2012.01.06

스마트 그리드 보안 허점과 그에 따른 위험

Mark Rowh | CIO

시장조사 기업 파이크 리서치(Pike Research)는 현재의 스마트 그리드 보안 상태를 가리켜 ‘혼돈에 가깝다’고 표현했다. 파이크 리서치는 최근 조사 결과를 토대로 보안 표준의 부재와 이리저리 뒤섞인 제품, 그리고 점점 더 거세지는 해커들의 공격 때문에 2012년은 스마트 그리드의 보안 유지가 매우 힘든 한 해가 될 것으로 전망했다. (스마트 그리드란 IT와 스마트미터를 사용해 좀 더 효율적이고 믿을 수 있으며 지속 가능한 차세대 전력망을 구축하려는 노력이다.)

“수 년간 업체들은 포인트 솔루션(point solution)을 구축했고, 발전 시설들은 최소한의 보안만 유지했다. 이로 인해 해커들이 마구잡이로 보안을 위협하고 있다. 다수의 해커 공격에 대한 대처 방안이 없는 실정이다”라고 파이크 리서치의 애널리스트 밥 록허트는 말했다.

“그렇지만 희망은 있다”라고 그는 말을 이었다. “지난 18개월 간 관련 업체들 사이에서 구조적으로 튼튼한 스마트 그리드 보안의 필요성에 대한 인식이 자리잡아 왔다”라고 록허트는 덧붙였다.

스마트 그리드 분야의 선구자이자 오스틴 에너지(Austin Energy)사의 전직 CIO며, <스마트 그리드, 지속 가능한 발전의 선구주자(Artech House, 2011)>의 공동 저자이기도 한 안드레 카발로는 스마트 그리드 보안이 복합적인 문제라고 밝혔다. 그에 따르면, 완벽한 보안을 위해서는 통신망 차단 장치와 네트워크, 데이터센터, 그리고 애플리케이션이 필요하다.

카발로는 기존의 보안 상황에 대해 “애플리케이션 데이터센터로부터 발전 시설로의 보안은 꽤 훌륭하지만, 통신망 종단 장치에서부터 발전 시설이나 데이터센터 사이의 보안은 아직 보완할 점이 많다”라고 지적했다.

해커들은 기다려 주지 않는다. “사이버 보안 솔루션과 보안 표준이 어느 정도 자리잡고 있다고는 해도, 해커들은 더 빠른 속도로 그러한 노력을 앞지르고 있다. 훌륭한 포인트 솔루션들이 많은 것은 사실이나, 그것들은 그저 포인트 솔루션일 뿐이다”이라고 록허트는 말했다. 문제는 해커들이 그러한 제품들 사이의 간극을 알아챈다는 것이다.

록허트는 또 방위청 외의 기관에서 제품을 전체에 통합시키는 제대로 된 스마트 그리드 보안 프로그램을 사용하는 경우란 거의 없다고 지적했다.

내부 위험 요인을 간과할 가능성도 있다. “대부분의 사람들이 스마트 그리드 보안을 테러범 또는 적국의 정부가 퍼뜨린 바이러스를 막기 위한 조치라고 생각한다. 그러나 스마트 그리드 보안 소프트웨어 및 관리 시스템에 더 많은 예산을 쏟아야 하는 중요한 이유 중 하나는 오직 허용된 사람들만이 스마트 그리드에 관계된 시스템에 접근할 수 있도록 하기 위해서임을 알아야 한다” 라고 ABI 리서치의 애널리스트 조슈아 플러드는 주장했다. 다시 말해, 불만을 가진 내부 직원이나 방해 공작을 펼치는 내부 인물로부터 시스템을 경계하기 위함인 것이다.

두리뭉실한 보안 표준을 명확하게 바꿔야 한다
파이크 리서치는 보고서에서 실행 가능한 보안 표준과 전력 공급 그리드에 대한 통제력을 상실하면서 사이버 보안에 일대 혼돈이 올 가능성이 있으며 이러한 가능성은 발전 시설들이 중요한 보안 투자에 대해 뒷짐을 지고 지켜만 보도록 만들 수도 있다고 지적했다.

지금까지는 대부분의 발전 시설들이 북미전력안정위원회(North American Electric Reliability Corp)의 주요 기반 시설 보호 프로그램(critical infrastructure protection program)에 집중해 왔다. 이 프로그램은 발전과 송신 과정에만 적용되지만, 현재의 보안 표준에는 유일하게 불이행 시 벌금을 내야 하는 ‘실질적인 효력을 가진 표준’이라고 파이크 리서치는 밝혔다.

애널리스트들은 그러나 이러한 벌금 이행에서 한발 더 나아가 더욱 전체적이며 위험 분석적인 관점이 필요가 있다고 주장하고 있다. 미국표준기술연구소(National Institute of Standards and Technology, NIST)의 정보 시스템 보안 수석 고문 마리안 스완슨은 발전 시설들에게 “전체적인 위험 관리 프로그램과 사이버 보안 위협에 대비, 대응, 회복할 수 있는 방법 등을 찾아서 지속적으로 발전시키라”고 조언했다.




