$\require{mediawiki-texvc}$

연합인증

연합인증 가입 기관의 연구자들은 소속기관의 인증정보(ID와 암호)를 이용해 다른 대학, 연구기관, 서비스 공급자의 다양한 온라인 자원과 연구 데이터를 이용할 수 있습니다.

이는 여행자가 자국에서 발행 받은 여권으로 세계 각국을 자유롭게 여행할 수 있는 것과 같습니다.

연합인증으로 이용이 가능한 서비스는 NTIS, DataON, Edison, Kafe, Webinar 등이 있습니다.

한번의 인증절차만으로 연합인증 가입 서비스에 추가 로그인 없이 이용이 가능합니다.

다만, 연합인증을 위해서는 최초 1회만 인증 절차가 필요합니다. (회원이 아닐 경우 회원 가입이 필요합니다.)

연합인증 절차는 다음과 같습니다.

최초이용시에는
ScienceON에 로그인 → 연합인증 서비스 접속 → 로그인 (본인 확인 또는 회원가입) → 서비스 이용

그 이후에는
ScienceON 로그인 → 연합인증 서비스 접속 → 서비스 이용

연합인증을 활용하시면 KISTI가 제공하는 다양한 서비스를 편리하게 이용하실 수 있습니다.

STRIDE 위협 모델링에 기반한 스마트팩토리 보안 요구사항 도출
Derivation of Security Requirements of Smart Factory Based on STRIDE Threat Modeling 원문보기

情報保護學會論文誌 = Journal of the Korea Institute of Information Security and Cryptology, v.27 no.6, 2017년, pp.1467 - 1482  

박은주 (고려대학교 정보보호대학원) ,  김승주 (고려대학교 정보보호대학원)

초록
AI-Helper 아이콘AI-Helper

최근 4차 산업혁명에 대한 관심이 증가하고 있다. 그 중 제조업 분야에서는 사이버 물리 시스템(CPS) 기술을 기반으로 제조의 모든 단계를 자동화, 지능화 시킨 스마트팩토리 도입이 확산되고 있는 추세이다. 스마트팩토리는 그 복잡도(Complexity)와 불확실성(Uncertainty)이 크기 때문에 예상치 못한 문제가 발생할 가능성이 높고 이는 제조 공정 중단이나 오작동, 기업의 중요 정보 유출로 이어질 수 있다. 스마트팩토리에 대한 위협을 분석하여 체계적인 관리를 수행할 필요성이 강조되고 있지만 아직 국내에서는 연구가 부족한 상황이다. 따라서 본 논문에서는 스마트팩토리의 전반적인 생산 공정 절차를 대상으로 Data Flow Diagram, STRIDE 위협 모델링 기법을 이용하여 체계적으로 위협을 식별한다. 그리고 Attack Tree를 이용해 위험을 분석하고 최종적으로 체크리스트를 도출한다. 도출된 체크리스트는 향후 스마트팩토리의 안전성 검사 및 보안 가이드라인 제작에 활용 가능한 정량적 데이터를 제시한다.

Abstract AI-Helper 아이콘AI-Helper

Recently, Interests on The Fourth Industrial Revolution has been increased. In the manufacturing sector, the introduction of Smart Factory, which automates and intelligent all stages of manufacturing based on Cyber Physical System (CPS) technology, is spreading. The complexity and uncertainty of sma...

주제어

#Cyber Physical Systems   #Smart Factory   #The Fourth Industrial Revolution   #Threat Modeling   #Security Requirements  

AI 본문요약
AI-Helper 아이콘 AI-Helper

문제 정의

  • 국내외적으로 스마트팩토리 도입이 증가하고 있을 뿐만 아니라 폐쇄적인 운영 방식을 지닌 기존의 제조 시스템과 차별적으로 다양한 기술과 환경이 통합된 스마트팩토리는 그 복잡도(Complexity)와 불확실성이(Uncertainty)이 크기 때문에 예상치 못한 문제가 발생할 가능성이 높음에도 불구하고 아직 위협 분석과 관련된 연구는 부족한 실정이다. 따라서 본 논문에서는 스마트팩토리의 현장 수준(Field Level)부터 관리자 수준(Management Level)까지 전반적인 생산 공정 절차를 대상으로 STRIDE 위협 분석 모델링을 통해 위협을 식별하고 최종적으로 스마트팩토리에 대한 보안 체크리스트를 도출하는 것을 목표로 한다.
본문요약 정보가 도움이 되었나요?

