KR20200133951A - 블록체인 기반의 원전 사이버 보안 가이드라인 제공 시스템 - Google Patents

블록체인 기반의 원전 사이버 보안 가이드라인 제공 시스템 Download PDF

Info

Publication number
KR20200133951A
KR20200133951A KR1020190059280A KR20190059280A KR20200133951A KR 20200133951 A KR20200133951 A KR 20200133951A KR 1020190059280 A KR1020190059280 A KR 1020190059280A KR 20190059280 A KR20190059280 A KR 20190059280A KR 20200133951 A KR20200133951 A KR 20200133951A
Authority
KR
South Korea
Prior art keywords
questionnaire
block
security
guide
cyber security
Prior art date
Application number
KR1020190059280A
Other languages
English (en)
Other versions
KR102192232B1 (ko
Inventor
공병철
강민균
오동석
이기제
Original Assignee
(주)소프트아이텍
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by (주)소프트아이텍 filed Critical (주)소프트아이텍
Priority to KR1020190059280A priority Critical patent/KR102192232B1/ko
Publication of KR20200133951A publication Critical patent/KR20200133951A/ko
Application granted granted Critical
Publication of KR102192232B1 publication Critical patent/KR102192232B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B23/00Testing or monitoring of control systems or parts thereof
    • G05B23/02Electric testing or monitoring
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • Computing Systems (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Automation & Control Theory (AREA)
  • Testing And Monitoring For Control Systems (AREA)

Abstract

원전의 계측제어 계통 사이버 보안 시험 검증을 위한 확인 사항 및 시험 절차 가이드라인을 제공하고 블록체인 기반으로 보고서를 관리하는 시스템에 관한 것으로, 특정 디지털 제어기에 대한 메인 질의서를 표시하는 단계; 상기 메인 질의서에 대응하는 사용자 응답이 입력되면, 상기 사용자 응답에 매핑 되는 사이버 보안 요건 가이드를 추출하는 단계; 상기 사이버 보안 요건 가이드를 표시하는 단계; 상기 사이버 보안 요건 가이드에 대한 사이버 보안 검토를 수행하는 단계; 상기 수행된 보안 검토 결과를 기초로, 상기 사이버 보안 요건 가이드를 최종 결정하여 표시하고, 보고서를 생성하는 단계; 및 상기 보고서를 다른 노드들과 공유하는 블록체인에 추가되는 블록으로 생성하여 전파하는 단계; 를 포함할 수 있다.

