KR101871406B1 - 화이트리스트를 이용한 제어시스템의 보안관제 방법 및 이를 위한 시스템 - Google Patents

Abstract

화이트리스트를 이용한 제어시스템의 보안관제 방법 및 이를 위한 시스템이 개시된다. 본 발명에 따른 보안관제 방법은 제1 보안정보 수집장치가, 제1 제어시스템에 포함된 적어도 하나의 보안장치를 기반으로 보안정보를 수집하는 단계; 상기 제1 보안정보 수집장치가, 상기 보안정보를 상기 제1 제어시스템에 대응하는 제1 단위보안관제장치로 전송하는 단계; 상기 제1 단위보안관제장치가, 상기 보안정보를 분석하여 상기 제1 제어시스템의 보안관제를 수행하는 단계; 및 부문보안관제장치가, 제2 제어시스템에 대응하는 제2 단위보안관제장치와 상기 제1 단위보안관제장치로부터 각각 상기 보안정보를 획득하고, 보안정보들을 기반으로 상기 제1 제어시스템과 상기 제2 제어시스템의 보안관제를 수행하는 단계를 포함한다.

Description

화이트리스트를 이용한 제어시스템의 보안관제 방법 및 이를 위한 시스템 {METHOD FOR SECURITING CONTROL SYSTEM USING WHITELIST AND SYSTEM FOR THE SAME}

본 발명은 제어시스템에 대한 보안관제 기술에 관한 것으로 특히, 제어시스템의 폐쇄망 정책을 유지하면서 내부망 및 외부로 데이터를 전달하는 외부접점에 대한 사이버 보안관제가 가능한 화이트리스트를 이용한 제어시스템의 보안관제 방법 및 이를 위한 시스템에 관한 것이다.

제어시스템은 산업설비에 대한 계측과 제어, 플랜트 상태의 감시와 관리, 전력의 생산 및 분배 관리, 열차나 항공 등의 교통 인프라 제어, 댐, 석유나 가스 시설의 감시와 제어에 이르기까지 중요 생산 및 기반 설비에 사용되고 있다.

이와 같은 제어시스템에는 과거 정보 이력 관리, 보고서 기능, 과거 실시간 계측 경향 등의 과거 데이터도 저장되어 있기 때문에 사이버침해가 발생하면 해당 제어시스템의 운영 정보 및 상태 정보가 유출되어 제어시스템에 심각한 위협이 될 수 있다.

대부분의 제어시스템은 폐쇄망으로 네트워크를 구성함으로써 외부로부터의 침입이 원천적으로 봉쇄되어 있어 안전하다고 인식되어 있었다. 하지만, 2010년 발전소, 공항, 철도 등의 기간시설을 파괴할 목적으로 제작된 컴퓨터바이러스의 일종인 스턱스넷을 시작으로, 제어시스템에 대한 공격 방법은 점점 진화하여 2012년에는 제어시스템을 타겟으로한 듀크, 플레임, 가우스, 마흐디, 샤문, 스카이와이퍼 등의 새로운 악성코드가 발견되었다. 또한, APT(Advanced Persistent Threat) 공격 및 제어시스템 취약점 공개 등으로 인해 제어시스템은 더 이상 안전하지 않다는 의견이 지배적이다. 미국의 ICS-CERT에 따르면, 2013년 제어시스템에 대한 침해사고는 257건으로 전년도 대비 25% 정도가 증가하였고, 그 수는 점점 늘어날 것으로 예상하고 있다.

이러한 문제를 해결하기 위하여 제어시스템 운영사들은 망 분리 기술을 적용하여 제어시스템 내부를 보호하고 있다. 또한, IT 보안기술과 관제기술을 제어시스템으로 적용하기 위하여 많은 연구가 진행되고 있다. 하지만, 제어시스템에 IT 보안기술과 관제기술을 적용하기에는 몇 가지 문제점이 있다.

첫 번째로, IT 보안관제 기술은 외부 네트워크(인터넷)에서 들어오는 트래픽에 대한 보안관제를 실시하고 있다. 하지만 제어시스템 네트워크는 폐쇄망으로 운영되어 있어, 외부망 보안관제 기술의 적용이 적합하지 않다. 두 번째로 IT 보안관제에 사용되었던 IDS(Intrusion Detection System), IPS(Intrusion Prevention System) 및 백신 프로그램은 인터넷을 기반으로 신규 공격 탐지 패턴이 업데이트 된다. 하지만, 제어시스템은 운영되는 시스템의 가용성의 문제로 보안업데이트 및 패치의 적용이 어렵다. 세 번째로 제어시스템은 가용성을 가장 큰 목적으로 하고 있기 때문에, 트래픽 센서와 같이 네트워크 장치 성능에 영향을 주는 시스템의 도입을 꺼려하고 있다.

따라서, 제어시스템의 가용성 및 폐쇄망 원칙을 유지하면서 사이버 보안관제가 가능한 새로운 제어시스템 보안관제 기술의 필요성이 절실하게 대두된다.

한국 등록 특허 제10-1455167호, 2014년 10월 21일 등록(명칭: 화이트리스트 기반의 네트워크 스위치)

본 발명의 목적은 제어시스템의 제어 트래픽과 보안관제 트래픽을 분리함으로써 제어시스템의 가용성에 영향을 주지 않으면서 제어시스템의 보안관제를 수행하는 것이다.

또한, 본 발명의 목적은 연계구간뿐만 아니라 제어시스템 내부에 대한 관제를 고려하여 불법 USB 사용, 유지보수에 의한 제어망 공격 및 사고에 대한 대응이 가능하도록 하는 것이다.

또한, 본 발명의 목적은 제어시스템의 특성을 반영하여 제어망 내부의 상황을 화이트리스트 기반으로 감시함으로써 제어시스템의 이상징후 및 사이버공격 탐지가 가능하도록 하는 것이다.

또한, 본 발명의 목적은 보안정보의 상관관계 분석을 통해 내부망 보안시스템들 간의 로그, 이벤트 연관관계, 상호 일치성 분석, 제어망 간 통신이력 및 보안정보 들의 상호 검증을 가능하게 하는 것이다.

또한, 본 발명의 목적은 제어시스템의 폐쇄망 정책을 유지하면서 보안관제를 위한 정보교환을 가능하게 하는 것이다.

또한, 본 발명의 목적은 보안관제 수행 시 물리적 단방향 자료전달 시스템을 활용함으로써 제어시스템의 제어망으로 공격자가 침투하는 것을 원천적으로 차단하는 것이다.

또한, 본 발명의 목적은 정해진 체계를 통해 사이버사고 및 시스템 이상 정보를 상위 기관으로 전파하여 다른 제어시스템의 피해를 최소화하는 것이다.

또한, 본 발명의 목적은 상위관리기관의 정보전달을 용이하게 하는 것이다.

상기한 목적을 달성하기 위한 본 발명에 따른 제어시스템의 보안관제 방법은, 제1 보안정보 수집장치가, 제1 제어시스템에 포함된 적어도 하나의 보안장치를 기반으로 보안정보를 수집하는 단계; 상기 제1 보안정보 수집장치가, 상기 보안정보를 상기 제1 제어시스템에 대응하는 제1 단위보안관제장치로 전송하는 단계; 상기 제1 단위보안관제장치가, 상기 보안정보를 분석하여 상기 제1 제어시스템의 보안관제를 수행하는 단계; 및 부문보안관제장치가, 제2 제어시스템에 대응하는 제2 단위보안관제장치와 상기 제1 단위보안관제장치로부터 각각 상기 보안정보를 획득하고, 보안정보들을 기반으로 상기 제1 제어시스템과 상기 제2 제어시스템의 보안관제를 수행하는 단계를 포함한다.

이 때, 수집하는 단계는 상기 제1 보안정보 수집장치가, 상기 제1 제어시스템의 제어망과 분리된 보안관제망을 통해 상기 적어도 하나의 보안장치로부터 상기 보안정보를 수집할 수 있다.

이 때, 전송하는 단계는 상기 제1 제어시스템의 내부에 위치하는 상기 제1 보안정보 수집장치가, 물리적 단방향 전송을 기반으로 상기 제1 제어시스템의 외부에 위치하는 상기 제1 단위보안관제장치로 상기 보안정보를 전송할 수 있다.

이 때, 제1 제어시스템의 보안관제를 수행하는 단계는 상기 보안정보를 기반으로 상기 제1 제어시스템에 상응하는 제1 화이트리스트를 생성하는 단계; 상기 제1 화이트리스트를 기반으로 상기 제1 제어시스템을 모니터링하는 단계; 및 상기 제1 제어시스템에서 상기 제1 화이트리스트에 위배되는 비인가 정보가 발생한 경우, 상기 제1 단위보안관제장치가 상기 비인가 정보에 대응하는 처리를 수행하는 단계를 포함할 수 있다.

이 때, 제1 화이트리스트를 생성하는 단계는 상기 보안정보를 기반으로 상기 제1 제어시스템의 동작 패턴을 분석하고, 상기 동작 패턴에 상응하게 상기 제1 화이트리스트를 생성할 수 있다.

