www.engineering-korea.com
23
'20
Written on Modified on
ODVA
CIP 보안 업데이트를 통해 사용자 레벨 인증 지원
ODVA는 EtherNet/IP를 위한 사이버 보안 네트워크 확장 판인 CIP보안(CIP Security)에 사용자 레벨 인증을 추가했다고 밝혔다. 이전에 발표된 CIP보안사양에는 장치그룹전반에 걸쳐 광범위한 트러스트 도메인과 데이터기밀성, 장치인증, 장치식별, 장치속성 등 주요 보안속성이 포함되어있다. 이번 업데이트를 통해 CIP보안은 사용자 및 역할별로 세분화된 트러스트 도메인을 비롯해 향상된 사용자 및 장치식별기능과 사용자인증기능 등이 추가되었다.
산업자동화 분야에서 IT(Information Technology) 및 OT(Operational Technology)의 융합이 가속화됨에 따라, 제어엔지니어와 IT관리자, 유지보수 운영자가 장치의 매개변수에 안전하게 액세스하고 수정할 수 있는 기능이 더욱 중요해졌다. 장치레벨의 보안은 잠재적인 물리적 손상과 재정적 손실로부터 중요한 자산 및 사람을 보호하기 위해 IIoT(Industrial Internet of Things)빌딩블록에서 반드시 요구되는 사항이다. 이러한 요구사항을 충족시키기 위해 강력한 CIP보안 사용자 인증 프로파일(User Authentication Profile)은 잘 정의된 역할과 로컬 및 중앙에서 모두 사용자 인증으로 기본권한을 부여하는 고정사용자 액세스정책을 통해 사용자레벨 인증을 제공한다. 장치 또는 중앙서버를 통해 인증하는 CIP보안 기능은 작고 간단한 시스템에서는 단순성을, 크고 복잡한 설비에서는 효율성을 실현할 수 있다.
CIP보안에는 EtherNet/IP 트래픽의 데이터 무결 성 및 메시지 인증을 위한 암호화 방법인 EtherNet/IP 트래픽, 해시 또는 키가 있는 HMAC(Hash Message Authentication Code)보안전송에 사용되는 암호화 프로토콜과 권한이 없는 당사자가 EtherNet/IP 데이터를 판독하거나 보는 것을 방지하기 위해 메시지 또는 정보를 인코딩하는 암호화 기술 등을 비롯해 전송계층보안(TLS: Transport Layer Security) 및 데이터 그램 전송계층보안(DTLS:Datagram Transport Layer Security)를 포함한 강력하고 검증된 개방형보안 기술을 이미 포함하고 있다. 새로운 CIP사용자 인증프로파일은 애플리케이션 계층에서 CIP통신을 위한 사용자레벨 인증을 제공한다. 향후 CIP보안은 액세스 정책을 사용자 또는 시스템의 모든 속성을 기반으로 하여 일반적이고 유연한 인증과 같은 추가적인 보안속성을 제공할 수 있도록 CIP를 향상시키고, 잠재적으로 다른 비-EtherNet/IP 네트워크를 지원할 수 있도록 CIP보안을 확장하는 CIP인증 프로파일을 사용할 수가 있다.
새로운 사용자 인증 프로파일은 암호화로 보호된 토큰기반 사용자 인증을 위한 OAuth 2.0 및 OpenID Connect와 인증증명인 JWT(JSON Web Tokens), 사용자이름 및 비밀번호, 그리고 사용자 및 장치에 대한 암호화된 보안ID를 제공하는 기존의 X.509 인증서를 비롯해 여러 개방적이고, 보편적인 유비쿼터스 기술을 사용한다. 이는 사용자가 유효한 JWT를 제시하여 대상에서 생성한 암호화된 보안사용자 인증세션ID를 사용하여 CIP통신을 위해 사용자가 보낸 메시지와 인증 이벤트 사이를 매핑(mapping)한다. 사용자인증 세션ID는 CIP보안의 EtherNet/IP기밀 프로파일에 따라 기밀성이 활성화된 암호 수트와 (D)TLS를 사용하여 EtherNet/IP를 통해 전송된다.
EtherNet/IP시스템 아키텍처 특별기술그룹(SIG: Special Interest Group)의 부회장인 잭 비소키(Jack Visoky)는 »사용자인증은 완벽한 EtherNet/IP를 산업용통신 에코시스템의 핵심네트워크로 확장하는 CIP보안 발전에 있어 또 다른 중요한 단계를 수립했다. 심층적인 방어접근방식의 일부인 CIP 보안은 설비운영을 방해하기 위해 대상을 찾고 있는 악의적인 사이버 공격자들에 대한 효과적인 방어수단으로 설계되었다.»고 밝혔다. ODVA의 사장 겸 전무이사인 알 베이도운(Al Beydoun) 박사는 »인프라와 자동화 시스템의 연결이 점점 확대되면서, CIP보안은 악의적인 사이버보안 공격으로부터 전세계의 필수제품에 대한 귀중한 투자와 생산을 보호하기 위해 그 어느 때보다 중요해지고 있다. ODVA는 앞으로도 CIP보안 및 EtherNet/IP에 대한 개발에 지속적으로 투자하여 악의적인 행위로 인해 발생하는 물리적, 재정적 피해로부터 최종사용자를 보호할 것이다.»라고 피력했다.
CIP 보안은 이번 업데이트를 통해 사용자 및 역할 별로 세분화된 트러스트 도메인과 향상된 사용자 및 장치 식별 기능, 고정된 사용자 인증으로 더욱 강력한 장치 레벨의 보안을 제공하게 되었다. ODVA는 IIoT 및 인더스트리 4.0(Industry 4.0)을 완벽하게 달성할 수 있도록 중요한 산업 자동화 자산을 최대한 보호할 수 있는 최첨단 장치 방어 기능으로 CIP 보안을 향상시키는데 지속적으로 노력하고 있다. CIP 보안을 비롯한 최신 버전의 EtherNet/IP 사양은 odva.org에서 확인할 수 있다.