image: REUTERS/Morris Mac Matzen (GETMANY - Tags:ENERGY) - BM2E68517TF01
이 기사는 세계경제포럼 Geostrategy platform 의 것이다.
정교한 2010 스턱스넥(Stuxnet) 웜의 배포를 비롯한 최근의 유명한 사이버 공격으로 인해 핵 시설의 사이버 보안 취약성에 대한 새로운 우려가 제기되었다. 사이버 범죄자, 주 및 테러 단체가 온라인 활동을 늘리면 심각한 사이버 공격에 대한 두려움이 항상 생긴다. 이러한 공격의 결과로 전리 방사선 방출의 위험이 있기 때문에 이것은 우려의 대상이다. 다음을 참고하라 보고서: Cyber Security at Civil Nuclear Facilities: Understanding the Risks. 그리고, 핵 시설에서의 소규모 사이버 보안 사건조차도 여론과 민간 원자력 산업의 미래에 불규칙한 영향을 미칠 수 있다.
국제 원자력기구(IAEA)가 사이버 보안을 향상시키기 위해 취한 중요한 최근의 조치에도 불구하고 원자력 업계는 현재도 다른 분야보다 경험이 적다.
디지털 경로
이것은 부분적으로 원자력 산업의 규제 요구 사항에 기인한다. 디지털 시스템이 다른 유형의 핵심 인프라보다 나중에 채택되었음을 의미하며 또한 물리적 보호 및 안전에 대한 업계의 오랜 관심은 이런 위험 대응이 측면에서 볼때 상대적으로 견고하지만 사이버 보안 준비 상태를 개발하는데 도움이 되지 않는것을 뜻한다. 결과적으로 디지털 기술의 약점을 악용하는 것은 방해 금지에 대한 두려움 없이 핵 시설을 공격하려는 사람들에게 매력적인 경로일 수도 있다.
핵 시설이 디지털 시스템에 점점 더 의존하게 되고, 상당한 비용 절감ㅇ르 제공하지만 해킹 공격에 대한 취약성을 증가시키는 '상용 소프트웨어'의 사용이 증가함에 따라 사이버 보안 위험은 증가하고 있다. 디지털화 추세는 위험에 대한 임원 수준의 인식 부족과 함께 원자력 발전소 직원이 사이버 취약성의 전체 범위를 깨닫지 못해 잠재적인 공격을 방어 할 준비가 불충분하다는 것을 의미한다.
원자력 시설이 "공중갭(air gaps)"또는 공공 인터넷과 완전히 격리되어 있다는 사실이 널리 퍼져 있으며, 이는 사이버 공격으로부터 보호한다. 그러나 (Stuxnet의 경우처럼) 플래시 드라이브만으로도 공백을 메울 수 있는것 뿐만아니라 인터넷 연결의 상업적 이점은 이제 원자력 시설에 가상 사설망 및 기타 연결 장치가 설치되어 있거나 문서화되지 않았다는것을 뜻한다. 계약자 및 기타 합법적인 제 3자의 운영자가 그 사실을 잊어버린 것이다.
해킹의 위험
한편, 해킹은 점점 더 쉽게 실행되고 있으며, 널리 알려 지거나 발견 된 취약점을 대상으로 한 자동 사이버 공격 패키지가 현재 널리 보급되고 있다. Stuxnet에서 사용하는 고급 기술이 현재 알려지고 복사된다. 검색 엔진은 인터넷에 연결된 중요한 인프라 구성 요소를 쉽게 식별 할 수 있다.
이러한 우려에 비추어 볼때, Chatham House는 사이버 보안과 핵 안보 사이의 연결에 관한 18개월 프로젝트를 수행했다. 이 프로젝트는 정책 입안자와 학자뿐만 아니라 30명의 업계 종사자와의 심층 인터뷰를 통해 3개의 전문 라운드 테이블을 소집함으로써 광범위한 원자력 산업이 직면한 주요 사이버 보안문제를 평가하고 토의하고자 했다. 해당 부문의 사이버 보안을 강화하는데 도움이 될 수 있는 국제 정책 수단을 토의한다. 이 분야의 현재 우려사항에 대한 지식을 높이는데 도움이 필요하다.