2012.01.06

스마트 그리드 보안 허점과 그에 따른 위험

Mark Rowh | CIO

시장조사 기업 파이크 리서치(Pike Research)는 현재의 스마트 그리드 보안 상태를 가리켜 ‘혼돈에 가깝다’고 표현했다. 파이크 리서치는 최근 조사 결과를 토대로 보안 표준의 부재와 이리저리 뒤섞인 제품, 그리고 점점 더 거세지는 해커들의 공격 때문에 2012년은 스마트 그리드의 보안 유지가 매우 힘든 한 해가 될 것으로 전망했다. (스마트 그리드란 IT와 스마트미터를 사용해 좀 더 효율적이고 믿을 수 있으며 지속 가능한 차세대 전력망을 구축하려는 노력이다.)

“수 년간 업체들은 포인트 솔루션(point solution)을 구축했고, 발전 시설들은 최소한의 보안만 유지했다. 이로 인해 해커들이 마구잡이로 보안을 위협하고 있다. 다수의 해커 공격에 대한 대처 방안이 없는 실정이다”라고 파이크 리서치의 애널리스트 밥 록허트는 말했다.

“그렇지만 희망은 있다”라고 그는 말을 이었다. “지난 18개월 간 관련 업체들 사이에서 구조적으로 튼튼한 스마트 그리드 보안의 필요성에 대한 인식이 자리잡아 왔다”라고 록허트는 덧붙였다.

스마트 그리드 분야의 선구자이자 오스틴 에너지(Austin Energy)사의 전직 CIO며, <스마트 그리드, 지속 가능한 발전의 선구주자(Artech House, 2011)>의 공동 저자이기도 한 안드레 카발로는 스마트 그리드 보안이 복합적인 문제라고 밝혔다. 그에 따르면, 완벽한 보안을 위해서는 통신망 차단 장치와 네트워크, 데이터센터, 그리고 애플리케이션이 필요하다.

카발로는 기존의 보안 상황에 대해 “애플리케이션 데이터센터로부터 발전 시설로의 보안은 꽤 훌륭하지만, 통신망 종단 장치에서부터 발전 시설이나 데이터센터 사이의 보안은 아직 보완할 점이 많다”라고 지적했다.

해커들은 기다려 주지 않는다. “사이버 보안 솔루션과 보안 표준이 어느 정도 자리잡고 있다고는 해도, 해커들은 더 빠른 속도로 그러한 노력을 앞지르고 있다. 훌륭한 포인트 솔루션들이 많은 것은 사실이나, 그것들은 그저 포인트 솔루션일 뿐이다”이라고 록허트는 말했다. 문제는 해커들이 그러한 제품들 사이의 간극을 알아챈다는 것이다.

록허트는 또 방위청 외의 기관에서 제품을 전체에 통합시키는 제대로 된 스마트 그리드 보안 프로그램을 사용하는 경우란 거의 없다고 지적했다.

내부 위험 요인을 간과할 가능성도 있다. “대부분의 사람들이 스마트 그리드 보안을 테러범 또는 적국의 정부가 퍼뜨린 바이러스를 막기 위한 조치라고 생각한다. 그러나 스마트 그리드 보안 소프트웨어 및 관리 시스템에 더 많은 예산을 쏟아야 하는 중요한 이유 중 하나는 오직 허용된 사람들만이 스마트 그리드에 관계된 시스템에 접근할 수 있도록 하기 위해서임을 알아야 한다” 라고 ABI 리서치의 애널리스트 조슈아 플러드는 주장했다. 다시 말해, 불만을 가진 내부 직원이나 방해 공작을 펼치는 내부 인물로부터 시스템을 경계하기 위함인 것이다.

두리뭉실한 보안 표준을 명확하게 바꿔야 한다
파이크 리서치는 보고서에서 실행 가능한 보안 표준과 전력 공급 그리드에 대한 통제력을 상실하면서 사이버 보안에 일대 혼돈이 올 가능성이 있으며 이러한 가능성은 발전 시설들이 중요한 보안 투자에 대해 뒷짐을 지고 지켜만 보도록 만들 수도 있다고 지적했다.

지금까지는 대부분의 발전 시설들이 북미전력안정위원회(North American Electric Reliability Corp)의 주요 기반 시설 보호 프로그램(critical infrastructure protection program)에 집중해 왔다. 이 프로그램은 발전과 송신 과정에만 적용되지만, 현재의 보안 표준에는 유일하게 불이행 시 벌금을 내야 하는 ‘실질적인 효력을 가진 표준’이라고 파이크 리서치는 밝혔다.

애널리스트들은 그러나 이러한 벌금 이행에서 한발 더 나아가 더욱 전체적이며 위험 분석적인 관점이 필요가 있다고 주장하고 있다. 미국표준기술연구소(National Institute of Standards and Technology, NIST)의 정보 시스템 보안 수석 고문 마리안 스완슨은 발전 시설들에게 “전체적인 위험 관리 프로그램과 사이버 보안 위협에 대비, 대응, 회복할 수 있는 방법 등을 찾아서 지속적으로 발전시키라”고 조언했다.


X