KR101023708B1 - Modbus 기반 산업용 scada 네트워크의 데이터 보호 방법 및 장치 - Google Patents

Modbus 기반 산업용 scada 네트워크의 데이터 보호 방법 및 장치 Download PDF

Info

Publication number
KR101023708B1
KR101023708B1 KR1020080136555A KR20080136555A KR101023708B1 KR 101023708 B1 KR101023708 B1 KR 101023708B1 KR 1020080136555 A KR1020080136555 A KR 1020080136555A KR 20080136555 A KR20080136555 A KR 20080136555A KR 101023708 B1 KR101023708 B1 KR 101023708B1
Authority
KR
South Korea
Prior art keywords
data
scada
network
remote terminal
encrypted
Prior art date
Application number
KR1020080136555A
Other languages
English (en)
Other versions
KR20100078323A (ko
Inventor
강동주
이종주
김석주
Original Assignee
한국전기연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전기연구원 filed Critical 한국전기연구원
Priority to KR1020080136555A priority Critical patent/KR101023708B1/ko
Publication of KR20100078323A publication Critical patent/KR20100078323A/ko
Application granted granted Critical
Publication of KR101023708B1 publication Critical patent/KR101023708B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/06Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
    • H04L9/065Encryption by serially and continuously modifying data stream elements, e.g. stream cipher systems, RC4, SEAL or A5/3
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/02Standardisation; Integration
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/30Nc systems
    • G05B2219/36Nc in input of data, input key till input tape
    • G05B2219/36542Cryptography, encrypt, access, authorize with key, code, password
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L2012/40208Bus networks characterized by the use of a particular bus standard
    • H04L2012/40228Modbus

Abstract

본 발명은 MODBUS 기반 SCADA(Supervisory Control And Data Acquisition) 네트워크를 이용하여 전송되는 제어, 계측 데이터 등과 관련된 정보들의 보호를 위하여, MODBUS 기반 통신 구현, MODBUS 통신 해석 및 규약 처리, SCADA 네트워크 보안 기술, 암호화(encryption/decryption) 기술, 보안 모듈 하드웨어 기술, 데이터 통신기술 등을 하나의 시스템으로 집약하여 처리할 수 있는 SCADA 네트워크 데이터 처리 방법 및 장치에 관한 것이다.
MODBUS, SCADA 네트워크, 암호화, 감시, 보안, 인증

