새로운 기술 개발은 아니지만, 유비쿼터스의 재배치와 3G 셀룰러 수용은 원격으로 Ether Net/IP 네트워크에 접근할 수 있는 기회를 만들어냈다. SCADA(Supervisory Control and Data Acquisition) 네트워크는 수년간 장비에 대한 원격 액세스를 위해 셀룰러 및 임대차용 라인 기술을 활용해왔다. 최근 기계 제작자들은 현장에서 기계를 모니터링하고, 문제를 해결하기 위해 셀룰러 네트워크를 사용하는 데 있어서 고객들의 이점을 깨닫고 있다. 이 기술의 프레젠테이션은 셀룰러 인프라를 통해 원격 프로그래밍이 가능한 자동화 컨트롤러(PAC)에 액세스하는 프로세스에 대한 설명으로부터 시작하여 애플리케이션(응용)까지 확장을 한다. 이 세션에서는 원격 시스템의 모니터링을 지원하는 데 필요한 셀룰러 네트워크의 기술적 측면과 중앙 위치와  원격 시스템 위치 간에 VPN 터널의 보안 및 생성을 다루었다. 무엇보다 회사 LAN에 장비를 연결할 필요 없이 회사 라우터(Router)에 대한 수정을 요구하지 않고, 공장에 위치한 장비에 대한 문제 해결을 위해 네트워크 접근을 허용하는 고객의 이익에 대해 논의한 것이다. 원격 장비를 사용하여 온라인으로 전환하고, 프로그램을 변경하여 시스템의 고장 여부를 모니터링하는 기능에 대해 설명하겠다.

셀룰러 게이트웨이
 
모뎀 자체에 대한 직접 액세스는 원격 PLC에 대한 직렬 연결과 같이 간단한 연결이 필요한 상황에서 유용하다. 그러나 대부분의 산업용 원격 액세스 응용프로그램에서 셀룰러 모뎀은 하나 이상의 이더넷 PLC 및 장치에 대한 게이트웨이로 사용된다. 이를 실현하는 것은 지금까지 다루어온 내용을 확장함으로써 이루어진다. 셀룰러 모뎀이 연결된 하나 이상의 이더넷 장치에 액세스하는 데 사용될 때, 앞에서 설명한 게이트웨이와 같은 역할을 한다.

네트워크 주소 변환의 원칙은 회사 네트워크에 대한 게이트웨이를 볼 때처럼 여기에 적용된다. 아래 다이어그램에서 IP 주소 192.168.1.2의 PLC가 무선 네트워크를 통해 인터넷으로 메시지를 전송하면 PLC는 셀룰러 게이트웨이로 메시지를 전송한다. 모뎀은 PLC의 소스 주소(192.168. 1.2)를 자신의 IP 주소로 대체하여 셀룰러 네트워크를 통해 패킷을 전달한다.
 
셀룰러 모뎀은 연결된 이더넷 장치의 게이트웨이 역할을 하므로 트래픽 발생에 대한 제한은 동일하다. PLC 및 기타 이더넷 장치는 통신을 시작하지 않는 한 외부 장치가 접근할 수 없다. 이 제한에 대해서는 세 가지 해결 방법이 있다. 단일 PLC 또는 장치만 셀룰러 게이트웨이의 LAN 측에 연결된다면, 셀룰러 게이트웨이는 일반적으로 정적 주소 변환으로 구성될 수 있으며, IP 주소로 예정된 셀룰러 네트워크를 통해 수신되는 패킷은 단순히 LAN 측에 전달될 수가 있다.

LAN에는 장치가 하나만 있으므로 IP 포트 매핑이 필요하지 않다. 셀룰러 게이트웨이가 단일 WAN 연결을 통해 여러 LAN IP 주소를 에뮬레이트하여 여러 장치에 대해 NAT을 수행하려고 할 때만 IP 포트 매핑이 필요하다. 여러 디바이스에 액세스하는 경우 VPN 터널을 사용하는 것이 좋다.

터널링을 통한 다중 디바이스 액세스

여러 PLC 또는 이더넷 장치가 셀룰러 모뎀에 연결되어 있고 응용프로그램에서 외부 연결에서 해당 장치에 액세스할 수 있어야 하는 경우 VPN이 일반적으로 사용된다. 다음 페이지 그림(88p) 다이어그램에 표시된 것처럼 VPN은 별도의 네트워크에 있는 장치 간에 가상 연결을 생성한다. 이 연결은 두 LAN을 연결하는 데 사용되는 여러 네트워크를 통과하는 터널을 형성한다. 

