[go: up one dir, main page]

KR102750418B1 - Method and apparatus for providing security threat data in smart factory - Google Patents

Method and apparatus for providing security threat data in smart factory Download PDF

Info

Publication number
KR102750418B1
KR102750418B1 KR1020220139700A KR20220139700A KR102750418B1 KR 102750418 B1 KR102750418 B1 KR 102750418B1 KR 1020220139700 A KR1020220139700 A KR 1020220139700A KR 20220139700 A KR20220139700 A KR 20220139700A KR 102750418 B1 KR102750418 B1 KR 102750418B1
Authority
KR
South Korea
Prior art keywords
security threat
security
smart factory
data
devices
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
KR1020220139700A
Other languages
Korean (ko)
Other versions
KR20240058694A (en
Inventor
곽진
정인수
김의진
Original Assignee
아주대학교산학협력단
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 아주대학교산학협력단 filed Critical 아주대학교산학협력단
Priority to KR1020220139700A priority Critical patent/KR102750418B1/en
Publication of KR20240058694A publication Critical patent/KR20240058694A/en
Application granted granted Critical
Publication of KR102750418B1 publication Critical patent/KR102750418B1/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Program-control systems
    • G05B19/02Program-control systems electric
    • G05B19/418Total factory control, i.e. centrally controlling a plurality of machines, e.g. direct or distributed numerical control [DNC], flexible manufacturing systems [FMS], integrated manufacturing systems [IMS] or computer integrated manufacturing [CIM]
    • GPHYSICS
    • G16INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR SPECIFIC APPLICATION FIELDS
    • G16YINFORMATION AND COMMUNICATION TECHNOLOGY SPECIALLY ADAPTED FOR THE INTERNET OF THINGS [IoT]
    • G16Y10/00Economic sectors
    • G16Y10/25Manufacturing
    • GPHYSICS
    • G16INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR SPECIFIC APPLICATION FIELDS
    • G16YINFORMATION AND COMMUNICATION TECHNOLOGY SPECIALLY ADAPTED FOR THE INTERNET OF THINGS [IoT]
    • G16Y30/00IoT infrastructure
    • G16Y30/10Security thereof
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Computer Security & Cryptography (AREA)
  • Manufacturing & Machinery (AREA)
  • General Engineering & Computer Science (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • General Health & Medical Sciences (AREA)
  • Business, Economics & Management (AREA)
  • Health & Medical Sciences (AREA)
  • Economics (AREA)
  • Medical Informatics (AREA)
  • Development Economics (AREA)
  • Accounting & Taxation (AREA)
  • General Business, Economics & Management (AREA)
  • Quality & Reliability (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Automation & Control Theory (AREA)
  • Computer Hardware Design (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Burglar Alarm Systems (AREA)

Abstract

본 개시의 기술적 사상에 의한 일 양태에 따른 스마트팩토리의 보안위협 데이터 제공 방법은, 상기 스마트팩토리에 포함된 장치들 각각의 보안 취약점 심각도에 기초한 공격 가능성 변수를 설정하는 단계, 상기 스마트팩토리로부터 발생하는 데이터에 기초하여, 상기 장치들 각각에 대한 보안위협을 나타내는 보안위협 데이터를 생성하는 단계, 생성된 보안위협 데이터에 기초하여, 상기 장치들 각각에 대한 영향 변수를 설정하는 단계, 설정된 공격 가능성 변수 및 영향 변수에 기초하여, 상기 장치들 각각에 대한 보안위협 위험도를 산출하는 단계, 및 산출된 보안위협 위험도를 시각화한 시각화 모델을 제공한다.A method for providing security threat data of a smart factory according to one aspect of the technical idea of the present disclosure comprises the steps of: setting an attack possibility variable based on the security vulnerability severity of each of devices included in the smart factory; generating security threat data representing a security threat to each of the devices based on data generated from the smart factory; setting an impact variable for each of the devices based on the generated security threat data; calculating a security threat risk level for each of the devices based on the set attack possibility variable and impact variable; and providing a visualization model that visualizes the calculated security threat risk level.

