[첨단 헬로티]
일본의 전력 회사는 항상 전력 공급 신뢰도와 전력 품질 유지, 향상에 노력해 왔다. 예를 들면 태풍이나 번개 등의 자연 재해가 발생한 경우, 혹은 설비의 고장이나 사고가 발생한 경우에도 공급 지장의 방지와 정전 시간의 단축을 도모해 왔다. 지금까지 오랜 세월에 걸쳐 다양한 연구가 전력 제어 시스템을 포함한 전력 설비, 그리고 운용 노하우에 축적되어 왔다.
그러나 최근에는 지금까지와 같은 자연 재해나 설비 고장 외에 사이버 시큐리티 면의 위협에 대해서도 준비하는 것이 필요하게 됐다. 또한, 저압의 수요 가옥 한 채 한 채가 통신 네트워크로 접속되는 스마트미터 시스템도 새롭게 등장하게 됐다. 이러한 것들로 인해 전력 제어 시스템과 스마트미터 시스템의 시큐리티에 대해 일본 정부도 시큐리티 가이드라인과 그것에 관계된 법 제도를 정비한 것이다.
이 글에서는 우선 전력 제어 시스템 시큐리티 대책에 대해 논의한다. 그리고 전력 분야의 시큐리티 대책 예로서 도쿄전력파워그리드(도쿄전력PG)의 대응을 소개한다.
전력 제어 시스템의 시큐리티 대책
1. IT 시스템과의 시큐리티 대책의 차이
IT 시스템 분야에서는 시큐리티 대책 방법과 그 지식이 착실하게 침투하고 있는 한편, 전력 제어 시스템에 대해 IT 시스템의 기법을 그대로 적용할 수 있는 케이스는 적은 것처럼 보인다. 그 이유는 전력 제어 시스템에는 IT 시스템과는 다른 사정이 많이 있기 때문일 것이다. 주요 차이점은 NIST SP 800-82에도 소개되어 있는데, 이하에 필자의 관점에서 특징적이라고 생각되는 차이를 몇 가지 나타냈다.
(1) 전력 제어 시스템은 각각의 담당 부문에서 관리
IT 시스템은 기업의 정보 시스템 부문이 일원적으로 관리하고 있으며, 경영층도 그 상황을 상세하게 파악할 수 있는 케이스가 많다. 한편, 전력 제어 시스템은 계통 제어, 송전, 배전, 변전 등 각각의 분야에서 전문적인 고도의 시스템이 존재하고 있다. 개발이나 운용도 각 담당 부문이 맡고 있으며, 시스템 설계나 네트워크 설계에 대해 각각 독자적인 개념으로 되어 있는 경우가 많다. 그렇기 때문에 각 시스템의 시큐리티 대책에 대해서도 각 부문이 맡고 있는 경향이 강한데, 각 개발 메이커가 제공하는 시큐리티 대책에 의존할 수밖에 없는 부문도 있어, 기업 내에서 일관된 시큐리티 대책 방법이나 적용 기술에 통일을 기하는 것이 한층 더 어려워지고 있다.
(2) 안전과 전력 공급의 확보가 최우선
IT 시스템의 경우, 취급하는 데이터 그 자체가 중요한 자산이라는 배경도 있고 기밀성을 최우선으로 하는 개념이 일반적이다. 기밀 정보나 개인 정보의 유출이 밝혀지면, 우선은 서비스를 중지한다.
한편 제어 시스템의 경우, 처리되는 데이터 자체에 본질적인 가치는 없다. 물리적인 것에 대한 오퍼레이션이 지켜야 할 대상이다. 그렇기 때문에 일반적인 제어 시스템에서는 기밀성보다 가용성을 우선하는 개념이 널리 인정받고 있다. 그러나 전력 제어 시스템은 인신과 공중의 안전을 가장 우선한다는 특징도 있다. 예를 들면 전력 제어 시스템에는 합선 등 전기 사고 시의 안전을 지키기 위해 전기를 멈추는 기능이 있다. 시큐리티 대책 패치를 적용한 것이 원인으로, 전력 제어 시스템의 안전 기능이 저해되어 인명이나 사회에 피해를 주는 일은 절대로 있어서는 안 된다. 시큐리티 대책 패치를 적용하기 전에, 적용에 의한 영향과 리스크를 사전에 충분히 평가할 필요가 있다. 그리고 그 평가를 하기 위해서는 엄청난 비용과 시간이 필요한 경우가 많다.
