KR20240065826A - 스마트팩토리의 공격 그래프 기반의 보안위협 데이터 제공 방법 및 장치 - Google Patents
스마트팩토리의 공격 그래프 기반의 보안위협 데이터 제공 방법 및 장치 Download PDFInfo
- Publication number
- KR20240065826A KR20240065826A KR1020220147028A KR20220147028A KR20240065826A KR 20240065826 A KR20240065826 A KR 20240065826A KR 1020220147028 A KR1020220147028 A KR 1020220147028A KR 20220147028 A KR20220147028 A KR 20220147028A KR 20240065826 A KR20240065826 A KR 20240065826A
- Authority
- KR
- South Korea
- Prior art keywords
- security threat
- attack
- security
- smart factory
- threat data
- Prior art date
Links
- 238000000034 method Methods 0.000 title claims abstract description 30
- 238000012800 visualization Methods 0.000 claims abstract description 33
- 238000004458 analytical method Methods 0.000 claims description 17
- 238000004891 communication Methods 0.000 claims description 11
- 239000010410 layer Substances 0.000 description 37
- 238000004519 manufacturing process Methods 0.000 description 26
- 238000010586 diagram Methods 0.000 description 14
- 238000005516 engineering process Methods 0.000 description 10
- 230000008569 process Effects 0.000 description 9
- 230000004044 response Effects 0.000 description 9
- 238000003745 diagnosis Methods 0.000 description 7
- 238000007726 management method Methods 0.000 description 7
- 238000004364 calculation method Methods 0.000 description 5
- 238000009826 distribution Methods 0.000 description 5
- 238000012544 monitoring process Methods 0.000 description 4
- 238000007794 visualization technique Methods 0.000 description 4
- 230000006870 function Effects 0.000 description 3
- 208000015181 infectious disease Diseases 0.000 description 3
- 230000007257 malfunction Effects 0.000 description 3
- 238000004886 process control Methods 0.000 description 3
- 238000011160 research Methods 0.000 description 3
- 239000013598 vector Substances 0.000 description 3
- 238000013473 artificial intelligence Methods 0.000 description 2
- 230000008859 change Effects 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 230000007613 environmental effect Effects 0.000 description 2
- 230000003993 interaction Effects 0.000 description 2
- -1 portions Substances 0.000 description 2
- 230000008901 benefit Effects 0.000 description 1
- 239000003086 colorant Substances 0.000 description 1
- 230000000295 complement effect Effects 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 238000010219 correlation analysis Methods 0.000 description 1
- 230000001934 delay Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000000116 mitigating effect Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 230000001151 other effect Effects 0.000 description 1
- 238000004801 process automation Methods 0.000 description 1
- 239000002356 single layer Substances 0.000 description 1
- 230000008685 targeting Effects 0.000 description 1
- 230000002123 temporal effect Effects 0.000 description 1
- 230000000007 visual effect Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B2219/00—Program-control systems
- G05B2219/20—Pc systems
- G05B2219/24—Pc safety
- G05B2219/24159—Several levels of security, passwords
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
본 개시의 기술적 사상에 의한 일 양태에 따른 스마트팩토리의 공격 그래프 기반 보안위협 데이터 제공 방법은, 상기 스마트팩토리에 포함된 장치들의 보안 취약점 심각도에 기초한 공격 가능성 변수를 설정하는 단계; 상기 스마트팩토리에 포함된 장치들로부터 발생하는 데이터에 기초하여, 상기 스마트팩토리에 대한 보안위협을 나타내는 보안위협 데이터를 생성하는 단계; 생성된 보안위협 데이터에 기초하여, 상기 스마트팩토리에 대한 영향 변수를 설정하는 단계; 상기 스마트팩토리에 대해 도출된 공격 그래프, 및 상기 생성된 보안위협 데이터에 기초한 공격 그래프 변수를 설정하는 단계; 설정된 공격 가능성 변수, 영향 변수, 및 공격 그래프 변수에 기초하여, 상기 스마트팩토리에 대한 보안위협 위험도를 산출하는 단계; 및 산출된 보안위협 위험도를 시각화한 시각화 모델을 제공하는 단계를 포함한다.
Description
본 개시(disclosure)의 기술적 사상은 스마트팩토리의 공격 그래프 기반의 보안위협 데이터 제공 방법 및 장치에 관한 것이다.
4차 산업혁명으로 인해 제조산업에 인공지능, 빅데이터와 같은 ICT 기술을 활용한 스마트팩토리의 구축에 관한 많은 연구가 진행되고 있다. 스마트팩토리에서는 생산 과정에 필요한 전체 사물들을 IIoT(Industrial Internet of Things) 기술로 연결하여 통신체계를 구축하고 디지털화하여, CPS(Cyber Physical System), 빅데이터, 클라우드, 인공지능 등의 ICT 기술들이 제조업에 활용될 수 있도록 함으로써 생산 공정을 자동화 및 최적화하는 연구가 진행되고 있다.
한편, 스마트 팩토리의 장치들이 유기적으로 연결되면서 이로 인해 발생 가능한 보안위협도 증가하고 있다. 특히, 단일의 보안 공격이 스마트 팩토리 내의 다양한 계층에 있는 여러 장치들을 타겟으로 할 수 있으므로 공격 표면의 복잡성이 기하급수적으로 증가할 수 있다.
본 발명이 해결하고자 하는 일 과제는, 스마트팩토리를 구성하는 장비들에 대한 보안위협 데이터를 효과적으로 제공하는 것이다.
본 발명이 해결하고자 하는 일 과제는, 스마트팩토리에 대한 보안 공격의 공격 경로를 반영하여 장비들의 보안위협 데이터를 효과적으로 제공하는 것이다.
본 발명이 해결하고자 하는 일 과제는, 종래의 스마트팩토리에 대한 보안위협 데이터의 시각화 기법이 갖는 부족한 가시성을 보완하는 것이다.
상기와 같은 목적을 달성하기 위하여, 본 개시의 기술적 사상에 의한 일 양태(aspect)에 따른 스마트팩토리의 공격 그래프 기반 보안위협 데이터 제공 방법은, 상기 스마트팩토리에 포함된 장치들의 보안 취약점 심각도에 기초한 공격 가능성 변수를 설정하는 단계; 상기 스마트팩토리에 포함된 장치들로부터 발생하는 데이터에 기초하여, 상기 스마트팩토리에 대한 보안위협을 나타내는 보안위협 데이터를 생성하는 단계; 생성된 보안위협 데이터에 기초하여, 상기 스마트팩토리에 대한 영향 변수를 설정하는 단계; 상기 스마트팩토리에 대해 도출된 공격 그래프, 및 상기 생성된 보안위협 데이터에 기초한 공격 그래프 변수를 설정하는 단계; 설정된 공격 가능성 변수, 영향 변수, 및 공격 그래프 변수에 기초하여, 상기 스마트팩토리에 대한 보안위협 위험도를 산출하는 단계; 및 산출된 보안위협 위험도를 시각화한 시각화 모델을 제공하는 단계를 포함한다.
일 실시 예에 따라, 상기 공격 그래프는 상기 스마트팩토리에 포함된 장치들에 대응하는 노드들, 및 상기 노드들의 연결 구조를 나타낼 수 있다.
일 실시 예에 따라, 상기 공격 그래프 변수를 설정하는 단계는, 상기 보안위협 데이터에 대응하는 보안 공격 및 상기 공격 그래프에 기초하여, 상기 보안 공격에 영향을 받는 장치들 각각의 중요도, 영향을 받는 장치의 수, 연결된 장치의 수, 및 계층의 수 중 적어도 하나의 정보를 분석하는 단계; 및 분석 결과에 기초하여 상기 공격 그래프 변수를 설정하는 단계를 포함할 수 있다.
