SK인포섹이 반도체, 에너지·화학 등 산업공정 분야와 스카다(SCADA) 시스템에 특화된 컨설팅 방법론을 갖추고 산업제어시스템(이하, ICS) 정보보호 컨설팅 사업에 나선다.
ICS는 산업 공정과 기반시설, 설비 등의 작업 공정을 감시하고 제어하는 시스템으로 발전소, 교통시스템, 전력 및 유류 관리시스템, 공장 생산라인, 국방시스템 등 국가 기반사업 분야에서 널리 사용된다. 독립된 폐쇄망에서 비공개 전용 프로토콜을 사용하고 있어 상대적으로 보안 수준이 높다고 알려졌다.
허나 시스템 환경이 개방형으로 바뀌고, 네트워크 연결의 확산으로 보안 위협이 잦아지면서 보안 수준은 급격히 떨어졌다. 최근 우크라이나 정전 사태나 국내 한수원 해킹 사고 역시 네트워크를 통해 악성코드를 감염시키는 공격이었다.
SK인포섹이 개발한 ICS 정보보호 컨설팅 방법론은 스카다, 분산제어시스템, 반도체/에너지/화학 공정 프로세스 기반의 보안 분석 프레임워크를 바탕으로 산업제어시스템을 구성하는 IT자산에 대한 아키텍처(Architecture)를 분석하고, 취약점을 찾아내 마스터 플랜을 수립하는데 활용한다.
SK인포섹의 표준 보안컨설팅 방법론(ISCM, Infosec Security Consulting Methodology)의 프로세스를 기반으로 분석->평가->설계->구현->이행 등 총 5단계로 이뤄져 있다.
ICS 정보보호 컨설팅 방법론에는 반도체 등 생산/제조 공정관리 분야(Discrete process), 에너지/화학 공정관리 분야(Continuous process), 그리고 상하수도/공공발전 분야인 스카다 시스템 등 산업분야별 시스템에 특화된 보안 분석 프레임워크(Framework)를 갖추고 있다.
특히 PLC, HMI 등 제어시스템에 대한 시나리오 기반의 모의해킹 기준 및 절차, 산업제어 영역에 사용되는 IT시스템에 대한 기술적 점검 기준, 정보보호관리체계의 국제 표준인 ISO27001의 에너지 유틸리티(Energy Utility) 분야 모범사례인 ISO27019를 적용한 관리/물리 진단 기준 등 3박자를 완벽히 갖추고 있다고 SK인포섹은 강조했다.
이 회사의 컨설팅 사업을 관장하고 있는 이동만 전략사업부문장은 “산업제어시스템 분야는 IT환경의 폐쇄성과 산업 공정에 대한 이해 부족으로 정보보호 컨설팅서비스가 진입하기 어려운 시장이었다”면서 “이번에 개발한 방법론을 통해 산업제어시스템 보안 수준을 한 단계 발전시킬 수 있도록 하겠다”라고 말했다.
