KR20200052755A - 사이버 보안 취약점 및 규제지침 점검 장치 및 방법 - Google Patents
사이버 보안 취약점 및 규제지침 점검 장치 및 방법 Download PDFInfo
- Publication number
- KR20200052755A KR20200052755A KR1020180136133A KR20180136133A KR20200052755A KR 20200052755 A KR20200052755 A KR 20200052755A KR 1020180136133 A KR1020180136133 A KR 1020180136133A KR 20180136133 A KR20180136133 A KR 20180136133A KR 20200052755 A KR20200052755 A KR 20200052755A
- Authority
- KR
- South Korea
- Prior art keywords
- vulnerability
- checking
- inspection
- check
- regulatory guidelines
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/14—Session management
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Small-Scale Networks (AREA)
Abstract
산업용 제어 시스템의 사이버 보안 취약점 및 규제지침을 점검하는 장치로서, 사용자로부터 취약점 및 규제지침 점검 수행에 필요한 설정 사항을 제공받는 통합 사용자 인터페이스 모듈, 상기 설정 사항에 상기 산업용 제어 시스템의 제1 기기에 대한 취약점 점검 요청사항이 포함되면, 상기 제1 기기의 식별 정보를 바탕으로 상기 제1 기기에 대한 취약점을 점검하는 취약점 점검 모듈, 상기 설정 사항에 상기 산업용 제어 시스템의 제1 기기에 대한 규제지침 점검 요청사항이 포함되면, 상기 제1 기기에 대응하는 점검 플러그인을 실행하여 상기 제1 기기에 대한 규제지침을 점검하는 규제지침 점검 모듈, 그리고 상기 설정 사항에 상기 산업용 제어 시스템의 제2 기기에 대한 취약점 점검 요청사항이 포함되면, 시리얼 통신 명령어를 이용하여 상기 제2 기기에 대한 취약점을 점검하는 통합 점검 모듈을 포함하는 취약점 및 규제지침 점검 장치가 제공된다.
Description
본 기재는 산업용 제어 시스템의 사이버 보안 취약점 및 규제지침을 점검하는 장치 및 방법에 관한 것이다.
일반적으로 상용 취약점 평가 도구들이 사용되는 점검 방식은 특수성을 갖는 산업용 제어 시스템(Industrial Control System, ICS)(예를 들어, 발전소 제어 시스템)에 대한 사이버 보안 평가에 대해 많은 한계점을 갖는다. 이들 산업용 제어 시스템이 갖는 특수성은 다음과 같다.
첫째, 몇몇 특수한 형태의 산업용 제어 시스템은 안전 및 비안전 계통으로 구분되고, 다양한 형태의 제어 시스템, 예를 들어, 분산 제어 시스템(Distributed Control System, DCS), 정보 처리 시스템(Information Processing System, IPS), 프로그램 가능 로직 제어기(Programmable Logic Controller, PLC) 등으로 구성된다. 또한, 산업용 제어 시스템의 각 제어 시스템은 서로 다른 운영체제 및 통신 방식을 갖는다.
둘째, 몇몇 특수한 형태의 산업용 제어 시스템은 운용에 최소의 영향력을 보장하기 위해, 네트워크 대역폭 사용에 제한을 둔다. 즉, 특수한 형태의 산업용 제어 시스템(예를 들어, 원자력 발전소)을 구성하는 기기들은 네트워크를 통해 구성된다. 이러한 시스템의 네트워크에서 기준 이상의 과도한 통신 트래픽 부하가 발생하면 기기들 사이의 운용에 문제가 발생할 수 있다.
셋째, 산업용 제어 시스템에 대한 사이버 보안 평가시, 필수 디지털 자산(Critical Digital Asset, CDA)에 대해 최소한의 영향력을 보장하는 점검 방법이 요구된다. 예를 들어, 침투성의 취약점 점검 또는 에이전트 기반(예를 들어, 호스트 설치 기반의 침입 탐지 시스템(Intrusion Detection System, IDS) 방식은 상대적으로 필수 디지털 자산의 운용에 위험 요소를 동반할 수 있다.
넷째, 몇몇 산업용 제어 시스템에 대해서 사이버 보안 규제 지침(예를 들어, KINAC/RS-015)기반의 자동화된 점검 방식이 요구된다. 예를 들어, 산업용 제어 시스템에 대한 취약점 점검을 위한 자동화 도구에는 여러 상업 제품들이 존재하지만, 사이버 보안 규제 지침의 점검항목들에 대한 이행 여부를 평가해주는 자동화 도구는 전무하다.
다섯째, 사이버 보안 규제 지침의 준수 여부에 대한 사이버 보안 평가시, 제어 시스템(IPS, DCS 및 PLC)의 종류에 따라 점검 방식 및 점검 항목에 차이가 발생한다. 예를 들어, IP 네트워크 기능이 없는 PLC 장비와 같은 특수 목적의 임베디드 기기는 네트워크와 관련된 규제지침(예를 들어, DNS 관련 점검항목)의 점검항목들에 대한 점검대상에 포함되지 않는다. 결과적으로, 규제지침의 각 항목별 이행 여부는 제어 시스템별로 달라진다.
이와 같이, 몇몇 형태의 산업용 제어 시스템은 다양한 특수성을 가지고 있지만, 보안 위협을 대비하기 위해 지속적인 취약점 점검 및 사이버 보안 평가가 요구된다. 그러나, 기존의 IT 장비에 대한 취약점 점검 및 사이버 보안 평가를 위한 점검 방법 및 도구(예를 들어, antivirus, vulnerability scanner software)들은 위의 5가지 특수성이 고려되어 설계되지 않기 때문에, 특수성을 갖는 산업용 제어 시스템에 적용되기 어려운 문제점이 있다.
한 실시예는 산업용 제어 시스템의 사이버 보안 취약점 및 규제지침을 점검하는 장치를 제공한다.
다른 실시예는 산업용 제어 시스템의 사이버 보안 취약점 및 규제지침을 점검하는 방법을 제공한다.
한 실시예에 따르면, 산업용 제어 시스템의 사이버 보안 취약점 및 규제지침을 점검하는 장치가 제공된다. 상기 취약점 및 규제지침 점검 장치는 사용자로부터 취약점 및 규제지침 점검 수행에 필요한 설정 사항을 제공받는 통합 사용자 인터페이스 모듈, 상기 설정 사항에 상기 산업용 제어 시스템의 제1 기기에 대한 취약점 점검 요청사항이 포함되면, 상기 제1 기기의 식별 정보를 바탕으로 상기 제1 기기에 대한 취약점을 점검하는 취약점 점검 모듈, 상기 설정 사항에 상기 산업용 제어 시스템의 제1 기기에 대한 규제지침 점검 요청사항이 포함되면, 상기 제1 기기에 대응하는 점검 플러그인을 실행하여 상기 제1 기기에 대한 규제지침을 점검하는 규제지침 점검 모듈, 그리고 상기 설정 사항에 상기 산업용 제어 시스템의 제2 기기에 대한 취약점 점검 요청사항이 포함되면, 시리얼 통신 명령어를 이용하여 상기 제2 기기에 대한 취약점을 점검하는 통합 점검 모듈을 포함한다.
상기 제1 기기는 이더넷 기반 기기이고, 상기 제2 기기는 시리얼 통신 기반 기기일 수 있다.
상기 취약점 점검 모듈은, 상기 제1 기기와 이더넷 통신 연결을 생성하고, 제한된 대역폭의 사용을 보장하도록 네트워크 세션을 관리할 수 있다.
상기 취약점 점검 모듈은, 비침투성 네트워크 스캐닝을 통해 상기 제1 기기의 운영체제 및 응용 서비스의 식별 정보를 추출하고, 상기 식별 정보에 대응하는 기저장된 취약점 데이터를 바탕으로 상기 제1 기기에 대한 취약점을 점검할 수 있다.
상기 취약점 점검 모듈은, 경량 프로브 패킷 응답을 이용하여 상기 제1 기기의 운영체제의 식별 정보를 추출하고, UDP 또는 TCP 포트 스캐닝을 통해 상기 제1 기기의 서비스의 식별 정보를 추출할 수 있다.
상기 규제지침 점검 모듈은, 상기 제1 기기에 대한 규제지침 및 상기 제1 기기의 소프트웨어 플랫폼에 각각 대응하는 점검 플러그인을 실행 할 수 있다.
상기 통합 점검 모듈은, 상기 제2 기기와 시리얼 통신 연결을 생성하고, 상기 제2 기기에 대한 취약점 점검이 완료될 때까지, 상기 제2 기기와의 세션 연결을 유지할 수 있다.