일 실시 예에 따라, 상기 공격 가능성 변수를 설정하는 단계는, 상기 스마트팩토리에 포함된 장치들 및 소프트웨어들에 대한 보안 취약점의 정도를 분석하는 단계; 분석 결과에 대응하는 취약점 심각도를 판단하는 단계; 및 판단된 취약점 심각도에 기초하여, 상기 스마트팩토리에 대한 공격 가능성 변수를 설정하는 단계를 포함할 수 있다.
일 실시 예에 따라, 상기 취약점 심각도는 CVSS(common vulnerability scoring system)에 의해 산출되는 CVSS 점수에 해당하고, 상기 공격 가능성 변수는, CVSS 점수의 구간별로 구분되는 복수의 취약점 등급 중, 상기 산출된 CVSS 점수에 대응하는 취약점 등급의 값으로 설정될 수 있다.
일 실시 예에 따라, 상기 보안위협 데이터를 생성하는 단계는, 상기 스마트팩토리로부터 발생하는 로그 및 보안 이벤트 중 적어도 하나를 포함하는 상기 데이터를 수신하는 단계; 수신된 데이터를 SIEM 솔루션을 통해 분석하는 단계; 및 분석 결과에 기초하여 상기 스마트팩토리에 대한 보안위협을 나타내는 보안위협 데이터를 생성하는 단계를 포함할 수 있다.
일 실시 예에 따라, 상기 영향 변수를 설정하는 단계는, 스마트팩토리의 장치들에 대해 누적 발생한 다수의 보안위협 데이터가 저장된 데이터베이스로부터, 상기 생성된 보안위협 데이터와 동일 또는 유사도가 가장 높은 보안위협 데이터를 식별하는 단계; 및 상기 데이터베이스로부터, 상기 식별된 보안위협 데이터에 대응하는 영향 변수의 정보를 획득하고, 획득된 영향 변수를 상기 생성된 보안위협 데이터의 영향 변수로서 설정하는 단계를 포함할 수 있다.
일 실시 예에 따라, 상기 스마트팩토리에 대한 보안위협 위험도를 산출하는 단계는, 설정된 공격 가능성 변수, 영향 변수, 및 공격 그래프 변수의 곱을 통해 상기 보안위협 위험도를 산출하는 단계를 포함할 수 있다.
일 실시 예에 따라, 상기 시각화 모델을 제공하는 단계는, 상기 보안위협 데이터로부터 판단되는 예측 또는 발생한 보안 공격에 대한 보안위협 위험도의 색상을, 상기 공격 그래프 내의 노드들 중 상기 보안 공격의 공격 경로에 해당하는 노드들에 표시하는 시각화 모델을 생성하는 단계; 및 생성된 시각화 모델을 제공하는 단계를 포함할 수 있다.
본 개시의 기술적 사상에 의한 일 양태에 따른 스마트팩토리와 연결되는 공격 그래프 기반의 보안위협 데이터 제공 장치는, 상기 스마트팩토리로부터 발생하는 데이터를 수신하는 통신부; 및 상기 스마트팩토리에 포함된 장치들의 보안 취약점 심각도에 기초한 공격 가능성 변수를 설정하고, 상기 스마트팩토리로부터 수신한 데이터에 기초하여, 상기 스마트팩토리에 대한 보안위협을 나타내는 보안위협 데이터를 생성하고, 생성된 보안위협 데이터에 기초하여, 상기 장치들 각각에 대한 영향 변수를 설정하고, 상기 스마트팩토리에 대해 도출된 공격 그래프, 및 상기 생성된 보안위협 데이터에 기초한 공격 그래프 변수를 설정하고, 설정된 공격 가능성 변수 및 영향 변수에 기초하여, 상기 장치들 각각에 대한 보안위협 위험도를 산출하고, 산출된 보안위협 위험도를 시각화한 시각화 모델을 생성하는 프로세서를 포함한다.
본 개시의 기술적 사상에 따르면, 스마트팩토리를 구성하는 장치들의 연결 정보를 그래프화한 공격 그래프가 이용되어 공격 경로 등을 반영한 보안위협 위험도가 제공됨으로써, 관리자로 하여금 공격 시 영향을 받는 장치들을 용이하게 식별하고, 공격에 대한 빠르고 정확한 판단 및 대응을 가능하도록 한다.
또한, 본 개시의 기술적 사상에 따르면, 보안위협 데이터에 따라 장치별 위험도가 시각화되어 제공됨으로써, 관리자는 위험도에 따른 우선순위에 따라 보다 효율적인 대응을 수행할 수 있다.
본 개시의 기술적 사상에 따른 방법 및 장치가 얻을 수 있는 효과는 이상에서 언급한 효과들로 제한되지 않으며, 언급하지 않은 또 다른 효과들은 아래의 기재로부터 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 명확하게 이해될 수 있을 것이다.
본 개시에서 인용되는 도면을 보다 충분히 이해하기 위하여 각 도면의 간단한 설명이 제공된다.
도 1은 본 개시의 예시적 실시예에 따른 스마트팩토리 및 스마트팩토리의 보안위협 데이터 제공 장치를 포함하는 시스템의 개념도이다.
도 2는 도 1에 도시된 스마트팩토리의 아키텍처 구조를 나타낸 예시도이다.
도 3은 도 1에 도시된 보안위협 데이터 제공 장치에 포함된 제어 구성의 일례를 나타내는 블록도이다.
도 4는 도 3에 도시된 보안 취약점 진단 모듈에 의해 제공되는 취약점 심각도의 예를 나타낸 테이블이다.
도 5는 도 2에 도시된 스마트팩토리의 아키텍처 구조에 기초하여 구현된 공격 그래프를 나타내는 예시도이다.
도 6은 본 개시의 실시 예에 따라 도출된 취약점 변수, 영향 변수, 및 공격 그래프 변수를 기초로 산출되는 보안위협 위험도별 색상 분포를 나타낸 예시도이다.
도 7은 본 개시의 실시 예에 따라 산출된 보안위협 위험도를 공격 그래프 상에 시각화하여 제공하는 예를 나타낸 도면이다.
도 8은 본 개시의 실시 예에 따라 산출된 보안위협 위험도를 스마트팩토리의 아키텍처 구조 상에 히트맵 기반으로 시각화하여 제공하는 예를 나타낸 도면이다.
도 9는 본 개시의 실시 예에 따른 스마트팩토리에 대한 공격 그래프 기반의 보안위협 데이터 제공 방법을 설명하기 위한 플로우차트이다.
도 1은 본 개시의 예시적 실시예에 따른 스마트팩토리 및 스마트팩토리의 보안위협 데이터 제공 장치를 포함하는 시스템의 개념도이다.
도 2는 도 1에 도시된 스마트팩토리의 아키텍처 구조를 나타낸 예시도이다.
도 3은 도 1에 도시된 보안위협 데이터 제공 장치에 포함된 제어 구성의 일례를 나타내는 블록도이다.
도 4는 도 3에 도시된 보안 취약점 진단 모듈에 의해 제공되는 취약점 심각도의 예를 나타낸 테이블이다.
도 5는 도 2에 도시된 스마트팩토리의 아키텍처 구조에 기초하여 구현된 공격 그래프를 나타내는 예시도이다.
도 6은 본 개시의 실시 예에 따라 도출된 취약점 변수, 영향 변수, 및 공격 그래프 변수를 기초로 산출되는 보안위협 위험도별 색상 분포를 나타낸 예시도이다.
도 7은 본 개시의 실시 예에 따라 산출된 보안위협 위험도를 공격 그래프 상에 시각화하여 제공하는 예를 나타낸 도면이다.
