[논문]OT제어망에서 다중 제어시스템 접근통제용 공개키 기반 운용자 인증 방안

김대휘; 조인준

doi:10.5392/jkca.2022.22.09.064

OT제어망에서 다중 제어시스템 접근통제용 공개키 기반 운용자 인증 방안
Public Key-Based Operator Authentication Mechanism for Access Control of Multi-Control Systems in OT Control Network 원문보기

한국콘텐츠학회논문지 = The Journal of the Korea Contents Association, v.22 no.9, 2022년, pp.64 - 75

김대휘 (배재대학교 사이버보안학과) , 조인준 (배재대학교 사이버보안학과)

초록
AI-Helper

운용기술 중심의 OT제어망내의 다중 제어시스템들에 접근하는 방법은 각각의 제어시스템이 제공하는 운용자 인증기술을 사용한다. 그 예로 ID/PW 운용자 인증기술을 들 수 있다. 이 경우 OT제어망은 다중 제어시스템으로 구성되기 때문에 각각 제어시스템별로 운용자 인증기술이 적용되어야 한다. 따라서 운용자는 자신이 관리하는 제어시스템별로 인증정보를 관리해야 하는 불편을 감수해야한다. 이러한 문제 해결을 위해 비즈니스 중심의 IT망에서는 SSO기술을 사용한다. 하지만, 이를 OT제어망에 그대로 도입할 경우 OT제어망의 제한된 규모 및 신속한 운용자 인증 등의 특성이 반영되지 않아 현실적인 대안으로 볼 수 없다. 본 논문에서는 이러한 문제를 해결하고자 운용자인증기술로 공개키 기반 인증방안을 새롭게 제안하였다. 즉, OT제어망내의 모든 제어시스템들에 동일하게 적용되는 하나의 통합 공개키 인증서를 발행하고 이를 모든 제어시스템에 접근할 경우 활용함으로써 운용자의 인증정보관리의 단순화 및 제어시스템에 접근을 보다 효율적이고 안전하게 하였다.

Abstract ▼ AI-Helper

The method of accessing multiple control systems in the OT control network centered on operation technology uses the operator authentication technology of each control system. An example is ID/PW operator authentication technology. In this case, since the OT control network is composed of multiple control systems, operator authentication technology must be applied to each control system. Therefore, the operator must bear the inconvenience of having to manage authentication information for each control system he manages. To solve these problems, SSO technology is used in business-oriented IT networks. However, if this is introduced into the OT control network as it is, the characteristics of the limited size of the OT control network and rapid operator authentication are not reflected, so it cannot be seen as a realistic alternative. In this paper, a public key-based authentication mechanism was newly proposed as an operator authentication technology to solve this problem. In other words, an integrated public key certificate that applies equally to all control systems in the OT control network was issued and used to access all control systems, thereby simplifying the authentication information management and making access to the control system more efficient and secure.

주제어

표/그림 (10)

그림 그림 1. NSR의 ICS 운영환경 모델
그림 그림 2. OT제어망 인증기본 동작 제안
표 표 1. X.509 인증서형식
표 표 2. OT제어망용 인증서형식 제안
표 표 3. 표기법
그림 그림 3. 운용자(On) 등록 및 공개키 인증서/개인키 파일 발행절차
그림 그림 4. 제어시스템(Control_SYSn)에 운용자(On) 인증절차
그림 그림 5. 인증서 재발급 및 인증정보 재구성
표 표 4. 기존 공인/공동인증서기술과 제안인증기술 비교분석
표 표 5. 기존 인증기술과 제안인증기술 비교분석

AI 본문요약
AI-Helper

문제 정의

결론적으로 본 논문에서는 OT제어망의 보안성 강화를 위한 하나의 방안으로 SCADA제어 시스템만의 특성을 반영한 공개키 기반 다중제어시스템용 통합 인증방안을 새롭게 제안하였다. 이를 통해서 폐쇠망으로 운용되는 OT제어망 운용자들이 단일의 제어시스템마다 인증정보를 관리해야하는 번거로운 부담을 제거함과 동시에 해커에 의한 해킹을 최소화할 수 있어 OT제어망의 특화된 새로운 인증기술로 자리매김이 가능할 것으로 사료된다.
본 논문은 OT제어망에 적합한 운용자 인증기술 개선에 관한 내용이다. 본 논문에서 새롭게 제안한 인증기술이 ID/PW인증기술과 참고문헌[6]의 OT제어망 인증기술들에 내제된 여러 문제점들을 해결할 수 있음을 보였다.

