김장훈
(Jang Hoon Kim)
1iD
이주찬
(Joo Chan Lee)
1iD
신지호
(Ji Ho Sin)
1iD
서정택
(Jung Taek Seo)
†iD
-
(Dept. of Information Security Engineering, SoonChunHyang University, Korea)
Copyright © The Korean Institute of Electrical Engineers(KIEE)
Key words
Electric Safety Management Platform, Security Threat, Cyber Attack, Countermeasures
1. 서 론
최근 정보통신기술의 발전과 사물인터넷, 클라우드, 빅데이터 기술의 등장으로 물리적인 환경이 네트워크로 연결되어 데이터를 생성하며 주고받을 수 있게
되었고 이를 통해 스마트 홈, 스마트 교통, 스마트 에너지 등의 서비스들이 가능하게 되었다 (1). 또한, 기존에 폐쇄적으로 운영되었던 원자력발전소와 같은 기반시설에서도 정보통신기술을 통해 센서에서 발생하는 현장정보를 실시간으로 수집하는 등의
연구가 진행되고 있다. 하지만, 정보통신기술 및 사물인터넷 기술 등이 적용됨에 따라 기존에 IT환경에서 발생하던 보안 위협이 기반시설에서도 발생할
수 있게 되었다. 최근에는 이러한 기술을 적용하고 있는 기반시설에 대한 보안 위협의 수가 빠르게 증가하고 있고, 공격에 의한 피해사례도 지속적으로
발견되는 등 사이버 보안의 중요성이 더욱 커지고 있다 (2).
이에 따라, 본 논문에서는 한국전기안전공사에서 정읍에 구축한 전기안전관리 플랫폼을 대상으로 사이버보안 연구를 진행하고자 한다. 사물인터넷 기술을 적용한
전기안전관리 플랫폼은 각 건물 등에 설치되는 전력 설비들로부터 온도, 전류, 부분방전 값에 대한 정보를 사물인터넷 센서를 통하여 수집하고, 중앙에서는
수집된 정보에 대한 분석을 실시하며, 필요시 현장 전력 설비에 제어명령을 전송하여 전력을 차단할 수 있다. 전기안전관리 플랫폼은 말단의 수배전설비와
센서, 사물인터넷 어댑터, 통신 엑세스포인트, 전기안전관리 플랫폼 관리 서버 등으로 구성된다. 이러한 전기안전관리 플랫폼의 사이버 안전성을 확보하기
위해 국내외 사물인터넷을 이용한 안전관리 플랫폼 관련 동향을 조사 분석하며, 전기안전관리 플랫폼에 대한 보안 위협, 공격 가능 시나리오 및 파급영향을
분석한다. 또한, 본 연구팀이 전기안전관리 플랫폼을 대상으로 개발한 보안 지침 및 보안 가이드라인의 주요 내용을 참조하여 사이버 공격에 대응 가능한
방안을 제시하고자 한다.
2. 사물인터넷을 이용한 안전관리 플랫폼 동향분석
과거 사물인터넷은 다양한 서비스 간의 호환성을 위한 인터페이스 부재, 국가별 서로 다른 서비스 기준으로 인해 서비스 제공 구조를 벗어나지 못하는 등의
한계가 있고, 이러한 이유로 사물인터넷 서비스 제공은 구성 기기와 서비스플랫폼 개발 비용에 대한 문제점이 존재했다. 현재의 사물인터넷 기술도 마찬가지로
국가 단위의 규모성과 다양한 인터페이스의 통신을 위한 호환성, 경제적 효율성의 증가를 위한 범용적 사물인터넷 플랫폼 기술개발이 필요한 상황이다 (3).
2.1 한국정보통신기술협회 에너지 안전관리 플랫폼 참조모델
에너지 안전관리 플랫폼 참조모델은 국내 에너지 사용시설의 안전관리표준 개발 현황을 분석하고, 전기 및 가스 시설에 대한 안전관리를 위한 에너지 안전관리
인프라를 정의하며, 이를 바탕으로 에너지 안전관리 플랫폼 참조모델을 제시한다 (4). 에너지 안전관리 기술은 가스, 전기, 신에너지와 같은 다양한 에너지들의 안정적인 공급 및 사용에 대한 안전성을 확보하여 국가 에너지 안전사회 기반을
구축한다. 현재 국내 석유화학, 가스, 전기 등의 에너지산업은 산업화 시기에 단기간으로 설치되어 잠재적으로 발생 가능한 사고를 사전에 감지 및 예방할
수 있는 모니터링 및 제어기술이 취약한 상황이다. 에너지 관련 사고 발생 시, 직접적인 피해뿐만 아니라, 국가 이미지 하락 및 국민 불안감 증가 등의
간접적인 피해가 생길 수 있다. 이를 위해, 에너지 안전관리 플랫폼에서는 에너지 안전관리 인프라 체계를 구성한다. 에너지 관리체계는 크게 비즈니스계층,
응용계층, 핵심 요구사항 계층으로 구분되며 융합형 에너지 안전관리를 위한 핵심기술은 핵심 요구사항 계층에 포함된다. 핵심기술은 각각의 재해에 대한
위험요소를 정의하고, 해당 위험요소를 감시하는 방법, 원인을 분석하는 방법, 인터넷 기반 정보수집방법, 전기안전 관련 정보를 통한 프로토콜 등으로
구성된다.