이 때, 보안정보는 상기 적어도 하나의 보안장치의 로그(log)에 상응하고, 네트워크 트래픽 로그, 방화벽 로그, 임베디드 제어기기 트래픽 로그, NAC(Network Access Control) 로그, USB 접속로그, 백신 탐지 로그, 시스템 로그, 네트워크 시스템 로그 및 물리적 방호 시스템 로그 중 적어도 하나를 포함할 수 있다.

이 때, 제1 제어시스템과 상기 제2 제어시스템의 보안관제를 수행하는 단계는 상기 보안정보들을 기반으로 상기 제1 제어시스템과 상기 제2 제어시스템 간의 통신패턴 상관관계를 분석하고, 상기 통신패턴 상관관계에 상응하는 제어시스템 간 화이트리스트를 생성하는 단계; 상기 제어시스템 간 화이트리스트를 기반으로 상기 제1 제어시스템과 상기 제2 제어시스템을 모니터링하는 단계; 및 상기 제1 제어시스템과 상기 제2 제어시스템 간의 통신 중 상기 제어시스템 간 화이트리스트에 위배되는 비인가 통신정보가 발생한 경우, 상기 부문보안관제장치가 상기 제1 단위보안관제장치와 상기 제2 단위보안관제장치를 제어하여 상기 비인가 통신정보에 대응하는 처리를 수행하는 단계를 포함할 수 있다.

이 때, 제어시스템 간 화이트리스트를 생성하는 단계는 상기 보안정보들을 기반으로 방화벽 로그, L3 장비 로그, IDS 로그 및 IPS 로그 중 적어도 하나의 로그를 추출하고, 상기 적어도 하나의 로그를 기반으로 상기 통신패턴 상관관계를 분석할 수 있다.

이 때, 보안관제 방법은 통합보안관제장치가 상기 부문보안관제장치로 보안관제정보를 공유하는 단계; 및 상기 부문보안관제장치가 상기 제1 단위보안관제장치와 상기 제2 단위보안관제장치로 상기 보안관제정보를 공유하는 단계를 더 포함할 수 있다.

이 때, 보안관제정보는 보안위협 정보, 사이버사고 처리 정보, 탐지 규칙, 행사 정보 및 문서 정보 중 적어도 하나에 상응할 수 있다.

이 때, 제1 제어시스템과 상기 제2 제어시스템의 보안관제를 수행하는 단계는 상기 제1 제어시스템에서 상기 제2 제어시스템으로의 제1 통신정보와 상기 제2 제어시스템에서 상기 제1 제어시스템으로의 제2 통신정보를 획득하는 단계; 상기 제1 통신정보와 상기 제2 통신정보의 일관성을 분석하는 단계; 및 상기 제1 통신정보와 상기 제2 통신정보의 일관성이 결여된 경우, 상기 부문보안관제장치가 상기 제1 단위보안관제장치와 상기 제2 단위보안관제장치를 제어하여 상기 제1 제어시스템과 상기 제2 제어시스템 간의 통신을 차단하는 단계를 더 포함할 수 있다.

또한, 본 발명의 일실시예에 따른 보안관제 시스템은, 제어시스템의 내부에 설치되고, 상기 제어시스템에 포함된 적어도 하나의 보안장치를 기반으로 보안정보를 수집하는 보안정보 수집장치; 상기 보안정보를 분석하여 상기 제어시스템의 보안관제를 수행하는 단위보안관제장치; 및 상기 제어시스템과 다른 제어시스템으로부터 각각 상기 보안정보를 획득하고, 보안정보들을 기반으로 상기 제어시스템과 상기 다른 제어시스템의 보안관제를 수행하는 부문보안관제장치를 포함한다.

이 때, 보안정보 수집장치는 상기 제어시스템의 제어망과 분리된 보안관제망을 통해 상기 적어도 하나의 보안장치로부터 상기 보안정보를 수집할 수 있다.

이 때, 보안정보 수집장치는 물리적 단방향 전송을 기반으로 상기 제어시스템의 외부에 위치하는 상기 단위보안관제장치로 상기 보안정보를 전송할 수 있다.

이 때, 단위보안관제장치는 상기 보안정보를 기반으로 상기 제어시스템에 상응하게 생성된 화이트리스트를 기반으로 상기 제어시스템을 모니터링하고, 상기 제어시스템에서 상기 화이트리스트에 위배되는 비인가 정보가 발생한 경우에 상기 비인가 정보에 대응하는 처리를 수행할 수 있다.

이 때, 단위보안관제장치는 상기 보안정보를 기반으로 상기 제어시스템의 동작 패턴을 분석하고, 상기 동작 패턴에 상응하게 상기 화이트리스트를 생성할 수 있다.

이 때, 보안정보는 상기 적어도 하나의 보안장치의 로그(log)에 상응하고, 네트워크 트래픽 로그, 방화벽 로그, 임베디드 제어기기 트래픽 로그, NAC(Network Access Control) 로그, USB 접속로그, 백신 탐지 로그, 시스템 로그, 네트워크 시스템 로그 및 물리적 방호 시스템 로그 중 적어도 하나를 포함할 수 있다.

이 때, 보안관제 시스템은 상기 부문보안관제장치로 보안관제정보를 공유하는 통합보안관제장치를 더 포함할 수 있다.

이 때, 부문보안관제장치는 상기 단위보안관제장치로 상기 보안관제정보를 공유할 수 있다.

이 때, 보안관제정보는 보안위협 정보, 사이버사고 처리 정보, 탐지 규칙, 행사 정보 및 문서 정보 중 적어도 하나에 상응할 수 있다.

본 발명에 따르면, 제어시스템의 제어 트래픽과 보안관제 트래픽을 분리함으로써 제어시스템의 가용성에 영향을 주지 않으면서 제어시스템의 보안관제를 수행할 수 있다.

또한, 본 발명은 연계구간뿐만 아니라 제어시스템 내부에 대한 관제를 고려하여 불법 USB 사용, 유지보수에 의한 제어망 공격 및 사고에 대한 대응이 가능할 수 있다.

또한, 본 발명은 제어시스템의 특성을 반영하여 제어망 내부의 상황을 화이트리스트 기반으로 감시함으로써 제어시스템의 이상징후 및 사이버공격 탐지가 가능할 수 있다.

또한, 본 발명은 보안정보의 상관관계 분석을 통해 내부망 보안시스템들 간의 로그, 이벤트 연관관계, 상호 일치성 분석, 제어망 간 통신이력 및 보안정보 들의 상호 검증을 가능하게 할 수 있다.

또한, 본 발명은 제어시스템의 폐쇄망 정책을 유지하면서 보안관제를 위한 정보교환을 가능하게 할 수 있다.

또한, 본 발명은 보안관제 수행 시 물리적 단방향 자료전달 시스템을 활용함으로써 제어시스템의 제어망으로 공격자가 침투하는 것을 원천적으로 차단할 수 있다.

또한, 본 발명은 정해진 체계를 통해 사이버사고 및 시스템 이상 정보를 상위 기관으로 전파하여 다른 제어시스템의 피해를 최소화할 수 있다.

또한, 본 발명은 상위관리기관의 정보전달을 용이하게 할 수 있다.

도 1은 본 발명의 일실시예에 따른 화이트리스트를 이용한 제어시스템의 보안관제 시스템을 나타낸 도면이다.
도 2는 본 발명에 따른 보안관제 시스템이 적용된 제어시스템의 일 예를 나타낸 도면이다.
도 3은 본 발명에 따른 제어시스템의 보안정보 전달 방법의 일 예를 나타낸 도면이다.
도 4는 본 발명의 일실시예에 따른 화이트리스트를 이용한 제어시스템의 보안관제 방법을 나타낸 동작 흐름도이다.
도 5는 본 발명의 일실시예에 따른 보안관제 시스템으로 비인가 서비스의 접속을 탐지하는 과정을 나타낸 도면이다.
도 6은 본 발명의 일실시예에 따른 보안관제 시스템으로 비인가 장치의 접속을 탐지하는 과정을 나타낸 도면이다.
도 7은 본 발명의 일실시예에 따른 보안관제 시스템으로 제어시스템 내부 장치의 고장을 탐지하는 과정을 나타낸 도면이다.
도 8 내지 도 9는 본 발명의 일실시예에 따른 보안관제 시스템에서 제어시스템의 라우팅 정책을 적용하는 과정을 나타낸 도면이다.
도 10 내지 도 11은 본 발명의 일실시예에 따른 보안관제 시스템에서 제어시스템의 방화벽 정책을 적용하는 과정을 나타낸 도면이다.
도 12는 본 발명의 일실시예에 따른 보안관제 시스템에서 수집정보 및 보안위협 정보를 공유하는 과정을 나타낸 도면이다.
도 13은 본 발명의 일실시예에 따른 보안관제 시스템으로 제어시스템 내부망 사이의 이상징후를 탐지하는 과정을 나타낸 도면이다.
도 14는 본 발명의 일실시예에 따른 보안관제 시스템에서 인가 서비스를 기반으로 제어시스템의 방화벽 정책을 적용하는 과정을 나타낸 도면이다.

