2020년 9월 21일 월요일

T Technical Report

img

보안 IC를 이용한 산업용 시스템의 보안 향상

개요

지금까지 대부분의 산업용 제어 시스템(Industrial Control System: ICS)은 주로 높은 신뢰성, 안전성, 최대의 가동 시간을 달성하도록 설계되었다. 산업용 분야는 지난 수십 년 동안 이러한 요구를 충족하는 것에 역점을 두어 왔으며 디지털 보안에 대해서는 거의 고려하지 않았다. 1990년대에 들어서 일부 정부 기관들에서 전기 전력 분배 등과 같은 주요 인프라 설비에 대해서 사이버 보안 문제를 검토하기 시작했다. 이러한 작업마저도 비밀리에 이루어졌다. 그런데 이제 스턱스넷(Stuxnet) 바이러스가 등장하고 이에 관한 많은 자료들이 발표되면서 산업용 제어 및 자동화 시스템에 대한 사이버 공격이 모든 관련 당사자들에게 중요한 문제로 대두되고 있다.

글/Christophe Tremlet, Security Segment Manager, Maxim Integrated

 

ICS에 대한 공격 위험성 증가

이 글에서 보안 공격에 취약한 모든 ICS 구조에 대해서 논의할 수 있다면 좋을 것이다. 하지만 어쩔 수 없이 일부 중요한 ICS로만 논의를 한정하지 않을 수 없다. 그래서 이 글에서는 3개 유형의 ICS에 관해서 설명하는 것으로 범위를 제한하고자 한다.

-          PLC(Programmable Logic Controller): 제조 프로세스 자동화 및 서브시스템 제어에 널리 사용된다. PLC는 흔히 넓은 범위 인프라의 일부로서 연결된다.

-          SCADA(Supervisory Control and Data Acquisition) 시스템물 공급이나 전기 전력 분배 시스템 등과 같이 지역적으로 분산되어 있으며 중요성이 높은 인프라를 모니터링하고 제어한다.

-          DCS(Distributed Control System): 화학 제조 및 전력 발전 같은 산업 프로세스를 제어한다. 통상적으로 다수의 자동화 서브시스템으로 이루어진다.

이들 시스템의 구현은 목표로 하는 산업용 애플리케이션에 따라서 크게 달라질 수 있다. 어떤 시스템은 물리적으로 집중되어 있고, 어떤 시스템은 제조 설비 이내로 명확하게 한정될 수 있고, 어떤 시스템은 매우 넓은 지역에 걸쳐서 분산되어 있을 수 있다. 하지만 이들 모든 시스템은 특정한 성능 목표 또는 성능 기준으로 동작할 수 있어야 한다. 예를 들어서 SCADA 시스템은 이상적으로 “five 9s” 또는 “six 9s”에 이르는 극히 높은 수준의 가동시간을 달성하도록 설계해야 한다(“five 9s”는 99.999퍼센트의 가동률을 말하는 것으로서 이것은 일년에 약 5분의 중단시간에 해당된다). 또 다른 산업용 제어 및 자동화 시스템에서는 극히 신속한 응답 시간이 중요한 성능 요구일 수 있다.

그러므로 ICS 시스템은 비슷비슷하면서 또한 크게 다르기도 하다. 이와 더불어서 오늘날에는 두 가지 경향이 대두되고 있다. 그것은 ICS가 갈수록 네트워크화되고 있으며, 마이크로소프트 윈도우즈® O/S 등의 표준 소프트웨어와 IP 통신을 이용하는 워크스테이션 같이 표준적 규격형 요소들을 갈수록 더 많이 사용하고 있다는 것이다. 이러한 경향들로 인해서 사이버 공격에 취약한 요소들이 더욱 더 늘어나게 되었다. 

산업용 환경에 서의 IT 기술

이제 ICS도 IT 분야에 이용되는 기술들을 도입하고 있으나 ICS는 여전히 자신만의 특정한 성능 목표나 기준을 달성하도록 동작해야 한다. 이러한 기술 융합으로 인해서 즉각적이고 중대한 결과가 나타나고 있는데, 그것은 바로 표준적 IT 요소에 대한 공격이 ICS에 대해서도 일어나게 되었다는 것이다. 하지만 성능 목표가 다르고 동작 환경이 다르기 때문에 IT 분야에 이용되는 보안 조치들을 ICS에서 반드시 효과적으로 적용할 수 있는 것은 아니다.

