IT·OT 융합이 IIoT와 인더스트리4.0에 의해 추진됨에 따라 ODVA는 EtherNet/IP 및 기타 CIP 네트워크에 연결된 디바이스의 방어기능을 강화할 필요성을 인식했다. 이 추가된 접근방식은 심층적인 아키텍처의 최종방어 수준이다. 이것의 최종적인 목표는 벤더가 상호운용 가능한 EtherNet/IP 디바이스를 구축할 수 있도록 하는 것이다.

 

이런 디바이스는, 벤더가 자신을 방어할 수 있는 것과 그 디바이스 간의 통신 및 서드파티(해당 분야에 호환되는 상품을 출시하는 회사)와의 통신을 가능케 한다. 이 접근 방식은 ODVA의 사이버보안 EtherNet/IP 사양에 대한 향상된 CIP 보안을 통해 실현하고 있다.

 

 

소개

 

산업 자동화 네트워크는 원래 원격 I/O(Input/Output)장치의 배선을 단순화하고 배선비용을 절감하기 위한 수단으로 개발이 되었다. 시간이 지남에 따라 이러한 디바이스의 리모트 진단과 설정을 가능하게 하기 위해 이것의 접속이 진화했다.

 

산업 공통 프로토콜(CIP™/ Common Industrial Protocol/ODVA 핵심 프로토콜 평준화 소프트웨어)는 산업용 장치인 컨트롤러(controller/slave용), 액추에이터와 역시 상위 장치가 되는 컨트롤러(controller/master용) 간의 연결을 제공하는 피어 투 피어(peer-to-peer) 객체지향 프로토콜이다. CIP는 주로 다음의 두 가지 목적을 갖고 있다.

 

· 디바이스와 관련된 제어 지향, 입·출력(I/O) 데이터의 전송

· 제어되는 시스템과 연관된 기타 정보(설정 파라미터 및 진단 등)의 전송

 

이들 네트워크는 물리적으로 다른 네트워크와 격리되어 있으며 물리적 수단인 잠금 문(locked doors) 등에 의해 보호될 수 있는 지역에 한정되어 있어, 부정 액세스를 감시할 수 있기 때문에 안전한 것으로 간주되었다. 시간이 지남에 따라 이러한 고립된 네트워크는 생산성 향상, 자산 활용, 에너지절약 및 의사결정 개선을 위한 정보교환을 목적으로 기업시스템과 연결되기 시작했다. 이 접속의 가치는 명백하지만 보안상 위험이 따른다. 이러한 위험에는 지적재산권의 도난, 플랜트 시스템의 오조작, 플랜트 운영의 중단, 기기의 손상 등이 포함된다.

 

이러한 보안문제를 해결하기 위해 오랫동안 심층적인 보안아키텍처를 채택하는 것이 권장되어 왔다(그림1 참조). 이 아키텍처는 여러 보안계층의 공격에 대해 더욱 탄력적이라는 사고를 기반으로 한다. 가장 안쪽 레이어의 자동화 디바이스는 안전한 상태를 유지하면서 어느 시점에서든 하나의 레이어가 손상될 수 있다.

 

CIP 보안의 목표는 심층방어 아키텍처에서 CIP 접속 디바이스의 방어능력(최종 방어수준)을 향상시키는 것이다. CIP 보안의 최종 목표는 자신을 보호할 수 있는 CIP 디바이스를 구축하는 것이다.

 

완전 자기방어형 CIP 디바이스에는 다음 기능이 있다.

 

· 변경된 데이터의 거부-통합성

· 신뢰할 수 없는 사용자 또는 신뢰할 수 없는 장치에서 보낸 메시지 거부

· 허용되지 않는 작업을 요청하는 메시지 거부

 

CIP 보안은 다음과 같은 기본적인 전제조건을 가지고 있다

 

· 디바이스에 접속되어 있는 네트워크는 일반적으로 신뢰할 수 없는 것으로 간주된다

· 네트워크에 접속되어 있는 모든 엔티티(entities/사람과 디바이스 모두)는 인증될 때까지 신뢰할 수 없는 것으로 간주된다.

· 디바이스에 대한 네트워크 액세스는 디바이스에 의해 허가될 때까지 허용되지 않는다.

· 디바이스에 대한 물리적 액세스는 신뢰할 수 있는 개인으로만 제한이 된다(이 사양에서는 적용되지 않는다).