2.2 Penta Security의 Panta Smart Energy Security
Penta Security는 사물인터넷 기반의 스마트 에너지 환경에 적합한 보안기술을 통해 보안 취약점을 개선한다. Penta Security에서
주장하는 스마트 에너지 환경에서 관리되어야 하는 보안요소는 크게 4가지이다. 공격자들은 사물인터넷 기기의 무결성 훼손, 사물인터넷 통신환경에서의 네트워크
공격, 기기와 사용자 간의 인증 우회, 응용 영역에서의 데이터 조작 및 무결성 훼손 등을 통한 공격을 시도할 수 있으며, 이러한 위협에 모두 대응할
수 있어야만 안전한 스마트 에너지 환경을 구성할 수 있다고 말한다. Penta Smart Energy Security는 스마트 에너지 시스템 환경에서의
보안 위협을 막는다. 하드웨어 기반의 보안 모듈을 설치하여 사물인터넷 기기에서 생성되는 데이터의 무결성을 보장하고 안전한 사물인터넷 네트워크 환경을
구성한다. 또한, PKI(Public Key Infrastructure) 기술을 적용하여 기기와 사용자에게 인증서를 제공하고, 기기와 사용자의 인증
우회를 차단한다. 또한, 기업별 맞춤형 보안환경을 구축함으로써 응용 영역에 대한 데이터 조작 및 무결성 훼손을 방지할 수 있다 (5).
2.3 Jenoptik의 군용 지능형 에너지 시스템 플랫폼
현재 군사 보안 및 방위 기술에 쓰이는 Jenoptik 에너지 시스템은 군용 차량 및 플랫폼의 요구사항에 부합하는 전력을 생산하며 높은 신뢰성과 견고함을
제공한다. 모든 시스템은 실제 환경을 참고하여 HiL(Hardware-in-the-Loop) 가상환경에서 엄격하게 테스트 및 최적화를 수행한다. 또한,
모니터링과 기기 및 시스템 형상관리를 통해 노후화 관리 및 통합 물류 지원의 일환으로 수십년에 걸쳐 필요한 예비 부품 및 정기 유지보수를 가능하게
한다 (6).
2.4 GE의 프레딕스(Predix) 플랫폼
GE의 프레딕스 플랫폼은 산업용 사물인터넷 기술로 사람과 기계를 연결한다. 프레딕스 플랫폼에 Bit Strew의 기술을 통합하여, 엣지(Edge)
시스템에서 클라우드로 데이터가 이동 중인 상황에 데이터를 통합하는 기능을 제공한다. 이를 통해 기업들은 엣지 시스템에서 수집되는 데이터에 대한 결과를
얻을 수 있으며, 보다 효율적으로 많은 양의 데이터를 현장에서부터 조직화하여 활용할 수 있게 된다. 문제 발생 가능성을 예측하여 터빈 등을 의도적으로
멈출 수 있다면 높은 비용 손실을 발생시키는 불시의 상황을 방지할 수 있다. 프레딕스는 센서에서 수집한 데이터를 기반으로 분석을 수행하여 자산의 상태를
모니터링한다. 이상징후가 감지되면 프레딕스는 오작동이 발생하기 전에 자동적으로 설비의 운행을 중지시킨다. 때때로, 설비 오류가 지속적으로 발생한다고
가정한다면 프레딕스는 운영 데이터를 클라우드로 전송하여 대응책을 마련하도록 돕는다 (7).
표 1 사물인터넷을 이용한 안전관리 플랫폼 비교
Table 1 A comparison of safety management paltform using the IoT
|
구분
|
노후시설 사전대응
|
클라우드 기술
|
모니터링
|
보안적 요소
|
|
보안 모듈
|
PKI
|
End-to-End 보안
|
|
에너지 안전관리 플랫폼 참조모델
|
○
|
○
|
|
|
|
|
|
Penta Smart Energy Security
|
|
○
|
|
○
|
○
|
|
|
군용 지능형 에너지 시스템 플랫폼
|
○
|
|
○
|
|
|
|
|
프레딕스 플랫폼
|
|
○
|
○
|
|
|
○
|
국내 플랫폼인 한국정보통신기술협회의 에너지 안전관리 플랫폼 참조모델에서는 보안요소가 존재하지 않았으며 국외 플랫폼 Jenoptik의 군용 지능형 에너지
플랫폼에는 보안요소가 없었지만, 모니터링과 기기 및 시스템 관리를 통해 노후화에 대한 방법을 제공하는 것을 확인했다. 또한, Penta Security의
Penta Smart Energy Security에서는 사물인터넷 기반의 스마트 에너지 환경에 적합한 보안기술을 통해 보안 취약점을 개선했으며, GE의
프레딕스 플랫폼은 사용자가 자원에 접근할 시 사용자의 인증과 권한 부여를 위한 기능을 제공하는 것을 확인했다. 표 1은 조사된 각 플랫폼을 비교한 표이다. 분석결과 사물인터넷 기술을 적용한 전기안전관리 플랫폼에서는 사물인터넷과 같은 경량, 저전력 기기에 대한 보안,
안전한 키 관리, End-to-End 보안 등을 포함한 관리적, 물리적, 기술적 보안 등의 보안요소가 고려되어야 함을 확인할 수 있었다.
3. 전기안전관리 플랫폼 구조 및 기능
본 논문에서는 한국전기안전공사에서 정읍에 구축한 전기안전관리 플랫폼을 참고하여 그림 1과 같이 전기안전관리 플랫폼을 구성하였다. 전기안전관리 플랫폼은 크게 수배전설비와 센서, 사물인터넷 어댑터, 통신 엑세스포인트, 전기안전관리 플랫폼
관리 서버로 구성된다.
