대학 ICT 연구센터육성 지원사업
년도 최종 보고서 2015
2015. 12.
사 업 명 대학 ICT 연구센터육성지원사업
주관기관명 고려대학교
연구센터명 제어시스템 보안 연구센터
연구과제명 제어시스템 보안 연구
센터개요
1. ··· 1
총괄실적요약 2. ··· 3
계획 대비 달성도 . Ⅰ ··· 10
연구개발 목표 및 내용 1. ··· 10
가 연구의 필요성 . ··· 10
나 최종 목표 . ··· 17
다. 세부과제별 연구내용 ··· 18
연차별 추진계획 및 실적 2. ··· 19
가 총괄 추진계획 및 내용 . ··· 19
나 사업수행 산출성과 . ··· 21
다 연도별 세부목표 달성내용 및 자체평가 . , ··· 38
연구개발 결과 3. ··· 41
추진전략 4. ··· 51
가 수요자 의견 반영을 위하여 추진한 전략 . ··· 51
나 자체개선 시스템 . ··· 53
다 연구추진 체계 . ··· 54
o 연구조직의 구성 센터장의 센터운영 실적 추진계체 및 전략 기술축적 및 , , , 관리 자체평가 및 인센티브지급 과년도 실적평가 의견개선 Know-how , , 사업수행 실적 . Ⅱ ··· 63
센터에 대한 대학의 행정 재정 인프라 지원실적 1. , , ··· 63
가 민간부담금 및 연구인프라 구축 . ··· 63
나 주관대학의 행정적 재정적 지원실적 . , ··· 66
참여기업과의 실질적인 협력환경 인력 장비 기술 등 2. ( , , ) ··· 70
융합 컨소시엄 구성 및 운영 실적 3. ··· 72
무한상상공간 조성 및 운영 실적
4. ··· 72
연구개발 성과 .
Ⅲ ··· 73
성과총괄 1. ··· 75
가 성과목표 달성 추진전략 . ··· 75
나 성과지표 실적 총괄 . ( ) ··· 77
세부연구실적 2. ··· 78
가 기술이전 실적 . ··· 78
나 사업화 실적 . ··· 82
다 특허실적 . ··· 83
라 논문실적 . ··· 97
마 표준화실적 . ··· 119
바 시제품 실적 . ··· 121
사 . S/W 등록 실적 ··· 125
아 산학연 협동연구 실적 . ··· 130
자 국제 공동연구 . ··· 132
차 중소 중견 기업 대학 공동연구실적 . ( ) - ··· 138
카 창의 . ․ 자율과제 운영실적 ··· 138
인력양성 성과 . Ⅳ ··· 139
인력양성 추진전략 및 방안 1. ··· 139
가 우수인재로 육성하기 위한 전주기적 관리시스템 . ··· 139
나 산업체와 프로젝트 참여 멘토링 고용연계 전략 . , , ··· 147
인력양성 실적 2. ··· 149
가 인력구성 및 현황 . ··· 149
나 참여인력 현황 . ··· 150
다 외국 연구자 유치실적 . ··· 155
라 해외 파견실적 . ··· 155
마 인턴쉽 실적 . ··· 155
바 배출인력 . ··· 157
사 기업가정신교육 도입 및 운영실적 . ··· 160
배출인력에 대한 기업체 만족도
3. ··· 165
예산집행 실적 .
Ⅴ ··· 172
당해연도 사업비 사용실적
1. ··· 173
연도별 사업비 사용실적
2. ··· 174
향후계획 요약
. ( )
Ⅵ ··· 176
연구계획
1. ··· 176
인력양성
2. ··· 177
기대효과 .
Ⅶ ··· 178
연구결과의 산업적 경제적 기여도
1. / ··· 178
연구결과의 기술적 기여도
2. ··· 179
연구결과의 활용가능성
3. ··· 181
센터개요
사 업 명 대학ICT연구센터육성 보안등급(보안 일반, ) 일반 기술분야 ※ ICT연구개발 기술분류체계 대 중 소분류‘ - - ’
과제번호 H8501-15-1003
센 터 명 제어시스템 보안 연구센터 연구과제명 국문 제어시스템 보안 연구)
영문) Control System Security 주관기관
기관명 법인명( ) 고려대학교 산학협력단
사업자등록번호 209-82-08298 법인등록번호 114471-0002565 주 소 (136-701) 서울시 성북구 안암로145 고려대학교 내
총괄책임자
성명 임종인 주민등록번호
과학기술인 (
등록번호) ******** (1005-3553)
소속부서 정보보호대학원 직위 정교수
TEL ******** 핸드폰 ********
FAX 02-928-9109 e-mail [email protected] 사업기간 전 체 2010. 6. 1. ~ 2015. 12. 31. (67개월)
당해연도 2015. 1. 1. ~ 2015. 12. 31. (12개월) 연차별
사업비 천원( )
정부출연금 (A)
민간부담금
합계
(A+B) 참여인력 대학
현금 ( )
기업체 지자체
현금 ( )
기타 현금 ( )
소계 (B) 현금 현물
차년도
1 ('10) 657,500 66,000 33,000 178,171 0 0 277,171 934,671 91 (14.2M/Y)명 차년도
2 ('11) 800,000 80,000 42,000 81,600 0 0 203,600 1,003,600 98 (16.4M/Y)명 차년도
3 ('12) 800,000 80,000 45,000 45,000 0 0 170,000 970,000 91 (17.9M/Y)명 차년도
4 ('13) 800,000 80,000 40,000 40,000 0 0 160,000 960,000 152 (21.8M/Y)명 차년도
5 ('14) 500,000 50,000 25,000 25,000 0 0 100,000 600,000 64 (11.7M/Y)명 차년도
6 ('15) 500,000 50,000 25,000 25,000 0 0 100,000 600,000 77 (14.3M/Y)명 합계 4,057,500 406,000 210,000 394,771 0 0 1,010,771 5,068,271 573 (96.3M/Y)명 참여인력
명 ( )
대학 교수
참여학생 전임
연구원 Post-
Doc 산업체 연구소 합계 학부과정 석사과정 박사과정
9 0 42 22 2 0 2 0 77명 / 14.3M/Y
참여기관
중견 중소기업
* ․ 공동연구 추진기업
기관명 책임자 성명 직위 직급/ 핸드폰 e-mail
컨소시엄 기관
대학 고려대학교 포항공과대학교 성균관대학교 총 개, , ( 3 ) 기업체 더존 비즈온 하이디어솔루션즈 에이쓰리시큐리티, , (총 개3 ) 국공립 연구소
( ) (총 개0 )
참여기업 참여기관과 컨소시업 기관 중 중소기업( 3 )개 중견기업, ( )개 대기업, ( )개 주관기관
실무담당자
성명 이주은 소속부서(직위) 제어시스템보안연구센터 과장( )
TEL ******** 핸드폰 ********
FAX 02-928-9109 e-mail [email protected] 관련법령과 규정을 준수하면서 대학ICT연구센터 / ICT융합고급인력과정 사업에 대한 연차보고서를 제출합니다.
년 월 일
2015 12 31
총괄책임자 : 임 종 인 ( )인
주관기관장 : 고려대학교 산학협력단장 (직인)
정보통신기술진흥센터장 귀하
요 약 문
〈 〉
연구목표 국문_ 자내외 (500 )
본 연구는 제어시스템 보안 연구로 국가 기반 시설과 국내 주요 산업 시설을 원격, 모니터링하고 제어하는 전반적인 시스템의 안정적 운용과 독자적인 보안 기술 확보를 목표로 한다 이를 위하여 제어시스템의 기기 및 사용자에 대한 인증 기술과. 제어망 연결기기 검색 식별 기술을 바탕으로 취약점 분석 기술을 확보한다 제어망, . 이상징후 시각화 도구를 개발하여 운용 시에 발생할 수 있는 위협을 신속하고 정확하게 탐지한다. 또한 잠재한 위험의 도출과 제어시스템 보안성 평가를 위해 제어시스템 환경에 특화된 보안관리체계를 개발하여 국가 보안 기술 경쟁력을 강화한다.
영문 Purpose_
자내외 (500 )
We study control system security to have our own technologies for the systems which monitor and control national infrastructures and the major industries. To achieve our goal, we design control system authentication technologies and develop technologies of detecting vulnerabilities based on searching and identifying interconnected components. Furthermore, we construct visualized security management tool for control system so that we precisely detect the core threat of control system security. Also, we construct specialized security management system for control system so that strengthen the competitive power of security technology.