(3) 패치 적용 시스템 도입이 곤란
전력 회사에는 몇 개의 전력 제어 시스템이 도입되어 있지만, 이들은 기본적으로 인터넷이나 다른 IT 시스템과의 접속성이 없거나 혹은 제한적이다. 이러한 사내외에서 고립된 시스템에 사외에서 제공되는 패치를 실시간으로 적용하는 것은 현실적으로 곤란하다. 패치 적용을 자동화하려면, (기존부터 지켜져 온 다른 시스템과 접속하지 않는다는 정책을 뒤엎고) 어떠한 형태로든 사내외의 다른 시스템과 연계하는 등 시스템 구성의 수정이 필요하다.
(4) 구성 기기의 종류, 양, 영역이 크다
전력 제어 시스템에 접속되는 기기는 서버 기기나 PC뿐만 아니라 센서와 제어기기 등 다양하다. 이들 기기는 옥외 영역도 포함해 지리적으로 광범위하게 여러 개가 설치되어 있다. 데이터센터나 사무실 등 안전하고 한정된 거점에 범용적인 소프트웨어를 탑재한 범용 기기가 설치되어 있는 IT 시스템과 크게 다른 점이다.
이러한 전력 제어 시스템의 특징은 자산 관리와 시스템 구성 관리, 시큐리티 위협 분석, 물리 시큐리티 확보, 부정 침입 감시 등으로 커버해야 할 지리적 범위와 수량이 많다는 의미로, 시큐리티 대책을 어렵게 하고 있다. 또한 위협 분석에서는 메인티넌스용 사외 접속 회선, 외부에서 가지고 들어오는 보수용 단말이나 USB 메모리, 무선 LAN에서의 부정 침입, 관리가 불충분한 기기를 통한 다른 네트워크와의 부정 접속, 업무용 네트워크에서의 침입 등 네트워크적, 물리적, 지리적으로도 광범위하고 다양한 공격 루트가 있다는 것을 확실하게 인식할 필요가 있다.
(5) 시큐리티 사고와 고장이나 작업과의 판별이 곤란
IT 시스템에서 정보 유출이나 데이터 조작 등이 발생한 경우, 즉시 시큐리티 사고로서 취급된다. 한편, 전력 제어 시스템과 같은 CPS(Cyber-Physical Systems)에서는 사이버 공격의 대상이 물리적 설비에 대한 오퍼레이션 기능 부전이나 설비 손상인 경우가 많다. 이러한 것은 설비의 고장, 혹은 보수 작업에서 종종 발생하는 것이다. 그렇기 때문에 발생할 때마다 즉시 시큐리티 사고로서 취급하거나, 시큐리티 대응 팀을 긴급 소집하는 것이 적절하다고는 할 수 없다. 전력 제어 시스템의 시큐리티 감시에서 가장 중요하고 어려운 것은 감지된 것이 고장이나 작업에 의한 것인지, 아니면 시큐리티 사고인지를 신속하게 판별하는 것이다. 그러기 위해서는 시큐리티 감시자는 시스템 오퍼레이션에도 정통할 필요가 있다.
(6) 오퍼레이션의 지식에 근거한 시큐리티 대책이 필요
인터넷과 직접 접속되어 있는 기기나 시스템에서는 포트 스캔이나 오픈 포트에 대한 취약성을 사용한 침입, 메일 공격이나 피싱 등이 일상적으로 발생하고 있다. 그 중에서 교묘하게 침입해 오는 공격자를 찾아내는 것이 IT 시스템의 시큐리티 감시에서 중요해지고 있다. IT 시스템의 경우, 표준적인 미들웨어나 애플리케이션 소프트웨어가 사용되고 있기 때문에 감시 노하우나 감시 툴에 대해서도 표준적인 방법으로서 공유, 정형화할 수 있다. 또한 이러한 방법에 숙련된 사외의 IT 시큐리티 인재를 즉시 전력으로 고용하는 것도 효과적이다.
