디지털원전사이버보안성평가적용사례 · 2018-01-01 · 6...

디지털 원전 사이버보안성 평가 적용 사례

2009. 4. 6

이 철 권

제14회 원자력안전기술정보회의

한국원자력연구원 계측제어.인간공학연구부[email protected]

22–제14회 원자력안전기술정보회의

목 차

향후 계획 및 제언원전 사이버보안 업무 및 방향

원전 사이버보안 규제지침

국내 원전 계측제어시스템

KNICS 사이버보안 적용 사례


국내 원전 계측제어시스템

디지털화 수준

국산화 수준


디지털화 수준

영광 3&4 호기 (상업운전)국내 최초 NSSS 설계에 국내 기술진 참여비안전계통에 디지털기술 도입

울진 5&6 호기 (상업운전)안전계통에 디지털기술 도입

신고리 1&2 호기 (건설중)국산 비안전계통 적용

신고리 3&4 호기 (건설중)주제어실 포함 전규모-디지털 기술 도입사이버보안기술 적용 최초 언급

신울진 1&2호기 (건설예정)국산 안전, 비안전계통, 주제어실 적용 예정 (전규모-디지털 기술) 원전 계측제어계통 국산화 완성사이버보안기술 설계요건 적용


국산화 수준

KNICS 안전계통개발상태

- 국산 안전등급 PLC 기반의 보호계통 설계, 제작, 시험

- 국내 규제기관에 의한 인허가 승인 완료

- 향후 국외 인허가 획득 예정

특징- 통신망 사용에 따른 단순화된 계통구조

- 디지털기기 사용에 따른 자동시험 및 진단기능 강화


원전 사이버보안 규제지침 및 연구현황

US NRC R.G. 1.152, Revision 02

KINS 기술지침

IAEA Guidance

원전 사이버보안 연구현황


규제지침 개념안전계통 컴퓨터 시스템 (H/W, S/W, F/W, Interfaces)은 물리적, 전자적으로 취약하지 않아야 함

컴퓨터시스템의 안전 : 비인가자나 부적절한 접근 방지

- Network 접속이나 보수장비에 의한 접근

컴퓨터시스템의 보안 달성을 위해

- 사업자의 보안요건을 만족하는 보안특성 설계

- 개발과정에서 모든 컴퓨터 코드의 문서화

- 사업자 보안프로그램과 행정절차에 따른 컴퓨터 시스템 설치,- 운영 및 유지보수

US NRC R.G. 1.152, Rev. 02


US NRC R.G. 1.152, Rev. 02

규제입장R.G. 1.152 범위 : (Physical + Cyber) Security디지털 안전계통에 대하여 Waterfall Lifecycle 모델을 예로 각단계별 보안활동을 권고

- 인간공학, S/W V&V, S/W 안전성분석에서 요구되는 생명주기모델을 이용한 분석방법과 유사

각 생명주기 단계별로 사업자 및 설계자의 역할 제시


US NRC R.G. 1.152, Rev. 02New Release

10 CFR 73.54, “Protection of Digital Computer and Communication Systems and Networks.”

- 10 CFR 73, “Physical Protection of Plants and Materials.”Draft R.G. DG-5022, “Cyber Security Programs for Nuclear Facilities.”

- NEI 04-04 : CS Program for Power Reactors 원전 사이버보안 관리방안 제시(high level) 4-level Model 기반의 방어전략 제시