가설 설정

셋째, 사용위치를 특정할 수 있다. 넷째, 보다 엄격한 운용자인증이 요구된다는 점을 반영한 것이다.

제안 방법

둘째, 특정 OT제어망 운용자가 특정 제어시스템에 접근통제 및 그 제어시스템 내 특정업무에 접근통제가 가능하도록 하였다. 즉, 현재 공인/공용인증서는 X.
본 논문에서는 상기와 같은 문제점들 때문에 적용이 어려운 공인/공동인증서 지원 PKI기술을 대체할 수 있는 OT제어망 전용 사설 PKI인증기술을 제안하였다. 제안한 인증기술은 폐쇄망으로 운영되는 OT제어망으로 한정되기 때문에 PKI기술에 대한 IETF표준을 엄격히 준용하기 보다는 OT제어망의 특성을 충분히 반영되도록 조정하여 제안하였다.
본 논문에서는 이러한 4가지 핵심내용을 반영하여 화이트리스트 운영자 인증기술을 구현하였다. 즉, 저비용으로 인증의 효율을 제고하고, 원천적으로 블랙 및 하드 햇 해커를 차단하도록 하였다.
이중에서도 고도의 보안과 가용성을 보장해야하는 OT제어망의 특성을 고려할 때, 각 제어시스템별로 분산 인증정보 관리는 커다란 문제점으로 인식되어 왔다. 본 제안에서 공개키기반 PKI기술을 수정하여 OT 제어망에 적합한 운용자인증서를 설계하고, 특정 운용자에게 하나의 설계된 인증서를 발행하고, 이를 통해서 다중제어시스템들에 접근할 수 있도록 하였다. 이를 통해서 중앙집중식 인증정보관리가 가능하여 기존의 분산 인증정보관리에 따른 여러 문제점들을 해결할 수 있는 방안을 새롭게 제시한 점도 성과라 볼 수 있다.
509 표준을 준용하여 활용되고 있다. 본 제안에서는 이 표준에서 불필요한 부분을 제거하고 특정제어시스템의 특정업무까지 접근통제가 가능하도록 수정하였다.
즉, OT제어망의 운용자들의 특성과 IT망 사용자의 특성을 서로 비교하여 OT제어망에 특화된 운용자 인증방안이다. 이 제안에서는 OT제어망 운용자의 특성을 4가지로 전제하고 제안한 방안이다. 첫째, 운용자를 특정할 수 있다.
본 논문에서는 상기와 같은 문제점들 때문에 적용이 어려운 공인/공동인증서 지원 PKI기술을 대체할 수 있는 OT제어망 전용 사설 PKI인증기술을 제안하였다. 제안한 인증기술은 폐쇄망으로 운영되는 OT제어망으로 한정되기 때문에 PKI기술에 대한 IETF표준을 엄격히 준용하기 보다는 OT제어망의 특성을 충분히 반영되도록 조정하여 제안하였다. 제안 기술의 핵심내용을 살펴보면 다음과 같다.
이들 중에서 OT제어망에 특화된 운용자 인증기술을 참고문헌[6]에서 새롭게 제안하였다. 즉, OT제어망의 운용자들의 특성과 IT망 사용자의 특성을 서로 비교하여 OT제어망에 특화된 운용자 인증방안이다. 이 제안에서는 OT제어망 운용자의 특성을 4가지로 전제하고 제안한 방안이다.