Description

MODBUS 기반 산업용 SCADA 네트워크의 데이터 보호 방법 및 장치{Data Protection Method and Apparatus for SCADA Network Based on MODBUS Protocol}
본 발명은 MODBUS 기반 SCADA 네트워크에 관한 것으로서, 특히, MODBUS 기반 SCADA(Supervisory Control And Data Acquisition) 네트워크를 이용하여 전송되는 제어, 계측 데이터 등과 관련된 정보들의 보호를 위하여, MODBUS 기반 통신 구현, MODBUS 통신 해석 및 규약 처리, SCADA 네트워크 보안 기술, 암호화(encryption/decryption) 기술, 보안 모듈 하드웨어 기술, 데이터 통신기술 등을 하나의 시스템으로 집약하여 처리할 수 있는 SCADA 네트워크 데이터 처리 방법 및 장치에 관한 것이다.
MODBUS는 MODICON 사에서 분산 네트워크의 처리를 위하여 개발된 프로토롤로서, Distributed Network Protocol이라 할 수 있으며, 원격지의 단말장치와 제어, 계측 정보들을 처리하기 위하여 설계된 표준 통신 규격으로 RTU(remote terminal unit), IED(Intelligent Electronic Device) 등과 같은 원격 단말 장치들과 서버(마스터 스테이션) 사이의 상호 운영성을 확립하기 위하여 개발된 개방형 프로토콜 이다. MODBUS는 산업용 자동화 시스템에서 널리 사용되고 있으며, 공장의 자동화 공정이나 생산시스템에 적용되고 있다. MODBUS 프로토콜 기반 통신 시스템의 가장 대표적인 예가 SCADA 시스템으로 SCADA 시스템이란 자동화 공정이 물리적으로 떨어진 거리를 두고 이루어질 때, 이를 관리하기 위한 원방계측 및 감시제어시스템을 지칭하는 용어이다. 이 경우 물리적 거리를 통신 네트워크로 연결하면서 필연적으로 정보 보호 문제가 발생한다. 하지만, 초기 SCADA 시스템은 폐쇄망으로 이러한 보안적 측면이 고려되지 않았으나, 점차 네트워크 간 통합추세가 가속화되면서 점차 이슈가 되고 있다.
제어 시스템의 SCADA 시스템은 높은 수준의 가용성(낮은 고장 빈도와 신속한 복구)이 요구되며, 매우 높은 수준의 계측 정확성이 요구된다. 따라서, 이를 위해 수신 데이터의 검증이 필요하고 부적절하거나 부정확한 제어동작의 방지가 필요하다. 예를 들어, 전력시스템의 안정적인 운영을 위해서는 일차적으로 SCADA 시스템 내에서 RTU/Host 간 정확한 통신이 전제되어야 한다.
계측오류, 통신오류, 이외에도 외부 해킹에 의한 인위적인 정보 왜곡 가능성이 존재하고, 산업 및 국가 기반시설에 대한 해킹이나 테러 행위들의 위협성이 증가되고 있다. SCADA 장치들은 대부분 내장형 제어기(controller)를 가지고 있고 이로 인해 제한된 제어기능을 가질 수 밖에 없고, 프로토콜의 경우에도 초기에 상대적으로 저속의 직렬통신을 기반으로 구성됨에 따라서, 위장하기(spoofing), 회신공격(reply attack), 서비스거부(denial of service) 공격 등 다양한 방식의 공격에 취약한 특성을 갖는다.
미국 PNNL의 Jeff Dagle은 모 학회에서 전력 테스트 계통을 만들고 차단기를 트립(trip)시켜 보는 예에 대한 논문을 제시하였으나, 여기서 차단기는 SCADA 소프트웨어에 차단기가 개방되었다는 신호를 전달하여도, SCADA 제어기는 그러한 신호를 보낸 적이 없기 때문에 무시(MODBUS 프로토콜 polling 방식의 허점 공격)하고 응답하지 않으며, 이는 고전적인 해킹 방법인 서비스거부(denial-of-service) 방식을 적용한 것으로 프로토콜 레벨에서의 취약성을 보인 사례에 해당한다.
SCADA 기기들은 종종 중앙제어시스템으로부터 제어를 받게 되는데, 이러한 중앙제어시스템들이 과거에는 UNIX 기반이었으나 최근에는 윈도우 기반으로 옮겨가고 있고, 이로 인한 보안상의 취약성 발생 가능을 갖는다. RTU나 PLC(Power Line Communication)들은 ROM 상에 입력되어 있는 OS에 의해 작동하고 있기 때문에 재설치가 불가능하고 이로 인해 ROM을 교체하지 않는 한 소프트웨어 차원의 업그레이드는 불가능할 뿐 아니라, 설사 ROM 교체가 가능하다 하더라도 보통 기기에 밀봉된 형태로 되어 있기 때문에 기기 교체를 하여야 하나 긴 수명 주기로 인해 기기 벤더가 존재하지 않는 경우가 많다.
