국가기반시설제어시스템사이버보안 그램으로써알려진사이버공격으로부터의감염사실을탐지하는데효율적이다. 따라서, 제어시스템을구성하는컴퓨터 ( 윈도우즈, 리눅스서버등 ) 에백신프로그램을설치하여악성코드의감염을막을수있도록해야한다. 하지만백신프로그램이업데이트되지않을경우, 새로운유형의악성

Similar documents
국가기반시설제어시스템사이버보안 발견날짜 ID 내 용 ICSA Alstom Grid S1 Agile의인증취약점존재 ICSA QNX의 Phrelay, Phwindows, Phditto 제품취약점다수발견

< FBBE7B0EDB3EBC6AE5FB5F0C6FAC6AEC6D0BDBABFF6B5E5C3EBBEE0C1A128BCF6C1A4292E687770>

2006_8_14 (8_17 updated) ms ¿ú(wgareg.exe) ºÐ¼® º¸°í¼�.hwp

*2008년1월호진짜

Æí¶÷4-¼Ö·ç¼Çc03ÖÁ¾š

Cloud Friendly System Architecture

Network Security - Wired Sniffing 실습 ICNS Lab. Kyung Hee University

TGDPX white paper

UDP Flooding Attack 공격과 방어

Microsoft PowerPoint - ch13.ppt


5th-KOR-SANGFOR NGAF(CC)

PowerPoint 프레젠테이션

Microsoft PowerPoint - thesis_rone.ppt

1153-淇敼.indd

1. 제품 개요 AhnLab Policy Center 4.6 for Windows(이하 TOE)는 관리대상 클라이언트 시스템에 설치된 안랩의 안티바이러스 제품인 V3 제품군에 대해 보안정책 설정 및 모니터링 등의 기능을 제공하여 관리대상 클라이언트 시스템에 설치된 V3

쇰슖쀜쌴쉜ì−¤í–œ ë³´ìŁ‹ìıfl구쇬íŁ�-1붕 개떒 ë°‘ 참조모듸-D06.hwp

인문사회과학기술융합학회

PowerPoint 프레젠테이션

산업제어시스템에서활동하는웜바이러스분석 - 트래픽과다유발및시스템셧다운등제어시스템에악영향 본보고서의전부나일부를인용시, 반드시 [ 자료 : 한국인터넷진흥원 (KISA)] 를명시하여주시기바랍니다.

Windows 10 General Announcement v1.0-KO

< 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지 국가별현황 2 - 대량경유지가탐지된유포지 TOP 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 9 3. 악성코

PowerPoint 프레젠테이션

Cisco SDN 3.0 DDoS DDoS Cisco DDoS Real Demo 2008 Cisco Systems, Inc. All rights reserved. 2


untitled

임베디드시스템설계강의자료 6 system call 2/2 (2014 년도 1 학기 ) 김영진 아주대학교전자공학과

KDTÁ¾ÇÕ-2-07/03


< FBFF9B0A320BEC7BCBAC4DAB5E520C0BAB4D0BBE7C0CCC6AE20C5BDC1F620B5BFC7E220BAB8B0EDBCAD283131BFF E302028C8A8C6E4C0CCC1F620BEF7B

°¡°Ç6¿ù³»ÁöÃÖÁ¾

T100MD+

<4D F736F F D D31312D30312D53572D30312DBBE7BFEBC0DABCB3B8EDBCAD5FBFDCBACEB9E8C6F7BFEB2E646F63>

시스템, 네트워크모니터링을통한보안강화 네트워크의미래를제시하는세미나 세미나 NetFocus 2003 : IT 관리자를위한네트워크보안방법론 피지피넷 /

Straight Through Communication

IP 심화 라우팅프로토콜적용시 라우팅테이블에서 이니셜이있는네트워크를설정하는것 : onnected 직접연결된네트워크를의미한다. 그러므로라우팅은 나는이런네트워크와연결되어있다. 를직접연결된라우터들에게알려주는것 1>en 1#conf t 1(config)#router rip 1