본격적인 논의에 들어가기에 앞서 먼저 간단한 예를 살펴보자. 예를 들어서 SCADA 시스템이 산업용 설비에서 냉각수 압력을 모니터링하며 압력이 떨어지는 것으로 감지되었을 때 경고를 하도록 되어 있다고 하자. 만약 이런 위급한 상황이 발생했을 때는 “바라건대” 작업자가 즉시 조치를 취해야 한다.

그러면 통상적인 IT 인프라에서의 작업자의 대응을 살펴보자. IT 워크스테이션이 몇 분 동안 동작이 없이 멈춰 선 것으로 보인다. 작업자는 패스워드를 입력하고 로그인하려고 하는데 세 번쯤 시도해도 실패하고 워크스테이션이 다시 멈춘다. 그러면 이 IT 작업자는 관리자에게 연락해서 패스워드 리셋을 해야 한다. 그러느라고 시간은 지나간다. 산업용 환경에서 이와 같은 반복적인 과정은 재난적인 결과를 초래할 것이다. ICS에서 이런 긴급 상황이 발생했을 때는 작업자가 즉시 조치를 취해야 한다. 어떻게든 지체될 때는 귀중한 시간을 잃을 것이다. 바로 이러한 경우가 표준적인 IT 절차가 ICS에 적용하기에 적합하지 않거나 심지어는 ICS에 손해를 끼칠 수 있는 예라고 할 것이다.

산업용 제어 시스템에 대한 공격

ICS가 고유한 아키텍처이므로 전자적 공격을 방어할 수 있을 것이라고 생각하는 것은 잘못된 것이다. 전통적으로 ICS 네트워크는 고립되어 있거나 IT 표준을 따르지 않으므로 사이버 공격을 제어 및 자동화 시스템에 대한 심각한 위협으로 생각하지 않았다. 이와 관련해서 다음과 같은 3가지 중요한 경향이 나타나고 있다는 것을 알 수 있다.

  1. 제어 및 자동화 네트워크가 다른 시스템과 인터페이스하기 위해서 표준 공개 네트워크로 연결되는 것이 갈수록 늘어나고 있다.
  2. 산업용 분야에서는 고유 프로토콜을 그렇게 높지 않은 비용으로 손쉽게 “reverse engineering”할 수 있다. 산업용 분야의 위험한 점은 이러한 프로토콜의 취약성을 검토하지도 않고 있고, 이해하지도 못하고, 대응책을 마련하고 있지도 않다는 것이다. 고유 프로토콜은 그 지식이 일반에게 알려져 있지 않다는 점만으로 고유 프로토콜이 보안성을 제공할 것이라고 생각하는 것은 위험한 생각이다. 이것은 확실히 잘못된 접근법이라는 것이 증명되고 있다. 이러한 방법은 바로 “비밀스럽게 함으로써 얻는 보안(security through obscurity)”이라고 할 수 있다.1 이와 같은 불안한 프로토콜의 취약성은 공격의 유형과 대응책을 잘 이해하고 있는 공개적이며 신뢰할 수 있는 프로토콜과 뚜렷하게 상반되는 것이다.
  3. 네트워크만이 사이버 공격이 이루어지는 유일한 경로가 아니다. 그러므로 ICS의 고립된 인프라가 USB 키나 유지보수 콘솔 등과 같은 다른 공격 매체에 취약할 수 있다.

산업용 네트워크가 표준화되고 잘 알려진 프로토콜을 사용하지 않는 것과 마찬가지로 PLC 역시 고유 아키텍처라고 하는 사실만으로 보안을 제공하지 않는다. 스턱스넷이 불행하게도 이를 잘 보여주는 예라고 할 수 있다. 명백한 사실로서 스턱스넷은 고유기술 소프트웨어와 특정 구성의 PLC에만 해를 끼쳤다. 이러한 멀웨어는 자신이 목표로 하는 특정 시스템에 대해서 아주 상세히 이해하지 않고서는 만들어질 수 없는 것이다. 그러므로 “시스템 보안을 구현이나 구성요소를 비밀스럽게 하는 것으로서 달성하려고 하지 않아야 한다.”2 이 방법은 하드웨어(이 예의 경우 PLC)를 매우 취약하게 만든다. 그러므로 다시 한 번 강조하는데, ICS가 고유한 아키텍처라고 해서 전자적 공격으로부터 안전할 것이라고 생각하지 않아야 한다.

