선택한 단어 수는 입니다.
최소 단어 이상 선택하여야 합니다.
최소 단어 이상 선택하여야 합니다.
선택한 단어 수는 30입니다.
최대 10 단어까지만 선택 가능합니다.
최대 10 단어까지만 선택 가능합니다.
문제 정의
- 무엇보다 제어시스템은 무중단과 상시적인 가용성을 최우선으로 확보해야 한다는 측면에서, 향후 신규 제작·도입되는 설비에 대해서는 화이트리스트 탐지방법의 시스템 적용 가능성이 충분하리라 판단되지만, 현재 운영중인 에너지 기반보호시설에서는 직접 적용하기 어렵다는 실무적인 판단하에 본 논문에서는 화이트리스트 탐지방법에 대한 실증을 별도로 다루지 않았다.
- 현장 필드장치에 대한 실제 제어명령 실행 시 제어시스템 운전 및 가용성에 큰 영향을 미칠 수 있는 중요 제어명령을 분류하여, 침입탐지시스템에서 중요 제어명령에 대한 실행이나 위·변조를 실시간 탐지할 수 있는 시그니쳐기반 탐지룰 개발 방향성 제시를 목표로 하였다.
제안 방법
- 광역망 네트워크 보안관제 모델을 대상으로 제어시스템이 운영되는 시스템 환경과 유사한 독립 폐쇄망에서 Fig.9와 같이, 상위사업소 네트워크 접점구간에 위치하는 침입차단시스템에서 실시간 송·수신되는 보안로그를 24시간 취득·분석하였으며, 상세 내용은 Table 2와 같다.
- 단일망으로 구성된 에너지 기반보호시설은 운영기관이나 다양한 시스템 제조사에 따라 다소 상이한 네트워크 구성이 존재하지만, 본 논문에서는 에너지 기반보호시설의 대부분을 점유하고 있는 발전제어시스템의 일반적인 시스템 구성을 토대로 단일망에서 네트워크 보안관제 모델을 제안하였다.
- 무작위 트래픽을 생성하여 확산시키는 네트워크 웜·바이러스와 유사한 특성을 패킷 발생기를 이용하여 재연하였다.
- 본 논문에서는 과거 제어시스템 이상 징후 탐지방법에 관한 수많은 선행연구가 있었으나 제어시스템 보안관제를 위해 현장 적용이 용이한 네트워크 보안관제 모델이 선행 개발되지 않은 상황을 감안하여, 산업통상자원부 산하 전력, 가스 등 에너지 기반보호시설에서 발생 가능한 악성코드를 효과적으로 탐지·방어할 수 있는 현장 상황을 고려한 네트워크 보안관제 모델을 제안하고 현장에서 취득된 데이터를 분석하여 보안관제시스템에 적용 가능한 탐지요소를 개발하였다.
- 본 연구에서 광역망 에너지 기반보호시설의 보안관제를 위해 최소 필요 보안설비로 제안한 침입탐지시스템 및 침입차단시스템에서 생성된 보안이벤트를 제어시스템과 격리된 관제망으로 안전하게 전송하기 위해서는 국가사이버안전센터의 “국가 기반시설 전자제어시스템 보안가이드라인”을 준용한 방식으로 전송하여야 하며, Fig.4와 같이 에너지 기반보호시설에서는 외부에서 원격 접근이 원천적으로 불가능한 일방향통신장치나 Non-TCP/IP기반 공유 스토리지 전송시스템을 이용한 네트워크 구성으로 연계한다.
- 본 연구에서 에너지 기반보호시설의 보안관제 시, 최소 필요 보안설비로 제안한 침입탐지시스템과 침입차단시스템을 이용하여 광역망에서 정상 동작 범위를 벗어나는 비정상 행위기반 탐지요소 개발을 위해 침입차단시스템의 허용·거부 보안로그를 활용하였다.
