콘텐츠로 이동

C-06: 제어시스템 운전원별 유일 계정 부여 또는 시간별 사용자 기록 유지

분류: Control System

중요도: 중

개요

점검 내용

제어시스템 운전원별로 다른 계정을 사용하거나 운전 시간에 따른 사용자(운전원) 기록 유지 여부 점검

점검 목적

제어시스템 운전원별로 다른 계정을 사용하거나 운전 시간에 따른 기록을 유지하도록 하여 계정 사용에 대한 책임 추적성(Accountability)을 높일 수 있도록 하기 위함

보안 위협

편의를 위해 다수의 운전원이 공용 계정을 사용하고, 시간별 사용자 기록이 존재하지 않는 경우 비밀번호 노출, 권한 남용, 사용자 책임추적 어려움 등의 우려가 있으며, 사고 발생 시 이에 대한 분석이 제한될 위험이 존재함

참고

책임 추적성(Accountability)

정보시스템의 접속자, 접속시간, 접속 위치, 업무내역 등을 식별하여 장애 원인, 침해사고 경위 등을 조사하는 과정에서 책임을 규명할 수 있도록 하는 것을 의미

점검 대상 및 판단 기준

대상

운전원이 접근하는 모든 제어시스템 구성요소

판단 기준

✅ 양호: 모든 운전원별로 다른 계정을 사용하거나 시간별 사용자 기록을 유지하고 있는 경우

❌ 취약: 운전원이 공용 계정을 사용하고 시간별 사용자 기록이 존재하지 않는 경우

조치 방법

모든 운전원별로 다른 계정을 사용하도록 계정 관리 또는 시간별 사용자 기록을 작성하도록 정책 변경 설정

조치 시 영향

일부 제어시스템 설정에 따라 접속 오류 발생 가능

점검 및 조치 사례

공통

  1. HMI, PLC 등의 제어 H/W, 제어 S/W에서 각 시스템 및 기기에 접근하기 위하여 사용하는 계정(ID) 목록과 각 계정을 사용하는 운영자 및 관리자 명단을 확인하여 유일한 계정을 사용하고 있는지 확인

    • PLC, DCS 등의 제어 H/W와 이를 운영하는 EWS, OWS와 같은 제어 S/W의 경우 제조사 별로 계정 기능의 관리, 확인 과정이 상이하므로 해당 제품의 매뉴얼을 통해 확인하거나 개발사에 문의하여 확인 [ 제어 S/W의 계정 관리 기능 예시 ]

  2. 제어시스템 내 정보시스템의 운영체제 계정(ID) 목록과 각 계정을 사용하는 인원의 명단을 확인(이 경우 다음 사항을 포함하여 점검)

    • 공용 계정을 사용하는지 확인

    Windows OS * 운영자, 관리자별 계정 발급 확인: 시작 > 제어판 > 사용자 계정 * (개선조치 시) 제어시스템 운영자, 관리자별 계정 추가: 시작 > 제어판 > 사용자 계정 > 추가

    Unix OS * 운영자, 관리자별 계정 발급 확인: # cat /etc/passwd * (개선조치 시) 제어시스템 운영자, 관리자별 계정 추가: # useradd 계정명

  3. Step 1, Step 2에서 공용 계정을 사용하고 있는 경우, 제어시스템을 운영하는 사용자의 시간별 사용기록을 남기는지 확인

  4. 사용기록은 사용자의 신원을 식별할 수 있는 방안을 포함하는지 확인

    • (예시: 근무자 표 작성 및 근무자 접근 단말 기록 등)