CIP 보안의 개요

IT/OT 융합이 IIoT와 Industry 4.0에 의해 추진됨에 따라 ODVA는 EtherNet/IP 및 기타 CIP 네트워크에 연결된 디바이스의 방어기능을 강화할 필요성을 인식했다. 이 추가된 접근방식은 심층적인 아키텍처의 최종방어 수준[defense-in-depth architecture]이다. 이것의 최종적인 목표는 벤더가 상호운용 가능한 EtherNet/IP디바이스를 구축할 수 있도록 하는 것이다.

이런 디바이스는, 벤더가 자신을 방어할 수 있는 것과 그 디바이스간의 통신 및 서드파티[해당 분야에 호환되는 상품을 출시하는 회사]와의 통신을 가능케 한다. 이 접근 방식은 ODVA의 사이버보안 EtherNet/IP 사양에 대한 향상된 CIP 보안을 통해 실현하고 있는 것이다.

소 개

산업 자동화 네트워크는 원래 원격 I/O 장치의 배선을 단순화하고 배선비용을 절감하기위한 수단으로 개발이 되었다. 시간이 지남에 따라 이러한 디바이스의 원격 진단과 설정을 가능하게 하기 위해 이것의 접속이 진화하였다. 산업공통프로토콜[CIP™/ Common Industrial Protocol/ODVA 핵심 프로토콜 평준화 소프트웨어]는 산업용장치인 컨트롤러[controller/slave용], 액추에이터와 역시 상위장치가 되는 컨트롤러[controller/master용]간의 연결을 제공하는 피어 투 피어[peer-to-peer] 객체지향[object-oriented] 프로토콜이다. CIP는 주로 다음의 두 가지 목적을 갖고 있다.

• 디바이스와 관련된 제어지향[control-oriented], 입력/출력] 데이터의 전송
• 제어되는 시스템과 연관된 기타정보(설정 파라미터 및 진단 등)의 전송

이들 네트워크는 물리적으로 다른 네트워크와 격리되어 있으며 물리적 수단인 잠금 문(locked doors) 등에 의해 보호될 수 있는 지역에 한정되어 있어, 부정 액세스를 감시할 수 있기 때문에 안전한 것으로 간주되었다. 시간이 지남에 따라 이러한 고립된 네트워크는 생산성향상, 자산 활용, 에너지절약 및 의사결정개선을 위한 정보교환을 목적으로 기업시스템과 연결되기 시작했다.

이 접속의 가치는 명백하지만 보안상 위험이 따른다. 이러한 위험에는 지적재산권의 도난, 플랜트 시스템의 오동작, 플랜트운영의 중단, 기기의 손상 등이 포함된다. 이러한 보안문제를 해결하기 위해 오랫동안 심층적인 보안아키텍처를 채택하는 것이 권장되어 왔다(그림 1 참조). 이 아키텍처는 여러 보안계층의 공격에 대해 더욱 탄력적이라는 사고를 기반으로 한다. 가장 안쪽 레이어의 자동화 디바이스는 안전한 상태를 유지하면서 어느 시점에서든 하나의 레이어가 손상될 수 있다.
 

CIP 보안의 목표는 심층방어 아키텍처에서 CIP 접속 디바이스의 방어능력(최종 방어수준)을 향상시키는 것이다. CIP 보안의 최종목표는 자신을 보호할 수 있는 CIP디바이스를 구축하는 것이다.

완전 자기방어 형[fully self-defending] CIP 디바이스에는 다음 기능이 있다.
• 변경된 데이터의 거부-통합성(integrity)
• 신뢰할 수 없는 사용자 또는 신뢰할 수 없는 장치에서 보낸 메시지거부
• 허용되지 않는 작업을 요청하는 메시지 거부

CIP 보안은 다음과 같은 기본적인 전제조건을 가지고 있다
• 디바이스에 접속되어 있는 네트워크는 일반적으로 신뢰할 수 없는 것으로 간주된다.
• 네트워크에 접속되어 있는 모든 엔티티(entities/사람과 디바이스 모두)는 인증될 때까지 신뢰할 수 없는 것으로 간주된다.
• 디바이스에 대한 네트워크 액세스는 디바이스에 의해 허가될 때까지 허용되지 않는다.
• 디바이스에 대한 물리적 액세스는 신뢰할 수 있는 개인으로만 제한이 된다(이 사양에서는 적용되지 않는다).