Description

블록체인 기반의 원전 사이버 보안 가이드라인 제공 시스템 {SYSTEM FOR PROVIDING VERIFICATION AND GUIDE LINE OF CYBER SECURITY BASED ON BLOCK CHAIN}
본 발명은 블록체인 기반의 사이버 보안 가이드라인 제공 시스템, 본 시스템의 보안 가이드 장치, 및 사이버 보안 가이드 제공 방법에 관한 것으로, 원전의 계측제어 계통 사이버 보안 시험 검증을 위한 확인 사항 및 시험 절차 가이드라인을 제공하고 블록체인 기반으로 보고서를 관리하는 시스템에 관한 것이다.
원자력발전소의 디지털계측제어계통을 관리하는 하드웨어 및 소프트웨어는 정형화된 개발 생명주기를 고려하여 공정모델 및 절차에 따라 개발된다.
프로그래머블 논리제어기(Programmable Logic Controller; PLC)와 같은 필수 디지털 자산(Critical Digital Assets; CDAs)을 기반으로 원자력발전소 디지털계측제어계통이 개발되는 것이 주요 특징이다. 이때, 원자력발전소 디지털계측제어계통의 개발 생명주기 공정을 통해 개발공정뿐 아니라 개발 결과물(Deliverables)에 대한 사이버보안계획을 수립하여 사이버 위협을 분석하고 취약성(vulnerability)을 평가하며, 그리고 평가결과에 따라 보안대책을 마련하여야 한다.
원자력발전소의 디지털계측제어계통, 즉 디지털 제어기 개발 시 보안계획을 수립하여 개발공정에 적용하도록 사이버보안에 관한 규제지침이 원자력 규제기관들로부터 제정되어 왔다. 그러나 이들 규제지침들은 사이버 위협의 완화를 위한 내용이 대부분 개략적인 설명으로 기술되어 있기 때문에 그 이해가 어렵고 이들에 따른 디지털 제어기의 설계 및 개발이 쉽지 않은 실정이다.
원자력발전소에 공급하는 업체가 디지털 제어기를 설계 및 개발할 때 원자력발전소에서 요구되는 사이버보안 요구사항이 무엇인지 어떤 요건을 만족해야 하는지, 그 요건을 만족하기 위해서 어떤 기술/방법을 구현해야 하는지, 시험 및 검증 방법/절차는 어떻게 해야 하는지에 대한 가이드를 제공받을 필요가 있다.
또한, 원자력 발전소에서 취급되는 데이터는 신뢰성이 있어야 하며, 해킹 가능성이 매우 낮아야 하며, 사고/재해로 인한 분산 처리되는 것이 바람직하다.
본 발명의 목적은, 원자력 발전소의 사이버 보안 요건에 부합하는 디지털 제어기를 개발하기 용이한 사이버 보안 가이드 제공 시스템을 제공함에 있다.
또한 문서의 이동과 변경 사항 등에 대한 추적 및 관리가 용이하며, 안전망과 신뢰가 향상된 문서를 관리하는 시스템을 제공함에 있다.
본 발명의 일 실시예에 따른 보안 가이드 장치는, 블록체인 기반의 원전 계측제어계통 사이버 보안 시험 검증을 위한 확인 사항 및 시험 절차 가이드라인 제공 시스템의 네트워크에 연결된 복수의 노드 중 한 하나로, 보안 가이드를 제공하는 보안 가이드 장치로서, 원자력 발전소를 구성하는 복수의 디지털 제어기를 추상화된 엔티티로 배열 및 표시하는 설계 표시부; 상기 설계 표시부에 표시된 엔티티에 대응하는 메인 질의서를 상기 설계 표시부에 표시하는 질의서 출력부; 상기 메인 질의서에 대한 사용자 응답에 따라 제안할 사이버 보안 가이드에 대한 매핑을 수행하는 매핑부; 상기 사이버 보안 가이드에 대한 사이버 보안 검토를 수행하여, 최종 사이버 보안 요건 가이드 및 보고서를 생성하는 처리부; 및 상기 보고서를 블록체인 프로토콜의 블록으로 생성하여, 상기 복수의 노드 중 다른 노드들로 생성된 블록을 전파하는 블록체인부를 포함할 수 있다.
또한, 상기 블록은 블록 헤드와 블록 바디를 구비하고, 상기 블록 바디는 상기 보고서를 구비하고, 상기 블록 헤드는 식별자인 블록 해쉬, 이전 블록의 블록 해쉬인 이전 블록 해쉬값, 다음 블록의 블록 해쉬인 다음 블록 해쉬값, 상기 보고서로 구성된 머클 트리의 루트 해쉬값인 머클 해쉬값, 및 특정 조건을 만족하도록 하는 넌스(nonce)를 구비할 수 있다.
또한, 상기 질의서 출력부는 상기 디지털 제어기가 필수 디지털 자산인 경우에 상기 메인 질의서를 표시할 수 있다.
또한, 상기 메인 질의서는, 상기 디지털 제어기에 대한 분류를 질의하는 분류 질의서, 기본 정보를 질의하는 정보 질의서 및 기능을 상세히 질의하는 상세 질의서를 구비하고, 상기 분류 질의서는, 통신 가능한 PLC(Programmable Logic Controller), DOS(Denial of Service), HIDS(Host Itrusion Detection System), EWS(Engineering Work Station), HMI(Human Machine Interface), PC 및 노트북 중 상기 특정 디지털 제어기가 해당되는 것을 체크하는 질의서이고, 상기 정보 질의서는, 상기 특정 디지털 제어기의 운영체제, 통신 프로토콜, 디스플레이 설치 여부, 적용 소프트웨어 및 ROM 바이어스 여부를 체크하는 질의서이고, 상기 상세 질의서는, 사용자 로그인 여부, DB 서버 여부, 원격접속 여부, 로그 저장 여부, 명령어 입력 여부, 매체 접근 여부, 유지보수 여부, 시간 기능 여부 및 세션 잠금 기능 여부를 체크하는 질의서일 수 있다.
또한, 상기 처리부는, 상기 제안용 사용자 보안 가이드인 상기 디지털 제어기가 제공해야 하는 사이버 보안 기능이 무엇인지에 대한 설계 권고안을 사용자에게 제공하는 설계권고안 작성 모듈; 상기 설계 권고안에 대한 사용자 응답에 따른 최종 설계안에 대한 보안 요건을 이행하기 위한 판정 기준인 확인 사항을 제시하는 확인사항 작성 모듈; 상기 제시된 확인 사항에 대한 사용자 응답에 따른 최종 확인 사항에 대응하여 상기 확인 사항을 점검하는 시험절차를 제시하여, 사용자 응답에 따른 최종 시험절차를 입력받는 시험절차 작성 모듈; 및 상기 보고서를 생성하는 보고서 모듈을 구비하고, 상기 보고서는 상기 디지털 제어기의 제품 및 분류, 상기 최종 설계안, 상기 최종 확인 사항, 및 상기 최종 시험 절차를 구비할 수 있다.
또한, 상기 사이버 보안 요건 가이드는, 상기 특정 디지털 제어기의 사이버 보안에 대한 검증을 통과하기 위한 체크 가이드일 수 있다.
본 발명의 일 실시예에 따른 블록체인 기반의 원전 계측제어계통 사이버 보안 시험 검증을 위한 확인 사항 및 시험 절차 가이드라인 제공 시스템의 네트워크에 연결된 복수의 노드 중 한 하나로, 보안 가이드를 제공하는 보안 가이드 장치의 사이버 보안 가이드 제공 방법는, 특정 디지털 제어기에 대한 메인 질의서를 표시하는 단계; 상기 메인 질의서에 대응하는 사용자 응답이 입력되면, 상기 사용자 응답에 매핑되는 사이버 보안 요건 가이드를 추출하는 단계; 상기 사이버 보안 요건 가이드를 표시하는 단계; 상기 사이버 보안 요건 가이드에 대한 사이버 보안 검토를 수행하는 단계; 상기 수행된 보안 검토 결과를 기초로, 상기 사이버 보안 요건 가이드를 최종 결정하여 표시하고, 보고서를 생성하는 단계; 및 상기 보고서를 다른 노드들과 공유하는 블록체인에 추가되는 블록으로 생성하여 전파하는 단계;를 포함할 수 있다.
본 발명에 따른 사이버 보안 가이드 제공 시스템은, 디지털 제어기를 설계 및 개발 시, 디지털 제어기의 종류에 따라 사이버 보안 요건에 부합되도록 사이버 보안 요건 가이드를 제공하여, 디지털 제어기의 개발이 용이하다. 또한, 데이터의 신뢰성 및 안전성이 향상되며, 문서 이동과 변경 사항 등에 따른 추적 및 관리가 용이하고, 분산 저장되어 중앙 공격에 강인할 수 있다.
상술한 효과와 더불어 본 발명의 구체적인 효과는 이하 발명을 실시하기 위한 구체적인 사항을 설명하면서 함께 기술한다.
도 1은 본 발명의 일 실시 예에 따른 블록체인 기반의 원전 사이버 보안 가이드라인 제공 시스템의 블록도이다.