이 보고서는 특히 산업 제어 시스템에 영향을 미칠 수 있는것에 중점을 둔 민간 핵 시설에 대한 주요 사이버 위협을 조사하고, 이런 문제에 대한 잠재적 해결책을 제안한다.
주요 결과
이 연구는 민간 핵 시설에 대한 다음과 같은 주요 과제를 확인했다.
업계 전반의 과제
사이버 보안 사고가 핵 시설에 공개되는 빈도가 적어 문제의 진정한 상황을 평가하기 어렵고 원자력 산업 인력에 관에 사고가 거의 없다고 믿을수 있다. 더욱 더 다른 산업이나 정보 공유와의 제한된 협력은 원자력 산업이 이 분야에서 더 진보 된 다른 산업으로부터 배우지 않으려는 경향이 있다.
규정의 잘못된 점, 사이버 보안 회사와 공급 업체 간의 제한된 커뮤니케이션이 우려된다.
업계는 위해성 평가가 부적절할 수 있음을 인지하고, 결과적으로 사이버 보안에 대한 지출이 적은부분이 많다.
개발 도상국은 특히 위험에 처해있을 수 있다. 왜냐하면 사이버 보안에 투자 할 수있는 자원이 훨씬 적기 때문이다.
문화적 도전
정보 기술 엔지니어인 운영 기술 엔지니어 및 사이버 보안 직원인 핵 발전소 직원은 의사통이 잘 안되기 때문에 마찰이 일어날 수 있다. 대부분 사이버 보안 요원은 오프사이트때문에 문제가 악화된다.
원자력 발전소 직원은 종종 사이버 보안 담당자가 작성한 절차 문서 가이드 정보를 명확한 언어로 전달하지 않고 주요 사이버 보안 절차에 대한 이해가 부족한 경우가 많다.
핵 시설에서의 사이버 보안 훈련은 부족하다. 특히 원자력 발전소 직원과 사이버 보안 요원 사이에 통합 된 사이버 보안 훈련이 부족하다.
사전 대책이 아닌 사이버 보안에 대한 접근 방식은 핵 시설이 이미 실질적으로 진행될 때까지 사이버 공격을 알지 못할 수도 있는 가능성을 보여준다.
이것은 핵 발전소가 대규모 사이버 보안 긴급 상황에 대비할 준비가 되지 않음을 의미한다. 특히 근무 시간외에 발생한다.
기술적 과제
사이버 보안 조치가 초기부터 설계되지 않았기 때문에 많으 산업 제어 시스템이 설계상 안전하지 못하다. 패치와 같은 표준 IT 솔루션은 패치가 시스템을 손상 시킬 수 있고 공장 가동 준단 시간을 줄이기 위한 상용 요구 때문에 주로 원자력 시설에서 구현하기가 어렵다.
공급망의 취약성은 핵 시설에서 사용되는 장비가 어느 단계에서든 위험에 노출되 있음을 의미한다.
권장사항은 다음 보고서를 따른다.
1.보안 및 안전 조치를 모두 고려한 통합 위험 평가를 포함하여 원자력 산업의 사이버 보안 위험을 측정하기 위한 지침을 개발한다.
2.허가 받지 않은 인터넷 연결 설정의 위험을 인지하고 사이버 보안 위험에 대한 인식을 높이기 위해 엔지니어 및 계약자와의 강력한 회의가 필요하다.
3.원자력 시설의 양호한 IT 상태를 유지(예: 개인 장치 사용을 금지)하고 시행되고 있지 않는 부분들을 시행
4.익명의 정보 공유 및 산업체 CERT(Computer Emergency Response Team)의 설립을 권장함으로써 공개적으로 개선
5. 규제 표준을 보편적으로 사용할것을 장려함
시민 핵 시설의 사이버 보안 위험 이해, Cariline Baylon, Roger Brunt 및 David Livingstone
해당 기사 출저 : 세계정제포럼 (다보스포럼) https://www.weforum.org/agenda/2017/11/cyber-security-at-civil-nuclear-facilities-understanding-the-risks