ICS는 통상적인 IT 인프라와 다른 아키텍처이고 다른 요구들을 충족하도록 설계되지만 일반적인 IT 인프라로 이루어지는 공격 대부분이 ICS에서도 일어날 수 있다. 웜이나 바이러스 같은 멀웨어 주입, 소프트웨어 또는 하드웨어 구성 변경, 공격자로부터 위조 메시지나 명령 전송, ID 도용, 허가되지 않은 감시 등을 비롯해서, 불행히도 이 공격의 목록은 갈수록 길어지고 있고 해결하기 어려워지고 있다.

그러므로 요컨대 지금의 상황은 우리에게 매우 중대한 과제를 제기하고 있다. ICS에 대한 보안 위협은 IT 인프라에 대한 공격과 유사하지만 또한 ICS는 특정한 요구들을 충족하도록 설계되므로 잘 알려진 보안 대응책을 그대로 적용할 수 없다.

ICS로 최대 수준의 보안 대응책 구현

산업용 및 자동화 애플리케이션에서 보안이 갈수록 더 중요한 문제로 대두됨으로써 그에 대한 대응 및 완화 조치들이 도입되고 있다. 지금까지 이러한 대응책들은 거의 보안 절차, 환경적 물리적 보호, 직원 교육으로 이루어졌다. 정작 ICS 자체는 계속해서 취약한 채로 남아있다. 산업용 분야 커뮤니티가 이러한 최소한의 예방책만을 마련하고 있다고 비난하기 앞서 우리는 먼저 통상적인 IT 분야에서도 보안이 이와 같이 시작되었다는 것을 상기할 필요가 있다. 바로 이렇게 하는 것이 보안의 첫 단계이고 출발점이라고 할 수 있다.

하지만 이와 같은 전통적인 대응책은 ICS에 필요로 하는 궁극적인 수준의 보안을 제공하지 못한다. 보안 절차라고 하는 것은 아무리 주기적으로 평가한다 하더라도 100퍼센트 준수되지는 않는다. 접근 제한 같은 물리적인 보호는 우회할 수 있으며 모든 곳에 적용할 수도 없다. 무엇보다도 중요한 점은 방어적이고 매뉴얼적인 절차로는 고도로 능숙한 사람이 시간과 돈을 들여서 매우 정교한 시나리오로 하는 공격을 막을 수 없다는 것이다. 더욱 더 심각한 경우는 예를 들어서 뇌물을 수수한 ICS 작업자가 절차를 생략하는 경우이다.

보안 해답은 임베디드에 있다. 다시 말해서 ICS 하드웨어에 있다. 상위 수준의 보안 대응책은 암호법과 하드웨어 보안 같은 일반화된 IT 보안 대응책들이다(그림 1).

그림 1: 보안 대응책 계층

일반화된 IT 보안 솔루션은 이미 소프트웨어로 제공되고 있을 수 있다. 어떤 인프라는 이미 방어벽으로 보호되고 있으며, IP를 통해서 TLS/SSL 같은 보안 프로토콜을 구현하고 있을 수 있다. 하지만 다시 강조하지만 이 피라미드의 모든 단계가 다 필요하다. 그러면 하드웨어 기반 보안이 어떻게 최상위 수준의 보안을 제공하는지 살펴보자.

임베디드 암호법(cryptography)을 이용한 ICS 보호

일반화된 IT 정책들이라고 해서 산업용 분야에 이용되는 다양한 유형의 ICS에 그대로 다 적용할 수 있는 것은 아니다. 그런데 IT 분야에서 널리 이용되고 있으며 산업용 분야에 적용하기 적합한 기술이 바로 암호법이다.

암호법은 위에서 열거한 공격 대부분에 대해서 해답을 제공한다. 그렇지만 또한 암호법이 마법의 지팡이가 아니며 “ICS로 암호법을 추가했더니 시스템이 한 순간에 안전해졌다”고 말할 수 있을 만큼 간단한 작업이 아니다. 암호법 알고리즘 및 프로토콜은 각각의 서브시스템에 대한 위협을 면밀하게 분석한 후에 사례별로 구현해야 하는 빌딩 블록들이다. 간략하게 정리를 하자면, 암호법은 ICS와 IT 인프라에 공통되는 툴이지만 ICS로 이를 구현하기 위해서는 각각의 특정 시스템에 적합하게 맞춤화해야 한다는 것이다. 다양한 유형의 암호법 중에서도 ICS에 이용하기 위해서는 두 가지 기법이 매우 중요하다. 디지털 서명과 암호화(encryption)가 그것이다. 그러면 ICS에 이용할 때 이 두 프로세스의 이점에 대해서 살펴보자.