도 2는 본 발명에 따른 사이버 보안 가이드를 제공하는 장치의 제어 구성을 나타낸 제어 블록도이다.
도 3은 도 2에 나타낸 설계 표시부에 표시되는 디지털 제어기의 간략하게 나타낸 도이다.
도 4는 도 2의 보안 가이드 장치의 사이버 보안 가이드를 제공하는 개념도이다.
도 5는 도 2의 보안 가이드 장치의 사이버 보안 가이드를 제공하기 위한 사용자 입력에 대한 매핑을 예시한 도이다.
도 6은 본 발명의 일 실시 예에 따른 블록체인의 블록도이다.
도 7은 본 발명에 따른 사이버 보안 가이드 방법을 나타낸 순서도이다.
이하, 도면을 참조하여 본 발명을 보다 상세하게 설명한다.
제1, 제2 등의 용어는 다양한 구성요소들을 설명하는데 사용될 수 있지만, 상기 구성요소들은 상기 용어들에 의해 한정되어서는 안 된다. 상기 용어들은 하나의 구성요소를 다른 구성요소로부터 구별하는 목적으로만 사용된다. 예를 들어, 본 발명의 권리 범위를 벗어나지 않으면서 제1 구성요소는 제2 구성요소로 명명될 수 있고, 유사하게 제2 구성요소도 제1 구성요소로 명명될 수 있다. 및/또는 이라는 용어는 복수의 관련된 기재된 항목들의 조합 또는 복수의 관련된 기재된 항목들 중의 어느 항목을 포함한다.
어떤 구성요소가 다른 구성요소에 "연결되어" 있다거나 "접속되어" 있다고 언급된 때에는, 그 다른 구성요소에 직접적으로 연결되어 있거나 또는 접속되어 있을 수도 있지만, 중간에 다른 구성요소가 존재할 수도 있다고 이해되어야 할 것이다. 반면에, 어떤 구성요소가 다른 구성요소에 "직접 연결되어" 있다거나 "직접 접속되어" 있다고 언급된 때에는, 중간에 다른 구성요소가 존재하지 않는 것으로 이해되어야 할 것이다. 또한 네트워크상의 제1 구성요소와 제2 구성요소가 연결되어 있거나 접속되어 있다는 것은, 유선 또는 무선으로 제1 구성요소와 제2 구성요소 사이에 데이터를 주고받을 수 있음을 의미한다.
또한, 이하의 설명에서 사용되는 구성요소에 대한 접미사 "모듈" 및 "부"는 단순히 본 명세서 작성의 용이함만이 고려되어 부여되는 것으로서, 그 자체로 특별히 중요한 의미 또는 역할을 부여하는 것은 아니다. 따라서, 상기 "모듈" 및 "부"는 서로 혼용되어 사용될 수도 있다.
이와 같은 구성요소들은 실제 응용에서 구현될 때 필요에 따라 2 이상의 구성요소가 하나의 구성요소로 합쳐지거나, 혹은 하나의 구성요소가 2 이상의 구성요소로 세분되어 구성될 수 있다. 도면 전체를 통하여 동일하거나 유사한 구성요소에 대해서는 동일한 도면 부호를 부여하였고, 동일한 도면 부호를 가지는 구성요소에 대한 자세한 설명은 전술한 구성요소에 대한 설명으로 대체되어 생략될 수 있다.
또한, 본 발명은 본 명세서에 표시된 실시 예들의 모든 가능한 조합들을 망라한다. 본 발명의 다양한 실시 예는 서로 다르지만 상호 배타적이지 않다. 본 명세서에 기술된 특정 형상, 구조, 기능, 및 특성의 일 실시 예는 다른 실시예로 구현될 수 있다. 예를 들어, 제1 및 제2 실시 예에서 언급되는 구성요소는 제1 및 제2 실시 예의 모든 기능을 수행할 수 있다.
도 1은 본 발명의 일 실시 예에 따른 블록체인 기반의 원전 사이버 보안 가이드 라인 제공 시스템의 블록도이고, 도 2는 도 1의 블록체인 기반의 사이버 보안 가이드를 제공하는 장치의 제어 구성을 나타낸 제어 블록도이고, 도 3은 도 2에 나타낸 설계 표시부에 표시되는 디지털 제어기의 간략하게 나타낸 도이고, 도 4는 도 2의 보안 가이드 장치의 사이버 보안 가이드를 제공하는 개념도이고, 도 5는 도 2의 보안 가이드 장치의 사이버 보안 가이드를 제공하기 위한 사용자 입력에 대한 매핑을 예시한 도이고, 도 6은 본 발명의 일 실시 예에 따른 블록 체인의 블록도이다.
도 1을 참조하면, 블록체인 기반의 원전 계측제어계통 사이버 보안 시험 검증을 위한 확인 사항 및 시험 절차 가이드라인 제공 시스템은 복수의 노드들(N1~N7)을 포함할 수 있다.
복수의 노드들(N1~N7)은 PC, 서버, 등 다양한 컴퓨팅 자원일 수 있다.
복수의 노드들(N1~N7)은 서로 통신하여, 폐쇄적 통신망을 구축할 수 있다. 예를 들어, 복수의 노드들(N1~N7)의 네트워크는 인트라넷 네트워크일 수 있다. 인트라넷은 하나의 원자력 발전소의 폐쇄 네트워크이거나, 2 이상의 원자력 발전소의 폐쇄 네트워크일 수 있다.
복수의 노드들(N1~N7)은 블록체인(block chain) 기술을 구현할 수 있다.
복수의 노드들(N1~N7) 중 적어도 한 노드(N)는 블록체인 기반의 원전 계측제어계통 사이버 보안 시험 검증을 위한 확인 사항 및 시험 절차 가이드라인을 제공하는 장치(이하, 보안 가이드 장치)인 것이 바람직하다.
도 2를 참조하면, 본 발명의 일 실시 예에 따른 보안 가이드 장치는 제어부(110), 설계 표시부(130), 입력부(140), 블록체인부(150), 통신부(180), 및 저장부(190)를 포함할 수 있다.
설계 표시부(130)은 원자력 발전소(미도시)를 구성하는 복수의 디지털 제어기를 배열할 수 있다. 이는 디스플레이 장치(미도시)에 표시될 수 있다.
설계 표시부(130)는 상기 복수의 디지털 제어기 각각에 대한 질의서에 대한 응답 항목을 디스플레이 장치(미도시)에 표시할 수 있다.
디지털 제어기는 엔티티(entity)로 표상할 수 있다. 엔티티의 속성은 질의서에 대한 응답항목이 "사용자", "매체", "연결장비" 및 "장비 명칭"에 해당되는 경우, 설정된 해당 위치에 표시될 수 있다.
도 3을 참조하면, 엔티티는 "사용자" 응답 항목은 사용자 관련 질의에 의해 정해지며, "매체" 응답 항목은 매체 관련 질의에 의해서 정해지며, "연결장비" 응답 항목은 연결장비 관련 질의에 의해 정해지고, "장비 타입" 응답 항목은 PLC, DCS 등의 기본적인 형태에 대한 질의에 의해 정해질 수 있다.
예를 들어, "연결장비" 응답 항목에는 디지털 제어기의 연결장비로 USB 메모리 매체가 사용되는 경우, 메모리의 약자 "M"으로 정해지거나, 사용자가 입력할 수 있다.
이러한, 엔티티는 설계 표시부(130)의 설계 툴에서 드래그&드롭으로 이동시켜 생성할 수 있으며, 상술한 응답 항목에 사용자가 입력할 수 있다.
설계 표시부(130)은 도 3과 같이 복수 개의 디지털 제어기 각각에 대한 엔티티를 생성하고, 엔티티에 표시되는 응답 항목에 대하여 사용자가 입력할 수 있다.
입력부(140)은 설계 표시부(130)에 표시된 엔티티의 응답 항목, 즉 질의서를 클릭하여, 응답 항목에 대응하는 디지털 제어기에 대한 사용자 응답을 입력할 수 있다.
제어부(110)은 질의서 출력부(112), 매핑부(114), 및 처리부(116)을 포함할 수 있다.
먼저, 질의서 출력부(112)는 사용자에 의해 설계 표시부(130)에 디지털 제어기, 즉 엔티티가 표시되면, 설정된 메인 질의서를 설계 표시부(130)에 표시되게 제어할 수 있다. 메인 질의서는 표시된 엔티티에 대응되는 질의서인 것이 바람직하다.
메인 질의서는 디지털 제어기(분석 대상 제어기)에 대한 분류(type)를 질의하는 질의서, 해당 디지털 제어기의 기본 정보를 질의하는 정보 질의서, 및 해당 디지털 제어기의 기능을 자세히 질의하는 상세 질의서를 구비할 수 있다.
예를 들어, 분류 질의서는 통신 가능한 PLC(Programmable Logic Controller), DOS(Denial of Service), HIDS(Host Itrusion Detection System), EWS(Engineering Work Station), HMI(Human Machine Interface), PC 및 노트북 중 디지털 제어기가 해당되는 것을 체크하는 질의서일 수 있다.
