2021년 11월에 경제산업성으로부터 ‘공장 시스템의 사이버·피지컬 시큐리티 대책 가이드라인 Ver1.0’이 공개됐다. 이 글에서는 공개된 가이드라인의 골자에 대해 해설한다. 또한 필자는 가이드라인의 작성 및 제정에 위원으로 참여했다.
공장 시스템은 사업을 지탱하는 제품이나 서비스를 제공하는 것의 일부이며, 생산(제공) 현장의 ‘안전(Safety), 품질(Quality), 납기(Delivery), 비용(Cost)’(이하 ‘SQDC’)의 확보를 목표로 구축·운용을 추진해 오고 있다. 구체적으로는 생산 현장의 SQDC 향상 및 저해하는 요인의 미연 방지와 문제(사고) 발생 시의 피해 최소화를 위한 시책을 실시하고 있다.
사이버 공격은 이 업무 장애를 발생시키는 새로운 요인으로 자리매김할 필요가 있다. 즉, 시큐리티 대책은 지금까지의 안전이나 품질, 납기와 비용을 확보하기 위해 실시해 온 책임 조직의 설치, 운용 규칙의 정비, 시스템화, 교육 등에 대해 사이버 공격에 대한 시책을 추가로 정비해 나가는 것으로, 기존의 시책이나 비즈니스 계획과 연계한 대응이 반드시 필요하다.
앞에서 말한 가이드라인은 이러한 개념을 바탕으로 제어 시스템을 갖춘 조직으로서 어떠한 사고방식으로 시큐리티에 대응하면 좋은지를 주안으로 정비한 것이다. 따라서 개별 시큐리티 시책에 대해 설명하는 것을 주안으로 하는 가이드라인은 아니다.
가이드라인의 구성은 1장 ‘목적’, 2장 ‘가상 공장’, 3장 ‘시큐리티 대책 기획·도입 추진법’으로 되어 있다. 2장의 가상 공장은 3장의 내용을 이해하기 위한 사례이다.
이 글에서는 가상 공장의 개략을 기재하고 있는 2장과 가이드라인의 핵심이 되는 3장을 중심으로 해설한다.
가상 공장에 대해서
2장의 가상 공장은 3장 내용의 이해를 돕기 위해 공장 생산라인 및 제어 시스템을 가정하고 있다. 구체적으로는 다음과 같은 공장 시스템이다.
(1) 가상 기업 : 전자기기 제조
(2) 가상 생산라인 :
· 프린트 기판의 생산
· 생산 지시를 바탕으로 자동 생산
· 세팅 설치, 부품 보충 등 작업자가 실시
· 여러 생산라인에서 다른 기종 생산 가능
· 생산 기술․관리 부문이 구축․관리, 설비 보수는 설비 벤더가 실시
· 자동 창고는 설비 벤더가 보수에 대비해 리모트로 상태 감시 및 현지 보수를 실시
또한 가상 업무와 가상 제어 시스템에 대해서는 그림 1에 개요를 나타냈다.
제품을 생산하는 공장 시스템은 제조물이나 제조 장치에 따라 다양한 형태가 된다. 구체적으로는 독립적으로 설치한 장치를 인력에 의해 순차적으로 가공해 나가는 것부터, 이번 사례와 같이 부품 공급에서 보관까지 장치끼리를 제조라인으로 접속해 제어 시스템에 의해 일련의 동작을 자동화하고 있는 것까지 있다.
이 가이드를 활용하는 경우는 자사의 제조라인이 이 사례와 다르기 때문에 적용 대상 외라는 것이 아니라, 자사의 제조라인에서는 어떻게 적용되는지를 예측하면서 3장의 ‘시큐리티 대책 기획․도입 추진법’을 실시하기를 권장한다.
시큐리티 대책 기획·도입 추진법에 대해서
여기서는 가이드라인 3장 ‘시큐리티 대책 기획․도입 추진법’에 대해 해설한다. 이 3장이 가이드라인의 핵심 부분이다.
공장 시스템의 시큐리티를 검토하기 위해서는 단일 제어 시스템으로 동작하는 전제가 아니라, 여러 제어 시스템이 서로 결합하는 것을 고려해야 한다. 이것은 시큐리티 시책을 단일 제어 시스템을 전제로 실장해도 결합된 일부 제어 시스템에서 시큐리티 시책이 불충분한 경우는 그 제어 시스템을 통해 시큐리티 공격을 받을 가능성이 있기 때문이다.
