ICS/SCADA란?
ICS(Industrial Control System)는 산업 공정을 제어하는 시스템의 총칭입니다. SCADA는 ICS의 한 유형으로 발전소, 수처리 시설, 교통 시스템 등 국가 핵심 인프라를 제어합니다.
ICS 구성 요소
- PLC(Programmable Logic Controller): 현장 설비를 직접 제어하는 장치
- RTU(Remote Terminal Unit): 원격 현장 데이터 수집·전송 장치
- HMI(Human Machine Interface): 운영자가 시스템 상태 모니터링·제어하는 인터페이스
- DCS(Distributed Control System): 대규모 연속 공정 제어 (화학, 석유)
- SCADA: 광역 분산 시스템 원격 감시·제어
Purdue 참조 모델 (ISA-99)
ICS 네트워크를 계층으로 분리하는 보안 아키텍처 모델입니다.
- Level 0: 현장 장치 (센서, 액추에이터)
- Level 1: 제어 장치 (PLC, RTU)
- Level 2: 제어 네트워크 (HMI, DCS)
- Level 3: 제조 운영 (히스토리안, 공정 최적화)
- Level 3.5: DMZ (IT/OT 경계 격리 구간)
- Level 4: 기업 네트워크 (ERP, 비즈니스 시스템)
IT vs OT(Operational Technology) 보안 차이
- 가용성 우선순위: IT는 CIA 순서, OT는 AIC 순서 (가용성이 최우선)
- 패치 주기: IT는 신속 패치, OT는 공정 중단 불가로 패치 지연
- 시스템 수명: IT는 3-5년, OT는 20-30년
- 실시간성: OT는 실시간 응답 필수, 보안 점검으로 인한 지연 불가
ICS/SCADA 주요 보안 위협
- Stuxnet: 2010년 이란 원심분리기를 파괴한 최초의 ICS 전용 사이버 무기. USB로 전파, PLC 펌웨어 변조
- CRASHOVERRIDE/Industroyer: 우크라이나 전력망 공격에 사용된 ICS 악성코드
- Triton/Tritsis: 안전계장시스템(SIS) 공격, 물리적 사고 유발 목적
- 에어갭(Air Gap) 공격: USB, RF, 열, 음향 등 비전통적 채널로 격리 시스템 침투
ICS 보안 대책
- 네트워크 격리: DMZ를 통한 IT/OT 분리, 단방향 데이터 다이오드
- 화이트리스팅: 허가된 프로세스만 실행 허용
- 비정상 행위 탐지: OT 전용 IDS (Claroty, Darktrace, Dragos)
- 물리적 보안: 현장 접근 제어, 잠금 장치
- 공급망 보안: 신뢰된 벤더 관리, 하드웨어 무결성
관련 표준
- IEC 62443: 산업 자동화·제어 시스템 보안 국제 표준
- NIST SP 800-82: ICS 보안 가이드
- NERC CIP: 전력 설비 사이버보안 북미 표준
시험 핵심 포인트
- OT 보안 우선순위: 가용성(A) > 무결성(I) > 기밀성(C)
- Purdue 모델 Level 3.5 = IT/OT 경계 DMZ
- Stuxnet: PLC 공격, USB 전파, 이란 핵시설
- 에어갭 시스템도 USB·RF 등으로 침투 가능
- IEC 62443: ICS 보안 국제 표준
마무리
ICS/SCADA 보안은 국가 핵심 인프라 보호와 직결되는 분야입니다. IT 보안과의 차이점, 주요 사이버 공격 사례(Stuxnet)는 시험에 자주 출제되므로 반드시 숙지하세요.