본 발명을 첨부된 도면을 참조하여 상세히 설명하면 다음과 같다. 여기서, 반복되는 설명, 본 발명의 요지를 불필요하게 흐릴 수 있는 공지 기능, 및 구성에 대한 상세한 설명은 생략한다. 본 발명의 실시형태는 당 업계에서 평균적인 지식을 가진 자에게 본 발명을 보다 완전하게 설명하기 위해서 제공되는 것이다. 따라서, 도면에서의 요소들의 형상 및 크기 등은 보다 명확한 설명을 위해 과장될 수 있다.

본 발명의 개념에 따른 실시 예들은 다양한 변경들을 가할 수 있고 여러 가지 형태들을 가질 수 있으므로 실시 예들을 도면에 예시하고 본 명세서에서 상세하게 설명하고자 한다. 그러나, 이는 본 발명의 개념에 따른 실시 예들을 특정한 개시 형태들에 대해 한정하려는 것이 아니며, 본 발명의 사상 및 기술 범위에 포함되는 모든 변경, 균등물, 또는 대체물을 포함한다.

제1 또는 제2 등의 용어는 다양한 구성 요소들을 설명하는데 사용될 수 있지만, 상기 구성 요소들은 상기 용어들에 의해 한정되어서는 안 된다. 상기 용어들은 하나의 구성 요소를 다른 구성 요소로부터 구별하는 목적으로만, 예컨대 본 발명의 개념에 따른 권리 범위로부터 벗어나지 않은 채, 제1구성 요소는 제2구성 요소로 명명될 수 있고 유사하게 제2구성 요소는 제1구성 요소로도 명명될 수 있다.

이하, 본 발명에 따른 바람직한 실시예를 첨부된 도면을 참조하여 상세하게 설명한다.

도 1은 본 발명의 일실시예에 따른 화이트리스트를 이용한 제어시스템의 보안관제 시스템을 나타낸 도면이다.

도 1을 참조하면, 본 발명의 일실시예에 따른 화이트리스트를 이용한 제어시스템의 보안관제 시스템은 제어시스템(110-1~ 110-N), 보안정보 수집장치(111-1~ 111-N), 단위보안관제장치(120-1~ 120-N), 부문보안관제장치(130-1~ 130-M) 및 통합보안관제장치(140)를 포함한다.

제어시스템(110-1~ 110-N)은 전력 생산 및 분배, 댐 운영, 가스 생산 및 유통, 수자원 등의 운영을 제어 및 관리하는 시스템에 상응할 수 있다.

대부분의 제어시스템은 폐쇄망으로 네트워크를 구성하기 때문에 외부로부터의 침입이 원천적으로 봉쇄되어 안전하다고 인식된다. 하지만, 스턱스넷의 등장, 제어시스템 대상 악성코드, APT(Advanced Persistent Threat) 공격 및 제어시스템 취약점 공개 등으로 인해 제어시스템은 더 이상 안전하지 않다는 의견이 지배적이다.

이러한 문제를 해결하기 위해 제어시스템에 대한 사이버 보안관제에 대해 많은 연구가 진행되고 있다. 그러나, IT 시스템과 제어시스템은 구조나 서비스가 다름에도 불구하고 대부분의 제어시스템 사이버 보안관제는 IT 보안기술을 적용하고 있다.

이 때, [표 1]은 일반 IT 시스템과 제어시스템을 비교한 자료이다.

항목	IT 시스템	제어시스템
실시간성	일부 서비스에 따라 실시간성 요구	실시간
신뢰성	일부 서비스에 따라 신뢰성 있는 응답요구	서비스 응답 중요
QoS	지연이나 Jitter 허용	비허용
서비스 연속성	비연속적 서비스	연속적인 서비스
고장 및 장애	고장 및 장애 허용	운전정지 허용되지 않음
서비스	베타테스트 후 적용가능	적용이전 철저한 테스트 필요
중요도	데이터 무결성 중요	인간의 안정 중요
손실	데이터 손실이나 작업의 손실	환경, 인명, 장비, 제품의 손실
정책	기밀성>무결성>가용성	가용성>무결성>기밀성
하드웨어	컴퓨터와 네트워크 장비	컴퓨터, 네트워크, PLC, IED, RTU등
네트워크	인터넷과 연결	폐쇄망 운영
운영	비교적 단기	장기 운영
어플리케이션	다양한 어플리케이션	전용 어플리케이션
프로토콜	공개 프로토콜	비공개된 전용 프로토콜
패치	패치 용이함	패치의 어려움
유지보수	원격 유지보수 및 현장방문 유지보수	현장방문 유지보수
사이버 사고영향	데이터 탈취, 파괴	데이터 및 시스템의 파괴 및 탈취, 인명손실, 물리적 장치 파괴
복구	용이함	어려움
복구 시간	단기간	추가시험 등으로 인해 장기간 소요

이 때, [표 1]을 참조하면 제어시스템은 높은 실시간성, 신뢰성 있는 응답 및 안전을 요구하고 있다. 그리고 IT 시스템은 데이터의 기밀성이 중요하지만, 제어시스템은 시스템의 가용성을 더 중요시하고 있다.

또한, IT 시스템은 외부접점에 대한 보안관제를 실시하고 있지만, 제어시스템은 서버와 네트워크 장비 이외에도 PLC(Programmable Logic Controller), IED(Intelligent Electronic Device), RTU(Remote Terminal Unit), DCU(Digital Communication Unit), DCS(Distributed Control System)와 같은 임베디드 장비들로 구성되어 있다. 또한, 제어시스템은 어플리케이션 및 통신 프로토콜도 독자적인 제어 프로토콜을 사용하고, 높은 통신의 신뢰성을 요구한다.

이 때, [표 2]는 IT 보안관제와 제어시스템 보안관제를 비교한 자료이다.

비교	IT 보안관제	제어시스템 보안관제
구간	인터넷과 기관망 연계구간	제어망과 업무망 연계구간 제어망 내부
대상	IT 장비	제어기기 및 현장기기
주요 정보수집 센서	연계구간 트래픽 통계 정보 보안로그(방화벽 로그, IDS 로그) USB 접속 이벤트	IT 보안관제 USB 접속 이벤트 제어망 트래픽 통계 정보 제어망 보안로그(IDS 로그, 화이트리스트 로그) 물리적 방호 시스템 로그
프로토콜	공개 프로토콜	비공개 전용 프로토콜 사용
백신 프로그램	운영 가능	임베디드 장비에는 설치 불가
	업데이트 서버 운영 가능	일부 제어시스템에서 업데이트 서버 운영 - 제어기기(RTOS 제품)은 불가

또한, [표 2]를 참조하면, IT 보안관제 시스템은 인터넷과 연결된 시스템에 대한 보안관제를 실시하고 있다. 따라서, IT 보안관제 기술은 외부로부터 유입되는 데이터에 대한 보안관제가 핵심이다. 이 때, 인터넷을 통해 접근하는 불특정 다수 및 불특정 트래픽을 방어하기 위해 블랙리스트 기반의 보안관제를 실시하고 있다. 하지만, 제어시스템은 폐쇄망으로 운영되고, 가용성을 중요시하기 때문에 시스템 운영에 필요한 데이터만 허용할 수 있다. 그런 이유로 외부에서 유입되는 트래픽은 시스템 운영에 필요한 데이터만 사용되고, 제어시스템 내부의 트래픽도 시스템 운영에 필요한 데이터만 사용한다.

또한, 제어시스템은 폐쇄망으로 운영되어 보안 패치 업그레이드(IDS 시그니처, IPS 시그니처, 방화벽 규칙 업데이트, 시스템 보안패치, 백신 업데이트 등)는 IT 보안관제 시스템처럼 실시간으로 적용이 불가능하다. 따라서, 제어시스템의 보안관제는 허용된 패턴 기반, 즉 화이트리스트를 기반으로 실시해야 한다.

또한, 폐쇄망 정책 유지를 위하여 데이터를 단방향 혹은 일방향으로 전송이 가능한 망 분리 시스템으로 공격을 원천적으로 차단하여야 한다.

따라서, 본 발명에서는 이러한 문제점들을 해결하기 위하여 제어시스템 내부의 보안성과 가용성을 보장하면서 제어시스템에 대한 사이버 보안관제가 가능한 보안관제 시스템을 제시하고자 한다.

이 때, 보안관제 시스템에서 실제 보안관제를 담당하는 부분은 도 1에 도시된 단위보안관제장치(120-1~ 120-N), 부문보안관제장치(130-1~ 130-M) 및 통합보안관제장치(140)에 상응할 수 있다.

이 때, 단위보안관제장치(120-1~ 120-N), 부문보안관제장치(130-1~ 130-M) 및 통합보안관제장치(140)는 규모나 운영방식에 따라 분류될 수 있다. 예를 들어, 단위보안관제는 관제 대상 기관이나 제어시스템에 상응하게 수행될 수 있고, 부문보안관제는 관제 대상 기관의 본사에 상응하게 수행될 수 있고, 통합보안관제는 산업부, 국토부, 안행부와 같은 정부부처에 상응하게 수행될 수도 있다.

이 때, 상황에 따라 단위보안관제장치(120-1~ 120-N)와 부문보안관제장치(130-1~ 130-M)만으로도 보안관제 시스템의 운영이 가능할 수 있다. 또는 현장 상황에 맞게 조절하여 단위보안관제장치(120-1~ 120-N)와 통합보안관제장치(140)로도 운영이 가능할 수 있다.

