기업과 생산현장 그리고 장비 등을 효율적으로 연결하는 것은 긴 여정과 같다. 단 하나의 제품이나 기술 혹은 방법만을 가지고는 산업 응용사례에 대한 완전한 보안을 구현할 수 없기 때문이다. 산업자산을 보호하기 위해서는 다가오는 다양한 유형의 보안 위협을 완화할 수 있는 계층적인 접근이 필요하다. 사람과 공정 그리고 기술과 관련한 보안 위협을 해결하기 위해서는 독립 형태의 시스템을 넘어 자료·방침·절차 등을 포함하도록 확장한 한층 포괄적인 방법이 필요하다.

장비를 공장 네트워크로 안전하게 통합하고 장비 수준에서 지적 재산을 보호하며 최종 고객에게 안전한 원격접속을 제공하기 위해 장비제조업체가 취할 수 있는 단계에 대해 알아본다.

오늘날 우리는 점점 더 많은 ‘사물’이 스마트 센서를 통해 결합·서로 통신하는 사물 인터넷(IoT) 시대에 살고 있다. 사물은 업체가 복잡한 제조공정을 잘 이해할 수 있도록 돕는 관문이다. 시스템 내의 장치부터 기업 수준의 장치에 이르기까지 다양한 장비들은 IP(Internet Protocol)에 기반을 둔 통합 네트워킹 인프라를 사용해 통신해야 한다. 

이 방식은 정보의 유연한 흐름에 도움을 준다. 하지만 산업자산을 보안 위험으로부터 보호하는 일이 더욱 중요한 역할을 하게 된다. 내부 및 외부 보안 위협을 모두 해결하는 심층 방어 보안 방식이 필요한 이유다. 심층 방어 보안 아키텍처는 개별적인 보안 방식이 뚫릴 가능성이 있다는 개념에 기반을 두고 있다. 이러한 방식을 실현하려면 한 계층의 취약성이나 결함을 다른 보안 계층에 도입된 장점이나 기능 또는 새로운 변형 요소를 활용해 보호하는 여러 방어계층이 필요하다.

심층 방어 보안은 물리적 보안·네트워크 보안·컴퓨터 보안·애플리케이션 보안·장치 보안에 중점을 준 계층식 방식을 활용한다. 로크웰 오토메이션은 시스코 및 기타 Partner Network 회원사 등 다양한 업체와의 제휴를 통해 장비제조업체가 보안 계층을 시스템 및 최종사용자의 시설에 구축할 수 있도록 지원한다. 경비원·정문·방화벽 등의 네트워크 보안 프레임워크, 침입 탐지 및 예방 시스템(IDS/IPS) 그리고 관리 스위치 등과 같은 물리적 보안 메커니즘은 심층방어 방식의 빌딩블록 계층이다. 

소프트웨어의 취약성은 침입자가 자동화 시스템에 대한 접속 권한을 쉽게 얻을 수 있도록 만든다. 장비제조업체는 컴퓨터 보안강화기술의 발전을 통해 최종사용자를 원하지 않는 접속으로부터 보호할 수 있다. 컴퓨터 보안 강화 옵션으로는 ▲인터바이러스 소프트웨어 ▲애플리케이션 화이트리스팅 ▲호스트 침입탐지 시스템(HIDS) 및 기타 엔드포인트 보안 솔루션 ▲사용하지 않는 애플리케이션, 프로토콜 및 서비스 제거 ▲불필요한 포트 닫기 등이 있다.

HMI 또는 산업용 컴퓨터 등 생산 현장에 있는 컴퓨터는 바이러스 및 트로이목마와 같은 멀웨어 사이버 공격을 받을 확률이 높다. 이러한 공격에 대한 보안 강화 기술을 사용함과 더불어 소프트웨어 패치를 사용하면 컴퓨터 공격에 대한 위험을 줄일 수 있다. 장치 보안 강화는 또한 시스템 보호에도 도움이 된다. 프로그램 가능한 자동화 컨트롤러, 라우터 또는 매니지드 스위치와 같은 내장 장치의 기본 보안 구성요소 변경 등을 실현한다.