Description

스마트팩토리의 보안위협 데이터 제공 방법 및 장치 {METHOD AND APPARATUS FOR PROVIDING SECURITY THREAT DATA IN SMART FACTORY}{METHOD AND APPARATUS FOR PROVIDING SECURITY THREAT DATA IN SMART FACTORY}

본 개시(disclosure)의 기술적 사상은 스마트팩토리의 보안위협 데이터 제공 방법 및 장치에 관한 것이다.The technical idea of the present disclosure relates to a method and device for providing security threat data of a smart factory.

4차 산업혁명으로 인해 제조산업에 인공지능, 빅데이터와 같은 ICT 기술을 활용한 스마트팩토리의 구축에 관한 많은 연구가 진행되고 있다. 스마트팩토리에서는 생산 과정에 필요한 전체 사물들을 IIoT(Industrial Internet of Things) 기술로 연결하여 통신체계를 구축하고 디지털화하여, CPS(Cyber Physical System), 빅데이터, 클라우드, 인공지능 등의 ICT 기술들이 제조업에 활용될 수 있도록 함으로써 생산 공정을 자동화 및 최적화하는 연구가 진행되고 있다.Due to the 4th industrial revolution, many studies are being conducted on the construction of smart factories that utilize ICT technologies such as artificial intelligence and big data in the manufacturing industry. In smart factories, all objects required for the production process are connected with IIoT (Industrial Internet of Things) technology, a communication system is built, and digitalization is conducted so that ICT technologies such as CPS (Cyber Physical System), big data, cloud, and artificial intelligence can be utilized in the manufacturing industry, thereby automating and optimizing the production process.

그러나 스마트 팩토리의 장치들이 유기적으로 연결되면서 이로 인해 발생 가능한 보안위협도 증가하고 있다. 종래의 경우 스마트 팩토리 내 각 계층의 보안위협 데이터를 SIEM(Security Information and Event Management) 장비를 통해 수집, 분석, 및 시각화하여 대응하고 있으나, 스마트팩토리 전 계층의 보안위협 데이터를 효과적으로 제공하지는 못하고 있는 실정이다.However, as devices in smart factories are organically connected, the security threats that may arise from this are also increasing. In the past, security threat data at each level within a smart factory was collected, analyzed, and visualized through SIEM (Security Information and Event Management) equipment to respond, but it was not possible to effectively provide security threat data at all levels of the smart factory.

본 발명이 해결하고자 하는 일 과제는, 스마트팩토리를 구성하는 전 계층의 장비들에 대한 보안위협 데이터를 효과적으로 제공하는 것이다.The task that the present invention seeks to solve is to effectively provide security threat data on equipment at all levels that make up a smart factory.

본 발명이 해결하고자 하는 일 과제는, 종래의 스마트팩토리에 대한 보안위협 데이터의 시각화 기법이 갖는 부족한 가시성을 보완하는 것이다.The task that the present invention seeks to solve is to complement the lack of visibility of conventional visualization techniques for security threat data for smart factories.

상기와 같은 목적을 달성하기 위하여, 본 개시의 기술적 사상에 의한 일 양태(aspect)에 따른 스마트팩토리의 보안위협 데이터 제공 방법은, 상기 스마트팩토리에 포함된 장치들 각각의 보안 취약점 심각도에 기초한 공격 가능성 변수를 설정하는 단계, 상기 스마트팩토리로부터 발생하는 데이터에 기초하여, 상기 장치들 각각에 대한 보안위협을 나타내는 보안위협 데이터를 생성하는 단계, 생성된 보안위협 데이터에 기초하여, 상기 장치들 각각에 대한 영향 변수를 설정하는 단계, 설정된 공격 가능성 변수 및 영향 변수에 기초하여, 상기 장치들 각각에 대한 보안위협 위험도를 산출하는 단계, 및 산출된 보안위협 위험도를 시각화한 시각화 모델을 제공한다.In order to achieve the above purpose, a method for providing security threat data of a smart factory according to an aspect of the technical idea of the present disclosure comprises the steps of: setting an attack possibility variable based on the security vulnerability severity of each of devices included in the smart factory; generating security threat data representing a security threat to each of the devices based on data generated from the smart factory; setting an impact variable for each of the devices based on the generated security threat data; calculating a security threat risk level for each of the devices based on the set attack possibility variable and impact variable; and providing a visualization model that visualizes the calculated security threat risk level.