한 가지 가능성은 엔지니어의 PC와 셀룰러 모뎀 사이에 VPN 터널을 만드는 것이다. PC에서는 트래픽을 라우팅하여 셀룰러 모뎀에 연결된 이더넷 장치와 통신할 수 있는 가상 네트워크 연결이 생성된다. 두 번째 가능한 구성은 두 셀룰러 모뎀 사이에 VPN 터널을 만들어 모뎀의 각 LAN 측에 연결된 장비가 서로 직접 통신할 수 있도록 하는 것이다. 이 기능은 원격 위치에 여러 장치가 필요한 M2M(Machine -to-Machine) SCADA 응용프로그램에 매우 유용하다.

원격 서버를 사용한 VPN 터널링

세 번째 가능한 구성은 셀룰러 모뎀이 인터넷에 있는 서버에 VPN 연결을 만드는 것이다. 이 구성은 이전에 모뎀이 공용 IP 주소를 가지고 있어야 하는 필요성을 극복하고 모바일 출시를 지원하기 위해 언급되었다. 우측 페이지 그림 (89p)의 다이어그램은 이 구성의 모양을 나타낸다.
 

보 안

어떤 산업 네트워크에서도 보안이 가장 중요하다. 산업 네트워크에 대한 원격 액세스를 제공할 때 보안 조치를 잘 이행하는 것이 중요하다. 보안에는 세 가지(인증, 기밀성/암호화, 데이터 무결성) 주요 목표가 있다.

네트워크
 
• 인증 : 인증된 사용자 및 장비만 네트워크에 액세스할 수 있도록 보장한다.

자 원

• 기밀성 / 암호화 : 관찰자가 데이터의 내용을 확인할 수 없도록 개방된 미디어를 통해 전송되는 데이터를 스크램블링 한다.

• 데이터 무결성 : 네트워크 상의 장치에서 수신한 데이터가 나중에 수정되거나 재전송되지 않도록 보장한다. 셀룰러 네트워크를 통한 원격 액세스를 고려할 때, 첫 번째 보안 계층은 셀룰러에 내재되어 있다.

3G 프로토콜 본체

3G EV-DO Rev. A 셀룰러 표준은 128비트 AES(Advan ced Encryption Standard) 암호화와 함께 인증 및 키 협상을 위한 대응 메커니즘을 사용한다. 휴대전화 모뎀과 네트워크 모두에 대한 상호 인증을 제공한다. AES는 널리 사용되고 신뢰받는 암호화 메커니즘으로, 미국 정부로부터 극비 정보를 전송할 수 있는 권한을 부여 받았다. AES의 구현에는 메시지가 수정되지 않도록 보장하는 무결성 키도 포함되어 있다. 3G HSPA 표준은 암호화와 메시지 무결성을 위해 128비트 KASUMI를 사용한다. 인증은 SIM 카드에 포함된 128비트 인증 키를 사용하여 수행된다. KASUMI 암호화 알고리즘은 MISTI 알고리즘의 변형이다. 최근에 와서야 KASUMI 알고리즘에서 일부 약점이 발견되었다.

모뎀과 셀룰러 네트워크 사이에 존재하는 보안 메커니즘에 관계없이, 추가 보안은 인터넷 상에서 모뎀과 최종 사용자 간에 전송되는 IP 기반 트래픽이 기밀로 유지되도록 하는 데 도움이 된다. 셀룰러 보안 메커니즘은 기껏해야 공중에서 데이터가 오용되는 것을 방지할 수 있다. 추가적인 보안 계층은 셀룰러 모뎀에 연결된 장치에 의도치 않게 액세스하거나, 셀룰러 모뎀에서 인터넷으로 전송되는 데이터에 액세스하는 것을 휴대폰 모뎀에 액세스할 수 있는 원격 사용자를 제한하기 위해 대부분의 모뎀에는 IP 필터가 포함되어 있다.