도 8은 본 개시의 실시 예에 따라 산출된 보안위협 위험도를 스마트팩토리의 아키텍처 구조 상에 히트맵 기반으로 시각화하여 제공하는 예를 나타낸 도면이다.
도 9는 본 개시의 실시 예에 따른 스마트팩토리에 대한 공격 그래프 기반의 보안위협 데이터 제공 방법을 설명하기 위한 플로우차트이다.
본 개시의 기술적 사상에 따른 예시적인 실시예들은 당해 기술 분야에서 통상의 지식을 가진 자에게 본 개시의 기술적 사상을 더욱 완전하게 설명하기 위하여 제공되는 것으로, 아래의 실시예들은 여러 가지 다른 형태로 변형될 수 있으며, 본 개시의 기술적 사상의 범위가 아래의 실시예들로 한정되는 것은 아니다. 오히려, 이들 실시예들은 본 개시를 더욱 충실하고 완전하게 하며 당업자에게 본 발명의 기술적 사상을 완전하게 전달하기 위하여 제공되는 것이다.
본 개시에서 제1, 제2 등의 용어가 다양한 부재, 영역, 층들, 부위 및/또는 구성 요소들을 설명하기 위하여 사용되지만, 이들 부재, 부품, 영역, 층들, 부위 및/또는 구성 요소들은 이들 용어에 의해 한정되어서는 안 됨은 자명하다. 이들 용어는 특정 순서나 상하, 또는 우열을 의미하지 않으며, 하나의 부재, 영역, 부위, 또는 구성 요소를 다른 부재, 영역, 부위 또는 구성 요소와 구별하기 위하여만 사용된다. 따라서, 이하 상술할 제1 부재, 영역, 부위 또는 구성 요소는 본 개시의 기술적 사상의 가르침으로부터 벗어나지 않고서도 제2 부재, 영역, 부위 또는 구성 요소를 지칭할 수 있다. 예를 들면, 본 개시의 권리 범위로부터 이탈되지 않은 채 제1 구성 요소는 제2 구성 요소로 명명될 수 있고, 유사하게 제2 구성 요소도 제1 구성 요소로 명명될 수 있다.
달리 정의되지 않는 한, 여기에 사용되는 모든 용어들은 기술 용어와 과학 용어를 포함하여 본 개시의 개념이 속하는 기술 분야에서 통상의 지식을 가진 자가 공통적으로 이해하고 있는 바와 동일한 의미를 지닌다. 또한, 통상적으로 사용되는, 사전에 정의된 바와 같은 용어들은 관련되는 기술의 맥락에서 이들이 의미하는 바와 일관되는 의미를 갖는 것으로 해석되어야 하며, 여기에 명시적으로 정의하지 않는 한 과도하게 형식적인 의미로 해석되어서는 아니 될 것이다.
어떤 실시예가 달리 구현 가능한 경우에 특정한 공정 순서는 설명되는 순서와 다르게 수행될 수도 있다. 예를 들면, 연속하여 설명되는 두 공정이 실질적으로 동시에 수행될 수도 있고, 설명되는 순서와 반대의 순서로 수행될 수도 있다.
첨부한 도면에 있어서, 예를 들면, 제조 기술 및/또는 공차에 따라, 도시된 형상의 변형들이 예상될 수 있다. 따라서, 본 개시의 기술적 사상에 의한 실시예들은 본 개시에 도시된 영역의 특정 형상에 제한된 것으로 해석되어서는 아니 되며, 예를 들면, 제조 과정에서 초래되는 형상의 변화를 포함하여야 한다. 도면 상의 동일한 구성요소에 대해서는 동일한 참조부호를 사용하고, 이들에 대한 중복된 설명은 생략한다.
여기에서 사용된 '및/또는' 용어는 언급된 부재들의 각각 및 하나 이상의 모든 조합을 포함한다.
이하에서는 첨부한 도면들을 참조하여 본 개시의 기술적 사상에 의한 실시예들에 대해 상세히 설명한다.
도 1은 본 개시의 예시적 실시예에 따른 스마트팩토리 및 스마트팩토리의 보안위협 데이터 제공 장치를 포함하는 시스템의 개념도이다. 도 2는 도 1에 도시된 스마트팩토리의 아키텍처 구조를 나타낸 예시도이다.
도 1을 참조하면, 스마트팩토리(100)는 설계, 개발, 제조, 유통, 물류 등의 생산과정에 디지털 자동화 솔루션이 결합된 정보통신기술(ICT)을 적용하여 생산성, 품질, 고객만족도를 향상시키는 지능형 생산공장을 의미한다. 스마트팩토리(100)는 기존 제조기술에 센서, 클라우드, 빅데이터, 정밀 제어, 모바일 등 다양한 ICT 기술과의 융합을 통해 구축될 수 있으며, 자동화 및 지능화된 인프라를 제공함으로써 생산성 향상, 에너지 절감, 안전한 생산환경 구현 등이 가능한 장점이 있다.
도 2를 참조하면, 스마트팩토리(100)는 5계층 구조의 아키텍처로 구성될 수 있으며, 이는 국내외 스마트팩토리 산업제어시스템 표준(RAMI 4.0, ISA/IEC 62443, NIST 800-82, Purdue 모델 등)을 통해 구성될 수 있다. 스마트팩토리(100)의 5계층 중 0계층 내지 3계층은 운영기술(Operation Technology (OT)) 영역에 해당하고, 4계층 내지 5계층은 정보기술(Information Technology (IT)) 영역에 해당한다.
0계층은 각종 센서 및 생산장비(액츄에이터, 생산 로봇 등)가 작동하는 현장 장치(field device) 영역에 해당한다.
1계층은 공정 제어(basic control) 영역으로서, 현장 장치의 상태정보를 수집하고 제어명령을 전달하는 생산 제어 장치들로 구성될 수 있다. 상기 생산 제어 장치들은 PLC(programmable logic controller), DCS(distributed control system) 등의 컨트롤러를 포함할 수 있다.
2계층은 공정 통제(supervisory control) 영역으로서, 0계층의 현장 장치들 및 1계층의 제어 장치들의 모니터링 및 통제를 위한 생산 운영 장치들로 구성될 수 있다. 상기 생산 운영 장치들은 SCADA(supervisory control and data acquisition), HMI(human machine interface), OWS(operator workstation) 등을 포함할 수 있다.
3계층은 하위 계층의 장치들로부터 생산정보를 수집 및 분석하여 상위 계층으로 전달하고, 상위 계층으로부터의 생산 명령을 하위 계층으로 전달하는 생산 관리 및 지원 시스템들, 예컨대 MES(manufacturing execution system), Historian 등을 포함하는 생산 관리 영역에 해당할 수 있다.
4계층 및 5계층은 일반적인 IT와 유사한 환경으로서 업무PC를 포함하는 업무 영역, 웹 서버나 메일 서버 등을 포함하는 공개 서버 영역, ERP(enterprise resource planning), CRM(customer relationship management), 그룹웨어 등을 포함하는 서버 영역을 포함할 수 있다.
한편, 이러한 스마트팩토리(100)는 ICT 기술의 도입 및 IT 영역과 OT 영역의 연결로 인한 보안위협이 존재할 수 있다. 예컨대, 공격자는 외부 인터넷으로부터 연결된 IT 영역에 침투하여, IT 영역과 OT 영역의 접점을 통해 OT 영역에 접근할 수 있다. 공격자는 생산 운영 장치의 권한을 탈취한 후 생산 제어 장치로 변조된 명령을 전달할 수 있고, 상기 변조된 명령으로 인해 생산 장치의 오작동이 발생함에 따라 공장에 피해가 발생할 수 있다.
