OT, ICS/SCADA 환경을 위한 산업용 보안스위치, 한드림넷 SG5000 시리즈
상태바
OT, ICS/SCADA 환경을 위한 산업용 보안스위치, 한드림넷 SG5000 시리즈
  • 석주원 기자
  • 승인 2022.10.07 15:25
  • 댓글 0
이 기사를 공유합니다

제로 트러스트 보안을 위한 네트워크 제어 기술

[자료 제공=한드림넷]

 

OT, ICS/SCADA(Supervisory Control And Data Acquisition, 감시 제어와 데이터 수집) 환경에서의 가장 중요하고, 큰 변화가 있는 분야는 바로 네트워크 분야라 할 수 있다.

OT 환경에서 ICS의 네트워크 통신은 초기에는 제조사별로 독자 통신 프로토콜과 매개체를 사용하여 이기종 간 통신이 쉽지 않았다. 하지만 근래 모드버스(Modbus-TCP) 등 OT 산업에 특화된 표준 프로토콜 사용의 확대와 더불어 IT 환경의 표준 통신 프로토콜까지 그 사용 범위가 확대되어 관리적 통신이 가능하도록 점차 변하고 있다.

OT 환경은 IT 환경과 달리 별도의 프로토콜을 사용하는 전용 장비와 ICS를 위한 폐쇄망으로 구성되어 보안 강화를 위한 패치나 업데이트 등에 제약이 따른다. 이에 더해 ICS와 PLC(Programmable Logic Controllers), 필드 장치들은 IT 통신 프로토콜 지원 범위가 확대되고, IoT 기기 및 센서의 사용이 빠르게 증가하고 있어, IT 산업의 사이버 보안 위협이 직접적으로 OT 영역으로 옮겨가고 있다.

이러한 변화로 OT 환경에서 보안 사고 발생 시, 어디에서 사고가 생겼는지 감지하기가 어렵고, 설령 이를 감지한다 하더라도 시스템 가동을 우선하고 있는 현장 운영자의 입장에서는 이러한 문제를 해결하기가 쉽지 않다. 더구나, 해당 사고가 네트워크 문제에 의한 보안 사고인지 설비·기기 고장으로 발생한 사고인지 식별하기도 힘들다.

“측정할 수 없는 것은 관리할 수 없다”는 말과 같이 OT 네트워크, 제어망 보안을 위해서는 네트워크 가시성을 우선 확보하는 것이 가장 중요하다.

이를 위해서는 ▲전송 데이터의 위변조 방지 및 중요 데이터 유출 방지를 위한 ‘전송 데이터의 보호’ ▲네트워크의 실시간 현황 파악 및 내부 단말의 가시성 확보를 위한 ‘네트워크와 단말의 통합 모니터링’ ▲보안 위협으로부터 단말을 보호하고 서비스의 연속성 보장을 위한 ‘이기종 단말에 대한 위협 해소’가 OT 보안을 위한 중요 과제라고 할 수 있다.

한드림넷 화이트리스트 보안스위치 ‘SG5000 Series’
한드림넷 화이트리스트 보안스위치 ‘SG5000 Series’

 

OT 보안에 최적화된 화이트리스트 보안스위치

한드림넷의 화이트리스트 보안스위치 ‘서브게이트 5000 시리즈(SG5000 Series)’는 ICS, OT 환경을 위한 내부 네트워크 보안 솔루션이다. L2 스위치에 국제 산업용 표준 프로토콜인 Modbus를 내장해, 기본 통신 장비를 기반으로 SCADA/ICS와 같은 운영 시스템의 일부가 되어 감시 제어와 보안까지 하나의 시스템으로 운영할 수 있다.

이 제품은 한드림넷과 K-water(한국수자원공사)가 공동으로 기술을 개발하고, 시범 사업 및 성과공유제를 통해 실제 제어 시스템 환경에서 검증된 솔루션으로 장비 성능 시험, 운영 적합성 시험, 보안 적합성 시험을 통과했다. 이와 함께 원천 특허 기술과 KC인증 등 OT/ICS 보안을 위한 안정성과 우수성을 확보했다.

 

제로 트러스트 전략 기반 화이트리스트 보안 기술 적용

서브게이트 5000 시리즈는 제로 트러스트 전략에서 각광받는 기술 중 하나인 화이트리스트 기반 보안 기술을 활용하여 내부 사용자 또는 단말의 권한에 따라 통신 경로(WhiteList)를 제한하여 허용된 경로 외 모든 통신을 차단한다.

화이트리스트 보안은 허가받은 사용자라도 권한과 목적에 따라 안전이 증명된 것만을 허용하는 통신 방법으로 폐쇄망, 산업 제어 설비망, 보안망 등에 활용될 수 있으며 점차 고도화, 지능화되는 보안 위협에 효율적으로 대처할 수 있는 방안을 제공한다.

