2020-11-27 20:00 (금)
[CPS 보안워크숍] 원전 사이버보안 조직, 어떻게 구성되고 운영되어야 하나
상태바
[CPS 보안워크숍] 원전 사이버보안 조직, 어떻게 구성되고 운영되어야 하나
  • 길민권 기자
  • 승인 2020.10.19 18:13
이 기사를 공유합니다

김아람 원자력통제기술원 선임 “각 분야 전문가들로 구성…CISO는 임원급이어야 컨트롤 가능”
지난 10월 15일 개최된 한국정보보호학회 CPS보안연구회 주관 ‘제7회 CPS 보안워크숍’에서 한국원자력통제기술원 김아람 선임연구원(강연자)이 'CPS 보안을 위한 사이버보안 조직'을 주제로 강연을 진행하고 있다. (데일리시큐=제주)
지난 10월 15일 개최된 한국정보보호학회 CPS보안연구회 주관 ‘제7회 CPS 보안워크숍’에서 한국원자력통제기술원 김아람 선임연구원(강연자)이 'CPS 보안을 위한 사이버보안 조직'을 주제로 강연을 진행하고 있다. (데일리시큐=제주)

기반시설에 대한 사이버공격 이슈는 지속적으로 언론과 국감 등에서 제기되어온 문제다. 하지만 현장에서는 ICS에 보안솔루션을 설치하기도 힘들고 폐쇄망이라며 현업 담당자들은 사이버보안 보다는 지속적인 서비스가 가능하도록 하는데 초점을 맞추고 있는 것이 현실이다.

이에 지난 10월 15일 개최된 한국정보보호학회 CPS보안연구회 주관 ‘제7회 CPS 보안워크숍’에서 한국원자력통제기술원 김아람 선임연구원은 “원전은 국민들의 안전을 위해 원전 사이버 보안 계획을 마련하고 업무를 추진중”이라며 “사이버보안 조직 내에 정보보안과 제어보안 부서를 나눠 운영하고 있다. ICS 환경에서 침해사고가 발생하면 시설에는 어떤 영향이 있고 어떻게 대비해야 하는지 그리고 운영절차상 사이버보안을 어떻게 녹여낼지 고민하고 있다”고 말했다.

이어 그는 “원전 사이버보안 책임자는 그에 맞는 임원급 지위가 부여돼야 권한을 가지고 플랜을 만들어 제대로 일을 할 수 있다”고 강조하고 한편 “사이버보안부서는 보안전문가만 참여하는 것이 아니라 원전시설에 대한 다양한 지식이 필요하기 때문에 여러 분야의 전문가들로 구성돼 있다”고 덧붙였다.

원전 사이버보안 책임자·관리자·담당자 별 업무

직급별로 보면, 원전 △사이버보안 책임자는 사이버 보안 프로그램에 대한 모든 책임을 지며, △사이버보안 관리자는 사이버 보안 운영 감시 및 보안 이슈에 감시 및 지시, 보안 계획, 정책, 절차의 개발과 구현에 대해 감시하고 승인하는 위치다.

또 △사이버보안 담당자는 발전소 전체 구조에 대한 사이버 보안 측면에서의 이해와 디지털 시스템에 대한 사이버 보안 평가, 보안감사, 취약점 평가, 침해사건 조사, 사건 발생시 증거보존 등의 업무를 담당한다.

원전 사이버보안 조직의 구성…책임자의 적절한 지위가 중요

한편 원전 사이버보안 조직은 일반 기업 보안조직과는 달리 다양한 영역의 전문가들로 구성돼 있다.

사이버보안, 소프트웨어 개발, 외부와의 통신, 컴퓨터시스템 관리, 컴퓨터공학 및 네트워킹 전문가들 그리고 원자력 시설 운영과 관련된 컴퓨터 및 정보시스템에 관한 지식을 가진 전문가도 포함돼 있다.

그리고 원자력 시설 운영 및 기술 전문가와 원자력 시설의 물리적 방호 및 비상대응에 관한 시스템 및 프로그램 전문가들도 포함돼 있는 것이 특징이다.

김아람 선임은 “하지만 모든 전문가들이 사이버보안 전담조직에 포함도리 필요는 없다. 다만 전문가가 사이버보안 활동에 시간을 할당하기 위한 제도적, 조직적 뒷받침이 필요하다. 이를 컨트롤 하는 것이 바로 사이버보안 책임자다. 그래서 책임자는 적절한 지위를 갖고 있어야 한다”고 말했다. 임원급의 CISO가 필요하다는 것.

UAE와 같은 경우는 계측제어, 사이버보안, 물리적방호, 비상대응, 발전소 운영, 설계, 유지보수 등에서 각 2명씩 참여하는 사이버보안평가팀(CSAT)을 구성해 사이버보안 조직을 운영하고 있다.

끝으로 김 선임은 “사이버보안 조직이 있다고 해서 모든 것을 다 할 수는 없다. 현실적으로 충분한 인적, 물적 자원을 확보하고 있다면 가능하겠지만 현실은 그렇지 못하다”며 “사이버보안 조직을 만들어 놨으니 알아서 하겠지라고 생각하면 실패할 확률이 높다. 사이버보안은 조직 모두가 수행해야 하는 업무다. 이를 위해 각자의 역할과 책임을 명확하게 하고 이행할 수 있는 체계를 갖추는 것이 중요하다”고 강조했다.


[하반기 최대 정보보안&개인정보보호 컨퍼런스 PASCON 2020 개최]

-날짜: 2020년 11월 10일 화요일

-장소: 서울 양재동 더케이호텔서울 2층 가야금홀

-대상: 공공, 금융, 기업 정보보안 및 개인정보보호 실무자

(이외 보안실무와 관련 없는 등록자는 참석이 제한 될 수 있습니다.)

-교육이수: 공무원, 기업 보안의무교육 7시간 인정. CPPG, CISSP 등 교육인정

-전시회: 국내외 최신 보안솔루션 트랜드를 한 눈에

-사전등록: 클릭

-참가기업 모집중: mkgil@dailysecu.com으로 문의

★정보보안 대표 미디어 데일리시큐!★