데이터처리

첫 번째는 현재 범용적으로 사용 중인 공인/공동인증서기 술이다. 두 번째는 IT망에서 가장 범용적으로 사용하는 ID/PW 인증기술, 그리고 참고문헌[6]의 제어망 인증기술을 서로 비교하여 제안방안의 우수성을 도출하였다.
이 장에서는 본 논문에서 새롭게 제안한 OT제어망용 운용자 인증기술을 2가지측면에서 비교 검토하였다. 첫 번째는 현재 범용적으로 사용 중인 공인/공동인증서기 술이다.

성능/효과

[표 5]에서 본바와 같이 본 논문에서 새롭게 제안한 OT제어망용 인증기술이 기존의 인증기술보다 여러 비교 요소들에서 우수성을 보이고 있다. 이는 OT제어망 보안에 적합하도록 공개키 기반의 단일인증서를 새롭게 제시하고 그 인증서 내에 접근이 가능한 제어시스템목록을 정의하여 다중시스템용 인증이 가능하도록 하였기 때문이다.
따라서 조직 내부에서만 사용할 목적으로 할 경우에는 불필요한 요소들이 많은 것이 사실이다. 넷째, 공인/공용인증서는 비즈니스 업무중심의 IT망 시스템들의 사용자인증에는 안정적인기술로 보인다. 하지만 OT 제어망과 같이 제어정보처리 중심의 폐쇄망 환경에서는 그 적절성이 검증되지 않은 점을 들 수 있다.
둘째 특징은 기존의 인증기술은 단일시스템에 적용이 가능한 기술인 반면에 제안 인증기술은 하나의 인증서로 다중의 제어시스템에 적용이 가능한 인증기술이란 점이다. 즉, 기존의 인증기술이 각 시스템별로 인증정보를 분산관리 함으로써 발생되는 하는 인증정보 불일치로 인한 혼란, 운용자가 각각의 제어시스템별 인증정보 관리로 발생하는 혼란, 문제발생시 운용자 이벤트 추적의 혼란 등은 고도의 보안성과 가용성을 보장해야하는 OT제어망에서는 결정적인 단점이다.
본 논문은 OT제어망에 적합한 운용자 인증기술 개선에 관한 내용이다. 본 논문에서 새롭게 제안한 인증기술이 ID/PW인증기술과 참고문헌[6]의 OT제어망 인증기술들에 내제된 여러 문제점들을 해결할 수 있음을 보였다. 이중에서도 고도의 보안과 가용성을 보장해야하는 OT제어망의 특성을 고려할 때, 각 제어시스템별로 분산 인증정보 관리는 커다란 문제점으로 인식되어 왔다.
본 제안에서 공개키기반 PKI기술을 수정하여 OT 제어망에 적합한 운용자인증서를 설계하고, 특정 운용자에게 하나의 설계된 인증서를 발행하고, 이를 통해서 다중제어시스템들에 접근할 수 있도록 하였다. 이를 통해서 중앙집중식 인증정보관리가 가능하여 기존의 분산 인증정보관리에 따른 여러 문제점들을 해결할 수 있는 방안을 새롭게 제시한 점도 성과라 볼 수 있다. 반면에 제안기술이 OT제어망에 새로운 공개키 기반 PKI 구축이란 추가적인 부담은 피할 수 없다.
첫째 큰 특징은 기존 인증기술의 인증인자는 패스워드, 단말장치주소정보, 위치정보를 사용한다는 점이다. 하지만 제안기술은 인증인자로 OT전용인증서를 사용한다는 점을 들 수 있다.

후속연구

향후 연구로는 제안기술을 특정 제어망에 직접 구현하여 학술적 관점에서 인증기술의 면밀한 검증과 더불어 실무적 관점에서 구현의 용이성 및 활용의 편의성 등의 검증이 필요하다. 마지막으로 새롭게 제안한 본 인증기술이 제품화되어 OT제어망에서 다중제어시스템용 운용자 인증기술로 자리매김 되길 기대한다.
결론적으로 본 논문에서는 OT제어망의 보안성 강화를 위한 하나의 방안으로 SCADA제어 시스템만의 특성을 반영한 공개키 기반 다중제어시스템용 통합 인증방안을 새롭게 제안하였다. 이를 통해서 폐쇠망으로 운용되는 OT제어망 운용자들이 단일의 제어시스템마다 인증정보를 관리해야하는 번거로운 부담을 제거함과 동시에 해커에 의한 해킹을 최소화할 수 있어 OT제어망의 특화된 새로운 인증기술로 자리매김이 가능할 것으로 사료된다.
향후 연구로는 제안기술을 특정 제어망에 직접 구현하여 학술적 관점에서 인증기술의 면밀한 검증과 더불어 실무적 관점에서 구현의 용이성 및 활용의 편의성 등의 검증이 필요하다. 마지막으로 새롭게 제안한 본 인증기술이 제품화되어 OT제어망에서 다중제어시스템용 운용자 인증기술로 자리매김 되길 기대한다.

