4. ㈜스맥 소개
회사명 ㈜스맥, SMEC Co., Ltd.
설립연도 1997년
대표이사 최 영 섭
사업분야 및
주요 제품
- ICT 사업부문
• PSTN / Mobile Gateway : MG, TG, SG, SeGW, ePDG, HeNB-GW 및 기타
• TETRA / Electricity Solutions : TETRA / DMR, PLC, B-CDMA 장치
• Cyber Security Solutions : EDR solution, ICS Solution from 2018
- 기계사업부문
• Machining Center, n-Axis Robot, Factory Automation
사업장
• 본사/기계사업부: 경상남도 김해시 주촌면 골든루트로 175-10
• 동탄 사무소/ICT 사업부 : 경기도 화성시 동탄면 동탄산단 9길 23-12, 7층
매출액 1600억원 (2017)
직원 230 명
Web Site www.esmec.com
5. Indegy 소개
Gartner "Cool Vendor":
Digitalization Through
Industrie4.0
CyberSecurity Breakthrough
Award:IOT
Best Next-GenICS/SCADA
Security Solution
Best Next-GenICS/SCADA
Security Solution
Network World
Hot Security Startupto
Watch
ICS Security Leaderfor
Pharmaceutical Man
ufacturing
CRN 2017 EmergingVendors:
Internet ofThings
2016 IoT Innovator Awardfor
industrial network security
회사명 : Indegy Ltd
설립연도 : 2014년
분야 : ICS / SCADA 보안
본사 : 1460 Broadway St., New York, NY 10036
연구/개발 센터 : 126 Yigal Alon St., Tel Aviv, Israel, 6744332
6. ICS 보안의 필요성
보안 취약 지점
산업용 제어 네트워크는 사이버 위협이 있기 이전 수십년 전에 설계.
일반적으로 운영의 안전성 및 신뢰도 제고를 목표로 설계 됨.
ICS 네트워크에서 보안(Security)을 고려한 설계가 반영되지 못함.
ICS 네트워크의 가시성 및 제어의 결핍
기업용 ICS 네트워크에서 가시성 및 일반적인 보안 제어가 부족.
산업 및 주요 인프라를 목표로 하는 내/외부적인 위협의 증가로 인해, ICS
네트워크의 고유 한 기술 및 운영 요구 사항을 해결하며 실시간 가시성
과 보호 기능을 제공하는 솔루션을 필요로 함.
7. Indegy는
ICS 네트워크에 대한
가시성과 제어 기능을 제공함으로써
사이버위협, 악의적인 내부자 또는 휴먼 에러로 인한
산업 시스템의 운영 중단 사고를 방지.
Indegy Security Platform 목표
8. ICS에 대한 위협 및 사례
Stuxnet (2010)
이란 핵 원심 분리기 20% 파괴
German Steel Plant Cyber Attack (2014)
역사상 두 번째로 물리적인 피해가 보고된 사이버 공격
Dragonfly / BlackEnergy (2014)
250개 이상의 ICS 네트워크 (에너지, 제약 등)가 손상됨
New York Water Dam(2015)
이란 해커들이 수문 제어 관리 권한 탈취
Crashoveride / Industroyer (2016)
러시아의 공격으로 우크라이나 전력망 정전 사태 발생
Dragonfly 2.0 / APTtargeting Energy and more (2017)
에너지, 원자력, 수자원, 항공 및 중요 제조 분야의 정부
기관 및 단체를 대상으로 하는 광범위한 공격
Major Incidents사이버 공격 (외부 위협)
• 표적공격
• 부수적 피해
악의적인 내부자 (내부 위협)
• 회사에 불만이 있는 사원
• 노출된 IT장비
사람의 실수 및 과실
• 작업 시 의도하지 않은 실수
9. HMI
Controller
표준 산업 애플리케이션 프로토콜:
MODBUS,PROFINET, DNP3 등. Industrial Furnace
OperatorWorkstation
보호 및 모니터 대상
EngineeringWorkstation
Logic
Configuration
Firmware
공급업체에 특화된 엔지니어링 프로토콜
(문서화 되어 있지 않음 )
ICS 네트워크 보호는 제어 영역에서의 모든 작업 활동에 대한 가시성과 통제력 확보에서 시작
산업용 컨트롤러의 유지 보수 라이프 사이클과 관련된 모든 엔지니어링 작업
(컨트롤러 펌웨어의 읽기 / 변경, 컨트롤 로직, 구성 설정 또는 상태)
HMI 및 SCADA 응용 프로그램에서
작업자와 산업 장비 (I / O) 간의 공정 매개 변 수 및 물리적 측정 통신.