도 2는 본 발명에 따른 보안관제 시스템이 적용된 제어시스템의 일 예를 나타낸 도면이다.

도 2를 참조하면, 본 발명에 따른 보안관제 시스템이 적용된 제어시스템(210)은 보안정보를 생성하기 위한 적어도 하나의 보안장비를 포함할 수 있다. 즉, 제어시스템(210)의 동작에 따라 기록되는 보안장비의 로그(syslog)를 보안정보 수집장치(211)에서 수집하여 단위보안관제장치 또는 단위보안관제시스템(230)으로 전송할 수 있다.

이 때, 제어시스템(210) 내부 제어망의 가용성을 보장하기 위해서 보안관제망을 통해 로그를 보안정보 수집장치(211)로 전달할 수 있다.

또한, 제어시스템(210)의 내부에 위치하는 보안정보 수집장치(211)는 일방향 전송장치(212)를 이용하여 단위보안관제시스템(230)에게 보안정보를 전송할 수 있다. 이 때, 일방향 전송장치(212)를 통해 보안정보를 전송함으로써 외부에서 제어시스템으로 접근할 수 있는 가능성을 원천적으로 차단시킬 수 있는 효과가 있다.

도 3은 본 발명에 따른 제어시스템의 보안정보 전달 방법의 일 예를 나타낸 도면이다.

도 3을 참조하면, 본 발명에 따른 제어시스템의 보안정보 전달 방법은 제어시스템(300)의 내부에 위치하는 보안정보 수집장치(330)가 제어시스템(300)의 제어망(310)과 분리된 보안관제망(320)을 이용하여 보안정보를 수집하고, 보안정보 수집장치(330)가 수집된 보안정보를 일방향 또는 단방향 자료전달을 통해 단위보안관제장치(340)에게 전송할 수 있다.

이 때, 보안정보는 제어시스템(300)에 구비된 적어도 하나의 보안장비의 로그에 상응할 수 있다. 예를 들어, 도 3에 도시된 것과 같이 USB 감시시스템 로그, 패치관리시스템 로그, NMS 로그, 제어기기 트래픽 정보 및 NAC 로그 등이 보안정보에 상응할 수 있다.

이 때, 적어도 하나의 보안장비는 보안관제망을 사용하기 위해서 별도의 랜카드를 구비할 수 있다.

또한, 도 3에는 도시하지 아니하였으나, 스위치 또는 라우터와 같은 네트워크 장비를 이용하여 제어망과 보안관제망을 분리할 수도 있다.

도 4는 본 발명의 일실시예에 따른 화이트리스트를 이용한 제어시스템의 보안관제 방법을 나타낸 동작 흐름도이다.

도 4를 참조하면, 본 발명의 일실시예에 따른 화이트리스트를 이용한 제어시스템의 보안관제 방법은 제1 보안정보 수집장치가, 제1 제어시스템에 포함된 적어도 하나의 보안장치를 기반으로 보안정보를 수집한다(S410)

이 때, 제1 제어시스템은 보안정보를 생성하기 위한 적어도 하나의 보안장치를 포함할 수 있다. 예를 들어, USB 감시 시스템, 패치관리 시스템, NMS(Network Management System), NAC(Network Access Control), IDS(Intrusion Detection System), IPS(Intrusion Prevention System), 화이트리스트(Whitelist) 보안스위치 등이 이러한 보안장치에 상응할 수 있다.

이 때, 보안정보는 적어도 하나의 보안장치의 로그(log)에 상응할 수 있다. 즉, 제1 제어시스템의 동작에 따라 기록되는 적어도 하나의 보안장치의 로그를 제1 보안정보 수집장치가 수집할 수 있다.

이 때, 제1 보안정보 수집장치는 적어도 하나의 보안장치로부터 화이트리스트 기반 감시 로그, 네트워크 트래픽 로그, 방화벽 로그, 임베디드 제어기기 트래픽 로그, NAC(Network Access Control) 로그, USB 접속로그, 백신 탐지 로그, 시스템 로그, 네트워크 시스템 로그 및 물리적 방호 시스템 로그 등을 수집할 수 있다.

이 때, 화이트리스트 기반 감시 로그 및 네트워크 트래픽 로그는 화이트리스트를 기반으로 제1 제어시스템에서 발생하는 이상징후를 탐지하기 위해 수집될 수 있다.

또한, 방화벽 로그는 제어시스템 간의 통신에 대해 이상유무를 분석하기 위해 수집될 수 있다.

또한, 임베디드 제어기기 트래픽 로그는 제1 제어시스템이 포함하는 임베디드 제어기기의 이상행위를 탐지하기 위해 수집될 수 있다.

또한, NAC 로그는 허가되지 않은 불법 장비가 네트워크에 연결되어 사용되고 있는지 여부를 탐지하거나, 제1 제어시스템에 상응하는 자산관리를 수행하기 위해 수집될 수 있다.

또한, USB 접속로그는 불법 USB가 사용되고 있는지 여부를 탐지하기 위해 수집될 수 있다.

또한, 백신 탐지 로그는 호스트 기반의 악성코드를 탐지하기 위해 수집될 수 있다.

또한, 시스템 로그는 제1 제어시스템에 상응하는 컴퓨터 시스템, 제어기기 및 현장기기의 시스템의 이상여부를 확인하기 위해 수집될 수 있다.

또한, 네트워크 시스템 로그는 네트워크 장비의 시스템 및 QoS 값을 통한 이상여부를 확인하기 위해 수집될 수 있다.

또한, 물리적 방호 시스템 로그는 도어록 관리 시스템, 지문인식 시스템 및 CCTV와 같은 물리적 방호 시스템의 이상유무를 확인하기 위해 수집될 수 있다.

이 때, 제1 보안정보 수집장치가, 제1 제어시스템의 제어망과 분리된 보안관제망을 통해 적어도 하나의 보안장치로부터 보안정보를 수집할 수 있다.

이 때, 본 발명의 일실시예에 따른 제어시스템에 대한 사이버보안 관제의 가장 큰 목적은 제어시스템의 가용성을 유지하면서, 제어시스템에 대한 사이버 공격을 탐지하고 예방하는 것일 수 있다. 즉, 제어시스템에 대한 사이버보안 관제를 수행함에 따라 발생할 수 있는 보안관제 트래픽이 제어시스템이 제어 트래픽에 영향을 주지 않도록 하는 것이다.

따라서, 제어시스템의 운영에 문제가 발생하지 않도록, 제어시스템의 제어망과 분리된 별도의 보안관제망을 이용하여 보안관제를 수행하기 위한 보안정보를 수집할 수 있다.

이 때, 적어도 하나의 보안장치는 보안관제망을 이용하기 위해서 별도의 랜카드를 추가로 구비할 수도 있다.

또한, 본 발명의 일실시예에 따른 화이트리스트를 이용한 제어시스템의 보안관제 방법은 제1 보안정보 수집장치가, 보안정보를 제1 제어시스템에 대응하는 제1 단위보안관제장치로 전송한다(S420).

이 때, 제1 단위보안관제장치는 실제로 운영되고 있는 제1 제어시스템의 단위에 상응할 수 있다. 예를 들면, 원자력 발전소 내부의 원자로 1기에 해당하는 규모에서부터 전력회사의 급전분소에 해당하는 규모, 또는 그보다 작은 단위의 제어시스템에 대한 보안관제를 실시하는 영역에 상응할 수 있다.

따라서, 단위보안관제장치는 제어시스템의 수의 상응하게 존재한다고 판단될 수 있으며, 하나의 제어시스템과 하나의 단위보안관제장치가 일대일 대응에 상응하게 존재할 수 있다.

이 때, 제1 단위보안관제장치는 제1 제어시스템의 내부에 설치된 제1 보안정보 수집장치와, 제1 단위보안관제장치의 내부에서 제1 제어시스템의 보안관제를 수행하는 단위보안관제정보 분석장치로 구성될 수 있다.

이 때, 본 발명에서는 단위보안관제장치라는 표현을 사용하였으나, 단위보안관제부, 단위보안관제시스템 등으로도 표현할 수 있다. 또한, 제어시스템에 포함된 보안정보 수집장치와 단위보안관제정보 분석장치도 단위보안관제부나 단위보안관제시스템의 구성요소에 상응할 수 있다.

이 때, 제1 제어시스템의 내부에 위치하는 제1 보안정보 수집장치가, 물리적 단방향 전송을 기반으로 제1 제어시스템의 외부에 위치하는 제1 단위보안관제장치로 보안정보를 전송할 수 있다.

이 때, 단방향 자료전송 또는 일방향 자료전송은 망간 자료전송 기술의 하나로 RX 통신을 물리적으로 제거하여 외부로부터의 침투경로를 원천적으로 차단하는 시스템에 상응할 수 있다. 따라서, 물리적 단방향 전송으로 보안정보를 전송함으로써 외부로부터 제어시스템의 제어망으로의 침투를 원천적으로 차단할 수 있다. 또한, 이를 통해 제어시스템의 폐쇄망 원칙을 유지할 수도 있다.

