본 논문은 ICT 융합 산업인 스마트 공장, 스마트 그리드, 스마트 홈, 스마트 교통, 스마트 헬스 케어 등의 분야에서 사용되는 서비스 기반 프로토콜들의 취약점을 분석하여 보안 위협을 도출하고 이를 탐지 및 차단할 수 있는 기술들을 제안하였다. 또한 프로토콜 공통의 보안 요소를 정의하고 해당 요소를 포함한 프로토콜 계층별 보안 모듈을 설계하여 개방형 환경에서 쉽고 빠르게 보안 기능을 개발할 수 있도록 하는 서비스 지향 프로토콜 보안 프레임워크를 설계하였다. 서비스 프로토콜 독립적인 보안 모듈과 특화된 보안 모듈을 분리한 프레임워크 구조로 개발하여 다양한 프로토콜이 사용되는 ICT 융합 산업 환경에서 유연하고 신속한 융합 보안 시스템 개발이 가능해 질것이다. 더불어 운영 중인 시스템에 필요한 보안 모듈을 탑재하여 ICT 서비스 네트워크의 전반적인 보안 수준을 향상시키고 보안 모듈별 재사용이 가능하여 산업 보안 분야에 생산성이 향상될 것이다.
본 논문은 ICT 융합 산업인 스마트 공장, 스마트 그리드, 스마트 홈, 스마트 교통, 스마트 헬스 케어 등의 분야에서 사용되는 서비스 기반 프로토콜들의 취약점을 분석하여 보안 위협을 도출하고 이를 탐지 및 차단할 수 있는 기술들을 제안하였다. 또한 프로토콜 공통의 보안 요소를 정의하고 해당 요소를 포함한 프로토콜 계층별 보안 모듈을 설계하여 개방형 환경에서 쉽고 빠르게 보안 기능을 개발할 수 있도록 하는 서비스 지향 프로토콜 보안 프레임워크를 설계하였다. 서비스 프로토콜 독립적인 보안 모듈과 특화된 보안 모듈을 분리한 프레임워크 구조로 개발하여 다양한 프로토콜이 사용되는 ICT 융합 산업 환경에서 유연하고 신속한 융합 보안 시스템 개발이 가능해 질것이다. 더불어 운영 중인 시스템에 필요한 보안 모듈을 탑재하여 ICT 서비스 네트워크의 전반적인 보안 수준을 향상시키고 보안 모듈별 재사용이 가능하여 산업 보안 분야에 생산성이 향상될 것이다.
This paper analyzes vulnerability of each service protocol used in ICT convergence industry, smart factory, smart grid, smart home, smart traffic, smart health care, and suggests technologies that can overcome security vulnerabilities. In addition, we design a service-oriented protocol security fram...
This paper analyzes vulnerability of each service protocol used in ICT convergence industry, smart factory, smart grid, smart home, smart traffic, smart health care, and suggests technologies that can overcome security vulnerabilities. In addition, we design a service-oriented protocol security framework that allows us to quickly and easily develop security functions in an open environment by defining a security element common to protocols and designing a security module for each protocol layer including the corresponding elements. Service protocol independent security module and specialized security module, it will be possible to develop flexible and fast security system in ICT convergence industry where various protocols are used. The overall security level of the ICT service network can be improved by installing the necessary security modules in the operating system, and the productivity can be improved in the industrial security field by reusing each security module.
This paper analyzes vulnerability of each service protocol used in ICT convergence industry, smart factory, smart grid, smart home, smart traffic, smart health care, and suggests technologies that can overcome security vulnerabilities. In addition, we design a service-oriented protocol security framework that allows us to quickly and easily develop security functions in an open environment by defining a security element common to protocols and designing a security module for each protocol layer including the corresponding elements. Service protocol independent security module and specialized security module, it will be possible to develop flexible and fast security system in ICT convergence industry where various protocols are used. The overall security level of the ICT service network can be improved by installing the necessary security modules in the operating system, and the productivity can be improved in the industrial security field by reusing each security module.
* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.
문제 정의
ICT 융합 산업 분야의 모든 프로토콜에 대하여 각각의 보안 기능을 개발하고 이를 탑재한 보안 시스템 구축은 비효율적인 상황으로 본 논문은 보다 쉽게 보안 기능을 탑재하고 다양한 서비스 프로토콜에 대한 보안 기능을 확보할 수 있는 보안 프레임워크를 개발하였다[17]. 프레임워크란 소프트웨어 어플리케이션 또는 솔루션 개발이 용이하도록 소프트웨어 기능의 설계와 구현을 재사용할 수 있는 형태로 제공하는 환경을 말한다.
