자동화 시스템에 대한 개방화가 적극 추진되면서 보안에 대한 과제가 새롭게 대두되고 있다. 마음만 먹으면 누구나 자동화 라인의 주요 생산 정보를 들여다 볼 수도 있기 때문이다.< 편집자 주>
귀사의 자동화 네트워크 내에 혹시 누군가가 들어와서 마음대로 휘젓고 다니고 있다고 생각해 본적이 있는가? 정보 보안이 제대로 이루어지지 않을 경우, 지적 재산, 생산 시간 및 다른 자산에 나쁜 영향을 미칠 수 있다.
이러한 문제를 해결하는데 Rockwell Software RSAssetSecurity는 많은 도움을 줄 수 있다. 이 소프트웨어는 중요한 시스템에 접속하려 하는 각사용자의 신원을 확인하는 방식으로 인증 제어 및 접속 제어를 중앙 방식으로 관리한다. 더 나아가, 이 소프트웨어는 각 사용자가 특정 작업을 하려 할 때를 이를 승인하거나 또는 이를 거부 또는 제한하는 기능을 갖추고 있다.
전체 시스템에서의 보안 규정 관리
RSAssetSecurity는 다른 로크웰 소프트웨어 애플리케이션에서 사용하는 것과 같은 FactoryTalk 서비스를 사용하기 때문에, 여러 데이터 소스에서의 태그, 데이터 서버, 보안 설정 및 다른 프로젝트 관련 정보의 기준 설정을 통해 시스템 전체에 걸친 보안 규정을 중앙 방식으로 관리할 수 있게 된다.
이 중앙 관리를 통해 자동화 시스템 내에 들어 있는 모든 소프트웨어 애플리케이션을 사용하여 이러한 정보를 쉽게 확인할 수 있게 된다.
로크웰 오토메이션의 Rockwell Software 미국 보안 사업 담당 Mike Bush는 “RSAsset Security는 다양한 기능을 가지고 있다. 시스템 전체에 걸친 규정 관리는 이러한 기능 중 하나이다. 이 기능을 통해 각종 공정 및 절차를 준수할 수 있다”고 말했다.
예를 들어, RSAssetSecurity를 통해 사용자는 다음과 같은 부분을 설정 할 수 있다.
– 보안 관련 규정
계정을 사용할 수 없게 될 때까지 사용자가 로그인을 할 수 있는 횟수 등과 같이 시스템 내에 들어 있는 모든 FactoryTalk을 사용할 수 있는 제품에 적용되는 일반적인 규칙
– 감사 관련 규정
시스템을 사용 중에 있는 동안 어떤 보안 관련 정보에 대한 감사를 할지에 관한 규칙
– 사용자 권한에 관한 규정
어느 사용자가 백업 작업 및 복구 작업 등과 같은 시스템의 특정 기능에 접속할 수 있는지에 대한 규칙
– 제품 관련 규정
어느 사용자가 FactoryTalk 시스템 내에 있는 각 제품의 특정 기능에 접속할 수 있는지에 관한 규칙
공통의 기반구조, FactoryTalk
로크웰 소프트웨어의 공통 기반구조로 설계된 FactoryTalk는 제조 전 과정을 통해 로크웰소프트웨어 제조 애플리케이션을 쉽게 통합되도록 하며, 공급업자와 고객에게 정보 투명성 및 연결성을 제공한다. 또한, FactoryTalk는 엔터프라이즈 시스템(ERP, SCM, CRM), ‘ControlLogix’, Allen-Bradley PLC 등과 같은 생산현장 제어기기 및 OPC 서버를 통한 광범위한 현장제어기기와의 정보통합을 보다 간편하고 쉽게 구축할 수 있게 한다.
‘FactoryTalk Directory’는 로크웰 소프트웨어 제품들에 구축되는 FactoryTalk 플랫폼의 첫 번째 구성요소다. 공장 생산 자원의 이러한 공통 주소록은 자동화 시스템의 변경 사항들이 모든 FactoryTalk 사용 애플리케이션을 통해 자동으로 갱신되도록 해준다. 기본적으로 FactoryTalk Directory는 자동화 장치, 참고 데이터 서버, 알람, HMI 디스플레이 및 기타 생산현장의 작업자들이 수시로 참고하는 ‘전화번호부’ 역할을 한다.
FactoryTalk Directory와 다른 일반적인 데이터베이스 접근법간의 큰 차이는 FactoryTalk Directory가 분산된 네임 스페이스를 고려한다는 것이다. 즉, FactoryTalk Directory는 단일 데이터베이스가 되려 하지 않는다. 오히려, 데이터를 여러 장소에 머무르게 하면서 사용자들에게 검색 가능한 단일 데이터베이스를 가질 수 있도록 한다. HMI 및 제어시스템이 보다 분산됨에 따라 플랜트 내에서 ‘데이터 창고’였던 영역들간의 통신이 보다 중요해졌다. FactoryTalk Directory는 사용자들이 이러한 모든 ‘창고’의 행로를 유지하도록 도와 통신이 용이해진다.