연구내용 자내외 (1000 )
제어시스템 보안 연구를 위해 크게 세 가지 세부 프로젝트를 진행하며 각 세부 프, 로젝트의 연구내용은 다음과 같다.
제 1세부 제어시스템에서의 인증 기술 개발:
제어시스템에 적합한 인증프로토콜 설계 및 안전성 검증 ㆍ
인증 프로토콜의 기반이 되는 암호 알고리즘 구현의 성능테스트 및 최적화 ㆍ
제 2세부 제어망 연결기기 검색 및 취약점 연구: 제어망 연결기기 검색 및 식별 연구
ㆍ
제어망 연결기기 취약점 탐지 및 취약점 예방체계 수립 ㆍ
제어시스템 환경에서 이상징후를 감지할 수 있는 보안시각화 도구 개발 ㆍ
제 3세부 제어시스템 보안관리체계 개발 및 평가방법 연구: 제어시스템 환경에서 보안관리체계 활성화 방안 연구 ㆍ
보안관리체계 활성화를 위한 법 제도 개선방안 연구· ㆍ
기대효과 자내외 (500 )
응용분야 및 (
활용범위 포함)
본 연구를 통해 국가 기반 시설을 안전하게 보호하고 급격한 성장 중인 제어시스템 분야의 핵심 원천기술을 개발한다 제어시스템 관련 기술이전과 특허의 선점을 통해. 독자적인 기술력을 확보하여 국가 보안 기술의 경쟁력을 강화한다. 또한 국내 제어시스템 보안 분야의 전문 개발 인력 양성 보안 제품 설치 및 유지보수 인력, 고용 보안 기술 및 인력의 국외 수출 등의 다양한 부가 고용 인력을 창출한다, .
중심어 국문_ 제어시스템 보안 인증
취약점 시각화 관리 체계
영문 Keywords_
총괄실적요약
주관기관의 혁신성과
□
구 분 사업 시행前 사업 시행後
기술 확보
⇨논문 기술이전 특허 표준화 등의 다양, , , 한 분야에 정량적 평가 제도를 수립함으 로써 보다 실질적인 기술개발을 통해 제, 어시스템 보안 관련 특허 및 SW 기술을 확보함
세부 기술
기존의 보안 시스템은 관리자가 보호해야하는 자원에 국한되어 사용되었음
⇨
허브라우터 탐지 기술을 기반으로 개발된 관제시스템을 통해 보안에 익숙하지 않은 비전문가들도 네트워크 보안 상황을 쉽게 확인할 수 있어 거시적인 관점에서 보안 관리가 가능해짐
산업 환경 및 업무 특성이 다른 에너지 산업에 일반화된 기준의 관리체계를 적용하여 운용함
⇨
산업제어시스템 정보보호 관리체계 개발을 통해 에너지 제어시스템에 특화된 정보보호 관리체계 및 보안지수 개발로 각종 위협에 대한 선제적 대치가 가능해짐
현실적으로 제어시스템에 사용 가능한 인증 기술이 부재함 ⇨
전자장비별로 객체 인증이 가능한 제어시스템을 블록암호를 이용하여 설계
AES 하여IoT장비나
제어시스템 상의 전자장비들에 매우 적은 하드웨어 비용으로 구현이 가능해짐
제어시스템에 악성코드가 전파 되거나 주요 파일이 유출되었을 때 이를 확인할 수 있는 방법 이 부재함
⇨
파일기반 제어시스템 이상징후 시각화 기술 개발하여 제어시스템의 이상징후를 실시간으로 파악하고 빠른 대응이 가능하도록 함
추진실적 요약 ( )
□
주요 항목 주요 실적
연구목표 달성
논문 (SCIE)
표준화 특허 S/W
등록
기술
이전 석사 박사
기고 채택 출원 등록
목 표
실 적
목 표
실 적
목 표
실 적
목 표
실 적
목 표
실 적
목 표
실 적
목 표
실 적
목 표
실 적
목 표
실 적
2014 8 7 4 0 2 6 18 25 8 7 8 9 5 11 18 16 1 2 2015 9 10 4 0 2 6 20 20 10 12 12 15 6 7 18 18 4 4 총합 17 17 8 0 4 12 38 45 18 19 20 24 11 18 36 34 5 6 달성도 100% 0% 300% 118% 105% 120% 164% 94% 120%
단위 편 건 명 ( : , , )
연구추진 전략
◯ 여러 분야의 참여기업과 최고의 연구진으로 구성된 컨소시엄
◯ 연구조직의 유기적 연계를 통한 효율적인 통합 운영 및 연구 결과 공유 - 지도교수 중심의 연구인력 구성이 아닌 연구 주제별 연구실 운영
- 학교와 사업단에 설치된 국제학술논문 DB 검색 시스템을 활용하여 효율적인 연구 지원
그림 연구 추진전략 ( )
◯ 센터 내 경쟁체제 유지를 통한 연구력 제고
- 논문 특허 표준화 기술이전 등의 다양한 분야의 실적에 대한 정량적, , , 평가 제도를 수집함으로써 논문 위주의 현행 평가제도에서 탈피함 - 수립된 평가제도를 기반으로 참여교수를 교체하거나 인센티브를 차등
지급 함으로써 교수 연구원 기업체 연구원의 연구력을 제고함, ,
- 참여대학원생의 업적을 기준으로 참여율을 조정하여 참여대학원생의 연구 성취욕을 고취시키고 나아가 우수 인재를 양성함,
◯ 연구 추진체계
- 객관적이고 체계적인 자체 평가시스템을 구축하고 업적별 인센티브를 제공함
- 과제별 유기적 협력을 위해 정기적인 세미나를 개최하거나 워크샵 또는 기술전시회를 개최하고 연구 성과의 공유 및 기록 관리를 수행함
- 세부과제별로 실제 적용이 가능한 보안 기술 개발을 위해서 연차별 추진전략을 고안하여 실행함
인프라 구축
◯ 민간부담금
구 분 2014년 2015년
계획 실적 계획 실적
주관대학 50,000 50,000 50,000 50,000
참여 기관
하이디어솔루션즈 40,000 40,000 30,000 30,000 포앤식스테크 10,000 10,000 0 0 더존비즈온 0 0 15,000 15,000 에이쓰리시큐리티 0 0 5,000 5,000 소 계 50,000 50,000 50,000 50,000 합 계 100,000 100,000 100,000 100,000 단위 천원
( : )
◯ 연구공간
- 센터장실 공간(47.97 )㎡ 확보 연구실 및 실습실 공간, (2320.17 )㎡ 확보함
◯ 주관 대학의 재정적 행정적 지원,
- 재정적 지원 인센티브 제공 센터장의 간접비 사용 권한 강화를 통해: , 논문 게재를 장려하고 질적 평가를 통해 인센티브를 지원함
- 행정적 지원 : 사업단의 효율적 운영을 위해 사업단장에게 예산 구성, 성과급 결정 권한을 부여하고 센터장의 사무공간을 별도로 제공, 책임수업시간을 감면함
- 기타 지원 연구과제 보증보험 국제학술지 원문교정 학술대회 개최: , , , 특허 비용을 지원함
연구성과
□
단위 건 명 천원 등
( : , , )
구 분 5차년도(‘14) 6차년도(‘15) 합 계
기술지도 건수 17 21 38
업체수 16 18 34
기술이전 계약
건수 11 7 18
업체수 10 7 17
기술료 195,000 253,000 448,000
상품 / 사업화 건수 1 0 1
업체수 1 0 0
참여교수수 연구교수 제외( ) (z) 8 9 17
특 허 실 적
특 허 출 원
주관
국내 22 20 42
국제 2 0 2
합계 24 20 44
참여
국내 1 0 1
국제 0 0 0
합계 1 0 1
특 허 등 록
주관
국내 7 11 18
국제 0 1 1
합계 7 12 19
참여
국내 0 0 0
국제 0 0 0
합계 0 0 0
논 문 실 적
급
SCI SCI/SCIE (a) 7 10 17
기타 저널
국내 8 2 10
국제 1 1 2
LNCS/LNAI 0 0 0
소계 (b) 9 3 12
컨퍼런스 발표논문
