강력한 CIP 보안 사용자 인증 프로파일 제공
산업혁신 프로토콜 글로벌 비영리 조직인 ODVA가 사용자 레벨 인증이 CIP Security에 추가되었음을 발표했다.
EtherNet/IP의 사이버 보안 네트워크 확장판인 기존의 CIP Security 규격에는 기기 그룹, 데이터 기밀성, 장치 인증, 장치 ID 및 장치 무결성을 포함한 주요 보안 속성이 있었다. 이제 CIP Security는 사용자 및 역할별로 촘촘한 신뢰 도메인, 사용자를 포함한 향상된 장치 ID 및 사용자 인증을 추가한다.
정보기술(IT)와 운영기술(OT)가 산업 자동화로 융합됨에 따라 제어 엔지니어, IT 관리자 및 유지보수 운영자가 기기 매개 변수에 안전하게 액세스하고 수정할 수 있는 능력은 더욱 중요해졌다.
ODVA는 “기기 수준 보안은 중요 자산 및 사용자를 잠재적, 물리적, 그리고 점점 더 발생할 수 있는 재정적 피해로부터 보호하기 위한 산업용사물인터넷(IIoT)의 빌딩 블록 요건이 되고 있다.”며, “이 요구 사항을 충족하기 위해 강력한 CIP 보안 사용자 인증 프로파일은 로컬 및 중앙 사용자 인증 모두를 통해 잘 정의된 역할과 기본 권한 부여에 기반한 고정 사용자 액세스 정책을 통해 사용자 수준의 인증을 제공한다.”고 설명했다.
CIP Security는 장치 또는 중앙 서버를 통해 인증할 수 있으므로 작고 단순한 시스템에서부터 단순하지만 대규모로 복잡한 설치에서까지 효율성을 높일 수 있다는 것이다.
CIP Security에는 이미 TLS(Transport Layer Security) 및 DTLS(Datagram Transport Layer Security)를 비롯한 강력하고 검증된 개방형 보안 기술이 포함되었다. 이 기술은 EtherNet/IP 트래픽, 해시 또는 HMAC(키드-해시 메시지 인증 코드)의 안전한 전송을 제공하는 암호화 방법으로 사용된다.
EtherNet/IP 트래픽에 대한 Security 및 메시지 인증 그리고 인증되지 않은 당사자가 EtherNet/IP 데이터를 읽거나 보는 것을 방지하는 방식으로 메시지 또는 정보를 인코딩하는 수단으로 암호화하고 새로운 CIP 사용자 인증 프로파일은 애플리케이션 계층에서 CIP 통신에 대한 사용자 수준 인증을 제공한다.
향후 CIP Security는 CIP 권한 부여 프로파일을 사용하여 사용자 및 시스템의 어떤 속성에도 기반할 수 있는 액세스 정책을 제공하고 잠재적으로 CIP 보안을 확장하여 다른 비 EtherNet/IP 네트워크를 지원할 수 있는 일반적이고 유연한 권한 부여와 같은 추가 보안 속성을 제공할 수가 있다.
ODVA의 발표에 따르면, 새로운 사용자 인증 프로파일은 OAuth 2.0 및 OpenID 을 포함한 몇 가지 개방적이고 공통적인 유비쿼터스 기술을 사용한다. ID 암호화로 보호된 토큰 기반 사용자 인증, 인증 증명으로 JWT(JSON Web Tokens) 및 이미 존재하는 X.509 인증서를 통해 사용자와 장치에 암호화 방식으로 안전한 ID를 제공한다.
ODVA의 SIG(EtherNet/IP System Architecture Special Interest Group) 부회장인 Jack Visoky는 “사용자 인증은 완전한 EtherNet/IP 산업 통신 생태계의 일부인 핵심 네트워크 확장인 CIP Security 개발에 있어 또 다른 중요한 단계다. 심층 방어의 일환으로 CIP Security는 공장 운영을 방해할 대상을 찾고 있는 악의적인 사이버 공격자에 대한 효과적인 억제력으로 설계되었다.”고 말했다.
ODVA의 사장 겸 전무인 Al Beydoun 박사는 “연결된 인프라 및 자동화 시스템을 통해 CIP Security는 악의적인 사이버 보안 공격으로부터 전 세계 필수 제품의 귀중한 투자와 생산을 보호하는 데 그 어느 때보다 중요하다”고 설명하고, “ODVA는 향후 CVA 개발에 지속적으로 투자할 것”이라고 말했다.
IP 보안 및 EtherNet/IP를 통해 최종 사용자가 나쁜 행위자에 의해 초래되는 물리적 및 재정적 피해로부터 보호받을 수 있도록 시스템화 하고 있는 것이다.
CIP Security를 포함한 EtherNet/IP 사양의 최신 버전을 확인하려면 odva.org을 방문하십시오.