[데이터넷] 전력, 가스, 원자력 등 국가안보상 중요한 제어시스템은 업무망과 인터넷망 등 상용망과 분리 운용해야 한다. 제어시스템을 업무망·상용망과 연동해야 한다면, 산업통상자원부장관 경유, 국가정보원장 승인절차를 거쳐 연동구간에 일방향 통신장비 설치 등 안전한 망 연동 기술을 적용해야 한다.

물리적 일방향 환경 구축은 중요도 ‘상’의 필수 점검항목이다. ‘제어 네트워크 외부로 자료전달 시 물리적 일방향 자료 전달 환경을 구축해 외부에서 제어 네트워크로의 침입을 차단해야 한다고 취약점 점검 항목에 명시돼 있다.

점검 대상이 되는 제어시스템은 제어망으로부터 내부 업무망으로 정보 연계가 이뤄지는 시스템, 제어망으로부터 외부 업무망으로 제어망의 운전정보 등을 전송하는 설비 및 시스템이 해당한다.

국가용 정보보호 제품 보안요구사항에 따라 일방향 전송 시스템은 OSI 7 네트워크 계층 중 물리적 계층에서 단방향 통신만 가능하도록 개발된 장비를 말한다. 송신장치의 Tx 포트와 수신장치의 Rx 포트만 연결해 물리적 계층에서 단방향으로만 통신이 가능하고 역방향으로는 통신 자체가 불가능한 구조를 제공한다.

자체 개발 전용 프로토콜로 보안성 강화

아이원넷 디디는 제어망과 외부망 연동지점에서 위치해 외부에서 제어시스템을 실시간 모니터링하거나 외부반출이 필요한 데이터를 안전하게 전송할 수 있다. 아이원넷 디디는 하드웨어 기반 물리적 일방향 데이터 연계를 제공한다. 전용 네트워크 인터페이스 장치(NIC)를 탑재한 Tx장비(송신전용서버)와 Rx장비(수신전용서버)로 구성해 Tx에서 Rx로의 데이터 송신은 가능하나 반대방향으로는 데이터 송신을 하드웨어적으로 불가능하게 한다.

아이원넷 디디는 안전한 데이터 전송을 위해 ▲전송 데이터 통제▲전송구간 보호 ▲수신 데이터 검증 등 3단계를 거친다. 전송데이터에 대한 파일 확장자 검사를 통해 파일 변조 여부를 탐지하고, 백신 소프트웨어를 탑재해 악성코드를 탐지·차단해 전송데이터를 통제한다.

송·수신장비 간 통신 시, 자체 개발한 전용프로토콜(HDPROTO)을 사용하고 국정원 검증필 암호모듈을 적용해 암호화된 데이터를 전송함으로써 전송구간을 보호한다. 또한 수신 데이터 검증을 위해 수신된 데이터의 변조 유무를 확인해 무결성을 보장한다. 또한 데이터 유실관리 기능을 제공해 데이터 유실을 방지하고, 데이터 유실이 감지된 경우에는 유실데이터에 대한 선택적 재전송 기능을 지원한다.

이기종 프로토콜 등 다양한 연계방식 지원

아이원넷 디디는 다양한 데이터 연계방식을 지원해 에너지, 수자원, 교통, 국방 등 여러 기관의 레퍼런스를 보유하고 있다. OT환경의 DCS, PLC 제어시스템에서 사용하는 프로토콜에 대한 연계와 파일, 이미지, DBMS, 패킷 등 IT환경의 프로토콜 연계를 지원한다. 보안관제를 위한 데이터 연계, 도입 기관에서 자체적으로 사용하는 서비스 등에 대한 커스터마이징 연계가 가능하다.

OPC(UA), OPC(DA), 모드버스, Glofa 등 제어설비 프로토콜 및 FTP/SFTP, NFS, TCP/UDP, 시스로그, SNMP 등 다양한 프로토콜 연계를 지원한다. 다양한 DB 데이터에 대해 동종 또는 이기종 연계가 가능하며, 미러 데이터 및 TAP 장비의 수집 패킷의 일방향 전송이 가능한 리피터 모드(Repeater mode)를 지원해 보안관제체계 환경 구축이 가능하다. 특히 DB to OPC, PLC to OPC 등 이기종 프로토콜 간 연계가 가능하다.

아이원넷 디디는 애플리케이션별 프록시 제작 방식을 적용해 애플리케이션 기능 추가 및 변경 시 유연한 확장성을 제공하는 것도 강점이다.

아이원넷 디디는 이중화 구성을 통해 서비스 안정성을 제공하고, Tx장비(송신전용서버)와 Rx장비(수신전용서버)는1개의 시스템 내 다중 서비스 대한 연계, 여러 시스템 간 연계, 다중망 간 연계를 모두 지원한다. 특히 동일 기관 내에서 설비 라인업이 별도로 구성되어 있는 다중망에서는 제어망 별 독립성을 유지하면서 업무망에 일방향 연계가 가능하도록 지원해 비용절감 효과를 누릴 수 있다.

데이터넷 다른기사 보기