전송 데이터 통제·전송구간 보호·수신 데이터 검증해 보안성 보장
[데이터넷] 발전소, 상수도, 철도 등 국가기반시설과 제조업 산업현장에서 산업제어시스템(ICS)을 외부 인터넷이 연결되지 않도록 폐쇄망으로 운영해왔다. 그러나 IoT 발전으로 생산제어설비, 네트워크, IT시스템이 유기적으로 연결되면서 제어설비가 위치한 OT망(제어망, 폐쇄망)이 IT망(업무망, 인터넷망)과 연결되면서 사이버 공격의 대상이 되고 있다.
국가기반시설에 침해사고가 발생할 경우 국가안전과 경제·사회에 큰 타격을 입힐 수 있다. 휴네시온의 ‘아이원넷 디디(i-oneNet DD)’는 국가기반시설의 제어망과 외부망 연동 지점에 적용해 제어망의 중요 데이터를 활용함과 동시에 제어망으로의 접근을 원천 차단하는 일방향 전송 솔루션이다.
HW·NW·SW 전체 프로토콜 스택에 걸친 일방향 기술
국가용 정보보호 제품 보안요구사항에 따라 일방향 전송 시스템은 OSI 7 네트워크 계층 중 물리적 계층에서 단방향 통신만 가능하도록 개발된 장비를 말한다. 송신장치의 Tx 포트와 수신장치의 Rx 포트만 연결해 물리적 계층에서 단방향으로만 통신이 가능하고 역방향으로는 통신 자체가 불가능한 구조를 제공한다.
‘아이원넷 디디’는 하드웨어, 네트워크, 소프트웨어 전체 프로토콜 스택에 걸쳐 일방향 기술을 적용했다. 전용 네트워크 인터페이스 장치(NIC)를 탑재한 Tx장비(송신전용서버)와 Rx장비(수신전용서버)로 구성해, Tx에서 Rx로의 데이터 송신은 가능하나 반대방향으로는 데이터 송신을 하드웨어적으로 불가능하게 한다. 소프트웨어 측면에서 Tx장비에는 송신전용 프로그램, Rx장비에는 수신전용 프로그램만 탑재돼 역할을 수행한다.
검증필 암호모듈·백신 탑재로 보안성 강화
‘아이원넷 디디’는 안전한 데이터 전송을 위해 3단계를 거친다. 전송 데이터 통제, 전송구간보호, 수신 데이터 검증 단계를 거친다.
전송데이터에 대한 파일 확장자 검사를 통해 파일 변조 여부를 탐지하고, 백신 소프트웨어를 탑재해 악성코드를 탐지 및 차단해 전송데이터에 대한 통제가 가능하다. 송·수신장비 간 통신 시, 자체 개발한 전용프로토콜(HDPROTO)을 사용하고, 국정원 검증필 암호모듈을 적용해 암호화된 데이터를 전송함으로써 전송구간을 보호한다.
또한 수신 데이터 검증을 위해 수신된 데이터의 변조 유무를 확인해 무결성을 보장한다. 또한 데이터 유실관리 기능을 제공해 데이터 유실을 방지하고, 데이터 유실이 감지된 경우에는 유실데이터에 대한 선택적 재전송 기능을 지원한다.
‘아이원넷 디디’는 다양한 데이터 연계방식을 지원해 에너지, 수자원, 교통, 국방 등 여러 기관의 레퍼런스를 보유하고 있다. OT환경의 DCS, PLC 제어시스템에서 사용하는 프로토콜에 대한 연계와 파일, 이미지, DBMS, 패킷 등 IT환경의 프로토콜 연계를 지원한다. 보안관제를 위한 데이터 연계, 도입 기관에서 자체적으로 사용하는 서비스 등에 대한 커스터마이징 연계가 가능하다.
이기종 프로토콜 연계 등 다양한 연계방식 지원
‘아이원넷 디디’는 OPC(UA), OPC(DA), Modbus, Glofa 등 제어설비 프로토콜 및 FTP/SFTP, NFS, TCP/UDP, Syslog, SNMP 등 다양한 프로토콜 연계를 지원한다. 오라클, 마이SQL, MSSQL, 티베로, 포스트그레SQL, 알티베이스 등 DB 데이터에 대해 동종 또는 이기종 연계가 가능하며, 미러 데이터 및 TAP 장비의 수집 패킷의 일방향 전송이 가능한 리피터 모드(Repeater mode)를 지원해 제어시스템에 대한 보안관제체계 환경 구축이 가능하다.
특히 DB to OPC, PLC to OPC 등 이기종 프로토콜 간 연계가 가능하다. 애플리케이션별 프록시 제작 방식을 적용해 애플리케이션 기능 추가 및 변경 시 유연한 확장성을 제공한다.
‘아이원넷 디디’는 이중화 구성을 통해 서비스 안정성을 제공하고, Tx장비(송신전용서버)와 Rx장비(수신전용서버)는 1개의 시스템 내 다중 서비스 대한 연계, 여러 시스템 간 연계, 다중망 간 연계를 모두 지원한다. 특히 동일 기관 내에서 설비 라인업이 별도로 구성돼 있는 다중망에서는 제어망별 독립성을 유지하면서 업무망에 일방향 연계가 가능하 도록 지원해 비용절감 효과를 누릴 수 있다.
‘아이원넷 디디’는 제어시스템에 대한 보안관제체계 환경을 구축하거나, 제어망 내 DB서버 데이터를 이기종, 동종 DB로 안전하게 전송한다. 주요 보안망 서버에서 로그와 데이터, 이미지 등 파일을 업무망 서버로 일방향 전송하거나, SCADA 망 PLC 단말 데이터를 수집해 연계하는 PLC 연계 사례도 보유하고 있다. 휴네시온은 앞으로도 안전한 연계를 위해 제어 시스템 제조사, 연계 데이터 특성을 파악해 각 시스템에 맞는 기능을 제공할 계획이다.