공격자가 사용하는 경로나 방법이 되는 공격 벡터는, 물리적으로 외부에 노출된 공장 장치의 특성을 이용한 물리적 접근을 통한 공격, 공정 자동화를 위해 장치 간 연계 형태를 이루는 산업제어시스템을 통한 공격, 가용성을 중점으로 보안 취약점을 다수 보유한 공정 제어 네트워크를 통한 공격, OT 영역과 연결된 IT 영역을 통한 공격 등이 존재한다.
이러한 보안 위협은 스마트팩토리(100)의 계층별 및 각 계층의 장치별로 존재할 수 있다. 예를 들어, 0계층의 보안위협은 물리적 장치 훼손, 공정 데이터 유출, 오작동 및 중단이 존재하고, 1계층의 보안 위협은 공정 데이터 조작, 공정 네트워크 장애가 존재할 수 있다. 2계층의 보안 위협은 비인가 접속, 공정의 임의 조작, 악성코드 감염, 공정 데이터 및 레시피 유출 등이 존재하고, 3계층은 서비스 중단, 랜섬웨어 감염, 공정 데이터 및 레시피 유출 등이 존재할 수 있다. 4계층 및 5계층은 일반적인 IT 환경의 보안 위협인 랜섬웨어 감염, 서비스 장애 및 중단, 중요 정보 유출 등이 존재할 수 있다. 특히, OT 영역은 IT 영역에 비해 보안 취약점에 대한 대비가 충분하지 않은 바, 공격의 난이도가 낮고 공격으로 인해 발생하는 피해가 매우 클 수 있다.
다시 도 1을 설명한다.
상술한 바와 같은 스마트팩토리(100)의 보안위협을 대응하기 위해, 보안위협 데이터 제공 장치(200)는 스마트팩토리(100) 내 장치들의 모니터링/분석을 통해 보안위협 데이터를 생성하고, 보안위협 데이터에 따른 위험도를 시각화하여 제공할 수 있다. 보안위협 데이터 제공 장치(200)는 스마트팩토리(100)의 각 계층에 직접 연결되거나, 일부 계층에 연결되어 각 계층에 포함된 장치들의 모니터링/분석을 수행할 수 있다. 예컨대 보안위협 데이터 제공 장치(200)는 SIEM(security information and event management) 장치(또는 SIEM 소프트웨어)를 포함할 수 있으나, 이에 한정되는 것은 아니다.
SIEM 장치는 스마트팩토리(100) 내의 네트워크 하드웨어나 애플리케이션, 보안 장치 등에 의해 생성되는 로그 및 이벤트 데이터를 수집하고, 수집한 데이터를 분석하여 보안 위협을 탐지할 수 있다. SIEM은 SIM(security information management)와 SEM(security event management)를 결합한 보안 솔루션에 해당한다. 구체적으로, SIEM 장치는 스마트팩토리(100) 내의 네트워크 하드웨어나 애플리케이션, 보안 장치 등에 의해 생성되는 보안 경보에 대해 실시간 모니터링을 진행하고, 데이터의 수집 및 분석, 이벤트의 상관관계 도출, 및/또는 로그 관리 등을 통해 탐지되는 보안위협을 나타내는 보안위협 데이터를 생성할 수 있다.
특히, 본 개시의 실시 예에 따른 보안위협 데이터 제공 장치(200)는 스마트팩토리(100)에 포함된 장치들에 대한 보안위협 데이터에 기초하여 보안위협 위험도를 도출하고, 도출된 보안위협 위험도를 시각화하여 제공할 수 있다. 이에 따라, 관리자는 스마트팩토리(100)에 포함된 장치들의 보안 공격이나 보안 사고에 대해 신속히 파악하여 대응할 수 있다.
또한, 본 개시의 실시 예에 따른 보안위협 데이터 제공 장치(200)는 스마트팩토리에 대한 공격 그래프를 기초로, 보안 공격의 공격 경로를 반영하여 장치들의 보안위협 위험도를 제공함으로써, 관리자로 하여금 공격 시 영향을 받을 수 있는 장치들을 용이하게 식별하고, 공격에 대한 빠르고 정확한 판단 및 대응을 가능하게 한다.
도 3은 도 1에 도시된 보안위협 데이터 제공 장치에 포함된 제어 구성의 일례를 나타내는 블록도이다. 도 4는 도 3에 도시된 보안 취약점 진단 모듈에 의해 제공되는 취약점 심각도의 예를 나타낸 테이블이다. 도 5는 도 2에 도시된 스마트팩토리의 아키텍처 구조에 기초하여 구현된 공격 그래프를 나타내는 예시도이다. 도 6은 본 개시의 실시 예에 따라 도출된 취약점 변수, 영향 변수, 및 공격 그래프 변수를 기초로 산출되는 보안위협 위험도별 색상 분포를 나타낸 예시도이다. 도 7은 본 개시의 실시 예에 따라 산출된 보안위협 위험도를 공격 그래프 상에 시각화하여 제공하는 예를 나타낸 도면이다. 도 8은 본 개시의 실시 예에 따라 산출된 보안위협 위험도를 스마트팩토리의 아키텍처 구조 상에 히트맵 기반으로 시각화하여 제공하는 예를 나타낸 도면이다.
도 3을 참조하면, 보안위협 데이터 제공 장치(200)는 통신부(210), 입력부(220), 출력부(230), 프로세서(240), 및 메모리(250)를 포함할 수 있다. 도 3에 도시된 제어 구성들은 설명의 편의를 위한 일례로서, 보안위협 데이터 제공 장치(200)는 도 3에 도시된 구성들보다 많거나 적은 구성들을 포함할 수도 있다.
통신부(210)는 보안위협 데이터 제공 장치(200)를 스마트팩토리(100)와 연결하여, 스마트팩토리(100)에 포함된 장치들의 로그나 이벤트 데이터 등을 수신하기 위한 적어도 하나의 통신 모듈을 포함할 수 있다. 상기 이벤트 데이터는 보안 이벤트에 대한 데이터일 수 있으나 이에 한정되는 것은 아니다.
실시 예에 따라, 통신부(210)는 수신된 로그나 이벤트 데이터의 분석 결과에 따라 생성되는 보안위협 데이터를 보안 관리자 등의 단말기나 서버로 제공하거나, 보안위협 데이터를 시각화한 시각화 모델을 상기 보안 관리자 등의 단말기나 서버로 제공할 수 있다.
입력부(220)는, 보안위협 데이터 제공 장치(200)의 관리자 등으로부터의 명령이나 요청을 수신하기 위한 적어도 하나의 입력 수단을 포함할 수 있다.
출력부(230)는, 스마트팩토리(100) 내 장치들의 보안위협 데이터에 기초한 각종 정보, 또는 보안위협 데이터 제공 장치(200)의 동작과 관련된 각종 정보 등을 시각적 형태 등으로 출력하기 위한 적어도 하나의 출력 수단을 포함할 수 있다. 실시 예에 따라, 출력부(230)는 상기 보안위협 데이터를 보안위협 위험도 에 따라 시각화한 시각화 모델을 출력할 수 있다.
프로세서(240)는 보안위협 데이터 제공 장치(200)의 전반적인 동작을 제어할 수 있다. 이러한 프로세서(240)는 적어도 하나의 CPU, GPU, AP, FPGA, ASIC 등의 하드웨어를 포함할 수 있다. 실시 예에 따라, 프로세서(240)는 보안 취약점 진단 모듈(242), 보안위협 데이터 생성 모듈(243), 공격 그래프 분석 모듈(244), 위험도 산출 모듈(246), 및 시각화 모듈(248)을 포함할 수 있고, 각 모듈은 메모리(250)에 저장된 소프트웨어들이 로드되어 프로세서(240)에 의해 실행됨에 따라 구성될 수 있다.