그림 1 전기안전관리 플랫폼 구성도
Fig. 1 Composition of electric safety management platform
수배전설비는 현장에 설치되어 전력을 관리하는 설비로써 내부에 전압을 조절하고 공급하는 기능을 수행한다. 센서는 이러한 수배전설비 각각의 기능에 연결되어
현장 전력기기의 상태정보와 온도, 부분방전, 유온, 수분 및 수소 등의 현장정보를 수집하고 상위로 전송하는 역할을 한다. 사물인터넷 어댑터는 센서에서
보내온 정보를 수집하여 더 상위로 전송하는 역할을 하며 주로 현장시설 주변에 위치한다. 통신 엑세스포인트는 다수의 사물인터넷 어댑터로부터 정보를 받아
전기안전관리 플랫폼 관리 서버로 보내는 역할을 하며, 전기안전관리 서버는 전체적인 정보를 받아 상황을 분석하며 제어하는 역할을 한다. 또한, 반대로
전기안전관리 서버는 상황에 따라 제어 명령을 내릴 수 있으며 발생한 제어 명령은 앞서 언급한 경로를 따라 보내진다. 현장까지 전달된 제어 명령은 수배전설비를
제어하게 되며 그 결과는 다시 센서를 통해 수집되어 서버로 보내진다. 이러한 과정에서 주로 무선 네트워크를 통해 데이터를 주고 받게 되며 현장에 위치한
수배전설비 및 사물인터넷 어댑터는 환경에 따라 유선으로 연결되어 운영될 수 있다.
4. 전기안전관리 플랫폼 보안 위협분석
전기안전관리 플랫폼 보안 위협분석을 위해 과학기술정보통신부에서 발간한 주요정보통신기반시설 기술적 취약점 분석・평가 기준 및 상세 가이드라인을 참고한다
(8,9). 구성요소를 크게 기기, 시스템 및 네트워크로 분류하며, 기기는 수배전설비와 센서, 사물인터넷 어댑터, 통신 엑세스포인트와 같이 전기안전관리 플랫폼
영역에 설치되어 통신이 가능한 기기들을 의미한다. 시스템은 전기안전관리 플랫폼 서비스 관리 및 운영을 위한 윈도우 또는 유닉스 계열의 정보시스템,
침입차단시스템과 같은 보안솔루션을 탑재한 정보보호시스템, 스위치 및 라우터와 같은 네트워크 장비들을 의미한다. 또한, 네트워크는 수배전설비 및 센서와
사물인터넷 어댑터 간, 사물인터넷 어댑터와 통신 엑세스포인트 간, 통신 엑세스포인트와 서버 간 통신 경로를 의미한다.
표 2 전기안전관리 플랫폼 기기 보안 위협
Table 2 Electric safety management platform device security threats
|
보안 위협
|
내 용
|
|
물리적 접근
|
기기의 광역적 배치 및 물리적인 접근 용이성으로 인한 기밀성, 무결성, 가용성 위협 발생
|
|
비인가 보조기억매체 사용
|
플랫폼 내 비인가 보조기억매체 사용으로 인한 무결성, 가용성 위협 발생
|
|
부적절한 펌웨어 업그레이드
|
펌웨어 패치 및 업그레이드 시, 펌웨어 코드의 무결성 검증 미흡으로 인한 기밀성, 무결성, 가용성 위협 발생
|
|
응용프로그램 취약점
|
전기안전관리 기기 운영 관련 응용프로그램들의 설계 및 구현 취약점 등으로 인한 무결성, 가용성 위협 발생
|
|
부적절한 보안설정 및 관리
|
기기 보안설정 취약으로 인한 무결성, 가용성 위협 발생
|
|
운영체제 및 펌웨어 취약점
|
기기의 운영체제와 펌웨어 설계 및 구현 취약점 등으로 인한 무결성, 가용성 위협 발생
|
|
평문 데이터 저장
|
기기에 중요 데이터 평문 저장 등으로 인한 기밀성, 무결성, 가용성 위협 발생
|
|
낮은 보안강도의 암호알고리즘 사용
|
128비트 미만의 비트를 갖는 암호알고리즘 사용으로 인한 기밀성, 무결성, 가용성 위협 발생
|
4.1 전기안전관리 플랫폼 기기 보안 위협
전기안전관리 플랫폼 기기의 경우, 특성상 외부에 광역적으로 배치될 수 있으며 이로 인한 물리적 접근 위협이 발생하며 다른 기기와의 통신 및 주기적인
업데이트를 위한 포트를 내장하고 있기 때문에 공격자는 기기 내부의 정보에 접근하거나 네트워크에 침입하여 네트워크 내 다른 기기를 감염시키는 등의 공격을
수행할 수 있다. 이외에도, 내부 데이터 관리 방식의 취약성, 낮은 강도의 암호알고리즘 사용 등이 보안 위협의 요소로 적용될 수 있다. 본 논문에서는
전기안전관리 플랫폼 기기 보안 위협에 대한 설명을 표 2를 통해 정리하였다.
4.2 전기안전관리 플랫폼 시스템 보안 위협
전기안전관리 플랫폼 시스템은 수배전설비, 통신기기 등을 통해 생성되고 전송되는 데이터들을 수집하고 관리하며 이를 통해 관리자가 전체적인 시스템을 모니터링하고
제어할 수 있도록 한다. 이러한 기능은 전기안전관리 플랫폼 관리 서버를 통해 이루어지며 본 논문에서는 전기안전관리 플랫폼 시스템 및 관리 서버에 대한
보안 위협을 다룬다. 관리 서버는 사람이 직접 개입하는 영역이다보니 사람에 대한 관리적 보안이 요구되며 일반적인 기기와 마찬가지로 다른 기기와의 통신
및 주기적인 업데이트를 위한 포트를 갖기 때문에 공격자가 내부에 침입하여 정보를 탈취하거나 임의의 제어 명령을 발생시키는 등의 사고를 유발할 수 있다.