상기 통합 점검 모듈은, 상기 설정 사항에 상기 산업용 제어 시스템의 상기 제2 기기에 대한 규제지침 점검 요청사항이 포함되면, 상기 제2 기기에 대한 규제지침 및 상기 제2 기기의 소프트웨어 플랫폼에 각각 대응하는 점검 플러그인을 실행하고, 상기 제2 기기를 제어하는 기기가 사용하는 시리얼 통신 명령어를 이용하여 규제지침을 점검할 수 있다.
상기 취약점 점검 모듈, 상기 규제지침 점검 모듈, 및 상기 통합 점검 모듈로부터 점검 결과를 전달받아 저장하는 데이터베이스를 더 포함할 수 있다.
다른 실시예에 따르면, 산업용 제어 시스템의 사이버 보안 취약점 및 규제지침을 점검하는 방법이 제공된다. 상기 취약점 및 규제지침 점검 방법은 사용자로부터 취약점 및 규제지침 점검 수행에 필요한 설정 사항을 제공받는 단계, 상기 설정 사항에 상기 산업용 제어 시스템의 제1 기기에 대한 취약점 점검 요청사항이 포함되면, 상기 제1 기기의 식별 정보를 바탕으로 상기 제1 기기에 대한 취약점을 점검하는 단계, 상기 설정 사항에 상기 산업용 제어 시스템의 제1 기기에 대한 규제지침 점검 요청사항이 포함되면, 상기 제1 기기에 대응하는 점검 플러그인을 실행하여 상기 제1 기기에 대한 규제지침을 점검하는 단계, 그리고 상기 설정 사항에 상기 산업용 제어 시스템의 제2 기기에 대한 취약점 점검 요청사항이 포함되면, 시리얼 통신 명령어를 이용하여 상기 제2 기기에 대한 취약점을 점검하는 단계를 포함한다.
상기 제1 기기는 이더넷 기반 기기이고, 상기 제2 기기는 시리얼 통신 기반 기기일 수 있다.
상기 제1 기기에 대한 취약점을 점검하는 단계는, 상기 제1 기기와 이더넷 통신 연결을 생성하고, 제한된 대역폭의 사용을 보장하도록 네트워크 세션을 관리하는 단계를 포함할 수 있다.
상기 제1 기기에 대한 취약점을 점검하는 단계는, 상기 네트워크 세션을 관리하는 단계 이후, 비침투성 네트워크 스캐닝을 통해 상기 제1 기기의 운영체제 및 응용 서비스의 식별 정보를 추출하는 단계, 그리고 상기 식별 정보에 대응하는 기저장된 취약점 데이터를 바탕으로 상기 제1 기기에 대한 취약점을 점검하는 단계를 포함할 수 있다.
상기 식별 정보를 추출하는 단계는, 경량 프로브 패킷 응답을 이용하여 상기 제1 기기의 운영체제의 식별 정보를 추출하고, UDP 또는 TCP 포트 스캐닝을 통해 상기 제1 기기의 서비스의 식별 정보를 추출할 수 있다.
상기 제1 기기에 대한 규제지침을 점검하는 단계는, 상기 제1 기기와 이더넷 통신 연결을 생성하는 단계, 데이터베이스로부터 상기 제1 기기에 대한 규제지침 및 상기 제1 기기의 소프트웨어 플랫폼에 각각 대응하는 점검 플러그인을 로드(load)하는 단계, 그리고 상기 점검 플러그인을 실행하는 단계를 포함할 수 있다.
상기 제2 기기에 대한 취약점을 점검하는 단계는, 상기 제2 기기와 시리얼 통신 연결을 생성하고, 상기 제2 기기에 대한 취약점 점검이 완료될 때까지, 상기 제2 기기와의 세션 연결을 유지하는 단계를 포함할 수 있다.
상기 설정 사항에 상기 산업용 제어 시스템의 제2 기기에 대한 규제지침 점검 요청사항이 포함되면, 상기 제2 기기에 대한 규제지침 및 상기 제2 기기의 소프트웨어 플랫폼에 각각 대응하는 점검 플러그인을 실행하여 상기 제2 기기에 대한 규제지침을 점검하는 단계를 더 포함할 수 있다.
다른 실시예에 따르면, 산업용 제어 시스템의 사이버 보안 취약점 및 규제지침을 점검하는 장치가 제공된다. 상기 취약점 및 규제지침 점검 장치는 프로세서 및 메모리를 포함하고, 상기 프로세서는 상기 메모리에 저장된 프로그램을 실행하여, 사용자로부터 취약점 및 규제지침 점검 수행에 필요한 설정 사항을 제공받는 단계, 상기 설정 사항에 상기 산업용 제어 시스템의 제1 기기에 대한 취약점 점검 요청사항이 포함되면, 상기 제1 기기의 식별 정보를 바탕으로 상기 제1 기기에 대한 취약점을 점검하는 단계, 상기 설정 사항에 상기 산업용 제어 시스템의 제1 기기에 대한 규제지침 점검 요청사항이 포함되면, 상기 제1 기기에 대응하는 점검 플러그인을 실행하여 상기 제1 기기에 대한 규제지침을 점검하는 단계, 그리고 상기 설정 사항에 상기 산업용 제어 시스템의 제2 기기에 대한 취약점 점검 요청사항이 포함되면, 시리얼 통신 명령어를 이용하여 상기 제2 기기에 대한 취약점을 점검하는 단계를 수행한다.
상기 제1 기기는 이더넷 기반 기기이고, 상기 제2 기기는 시리얼 통신 기반 기기일 수 있다.
이더넷 및 시리얼 통신 기반의 모든 산업용 시스템 기기에 대해 기기의 안정범위 내에 점검 트래픽을 발생시키고, 비침투성 취약점 점검을 수행할 수 있다.
다수의 기기에 대해 규제지침 점검을 자동화함으로써, 사용자에게 편리성을 제공할 수 있다.
도 1은 한 실시예에 따른 산업용 제어 시스템의 블록도이다.
도 2는 한 실시예에 따른 산업용 제어 시스템의 사이버 보안 점검 시스템의 블록도이다.
도 3은 한 실시예에 따른 산업용 제어 시스템의 사이버 보안 취약점 및 규제지침 점검 장치의 블록도이다.
도 4 및 도 5는 한 실시예에 따른 통합 사용자 인터페이스 모듈을 통해 구현되는 사용자 인터페이스(UI)를 나타내는 도면이다.
도 6은 한 실시예에 따른 통합 사용자 인터페이스 모듈의 동작 과정의 흐름도이다.
도 7은 한 실시예에 따른 네트워크 기반 ICS 기기에 대한 취약점 점검 모듈의 동작 과정의 흐름도이다.
도 8은 한 실시예에 따른 네트워크 기반 ICS 기기에 대한 규제지침 점검 모듈의 동작 과정의 흐름도이다.
도 9는 한 실시예에 따른 시리얼 통신 기반 ICS 기기에 대한 통합 점검 모듈의 동작 과정의 흐름도이다.
도 10은 한 실시예에 따른 EWS와 시리얼 통신 기반 ICS 기기(또는 필수 디지털 자산(CDA))가 사용하는 시리얼 통신 패킷의 구조를 나타내는 도면이다.
도 11은 한 실시예에 따른 산업용 제어 시스템의 사이버 보안 취약점 및 규제지침을 점검하는 방법의 흐름도이다.
도 12는 다른 실시예에 따른 취약점 및 규제지침 점검 장치의 블록도이다.
도 2는 한 실시예에 따른 산업용 제어 시스템의 사이버 보안 점검 시스템의 블록도이다.
도 3은 한 실시예에 따른 산업용 제어 시스템의 사이버 보안 취약점 및 규제지침 점검 장치의 블록도이다.
도 4 및 도 5는 한 실시예에 따른 통합 사용자 인터페이스 모듈을 통해 구현되는 사용자 인터페이스(UI)를 나타내는 도면이다.
도 6은 한 실시예에 따른 통합 사용자 인터페이스 모듈의 동작 과정의 흐름도이다.
도 7은 한 실시예에 따른 네트워크 기반 ICS 기기에 대한 취약점 점검 모듈의 동작 과정의 흐름도이다.
도 8은 한 실시예에 따른 네트워크 기반 ICS 기기에 대한 규제지침 점검 모듈의 동작 과정의 흐름도이다.
도 9는 한 실시예에 따른 시리얼 통신 기반 ICS 기기에 대한 통합 점검 모듈의 동작 과정의 흐름도이다.