MODBUS 기반 산업용 SCADA 시스템에 대한 고의적 정보 조작이 발생하게 되면 시스템의 붕괴를 유발할 수도 있으며, 네트워크 간 통합 추세에 있는 오늘날에 있어서는 더 큰 피해로 확산될 수 있다. 따라서 고의적 정보 조작을 방지할 수 있는 MODBUS 기반 SCADA 시스템 운영의 안전성 향상을 위한 보안 시스템 개발이 요구된다.
따라서, 본 발명은 상술한 문제점을 해결하기 위한 것으로서, 본 발명의 목적은, MODBUS 기반 SCADA 네트워크 상에서 외부로부터의 침입으로 발생할 수 해킹으로 인한 정보 유출을 막고, 제어, 계측 데이터 등과 관련된 정보들을 암호화 또는 부호화 처리로 보호하여 안정적이고 신뢰성 높은 통신을 구현할 수 MODBUS 기반 SCADA 네트워크 데이터 처리 방법 및 장치를 제공하는 데 있다.
먼저, 본 발명의 특징을 요약하면, 상기의 목적을 달성하기 위한 본 발명의 일면에 따라, MODBUS 기반 SCADA 네트워크로 연결되어 통신하는 복수의 원격 단말들과 SCADA 서버간의 통신 상에서 발생하는 데이터의 처리 방법은, 원격 단말과 상기 SCADA 네트워크 사이에서 상기 원격 단말로부터의 상기 원격 단말의 동작상태나 통신 상태와 관련된 계측 데이터를 암호화하고, 상기 암호화된 계측 데이터를 상기 MODBUS 기반 SCADA 네트워크를 통하여 전송하며, 상기 SCADA 네트워크와 상기 SCADA 서버 사이에서 상기 암호화된 계측 데이터를 상기 암호화의 역과정으로 복호화하여 상기 SCADA 서버로 전송하고, 상기 SCADA 서버는 상기 복호화된 계측 데이터에 기초하여 상기 원격 단말의 동작상태나 통신 상태를 감시하고 제어하기 위한 감시 및 제어 데이터를 생성하며, 상기 SCADA 네트워크와 상기 SCADA 서버 사이에서 상기 감시 및 제어 데이터를 암호화하고, 상기 암호화된 감시 및 제어 데이터를 상기 MODBUS 기반 SCADA 네트워크를 통하여 전송하며, 상기 원격 단말과 상기 SCADA 네트워크 사이에서 상기 암호화된 감시 및 제어 데이터를 상기 암호화의 역과정으로 복호화하여 원격 단말로 전송하는 것을 특징으로 한다.
그리고, 본 발명의 다른 일면에 따라 MODBUS 기반 SCADA 네트워크로 연결되어 통신하는 복수의 원격 단말들과 SCADA 서버간의 통신 상에서 발생하는 데이터의 처리 장치는, 원격 단말과 상기 SCADA 네트워크 사이에 구비되거나 상기 SCADA 네트워크와 상기 SCADA 서버 사이에 구비되는 보안 장치와 상기 원격 단말과 통신하기 위한 제1 통신 장치 및 상기 SCADA 서버와 통신하기 위한 제2 통신 장치를 포함하고, 상기 보안장치는 상기 제1 통신 장치를 통하여 수신되는 데이터를 암호화하여 암호화된 데이터를 상기 제2 통신 장치를 통하여 전송하고, 상기 제2 통신 장치를 통하여 수신되는 암호화된 데이터를 상기 암호화의 역과정으로 복호화하여 상기 제1 통신 장치로 전송하며, 상기 보안장치가 상기 원격 단말과 상기 SCADA 네트워크 사이에 구비되는 경우에, 상기 제1 통신 장치를 통하여 수신되는 데이터는 상기 원격 단말의 동작상태나 통신 상태와 관련된 계측 데이터이고, 상기 제2 통신 장치를 통하여 수신되는 암호화된 데이터는 상기 SCADA 서버가 상기 계측 데이터에 기초하여 생성한 상기 원격 단말의 동작상태나 통신 상태를 감시하고 제어하기 위한 감시 및 제어 데이터를 암호화한 데이터이며, 상기 보안장치가 상기 SCADA 네트워크와 상기 SCADA 서버 사이에 구비되는 경우에, 상기 제2 통신 장치를 통하여 수신되는 암호화된 데이터는 상기 원격 단말의 동작상태나 통신 상태와 관련된 계측 데이터가 암호화된 데이터이고, 상기 제1 통신 장치를 통하여 수신되는 데이터는 상기 SCADA 서버가 상기 계측 데이터에 기초하여 생성한 상기 원격 단말의 동작상태 나 통신 상태를 감시하고 제어하기 위한 감시 및 제어 데이터인 것을 특징으로 한다.
