국외 원전 디지털자산 공급망 사이버보안 규제 동향

  • Published : 2016.02.29

Abstract

기업들의 생산 공정이 세분화되면서 하나의 디지털 기기는 여러 단계의 공급망을 통해 원자력 발전소 외부에서 제작된 후 공급된 기기들과 소프트웨어의 조합으로 최종 완성품이 제작된다. 이러한 공정 과정을 거치는 다양한 나라, 회사에서 제작된 수많은 부품들과 소프트웨어의 조합은 어느 하나의 단계에서 발생한 의도되거나 의도되지 않은 결함 또는 사이버 위험을 포함한 최종제품이 될 가능성을 가지고 있으며 실제로 공급망을 위협하는 사례가 발생하기도 하였다. 이러한 결과로 공급망을 통한 사이버공격의 보안 위험 사례를 관리하는 것이 디지털화가 급격하게 진행되고 있는 원자력발전소와 같은 주요기반시설의 안전과 보안을 유지하는데 고려해야하는 중요한 요소가 되고 있다. 본 논문에서는 공급망을 통한 사이버보안 위험 사례와, 원자력발전소 디지털 자산 공급망 위험관리를 위한 해외 사례를 살펴보고자 한다.

Keywords

References

  1. Department of commerce, "Defense industrial base assessment: Counterfeit electronics", January 2010
  2. Department of justice, http://www.justice.gov/archive/opa/pr/2008/February/08_crm_150.html
  3. NetMarketShare, "Mobile/Tablet Operating System Market Share", December 2015
  4. Palo alto networks, http://researchcenter.paloaltonetworks.com/2015/09/update-xcodeghost-attacker-can-phish-passwords-and-open-urls-though-infected-apps/
  5. Dailymail, http://www.dailymail.co.uk/wires/ap/article-2647551/Man-pleads-guilty-counterfeit-sub-parts-case.html
  6. NRC Regulatory Guide 5.71, "Cyber Security Programs for Nuclear Facilities", January 2010
  7. NRC, 10 CFR 73.54, "Protection of digital computer and communication systems and network", November 2009
  8. NRC, http://www.nrc.gov/public-involve/conference-symposia/ric/past/2014/docs/posters/53-nsircurrent-status-of-cyber-security-implementation.pdf
  9. NRC Regulatory Guide 1.152, "Criteria for use of computers in safety systems of nuclear power plants Rev 3", July 2011
  10. NRC, http://www.nrc.gov/reading-rm/basic-ref/glossary/safety-related.html
  11. NIST SP 800.53, "Security and Privacy Controls for Federal Information Systems and Organizations", February 2014
  12. IAEA-TECDOC-919 "Procurement Engineering and Supply Chain Guidelines in Support of Operation and Maintenance of Nuclear Power Plants", December 1996
  13. IAEA-TECDOC-1169 "Managing Suspect and CounterFeit Items in the Nuclear Industry", August 2000