본 논문에서는 전기안전관리 플랫폼 시스템 보안 위협에 대한 설명을 표 3을 통해 정리하였다.
표 3 전기안전관리 플랫폼 시스템 보안 위협
Table 3 Electric safety management platform system security threats
|
보안 위협
|
내 용
|
|
물리적 접근
|
전기안전 서버/시스템의 광역적 배치 및 물리적 접근 용이성으로 인한 기밀성, 무결성, 가용성 위협 발생
|
|
비인가
보조기억매체 사용
|
전기안전 서버/시스템 내 비인가 보조기억매체 사용으로 인한 무결성, 가용성 위협 발생
|
|
부적절한
펌웨어 업그레이드
|
전기안전 서버/시스템의 펌웨어 패치 및 업그레이드 시 펌웨어 코드의 무결성 검증 미흡 등으로 인한 보안 위협 발생
|
|
부적절한
보안설정 및 관리
|
전기안전 서버/시스템의 부적절한 보안설정 취약으로 인한 무결성, 가용성 위협 발생
|
|
부적절한 계정관리
|
전기안전 서버/시스템의 취약한 계정 정보, 계정 관리 미흡 등으로 인한 기밀성, 무결성, 가용성위협 발생
|
|
운영체제 및 펌웨어 취약점
|
전기안전 서버/시스템에 비인가된 백신프로그램 사용으로 인한 인증되지 않은 펌웨어 또는 운영체제와 펌웨어의 설계 및 구현 취약점으로 인한 무결성, 가용성
위협 발생
|
|
비인가 백신 프로그램 사용
|
|
응용프로그램 취약점
|
전기안전관리 서버/시스템 운영 및 서비스 관련 응용프로그램들의 설계 및 구현 취약점 등으로 인한 무결성, 가용성 위협 발생
|
4.3 전기안전관리 플랫폼 네트워크 보안 위협
전기안전관리 플랫폼 네트워크의 경우, 수배전설비 및 센서와 사물인터넷 어댑터 간, 사물인터넷 어댑터와 통신 엑세스포인트 간, 통신 엑세스 포인트와
관리 서버 간 및 관리 서버와 외부망 간의 경로를 의미한다. 기본적으로 네트워크에 대한 보안 위협은 외부망으로부터의 침입 또는 내부 기기와의 연결을
악용하여 이루어진다. 주로 기기 간 인증의 부재, 사용하는 프로토콜의 취약성, 취약한 네트워크 접근제어 등으로 인해 공격이 발생하게 된다. 본 논문에서는
전기안전관리 플랫폼 네트워크 보안 위협에 대한 설명을 다음 표 4를 통해 정리하였다.
표 4 전기안전관리 플랫폼 네트워크 보안 위협
Table 4 Electric safety management platform network security threats
|
보안 위협
|
내 용
|
|
부적절한 네트워크 접근제어
|
비인가 트래픽의 네트워크 유입 등으로 인한 기밀성 위협 발생
|
|
인증 프로토콜 취약점
|
상호인증, 키 관리, 키 교환 등의 설계 및 구현 취약점 등으로 인한 기밀성, 무결성 위협 발생
|
|
안전하지 않은
네트워크 구성
|
|
통신 프로토콜 취약점
|
프로토콜 설계 및 구현 취약점 등으로 인한 무결성, 가용성 위협 발생
|
5. 전기안전관리 플랫폼 공격 가능 시나리오 및 파급영향 분석
본 논문에서는 전기안전관리 플랫폼에 대한 공격 가능 시나리오로 물리적으로 외부에 위치한 장비에 접근하여 장비를 훼손시키거나 내부 통신 포트를 통해
네트워크로 침입하는 공격, 무선 통신을 도청하여 중간에서 데이터를 탈취하거나 위변조하여 재전송함으로써 오작동을 발생시키는 공격, 관리 서버에 침입하여
주요 제어 기능을 장악하고 정상적인 모니터링을 불가능하게 하는 공격을 다룬다. 이러한 공격은 일반적인 기반시설에 대한 공격 이유와 마찬가지로 전기안전관리
플랫폼에 대해 궁극적으로 전기 생산 및 공급을 방해하여 불편 초래 및 국가 운영에 치명적인 영향을 미치는 것을 목적으로 한다.
5.1 물리적인 접근을 통한 공격 시나리오
현장에 설치되어 운영 중인 수배전설비와 센서, 사물인터넷 어댑터 및 통신 엑세스포인트는 상대적으로 공격하기 쉬운 대상이다. 공격자는 다음 그림 2와 같이 현장의 사물인터넷 어댑터나 통신 엑세스포인트에 물리적으로 접근하여 내부 네트워크에 물리적으로 접속을 시도할 수 있으며 정상적인 기기를 통해
접근함으로 기기 인증, 암호화 등의 보안 기능을 쉽게 무력화시킬 수 있다. 이를 통해, 비정상적인 패킷을 발생시키거나 통신 간 데이터를 도청하여 정보를
탈취할 수 있다. 이외에도, 물리적으로 기기를 훼손하거나 기기 상태를 변화시켜 관리 서버에서 정상적인 관리를 어렵게 할 수도 있다.