상기 제1 통신 장치 또는 상기 제2 통신 장치의 데이터 수신 속도를 감시하고, 상기 수신 속도가 기준치 이상이면 상기 제1 통신 장치 또는 상기 제2 통신 장치 중 암호화된 데이터를 수신하는 통신장치로부터의 수신 데이터를 소정 메모리에 저장하고 저장된 순서로 데이터를 독출하여 상기 보안 장치로 전달하는 감시 제어 장치를 더 포함할 수 있다.
상술한 바와 같이, 본 발명에 따른 MODBUS 기반 SCADA 네트워크 데이터 처리 방법 및 장치에 따르면, SCADA 네트워크 상에서 제어, 계측 데이터 등과 관련된 정보들을 암호화 또는 부호화 처리로 전송되도록 함으로써, 외부로부터의 침입으로 발생할 수 해킹으로 인한 정보 유출을 막고, 데이터를 보호하여 안정적이고 신뢰성 높은 통신을 구현할 수 있다.
또한, 본 발명에 따른 MODBUS 기반 SCADA 네트워크 데이터 처리 방법 및 장치에 따르면, MODBUS 기반으로 운용되는 SCADA 네트워크의 보안 취약점을 보완하는 데 있어서, 기존 SCADA 장치들의 입출력 통신포트와 연계하여 별도의 기기교체나 변환 없이 통신포트의 접속으로 운용되고 있는 SCADA 네트워크의 보안 위협을 감소시킬 수 있으며, 국부적인 시스템 침입 및 위협 요인들 뿐만 아니라 MODBUS 기반의 전체 SCADA 네트워크를 운용함에 있어서 효과적인 보안성 확보와 보호를 수행할 수 있다.
        본 발명과 본 발명의 동작상의 이점 및 본 발명의 실시에 의하여 달성되는 목적을 충분히 이해하기 위해서는 본 발명의 바람직한 실시예를 예시하는 첨부 도면 및 첨부 도면에 기재된 내용을 참조하여야만 한다.
이하, 첨부한 도면을 참조하여 본 발명의 바람직한 실시예를 설명함으로써, 본 발명을 상세히 설명한다.
도 1은 본 발명의 일실시예에 따른 MODBUS 기반 SCADA 네트워크 시스템을 설명하는 개념도이다.
본 발명의 일실시예에 따른 네트워크 시스템에서는, MODBUS 기반의 SCADA(Supervisory Control And Data Acquisition) 네트워크의 전용망으로 연결된 공장의 자동화 시스템이나 생산시스템 또는 전력 계통 시스템과 같은 산업용 자동화 시스템과 SCADA 서버가 원방 계측이나 감시, 제어 등을 위하여 통신할 때, 폐쇄망에서의 보안적 취약성을 극복하고 높은 수준의 보안성과 함께 원격 감시, 제어를 통하여 신속한 복구가 가능할 수 있다.
도 2와 같이, SCADA 서버가 MODBUS 기반 SCADA 네트워크로 연결된 산업용 자동화 시스템 등의 RTU(remote terminal unit)나 IED(Intelligent Electronic Device) 등의 원격 단말로부터 그들의 동작 상태나 통신 상태에 관련된 계측 데이터를 받을 수 있으며, 계측 데이터를 기반으로 원격 단말의 감시 및 제어를 위한 데이터를 생성하여 원격 단말로 전송하는 데 있어서, 위장하기(spoofing), 회신공격(reply attack), 서비스거부(denial of service) 공격 등 외부 해킹에 의한 인위 적인 정보 왜곡을 방지하기 위하여 보안 장치를 통하여 위와 같은 계측 데이터 또는 제어 데이터를 보안 처리하여 송수신될 수 있도록 한다.
보안 장치는 SCADA 서버와SCADA 네트워크 사이에 설치될 수 있고, 또한, 원격 단말과 SCADA 네트워크 사이에도 설치될 수 있다. 이에 따라, SCADA 서버와 같은 상위 시스템에서 전송하는 감시 및 제어 데이터가 보안 장치를 통해 암호화(encryption) 또는 부호화(encoding)된 후 SCADA 네트워크를 통하여 전송되고, SCADA 네트워크를 통하여 수신되는 암호화된 데이터는 원격 단말과 같은 하위 시스템측 보안 장치를 통해 복호화(decryption/decoding)된 후 원격 단말에서 수신될 수 있다. 마찬가지로, 원격 단말과 같은 하위 시스템측에서 SCADA 서버와 같은 상위 시스템으로 전송하는 계측 데이터도 보안 장치를 통해 암호화(encryption)된 후 SCADA 네트워크를 통하여 전송될 수 있으며, SCADA 네트워크를 통하여 수신되는 암호화된 데이터는 SCADA 서버와 같은 상위 시스템 측의 보안 장치를 통해 복호화(decryption)된 후 상위 시스템에서 수신될 수 있다.