FactoryTalk의 두 번째 구성요소는 ‘FactoryTalk Live Data’다. 이것은 실시간 제조정보에 대한 신뢰성 있는 전사적 액세스를 제공한다. 일반적으로 이 정보는 OPC 서버로부터 생성되지만, FactoryTalk Live Data는 사용자들이 실시간으로 정보를 받을 수 있다. 또한, 기업시스템에서 실시간으로 생산설비에서 발생되는 이벤트를 즉각적으로 반응성을 보이는 능력을 부여하며, 주요 시스템과의 통신에 장애가 있을 경우 백업 시스템으로 자동 전환함으로써 시스템의 신뢰성을 최대화 시킨다. 이중화 시스템으로 표현되는 이런 기능은 기존 제품들과의 많은 차이점을 보이고 있다. 기존 시스템은 이중화 시스템 구축시 많은 프로그래밍 작업이 요구되며, 통신 연결 상태 체크를 위한 별도의 루틴이 필요했었다. 그러나 FactoryTalk Live Data는 별도의 프로그래밍 없이 간단히 이중화 구현이 가능하다.
생산현장 단계의 세 번째 구성요소인 ‘FactoryTalk Audit’는 해당 시스템의 제조 자동화 계층에서 행해진 모든 변화들의 포괄적인 리스트를 관리한다. 이것은 특히 정부규제 준수가 중요한 제약 또는 식음료 산업에 종사하는 기업들에게 중요하다. 시스템에 나타난 변화는 언제, 누가, 어떤 변화를 일으켰는지에 대한 세부 사항들을 포함하는 ‘조사 데이터베이스’로 보내진다.
개방형 네트워크에 필수적인 보안
RSAssetSecurity에 들어 있는 다른 주요 기능으로 사용자 계정을 만들고 이 계정들을 사용자 그룹으로 합치는 기능과 컴퓨터 계정을 만들고 이 계정들을 컴퓨터 그룹으로 합치는 기능 등을 들 수 있다. 이 소프트웨어를 통해 이러한 작업들을 쉽게 관리할 수 있다.
또한, RSAssetSecurity를 통해 사용자는 자동화 시스템의 각종 리소스로의 접속에 보안을 설정할 수 있다. 예를 들어, 시스템 관리자는 어느 사용자가 어느 컴퓨터에서 어떠한 작업을 할 수 있는지를 설정할 수 있다. 중요한 작업이나 위험이 따르는 작업의 경우, 이 기능을 통해 제어 중에 있는 기기에서 보이는 곳에 있는 특정 컴퓨터를 통해서만 작업을 하도록 설정할 수 있다. 더 나아가, RSAssetSecurity를 통해 제어 네트워크 및 하드웨어 기기로의 접속에 대해 보안을 설정할 수 있다.
이 소프트웨어는 Windows_ 보안과 통합되어 있다. 사용자는 윈도우를 통해 관리하고 인증 작업이 이루어지는 윈도우로 링크된 계정을 만들 수 있으나, 자동화 시스템으로의 접속에 대해 별도의 접속 허용을 설정할 수 있다. 그러나 자동화 시스템의 보안에 대해 윈도우 도메인 컨트롤러에 의존하지는 않는다.
기업 자동화 시스템 및 생산 시스템에 대한 보안 설정의 필요성은 그 어느 때보다도 중요하다. 특히 제조 환경 내에서 개방형 네트워크 사용하게 되고, 다양한 연결 방식을 채용하고 컴퓨터 시스템을 중앙 방식에서 분산화되고 있는 이 시점에서 보안 설정의 필요성은 더 중요시되고 있다. 큰 규모의 제조 업체는 보안 관련 문제를 충분히 이해하고 있고 이에 대해 많은 관심을 보이고 있으나 작은 규모 또는 중간 규모의 제조 업체들은 보안에 관련 각종 문제에 대해 많은 부분 공감하고 있지만 그것이 아직은 큰 문제가 되지 않을 것이라고 생각한다.
Bush는 많은 제조 업체가 물리적인 보안에 대해 관심을 보이는 만큼 디지털 보안에 대해 관심을 보이고 있지 않다고 지적했다. “디지털은 점점 제조 환경은 우리 생활에서 중요한 부분으로 자리 잡아 가고 있다. 보안이 제대로 갖춰져 있지 않을 경우, 디지털이 무의미해지거나 해가 될 수 있기 때문에 직원 및 공정, 절차가 제대로 구도를 갖춰야 한다”고 밝혔다.
아이씨엔 매거진 2007년 02월호
귀사의 자동화 시스템 네트워크는 안전합니까?