질의응답

핵심어 질문 논문에서 추출한 답변
ERP는 무엇인가? MES는 제품을 생산하기 위한 일정을 계획하고 계획에 따라 작업을 배정 한다. ERP는 기업 내 생산, 재무, 회계, 물류, 영업 등 경영 활동과 관련된 모든 절차들을 통합 관리해주는 시스템이다.
스마트팩토리에서는 다양한 통신 방식이 사용되는데 현장 수준에서 사용되는 장비들은 어떤 무선 통신을 사용할 수 있는가? 스마트팩토리에서 여러 장비들이 복합적으로 사용되는 만큼 다양한 통신 방식이 사용된다. 현장 수준에서 사용되는 장비들은 WirelessHART, Bluetooth 등의 무선 통신을 사용할 수 있으며 HART, AS-Interface, IO-Link와 같은 유선 통신도 사용 가능하다. 입출력 시스템과 제어 시스템 사이에서는 PROFIBUS, PROFINET과 같은 통신 방식이 사용되고, 관리자 수준에서는 IWLAN(Industrial Wireless LAN), Industrial Ethernet이 사용된다.
Attack Library란? Attack Library는 데이터 흐름도를 작성한 이후 시스템에 대한 위협들을 다양한 자료 조사를 통해 수집한 목록이다. Attack Library 작성을 통해 DFD 상에서 각 요소마다 발생 가능한 위협을 찾아낼 수 있다.
질의응답 정보가 도움이 되었나요?

참고문헌 (36)

  1. Edward A. Lee, "Cyber Physical Systems: Design Challenges", 11th IEEE International Symposium on Object Oriented Real-Time Distributed Computing (ISORC), pp. 363-369, May. 2008. 

  2. Alvaro A. Cardenas, Saurabh Amin, Shankar Sastry, "Secure Control: Towards Survivable Cyber-Physical Systems", The 28th International Conference on Distributed Computing Systems Workshops, pp. 495-500, Jun. 2008. 

  3. Injae Lee, "Domestic and Overseas Introduction Trends of Smart Factory", Institute for Information and Communications Technology Promotion, Sep. 2016. 

  4. Cyber Physical Systems Public Working Group, "Framework for Cyber-Physical Systems Release 1.0", May. 2016. 

  5. NIST, "Framework for Cyber-Physical Systems: Volume 1, Overview ", Jun. 2017. 

  6. NIST, "Framework for Cyber-Physical Systems: Volume 2, Working Group Reports", Jun. 2017. 

  7. NIST, "Framework for Cyber-Physical Systems: Volume 3, Timing Annex ", Jun. 2017. 

  8. NIST, "Guide to Industrial Control Systems (ICS) Security ", 2015. 

  9. Karnouskos, Stamatis. "Stuxnet worm impact on industrial cyber-physical system security." IECON 2011-37th Annual Conference on IEEE Industrial Electronics Society. IEEE, pp. 4490-4494, Jan. 2011. 

  10. Ciancamerla, Ester, Michele Minichino, and S. Palmieri. "Modeling cyber attacks on a critical infrastructure scenario." Information, intelligence, systems and applications (IISA), 2013 fourth international conference on. IEEE, pp. 1-6, Jul. 2013. 

  11. Brian Meixell, "Out of Control: Demonstrating SCADA Exploitation", Black Hat USA 2013. 

  12. Spenneberg, Ralf, Maik Bruggemann, and Hendrik Schwartke. "Plc-blaster: A worm living solely in the plc." Black Hat Asia, Marina Bay Sands, Singapore, 2016. 