ICS 제어영역과 데이터영역은
서로 다른 프로토콜을 사용.
제어 영역(Control-Plane)
데이터 영역(Data-Plane)
10. 정상적인 일상 작업
장비의 제어 파라미터를 변경하려는 악의적인 시도 발생
(ex, 터빈의 온도를 허용할 수 없는 정도로 올리는 경우)
컨트롤러는 장비의 장애 방지를 위해 변경을 허락하지 않음.
비인가된 작업 / 공격 시나리오
공격자가 컨트롤러 로직을 변경하고 이러한 임계값을 제거
안전한 작동 조건 해제 , 임계 값 우회 가능,
HMI나 이력관리 시스템에게 잘못된 데이터 전달 가능
컨트롤러 보호의 중요성
12. Indegy 핵심 기술
• 전체 설정 및 상태를 질의
• 내부 변화 감지 및 별도 경고 생성
• 기본 프로토콜을 읽기 전용으로
사용 = zero impact
(장치 무결성)
(이상탐지)
(정책기반 탐지)
• 네트워크 트래픽에서
특이점 감지
• 멀웨어 와 정찰 행위 감지
• 통계적으로 발생할 수 없는
치명적인 변화 감지
• 세분화된 activity들 의 강력한
화이트리스트/블랙리스트 업
• 미리 설정된 상태에서 장치
무결성 체크 트리거
13. Indegy 핵심 기술
제조사 고유의 산업 제어 프로토콜에 특화된
Passive DPI(Deep Packet Inspection) 기술
Controller
PumpsValvesTurbines Generators
HMIEngineering Operator
CPI ACV(특허)
컨트롤러의 무결성과 상태, 로직, 펌웨어,
백플래인 등과 같은 구성 요소에 대한 주
기적 유효성 검증
Agentless ControllerValidationControl-Plane Inspection 실시간트래픽 분석 스케줄 쿼리
차별화된 CPI 및 ACV 기능을 통해 ICS 환경 내에서의 모든 변화를 탐지
14. CPI – 제어영역 검사
산업제어시스템의고유한특성에맞게특별히설계된DPI엔진
모든 OT 활동에 대한 완전한 가시성
제어 영역에 대한 가시성 보장
IEC-6113 호환 산업용 제어 시스템을 작동시키는데 사용되는 제조 업체
별 제어계층 통신 이벤트 감지
의심스럽거나 허가 받지 않은 컨트롤러 접근에 대한 실시간
경고
Modbus 및 DNP3 등과 같은 표준 운용 프로토콜 모니터링
포괄적인 감사 추적
누가
무엇을
언제
어디서
어떻게
PLC/RTU
PumpsValvesTurbines Generators
HMIEngineering SCADA
15. ACV – Agentless 콘트롤러 유효성 검증
제어장치의상태확인및무단변경을방지하는데사용되는특허기술
컨트롤러 무결성을위한주기적유효성확인
(state,firmware,controllogic,settings,config)
동작과 성능에 무 영향
물리적 연결을 통한 로컬 변경 사항 식별.
In-depth asset discovery, management, risk analysis 가능
백업 과 복구 지원
PLC/RTU
PumpsValvesTurbines Generators
HMIEngineering SCADA
16. ICS 보안을 위한 지속적인 프로세스
Indegy
2
접근 및 변경
에 대한 지속적
인 모니터
링
3
장치 및 네트워
크에 대한 위험
평가
1
보호해야 할
대상 파악
4
정책 시
행 및
실시간
경고
가시성이확보되지않으면아무것도보호할수없다!