이 가이드라인에서는 이러한 사상에 대응하기 위해 사업자로서 통일적인 제어 시스템의 시큐리티 시책을 정의하고 조직적으로 일관성 있는 시큐리티 시책을 실현하는 것을 목적으로 하고 있다.
구체적으로는 단계 1에서 공장 시스템의 시큐리티 대책을 기획·도입하는 데 필요한 요건을 정리하고, 단계 2에서 그 정리를 토대로 시큐리티 대책을 검토, 그 후 단계 3에서 시책을 실시하는 동시에 유지 관리를 하는 것을 나타내고 있다.
단계 전체의 개략을 그림 2에 나타내는 동시에, 각 단계의 개념과 구체적인 실시 내용을 다음과 같이 나타낸다.
1. 단계 1 - 내외 요건이나 업무, 보호 대상 등의 정리
공장 시스템은 단일 제어 시스템으로 구축될 뿐만 아니라 여러 제어 시스템이 서로 결합한다. 따라서 단일 제어 시스템을 전제로 보안 시책을 검토하고 구현하더라도 결합된 제어 시스템의 보안 시책이 불충분할 경우에는 결합된 제어 시스템으로부터 영향을 받을 가능성이 있다. 본 가이드라인에서는 이러한 현상에 대응하기 위해 단계 1에서는 사업자로서 통일적인 제어 시스템의 보안 시책을 실현하기 위해 필요한 사항 및 현황을 정확하게 파악하는 것을 목적으로 하고 있다.
검토 절차는 우선 제어 시스템을 실현하는 데 고려가 필요한 사내외 요건 및 현황에 대해 정리한다. 다음으로 제어 시스템의 각 구성 요소(기능이나 장치 등)를 사업 시점에서의 중요도별로 분류·정리한다.
1단계의 세부 단계는 다음과 같다.
(1) 단계 1-1 보안 대책 검토·기획에 필요한 요건 정리
보안 대책 검토·규격을 실시하는데 전제가 되는 요건에 대해 검토한다. 구체적으로는 다음과 같은 항목을 생각할 수 있다.
· 경영 목표 등의 정리 : 공장의 보안 대책과 관련된 경영 목표(사업 신장, 사업 지속 등)를 정리한다. 특히 사업 지속의 관점에서는 사업 지속 계획(BCP)이 책정되어 있는지가 중요하기 때문에 그 내용을 확인한다.
· 외부 요건의 정리 : 공장의 보안 대책과 관련된 외부 요건(보안법 규제·표준규격·가이드라인 준거, 국가·자치단체/업계/시장·고객/거래처/출자자로부터의 요구 등)을 정리한다.
· 내부 요건/상황의 정리 : 자사의 공장 시큐리티에 관련된 내부 요건(제어 시스템에 대한 실장면, 운용․관리면, 유지․개선면 등)이나 체제를 확인하고 정리한다.
(2) 단계 1-2 업무 정리
제어 시스템이 담당하고 있는 업무를 정리한다. 업무를 정리하는 데 있어 평상시의 업무뿐만 아니라 운전 개시․종료 시의 업무나 보수 점검 시, 특히 비상시의 업무에 대해서도 빠짐없이 정리를 한다.
(3) 단계 1-3 업무의 중요도 설정
업무의 중요도를 설정한다. 예를 들어 ‘중요도 : 대’는 해당 기능이나 기기가 정지한 경우에 사업에 크게 영향을 주는 것, ‘중요도 : 중’은 가동에 영향을 주지만, 사업에는 영향을 주지 않는 것, ‘중요도 : 소’는 가동, 사업 모두에 영향을 미치지 않는 것 등이다.
(4) 단계 1-4 보호 대상의 정리
시큐리티 시책을 실시하고 보호할 대상을 정리한다. 이 보호 대상은 단계 1-2에서 정리한 업무와의 관계에 대해서도 밝힌다.
(5) 단계 1-5 보호 대상의 중요도 설정
단계 1-4에서 정리한 보호 대상으로 중요도를 설정한다. 구체적으로는 단계 1-2에서 정리한 각 업무가 정지한 임팩트를 바탕으로 업무의 중요도를 설정하고, 각 업무에 관련된 대상에 대해 업무의 중요도로 설정한다.