질의서 출력부(112)는 사용자의 입력에 따라 상기 장비 분류 질의서에서 "PLC"를 선택 입력하는 경우, 엔티티의 "매체" 응답 항목에 "PLC"가 표시되게 설계 표시부(130)을 제어할 수 있다.
정보 질의서는 디지털 제어기의 운영체제, 통신 프로토콜, 디스플레이 설치 여부, 적용 소프트웨어 및 ROM 바이어스 여부 중 적어도 하나를 체크하는 디지털 제어기의 기본 정보에 대한 질의서일 수 있다.
즉, 정보 질의서에 의해 체크된 운영체제에 따라서 계정관리 요건이 달라질 수 있다. 또한, 정보 질의서에 의해 체크된 통신프로토콜의 종류에 따라서 공격벡터가 달라지고 그에 따른 사이버보안 요건이 달라지는 등 디지털 제어기의 스펙에 따라 사이버보안 요건이 달라질 수 있다. 이에 따라, 관련 참조문서, 사이버보안 구현 방법, 시험 및 검증 방법도 다르게 매핑될 수 있다. 즉, 정보 질의서는 보안 가이드를 다르게 적용하기 위한 질의일 수 있다.
아래에는 상기 스펙정보 질의서에 대한 예시를 나타낸다.
1.운영체제: 윈도우, 유닉스, 리눅스, QNX, VxWorks, 기타( )
2.통신프로토콜(복수 선택 가능): Ethernet, Profibus, Serial, Modbus, Hart, 기타( )
3.Display: 일반 컴퓨터 모니터, 기타( 예).12” TFT )
4.S/W: 없음, 있음=> 1). 제어로직 작성 2). 다운로더 3).NIDS 4).보안기능 S/W( ) 5).기타( )
5.ROM BIOS 여부
6.기타( )
그리고, 상세 질의서는, 사용자 로그인 여부, DB 서버 여부, 원격접속 여부, 로그 저장 여부, 명령어 입력 여부, 매체 접근 여부, 유지보수 여부, 시간 기능 여부 및 세션 잠금 기능 여부를 체크하는 질의서일 수 있다.
아래에는 상기 기능 상세 질의서에 대한 예시를 나타낸다.
1.사용자 로그인 여부
2.DB 서버 여부
3.원격 접속 기능 여부
4.로그 저장 기능 여부
5.명령어 입력 여부
6.매체 접근 여부
1)매체 종류: USB, CD-ROM, 외장 하드, 디스켓, 기타( )
7.유지보수 여부 및 방법
1)유지보수 여부
2)원격
3)직접 접속
4)매체접근
8.시간설정기능 여부
9.시간동기화기능 여부
10.시간동기화 방법
11.세션잠금기능 여부
12.안전/비안전 선택
또한, 질의서 출력부(112)는 예시적으로 RS-015 요건 분석 내용 입력 질의서 시나리오가 설계 표시부(130)에 표시되게 제어할 수 있다.
질의서 출력부(112)에 출력되는 메인 질의서는 "예" 또는 "아니오"로 사용자가 선택할 수 있도록 표시할 수 있다. 또한, 질의서 출력부(112)는 메인 질의서에 대한 사용자 응답이 "예"인 경우, 메인 질의서의 다음 질의 항목을 표시하며, 사용자가 선택/입력하도록 할 수 있다.
아래의 표 1은 메인 질의서 중 장비 분류를 "NIDS(Host Itrusion Detection System)"를 선택하는 경우, 장비 분류에 따라 설정된 질의서를 나타낸다.
요건 번호 세부요건
1.1.3 데이터 이동 통제 원자력사업자는 다음이 수행되도록 보장한다.
가. 수립된 심층방호 전략에 따라 필수디지털자산 간 데이터의 이동을 준실시간으로 통제하고 문서화
라. 데이터의 이동에 대한 통제는 데이터의 종류, 출발지, 목적지를 기반으로 수행
마. 불법적이고 허가받지 않은 데이터 이동을 준실시간으로 탐지, 예방 및 대응하여야 하고 문서화
바. 암호화된 데이터가 콘텐츠 검색 수행을 우회하지 못하도록 방지
1.1.12 네트워크 접근통제 마. 모니터링
1.1.13 안전하지 않은 프로토콜의 제한 나. 네트워크 프로토콜이 동일 네트워크 범위가 아닌 곳에서 명령을 개시하지 못하도록 구성
1.1.15 안전하지 않은 연결 원자력사업자는 필수디지털자산을 설치 혹은 변경 시에 공급자가 해당 필수디지털자산에 원격으로 접근 가능하도록 설정하거나 모뎀 등을 구성하지 않도록 하여야 한다.
1.1.17 특정 프로토콜 가시성 원자력사업자는 특정 통신프로토콜로 인해 시스템에서 공격이 탐지가 안 될 경우에 사이버공격으로부터 필수디지털자산을 보호하기 위한 대안적인 보안조치를 적용하여야 한다.
1.2.7 타임스탬프 나. 시간동기화로 인하여 필수디지털자산에 대한 사이버공격 혹은 장애를 유발하지 않도록 하여야 하며, 시간동기화 구성이 어려울 경우에는 이에 대한 대안적인 조치를 수행
1.3.2 공유 자원 원자력사업자는 다음이 수행되도록 보장한다.
가. 필수디지털자산의 공유된 자원을 통해 비승인 되거나 의도되지 않은 정보의 전송 금지
1.3.3 서비스거부 공격으로부터의 보호
 원자력사업자는 다음이 수행되도록 보장한다.
가. 필수디지털자산을 서비스거부 공격의 영향으로부터 제한되거나 막도록 구성
나. 사용자가 다른 필수디지털자산에 대해 서비스거부 공격을 수행치 못하도록 구성
다. 서비스거부 공격을 유발하지 못하도록 필수디지털자산의 네트워크 대역폭 및 전송용량 등을 제한하도록 구성
1.3.5 전송 무결성 다. 다음의 방법들을 통한 중간자공격(MITM, Man-In-The-Middle Attack) 예방조치 이행
1) MAC 주소 잠금을 통한 MITM 및 가짜 기기가 네트워크에 추가되는 것을 예방
2) NAC(Network Access Control) 장비 등을 통한 MITM 및 인가되지 않은 기기가 네트워크에 추가되는 것을 예방
라. ARP 스푸핑 공격 등의 MITM 공격을 탐지하기 위한 모니터링 수행
1.3.8 비승인 원격 서비스 기동 원자력사업자는 다음이 수행되도록 보장한다.
가. 필수디지털자산의 서비스가 원격에서 기동되는 것을 방지하도록 구성 및 내부 사용자에 의해서만 사용되도록 구성
1.4.4 기기 식별 및 인증 원자력사업자는 다음이 수행되도록 보장한다.
가. 필수디지털자산에 연결되는 기기가 연결되기 전에 해당 기기를 식별하고 인증하도록 하는 기술을 이행하고 문서화하여 비승인된 기기가 불법적으로 연결되는 것 방지
1.5.1 불필요 서비스 및 프로그램의 제거
 원자력사업자는 다음이 수행되도록 보장한다.
가. 필수디지털자산의 다음 모든 정보 문서화
1) 응용프로그램 목록
2) 시스템 서비스 및 스크립트
3) 구성파일 및 데이터베이스 목록
4) 소프트웨어 목록 및 각각의 설정내용 및 패치정보
나. 필수디지털자산에서 필요한 서비스의 목록(필요한 사유 포함) 유지, 평시 및 비상시 필요한 서비스 목록 구별, 그리고 운영 시 해당 서비스만 활성화 되도록 구성
마. 다음에 해당하는 소프트웨어의 삭제 혹은 불능화 및 문서화
1) 미사용 네트워크 드라이버
2) 미사용 주변장치 드라이버
3) MSN, 카카오톡 등 메신저 서비스
4) 소프트웨어 컴파일러(개발 단말에서는 제외)
5) 미사용 네트워크 및 통신 프로토콜
6) 각종 유틸리티, 네트워크 관리자 및 시스템 관리자 프로그램 등 미사용 관리자 프로그램
7) 시스템 개발과정에서 사용된 백업파일 및 데이터베이스
8) 모든 미사용 데이터 및 설정 파일
9) 테스트 프로그램 및 스크립트
10) 미사용 문서편집 프로그램(MS Word, Excel, 글 등)
11) 미사용 휴대용 매체 접속 포트
12) 게임
2.2.3 모니터링 도구 및 기술
 원자력사업자는 다음이 수행되도록 보장한다.
가. 필수디지털자산에 대한 모니터링 수행 및 사이버공격 탐지
나. 필수디지털자산에 비정상적이고 불법적인 연결 탐지 및 차단
다. 공격, 불법적인 행위 및 접근을 탐지하기 위한 정보를 수집하고, 분석하기 위한 로그분석시스템 등의 활용
라. ‘다’의 분석을 가능하게 하기 위한 로그의 저장 및 유지
원자력사업자는 침해 징후 혹은 주요 침해발생 시, 즉각적으로 경보를 사고대응 담당자에게 제공할 수 있도록 모니터링 체계를 갖추어야 한다.
원자력사업자는 접근통제 및 데이터 이동 통제를 위한 자동화된 도구(예, 침입탐지시스템 등)들로부터 나온 각종 로그를 종합적으로 취합 및 분석할 수 있도록 하여 사이버보안 비상사건 시에 신속히 대응할 수 있도록 하여야 한다.
