C-24: 제어 네트워크에 비인가된 시스템/기기에 대한 연결 및 접속을 차단

분류: Control System

중요도: 상

개요

제어 네트워크에 비인가된 시스템/기기 등을 연결하는 경우의 연결 및 접속 차단 여부 점검

출입자가 비인가 기기, 서버 및 노트북 등을 반입하여 임의로 제어 네트워크에 연결할 수 없도록 하기 위함

악성코드가 감염된 기기, 서버 및 노트북 등을 악의적인 목적으로 반입하여 제어 네트워크에 연결하고 접속하는 경우 해당 시스템을 경유하여 업무망 또는 제어망의 취약한 시스템(예시: 특정 버전의 OPC 시스템)을 위협하고 제어설비의 권한을 획득할 위험이 존재함

[ 비인가된 기기를 통한 제어시스템 접근 및 제어명령 ]

제어시스템의 비인가 기기 연결통제 방안

제어시스템을 구성하는 환경에서 비인가 서버 및 노트북 등이 반입되고 이를 손쉽게 제어 네트워크에 연결하는 것을 차단하기 위해서는 비인가 기기의 반·출입 통제, 기기의 네트워크 연결통제 등을 함께 고려해야 함

제어시스템을 구성하는 네트워크 전체

✅ 양호: 사전 허가된 시스템 및 기기만 제어 네트워크에 연결 및 접속이 가능한 경우

❌ 취약: 사전 허가되지 않은 임의의 시스템 및 기기가 제어 네트워크에 연결 및 접속이 가능한 경우

제어시스템을 구성하는 네트워크에 시스템 또는 기기를 연결하는 경우 사전 승인 및 MAC 식별 등에 의한 접근통제 조치 설정

현재 제어시스템 내 운영 서비스에 대한 정확한 파악이 되지 않은 경우, 장애 발생 가능

제어 네트워크에 비인가 시스템 및 기기를 임의로 연결할 수 없도록 다음 각 호의 방법과 같은 조치가 적용되는지 확인
- 연결하려는 기기의 MAC 주소 등의 정보를 식별하고 내부 신청절차에 따라 허가된 IP주소를 부여(관리적 통제)
- NAC(Network Access Control) 등의 시스템을 적용하여 허가되지 않은 임의의 시스템 및 기기 연결을 차단(기술적 통제)
유지보수 등을 위해 제어망의 시스템 접근이 필요한 경우에는 사전 허가된 제어망 시스템에 대하여만 접근할 수 있도록 하는 보안대책을 적용 (예시: 방화벽을 경유한 VPN 접속)

[ 허가받지 않은 외부기기의 접속 통제 ]