그림 2 물리적인 접근을 통한 공격 시나리오
Fig. 2 Attack Scenario through physical approach
5.2 무선 통신의 취약성을 이용한 공격 시나리오
전기안전관리 플랫폼의 사물인터넷 어댑터와 통신 엑세스포인트, 통신 엑세스포인트와 관리 서버 간의 통신은 주로 무선으로 이루어진다. 만약, 취약한 무선
프로토콜 및 인증절차를 이용하는 전기안전관리 플랫폼이 있고 공격자가 해당 전기안전관리 플랫폼의 무선 신호를 캡처하여 분석을 시도하는 상황이 발생한다면,
공격자는 무선 신호를 통해 전송되는 운영 및 제어정보를 확인할 수 있을 것이다. 이를 토대로 전기안전관리 플랫폼 내부 운영상황을 예측할 수 있으며
임의의 제어명령을 발생시켜 오작동을 유발할 수도 있다.
그림 3 무선 통신 취약점을 이용한 공격 시나리오
Fig. 3 Attack Scenario using vulnerabilities of the wireless communication
5.3 전기안전관리 플랫폼 관리 서버 공격 시나리오
전기안전관리 플랫폼 관리 서버는 주로 보안 시설 내부에 위치하며 업무영역과 제어영역이 각각의 망으로 분리되어 비교적 안전하다. 하지만, 시스템 유지보수나
패치, 자료 전달 등을 위해 USB와 같은 이동저장매체의 사용이 불가피하며 대부분 보안 심사를 거친 저장매체를 이용하지만 이러한 경우에도 내부의 파일이
안전하다고는 보장할 수 없다. 또한, 관리 서버를 관리하는 사람의 실수, 잘못된 보안 설정 등으로 인해 관리 서버가 외부로 노출되거나 공격을 제대로
탐지하지 못하는 등의 사고도 공격의 원인이 될 수 있다. 2010년 이란 원자력발전소에서 발생한 스턱스넥 공격은 USB를 통해 내부 원자력시설 관리
시스템에 스턱스넷 악성코드가 침입했다고 알려졌으며 내부 원심분리기의 오작동을 유발하는 등의 사고를 발생시켰다. 이와 마찬가지로 전기안전관리 플랫폼
관리 서버는 전체 전력 상황을 제어하는 역할을 하기 때문에 이러한 공격이 발생할 시 그 파급영향은 치명적일 수 있다.
그림 4 USB를 이용한 관리 서버 공격 시나리오
Fig. 4 Attack Scenario on management server with USB
6. 전기안전관리 플랫폼 보안 대응방안
본 논문에서는 제2장에서 분석한 안전관리 플랫폼 보안 사항과 전기안전관리 플랫폼 분석을 통해 도출한 보안 위협 및 공격 시나리오를 바탕으로 전기안전관리
플랫폼에 적합한 보안 대응방안을 제시한다. 주요정보통신기반시설 기술적 취약점 분석・평가 기준 및 상세 가이드라인, 한국인터넷진흥원의 기술적・관리적
보호조치 기준 해설서를 참고하여 기기, 시스템, 네트워크에 대한 보안 요구사항 및 관리적, 물리적, 기술적 보호조치를 제시하며(10)(11), 이는 전기안전관리 플랫폼 구축 및 운영에 있어서 사이버 보안을 확보하기 위한 최소한의 보안 준수사항을 규정함으로써 사이버 공격으로부터 전기안전관리
플랫폼을 안전하게 보호함을 목적으로 한다. 또한, 본 논문에서 도출한 대응방안에 대한 타당성 확보 및 검증을 위해 기반시설과 관련된 산・학・연 전문가들의
자문 및 평가를 받았으며, 종합평가 및 고려사항 의견을 표 5와 같이 간단히 정리하였다.
표 5 대응방안에 대한 전문가 종합평가 및 고려사항
Table 5 Comprehensive Evaluation and Consideration of Experts
|
구분
|
내 용
|
|
종합평가
|
전기안전관리 플랫폼의 사이버 보안성 제고를 위한 보안 요구사항과 보호조치 사항이 적절하게 마련되었으며, 향후, 전기안전관리 플랫폼 보안에 대한 기초자료로
활용할 수 있음
|
|
고려사항
|
향후, 구체적인 전기안전관리 플랫폼의 구축 방안이 마련되면, 보안 요구사항 및 보호조치의 내용을 세부적으로 마련하여 실질적인 적용이 가능하도록 할
필요가 있음
|
6.1 전기안전관리 플랫폼 기기 보안 요구사항
6.1.1 안전한 기기 로그인 절차 설정
기기 관리자는 기기 관리포트 또는 원격 로그인 시 인증절차를 설정해야 하며, 지정된 IP 주소에서만 기기 원격접속이 가능하도록 설정하고, 로그인 시
인증절차와 암호화 통신 기능이 활성화되도록 해야한다. 그리고, 기기 로그인 이후 세션 유지시간을 설정하여 타임아웃 시 로그아웃이 되도록 해야하며,
일반적인 비밀번호 설정 정책에 따라 비밀번호가 쉽게 유추될 수 없도록 해야한다.
6.1.2 불필요한 서비스 제거
기기 관리자는 전기안전관리 플랫폼 서비스 운영과 기기 관리에 필요하지 않은 서비스들을 제거하고, 서비스 이용이 필요한 대상 시스템 또는 기기에 한하여
통신을 허용해야한다.
6.1.3 물리적으로 접근 가능한 포트 봉인
기기 관리자는 USB 포트, LAN 포트, 디버깅 포트 등 물리적으로 접근 가능한 기기의 포트에 대해 봉인 장치를 사용하여 봉인해야 한다.