원자력사업자는 사용자가 침입탐지시스템 등 보안시스템을 우회하지 못하도록 구성하여야 하며, 동 시스템들에 저장된 정보를 불법적인 접근, 변조 및 삭제로부터 보호되도록 하여야 한다. 또한 이러한 시스템들은 주기적으로 점검하여 정상 작동됨을 보장하여야 한다.
원자력사업자는 이러한 모니터링 및 침입탐지 등을 수행하는 보안시스템이 필수디지털자산 고유의 기능에 악영향이 없도록 구성하여야 하며, 만약 악영향을 미칠 경우, 다른 대안적인 보안조치 대책을 수립하고 이행하여야 한다.
2.6.5 최소 기능성
 원자력사업자는 필수디지털자산 형상을 설정할 때 오직 필요한 기능만을 수행하도록 하며, 안전하지 않은 불필요한 기능, 포트, 프로토콜 및 서비스를 사용하지 못하도록 제약하여야 한다.
또한 주기적으로(최소 분기 1회 이상) 불필요한 기능, 포트, 프로토콜 및 서비스가 사용되는지 식별하고 제거하여야 한다. 단, 제거시 안정성
영향을 고려하여야 한다.
원자력사업자는 프로그램이 불법적으로 승인없이 실행되는 것을 방지하기 위한 자동화된 체계를 구축하여야 한다.
표 1은 하나의 실시 예를 나타내며, 장비 분류에 따라 세부 요건, 즉 사이버 보안 가이드에 대한 항목이 다를 수 있으며, 이에 한정을 두지 않는다.
매핑부(114)는 도 4에 나타낸 바와 같이 질의서 출력부(112)에 출력된 메인 질의서에 대하여 사용자 응답이 입력되면, 사용자 응답에 따라 제안할 사이버 보안 요건 가이드에 대한 데이터 매핑을 수행할 수 있다.
매핑부(114)는 사용자 응답에 따라 요건/참조문서 항목, 구현방법 항목 및 시험 검증절차 항목 각각에 매핑 되는 값 또는 데이터를 매핑할 수 있다.
여기서, 도 5는 매핑부(114)에서 메인 질의서에 대한 사용자 입력에 따라 요건/참조문서 항목, 구현방법 항목 및 시험 검증절차 항목을 매핑 시키는 일예를 나타낸다.
예를 들어, 매핑부(114)는 사용자 응답(4)이 입력되면, 요건/참조문서 항목(4), 구현방법 항목(b) 및 시험 검증절차 항목(나)와 매핑 하여, 해당 결과를 처리부(116)로 출력할 수 있다.
처리부(116)는 매핑부(114)에서 매핑 되는 사이버 보안 요건 가이드, 즉 도 5에 나타낸 사용자 응답(4), 요건/참조문서 항목((4)), 구현방법 항목(b) 및 시험 검증절차 항목(나)를 추출하여, 설계 표시부(130)에 표시되게 제어할 수 있다.
본 발명에 따른 보안 가이드 장치는 RS-015 또는 기타 참조 문서의 요건을 만족시키기 위해서 디지털 제어기 공급업체가 구현해야 하는 기술이나 구현방법 등에 대한 가이드를 제공할 수 있다.
예를 들어, 접근통제를 하기 위한 계정관리 기능을 구현해야 한다면 윈도우즈 운영체제인 경우에는 윈도우즈 사용자계정 관리 기능을 사용하여 접근 권한 관리를 할 수 있도록 가이드를 제공할 수 있다.
따라서 처리부(116)은 상기 사이버 보안 요건 가이드(설계 권고안) 및 보안 조치에 관련된 가이드(확인 사항, 시험 절차)를 설계 표시부(130)에 표시되게 제어할 수 있다.
본 발명에 따른 보안 가이드 장치는 보안 조치에 관련된 가이드를 표시하도록 함으로써, 디지털 제어기의 설계 및 개발 시 사이버 보안 기능에 대한 방법 및 검증에 대한 결과를 사용자가 미리 알아볼 수 있다.
도 4를 참조하면, 처리부(116)는 설계권고안 작성 모듈(123), 확인사항 작성 모듈(125), 시험절차 작성 모듈(127), 및 보고서 모듈(129)을 구비할 수 있다. 처리부(116)에 의해 처리된 설계 권고안, 확인 사항, 시험 절차 등은 설계 표시부(130)에 표시될 수 있다.
설계권고안 작성 모듈(123)은 메일 질의서에 대한 사용자 응답에 대응하여, 디지털 제어기가 제공해야 하는 사이버 보안 기능이 무엇인지에 대한 설계 권고안(사이버 보안 요건 가이드)을 사용자에게 제공할 수 있다.
사이버 보안 기능은 예를 들어, 사용자 로그인, DB 서버 여부, 원격접속, 로그 저장, 명령어 입력, 매체 접근, 유지보수방법(원격, 직접 접속, 매체접근), 시간설정기능, 시간동기화기능, 세션잠금기능 등이 있다.
일반적으로, 원자력 발전소에 대한 사이버 보안 요건으로 RS-015가 제정되어 운영되고 있는 바, 설계권고안 작성 모듈(123)은 RS-015의 어느 요건이 대상 디지털 제어기 제품에 관련되어 있는 지에 대한 사이버 보안 요건 가이드를 제공할 수 있다.
사용자는 설계권고안 작성 모듈(123)에 의한 설계 권고안에 따라 설계안을 입력할 수 있다.
확인사항 작성 모듈(125)은 사용자에 의해 작성된 설계안에 대한 확인 사항을 작성하여 사용자에게 제공할 수 있다.
확인 사항은 RS-015 요건을 이행하기 위한 판정기준으로, RS-015의 사이버 보안조치로 볼 수 있다. 보안조치는 기술적 보안조치, 운영적 보안조치, 관리적 보안조치로 분류할 수 있다.
먼저, 기술적 보안조치는 하드웨어, 펌웨어, 운영체제, 응용프로그램 내부에 포함된 메커니즘(인적측면이 아닌)을 통해 수행되는 보안조치를 말한다. 기술적 보안조치는 접근 통제, 감사 및 책임, 시스템 및 통신의 보호, 식별 및 인증, 시스템 보안강화를 포함한다. 기술적 보안조치의 특징은 대응정책들이 미리 계획되거나 프로그램화되어, 비상사건 발생 시 자동으로 수행되거나, 전자적으로 정책들이 수행될 수 있도록 구성되어 있어 일반적으로 인적 개입을 요구하지 않는다.
그리고 운영적 보안조치는 자동화된 수단보다는 사람에 의해 사이버보안 활동이 관장되는 보안조치이다. 운영적 보안조치는 인적 보안, 시스템 및 정보의 무결성, 유지보수, 물리적 및 환경적 보호, 인식제고 및 훈련, 형상 관리를 포함한다. 운영적 보안조치와 관련하여 원자력시설 직원 및 계약업체의 책임을 문서화하여야 한다.
마지막으로, 관리적 보안조치는 위험관리 및 사이버보안 정책 환경에 초점을 맞춘다. 관리적 보안조치는 시스템 및 서비스 획득, 위험 관리에 필요한 활동을 포함할 수 있다.
사용자는 확인사항 작성 모듈(125)에 의해 제공된 확인 사항에 대응하여 확인 사항을 최종적으로 입력할 수 있다.
시험절차 작성 모듈(127)은 최종 확인 사항에 대응하여, 확인 사항을 점검하기 위한 시험절차를 제시할 수 있다. 사용자는 제시된 시험절차에 대응하여 최종적으로 시험절차를 입력할 수 있다.
보고서 모듈(129)은 상술한 내용들 중 적어도 일부를 문서화하여 보고서(R)를 생성할 수 있다.
보고서(R)는 디지털 제어기의 제품, 분류, 최종 설계안, 최종 확인 사항, 및 최종 시험 절차를 구비할 수 있다. 보고서(R)는 디지털 제어기(엔티티)들의 구성도, 질의응답현황, 제시된 설계안, 제시된 확인 사항, 제시된 시험 절차 등을 더 구비할 수 있으며, 이러한 추가 사항은 후술하는 블록체인의 바디에 별도로 기록될 수도 있다.
보안 가이드 장치에서 생성된 데이터는 대외비 자료로, 그 자료 자체에 대한 중요도가 높으며, 생성, 수정, 삭제 등에 대해서 그 기록을 엄격히 관리하고 정밀하게 추적할 필요가 있다. 이에, 블록을 암호화하여 기록한 체인인 블록체인(block chain) 적용이 바람직하다. 여기서 블록이란 분산장부를 작성할 때 기록될 때마다 증가하는 레코드를 의미한다.
블록을 분산하여 저장하게 되면, 데이터의 이동과 변경사항 등에 대한 추적 및 관리할 수 있다. 또한, 방대한 양의 보안성을 필요로 하는 데이터를 관리하고 조작 불가능하도록 분산 데이터 형태로 개발하여 발전소 별로 안전망과 신뢰를 확대할 수 있다.
블록체인부(150)는 보고서(R)가 복수의 노드들(N1~N7)에 분산하여 저장되도록, 보고서(R)를 블록체인 프로토콜로 변환할 수 있다.
통신부(180)는 다른 노드들로 생성된 블록을 전송하거나, 다른 노드에서 생성된 블록을 수신할 수 있다.
