산업 보안 국제 표준 IEC 62443

네트워크로 연결되고, 자동화 및 제어 인프라에서 사용되는 하드웨어 및 소프트웨어가 표준화되어 보급됨에 따라, 잠재적인 사이버 위협과 위험성이 증가하고 있습니다. 제품 및 시스템 안전의 필요성은 지속적으로 인식되어 왔으며, 인간 근로자와 협력하는 로봇의 접근성이 증가함에 따라 안전한 작업의 필요성이 증가하고 있습니다. 생산라인 및 주요 기반시설이 점차 디지털화되고 통합되면서 잠재적인 사이버 보안 위험성이 급격히 증가하는 가운데, 자산 소유자 및 운영자는 IT 인프라, 서비스 및 관련 프로세스의 보안에 대한 확신이 필요합니다.

산업 보안의 중요성

산업용 로봇이 보다 똑똑해지고, 더 잘 연결되고, 인터넷에 연결되면서, 로봇의 안전한 사용과 배치를 저해하고, 지적 재산권 손실, 생산 지연 및 물리적 피해를 줄 수 있는 사이버 보안 관련 위협이 증가하고 있습니다. 물리적 생산 공정에 있어 컴퓨터화된 모니터링이 통합되고 제어기, 센서, HMI 등을 포함하는 복잡한 사이버 물리 시스템이 증가함에 따라 새로운 공격의 기회가 되기도 합니다. 시스템의 구성 요소(제품 등) 또는 시스템 그리고 설계부터 수명 주기 전체에 취약성이 나타날 수 있으므로, 처음부터 보안을 미리 계획하고 실행해야 합니다.

사양에서 설계, 생산, 유지보수에 이르기까지, 공급자는 연결된 기기의 사이버 보안을 어떻게 최적화할 수 있는지 고려해야 합니다. 시스템 통합업체는 자동화된 솔루션에 생길 수 있는 위험을 사전에 고려해야 하며, 공급자와 통합자는 대부분의 잠재적 구성과 위협을 알 수 없는 경우에도 위험을 완화해야 합니다. 나아가 잠재적 구매자가 제품 공급업체와 통합업체의 보안 능력을 신뢰하기 위한 투명성 또한 요구되고 있습니다.

IEC 62443란?

국제 표준 IEC 62443은 산업 통신망의 위험 완화를 목적으로 고안되었으며, 사이버 보안에 대한 전체적인 접근방식을 제공합니다. 현재는 산업 전반에 걸쳐 모든 종류의 플랜트, 설비, 시스템에 대한 선도적인 산업 사이버 보안 표준으로 간주됩니다. IEC 62443은 제품/구성요소 공급자, 시스템 통합자/공급자 및 자산 소유자에게 적용됩니다.

정의된 프로세스 요건들을 통해, 표준은 모든 적용 가능한 보안 영역이 구조화된 방식으로 다루어 지도록 보장합니다. 여기에는 사양, 통합, 운용, 유지보수 및 폐지 등 전 단계에 걸친 사이버 보안의 체계적인 접근방식이 포함됩니다. 관련 프로젝트 범위에 채택된 IEC 62443은 제품 및 시스템 수명 전체에 걸쳐 사이버 보안을 위한 기반을 마련합니다. 나아가 제 3자 인증은 구성요소 및 시스템이 업계 모범 사례에 따라 체계화되고, 일관성 있는 사이버 보안 접근방식을 두고 있음을 입증하는데 매우 효과적입니다. 

TÜV SÜD 제공 서비스

TÜV SÜD는 IEC 62443 인증을 최초로 제공한 회사 중 하나입니다. 전 세계의 많은 공급업체 및 시스템 통합업체는 표준에 명시된 적용 가능한 요구사항 준수 여부를 확인하기 위해 TÜV SÜD와 파트너십을 맺고 있습니다.

TÜV SÜD가 제공하는 IEC 62443 서비스 포트폴리오는 아래와 같습니다.

제품 공급자(Product supplier)

• 공정: IEC 62443-4-1
• 제품(부품): IEC 62443-4-1 / IEC 62443-4-2
• 제품(제어 시스템): IEC 62443-4-1 / IEC 62443-3-3

시스템 통합자(System Integrator)

• 공정: IEC 62443-2-4
• 제품(Blueprint): IEC 62443-2-4 / IEC 62443-3-3

TÜV SÜD는 제품 공급자에게 IEC 62443-4-1 "보안 제품 개발 수명 주기"에 근거한 인증 서비스를 제공합니다. 이 표준은 관련 부품 및 제어 시스템의 개발 및 유지관리와 관련된 공급자의 보안 프로세스에 적용됩니다. 해당 인증은 IEC 62443-2-4 "서비스 제공자를 위한 보안 프로그램"에 근거한 시스템 통합자에게 제공됩니다. 이 경우, TÜV SÜD 전문가가 일반적인 통합 프로세스의 적합성 뿐 아니라 참조 아키텍처나 청사진에 대한 보안 프로세스 준수 여부를 검증할 수 있습니다.

제품 개발 및 시스템 통합 시, 프로세스 측면 외에, IEC 62443은 IEC 62443-4-2와 IEC 62443-3-3에 기술된 구성요소 및 시스템에 대한 기술적 보안 요건을 명시하고 있습니다. 

왜 TÜV SÜD인가?

TÜV SÜD는 산업 프로세스에 대한 폭넓은 경험과 산업 사이버 보안에 대한 전문성을 통해 보안 프로세스 및 솔루션을 평가할 수 있는 제 3자 인증기관 입니다. 또한 보안 및 안전 측면을 모두 적용하는 위험 분석 방법론은 이미 많은 현장에서 입증된 바 있습니다.

TÜV SÜD의 전문가들은 국제 표준화 위원회 활동에 적극 참여하여 최신 규제 개발에 대한 통찰력을 갖고 있습니다. 업계 전반에 걸친 안전 운영을 강화하겠다는 전문가들의 노력으로 이제 TÜV SÜD 인증 마크는 안전, 보안, 신뢰의 전 세계적으로 명실상부한 상징이 되었습니다.