건설 원전 사이버보안 적용현황

2012. 11. 02

한국전력기술㈜

목 차

1

2

2001년 9.11 테러 이후, 사이버보안에 대한 관심 고조

원전의 경우, 사이버공격에 의한 방사능 누출 우려

테러집단의 악의적 공격

경제적 보상을 노린 위협

정치적 목적의 혼란 조장

사이버공격의 현실화

부셰르 원전, 나탄즈 우라늄 농축시설(이란) STUXNET 감염(2010)

센나이 원전(일본) 위니 바이러스 감염(2005)

Davis-Besse 원전(미국) 웜 바이러스 감염(2003)

1. 개요

3

디지털 계측제어설비의 사이버보안 취약성

테러집단의 악의적 공격

폐쇄망으로 운영되어 사이버보안시스템 미 구축

프로그램 업데이트 및 보안 패치 직무 미비

설비의 가동 중단 후 사이버보안시스템 설치 불가

다양한 운영체제 및 프로토콜로 인한 취약점 산재

소프트웨어 버그(bug) 존재

상용 I&C 플랫폼(PLC, DCS)의 제어정보 공개/유통

관리자의 보안의식 / 능력부족 / 인적오류 등

1. 개요

4

2. 규제요건

국내 (KINS)

KINS/GT-N27, 원자로시설 계측제어계통 사이버보안기술지침 (2007)

규제지침서 8.22, 계측제어계통의 사이버보안 (2011)

미국 (NRC)

NUREG/CR-6847, Cyber Security Self-Assessment Method for

U.S. Nuclear Power Plants (2004)

RG 1.152 Rev.2, Criteria for Use of Computers in Safety Systems

of Nuclear Power Plants (2006)

10 CFR 73.54, Protection of Digital Computer and

Communication Systems and Networks (2009)

RG 5.71, Cyber Security Programs for Nuclear Facilities (2010)

5

2. 규제요건

규제지침서 8.22(KINS/GT-N27)

구성

■ 사이버 보안활동의 적용 대상

■ 사이버 보안정책과 계획의 수립

■ 사이버 위협의 분석

■ 사이버 보안성 평가

■ 사이버 보안활동의 이행

사이버 보안활동의 적용대상

■ 안전기능을 수행하는 계측제어계통

■ 상기 계통의 개발, 시험, 분석 및 평가에 사용되는 디지털기반의 기기

■ 상기 이외의 계측제어계통 및 기기는 안전기능 수행에 영향없음을 보장하기 위한 사이버 위협분석 요구

6

2. 규제요건

규제지침서 8.22(KINS/GT-N27)

사이버보안 정책 및 계획수립

“원자로시설 계측제어계통의 설계자 및 운영자는 모든 하드웨어 및

소프트웨어의 수명주기 동안의 사이버 보안활동을 위한 사이버보안

정책(Cyber Security Policy)을 수립하여야 한다.”

7

2. 규제요건

규제지침서 8.22(KINS/GT-N27)

사이버보안 정책 및 계획수립

■ 사이버 보안활동의 적용 대상

■ 필수 디지털보호 대상의 관리적 사항

■ 사이버보안 조직 및 인적자원에 관한 사항

■ 정보의 분류 및 사이버보안 수준에 관한 사항

■ 접근 제어 및 감시에 관한 사항

■ 통신망 보안에 관한 사항

■ 사이버보안 감사에 관한 사항

■ 캐비닛의 시건장치 등을 포함한 물리적 보안에 관한 사항

■ 사이버보안 사건대응 체계에 관한 사항

■ 시스템 개발 및 유지보수에 관한 사항

■ 취약성 분석 및 주기적 평가에 관한 사항 등

8

2. 규제요건

USNRC Regulatory Guide 1.152, Rev.2(2006.1)

Criteria for Use of Computers in Safety Systems of Nuclear

Power Plants

아래 항목들을 제외하고 IEEE Std. 7-4.3.2 (2003) 적용을 승인

■ IEEE Std 7-4.3.2(2003), 5.6(a)항의 Barrier 요건

■ IEEE Std 7-4.3.2(2003), Annexes B – F

안전등급 컴퓨터 기반의 I&C 계통 및 소프트웨어에 대한

Cyber Security 요건 포함(Section 2.1~2.9)

9

3. 건설 중 원전 사이버보안 적용현황

신고리3,4호기

Code Cutoff Date: 2002.12.31

사이버보안 규제요건 발행 전 건설 허가 취득

규제기관 협의 하에 건설단계에는 미적용, 운영단계에서 적용

사이버보안 관련 자문 진행 중

신울진1,2호기 Code Cutoff Date: 2006.6.30

RG 1.152(Rev.2), KINS/GT-N27

건설단계부터 전 수명주기 동안 사이버보안 요건 적용

최초적용에 따른 경험사례 부족으로 안전등급 MMIS에만 적용

국내 사이버보안 전문기관의 기술자문 진행 중

10

4. 신울진1,2호기 사이버보안 적용현황

경과

인허가 중점관리대상 선정

PSAR 1,2차 인허가 질의응답

2차례 KINS 설명회 ('09.9/'10.2)