도 10은 한 실시예에 따른 EWS와 시리얼 통신 기반 ICS 기기(또는 필수 디지털 자산(CDA))가 사용하는 시리얼 통신 패킷의 구조를 나타내는 도면이다.
도 11은 한 실시예에 따른 산업용 제어 시스템의 사이버 보안 취약점 및 규제지침을 점검하는 방법의 흐름도이다.
도 12는 다른 실시예에 따른 취약점 및 규제지침 점검 장치의 블록도이다.
아래에서는 첨부한 도면을 참고로 하여 본 발명의 실시예에 대하여 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자가 용이하게 실시할 수 있도록 상세히 설명한다. 그러나 본 발명은 여러 가지 상이한 형태로 구현될 수 있으며 여기에서 설명하는 실시예에 한정되지 않는다. 그리고 도면에서 본 발명을 명확하게 설명하기 위해서 설명과 관계없는 부분은 생략하였으며, 명세서 전체를 통하여 유사한 부분에 대해서는 유사한 도면 부호를 붙였다.
명세서 전체에서, 어떤 부분이 어떤 구성요소를 "포함"한다고 할 때, 이는 특별히 반대되는 기재가 없는 한 다른 구성 요소를 제외하는 것이 아니라 다른 구성요소를 더 포함할 수 있는 것을 의미한다.
도 1은 한 실시예에 따른 산업용 제어 시스템의 블록도이다.
도 1을 참조하면, 산업용 제어 시스템(Industrial Control System, ICS)의 각 ICS 기기(또는 필수 디지털 자산(CDA))들(예를 들어, IPS, DCS, PLC)은 서로 다른 통신 방식(예를 들어, TCP/IP, UDP, 시리얼 통신)을 가지며, 각 ICS 기기(또는 필수 디지털 자산(CDA))의 목적에 따라 다양한 종류의 소프트웨어 플랫폼(예를 들어, 범용 운영 시스템(General Purpose Operating System, GPOS), 실시간 운영 시스템(Real Time Operating System, RTOS), 펌웨어(Firmware))으로 구성된다. 산업용 시스템에 대한 취약점 점검과 관련된 사이버 보안 규제 지침의 이행 여부 점검 방식은 산업용 시스템의 각 ICS 기기(또는 필수 디지털 자산(CDA))별로 달라진다.
도 2는 한 실시예에 따른 산업용 제어 시스템의 사이버 보안 점검 시스템의 블록도이다.
도 2를 참조하면, 한 실시예에 따른 사이버 보안 점검 시스템은, 산업용 제어 시스템(200) 및 취약점 및 규제지침 점검 장치(300)를 포함한다.
산업용 제어 시스템(200)은, 인간-기계 인터페이스(Human Machine Interface, HMI)(210), 컴퓨터(Personal Computer, PC)(220), 엔지니어링 워크스테이션(Engineering Workstation, EWS)(230), 분산 제어 시스템(Distributed Control System, DCS)(240) 및 프로그램 가능 로직 제어기(Programmable Logic Controller, PLC)(250)와 같은 소프트웨어 및 하드웨어 플랫폼의 다양한 ICS 기기(또는 필수 디지털 자산(CDA))들을 포함할 수 있다.
취약점 및 규제지침 점검 장치(300)는 에어갭(Air-gap)을 통해 물리적으로 격리된 휴대용 기기일 수 있다. 취약점 및 규제지침 점검 장치(300)는 다양한 인터페이스(예를 들어, 이더넷(ethernet) 및 시리얼 케이블(serial cable))을 통해 직접 여러 필수 디지털 자산(Critical Digital Asset, CDA)에 연결될 수 있다. 취약점 및 규제지침 점검 장치(300)와 산업용 제어 시스템(200)의 ICS 기기(또는 필수 디지털 자산(CDA))들(210, 220, 230, 240, 250) 간 연결은 1:1 또는 1:M 연결이 될 수 있다. 한 실시예로서, PLC와 같이 독립적으로 운용되는 ICS 기기(또는 필수 디지털 자산(CDA))는 취약점 및 규제지침 점검 장치(300)와의 1:1 연결을 통해 점검될 수 있고, DCS와 같이 네트워크 구성을 갖는 분산형 ICS 기기(또는 필수 디지털 자산(CDA))는 네트워크 스위치를 통해 다른 ICS 기기(또는 필수 디지털 자산(CDA))와 함께 취약점 및 규제지침 점검 장치(300)에 1:M 연결되고, 점검될 수 있다.
도 3은 한 실시예에 따른 산업용 제어 시스템의 사이버 보안 취약점 및 규제지침 점검 장치의 블록도이다.
도 3을 참조하면, 한 실시예에 따른 취약점 및 규제지침 점검 장치(300)는, 통합 사용자 인터페이스 모듈(310), 취약점 점검 모듈(320), 규제지침 점검 모듈(330), 그리고 통합 점검 모듈(340)을 포함한다.
통합 사용자 인터페이스 모듈(Integrated User Interface Block, IUIB)(310)은 사용자에게 취약점 및 규제지침 점검 수행에 필요한 옵션 지정 및 점검 결과 확인에 대한 동의 기능을 제공하는 사용자 인터페이스 모듈이다. 통합 사용자 인터페이스 모듈(310)은 사용자로부터 설정사항으로서, 점검 대상 선정, 점검 항목 선택, 취약점 점검에 필요한 파라미터를 제공받는다. 통합 사용자 인터페이스 모듈(310)은 설정사항을 취약점 점검 모듈(320), 규제지침 점검 모듈(330), 및 통합 점검 모듈(340)에게 전달하여 취약점 및 규제지침 점검이 실행되도록 한다. 통합 사용자 인터페이스 모듈(310)은 취약점 점검 결과를 다양한 포맷으로 나타내는 인터페이스와 데이터베이스를 관리할 수 있는 인터페이스를 사용자에게 제공한다.
도 4 및 도 5는 한 실시예에 따른 통합 사용자 인터페이스 모듈을 통해 구현되는 사용자 인터페이스(UI)를 나타내는 도면이다.
도 4 및 도 5를 참조하면, 사용자가 인터페이스 상의 "점검 수행"을 클릭하면, 통합 사용자 인터페이스 모듈(310)은 인터페이스 상에 다양한 ICS 기기(또는 필수 디지털 자산(CDA))들에 대한 점검명, 진행 상태 등을 생성한다.
사용자가 인터페이스 상의 "점검 히스토리"를 클릭하면, 통합 사용자 인터페이스 모듈(310)은 인터페이스 상에 인터페이스 상에 취약점, 규제지침 점검 이력 확인, 및 결과 보고서를 생성한다.
사용자가 인터페이스 상의 "IPS/DCS 취약점 점검"을 클릭하면, 통합 사용자 인터페이스 모듈(310)은 취약점 점검 모듈(320)을 동작시켜 이더넷 기반의 ICS 기기(또는 필수 디지털 자산(CDA))들에 대한 취약점 점검이 수행되도록 한다.
사용자가 인터페이스 상의 "IPS/DCS 규제지침 점검"을 클릭하면, 통합 사용자 인터페이스 모듈(310)은 규제지침 점검 모듈(330)을 동작시켜 이더넷 기반의 ICS 기기(또는 필수 디지털 자산(CDA))들에 대한 사이버 보안 규제지침 사항(예를 들어, 원자력 사이버 보안 규제 지침(KINAC/RS-015) [4], [5])에 대한 자동화 점검이 수행되도록 한다.
사용자가 인터페이스 상의 "PLC 취약점 점검"을 클릭하면, 통합 사용자 인터페이스 모듈(310)은 통합 점검 모듈(340)을 동작시켜 시리얼 통신 기반의 ICS 기기(또는 필수 디지털 자산(CDA))들에 대한 취약점 점검이 수행되도록 한다.
사용자가 인터페이스 상의 "PLC 규제지침 점검"을 클릭하면, 통합 사용자 인터페이스 모듈(310)은 통합 점검 모듈(340)을 동작시켜 시리얼 통신 기반의 ICS 기기(또는 필수 디지털 자산(CDA))들에 대한 사이버 보안 규제지침 사항(예를 들어, 원자력 사이버 보안 규제 지침(KINAC/RS-015) [4], [5])에 대한 자동화 점검이 수행되도록 한다.
사용자가 인터페이스 상의 "취약점 목록"을 클릭하면, 통합 사용자 인터페이스 모듈(310)은 인터페이스 상에 데이터베이스(Data Base, DB)(350)로부터 획득한 취약점 목록을 생성한다.
