2024-03-19 15:25 (화)
[CPS 보안워크숍] “OT 환경, 계정관리 취약…HMI 접속시 안전성 확보 필요”
상태바
[CPS 보안워크숍] “OT 환경, 계정관리 취약…HMI 접속시 안전성 확보 필요”
  • 길민권 기자
  • 승인 2020.10.19 15:45
이 기사를 공유합니다

한은혜 대표 “EAMS 원격접속서비스, 안전한 접근통제와 실명이력관리 제공”
한국정보보호학회 CPS보안연구회 주관 ‘제7회 CPS 보안워크숍’에서 한은혜 에스에스앤씨 대표(사진)가 ‘안전한 HMI 접근통제 및 실명 이력 관리 방안’을 주제로 강연을 진행하고 있다.(데일리시큐=제주)
한국정보보호학회 CPS보안연구회 주관 ‘제7회 CPS 보안워크숍’에서 한은혜 에스에스앤씨 대표(사진)가 ‘안전한 HMI 접근통제 및 실명 이력 관리 방안’을 주제로 강연을 진행하고 있다.(데일리시큐=제주)

최근 사회기반시설, 생산설비, 스마트팩토리, ICS(Industrial Control System, 산업제어시스템) 등 다양한 OT(Operational Technology, 운영기술)환경에 IoT가 접목되면서 HMI(Human-Machine Interface) 기기 등에 대한 모니터링이 OT 보안의 중요한 화두가 되고 있다.

지난 10월 15일 개최된 한국정보보호학회 CPS보안연구회 주관 ‘제7회 CPS 보안워크숍’에서 한은혜 에스에스앤씨 대표는 ‘안전한 HMI 접근통제 및 실명 이력 관리 방안’을 주제로 강연을 진행하며 HMI 접근계정을 보호해야 한다고 강조했다.

OT 환경이 IoT와 연결되면서 계정 관리가 취약하다면 아이디, 패스워드 유출로 이어질 수 있어 보안사고가 발생할 수 있기 때문이다.

계정관리 보안규정을 보면, 공용 계정 사용금지, 비밀번호는 2-3가지 조합 8가지 이상, 비밀번호 사용기간 최대 3개월, 동일한 비밀번호 사용 제한 등을 강조하고 있다.

계정관리 보안을 위해 한은혜 대표는 OT 환경의 HMI/EWS에 운영자가 직접 접속하지 않고 운영자는 게이트웨이에 접속해 HMI 단말에 접근할 것을 제안했다.

운영자가 HMI 단말에 직접 접근하는 패스워드를 몰라도 게이트웨이 중계서버에 등록된 패스워드만으로 HMI 단말에 자동 접속할 수 있다면 패스워드 유출 위험성을 줄일 수 있고 계정관리도 안전하고 편리하게 할 수 있다는 것이다.

한 대표는 에스에스앤씨에서 공급하고 있는 ‘EAMS(Equipment Account/Access Management System)’ 원격 접속 서비스로 운영자가 직접 HMI/EWS에 접속하지 않고도 실명인증/2팩터 인증 후 안전하게 접속할 수 있다고 설명했다.

실명기반의 안전한 접속환경을 제공하는 EAMS를 통해 단말에 접근이력도 남기고 감사도 가능하게 된다.

그리고 파일 전송 기능이 차단된 웹브라우저로만 작업이 이루어져 취약한 PC 환경이 사내에 영향을 주지 않고 EAMS에 사용자 계정별 등록된 HMI만 접속 가능하기 때문에 계정 정보 유출 위험성도 없다는 것이 강점이다. HMI 접속에 안전성을 확보하게 되는 것이다.

안전한 접근통제와 실명 이력관리가 가능한 EAMS는 △원격접속이 필요한 사용자에게 간편한 신청 절차 기능을 제공하고 △웹 브라우저만 있으면 어떤 단말에서든 사내 환경 접속이 가능한 웹 터미널을 제공한다. 또 △스크린 워터마크를 통해 화면 유출 방지 기능을 제공하고 △파일 전송 기능을 차단해 부정사용을 방지한다.

또 △2팩터 인증 강화와 △인가된 사용자만 접속이 가능하도록 인사 정보와도 연동할 수 있다. 그리고 접속 관리를 위해 △사용자의 접속 서비스 관련 현 상태별 정보를 확인할 수 있으며 △업무 PC 접속 상태도 실시간으로 확인 가능하다. 이를 통해 △원격 접속에 대한 실명화된 이력 및 작업 내역, 불법 접속 이력 등 다양한 감사 데이터로 활용할 수 있다.

한은혜 대표는 “OT망에 중요한 단말에는 공용계정을 사용하면 안된다. 어느 시스템에 누가 언제 접근해서 어떤 업무를 했는지 모니터링이 중요하다. 산업제어시스템 사용 기관과 기업은 안전한 계정관리를 통해 보안이 확보된 제어시스템 환경을 구축해야 한다”고 강조했다.


[하반기 최대 정보보안&개인정보보호 컨퍼런스 PASCON 2020 개최]

-날짜: 2020년 11월 10일 화요일

-장소: 서울 양재동 더케이호텔서울 2층 가야금홀

-대상: 공공, 금융, 기업 정보보안 및 개인정보보호 실무자

(이외 보안실무와 관련 없는 등록자는 참석이 제한 될 수 있습니다.)

-교육이수: 공무원, 기업 보안의무교육 7시간 인정. CPPG, CISSP 등 교육인정

-전시회: 국내외 최신 보안솔루션 트랜드를 한 눈에

-사전등록: 클릭

-참가기업 모집중: mkgil@dailysecu.com으로 문의

★정보보안 대표 미디어 데일리시큐!★

■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★