 

보안 위협과 공격 벡터

 

CIP 디바이스에서 발생할 수 있는 보안 위협과 공격 벡터를 이해하는 것이 중요하다. 그러한 위협을 완화하기 위해 복종해야 한다. 스트라이드(STRIDE)란 큰 걸음/보폭의 뜻이나 마이크로소프트가 개발한 시스템 중 하나이다. 보안 위협에 대해 생각하며 모델링한다. 6개의 보안 위협에 대한 니모닉(mnemonic/서명을 위한 개인의 “키(key)”를 말함)을 제공한다. 분류위협의 카테고리는 다음과 같다.

 

· 사용자ID-스푸핑 (Spoofing of user identity)

· 조작 (Tampering)

· 거부 (Repudiation)

· 정보공개 (Information disclosure, 프라이버시 침해 또는 데이터 유출)

· 서비스거부 (Denial of Service)

· 특권상승 (Elevation of privilege)

 

“STRIDE”라는 이름은 사실 위에 나열된 6가지 위협 카테고리의 영문 첫 글자를 따서 나열하면 형성되는 알파벳 맞춤에서 형성된 단어의 나열이다. 처음에는 위협 모델링을 위해 제안되었지만, 현재는 더욱 폭넓게 사용되는 보안용어가 되고 있다. 마이크로소프트가 개발한 STRIDE 모델은 보안 위협을 평가하는 데 사용할 수 있는 하나의 툴로 보면 된다.

 

 

표 1은 각 위협의 유형별로 적용되는 다양한 STRIDE 위협과 보안 속성을 나타낸 도표이다. 표 1의 STRIDE 위협 유형에 대한 일반적인 설명을 바탕으로 표 2에 CIP 기반 디바이스에 적용될 수 있는 위협을 나타내었다.

 

 

STRIDE를 사용할 경우 표 3의 위협 완화 항목은 표 2에 나타난 위협을 완화하기 위해 사용할 수 있는 기술을 나타낸다.

 

CIP 보안 접근법

 

CIP 보안은 CIP 디바이스의 보안관련 요건과 기능을 지정한다. CIP 보안은 EtherNet/IP 사양의 Volume8로 구성되어 네트워크에 의존하지 않는 자료와 CIP 네트워크 고유의 자료(EtherNet/IP 등)를 포함한다.

 

EtherNet/IP 접속 디바이스는 엔터프라이즈 네트워크 접속에 의한 리스크가 가장 크기 때문에 현시점에서는 EtherNet/IP에 초점을 맞추고 있다. 현재의 사양에서는 EtherNet/IP 통신에 안전한 전송을 제공하기 위한 메커니즘, 일반적인 동작 및 요건을 정의하고 있다. 추가 보안 속성에 대처하기 위해 CIP 보안자료를 사양서에 추가했다.

 

 

모든 CIP 보안 대응 디바이스가 모든 CIP 보안의 속성을 지원하는 것은 아니지만, CIP 보안 대응 제품의 고객은 구매 중인 제품에서 지원되는 보안 속성을 확인하는 것이 매우 중요하다. 고객이 특정 보안기능 세트를 지원하는 제품을 쉽게 식별할 수 있도록 보안 프로파일 세트가 제안되어 표 4에 제시되어 있다.

 

표 4의 EtherNet/IP 기밀 프로파일은 현재 사양에서 지원되는 유일한 프로파일이다. 이 표에서의 CIP 인증 프로파일은 지원대상이 될 수 있는 미래 프로파일의 예로 제시되어 있다.

 

또한, 표 4의 각 보안 프로파일은 앞에서 설명한 위협을 완화하는 보안속성을 제공하는 것을 표 5와 같은 목적으로 한다.

 

다양한 CIP 보안 프로파일의 개발에는 몇 가지 중요한 가이드라인이 있다.

 

· EtherNet/IP 보안 프로파일은 CIP 응용 프로그램 레이어에 대한 변경 없이 EtherNet/IP의 안전한 전송 메커니즘을 제공한다.

· CIP 보안 프로파일(향후)은 사용자 인증과 같은 추가 보안 속성을 제공하기 위해 CIP를 강화하고 다른 비 EtherNet/IP 네트워크를 지원하도록 CIP 보안을 잠재적으로 확장할 것이다.

 

일반적으로 IP 보안 메커니즘에는 이하의 속성이 있어야 한다.