저장부(190)는 보고서(R) 외 다양한 데이터를 저장할 수 있으며, 다른 노들로부터 받은 블록체인을 저장할 수 있다.
분산 원장으로 사용하기 위해 블록체인은 노드 간 통신을 위한 프로토콜을 준수하고, 새로운 블록의 유효성을 확인하는 피어 투 피어(P2P; per to per) 네트워크에 의해 관리되는 것이 바람직하다.
블록이 일단 기록되면, 주어진 블록의 데이터는 모든 후속 블록(체인으로 연결되는 다음 블록)을 변경하지 않고 소급하여 변경될 수 없으므로 다수 노드들의 합의가 필요하여, 해킹이 어렵고 부정이 줄어들 수 있다.
분산원장, 합의방식으로 블록을 연결하면 보안 가이드 장치에서 생성된 데이터의 관리 추적을 투명하게 관리할 수 있다. 또한, 원자력발전소 단위로 블록체인 기반 데이터 관리 시스템 구축할 수 있다.
도 6을 참조하면, 블록은 헤더와 바디를 구비할 수 있다.
블록의 헤더는 이전 블록 해쉬값, 블록 해쉬(현재 블록 해쉬값), 다음 블록 해쉬값, 넌스(nonce), 및 머클(merkle) 트리 루트의 머클 해쉬값을 구비할 수 있다.
블록의 바디는 보고서(R)를 구비할 수 있다. 블록의 바디는 보고서(R)와 별도로, 구성도, 질의응답현황, 제시된 설계안, 제시된 확인 사항, 제시된 시험 절차를 구비할 수 있다. 각 요소들은 기존 블록체인의 거래 정보 및 기타 정보로 적절히 배치될 수 있다.
머클 해쉬값은 보고서(R) 내용을 이진 머클 트리의 루트에 해당하는 해쉬값 또는, 보고서(R) 내용을 해쉬 함수에 통과시킨 일반적인 해쉬값일 수 있다. 보안성을 위해, 보고서(R) 내용은 이진 머클 트리로 적절히 구성되도록 하는 것이 바람직하다.
블록 해쉬는 블록의 식별자 역할하며, 블록 해쉬 생성 함수의 입력은 이전 블록 해쉬값, 넌스, 머클 해쉬값을 구비할 수 있다. 블록 해쉬 생성 함수의 입력은 블록 헤더에 구비되는 소프트웨어 버전, 블록 생성 시간, 채굴 난이도 등을 더 구비할 수 있다.
이전 블록 해쉬값은 해당 블록(block #2)의 링크드 리스트로 연결된 이전 블록(block #1)의 블록 해쉬를 의미한다. 최초 블록(genersis block)(block #1)은 이전 블록 해쉬값을 가지지 않는다. 링크 된 블록은 체인을 형성하여 앞의 블록을 변경하면 연결된 뒤의 블록도 함께 수정을 해야 하는 복잡한 과정을 거치기 때문에 해킹이나 위변조를 차단할 수 있다.
다음 블록 해쉬값은 해당 블록(block #2)에 추가로 연결되는 다음 블록(block #3(미도시))의 블록 해쉬를 의미한다. 다음 블록 해쉬값은 해쉬 함수의 입력값에 직접적으로 이용되지 않지만, 링크드 리스트를 싱글이 아닌 더블 링크드 리스트 구조를 형성되도록 할 수 있다.
넌스는 이 넌스 값을 입력값 중의 하나로 해서 계산되는 해쉬 출력값이 특정 조건을 만족하도록 하는 값(카운터)을 의미한다.
도 7은 본 발명에 따른 보안 가이드 장치의 사이버 보안 가이드 방법을 나타낸 순서도이다. 도 1 내지 도 6을 참고한다.
도 7을 참조하면, 보안 가이드 장치의 제어부(110)은 설계 표시부(130)에 표시된 특정 디지털 제어기, 즉 엔티티에의 복수의 응답 항목에 대응하는 사용자 응답이 입력되게 메인 질의서를 설계 표시부(130)에 표시할 수 있다(S210).
제어부(110)는 디지털 제어기가 필수 디지털 자산인 경우에 보안 가이드 방법을 실행시킬 수 있다. 이는 제어부(110)의 다양한 방법 단계 중 어느 한 단계에서 구현될 수 있다. 예를 들어, 설계 표시부(130)에서 디지털 제어기를 엔티티로 구현하지 않는 방법, 설계권고안 작성 모듈(123)에서 메인 질의서를 생성하지 않는 방법 등 다양한 방법으로 구현될 수 있다.
필수 디지털 자산은 필수시스템 중에서 SSEP(Safety, Security, Emergency Preparedness Function) 기능을 수행하는 혹은 SSEP 기능에 영향을 미치는 컴퓨터 및 정보시스템으로서 사이버공격으로부터 보호되어야 할 대상이며, 사이버 침해를 받을 경우 핵물질 불법이전 및 원자력시설 사보타주를 야기시키고 공공의 안전에 악영향을 끼칠 수 있는 자산을 말한다. 이를 통해, 필수 디지털 자산이 아닌 경우, 컴퓨팅 자원 및 네트워크 자원이 소모되지 않도록 할 수 있다.
SSEP 기능은 사이버공격으로부터 보호되어야 할 기능으로서 원자력시설의 안전, 보안 및 비상대응 기능을 의미한다. 필수시스템은 SSEP 기능을 수행하거나 그 기능과 연계된 원자력시설 내·외부의 아날로그 혹은 디지털 기반의 시스템을 말하며 원자력시설 시스템, 기기, 통신시스템, 네트워크, 외부통신, 지원시스템 혹은 지원기기를 포함한다.
제어부(110)은 메인 질의서에 대응하는 사용자 응답이 입력되면, 상기 사용자 응답에 매핑 되는 사이버 보안 요건 가이드 제안을 추출할 수 있다(S220).
제어부(110)은 사이버 보안 요건 가이드를 제시할 수 있다(S230). 이에 대한 자세한 설명은 앞서 서술한 설계권고안 작성 모듈(123)이 설계 권고안을 제시 및 사용자의 최종 설계안 입력을 참조한다.
제어부(110)는 상기 사이버 보안 요건 가이드에 대한 사이버 보안 검토를 수행할 수 있다(S240). 이에 대한 자세한 설명은 기 서술한 확인사항 작성 모듈(125)의 확인 사항 제시 및 사용자 입력에 따른 최종 확인 사항, 그리고, 시험절차 작성 모듈(127)의 시험 절차 제시 및 사용자 입력에 따른 최종 시험 절차를 참조한다.
제어부(110)은 사이버 보안 검토를 수행한 검토 결과를 기반으로, 사이버 보안 요건 가이드를 최종 결정하여 표시하고, 최종 결정된 보안 요건 가이드(최종 설계안/확인 사항/시험 절차)에 대한 보고서(R)를 생성할 수 있다(S250).
제어부(110)는 보고서(R)를 블록체인 프로토콜의 블록으로 생성하여, 다른 노드(N)들로 전송할 수 있다(S260).
상기 본 발명은 하드웨어 또는 소프트웨어에서 구현될 수 있다. 구현은 상기 본 발명은 또한 컴퓨터로 읽을 수 있는 기록매체에 컴퓨터가 읽을 수 있는 코드로서 구현하는 것이 가능하다. 즉, 컴퓨터에 의해 실행 가능한 명령어를 포함하는 기록 매체의 형태로 구현될 수 있다. 컴퓨터 판독 가능 매체는 컴퓨터 시스템에 의하여 읽혀질 수 있는 데이터가 저장되는 모든 종류의 매체를 포함한다. 컴퓨터 판독 가능 매체는 컴퓨터 저장 매체 및 통신 저장 매체를 포함할 수 있다. 컴퓨터 저장 매체는 컴퓨터가 읽을 수 있는 명령어, 데이터 구조, 프로그램 모듈, 및 기타 데이터 등 정보 저장을 위한 임의의 방법 또는 기술로서 구현된 모든 저장 가능한 매체를 포함하는 것으로, 휘발성/비휘발성/하이브리드형 메모리 여부, 분리형/비분리형 여부 등에 한정되지 않는다. 통신 저장 매체는 반송파와 같은 변조된 데이터 신호 또는 전송 메커니즘, 임의의 정보 전달 매체 등을 포함한다. 그리고 본 발명을 구현하기 위한 기능적인(functional) 프로그램, 코드 및 코드 세그먼트들은 본 발명이 속하는 기술 분야의 프로그래머들에 의해 용이하게 추론될 수 있다.
또한, 이상에서는 본 발명의 바람직한 실시 예에 대하여 도시하고 설명하였지만, 본 발명은 상술한 특정의 실시 예에 한정되지 아니하며, 청구범위에서 청구하는 본 발명의 요지를 벗어남이 없이 당해 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에 의해 다양한 변형실시가 가능한 것은 물론이고, 이러한 변형실시들은 본 발명의 기술적 사상이나 전망으로부터 개별적으로 이해되어져서는 안 될 것이다.
110: 제어부 116: 처리부
121: 요건 모듈 123: 설계권고안 작성 모듈
125: 확인사항 작성 모듈 127: 시험절차 작성 모듈
129: 보고서 모듈 130: 설계 표시부
140: 입력부 150: 블록체인부
180: 통신부 190: 저장부