디지털 서명이 기법은 메시지, 명령, 소프트웨어 요소를 인증할 때 이용된다. ICS로 두 가지 사례를 살펴보자.

  1. SCADA 시스템은 현장 센서로부터 들어오는 정보가 신뢰할 수 있는 것이기를 바란다. 이 정보가 실제 물리적인 위치의 센서로부터 들어오는 것이며 공격자가 시스템을 방해하기 위해서 위조 정보를 보낸 것이 아니라는 것을 확신할 수 있기를 바란다. 전송되는 정보를 센서나 센서 모듈이 디지털 서명을 적용하면 수신 측의 RTU(remote terminal unit)가 이 메시지가 정식의 허가된 센서로부터 보내온 것이라는 것을 확인할 수 있다(그림 2). 이 프로세스는 다른 방향으로도 동작할 수 있다. 예를 들어서 엑추에이터로 보내는 명령을 송신자가 서명할 수 있다. RTU, PLC, 마스터 SCADA 시스템 사이의 통신을 위해서도 이러한 동일 기법을 적용할 수 있다.

그림 2: 센서 리딩에 대해서 디지털 서명 적용

  1. 디지털 서명은 또한 시스템이 소프트웨어 패키지 또는 소프트웨어 업데이트가 신뢰할 수 있는 소스로부터 제공된 것이라는 것을 확인할 수 있다. 다시 스턱스넷의 예를 들자면 스턱스넷이 PLC로 악의적인 코드를 주입하고 모터를 의도하지 않은 속도로 구동하였다. 그런 다음 PLC가 잘못된 제조 프로세스를 실행하도록 하였다.3 그런데 PLC로 다운로드하려는 모든 소프트웨어 및 소프트웨어 업데이트를 디지털 서명을 적용하면 PLC가 이 소프트웨를 실행하기에 앞서서 이 소프트웨어가 허가된 것인지를 확인할 수 있다.

이러한 동일한 디지털 서명 기법을 이용해서 하드웨어 구성 변경에 대해서 시스템을 보호할 수 있다. 예를 들어서 공격자가 센서 보정 데이터를 조작할 수 있다. 그러면 잘못 구성된 센서가 마스터 시스템으로 잘못된 정보를 전송함으로써 산업용 프로세스를 방해할 수 있다. 특히 이와 같은 공격에 취약한 경우가 유동성 액체를 공급하는 것과 같이 대규모 시스템이 넓은 지역에 분산되어 있을 때이다. 이러한 경우에는 모든 센서 위치에 대해서 물리적인 접근을 보호할 수가 없다. 디지털 서명 기법이 이 문제를 해결할 수 있다. 그러면 센서 또는 센서 모듈이 마스터로 측정 정보를 전송할 때 “서명”이 적용된 보정 데이터를 전송할 수 있다. 아니면 또는 마스터가 질의(challenge)를 전송하고 축약적인 보정 또는 구성 데이터를 포함하는 서명 적용 응답을 기다리는 식으로 주기적으로 센서를 폴링할 수 있다.

또한 디지털 서명을 이용해서 하드웨어를 인증할 수 있다. 이 방법은 예를 들어서 RTU가 SCADA 네트워크로 연결되어 있을 경우에 유용하다. 이 때 알려지지 않은(인증되지 않은) 하드웨어가 중요한 정보를 수신하고 전송하지 않기를 바랄 것이다. 중요한 ICS를 구축하는 데 이용되고 있는 정식 하드웨어가 아니고는 알려지지 않은(인증되지 않은) 하드웨어가 중요한 정보를 수신하고 전송하지 못하도록 해야 한다. 바로 이러한 경우에 디지털 서명을 이용해서 하드웨어를 인증하고 신뢰를 구축할 수 있다. 