보안 취약점 진단 모듈(242)은, 스마트팩토리(100)에 포함된 장치들에 대한 보안 취약점의 특성 및 심각도를 진단할 수 있다. 예컨대, 보안 취약점 진단 모듈(242)은 CVSS(common vulnerability scoring system)를 포함할 수 있다.
CVSS는 MITRE(MIT Research and engineering)의 보안 취약점 관리체계인 CVE(common vulnerability and exposure)의 요소 중 하나로, 보안 취약점이 동작하는 환경, 절차, 및 파급력 등을 통해 취약점을 진단하고 평가하는 기준에 해당한다. CVSS는 시간과 환경에 따라 분석한 취약점의 정도를 점수로 나타내어 취약점의 심각도를 제공한다.
CVSS는 기본적으로 3개의 metric으로 구성되고, 각 metric의 세부 내용은 다음과 같다.
1) Base metric : 시간과 사용자들에 의해 변하지 않는 본질적이고 근본적인 취약점을 나타내며, 악용가능성, 범위, 영향의 3가지 하위 요소로 구성된다.
i) 악용가능성 메트릭은 취약점을 악용하는 데 필요한 기술적 수단과 악용의 용이성을 나타내며, 공격 벡터, 공격 복잡성, 필요한 권한, 사용자 상호작용 등 4가지 하위 구성요소로 이루어진다. '공격 벡터'는 취약점 악용에 필요한 접근의 수준을 나타내며, 원격으로 악용될 수 있는 취약점에 가장 높은 점수가 부여되고, 물리적으로 접근해야만 악용 가능한 취약점에 가장 낮은 점수가 부여될 수 있다. '공격 복잡성'은 공격자가 성공적으로 취약점을 악용할 수 있는 통제의 범위를 벗어난 요인들에 따라 결정된다. 공격자가 추가적인 노력을 기울여야 악용이 가능한 취약점에 높은 점수가, 그렇지 않은 취약점에는 낮은 점수가 부여된다. '필요한 권한'은 공격자가 취약점을 악용하는 데 필요한 권한의 수준에 따라 결정될 수 있다. 공격자가 관리자 권한을 구해야 악용할 수 있는 취약점에 높은 점수가, 그 반대로 권한이 필요없는 취약점에는 최저 점수가 부여될 수 있다. '사용자 상호작용'은 공격자가 다른 사용자의 도움을 받아야 하는지 여부를 나타내며, 외부 도움 없이 작업을 완료할 수 있을수록 점수가 높아질 수 있다.
ii) 범위 메트릭은 시스템(스마트팩토리(100)) 내의 여러 장치들 간에 영향을 주고받으면서 취약점이 발생할 가능성을 의미할 수 있다. 하나의 취약점에 대한 악용이 성공하면서 시스템의 다른 부분에 접근할 수 있는 경우 점수가 높아질 수 있다.
iii) 영향 메트릭은 공격의 결과를 가리키며, 기밀성(공격자가 악용 후 접근할 수 있는 데이터의 양), 무결성(공격자가 시스템의 데이터를 조작할 수 있는 범위), 및 가용성(공격 후 승인되는 사용자에 대한 시스템의 가용성)의 하위 요소들을 포함할 수 있다.
2) Temporal metric : 사용자들의 환경에 의한 것이 아닌 시간의 흐름에 따라 변화하는 취약점의 특성을 나타내며, 악용 코드의 성숙도, 대응 수준, 보고 신뢰도를 포함할 수 있다.
3) Environmental metric : 사용자의 환경을 고려한 특성(IT 자산의 중요성, 조직의 취약점 관리를 위한 완화 노력 등)을 나타내며, Environmental metric에 따라 기초 CVSS 점수가 조정될 수 있다.
도 4를 함께 참조하면, 보안 취약점 진단 모듈(242)은 스마트팩토리(100)에 포함된 장치들 및 소프트웨어들에 대한 보안 취약점의 정도를 진단하고, 진단 결과에 해당하는 취약점 심각도를 점수(CVSS 점수 등)로 나타낼 수 있다. 예컨대 상기 취약점 심각도는 0 내지 10 사이의 점수를 가질 수 있고, 점수 구간에 따라 복수의 취약점 등급(예컨대 CVSS 3.1 기준 5개의 등급)으로 구분될 수 있다. 점수가 높을수록 취약점 심각도가 높을 수 있다.
프로세서(240)는, 스마트팩토리(100)의 장치들 각각의 취약점 심각도에 기초하여, 스마트팩토리(100)(또는 상기 장치들 각각)에 대한 공격 가능성 변수(Likelihood (L))를 설정할 수 있다. 예컨대 프로세서(240)는 상술한 취약점 심각도 및 취약점 등급에 기초하여 상기 공격 가능성 변수를 설정할 수 있다. 구체적으로, 프로세서(240)는 취약점 등급이 'None'인 경우 상기 공격 가능성 변수를 '1'로 설정하고, 'Critical'로 갈수록 상기 공격 가능성 변수를 1씩 증가시킬 수 있다. 설정된 공격 가능성 변수는 후술할 위험도 산출 모듈(246)의 보안위협 위험도 산출 과정에서 활용될 수 있다.
실시 예에 따라, 보안위협 데이터 제공 장치(200)는 통신부(210)를 통해 연결된 별도의 장치로부터 상기 취약점 심각도에 대한 정보를 수신하고, 수신된 취약점 심각도에 기초하여 공격 가능성 변수를 설정할 수도 있다.
다시 도 3을 설명한다.
보안위협 데이터 생성 모듈(243)은, 스마트팩토리(100) 내의 네트워크 하드웨어나 애플리케이션, 보안 장치 등에 의해 생성되는 로그 및 이벤트 데이터를 수집하고, 수집한 데이터를 분석하여 스마트팩토리(100) 내의 장치들 각각에 대한 보안 위협을 나타내는 보안위협 데이터를 생성할 수 있다. 상술한 바와 같이 보안위협 데이터 생성 모듈(243)은 SIEM 솔루션에 대응할 수 있으나, 이에 한정되는 것은 아니다.
프로세서(240)는 생성된 보안위협 데이터에 기초하여, 상기 보안위협 데이터에 대응하는 공격에 의해 시스템이 영향을 받은 정도를 나타내는 영향 변수(Impact (I))를 도출할 수 있다. 예컨대 영향 변수(Impact)는 복수의 레벨들로 구성될 수 있으며, 아래의 예시는 영향 변수가 5개의 레벨로 구성된 형태를 나타내며, 영향 변수는 각 레벨에 따라 1 내지 5 중 어느 하나의 값을 갖게 된다.
1) Level 1: 최소한의 시스템이 영향을 받거나 소프트웨어가 오작동하여 최소한의 영향을 미친 경우를 의미하며, 간단한 사고 대응 해결책이 존재하는 경우이다. 사용자 지정 콘텐츠 오류, 문서 오류 등이 이에 해당된다.
2) Level 2: 약간의 시스템이 영향을 받거나 소프트웨어 운영에 영향을 주지 않는 기능만 사용할 수 없는 상태를 의미하며, 사고 대응 해결책이 존재하는 경우이다. 러닝타임 지연, 애플리케이션 작동 오류 등이 이에 해당된다.
3) Level 3: 상당수의 시스템과 소프트웨어의 중요 기능들이 영향을 받거나 성능이 크게 저하되는 경우, 정상적인 시스템 운영에 영향을 미치는 경우를 의미하며, 사고 대응 해결책이 존재하는 경우이다. 애플리케이션 로드 실패, 배포 실패, 사용자에게 영향을 미치는 성능 저하 등이 이에 해당된다.
