[시큐리티월드 김기현] 2015년 7월 서울지하철 1∼4호선을 운영하는 서울메트로의 PC 관리프로그램 운영 서버 등 서버 2대가 해킹을 당했다. 이 사고로 213대의 PC에서 인가받지 않은 사용자의 접속 흔적이 확인됐으며, PC 58대는 악성코드에 감염됐고 업무자료 12건도 유출됐다. 당시 서울메트로는 열차 운행의 핵심인 종합관제 시스템은 완전히 별도의 폐쇄망으로 독립 운영하고 있다고 밝혔다. 그러나 올 2월 서울시감사위원회가 서울메트로와 도시철도공사를 감사한 결과, 지하철 신호제어시스템이 인터넷과 연결돼 있는 등 폐쇄망 운영 규정을 어긴 것으로 나타났다.
제어시스템에 대한 폐쇄망 운영 규정
정보통신기반보호법 제9조에 따르면, 서울메트로의 신호제어시스템과 같은 주요 정보통신 기반시설의 제어시스템은 외부 접근이 불가한 별도의 망으로 분리하여 운영해야 한다. 정보통신기반보호법 제9조에 따른 미래창조과학부 고시 제2013-37호 주요 정보통신 기반 시설 취약점 분석·평가 기준과 국가정보원에서는 전자제어시스템 보안가이드라인에서도 제어시스템은 업무망, 인터넷망과 물리적인 망분리를 해야 한다고 명시돼 있다.
제어 네트워크는 외부망(인터넷), 내부망(업무망)과 물리적으로 분리해야 하지만, 외부망과 자료 연계가 필요한 경우 물리적 일방향 환경을 구축해 필요한 자료를 연계할 수는 있다. 여기서 말하는 ‘물리적 일방향’이란 ‘정보 전달이 필요한 두 시스템 사이에 단방향으로만 정보가 전달되도록 송·수신 회선의 한쪽을 물리적으로 차단한 연결선을 사용하는 방식’을 가리킨다. 또한 일방향 전송장비는 ‘데이터 송신용 장비와 수신용 장비를 한 쌍으로 하여 일방향으로만 정보전달이 가능하도록 개발된 전용장비’로 정의할 수 있으며 물리적 일방향 환경을 구축하기 위해 필수적인 장비로 사용된다.
단방향 보안 게이트웨이 또는 데이터 다이오드
일방향 네트워크(Unidirectional Network)는 한쪽 방향으로만 데이터를 전달할 수 있도록 하는 네트워크 어플라이언스 또는 디바이스로 단방향 보안 게이트웨이(Unidirectional Security Gateway) 또는 데이터 다이오드(Data Diode)로도 불린다. 일방향 네트워크에 대한 아이디어는 1960년대부터 있었으며, 초기 보안등급이 낮은 네트워크에서 보안등급이 높은 네트워크로 자료를 보내기 위해 개발됐다.
일방향 네트워크를 구성하기 위해 송신 장비의 수신라인과 수신 장비의 송신라인을 물리적으로 자른 RS-232 타입의 데이터 다이오드가 사용됐다. RS-232 케이블링 방식은 역방향으로 데이터를 전송할 수 있는 비인가(Covert Channel) 채널 문제를 가지고 있었다. 이를 개선하기 위해 1990년대 호주의 DSTO(Defense Science and Technology Organization)가 광 데이터 다이오드를 개발했다.
이후 데이터 다이오드는 일방향 케이블링 방식에서 물리적 일방향 송신/수신 전용보드를 사용하는 네트워크 어플라이언스 형태로 발전했다. 또 일방향 전송장비들이 상용화돼 기반시설 보호 목적으로 사용되기 시작했다. 상용 일방향 전송장비들은 기반시설 보호를 위해 보안등급이 높은 네트워크(제어망)에서 보안등급이 낮은 네트워크(외부망)로 공공 자료를 전달하기 위해 사용된다.
국외 일방향 전송장비로는 워터폴(Waterfall)의 USG(Unidirectional Security Gateway) 등이 있다. 한편, 앤앤에스피의 물리적 일방향 전송장비인 ‘nNetDiode’는 차세대 네트워크 다이오드다. nNetDiode의 Diode는 데이터 다이오드로부터 왔으며 n은 차세대(next), Net은 네트워크를 의미한다.