암호화(Encryption). 이 역시 정보가 노출되는 것을 보호할 수 있는 유용하고 널리 이용되는 기법이다. 제조 비법은 흔히 제품을 생산하기 위해서 필요한 모든 노하우(know-how)를 담고 있는 귀중한 자산이다. 센서로부터 전송되는 데이터나 엑추에이터의 파라미터를 모니터링함으로써 제조 프로세스에 대한 귀중한 정보나 또는 심지어 개인 신상 정보까지 알아낼 수 있다. 예를 들면 공격자들이 지능형 전력망을 통해서 사용자의 전기 소비를 추적함으로써 사용자의 행동을 파악할 수 있다고 말하는 자료들이 다수 발표되고 있다. 전통적인 IT 인프라에서처럼 ICS 네트워크로 데이터 암호화를 구현함으로써 그와 같은 노출을 방지할 수 있다.

암호법을 위해서 왜 보안 IC를 이용해야 하는가?

지금까지는 ICS 보안을 위한 암호법 애플리케이션에 대해서 논의하였다. 암호법은 흔히 소프트웨어로 구현된다. 그런데 왜 ICS에서는 보안 IC를 이용해야 하는가? 여기에는 여러 가지 이유가 있는데, 특히 보안 IC는 안전한 키 저장, 측면 채널 공격을 통한 키 노출 보호, 편리하게 “bug-free” 암호법 구현 가능, 연산 가속화, 난수 품질, 보안 부트를 통한 신뢰할 수 있는 소프트웨어 등과 같이 실제적으로 다수의 이점을 제공하기 때문이다.

안전한 키 저장

한 가지 점은 아무리 강조해도 지나치지 않을 만큼 중요하다. 그것은 바로 어떠한 보안 구현이든 AES, 대칭 암호법의 Triple DES, RSA, 공용 키 암호법의 ECDSA 등과 같이 표준 암호법 알고리즘을 이용해야 한다는 것이다. 그러므로 이들 암호법 시스템에서 가장 중요한 자산은 키(key)다. 암호법을 표준적인 프로세서를 이용해서 소프트웨어로 구현하면 암호화 키가 범용 시스템 메모리에 저장되는데 그러면 멀웨어, 디버그 포트(JTAG), 물리적 공격 등으로 손쉽게 알아낼 수 있다. 보안 IC는 이와 같은 취약성을 크게 줄일 수 있다.

  • 보안 마이크로컨트롤러는 논리적 보호를 제공한다. 보안 부트 및 마이크로컨트롤러의 메모리 관리 유닛이 멀웨어 주입을 방지할 수 있다. JTAG 포트를 정지시킬 수 있다.
  • 보안 IC는 물리적인 조작을 방지할 수 있도록 금속 차폐, 환경 센서, 외부 메쉬 센서 같은 대응책을 적용할 수 있다. 또한 내부 메모리 및 외부 메모리 역시 암호화할 수 있다. 또한 최상위 수준의 보호로서 무단조작이 감지되었을 때 키를 자동으로 파괴할 수 있다.

측면 채널 공격을 통한 키 노출 보호

마이크로컨트롤러의 전력 소모는 이의 동작에 따라서 달라진다. 암호화 연산 동작 시의 전력 소모를 모니터링함으로써 암호화 키를 알아낼 수 있다. 또 다른 측면 채널 공격은 EMA(electromagnetic emission)로 알아내는 것이다.

최신의 첨단 보안 IC는 이러한 측면 채널 공격에 대한 대응책들을 포함함으로써 이러한 측면 채널을 통해서 키를 알아내는 것이 불가능하다.

신뢰할 수 있는 “bug-free” 암호법 구현

암호법을 적용하는 시스템에서 가장 흔하게 볼 수 있는 취약점은 알고리즘의 부분적 “위조” 구현이다. 위조 알고리즘은 ICS를 취약하게 만들고 제품이 출시되고 수개월 후에 공격이 일어날 수 있다. 하지만 시스템 설계 단계에서부터 보안 IC를 이용하면 ICS 디자이너가 알고리즘 구현이 “bug-free”라는 것을 확신할 수 있다. 그런 다음 특정 표준에 대한 제3자 평가나 인증을 더함으로써 그러한 확신을 더욱 더 높일 수 있다.