프레임워크란 소프트웨어 어플리케이션 또는 솔루션 개발이 용이하도록 소프트웨어 기능의 설계와 구현을 재사용할 수 있는 형태로 제공하는 환경을 말한다. 본 논문은 프로토콜 공통의 보안 요소를 정의하고 해당 요소를 포함한 프로토콜별로 특화된 계층별 보안 모듈을 설계하여 개방형 환경에서 쉽고 빠르게 보안 기능을 개발할 수 있도록 API로 구현한 서비스 지향 프로토콜 보안 프레임워크를 제안하였다.
본 논문에서는 ICT 융합 산업 환경에서 복합화, 다 채널화 된 보안 위협을 분석하고 이러한 보안 위협에 대응할 수 있는 기술들을 제안하였다. 또한 프로토콜 공통의 보안 요소를 정의하고 해당 요소를 포함한 프로토콜 계층별 보안 모듈을 설계하여 개방형 환경에서 쉽고 빠르게 보안 기능을 개발할 수 있도록 하는 서비스 지향(Service Oriented) 프로토콜 보안 프레임워크를 설계하였다.
제안 방법
프로토콜 계층(L2/L3/L4)별 연동 노드 및 연동 서비스를 식별하고 프로파일을 기반으로 트래픽을 감시하여 트래픽 공격을 탐지한다. 5-Tuple 기준의 트래픽 임계치초과 발생시 DoS 및 DDoS를 감시하는 Flooding 탐지 기능, GARP, ARP, ICMP, SYN, Broadcast MAC, Broadcast IP, IP Segment 등의 특수 패킷의 임계치 초과 탐지 기능 등을 수행한다.
트래픽의 연동 프로토콜을 식별 하고 및 패킷 구조를 분석하여 연동 노드에 대한 서비스 권한에 따른 트래픽제어 및 DPI 공격 탐지 기능을 수행한다. Payload 중 프로토콜별 패킷 Header DPI, 패킷 Payload DPI 공격 탐지로 나뉘며 function code, range, value 별로 DPI 공격을 탐지한다.
허가되지 않은 공격자에 대한 모든 접근을 탐지하는 기능으로 출발지와 목적지 IP/PORT 기반 접근 제어 기능, 출발지와 목적지 서비스 기반 주소(예: 도메인, 메일주소 등) 접근 제어 기능, 허가된 프로토콜을 제외한 네트워크프로토콜에대한접근제어기능, 국가별접근제어기능(GeoIP) 등을 수행한다. 접근 제어는 White/Black List 기반의 접근 제어가 가능하고 Static/Dynamic List 접근 제어 기능을 제공한다.
서비스 프로토콜 표준을 분석하여 프로토콜 파서를 통하여 프로토콜 메시지 관련 보안 기능을 제공한다.
프로토콜별로 메시지 구문 분석을 통해 비정상 메시지 구문 오류, 표시 형식 오류, 필수 파라미터 오류, 파라미터 상관 관계 오류 등을 감시하여 공격을 탐지한다.
프로토콜별로 금지어를 사용한 메시지 공격을 탐지하는 네거티브 시그니처 공격 탐지 및 필수어를 포함하지 않은 메시지 공격을 탐지하는 포지티브 시그니처 공격탐지 기능을 제공한다.
허용된 운용 관리자만이 시스템 접속할 수 있도록 관리자 권한을 판단하고 인증하는 기능이다. 인증 실패 및 연속 실패 시 접속의 강제 차단 기능, 접속을 요청한 운용 시스템의 네트워크를 판별하고 접속이 허용된 IP 주소로부터만 접근을 가능하게 하는 관리자 접속 대역 식별 및 보안 기능을 제공한다.
시스템의 보안 감사 데이터가 저장되는 저장소의 여유 공간을 주기적으로 모니터링하여 여유 공간이 부족하여 감사 데이터 저장 실패가 발생하는 상황을 방지하기 위한 저장소 관리 기능을 제공한다.
