콘텐츠로 이동

C-50: 허가에 의한 로직 변경 정책 수립

분류: Control System

중요도: 상

개요

점검 내용

제어기기의 로직 변경에 대한 사전 검토 및 허가를 포함하는 로직 변경 정책 수립 및 이행 여부 점검

점검 목적

내부자(현장 엔지니어, 유지보수 작업자)에 의해서 검증되지 않은 로직이 제어기기에 다운로드 시 발생할 수 있는 제어시스템 오동작 문제를 차단하고, 제어기기의 세밀한 형상관리를 통해 제어시스템의 안정성 및 운영 영속성을 보장하기 위함

보안 위협

  • 제어기기 로직은 단일 제어기기는 물론 제어시스템 전체에 영향을 끼치므로 안전성이 검증되지 않은 로직의 오작동은 전체 제어시스템의 예기치 않은 동작을 유발할 위험이 존재함
  • 제어기기 로직의 오류는 시스템의 중단을 일으키거나 제어 공정의 변경을 통해서 물리적 피해를 유발할 위험이 존재함
  • 위협 사례: 2010년에 발견된 스턱스넷(stuxnet)은 이란의 나탄즈(Natanz) 원자력 시설을 공격하였으며, 일련의 단계를 거쳐 시설 내 제어기기(PLC)의 로직을 변경하였고, 이를 통해서 원심분리기의 속도를 비정상적으로 조절할 수 있었으며, 결국 일부 원심분리기의 물리적 파손을 유발함

참고

제어기기 로직

프로그래머블 로직 컨트롤러(PLC), 분산 제어시스템(DCS) 컨트롤러 등의 동작을 제어하고 조정하기 위한 일련의 논리적 명령 집합이며, PLC 및 DCS 컨트롤러는 센서 및 입력 장치로부터 수신한 데이터를 처리하여 로직에 따라 출력을 발생하고 이를 통해 현장의 액추에이터를 동작하게 함

[ PLC 동작 구조 ]

점검 대상 및 판단 기준

대상

PLC, DCS 컨트롤러 등 로직에 의해서 동작하는 제어시스템 구성요소 전체

판단 기준

✅ 양호: 로직 변경 정책이 수립되어 있고, 정책에 변경 로직에 대한 사전 검토 및 승인 후 변경하도록 절차가 마련되어 있으며, 절차를 정확히 이행하는 경우

❌ 취약: 로직 변경 정책이 수립되어 있지 않거나, 정책이 수립되어 있더라도 변경 로직에 대한 사전 검토 및 승인절차가 포함되어 있지 않거나, 정책이 바르게 수립되어 있더라도 시행하지 않고 있는 경우

조치 방법

로직 변경 시 변경할 로직에 대해서 사전 검토 및 승인 후 변경할 로직을 적용하는 절차가 포함된 로직 변경 정책을 수립하고 문서화하며, 수립된 정책에 명시된 절차에 따라 실제 변경을 수행하도록 관리

조치 시 영향

일반적인 경우 영향 없음

점검 및 조치 사례

공통

  1. 제어기기 로직 변경 정책 문서에 사전 검토 및 승인 후 설치 절차가 포함되어 있는지 확인

    • 제어기기 로직 변경 정책은 별도 문서로 관리하지 않고 조직의 보안 정책에 포함하여 관리할 수 있음

  2. 제어기기 로직 변경 시 정책에 명시된 절차를 준수하는지 확인

    • 변경 예정 로직의 검토 결과 문서 확인
    • 제어기기의 로직 변경 허가와 관련한 내부 문서 확인
    • 제어기기 로직 변경 여부 확인 예시: 제어기기 로직 변경 여부를 시스템에서 확인하고자 할 경우, 제어 S/W 또는 제어기기의 로그에서 프로그램 다운로드와 관련한 로그를 확인하여 파악할 수 있음

    [ 제어 S/W를 통한 제어기기의 로그 확인 예시 ]

    [ 제어 S/W의 로그 확인 예시 ]