4) Level 4: 생산, 시스템 작동 중단 상황이 발생하는 경우, 사고 대응 해결책이 존재하지 않아 가동을 멈추고 대응 해결책을 연구해야 하는 경우를 의미한다. 모든 이벤트 상관관계 분석 기능 강제종료, 업그레이드 또는 패치 실패, 사용자 인터페이스 사용 불가능 등이 이에 해당된다.
5) Level 5: Level 4에 더하여, 시스템의 영향이 다른 스마트 팩토리들이나 다른 환경으로 전파되는 경우를 의미한다.
한편, 상기 영향 변수는, 스마트팩토리(100)의 장치들 각각에 대해 누적 발생한 다수의 보안위협 데이터와, 상기 보안위협 데이터 각각에 대응하는 공격에 의해 시스템(스마트팩토리(100))이 영향을 받은 정도를 소정의 레벨들로 구분하여 도출한 데이터(영향 변수)를 저장한 데이터베이스(미도시)를 통해 획득될 수도 있다. 즉, 프로세서(240)는 상기 장치들 각각에 대해 생성된 보안위협 데이터를, 상기 데이터베이스에 저장된 다수의 보안위협 데이터 중 동일하거나 유사도가 가장 높은 보안위협 데이터를 식별하고, 식별된 보안위협 데이터의 영향 변수를 상기 생성된 보안위협 데이터의 영향 변수로서 설정할 수 있다.
공격 그래프 분석 모듈(244)은, 스마트팩토리(100)의 계층 및 장치들의 연결 구조, 및 스마트팩토리(100) 또는 다른 스마트팩토리에 대해 발생한 보안 공격들에 기초하여, 공격 그래프(attack graph)를 도출할 수 있다. 공격 그래프는 스마트팩토리(100)에 대한 보안 공격이 어떠한 루트를 따라 목적지 장치에 도달할 수 있는지에 대한 공격 경로(attack path)를 보여주기 위한 기법이다. 도 5를 함께 참조하면, 공격 그래프(500)는 스마트팩토리(100)에 포함되는 모든 계층 및 장치들의 연결 관계를 노드 형태로 표현함으로써, 스마트팩토리(100)의 공격에 대한 모든 경로들을 나타낼 수 있고, 공격의 타겟을 식별하기 위한 적절한 분석 방법에 해당할 수 있다. 공격 그래프 분석 모듈(244)은, 상기 공격 그래프 및 보안위협 데이터 생성 모듈(243)에 의해 제공되는 보안위협 데이터를 기초로, 스마트팩토리(100) 내 각 장치의 중요도, 영향을 받는 장치의 수, 연결된 장치의 수, 및 계층의 수 등의 정보를 분석할 수 있다. 구체적으로, 공격 그래프 분석 모듈(244)은 상기 보안위협 데이터에 대응하는 보안 공격에 대해, 상기 공격 그래프로부터 스마트팩토리(100) 내 각 장치의 중요도, 영향을 받는 장치의 수, 연결된 장치의 수, 및 계층의 수 등의 정보를 분석할 수 있다. 프로세서(240)는 분석된 정보를 기반으로 공격 그래프 변수(Attack Graph (AG))를 도출할 수 있다. 예컨대 공격 그래프 변수는 복수의 레벨들로 구성될 수 있으며, 아래의 예시는 공격 그래프 변수가 4개의 레벨로 구성된 형태를 나타내며, 공격 그래프 변수는 각 레벨에 따라 1 내지 4 중 어느 하나의 값을 갖게 된다.
1) Level 1: 해당 보안 공격의 공격 경로 상에 PLC, SCADA 등의 중요 장치가 포함되지 않으며, 단일 계층의 적은 수의 장치들에만 공격 영향이 발생하는 경우를 의미한다.
2) Level 2: 해당 보안 공격의 공격 경로 상에 PLC, SCADA 등의 중요 장치가 포함되지 않으며, 다수 계층의 일부 장치들에 공격 영향이 발생하는 경우를 의미한다.
3) Level 3: 해당 보안 공격의 공격 경로 상에 PLC, SCADA 등의 중요 장치가 포함되며, 다수 계층의 장치들에 공격 영향이 발생하는 경우를 의미한다.
4) Level 4: 해당 보안 공격의 공격 경로 상에 PLC, SCADA 등의 중요 장치가 포함되며, 전 계층의 모든 연결된 장치들에 공격 영향이 발생하는 경우를 의미한다.
위험도 산출 모듈(246)은, 상술한 공격 가능성 변수(L), 영향 변수(I), 및 공격 그래프 변수(AG)에 기초하여, 스마트팩토리(100)에 대한 보안위협 위험도(Risk(R))를 산출할 수 있다. 예컨대 보안위협 위험도(R)는 공격 가능성 변수(L), 영향 변수(I), 및 공격 그래프 변수(AG)의 곱에 해당할 수 있다. 보안위협 위험도(R)는 스마트팩토리(100) 자체에 대해 산출된 것일 수 있으나, 실시 예에 따라서는 스마트팩토리(100) 내의 장치들 각각에 대해 산출될 수도 있다. 이 경우, 공격 가능성 변수(L), 영향 변수(I), 및 공격 그래프 변수(AG) 중 적어도 일부는 스마트팩토리(100)의 장치별로 다른 값을 가질 수 있다.
시각화 모듈(248)은, 위험도 산출 모듈(246)에 의해 산출된 보안위협 위험도(R)를 시각화한 시각화 모델을 생성할 수 있다. 예컨대, 시각화 모듈(248)은 스마트팩토리(100)의 공격 그래프 상의 각 노드에 대해 보안위협 위험도를 시각화하여 제공할 수 있다. 실시 예에 따라, 시각화 모듈(248)은 히트맵(heatmap) 시각화 기법을 적용하여 스마트팩토리(100)의 장치별 보안위협 위험도를 시각화할 수도 있다.
도 6 내지 도 7을 참조하면, 시각화 모듈(248)은 보안위협 위험도(R)에 대응하는 색상 분포 정보를 기초로, 공격 그래프 상의 각 노드에 대한 보안위협 위험도를 시각화한 시각화 모델(700)을 제공할 수 있다. 제공된 시각화 모델(700)은 보안위협 데이터로부터 판단되는 예측 또는 발생한 보안 공격에 대한 위험도의 색상을, 보안 공격의 공격 경로에 존재하는 장치들(노드들) 각각에 대해 표현함으로써, 관리자로 하여금 보안 공격의 위험도, 공격 경로, 및 관련된 장치들에 대해 용이하게 파악할 수 있도록 한다.
실시 예에 따라, 도 8을 참조하면 시각화 모듈(248)은 보안위협 위험도(R)에 대응하는 색상 분포 정보를 기초로, 히트맵 시각화 기법을 통해 스마트팩토리(100)의 장치별 보안위협 위험도를 나타내는 시각화 모델(800)을 생성할 수 있다. 상기 히트맵 시각화 기법이 적용된 시각화 모델(800)은 보안위협 위험도에 따라 색상, 채도, 및/또는 명도가 변화하도록 형성될 수 있다. 시각화 모듈(248)은 산출된 보안위협 위험도에 기초하여, 상기 장치들 각각에 대한 히트맵 색상을 설정하고, 설정된 히트맵 색상을 반영하여 시각화 모델(800)을 생성할 수 있다.
프로세서(240)는 생성된 시각화 모델(700, 800)을 출력부(230)를 통해 출력하거나, 통신부(210)를 통해 다른 단말기나 서버 등으로 전송할 수 있다.