본 논문에서는 ICT 융합 산업 환경에서 복합화, 다 채널화 된 보안 위협을 분석하고 이러한 보안 위협에 대응할 수 있는 기술들을 제안하였다. 또한 프로토콜 공통의 보안 요소를 정의하고 해당 요소를 포함한 프로토콜 계층별 보안 모듈을 설계하여 개방형 환경에서 쉽고 빠르게 보안 기능을 개발할 수 있도록 하는 서비스 지향(Service Oriented) 프로토콜 보안 프레임워크를 설계하였다. 다양한 프로토콜이 사용되는 네트워크 환경에서 본 논문에서 제안한 서비스 지향 프로토콜 보안 프레임워크를 적용한다면 빠르게 진화하는 네트워크에서 유연한 융합 보안 시스템 개발 환경을 제공할 수 있을 것이다.
성능/효과
0 산업용 프로토콜 표준 플랫폼인 OPC-UA 프로토콜로 변환해 주는 기술도 필요하다[13,14]. ICT 융합 산업 서비스구축 시 시간, 비용, 변경 최소화가 가능하고 OPC-UA프로토콜 변환 기능을 제공함으로써 보안이 고려되지 않은 기존 산업용 제어 시스템의 보안성을 확보하며 통합 환경에서의 SCADA 데이터 연동 및 감시 기능을 제공할 수 있다. 결론적으로 단방향 통신 기술, DPI 필터링 기술, 자기 유사도 및 상관 분석 기술, 서비스 지향 프로토콜 보안 기술, OPC-UA 프로토콜 변환 기술을 적절히 융합하여 기존 서비스 망의 변경을 최소화하면서 보안을 강화한 서비스 지향 프로토콜 융합 보안 기술이 필요하다.
ICT 융합 산업 서비스구축 시 시간, 비용, 변경 최소화가 가능하고 OPC-UA프로토콜 변환 기능을 제공함으로써 보안이 고려되지 않은 기존 산업용 제어 시스템의 보안성을 확보하며 통합 환경에서의 SCADA 데이터 연동 및 감시 기능을 제공할 수 있다. 결론적으로 단방향 통신 기술, DPI 필터링 기술, 자기 유사도 및 상관 분석 기술, 서비스 지향 프로토콜 보안 기술, OPC-UA 프로토콜 변환 기술을 적절히 융합하여 기존 서비스 망의 변경을 최소화하면서 보안을 강화한 서비스 지향 프로토콜 융합 보안 기술이 필요하다.
주요한 운용 결과 데이터 및 프로세스 무결성을 감시하고 허락되지 않은 운용 시도 및 변조 여부를 판단하는 보안 기능을 제공한다.
본 논문에서 제안한 보안 프레임워크는 [Fig 6]과 같이 기존의 네트워크 및 웹 방화벽 보안 기능을 포함할 뿐만 아니라 표준 단체에서 제안하지 못한 서비스 프로토콜 메시지 분석 및 상태 감시를 통하여 서비스 기반 프로토콜에 특화된 보안 기능을 제공하고 있다.
후속연구
또한 프로토콜 공통의 보안 요소를 정의하고 해당 요소를 포함한 프로토콜 계층별 보안 모듈을 설계하여 개방형 환경에서 쉽고 빠르게 보안 기능을 개발할 수 있도록 하는 서비스 지향(Service Oriented) 프로토콜 보안 프레임워크를 설계하였다. 다양한 프로토콜이 사용되는 네트워크 환경에서 본 논문에서 제안한 서비스 지향 프로토콜 보안 프레임워크를 적용한다면 빠르게 진화하는 네트워크에서 유연한 융합 보안 시스템 개발 환경을 제공할 수 있을 것이다. 향후 본 논문에서 제안한 보안 프레임워크를 개발하고 개발된 보안 프레임 워크 기반의 다양한 ICT 융합 산업제어 보안 시스템 개발 관련 후속 연구가 수행될 것이다.
다양한 프로토콜이 사용되는 네트워크 환경에서 본 논문에서 제안한 서비스 지향 프로토콜 보안 프레임워크를 적용한다면 빠르게 진화하는 네트워크에서 유연한 융합 보안 시스템 개발 환경을 제공할 수 있을 것이다. 향후 본 논문에서 제안한 보안 프레임워크를 개발하고 개발된 보안 프레임 워크 기반의 다양한 ICT 융합 산업제어 보안 시스템 개발 관련 후속 연구가 수행될 것이다.
질의응답
핵심어
질문
논문에서 추출한 답변
스마트 융합 환경으로 인해 발전하고 있는 분야들은 무엇이 있는가?