사용자가 인터페이스 상의 "CDA 목록"을 클릭하면, 통합 사용자 인터페이스 모듈(310)은 인터페이스 상에, 데이터베이스(350)로부터 획득한, 산업용 제어 시스템을 구성하는 모든 필수 디지털 자산(CDA)에 대한 목록을 생성한다.
사용자가 인터페이스 상의 "취약점 DB"를 클릭하면, 통합 사용자 인터페이스 모듈(310)은 오프라인 상에서 알려진 취약점 정보를 이용하여 데이터베이스(350)를 업데이트시킨다.
사용자가 인터페이스 상의 "규제지침 플러그인 IPS/DCS"를 클릭하면, 통합 사용자 인터페이스 모듈(310)은 인터페이스 상에 이더넷 기반 ICS 기기(또는 필수 디지털 자산(CDA))들에 대한 보안 규제지침을 점검하기 위한 소프트웨어 플러그인 목록을 업로드한다.
사용자가 인터페이스 상의 "규제지침 플러그인 PLC"를 클릭하면, 통합 사용자 인터페이스 모듈(310)은 인터페이스 상에 시리얼 통신 기반 ICS 기기(또는 필수 디지털 자산(CDA))들에 대한 사이버 보안 규제지침을 점검하기 위한 소프트웨어 플러그인 목록을 업로드한다.
사용자가 인터페이스 상의 "CDA"를 클릭하면, 통합 사용자 인터페이스 모듈(310)은 인터페이스 상에 현재 관리 대상인 ICS 기기(또는 필수 디지털 자산(CDA))의 정보를 업로드한다.
도 6은 한 실시예에 따른 통합 사용자 인터페이스 모듈의 동작 과정의 흐름도이다.
도 6을 참조하면, 통합 사용자 인터페이스 모듈(310)은 한 실시예로서, 인터페이스 상에 "점검 대상 ICS 장비 선택"을 생성하여 사용자가 점검 가능한 다양한 ICS 기기(또는 필수 디지털 자산(CDA))를 선택할 수 있도록 할 수 있다(S51). 점검 대상 ICS 기기(또는 필수 디지털 자산(CDA))에 따라 소프트웨어 및 물리 인터페이스가 다르기 때문에, 사용자는 "점검 대상 ICS 장비 선택"을 통해 점검 방식을 결정할 수 있다.
통합 사용자 인터페이스 모듈(310)은 한 실시예로서, 인터페이스 상에 "점검 대상에 따른 파라미터 설정"을 생성하여 사용자가 ICS 기기(또는 필수 디지털 자산(CDA))에 대한 점검시 요구되는 네트워크 대역폭의 한계치를 설정할 수 있도록 할 수 있다(S53).
통합 사용자 인터페이스 모듈(310)은 한 실시예로서, 인터페이스 상에 "규제지침 점검항목 설정"을 생성하여 사용자가 ICS 기기(또는 필수 디지털 자산(CDA))의 특성에 맞는 규제지침의 점검 항목을 설정할 수 있도록 할 수 있다(S54).
통합 사용자 인터페이스 모듈(310)은 산업용 시스템의 각 ICS 기기(또는 필수 디지털 자산(CDA))의 특징에 기반하여 사용자가 설정한 사항을 취약점 점검 모듈(320), 규제지침 점검 모듈(330), 및 통합 점검 모듈(340)에게 전달할 수 있다. 예를 들어, 사용자가 인터페이스 상의 "점검 대상 ICS 장비 선택"에서 이더넷 기반 ICS 장비를 선택하고, "IPS/DCS 취약점 점검"을 클릭하면, 통합 사용자 인터페이스 모듈(310)은 취약점 점검 모듈(320)에게 사용자가 설정한 사항을 전달할 수 있다. 사용자가 인터페이스 상의 "점검 대상 ICS 장비 선택"에서 이더넷 기반 ICS 장비를 선택하고, "IPS/DCS 규제지침 점검"을 클릭하면, 통합 사용자 인터페이스 모듈(310)은 규제지침 점검 모듈(330)에게 사용자가 설정한 사항을 전달할 수 있다. 사용자가 인터페이스 상의 "점검 대상 ICS 장비 선택"에서 시리얼 통신 기반 ICS 장비를 선택하고, "PLC 취약점 점검" 또는 "PLC 규제지침 점검"을 클릭하면, 통합 사용자 인터페이스 모듈(310)은 통합 점검 모듈(340)에게 사용자가 설정한 사항을 전달할 수 있다.
통합 사용자 인터페이스 모듈(310)은 한 실시예로서, 인터페이스 상에 "CDA 정보 기반 정적 점검"을 생성할 수 있다. 사용자가 인터페이스 상의 "CDA 정보 기반 정적 점검"을 클릭하면, 통합 사용자 인터페이스 모듈(310)은 ICS 기기(또는 필수 디지털 자산(CDA))와의 물리적 연결 없이도, 데이터베이스(350)로부터 획득한 단순 ICS 기기(또는 필수 디지털 자산(CDA)) 정보(예를 들어, 모델명, 버전, 회사명)에 기반하여 취약점 점검이 수행되도록 할 수 있다(S56). 이를 통해, 운용중인 점검대상 시스템에 영향을 미치지 않는 취약점 점검이 가능하다.
통합 사용자 인터페이스 모듈(310)은 한 실시예로서, 새로 획득된 ICS 기기(또는 필수 디지털 자산(CDA)) 데이터, 취약점 데이터, 및 점검 플러그인 데이터를 외부 네트워크와 단절된 자체 데이터베이스(350)에서 관리되도록 할 수 있고, 물리 매체(예를 들어, USB 또는 외장 스토리지 장치)를 통해 업데이트가 이루어질 수 있도록 할 수 있다.
취약점 점검 모듈(320)은 한 실시예로서 네트워크 통신 기반(예를 들어, TCP/IP 등) ICS 기기(예를 들어, IPS/DCS 장비 등)에 대한 네트워크 스캐닝 및 취약점 확인 모듈(Network scanning & Vulnerability Identification Block, NVIB)로서, 통합 사용자 인터페이스 모듈(310)로부터 전달받은 설정 사항에 산업용 제어 시스템의 제1 기기에 대한 취약점 점검 요청사항이 포함되면, 제1 기기의 식별 정보를 바탕으로 제1 기기에 대한 취약점을 점검한다. 여기서, 산업용 제어 시스템은 한 실시예로서 원자력 제어 시스템일 수 있고, 제1 기기는 한 실시예로서, 이더넷 통신 기반 ICS 기기(또는 필수 디지털 자산(CDA))일 수 있다.
도 7은 한 실시예에 따른 취약점 점검 모듈의 동작 과정의 흐름도이다.
도 7을 참조하면, 취약점 점검 모듈(320)은 통합 사용자 인터페이스 모듈(310)로부터 전달받은 정보를 분석할 수 있다(S61). 전달받은 정보에는 제1 기기에 대한 IP 및 포트 목록, 제한 대역폭값 등이 포함될 수 있다.
취약점 점검 모듈(320)은 한 실시예로서 제1 기기와의 연결을 위한 네트워크 세션을 생성하고, 제한된 대역폭(bandwidth)의 네트워크 세션 관리를 수행할 수 있다(S62).
취약점 점검 모듈(320)은 제1 기기에 대해 제한된 네트워크 대역폭을 보장하도록 하며, 비침투성의 네트워크 스캐닝을 통해 제1 기기의 운영체제 및 응용 서비스의 식별 정보를 추출할 수 있다. 여기서, 식별 정보는 제1 기기의 모델명, 버전, 회사명일 수 있다. 이를 통해, 알려진 취약점 점검시 필수 디지털 자산(CDA)에 미치는 영향력을 최소화할 수 있다.
비침투성의 네트워크 스캐닝은 한 실시예로서, TCP 응답 패킷 분석, 인터넷 제어 메시지 프로토콜(Internet Control Message Protocol, ICMP) 에코(echo), 전송 제어 프로토콜(Transmission Control Protocol, TCP) 명시적 폭주 통지(TCP Explicit Congestion Notification, ECN), 사용자 데이터그램 프로토콜(User Datagram Protocol, UDP) 프로브(probe) 패킷 등의 사용에 의해 구현될 수 있다. 구체적으로, 취약점 점검 모듈(320)은 제1 기기의 얼라이브 아이피(ALIVE IP)를 확인한 후 경량 프로브(probe) 패킷을 생성하고, 생성된 패킷을 제1 기기에게 전송한다(S63). 취약점 점검 모듈(320)은 제1 기기로부터 수신한 경량 프로브 패킷 응답을 이용하여 제1 기기의 운영 체제의 식별 정보를 추출하고(S64), UDP/TCP 포트 스캐닝을 통해 제1 기기의 운영중인 응용 서비스의 식별 정보를 추출한다(S65).