Microsoft PowerPoint ISS_ ( , , v2.1).ppt

Microsoft PowerPoint - 6.pptx

개인정보보호의 이해 및 안전한 관리 - 개인PC 및 스마트폰 개인정보보호-

ìœ€íŁ´IP( _0219).xlsx

<30372DB9DAB5BFB1D42DBBEABEF720C1A6BEEE20BDC3BDBAC5DB20BAB8BEC8C0BB20C0A7C7D120C6D0C5B62E687770>

Windows 8에서 BioStar 1 설치하기

USB 케이블만을이용한리눅스 NFS 개발환경 (VirtualBox) 최초작성 : 2010 년 10 월 21 일 작성자 : 김정현 수정내용 최초작성 by 김정현 스크립트추가, 설명보충 by 유형목 1. VritualBox

1_cover

기존에 Windchill Program 이 설치된 Home Directory 를 선택해준다. 프로그램설치후설치내역을확인해보면 Adobe Acrobat 6.0 Support 내역을확인할수 있다.

MF3010 MF Driver Installation Guide

歯한글사용설명서.PDF

개인정보보호의 이해 및 안전한 관리 - 개인PC 및 스마트폰 개인정보보호-

목차 윈도우드라이버 1. 매뉴얼안내 운영체제 (OS) 환경 윈도우드라이버준비 윈도우드라이버설치 Windows XP/Server 2003 에서설치 Serial 또는 Parallel 포트의경우.

인터넷 비즈니스의 필수 요소, 트랜잭션 시큐리티 서비스 인터넷 비즈니스는 기업 영리 활동에 있어서 부가적인 서비스가 아닌 사업을 영위해 가는데 중요한 역할을 하고 있습니다. 특히, 인터넷 쇼핑몰, 인터 넷 뱅킹, 사이버 트레이딩, 전자정부서비스, 온라인 게임, 인터넷

Microsoft PowerPoint - chap01-C언어개요.pptx

Microsoft PowerPoint 자동설치시스템검증-V05-Baul.pptx

SW

1 SW

PowerPoint 프레젠테이션

PowerPoint 프레젠테이션

< F5320B4EBC0C0C0E5BAF1BFA120B4EBC7D120BAB8BEC8B1E2B4C920B0A1C0CCB5E528C3D6C1BE292E687770>

Microsoft Word - src.doc

歯주간-wrv7n15.PDF

취약점분석보고서 [Photodex ProShow Producer v ] RedAlert Team 안상환

KARAAUTO_4¿ù.qxd-ÀÌÆå.ps, page Normalize

텀블러514

슬라이드 1


IRISCard Anywhere 5

<C0CCBCF8BFE42DB1B3C1A4BFCFB7E12DB1E8B9CCBCB12DC0DBBCBAC0DAB0CBC1F5BFCFB7E12DB8D3B8AEB8BBB3BBBACEC0DAB0CBC1F52E687770>

본 해설서는 정보통신망 이용촉진 및 정보보호 등에 관한 법률 (이하 법 이라 한다) 제28조제1항과 같은 법 시행령 제15조제6항에 근거한 개인정보의 기술적 관리적 보호조치 기준 이 개정 고시( )됨에 따라 - 동 기준의 각 조항별 주안점과 구체적인 사례를

SMB_ICMP_UDP(huichang).PDF

게시판 스팸 실시간 차단 시스템

KDTÁ¾ÇÕ-1-07/03

RFID USN_K_100107

Microsoft PowerPoint - 02_Linux_Fedora_Core_8_Vmware_Installation [호환 모드]

NETCONF 표준을 따른 XML 기반의 네트워크 구성관리 시스템

<BDC5B1E2BCFAB5BFC7E2C3DFB0A1BABB D342E687770>

<BBE7B0EDB3EBC6AE5FC7E3BAEAB0D4C0D32E687770>

Secure Programming Lecture1 : Introduction

SGA-SC 2.0 Manual

wtu05_ÃÖÁ¾

RVC Robot Vaccum Cleaner


Samsung SDS Enterprise Cloud Networking CDN Load Balancer WAN

CSA Summit Korea 2013

방송통신기술 이슈&전망 2013년 제 28 호 요약 본고에서는 차세대 지능형 전력망이라 불리우는 스마트그리드에 대한 일반적인 개 념 및 효과에 대해 알아보고, 현재 스마트그리드 구축에 있어 이슈가 되고 있는 사 이버 보안측면에서 고려해야 할 위협요소와 취약성에 대해 살