Claims (6)

  1. 블록체인 기반의 원전 계측제어계통 사이버 보안 시험 검증을 위한 확인 사항 및 시험 절차 가이드라인 제공 시스템의 네트워크에 연결된 복수의 노드 중 한 하나로, 보안 가이드를 제공하는 보안 가이드 장치로서,
    원자력 발전소를 구성하는 복수의 디지털 제어기를 추상화된 엔티티로 배열 및 표시하는 설계 표시부;
    상기 설계 표시부에 표시된 엔티티에 대응하는 메인 질의서를 상기 설계 표시부에 표시하는 질의서 출력부;
    상기 메인 질의서에 대한 사용자 응답에 따라 제안할 사이버 보안 가이드에 대한 매핑을 수행하는 매핑부;
    상기 사이버 보안 가이드에 대한 사이버 보안 검토를 수행하여, 최종 사이버 보안 요건 가이드 및 보고서를 생성하는 처리부; 및
    상기 보고서를 블록체인 프로토콜의 블록으로 생성하여, 상기 복수의 노드 중 다른 노드들로 생성된 블록을 전파하는 블록체인부를 포함하는, 보안 가이드 장치.
  2. 제 1 항에 있어서,
    상기 블록은 블록 헤드와 블록 바디를 구비하고,
    상기 블록 바디는 상기 보고서를 구비하고,
    상기 블록 헤드는 식별자인 블록 해쉬, 이전 블록의 블록 해쉬인 이전 블록 해쉬값, 다음 블록의 블록 해쉬인 다음 블록 해쉬값, 상기 보고서로 구성된 머클 트리의 루트 해쉬값인 머클 해쉬값, 및 특정 조건을 만족하도록 하는 넌스(nonce)를 구비하는, 보안 가이드 장치.
  3. 제 1 항에 있어서,
    상기 질의서 출력부는 상기 디지털 제어기가 필수 디지털 자산인 경우에 상기 메인 질의서를 표시하는, 보안 가이드 장치.
  4. 제 1 항에 있어서,
    상기 메인 질의서는, 상기 디지털 제어기에 대한 분류를 질의하는 분류 질의서, 기본 정보를 질의하는 정보 질의서 및 기능을 상세히 질의하는 상세 질의서를 구비하고,
    상기 분류 질의서는, 통신 가능한 PLC(Programmable Logic Controller), DOS(Denial of Service), HIDS(Host Itrusion Detection System), EWS(Engineering Work Station), HMI(Human Machine Interface), PC 및 노트북 중 상기 특정 디지털 제어기가 해당되는 것을 체크하는 질의서이고,
    상기 정보 질의서는, 상기 특정 디지털 제어기의 운영체제, 통신 프로토콜, 디스플레이 설치 여부, 적용 소프트웨어 및 ROM 바이어스 여부를 체크하는 질의서이고,
    상기 상세 질의서는, 사용자 로그인 여부, DB 서버 여부, 원격접속 여부, 로그 저장 여부, 명령어 입력 여부, 매체 접근 여부, 유지보수 여부, 시간 기능 여부 및 세션 잠금 기능 여부를 체크하는 질의서인, 보안 가이드 장치.
  5. 제 1 항에 있어서,
    상기 처리부는,
    상기 제안용 사용자 보안 가이드인 상기 디지털 제어기가 제공해야 하는 사이버 보안 기능이 무엇인지에 대한 설계 권고안을 사용자에게 제공하는 설계권고안 작성 모듈;
    상기 설계 권고안에 대한 사용자 응답에 따른 최종 설계안에 대한 보안 요건을 이행하기 위한 판정 기준인 확인 사항을 제시하는 확인사항 작성 모듈;
    상기 제시된 확인 사항에 대한 사용자 응답에 따른 최종 확인 사항에 대응하여 상기 확인 사항을 점검하는 시험절차를 제시하여, 사용자 응답에 따른 최종 시험절차를 입력받는 시험절차 작성 모듈; 및
    상기 보고서를 생성하는 보고서 모듈을 구비하고,
    상기 보고서는 상기 디지털 제어기의 제품 및 분류, 상기 최종 설계안, 상기 최종 확인 사항, 및 상기 최종 시험 절차를 구비하는, 보안 가이드 장치.
  6. 블록체인 기반의 원전 계측제어계통 사이버 보안 시험 검증을 위한 확인 사항 및 시험 절차 가이드라인 제공 시스템의 네트워크에 연결된 복수의 노드 중 한 하나로, 보안 가이드를 제공하는 보안 가이드 장치의 사이버 보안 가이드 제공 방법으로서,
    특정 디지털 제어기에 대한 메인 질의서를 표시하는 단계;
    상기 메인 질의서에 대응하는 사용자 응답이 입력되면, 상기 사용자 응답에 매핑되는 사이버 보안 요건 가이드를 추출하는 단계;
    상기 사이버 보안 요건 가이드를 표시하는 단계;
    상기 사이버 보안 요건 가이드에 대한 사이버 보안 검토를 수행하는 단계;
    상기 수행된 보안 검토 결과를 기초로, 상기 사이버 보안 요건 가이드를 최종 결정하여 표시하고, 보고서를 생성하는 단계; 및
    상기 보고서를 다른 노드들과 공유하는 블록체인에 추가되는 블록으로 생성하여 전파하는 단계;를 포함하는, 사이버 보안 가이드 제공 방법.
KR1020190059280A 2019-05-21 2019-05-21 블록체인 기반의 원전 사이버 보안 가이드라인 제공 시스템 KR102192232B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020190059280A KR102192232B1 (ko) 2019-05-21 2019-05-21 블록체인 기반의 원전 사이버 보안 가이드라인 제공 시스템

