* 사업 등 관련 문의: T) 02-322-4688, F) 02-322-4646, E) info@wikisecurity.net

A정유사 공정제어시스템 컨설팅사례

[ 고객사 ]

A정유회사 (정유회사)

[ 프로젝트 배경 및 주제 ]

고객사는 석유산업 분야의 대표적인 기업으로서 지방에 보유한 대형 정유공장의 공정제어시스템에 대한 보안성을 확보하기 위하여 국제수준의 객관적 관련표준을 바탕으로 정보보호 현황을 파악하여 개선방안을 도출하고 단계적 개선전략을 수립해야할 필요성이 대두되어 이에 대한 컨설팅을 의뢰하였다.
공정제어시스템은 일반기업의 정보시스템과 상이한 구성요소들이 있기 때문에 국제적 수준의 표준화된 기준을 적용하게 되었으며, 미국 상무부(Dept. of Commerce) 산하 기관인 국가표준기술연구소인 NIST SP800-82에서 정의하고 있는 표준권고사항들을 테일러링하여 20여 도메인의 정보보안 항목을 적용하였다.

[ 프로젝트 기간 ]

2013년 3개월간 수행

[ IT 및 정보보안 환경 ]

  • 비즈니스 및 IT 환경

고객사의 주요 사업영역은 석유 정제와 석유화학 생산으로, 휘발류, 경유, 등유, 중유, 윤활유, 방향족 제품, PP 등의 제품을 생산하는 대표기업이다.
고객사의 정유공정을 위한 공정제어 시스템은 DCS, PLC, 공정SCADA, VMS 등과 같은 시스템으로 구성되어 있으며 네트워크, 서버, 보안시스템 등의 IT인프라를 갖추고 있다.

  • 정보보호 환경

미국, 이란 등의 SCADA 해킹에 대한 이슈로 인하여 정보보안 업무를 전담하는 조직체계를 갖추고 있으며, 본사와 공장간의 정보보안에 대한 이슈와 개선방안을 공유하기 위한 원활한 커뮤니케이션을 위해 노력하고 있었으나 내부 조직이라는 점과 전문성에는 한계가 있었다.

[ 주요 Activity와 산출물 ]

수행 단계 주요 수행 내용 결과 산출물
보안진단 기준 정비 - NIST SP800-82와 연계된 SP800-53에 근거한 보안 진단 기준 개발
- 공장환경과 여건을 고려한 보안진단 및 평가기준 정비
- 프로젝트 수행계획서
- 공정제어시스템 보안수준 분석 기준표
본사 및 공장
정보보호 현황파악
- 각 도메인별 문서검토, 현장실사, 증적확인 등 현황분석
- 현황분석 결과를 바탕으로 도메인별 수준평가 및 분석
- 정보보안 수준 현황분석서
(20여 개 도메인별)
개선과제 및
이행방안 수립
- 보안진단 결과 발견된 문제점에 대한 원인분석
- 향후 2년간의 개선과제 도출 및 이행방안 수립
- 개선과제별 로드맵 수립
- 개선과제 이행계획서

* 산출물 예시: 공정제어 보안진단 항목, 공정제어시스템 보안진단 결과 보고서

[ 프로젝트 CSF ]

  • 국제 표준가이드(NIST SP800-82 등)에 대한 정확한 이해
  • 다양한 공정제어시스템의 구성 및 프로토콜에 대한 이해
  • 공장현장의 환경과 여건을 고려한 개선계획 수립
  • 본사와 공장간의 정보보안의 필요성에 대한 공감대 형성
  • 정보보안 개선방안에 대한 재원확보, 역할과 책임 공유 및 협조체계 확보
  • 최종 협의된 정보보안 이행계획에 대한 지원체계의 확보와 지속적 모니터링과 추적관리