[Fig. 1]과 같이 금융, 교통, 홈, 에너지, 공장, 의료/건강, 미디어 등의 다양한 분야의 산업들이 ICT와의 융합을 통해 발전하고 있다. 그러나 기존 ICT 분야에서 발생한 수많은 사이버 보안 사고가 더 지능화되어 ICT 융합 산업 분야에서 재현될 수 있는 가능성이 높아지고 있어 이를 극복할 수 있는 융합 보안 기술이 절실히 요구되고 있는 상황이다[1,2].
융합 보안은 무엇인가?
융합 보안은 물리보안과 정보보안 간의 융합 또는 보안 기술이 비 IT 기술과 융·복합되어 창출되는 보안 제품 및 서비스를 의미한다. ICT 융합 산업 환경에서는 ICT융합 산업이 확산됨에 따라 복합화, 다 채널화된 보안 위협을 극복할 수 있고 전기, 가스, 교통 등의 국가 중요 시설부터 TV, 세탁기, 냉장고 등 가정용 제품까지 대상으로 하는 융합 보안 기술이 필요하다.
단방향 통신 기술은 무엇인가?
단방향 통신 기술은 폐쇄 망을 개방형 양방향 망과 연결함으로 발생하는 보안 위협을 극복하기 위한 기술이다. 보안영역과 비 보안영역 망의 연동을 위해 인코딩/디코딩 기술을 사용하는 IP 주소가 없는 Non-Routable 통신기술, 전송 정보를 해킹 할 수 없도록 암호화하는 단 방향 암호화 기술, 전송 오류를 보정하는 순방향 오류 제어(FEC, Forward Error Correction) 기술, 장애 발생시 재전송 기술, 보안 비 보안 영역 시스템 간의 통신을 위한 단 방향 통신을 수행하는 Agent 통신 기술이 필요하다.
참고문헌 (17)
Keun-Ho Lee, "Analysis of Threats Factor in IT Convergence Security", Journal of the Korea Convergence Society, Vol. 1, No. 1, pp. 49-55, 2010.
Bong-Han Kim, "Analysis of Standard Security Technology for Security of the Network", Journal of digital Convergence, Vol. 13, No. 12, pp. 193-202, 2015.
Ha-Yong Lee, Hyo-Sik Yang, "Construction of Security Evaluation Criteria for Web Application Firewall", Journal of digital Convergence, Vol. 15, No. 5, pp. 197-205, 2017.
openADR Alliance, http://www.openadr.org
Electricity Metering Data Exchange - The DLMS/COSEM suite - Part5-3: DLMS/COSEM application layer, IEC 62056-5-3 Ed.1.0, International Electrotechnical Commission, 2013.
Electricity Metering Data Exchange - The DLMS/COSEM SUITE - Part6 - 1: COSEM Object Identification System (OBIS), IEC 62056-6-1 Ed.1.0, International Electrotechnical Commission, 2013.
Z. Shelby, K. Hartke, and C. Bormann, The Constrained Application Protocol (CoAP), IETF RFC 7252, IETF, 2014.
MQTT Version 3.1.1 OASIS Standard. 2014.
DNP User Group, "DNP V3.00 Documentation", DNP Product Documentation, 1995.
Electronic Engineering Co., "The Concept of CAN Protocol," Electronic Engineering Magazine, pp.114-120, 1998.
S.W. Shin, D.H. Kang, K.Y. Kim, and J.S. Jang, "Analysis of deep packet inspection technology", Electronics and Telecommunications Trends, Vol 19, No. 3, pp.117-124, 2004.
R. Stiennon, "DPI: next phase of firewall technology", Technology T-18-0340 Report, Gartner Group, 2002.
Nathan Pocock, Darek Kominek, and Paul Hunkar, "OPC-UA security how it works", Information Revolution 2014, 2014.
OPC unified architecture - part 1:overview and concepts, IEC62541, International Electrotechnical Commission, Feb. 2010.
KISA, "2017 Selected ten technologies that industry should pay attention to", 2017.
OWASP, "OWASP Top 10 2017", 2017.
H. J. Lee, Onechul Na, Soyoung Sung, Hangbae Chang, "A Design on Security Governance Framework for Industry Convergence Environment", Journal of the Korea Convergence Society, Vol. 6, No. 4, pp. 33-40, 2015
※ AI-Helper는 부적절한 답변을 할 수 있습니다.