한편 전력 제어 시스템의 네트워크는 사외로부터 직접적인 트래픽이 차단되어 있다. IT 시스템에 대한 공격에 관한 지식을 단순히 적용할 수 있는 상황은 적다. 오히려 내부 공격을 전제로 하면, 오퍼레이션이나 트랜잭션 중에서 의심스러운 거동을 검지하는 것이 중요해진다. 그러기 위해서는 오퍼레이션에 관한 지식도 필요하다.
2. 전력 제어 시스템의 시큐리티 대책에서 고려해야 할 점
앞에서 말한 IT 시스템과의 차이로부터 전력 제어 시스템의 시큐리티 대책에 대해 고려해야 할 점을 정리한다.
(1) 일원적인 시큐리티 체제의 구축
우선 CSIRT(Computer Security Incident Response Team)과 같은 시큐리티 통치 전문 조직을 설치하고, 지금까지 각 부문에 맡기고 있던 전력 제어 시스템의 시큐리티 통치 체제를 일원화해야 한다. 이것에 의해 어느 부문의 시스템에 대해서도 일정한 시큐리티 전략을 책정할 수 있고, 각 시스템의 시큐리티 대책의 상황과 존재하는 시큐리티 리스크를 객관적으로 파악할 수 있다. 즉 시큐리티 대책의 PDCA를 적절하고 착실하게 실행하며, 그 위에 전문적인 시큐리티 통치 조직을 설치하는 것은 합리적이다. 또한 일원적으로 통치하는 조직을 통해 결과적으로 경영층의 시큐리티에 대한 이해가 깊어지고, 시큐리티 분야에 대한 경영 자원 투입 촉진에도 기여한다.
(2) 오퍼레이션에 정통한 시큐리티 인재의 확보
전력 제어 시스템에서는 시스템 오퍼레이션에 대한 공격이 예상된다. 더구나 인터넷을 통한 직접적인 침입 경로가 한정되어 있기 때문에 내부에서 침입하는 시나리오(업무용 시스템을 발판으로 한 공격을 포함)도 충분히 예상된다. 내부 침입이라면 취약성을 사용하지 않고 공격할 수 있기 때문에 사이버 공격되어도 오조작이나 우발적인 고장에 의한 이상으로 밖에 보이지 않을 가능성이 높다. 이와 같은 내부 공격을 감시하기 위해서는 각 시스템의 전문적인 고장 판정 기술과 동등한 능력이 필요하다. 따라서 전력 제어 시스템의 SOC(Security Operations Center)에는 각 시스템의 오퍼레이션에 정통한 사람을 할당하거나, 혹은 SOC와 오퍼레이션 담당 장소와 긴밀하게 연계할 수 있도록 하는 것이 필요하다고 생각된다.
한편 CSIRT에 대해서도 사고 핸들링이나 경영층과의 정보 공유, 사외에 대한 정보 공개, 타사와의 정보 공유 등을 적절히 수행하려면, 각 전력 제어 시스템과 그 오퍼레이션에 대한 올바른 이해가 필수적이다.
이러한 점에서 전력 제어 시스템의 시큐리티 담당자는 시큐리티 기술을 갖고 있을 뿐만 아니라, 전력 제어 시스템의 오퍼레이션에 정통한 것이 바람직하다.
(3) 각 전력 제어 시스템을 위한 시큐리티 대책 시스템 공통 기반의 정비
시큐리티 감시는 고도의 기술을 필요로 하며, 인재도 한정되기 때문에 시스템마다 개별적으로 시큐리티 감시 체제를 정비하는 것은 곤란하다. 또한 다른 시스템과의 연계점을 경유해 중요한 시스템에 침입하는 것도 생각할 수 있다. 이러한 이유로, 다른 시스템을 통합적으로 시큐리티 감시하는 것이 바람직하다. 통합적으로 감시하려면 FW(Firewall)이나 IDS(Intrusion Detection System), 혹은 로그를 자동 분석하는 SIEM(Security Information and Event Management)과 같은 툴에 대해서도 시스템 간 연계가 필요하다 .