이 때, 물리적 단방향 전송을 수행하기 위해서 제1 제어시스템이 별도의 단방향 전송장치를 구비할 수도 있다.

또한, 본 발명의 일실시예에 따른 화이트리스트를 이용한 제어시스템의 보안관제 방법은 제1 단위보안관제장치가, 보안정보를 분석하여 제1 제어시스템의 보안관제를 수행한다(S430).

이 때, 제1 단위보안관제장치가 보안정보를 기반으로 제1 제어시스템에 상응하는 제1 화이트리스트를 생성할 수 있다.

이 때, 보안정보를 기반으로 제1 제어시스템의 동작 패턴을 분석하고, 동작 패턴에 상응하게 제1 화이트리스트를 생성할 수 있다. 이 때, 일반적으로 제어시스템이 정해진 패턴으로 동작하는 특성을 이용하여 보안정보에서 동작 패턴을 분석할 수 있다.

따라서, 보안정보를 통해 추출된 동작 패턴이 제1 제어시스템의 평소 동작 패턴이라고 판단하고, 동작 패턴에 상응하도록 제1 화이트리스트를 생성할 수 있다.

예를 들어, 제1 화이트리스트에는 제1 제어시스템으로의 접근이 허용되는 허용기기의 스위치 인터페이스 번호, MAC 주소 및 IP 주소 등이 포함될 수 있다.

다른 예를 들면, 제1 화이트리스트에는 제1 제어시스템으로의 통신이 허용되는 허용 통신 구간에 대한 출발지 MAC 주소, 출발지 IP 주소, 출발지 포트 번호, 프로토콜 종류, 목적지 MAC 주소, 목적지 IP 주소 및 목적지 포트 번호 등이 포함될 수도 있다.

또 다른 예를 들면, 제1 제어시스템의 트래픽 로그를 분석하여 자주 발생하는 패턴의 트래픽을 검출하고, 검출된 트래픽에 상응하는 통신 허용 구간을 제1 화이트리스트에 포함시킬 수 있다.

이 때, 제1 화이트리스트를 기반으로 제1 제어시스템을 모니터링 할 수 있다.

이 때, 제1 제어시스템에서 제1 화이트리스트에 위배되는 비인가 정보가 발생한 경우, 제1 단위보안관제장치가 비인가 정보에 대응하는 처리를 수행할 수 있다.

예를 들어, 제1 제어시스템에서 발생하는 네트워크 트래픽을 모니터링하여 제1 화이트리스트나 별도의 보안정책에 위배되는 트래픽이 발생하였을 경우, 제1 제어시스템의 관리자가 이를 처리할 수 있도록 해당 트래픽의 발생을 제1 제어시스템의 관리자에게 알릴 수 있다. 또는, 제1 단위보안관제장치가 직접 제1 제어시스템으로 제어 명령을 전달하여 해당 트래픽의 접근을 차단시킬 수도 있다.

다른 예를 들면, 제1 제어시스템에 포함되는 임베디드 제어기기로 들어오고 나가는 네트워크 데이터 및 제어 신호를 모니터링하고, 이상행위가 발생하면 제1 제어시스템의 관리자에게 알람으로 알려줄 수 있다.

또 다른 예를 들면, 정상 상황의 NAC 로그나 정상 상황의 시스템 로그(Management Information Base, MIB 정보)를 제1 화이트리스트로 생성하고, 제1 화이트리스트에 위배되는 비정상 로그가 발생한 경우, 제1 제어시스템의 관리자에게 알람으로 알려줄 수 있다.

또 다른 예를 들면, 불법적인 USB, 즉 제1 화이트리스트에 등록되지 않은 USB의 사용이 감지되는 경우에 제1 제어시스템의 관리자에게 알람으로 알려줄 수 있다.

또 다른 예를 들면, 제1 제어시스템에 포함된 도어록 관리 시스템, 지문인식 시스템 및 CCTV와 같은 물리적 방호 시스템들에서 이상 행위가 발생하는 경우에 제1 제어시스템의 관리자에게 알람으로 알려줄 수 있다.

또한, 본 발명의 일실시예에 따른 화이트리스트를 이용한 제어시스템의 보안관제 방법은 부문보안관제장치가, 제2 제어시스템에 대응하는 제2 단위보안관제장치와 제1 단위보안관제장치로부터 각각 보안정보를 획득하고, 보안정보들을 기반으로 제1 제어시스템과 제2 제어시스템의 보안관제를 수행한다(S440).

이 때, 제1 제어시스템과 제2 제어시스템은 특별한 순서에 관계없이 단순하게 제어시스템들을 구별하기 위해 명명된 것일 수 있다. 따라서, 제1 단위보안관제장치와 제2 단위보안관제장치도 제1 제어시스템에 상응하는 단위보안관제장치와 제2 제어시스템에 상응하는 단위보안관제장치를 구분하기 위한 것일 뿐, 그 구성이나 동작의 차이는 없을 수 있다.

이 때, 부문보안관제장치는 여러 단위보안관제장치들을 통제할 수 있는 장치에 상응할 수 있다. 따라서, 부문보안관제장치는 여러 단위보안관제장치들로부터 여러 제어시스템들의 보안정보를 획득할 수 있고, 이와 같이 획득한 보안정보를 통합하여 여러 제어시스템들 사이의 상관관계를 분석할 수 있다.

이 때, 부문보안관제장치는 단위보안관제장치와 유사하게 보안관제를 수행하는 부문보안 관제정보분석부를 포함할 수 있다. 또한, 부문보안관제장치는 여러 제어시스템들과 여러 단위보안관제장치들에게 보안관제에 필요한 정보를 제공할 수 있는 정보공유부를 포함할 수 있다.

이 때, 본 발명에서는 부문보안관제장치라는 표현을 사용하였으나, 부문보안관제부, 부문보안관제시스템 등으로도 표현할 수 있다.

또한, 보안관제 시스템의 환경에 따라서 부문보안관제장치는 단위보안관제장치로 대체할 수도 있다.

이 때, 보안정보들을 기반으로 제1 제어시스템과 제2 제어시스템 간의 통신패턴 상관관계를 분석하고, 통신패턴 상관관계에 상응하는 제어시스템 간 화이트리스트를 생성할 수 있다.

이 때, 보안정보들을 기반으로 방화벽 로그, L3 장비 로그, IDS 로그 및 IPS 로그 중 적어도 하나의 로그를 추출하고, 적어도 하나의 로그를 기반으로 통신패턴 상관관계를 분석할 수 있다.

이 때, 제어시스템 간 화이트리스트를 기반으로 제1 제어시스템과 제2 제어시스템을 모니터링 할 수 있다.

이 때, 제1 제어시스템과 제2 제어시스템 간의 통신 중 제어시스템 간 화이트리스트에 위배되는 비인가 통신정보가 발생한 경우, 부문보안관제장치가 제1 단위보안관제장치와 제2 단위보안관제장치를 제어하여 비인가 통신정보에 대응하는 처리를 수행할 수 있다.

예를 들어, 보안정보들을 기반으로 각 제어시스템에서 외부와 통신을 하는 기기의 방화벽 로그를 검출하여 제어시스템 간 화이트리스트로 생성하고, 이를 위배하는 기기가 발생하면 해당 제어시스템의 관리자에게 알람으로 알려줄 수 있다. 이 때, 제어시스템 간의 통신 패턴 로그는 통신 구간 = {출발지 MAC 주소, 출발지 IP 주소, 출발지 포트 번호, 프로토콜 종류, 목적지 MAC 주소, 목적지 IP 주소, 목적지 포트번호}와 같이 나타낼 수 있다.

다른 예를 들어, 장애 관리 로그, 구성 관리 로그, 보안 관리 로그, 성능 관리 로그 및 계정 관리 로그 등을 제어시스템 간 화이트리스트로 생성하고, 이를 기반으로 모니터링을 수행할 수 있다. 이 때, 제어시스템 간 화이트리스트에 위배되는 로그가 발생한 경우에 이를 해당 제어시스템의 관리자에게 알람으로 알릴 수 있다.

또한, 부문보안관제장치는 여러 단위보안관제장치 사이의 이상징후를 판별할 수 있고, 상위 시스템으로부터 수신된 보안위협 정보(국내외 언론보도 자료, 보안 취약점 정보, 긴급 보안위협 정보 및 긴급 보안패치 정보 등)를 각각의 단위보안관제장치로 전달할 수 있다. 만약, 부문보안관제장치를 통제하는 통합보안관제장치가 존재하는 경우에 통합보안관제장치로도 보안위협 정보를 전달할 수 있다.

이 때, 제1 제어시스템에서 제2 제어시스템으로의 제1 통신정보와 제2 제어시스템에서 제1 제어시스템으로의 제2 통신정보를 획득할 수 있다.

이 때, 제1 통신정보와 제2 통신정보의 일관성을 분석하고, 일관성이 결여된 경우에 부문보안관제장치가 제1 단위보안관제장치와 제2 단위보안관제장치를 제어하여 제1 제어시스템과 제2 제어시스템 간의 통신을 차단할 수 있다.