국내 5 5 10
국제 7 2 9
소계 (c) 12 7 19
합계(d=a+b+c) 28 20 48
교수 인당 1
급
SCI (a/z) 0.88 1.11 1.00
기타저널(b/z) 1.13 0.33 0.71
컨퍼런스(c/z) 1.50 0.78 1.12
합계(d/z) 3.50 2.22 2.82
시제품 제작실적 4 4 8
개발실적
S/W 9 15 24
인력양성성과
□
단위 명 ( : )
구 분 5차년도(‘14) 6차년도(‘15) 합 계
배 출 인 원
학사
남 0 0 0
여 0 0 0
소계 0 0 0
석사
남 10 8 18
여 6 10 16
소계 16 18 34
박사
남 2 3 5
여 0 1 1
소계 2 4 6
소계
남 12 11 23
여 6 11 17
합계 18 22 40
주 요 진 로
산업체
대기업 8 6 14
중소기업 0 0 0
소계 A 8 6 14
박사진학 B 1 4 5
연구소 C 4 2 6
Post-Doc D 1 4 5
정부기관 E 2 0 2
대학교 교수 강사( , ) F 0 0 0
기타취업 G 1 0 1
창업 군복귀, H 0 0 0
군입대 I 0 0 0
미취업 J 1 6 7
합계 K=A~J 18 22 40
취업율
취업대상 L=K-B-D-I 16 14 30
취업율 (L-J)/L 0.94 0.57 0.77
전공분야 취업인원 M 14 8 22
전공취업율 M / L 0.88 0.57 0.73
참여인력현황
□
단위 명 ( : ,%) 구 분 5차년도(‘14) 6차년도(‘15) 합 계
참여교수
남(A) 8 9 17
여(B) 0 0 0
소계(C) 8 9 17
대학 원생
학사 과정
남 a 0 0 0
여 b 0 0 0
소계 a+b 0 0 0
석사 과정
남 c 19 25 44
여 d 14 17 31
소계 c+d 33 42 75
박사 과정
남 e 16 18 34
여 f 3 4 7
소계 e+f 19 22 41
소 계
남 g 35 43 78
여 h 17 21 38
소계 ㄱ=g+h 52 64 116
연구전담
남 i 0 2 2
여 j 0 0 0
소계 I+j 0 2 2
Post- Doc
남 k 1 0 1
여 l 1 0 1
소계 k+l 2 0 2
산업체
남 m 2 2 4
여 n 0 0 0
소계 m+n 2 2 4
합계
남 q 46 56 102
여 r 18 21 39
합계 ㄴ=q+r 64 77 141
참여대학원생 중 여성비율(%) h/ㄱ 32.69 32.81 32.76
참여인력 중 여성비율 r/ㄴ 28.13 27.27 27.66
참여인력 중 기업체비율 3.13 2.60 2.84
연구비 현황
□
단위 천원 ( : ) 구 분 5차년도(‘14) 6차년도(‘15) 합 계
정부출연금(A) 500,000 500,000 1,000,000
민간 부담금
주관대학(B) 50,000 50,000 100,000
지자체(C) 0 0 0
참여 기관
학교(D) 0 0 0
산 업 체 (E)
현금 25,000 25,000 50,000
현물 25,000 25,000 50,000 소계(F) 100,000 100,000 200,000 전체합계(A+B+C+F) 600,000 600,000 1,200,000
연구센터 참여기관
□ ( 예산기준 )
단위 개 ( : ) 구 분 5차년도(‘14) 6차년도(‘15) 합 계
대학교
현금만 매칭펀드로 부담 1 1 2
현물만 매칭펀드로 부담 0 0 0
현금과 현물을 매칭펀드로 부담 0 0 0
기업체
현금만 매칭펀드로 부담 0 1 1
현물만 매칭펀드로 부담 2 1 3
현금과 현물을 매칭펀드로 부담 2 1 3
지자체
현금만 매칭펀드로 부담 0 0 0
현물만 매칭펀드로 부담 0 0 0
현금과 현물을 매칭펀드로 부담 0 0 0
합계
현금만 매칭펀드로 부담 1 2 3
현물만 매칭펀드로 부담 2 1 3
현금과 현물을 매칭펀드로 부담 2 1 3
장비 기자재 취득목록
□ ․
해당사항 없음
※
계획 대비 달성도 .
Ⅰ
연구개발 목표 및 내용 1.
가 연구의 필요성 .
▢ 사이버물리시스템과 제어시스템
○ 최근 사이버물리시스템 (Cyber-Physical System, CPS) 이 미래 주목해야 할 기술로 각광을 받고 있으며 제어시스템은 이러한 사이버물리시스템의 대표적인 응용 , 사례로 주목을 받고 있음
○ 사이버물리시스템은 하드웨어 운영체제 네트워크 프로토콜 식별체계의 이질성을 , , , , 극복하고 사물이 서로 간의 자유로운 통신 협업을 통한 상호연동을 통해 보다 · 편리하고 안전하며 끊어짐 없는 서비스를 제공하는 스마트 시스템이라 정의할 수 있음 한국정보화진흥원 ( )
그림
( Ⅰ 1 사이버물리시스템 개요- ) 출처
( : Nan We et al., RFID Applications in Cyber-Physical System)
○ 사이버물리시스템과 사물인터넷 (Internet of Things, IoT) 가 비슷한 개념으로
논의되고 있으나 , 사이버물리시스템의 경우 물리적인 영향 , 효과가 수반되는
영역으로 제어시스템 , 스마트그리드 , 스마트빌딩 , 스마트카 , 스마트의료 등은
사이버물리시스템 영역에 포괄되고 있음
○ 2015 년 12 , 월 미래창조과학부가 발표한 「 스마트제조 로드맵 에서 」 8 가지 핵심 분야의 하나로 사이버물리시스템이 포함되었으며 로드맵에서 미래창조과학부는 , 제조 분야에서 사이버물리시스템에 대해 ‘ 제조 기업의 정보 컴퓨터 시스템과 · 사람 공정 설비와 같은 물리적 시스템을 네트워크로 통합하여 안전하고 신뢰성 , , 있게 분산제어하는 지능형 제조시스템 구축 기술 이라고 설명함 ’
○ 미국은 사이버물리시스템을 차세대 핵심기술로 선정하여 다양한 연구를 진행하고 있음
− 미국은 2013년부터 백악관 주도 하에 사이버물리시스템을 통한 사회 수혜와 고용 창출 경제 개발 등을 목표로 하는, IT 혁신 프로젝트 ‘Smart America Challenge’를 추진 중으로 연, 1억 불 이상의 연구 개발 지원금을 투자하고 있음·
− 미국 대통령과학기술자문회의(PCAST)는 2007년 보고서에서 사이버물리시스템을 국가 경쟁력 강화를 위한 최우선 과제로 선정한 바 있음
그림
( Ⅰ 2 미국- ) Smart America Challenge 개념도 출처 미국
( : National Institute of Standards and Technology)
○ 유럽 역시 각 국에서 사이버물리시스템 관련 연구를 각 정부의 주도로 추진중
− 독일은 ICT 융합기반 제조업 혁신 ‘인더스트리 4.0’ 통해 스마트 팩토리 등을 추진하여 30% 이상의 산업생산성을 높이는 4차 산업 혁명을 목표로 함
− 유럽연합(EU)은 사이버물리시스템 및 임베디드 연구 프로그램 아르테미스‘ (Frame 를 통해 연구를 추진 중임
Programme 7 ARTEMIS)’
▢ 한국수력원자력 해킹 등 제어시스템 보안 위협
○ 2014 년 말 한국수력원자력 관련 정보들이 원전반대그룹 이라 주장하는 해커 , ‘ ’ 에 의해 유출되어 일부 기밀문서들이 폭로되는 사건 발생
○ 해커는 원자력 가동을 중단하지 않으면 원자력발전소를 폭파시키겠다고 협박