연산 가속화

ICS에서는 응답 시간이 중요하다. 예를 들면 센서 측정이 정해진 지연시간 안에 SCADA 메인 컨트롤러의 RTU로 전송되어야 한다. 보안 IC는 이미 그 안에 하드웨어 암호화 엔진을 설계해 넣고 있으므로 소프트웨어 솔루션보다 더 우수한 성능을 제공한다. 뿐만 아니라 센서 컨트롤러가 컴퓨팅 성능이 제한적이라 하더라도 센서 측정을 전송하기에 앞서 디지털 서명을 적용할 수 있다. 보안 IC는 또한 애플리케이션 프로세서가 컴퓨팅 자원이 제한적일 때 애플리케이션 프로세서의 부담을 덜 수 있다.

센서 모듈 같은 극히 소형의 제한적인 시스템은 정교한 수학적 연산을 실행하기 위한 컴퓨팅 성능(통상적으로 8비트 마이크로컨트롤러)이 떨어질 수 있다. 이러한 경우에 보안 IC를 추가하는 것이 시스템 설계를 변경하지 않고서 암호법을 위한 컴퓨팅 성능을 제공할 수 있는 유일한 선택이 될 수 있다.

보안 마이크로컨트롤러는 TLS/SSL을 비롯한 모든 보안 프로토콜을 처리하는 등과 같이 포괄적인 보안 솔루션을 제공할 수도 있다.

난수 품질

암호법을 이용해서 보호하는 시스템으로 가해질 수 있는 가장 흔한 공격 기법은 “replay” 공격이라고 하는 것이다. 여기서 “replay”라고 하는 것은 아주 간단한 개념이다. 어떤 공격자가 암호화된 또는 서명된 메시지를 기록하고(이 공격자가 이 메시지를 해독하거나 이해하지 못하더라도 가능) 나중에 이 기록된 메시지를 전송하는 것이다. 디지털 서명이 된 센서 측정을 예로 들어서 이 문제를 살펴보자. 지금은 원격지 파이프의 수압이 정상이다. 센서가 워터 파이프가 정상 수압이라고 보고하고 이 메시지를 SCADA 메인 컨트롤러로 전송한다. 공격자가 이 메시지를 기록한다. 센서가 이후에 비정상 압력을 검출했을 때 공격자가 이 때 개입한다. 공격자가 앞서 기록되었던 메시지를 전송함으로써 컨트롤러가 시스템이 정상 동작 모드인 것으로 잘못 생각하도록 한다. 정상적이라면 이러한 상황에서 SCADA 시스템이 경고를 보고해야 한다. 이와 같은 리플레이 공격을 막기 위한 표준적인 보호 방법은 트랜잭션으로 난수를 도입함으로써 이전 트랜잭션을 재사용(리플레이)하지 못하도록 하는 것이다.

모든 난수 생성기가 품질이 같지는 않다. 품질이 떨어지는 난수 생성기를 이용하는 시스템에서 비밀 키를 알아낼 수 있었던 사례가 있다. 최악의 경우에는 그럴 수도 있다는 것이다. 그러면 암호법은 무용지물이 된다.4 어떻게 이런 일이 일어날 수 있는가? 표준적인 마이크로컨트롤러는 생성되는 난수의 무작위성을 보장하지 못한다. 반면에 보안 IC는 난수 생성기를 암호법 측면의 까다로운 기준들을 충족하도록 설계하며 표준 기법들에 대해서 테스트를 거친다.

보안 부트를 통한 신뢰할 수 있는 소프트웨어

불행히도 스턱스넷은 이 항목의 중요성을 잘 보여주는 영리한 예라고 할 수 있다. 시스템 작업자 및 디자이너는 SCADA 또는 DCS 시스템을 이루고 있는 모든 요소들이 신원이 확실한 정식 소프트웨어를 실행할 것이라고 확신할 수 있어야 한다. 보안 부트 및 보안 업데이트 관리는 장비를 멀웨어나 신뢰할 수 없는 소프트웨어 주입으로부터 보호할 수 있는 방법이다. 보안 부트 및 보안 업데이트 관리를 포함하는 최신의 첨단 보안 마이크로컨트롤러들이 제공되고 있다.

궁극적인 보안성 제공하는 보안 IC

오늘날 보안 IC는 ICS나 기타 중요한 시스템을 24시간 연중무휴로 보호할 수 있는 다수의 기능들을 포함한다.