또한, 도 4에는 도시하지 아니하였으나, 본 발명의 일실시예에 따른 화이트리스트를 이용한 제어시스템의 보안관제 방법은 통합보안관제장치가 부문보안관제장치로 보안관제정보를 공유할 수 있다.

이 때, 통합보안관제장치는 부문보안관제장치를 통제하고 정보를 전달하는 역할을 수행할 수 있다. 즉, 통합보안관제장치가 부문보안관제장치를 통제하고, 부문보안관제장치가 단위보안관제장치를 통제하는 시스템일 수 있다. 따라서, 통합보안관제장치는 부문보안관제장치의 보안관제 정보를 수집하여 제어시스템들의 보안관제를 위해 사용할 수 있다.

이 때, 통합보안관제장치는 환경에 따라서 통합보안관제장치가 부문보안관제장치를 대체할 수도 있다.

이 때, 통합보안관제장치는 부문보안관제장치의 보안관련 데이터를 수집하는 통합보안관제 정보분석부와 각 제어시스템을 담당하는 기관에게 정보를 공유해줄 수 있는 정보공유부로 구성될 수 있다. 따라서, 통합보안관제장치는 정보공유부를 기반으로 보안관제정보를 공유해줄 수 있다.

또한, 도 4에는 도시하지 아니하였으나, 본 발명의 일실시예에 따른 화이트리스트를 이용한 제어시스템의 보안관제 방법은 부문보안관제장치가 제1 단위보안관제장치와 제2 단위보안관제장치로 보안관제정보를 공유할 수 있다.

이 때, 보안관제정보는 보안위협 정보, 사이버사고 처리 정보, 탐지 규칙, 행사 정보 및 문서 정보 중 적어도 하나에 상응할 수 있다.

예를 들어, 보안위협 정보는 국내외 언론보도 자료, 보안 취약점 정보, 긴급 보안위협 정보 및 긴급 보안패치 정보 중 적어도 하나에 상응할 수 있다. 또한, 사이버사고 처리 정보는 제어시스템 사고 탐지 정보, 운영기관에서의 사고 탐지 정보, 사고 관련 로그 정보 및 사고 사례 정보 중 적어도 하나에 상응할 수 있다. 또한, 탐지 규칙은 신규 악성코드 탐지 규칙에 상응할 수 있다. 또한, 행사 정보는 보안관련 국내외 행사 정보 및 보안관련 교육 정보 중 적어도 하나에 상응할 수 있다. 또한, 문서 정보는 가이드 라인, 공유 정책 정보 및 주요 보안정책 중 적어도 하나에 상응할 수 있다.

이 때, 단위보안관제장치, 부문보안관제장치, 통합보안관제장치의 연결을 통해 제어시스템의 가용성을 보장하고, 제어시스템의 폐쇄망 정책의 유지가 가능하도록 보안관제가 가능할 수 있다.

도 5는 본 발명의 일실시예에 따른 보안관제 시스템으로 비인가 서비스의 접속을 탐지하는 과정을 나타낸 도면이다.

도 5를 참조하면, 제어시스템으로 비인가 서비스가 접속하면(S502), 제어시스템에 설치된 보안정보 수집장치가 이에 대한 로그를 수집하여 단위보안관제장치에게 전송할 수 있다(S504).

이 후, 단위보안관제장치가 수신된 로그를 기반으로 제어시스템에서 발생한 비인가 서비스에 대한 이벤트를 감지하고 분석할 수 있다(S506).

이 때, 부문보안관제장치도 로그를 획득하고, 단위보안관제장치의 이벤트 분석 결과를 수신하여 비인가 서비스에 상응하는 장치를 분석할 수 있다(S508).

이 후, 단위보안관제장치가 이상 통신임을 감지하고(S510) 제어시스템으로 비인가 서비스에 대한 차단 명령을 전달할 수 있다(S512).

이 후, 제어시스템에서는 차단 명령에 따라 비인가 서비스를 차단하고(S514), 단위보안관제장치는 차단 명령에 대한 결과를 수신하여 비인가 서비스의 접속이 차단되었음을 확인할 수 있다(S516). 이 때, 단위보안관제장치는 차단 결과를 부문보안관제장치에게도 전달하여 부문보안관제장치에서도 비인가 서비스의 접속이 차단된 것을 확인할 수 있다(S518).

도 6은 본 발명의 일실시예에 따른 보안관제 시스템으로 비인가 장치의 접속을 탐지하는 과정을 나타낸 도면이다.

도 6을 참조하면, 제어시스템으로 비인가 장치가 접속하면(S602), 제어시스템에 접속된 비인가 장치가 차단되어 해당 결과가 전송되기까지의 단계(S606~ S614)가 도 5에 도시된 비인가 서비스의 경우와 유사할 수 있다.

그러나, 비인가 서비스 접속의 경우와 달리, 비인가 장치의 접속은 제어시스템 운영 시 엄격히 금지되고 있기 때문에 단계(S616)과 같이 사고상황으로 간주하여 해당 정보를 부문보안관제장치로 전파할 수 있다.

이 때, 부문보안관제장치는 상황을 접수한 후(S618), 현장으로 조사단을 급파하여(S620) 해당 장치의 분석을 수행하고(S622), 사고사례를 전파할 수 있다(S624).

도 7은 본 발명의 일실시예에 따른 보안관제 시스템으로 제어시스템 내부 장치의 고장을 탐지하는 과정을 나타낸 도면이다.

도 7을 참조하면, 제어시스템에서 내부 장치의 고장이 발생하면(S702), 보안정보 수집장치가 이와 관련된 로그를 수집하여 단위보안관제장치로 전송할 수 있다(S704).

이 후, 단위보안관제장치는 이벤트 감지 및 분석을 기반으로(S706) 제어시스템의 내부 장치가 고장난 것을 탐지하고(S708), 고장난 내부 장치를 복구하도록 제어할 수 있다(S710).

이 후, 제어시스템이 복구 결과를 단위보안관제장치로 전달하여 복구가 확인되면(S712), 단위보안관제장치가 부문보안관제장치로 복구 결과를 전달하여 부문보안관제장치에서도 복구 결과를 확인할 수 있다(S714).

이 때, 도 6에 도시된 비인가 장치의 접속 사례와 마찬가지로 제어시스템 내부 장치의 고장은 사고 상황으로 간주하고, 단계(S716)과 같이 부문보안관제장치로 사고상황 및 정보를 전파할 수 있다.

이 후, 부문보안관제장치는 상황을 접수한 뒤(S718) 현장으로 조사단을 파견하고(S720), 해당 장치의 고장으로 인한 타 장치의 영향성과 파급효과 등을 분석하여(S722) 사고 사례를 전파할 수 있다(S724).

도 8 내지 도 9는 본 발명의 일실시예에 따른 보안관제 시스템에서 제어시스템의 라우팅 정책을 적용하는 과정을 나타낸 도면이다.

대부분의 제어시스템은 운영상의 이유로 정적 라우팅을 사용할 수 있다. 따라서, 제어시스템에서는 정해진 라우팅 정책을 운영할 수 있고, 라우팅 정책에 따라 정해진 라우팅 경로를 기반으로 동작할 수 있다.

이 때, 라우팅 정책도 일종의 보안정책에 해당하기 때문에 제어시스템 운영사의 라우팅 정책도 보안관제에 포함될 수 있다.

도 8 내지 도 9를 참조하면, 단위보안관제장치에서의 라우팅 정책 변경과 부문보안관제장치에서의 라우팅 정책 변경에 따른 라우팅 정책 변경 시나리오를 확인할 수 있다.

먼저 도 8은 단위보안관제장치에 라우터 혹은 L3 네트워크 장치가 설치된 경우, 라우팅 정책을 변경하기 위한 과정에 상응할 수 있다.

도 8을 참조하면, 단위보안관제장치에 설치된 라우터에서 라우팅 정책이 변경되면(S802), 단위보안관제장치가 변경된 라우팅 테이블의 검증을 수행할 수 있다(S804).

이 후, 단위보안관제장치가 라우팅 테이블의 업데이트 정보를 제어시스템으로 전달하면(S806), 제어시스템에서 라우팅 테이블의 업데이트를 수행할 수 있다(S808).

이 후, 제어시스템은 라우팅 테이블의 업데이트가 완료되면 업데이트 결과를 단위보안관제장치로 전달하여 업데이트가 완료되었음을 알리고(S810), 단위보안관제장치는 업데이트 결과를 부문보안관제장치로 전달하여 알릴 수 있다(S812).

또한, 도 9는 부문보안관제장치에 라우터 혹은 L3 네트워크 장치가 설치된 경우, 라우팅 정책을 변경하기 위한 과정에 상응할 수 있다.

도 9를 참조하면, 먼저 부문보안관제장치에 설치된 라우터에서 라우팅 정책이 변경되면(S902), 부문보안관제장치가 변경된 라우팅 테이블의 검증을 수행할 수 있다(S904).

이 후, 단위보안관제장치가 부문보안관제장치로부터 라우팅 테이블 업데이트 정보를 수신하여 제어시스템으로 전달하면(S906), 제어시스템에서 라우팅 테이블의 업데이트를 수행할 수 있다(S908).

