$\require{mediawiki-texvc}$

연합인증

연합인증 가입 기관의 연구자들은 소속기관의 인증정보(ID와 암호)를 이용해 다른 대학, 연구기관, 서비스 공급자의 다양한 온라인 자원과 연구 데이터를 이용할 수 있습니다.

이는 여행자가 자국에서 발행 받은 여권으로 세계 각국을 자유롭게 여행할 수 있는 것과 같습니다.

연합인증으로 이용이 가능한 서비스는 NTIS, DataON, Edison, Kafe, Webinar 등이 있습니다.

한번의 인증절차만으로 연합인증 가입 서비스에 추가 로그인 없이 이용이 가능합니다.

다만, 연합인증을 위해서는 최초 1회만 인증 절차가 필요합니다. (회원이 아닐 경우 회원 가입이 필요합니다.)

연합인증 절차는 다음과 같습니다.

최초이용시에는
ScienceON에 로그인 → 연합인증 서비스 접속 → 로그인 (본인 확인 또는 회원가입) → 서비스 이용

그 이후에는
ScienceON 로그인 → 연합인증 서비스 접속 → 서비스 이용

연합인증을 활용하시면 KISTI가 제공하는 다양한 서비스를 편리하게 이용하실 수 있습니다.

전력 제어시스템에서 안전한 보안 인증을 위한 메커니즘 소개 원문보기

情報保護學會誌 = KIISC review, v.24 no.3, 2014년, pp.44 - 53  

박준용 (동국대학교 공과대학 정보통신공학과) ,  민남홍 (동국대학교 국제정보대학원 정보보호학과 모바일 클라우드보안 전공) ,  하기웅 (동국대학교 국제정보대학원 정보보호학과 모바일 클라우드보안 전공) ,  유기순 (동국대학교 국제정보대학원 정보보호학과 모바일 클라우드보안 전공) ,  송경영 (울산과학대학교 전기전자공학부)

초록
AI-Helper 아이콘AI-Helper

최근 전력 제어시스템의 자동화 효율(Automation Efficiency)과 상호운용성(Interoperability)을 높이기 위해 공개된 표준 프로토콜과 상용 시스템을 사용하게 되었고 외부망과의 연결 필요성이 증가됨에 따라 SCADA 시스템에 대한 공격 위협성이 증가하고 있다. 그러나 전력 제어시스템의 중앙제어장치(Master)와 현장 운영장치(Outstation) 간 데이터를 교환하기 위한 통신 규격인 DNP(Distributed Network Protocol) 프로토콜은 보안을 고려하지 않고 개발되어 통신규격 자체에 보안 취약점을 가지고 있었고, 제어시스템에 대한 사이버 위협 요소도 크게 증가하고 있다. 정보통신 기술의 발전과 개방형 망이 갖는 장점을 취하기 위하여 DNP3 프로토콜TCP/IP 네트워크를 지원하게 되었고, TCP/IP 네트워크가 가지고 있는 기존의 보안 취약점(Vulnerability)이 전력 제어시스템 및 통신망에 그대로 이전되고 있어 중앙제어장치와 현장운영장치 간에 DNP3 표준에서 제시한 사항 외에 추가적인 보안 메커니즘이 요구된다. 본 논문에서는 SCADA 시스템이 보안성을 갖고 안전하게 운용되기 위한 IEEE DNP3 표준과 ISO/IEC TC57 WG15에서 권고하고 있는 IEC 62351 표준의 인증 및 암호화 메커니즘을 소개한다.

AI 본문요약
AI-Helper 아이콘 AI-Helper

* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.

문제 정의

  • 특히 SCADA 시스템에 연결되어 있는 Master와 Outstation에서 사용자 및 기기 인증을 통해 접근통제의 신뢰성 확보한 뒤, 권한을 부여하는 것은 아주 중요한 메커니즘이라고 할 수 있다. 따라서 이번 장에서는 SCADA 시스템의 보안성 향상을 목표로 ISO/IEC TC57 WG15에서 권고하고 있는 IEC 62351 표준의 인증 및 암호화 메커니즘을 소개하고자 한다. IEC 62351 표준은 IEC 60870-5, IEC 61850, IEC 61970, IEC 61980을 기반으로 하는 전력자동화 프로토콜의 정보보안을 위한 표준으로 전자서명, 인증 엑세스, 도청 예방, 침입탐지, 네트워크 및 시스템 관리, 역할기반 접근제어(RBAC), 인증 및 보안키 관리 등 스마트그리드 및 연계 정보의 보호방안을 제시하고 있다[8].
  • 로그인 할 때마다 그 세션에서만 사용 가능한 일회성 패스워드를 생성하여 사용자에 대한 로그인 정보 유출을 최소화하기 위한 방식이다. 변형 패스워드 방식은 단방향 해시함수 H를 도입하여 위 패스워드 방식의 문제점을 해결하고 있다.
  • 본 논문에서는 전력 제어시스템에서 보안 인증에 관련된 프로토콜 및 취약점을 알아보고 DNP3 프로토콜의 패킷을 분석한 다음 전력 제어시스템에 안전하게 접속하기 위한 인증 및 암호화 메커니즘을 소개하고자 한다. 이를 위한 본 논문은 다음과 같이 구성된다.
  • 본 논문에서는 중앙 제어장치와 현장 운영장치간의 연결이 요구될 때 보안성을 고려한 상호 인증(Authentication)과 연결된 보안채널 내 전송되는 제어 명령에 대한 무결성(Integrity)을 검증하기 위한 암호화 메커니즘을 소개하고자 한다.
본문요약 정보가 도움이 되었나요?