- 네트워크 보안관제 모델로 제시된 네트워크 구성과 유사한 시뮬레이션 환경을 구축하여 중요 제어명령의 실행과 내부의 네트워크 웜·바이러스나 서비스 거부공격과 같은 유해 트래픽 유입 시, 제5장에서 개발된 침입탐지시스템의 시그니쳐기반 탐지룰과 침입차단시스템의 행위기반 탐지요소를 활용하여 효과적으로 탐지 가능함을 확인하였다. 에너지 기반보호시설과 유사한 시뮬레이션 환경에서 내부의 이상 징후 탐지를 위하여 네트워크 스위치의 port-mirroring 기술을 활용하여 침입탐지시스템으로 모든 패킷을 주입시켰다. 또한, 중요 제어명령에 대한 실행 등 이상징후 탐지 효과성을 검증하기 위하여 침입탐지시스템에 제작된 열림/닫힘에 대한 탐지룰을 적용하여, 운전단말에서 열림/닫힘 명령 실행 시 침입탐지시스템에서 효과적으로 탐지 가능함을 실증하였다.
- 이를 위해 국내 에너지 기반보호시설에서 운용중인 현장용 시뮬레이터를 이용하여 운전단말에서 현장 필드장치 제어를 위한 열림/닫힘 제어명령 실행 시, 주장치서버와 FEP장치로 전달되는 패킷을 일정시간 수집·분석하였으며 수집된 패킷의 요약은 Fig.15와 같다.
- 7과 같이 물리적으로 완전 독립되어 운영중인 발전소(호기)별 제어시스템은 운전정보(PI)의 회사 경영정보 활용으로 상위 네트워크 구간인 발전전용망(FA)에서 통합 연계되고 있으며, 이로 인해 특정 발전소(호기) 제어시스템에서 악성코드 유입 시 발전전용망을 통해 직할의 타 발전소 제어시스템으로 피해 확산이 가능한 구성 취약점이 존재한다. 이에 대한 방지대책으로 발전소(호기)별 상위 연결 네트워크 접점구간에 침입차단시스템을 적용하여 발전소(호기)별 네트워크 격리를 유지하면서 관제망으로 안전하게 데이터를 전달하도록 구성한다.
- 일례로 상위사업소에 위치하고 있는 운전원이 직할 제어시스템을 제어하게 되면 해당시스템이 직접 연결되어 있는 네트워크 스위치로 모든 제어용 데이터가 유입되고, 원격지의 하위사업소 제어시스템의 계측이나 제어를 수행하게 되면 운영에 필요한 모든 데이터는 전용회선을 통과하게 되어 있다. 이처럼 광역망에서 제어용 데이터 흐름과 네트워크 구성을 이해하고 광역망 기반보호시설에서 발생되는 보안이벤트를 수집하여 보안관제시스템에 활용하기 위해서는 Fig.2와 같이, 제어용 트래픽이 유입되는 최적의 네트워크 구간에 이상 트래픽 탐지가 가능한 보안시스템을 배치하여야 하며, 본 논문에서는 보안관제시스템으로 가장 활용도가 높은 침입탐지시스템(IDS)과 침입차단시스템(firewall)을 이용한 보안관제 모델을 제안하였다.
- 9와 같이, 상위사업소 네트워크 접점구간에 위치하는 침입차단시스템에서 실시간 송·수신되는 보안로그를 24시간 취득·분석하였으며, 상세 내용은 Table 2와 같다. 일반적으로 침입차단시스템에서 생성되어 보안관제시스템으로 Syslog 포맷 전송 가능한 보안로그 객체는 출발지IP, 목적지IP, 목적지Port, 사용프로토콜, 전송량, 수신량, 유지시간 등으로 분류할 수 있으며, 본 논문에서는 취득된 광역망 침입차단시스템의 보안로그를 분석하여 보안관제시스템의 활용 가능한 탐지요소를 개발하였다.
- 제안된 네트워크 보안관제 모델에서 침입탐지시스템과 침입차단시스템이 변화된 이상 징후를 효과적으로 탐지 가능함을 실증하기 위해, 에너지 기반보호시설의 보안관제 방향성으로 제시된 네트워크 보안관제모델과 유사한 시뮬레이션 환경을 구성하였다.
- 중요 제어명령의 실행이나 위·변조를 실시간 탐지할 수 있는 시그니쳐기반의 탐지룰 개발을 위해 Fig.9와 같이, 국내 에너지 기반보호시설에서 사용 중인 현장용 시뮬레이터를 이용하여, 운전단말에서 현장단말장치(RTU) 제어를 위한 열림/닫힘 제어명령 실행 시 주장치서버와 FEP으로 전달되는 모든 데이터를 패킷분석툴을 이용하여 수집하였다.