6.1.4 안전한 데이터 전송 및 보관
기기 관리자는 검침 정보 및 통신에 사용되는 정보가 등의 전기안전관리 플랫폼 운영 장애를 유발할 수 있는 중요정보가 안전하게 보호될 수 있도록 인증
및 암호화 기술을 적용해야 하며, 보관기간을 설정하는 등의 관리적 조치를 해야 한다.
6.1.5 패치 및 업데이트 관리
기기 펌웨어 및 소프트웨어 업데이트 시 업데이트 파일은 적합성 검증 및 테스트를 통해 안정성 및 보안성을 보장받아야 한다. 기기 펌웨어 및 소프트웨어
업데이트가 원격 통신으로 진행되는 경우, 관리자는 펌웨어 및 소프트웨어 모듈이 변형되지 않도록 기기와 업데이트 시스템 간에 상호인증과 암호학적 무결성
또는 부인방지 기능이 제공될 수 있도록 하며, 펌웨어 및 소프트웨어의 업데이트 시도 및 수행결과에 대한 로그 기록이 저장될 수 있도록 설정하고, 실시간으로
업데이트 시스템의 수행결과가 관리 시스템으로 전송될 수 있도록 해야 한다. 만약, 기기 취약점이 노출될 경우, 관리자는 취약점을 제거하기 위한 펌웨어
및 소프트웨어 업데이트 계획을 수립해야 한다.
6.2 전기안전관리 플랫폼 시스템 보안 요구사항
6.2.1 시스템 계정 설정 및 관리
시스템 관리자는 모든 시스템 사용자에 대한 책임추적성을 위해 시스템 사용자를 구분하는 식별자를 할당해야 한다. 또한, 관리자 계정은 root, admin과
같이 추측 가능한 ID 및 패스워드를 사용하지 않아야 하며, 일반사용자과 분리되어 관리되어야 한다. 또한, 관리자는 시스템 설치 및 유지를 위해 할당된
임시 사용자를 확인하여 조치해야 한다.
6.2.2 시스템 접근통제
시스템 운영 및 정보보호 관리자는 시스템 접근 제한을 설정하여 운영해야 한다. 관리자는 디렉토리, 폴더, 파일, 프로세스 등의 시스템 자원 및 보안
설정 실행 수준에 따라 사용자 접근 권한을 설정하고, 접근하고자 하는 사용자의 권한에 따라 사용자 접근을 통제해야 한다. 관리자는 시스템 콘솔 접근만을
시스템 관리 목적의 접근 방법으로 허용하며, 네트워크에서 원격으로 접근이 필요한 경우 허용된 계정과 IP에서만 SSH, SSL/TLS 등의 암호화
통신이 지원되는 안전한 접근 방법만을 허용해야 한다. 또한, 시스템 운영 및 정보보호 관리자는 전기안전관리 플랫폼 서비스 운영과 시스템 관리에 필요하지
않은 서비스들을 제거하며, 서비스 이용이 필요한 대상 시스템에 한하여 통신을 허용한다.
6.2.3 패치 및 업데이트 관리
시스템 운영 및 정보보호 관리자는 주기적으로 시스템 보안패치 및 백신 관리를 수행해야 한다. 또한, 보안패치 및 백신 업데이트를 인터넷과 연결하여
운영할 경우, 관리자는 접속 IP 지정, 네트워크 분리, 암호화 통신 등의 보안대책을 수립 후 운영해야 한다.
6.2.4 사고예방 및 대응 절차 수립
시스템에 악성코드가 설치되거나 감염된 사실을 발견하였을 경우 즉각 시스템 사용을 중지하고 격리 조치해야 한다. 또한, 책임자에게 관련 사실을 즉시
통보하며 감염의 확산 및 재발 방지를 위해 원인을 분석하고 예방 조치를 수행해야 한다. 관리자는 시스템 운영체제 상에 내재된 취약점으로부터 발생할
수 있는 위험요소를 제거하고, 공격자의 시스템 제어권 획득과 같은 상황에 대응하기 위한 대책을 마련해야 한다.
6.3 전기안전관리 플랫폼 네트워크 보안 요구사항
6.3.1 무선 네트워크 연결 금지
전기안전관리 플랫폼 관리 시설 내부에 서비스 운영과 관련한 네트워크를 무선 네트워크로 구성하거나, 무선 네트워크에 연결하는 것을 금지해야 한다.
6.3.2. 보안 중요도에 따른 네트워크 분리
전기안전관리 플랫폼 관리 시설에서는 시설 정보시스템 및 가상화시스템을 기능, 보안 중요도에 따라 내부 업무망 영역, DMZ영역, 외부 업무망 영역
등의 물리적 서브넷으로 구성하여 시설 운영에 필요한 시스템 간에만 통신이 가능하도록 구성해야 하며, 외부 연계구간에 침입차단시스템을 설치하여 DMZ를
구성하고, DMZ 내에 중계서버를 이용하여 통신하도록 구성해야 한다.
6.3.3 비안전 기기 및 시스템에 대한 통신 제한
전기안전관리 플랫폼 관리 시설에서는 인가되지 않은 시스템, 악성코드에 감염된 시스템, 보안패치 및 업데이트 등의 보안정책에 맞지 않는 시스템에 대하여
사용을 제한하는 접근제어를 수행해야 한다.
6.3.4 네트워크 장비에서의 접근통제
스위치 및 라우터와 같은 네트워크 장비에서 MAC 주소, ACL(Access Control List) 설정과 구성을 통해 허가된 시스템에 대해서만
운영센터 네트워크 연결을 허용해야 하며 NAC(Network Access Control) 설치 및 구성을 통해 인가된 시스템에 대해서만 관리 시설
네트워크 연결과 사용을 허용해야 한다. 전기안전관리 플랫폼 관리 시설은 운영센터 외부 연계 구간에 침입탐지시스템, 침입방지시스템, DDoS 대응시스템을
설치하여 유해트래픽의 탐지 또는 차단 기능을 수행해야 한다.