초기 SCADA 시스템 경우 국지적인 제어용으로 개발되어 보안적 측면이 전혀 고려되지 않았지만, 이와 같이, 본 발명의 일실시예와 같은 MODBUS 기반 SCADA 네트워크 시스템에서는, SCADA 서버가MODBUS 기반 SCADA 네트워크로 연결된RTU, IED 등의 원격 단말로부터 계측 데이터를 수신하고, 원격 단말의 동작상태나 통신 상태를 감시하고 제어하기 위한 감시 및 제어 데이터의 송신에 있어서, SCADA 서버와 원격 단말 간에 암호화 또는 복호화 처리로 송수신되도록 함으로써, 외부로부터의 침입으로 발생할 수 해킹으로 인한 정보 유출을 막고, 데이터를 보호하여 안정적이 고 신뢰성 높은 통신을 구현할 수 있다.
또한, 본 발명에서는 MODBUS 기반으로 운용되는 SCADA 네트워크의 보안 취약점을 보완하는 데 있어서, 별도의 기기교체나 변환 없이도 SCADA 서버 또는 원격 단말을 SCADA 네트워크에 연결시키기 위한 입출력 통신포트와 같은 통신 인터페이스와 연계하여, 보안장치를 입출력 통신포트 내에 삽입하거나 SCADA 서버 또는 원격 단말과 연결되는 입출력 통신포트의 외부에 쉽게 설치하여 MODBUS 기반의 전체 SCADA 네트워크를 운용함으로써 효과적인 보안성 확보와 보호를 수행할 수 있다.
도 3은 본 발명의 일실시예에 따른 MODBUS 기반 SCADA 네트워크 데이터 처리 장치(100)를 설명하는 개념도이다.
도 3을 참조하면, 본 발명의 일실시예에 따라 MODBUS 기반 SCADA 네트워크 상에서 SCADA 서버와 같은 상위 시스템과 RTU, IED 등의 원격 단말과 같은 하위 시스템 간의 통신 상에서 발생하는 계측 데이터 또는 감시 및 제어 데이터를 암호화/복호화 처리하여 송수신하기 위한 MODBUS 기반 SCADA 네트워크 데이터 처리 장치(100)는, 중앙 제어 장치(110), 보안 장치(120), 감시 제어 장치(130), RTU 통신 장치(140), 및 서버 통신 장치(150)를 포함한다. 도 3에서, SCADA 서버와SCADA 네트워크 사이에 설치될 수 있는 MODBUS 기반 SCADA 네트워크 데이터 처리 장치(100)를 설명하지만, 이에 한정되는 것은 아니며 데이터 처리 장치(100)는 원격 단말과 SCADA 네트워크 사이에 설치될 수도 있다.
중앙 제어 장치(110)는 위와 같은 네트워크 데이터 처리 장치(100)의 구성 요소들의 전반적인 제어를 담당하는 프로세서(MCU)에 해당하고, 위와 같은 구성 요 소들의 일부 또는 전부를 포함하도록 구성할 수도 있다.
RTU, IED 등의 원격 단말과 같은 RTU측 하위시스템과의 통신을 위하여 MODBUS 규격에 따른 데이터의 송수신을 처리하는 RTU 통신 장치(140)가 이용되고 SCADA 서버와 같은 상위 시스템과의 통신을 위하여 MODBUS 규격에 따른 데이터의 송수신을 처리하는 서버 통신 장치(150)가 이용된다.
예를 들어, RTU 통신 장치(140)가 MODBUS 기반 SCADA 네트워크로 연결된RTU, IED 등의 원격 단말로부터 암호화된 계측 데이터(원격 단말의 동작상태나 통신 상태와 관련된 데이터)를 수신하면, 중앙 제어 장치(110)의 제어에 따라 보안 장치(120)로 전달되고 보안 장치(120)는 암호화된 계측 데이터를 복호화한다. 보안 장치(120)에서 복호화된 계측 데이터는 중앙 제어 장치(110)의 제어에 따라 서버 통신 장치(150)를 통해 SCADA 서버로 전송될 수 있다. 이때 감시 제어 장치(130)는 원격 단말로부터의 암호화된 계측 데이터의 수신이 정상적인 속도로 수신되는 지 여부를 감시하여 RTU 통신 장치(140)의 트래픽 수신을 양호하게 제어할 수 있다. 예를 들어, RTU 통신 장치(140)의 수신 속도가 포화 상태에 있는 경우에 중앙 제어 장치(110) 내부의 소정 메모리 등에 수신 계측 데이터를 저장하였다가 저장 순서로 독출하여(first-in-first-out)로 보안 장치(120)에 전달할 수 있다. 상기 포화상태는 소정 기준치, 예를 들어, 최대 수신 속도의 80% 등으로 설정될 수 있다.