Maxim Integrated의 DS28E15 같은 인증 IC는 암호법을 이용해서 마스터 시스템에 대해서 서브시스템을 인증하거나 거부할 수 있다. 이 IC는 SHA-2 인증 프로토콜을 이용해서 PLC의 I/O 확장 모듈을 인증할 수 있다. 또한 센서 모듈의 구성 및 보정 데이터를 안전하게 저장하고 디지털 서명을 적용할 수 있으므로 위조 장치가 이를 교체하거나 공격자가 주요 파라미터를 변경하지 못하도록 보호할 수 있다.

보안 매니저 디바이스는 비밀 키를 안전하게 저장할 수 있다. DS3645 같은 디바이스는 무단변경이 감지되었을 때 키 파괴가 일어나도록 할 수 있다. MAX36025 보안 매니저 디바이스는 AES 인증 및 암호화를 지원한다. 기존 마이크로컨트롤러로 이러한 보안 매니저 디바이스를 추가할 수 있으므로 이전 디자인으로부터 소프트웨어를 이식할 필요가 없다.

보안 마이크로컨트롤러는 안전한 키 저장이 가능하고, 보안 부트를 제공하고, 소프트웨어 논리 보호를 제공하고, PKCS#11 같은 프로토콜 레벨에 이르는 암호법을 구현할 때 최대의 유연성을 가능하게 한다. 보안 마이크로프로세서는 또한 네트워크 프로토콜을 지원할 수 있으며 메인 시스템 프로세서로부터 암호화 작업의 부담을 덜 수 있다. MAXQ1050 같은 디바이스 제품은 스마트 미터에 이용하도록 이러한 모든 서비스들을 제공한다. 또한 새로 출시된 MAX32590 ARM926 기반 마이크로컨트롤러는 Linux® BSP와 함께 게이트웨이 등과 같은 보안 통신 장비에 이용하기 위한 단일칩 솔루션을 제공한다.

결론

이 글에서는 많은 내용을 설명했는데 이 글을 읽고 혹자는 이렇게 물을 수도 있을 것이다. “그러면 지금 보안 IC를 이용하고 있으니까 사이버 공격으로부터 보호받고 있는 것인가?” 이렇게 묻는다면 단순히 쉽게 “예”라고 대답할 수 없다. 포괄적인 시스템 보안을 달성하기 위해서는 어떠한 솔루션을 구축하기에 앞서서 보호하고자 하는 자산을 명확히 하고 가능한 위협을 철저하게 분석해야 한다. 그런 다음 효과적인 보안을 달성하느냐는 소프트웨어와 하드웨어를 연결하는 다수의 암호법 조치들을 어떻게 구현하느냐에 따라서 좌우된다.

그럼에도 불구하고 이 글에서 살펴보았듯이 보안 IC는 ICS의 보안을 최대한의 수준으로 향상시킬 수 있다. 

참고문헌

1 Scarfone, Karen, Jansen, Wayne, and Tracy, Miles, NIST Special Publication 800-123, Guide to General Server Security, July 2008, at http://csrc.nist.gov/publications/nistpubs/800-123/SP800-123.pdf .

2 Ibid.

3 Symantec report about Stuxnet athttp://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/w32_stuxnet_dossier.pdf

4 For a discussion of DSA requirements for random k value, see Lawson, Nate, “DSA requirements for random k value,” root labs rdist, November 10, 2010, at http://rdist.root.org/2010/11/19/dsa-requirements-for-random-k-value/ .

 

 

Linux는 Linus Torvalds의 등록상표입니다.

Microsoft는 Microsoft Corporation의 등록상표 및 등록 서비스 마크입니다.

Windows는 Microsoft Corporation의 등록상표 및 등록 서비스 마크입니다.

 

저자:

Christophe Tremlet은 Maxim Integrated(프랑스 라씨오따)의 보안 부문 책임자입니다. 그 전에는 STMicroelectronics의 스마트 카드 부문에서 13년간 근무했습니다(10년은 제품 엔지니어 및 제품 엔지니어링 책임자로, 3년은 애플리케이션 책임자로 근무). 그리고 Innova Card로 옮겨서 2년 동안 CTO(Chief Technology Officer)로 재직하는 중에 Innova Card가 Maxim Integrated Products에 인수되었습니다. 프랑스 리옹 INSA(Institut National des Sciences Appliquées)에서 전기공학 석사학위를 취득하였습니다.