취약점 점검 모듈(320)은 추출된 제1 기기의 운영체제 및 응용 서비스 식별 정보에 대응하는 기저장된 취약점 데이터를 바탕으로 제1 기기에 대한 취약점을 판단할 수 있다(S66). 구체적으로, 취약점 점검 모듈(320)은 추출된 제1 기기의 운영체제 및 응용 서비스의 식별 정보를 바탕으로 다양한 종류의 ICS 기기(또는 필수 디지털 자산(CDA))(예를 들어, PLC, DCS, IPS) 중 어떤 종류의 ICS 기기인지를 특정하고, 특정된 ICS 기기에 대한 취약점 데이터를 데이터베이스(350)로부터 로드하여 제1 기기가 갖는 취약점 정보를 판단할 수 있다.
취약점 점검 모듈(320)은 점검 내용 및 결과(예를 들어, 획득된 제1 기기의 정보 및 취약점 정보)를 데이터베이스(350)에게 전달할 수 있다(S67). 전달된 점검 내용 및 결과는 사용자가 통합 사용자 인터페이스 모듈(310)을 통해 보고서 생성시 사용될 수 있다.
규제지침 점검 모듈(330)은 한 실시예로서 네트워크 통신 기반(예를 들어, TCP/IP 등) ICS 기기(예를 들어, IPS/DCS 장비 등)에 대한 규제지침 자동점검 모듈(Automatic Regulation Identification Block, ARIB)로서, 통합 사용자 인터페이스 모듈(310)로부터 전달받은 설정 사항에 산업용 제어 시스템의 제1 기기에 대한 규제지침 점검 요청사항이 포함되면, 제1 기기에 대응하는 점검 플러그인을 실행하여 제1 기기에 대한 규제지침을 점검한다.
도 8은 한 실시예에 따른 규제지침 점검 모듈의 동작 과정의 흐름도이다.
도 8을 참조하면, 규제지침 점검 모듈(330)은, 한 실시예로서 제1 기기에 대한 사이버 보안 규제지침 사항(예를 들어, 원자력 사이버 보안 규제 지침(KINAC/RS-015) [4], [5])에 대한 자동화 점검을 수행할 수 있다.
규제지침 점검 모듈(330)은 통합 사용자 인터페이스 모듈(310)로부터 전달받은 정보를 분석할 수 있다(S71). 전달받은 정보에는 제1 기기에 대한 점검대상, 규제지침 항목, 인증 정보 등이 포함될 수 있다.
규제지침 점검 모듈(330)은 제1 기기와의 연결을 위한 네트워크 세션을 생성할 수 있다(S72). 제1 기기의 소프트웨어 플랫폼에 따라 생성되는 네트워크 세션에 시큐어 셸(Secure Shell, SSH), 텔넷(Telnet), 서버 메세지 블록(Server Message Block, SMB) 등과 같은 다양한 프로토콜이 사용될 수 있다.
규제지침 점검 모듈(330)은 다양한 소프트웨어 플랫폼으로 구성된 제1 기기들에 대해 플랫폼 독립적인 자동화된 규제지침 점검을 수행할 수 있다(S73). 한 실시예로서, 규제지침 점검 모듈(330)은 제1 기기에 대한 규제지침 점검항목 및 제1 기기의 소프트웨어 플랫폼에 각각 대응하는 점검 플러그인을 로드(load)하여 점검을 수행할 수 있다. 이를 통해, 산업용 시스템의 각 ICS 기기(또는 필수 디지털 자산(CDA))에 대해 서로 다른 규제지침에 대한 자동화 점검이 수행될 수 있다.
점검 플러그인은 취약점 및 규제지침 점검 장치(300)에 포함되고 외부 네트워크와 단절된 데이터베이스(350)에 저장된 프로그램일 수 있다. 각 규제지침 항목(예를 들어, KINAC/RS-015 [4])과 그에 상응하는 점검 절차는 데이터베이스(350)에 스크립트 형태로 저장될 수 있으며, 소프트웨어 플랫폼별로 개별적으로 수행될 수 있다. 점검해야 할 규제지침의 항목이 추가되거나 또는 새로운 소프트웨어 플랫폼을 갖는 ICS 기기(또는 필수 디지털 자산(CDA))에 대해 점검을 수행하게 될 때, 플러그인 형태의 점검 스크립트의 추가를 통해 취약점 및 규제지침 점검 장치(300)의 유연성을 향상시킬 수 있다.
규제지침 점검 모듈(330)은 로드한 점검 플러그인을 해석하고 실행할 수 있다(S74). 구체적으로, 규제지침 점검 모듈(330)은 사이버 보안 규제지침의 개별 항목별로 존재하는 점검 플러그인이 자동 실행되도록 스케줄링할 수 있다. 스케줄링에 따라 로드한 점검 플러그인은 자동 실행될 수 있다. 이를 통해, 점검 대상인 ICS 기기(또는 필수 디지털 자산(CDA))에 적합한 규제지침 자동화 점검이 수행될 수 있다.
규제지침 점검 모듈(330)은 취약점 점검 모듈(320)과 마찬가지로, 점검 내용 및 결과를 데이터베이스(350)에게 전달할 수 있다(S75). 전달된 점검 내용 및 결과는 사용자가 통합 사용자 인터페이스 모듈(310)을 통해 규제지침 점검 결과 보고서 생성시 활용될 수 있다.
통합 점검 모듈(340)은 시리얼 통신 기반(예를 들어, RS-232 등) ICS 기기(예를 들어, PLC 장비 등)에 대한 시리얼 스캐닝 및 취약점 확인 모듈(Serial scanning & Vulnerability Identification Block, SVIB)로서, 통합 사용자 인터페이스 모듈(310)로부터 전달받은 설정 사항에 산업용 제어 시스템의 제2 기기에 대한 취약점 점검 요청사항이 포함되면, 시리얼 통신 명령어를 이용하여 제2 기기에 대한 취약점을 점검한다. 여기서, 산업용 제어 시스템은 한 실시예로서 원자력 제어 시스템일 수 있고, 제2 기기는 한 실시예로서, 시리얼 통신 기반 ICS 기기(또는 필수 디지털 자산(CDA))일 수 있다.
도 9는 한 실시예에 따른 통합 점검 모듈의 동작 과정의 흐름도이고, 도 10은 한 실시예에 따른 EWS와 시리얼 통신 기반 필수 디지털 자산이 사용하는 시리얼 통신 패킷의 구조를 나타내는 도면이다.
도 9를 참조하면, 통합 점검 모듈(340)은, 한 실시예로서, 시리얼 통신 기반(예를 들어, Modbus 또는 RS-232 등) ICS 기기(또는 필수 디지털 자산(CDA))에 대한 알려진 취약점뿐만 아니라 규제지침 점검도 수행할 수 있다.
통합 점검 모듈(340)은 ICS 기기(또는 필수 디지털 자산(CDA))를 제어하는 엔지니어링 워크스테이션(Engineering Workstation, EWS)이 일반적으로 사용하는 시리얼 통신 명령어를 사용하여 취약점 및 규제지침 점검을 수행할 수 있다. 이를 통해, 기존의 소프트웨어 플랫폼 변경이 요구되지 않고, 기존의 EWS가 사용하는 시리얼 통신 명령어를 활용함으로써 ICS 기기(또는 필수 디지털 자산(CDA))에 미치는 영향을 허용 범위 내로 제한할 수 있다.
통합 점검 모듈(340)의 취약점 점검 과정은 다음과 같다.
통합 점검 모듈(340)은 통합 사용자 인터페이스 모듈(310)로부터 전달받은 정보를 분석할 수 있다(S81). 전달받은 정보에는 제2 기기에 대한 시리얼 통신 정보, 규제지침 항목, 인증 정보 등이 포함될 수 있다.
통합 점검 모듈(340)은 제2 기기와의 연결을 위한 네트워크 세션을 생성하고, 세션 관리를 수행할 수 있다(S82). 통합 점검 모듈(340)은 세션 유지를 요구하는 제2 기기(예를 들어, 주기적인 인증신호를 요구하는 ICS 기기(또는 필수 디지털 자산(CDA))에 대해 점검 수행 완료시까지 세션 연결을 유지할 수 있다.
통합 점검 모듈(340)은 제2 기기의 소프트웨어 플랫폼에 대응하는 점검 플러그인을 로드하고(S83), 로드한 점검 플러그인을 해석하고 실행할 수 있다(S84).