이에 따라 SCADA 서버는 수신된 계측 데이터에 기초하여 원격 단말의 동작상태나 통신 상태를 감시하고 제어하기 위한 감시 및 제어 데이터를 생성할 수 있다. 예를 들어, 계측 데이터가 전력 시스템으로부터의 전력 계통의 운전과 관련된 계측 데이터인 경우에, SCADA 서버는 해당 데이터에 따라 전력 시스템에서의 전력 계통의 운전 상태나 통신 상의 장애 등을 감시하고 소정 기준에 적합하게 운전 상태가 유지될 수 있도록 각 전력 계통의 동작상태나 통신 트래픽의 분배 등 통신 상태를 제어하기 위한 감시 및 제어 데이터를 생성할 수 있다.
SCADA 서버가 생성한 감시 및 제어 데이터는 서버 통신 장치(150)를 통하여 수신되어 중앙 제어 장치(110)의 제어에 따라 보안 장치(120)로 전달되고 보안 장치(120)는 SCADA 서버로부터의 감시 및 제어 데이터를 암호화한다. 보안 장치(120)에서 암호화된 감시 및 제어 데이터는 중앙 제어 장치(110)의 제어에 따라 RTU 통신 장치(140)를 거쳐 SCADA 네트워크를 통해 RTU, IED 등의 원격 단말로 전송될 수 있다.
위에서, 본 발명의 일실시예에 따른 MODBUS 기반 SCADA 네트워크 데이터 처리 장치(100)가 SCADA 서버와SCADA 네트워크 사이에 설치되어 동작하는 과정을 설명하였다. 이와 같은 데이터 처리 장치(100)가 원격 단말과 SCADA 네트워크 사이에 설치되는 경우에는, 통신 장치(140/150) 중 어느 하나(제1 통신 장치)가 원격 단말의 동작상태나 통신 상태와 관련된 계측 데이터를 수신하면 보안 장치(120)가 해당 데이터를 암호화하여 통신 장치(140/150) 중 다른 하나(제2 통신 장치)를 거쳐 SCADA 네트워크를 통해 SCADA 서버로 전송할 수 있고, 또한, 상기 제2 통신 장치가 SCADA 서버로부터의 감시 및 제어 데이터가 암호화된 데이터를 수신하면 보안 장치(120)가 해당 데이터를 복호화하여 상기 제1 통신 장치를 거쳐 원격 단말로 전송할 수 있다. 이때에는 감시 제어 장치(130)가 암호화된 데이터를 수신하는 상기 제 2 통신 장치의 데이터 수신 속도를 감시하여 수신 속도가 기준치를 초과하면 소정 메모리 등에 수신 데이터를 저장하였다가 저장 순서로 독출하여(first-in-first-out)로 보안 장치(120)에 전달할 수 있다.
한편, 보안 장치(120)는 도 4와 같이, SCADA 서버로부터의 감시 및 제어 데이터와 같이 MODBUS 규약에 따른 데이터를 해당 프레임 단위로 구분하여(121) 소정 암호화 알고리즘에 따라 암호화/부호화하여(122) 원격 단말로 전송할 수 있다. 암호화 알고리즘은 소정 공개키 또는 비밀키를 이용하는 다양한 방식이 이용될 수 있다.
또한, 원격 단말로부터 수신되는 암호화된 계측 데이터는 보안 장치(120)에서 위와 같은 암호화 과정의 역과정을 통해 해독되어 복호화될 수 있으며(123), 이에 따라 MODBUS 규약에 따른 해당 프레임 단위로 구분되어(124) SCADA 서버로 전송될 수 있다.
이상에서와 같이 도면과 명세서에서 최적 실시예가 개시되었다. 여기서 특정한 용어들이 사용되었으나, 이는 단지 본 발명을 설명하기 위한 목적에서 사용된 것이지 의미한정이나 특허청구범위에 기재된 본 발명의 범위를 제한하기 위하여 사용된 것은 아니다. 그러므로 본 기술 분야의 통상의 지식을 가진 자라면 이로부터 다양한 변형 및 균등한 타 실시예가 가능하다는 점을 이해할 것이다. 따라서, 본 발명의 진정한 기술적 보호 범위는 첨부된 특허청구범위의 기술적 사상에 의해 정해져야 할 것이다.
도 1은 본 발명의 일실시예에 따른 MODBUS 기반 SCADA 네트워크 시스템을 설명하는 개념도이다.
도 2는 본 발명의 일실시예에 따라 SCADA 네트워크 토폴로지에 따른 데이터 보호 및 보안을 적용하기 위한 개념도이다.
도 3은 본 발명의 일실시예에 따른 MODBUS 기반 SCADA 네트워크 데이터 처리 장치를 설명하는 개념도이다.
도 4는 본 발명의 일실시예에 따른 MODBUS 기반 SCADA 네트워크 데이터의 암호와 처리를 설명하는 개념도이다.