Microsoft PowerPoint - L4-7Switch기본교육자료.ppt

Raspbian 설치 라즈비안 OS (Raspbian OS) 라즈베리파이 3 Model B USB 마우스 USB 키보드 마이크로 SD 카드 마이크로 SD 카드리더기 HDM I 케이블모니터


A plan for managing exhibition & education programs in presidential archives 143

07_alman.hwp

국가정보보호백서 제1장 정보환경 변화와 정보보호 정보통신기술은 우리에게 보다 나은 미래를 제공해주는 원동력이자 현대사회에서 없어서는 안 될 필수불가결한 사회기반으로 여겨지고 있다. 또한 정보통신기술은 경제 성장의 원천이 되고 있으 며 사회 시스템의 효율성을

Microsoft PowerPoint - 10Àå.ppt

PowerPoint 프레젠테이션

운영체제실습_명령어

Research & Technique Apache Tomcat RCE 취약점 (CVE ) 취약점개요 지난 4월 15일전세계적으로가장많이사용되는웹애플리케이션서버인 Apache Tomcat에서 RCE 취약점이공개되었다. CVE 취약점은 W

유해트래픽통합관리시스템_MetroWall

Microsoft PowerPoint - secu8.pptx

Speaker Topic

2008_0128_security.hwp

© Rohde & Schwarz; R&S®CDS Campus Dashboard Software

PowerPoint 프레젠테이션

<4D F736F F F696E74202D20B9DDB5B5C3BC20C0AFC6BFB8AEC6BC20B8F0B4CFC5CDB8B520BDC3BDBAC5DB5F E BC8A3C8AF20B8F0B5E55D>

Transcription:

특 별 기 고 Special contribution 국가기반시설제어시스템사이버보안 ( 최종회 ) 글싣는순서 (1) 제어시스템현황과사이버보안위협 (2) 제어시스템보안취약점및사이버공격시나리오 (3) 국내외제어시스템보안추진현황 (4) 제어시스템안전성확보를위한사이버보안기술 서정택부장국가보안기술연구소기반보호연구부 seojt@ensec.re.kr 1. 머리말앞의기고문 (3회) 에서살펴본바와같이국가기반시설제어시스템은다양한사이버보안위협아래에놓여있으며, 공격빈도및위험성이꾸준히증가하고있다. 보이지않는적으로부터우리의국가기반시설을안전하게보호하기위해서는제어시스템의특성을고려하여보안기술을적용하고, 제어시스템에특화된보안기술의개발이필요하다. 본고에서는우리나라의국가기반시설제어시스템을안전하게보호하는데적합한다양한보안기술및제어시스템특화보안기술을소개한다. 2. 제어시스템에적용가능한보안기술 (1) 백신프로그램백신프로그램은컴퓨터에설치된악성프로그램을탐지하고치료하는프로 82 계장기술