  13. DEF CON 25 Hacking Conference, https://www.defcon.org/html/defcon-25/dc-25-index.html 

  14. Wollschlaeger, Martin, Thilo Sauter, and Juergen Jasperneite. "The future of industrial communication: Automation networks in the era of the internet of things and industry 4.0." IEEE Industrial Electronics Magazine, vol.11, no.1, pp. 17-27, Mar. 2017. 

    상세보기 crossref

  15. Black Hat USA 2016, http://www.blackhat.com/us-16/ 

  16. Lucas Apa, "Compromising Industrial Facilities from 40 Miles Away", Black Hat USA 2013. 

  17. Kim, HyungJun. "Security and vulnerability of SCADA systems over IP-based wireless sensor networks." International Journal of Distributed Sensor Networks, vol.8, no.11, Jan. 2012. 

    상세보기

  18. Thilo Sauter, "The continuing evolution of integration in manufacturing automation", IEEE Industrial Electronics Magazine, vol.1, no.1, pp.10-19, May. 2007. 

    상세보기 crossref

  19. D. Bauer, D. Stock, T. Bauernhansl, "Movement Towards Service-orientation and App-orientation in Manufacturing IT", Procedia CIRP, vol.62, pp.199-204, May. 2017. 

    상세보기 crossref

  20. Korea Embedded Software and System Industry Association, "Smart Factory Status and Implications", KESSIA ISSUE REPORT, Nov. 2015. 

  21. James Kettle, "Server-Side Template Injection: RCE for the modern webapp", Black Hat USA 2015. 

  22. Vanhoef, Mathy, and Tom Van Goethem. "HEIST: HTTP Encrypted Information can be Stolen through TCP-windows.", Black Hat USA 2016. 

  23. Sivakorn, Suphannee, Jason Polakis, and Angelos D. Keromytis. "HTTP Cookie Hijacking in the Wild: Security and Privacy Implications.", Black Hat USA 2016. 

  24. OWASP AppSec Europe '16, https://2016.appsec.eu/ 

  25. Kyle Wilhoit, "The Little Pump Gauge That Could: Attacks Against Gas Pump Monitoring Systems", Black Hat USA 2015. 

  26. Jason Larsen, "Remote Physical Damage 101 - Bread And Butter Attacks", Black Hat USA 2015. 

  27. ShmooCon Speakers 2016, http://shmoocon.org/2015/12/08/shmoocon-speakers-2016/ 

  28. Sergey Temnikov, "Pwning the Industrial IoT: RCEs and backdoors are around!", DEF CON 25, 2017 

  29. Black Hat Asia 2017, https://www.blackhat.com/asia-17/ 

  30. Emerson, "Emerson Wireless Security - Automation Solutions", Emerson Process Management, Feb. 2016. 

  31. MSB, "Guide to Increased Security in Industrial Control Systems", Swedish Civil Contingencies Agency, Nov. 2014. 

  32. SANS Institute, "Securing Industrial Control Systems-2017", Jun. 2017. 

  33. Kaspersky, "Industrial Control Systems Vulnerabilities Statistics", 2016. 

  34. MITRE, https://cve.mitre.org/ 

  35. Microsoft, https://msdn.microsoft.com/en-us/library/ee823878(vcs.20).aspx 

  36. Microsoft, Microsoft Threat Modeling Tool, https://www.microsoft.com/en-us/download/details.aspx?id49168 

관련 콘텐츠

오픈액세스(OA) 유형

FREE

Free Access. 출판사/학술단체 등이 허락한 무료 공개 사이트를 통해 자유로운 이용이 가능한 논문

이 논문과 함께 이용한 콘텐츠

저작권 관리 안내
섹션별 컨텐츠 바로가기

AI-Helper ※ AI-Helper는 오픈소스 모델을 사용합니다.

AI-Helper 아이콘
AI-Helper
안녕하세요, AI-Helper입니다. 좌측 "선택된 텍스트"에서 텍스트를 선택하여 요약, 번역, 용어설명을 실행하세요.
※ AI-Helper는 부적절한 답변을 할 수 있습니다.

선택된 텍스트

맨위로