통합 점검 모듈(340)은 EWS가 사용하는 시리얼 통신 명령어에 기반하여 취약점 점검 트래픽을 생성하고 수집할 수 있다(S85). 통합 점검 모듈(340)은 수집한 취약점 점검 트래픽을 바탕으로 점검 대상인지 여부와 취약점을 판단할 수 있다(S86). 구체적으로, 도 10을 참조하면, 시리얼 통신에 사용되는 명령어들은 1~2바이트로 구성된 정수값으로 구현될 수 있다. 시리얼 통신 명령어를 통해 시스템 및 소프트웨어 버전, 패킷 암호화 여부, 인증 절차 존재 여부 등이 확인될 수 있다. 통합 점검 모듈(340)은 시리얼 통신 명령어에 기반하여 수집된 취약점 점검 트래픽을 바탕으로, 제2 기기의 회사 및 모델별로 시리얼 통신 명령 체계가 다르면, 각 기기에 대응하는 점검 플러그인이 독립적으로 실행되도록 할 수 있다(S86).
통합 점검 모듈(340)의 규제지침 점검 과정은 다음과 같다.
전달 정보 분석 및 세션 관리 과정은 S81, S82 단계와 동일하다.
통합 점검 모듈(340)은 제2 기기에 대한 규제지침 점검항목과 제2 기기의 소프트웨어 플랫폼에 각각 대응하는 점검 플러그인을 로드하고(S87), 로드한 점검 플러그인을 해석하고 실행할 수 있다(S88).
통합 점검 모듈(340)은 제2 기기를 제어하는 EWS가 사용하는 시리얼 통신 명령어에 기반하여 규제지침 점검 트래픽을 생성하고 수집할 수 있다(S89). 통합 점검 모듈(340)은 시리얼 통신 명령어에 기반하여 수집된 취약점 점검 트래픽을 바탕으로, 제2 기기의 회사 및 모델별로 시리얼 통신 명령 체계가 다르면, 각 기기에 대응하는 점검 플러그인이 독립적으로 실행되도록 할 수 있다(S90).
통합 점검 모듈(340)은 취약점 및 규제지침 점검 결과를 데이터베이스(350)에게 전달할 수 있다(S91). 전달된 점검 내용 및 결과는 사용자가 통합 사용자 인터페이스 모듈(310)을 통해 점검 결과 보고서 생성시 참조될 수 있다. 점검 플러그인은 데이터베이스(350)에 규제지침 항목별로 저장될 수 있다.
한 실시예에 따른 점검 장치는 메모리 모듈 및 프로세서 모듈을 더 포함할 수 있으며, 한 실시예에 따른 통합 사용자 인터페이스 모듈(310), 취약점 점검 모듈(320), 규제지침 점검 모듈(330), 그리고 통합 점검 모듈(340)을 포함하는 취약점 및 규제지침 점검 장치에 따르면, 점검 장치의 프로세서의 취약점 및 규제지침 점검 성능을 향상시킬 수 있다.
도 11은 한 실시예에 따른 산업용 제어 시스템의 사이버 보안 취약점 및 규제지침을 점검하는 방법의 흐름도이다.
도 6 내지 도 9, 도 11을 참조하면, 한 실시예에 따른 취약점 및 규제지침 점검 방법은, 사용자로부터 취약점 및 규제지침 점검 수행에 필요한 설정 사항을 제공받는 단계(S50), 설정 사항에 산업용 제어 시스템의 제1 기기에 대한 취약점 점검 요청사항이 포함되면, 제1 기기의 식별 정보를 바탕으로 제1 기기에 대한 취약점을 점검하는 단계(S60), 설정 사항에 산업용 제어 시스템의 제1 기기에 대한 규제지침 점검 요청사항이 포함되면, 제1 기기에 대응하는 점검 플러그인을 실행하여 제1 기기에 대한 규제지침을 점검하는 단계(S70), 그리고 설정 사항에 산업용 제어 시스템의 제2 기기에 대한 취약점 점검 요청사항이 포함되면, 시리얼 통신 명령어를 이용하여 제2 기기에 대한 취약점을 점검하는 단계(S80)를 포함한다.
한 실시예로서 제1 기기는 이더넷 기반 기기이고, 제2 기기는 시리얼 통신 기반 기기일 수 있다.
제1 기기에 대한 취약점을 점검하는 단계(S60)는, 제1 기기와 이더넷 통신 연결을 생성하고, 제한된 대역폭의 사용을 보장하도록 네트워크 세션을 관리하는 단계(S62)를 포함할 수 있다.
제1 기기에 대한 취약점을 점검하는 단계(S60)는, 네트워크 세션을 관리하는 단계(S62) 이후, 비침투성 네트워크 스캐닝을 통해 제1 기기의 운영체제 및 응용 서비스의 식별 정보를 추출하는 단계(S64, S65), 그리고 식별 정보에 대응하는 기저장된 취약점 데이터를 바탕으로 제1 기기에 대한 취약점을 점검하는 단계(S66)를 포함할 수 있다.
식별 정보를 추출하는 단계(S64, S65)는, 경량 프로브 패킷 응답을 이용하여 제1 기기의 운영체제의 식별 정보를 추출하고, UDP 또는 TCP 포트 스캐닝을 통해 제1 기기의 서비스의 식별 정보를 추출할 수 있다.
제1 기기에 대한 규제지침을 점검하는 단계(S70)는, 제1 기기와 이더넷 통신 연결을 생성하는 단계(S72), 데이터베이스로부터 제1 기기에 대한 규제지침 및 제1 기기의 소프트웨어 플랫폼에 각각 대응하는 점검 플러그인을 로드(load)하는 단계(S73), 그리고 점검 플러그인을 실행하는 단계(S74)를 포함할 수 있다.
제2 기기에 대한 취약점을 점검하는 단계(S80)는, 제2 기기와 시리얼 통신 연결을 생성하고, 그리고 제2 기기에 대한 취약점 점검이 완료될 때까지, 제2 기기와의 세션 연결을 유지하는 단계(S82)를 포함할 수 있다.
설정 사항에 산업용 제어 시스템의 제2 기기에 대한 규제지침 점검 요청사항이 포함되면, 제2 기기에 대한 규제지침 및 제2 기기의 소프트웨어 플랫폼에 각각 대응하는 점검 플러그인을 실행하여 제2 기기에 대한 규제지침을 점검하는 단계(S87~S90)를 더 포함할 수 있다.
설정 사항을 제공받는 단계(S50), 제1 기기에 대한 취약점을 점검하는 단계(S60), 제1 기기에 대한 규제지침을 점검하는 단계(S70), 및 제2 기기에 대한 취약점을 점검하는 단계(S80)는, 위에서 설명한 통합 사용자 인터페이스 모듈(310), 취약점 점검 모듈(320), 규제지침 점검 모듈(330), 그리고 통합 점검 모듈(340)의 동작 과정과 동일하므로, 상세한 설명은 생략한다.
도 12는 다른 실시예에 따른 취약점 및 규제지침 점검 장치의 블록도이다.
한 실시예에 따른 취약점 및 규제지침 점검 장치는, 컴퓨터 시스템, 예를 들어 컴퓨터 판독 가능 매체로 구현될 수 있다. 도 12를 참조하면, 컴퓨터 시스템(700)은, 버스(720)를 통해 통신하는 프로세서(710), 메모리(730), 사용자 인터페이스 입력 장치(760), 사용자 인터페이스 출력 장치(770), 및 저장 장치(780) 중 적어도 하나를 포함할 수 있다. 컴퓨터 시스템(700)은 또한 네트워크 인터페이스 기반 ICS 기기에 연결된 네트워크 인터페이스(790) 및 시리얼 인터페이스 기반 ICS 기기에 연결된 시리얼 인터페이스(795)를 포함할 수 있다. 프로세서(710)는 중앙 처리 장치(central processing unit, CPU)이거나, 또는 메모리(730) 또는 저장 장치(780)에 저장된 명령을 실행하는 반도체 장치일 수 있다. 메모리(730) 및 저장 장치(780)는 다양한 형태의 휘발성 또는 비휘발성 저장 매체를 포함할 수 있다. 예를 들어, 메모리는 ROM(read only memory)(731) 및 RAM(random access memory)(732)를 포함할 수 있다.
본 기재의 실시예는 컴퓨터에 구현된 방법으로서 구현되거나, 컴퓨터 실행 가능 명령이 저장된 비일시적 컴퓨터 판독 가능 매체로서 구현될 수 있다. 한 실시예에서, 프로세서에 의해 실행될 때, 컴퓨터 판독 가능 명령은 본 기재의 적어도 하나의 양상에 따른 방법을 수행할 수 있다.