예를 들어 웹서버, ERP, 그룹웨어와 같은 시스템과 제어 설비, 생산 설비와 같은 주요 시설은 그 용도와 성격이 확연하게 구분된다. 사용자의 권한 또는 업무 유형에 따라 접근할 수 있는 시스템은 엄격하게 구분되어야 한다.

하지만 현재 네트워크 구성에서는 사용자 또는 서비스 프로토콜에 따라 네트워크 경로를 제어할 수 있는 방법이 없다. 보안 위협의 가장 큰 요인은 내부 사용자이며 한정된 자원 속에 보안을 집중해야 할 곳을 정하기 어렵기 때문이다.

 

산업용 네트워크 환경에서 눈에 보이지 않는 보안 위협 해결

화이트리스트 보안스위치는 제어 시스템에서 사용하는 산업용 표준 프로토콜(Modbus-TCP)을 지원해 별도의 보안을 위한 추가 설비 없이 기 운용 중인 관리 시스템에 적용할 수 있다.

일반 계측 장비와 동일하게 HMI(Human-Machine Interface, 공장 자동화 운영 소프트웨어)에 등록하여 한 화면에서 보안스위치를 감시 제어할 수 있으며, 이를 통해 네트워크 실시간 현황 파악과 보안 위협 감지 및 알림이 제공되어, 네트워크 감시 및 해킹 여부 등 OT 환경에서 네트워크 가시성을 확보할 수 있다.

더불어 내부 네트워크 외에도 원격지 네트워크에도 동일한 보안 정책을 적용하여 단말의 이동, 부서 이동 등 다양한 환경 변화에서도 일관된 보안 정책을 유지할 수 있다.

또한, 네트워크 스위치 기반의 IP 관리 및 접근 제어 기술로 제어 시스템의 네트워크에 비인가 단말의 접근을 차단할 수 있으며, 이를 통해 주요 전송 데이터에 대한 보호와 정보 유출을 방지할 수 있다.

화이트리스트 보안스위치는 기존 PLC와 동일하게 작업이 가능하여 현장에서 손쉬운 설비 보안 및 네트워크 관리를 할 수 있다.

보안 사고 발생 시 일반 직원들도 HMI 화면을 통해 바로 보안 사고인지, 네트워크 장애인지 빠르게 파악해 보안 사고가 발생한 노드를 끊어버리거나 아니면 고장 장비를 대체하는 등 즉각적인 대응으로 사고 확대 방지 및 초동 조치가 가능하며, 독자적 보안 능력과 가시성 제공으로 빠른 현장 사고 원인 분석을 제공한다.

OT, ICS/SCADA환경을 위한 화이트리스트 보안스위치 구성도
OT, ICS/SCADA환경을 위한 화이트리스트 보안스위치 구성도

 

네트워크 기반의 현실적 대응 방안 제공

한드림넷의 화이트리스트 보안스위치는 K-water와 ‘산업용 보안 L2스위치’에 대한 성과공유제를 성공적으로 완료하면서 OT/ICS 보안을 위한 성공 사례를 구축했으며, 관련 기술을 바탕으로 국내외 특허 등록 및 서울 국제발명전시회에서 대상을 수상했다.

또한, 정보 보호 시스템, 네트워크 장비 등 IT 제품에 대한 국가용 보안 요구 사항을 만족하여, 국가정보원 ‘보안기능확인서’도 확보해 정부, 공공 기관에서 도입 시 별도의 보안성 평가 없이 운영할 수 있다.

외부에서 가장 먼저 접속하는 장비인 네트워크 스위치(Layer 2)를 화이트리스트 보안스위치로 교체하는 것만으로 ▲비인가 IP 사용자의 통신망 접속을 원천적으로 차단하고 ▲이더넷 구간 암호화로 통신 데이터 탈취 시에도 위조와 변조가 불가능하도록 하였으며 ▲내부 통신 경로를 제어해 허용된 통신 이외 다른 시스템에 접속하기 위한 통신은 차단하도록 하는 등 핵심적인 보안 시스템을 구축할 수 있다.

특히, 서브게이트 5000 시리즈는 기존 운영 시스템의 일부분이 되어 한 몸처럼 운영되며, 손쉬운 인터페이스를 통해 관리자나 운영자가 쉽게 시설에 대한 감시, 제어를 할 수 있다.

타 산업용 보안 장비와 비교해 도입이 간편하고 전문화된 운영 기술이 필요하지 않아 관리자나 운영자에게 안전하고 편리한 네트워크 운영 환경을 제공한다. 시설 관리 비용 감소 등 도입/운영 비용 절감의 효과도 누릴 수 있다.



댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
0 / 400
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.