도 7에 도시된 시각화 모델(700)을 참조하면, 시각화 모듈(248)은 스마트팩토리(100)의 공격 그래프 상에, 장치들의 보안위협 위험도를 색상으로 표시할 수 있다. 관리자는 표시된 색상에 기초하여, 보안 공격이 2계층의 OWS (operator workstation softwares), 보안 스위치, 1계층의 산업용 방화벽 장치, PLC (programmable logic controller), 0계층의 산업용 보안 스위치, 로봇, 스위치기어, 및 제어 장치에 영향을 미치며, 보안위협 위험도가 높음을 한눈에 인식할 수 있다.
도 8에 도시된 시각화 모델(800)을 참조하면, 시각화 모듈(248)은 도 2에서 상술한 스마트팩토리(100)의 아키텍처 구조 상에, 전 계층에 포함된 장치들의 보안위협 위험도를 히트맵(802, 804, 806, 808, 810)으로 표시할 수 있다. 관리자는 표시된 히트맵에 대응하는 장치들의 보안위협 위험도를 색상에 따라 인식하여, 보안위협의 신속한 대응을 수행할 수 있다.
메모리(250)는, 보안위협 데이터 제공 장치(200)의 동작과 관련된 각종 명령어나 데이터를 저장할 수 있다. 예컨대, 메모리(250)는 스마트팩토리(100)로부터 수신한 보안위협 데이터, 및 상기 보안위협 데이터와 공격 그래프에 기초하여 스마트팩토리(100)의 보안위협 위험도를 시각화한 시각화 모델을 생성하기 위한 알고리즘이나 프로그램 데이터 등을 저장할 수 있다. 이러한 메모리(250)는 적어도 하나의 휘발성/비휘발성 메모리를 포함할 수 있다.
도 9는 본 개시의 실시 예에 따른 스마트팩토리에 대한 공격 그래프 기반의 보안위협 데이터 제공 방법을 설명하기 위한 플로우차트이다.
도 9를 참조하면, 보안위협 데이터 제공 장치(200)는 스마트팩토리(100)의 장치들 각각의 취약점 심각도(CVSS 점수 등)에 기초한 공격 가능성 변수(L)를 설정할 수 있다(S900).
보안위협 데이터 제공 장치(200)는 스마트팩토리(100)의 장치들 및/또는 애플리케이션들로부터 발생하는 로그 및 이벤트 데이터 등에 기초하여, 상기 장치들 각각에 대한 보안위협 데이터를 생성할 수 있다(S910). 보안위협 데이터 제공 장치(200)는 생성된 보안위협 데이터에 기초하여 스마트팩토리(100)에 대한 영향 변수(I)를 설정할 수 있다(S920).
보안위협 데이터 제공 장치(200)는, 스마트팩토리(100)에 대해 도출된 공격 그래프 및 상기 생성된 보안위협 데이터에 기초하여, 스마트팩토리(100)에 대한 공격 그래프 변수(AG)를 설정할 수 있다(S930).
보안위협 데이터 제공 장치(200)는 설정된 공격 가능성 변수, 영향 변수, 및 공격 그래프 변수에 기초하여, 스마트팩토리(100)에 대한 보안위협 위험도(R)를 산출할 수 있다(S940). 보안위협 데이터 제공 장치(200)는 산출된 보안위협 위험도를 시각화하여 제공할 수 있다(S950).
상기한 실시예들의 설명은 본 개시의 더욱 철저한 이해를 위하여 도면을 참조로 예를 든 것들에 불과하므로, 본 개시의 기술적 사상을 한정하는 의미로 해석되어서는 안될 것이다.
또한, 본 개시가 속하는 기술 분야에서 통상의 지식을 가진 자에게 있어 본 개시의 기본적 원리를 벗어나지 않는 범위 내에서 다양한 변화와 변경이 가능함은 명백하다 할 것이다.
Claims (17)
- 스마트팩토리의 공격 그래프 기반 보안위협 데이터 제공 방법에 있어서,
상기 스마트팩토리에 포함된 장치들의 보안 취약점 심각도에 기초한 공격 가능성 변수를 설정하는 단계;
상기 스마트팩토리에 포함된 장치들로부터 발생하는 데이터에 기초하여, 상기 스마트팩토리에 대한 보안위협을 나타내는 보안위협 데이터를 생성하는 단계;
생성된 보안위협 데이터에 기초하여, 상기 스마트팩토리에 대한 영향 변수를 설정하는 단계;
상기 스마트팩토리에 대해 도출된 공격 그래프, 및 상기 생성된 보안위협 데이터에 기초한 공격 그래프 변수를 설정하는 단계;
설정된 공격 가능성 변수, 영향 변수, 및 공격 그래프 변수에 기초하여, 상기 스마트팩토리에 대한 보안위협 위험도를 산출하는 단계; 및
산출된 보안위협 위험도를 시각화한 시각화 모델을 제공하는 단계를 포함하는,
방법.
- 제1항에 있어서,
상기 공격 그래프는,
상기 스마트팩토리에 포함된 장치들에 대응하는 노드들, 및 상기 노드들의 연결 구조를 나타내는,
방법.
- 제1항에 있어서,
상기 공격 그래프 변수를 설정하는 단계는,
상기 보안위협 데이터에 대응하는 보안 공격 및 상기 공격 그래프에 기초하여, 상기 보안 공격에 영향을 받는 장치들 각각의 중요도, 영향을 받는 장치의 수, 연결된 장치의 수, 및 계층의 수 중 적어도 하나의 정보를 분석하는 단계; 및
분석 결과에 기초하여 상기 공격 그래프 변수를 설정하는 단계를 포함하는,
방법.
- 제1항에 있어서,
상기 공격 가능성 변수를 설정하는 단계는,
상기 스마트팩토리에 포함된 장치들 및 소프트웨어들에 대한 보안 취약점의 정도를 분석하는 단계;
분석 결과에 대응하는 취약점 심각도를 판단하는 단계; 및
판단된 취약점 심각도에 기초하여, 상기 스마트팩토리에 대한 공격 가능성 변수를 설정하는 단계를 포함하는,
방법.
- 제4항에 있어서,
상기 취약점 심각도는 CVSS(common vulnerability scoring system)에 의해 산출되는 CVSS 점수에 해당하고,
상기 공격 가능성 변수는, CVSS 점수의 구간별로 구분되는 복수의 취약점 등급 중, 상기 산출된 CVSS 점수에 대응하는 취약점 등급의 값으로 설정되는,
방법.
- 제1항에 있어서,
상기 보안위협 데이터를 생성하는 단계는,
상기 스마트팩토리로부터 발생하는 로그 및 보안 이벤트 중 적어도 하나를 포함하는 상기 데이터를 수신하는 단계;
수신된 데이터를 SIEM(security information and event management) 솔루션을 통해 분석하는 단계; 및
분석 결과에 기초하여 상기 스마트팩토리에 대한 보안위협을 나타내는 보안위협 데이터를 생성하는 단계를 포함하는,
방법.
- 제1항에 있어서,
상기 영향 변수를 설정하는 단계는,
스마트팩토리의 장치들에 대해 누적 발생한 다수의 보안위협 데이터가 저장된 데이터베이스로부터, 상기 생성된 보안위협 데이터와 동일 또는 유사도가 가장 높은 보안위협 데이터를 식별하는 단계; 및
상기 데이터베이스로부터, 상기 식별된 보안위협 데이터에 대응하는 영향 변수의 정보를 획득하고, 획득된 영향 변수를 상기 생성된 보안위협 데이터의 영향 변수로서 설정하는 단계를 포함하는,
방법.
