K-SMARTFACTORY

Industry 4.0

안전한 커뮤니케이션을 위한 opc ua 사용법

2021-05-22

안전한 커뮤니케이션을 위한 OPC UA 사용법


//OPC 재단의 새로운 백서는 최종 이용자, 시스템 인티그레이터(통합 서비스 운영자), 제조업체, OEM을 위해 산업 데이터 교환 시의 보안 유지 방법에 대해 자세한 정보를 제공한다.//




그림 1 OPC UA's scalable security concept
OPC는 다양한 분야의 산업 인터넷(IIoT)및 산업용 4.0애플리케이션을 위한 보안 산업 통신 기술로 널리 사용되어 왔다. 실제로, 산업혁명 4.0 참조 모델(RAMI)의 개발자인 Platform Industrie 4.0은 OPC UA를 RAMI 통신계층의 표준으로 인용한다.
산업의 최종 사용자, 시스템 통합 업체, 장치 제조업자 및 OEM으로 하여금 OPC UA가 산업용 시스템 통신을 보호하고 기술을 적용하는 데 있어서 역할을 수월히 수행하도록 돕기 위해, OPC 재단은 "업계의 보안 구성 및 사용 지침"에 대한 백서를 발간했다.
해당 백서는 OPC 재단이 ‘보안 프로그램 사용자 그룹’을 설립한 후에 제작되었다. 우베 폴먼, 프라운호퍼 IEM및 박사-Ing가 주도하는 이 그룹에는 Ascolab, Beckhoff Automation, DS Interoperability, exceet Secure Solutions, Fraunhofer IEM, Hochschule Offenburg, Microsoft Corporation, Software AG, Sparhawk Software Inc., TE Connectivity의 대표들도 포함되어 있다.
독일 정부는 이 프로젝트를 진행하기 위해, 지능형 기술 시스템의 OstWestfalenLippe 조직으로 하여금 이용 사례와 필요 사항을 보안 사용자 그룹에 제공하도록 요청한 바 있다. 보안 사용자 그룹이 내놓는 연구 결과가 최종 이용자들에게 필요한 결과물을 내놓도록 하기 위함이었다.


그림 2 OPC 재단의 Stefan Hoppe(왼쪽)와 프라운호퍼 IEM의 Uwe Pohlmann(오른쪽).

마이크로소프트 사의 애져(Azure, 산업용 IoT, 클라우드 툴을 이용해 엔진 관리가 가능한 플랫폼) 책임자이자 소프트웨어 엔지니어링 책임자인 Erich Barnstedt는 OPC UA에 대해 , “중요한 점은 OPC UA가 설계 상 안전하지만 "이익을 위해서는 OPC UA가 제공하는 보안 기능을 사용해야만 한다는 것”이라고 말한다. 그는 또 “보안 작업은 OPC UA 서버가 매우 안전할 때 가장 극적으로 단순화될 수 있다”고 주장한다. 이는 “고객이 서버를 처음 상자에서 꺼내면 모든 보안 기능이 이미 켜져 있다”는 것을 의미한다. 또한, "OPC UA 서버 사용자는 보안 전문가가 아니므로, 장치 공급 업체가 장치 마법사와 이해하기 쉬운 가이드라인을 제공하는 등 보안 구성을 최대한 간단하게 만드는 것도 중요하다”고 언급한다.

OPC 재단의 새로운 백서는 OPC UA를 이용해 안전한 산업용 커뮤니케이션을 구현하는 방법으로 다음과 같은 6가지 요소를 소개한다.

*보안 모드: 백서에 따르면, OPK/UA보안 모드는 '서명'또는'서명/암호화'로 설정되어 있어야 한다. 이렇게 하면 응용 프로그램 레벨의 인증과 보안이 강제로 적용된다. *암호화 알고리즘 선택: 서버와 상호작용하는 데 필요한 기존 클라이언트가 이러한 보안정책을 지원하는 경우, 최소 보안 정책 'Basic2 56Sha256' 이상을 선택해야 한다.
* 사용자 인증: 백서는 식별자가 '익명'인 상태에서는 보안이 실행되지 않기 때문에 중요하지 않은 UA 서버 리소스에 액세스하는 경우에만 사용해야 한다고 경고한다. 이처럼 일반 식별자가 사용될 때에는 서버 측에서 누가 데이터 또는 구성을 변경했는지 추적 할 수 없다. 또한 공격하려는 쪽은 식별자 '익명'을 적절히 제한하지 않은 경우, 이 식별자를 사용하여 승인 받지 않고 데이터를 읽거나 쓸 수 있다.
* 인증서 및 개인 키 저장소: "개인 키 또는 해당 인증서 파일을 암호화되지 않은 파일 시스템에 저장하면 안 된다. 반드시 운영 체제 전용 인증서 저장소를 사용하고, 액세스 권한을 설정할 때에도 운영 체제 기능을 사용해야 한다.
* 인증서 사용: 신뢰할 수 있는 인증서를 제공하지 않는 연결은 지양한다. 더불어, 자체 서명된 인증서를 자동으로 신뢰하면 안되는데, 이는 추가 검증이 없다는 것을 의미하기 때문이다. 인증서에 자체 서명이 없는 경우 회사의 모든 OPC UA 응용 프로그램과 같은 인증 기관(CA)이 필요하다.
* 인증서관리 및 유지 관리 인증: 인증서 신뢰 목록 및 인증서 해지 목록을 사용하여 유효한 인증서를 관리해야 한다. 신뢰할 수 있는 사용자 또는 프로세스만이 이와 같은 목록을 작성할 수 있어야 하며, 목록은 정기적으로 업데이트해야 한다. "

Paderborn University의 소프트웨어 엔지니어링 교수이자 Fraunhofer IEM의 소프트웨어 엔지니어링 담당 이사인 Eric Bodden 교수는 새로운 OPC 재단 백서의 중요성을 언급하며 다음과 같이 말한 바 있다. “현재 사용자와 개발자는 매일 업무 중 수많은 보안 결정을 내려야 한다. 보안 기능을 잘못 사용하면, 소프트웨어 사용이 어렵고 보안 지식이 부족하기 때문에 보안 취약성이 높아진다. 시스템 보안에 관한 가이드라인이 부족한 것이 사실이다. “

이와 관련해 OPC 재단은 2018년에 OPC UA의 안전한 구현 및 운영과 관해, 우수 활용 사례를 제시하는 두 번째 백서를 발표 할 예정이라고 발표했다.


출처: AutomationWorld [[https://www.automationworld.com/how-use-opc-ua-secure-communications]]
번역: KSmartFactory