국가기반시설제어시스템사이버보안 그램으로써알려진사이버공격으로부터의감염사실을탐지하는데효율적이다. 따라서, 제어시스템을구성하는컴퓨터 ( 윈도우즈, 리눅스서버등 ) 에백신프로그램을설치하여악성코드의감염을막을수있도록해야한다. 하지만백신프로그램이업데이트되지않을경우, 새로운유형의악성코드를탐지할수없으므로주기적인업데이트를수행하여제어시스템을안전하게보호해야한다. (3) 이동식저장매체관리솔루션 / USB 포트봉인장치방화벽, 침입탐지시스템등을이용하여제어시스템네트워크를잘보호하더라도 USB 메모리와같은이동식저장매체를통한감염은막기는어렵다. 실제로이란의핵시설을공격한사이버무기스턱스넷 (Stuxnet) 과같은악성코드는 USB 메모리를통해제어시스템에침투한것으로알려져있다. 따라서, 제어시스템내에서이동식저장매체의사용을통제하여시스템의감염을막도록해야한다. 이동식저장매체관리솔루션을사용하거나 USB 포트봉인장치들을활용할경우보안성을높일수있다. 그림 1. 대표적인백신프로그램예 (2) 방화벽, 침입탐지시스템의적용방화벽 (Firewall) 은두개의분리된네트워크중간에위치하여사전에정의된기기 (IP) 간에정해진서비스 (Port) 만을허용하고, 이외의모든트래픽을차단하는네트워크보안장비이다. 침입탐지시스템 (IDS 1) ) 은네트워크중간에위치하여오가는트래픽을검사, 공격패턴을탐지하고공격으로예상되는트래픽이발견될경우알람을발생한다. 따라서, 방화벽의통신허용규칙을명확히정의하여사용하지않는기기및서비스에대한접근을막고, 침입탐지시스템을이용하여사이버공격을조기에탐지할경우안전하게제어시스템을보호할수있다. 다만공격을자동적으로차단하는침입방지시스템 (IPS 2) ) 의경우, 제어와관련된중요한트래픽을차단할수있어제어시스템에서사용시주의가필요하다. 1) IDS : Intrusion Detection System 2) IPS : Intrusion Prevention System 3. 제어시스템특화보안기술 (1) 제어시스템특화보안기술의필요성앞에서백신프로그램및방화벽, 침입탐지시스템, 이동식저장매체관리솔루션등을활용하여제어시스템을안전하게보호하는방안에대해설명하였다. 이러한보안솔루션은잘적용될경우안전하게제어시스템을보호할수있지만, 대부분의국가기반시설의경우외부네트워크와분리되어운영되고있기때문에해당보안솔루션의업데이트등이어렵고, 새로운방식의사이버공격이발생할경우이에대한탐지및대응이불가능하다. 따라서, 이러한제어시스템의특성을고려하여사이버보안기술을적용하거나제어시스템전용보안기술을적용하여국가기반시설을안전하게보호해야한다. (2) 제어시스템전용방화벽제어시스템내부간통신은 Modbus, PI, OPC, DNP3, ICCP 등과같은제어프로토콜을이용하여이루어진다. 만약악의적인공격자가실제현장장치를임의로제어하여큰피해를발생시키기위해서는최종적으로 2013. 11 83

특별기고 Special contribution Corporate Intranet Loadable Security Module (LSM) being Installed on Appliance Tofino TM Central Management Platform Tofino TM Appliance encrypting DCS traffic Router Status being sent to CMP SCADA RTU HMI Station Tofino TM Appliance protecting PLC Cluster of DCS Controllers PLC Controllers 그림 2. 토피노 (Tofino) 산업용방화벽개념도 그림 3. 실제제어시스템에서운영중인토피노방화벽는 PLC, DCS와같은제어기기에불법으로제어명령을전달해야한다. 따라서, 제어프로토콜을이해하고, 이러한사이버공격을사전에탐지하고차단할수있는산업용방화벽이필요하다. 대표적인산업용방화벽인토피노 (Tofino) 3) 는 DCS, PLC와같은제어기기앞단에서 PLC로들어오는트래픽을감시하여제어시스템을보호한다. 토피노장비적용시제어시스템의네트워크구성은그림 2와같다. 이산업용방화벽은 TCP/IP 및 IT 환경에서널리사용되는프로토콜이외에도 Modbus, OPC 등의제어현장에서널리사용되는프로토콜을지원한다. 예를들어 Modbus 프로토콜을적용하는통신구간에설치할경우, 특정 coil에대한 write 금지와같이 Modbus command, register, coil 등에대한허용규칙을작성할수있으며, 허용규칙에위배되는 Modbus 트래픽에대해경고를발생시키거나차단함으로써불법제어명령으로부터제어시스템을보호할수있다. 그림 3은실제로토피노장비가제어시스템에설치된모습으로좌측에위치한 PLC로오가는모든트래픽에대한감시를수행하여제어시스템을안전하게보호하고있다. 이외에도 ZenWall 4), RADiflow 5) 등제어프로토콜분석기능을보유한산업용방화벽제품이존재하며, 최근국내에서도사회주요기반시설의계측제어, 자동화 3) http://www.tofinosecurity.com/ 4) http://www.securecrossing.com/our-products/ 5) http://www.radiflow.com/home 84 계장기술

