$\require{mediawiki-texvc}$

연합인증

연합인증 가입 기관의 연구자들은 소속기관의 인증정보(ID와 암호)를 이용해 다른 대학, 연구기관, 서비스 공급자의 다양한 온라인 자원과 연구 데이터를 이용할 수 있습니다.

이는 여행자가 자국에서 발행 받은 여권으로 세계 각국을 자유롭게 여행할 수 있는 것과 같습니다.

연합인증으로 이용이 가능한 서비스는 NTIS, DataON, Edison, Kafe, Webinar 등이 있습니다.

한번의 인증절차만으로 연합인증 가입 서비스에 추가 로그인 없이 이용이 가능합니다.

다만, 연합인증을 위해서는 최초 1회만 인증 절차가 필요합니다. (회원이 아닐 경우 회원 가입이 필요합니다.)

연합인증 절차는 다음과 같습니다.

최초이용시에는
ScienceON에 로그인 → 연합인증 서비스 접속 → 로그인 (본인 확인 또는 회원가입) → 서비스 이용

그 이후에는
ScienceON 로그인 → 연합인증 서비스 접속 → 서비스 이용

연합인증을 활용하시면 KISTI가 제공하는 다양한 서비스를 편리하게 이용하실 수 있습니다.

풍력발전단지 보안수준 강화를 위한 제언: CSRF 공격 예방을 중심으로 원문보기

情報保護學會誌 = KIISC review, v.30 no.4, 2020년, pp.69 - 76  

김정완 (고려대학교 정보보호대학원) ,  김휘강 (고려대학교 정보보호대학원)

초록
AI-Helper 아이콘AI-Helper

본 연구에서는 신재생에너지의 큰 비중을 차지하고 있는 풍력발전의 ICT 환경을 조사하고 최신해킹사례를 분석하여, 예상되는 보안위협을 도출하였다. 이 중 가장 영향도가 높은 보안위협요소로 CSRF(Cross-Site Request Forgery) 공격을 선정하고 공격을 방어할 수 있는 인증강화모델을 제안하였다. 우선, 풍력발전 관련한 국제표준화 동향 및 대형제작사 구현실태를 살펴보고 CSRF 공격 예방을 위한 선행연구를 조사하였다. 선행연구의 이점을 접목하고 약점을 강화하여 재인증, CAPTCHA, OTP(One Time Password)와 같은 인증방식을 주요명령수행 구간에 임의로 표출시켜 인증시점의 불확실성(Entropy)을 높여 공격자가 쉽게 예측하지 못하도록 하였다. 명령수행과정의 일관성(고정성)이 매회 변화되므로 고정화된 형태의 CSRF 공격을 예방할 수 있다.

AI 본문요약
AI-Helper 아이콘 AI-Helper

* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.

문제 정의

  • 이 알고리즘을 구현하기 위해서는 웹서버에 별도의 테이블을 만들어, 일반/제어명령 구간에 대한 정의, 모든 페이지의 종속관계 저장, 현 구간에서의 인증방식 표출이력을 저장하여 운영에 참고할 수 있도록 하여야 한다. 본 연구에서는 개념설계를 목표로 하였다.
  • 본 연구에서는 풍력발전단지를 대상으로 한 사이버 공격 사례를 살펴보았으며.
  • 본 연구의 주목적은 무작위 추가인증적용을 통해 공격자의 자동화된 CSRF 공격을 방어하는 것이다. 여기에 더해 고도로 은닉된 해커가 내부에 침입해있다는 가정 하에, 별도의 보안에이전트 설치 없이 효과적으로 내부위협을 탐지하는 방안을 제안하고자 한다.
  • 본 절에서는 신재생에너지 부문 중 풍력발전단지를 대상으로 한 공격에 대해 조사하였다.
  • 실제 다수의 풍력발전단지를 운영하는 통합 웹관리 프로그램이 Shodan 서비스에 노출된 곳을 예시로 CSRF 방어대책을 설계해보고자 한다.
  • 여기에 더해 고도로 은닉된 해커가 내부에 침입해있다는 가정 하에, 별도의 보안에이전트 설치 없이 효과적으로 내부위협을 탐지하는 방안을 제안하고자 한다.
  • 이에 본 연구에서는 대규모 경제발전이 가능한 신재생에너지 부문의 풍력발전·태양광의 ICT 환경을 조사하고 최신해킹사례를 분석하여, 예상되는 핵심 보안취약점을 도출하고 이에 대한 예방책을 제시하였다.
  • 지금까지 풍력발전단지를 대상으로 한 공격과 취약점, 파급효과에 대해 살펴보았다. 앞서 살펴보았듯이 웹 기반의 관리S/W를 운영하는 관리자가 CSRF 공격에 노출 될 경우, 동 SW에서 설정할 수 있는 다양한 기능을 공격자가 임의로 조정할 수 있다.
본문요약 정보가 도움이 되었나요?