질의응답

핵심어 질문 논문에서 추출한 답변
보안 인증 구현 프로토콜이란 무엇인가? 보안 인증 구현 프로토콜이란, 네트워크망에서 사용자 인증 또는 기기 인증과 관련되는 보안서비스를 제공하는 프로토콜로써 현재까지 네트워크 시스템에서 사용되는 주요 인증 방식은 Challenge-Response, Digital Signature, Transformed Passwords, Time Synchronous 방식이 있다[4].
Digital Signature는 어떤 방식인가? 인감 날인, 사인(서명) 같은 기능을 전자적으로 구현한 디지털 기술로 메시지마다 계산에 의해 디지털 서명을 다르게 만들어 서명 효과를 구현하는 방식이다. 또한 문서에 기재되는 서명의 위조 방지 보다는 서명이 된후 그 문서에 대해 변경행위의 검출에 주안점을 둔 것이며, 전자문서 내용에 대한 암호화가 아닌 서명자가 진짜 서명자임을 증명하고 작성 내용이 위 변조되지 않았음을 작성자가 부인할 수 없도록 증명하는 방식이다. 디지털 서명의 주요 조건은 인증(Authentication), 위 변조 불가능성(Integrity), 부인의 불가능성(Non-repudiation), 재사용 불가능성(Uniqueness), 진위 확인 가능성(Availability)이 갖추어져야 한다.
전력 제어시스템에 대한 보안 위협은 어떻게 발생할 수 있는가? 전력 제어시스템에 대한 보안 위협은 공격자, 봇넷, 피셔, 스팸 전파자, 테러리스트, 산업스파이, 내부자 등에 의한 악의적인 위협과 시스템 복잡성, 사람에 의한 실수 및 사고, 장치 고장 및 자연재해와 같은 다양한 위협 인자에 의해 발생할 수 있다. 이러한 위협으로부터 제어시스템을 보호하기 위해서는 심층 방어(defense-in-depth) 전략을 수립할 필요가 있다.
질의응답 정보가 도움이 되었나요?

참고문헌 (12)

  1. NIST, "Special Publication 800-82, Revision 2 Draft : Guide to Industrial Control Systems (ICS) Security", NIST SP 800-82, May 2014. 

  2. 장문수, 이건희, 김신규, 민병길, 김우년, 서정택, "DNP3 제어시스템 프로토콜 취약점 실험," 보안공학연구논문지, 7(1), pp. 15-28, Feb 2010. 

  3. 권성문, 손태식, "제어시스템 DNP3 프로토콜 취약점과 현황," 정보보호학회지, 24(1), pp. 53-58, Feb. 2014. 

    원문보기 상세보기

  4. Jaebok Cha, "Information Communication Technology Glossary Book", 2004 from http://www.ktword.co.kr/ 

  5. NIST, "Special Publication 800-82, Revision 1 Draft : Guide to Industrial Control Systems (ICS) Security", NIST SP 800-82, 3-2 Threat, May 2013. http://dx.doi.org/10.6028/NIST.SP.800-82r1 

  6. 유형욱, 윤정한, 손태식, "제어시스템 보안을 위한 whitelist 기반 이상징후 탐지 기법," 한국통신학회 논문지, 38B(8), pp. 646-647, June 2013. 

  7. IEEE, "IEEE Standard for Electric Power Systems Communications-Distributed Network Protocol (DNP3)", 7.Secure authentication, pp.171-266, Oct 2012 

  8. IEC, "IEC/TS 62351-2 TECHNICAL SPECIFICATION", 2.Terms and definitions, Aug 2008 

  9. Digital Bond, SCADA Security Portal, DNP3 User Group, 8. Feb. 2011 from http://www.digitalbond.com/DNP3UserGroupPolit ics 

  10. Digital Bond, SCADA Security Portal, DNP3 User Group, Function Code, Feb. 2011 from http://www.digitalbond.com/DNP3UserGroupPoli tics 

  11. Digital Bond, SCADA Security Portal, DNP3 User Group, Cryptography, Feb. 2011 from http://www.digitalbond.com/DNP3UserGroupPoli tics 

  12. Trend Micro, "TrandLabs SECURITY BLOG", 産業制御システムに?するサイバ?攻?, 攻?を 狙っているのは誰か?, Aug 2013 from http://www.trendmicro.co.jp/ics_cyberreport2 

저자의 다른 논문 :

관련 콘텐츠

섹션별 컨텐츠 바로가기

AI-Helper ※ AI-Helper는 오픈소스 모델을 사용합니다.

AI-Helper 아이콘
AI-Helper
안녕하세요, AI-Helper입니다. 좌측 "선택된 텍스트"에서 텍스트를 선택하여 요약, 번역, 용어설명을 실행하세요.
※ AI-Helper는 부적절한 답변을 할 수 있습니다.

선택된 텍스트

맨위로