물리·기술적 대책에 인적 요소도 중요
글로벌화를 가속화하고 있는 한 화학기업은 간부와 업무위탁처 직원 1만명 이상을 대상으로 e-러닝을 실시하고 의식 향상 상황을 모니터링하고 있다.
또 정보 시스템 부문을 중심으로 사내 계몽활동을 실시하고 있다.
「당신을 노리는 피싱 메일」 주제에서는 먼저 메일 발송자를 확인한 후 발송인이 지정한 URL 링크에 마우스를 올려 나타나는 링크가 메일 본문의 링크와 다르면 절대 클릭하지 않도록 경고했다.
또 사람은 누구나 실수를 할 수 있다고 보고 실수한 후 피해를 최소화할 수 있는 시스템 구축이 필수적인 것으로 판단하고 있다.
다른 화학 메이저는 사보에 정보보안 특집을 게재해 정보자산의 기밀성, 안전성, 가용성 확보를 강조하고 있다.
또 매체의 보관장소 등 물리적 대책, 바이러스 방지 및 접근제어 등 기술적 대책, 외부위탁기업 관리 및 비밀유지계약 등 관리적 대책과 함께 조직적·인적 대책으로서 역할 및 책임을 명확화하는 교육을 진행하고 있다.
아울러 정보 시스템 보안을 정보 보안 수준으로 격상시키고 인적 요소를 중시하는 대책을 강화하기 위해 약 2만5000명을 대상으로 인트라넷을 통해 정보보안 연수를 매년 1회 실시하고 있다.
동·서부 지방에 사업기반을 구축하고 있는 화학 메이저는 사원들의 의식 전환을 중시하며 교묘해지는 공격메일에 대응하고 있다.
공격메일이 매년 교묘해지고 있기 때문이다.
최근에는 SNS(Social Network Services) 보급의 영향으로 다양한 곳에서 개인정보 입수가 가능해짐에 따라 거래처의 저명한 간부 이름으로 「긴급」 표시가 붙은 메일이 자주 수신되는 것으로 알려졌다.
사내 교육을 통해 메일을 열지 않도록 권고하고 있으나 무려 80% 가량이 메일을 열어보는 것으로 나타났다.
이에 따라 메일 확인 후 수상한 조짐이 보일 때에는 회선을 절단하거나 정보 시스템에 알리는 구조를 구축할 필요가 있는 것으로 판단하고 있다.
해당기업은 방화벽을 뚫고 들어오는 바이러스를 선별하는 기술을 도입했음에도 가장 강력한 방어 시스템은 사람이라고 보고 하드웨어와 소프트웨어 융합을 통한 사이버테러와의 전쟁에 나서고 있다.
제어계, 사이버테러 위험성 확대
일본 내각관방 정보보안센터(NISC)는 2014년 화학산업을 사이버공격으로부터 보호해야 하는 국가의 중요 인프라로 지정했다.
정보통신, 금융, 철도, 항공 등 10개 분야에 석유, 신용카드와 함께 화학을 추가함으로써 13개 분야로 확대했다.
화학은 석유와 함께 제조업 가운데 최초로 중요 인프라로 지정됨에 따라 산업으로서의 중요성이 더욱 명확해지고 있다.
또 13개 분야 가운데 유일하게 사업형태가 B2B 중심이고 안정적인 공급 뿐만 아니라 안전·보안·환경을 중시하는 특징이 있다.
일본은 석유화학공업협회가 에틸렌(Ethylene) 크래커를 가동하고 있는 메이저를 중심으로 워킹그룹을 형성해 정보보안에 관한 표준을 마련하고 있으며 개별기업들도 자체적으로 생산현장의 안전과 직결되는 제어계 테러에 대한 대책에 힘을 기울이고 있다.
특히, 제어계 사이버테러는 스턱스넷(Stuxnet)이 주목받고 있다.
스턱스넷은 이란 핵시설에 침투해 원심분리기의 회전속도를 부정 조작함으로써 원심분리기를 파괴해 이란의 원자력 개발을 수년가량 지연시킨 것으로 알려지고 있다.
제어계는 생산기업들이 독자적인 운영체제(OS) 및 시스템 언어를 보유하고 있어 바이러스가 침입하기 어려웠으나 윈도우 등 범용성이 높은 OS와 무선랜이 보급됨에 따라 사이버테러의 표적이 될 리스크가 높아지고 있다.
분산제어시스템(DCS)으로 지칭되는 제어계 시스템은 바이러스 제거 소프트웨어를 도입함으로써 기능에 문제가 발생할 가능성이 제기되고 있다.
이에 따라 화학기업들은 DCS 네트워크에 외부 네트워크를 연결하지 않거나 USB 저장장치 등 외부 디바이스를 연결하지 않으며 공장 안으로 외부인을 들이지 않는 등 DCS를 외부와 격리하는 방안을 검토하고 있다.