보안위협 및 공격벡터

CIP 디바이스에서 발생할 수 있는 보안 위협 및 공격벡터를 이해하는 것이 중요하다. 그러한 위협을 완화하기 위해 복종해야 한다. 스트라이드[STRIDE]란 단어의 뜻은 큰 걸음/보폭의 뜻이나 마이크로소프트가 개발한 시스템 중 하나이다. 보안 위협에 대해 생각하며 모델링[modeling]한다. 6개의 보안 위협에 대한 니모닉[mnemonic/서명을 위한 개인의 “키(key)”를 말함]을 제공한다. 분류위협의 카테고리는 다음과 같다.

• 사용자ID-스푸핑[Spoofing of user identity]
• 조작[Tampering]
• 거부[Repudiation]
• 정보공개(프라이버시 침해 또는 데이터 유출)
• 서비스거부[DoS]
• 특권상승[Elevation of privilege]

“STRIDE”라는 이름은 사실 위에 나열된 6가지 위협 카테고리의 영문 첫 글자[initials]를 따서 나열하면 형성되는 알파벳 맞춤에서 형성된 단어의 나열이다. 처음에는 위협 모델링을 위해 제안되었지만, 현재는 더욱 폭넓게 사용되는 보안용어가 되고 있다. 마이크로소프트가 개발한 STRIDE Table[1] 모델은 보안 위협을 평가하는 데 사용할 수 있는 하나의 툴로 보면 된다. 표 1은 각 위협의 유형별로 적용되는 다양한 SRIDE 위협 및 보안 속성을 나타낸 도표이다.
 

STRIDE를 사용할 경우 다음 위협완화 표의 항목은 표 2에 나타난 위협을 완화하기 위해 사용할 수 있는 기술을 나타낸다.

CIP 보안 접근법

CIP 보안은 CIP 디바이스의 보안관련 요건 및 기능을 지정한다. CIP 보안은 EtherNet/IP사양의 Volume8로 구성되어 네트워크에 의존하지 않는 자료와 CIP 네트워크 고유의 자료(EtherNet/IP 등)를 포함한다. EtherNet/IP 접속 디바이스는 엔터프라이즈 네트워크 접속에 의한 리스크가 가장 크기 때문에 현시점에서는 EtherNet/IP에 초점을 맞추고 있다.

현재의 사양에서는 EtherNet/IP통신에 안전한 전송을 제공하기 위한 메커니즘, 일반적인 동작 및 요건을 정의하고 있다. 추가 보안 속성에 대처하기 위해 CIP 보안자료를 사양 서에 추가했다. 모든 CIP 보안대응 디바이스가 모든 CIP 보안의 속성을 지원하는 것은 아니지만 CIP 보안 대응 기술 개요[TECHNORGY Overview: CIP SECURITY™ (PUB00319R1)]-8 제품의 고객은 구매중인 제품에서 지원되는 보안속성을 확인하는 것이 매우 중요하다.

고객이 특정보안기능 세트를 지원하는 제품을 쉽게 식별할 수 있도록 보안 프로파일 세트가 제안되어 아래 표에 제시되어 있다. 다음 표의 EtherNet/IP대외 비 프로파일은 현재사양에서 지원되는 유일한 프로파일이다. 다음표의 CIP 인증프로파일[Authorization Profile]은 지원대상이 될 수 있는 미래 프로파일의 예로 제시되어있다.
 

표 4의 각 보안 프로파일은 앞에서 설명한 위협을 완화하는 보안속성을 제공하는 것을 아래와 같은 목적으로 한다.

다양한 CIP 보안 프로파일의 개발에는 몇 가지 중요한 가이드라인이 있다.

