 확신을 가지고 장비를 설계할 수 있다.

리스토프 트렘릿, ADI 보안 인증 제품 라인 사업 관리 담당 디렉터
Copyright ⓒ 첨단 & automationasia.net



상호명(명칭) : ㈜첨단 | 등록번호 : 서울,아54000 | 등록일자 : 2021년 11월 1일 | 제호 : 오토메이션월드 | 발행인 : 이종춘 | 편집인 : 임근난 | 본점 : 서울시 마포구 양화로 127, 3층, 지점 : 경기도 파주시 심학산로 10, 3층 | 발행일자 : 2021년 00월00일 | 청소년보호책임자 : 김유활 | 대표이사 : 이준원 | 사업자등록번호 : 118-81-03520 | 전화 : 02-3142-4151 | 팩스 : 02-338-3453 | 통신판매번호 : 제 2013-서울마포-1032호 copyright(c)오토메이션월드 all right reserved