퍼듀 모델(Purdue model)이란?

ICS 시스템들을 견고하게 연결하기 위해서는 이를 위한 네트워크 구조화 모델이 필요하며, 퍼듀 모델(Purdue model, 1990년대 기업 구조에 대한 참조 모델)은 이를 위해 ISA-99에서 PERA(Purdue Enterprise Reference Architecture)로부터 도입해 채택한 모델이다. 

이 모델은 학계 및 ICS 보안 업계에서 ICS 보안 이론 배경과 보안 참조 모델로 널리 사용되고 있다. 

레벨4,5의 엔터프라이즈 영역은 IT, 레벨0~3 영역은 OT로 구분되며 구체적인 역할은 아래와 같다.

"Industrial Cyber Security" (저자: Pascal Ackerman) 참조


1. 엔터프라이즈 보안 영역

엔터프라이즈 영역은 ERP 및 SAP와 같은 비즈니스 시스템이 일반적으로 사용되는 ICS 영역이다. 

이 영역에서는 일정관리, 공급망 관리와 같은 작업이 주로 수행되며, 두 가지 아래와 같은 두 가지 레벨로 나눌 수 있다.

​1) 엔터프라이즈 네트워크 (레벨5)

엔터프라이즈 네트워크 시스템은 일반적으로 회사의 여러 시설과 공장에 걸쳐 있다. 

이 시스템은 개별 공장의 서브시스템 데이터를 받아와 누적된 데이터를 기반으로 전반적인 공장 설비의 생산 상태, 재고, 수요를 리포트 하는데 사용된다. 

이 영역은 기술적으로는 ICS 영역이라기 보다는 ICS 네트워크와의 연결을 기반으로 비즈니스 결정을 내리는 데 필요한 데이터를 제공하는 영역이라고 할 수 있다.

2) 사이트 비즈니스 및 물류 (레벨4)

이 영역은 시설의 모든 생산 프로세스들을 지원하는 IT 시스템들이 위치해 있다. 

이 시스템은 가동 시간, 설비에서 생산된 개체 수와 같은 생산 정보 통계를 리포팅하고, 주문이나 비즈니스 데이터를 가져와서 ICS/OT 시스템에 분배한다. 

레벨4에는 일반적으로 데이터베이스 서버, 어플리케이션 서버(웹, 보고서, MES), 파일 서버, 이메일 클라이언트, 감독자 데스크톱 등의 시스템이 위치해 있다.


2. 인더스트리얼 비무장 영역

엔터프라이즈 영역과 시스템/인더스트리얼 영역 사이에는 IDMZ(Industrial DMZ, 인더스트리얼 비무장 영역)이 위치해 있다. 

기존의 IT DMZ와 매우 흡사한 OT 지향 IDMZ를 사용하면 안전하게 네트워크에 연결할 수 있다. 

IDMZ는 NIST 사이버 보안 프레임워크 및 NERC CIP와 같은 보안 표준을 만들려는 노력의 결과로 만들어졌다. 

이 영역은 레벨4,5의 IT 시스템과 레벨3 이하의 OT 시스템과의 정보 공유 계층이다. 

IT와 OT 시스템 간의 직접적인 통신을 막고, IDMZ에 브로커 서비스를 통해 통신을 중계하는 분리/검사 계층으로서 역할을 한다. 

이로써 하위 계층의 시스템은 공격이나 손상에 직접 노출되지 않을 수 있다. 

IDMZ의 일부 시스템이 손상될 경우, 이 부분에 대한 서비스를 종료시키는 방법 등의 절충안을 통해 공정은 계속될 수 있다. 

일반적으로 (웹) 프록시 서버, 데이터베이스 복제 서버, 마이크로소프트 도메인 컨트롤러 등이 이 곳에 위치한다.

​
3. 인더스트리얼 영역

인더스트리얼 영역은 실제로 프로세스가 가동되는 매우 중요한 영역이며, 아래와 같은 4가지 레벨로 분류된다. 

이 영역은 매뉴팩처링 영역(Manufacturing Zone)으로 불리기도 한다. 레벨0~2 영역은 인더스트리 영역 내에서 Cell/Area 영역으로 구분되며, 앞에서 언급한 SCADA, DCS와 같은 시스템이 부분을 아우른다.

1) 사이트 운영 (레벨3)

레벨3 영역은 시설 전체의 제어 기능과 모니터링을 담당하는 시스템이 위치해 있다. 

운영자는 이 레벨에서 전체 OT 시스템을 모니터링하고 관리한다. 

즉, 시설을 동작시키는 모든 시스템에 대한 개요를 제공하는 HMI 및 운영장비가 모여 있는 중앙 집중적 제어실의 역할을 한다.

하위 레벨에게 받은 데이터들을 수집하는 시스템들이 위치해 있으며, 레벨4 IT 시스템에게 이를 보고하고 쿼리를 보내기도 한다. 

일반적으로 데이터베이스, 어플리케이션 서버(웹, 보고), 파일 서버, 마이크로소프트 도메인 컨트롤러, HMI 서버 엔지니어링 워크스테이션 등이 여기에 위치한다.

2) 영역 감독 통제 (레벨2)

레벨2 영역은 레벨3의 영역보다 구체적인 부분을 대상으로 한다. 

즉 시스템의 특정 부분을 HMI 시스템으로 모니터하고 관리한다. 

예를 들어, 단일 생산 라인을 가동시키거나 중지시킬 때 HMI 터치 스크린을 통해 조작하는 것을 생각하면 된다. 

주로 HMI, 라인 컨트롤 PLC와 같은 감독 통제 시스템, 엔지니어링 워크스테이션과 같은 시스템들이 위치해 있다.

3) 기본 통제 (레벨1)

기본 통제 영역은 모든 제어 장비가 모여 있는 곳이다. 

즉, 밸브를 열고 액추에이터를 움직이고 모터를 가동시키는 등의 역할을 한다. 

PLC, 가변 주파수 드라이브(VFD), 전용 비례 적분 파생(PID) 컨트롤러 등이 위치한다. 

레벨2의 PLC는 감독의 역할을 주로 수행하는 것과 반해, 이 영역의 PLC는 제어의 역할을 수행한다.

4) 프로세스 (레벨0)

실제로 프로세스를 수행하는 장비들이 위치하는 영역이다. 

센서, 액추에이터, 펌프, 밸브 등이 위치하며, 이 곳의 장비들은 중단없이 원활히 동작이 이루어져야 한다. 

이 영역의 단일 장비에서 문제가 발생하면 전체 시설에 문제가 발생할 수 있기 때문이다. 
​

퍼듀 모델의 레벨3 이하에서 사용되는 프로토콜은 Profibus, DeivceNet, ModBus, CAN, CIP 등 수 많은 종류들이 있다. 

이러한 프로토콜은 OT 영역을 벗어나지 않으며, IDMZ(레벨3.5)에서 이러한 프로토콜을 차단한다. 

문제는 이러한 프로토콜들이 설계될 당시, 높은 성능과 안정성, 호환성 만을 최우선시 한 나머지 보안이 고려되지 않았다는 점이다. 

따라서 통신 암호화나 무결성 검사를 지원하지 않으며, 이러한 잠재적인 문제점은 OT 보안을 더욱 어렵게 하는 숙제를 남기게 되었다.

 

"아무 것도 신뢰하지 않는다" = "아무도 믿지 마라" = "계속 검증하라"

 

앞으로 정보 보안의 흐름은 보안은 강화하고 사용자의 불편함을 최소화하는 방향으로, 기억할 필요가 없는 비밀번호! BaroPAM이 함께 하겠습니다.