- 현장 필드장치 제어에 관여하는 문자열을 추출하여 제어시스템의 가용성에 직접 영향을 미치는 열림/닫힘과 같은 중요 제어명령 실행이나 위·변조 상황을 실시간 모니터링하기 위하여 Table 4와 같이 침입차단시스템에 적용 가능한 Snort룰을 제작하였다.
- 79%)인 것으로 확인되었다. 현장 필드장치의 열림/닫힘 실행에 직접 연관된 명령코드를 확인하여 침입탐지시스템에 적용 가능한 시그니쳐를 개발하기 위하여, 운전단말에서 열림/닫힘 실행 시 발생되는 패킷(Push, Ack)을 집중 수집하였으며, 이를 통해서 현장 필드장치 열림/닫힘에 관여하는 패킷을 특정할 수 있었다.
대상 데이터
- 그리고, 단일망과 광역망을 모두 포함하는 직할 구간에서 중요 제어명령의 실행이나 위·변조 상황을 실시간 모니터링 할 수 있는 시그니쳐기반 탐지룰 개발을 위해 실제 운전환경과 유사한 현장용 시뮬레이터에서 데이터를 취득하였다.
성능/효과
- 원격지 단말PC로 다량의 Ping을 이용한 서비스 거부공격 수행 시 침입탐지시스템에서 Ping 공격과 관련된 다수의 제조사 탐지룰로 정상 탐지됨을 확인하였다.
- 결론적으로 본 논문에서 에너지 기반보호시설의 보안관제 방향성으로 제안한 네트워크 보안관제 모델이 zero-day 공격이나 정상 서비스를 이용한 APT 공격 등 unknown-attack에는 추가적인 분석 등 한계가 존재할 수 있지만, known-attack에 대해서는 완벽한 탐지가 가능함을 실증하였다.
- 네트워크 보안관제 모델로 제시된 네트워크 구성과 유사한 시뮬레이션 환경을 구축하여 중요 제어명령의 실행과 내부의 네트워크 웜·바이러스나 서비스 거부공격과 같은 유해 트래픽 유입 시, 제5장에서 개발된 침입탐지시스템의 시그니쳐기반 탐지룰과 침입차단시스템의 행위기반 탐지요소를 활용하여 효과적으로 탐지 가능함을 확인하였다.
- 또한 본 연구에서는 zero-day 보안취약점 탐지 한계를 가지고 있는 시그니쳐기반 탐지방법을 새로운 시각에서 제어시스템의 가용성에 직접적인 영향을 미칠 수 있는 중요 제어명령을 분류하고, 이에 대한 실행이나 위·변조에 대한 이상 징후를 실시간 탐지 가능한 탐지패턴으로 제작할 수 있는 방향성을 제시하였으며 유사한 시뮬레이션 환경에서 효과적인 탐지가 가능함을 실증하였다는데 의미를 부여할 수 있다.
- 또한, 네트워크 웜·바이러스와 같이 무작위 생성된 유해 트래픽의 원격지 확산 시 침입차단시스템에서 안정적으로 차단 가능함을 확인하였다.
- 에너지 기반보호시설과 유사한 시뮬레이션 환경에서 내부의 이상 징후 탐지를 위하여 네트워크 스위치의 port-mirroring 기술을 활용하여 침입탐지시스템으로 모든 패킷을 주입시켰다. 또한, 중요 제어명령에 대한 실행 등 이상징후 탐지 효과성을 검증하기 위하여 침입탐지시스템에 제작된 열림/닫힘에 대한 탐지룰을 적용하여, 운전단말에서 열림/닫힘 명령 실행 시 침입탐지시스템에서 효과적으로 탐지 가능함을 실증하였다.
- 마지막으로 실제 제어시스템 운영 환경과 유사한 시뮬레이션 환경을 구성하고 개발된 탐지요소를 네트워크 보안관제 모델에 적용하여, 과거 에너지 기반보호시설에서 발생되었던 네트워크 웜·바이러스나 서비스거부공격 등 유해 환경을 임의 발생시켜 제안된 네트워크 보안관제 모델 이 효과적으로 이상 징후 탐지 가능함을 실증하였다.