Claims (3)

  1. MODBUS 기반 SCADA 네트워크로 연결되어 통신하는 복수의 원격 단말들과 SCADA 서버간의 통신 상에서 발생하는 데이터의 처리 방법에 있어서,
    상기 원격 단말과 상기 SCADA 네트워크 사이에서 상기 원격 단말로부터의 상기 원격 단말의 동작상태나 통신 상태와 관련된 계측 데이터를 암호화하고, 상기 암호화된 계측 데이터를 상기 MODBUS 기반 SCADA 네트워크를 통하여 전송하며, 상기 SCADA 네트워크와 상기 SCADA 서버 사이에서 상기 암호화된 계측 데이터를 상기 암호화의 역과정으로 복호화하여 상기 SCADA 서버로 전송하는 단계;
    상기 SCADA 서버는 상기 복호화된 계측 데이터에 기초하여 상기 원격 단말의 동작상태나 통신 상태를 감시하고 제어하기 위한 감시 및 제어 데이터를 생성하는 단계; 및
    상기 SCADA 네트워크와 상기 SCADA 서버 사이에서 상기 감시 및 제어 데이터를 암호화하고, 상기 암호화된 감시 및 제어 데이터를 상기 MODBUS 기반 SCADA 네트워크를 통하여 전송하며, 상기 원격 단말과 상기 SCADA 네트워크 사이에서 상기 암호화된 감시 및 제어 데이터를 상기 암호화의 역과정으로 복호화하여 원격 단말로 전송하는 단계를 포함하고,
    상기 원격 단말과 상기 SCADA 네트워크 사이에서, 또는 상기 SCADA 네트워크와 상기 SCADA 서버 사이에서, 암호화된 데이터의 수신 속도를 감시하고, 상기 수신 속도가 기준치 이상이면, 상기 암호화된 계측 데이터 또는 상기 암호화된 감시 및 제어 데이터 중 해당 암호화된 데이터를 소정 메모리에 저장하고 저장된 순서로 데이터를 독출하여 전송하는 것을 특징으로 하는 MODBUS 기반 SCADA 네트워크 데이터 처리 방법.
  2. MODBUS 기반 SCADA 네트워크로 연결되어 통신하는 복수의 원격 단말들과 SCADA 서버간의 통신 상에서 발생하는 데이터의 처리 장치에 있어서,
    원격 단말과 상기 SCADA 네트워크 사이에 구비되거나 상기 SCADA 네트워크와 상기 SCADA 서버 사이에 구비되는 보안 장치, 상기 원격 단말과 통신하기 위한 제1 통신 장치 및 상기 SCADA 서버와 통신하기 위한 제2 통신 장치를 포함하고,
    상기 제1 통신 장치 또는 상기 제2 통신 장치의 데이터 수신 속도를 감시하고, 상기 수신 속도가 기준치 이상이면 상기 제1 통신 장치 또는 상기 제2 통신 장치 중 암호화된 데이터를 수신하는 통신장치로부터의 수신 데이터를 소정 메모리에 저장하고 저장된 순서로 데이터를 독출하여 상기 보안 장치로 전달하는 감시 제어 장치를 포함하며,
    상기 보안장치는 상기 제1 통신 장치를 통하여 수신되는 데이터를 암호화하여 암호화된 데이터를 상기 제2 통신 장치를 통하여 전송하고, 상기 제2 통신 장치를 통하여 수신되는 암호화된 데이터를 상기 암호화의 역과정으로 복호화하여 상기 제1 통신 장치로 전송하며,
    상기 보안장치가 상기 원격 단말과 상기 SCADA 네트워크 사이에 구비되는 경우에, 상기 제1 통신 장치를 통하여 수신되는 데이터는 상기 원격 단말의 동작상태나 통신 상태와 관련된 계측 데이터이고, 상기 제2 통신 장치를 통하여 수신되는 암호화된 데이터는 상기 SCADA 서버가 상기 계측 데이터에 기초하여 생성한 상기 원격 단말의 동작상태나 통신 상태를 감시하고 제어하기 위한 감시 및 제어 데이터를 암호화한 데이터이며,
    상기 보안장치가 상기 SCADA 네트워크와 상기 SCADA 서버 사이에 구비되는 경우에, 상기 제2 통신 장치를 통하여 수신되는 암호화된 데이터는 상기 원격 단말의 동작상태나 통신 상태와 관련된 계측 데이터가 암호화된 데이터이고, 상기 제1 통신 장치를 통하여 수신되는 데이터는 상기 SCADA 서버가 상기 계측 데이터에 기초하여 생성한 상기 원격 단말의 동작상태나 통신 상태를 감시하고 제어하기 위한 감시 및 제어 데이터인 것을 특징으로 하는 MODBUS 기반 SCADA 네트워크 데이터 처리 장치.
  3. 삭제
KR1020080136555A 2008-12-30 2008-12-30 Modbus 기반 산업용 scada 네트워크의 데이터 보호 방법 및 장치 KR101023708B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020080136555A KR101023708B1 (ko) 2008-12-30 2008-12-30 Modbus 기반 산업용 scada 네트워크의 데이터 보호 방법 및 장치