○ 내부 제어시스템이 해킹을 당한 것은 아닌 것으로 밝혀졌으나 일부 내부 문건 , 이 유출되어 제어시스템 보안 위협에 대한 우려와 제어시스템 보안을 위한 연구·
관리에 대한 사회적 공감대 형성
○ 2015 년 12 월에는 이란 해커들이 뉴욕에서 20 마일 떨어진 보우맨 댐의 시스템 에 침입한 사실이 밝혀지면서 제어시스템 보안 위협 경각심 고조 ,
▢ 연구의 개념과 의의
○ 제어시스템은 원거리에 산재된 시스템의 관제 및 제어에 사용되는 시스템으로 및
SCADA(Supervisory Control and Data Acquisition) DCS(Distributed 시스템 등을 통칭하며 국내 주요 산업 시설 및 국가 기반 시설의 Control System)
시스템을 효과적으로 원격 모니터링하고 제어하기 위해 필수적으로 사용되고 있음
○ 네트워크 기반의 시스템으로 산업설비 계측 제어 플랜트설비 감시 관리 전력 / , / , 생산 분배 / , 가스 생산 유통 수자원 관리 / , , 교통 인프라 제어 , 댐 석유와 같은 / 각종 자원의 감시와 제어에 이르기까지 중요 생산 기반 설비에 폭넓게 사용되 , 고 있음
그림
( Ⅰ 3 현재 산업 제어시스템 보안구조- )
출처 이슈리포트 호 이슈 산업 제어시스템 보안기술 동향과 산업전망
( : KEIT PD 2013-6 - 4- )
○ 그러나 2010 년 미국에서 SCADA 시스템에 대한 사이버공격 무기인 스턱스넷 (Stuxnet) 을 개발하여 이란 원전을 공격한 이후 , 국가기반시설을 목표로 하는 악성코드 (ex: 두큐 (Duqu, 2011), 플레임 (Flame, 2012), 가우스(Gauss, 2012))가 지속적으로 출현하였음
○ 미국 ICS-CERT 에서 집계한 제어시스템에 대한 사이버사고 접수 건수는 2010년 건에서 년 건으로 급증하고 있으며 특히 제어시스템 취약점
41 2011 198 480% ,
통계자료에 의하면 2010 년에 18 , 2011 건 년에 97 , 2012 건 년에 102 건으로 매 년 증가하고 있음
○ 제어시스템은 대상 시스템이 정상적으로 운영되도록 직접적인 제어를 수행하므로 고도의 안전성이 요구되며 , 침해사고 발생 시 파급효과가 매우 크기 때문에 국가적 혼란을 초래할 수 있음
○ 제어시스템 환경에 대한 체계적인 보안점검과 국내 환경에 적합한 제어시스템 보안기술의 연구개발 및 적용이 요구됨
▢ 국내 산업동향
○ 법 제도적 동향 ·
− 「지능형전력망의 구축 및 이용촉진에 관한 법률」제정(2014 )년 과 「정보통신기반 보호법」 개정(2015 )년 을 통해 산업제어시스템 등 주요 기반시설 지정 확대와 보호조치 마련 등을 규정하고 있음
− 정보통신기반보호법 시행령 개정 및 제어시스템 관련 분야 보안가이드 배포 등 지속적으로 기반시설 보호대책을 수립하고 있음
− 2012년 12 ,월 행정안전부 현 행정자치부 는 주요 정보통신기반시설의 안정적 운영과( ) 주요 정보의 기밀성 무결성 가용성에 영향을 미칠 수 있는 위협요인을 파악하고· · , 이를 제거하기 위해 국정원 및 관계 중앙행정기관과의 협의를 통해 개정된
주요 정보통신기반시설 취약점 분석 평가기준 을 고시하였음
‘ · ’
○ 기술 동향
− 2015년 4 ,월 미래창조과학부는 ‘K-ICT 시큐리티 발전전략 을’ 발표하여 국가 사이버보안 강화를 위한 기술 개발 정책을 수립하였으며 글로벌 사이버보안 기술, 선도를 위한 Innovative 기술 개발의 하나로 기반시설 제어망 보안위협 대응을 제시함
− 2015 ,년 한국전자통신연구원은 정수장 전력망 플랜트 등 제어시스템에서 보안을, , 강화한 통신 프로토콜(Modbus·DNP3) 방화벽을 개발하였으며 한전, KDN은 사이버 물리시스템 물리적 단방향 보안 게이트웨이 개발 등 연구 개발을 추진하고 있음·
− 시스템의 폐쇄적인 구조, 독점적인 통신 프로토콜, 제한된 연결성의 특징은 사이버보안 문제를 공극(Air-Gap) 정책으로 접근하게 만들어 제어시스템의 외부경계 보호에만 치중하는 실정임
− 현재 엔터프라이즈 보안제품(FW, IDS/IPS 등 에 의해 모니터링된 보안정보에) 의존하거나 방대한 보안이벤트 분석처리의 기술적 한계를 극복하지 못하고 샘플링, 기반의 공격위협을 분석하는 수준이며, 중앙제어센터와 지역 센터 구간에 국한하여 기존 기술의 적용 가능성을 검증하는 수준임
− 산업 계통의 제어시스템 및 네트워크에 대한 프로파일링 및 제어 프로세스의 미반영은 수동적으로 공격 위협을 인지하게 함
− 최근 전력제어망의 중앙제어센터와 지역 센터 구간에 국한하여 전력망에 독점적인 통신프로토콜(KEPA99) 기반의 방화벽 연구를 진행하고 있음
▢ 국외 산업동향
○ 미국 동향
− 미국은 제어시스템을 포함한 핵심기반시설의 사이버보안 강화와 위협 정보 공유를 위한 다양한 법 제도적 대응방안을 마련하고 있음·
2015년 National Cyber Security Protection Advancement Act를 포함해, 2011년 Cyber 등을 지속적으로 Intelligence Sharing and Protection Act, Cyber Security Act of 2012
입법 추진
2013년 대통령 행정지침 13636 ‘Improving Critical Infrastructure Cybersecurity’를 제정하여 법 제정 지연에 따른 보안 공백을 대통령 행정지침으로 해결하기 위해 노력
− 2014년 2월, 미 국립표준기술연구소(NIST)는 대통령행정지침 13636에서 요구한 를 통해 기반시설의 Framework for Improving Critical Infrastructure Cybersecurity
사이버 위협 대응을 위한 표준 방법론 절차 등을 마련함, ,
− 전력분야의 제어시스템 보안을 위해 EISA 2007(Energy Independence and 에 근거하여
Security Act of 2007) NIST(National Institute of Standards and 를 중심으로 대응하고 있음
Technology)
− NIST는 2012년 2월, ‘NIST Framework and Roadmap for Smart Grid 을 발표함으로써 미국의 스마트그리드 Interoperability Standards, Release 2.0’
사이버보안 전략을 제시하였음. 제시한 사이버보안 전략에는 스마트그리드 보안 가이드라인을 통해 보안성을 확보하기 위한 절차와 기존 표준 및 새로 개발되는 표준에 대한 보안성 검토를 통한 보안성 확보가 포함되어 있음
− 미국 에너지부 주도로 TCIPG(Trustworthy Cyber Infrastructure for the Power 등의 프로그램을 통해 보안기술을 연구 및 개발하고 있음
Grid)
− 관련시스템 간 상호연결과 공개된 시스템 의존성 확대로 인한 산업 제어시스템 보안 취약성을 해소하기 위하여 산업 제어시스템 내부망 위협 방어기술 연구가 활발히 진행되고 있으며 관련 솔루션이 출시되고 있음,