6.3.5 외부 네트워크와의 연결 금지
전기안전관리 플랫폼 서비스 운영에 필요한 정보시스템, 가상화시스템, 현장 기기 등이 인터넷과 연계되지 않는 것을 원칙으로 해야 한다. 단, 전기안전관리
플랫폼 서비스에서 반드시 인터넷을 이용한 연계가 필요한 경우, 관리 시설에서는 안전한 네트워크 구성, 암호화 통신 등의 보안대책을 수립 후 인터넷과
연계해야 한다. 예를 들어, 전기안전관리 플랫폼 관리 서버 운영자 PC를 인터넷에 연계하여 사용할 경우, 운영자 인터넷 네트워크와 전기안전관리 플랫폼
서비스 네트워크를 분리한다. 전기안전관리 플랫폼 관리 서버와 현장 영역 외부 연계구간은 전용선 사용을 원칙으로 하나, 전용선을 사용하더라도 안전성이
보장되지 않거나 전용선 사용이 어려운 경우 VPN을 적용한다. 또한, 전기안전관리 플랫폼 관리 서버는 개발 및 테스트를 위한 개발 환경을 운영 중인
서비스 환경과 분리되어야 한다.
6.4 전기안전관리 플랫폼 관리적 보호조치
표 6 전기안전관리 플랫폼 관리적 보호조치 항목
Table 6 Administrative protection measures on electric safety management platform
|
구분
|
내 용
|
|
정보보호 계획수립
|
전기안전관리 플랫폼 관리 시설은 정보보호를 위한 보안대책, 교육 및 훈련, 보안관제 체계 등에 대한 사항을 수립 및 시행해야 하며 주기적으로 수정
및 보완하기 위해 주기적인 검토를 수행해야 함
|
|
정보보호 전담조직
|
정보보호 계획을 계획하고 실행하며 검토하기 위한 정보보호 전담조직을 구성하고 정보보호 업무를 총괄하는 정보보호 담당자를 지정해야 함
|
|
침해사고 대응체계 구축
|
전기안전관리 플랫폼에 대한 사이버 공격에 신속한 대응 및 복구를 위해 침해사고 대응 전담조직을 구성, 비상연락체계 수립 및 시행, 침해사고 유형별
대응 절차 수립 및 시행, 침해사고에 대응하기 위한 모의훈련 계획수립 및 시행 등의 조치를 취해야 함
|
|
사이버 보안 점검
|
주기적으로 전기안전관리 플랫폼에 대한 보안 취약성 점검을 해야 하며 보안 지침 및 가이드라인의 준수 여부를 점검해야 함
|
|
보조기억
매체 관리
|
보조기억매체로 인한 보안사고를 최소화하기 위해 보조기억매체의 사용을 최소화해야 하며 사용하기 위한 절차를 엄격히 수립해야 함
|
|
정보보호시스템 도입
|
전기안전관리 플랫폼의 사이버 보안성 확보를 위한 정보보호시스템 도입시 정보보호시스템 평가 인증 지침 및 공통평가기준에 의해 인증 받은 시스템이나 국가정보원장이
그와 동등한 효력이 있다고 인증된 시스템을 설치해야 함
|
6.5 전기안전관리 플랫폼 물리적 보호조치
표 7 전기안전관리 플랫폼 물리적 보호조치 항목
Table 7 Physical protection measures on electric safety management platform
|
구분
|
내 용
|
|
출입통제
|
전기안전관리 플랫폼 관리 시설은 시설 출입구에 신원확인이 가능한 출입통제장치를 설치하고, 관리 시설 출입에 관한 정책과 절차를 수립하고 시행해야 함
|
|
출입자 감시통제
|
전기안전관리 플랫폼 관리 시설은 시설 출입구와 내부에 CCTV를 설치하여 감시하고, 시설에 출입하는 자의 신원 등 출입기록을 6개월 이상 유지 및
보관해야 함
|
|
시설물 접근통제
|
전기안전관리 플랫폼 관리 시설은 외부인의 접근이 용이한 지역에 설치되는 전기안전관리 플랫폼 정보통신망, 시스템 및 기기에 대해 잠금장치와 같은 물리적인
보호 장치를 통해 보호해야 함
|
|
시스템 반출입 통제
|
전기안전관리 플랫폼 관리 시설의 시스템은 무단으로 반출되어서는 안 되며, 시설 시스템의 반출입 모니터링 및 통제를 위한 대책을 수립 및 운영해야 함
|
6.6 전기안전관리 플랫폼 기술적 보호조치
표 8 전기안전관리 플랫폼 기술적 보호조치 항목
Table 8 Technical protection measures on electric safety management platform
|
구분
|
내 용
|
|
계정 및 패스워드 관리
|
시스템 관리책임자는 시스템 계정과 계정에 대한 비밀번호의 비인가자 도용 및 시스템 불법접속 등을 방지하기 위한 대책을 수립 및 운영해야 함
|
|
시스템 보호
|
사이버 공격으로부터 전기안전관리 플랫폼 시스템을 보호하기 위해 악성코드 탐지 소프트웨어 설치, 보안패치 상태 최신 유지, 불필요한 서비스 제거, 사용자
인증 등의 보안조치를 수행해야 함
|
|
기기 보호
|
사이버 공격으로부터 각 기기를 보호하기 위해 기기 운영체제, 펌웨어 및 응용 소프트웨어의 보안 패치를 최신으로 유지, 불필요한 서비스 제거 등의 보안조치를
수행해야 함
|
|
정보보호시스템 운용
|
침입차단시스템에서 침입차단 규칙을 설정하고 필수 서비스에 대해서만 허용해야 하며, 침입탐지시스템 및 침입방지시스템의 탐지 규칙을 항상 최신으로 유지해야
함
|
|
연계 네트워크 보호
|
전기안전관리 플랫폼 내 연계 네트워크에 대해 전용선 또는 VPN 등을 통해 네트워크 연결 일원화를 해야하며 연계구간에 대한 암호화 적용 등의 통신
보안을 적용해야 함
|
|
통신 데이터 보호
|
송수신 데이터의 위변조 및 유출 방지 보안조치를 취해야하며 과금과 관련된 통신에 대해서는 부인방지 기능을 제공해야 함
|
|
보안관제
|
전기안전관리 플랫폼에 대한 보안관제 기능을 제공하기 위해 정보통신망, 시스템의 이벤트 로그 등 보안 로그를 수집해야 하며, 보안 로그는 일정기간 이상
저장 관리되어야 함
또한, 수집된 보안로그로 부터 침해사고 및 이상행위를 실시간으로 탐지해야 하며 이를 통해 중대한 사이버 보안사고 발생시 초동 조치를 취하고, 관계기관에
보고하는 등의 대처를 가능하게 해야 함
|
7. 결 론
본 논문에서는 사물인터넷을 이용한 전기안전관리 플랫폼 보안 위협분석 및 대응방안 연구를 수행하였다. 이와 관련하여 국내외 사물인터넷을 이용한 안전관리
플랫폼 연구 동향에 대해 분석하였으며, 전기안전관리 플랫폼의 구조와 기능을 분석하였다. 또한, 전기안전관리 플랫폼의 사이버 안전성 확보를 위해 전기안전관리
플랫폼 구성에 대한 보안 위협 및 공격 가능 시나리오를 분석하였으며, 분석결과를 바탕으로 전기안전관리 플랫폼에 대한 기기, 시스템, 네트워크 보안
