산업용 사이버 보안, 임베디드 하드웨어 플랫폼 기반이 중요한 이유

[CCTV뉴스=신동훈 기자] 적절한 보안조치 없이 IIoT(Industrial Internet of Things)와 연결된 자산은 사이버 공격의 위험에 노출될 수 있다. 재정적 손실이나 번거로운 문제들이 유발되는 것 외에도 산업 시스템이 부당하게 조작되면, 작업자나 일반 사람들의 부상이나 사망을 초래할 수 있다. 안전에 민감한 시스템은 적절한 사이버 보호가 이뤄지지 않는다면 완벽하게 안전하다고 할 수 없다. 커넥티드 사이버-물리적 시스템 개발자는 제품에 대한 견고한 보호 기능을 구축하기 위해 빠르게 대응하고 있다. 모든 사람들이 사이버 보안을 운에 맡길 수 없다는데 동의하고 있지만, 개발자들이 얼마나 높은 수준의 보안을 제공할 것인지에 대해서는 어떻게 판단해야 할까? 또한 시스템 비용에서 사이버 보안 대책에 어느 정도를 할당할 수 있을지, 그리고 ‘이 디바이스가 충분히 안전한가’에 대해 어떻게 확인할 수 있는지 등이 해결되어야 한다.

글 웨슬리 스캐핑턴(Wesley Skeffington) 자일링스 산업 및 메디컬 부문 수석 개발자

이러한 질문은 보안 엔지니어들이 표준에 대응하고, 적응하는데 겪고 있는 어려움이다. 또한 IEC 62443이 발행되면서 <1. 위협 모델의 스펙트럼, 2. 각 표준이 정의한 보안 레벨에서 요구되는 대응책 등>이 변경되었다. 이 표준을 통해 산업용 보안 엔지니어는 공유된 성능 지수를 확인할 수 있다. 입증 가능한 보안 솔루션을 찾는 기업들이 점점 늘어나면서 이러한 유형의 인증은 고객이 정의한 요구사항과 맞물리고 있다.

이 표준의 IEC 62443-4-2 부분은 컴포넌트 레벨의 플랫폼 요구사항을 정의하고 있으며, 이는 FPGA 기반 SoC(System on Chip)와 같은 구성 가능한 하드웨어로 구현 또는 가속화될 수 있다.

보안 및 안전

사이버 보안은 안전 시스템을 포함한 시스템의 모든 측면에 영향을 미친다. 이 공격 벡터는 슈나이더 일렉트릭(Schneider Electric)의 Triconex SIS(Safety Instrumented System) 상에서 확인되었다. 다행스럽게도 성공하지는 못했지만 사이버 목표로 안전 시스템에 대한 인식을 높였다. 사이버 공격이 시스템 동작을 수정하려고 시도할 때, 사이버 보안이 이뤄지지 않는다면 시스템의 기능을 안전하게 유지할 수 없다. 사이버 보안 시스템을 구현할 수 있다 하더라도, 기술적으로는 이를 IEC-61508에서 정의한 기능 안전 시스템이라 할 수 없다.

보호 및 대응

OT(Operational Technology) 도메인의 임베디드 컨트롤러는 표준 IT 보안 솔루션을 활용할 수 없다. IT 시스템이 기밀성을 우선시하는 반면, OT 장비는 가용성을 최우선시 하기 때문이다. 가용성은 하 드웨어 성능에서 시작된다.

수명주기에 따른 하드웨어 보안

커넥티드 산업용 장치에 대한 모든 잠재적인 위협 요소를 고려하기 위해서는 보안 수명주기를 [그림 1]처럼 4단계로 고려하는 것이 좋다.

강력한 보호기능(Protect)은 기본적인 전제 조건이다. 특히 새롭게 구축된 장치의 경우에는 현재 기술이 도달할 수 있는 수준만큼 강력해야 한다. 하드웨어 및 소프트웨어를 비롯해 부팅 시 또는 런타임 동작을 모두 커버하는 여러 계층의 보호 기능을 배치하여 고도의 방어가 가능하도록 해야 한다.

그러나 장치 설계자는 보안 스탠스가 갈수록 저하되면서 결국에는 성공적인 해커의 공격이 시도될 것이라는 가정하에 작업을 해야 한다. 따라서 수명주기의 다음 단계는 감지(Detect) 기능이 되어야 하며, 이는 안전한 인증 및 측정 기술을 사용하여 의도하지 않거나 승인되지 않은 시스템 변경을 찾아내야 한다.

세 번째 단계는 탄력성(Resilience)이다. 이는 장치가 안전 작동모드로 전환한 다음, 운영자에게 상황을 알릴 수 있는 기능이다. 이는 공격 후에도 산업용 시스템이 계속 작동할 수 있도록 함으로써 안전 문제를 최소화하고, 가동중단 비용을 줄이는데 중요하다.

네 번째 단계는 보안 공격에 대한 세부 정보를 보고할 수 있는 장치를 만드는 것이다. 이러한 복원(Remediation) 단계를 통해 보안 패치를 적용하고, 유사한 필드 시스템의 보안 스탠스를 전반적으로 개선할 수 있다.