다른 실시예에 따른 취약점 및 규제지침 점검 장치는 프로세서(710) 및 메모리(730)를 포함하고, 프로세서(710)는 메모리(730)에 저장된 프로그램을 실행하여, 사용자로부터 취약점 및 규제지침 점검 수행에 필요한 설정 사항을 제공받는 단계, 설정 사항에 산업용 제어 시스템의 제1 기기에 대한 취약점 점검 요청사항이 포함되면, 제1 기기의 식별 정보를 바탕으로 제1 기기에 대한 취약점을 점검하는 단계, 설정 사항에 산업용 제어 시스템의 제1 기기에 대한 규제지침 점검 요청사항이 포함되면, 제1 기기에 대응하는 점검 플러그인을 실행하여 제1 기기에 대한 규제지침을 점검하는 단계, 그리고 설정 사항에 산업용 제어 시스템의 제2 기기에 대한 취약점 점검 요청사항이 포함되면, 시리얼 통신 명령어를 이용하여 제2 기기에 대한 취약점을 점검하는 단계를 수행한다.
한 실시예로서 제1 기기는 이더넷 기반 기기이고, 제2 기기는 시리얼 통신 기반 기기일 수 있다.
한 실시예에 따른 사용자로부터 취약점 및 규제지침 점검 수행에 필요한 설정 사항을 제공받는 단계, 설정 사항에 산업용 제어 시스템의 제1 기기에 대한 취약점 점검 요청사항이 포함되면, 제1 기기의 식별 정보를 바탕으로 제1 기기에 대한 취약점을 점검하는 단계, 설정 사항에 산업용 제어 시스템의 제1 기기에 대한 규제지침 점검 요청사항이 포함되면, 제1 기기에 대응하는 점검 플러그인을 실행하여 제1 기기에 대한 규제지침을 점검하는 단계, 그리고 설정 사항에 산업용 제어 시스템의 제2 기기에 대한 취약점 점검 요청사항이 포함되면, 시리얼 통신 명령어를 이용하여 제2 기기에 대한 취약점을 점검하는 단계를 수행하는 것을 통해, 점검 장치의 프로세서(710)의 취약점 및 규제지침 점검 성능을 향상시킬 수 있다.
이상에서 본 발명의 실시예에 대하여 상세하게 설명하였지만 본 발명의 권리범위는 이에 한정되는 것은 아니고 다음의 청구범위에서 정의하고 있는 본 발명의 기본 개념을 이용한 당업자의 여러 변형 및 개량 형태 또한 본 발명의 권리범위에 속하는 것이다.
Claims (19)
- 산업용 제어 시스템의 사이버 보안 취약점 및 규제지침을 점검하는 장치로서,
사용자로부터 취약점 및 규제지침 점검 수행에 필요한 설정 사항을 제공받는 통합 사용자 인터페이스 모듈,
상기 설정 사항에 상기 산업용 제어 시스템의 제1 기기에 대한 취약점 점검 요청사항이 포함되면, 상기 제1 기기의 식별 정보를 바탕으로 상기 제1 기기에 대한 취약점을 점검하는 취약점 점검 모듈,
상기 설정 사항에 상기 산업용 제어 시스템의 제1 기기에 대한 규제지침 점검 요청사항이 포함되면, 상기 제1 기기에 대응하는 점검 플러그인을 실행하여 상기 제1 기기에 대한 규제지침을 점검하는 규제지침 점검 모듈, 그리고
상기 설정 사항에 상기 산업용 제어 시스템의 제2 기기에 대한 취약점 점검 요청사항이 포함되면, 시리얼 통신 명령어를 이용하여 상기 제2 기기에 대한 취약점을 점검하는 통합 점검 모듈
을 포함하는 취약점 및 규제지침 점검 장치. - 제1항에서,
상기 제1 기기는 이더넷 기반 기기이고,
상기 제2 기기는 시리얼 통신 기반 기기인, 취약점 및 규제지침 점검 장치. - 제2항에서,
상기 취약점 점검 모듈은,
상기 제1 기기와 이더넷 통신 연결을 생성하고, 제한된 대역폭의 사용을 보장하도록 네트워크 세션을 관리하는, 취약점 및 규제지침 점검 장치. - 제2항에서,
상기 취약점 점검 모듈은,
비침투성 네트워크 스캐닝을 통해 상기 제1 기기의 운영체제 및 응용 서비스의 식별 정보를 추출하고, 상기 식별 정보에 대응하는 기저장된 취약점 데이터를 바탕으로 상기 제1 기기에 대한 취약점을 점검하는, 취약점 및 규제지침 점검 장치. - 제4항에서,
상기 취약점 점검 모듈은,
경량 프로브 패킷 응답을 이용하여 상기 제1 기기의 운영체제의 식별 정보를 추출하고, UDP 또는 TCP 포트 스캐닝을 통해 상기 제1 기기의 서비스의 식별 정보를 추출하는, 취약점 및 규제지침 점검 장치. - 제2항에서,
상기 규제지침 점검 모듈은,
상기 제1 기기에 대한 규제지침 및 상기 제1 기기의 소프트웨어 플랫폼에 각각 대응하는 점검 플러그인을 실행하는, 취약점 및 규제지침 점검 장치. - 제2항에서,
상기 통합 점검 모듈은,
상기 제2 기기와 시리얼 통신 연결을 생성하고, 상기 제2 기기에 대한 취약점 점검이 완료될 때까지, 상기 제2 기기와의 세션 연결을 유지하는, 취약점 및 규제지침 점검 장치. - 제2항에서,
상기 통합 점검 모듈은,
상기 설정 사항에 상기 산업용 제어 시스템의 상기 제2 기기에 대한 규제지침 점검 요청사항이 포함되면, 상기 제2 기기에 대한 규제지침 및 상기 제2 기기의 소프트웨어 플랫폼에 각각 대응하는 점검 플러그인을 실행하고, 상기 제2 기기를 제어하는 기기가 사용하는 시리얼 통신 명령어를 이용하여 규제지침을 점검하는, 취약점 및 규제지침 점검 장치. - 제1항에서,
상기 취약점 점검 모듈, 상기 규제지침 점검 모듈, 및 상기 통합 점검 모듈로부터 점검 결과를 전달받아 저장하는 데이터베이스를 더 포함하는, 취약점 및 규제지침 점검 장치. - 산업용 제어 시스템의 사이버 보안 취약점 및 규제지침을 점검하는 방법으로서,
사용자로부터 취약점 및 규제지침 점검 수행에 필요한 설정 사항을 제공받는 단계,
상기 설정 사항에 상기 산업용 제어 시스템의 제1 기기에 대한 취약점 점검 요청사항이 포함되면, 상기 제1 기기의 식별 정보를 바탕으로 상기 제1 기기에 대한 취약점을 점검하는 단계,
상기 설정 사항에 상기 산업용 제어 시스템의 제1 기기에 대한 규제지침 점검 요청사항이 포함되면, 상기 제1 기기에 대응하는 점검 플러그인을 실행하여 상기 제1 기기에 대한 규제지침을 점검하는 단계, 그리고
상기 설정 사항에 상기 산업용 제어 시스템의 제2 기기에 대한 취약점 점검 요청사항이 포함되면, 시리얼 통신 명령어를 이용하여 상기 제2 기기에 대한 취약점을 점검하는 단계
를 포함하는, 취약점 및 규제지침 점검 방법. - 제10항에서,
상기 제1 기기는 이더넷 기반 기기이고,
상기 제2 기기는 시리얼 통신 기반 기기인, 취약점 및 규제지침 점검 방법. - 제11항에서,
상기 제1 기기에 대한 취약점을 점검하는 단계는,
상기 제1 기기와 이더넷 통신 연결을 생성하고, 제한된 대역폭의 사용을 보장하도록 네트워크 세션을 관리하는 단계를 포함하는, 취약점 및 규제지침 점검 방법. - 제12항에서,
상기 제1 기기에 대한 취약점을 점검하는 단계는,
상기 네트워크 세션을 관리하는 단계 이후,
비침투성 네트워크 스캐닝을 통해 상기 제1 기기의 운영체제 및 응용 서비스의 식별 정보를 추출하는 단계, 그리고
상기 식별 정보에 대응하는 기저장된 취약점 데이터를 바탕으로 상기 제1 기기에 대한 취약점을 점검하는 단계를 포함하는, 취약점 및 규제지침 점검 방법. - 제13항에서,
상기 식별 정보를 추출하는 단계는,
경량 프로브 패킷 응답을 이용하여 상기 제1 기기의 운영체제의 식별 정보를 추출하고, UDP 또는 TCP 포트 스캐닝을 통해 상기 제1 기기의 서비스의 식별 정보를 추출하는, 취약점 및 규제지침 점검 방법. - 제11항에서,
상기 제1 기기에 대한 규제지침을 점검하는 단계는,
상기 제1 기기와 이더넷 통신 연결을 생성하는 단계,
데이터베이스로부터 상기 제1 기기에 대한 규제지침 및 상기 제1 기기의 소프트웨어 플랫폼에 각각 대응하는 점검 플러그인을 로드(load)하는 단계, 그리고
상기 점검 플러그인을 실행하는 단계를 포함하는, 취약점 및 규제지침 점검 방법. - 제11항에서,
상기 제2 기기에 대한 취약점을 점검하는 단계는,
상기 제2 기기와 시리얼 통신 연결을 생성하고, 상기 제2 기기에 대한 취약점 점검이 완료될 때까지, 상기 제2 기기와의 세션 연결을 유지하는 단계를 포함하는, 취약점 및 규제지침 점검 방법. - 제11항에서,
상기 설정 사항에 상기 산업용 제어 시스템의 제2 기기에 대한 규제지침 점검 요청사항이 포함되면, 상기 제2 기기에 대한 규제지침 및 상기 제2 기기의 소프트웨어 플랫폼에 각각 대응하는 점검 플러그인을 실행하여 상기 제2 기기에 대한 규제지침을 점검하는 단계를 더 포함하는, 취약점 및 규제지침 점검 방법. - 산업용 제어 시스템의 사이버 보안 취약점 및 규제지침을 점검하는 장치로서,
프로세서 및 메모리를 포함하고,
상기 프로세서는 상기 메모리에 저장된 프로그램을 실행하여,
사용자로부터 취약점 및 규제지침 점검 수행에 필요한 설정 사항을 제공받는 단계,
상기 설정 사항에 상기 산업용 제어 시스템의 제1 기기에 대한 취약점 점검 요청사항이 포함되면, 상기 제1 기기의 식별 정보를 바탕으로 상기 제1 기기에 대한 취약점을 점검하는 단계,
상기 설정 사항에 상기 산업용 제어 시스템의 제1 기기에 대한 규제지침 점검 요청사항이 포함되면, 상기 제1 기기에 대응하는 점검 플러그인을 실행하여 상기 제1 기기에 대한 규제지침을 점검하는 단계, 그리고
상기 설정 사항에 상기 산업용 제어 시스템의 제2 기기에 대한 취약점 점검 요청사항이 포함되면, 시리얼 통신 명령어를 이용하여 상기 제2 기기에 대한 취약점을 점검하는 단계
를 수행하는, 취약점 및 규제지침 점검 장치. - 제18항에서,
상기 제1 기기는 이더넷 기반 기기이고,