(6) 단계 1-6 존의 정리와 존과 업무, 보호 대상의 결속
단계 1-5에서 설정한 보호 대상에 대해 중요도 및 보호 대상의 결속 강도에서 유사한 것을 존으로 그룹화해 정리한다. 존 내의 기기나 네트워크, 업무 기능에 대해 동일한 수준의 시큐리티 강도를 갖는 시책을 실시하는 단위도 된다.
(7) 단계 1-7 존과 시큐리티 위협의 영향 정리
모든 보호 대상에 동일한 시큐리티 대책을 실시하는 것은 비용이나 효과의 점에서 현실적이지 않다. 따라서 존마다 고려해야 할 시큐리티 위협을 정리한다. 각 존의 중요도와 시큐리티 위협에서 각 존의 시큐리티 요구 수준(‘중요도가 높고 많은 위협이 생각되는 경우 : 고’ 등)을 책정한다.
2. 단계 2 - 시큐리티 대책의 입안
이 단계에서는 단계 1에서 정리한 내용을 바탕으로 실시해야 할 시큐리티 시책에 대해서 책정해 간다. 시큐리티 시책은 각 존의 시큐리티 요구 수준을 고려하는 동시에, 실시처로서 ‘제어 시스템’뿐만 아니라, ‘운용’, ‘매니지먼트’에 대해서도 책정한다.
(1) 단계 2-1 시큐리티 대책 방침의 책정
단계 1에서 각 존에 대해 중요도 설정과 위협의 정리를 실시했다. 이 단계에서는 이 존에 대해 실현해야 할 시큐리티 시책을 책정한다. 시큐리티 시책을 책정하는 데 있어 개별 존마다 시책을 책정하는 것이 아니라, 시큐리티 요구 수준마다 표준적인 시큐리티 시책을 책정한다(예를 표 1에 나타냈다). 이 각 존이 요구하는 시큐리티 중요도에 대해 시큐리티 대책 기준의 내용을 적용해 간다. 이것에 의해 제어 시스템 간의 시큐리티 시책이 불균일해지는 것을 방지할 수 있다.
(2) 단계 2-2 예상 위협에 대한 시큐리티 대책의 대응
단계 1-7에서 정리한 각 존에 대한 위협에 대해, 단계 2-1에서 책정한 시큐리티 시책에 의해 어느 정도 방어할 수 있는지를 평가 관리하는 것을 목적으로 실시한다.
3. 단계 3 - 시큐리티 대책의 실행 및 계획·대책·운용 체제의 부단한 재검토(PDCA 사이클의 실시)
이 단계에서는 단계 2에서 입안한 시큐리티 대책을 실행하는 동시에, 라이프사이클의 대책(사이버 공격의 조기 인식과 대처, 이용자·기기 설정 관리, 정보 공유 등) 및 서플라이 체인의 대책(업무 위탁, 연계 시스템 등)에 대해서도 실시한다.
단계 3의 실시에 있어서는 개별 회사나 업계가 처한 환경에 따라 대책의 비용 대비 효과도 감안하면서 필요한 대책을 기획·실행하는 것이 중요하다.
이러한 대응을 통해 얻은 정보에 의해 단계 3 이후에는 사업이나 환경, 기술 등의 변화에 따라 계획·대책·운용 상황을 재검토하고, 필요에 따라 단계 1부터 다시 대응을 진행하는 등 단계 1부터 단계 3까지의 PDCA 사이클을 돌리는 것이 중요하다.
맺음말
이 글에서는 공장 시스템의 시큐리티 대책 지침이 되는 ‘공장 시스템의 사이버․물리적 시큐리티 대책 가이드라인 Ver1.0’의 개요에 대해 해설했다. 이 가이드라인에는 각 단계를 검토하기 위해 참고가 되는 정보가 기재되어 있다. 또한 현재의 시큐리티 대응 상황에 대해 간단히 확인하는 체크리스트도 기재되어 있다.
또한 일반사단법인 Edgecross 컨소시엄에서 이 가이드라인과 유사한 ‘공장 시큐리티 가이드라인 개요편 1.00판’을 공개하고 있다.