이 후, 제어시스템은 라우팅 테이블의 업데이트가 완료되면 업데이트 결과를 단위보안관제장치로 전달하여 업데이트가 완료되었음을 알리고(S910), 단위보안관제장치는 업데이트 결과를 부문보안관제장치로 전달하여 알릴 수 있다(S912).

도 10 내지 도 11은 본 발명의 일실시예에 따른 보안관제 시스템에서 제어시스템의 방화벽 정책을 적용하는 과정을 나타낸 도면이다.

도 10 내지 도 11을 참조하면, 제어시스템 운영사가 방화벽 정책의 변경을 요구할 경우, 단위보안관제장치에서의 방화벽 정책 변경과 부문보안관제장치에서의 방화벽 정책 변경에 따른 방화벽 정책 변경 시나리오를 확인할 수 있다.

먼저 도 10은 단위보안관제장치에 방화벽 정책이 적용된 경우에 방화벽 정책 변경을 수행하는 과정에 상응할 수 있다.

도 10을 참조하면, 단위보안관제장치에 적용된 방화벽 정책이 변경 결정되면(S1002), 단위보안관제장치가 변경된 방화벽 정책을 검증할 수 있다(S1004).

이 후, 방화벽 정책의 검증이 완료되면, 단위보안관제장치가 방화벽 정책 업데이트 정보를 제어시스템으로 전달하여(S1006), 제어시스템의 방화벽 정책을 업데이트할 수 있다(S1008).

이 후, 제어시스템은 방화벽 정책의 업데이트가 완료되면 업데이트 결과를 단위보안관제장치로 전달하여 업데이트가 완료되었음을 알리고(S1010), 단위보안관제장치는 업데이트 결과를 부문보안관제장치로 전달하여 알릴 수 있다(S1012).

또한, 도 11은 부문보안관제장치에 방화벽 정책이 적용된 경우에 방화벽 정책 변경을 수행하는 과정에 상응할 수 있다.

도 11을 참조하면, 부문보안관제장치에 적용된 방화벽 정책의 변경이 결정되면(S1102), 부문보안관제장치가 변경된 방화벽 정책을 검증할 수 있다(S1104).

이 후, 방화벽 정책의 검증이 완료되고, 단위보안관제장치가 부문보안관제장치로부터 방화벽 정책 업데이트 정보를 수신하여 제어시스템으로 전달하면(S1106), 제어시스템에서 방화벽 정책의 업데이트를 수행할 수 있다(S1108).

이 후, 제어시스템은 방화벽 정책의 업데이트가 완료되면 업데이트 결과를 단위보안관제장치로 전달하여 업데이트가 완료되었음을 알리고(S1110), 단위보안관제장치는 업데이트 결과를 부문보안관제장치로 전달하여 알릴 수 있다(S1112).

도 12는 본 발명의 일실시예에 따른 보안관제 시스템에서 수집정보 및 보안위협 정보를 공유하는 과정을 나타낸 도면이다.

도 12을 참조하면, 본 발명의 일실시예에 따른 보안관제 시스템에 포함되는 통합보안관제장치는 부문보안관제장치와 단위보안관제장치로 보안 위협정보를 공유하기 위해 전파하는 것을 확인할 수 있다.

보안 위협정보를 전파하는 과정은, 먼저 통합보안관제장치가 부문보안관제장치로 보안위협 정보를 공유할 수 있다(S1202).

이 후, 부문보안관제장치는 공유된 보안위협 정보를 정보공유부에 저장하고(S1204), 해당 정보를 단위보안관제장치에게 전달할 수 있다(S1206).

이 때, 부문보안관제장치는 단위보안관제장치에게 보안위협 정보를 전달하는 동시에 부문보안관제장치에 상응하는 시스템으로 보안위협 정보를 전파할 수 있다(S1212).

이 후, 단위보안관제장치도 수신된 보안위협 정보를 정보공유부에 저장한 뒤(S1208), 관련 시스템으로 보안위협 정보를 전파할 수 있다(S12010).

이 때, 통합보안관제장치는 정보공유부를 통해 부문보안관제부로부터 수집된 정보를 분석하여 보안 위협정보와 함께 전파할 수도 있다.

이와 같은 정보 공유를 통해 각각의 관제장치에서는 수집정보 분석결과와 보안위협 정보를 신속히 제어시스템 관제에 반영할 수 있다.

도 13은 본 발명의 일실시예에 따른 보안관제 시스템으로 제어시스템 내부망 사이의 이상징후를 탐지하는 과정을 나타낸 도면이다.

도 13을 참조하면, 본 발명의 일실시예에 따른 보안관제 시스템은 단일 제어시스템 내부망뿐만 아니라, 여러 제어시스템 내부망 사이에서 발생 가능한 보안관제 상황도 통제할 수 있다.

예를 들어, 도 13에 도시된 것과 같이 제어시스템 내부망 사이에서 발생 가능할 수 있는 규칙을 벗어난 이상징후를 탐지할 수 있다.

도 13은 A 제어시스템과 B 제어시스템의 내부망 사이에서 발생한 이상징후를 탐지하고 대응하는 일련의 과정을 나타낼 수 있다.

도 13을 참조하면, A 제어시스템과 B 제어시스템은 서로를 대상으로 통신을 수행할 수 있다(S1302, S1306).

이 때, 통신 정보는 각각의 단위보안관제장치에서 탐지되어 부문보안관제장치로 전달될 수 있다(S1304, S1308).

이 때, 부문보안관제장치는 A와 B의 통신정보를 수집하여(S1310), 일관성 분석을 수행할 수 있다(S1312).

이 후, 부문보안관제장치는 일관성 결여 여부를 통해 이상징후를 탐지할 수 있고, 이 사실을 각 단위보안관제장치에게 전파할 수 있다(S1314).

이 후, 각 단위보안관제장치는 해당 통신 정보 분석을 통해(S1316, S1322) 현장을 확인하여 이상징후의 원인이 된 장치를 제거 또는 차단할 수 있다(S1318, 1324).

이 후, 각 제어시스템에서 장치를 제거 또는 차단한 결과를 각 단위보안관제장치로 전달하면(S1320, S1326), 각 단위보안관제장치가 해당 결과를 부문보안관제장치로 전달할 수 있다(S1328).

도 14는 본 발명의 일실시예에 따른 보안관제 시스템에서 인가 서비스를 기반으로 제어시스템의 방화벽 정책을 적용하는 과정을 나타낸 도면이다.

도 14를 참조하면, 본 발명의 일실시예에 따른 보안관제 시스템은 허가된 서비스의 시작 또는 종료를 탐지하고, 각 제어시스템의 방화벽 정책에 적용할 수 있다.

도 14는 A 제어시스템의 내부망에서 S 서비스의 시작 또는 종료에 따라 A 제어시스템과 B 제어시스템의 방화벽 정책 적용과정을 나타낼 수 있다.

도 14를 참조하면, A 제어시스템에서 S 서비스가 시작 또는 종료되는 경우(S1402), 이를 A 단위보안관제장치에서 탐지하여(S1404), 방화벽 정책 변경을 수행할 수 있다(S1406~ S1416).

이 때, 단계(S1406~ S1416)에 해당하는 과정은 도 10 내지 도 11에 도시된 방화벽 정책 변경과정과 동일하므로 설명을 생략하도록 한다.

이 때, 부문보안관제장치는 A 단위보안관제장치로부터 탐지된 정보를 획득하여 S 서비스와 관련된 사용기기를 분석할 수 있다(S1418).

이 후, 부문보안관제장치는 S 서비스의 시작 또는 종료 정보를 B 단위보안관제장치로 알리면(S1420), B 단위보안관제장치에게도 이를 탐지하여(S1422) 방화벽 정책 변경을 수행할 수 있다(S1424~ S1432).

이상에서와 같이 본 발명에 따른 화이트리스트를 이용한 제어시스템의 보안관제 방법 및 이를 위한 시스템은 상기한 바와 같이 설명된 실시예들의 구성과 방법이 한정되게 적용될 수 있는 것이 아니라, 상기 실시예들은 다양한 변형이 이루어질 수 있도록 각 실시예들의 전부 또는 일부가 선택적으로 조합되어 구성될 수도 있다.