한편, 시큐리티 대책에 따라서는 취약성 패치와 안티 바이러스의 패턴 파일, 시그니처 파일 등 최신 정보로 갱신하는 것이 항상 필요한 케이스도 있다. 그러한 경우, 온라인 통합화함으로써 제로데이 공격 대책과 코스트 다운에 기여할 수 있다.
이러한 통합적인 시큐리티 감시나 시큐리티 대책의 실현에는 시스템적인 공통 기반의 정비가 필수적이다. 한편, 시스템 간의 상호 접속은 취약 포인트나 침입 루트를 늘릴 우려도 있다. 시큐리티 대책 시스템 공통 기반의 설계, 운용에 있어서는 다른 시스템 접속점의 적확한 관리와 시큐리티 확보에 충분히 주의하는 것이 요구된다.
(4) 정확한 구성 관리에 기초한 포괄적인 침입 루트의 색출과 국소화
부정 침입 대책을 적절하게 수행하기 위해서는 각 장소에 설치되어 있는 설비를 정확하게 파악하고, 물리적, 소프트웨어적인 취약 포인트를 빠짐없이 조사해 서플라이체인을 포함해 적절한 대책을 검토해야 한다.
그러나 전력 제어 시스템을 구성하는 기기는 종류 면에서도 양 면에서도, 더구나 지리적인 범위 면에서도 규모가 크다. 또한 통신 설비, 통신 케이블을 포함해 오픈된 영역에 설치되어 있는 설비도 있다. 가능하다면 최대한 취약 포인트가 되는 설비 그 자체를 철거해, 침입 루트를 좁혀 가는 것도 생각할 필요가 있을 것이다.
(5) 취약성 관리 기준의 명확화
인터넷에 공개되어 있는 서버에 대해서는 취약성이 공개됐다면 긴급으로 패치를 적용하는 것이 필수적이다. 그러나 전력 제어 시스템에 대해서도 동일한 정책을 적용하는 것은 현실적으로 어렵다. 또한 취약성 정보도 여러 가지가 있고, 더구나 그 취약성이 전력 공급과 사업 경영에 미치는 영향이나 리스크도 시스템에 따라 다르다. 취약성 정보에 대해서는 시스템 고유의 환경 조건이나 취약성에 기인한 영향도의 크기 등 평가 기준을 명확화하고, 패치 적용 등의 대책 필요 여부를 판단하는 것이 적절하다고 생각된다. CVSS v3는 실제 운영 환경과 각각의 서버 용도에 따른 리스크를 정량적으로 평가하는 데 도움이 될 것으로 기대할 수 있다.
(6) 전력 제어 시스템을 대상으로 한 시큐리티 기술의 채용
전력 제어 시스템에 대한 기술적 시큐리티 대책에 있어, 이전에는 IT 시스템의 이용을 전제로 개발된 제품밖에 선택의 여지가 없었다. 그러나 최근에는 제어 시스템을 대상으로 한 OT(Operational Technology)용 시큐리티 제품 개발이 활발해져, 제어 시스템 특유의 환경이나 사정을 배려한 제품도 많다. 예를 들면 화이트리스트 방식의 안티바이러스와 DD(Data Diode) 등이 그 예이다.
또한 IDS에 대해서도 OT 시스템에 대응한 제품이 등장하고 있다. 일본의 전력 회사와 같이 독자적인 전력 제어 프로토콜을 사용하고 있는 경우에도 그 프로토콜에 맞춰 커스터마이즈 가능한 제품이나 AI 기술을 활용한 IDS 제품을 볼 수 있게 됐다.
앞으로는 전력 제어 시스템의 개발에 있어서도 가급적 독자적인 사양을 피하고, 시장에 보급되어 있는 시큐리티 제품을 활용할 수 있게 설계하는 것도 시큐리티 수준의 향상에 효과적이라고 생각된다.
도쿄전력PG의 대응 상황
이하에 도쿄전력PG가 대응하고 있는 몇 가지 시큐리티 대책 사례를 소개한다.
(1) 조직․업무
도쿄전력 그룹으로서는 2020년 올림픽․패럴림픽 개최 도시로서 전력 제어 시스템의 시큐리티 대책에 만전을 기하지 않으면 안 된다고 생각하고 있다. 이미 도쿄전력PG는 CISO(Chief Information Security Officer) 아래에 시큐리티 전담 조직 ‘사이버 시큐리티 센터(CSC, Cyber Security Center)’를 설치하고, 그 안에 CSIRT에 해당하는 SIRT(Security Incident Response Team )과 SOC를 뒀다.
도쿄전력PG는 조직 규모가 크고 수급 제어에서부터 송배전 등에 이르는 다양한 전력 제어 시스템뿐만 아니라, 기록 처리와 업무 처리에 관한 각각의 시스템도 있다. 지금까지 동사에서는 이들의 시큐리티 대책을 일원적으로 통치, 관리, 감시하는 전문 조직이 없었기 때문에 시큐리티에 대한 대응도 각 부문에 맡기고 있었다.
그러나 전력 제어 시스템 시큐리티 가이드라인의 법제화에 맞춰 SIRT과 SOC를 설치한 결과, 사내의 시큐리티 규칙의 정비, 시큐리티 대책의 PDCA 혹은 시큐리티 사고가 발생했을 때의 대응 플로 정비 등의 업무를 착실하게 진행할 수 있게 됐다. 예를 들면 기존의 전력 제어 시스템이 전력 제어 시스템 시큐리티 가이드라인에 대해 적합한지의 확인, 혹은 중요한 시스템에 대한 페니트레이션 테스트와 상세 리스크 분석이 실시됐다.
또한 사이버 공격에 대해서는 정부기관이나 전력 업계, 다른 인프라 업계, 시큐리티 벤더 등과의 시큐리티 정보 공유가 유익하며, 일본의 업계 단체로서도 이미 대응하고 있다. 다른 조직과의 연계에 대해서도 SIRT이 적극적으로 관여함으로써 한층 더 그 효과를 높일 수 있을 것으로 생각하고 있다.
이와 같이 시큐리티에 관한 조직의 개혁은 시큐리티 업무의 확실한 실시와 시큐리티 수준의 지속적인 향상에 크게 기여할 것으로 생각하고 있다.
(2) 사내 규칙
도쿄전력PG는 전력 제어 시스템 시큐리티 가이드라인의 법제화와 CSC의 설치에 맞춰, 사내의 시큐리티 규칙을 크게 수정했다. 각 전력 제어 시스템의 중요도를 정하고, 중요도에 따른 시큐리티 대책을 정했다. 대책에는 맬웨어 대책과 취약성 정보 관리, 로그 감시 등 기술적인 대책뿐만 아니라 외부 매체 관리, 카메라 감시, 출입 관리 등 물리적 대책도 규칙화했다.
(3) 시큐리티 감시
도쿄전력PG의 SOC에서는 IT 시스템, OT 시스템의 시큐리티를 통합적으로 감시하고 있다. 네트워크 기기, 시큐리티 제품, IT 시스템과 OT 시스템의 시큐리티 관련 로그 등 여러 방면에 걸친 정보를 수집, 분석, 감시하고 있다. 로그 전송(syslog)은 단일 방향 통신만으로 실현할 수 있기 때문에 시큐리티 리스크를 증대시키지 않고 네트워크, 시스템 전체를 통합적으로 감시할 수 있다.
시큐리티 감시를 위해 수집해야 할 로그 등의 감시 항목에 대해서는 지금까지의 지식을 기초로 시스템마다 정리해 왔다. 그러나 SOC에서 감시 경험을 축적함으로써 새로운 항목의 필요성 등 새로운 지식이 나올 것으로 생각된다. 앞으로 도입하는 시스템은 그러한 요구에도 유연하게 대응할 수 있는 감시 방식을 설계하는 것이 바람직하다.
(4) 인재 육성
SIRT과 SOC의 담당으로, 고도의 시큐리티 기술을 가진 요원을 할당하는 것은 결코 나쁜 것이 아니다. 그러나 전력 시스템에서 발생한 시큐리티 사고는 전력 제어 시스템의 운용에 정통하지 않으면 적절한 상황 판단이 불가능하다. 또한 앞으로 수집을 강화해 갈 예정인 로그에 대해서도 각 시스템에 특화된 로그 메시지의 의미를 이해하고, 그 중에서 시큐리티에 필요한 정보를 추출하는 지식을 축적해 가야만 한다. 그렇기 때문에 전력 제어 시스템의 운용 경험이 있는 인재에게 IT 시큐리티 기술을 가르쳐 육성하는 것이 효과적이라고 생각한다.
단, 전력 회사의 시큐리티 담당자로서 어떤 수준의 시큐리티 기술이 필요한지에 대해서는 각사가 모색하고 있는 단계라고 생각된다. 도쿄전력PG에서는 NIST의 NICE 프레임 워크를 참고로 동사 버전의 기술맵을 작성, 인재 육성 계획의 지표로 삼고 있다.
(5) 시큐리티 훈련
IT 시스템의 세계에서는 매일 같이 크고 작은 여러 가지 사이버 공격이 관측되고 있다. 그러나 일반적인 전력 제어 시스템에서는 그러한 상황까지는 관측되지 않는다. 도쿄전력PG에서도 전력 제어 시스템 시큐리티 경보를 SOC에서 관측하지만 그들은 시큐리티 사고가 아닌 경우가 많다. 그렇기 때문에 시큐리티 훈련을 실시하는 것이 실제 시큐리티 공격에 대비해 유사 회복력을 높이기 위해 매우 효과적인 수단이라고 생각하고 있다.
도쿄전력PG에서는 여러 가지 케이스의 훈련을 정기적으로 실시하고 있으며, 그 중에는 사전 통지 없이 실시하는 케이스도 있다. 훈련에는 시나리오에 대응해 SIRT, SOC, 시스템 운용 부문, 홍보 부문 등 광범위한 부문에서 임원, 부장, 담당이 참여하고 있다. 다양한 시나리오를 체험함으로써 참가자는 보다 구체적인 시큐리티 대응을 배울 수 있는 동시에, 실효면의 과제도 명확해진다. 또한 훈련을 위해 시나리오를 작성, 준비하는 것 자체도 실무적인 시큐리티 대책을 배우는 것뿐만 아니라, 시큐리티 대응의 잠재적인 문제를 사전에 발견하는 귀중한 장이 되고 있다.
맺음말
이 글에서는 IT 시스템 시큐리티와의 차이를 정리하고, 전력 제어 시스템 시큐리티 대책에서 고려해야 할 사항을 설명했다. 시스템 환경면이나 운용면에서 IT 시스템과는 다른 점에 유의해 조직과 인재, 시스템 설계, 구성 관리, 취약성 관리, 채용 기술을 생각해 갈 필요성을 말했다. 또한 도쿄전력PG가 실시하고 있는 대응에 대해 소개했다.
도쿄전력PG가 전력 제어 시스템의 시큐리티에 대해 크게 재인식하는 계기가 된 것은 정부의 전력 제어 시스템 시큐리티 가이드라인의 법제화이다. 그 덕분에 전력 제어 시스템의 시큐리티 통치가 크게 전진했다. 이 가이드라인을 기반으로 전력 제어 시스템 시큐리티의 바람직한 방향을 추구, 도쿄전력 그룹은 물론 세계의 전력 제어 시스템 시큐리티 향상에 기여하고 싶다.
오카부 타다시, 도쿄전력파워그리드(주) 사이버시큐리티센터