자일링스(Xilinx)의 구성 가능한 하드웨어는 신뢰할 수 있는 강력한 하드웨어 루트 및 통합 암호화 가속기, PUF(Physically Unique Function), 통합 보안 스토리지, 키-관리 기능을 비롯해 완벽한 보안 수명주기를 지원하는 기능을 갖추고 있다. 또한 자일링스의 IP 파트너는 FPGA 기반 모니터링 기능을 통해 주요 소프트웨어 애플리케이션의 감지 기능과 탄력성을 향상시킬 수 있는 MicroArx와 같은 FPGA 기반 보안 모니터링 기능을 제공하고 있다.

임베디드 디바이스 보호

시스템 보안에 사용되는 기술이 무엇이든지 이는 강력한 토대 위에 구축되어야 한다. [그림 2]에 나타낸 것처럼, 이는 Ukil, Sen & Koilakonda 가 2011년에 정의한 신뢰할 수 있는 임베디드 플랫폼 체인에서 시작된다.

자일링스의 징크(Zynq™) 울트라스케일+(UltraScale™+) SoC는 하드웨어 및 부팅 시 소프트웨어 레벨에서 강력한 보안 기반을 구축할 수 있도록 변경할 수 없는 디바이스 ID와 부트 ROM, 조작 방지 기능 및 eFuses 통합 보안 키 스토리지, 그리고 보안 하드웨어 로딩을 위한 비트스트림 인증 및 암호화 기능을 지원한다. 보호된 부트 펌웨어가 첫 번째 단계의 부트로더를 안전하게 부팅하고 실행한 다음, 변조가 발생했음을 나타내는 소프트웨어 무결성 손상이 감지되면 이 프로세스를 중단한다. 상위 레벨에서는 인증된 디지털 서명이 있는 OS 이미지만 로드된다.

시스템이 가동되면, 다른 디바이스와의 통신은 인증된 통신 채널을 사용해 보호되어야 하며, 통신 중 데이터를 보호하기 위해서는 암호화가 필요하다. 자일링스 FPGA는 안전하고 암호화된 통신을 지원하기 위해 RSA-SHA, AES와 같은 업계 표준 암호화 알고리즘을 위한 통합 하드웨어 가속기를 갖추고 있다. 또한 비휘발성 메모리(NVM) 칩과 같은 시스템의 다른 IC와의 데이터 교환은 사용자가 판독할 수 없는 디바이스 고유의 키를 통해 보호할 수 있다.

마지막으로 부팅 측정 및 애플리케이션 시작 측정, TPM(Trusted Platform Module) 사용과 같은 시스템 모니터링 기능도 지원된다. 체인 상의 이러한 링크는 완벽한 보안 아키텍처 상에서 각 디바이스의 동작 및 무결성을 보호하는데 모두 필요하다.

이러한 상호 연결된 보안 기능 레이어는 디바이스의 동작 상태를 보호하는 것뿐만 아니라 FPGA 하드웨어 설계 및 실행되는 SoC소프트웨어와 관련된 IP를 보호한다.

최상의 보안 사례 개선

국제 산업 제어 시스템 보안 표준인 ‘IEC 62443’이 발표되면서 장비 설계자들은 임베디드 시스템에 대한 최상의 보안 사례를 구현하고, 이해할 수 있게 되었다. TCG(Trusted Computing Group) 및 IIC(Industrial Internet Consortium)와 같은 조직 또한 실질적으로 IIoT 보안 사례를 체계화하기 위한 작업을 진행하고 있다.

TCG는 산업용 장비를 인터넷과 연결함으로써 직면하게 되는 위험을 인식하고, 이와 관련한 보안 지침을 개발하기 위해 ISG(Industrial Sub Group)를 구성했다. ISG는 IIoT 시스템에서 전통적인 IT 환경의 요구를 능가하는 보다 높은 수준의 안전성과 신뢰성, 탄력성에 대한 필요성을 인지하고, IIC 및 많은 공헌 기업들과 연계하여 IIC의 IISF(Industrial Internet Security Framework) 를 개발하는데 도움을 주고 있다.

자일링스는 IEC 62443 표준 입안에 도움을 주었으며, TCG의 ISG의 일원이자 TCG 및 IIC의 정회원으로 활동하고 있다. FPGA SoC 실리콘 및 디자인 툴에서 지원되는 중요한 보안 기능을 통해 사용자는 IEC 62443-4-2를 준수하는 산업용 제어 플랫폼을 구현하고, 시장 출시 시간을 단축할 수 있다. 또한 공급망 내에서 고객 키 및 디바이스 고유의 ID를 안전하게 설치할 수 있는 새로운 메커니즘도 도입되었다. IEC 62443-4-2에서 확인된 일부 중요한 보안 기능의 매핑과 자일링스가 이를 지원하는 방법은 [그림 3]에 나와 있다.

결론

오늘날의 산업용 제어 시스템은 점차 증가하는 사이버 공격에 대한 위협에 직면해 있다. 효과적인 보안 솔루션은 임베디드 하드웨어 플랫폼에서부터 시작되어야 한다. 강력한 하드웨어 인증 기능과 보안 부팅 및 소프트웨어 측정, 암호화 지원 기능은 공격받을 수 있는 노출 부분을 최소화하고, 각 디바이스의 무결성 입증 능력을 향상시키는 토대를 제공한다. 이러한 기술은 산업용 시스템을 보다 안전하게 유지할 수 있는 핵심 요소이다