질의응답

핵심어 질문 논문에서 추출한 답변
CSRF의 취약점은 무엇인가? CSRF[4] 취약점은 XSS가 존재하는 웹사이트를 대상으로 공격자가 원하는 명령문을 스크립트로 작성해서(위조해서) 관리자에게 전송후, 관리자가 열람시 자동 실행되게끔 하는 공격방식이다. 홈페이지상의 모든 GET, POST 요청은 재연이 가능하기 때문에 관리자권한으로 임의명령 수행이 가능하여 웹기반의 취약점 중 SQL Injection 과 함께 가장 높은 위험도가 배정되어 있다.
Renewable Energy 관련 국제보안표준화 동향에는 어떤 것들이 있는가? 풍력발전을 포함한 Renewable Energy 관련 국제보안표준화 동향으로는 IEC-62433(공통, Oil and Gas 중심) 중 IEC 62443-3-3(Industrial communication networks), IEC 61850[2], NISTIR 7628(Guideline for Smart Grid Cber Security) 등이 있다. IEC 61850에서 스마트그리드상의 통신규격에 대해 상세하게 기술된 것처럼 보안을 고려한 구현표준에 대해서도 제정이 필요하다.
BlackHat 2017에서 발표한 풍력터빈에 사용되는 다양한 PAC들에서 공통적으로 발견되는 취약점을 통해 읽을 수 있는 값은? Turbine Speed, Blade 상태, Rotor 피치 각도, Rotor RPM, 나셀 방향, 온도측정, 컨트롤러 운영 상태 등.
질의응답 정보가 도움이 되었나요?

참고문헌 (13)

  1. 산업통상자원부, "재생에너지 3020 이행계획(안) 발표(보도자료)", Dec 2017. 

  2. 임성정, "전력유틸리티 자동화 표준, IEC 61850 의 표준개발 현황", Journal of the Electric World, Aug, 2015 

  3. CPNI, "The Cyber Assessment Frame work 3.0", Sep, 2019 

  4. MITRE, Common Weakness Enumerati on 352(CSRF, Cross Site Request For- gery) 

  5. DOE, "미연방에너지관리법(Public Law 93-275)", 1973-1974 

  6. OWASP, "Cross Site Request Forgery Prevention Cheet Sheet", Mar, 2018 

  7. Jason Staggs, "Adventures in Attacking Wind Farm Control Networks", Blakhat, Jul 2017 

  8. CyberScoop, "Utah renewables company was hit by rare cyberattack in March", Oct, 2019 

  9. SEGRID(Security for Smart Electricity GRIDs) 

  10. SEGRID, "D6.7 Final report on disse- mination and standardisation activit- ies", Jan, 2018 

  11. SEGRID, "D6.8 Elaborate use case scenario", Jan, 2018 

  12. 최재영, "웹사이트 구조와 사용패턴 분석을 통한 CSRF 공격 탐지", 융합보안논문지 제11권 제6호, 2011년 12월 

  13. 박진현, "서버와 사용자간 비밀 값을 이용한 보안성이 강화된 CSRF 방어", 한국통신학회논문지 제39권 제3호, 2014년 3월 

저자의 다른 논문 :

관련 콘텐츠

저작권 관리 안내
섹션별 컨텐츠 바로가기

AI-Helper ※ AI-Helper는 오픈소스 모델을 사용합니다.

AI-Helper 아이콘
AI-Helper
안녕하세요, AI-Helper입니다. 좌측 "선택된 텍스트"에서 텍스트를 선택하여 요약, 번역, 용어설명을 실행하세요.
※ AI-Helper는 부적절한 답변을 할 수 있습니다.

선택된 텍스트

맨위로