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020190059280A KR102192232B1 (ko) 2019-05-21 2019-05-21 블록체인 기반의 원전 사이버 보안 가이드라인 제공 시스템

Publications (2)

Publication Number Publication Date
KR20200133951A true KR20200133951A (ko) 2020-12-01
KR102192232B1 KR102192232B1 (ko) 2020-12-16

Family

ID=73790866

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020190059280A KR102192232B1 (ko) 2019-05-21 2019-05-21 블록체인 기반의 원전 사이버 보안 가이드라인 제공 시스템

Country Status (1)

Country Link
KR (1) KR102192232B1 (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113723913A (zh) * 2021-08-05 2021-11-30 中核武汉核电运行技术股份有限公司 核电厂文件管理方法、装置、设备及存储介质

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101210027B1 (ko) * 2011-08-26 2012-12-07 한국수력원자력 주식회사 원자력발전소 디지털계측제어계통의 사이버보안 관리 방법 및 장치
KR101732682B1 (ko) * 2016-09-13 2017-05-24 (주)이공감 사이버 보안 장치의 보고서 작성 방법
KR101924026B1 (ko) * 2017-11-10 2018-11-30 부산대학교 산학협력단 해시 기반 서명 기법을 적용한 블록체인 시스템 및 방법

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101210027B1 (ko) * 2011-08-26 2012-12-07 한국수력원자력 주식회사 원자력발전소 디지털계측제어계통의 사이버보안 관리 방법 및 장치
KR101732682B1 (ko) * 2016-09-13 2017-05-24 (주)이공감 사이버 보안 장치의 보고서 작성 방법
KR101924026B1 (ko) * 2017-11-10 2018-11-30 부산대학교 산학협력단 해시 기반 서명 기법을 적용한 블록체인 시스템 및 방법

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113723913A (zh) * 2021-08-05 2021-11-30 中核武汉核电运行技术股份有限公司 核电厂文件管理方法、装置、设备及存储介质

Also Published As

Publication number Publication date
KR102192232B1 (ko) 2020-12-16

Similar Documents

Publication Publication Date Title
Ross et al. Protecting controlled unclassified information in nonfederal systems and organizations
Leander et al. Applicability of the IEC 62443 standard in Industry 4.0/IIoT
US11138475B2 (en) Systems and methods for data protection
CN110889130B (zh) 基于数据库的细粒度数据加密方法、系统及装置
CN101895578A (zh) 基于综合安全审计的文档监控管理系统
Krotofil et al. Securing industrial control systems
CN115550063B (zh) 一种网络信息安全监管方法、系统
Salim et al. Cyber safety: A systems theory approach to managing cyber security risks–Applied to TJX cyber attack
US20210336930A1 (en) Systems and methods for secure access smart hub for cyber-physical systems
CN114218194A (zh) 数据银行安全系统
KR102192232B1 (ko) 블록체인 기반의 원전 사이버 보안 가이드라인 제공 시스템
Buecker et al. IT Security Compliance Management Design Guide with IBM Tivoli Security Information and Event Manager
Fagan et al. IoT device cybersecurity guidance for the Federal government
Dodiya et al. Fortifying the Digital Forge: Unleashing Cybersecurity in the Interconnected World of Digital Manufacturing
Kapiton et al. Automated setup system security configuration of network equipment.
Falk et al. Enhancing integrity protection for industrial cyber physical systems
KR102107415B1 (ko) 사이버 보안 가이드 제공 방법
Falk et al. System Integrity Monitoring for Industrial Cyber Physical Systems
Gourisetti et al. Facility cybersecurity framework best practices version 2.0
Karlzén An Analysis of Security Information and Event Management Systems-The Use or SIEMs for Log Collection, Management and Analysis
Stamp et al. Cyber Security Gap Analysis for Critical Energy Systems (CSGACES).
Adel Developing a Digital Forensic Capability for Critical Infrastructures: An Investigation Framework
Mishra et al. Power Grids-Cyber Security Requirements for SCADA and Substations
Christensen et al. Technical Guide for Implementing Cybersecurity Continuous Monitoring in the Nuclear Industry
US20230214209A1 (en) Correlation Engine for Detecting Security Vulnerabilities in Continuous Integration/Continuous Delivery Pipelines

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant