C-14: 제어시스템 내 사용자 통신 세션에 대해 세션 타임아웃 적용

분류: Control System

중요도: 하

개요

세션 통신을 지원하는 제어시스템 구성요소의 합리적인 시간 범위 내에 세션 타임아웃 설정 운용 여부 점검

제어시스템 구성요소가 세션 통신을 수행하고 있을 때, 일정 시간 동안 입력이 없는 경우 세션을 종료하도록 하여 해당 세션을 가로채어 발생할 수 있는 위협으로부터 제어시스템을 보호하기 위함

관리자가 로그인 후, 세션을 종료하지 않고 자리를 비우는 동안 악의적인 사용자가 접속된 터미널을 이용하여 불법적인 행위를 시도할 위험이 존재함

사용자와 세션 통신을 지원하는 제어시스템 구성요소

✅ 양호: 사용자 통신 세션 구간에서 타임아웃 기능이 설정된 경우

❌ 취약: 사용자 통신 세션 구간에서 타임아웃 기능이 설정되지 않은 경우

사용자 통신 세션 구간에서 일정 시간 입력이 없는 경우 자동으로 세션을 종료하는 세션 타임아웃 기능 설정 또는 개발변경

일반적인 경우 영향 없음

점검 대상 장비에서 허용하는 세션 통신을 모두 식별하고, 식별된 세션에서 타임아웃 기능 설정 여부 확인 [ 타임아웃 설정 화면 예시 ]
Step 1)에서 확인된 설정과 같이 실제로 타임아웃이 이루어지는지 확인