요구사항 및 관리적, 물리적, 기술적 보안조치 사항을 제시하였다. 향후, 전기안전관리 플랫폼 실증단지에 대해 본 논문에서 제시한 보안 사항들을 적용하기
위한 연구가 추가적으로 진행될 예정이며, 이를 위해, 지속적으로 보안 사항을 업데이트하여 실제 환경 적용을 위한 적합성 검증을 전문가들의 확인을 통해
진행할 예정이다. 전기안전관리 플랫폼은 전기를 효율적으로 생산 및 공급하기 위한 기반이 될 것이며 개발 초기 단계에서부터의 보안이 고려됨에 따라 향후
전기안전관리 플랫폼 보안체계 수립에 큰 도움이 될 것으로 기대된다.
Acknowledgements
This research was supported by the Research Program of the Korea Institute of Energy
Technology Evaluation and Planning (KETEP) Institute of Korea. (No. 20162220200010)
References
IoT Forum, 2016, International Standards Guidelines for Product Development of Smart
Home Services, Technical Report of IoT Forum
Jason Staggs, Ph. D., Black Hat 2017, Adventures in Attacking Wind Farm Control Networks,
University of Tulsa
Jae-ho Kim, Jae-seok Yoon, Sung-chan Choi, Min- woo Ryu, 2013, IoT Platform Development
Trends and Development Direction, The Journal of The Korea Institute Of Com- munication
Sciences, pp. 29-39
TTA, 2018, Gas/Electric convergence safety management platform, TTAK.KO-10.1119-part1
Penta Security, 2017, Introduction to IoT Security of Penta Security System, Penta
Security System
Yatish T. Shah, 2020, modular systems for energy usage management, CRC Press, chater
5
Hae Yeol Yoon, 2016, Industrial cloud platform - Predix, Smart Factory International
conference
2017, Detailed Guideline for Analysis and Evaluation of Techni- cal Vulnerabilities
in Major Information and Communication Infrastructure, Ministry of Science and ICT
2013, Standard for analysis and evaluation of vulnerabilities in major information
and communication infrastructure, Ministry of Science and ICT
Gyu Kim Sin, Gil Min Byung, Su Jang Mun, Taeck Seo Jeong, 2009, Study on security
threat to control system and countermeasures, Korea Information Assurance Society,
Vol. 9, No. 1, pp. 105-111
2017, Technical and administrative protection guidebook for personal information,
Korea Communications Commission/ KISA
저자소개
He received his B.S. degrees in Department of Information Security Engineering from
Soon- ChunHyang University in 2019.
He is currently pursuing the M.S. degree at Department of Information Security Engineering
from Soon- ChunHyang University.
He is interested in Information Security, CPS, ICS/SCADA.
He received his B.S. degrees in Department of Information Security Engineering from
Soon- ChunHyang University in 2019.
He is currently pursuing the M.S. degree at Department of Information Security Engineering
from Soon- ChunHyang University.
He is interested in Information Security, CPS, ICS/SCADA.
He received his M.S. degree in Department of Digital Forensics from Korea University
in 2015.
He is currently pursuing the Ph.D. at Department of Information Security Engineering
from Soon- ChunHyang University.
He is interested in Information Security, ICS/SCADA Forensics.
He received his Ph.D. degree in Information Security Engineering from Korea University,
Korea in 2006.
He has been working as a professor at SoonChunHyang University since 2016.
He is interested in Information Security, CPS, ICS/SCADA.