상기 제2 기기는 시리얼 통신 기반 기기인, 취약점 및 규제지침 점검 장치.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020180136133A KR102195016B1 (ko) | 2018-11-07 | 2018-11-07 | 사이버 보안 취약점 및 규제지침 점검 장치 및 방법 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020180136133A KR102195016B1 (ko) | 2018-11-07 | 2018-11-07 | 사이버 보안 취약점 및 규제지침 점검 장치 및 방법 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| KR20200052755A true KR20200052755A (ko) | 2020-05-15 |
| KR102195016B1 KR102195016B1 (ko) | 2020-12-24 |
Family
ID=70679180
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR1020180136133A KR102195016B1 (ko) | 2018-11-07 | 2018-11-07 | 사이버 보안 취약점 및 규제지침 점검 장치 및 방법 |
Country Status (1)
| Country | Link |
|---|---|
| KR (1) | KR102195016B1 (ko) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR102332727B1 (ko) * | 2020-12-04 | 2021-12-01 | 한국서부발전 주식회사 | 발전소 제어망 자산의 트래픽의 분산 저장을 이용한 이상 감지 시스템 |
| KR20220091250A (ko) * | 2020-12-23 | 2022-06-30 | 사단법인 금융보안원 | 네트워크 취약점 분석 장치 및 그 방법 |
| CN115190044A (zh) * | 2022-06-28 | 2022-10-14 | 平安银行股份有限公司 | 设备连接状态检查方法、装置、设备和存储介质 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20060042789A (ko) * | 2004-11-10 | 2006-05-15 | 한국전자통신연구원 | 분리된 구조의 독립형 라우터 시스템 |
| KR100817799B1 (ko) * | 2006-10-13 | 2008-03-31 | 한국정보보호진흥원 | 다중 취약점 점검 도구를 활용한 네트워크 취약점 통합분석 시스템 및 방법 |
-
2018
- 2018-11-07 KR KR1020180136133A patent/KR102195016B1/ko active IP Right Grant
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20060042789A (ko) * | 2004-11-10 | 2006-05-15 | 한국전자통신연구원 | 분리된 구조의 독립형 라우터 시스템 |
| KR100817799B1 (ko) * | 2006-10-13 | 2008-03-31 | 한국정보보호진흥원 | 다중 취약점 점검 도구를 활용한 네트워크 취약점 통합분석 시스템 및 방법 |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR102332727B1 (ko) * | 2020-12-04 | 2021-12-01 | 한국서부발전 주식회사 | 발전소 제어망 자산의 트래픽의 분산 저장을 이용한 이상 감지 시스템 |
| KR20220091250A (ko) * | 2020-12-23 | 2022-06-30 | 사단법인 금융보안원 | 네트워크 취약점 분석 장치 및 그 방법 |
| CN115190044A (zh) * | 2022-06-28 | 2022-10-14 | 平安银行股份有限公司 | 设备连接状态检查方法、装置、设备和存储介质 |
| CN115190044B (zh) * | 2022-06-28 | 2023-08-08 | 平安银行股份有限公司 | 设备连接状态检查方法、装置、设备和存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| KR102195016B1 (ko) | 2020-12-24 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9888025B2 (en) | Method and system for providing an efficient asset management and verification service | |
| Tsuchiya et al. | Software defined networking firewall for industry 4.0 manufacturing systems | |
| US20190109872A1 (en) | Intelligent automated security vulnerability detection and analysis for industrial internet of things (iiot) devices | |
| CA2943271C (en) | Method and system for providing security aware applications | |
| US10742683B2 (en) | Network asset characterization, classification, grouping and control | |
| US10929541B2 (en) | Apparatus and method for assessing cybersecurity vulnerabilities based on serial port | |
| KR102195016B1 (ko) | 사이버 보안 취약점 및 규제지침 점검 장치 및 방법 | |
| CA2937813C (en) | Method and system for providing a robust and efficient virtual asset vulnerability management and verification service | |
| JP2021057894A (ja) | 保護されたプロセスプラントのデータ配信のためのデータタイピングを備えるエッジゲートウェイシステム | |
| Stojanović et al. | SCADA systems in the cloud and fog environments: Migration scenarios and security issues | |
| JP2021064934A (ja) | 安全で、公開可能なプロセスプラントデータ配信のためのエッジゲートウェイシステム | |
| JP2021057893A (ja) | コンテキスト化されたプロセスプラント知識リポジトリを備えるエッジゲートウェイシステム | |
| Ten et al. | Cybersecurity for electric power control and automation systems | |
| CN112822146A (zh) | 网络连接的监控方法、装置、系统和计算机可读存储介质 | |
| CN110262420A (zh) | 一种分布式工业控制网络安全检测系统 | |
| Zahran et al. | Security of IT/OT Convergence: Design and Implementation Challenges | |
| Zhao et al. | Security testing methods and techniques of industrial control devices | |
| CN111314131A (zh) | 任务下发方法和装置、存储介质和电子装置 | |
| CA3088179A1 (en) | Intelligent security automation and continuous verification and response platform | |
| US20240073238A1 (en) | Method and system for ensuring compliance of computing systems | |
| Kiuchi et al. | Security technologies, usage and guidelines in SCADA system networks | |
| CN103532789A (zh) | 异网透传检测系统 | |
| Cabral et al. | Shodan Indicators Used to Detect Standard Conpot Implementations and Their Improvement Through Sophisticated Customization | |
| Hossain-McKenzie et al. | Securing Inverter Communication: Proactive Intrusion Detection and Mitigation System to Tap, Analyze, and Act | |
| Xenofontos | Security Attacks in Programmable Logic Controllers (PLCs) in Industrial Control Systems (ICS) |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| E902 | Notification of reason for refusal | ||
| E701 | Decision to grant or registration of patent right | ||
| GRNT | Written decision to grant |