110-1~ 110-N, 210, 220, 300: 제어시스템
111-1~ 111-N, 211, 330: 보안정보 수집장치
120-1~ 120-N: 단위보안관제장치 130-1~ 130-M: 부문보안관제장치
140: 통합보안관제장치 212: 일방향 전송장치
230: 단위보안관제시스템 310: 제어망
320: 보안관제망

Claims (20)

1. 제1 보안정보 수집장치가, 제1 제어시스템에 포함된 적어도 하나의 보안장치를 기반으로 보안정보를 수집하는 단계;
   상기 제1 보안정보 수집장치가, 상기 보안정보를 상기 제1 제어시스템에 대응하는 제1 단위보안관제장치로 전송하는 단계;
   상기 제1 단위보안관제장치가, 상기 보안정보를 분석하여 상기 제1 제어시스템의 보안관제를 수행하는 단계; 및
   부문보안관제장치가, 제2 제어시스템에 대응하는 제2 단위보안관제장치와 상기 제1 단위보안관제장치로부터 각각 상기 보안정보를 획득하고, 보안정보들을 기반으로 상기 제1 제어시스템과 상기 제2 제어시스템의 보안관제를 수행하는 단계
   를 포함하고,
   상기 제1 제어시스템과 상기 제2 제어시스템의 보안관제를 수행하는 단계는
   상기 보안정보들을 기반으로 상기 제1 제어시스템과 상기 제2 제어시스템 간의 통신패턴 상관관계를 분석하여 제어시스템간 화이트리스트를 생성하고, 상기 제어시스템간 화이트리스트를 기반으로 상기 제1 제어시스템과 상기 제2 제어시스템 간의 보안관제를 수행하는 단계; 및
   상기 제1 제어시스템에서 상기 제2 제어시스템으로의 제1 통신정보와 상기 제2 제어시스템에서 상기 제1 제어시스템으로의 제2 통신정보의 일관성을 분석하여, 일관성이 결여된 경우에 상기 제1 제어시스템과 상기 제2 제어시스템 간의 통신을 차단하는 단계를 포함하고,
   상기 전송하는 단계는
   폐쇄망 정책 유지를 위해 물리적 단방향 전송을 기반으로 상기 보안정보를 전송하되, 상기 제1 보안정보 수집장치는 상기 제1 제어 시스템의 내부에 위치하고, 상기 제1 단위보안관제장치는 상기 제1 제어시스템의 외부에 위치하는 것을 특징으로 하는 제어시스템의 보안관제 방법.
2. 청구항 1에 있어서,
   상기 수집하는 단계는
   상기 제1 보안정보 수집장치가, 상기 제1 제어시스템의 제어망과 분리된 보안관제망을 통해 상기 적어도 하나의 보안장치로부터 상기 보안정보를 수집하는 것을 특징으로 하는 제어시스템의 보안관제 방법.
3. 삭제
4. 청구항 1에 있어서,
   상기 제1 제어시스템의 보안관제를 수행하는 단계는
   상기 보안정보를 기반으로 상기 제1 제어시스템에 상응하는 제1 화이트리스트를 생성하는 단계;
   상기 제1 화이트리스트를 기반으로 상기 제1 제어시스템을 모니터링하는 단계; 및
   상기 제1 제어시스템에서 상기 제1 화이트리스트에 위배되는 비인가 정보가 발생한 경우, 상기 제1 단위보안관제장치가 상기 비인가 정보에 대응하는 처리를 수행하는 단계를 포함하는 것을 특징으로 하는 제어시스템의 보안관제 방법.
5. 청구항 4에 있어서,
   상기 제1 화이트리스트를 생성하는 단계는
   상기 보안정보를 기반으로 상기 제1 제어시스템의 동작 패턴을 분석하고, 상기 동작 패턴에 상응하게 상기 제1 화이트리스트를 생성하는 것을 특징으로 하는 제어시스템의 보안관제 방법.
6. 청구항 1에 있어서,
   상기 보안정보는
   상기 적어도 하나의 보안장치의 로그(log)에 상응하고, 네트워크 트래픽 로그, 방화벽 로그, 임베디드 제어기기 트래픽 로그, NAC(Network Access Control) 로그, USB 접속로그, 백신 탐지 로그, 시스템 로그, 네트워크 시스템 로그 및 물리적 방호 시스템 로그 중 적어도 하나를 포함하는 것을 특징으로 하는 제어시스템의 보안관제 방법.
7. 청구항 1에 있어서,
   상기 제1 제어시스템과 상기 제2 제어시스템의 보안관제를 수행하는 단계는
   상기 제어시스템 간 화이트리스트를 기반으로 상기 제1 제어시스템과 상기 제2 제어시스템을 모니터링하는 단계; 및
   상기 제1 제어시스템과 상기 제2 제어시스템 간의 통신 중 상기 제어시스템 간 화이트리스트에 위배되는 비인가 통신정보가 발생한 경우, 상기 부문보안관제장치가 상기 제1 단위보안관제장치와 상기 제2 단위보안관제장치를 제어하여 상기 비인가 통신정보에 대응하는 처리를 수행하는 단계를 더 포함하는 것을 특징으로 하는 제어시스템의 보안관제 방법.
8. 청구항 7에 있어서,
   상기 제어시스템 간 화이트리스트를 생성하는 단계는
   상기 보안정보들을 기반으로 방화벽 로그, L3 장비 로그, IDS 로그 및 IPS 로그 중 적어도 하나의 로그를 추출하고, 상기 적어도 하나의 로그를 기반으로 상기 통신패턴 상관관계를 분석하는 것을 특징으로 하는 제어시스템의 보안관제 방법.
9. 청구항 1에 있어서,
   상기 보안관제 방법은
   통합보안관제장치가 상기 부문보안관제장치로 보안관제정보를 공유하는 단계; 및
   상기 부문보안관제장치가 상기 제1 단위보안관제장치와 상기 제2 단위보안관제장치로 상기 보안관제정보를 공유하는 단계를 더 포함하는 것을 특징으로 하는 제어시스템의 보안관제 방법.
10. 청구항 9에 있어서,
    상기 보안관제정보는
    보안위협 정보, 사이버사고 처리 정보, 탐지 규칙, 행사 정보 및 문서 정보 중 적어도 하나에 상응하는 것을 특징으로 하는 제어시스템의 보안관제 방법.
11. 삭제
12. 제어시스템의 내부에 설치되고, 상기 제어시스템에 포함된 적어도 하나의 보안장치를 기반으로 보안정보를 수집하는 보안정보 수집장치;
    상기 보안정보를 분석하여 상기 제어시스템의 보안관제를 수행하는 단위보안관제장치; 및
    상기 제어시스템과 다른 제어시스템으로부터 각각 상기 보안정보를 획득하고, 보안정보들을 기반으로 상기 제어시스템과 상기 다른 제어시스템의 보안관제를 수행하는 부문보안관제장치
    를 포함하고,
    상기 부문보안관제장치는
    상기 보안정보들을 기반으로 상기 제어시스템과 상기 다른 제어시스템 간의 통신패턴 상관관계를 분석하여 제어시스템간 화이트리스트를 생성하고, 상기 제어시스템간 화이트리스트를 기반으로 상기 제어시스템과 상기 다른 제어시스템 간의 보안관제를 수행하고, 상기 제어시스템에서 상기 다른 제어시스템으로의 제1 통신정보와 상기 다른 제어시스템에서 상기 제어시스템으로의 제2 통신정보의 일관성을 분석하고, 상기 일관성이 결여된 경우에 상기 제어시스템과 상기 다른 제어시스템 간의 통신을 차단하고,
    상기 보안정보 수집장치는
    폐쇄망 정책 유지를 위해 물리적 단방향 전송을 기반으로 상기 보안정보를 전송하되, 상기 보안정보 수집장치는 상기 제어 시스템의 내부에 위치하고, 상기 단위보안관제장치는 상기 제어시스템의 외부에 위치하는 것을 특징으로 하는 보안관제 시스템.
13. 청구항 12에 있어서,
    상기 보안정보 수집장치는
    상기 제어시스템의 제어망과 분리된 보안관제망을 통해 상기 적어도 하나의 보안장치로부터 상기 보안정보를 수집하는 것을 특징으로 하는 보안관제 시스템.
14. 삭제
15. 청구항 12에 있어서,
    상기 단위보안관제장치는
    상기 보안정보를 기반으로 상기 제어시스템에 상응하게 생성된 화이트리스트를 기반으로 상기 제어시스템을 모니터링하고, 상기 제어시스템에서 상기 화이트리스트에 위배되는 비인가 정보가 발생한 경우에 상기 비인가 정보에 대응하는 처리를 수행하는 것을 특징으로 하는 보안관제 시스템.
16. 청구항 15에 있어서,
    상기 단위보안관제장치는
    상기 보안정보를 기반으로 상기 제어시스템의 동작 패턴을 분석하고, 상기 동작 패턴에 상응하게 상기 화이트리스트를 생성하는 것을 특징으로 하는 보안관제 시스템.
17. 청구항 12에 있어서,
    상기 보안정보는
    상기 적어도 하나의 보안장치의 로그(log)에 상응하고, 네트워크 트래픽 로그, 방화벽 로그, 임베디드 제어기기 트래픽 로그, NAC(Network Access Control) 로그, USB 접속로그, 백신 탐지 로그, 시스템 로그, 네트워크 시스템 로그 및 물리적 방호 시스템 로그 중 적어도 하나를 포함하는 것을 특징으로 하는 보안관제 시스템.
18. 청구항 12에 있어서,
    상기 보안관제 시스템은
    상기 부문보안관제장치로 보안관제정보를 공유하는 통합보안관제장치를 더 포함하는 것을 특징으로 하는 보안관제 시스템.
19. 청구항 18에 있어서,
    상기 부문보안관제장치는
    상기 단위보안관제장치로 상기 보안관제정보를 공유하는 것을 특징으로 하는 보안관제 시스템.
20. 청구항 18에 있어서,
    상기 보안관제정보는
    보안위협 정보, 사이버사고 처리 정보, 탐지 규칙, 행사 정보 및 문서 정보 중 적어도 하나에 상응하는 것을 특징으로 하는 보안관제 시스템.

Images