A Study on the Security Management for Critical Key Infrastructure(SCADA)

중요핵심기반시설(SCADA)에 대한 보안 관리 연구

  • Published : 2005.08.01

Abstract

Most of the national critical key infrastructure, such as power, piped gas and water supply facilities, or the high-speed railroad, is run on the SCADA system. Recently, concerns have been raised about the possibility of these facilities being attacked by cyber terrorists, hacking, or viruses. Thus, it is time to adopt the relevant security management techniques. This paper attempts to propose such security management techniques, including information protection measures and troubleshooting, based on a risk analysis process concerning assets, threats/vulnerability, and hazards, and to examine the security management status of critical key infrastructure in the U.S. and Japan.

전력, 가스, 상하수도, 고속전철 등 국가에서 관리하는 중요핵심기반시설은 대부분 SCADA(Supervisory Control and Data Acquisition) 시스템으로 관리, 운영되고 있다. 최근 이러한 시설들이 사이버 테러 및 해킹, 바이러스 등 에 의하여 원격 조작 및 통제되는 경우 심각한 위험에 빠질 수 있다. 따라서, 중요핵심기반시설에 대한 종합적인 정보보호 관리기법을 수립해야 할 시점에 이르게 되었다. 본 논문에서는 자산, 위협/취약성, 위험도 계산 등의 위험분석 프로세스를 기반으로 정보보호대책(기밀성, 무결성, 가용성) 및 장애처리를 포함한 보안관리 기법을 제안하고자 한다. 이를 위하여 미국, 일본 등 중요핵심기반시설에 대한 정보보호 관리 현황을 알아본다.

Keywords

References

  1. 국가정보원, '2004 국가정보보호백서', 2004
  2. GAO, 'Critical Infrastructure Protection : Challenge and Efforts to Secure Control Systems,' http://www.gao.gov, Mar. 2004
  3. PCSCS, '2004 Proposal: Process Control System Cyber Security Forum - An Infrastructure Industry Forum and Initiative,' http://www.pcscs.org, 2004
  4. Jonathan Pollet, 'Safety Considerations for SCADA/DCS Cyber Attacks,' ISA-The Instrumentation Systems, and automation Society, 1. Nov. 2003. http://www.isa.org
  5. Dale Peterson, 'Intrusion Detection and Cybersecurity,' ISA-The Instrumentation Systems, and automation Society, http://www.isa.org, 1. May. 2004
  6. Jason Stamp, John Dilinger, William Young, 'Common Vulnerabilities in Critical Infrastructure Control Systems,' White paper, Sandia National Laboratories, http://www. sandia.gov, 2003
  7. 김인중, 정윤정, 민병길, 박중길, 'SCADA 시스템과 정보망의 연동을 위한 위험분석 연구,' 한국정보처리학회 춘계학술대회논문집, 2004. 5
  8. 김인중, 정윤정, 박중길, 원동호, '상호연동 기반의 SCADA 시스템에 대한 보안위험분석 프로세스,' 한국통신학회 하계학술대회논문집, 2004.7
  9. The Office of Energy Assurance for the U.S. DoE, '21 Steps to improve Cyber Security of SCADA Networks,' 19, Sep. 2002. http://oea.dis.dis.gov/documents/21StepsBooklet. pdf
  10. White House, 'the National Strategy to Secure Cyberspace,' Feb. 2003. http://www. whitehouse.gov/pcipb/cyberspace_strategy. pdf
  11. Dana A. Shea, 'CRS report for Congress Critical Infrastructure: Control Systems and the Terrorist Threat,' Congressional Research Service, July 14, 2003. http://www.usembassy. it/pdf/other/RL31534.pdf
  12. NERC board, 'Renewal of Urgent Action Cyber Security Standard', June 2, 2004. http:// www.nerc.net
  13. Ron Derynck, 'Securing Critical Industrial Networks,' Verano white paper, 2004. http://www.verano.com
  14. White House, 'The Physical Protection of Critical Infrastructures and Key Assets,' Feb. 2003
  15. 바다란, 'Critical Alert for Cyber Terror Security for Nation Infrastructure(SCADA & DCS), White paper. 2002년 10월
  16. Ron Derynck, 'Cyber-Security and System Integrity for Transportation Networks,' Verono White paper, 2004
  17. Jonathan Pollet, 'Developing a Solod SCADA Security Strategy,' Sicon02, Nov 2002
  18. Zhaoxia Xie, G. Manimaran, A.G. Phadke, Virgilio Centeno, 'An Information Architechure for Future Power Systems and Its Reliability Analysis,' IEEE Trans. Power Systems, VOL. 17, No3, AUG. 2002
  19. Ebata, Y. Hayashi, H. Hasegawa, Y. Komatsu, S. Suzuki, K., 'Devekoment of the Internet-based SCADA for Power System,' Power Engineering Society Winter Meeting, 2000. IEEE
  20. Hamoud, G. Chen, R.-L. Bradley, I. 'Risk assessment of power systems SCADA,' Power Engineering Society General Meeting, 2003, IEEE
  21. 한국산업정보보안학회, 산업정보보안정책세미나 및 추계학술대회논문집, 2003년 11월 20일
  22. 博之, 田中, 克巳 岡, 文一, Requirements for high reliability and high security plant control system,' White paper Information-technology Promotion Agency, http://www.ipa. go.jp, 2000
  23. 김인중, 정윤정, 민병길, 박중길, 'SCADA 시스템 보안을 위한 기술연구,' 국가보안기술연구소 기술문서. 2004. 6
  24. 박장환, '필드버스 입문,' 도서출판 동서, 2000. 1. 28
  25. 일본정보처리추진기구, '일본 전력의 중요 인프라시설 방어연습에 관한 조사보고서,' 2004. 8
  26. David L. Fraley, 'Cyberwarfare: VoIP and Convergence Increase Vulnerability, 'Gartner Report, 13 January 2004. http://www. gertnder.com
  27. William New, 'Reports shows holes in cybersecurity plan', Daily berifing, June 21, 2004. http://www.govexec.com/story_page.cfm?articleid=28790&printerfriendly Vers=1&
  28. Douglas, Edward, 'The status report on the US preparation for measures against cyber terrorism,' http://www.ipa.go.jp, 2000
  29. 연합뉴스, '보안업계, 알카에다 사이버테러 대비 강화', 2004년 10월
  30. 소방방재청, http://www.nema.go.kr
  31. 국가정보원, http://www.nis.go.kr
  32. 국가사이버안전센터, http://www.ncsc.go.kr
  33. 국가사이버안전센터, '국가사이버안전메뉴얼', 2004
  34. 국가보안기술연구소, http://www.nsri.re.kr
  35. 비상기획위원회, http://www.epc.go.kr
  36. 디지털타임즈, 국가사이버테러대응체계가동, 2003. 12. 16
  37. 국가정보원, 국가사이버안전메뉴얼, 2004