자료 접속 제한

최종사용자 시스템과의 상호 작용을 통제하는 방침을 수립하면 사용자가 내부에 있든 외부에 있든, 현장이든 멀리에 있든 상관없이 정보 유출 및 절도를 예방할 수 있다. 

FactoryTalk 보안아키텍처 등의 소프트웨어 툴을 사용하면 최종사용자가 자동화 시스템에 접속을 시도하는 사용자의 신원을 파악함으로써 인증 및 접속통제 기능을 중앙에서 관리할 수 있게 된다. 

소프트웨어는 FactoryTalk Directory 서비스 플랫폼과의 통신을 통해 사용자의 신원과 해당 소프트웨어에 허용되지 않는 작업을 파악하며, 이를 통해 시스템 내의 기능 및 자원에 대한 특정 작업을 수행하려는 각 사용자의 요청을 허용하거나 거절한다. 

또한, 로크웰 오토메이션이 제공하는 Rockwell Software Studio 5000 Logix Designer 응용사례 기능 중 하나인 Logix Source Protection은 장비제조업체가 루틴 혹은 애드온 명령에도 암호를 지정할 수 있도록 함으로써 애플리케이션에 포함되어 있는 지적 재산을 보호한다.
보안을 활용한 원격접속

적절한 보안절차 및 아키텍처 시스템이 설치되어 있는 경우, 장비제조업체 및 최종사용자는 표준 네트워크를 통한 원격 모니터링 기능을 사용할 수 있다. 이를 통해 장비 작동을 원격으로 감시하고 실시간 진단을 수행하며 유지보수 비용을 절감할 수 있다. 

모든 규모의 제조운영과정에서 응용사례를 24시간, 365일 감시하는 클라우드 기반 컴퓨팅을 활용해 비용을 더욱 절감할 수 있다. 보안 이더넷/IP 연결을 통해 원격접속 및 지원 기능을 클라우드로 옮길 수 있다. 따라서 장비제조업체는 전체 성능을 관찰하고 중요한 자료를 담당자에게 신속하게 전송한다.

시스템 감시와 자산관리 그리고 엔지니어링을 원격으로 지원하는 기능이 점차 정교해짐에 따라, 생산현장 보안과 연결성 그리고 성능과 설치 편의성 등의 면에서 클라우드 기술이 IP기능 ‘인텔리전트 엔터프라이즈’의 발전을 촉진한다. 이러한 발전은 고압 인버터처럼 작업에 필수적인 생산 자산 면에서 확실하게 확인할 수 있다.

작동하지 않는 격리된 드라이브가 매출을 격감시키는 요인이 될 수 있다. 클라우드 기술을 사용하면 이러한 드라이브에서 경고 또는 작업실패 등이 발생할 때 해당 정보를 손쉽게 전달하고 지원 작업자에게 보내는 작업지시서를 만든다. 수 분 내에 클라우드 기반 자산 모니터링 애플리케이션이 작업실패 등에 대해 검토하고, 뒤이어 교정 조치를 위한 전문가가 배정된다.

장비제조업체는 보안 라우터를 사용해 원격 모니터링에 보안 계층을 추가할 수 있다. 

예를 들어 로크웰 오토메이션이 제공하는 Allen-Bradley Stratix 5900 서비스 라우터는 인가된 사용자만 트래픽에 접속할 수 있도록 제한하는 암호화 터널을 생성한다. 이를 통해 기존의 신뢰할 수 없는 네트워크를 사용하면서도 사용자 정보를 보호할 수 있다.

장비제조업체는 보안 통합·재산권 보호·원격접속에 지속적인 투자를 통해 관련 기업이 제시하는 기회를 포착함으로써 불필요한 위험에 대한 노출을 줄일 수 있다.