− 제어망 내부의 사이버침해 전이 인증 시스템 등 제어시스템 네트워크 보안위협, 대응에 대한 기술을 개발 중임
− Secure Computing社의 Secure Firewall, Plantdata technologies社의 patriot
의 등이 출시됨
SCADA, Bayshore networks社 SCADA Firewall
○ EU 동향
− 유럽은 EU를 중심으로 ENISA를 2009년에 설립 유럽의 정보통신 및 정보보안 분야를, 공동 대응하고 있음
− ENISA는 2015년 12 ,월 유럽 각 국의 제어시스템 보안 성숙도를 진단한 ‘Analysis 를 발표하였음 of ICS-SCADA Cyber Security Maturity Levels in Critical Sectors’
− 2015년 2월에는 산업기반시설 및 원방제어시스템 보안 관련 전문가들의 인증 프로그램인 ‘ICS/SCADA Cybersecurity Certification’을 최근 진화하는 위협에 맞춰 강화함
− 국가기반시설 제어시스템의 위험에 대응하기 위해 ‘Critical Infrastructures and 포럼을 운영하고 있음
Services’
− 2001년 3 ,월 사이버보안을 고려한 표준 Suite 개발을 위해 유럽 3대 표준화 기구인 에 명령 을 하달하였음
CEN, CENELEC, ETSI (Mandate)
− OpenMeter 프로젝트 등을 통해 제어망 보안기술을 연구 및 개발하고 있음
− 제어시스템 보안 및 제어망 간 연동 등에 대한 기술적 연구를 다방면으로 진행중
− Fort Fox社의 “Data Diode”와 같은 제어시스템 보안을 위한 장치를 출시함
○ 일본 동향
− 일본은 2015년 사이버보안전략‘ 2015’를 발표하여 강건한 사이버 공간 구축‘ ’, ‘ 력활 있는 사이버공간 구축’, ‘세계를 선도하는 사이버공간 구축’ 등 세 전략 방향을 설정하였으며 특히 활력 있는 사이버공간 구축 의 하나로 제어시스템 보안 관련, ‘ ’ 연구 개발을 추진하고 있음·
− 국가정보보안센터(NISC)와 경제산업성(METI)을 중심으로 국가기반시설 제어시스템에 대한 사이버보안 프로그램을 추진하고 있음
− 2012년 제어시스템 보안센터(CSSC)를 설립하여 제어시스템 보안인증 및 표준화 를 조직하여 제어시스템 TC(Certification and Standardizing Task Committee)
보안인증을 추진하고 있음
− Hitachi社의 “HRX(Hitachi RapidXchange)”와 같은 제어시스템 보안 관련 솔루션을 출시함
▢ 연구 및 기술개발의 중요성
○ 주요기반시설의 보안 취약점 분석 및 사전진단 자동화 도구는 국가 산업과 시설 보호를 위해서 독자적인 기술 확보가 필요한 분야이며 , 현재까지 국내연구 결과가 없는 현실을 반영할 때 본 연구센터의 기술 개발을 통한 국내 독자 , 기술 확보는 매우 중요함
○ 제어시스템에서 사이버 공격 및 이상 징후 탐지 기술의 개발은 잠재적인 피해에 대한 금전적 국가적 손실을 없앨 수 있으며 제어시스템에서 이상 징후 탐지 , , 기술의 국산화는 해외 시장에서 우위의 보안기술 및 경쟁력 확보가 가능하게 함
○ 제어시스템간의 상호 인증은 안전한 정보의 전송 및 이용을 위해 반드시 필요한 기술로써 인프라 성격을 가지므로 정보보호 시스템의 상호호환성 인터넷 이용자의 , 안전성 및 신뢰성 보장을 위해 해당 기술의 개발이 필요함
○ 네트워크망을 활용한 사이버 공격이 날로 지능화되면서 이에 대한 대응 기술이 필요하게 됨 특히 제어시스템에 대한 사이버 공격은 그 영향이 크기 때문에 . , 보 다 안 전한 제어 시스 템 구 축을 위 한 사 이버 공격 대응 기술 개발 은 매 우 시급 한 사 항
○ 제어시스템에서 사용될 보안 기술을 수입하는 것보다 자체적인 보안 기술을 개발 ㆍ 도입하는 것이 경제성 및 제어시스템의 경쟁력에 이익임
○ 국내 외적으로 초기 단계인 제어시스템 핵심 보안 기술을 선점하여 이를 바탕으로 ·
향후 국내외 표준화를 선도할 수 있으며 경쟁국들보다 빠르게 정보보안 기술을 ,
확보하여 제어시스템 기술 제품의 해외 수출 경쟁력 증대와 외산 보안제품의 ․
대체로 인한 비용 절감에 기여할 것으로 기대됨
나 최종 목표 .
구 분 목 표
제 1세부
제어시스템에서의 인증 기술 개발
제어시스템에서의 인증을 위한 암호 알고리즘 구현 및 검증 -
기반 인증 프로토콜 및 역할 기반 인증 프로토콜 개발 - ID
제 2세부
제어망 연결기기 검색 및 취약점 연구
제어망 연결기기 검색 도구 개발 및 취약점 연구 -
개발된 검색도구를 통한 취약점 분석 및 이상징후 탐지 -
제 3세부
제어시스템 보안관리체계 개발 및 평가방법 연구 제어시스템 환경에 특화된 보안관리체계 개발 -
제어시스템 환경에서 개발된 보안관리체계의 활성화 방안 및 개선방안 연구 -
그림
( Ⅰ 4 제어시스템 보안 연구 목표- )
다 세부과제별 연구내용 .
구 분 내 용
제 1세부과제 제어시스템에서의 (
인증기술 개발)
제어시스템 인증에서 필요한 암호 알고리즘 구현
암호 알고리즘의 최신 동향을 조사 및 분석하고 개발환경을 구축함 -
제어시스템 인증에서 사용할 수 있는 암호
- ECC, ARIA, AES
알고리즘을 구현함
제어시스템 환경에 적합한 인증 프로토콜 개발 - 인증이 필요한 제어시스템 보안 환경을 분석함
- 키 관리가 용이한 ID 기반 암호 서명 알고리즘을 제어시스템에 적용하/ 여 인증 프로토콜을 개발함
개발한 암호알고리즘 및 인증프로토콜 검증 및 구현
구현한 알고리즘이 인증 환경에서 적합한 성능을 보일 수 있도록 -
암호 알고리즘 동작 성능 분석 성능 테스트 및 최적화, 제어시스템 소프트웨어 하드웨에 환경에서 검증
- ,
제 2세부과제 제어망 연결기기 검색 (
및 취약점 연구)
제어망 검색 엔진 개발
제어망 연결기기 검색에 관련된 도구들인 풋 프린팅
- (Foot Printing),
포트스캐너(Port Scanner) 등의 기능 및 성능을 평가함
제어망 연결기기 검색 도구들의 기능 취합 및 연결기기 식별 방안을 -
연구함
제어망 취약점 분석 연구
제어시스템 구성 기기들에 대한 사전 조사 및 선행 연구를 분석함 -
제어망 연결기기의 취약점을 수집함 -
제어망 시각화 연구
로그분석 기반 제어시스템 이상 징후 시각화 방안을 연구함 -
제어시스템 대상 이상징후 탐지를 위한 시각화 시스템 프로토타입을 -
개발함
제 3세부과제 제어시스템 (
보안관리체계 개발 및 평가방법 연구)
제어시스템 보안관리체계 개발
국내 외 관리체계 및 표준을 비교 분석함 - ·
제어시스템 환경에 적합한 항목으로 구성된 보안관리체계를 개발함 -
보안 관리를 위한 평가체계 개발 보안관리체계 활성화 방안 연구 -
기존 평가지수와 보안관리체계를 연계하여 보안 수준을 진단하고 -
개선할 수 있도록 유도하는 방안 연구
연차별 추진계획 및 실적 2.
가 총괄 추진계획 및 내용 .