- 제1항에 있어서,
상기 스마트팩토리에 대한 보안위협 위험도를 산출하는 단계는,
설정된 공격 가능성 변수, 영향 변수, 및 공격 그래프 변수의 곱을 통해 상기 보안위협 위험도를 산출하는 단계를 포함하는,
방법.
- 제1항에 있어서,
상기 시각화 모델을 제공하는 단계는,
상기 보안위협 데이터로부터 판단되는 예측 또는 발생한 보안 공격에 대한 보안위협 위험도의 색상을, 상기 공격 그래프 내의 노드들 중 상기 보안 공격의 공격 경로에 해당하는 노드들에 표시하는 시각화 모델을 생성하는 단계; 및
생성된 시각화 모델을 제공하는 단계를 포함하는,
방법.
- 스마트팩토리와 연결되는 공격 그래프 기반의 보안위협 데이터 제공 장치에 있어서,
상기 스마트팩토리로부터 발생하는 데이터를 수신하는 통신부; 및
상기 스마트팩토리에 포함된 장치들의 보안 취약점 심각도에 기초한 공격 가능성 변수를 설정하고,
상기 스마트팩토리로부터 수신한 데이터에 기초하여, 상기 스마트팩토리에 대한 보안위협을 나타내는 보안위협 데이터를 생성하고,
생성된 보안위협 데이터에 기초하여, 상기 장치들 각각에 대한 영향 변수를 설정하고,
상기 스마트팩토리에 대해 도출된 공격 그래프, 및 상기 생성된 보안위협 데이터에 기초한 공격 그래프 변수를 설정하고,
설정된 공격 가능성 변수 및 영향 변수에 기초하여, 상기 장치들 각각에 대한 보안위협 위험도를 산출하고,
산출된 보안위협 위험도를 시각화한 시각화 모델을 생성하는 프로세서를 포함하는,
장치.
- 제10항에 있어서,
상기 공격 그래프는,
상기 스마트팩토리에 포함된 장치들에 대응하는 노드들, 및 상기 노드들의 연결 구조를 나타내는,
장치.
- 제10항에 있어서,
상기 프로세서는,
상기 보안위협 데이터에 대응하는 보안 공격 및 상기 공격 그래프에 기초하여, 상기 보안 공격에 영향을 받는 장치들 각각의 중요도, 영향을 받는 장치의 수, 연결된 장치의 수, 및 계층의 수 중 적어도 하나의 정보를 분석하고,
분석 결과에 기초하여 상기 공격 그래프 변수를 설정하는,
장치.
- 제10항에 있어서,
상기 프로세서는,
상기 스마트팩토리에 포함된 장치들 및 소프트웨어들에 대한 보안 취약점의 정도를 분석하는 단계;
분석 결과에 대응하는 취약점 심각도를 판단하는 단계; 및
판단된 취약점 심각도에 기초하여, 상기 스마트팩토리에 대한 공격 가능성 변수를 설정하는,
장치.
- 제10항에 있어서,
상기 통신부는, 상기 스마트팩토리로부터 발생하는 로그 및 보안 이벤트 중 적어도 하나를 포함하는 상기 데이터를 수신하고,
상기 프로세서는,
상기 수신된 데이터를 SIEM 솔루션을 통해 분석하고,
분석 결과에 기초하여 상기 스마트팩토리에 대한 보안위협을 나타내는 보안위협 데이터를 생성하는,
장치.
- 제10항에 있어서,
상기 프로세서는,
스마트팩토리의 장치들에 대해 누적 발생한 다수의 보안위협 데이터가 저장된 데이터베이스로부터, 상기 생성된 보안위협 데이터와 동일 또는 유사도가 가장 높은 보안위협 데이터를 식별하고,
상기 데이터베이스로부터, 상기 식별된 보안위협 데이터에 대응하는 영향 변수의 정보를 획득하고, 획득된 영향 변수를 상기 생성된 보안위협 데이터의 영향 변수로서 설정하는,
장치.
- 제10항에 있어서,
상기 프로세서는,
상기 설정된 공격 가능성 변수, 영향 변수, 및 공격 그래프 변수의 곱을 통해 상기 보안위협 위험도를 산출하는,
장치.
- 제10항에 있어서,
상기 프로세서는,
상기 보안위협 데이터로부터 판단되는 예측 또는 발생한 보안 공격에 대한 보안위협 위험도의 색상을, 상기 공격 그래프 내의 노드들 중 상기 보안 공격의 공격 경로에 해당하는 노드들에 표시하는 시각화 모델을 제공하는,
장치.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020220147028A KR20240065826A (ko) | 2022-11-07 | 2022-11-07 | 스마트팩토리의 공격 그래프 기반의 보안위협 데이터 제공 방법 및 장치 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020220147028A KR20240065826A (ko) | 2022-11-07 | 2022-11-07 | 스마트팩토리의 공격 그래프 기반의 보안위협 데이터 제공 방법 및 장치 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| KR20240065826A true KR20240065826A (ko) | 2024-05-14 |
Family
ID=91076369
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR1020220147028A KR20240065826A (ko) | 2022-11-07 | 2022-11-07 | 스마트팩토리의 공격 그래프 기반의 보안위협 데이터 제공 방법 및 장치 |
Country Status (1)
| Country | Link |
|---|---|
| KR (1) | KR20240065826A (ko) |
-
2022
- 2022-11-07 KR KR1020220147028A patent/KR20240065826A/ko not_active Application Discontinuation
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10764319B2 (en) | Intelligent automated security vulnerability detection and analysis for industrial internet of things (IIOT) devices | |
| Eckhart et al. | Enhancing cyber situational awareness for cyber-physical systems through digital twins | |
| US20190279098A1 (en) | Behavior Analysis and Visualization for a Computer Infrastructure | |
| US9122671B2 (en) | System and method for grammar based test planning | |
| US10530740B2 (en) | Systems and methods for facilitating closed loop processing using machine learning | |
| CN110493025B (zh) | 一种基于多层有向图的故障根因诊断的方法及装置 | |
| US20030182582A1 (en) | Network security simulation system | |
| CN111831569A (zh) | 基于故障注入的测试方法、装置、计算机设备和存储介质 | |
| US11271816B2 (en) | Network topology management using network element differential history | |
| US9407656B1 (en) | Determining a risk level for server health check processing | |
| US20190089725A1 (en) | Deep Architecture for Learning Threat Characterization | |
| US20180013783A1 (en) | Method of protecting a communication network | |
| CN117692345B (zh) | 一种基于人工智能的it运营方法及系统 | |
| GB2477921A (en) | Analysing a network using a network model with simulated changes | |
| Dietz et al. | Harnessing digital twin security simulations for systematic cyber threat intelligence | |
| AU2016215576A1 (en) | Patch monitoring and analysis | |
| Murillo et al. | High-fidelity cyber and physical simulation of water distribution systems. II: Enabling cyber-physical attack localization | |
| KR20240065826A (ko) | 스마트팩토리의 공격 그래프 기반의 보안위협 데이터 제공 방법 및 장치 | |
| CN110443046A (zh) | 一种漏洞修复的方法及装置 | |
| KR20240058694A (ko) | 스마트팩토리의 보안위협 데이터 제공 방법 및 장치 | |
| Giuseppi et al. | Securing cyber-physical systems: an optimization framework based on OSSTMM and genetic algorithms | |
| US20200213203A1 (en) | Dynamic network health monitoring using predictive functions | |
| Brinn et al. | Extending the limits of DMAS survivability: The ultralog project | |
| Tomak et al. | RAST: evaluating performance of a legacy system using regression analysis and simulation | |
| Häckel et al. | Development of dynamic key figures for the identification of critical components in smart factory information networks |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| E902 | Notification of reason for refusal |