Level 4 : 제어 및 보호계통

Level 3 : 발전소 컴퓨터 계통

Level 2 : 발전소 행정망

Level 1 : 기업망 (한수원 망)Level 0 : Internet connected to worldwide


Computer Security at Nuclear Facilities

2004년 이후 계속 개발중임

Cyber Security 현안에 대한 지침 및 고려사항

- Management Guide- Implementation Guide

IAEA Guidance


KINS 기술지침 (KINS/GT-N27)배경

원전 계측제어계통 설계 및 운영자는 사이버 위협에 대응하는 사이버

보안활동 이행

사이버보안 활동은 보안특성(기밀성, 무결성, 가용성)을 만족

규제입장

대상

- 안전등급 계측제어계통

- 안전등급 계통과 직접적 연계를 갖는 비안전등급 계측제어계통에 대한 보안 분석

생명주기 단계별 보안활동 이행

- 사이버보안 정책 수립과 상세 이행계획 수립

- 사이버 위협 및 대상시스템의 취약성 분석

- 사이버 보안성 평가 및 기술적/관리적 대응수단 도출

- 사이버 보안활동의 이행 : 설계, 구현, 시험 및 검증, 설치 및 운영 단계별 활동


원전 사이버보안 연구현황

국가안보기관각국의 국가안보 관련기관에서 산업시설 사이버보안 종합관리

원전 규제기관미 NRC, IAEA, KINS

산업기술 표준/기준 개발IEEE, IEC, ISO, ISA

(원자력)산업시설 적용 사이버보안 기술 개발NEI, NIST, INL, PNNL, SNL, LLNL, KAERI

전력사, 기기제작사EPRI, InvenSys Triconix, AREVA, WH


KNICS 사이버보안 적용 사례

향후 계획 및 제언취약성분석

목적

업무수행 내용

적용범위

향후 계획 및 제언위협분석

향후 계획 및 제언위험도평가

향후 계획 및 제언평가대상 분석

향후 계획 및 제언취약성시연 (침투시험)향후 계획 및 제언대응기술 및 전략

향후 계획 및 제언자산분석

향후 계획 및 제언사이버보안 정책 및 계획


목적

사이버보안 적용 배경2006 미 NRC 규제지침 (R.G. 1.152, Rev. 02) 개정

2007 국내 안전기술원에서 사이버보안 기술지침 작성

사이버보안 적용 필요성KNICS 개발품 인허가 획득을 위한 심사용 자료(TR) 작성

위험도평가 결과적용KNICS 안전계통 사이버보안 정책(요건)KNICS 안전계통 설계단계별 사이버보안 상세 이행계획

사이버보안기술 설계적용을 위한 평가분석 자료 확보- 설계요건 및 구현기술 도출

- 설계단계별 설계업무 계획


적용범위

LDPController

Operator’s Console

S-FPDUMultiplex

er

Auxiliary Equipme

nt Console

Reactor Trip

Switchgear

Information Network

VDUController

Multiplexer

Operation DeviceNetwork

AnnounciatorProcessor

UnitLevel

SystemLevel

SecondarySystemControlCabinet

MainTurbine

ProtectionCabinet

PrimarySystemControlCabinet

Local Bus 2

Generator&

TransformerProtectionCabinet

SecondarySystemLogic

Cabinet

PrimarySystemLogic

Cabinet

Plant Field

ElectricalSystemControlCabinet

ElectricalSystemLogic

Cabinet

Process Bus

Local Bus 3

Safety Console

QIAS-P

Ex-Core

In-Core

SOE(S)

S-FPDUController

SafetyLogic

Cabinet

Local Bus Train

Auxiliary Equipment Control Cabinet

ReactorProtectionCabinet

ESF-CCSActuationCabinet

IPS EOFEOF

TSCTSC

RSPRSP

SoftController

PowerControl SystemCabinet

PCSLogic

Cabinet

Local Bus 1

Gas Stripper

Ex-Core

Boronometer

PRM

Auxiliary Equipment Control Cabinet

SOE(N)

ALMS

RCPVMS

LPMS

IVMS NSSS IntegrityMonitoring Cabinet

LocalLevel

VDUController

Auxiliary Equipme

nt Console

LDPController

Operation DeviceNetwork

CPC/RCPSSS

RSPTCEA

Multiplexer

P-CCS


업무수행(위험도 평가) 내용

평가절차

평가대상 분석

자산(asset) 분석

위협분석

취약성 분석

위험도 분석

취약성 시연

대응기술 및 전략


I/O Modules

Communication Modules

Processor Module

Power Modules

482.6 x 281.35 x 294mm(19 inch Standard Rack)

DownloadDownload

UploadUpload

POSAFEPOSAFE--QQ

PSETPSET

사이버보안 위험도 평가

Possible vulnerability

평가대상 분석 : 안전등급 PLC - POSAFE-Q

QIAS

IPS

Possible vulnerability

IPS

평가대상 분석 : 안전계통



자산(asset) 분석C (기밀성), I (무결성), A (가용성) 관점에서 자산의 중요성 평가

- For I&C systems in NPPs, integrity and availability requirements predominate over confidentiality.자산이 공공이나 플랜트에 미치는 영향 분석결과 예 (일부)