일방향에 대한 잘못된 인식, 폐쇄망은 물리적 일방향
대부분의 사람들은 외부 인터넷망과 내부망을 분리하고 망간 자료전송을 위해 망연계 장비를 사용해야 된다고 알고 있다. 개념을 확장해 제어망과 내부망을 물리적으로 분리하고 망연계 장비를 사용해 일방향으로 자료를 전송하면 된다고 알고 있는 사람들도 있다. 올바른 것은 외부 인터넷망과 내부망을 분리하고 자료 전송을 위해 망연계 장비를 사용하는 인터넷망 분리다.
제어망과 내부망 사이에 망연계 장비를 사용하여 일방향으로 자료를 전송하는 것은 폐쇄망 정책을 위반하는 것이다. 이유는 간단하다. 일방향 자료 전송이 아닌 물리적 전송 매체를 일방향으로 구성해야 되기 때문이다. 망연계 장비에서 일방향은 정책만 바꾸면 양방향으로 전환되는 논리적 일방향이지만 물리적 일방향은 제어망에서 외부망으로 송·수신 회선은 연결되어 있어 인가된 자료만 외부로 보낼 수 있지만 외부망에서 제어망으로의 송·수신 회선은 물리적으로 절단돼 외부 해킹을 100% 차단하고 제어망을 폐쇄망으로 유지시켜준다.
망연계 장비의 경우 IEEE 1394를 이용해 일방향으로 자료를 전송하거나, 하나의 광케이블만 사용하는 미디어 컨버터(Single Fiber Media Converters)를 이용하여 일방향으로 자료를 전송하는 경우도 있다. IEEE 1394는 컴퓨터와 외부 장치를 연결하는 고속 데이터 전송 버스로 명칭이 통일되지 않아, 애플 파이어와이어(Fireware), 소니 i Link 불리는 USB의 라이벌이다. USB나 IEEE 1394는 파일을 전송할 때 한쪽 방향으로(캠코더→PC) 데이터를 보내 일방향으로 보이지만, 반대 방향으로도(PC→캠코드) 파일 전송이 가능하므로 USB가 양방향 통신이듯 IEEE 1394도 양방향 통신이다.
하나의 광케이블만 사용하는 미디어 컨버터는 선이 하나이기 때문에 일방향 전송으로 보이지만 광케이블은 주파수 각도만 달리하면 신호를 동시에 주고받을 수 있다. 인터넷에서 ‘Single Media Fiber Converters’를 검색하면 많은 제품들이 있으며 몇 만원에서 몇 십만원이면 구입이 가능하다. Single이라는 단어에 일방향으로 착각하는 경우가 많으나 이는 Single-mode를 사용할 수 있다는 것을 의미하며 제품 특징을 보면 Half and Full Duplex라고 되어 있다.
Half Duplex는 한쪽에서 송신할 때 다른 한쪽은 수신만 하지만 반대로도 가능한 양방향 통신이며 Full Duplex는 말 그대로 양방향 통신을 의미한다. 올바른 물리적 일방향 전송매체를 구성하기 위해서는 랜 케이블 절체 방식, 광케이블 일방향 연결 방식, 물리적 일방향 송신/수신 전용보드 방식 등으로 구성해야 한다.
세계적 수준의 물리적 일방향 전송장비 nNetDiode
간단히 생각하면 물리적 일방향 전송장비는 한쪽 회선을 절단하고 데이터를 UDP로 일방향 전송하면 되는 쉬운 기술로 여길 수 있다. 그러나 물리적 일방향 전송장비는 물리적 일방향 전송매체의 구성, 일방향 전송 데이터의 오류에 대한 대책, 제어 프로토콜과의 연동, 보안적합성 검증 요구사항의 만족 등의 4가지 문제를 해결해야 한다.
물리적 일방향 전송장비 개발은 기존 보안과제로 진행된 기술이 있으나 nNetDiode에는 광케이블 일방향 연결 방식을 사용했다. nNetDiode는 민간기술로는 처음으로 개발된 물리적 일방향 전송장비로, 세계 일류 제품에서 사용되는 물리적 일방향 송신/수신 전용보드를 국내 최초로 자체 개발해 탑재했다.
nNetDiode는 일방향 전송장비 내에 물리적 일방향 송신/수신 전용보드를 장착해 일방향 케이블을 뺐고, 양방향 케이블을 불법적으로 연결하는 오남용을 근본적으로 차단한다. 그러나 송신측에서 데이터를 전송하고 수신측에서 응답을 보내는 양방향 네트워크와는 달리 일방향 네트워크에서는 송신측에서 일방적으로 데이터를 전송하므로 전송데이터에 대한 오류가 발생하거나 손실이 발생할 수 있다. 이같은 일방향 네트워크에서 전송 데이터에 대한 신뢰성 문제를 해결하기 위해 세계 일류 제품은 오류정정부호(ECC, Error Correcting Code)를 사용하여 데이터를 전송하는 방법을 사용하고 있으나 오류정정부호의 한계치를 벗어나면 오류를 복구할 수 없는 단점이 있다.