• 자동화된 자산 탐지, 분류 및 관리
• 구성 모니터링
• 실시간 모니터링
• 포괄적인 감사 추적
• 주기적인 무결성 검증
• 정찰 탐지
• ICS자산및네트워크에대한위험평가
• 위험요소 완화를 위한 지원
• 이례적인 활동 및 허가 받지 않은 활동
을 탐지하기 위한 세분화된 정책 제공
1
2
3
4
17. • RESTful API 제공
• API를 통해 솔루션에서 수집된 데이터 제공
• SIEM, CMDB, Big Data 등의 솔루션과 연동 및 통합 가능
ICS 네트워크에 대한 가시성 및 제어
Indegy Sensors– rack mount, compact or DIN Rail
Indegy Platform 장치
Indegy Management Server (IMS) – VM Optional
• ICS 네트워크 모니터링
• 데이터 영역 : 공정 파라메터
• 제어영역 : 엔지니어링 작업활동
• 솔루션이 탑재된 어플라이언스로 제공
• Agentless
• 설치 용이
19. Indegy 구성 예시 - single site
Indegy
Sensor
Indegy
Sensor
Indegy
Sensor
Indegy Management Server
Switch
PLC
Switch Switch
PLC PLCPanel RTUHMI
Engineering
Workstation
Operator
Workstation
Mail ServerSIEMHistorian DB
21. 대시보드
모니터링 대상 장비의 보안 현황에 대해 요약 정보를 제공.
규칙 및 정책에 의해 설정된 권한에 따라 각각 다른 대시보드 화면
을 제공.
자산관리
모든 제어 장치를 자동으로 탐지 및 맵핑하고 제조업체, 컨트롤러
모델, 펌웨어 버전, 마지막 업데이트 시간 등을 포함한 포괄적인 제
어 장치 정보를 취합.
새로 추가된 자산 및 변경, 삭제된 자산에 대한 정보를 자동으로 탐
지하여 업데이트.
위험평가
각각의 컨트롤러에 대한 사이버 보안 위험수준을 평가.
위험 요소는 공개된 취약성 정보와 Indegy 자체 취약성 조사를 기
반으로 펌웨어 코드의 취약성에서부터 사용되지 않는 열린 포트 및
디폴트 패스워드와 같은 구성 결함에 이르기까지 다양함.
구성제어
컨트롤러 로직 및 구성에 대한 모든 변경 사항을 추적하고 기록.
Indegy의 핵심 기술은 네트워크를 통한 작업이든 물리적 장치에 직
접 연결하여 수행하는 작업이든 상관없이 모든 변경 사항을 캡처.
작업 모니터링
ICS 네트워크에서 가장 중요한 제어 영역에 중점을 두고 이 영역에
서의 작업 활동에 대한 실시간 가시성을 제공.
작업 활동에 대한 상세한 로그 제공으로 이벤트 추적과 포렌직 조사
를 지원.
정책시행
세분화된 룰 기반의 정책 설정 기능을 이용하여 접근제어 및 변경
관리에 대한 정책을 수립할 수 있고 이를 통해 허가 받지 않은 작업
활동에 대한 실시간 경고를 수신.
Indegy 기능
33. Automotive Manufacturing
Oil & GAS: Downstream sector
Others
허락되지않은변경에대한 보호및지속적인동작안전
자산관리목적으로사용
Case Study
가시성확보및콘트롤러설정정보변경등 자동추적
피해발생전 사람실수에의한문제식별
ICS유지보수동작에대한적절한실행추적
The world largest CombinedproducerPotashand
phosphate(비료,인산염생산회사)
Fortune500company
아르헨티나국영 석유회사
20174분기이익 120억페소
(5.92억달러,1달러=20.25페소)
핀란드 stainlesssteel회사및테마파크(놀이공원)
세계 4대회계법인
Cyberrisk service
Volkswagen 전자기기제조