ImportanceAsset Device Module ID Configuration

C I A

PLC Bistable Processor (BP) 2 per channel M H H

PC Cabinet Operator Module(COM) 1 per channel M H M

CIRCUITS Initiation Circuits (IC) 8 per channel M H H

CIRCUITS Watch Dog Timer (WDT) External device M H H

IDiPS-RPS



위협분석

정의

- Design Basis 설정. - 시스템에 불법적이고 의도적으로 악영향을 미치는 일체의 과정과 행위를

파악하여, 이들로부터 시스템을 보호하기 위한 심층방어 전략을 수립.분석내용

- 내부 위협 – 주로 인가자이나 비인가자도 포함

운영, 시험, 유지보수 과정에서 고려

특히, 불만있는 자, 운전원 상태나 사보타지 등 포함

- 외부 위협 – 주로 비인가자

통신망을 통한 사이버 Attack이나 Virus 유포 : 해커, 테러리스트, 퇴직자 등

- 기타 : 시스템적 및 복합적 요인들

인적실수, 보안인식의 부재, 허술한 관리 및 접근통제 등



취약성 분석

목적-시스템 설계/구현/운전 및 관리상에서 존재하는 취약점(결함이나약점)을 상세히 파악하여 그 위험수준을 결정하고 확인함

진단범위

구분 영역 세부 진단 항목

1 PLC PLC 접근제어

2 정보시스템정보시스템 접근제어, 보안설정 설정 등

3 네트워크도청, 위 변조, 네트워크 보안 설정



위험도 분석분석방법

- 위협과 취약점으로부터 위험목록 도출

- 위험 발생 가능성 및 영향 정도에 따른 각각의 기준 개발 및 분석

- 위험도 산출 : 위험도 (R) = 발생가능성 (P) * 영향도 (A)분석결과 예

List of risks P A R Asset

When accessing to PLC through pSET, an unauthorized or authorized people can upload malicious codes (control programs) and execute them.

H H HA001-A003, A014~A016,A018, A019

With tapping or alteration of data being transferred between COM and IPS in MCR, the monitoring system in MCR can be mis-operated and it can make the operators in MCR confused.

M M H A013,A029



취약성 시연 (침투시험) : 취약점 발생가능 구간에서 실시

RPS

COM(QNX)

내부 인가자내부 비인가자

(ETHERNET)

Profibus-FMS

BP

CPATIPRS-232C

원격관리프로그램, 콘솔

UDP

1

2

3

4

5

6

PLANT 감시체계

3



구 분 작 업 게 획 위 험

1

2

3

4 COM 시스템에서의 악성코드 실행 COM제어 및 사용자계정 획득

5 MMI 프로그램 변조 공격 변조된 모니터링

6 COM(QNX)에서 MCR로 전송되는 패킷 데이터 변조 IPS시스템 오작동

PC, PLC구간에 대한 웜 바이러스에 의한 대량의 트래픽전송

PLC 시스템 서비스 거부

COM시스템에 웜 바이러스에 의한 대량 트래픽 전송 COM시스템 서비스 거부

웜 바이러스 영향에 COM에서 MCR방향으로 대량의 패킷전송

MCR시스템 서비스 거부

시나리오 진행 계획

-25-

(1) PC, PLC구간에 대한 웜 바이러스에 의한 대량의 트래픽 전송

취약점 시연 시나리오 – (1) 진단 사항취약점 시연 시나리오 – (1) 진단 사항

RS-232-C로 연결된 pSET작업자 PC에서 웜바이러스 인한

대량의 패킷을 PLC로의 전송하여 PLC에 적용된

RTOS시스템 과부하 유발

RTOS

Control Data

PC

Control Data

RS232c

MCR

COMPLC

pSET작업자

-26-

취약점 시연 시나리오 – (1) 진단 결과취약점 시연 시나리오 – (1) 진단 결과

웜 바이러스에 감염된 pSET 작업자 PC에서 RS232C Port로 대량의 패킷을전송하였을때 CPU Load가 비 정상적으로 올라가는 것을 확인

공격 시 CPU Load 87%평상시 CPU Load 64%

대량의 패킷 전송

-27-

취약점 진단 시나리오 – (1) 대응 방안취약점 진단 시나리오 – (1) 대응 방안

PLC 접근하는 PC는 주기적으로 웜 등 악성코드 감염 여부를 체크한다.