국가기반시설제어시스템사이버보안 정의된응용프로그램 #1 정의된응용프로그램 #2 정의되지않은불법프로그램 Application Whitelisting 솔루션 실행파일, 환경설정파일검사 실행 차단 그림 4. Application Whitelisting 기술개념도 시스템등의산업제어시스템내보안영역별로심층방어할수있는 SW 솔루션인인더스캡-게이트 (IndusCAP- Gate) 를개발한바있다 6). (3) 제어시스템호스트 (Host) 안전성분석기술제어시스템네트워크는다수의서버 ( 윈도우즈, 유닉스서버등 ) 및임베디드제어기기 (PLC, DCS, RTU 등 ) 로구성된다. 따라서, 안전한제어시스템운영을위해서는제어시스템을구성하는서버및임베디드제어기기의안전성을검사하여보안취약점을사전에제거하고사이버공격을탐지할수있어야한다. 이러한호스트안전성분석기술은호스트에에이전트의설치가능여부에따라별도의에이전트설치없이네트워크를통한점검방법및에이전트를설치하여호스트정보를수집및분석하는에이전트기반호스트감시방법으로구분할수있다. 네트워크를통한제어시스템취약점점검제어시스템은실시간성, 가용성등의이유로호스트들에별도의프로그램설치를기피하고있으며, 다수의임베디드제어기기의경우에는점검프로그램의설치자체가불가능하다. 따라서, 별도의에이전트의설치대 신네트워크를통한점검이적합한경우가많다. 대표적인사이버보안취약점점검도구인 Nessus 취약점스캐너는 SCADA Plugins 7) 을개발하여 Modbus, DNP3, ICCP와같은제어프로토콜의취약점점검이외에도 Siemens, SISCO, Telvent, Modicon, Moxa 등제어시스템제조회사에서생산하는제어기기들의취약점을검사할수있는기능을제공하고있다. 또한 Digital Bond사의 Bandolier는제어시스템서버를위한최적의보안설정을찾아내고, 이를검사하는프로젝트로약 20개의제어시스템에대해효율적이면서도안전한최적의보안설정을검사파일 (audit file) 형태로배포하고있다. 예를들어, AREVA e-terra 시스템의경우 Bandolier는 Linuex 시스템보안설정 1337개, Windows 시스템보안설정 676개를제공하고있다 8). 에이전트기반호스트감시일반 PC 및 MS Windows, Linux와같은운영제체 6) http://article.joins.com/news/article/article.asp?total_ id=12211106&ctg=1213 7) http://www.tenable.com/solutions/scada-security 8) http://www.digitalbond.com/blog/2009/06/09/bandolier-securityaudit-file-release-areva-e-terra/ 2013. 11 85

특별기고 Special contribution 가제어시스템에서도널리적용되면서에이전트가설치가능한환경이증가하고있다. 이에많은보안업체들은제어시스템호스트보안을위해에이전트기반사이버공격탐지도구들을제공하고있다. 현재에이전트기반호스트감시기술대부분은 Application Whitelisting 기술을이용하고있다. Application Whitelisting이란, 설치및실행이허용된응용프로그램및실행파일들을목록화하고관리하여악성코드및바이러스를감시및차단하는프로그램이다. 에이전트기반호스트감시기술의동작방식은그림 4와같다. 이러한운용방식은지정된프로그램만설치되고운영되는제어시스템에적합한보안솔루션으로써, 새로운응용프로그램, 패치및업데이트수행역시 Application Whitelist 관리서버에등록되었는지여부를점검하고, 실행함으로써악성코드의감염을막을수있다. 대표적인 Application Whitelisting 제품으로는 Bit9의 Bit9 Security Platform, CoreTrace사의 Bouncer, McAfee사의 Application Control, 안랩의 TrusLine 등이있다. Control Center 그림 5. Sophia 프로젝트개념도 그림 6. Sophia 의 Channel 정보시각화 (4) 제어시스템네트워크트래픽감시시스템실제운영중인제어시스템에네트워크를통한취약점점검을수행할경우, 제어시스템의오동작을유발할수있는가능성이존재하므로실제운영중인제어시스템의취약점점검시에는신중을기울여야한다. 실제로제어시스템취약점점검중공정라인의로봇팔이임의로움직인사례 9) 가존재한다. 또한, 에이전트기반감시방법은범용운영체제를사용하지않는기기가많은제어시스템적용에한계가있다. 따라서, 제어시스템에미치는영향을최소화할수있는네트워크트래픽감시솔루션이많이주목을받고있다. 특히제어시스템은일반 IT 망과달리기기간의주기적, 규칙적인통신이주를이루고있기때문에이러한규칙적인통신을정상적인통신으로정의하고, 이외의비정상적인트 래픽을사이버공격의징후로판단할수있다. 제어시스템네트워크트래픽감시시스템으로는미국 INL 10) 이개발한 Sophia 11) 가있다. Sophia는제어시스템내어떤기기 (IP) 들이어떠한서비스 (Port) 를통해통신하고있는지모니터링하고, 허용된통신 (whitelist), 허가되지않은통신 (blacklist), 결정유보상태 (greylist) 를관리한다. 추가적으로 Sophia는허가되지않은통신을발견할경우, 이를직관적으로이해하기위한사용자인터페이스개발을포함하고있다. Sophia 프로젝 9) 운영중인제어시스템에네트워크상태점검 (ping test) 를하다가 2.7m 크기의로봇팔이 180도회전한사고 : (http://energy.sandia. gov/wp/wp-content/gallery/uploads/sand_2005_2846p.pdf) 10) 아이다호국립연구소 (INL : Idaho National Laboratory) 11) https://sophiahome.inl.gov/ 86 계장기술