그러나 DCS 시스템을 유지보수할 때 현장에서 USB 등 외부매체를 사용해야 하고 원격지에서 네트워크로 DCS를 연결하는 등 현실적인 문제가 부각되고 있다.
특히, DCS는 무선랜이 확산됨에 따라 외부로부터 공격받을 리스크가 높아지고 있다.
무선랜은 계기실 밖에서 플랜트 상태를 확인할 수 있는 이점을 바탕으로 DCS 제어에도 보급됨에 따라 플랜트 건물 밖으로 전파가 누설되지 않도록 규정을 정하거나 무선랜으로는 플랜트를 조작할 수 없도록 설계하는 등 다양한 방안이 검토되고 있다.
하지만 생산계는 플랜트를 24시간 365일 가동해야 하는 점이 방어체계 강화의 난점으로 자리 잡고 있다.
석유화학 메이저들은 사무계와 생산계 사이에 방화벽을 만들어 감염을 방지하고 있으며 USB 사용을 철저히 규제하고 있다.
또 바이러스 감염을 100% 막을 수 없다는 전제 아래 바이러스를 구분하는 대책을 강구하고 있다.
해당기업의 정보 시스템 부문 관계자는 “수상한 움직임을 막기 위해 수상하지 않은 움직임을 판별한 후 이외의 움직임을 전부 작동시키지 않는 기술이 있어 어떻게 이용할지 검토하고 있다”고 밝혔다.
바이러스는 블랙리스트를 통해 막는데 한계가 있기 때문에 바이러스가 아닌 화이트리스트로 제어시스템의 오작동을 방지할 방침인 것으로 파악되고 있다.
제휴 통한 정보 공유가 중요하다!
일본의 제어계 사이버테러 대책은 NCIS가 중요 인프라의 정보보안 대책에 관한 제3차 행동계획을 시작한 이후 표적화, 조직화 등 고도화된 공격에 대응하기 위해 방어 측도 조직화, 신속화, 유연화가 요구되고 있다.
다만, 제어계는 연속가동이 기본인 플랜트를 중단하기 어렵기 때문에 안전성을 담보할 수 있는 생산활동 유지 시스템 구축이 주요 과제로 부상하고 있다.
플랜트의 유지보수·개선을 담당하는 엔지니어링기업도 제어계 사이버테러 대책과 관련해 같은 어려움을 겪고 있다.
이에 따라 벤더에 대한 대응, 개발 소프트웨어 설치, USB 사용 등 제어계에 리스크를 일으킬 가능성이 있는 상황에서 무엇이 안전하고 무엇이 위험한지를 인증하는 제도를 구축하고 있다.
일본 정보경제사회추진협회가 2013년 마련한 CSMS (Cyber Security Management System) 적합성 평가제도는 일본 최초의 사이버보안 시스템의 적합성 평가에 관한 관리체제로, 플랜트의 연속가동을 전제로 리스크 평가를 실시한다.
리스크 분석은 리스크를 인적, 경제적, 환경적인 측면에서 정량적으로 평가한 후 사전에 정량적으로 설정한 허용 레벨을 넘는 요소가 있으면 허용 레벨 안으로 들어가게 하는 계획을 세우는 등 모든 요소가 허용 레벨 이하로 떨어지도록 하고 있다.
요소는 사원 교육 등 거버넌스(Governance), 기술 진보 등을 포함하고 있다.
그러나 모든 요소를 대상으로 종합적으로 실행하지 않으면 안전하다고 할 수 없기 때문에 제3자 인증제를 도입하고 있다.
제3자 인증제는 객관적으로 평가할 수 있고 독선의 오류에 빠질 가능성이 없는 이점이 있으며, Mitsubishi Chemical Engineering 등 2사가 실시하고 있다.
사무계는 기밀보호를 중시하나 제어계는 HSE(안전·환경·건강)를 우선시하는 등 방어방식이 다르게 나타나고 있다.
제어계는 보호 대상이 플랜트의 안전으로, 긴급차단 시스템을 포함한 긴정장치(Interlock)라는 네트워크와 독립된 시스템을 플랜트에 배치하고 있다.
또 사이버테러는 정비 불량, 오작동 등 플랜트의 안전가동을 방해하는 요소로 자리잡고 있으며, 특히 제어계는 바이러스가 침투함으로써 생산 면에 막대한 피해가 발생할 수 있기 때문에 기술, 사람, 관리의 종합적인 보호가 중요해지고 있다.
아울러 제휴를 통한 정보 공유에 대한 요구도 높아지고 있다.
일본 종합화학기업 관계자는 “바이러스 신고건수는 2005년을 정점으로 감소하고 있으나 실제 사례는 기하급수적으로 증가하고 있다”며 “보이지 않는 바이러스가 많아 독자적인 대응에 한계가 있다”고 토로했다.
이에 따라 화학공업협회 등 관련 단체에 참여해 정보 및 대책을 공유함으로써 대응책 마련을 가속화해야 할 필요성이 강조되고 있다.