- 무엇보다 지난 수년간 제어시스템 이상 징후 탐지 방법론에 대한 국내·외 수많은 논문이 발표되었지만 본 논문에서는 제어시스템에 대한 탐지 방법론 제시에 국한하지 않고, 제어시스템 내부 트래픽에 대한 적극적인 보안관제 수행을 위해서는 침입탐지시스템이나 침입차단시스템과 같은 보안시스템을 어떻게 배치해야 효과적으로 이상 징후 탐지가 가능한지 실제 현장에 적용 가능한 구체적인 네트워크 보안관제 모델과 방향성을 제시하였다는데 의미를 부여할 수 있다.
- 본 연구에서 네트워크 보안관제 모델로 제시된 네트워크 구성과 유사한 시뮬레이션 환경을 구축하여 실증한 결과, 침입탐지시스템에서 다양한 서비스거부 공격 및 시그니쳐로 개발한 중요 제어명령에 대한 실행이나 위·변조에 대한 실시간 탐지가 가능함을 확인하였다.
- 수집된 패킷의 사용 프로토콜 분석 결과, 현장 필드장치의 열림/닫힘 명령 등 제어시스템 운전에 사용되는 프로토콜은 전체 IP(94.44%)에서 대부분 TCP(93.79%)인 것으로 확인되었다. 현장 필드장치의 열림/닫힘 실행에 직접 연관된 명령코드를 확인하여 침입탐지시스템에 적용 가능한 시그니쳐를 개발하기 위하여, 운전단말에서 열림/닫힘 실행 시 발생되는 패킷(Push, Ack)을 집중 수집하였으며, 이를 통해서 현장 필드장치 열림/닫힘에 관여하는 패킷을 특정할 수 있었다.
- 실제 취득 데이터를 이용한 상세 분석결과, 이상징후 탐지를 위해 보안관제시스템의 탐지요소로 활용가능한 침입차단시스템의 보안로그 객체는 출발지·목적지 IP주소, 목적지 포트로 분류되었으며, 사용 프로토콜, 송·수신 데이터량, 유지시간 등 그 외 보안로그 객체의 탐지요소 활용에는 해당 제어시스템에 대한 추가적인 검토가 필요함을 확인하였다.
- 실제 취득된 데이터 분석결과, Fig.12에서와 같이 송신 데이터량의 분포가 최소 70bytes에서 최대 941,082bytes로 10,506건의 지나치게 광범위하고 일정한 규칙성이 존재하지 않아 보안관제시스템에서 이상징후를 판단하는 탐지요소로 활용하기에는 어려움이 있음을 확인하였다.
- 실제 취득된 데이터 분석결과, Fig.13에서와 같이 수신 데이터량의 분포가 최소 0Bytes에서 최대 38,576Bytes로 1,330건의 지나치게 광범위하고 일정한 규칙성이 존재하지 않아 보안관제시스템에서 이상징후를 판단하는 탐지요소로 활용하기에는 어려움이 있음을 확인하였다.
- 침입차단시스템에서 유지시간은 설비별 상호 데이터 송·수신을 위해 일정시간 통신이 유지되는 시간을 의미한다. 실제 취득된 데이터에서 보안로그의 유지시간은 Fig.14에서와 같이 최소 3ms에서 최대 4,401ms까지 47건으로 상대적으로 IP주소나 목적지 포트에 비해 불규칙한 특성을 가지고 있음을 확인하였으며, 로그수집 기간을 길게 할수록 분포가 넓어져 보안관제시스템에서 이상 징후를 판단하는 탐지요소로 활용하기에는 어려움이 있음을 확인하였다.
- 실제 취득된 데이터에서도 Fig.11에서 보는바와 같이, 목적지 포트의 분포는 7건으로 일정한 규칙성이 존재함을 확인하였으며 이를 통해 사전 정의된 목적지 포트를 벗어나는 접속에 대해서는 비정상행위로 분류하여 탐지 가능함을 확인하였다.
- 실제 측정 데이터 분석결과, Fig.10와 같이 정상운전 상황에서는 내부시스템에 사전 정의된 IP주소로 형성된 IP세션이 5개 확인되었으며, 그 외 비정형 IP세션의 보안로그는 검출되지 않았다.