그 대안으로 다른 채널을 통하여 수신결과(OK 또는 Error)만 피드백하는 방법이 제시되고 있으나 이는 100% 일방향이 아니다. nNetDiode는 일방향 데이터 전송 데이터에 대한 무결성을 점검하고 오류가 발생하면 전송매체 특성을 이용하여 데이터 재전송이 가능한 기술을 확보하여 국내 특허를 등록했으며, 국제특허 PCT 출원되어 있는 기술을 적용함으로써 전송데이터의 오류률을 최소화해 외산 제품과 경쟁에도 밀리지 않을 뛰어난 성능을 갖췄다.
또한 물리적 일방향 전송장비는 제어시스템 네트워크에 적용되는데, 일방향 전송장비가 IT 프로토콜과의 연계를 지원하는 것은 기본이며 제어프로토콜과의 연계를 지원하는 것이 필수적이다. 기존 국내 연구 결과물들은 파일이나 DB에 대한 일방향 전송은 가능하지만 제어프로토콜은 고려하지 않는 경우가 많다. nNetDiode는 IT 환경에서의 보안이벤트, 데이터베이스, 파일 등 대한 일방향 전송뿐 만아니라 제어시스템 환경에서의 제어프로토콜, RDB 등에 대한 일방향 전송을 지원한다.
마지막으로 일방향 전송장비를 주요 기반시설에 적용하기 위해서는 국내 보안적합성 검증 요구사항을 만족해야 한다. 국외 일방향 전송장비를 국내 보안적합성 검증 요구사항을 만족하지 못한다. nNetDiode는 보안영역 스트림연계 통제, 일방향성 유지, 감사기록, 식별 및 인증, 보안관리, 전송 데이터 보호, 자체시험, 안전한 세션관리 등에 대한 보안적합성 검증 요구사항을 만족한다.
[글 김기현 앤앤에스피 부설연구소 부사장]
[월간 시큐리티월드 2016년 6월호(sw@infothe.com)]
<저작권자 : 시큐리티월드(http://www.securityworldmag.co.kr) 무단전재-재배포금지>
 | ||
제어시스템에 대한 폐쇄망 운영 규정
정보통신기반보호법 제9조에 따르면, 서울메트로의 신호제어시스템과 같은 주요 정보통신 기반시설의 제어시스템은 외부 접근이 불가한 별도의 망으로 분리하여 운영해야 한다. 정보통신기반보호법 제9조에 따른 미래창조과학부 고시 제2013-37호 주요 정보통신 기반 시설 취약점 분석·평가 기준과 국가정보원에서는 전자제어시스템 보안가이드라인에서도 제어시스템은 업무망, 인터넷망과 물리적인 망분리를 해야 한다고 명시돼 있다.
제어 네트워크는 외부망(인터넷), 내부망(업무망)과 물리적으로 분리해야 하지만, 외부망과 자료 연계가 필요한 경우 물리적 일방향 환경을 구축해 필요한 자료를 연계할 수는 있다. 여기서 말하는 ‘물리적 일방향’이란 ‘정보 전달이 필요한 두 시스템 사이에 단방향으로만 정보가 전달되도록 송·수신 회선의 한쪽을 물리적으로 차단한 연결선을 사용하는 방식’을 가리킨다. 또한 일방향 전송장비는 ‘데이터 송신용 장비와 수신용 장비를 한 쌍으로 하여 일방향으로만 정보전달이 가능하도록 개발된 전용장비’로 정의할 수 있으며 물리적 일방향 환경을 구축하기 위해 필수적인 장비로 사용된다.
단방향 보안 게이트웨이 또는 데이터 다이오드
일방향 네트워크(Unidirectional Network)는 한쪽 방향으로만 데이터를 전달할 수 있도록 하는 네트워크 어플라이언스 또는 디바이스로 단방향 보안 게이트웨이(Unidirectional Security Gateway) 또는 데이터 다이오드(Data Diode)로도 불린다. 일방향 네트워크에 대한 아이디어는 1960년대부터 있었으며, 초기 보안등급이 낮은 네트워크에서 보안등급이 높은 네트워크로 자료를 보내기 위해 개발됐다.
