[헬로티]
ODVA는 EtherNet/IP를 위한 사이버 보안 네트워크 확장 판인 CIP 보안 기능을 리소스 제한 장치를 위한 EtherNet/IP지원 사양에 추가한다고 밝혔다.
이제 CIP 보안은 접촉 기 및 푸시버튼과 같은 리소스 제한 장치에서도 장치 인증과 광범위한 트러스트 도메인 및 PSK(Pre-Shared Key)를 통한 장치 ID를 비롯해 장치 무결 성 및 데이터 기밀성을 제공할 수 있게 되었다. 또한 게이트웨이 또는 프록시를 통한 정책 적용을 비롯해 좁은 트러스트 도메인과 사용자 인증 등의 옵션을 사용할 수 있다.
인더스트리 4.0과 IIoT가 발전하고 있음에도 불구하고, 자동화 애플리케이션에 설치된 노드의 상당 부분이 여전히 이더넷을 사용하지 않고 있다. 비용 및 크기, 전력 등의 제약조건들은 EtherNet/IP가 네트워크 엣지로 확산되는데 장애요소가 되고 있다.
최근 단선 이더넷이 통합됨에 따라 하위 레벨 장치의 제약조건을 극복하고, 궁극적으로 EtherNet/IP를 확장할 수 있는 길이 열렸다.
EtherNet/IP에 더 간단한 장치들까지 추가하게 되면, 부가적인 원격진단 및 자산 정보, 매개변수화 기능 등의 이점을 얻을 수 있다. 또한 IT와 OT 융합이 가속화되고 있는 가운데, 네트워크에 더 많은 노드가 추가되면서 필수 자산과 사람에 대한 물리적 피해 및 재정적 손실을 보호할 수 있는 근본적인 장치 레벨의 보안 기능이 요구되고 있다.
새로운 CIP 보안 사양에는 리소스 제한 CIP 보안 프로파일과 EtherNet/IP 기밀성 및 CIP 사용자 인증 프로파일이 추가됐다. 리소스 제한 CIP 보안 프로파일은 EtherNet/IP 기밀성 프로파일과 유사하지만, 리소스 제한 장치를 위해 간소화됐다. 단말장치 인증 및 데이터 기밀성, 데이터 신뢰성 등의 기본 보안 측면은 동일하게 그대로 유지된다.
또한 액세스 정책 정보가 포함되어 있기 때문에 게이트웨이 같은 보다 기능이 풍부한 장치를 사용자 인증 및 리소스 제한 장치의 권한 부여를 위한 프록시로 사용할 수 있다. 리소스 제한 장치는 오버헤드가 낮은 UDP 통신에만 사용되기 때문에 CIP 보안 기능을 구현하기 위해 DTLS(Datagram Transport Layer Security) 및 TLS(Transport Layer Security) 대신 DTLS 지원만 필요하다.
EtherNet/IP 시스템 아키텍처 SIC(의 부회장인 잭 비소키는 “최근 CIP 보안 기능 업데이트를 통해 리소스 제한 장치에 대한 새로운 보안 기능이 추가됨으로써 악의적인 산업용 네트워크 공격으로부터 EtherNet/IP 장치를 보호할 수 있는 향상된 방어 체계를 갖출 수 있게 되었다” 고 말했다.
ODVA의 사장 겸 전무이사인 알 베이도운 박사는 “EtherNet/IP 네트워크의 더 많은 부분에 CIP 보안 기능을 적용함으로써 최종 사용자는 중요한 자동화 애플리케이션의 보안을 더욱 강화할 수 있다. 리소스 제한 장치를 위한 EtherNet/IP 사양에 CIP 보안 기능의 추가는 엣지 보안을 위한 필수 단계이다”라고 전했다.
이제 CIP 보안이 제공하는 보호 기능을 더 적은 필수 기능을 갖춘 리소스 제한 장치용 CIP 보안 버전을 통해 EtherNet/IP 네트워크에서 사용할 수 있게 되었다. 이를 통해 전력, 크기 및 비용 예산이 가장 작은 장치들을 안전하게 보호하고, EtherNet/IP 네트워크와 연결하여 통신 및 제어 기능의 이점을 누릴 수 있다.