▢ 2014 년 추진일정
주요 추진내용 5차년도
(’14)
분 기 1 2 3 4
제 1세부과제
■
제어시스템 인증을 위한 암호 알고리즘에 대한 기존 연구 분석 ㅇ
제어시스템 인증을 위한 암호 알고리즘 개발환경 구축 ㅇ
제어시스템 인증을 위한 타원곡선기반의 암호 알고리즘 구현 ㅇ
제어인증을 위한 블록암호 알고리즘 구현 ㅇ
암호 알고리즘에 대한 성능테스트 및 최적화 작업 ㅇ
제어시스템 환경에 적합한 인증 프로토콜 연구 ㅇ
키 관리가 용이한 제어시스템 서명 기법 및 인증 프로토콜 설계 ㅇ
제 2세부과제
■
제어망 연결 기기 검색 및 식별 방안 연구 ㅇ
제어망 검색 엔진 개발 ㅇ
제어망 연결기기 취약점 수집 ㅇ
로그분석 기반 제어시스템 이상징후 시각화 방안 연구 ㅇ
로그분석 기반 제어시스템 이상징후 시각화 시스템 개발 ㅇ
제 3세부과제
■
제어시스템 환경에 특화된 보안특성 분석 ㅇ
제어시스템 환경에 특화된 보안관리체계 개발 ㅇ
제어시스템 정보보호관리체계 활성화 방안 연구 ㅇ
가상화 기반 제어망 구축 및 트래픽 분석 방안 연구 ㅇ
제어시스템 보안관리체계를 위한 취약점 수집 방안 연구 ㅇ
주요 milestone 완성점에서의
수행결과물
■ 타원곡선 암호알고리즘 기반 스마트미터 보안칩 설계
■AES S-box GF(24) based PUFs 설계
■ 제어시스템에서 기기 간 인증 시 효율적인 키 관리가 가능한 인증 프로토콜 연구
■SCADA 프로토콜 분석
■ 제어시스템을 위한 SCADA 시스템 탐지 분석 연구
■ 연결 중심성을 이용한 허브라우터 탐지
■ 제어시스템 환경에서 파일 정보를 통한 이상징후 시각화 연구
■ 제어시스템 환경에서 악성 안드로이드 애플리케이션 탐지 및 분류 연구
■ 산업제어시스템 정보보안 수준평가 방법 개발
■ 스카다 허니넷의 설계 및 구현
■ 불필요하게 긴 해쉬코드의 길이를 줄임으로써 보안강도를 유지하면서 부가형 전자서명의 서명값 사이즈를 줄이는 방법
▢ 2015 년 추진일정
주요 추진내용 6차년도
(’15)
분 기 1 2 3 4
제 1세부과제
■
키 관리가 용이한 제어시스템 서명 기법 및 인증프로토콜 설계 ㅇ
제어시스템에 적합한 역할 기반 인증 프로토콜 설계 ㅇ
설계된 인증 프로토콜의 안전성 검증 및 취약점 보완 ㅇ
암호 알고리즘에 대한 성능테스트 및 최적화 작업 ㅇ
암호 알고리즘에 대한 S/W, FPGA 검증 ㅇ
제 2세부과제
■
제어망 검색 엔진 개발 테스트 유지보수 품질확인 , , , ㅇ
제어망 취약점 관련 사례 연결기기 취약점 분석 , ㅇ
제어망 연결기기 취약점 예방책 및 공격 대응 체계 수립 ㅇ
비정상 트래픽 감지에 대한 연구 및 분석 ㅇ
제어시스템 환경에서의 비정상 트래픽 분석을 통한 Detection ㅇ
생성 Rule
제어시스템 환경에서 이상징후를 감지할 수 있는 보안시각화 ㅇ
도구 개발
제어시스템 보안시각화 도구 수정 및 보완 ㅇ
제 3세부과제
■
제어시스템 환경에 특화된 보안특성 분석 ㅇ
제어시스템 환경에 특화된 보안관리체계 개발 ㅇ
제어시스템 정보보호관리체계 활성화 방안 연구 ㅇ
가상화 기반 제어망 구축 및 트래픽 분석 방안 연구 ㅇ
제어시스템 보안관리체계를 위한 취약점 수집 방안 연구 ㅇ
주요 milestone 완성점에서의
수행결과물
■ 제어시스템에 적합한 역할 기반 인증 기법 및 프로토콜 설계
■ 안전하고 효율적인 제어시스템 인증 프로토콜 설계
■ 구현된 암호 알고리즘 성능 테스트 보고서
■ 제어시스템 인증을 위한 최적화된 암호 알고리즘 구현소스
■ 제어망 검색 엔진 개발
■ 제어망 연결기기 취약점 예방책 및 공격 대응 체계 수립
■ 비정상 트래픽 감지 연구
■ 제어시스템 환경에서 이상징후를 감지할 수 있는 보안시각화 도구 개발
■ 산업제어시스템 정보보안 수준평가 방법 개발
■ 제어시스템 보안관리체계 활성화를 위한 법 제도 개선방안·
나 사업수행 산출성과 .
당초 연구 목표 및 연차점검의 주요 착안점 1)
▢ 2014 년도 목표 및 연차점검 주요 착안점
연 도 연구목표 주요 연구내용 연구 목표 연구 실적
차년도 5
(‘14)
제어시스템에서의 -
인증을 위한 암호 알고리즘 구현 및 기반 인증 프로 ID
토콜 개발
제어망 연결기기 -
검색 도구 개발 및 취약점 연구
제어시스템 환경에 -
특화된 보안관리 체계 개발
암호 알고리즘의 최신 동향을 조사 -
및 분석하고 제어시스템 인증에서, 사용할 수 있는 ECC, ARIA, AES 암호 알고리즘을 구현함
인증이 필요한 제어시스템 환경을 -
분석하고 키 관리가 용이한, ID 기반 암호 서명 알고리즘을/ 제어시스템에 적용하여 인증 프로토콜을 개발함
제어망 연결기기 검색 도구들의 -
기능 및 성능들을 평가하고 이를, 취합한 새로운 검색 도구를 개발함 - 제어망 연결기기의 취약점을 수집하고
분석하며 로그분석 기반, 제어시스템의 이상징후 시각화 방안 및 시스템을 연구 개발함 제어시스템 환경에 특화된 보안 -
특성을 분석하고 제어시스템, 환경에 특화된 보안관리체계를 개발함
국내외 특허 출원 등록 ( / )
건 : 18/8 SW
건 : 8
기술이전 건수( ) 건
: 5 표준화
기고 채택 ( / )
건 : 4/2
논문 SCI(E)
건 : 8 시제품
건 : 1 배출인력
석 박사 ( / )
명 : 18/1
국내외 특허 출원 등록 ( / )
건 : 25/7 SW
건 : 9
기술이전 건수( ) 건
: 11 표준화
기고 채택 ( / )
건 : 0/6
논문 SCI(E)
건 : 7 시제품
건 : 4 배출인력
석 박사 ( / )
명 : 16/2
▢ 2015 년도 목표 및 연차점검 주요 착안점
연 도 연구목표 주요 연구내용 연구 목표 연구 실적
차년도 6
(‘15)
제어시스템에서의 -
인증을 위한 암호 알고리즘 검증 및 역할 기반 인증 프로토콜 설계
제어망 연결기기의 -
취약점 확인이 가능한 검색도구 개발 및 시각화 시스템 연구
제어시스템 환경에 -
적합한 항목으로 구성된
보안관리체계 개발 및 사이버보안지표 개발
제어시스템에서 기기 간 인증 시 -
효율적인 키 관리가 가능하며 안전하고 효율적인 역할 기반 인증 프로토콜 설계
제어시스템 인증에 사용할 수 -
있는 차세대 보안기술인 타원곡선 암호 알고리즘 기반의 디지털 전자서명 알고리즘 키 교환 암호, 알고리즘 구현 및 암호
알고리즘의 동작 분석 성능, 테스트 및 최적화 작업 수행 제어망 연결기기의 취약점 확인이 -
가능하며 국내 실정에 맞는 제어망 검색기기 개발하여 해킹 위협에 대한 예방책 및 대응책을 연동
이상징후 탐지 시 관리자에게 -
도움을 줄 수 있는 시각화 시스템 연구
제어시스템 분야 보안관리체계를 -
개발함 국내 외 관리체계 및. · 표준을 비교 분석하여 제어시스템 환경에 적합한 항목으로 구성된 보안관리체계를 개발하여 보안관리체계를 활성화하는 방안을 마련함
국내외 특허 출원 등록 ( / )
건 : 20/10 SW
건 : 12
기술이전 건수( ) 건
: 6 표준화
기고 채택 ( / )
건 : 4/2
논문 SCI(E)
건 : 9 시제품
건 : 0 배출인력
석 박사 ( / )
명 : 18/4
국내외 특허 출원 등록 ( / )
건 : 20/12 SW
건 : 15
기술이전 건수( ) 건
: 7 표준화
기고 채택 ( / )
건 : 0/6
논문 SCI(E)
건 : 10 시제품
건 : 4 배출인력
석 박사 ( / )
명 : 18/4
연구범위 및 연구수행 방법 2)
▢ 연구범위
○ 제어시스템 보안을 위한 사용자 및 응용프로그램 인증기술 개발
− 제어시스템에서의 인증을 위한 암호 알고리즘 구현
타원곡선암호알고리즘 기반 스마트미터보안칩 설계
