전송데이터 통제·전송구간보호·수신 데이터 검증 3단계로 데이터 안전하게 전송
[데이터넷] IoT 발전으로 생산제어설비, 네트워크, IT시스템이 유기적으로 연결되면서 제어설비가 위치한 OT망(제어망, 폐쇄망)과 IT망(업무망, 인터넷망)이 사이버 공격의 대상이 되고 있다.
휴네시온의 ‘아이원넷 디디(i-oneNet DD)’는 국가기반시설의 제어망과 외부망 연동 지점에 적용해 제어망의 중요 데이터를 활용하며, 제어망으로의 접근을 원천적으로 차단하는 일방향 전송 솔루션이다.
HW·NW·SW 전체 프로토콜 스택에 걸친 일방향 기술
국가용 정보보호 제품 보안요구사항에 따라 일방향 전송 시스템은 OSI 7 네트워크 계층 중 물리적 계층에서 단방향 통신만 가능하도록 개발된 장비를 말한다. 송신장치의 Tx 포트와 수신장치의 Rx 포트만 연결해 물리적 계층에서 단방향으로만 통신이 가능하고 역방향으로는 통신 자체가 불가능한 구조를 제공한다.
아이원넷 디디는 하드웨어, 네트워크, 소프트웨어 전체 프로토콜 스택에 걸쳐 일방향 기술을 적용했다. 전용 네트워크 인터페이스 장치 (NIC)를 탑재한 Tx장비(송신전용서버)와 Rx장비(수신전용서 버)로 구성해, Tx에서 Rx로의 데이터 송신은 가능하나 반대방향으로는 데이터 송신을 하드웨어적으로 불가능하게 한다. 소프트웨어 측면에서 Tx장비에는 송신전용 프로그램, Rx장비에는 수신전용 프로그램만 탑재돼 역할을 수행한다.
자체 개발 프로토콜로 보호
아이원넷 디디는 안전한 데이터 전송을 위해 ▲전송데이터 통제 ▲전송구간보호 ▲수신 데이터 검증의 3단계를 거친다. 전송데이터에 대한 파일 확장자 검사를 통해 파일 변조 여부를 탐지하고, 백신 소프트웨어를 탑재해 악성코드를 탐지 및 차단해 전송데이터에 대한 통제가 가능하다.
송·수신장비 간 통신 시, 자체 개발한 전용프로토콜(HDP ROTO)을 사용하고 국정원 검증필 암호모듈을 적용해 암호화된 데이터를 전송함으로써 전송구간을 보호한다. 또한 수신 데이터 검증을 위해 수신된 데이터의 변조 유무를 확인해 무결성을 보장한다. 데이터 유실관리 기능도 제공해 데이터 유실을 방지하고, 데이터 유실이 감지된 경우에는 유실 데이터에 대한 선택적 재전송 기능을 지원한다.
이기종 프로토콜 연계 등 다양한 연계방식 지원
아이원넷 디디는 다양한 데이터 연계방식을 지원한다. OT 환경의 DCS, PLC 제어시스템에서 사용하는 프로토콜에 대한 연계와 파일, 이미지, DBMS, 패킷 등 IT환경의 프로토콜 연계를 지원한다. 보안관제를 위한 데이터 연계, 도입 기관에서 자체적으로 사용하는 서비스 등에 대한 커스터마이징 연계도 가능하다.
OPC(UA), OPC(DA), 모드버스, Glofa 등 제어설비 프로토 콜 및 FTP/SFTP, NFS, TCP/UDP, 시스로그, SNMP 등 다양 한 프로토콜 연계를 지원한다. 오라클, 마이SQL, MSSQL, 티베로, 포스트그레SQL, 알티베이스 등 DB 데이터에 대해 동종 또는 이기종 연계가 가능하며, 미러 데이터 및 TAP 장비의 수 집 패킷의 일방향 전송이 가능한 리피터 모드를 지원해 제어시스템에 대한 보안관제체계 환경 구축이 가능하다. 특히 DB to OPC, PLC to OPC 등 이기종 프로토콜 간 연계가 가능하다. 아이원넷 디디는 애플리케이션별 프록시 제작 방식을 적용해 애플리케이션 기능 추가 및 변경 시 유연한 확장성도 제공한다.
아이원넷 디디는 이중화 구성을 통해 서비스 안정성을 제공하고, Tx장비와 Rx장비는 1개의 시스템 내 다중 서비스 대한 연계, 여러 시스템 간 연계, 다 중망 간 연계를 모두 지원한다. 특히 동일 기관 내에서 설비 라 인업이 별도로 구성돼 있는 다중망에서는 제어망별 독립성을 유지하면서 업무망에 일방향 연계가 가능하도록 지원해 비용 절감 효과를 누릴 수 있다.
아이원넷 디디는 발전소 발전제어시스템, 지자체 지능형 교통체계(ITS), SCADA 연계, 수도 통합운영 시스템, 상수도 사업소, 국방, 정보통신 기반시설 등 발전사, 군, 공공, 일반 기업까지 다양한 영역의 레퍼런스를 보유하고 있다. 제어시스템에 대한 보안관제체계 환경을 구축하거나 제어망 내 DB서 버 데이터를 이기종, 동종 DB로 안전하게 전송한다. 주요 보안망 서버에서 로그와 데이터, 이미지 등 파일을 업무망 서버로 일방향 전송하거나 SCADA망 PLC단말 데이터를 수집해 연계하는 PLC 연계 사례를 보유하고 있다. 아이원넷 디디의 대표적인 구축 성공사례를 소개하면 다음과 같다.
●OPC DA 연계: OO발전소 제어시스템 연동
발전소에서 가장 많이 연동하는 사례로 에머슨, GE, ABB 사 등의 보일러, 터빈의 운전시 발생하는 운영정보를 업무망에서 모니터링하기 위해 운영정보(OPC Tag)를 업무망으로 일방향 전송하도록 구성한다.
●보안 관제를 위한 데이터 연계: OO발전소 보안관제시스템 구축
발전소 제어망 네트워크상에서 모니터링이 필요한 패킷, 로그정보를 일방향전송장치를 통해 업무망으로 전송해 모니터 링할 수 있도록 구성한다.
●ITS연동: OO시 지능형교통체계(ITS) 기반 구축 사업
지능형교통체계 기반구축사업에서 일방향 망연계 솔루션을 정방향, 역방향으로 2세트 구성해, 제어망(신호시스템)에서 내부망(ITS)으로 필요한 정보를 일방향으로 전송하고, 내부 망에서(ITS) 제어망(신호시스템)으로 정제된 정보를 일방향 으로 전송하도록 구성했다.
휴네시온은 발전소, 수자원, 교통 등 기반시설에서 보안망 (제어망)과 외부망(업무망) 간 연계가 확대됨에 따라 안전한 연계를 위해 제어시스템 제조사, 연계 데이터 특성을 파악해 각 시스템에 맞는 기능을 제공할 계획이다.