사이버보안 정책서/지침서 발행 ('10.7)

사이버보안 이행계획서(Rev.1) 발행 ('10.10) [두산중]

사이버보안 정책서, KINS 제출 ('11. 2)

사이버보안 지침서, KINS 제출 ('12. 8)

사이버보안 이행계획서(Rev.2) 발행 ('12.9) [두산중]

11

4. 신울진1,2호기 사이버보안 적용현황

적용범위

안전등급 MMIS

12

4. 신울진1,2호기 사이버보안 적용현황

사이버보안 프로그램 개발

사이버보안 프로그램 - 사이버보안 정책 - 사이버보안 계획 - 사이버 보안성 분석 및 평가 - 사이버보안 이행 계획 - 사이버보안 교육 및 훈련 계획 - 사고 대응 및 복구 계획

IEEE 1012 IEEE 7-4.3.2

Reg. Guide 1.152

NUREG 0800

KINS/GT-N27(규제기준 8.22)

사이버보안 정책서, 사이버보안 지침서

※ 10 CFR 73.54, RG 5.71 참조

13

4. 신울진1,2호기 사이버보안 적용현황

담당기관 결과물 주요 내용 비고

한기A/E

사이버보안 정책서 계측제어계통의 필수디지털자산(CDA)에 접근하는 사람 또는 기기가 지켜야 되는 규칙으로서 사이버보안 활동에 대한 목표와 방향을 제시하는 상위 규정

KINS 제출 2011.2

사이버보안 지침서 원전의 정보보호 정책을 달성하기 위해 필요한 구체적인 사항을 설명한 권고사항

KINS 제출 2012.8

사이버보안 이행 계획서 사이버보안 정책서 및 지침서의 계측제어계통의 설계반영을 위한 이행계획서

KINS 제출 예정 2012.12

사이버보안 종합 분석보고서

사이버보안 정책서 및 지침서의 이행 및 결과의 적합성 종합 분석서 (안전등급 MMIS) - 계통 취약점 분석 및 평가 결과의 대응설계 - 대응설계의 적합성 및 결과 확인 등

KINS 제출 예정 FSAR 이후

두산중

사이버보안 이행 계획서 사이버보안 정책서 및 지침서의 계측제어계통의 설계반영을 위한 이행계획서

2012.7 제출 설계사 검토 의견 반영 중

사이버보안 분석 보고서 사이버보안 정책서 및 지침서의 이행 적합성 분석서(MMIS)

- 계통 취약점 분석 및 평가 결과의 대응설계 - 대응설계의 적합성 및 결과 확인 등

제출 예정 2013.06

사이버보안 관련 설계결과물

14

4. 신울진1,2호기 사이버보안 적용현황

사이버보안 관련 설계결과물 (계속)

사이버보안 정책서

■ 사이버보안 활동에 대한 목표와 방향을 제시하는 최상위 규정

■ 필수디지털자산(CDA)에 접근하는 사람 또는 기기가 지켜야 하는 규칙

■ 책임 : 경영진 (예산/인사권)

■ 내용

보편타당하고, 윤리적, 사회적 법(국제/국제법) 규정과 부합해야 함.

사이버보안에 대한 조직의 책임과 책임 추적성

조직외부에 대해 사이버보안 책임

필수적인 정책사항을 쉽고 지원이 가능한 보수적인 정책(요건) 기술

사이버보안 통제요건(관리적, 운영적, 기술적) 정책

정책적절성 주기적 검토 등

15

4. 신울진1,2호기 사이버보안 적용현황

사이버보안 관련 설계결과물 (계속)

사이버보안 지침서

■ 원전의 정보보호정책을 달성하기 위해 필요한 구체적 보안 요건 제시

■ 책임 : 사이버보안팀

■ 내용

CDA, 사이버보안성 평가 및 보안등급 정의

사이버보안 조직의 역할과 책임사항

사이버보안 통제요건(관리적, 운영적, 기술적)

사이버보안이행

주기적 감사 (절차서)

사이버보안 교육프로그램 (절차서)

사고대응 (절차서)

연속성 운전 계획(백업 및 복구 절차서) 등

16

4. 신울진1,2호기 사이버보안 적용현황

사이버보안 이행계획

두산중 수행

17

4. 신울진1,2호기 사이버보안 적용현황

사이버보안 기술자문

항 목 내 용

자문명 신울진 1,2호기 MMIS 사이버보안 기술자문

자문사

원자력안전평가원(NSE)

안랩(AhnLab)

포멀웍스(Formal Works)

자문기간 2012.07 ~ 2013.07

자문내용

사이버보안 정책서 및 지침서 보완

사이버보안 종합대책 수립

인허가 지원

18

4. 신울진1,2호기 사이버보안 적용현황

적용절차

진행 중 (침투시험 포함)

19

안전등급 MMIS 취약점, 위협, 리스크 분석 및 보완

Platform (PLC)

MMIS NSSS

MMIS BOP

사이버보안 정책서 및 계획서 보완

사이버보안 분석보고서 작성

후속호기 적용을 위한 방안 수립 및 협의

5. 향후 계획