ü 실제 스마트미터기의 스마트미터 칩에 타원곡선 기반의 암호알고리즘(Elliptic Curve 을 적용하여 이용할 수 있도록 암호 알고리즘을 구현 및 검증하고
Cryptography) ,
암호화 칩을 제작 ECC
ü 기존의 스마트미터 칩에 본 연구를 통해 나온 결과를 적용할 수 있도록 전체적인 칩 의 structure를 제안하고 핵심적인, ECC 암호프로세서를 자체적으로 설계
AES S-box GF(24) based PUFs 설계
ü 국제 표준 블록 암호알고리즘으로 많이 사용되고 있는 AES의 S-box 기반의 개발
Physically Unclonable Functions(PUFs)
ü 본 연구를 통해 개발된 PUFs를 이용하여 기존의 암호시스템 및 각종 전자장비에서 발생할 수 있는 IP 복제 및 제품 자체적으로 고유의 ID 값을 부여함으로 인한 전자장비 자체적으로의 객체 인증에 활용
키 관리가 용이한 ID 기반 서명 기법 설계
ü 제어 기기들에 부여된 식별 ID에 대해 ID 기반 암호시스템을 적용하여 인증을 수행 ü 실제로 활용하기 위해서는 기기들이 실시간으로 등록되고 폐기되어 폐기된 기기에서
정당한 인증을 수행할 수 없도록 하는 기술이 필요
그림
( Ⅰ 5 키 폐기 문제의 필요성- )
− 제어시스템 인증기술 설계
키 관리가 용이한 제어시스템 인증 프로토콜 설계
ü 제어 기기들의 식별 ID를 이용한 인증 환경을 고려하여 키 관리가 용이한 ID 기반 암호 및 서명 기법 설계
ü 설계한 제어시스템 인증 프로토콜의 이론적인 안전성 검증 및 효율성 분석
키 관리가 용이한 제어시스템 인증 프로토콜 설계
ü 제어 기기들의 식별 ID를 이용한 인증 환경을 고려하여 키 관리가 용이한 ID 기반 암호 및 서명 기법 설계
ü 설계한 제어시스템 인증 프로토콜의 이론적인 안전성 검증 및 효율성 분석
제어시스템에 적합한 역할 기반 인증 프로토콜 설계
ü 사용자의 역할에 따라 권한이 부여되는 역할 기반 암호 및 서명 기법 개발
ü 개발된 역할 기반 암호 및 서명 기법을 응용하여 제어시스템에 적합한 역할 기반 인증 프로토콜 설계
설계한 제어시스템 인증 프로토콜의 분석 및 취약점 보완
ü 설계한 인증 프로토콜의 이론적인 안전성 및 효율성에 대한 분석 및 취약점 보완 ü 설계한 인증 프로토콜의 제어시스템 환경에 대한 적합성 분석
암호 알고리즘에 대한 소프트웨어 하드웨어 검증/
ü 제어시스템 인증에 사용할 수 있도록 구현된 암호 알고리즘을 소프트웨어와 하드웨어 단계에서 검증
ü 구현한 ECDSA, ECDH, ARIA, AES를 소프트웨어 환경에서 입 출력 테스트 및 정상적인․ 동작 검증
ü 구현한 ECDSA, ECDH, ARIA, AES를 FPGA를 이용하여 입 출력 테스트 및 정상적인․ 동작 검증
구현한 암호 알고리즘에 대한 성능테스트 및 최적화 작업
ü 구현한 ECDSA, ECDH, ARIA, AES의 성능측정 및 기존의 연구결과와의 비교 분석․ ü 가장 뛰어난 성능을 보이는 연구결과와 유사하거나 보다 향상된 성능을 보일 수 있도록
최적화 작업 수행
ü 소프트웨어 환경에서의 최적화 작업 수행 ü 하드웨어 환경에서의 최적화 작업 수행
○ 제어망 연결기기 검색 및 식별을 위한 시각화 프로그램 개발
− 제어망 연결기기 검색 도구 개발 및 취약점 연구
제어망 연결기기 검색 도구들의 기능 및 성능 평가
제어망 연결기기에 대한 새로운 검색 도구 개발
제어망 연결기기의 취약점 수집 및 분석
로그분석 기반 제어시스템의 이상징후 시각화 방안 및 시스템 개발
− 제어망 연결기기 검색 및 식별을 위한 시각화 프로그램 개발
제어망 연결기기 검색 및 취약점 탐지 검색엔진 개발 ü 제어망 연결기기 검색 엔진 유지 보수
ü 제어시스템 내 연결기기에 대한 취약점 심화 분석 ü 취약점 리포트 도구의 기능 취합
ü 새로운 취약점 정보 업데이트
ü 해외의 제어망기기와 국내 제어망기기를 비교 분석하여 취약점 체계화· ü 해킹 공격에 대한 취약점 예방책 및 공격 대응 체계 수립
제어망 이상징후 시각화 도구 프로토타입 개발 ü 비정상 트래픽 감지 연구
ü 제어시스템 환경에서의 비정상 트래픽 분석을 통해 Detection rule 생성
ü 제어시스템 환경에서 이상징후를 감지할 수 있는 보안시각화 도구 프로토타입 개발
○ 제어시스템 보안관리체계 매뉴얼 개발
− 에너지 제어시스템 분야에 특화된 정보보호 관리체계(ISMECS) 및 사이버안전지수 (MOTIE-CSI)
1)
개발 에너지기반시설 정보보호 위험관리 능력 강화를 위한· ISMECS 개발
산업통상자원부 산하 기관의 보안의식제고 및 보안역량 강화를 위한 MOTIE-CSI 지수 개발
이중 작업 방지 및 중복성 해소를 위해 국가정보원 등 관련 지표와의 연계성을 확보
− 개발된 ISMECS와 MOTIE-CSI의 제도화 및 활성화 방안 제시
ISMECS의 중장기 적용을 위한 단계별 도입 방안을 제시
에너지 제어시스템 보안관리기준 법제화 방안을 제시
ISMECS 활성화를 위한 각 에너지원 및 안전관련 법령의 개정안을 도출
ISMECS와 MOTIE-CSI와의 연계 확장 및 시스템화 방안을 제시
− 제어시스템 보안관리체계 및 평가방법 개발
제어시스템 분야 보안관리체계를 개발함 국내 외 관리체계 및 표준을 비교 분석하여. · 제어시스템 환경에 적합한 항목으로 구성된 보안관리체계를 개발함
제어시스템 분야의 특성을 반영하여 새로운 사이버보안지표를 개발함
− 보안관리체계 활성화 방안 마련
보안관리체계를 활성화하는 방안을 마련함 기존 제어시스템 평가지수와 보안관리체계를. 통한 평가 결과를 연계하여 스스로 보안수준을 파악하고 개선할 수 있도록 유도함
▢ 연구수행방법
○ 문헌 연구 및 최신 연구 동향 조사
− 학계 기존 연구 파악
국내외 유명 논문지 및 학술지 게재 논문 조사
SCI급 논문 및 저명한 학회의 제어망 보안 세션 위주로 조사하여 학계 최신 동향 파악
제어시스템 관련 인증기술 취약점 보안관리체계 관련 표준, , , DB 등 문헌조사
국내 외 관련 법 제도 제 개정 동향 분석· · ·
1)
ISMECS(Information Security Management for Energy Control System): 에너지제어시스템정보보호관리체계− 학회 및 외부세미나 참석
국내 외 저명 학술대회 게재 논문 발표 내용 조사· ,
제어시스템 보안 관련 국내 외 학술대회 및 외부 세미나 참석 통한 기술 동향 파악·
전문가들과의 의견 교환을 통해 다양한 분석 방법 연구
최신 인증 기술 암호 알고리즘 구현기술 습득,
− 자체 세미나를 통한 연구 효율 증진
정기적인 세미나 및 워크숍을 통한 연구원 간의 지속적인 토론과 의견 공유
지속적인 토론을 통해 설계된 기술의 최적화 방안 모색
전문가 초청 강연을 통한 전문 지식 습득
− 산업계 동향 파악 및 교류
산업체와의 긴밀한 협력을 통한 시장 조사 및 시장 요구 사항 분석
연구 결과를 산업계로 기술 이전하는 것을 활성화하여 상용화의 극대화 추진
본 대학원 소속 제어시스템 관련 업계 종사 전문가들과의 정기적인 교류 통한 정보 습득
○ 자체 연구 진행과 진행상황 및 의견 공유
− 내부 워크샵 및 세미나 진행
정기적인 세미나 및 워크숍을 통한 연구원 간의 지속적인 토론과 의견 공유
지속적인 토론을 통해 설계된 기술의 최적화 방안 모색
주기적인 워크샵 및 자체 세미나를 통하여 연구원들 간의 의견 공유
정기적으로 연구 진행상황을 공유하고 피드백 반영하여 연구목표에 맞는 연구 진행
− 모의 및 실제 환경에서의 실험 통한 신뢰성 향상
KISA 및 한국 전력 제어망 테스트 베드시스템을 통한 모의 환경에서의 실험
테스트 베드 실험 통해 얻은 정보를 이용하여 실제 개발 시스템에 적용