일방향 네트워크를 구성하기 위해 송신 장비의 수신라인과 수신 장비의 송신라인을 물리적으로 자른 RS-232 타입의 데이터 다이오드가 사용됐다. RS-232 케이블링 방식은 역방향으로 데이터를 전송할 수 있는 비인가(Covert Channel) 채널 문제를 가지고 있었다. 이를 개선하기 위해 1990년대 호주의 DSTO(Defense Science and Technology Organization)가 광 데이터 다이오드를 개발했다.
이후 데이터 다이오드는 일방향 케이블링 방식에서 물리적 일방향 송신/수신 전용보드를 사용하는 네트워크 어플라이언스 형태로 발전했다. 또 일방향 전송장비들이 상용화돼 기반시설 보호 목적으로 사용되기 시작했다. 상용 일방향 전송장비들은 기반시설 보호를 위해 보안등급이 높은 네트워크(제어망)에서 보안등급이 낮은 네트워크(외부망)로 공공 자료를 전달하기 위해 사용된다.
국외 일방향 전송장비로는 워터폴(Waterfall)의 USG(Unidirectional Security Gateway) 등이 있다. 한편, 앤앤에스피의 물리적 일방향 전송장비인 ‘nNetDiode’는 차세대 네트워크 다이오드다. nNetDiode의 Diode는 데이터 다이오드로부터 왔으며 n은 차세대(next), Net은 네트워크를 의미한다.
일방향에 대한 잘못된 인식, 폐쇄망은 물리적 일방향
대부분의 사람들은 외부 인터넷망과 내부망을 분리하고 망간 자료전송을 위해 망연계 장비를 사용해야 된다고 알고 있다. 개념을 확장해 제어망과 내부망을 물리적으로 분리하고 망연계 장비를 사용해 일방향으로 자료를 전송하면 된다고 알고 있는 사람들도 있다. 올바른 것은 외부 인터넷망과 내부망을 분리하고 자료 전송을 위해 망연계 장비를 사용하는 인터넷망 분리다.
제어망과 내부망 사이에 망연계 장비를 사용하여 일방향으로 자료를 전송하는 것은 폐쇄망 정책을 위반하는 것이다. 이유는 간단하다. 일방향 자료 전송이 아닌 물리적 전송 매체를 일방향으로 구성해야 되기 때문이다. 망연계 장비에서 일방향은 정책만 바꾸면 양방향으로 전환되는 논리적 일방향이지만 물리적 일방향은 제어망에서 외부망으로 송·수신 회선은 연결되어 있어 인가된 자료만 외부로 보낼 수 있지만 외부망에서 제어망으로의 송·수신 회선은 물리적으로 절단돼 외부 해킹을 100% 차단하고 제어망을 폐쇄망으로 유지시켜준다.
망연계 장비의 경우 IEEE 1394를 이용해 일방향으로 자료를 전송하거나, 하나의 광케이블만 사용하는 미디어 컨버터(Single Fiber Media Converters)를 이용하여 일방향으로 자료를 전송하는 경우도 있다. IEEE 1394는 컴퓨터와 외부 장치를 연결하는 고속 데이터 전송 버스로 명칭이 통일되지 않아, 애플 파이어와이어(Fireware), 소니 i Link 불리는 USB의 라이벌이다. USB나 IEEE 1394는 파일을 전송할 때 한쪽 방향으로(캠코더→PC) 데이터를 보내 일방향으로 보이지만, 반대 방향으로도(PC→캠코드) 파일 전송이 가능하므로 USB가 양방향 통신이듯 IEEE 1394도 양방향 통신이다.
하나의 광케이블만 사용하는 미디어 컨버터는 선이 하나이기 때문에 일방향 전송으로 보이지만 광케이블은 주파수 각도만 달리하면 신호를 동시에 주고받을 수 있다. 인터넷에서 ‘Single Media Fiber Converters’를 검색하면 많은 제품들이 있으며 몇 만원에서 몇 십만원이면 구입이 가능하다. Single이라는 단어에 일방향으로 착각하는 경우가 많으나 이는 Single-mode를 사용할 수 있다는 것을 의미하며 제품 특징을 보면 Half and Full Duplex라고 되어 있다.