PLC 작업용 PC에 대한 다음과 보안 정책을 수립한다.

PLC 작업용 PC는 PLC 작업 외 활용하여서는 안 된다.

외부 반출을 허락하지 않으며, 외부 반출 시 관련자료 삭제, 반입 시 악의적인 코드 및 웜 감염 여부를 확인한다.

외부 PC를 이용하여 PLC 접근은 원칙적으로 금지한다. 단, 부득이한 경우관리자의 승인 후 접근하여야 하며 반드시 악의적인 코드 및 웜 감염 여부를 확인한다.



대응기술 및 전략위험별 대응기술 및 전략

위험 정책/지침 대응기술

pSET 이용한 PLC에 접근 시인증 부재를 통해 비인가자, 인가자의 악의적인 코드업로드하여 수행하는 위험

디지털 안전계통 시스템은 접근제어를수행하여야 한다.비인가자에 접근을 제한하고 인가자의

접근내역, 작업내역을 기록하고 주기적으로확인하여야 한다.

PLC 및 pSET의 물리적인 접근 통제 수행pSET를 설치한 정보시스템의 입출입 통제하고 인가된

노트북, 또는 PC를 통해 PLC 접근토록 함pSET이 설치된 PC(노트북)에서만 인증을 수행하는

것은 우회경로가 존재하므로 사용자의 경각심을유발하는 이외에 보안을 강화하는 방법은 아님PLC 자체에 인증 모듈을 설치하는 방법이

효과적이지만 별도의 인터페이스를 구현하여야 하고사용자와 핸드쉐이킹을 수행함으로써 부가적인 보안취약점이 생길 수 있음결론적으로 물리적 보안 강화, pSET 설치 PC 통제

강화, pSET를 통해 작업 시 2명 이상 참여 등의 정책 및지침 수립 등의 대응책을 권고함

PLC에 접속하는 PC가 웜 등악성코드에 감염되어 PLC에정상적인 동작에 영향을 주는위험(PLC CPU Load가87%까지 올라감)

PLC에 접속할 수 있는 PC를 통제하여야 하고업무이외의 목적으로 사용을 금지하여야 한다.외부의 PC를 사용하여 PLC에 접속할 경우

백신프로그램 등을 이용하여 충분한 검사를실시하여야 한다.PC에 설치된 프로그램은 업무에 관련이 없는

경우 삭제하여야 한다.

PLC 접속하기 위한 전용 PC를 준비하고 타 업무에활용되지 않도록 한다.PLC에 접속하여 업무를 수행하는 것과 관련된

프로그램 이외에 설치를 하지 않는다.



대응기술 및 전략대상별 대응기술 및 전략

구분 소분류 세부내용

정보보호 책임 정보보호 책임은 1차적으로 시스템 관리자에게 있다.

접근제어 디지털안전계통의 접근하는 인원은 필요한 인원으로 한정하여야 한다.디지털안전계통의 입 출입 등 접근 기록 및 작업내역은 로깅 되어야 한다디지털 안전계통 시스템은 접근제어를 수행하여야 한다.비인가자에 접근을 제한하고 인가자의 접근내역, 작업내역을 기록하고 주기적으로

확인하여야 한다.

네트워크 보안 디지털안전계통은 외부 인터넷과 물리적, 논리적 격리 운영되어야 한다.디지털안전계통의 데이터는 기밀성, 무결성, 가용성 측면에서 안전한 경로를 통해

전송하여야 한다.중요한 데이터를 외부 네트워크로 전송할 경우 암호화하여야 한다.

