Control System

SCADA, DCS 등 제어시스템 보안

총 51개 항목

---

제어시스템 > 1. 계정 관리

• C-01: 계정 기능이 있는 제어시스템 구성요소에 대해 계정을 안전하게 설정하여 사용
• C-02: 제어시스템 계정의 로그인/로그아웃, 사용 명령 등 사용기록을 저장
• C-03: 제어시스템 계정입력 시 비밀번호 마스킹 처리, 입력값 에러 발생 시 제공 정보 제한 수행
• C-04: 제어시스템 계정을 관리, 운영, 유지보수 등 용도에 따라 분리하고 운용
• C-05: 제어시스템 계정에 대해 관리, 운영, 유지보수 등 용도에 맞는 최소 권한 부여
• C-06: 제어시스템 운전원별 유일 계정 부여 또는 시간별 사용자 기록 유지

제어시스템 > 2. 서비스 관리

• C-07: 제어시스템 구성요소에 대한 시각 동기화 수행
• C-08: 제어시스템에 불필요한 서비스 및 취약한 서비스 제거 또는 보완대책 수행
• C-09: 제어시스템 구성요소에 대한 관리자 페이지 운영 시 이에 대한 접근통제(사전인가 접근만 허용) 수행
• C-10: 제어시스템 내 파일/디렉터리 접근 권한 및 신뢰 관계를 적절히 부여
• C-11: 제어시스템 내 제어와 직접적인 관련이 없는 불필요 프로그램 삭제
• C-12: 제어시스템 운영 정보, 제어 명령 등 중요 정보에 대한 위변조 및 replay 공격 방지 대책 적용
• C-13: 제어시스템 내 전달되는 제어 명령 및 파라미터의 정상 범위를 식별하고 관리
• C-14: 제어시스템 내 사용자 통신 세션에 대해 세션 타임아웃 적용
• C-15: GPS 스푸핑/재밍 공격 등 시간 동기화 서비스를 교란하기 위한 공격에 대비한 보안 조치 수행
• C-16: 제어시스템에 대한 최신 업데이트, 보안패치를 안전하게 적용하기 위한 제조사 협력방안, 테스트 방안

제어시스템 > 3. 패치 관리

• C-17: 외부 업체, 인터넷을 통한 다운로드 등의 경로로 반입된 각종 패치·업데이트 파일에 대해 무결성 검증
• C-18: 제어시스템 구성요소의 알려진 취약점에 대해 보안패치 적용 또는 상응하는 대응책 적용
• C-19: 운영체제, 응용프로그램, 펌웨어 등에 대한 안정성이 확인된 최신 버전의 소프트웨어 사용 및
• C-20: 제어시스템 개선, 신규 시스템 도입, 패치 및 수정 시, 안전성을 테스트하기 위한 테스트베드 또는

제어시스템 > 4. 네트워크 접근통제

• C-21: 제어 네트워크는 업무망, 인터넷, CCTV 망 등 외부망과 물리적으로 분리하여 사용
• C-22: 제어 네트워크 외부로 자료전달 시 물리적 일방향 자료전달 환경을 구축하여 외부에서 제어
• C-23: 제어 네트워크에 무선인터넷, 테더링, 외부 유선망 등의 외부망 연결을 제한하고 주기적으로 점검
• C-24: 제어 네트워크에 비인가된 시스템/기기에 대한 연결 및 접속을 차단
• C-25: 물리적 일방향 자료전달 환경의 올바른 동작 및 운용에 대한 주기적인 점검 수행
• C-26: 제어 네트워크를 용도에 따라 세분화하고, 접근제어를 수행하여 제어시스템 운영에 필요한 네트워크,

제어시스템 > 5. 물리적 접근 통제

• C-27: 제어시스템에 대해 네트워크 포트, USB 포트 등 외부 연결 접점에 대해 허가받은 사항을 제외하고 모두
• C-28: 제어시스템 구성요소를 물리적으로 보호할 수 있는 조치 적용(잠금장치가 있는 함체, 랙, 수납 책상 등)

제어시스템 > 6. 보안위협 탐지

• C-29: 백신 프로그램 설치가 가능한 제어시스템 구성요소에 대해 악성코드 감염 및 차단을 위한 백신 프로그램 설치
• C-30: 이상 트래픽 발생 탐지 등 제어시스템 내의 보안 관리를 위해 적합한 침입탐지시스템 등을 구축 및

제어시스템 > 7. 복구 대응

• C-31: 제어시스템 대상 사이버 위기대응 매뉴얼을 수립
• C-32: 제어시스템 대상 사이버 위기대응 훈련을 정기적으로 시행
• C-33: 제어시스템 침해사고 대응을 위한 제어시스템 설정, 중요 데이터 등을 백업 및 관리
• C-34: 제어시스템의 장애 발생, 사이버 공격, 물리적 테러 등에 대한 비상계획 수립
• C-35: 제어시스템의 장애 발생, 사이버 공격, 물리적 테러 등에 대한 비상계획 훈련을 정기적으로 시행
• C-36: 제어시스템 조작 불능에 대비하여 수작업 운전 매뉴얼 작성 및 교육 훈련 시행
• C-37: 제어시스템의 각종 이벤트에 대한 로그를 관리하기 위한 중앙집중식 로그관리 수행
• C-38: 제어시스템 구성요소의 기준 형상을 설정하고 변경 및 업데이트 시 형상관리 수행
• C-39: 제어시스템 주요 장비 및 제어 네트워크 장비에 대해 이중화
• C-40: 제어시스템 보호를 위한 화재탐지 설비 및 화재 진압설비를 구비
• C-41: 제어시스템 보호를 위한 누수탐지 설비 및 침수 대응 장비 구비
• C-42: 제어시스템에 대하여 정기적으로 사이버 위험 시나리오를 식별하고, 완화방안 수립

제어시스템 > 8. 복구 대응

• C-44: 제어시스템 중요 구성요소가 설치된 장소를 보호구역으로 설정
• C-46: 제어 네트워크에 연결되는 외부 정보통신기기 반‧출입 시 클린존 통과, 관리대장 작성 등 관리절차 마련
• C-47: 제어시스템의 특성을 반영한 정보보안 정책, 지침을 수립
• C-48: 제어시스템 운영 업무에 대해 표준업무 절차서를 작성하고 적용

제어시스템 > 8. 보안 관리

• C-43: 제어시스템 구성요소에 대한 자산정보(담당자, 제조사, 모델명, 펌웨어 버전, 설치 SW 등)를 항상
• C-45: 제어시스템에서 USB 등 이동형 저장 매체를 사용해야 하는 경우, 사전 정의된 정책에 따라 사용
• C-49: 제어시스템 유지보수를 위한 전용 장비(노트북 등)를 마련하고 관련 정책을 시행
• C-50: 허가에 의한 로직 변경 정책 수립

제어시스템 > 9. 교육훈련

• C-51: 제어시스템 운전원, 관리자, 유지보수인력, 보안 인력에 대해 직무별 직무교육을 정기적으로 실시