제어시스템 보안관리체계에 위험관리 프로세스 적용방안 연구 및 실제 적용
연구수행 내용 및 결과 3)
▢ 제어시스템 보안을 위한 사용자 및 응용프로그램 인증기술 개발 연구결과
○ AMI 상에서 FEP 서버에 저장되는 주요 정보들의 보호를 위한 서버용 암호모듈 소프트웨어 개발
그림
( Ⅰ 6- ) AMI 구조도
− 개체 인증 데이터 무결성 및 기밀성 제공,
− 대칭키 128비트 이상의 암호알고리즘 사용
− 공개키 보안강도 3072비트 이상의 암호알고리즘 선택
○ DCU 주요 정보들의 보호를 위한 ARM9 LINUX 기반의 암호모듈 소프트웨어 개발
− 개체 인증 데이터 무결성 및 기밀성 제공,
구성요소 세부 구성요소 상세 내역
저장장치 메모리
SRAM: 64 Kbytes DRAM Memory: DDR2 256Mb NAND Flash Memory: 122MB 연산장치 마이크로프로세서
(CPU) ARM926
○ FPGA 상에서의 Secure Design 설계를 통해 블록암호의 안전성 보완 및 현실적 인 설계방식으로 구현
− Secure Design 설계의 문제점 2요소(Early Propagation) 해결
− 부하 캐패시턴스 차이에 의한 Leakage 감소를 위한랜덤마스킹 기법적용
− Precharge Signal의 오류주입 공격과 전자파분석의 방어 기법적용
2-phase 비동기 프로토콜을 적용한 자가 Precharge 적용
클럭과 관계된 공격가능성 자연스럽게 제거
Global Clock 및 Global Precharge signal 제거를 통한 FPGA상에서 총 면적 감소
그림
( Ⅰ 7- ) FPGA상에서의 Secure Design을 적용한 AES-SBOX 설계 후 시뮬레이션
그림
( Ⅰ 8- ) FPGA(Spartan6-lx75)상에서 맵핑된 Secure Design을 적용한 AES Core
전원장치 전원공급장치 47EJ
입출력 장치
USB USB2.0
GPIO 160 Pin
LCD TFT-LCD
표
( Ⅰ 1- ) ARM-Linux Kernel 2.6.39 32bit용 보안모듈 하드웨어 환경
▢ 제어망 연결기기 검색 및 식별을 위한 시각화 프로그램 개발 연구 결과
○ 제어망 연결기기 및 관련 연구 분석
− 학계의 기존 연구 파악
Dillon Beresford, “Siemens Simatic S7 PLC Exploitation”, Black Hat USA 2011 등
− 제어망 연결기기 검색 및 식별 기술에 대한 최근 동향 파악
인터넷 기반 장치를 검색할 수 있는 쇼단(SHODAN) 검색 엔진 개발, Secure Firewall,
의 의
Plantdata technologies社 patriot SCADA, Bayshore networks社 SCADA Firewall 등 출시
새로운 개념의 공격 방법 소개: Crossfire Attack
스카다 시스템 네트워크에서 설계 배치 운용 등 단계별 보안에 대한 인식 부족, ,
− KISA 테스트 베드 시스템 대상 분석 진행
테스트베드 시스템 분석 정수처리 시스템 을 통해( ) GE, CIMON, SIEMENS, MODBUS의 패킷 구조를 분석하는 방법을 제시하고 특정 네트워크 망에서, PLC를 탐지하는 방법 제시
그림
( Ⅰ 9 정수처리 시스템 구성도- )
○ 공격 시나리오 제시 연구결과
− 무정전전원장치(UPS) 접속 방식과 공격 시나리오 제시
HTTP 프로토콜 또는 Telnet 프로토콜을 사용하여 무정전전원장치 접속
UPS 전압 조작 / Telnet 접속
그림
( Ⅰ 10 무전원장치 공격 시나리오 전압조작- ) ( )
그림
( Ⅰ 11 무전원장치 공격 시나리오- ) (Telnet)
− 외부망에 연결된 Modbus(SCADA 시스템 프로토콜 시스템 목록 스캔)
우리나라 SCADA 시스템 270개 확인 케이티 등( )
− SCADA Protocol Analysis, IP Map을 이용한 제어시스템 보안기술 연구진행
제어망 연결기기 검색을 위한 프로그램 개발 파이썬을 이용한 프로토 타입( )
그림
( Ⅰ 12- ) Modbus 스캐너
▢ 제어시스템 보안관리체계 운영 매뉴얼 개발 연구결과
○ 이전 연구단계에서는 에너지분야 전력 가스 등 ( , ) 기반시설의 특성을 반영한 정보보호 관리체계로 에너지 제어시스템을 보유한 조직의 효과적인 보안관리를 위한 평가체계 개발
○ 개발된 평가 체계의 활용의 활성화 방안으로 에너지분야 기반시설에 관한 법률 및 개정 방안을 정리함
○ 에너지 제어시스템 관련 법률 및 지침 분석
그림
( Ⅰ 13 에너지 분야 법제화 추진 과정- )
○ 에너지 제어시스템 관련 법률 현황
− 국내 에너지 기반시설 및 에너지 자원의 형태에 따라 법이 제정되어 있음
− 각 에너지 산업 및 에너지 산업군을 모두 포괄하는 에너지법이 존재하지만 전반적인 산업군에 대한 안전관리 조항이 없어 문제 발생 시 혼란이 야기될 수 있음
계 통 관련 법률
전력 전기사업법
전력기술관리법
가스
고압가스 안전관리법 도시가스사업법
액화석유가스의 안전관리 및 사업법
석유 석탄/
석탄사업법 광산보안법
석유 및 석유대체연료 사용법 액화석유가스의 안전관리 및 사업법
원자력 원자력안전법
원자력진흥법
기타 신에너지 및 재생에너지 개발 이용 보급 촉진법· · 에너지법
표
( Ⅰ 2 에너지 제어시스템 관련 법률 현황- )
그림
( Ⅰ 14 에너지 관련 법률 현황- )
○ 에너지 제어시스템 관리기준 법제화 방안
− 기존 국내 에너지 기반시설 및 에너지법에서 결여된 시설의 안전관리 및 이를 평가하기 위한 고시를 마련이 필요하여 에너지법의 3단 비교를 통하여 확인
− 확인결과 에너지법 제 조 에너지법 시행령9 - 4조 7항의 에너지안전전문위원회의 내용을 세부적으로 확장시켜 고시를 제정 하고자 함
− 모든 형태의 에너지를 포함한 에너지법의 제 조 에너지위원회의 구성 및 운영 및9 ( ) 에너지법 시행령 제 조 전문위원회의 구성 및 운영4 ( ) 7 (항 에너지안전전문위원회 에) 근거하여 『에너지 사용시설 및 에너지 공급 시설의 안전관리에 관한 고시 를 제』 정
− 『에너지 사용시설 및 에너지 공급 시설의 안전관리에 관한 고시』는 에너지 사용시설 및 에너지 공급시설의 안전관리 평가기관 지정절차와 안전관리 평가 업무 절차의 내용으로 구성되며 고시 제정으로 모든 에너지 공급시설 및 사용시설 등의 안전관리 및 평가절차로 체계적이며 통합적인 관리가 가능
○ 제정안 도출 결과
− 『에너지 사용시설 및 에너지 공급 시설의 안전관리에 관한 고시』 제정을 통해 모든 에너지 공급시설 및 사용시설을 안전관리 및 평가절차를 활용하여 통합적이고 체계적인 관리가 가능
− 『에너지 사용시설 및 에너지 공급 시설의 안전관리에 관한 고시 는 총 제 장』 3 14조로 구성되며 총칙 및 에너지 안전관리 평가업무 절차 에너지 안전관리 평가기관의, , 지정의 내용을 포함
− 에너지 사용시설 및 에너지 공급 시설의 안전관리에 관한 고시 는 에너지 사용시설』 및 에너지 공급시설의 안전관리 평가기관 지정절차와 안전관리 평가 업무 절차의 내용으로 구성
○ 에너지 안전관리 평가업무 절차의 주요 내용
항 목 설 명
평가절차 평가항목 분류로 평가 항목을 선별하고 이를 토대로 통제평가와 위험평가, 를 수행하여 평가결과를 산출 후 평가등급을 부여함
평가항목 정보통신기술 영역 및 제어기술 영역의 평가항목을 분류하여 안전관리 평가를 수행함
평가결과 서류평가 및 현장평가의 수행결과를 종합하여 평가결과를 산출함 평가등급 사위원회는 종합된 평가결과를 검토하여 최종 평가등급을 부여함
표
( Ⅰ 3 에너지 안전관리 평가업무 절차 주요 내용- )