계정관리 불필요한 계정을 삭제강력한 패스워드 사용

접근제어 원격접속 금지

Architecture 원자로 제어계측 망과 행정망의 논리적, 물리적으로 독립적으로 운영

솔루션 침입 차단 시스템침입 탐지 시스템불법 사이트 차단 시스템바이러스, 웜 등 악성코드 차단 시스템

네트워크

시스템

정보보호 정책



안전계통 사이버보안 설계요건 (정책) 제시

- KNICS 사이버보안 프로그램

- 안전계통 데이터에 관한 정책- 플랫폼에 관한 정책- 통신에 관한 정책- 작업자에 관한 정책- 형상관리 및 감사에 관한 정책- 애플리케이션(application)에 관한 정책- 물리적 방호 및 수동운전에 관한 정책 등

안전계통 사이버보안 상세이행 계획

- 사이버보안 조직 및 대상- 개발절차 : 개발 Lifecycle 별 절차

계획, 요건, 설계, 구현, 통합, 검증, 설치, 운전 및 보수, 폐기입출력 및 상세업무내용 정의


원전 사이버보안 업무 및 향후

원전 사이버보안기술 적용을 위한 업무

향후



목표원전 제어/보호/감시계통 및 통신망(network) 사이버보안 설계기술 개발

원전 사이버보안 체계 구축 및 운영 기술 개발

업무내용사이버보안 기술 및 프로그램 분석

- 배경, 규제요건 및 기술기준, 국내외 기술수준, 개발 또는 적용사례 분석

계통 및 기기의 기능/구조/연계/자산 분석- 감시계통 및 전산기계통 (주제어실 포함) : 정보처리 및 표시, 경보, 운전원모듈

- 디지털 보호계통 및 제어계통

- Site(소내/소외) Administration Network & Computers & Devices- 발전소 물리적 보안시스템 분석

위험도(Risk) 평가 : 보안시스템 적용성 분석- 원전의(계통별) 사이버보안 수준 분석

- 위협요소(Threat) 분석 및 평가

- 취약성(Vulnerability) 분석 및 평가 : 모의침투 및 대응기술 평가

- 관리정책(Management Strategy) 분석 및 평가



사이버 보안 정책(Policy) 및 계획(Plan) 수립- 사이버보안 정책 개발

- 사이버보안 계획 수립

사이버보안 시스템 개발 및 I&C 계통설계 적용- 사이버보안 설계요건 및 사양 개발

- 보안기술 및 장비 선정 : 접근제어, 데이터보안, 침입탐지 및 보호(IDS/IPS)COTS Dedication 또는 개발

- 개발 생명주기에 따른 설계

- 요소기술 및 검증기술 개발보안 H/W & S/W 설계 또는 평가 기술 개발

설계 확인 및 검증(V&V) 방안 개발

사이버 보안 Testbed 개발- Testbed 설계, 구현 및 시험

- 사이버 보안 분석, 설계검토, 물리적/사이버 보안과 연계성능시험 수행

- I&C 계통 종합 운전시험



발전소 물리적 보안과의 통합방안 도출- 발전소 사이버보안 프로그램 개발- 사이버공격에 따른 운전전략 개발- 디지털 시스템의 물리적 보안 및 사이버 보안 통합

위험도 분석을 통한 최적 물리적/사이버 보안 방안 도출구현 가능수준 및 경제성 분석에 따른 최적 적용범위 도출

Area Controlledby the Owner

Protected Area

Vital Area

Access Control

Area protected by Double Fences

- US NEI Presentation-



사이버 보안 형상관리 및 감사(Audit) 방안 개발- 보안 장비의 형상관리 방안 개발

- 발전소 품질보증(QA) 체계와 연계한 감사 방안 수립

- 발전소 보안체계 및 계측제어계통 운영절차서와의 통합방안 수립

기타- IT 산업의 컴퓨터/정보/통신망 보안기술 반영

- 국가의 산업시설에 대한 사이버보안 정책 반영

- 국내외 규제요건 추이 반영


향 후

비안전 제어, 운전 및 감시계통 위험도평가 수행

위험도분석 및 평가방법의 정량화FTA/ETA, FMEA, Attack Tree Analysis, HAZOP 등 적용

원전 사이버보안시스템 설계 및 요소기술 개발

원전 사이버보안 적용을 위한 기술표준 개발규제기관의 인허가 심사기준 제공

개발 및 운영사업자의 기준 제공

디지털원전사이버보안성평가적용사례 · 2018-01-01 · 6...

Documents

Transcript of 디지털원전사이버보안성평가적용사례 · 2018-01-01 · 6...