이렇게 하면 모뎀에 대한 액세스가 제한된다. 예를 들어 OEM은 회사 게이트웨이의 IP 주소에서만 연결을 허용하는 데 사용할 셀룰러 모뎀을 구성할 수 있다. 이를 통해 회사 내의 엔지니어는 원격 셀룰러 모뎀에 액세스할 수 있지만, 다른 사용자가 해당 모뎀이나 연결된 장치에는 함부로 액세스할 수 없다. 또한 셀룰러 모뎀에는 IP 포트를 기반으로 트래픽을 제한하는 방화벽이 자주 포함된다. 이렇게 하면 OEM은 바이러스를 포함할 수 있는 트래픽을 방지하면서도, 모뎀에 연결된 원격 PLC 내의 데이터에 액세스할 수 있다. 그러나 IP 필터와 방화벽은 셀룰러 모뎀과 여기에 연결된 장치에 대한 불필요한 액세스와 트래픽을 방지하지만, VPN 터널은 인터넷을 통해 전송되는 데이터 암호화와 무결성을 제공하는 데 매우 유용하다. VPN 터널은 종종 IP sec(인터넷 프로토콜 보안) 또는 SSL(Secure Sockets Layer) 두 가지 기술 중 하나를 사용한다.

SSL VPN은 일반적으로 PC 인터넷 브라우저를 통해 원격 PC와 게이트웨이 사이에서 설정된다. 이 방법은 모든 공통 브라우저가 SSL 연결을 지원하므로 VPN 연결을 지원하기 위해 PC에 사용자 지정 소프트웨어를 설치할 필요가 없다. 브라우저는 게이트웨이와 SSL 연결을 설정하며, PC의 모든 트래픽이 해당 SSL VPN 연결을 통해 라우팅될 수가 있다. 일반적으로 IPsec은 두 하드웨어 게이트웨이 간에 VPN 터널을 제공하는 데 사용된다. IPsec 터널은 OSI 계층 3에서 작동하며, 종단 간 모든 유형의 트래픽을 허용한다. 모뎀은 주로 하드웨어 게이트웨이이기 때문에 여기서는 IPsec VPN 터널 사용에 초점을 맞춘다. IPsec은 상호인증, 암호화 및 메시지 무결성 메커니즘을 제공한다. IPsec 사양은 128비트 AES와 TripleDES 암호화 알고리즘의 사용을 지원한다.

이 두 가지 알고리즘은 모두 믿을 수 없을 정도로 안전하며 수년간 상용 및 군사 사용자의 안전한 통신을 위해 성공적으로 사용되어왔다. IPsec VPN 터널 내에서, 헤더를 포함하여 모뎀에 연결된 장치의 전체 패킷은 IPsec 패킷의 페이로드에 캡슐화된다. 이 과정에서 모뎀에 연결된 장치의 전체 패킷이 암호화되어 원본 패킷의 페이로드나 헤더가 표시되지 않도록 보장한다. IPsec 표준에는 주소 인증도 포함된다. IKE(Internet Key Exchange) 프로토콜은 VPN 터널의 양쪽 끝 사이에 보안 연결 생성을 관리하는데 사용한다. 이 메커니즘은 암호화 및 인증 키를 생성할 뿐만 아니라 사용되는 암호화 방법을 결정하는 데 사용된다. 연결이 완료되면 각 패킷에는 패킷의 원점과 무결성을 확인하는 데 사용되는 인증 헤더를 포함한다. 전체적으로 IPsec VPN은 세 가지 이점을 제공한다. 1) 보안, 2) 여러 가지 기기에 대한 액세스, 3) 동적 개인 IP 주소만 제공하는 셀룰러 통신사의 사용 및 모바일 출시를 지원한다.

VPN을 IP 필터 및 방화벽과 함께 사용함으로써 사용자는 액세스를 제한하고 기밀성을 유지하는 동시에, 액세스 용이성을 높여 유지보수 시간을 단축하고 고객 지원을 개선할 수 있다. 원격 액세스를 수행하기 위해 3G 셀룰러를 사용하는 것은 모든 보안 메커니즘 외에도 최종 사용자 네트워크 인프라와 분리되어 원격 장치를 유지할 수 있다는 추가적인 이점이 있다. 대안으로는 고객에게 PLC를 회사 네트워크에 연결하도록 요청함으로써 PLC에 대한 원격 액세스를 달성할 수 있다. 셀룰러를 원격 액세스에 사용하면 고객이 네트워크에 가지고 있는 모든 데이터를 간단하게 분할할 수 있다. 이 외에도 고객은 원격 액세스를 원하지 않을 때 휴대폰 모뎀을 비활성화하도록 선택할 수 있으며, 원격 액세스를 활성화하는 방법과 시기를 완전히 제어할 수 있다.