 

· 가능하면 사용이 입증된 개방형 보안 표준 활용

· 다양한 위험 프로파일 및 디바이스 기능과 호환되는 보안 옵션 및 확장 가능한 속성 제공(예: 필요한 경우 암호화 적용 등)

· 기존 네트워크 인프라 구조(스위치, 라우터, 방화벽 등)와의 호환성 극대화

· 고객 암호화로 불필요로 보안을 최대화하고 수입 및 수출제한 최소화

· 구현은 가능한 한 다양한 OS 플랫폼(임베디드, PC, Linux 등)을 지원하는 상용 및 오픈 소스로 이용할 수 있어야 한다.

· CIP 보안을 지원하는 디바이스는 같은 네트워크상에서 CIP 보안을 지원하지 않는 디바이스와 상호운용할 수 있어야 한다. 네트워크상에서 이러한 디바이스의 혼재를 허가 또는 허가하지 않는 것은 최종 사용자의 설정에 달려있다. 디바이스를 시큐어 통신과 비 시큐어 통신과 혼재시키는 경우는, 디바이스와 네트워크의 설정을 적절히 관리하는 것이 최종 유저의 책임이다. 사용자는 방화벽이나 물리적 보안수단 등의 추가 제어를 제공할 수 있다.

 

· 실제 구현은 IPSec(Internet Protocol Security) 또는 SSL(Secure Sockets Layer) 기반 가상사설망(VPN) CIP 보안 등의 다른 IP 기반 보안 프로토콜과 호환되어야 하며 원격 액세스 응용프로그램에 대처하기 위해 VPN 연결을 통해 실행할 수 있어야 한다.

 

 

그림 2는 보안이 없는 기존 네트워크 프로토콜(CIP, EtherNet/IP 및 IP)과 CIP 보안의 일부로 제공되는 보안 강화를 지원하는 프로토콜 간의 관계를 보여 준다. 그림 2에서 알 수 있듯이, CIP 프로파일에 정의되어 있는 메커니즘은 EtherNet/IP 프로파일을 기반으로 구축되고 EtherNet/IP 트래픽에 대한 보안 전송을 사용할 것으로 예상된다.

 

보안 기술

 

CIP 보안은 이하와 같은 사용 실적이 있는 오픈 보안 기술을 폭넓게 사용한다.

 

· X. 509v3 디지털 증명서를 사용하여 사용자 및 디바이스에 암호화로 안전한 ID 제공

· EtherNet/IP 트래픽의 안전한 전송을 제공하는 데 사용되는 TLS(전송 계층 보안) 및 DTLS(데이터그램 전송 계층 보안) 암호화 프로토콜

· EtherNet/IP 트래픽에 데이터 무결성 및 메시지 인증을 제공하는 암호화 방법으로서의 해시(Hashes) 또는 키 해시 메시지 인증 코드(HMAC)

· 승인되지 않은 당사자가 EtherNet/IP 데이터를 읽거나 보는 것을 방지하는 방식으로 메시지 또는 정보를 인코딩하는 수단으로서의 암호화

 

사양 가이드

 

CIP 보안은 CIP 디바이스의 보안 관련 요구사항 및 기능을 지정하고 네트워크에 독립적인 재료 외에 CIP 네트워크에 고유의 재료(EtherNet/IP 등)도 포함한다. 현재 형식에서 CIP 보안 사양에는 이하의 자료가 포함된다.

 

· 1장 : CIP 보안 개요 - 이 기술 개요에 기재되어 있는 정보가 중복되어 있다.

· 2장 : CIP 보안 - 특정 CIP 네트워크와 독립적인 CIP 보안 요구사항 및 동작. 현재 비어 있는 이 장에서는 CIP 수준의 인증과 권한 부여에 대해 설명한다.

· 3장 : EtherNet/IP 보안 - EtherNet/IP에 특정한 요구사항 및 동작. 기본 자료는 TLS(Transport Layer Security/애플리케이션과 애플리케이션의 통신보안을 위한 것) 및 DTLS(TLS의 기능을 UDP 계층 위에 그대로 구현한 암호화 프로토콜)를 사용하여 EtherNet/IP를 통한 보안 전송을 위한 메커니즘이다.

· 4장 : 시운전 및 구성 - 장치 보안 시운전 및 구성과 관련된 요구 사항 및 동작.

· 5장 : 개체 라이브러리 - 보안과 관련된 CIP 개체.

· 6장 : 인증서 관리 - 장치에서 X.509 인증서 사용과 관련된 요구 사항 및 동작.

· 7장 : EDS 파일 - 보안 기능과 관련된 EDS 파일 내용.

· 8장 : 보안 프로파일 - 각 보안 프로필을 정의하는 요구사항 및 권장사항의 명시적 정의.