참고문헌 (8)

Pascal Ackerman, Industrial Cybersecurity, Packt Publishing Limited, 2017.
김일용, 임희택, 지대범, 박재표, "산업제어시스템 환경에서 효과적인 네트워크보안모델," 한국산학기술학회논문지, 제19권, 제4호, pp.664-673, 2018.

원문보기 상세보기
행정안전부, 국가정보원, 한국정보사회진흥원, 국가기관 망분리 구축 가이드, 2008.
이은배, 김기영, "망 분리기반의 정보보호에 대한 고찰," 한국정보보호학회지, 제20권, 제1호, pp.39-46, 2010(2).
이현정, 조대일, 고갑승, "망분리환경에서 안전한 서비스 연계를 위한 단방향 망간자료전송 시스템 보안모델연구," Asia-pacific Journal of Multimedia Services Convergent with Art, Humanities, and Sociology, Vol.5, No.6, pp.539-547, 2015.
조인준, "SCADA제어망에서 강화된 운용자 인증 방안," 한국콘텐츠학회논문지, 제19권, 제12호, pp.416-424, 2019.

원문보기 상세보기
윤병남, 반형식, "공공분야의 정보보호- 공공분야의 공인인증서비스-," 한국통신학회 정보보와통신 논문지, 제19권, 제8호, pp.20-29, 2002.
백종현, 김민정, 이진주, "지능형 교통시스템 보안아키 텍쳐 및 PKI 인증체계연구," 한국정보과학회 논문지, 제35권, 제1호, pp.32-36, 2017,

저자의 다른 논문 :

표제어: PCR

동의어: Packet Collision Rate

용어 설명 출처 목록 (6)

용어 설명: PCR은 세균 특이성이 있는 primer를 이용하여 적은 수의 세균이 있을지라도 쉽게 검출할 수 있는 유용한 방법이며, 이를 이용하여 구강 내 치면세균막이나 타액에서 직접 세균을 검출할 수 있게 되었다[8].

내보내기 구분	파일저장 인쇄 메일전송
구성항목	기본정보 상세정보 관리번호, 논문명, 저널/프로시딩명, 저자 , 발행년, 권, 호, 시작페이지, 끝페이지, 발행기관 관리번호, 논문명, 대등논문명, 저자 , 저널/프로시딩명, 발행기관, 발행년, 발행언어, 권, 호, 시작페이지, 끝페이지, ISBN, ISSN, 주제분야, 키워드, 초록(한글), 초록(영문), 저자(소속기관)
저장형식	Text(ASCII format) Excel format RefWorks Direct Export RIS format (for Reference Manager, ProCite, EndNote), Scholar's Aids, Mendeley
메일정보	받는사람 (필수) @ 보내는사람 (선택) @ 제목 내용 KISTI 검색결과 이메일 서비스
안내	총 건의 자료가 검색되었습니다. 다운받으실 자료의 인덱스를 입력하세요. (1-10,000) 검색결과의 순서대로 최대 10,000건 까지 다운로드가 가능합니다. 데이타가 많을 경우 속도가 느려질 수 있습니다.(최대 2~3분 소요) 다운로드 파일은 UTF-8 형태로 저장됩니다. 파일의 내용이 제대로 보이지 않을실 때는 웹브라우저 상단의 보기 -> 인코딩 -> 자동선택 여부를 확인하십시오. ~ Text(ASCII format) Excel format

연합인증