• EtherNet/IP 보안 프로파일은 CIP응용 프로그램 레이어에 대한 변경 없이 EtherNet/IP의 안전한 전송메커니즘을 제공한다.
• CIP보안 프로파일(향후)은 CIP를 확장하여 사용자인증 등의 추가보안 속성을 제공하고 CIP보안을 확장하여 다른 비Ethernet/IP 네트워크를 지원할 수 있도록 한다. 일반적으로 CIP 보안 메커니즘에는 다음속성이 있어야 한다.
• 사용실적이 있는 오픈 보안표준을 가능한 한 활용한다.
• 다양한 리스크 프로파일[risk profiles] 및 디바이스 기능과 호환되는 보안옵션 및 확장 가능한 속성을 제공한다(필요한 경우 암호화적용 등)
• 기존네트워크 인프라구조(스위치, 라우터, 방화벽 등)와의 호환성 극대화
• 고객 암호화로 불필요로 보안을 최대화하고 수입 및 수출제한 최소화
• 구현은 가능한 한 다양한 OS플랫폼(임베디드, PC, Linux 등)을 지원하는 상용 및 오픈 소스로 이용할 수 있어야 한다.
• CIP 보안을 지원하는 디바이스는 같은 네트워크상에서 CIP보안을 지원하지 않는 디바이스와 상호 운용할 수 있어야 한다. 네트워크상에서 이러한 디바이스의 혼재를 허가 또는 허가하지 않는 것은 최종 사용자의 설정에 달려있다. 디바이스를 시큐어 통신[secure communications]과 비 시큐어 통신과 혼재시키는 경우는, 디바이스와 네트워크의 설정을 적절히 관리하는 것이 최종유저의 책임이다. 사용자는 방화벽이나 물리적 보안수단 등의 추가제어를 제공 할 수 있다.
• 실제구현은 IPSec[Internet Protocol Security] 또는 SSL[Secure Sockets Layer] 기반 가상 사설 망[VPN/Virtual Private Network] CIP 보안 등의 다른 IP 기반 보안 프로토콜과 호환되어야 하며 원격액세스 응용프로그램에 대처하기 위해 VPN 연결을 통해 실행할 수 있어야 한다.
 

그림 2는 보안이 없는 기존네트워크 프로토콜(CIP, EtherNet/IP 및 IP)과 CIP 보안의 일부로 제공되는 보안강화를 지원하는 네트워크프로토콜 간의 관계를 보여 준다.

그림 2와 같이 CIP 프로파일에 정의되어 있는 메커니즘은 EtherNet/IP 프로파일을 기반으로 구축되어 EtherNet/IP 트래픽에 안전한 전송을 사용할 것으로 예상된다.

보안 기술

CIP 보안은 다음과 같은 사용 실적이 있는 오픈 보안 기술을 폭넓게 사용한다.
• X. 509v3 디지털 증명서를 사용하여 사용자 및 디바이스에 암호화로 안전한 ID 제공
• TLS(Transport Layer Security) 및 DTLS(Datagram Transport Layer Security) 암호화
• EtherNet/IP트래픽에 데이터 무결 성 및 메시지 인증을 제공하는 암호화 방식인 해시 [Hashes] 또는 키 해시 메시지 인증 코드[HMAC(keyed-Hash Message Authentication Code)]
• EtherNet/IP데이터의 읽기 또는 표시를 허가 받지 않은 당사자가 방지하는 방식으로 메시지 또는 정보를 인코딩[encoding/부호화]하는 수단으로서의 엔십션[Encyption]

사양 가이드

CIP 보안은 CIP 디바이스의 보안 관련 요건 및 기능을 지정하고 네트워크에 의존하지 않는 재료 외에 CIP네트워크 고유의 재료(EtherNet/IP 등)도 포함한다. 현재형식에서 CIP보안 사양에는 다음 의 자료가 포함되어 있다.

• 1장: CIP 보안개요 이 기술 개요에 기재되어 있는 정보가 중복되어있다.
• 2장: 특정 CIP 네트워크와는 독립된 CIP 보안요건 및 현재 비어있는 이 장에서는 CIP 수준의 인증 및 인가에 대해 설명한다.
• 3장: EtherNet/IP 보안요건 및 EtherNet/IP 고유의 동작, 기초 자재[primary material]는 TLS[Transport Layer Security/어플리케이션과 어플리케이션의 통신보안을 위한 것] 및 DTLS[TLS의 기능을 UDP 계층위에 그대로 구현한 암호화 프로토콜]를 사용하여 EtherNet/IP를 통해 안전하게 전송하기 위한 메커니즘이다.
• 4장: 시운전 및 구성 요건과 디바이스보안 시운전 및 구성에 관한 동작
• 5장: 오브젝트라이브러리 CIP 보안에 관한 오브젝트
• 6장: 디바이스에서의 X. 509 증명서 사용과 관련된 증명서 관리의 요건과 동작
• 7장: EDS 파일 보안기능에 고유한 EDS파일 내용
• 8장: 보안 프로파일/각 보안 프로파일을 정의하는 요건과 권장사항에 대한 명확한 정의.

참고사항[References]
[1] https://www.owasp.org/index.php/Application_Threat_Modeling