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020080136555A KR101023708B1 (ko) 2008-12-30 2008-12-30 Modbus 기반 산업용 scada 네트워크의 데이터 보호 방법 및 장치

Publications (2)

Publication Number Publication Date
KR20100078323A KR20100078323A (ko) 2010-07-08
KR101023708B1 true KR101023708B1 (ko) 2011-03-25

Family

ID=42639555

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020080136555A KR101023708B1 (ko) 2008-12-30 2008-12-30 Modbus 기반 산업용 scada 네트워크의 데이터 보호 방법 및 장치

Country Status (1)

Country Link
KR (1) KR101023708B1 (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20140117753A (ko) 2013-03-26 2014-10-08 한국전자통신연구원 제어시스템 프로토콜 상의 비정상 트래픽 탐지 방법

Families Citing this family (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101359789B1 (ko) * 2011-09-29 2014-02-10 한국전력공사 Scada 통신 네트워크의 보안 시스템 및 방법
KR101339666B1 (ko) * 2012-04-30 2013-12-10 주식회사 엘시스 Modbus 통신 암호화 방법 및 장치
KR20160002058A (ko) 2014-06-30 2016-01-07 한국전자통신연구원 모드버스 통신 패턴 학습에 기반한 비정상 트래픽 탐지 장치 및 방법
KR101677843B1 (ko) 2015-04-17 2016-11-18 엘에스산전 주식회사 통신 시스템
KR101594765B1 (ko) * 2015-06-30 2016-02-18 덕산공조기계 주식회사 자동차 도장 공장 기반 plc 제어 시스템 및 이의 운용 방법
KR101959686B1 (ko) * 2018-10-01 2019-03-18 한국수자원공사 네트워크 보안용 l2 스위치 및 이를 이용한 원격 감시제어 시스템
KR102398108B1 (ko) * 2019-11-22 2022-05-13 주식회사 바른기술 병렬 인터페이스 보안 장치

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20050005093A1 (en) * 2003-07-01 2005-01-06 Andrew Bartels Methods, systems and devices for securing supervisory control and data acquisition (SCADA) communications
US20070162957A1 (en) 2003-07-01 2007-07-12 Andrew Bartels Methods, systems and devices for securing supervisory control and data acquisition (SCADA) communications
US20080109889A1 (en) 2003-07-01 2008-05-08 Andrew Bartels Methods, systems and devices for securing supervisory control and data acquisition (SCADA) communications
KR20090102469A (ko) * 2008-03-26 2009-09-30 한국전기연구원 Dnp 기반 scada 네트워크 데이터 보호 시스템 및그 방법

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20050005093A1 (en) * 2003-07-01 2005-01-06 Andrew Bartels Methods, systems and devices for securing supervisory control and data acquisition (SCADA) communications
US20070162957A1 (en) 2003-07-01 2007-07-12 Andrew Bartels Methods, systems and devices for securing supervisory control and data acquisition (SCADA) communications
US20080109889A1 (en) 2003-07-01 2008-05-08 Andrew Bartels Methods, systems and devices for securing supervisory control and data acquisition (SCADA) communications
KR20090102469A (ko) * 2008-03-26 2009-09-30 한국전기연구원 Dnp 기반 scada 네트워크 데이터 보호 시스템 및그 방법

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20140117753A (ko) 2013-03-26 2014-10-08 한국전자통신연구원 제어시스템 프로토콜 상의 비정상 트래픽 탐지 방법
US9298175B2 (en) 2013-03-26 2016-03-29 Electronics And Telecommunications Research Institute Method for detecting abnormal traffic on control system protocol

Also Published As

Publication number Publication date
KR20100078323A (ko) 2010-07-08

Similar Documents

Publication Publication Date Title
KR101023708B1 (ko) Modbus 기반 산업용 scada 네트워크의 데이터 보호 방법 및 장치
US10432404B2 (en) Remote control of secure installations
KR20090102469A (ko) Dnp 기반 scada 네트워크 데이터 보호 시스템 및그 방법
US8756411B2 (en) Application layer security proxy for automation and control system networks
CN1333310C (zh) 过程自动化系统和用于过程自动化系统的过程装置
US20080005558A1 (en) Methods and apparatuses for authentication and validation of computer-processable communications
KR101938312B1 (ko) 사물인터넷 기반의 DUSS(Different Units Same Security) 장치
WO2003107626A2 (en) Method for establishing secure network communications
EP3053324B1 (en) Securing communication within a network endpoint
US11423187B2 (en) Security device and field bus system for supporting secure communication by means of a field bus
CN114143068A (zh) 电力物联网网关设备容器安全防护系统及其方法
EP3010199B1 (en) Secure remote desktop
US10356226B2 (en) Secure connection with protected facilities
Wagner et al. Retrofitting Integrity Protection into Unused Header Fields of Legacy Industrial Protocols
CN114363024A (zh) 数据加密传输方法、装置、终端设备以及存储介质
EP4154493A1 (en) One-way data transfer device with secure reverse channel
KR20130001767A (ko) 통신 보안을 위한 데이터 통신 시스템
US20230336374A1 (en) Gateway and bridge devices for secure internet of things
Cagalaban et al. Scada network insecurity: Securing critical infrastructures through scada security exploitation
Sagala et al. Secured Communication Among HMI and Controller using RC-4 Algorithmand Raspberry Pi
Araghi et al. Improving security in SCADA systems
Majdalawieh Security framework for supervisory control and data acquisition (SCADA)
Post et al. Certificate based security at device level of automation system
KR20200065154A (ko) 데이터 전송을 위한 보안 장치 및 보안 서비스 방법
Cagalaban et al. A Study on Improving the Security Vulnerabilities of Modbus-Based SCADA Control Systems

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20140317

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20150317

Year of fee payment: 5

LAPS Lapse due to unpaid annual fee