Half Duplex는 한쪽에서 송신할 때 다른 한쪽은 수신만 하지만 반대로도 가능한 양방향 통신이며 Full Duplex는 말 그대로 양방향 통신을 의미한다. 올바른 물리적 일방향 전송매체를 구성하기 위해서는 랜 케이블 절체 방식, 광케이블 일방향 연결 방식, 물리적 일방향 송신/수신 전용보드 방식 등으로 구성해야 한다.
세계적 수준의 물리적 일방향 전송장비 nNetDiode
간단히 생각하면 물리적 일방향 전송장비는 한쪽 회선을 절단하고 데이터를 UDP로 일방향 전송하면 되는 쉬운 기술로 여길 수 있다. 그러나 물리적 일방향 전송장비는 물리적 일방향 전송매체의 구성, 일방향 전송 데이터의 오류에 대한 대책, 제어 프로토콜과의 연동, 보안적합성 검증 요구사항의 만족 등의 4가지 문제를 해결해야 한다.
물리적 일방향 전송장비 개발은 기존 보안과제로 진행된 기술이 있으나 nNetDiode에는 광케이블 일방향 연결 방식을 사용했다. nNetDiode는 민간기술로는 처음으로 개발된 물리적 일방향 전송장비로, 세계 일류 제품에서 사용되는 물리적 일방향 송신/수신 전용보드를 국내 최초로 자체 개발해 탑재했다.
nNetDiode는 일방향 전송장비 내에 물리적 일방향 송신/수신 전용보드를 장착해 일방향 케이블을 뺐고, 양방향 케이블을 불법적으로 연결하는 오남용을 근본적으로 차단한다. 그러나 송신측에서 데이터를 전송하고 수신측에서 응답을 보내는 양방향 네트워크와는 달리 일방향 네트워크에서는 송신측에서 일방적으로 데이터를 전송하므로 전송데이터에 대한 오류가 발생하거나 손실이 발생할 수 있다. 이같은 일방향 네트워크에서 전송 데이터에 대한 신뢰성 문제를 해결하기 위해 세계 일류 제품은 오류정정부호(ECC, Error Correcting Code)를 사용하여 데이터를 전송하는 방법을 사용하고 있으나 오류정정부호의 한계치를 벗어나면 오류를 복구할 수 없는 단점이 있다.
그 대안으로 다른 채널을 통하여 수신결과(OK 또는 Error)만 피드백하는 방법이 제시되고 있으나 이는 100% 일방향이 아니다. nNetDiode는 일방향 데이터 전송 데이터에 대한 무결성을 점검하고 오류가 발생하면 전송매체 특성을 이용하여 데이터 재전송이 가능한 기술을 확보하여 국내 특허를 등록했으며, 국제특허 PCT 출원되어 있는 기술을 적용함으로써 전송데이터의 오류률을 최소화해 외산 제품과 경쟁에도 밀리지 않을 뛰어난 성능을 갖췄다.
또한 물리적 일방향 전송장비는 제어시스템 네트워크에 적용되는데, 일방향 전송장비가 IT 프로토콜과의 연계를 지원하는 것은 기본이며 제어프로토콜과의 연계를 지원하는 것이 필수적이다. 기존 국내 연구 결과물들은 파일이나 DB에 대한 일방향 전송은 가능하지만 제어프로토콜은 고려하지 않는 경우가 많다. nNetDiode는 IT 환경에서의 보안이벤트, 데이터베이스, 파일 등 대한 일방향 전송뿐 만아니라 제어시스템 환경에서의 제어프로토콜, RDB 등에 대한 일방향 전송을 지원한다.
마지막으로 일방향 전송장비를 주요 기반시설에 적용하기 위해서는 국내 보안적합성 검증 요구사항을 만족해야 한다. 국외 일방향 전송장비를 국내 보안적합성 검증 요구사항을 만족하지 못한다. nNetDiode는 보안영역 스트림연계 통제, 일방향성 유지, 감사기록, 식별 및 인증, 보안관리, 전송 데이터 보호, 자체시험, 안전한 세션관리 등에 대한 보안적합성 검증 요구사항을 만족한다.
[글 김기현 앤앤에스피 부설연구소 부사장]
[월간 시큐리티월드 2016년 6월호(sw@infothe.com)]
<저작권자 : 시큐리티월드(http://www.securityworldmag.co.kr) 무단전재-재배포금지>
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