- 원격지 단말PC로 UDP Flooding 공격 툴을 이용하여 다량의 공격 수행 시 침입탐지시스템에서 UDP와 관련된 다수의 제조사 탐지룰로 정상 탐지됨을 확인하였다.
- 원격지 단말PC로 다량의 Ping을 이용한 서비스 거부공격 수행 시 침입탐지시스템에서 Ping 공격과 관련된 다수의 제조사 탐지룰로 정상 탐지됨을 확인하였다.
- 무작위 트래픽을 생성하여 확산시키는 네트워크 웜·바이러스와 유사한 특성을 패킷 발생기를 이용하여 재연하였다. 이후 시뮬레이션 환경과 무관한 IP와 Port로 유해 트래픽 발생 시 원격지 네트워크로 확산되는 과정에서 네트워크 접점구간에 설치된 침입 차단시스템에서 완벽히 차단되어 피해확산 방지가 가능함을 확인하였다.
- 정상 통신을 가장한 지능화된 공격탐지에 대해서는 추가적인 고려가 필요하지만 일반적인 네트워크 웜·바이러스와 같이 무작위 네트워크를 임의 생성하여 유해 트래픽을 다량 발생시키는 악성코드의 제어시스템 유입 시, 이상 징후를 확인할 수 있는 탐지요소로 활용 가능함을 확인하였다.
- 지금까지의 제어시스템에 대한 보안관리정책은 주로 관리적·물리적인 접근 통제방법에 치중하여 운영되었으나, 본 연구에서는 제어시스템에 대한 보안관제 필요성을 역설하였으며 지능화되고 고도화되고 있는 제어시스템에 대한 사이버 공격으로부터 에너지 기반보호시설에 대한 안전성을 강화하기 위해서는 기존 관리적·물리적 접근통제의 한계를 인정하고, 제어시스템 내부 트래픽에 대한 능동적인 보안관제 필요성을 강조하였다.
- 침입차단시스템의 보안로그에서 확인 가능한 프로토콜은 TCP, UDP, ICMP로 크게 분류 가능하며, 이는 범용 TCP/IP기반 통신방식의 특성을 나타내는 것으로 제어시스템만의 이상 징후를 판단하는 탐지요소로 활용하기에는 한계가 존재함을 확인하였다.
- 현장용 시뮬레이터를 이용한 실제 취득 데이터 상세 분석결과, 에너지 기반보호시설의 가용성에 심각한 영향을 미칠 수 있는 중요 제어명령에 대한 이상징후 탐지를 위해 중요 제어명령에 대한 탐지룰을 개발하고 이를 침입탐지시스템에 적용하여 실시간 모니터링이 가능하다는 점을 실증하였다.
후속연구
- 닫힘 제어명령 실행 결과, Table 4의 닫힘 탐지 공격명으로 탐지됨을 확인하였으며, 이를 통해 향후 시그니쳐 정밀화 연구를 통해 명령코드의 위·변조시 탐지 가능성을 확인하였다.
- 운전단말에서 열림 제어명령 실행 결과, Table 4의 열림 탐지 공격명으로 탐지됨을 확인하였으며, 이를 통해 향후 시그니쳐 정밀화 연구를 통해 명령코드의 위·변조시 탐지 가능성을 확인하였다.
- 향후 연구방향으로는 중요 제어명령에 대한 실행이나 위·변조 상황의 실시간 탐지 정확도를 높이는 시그니쳐 정밀화 연구와 본 연구에서는 제어시스템 외부 연계접점 구간의 물리적 일방향통신장치 적용 등 보안조치로 제어시스템에 악성코드가 유입 될 수 있는 가능성을 USB 등 외부저장매체를 연결할 필요가 있는 컴퓨터단말로 국한하여, 제어용 컴퓨터단말에서 발생 가능한 이상 징후 탐지에 집중하였으나, 향후 IED (Intelligent Electronic Device)와 같은 TCP/IP기반의 현장 필드장치의 산업현장 확대에 대비한 연구가 필요하리라 판단된다.
※ AI-Helper는 부적절한 답변을 할 수 있습니다.