국가기반시설제어시스템사이버보안 망분리솔루션 제어시스템네트워크 제어망측통신서버 사내망측통신서버 사내업무네트워크 물리적 ( 논리적 ) 연결제거 그림 7. 망분리솔루션동작방식 트는미국 DoE-OE 12) 가추진하고있는에너지전달 시스템보안을위한로드맵중제어시스템인식기술 프로젝트의지원을받아진행된프로젝트이다. 리적논리적망분리솔루션이개발되어주요기반시설에도입될예정이다. (5) 망분리솔루션 제어시스템에다양한정보통신기술이적용되고제어 시스템에서취득된정보의활용성이증가하면서외부로의안전한정보전달에대한보안요구사항이증가하였다. 따라서, 두개의네트워크를논리적혹은물리적으로완벽히분리하여외부로부터의사이버공격를원천적으로차단하는망분리솔루션의필요성이대두되었다. 이러한망분리솔루션은동작방식에따라외부로부터의데이터전송선을제거한물리적인분리방식과, 읽기쓰기권한의관리및독자적인프로토콜을사용하는등의논리적인분리방식이존재한다. 망분리솔루션의기본적인동작방식은그림 7과같다. 망분리솔루션은내부에역방향 ( 업무망 제어망 ) 으로의통신경로를제공하지않기때문에제어시스템에서취득된정보를안전하게외부로전달하면서동시에외부로부터의침입을완벽하게차단할수있다. 제어시스템전용망분리솔루션으로는 Waterfall사의 WF-SME 13) 가대표적이며, 국내에서도다양한물 12) 미국전력공급및에너지신뢰성본부 (Department of Energy Office of Electricity Delivery and Energy Reliability) 13) http://www.waterfall-security.com/category/products/scadaprotocols/ 4. 맺음말본고에서는제어시스템에적용가능한보안기술들에대하여살펴보았다. 지금까지살펴본바와같이제어시스템을대상으로하는사이버위협및공격은지속적으로증가하고지능화되고있기때문에, 이에대응하기위해서는제어시스템을안전하게보호하기위한노력을끊임없이기울여야한다. 보다더안전한제어시스템을만들기위해서는제어시스템에적합한사이버보안기술의적용에대한투자및특화보안기술의연구개발을지속적으로수행해야하며, 제어시스템관련전구성원의보안에대한의식또한제고되어야한다. 특별기고 ( 연재 ) 를통해필자는국가기반시설제어시스템사이버보안의중요성에대해역설하였으나, 국가기반시설만이아닌일반산업시설에대한사이버침해사고역시증가하고있고중요하다. 앞으로제어시스템운영과관련된모든구성원들이사이버보안을위해노력하여주요시설제어시스템의사이버안전성을확보해야한다. 2013. 11 87

2024 © docsplayer.org 개인정보보호 | 약관 | 지원