EtherNet/IP에 대한 향후 고려 사항
 
무엇보다 통신 표준이 발전함에 따라, 통신 표준은 여기서 설명하는 몇 가지 우려와 해결책을 직접적으로 다룰 수 있는 EtherNet/IP 구현의 진화를 촉진할 것이다. 향후 5년 이내에 원격 액세스 및 IP 통신에 가장 큰 영향을 미칠 것은 IPv6 구축이다. 대부분의 운영체제에는 IPv6 지원이 포함되어 있지만 IPv6을 지원하는 산업용 장치는 거의 없으며, IPv6을 통해 통신하는 사용자는 거의 없다. 2011년 2월, 마지막 블록의 무료 주소가 할당되었다. 비록 인터넷 제공자들이 새로운 사용자들에게 배포하기 위해 그들의 마음대로 주소를 예약했지만, 우리에게는 우리가 일반적인 인터넷 통신에서 IPv6을 사용하기 시작할 필요가 있는 시간이 다가오고 있다. IPv6은 여전히 패킷 기반 인터넷 프로토콜이지만 IPv4와 충분히 달라 병렬 통신이 필요하다. 기본적으로 IPv6은 제한된 주소 공간 사용을 용이하게 하기 위해 설치되었던 IPv4 사용자에게 요구되는 많은 장애물을 제거한다.

주소 크기를 32비트에서 128비트로 4배 증가시킴으로써 주소 지정 가능하여 주소의 수는 기하급수적으로 증가된다. 이 새로운 주소 공간은 전 세계 70억 명의 모든 사람들에게 1028개 이상의 주소를 허용하고 있다. 그러나 주소 공간의 확대가 새로운 구조물을 만드는 주된 목표가 아니었다. 새로운 구조는 주소와 라우팅을 훨씬 더 단순하게 할당할 수 있다. 원격 액세스를 수행하려는 사용자의 이점은 주소 확장과 함께 NAT을 수행하여 개인 IP를 숨기려는 게이트웨이에 대한 절대 요구사항이 제거되었다는 것이다. 예를 들어, 한 회사의 LAN에 있는 PC들은 미리 구성된 주소 변환 테이블을 라우터에 프로그래밍하지 않고도, 다른 회사의 LAN에 있는 PC와 직접 주소를 지정하고 통신을 시작할 수 있다. 주소 변환기로서의 라우터의 값이 최소화된다. 그런 다음 이 아키텍처를 통해 OEM 기술자가 원격지에 있는 장치와의 통신을 직접 해결하고 설정할 수 있다.

NAT과 관련된 문제를 해결하기 위해 VPN 터널과 원격 VPN 서버에 대한 절대적인 요구사항을 제거한다. Ether Net/IP 를 통해 통신하는 데 익숙한 장치와 도구가 더 이상 개인 주소 블록의 제한 내에서 작동하지 않는 것이 중요하다. 다행히도 IPv6에 필수적인 두 번째 구성요소는 IPSec 지원이다.  VPN에 존재하며, 인터넷을 통한 통신을 보호하는 데 필수적인 요소로 간주되는 모든 인증, 암호화 및 메시지 무결성 메커니즘은 LAN 내 또는 인터넷을 통한 두 장치 사이의 IP 통신에 기본이 된다.

제때에 대답을 할 수 있을 것

• 사용자는 외부 사용자가 주소를 지정할 수 있는 장치 배포를 수락할 것이다.
• 산업 통제관이 활동 기록 지원을 받을 것인가?
• 산업 컨트롤러가 보안의 중심이 될 때, 침입 탐지 및 예방을 위한 방법은 무엇인가?

결 론

OEM이 고객 사이트에 위치한 장비에서 액세스하여 문제를 해결할 수 있는 여러 가지 대안이 있다. OEM은 장치에 LAN 액세스 또는 전화 접속 액세스 제공을 요청할 수 있다. OEM은 문제 해결 시 고객에게 도움을 요청하거나 고객 사이트로 이동할 수도 있다. VPN 터널의 보완적 기술과 함께 3G 셀룰러를 사용하면 유지보수 시간 단축, 정보에 대한 액세스 의 최대화, 고객 및 원격으로 액세스되는 장치의 보안과 고객정보의 최소화를 최적으로 조합할 수 있다.

<참조문헌>
1. 오르던켈만[Orr Dunkelman], 네이선켈러[Nathan Keller], 아디샤미르[Adi Shamir](2010-01-10). IMT2000 3GPP-3세대 GSM 전화에 사용된
     A5/3 암호시스템에 대한 실시간 공격의 예.