일 실시 예에 따라, 상기 장치들은 상기 스마트팩토리를 구성하는 복수의 계층들에 포함되고, 상기 시각화 모델을 제공하는 단계는, 상기 스마트팩토리를 구성하는 복수의 계층들에 포함된 장치별로 보안위협 위험도를 시각화한 시각화 모델을 제공하는 단계를 포함할 수 있다.According to one embodiment, the devices are included in a plurality of layers constituting the smart factory, and the step of providing the visualization model may include a step of providing a visualization model that visualizes the security threat risk level for each device included in the plurality of layers constituting the smart factory.

일 실시 예에 따라, 상기 시각화 모델을 제공하는 단계는, 보안위협 위험도에 따른 히트맵(heatmap) 색상 분포 정보로부터, 상기 장치들 각각에 대한 히트맵 색상을 설정하는 단계; 및 설정된 히트맵 색상을 반영하여 상기 시각화 모델을 제공하는 단계를 포함할 수 있다.According to one embodiment, the step of providing the visualization model may include the step of setting a heatmap color for each of the devices from heatmap color distribution information according to a security threat risk level; and the step of providing the visualization model by reflecting the set heatmap color.

일 실시 예에 따라, 상기 공격 가능성 변수를 설정하는 단계는, 상기 스마트팩토리에 포함된 장치들 및 소프트웨어들에 대한 보안 취약점의 정도를 분석하는 단계; 분석 결과에 대응하는 취약점 심각도를 판단하는 단계; 및 판단된 취약점 심각도에 기초하여, 상기 스마트팩토리에 포함된 장치들 각각에 대한 공격 가능성 변수를 설정하는 단계를 포함할 수 있다.According to one embodiment, the step of setting the attack probability variable may include the step of analyzing the degree of security vulnerabilities in devices and software included in the smart factory; the step of determining a vulnerability severity corresponding to the analysis result; and the step of setting the attack probability variable for each of the devices included in the smart factory based on the determined vulnerability severity.

일 실시 예에 따라, 상기 취약점 심각도는 CVSS(common vulnerability scoring system)에 의해 산출되는 CVSS 점수에 해당하고, 상기 공격 가능성 변수는, CVSS 점수의 구간별로 구분되는 복수의 취약점 등급 중, 상기 산출된 CVSS 점수에 대응하는 취약점 등급의 값으로 설정될 수 있다.According to one embodiment, the vulnerability severity corresponds to a CVSS score calculated by a common vulnerability scoring system (CVSS), and the attack probability variable may be set to a value of a vulnerability grade corresponding to the calculated CVSS score among a plurality of vulnerability grades classified by section of the CVSS score.

일 실시 예에 따라, 상기 보안위협 데이터를 생성하는 단계는, 상기 스마트팩토리로부터 발생하는 로그 및 보안 이벤트 중 적어도 하나를 포함하는 상기 데이터를 수신하는 단계; 수신된 데이터를 SIEM(security information and event management) 솔루션을 통해 분석하는 단계; 및 분석 결과에 기초하여 상기 장치들 각각에 대한 보안위협을 나타내는 보안위협 데이터를 생성하는 단계를 포함할 수 있다.According to one embodiment, the step of generating the security threat data may include the step of receiving the data including at least one of a log and a security event occurring from the smart factory; the step of analyzing the received data through a security information and event management (SIEM) solution; and the step of generating security threat data indicating a security threat to each of the devices based on the analysis result.

일 실시 예에 따라, 상기 영향 변수를 설정하는 단계는, 스마트팩토리의 장치들에 대해 누적 발생한 다수의 보안위협 데이터가 저장된 데이터베이스로부터, 상기 생성된 보안위협 데이터와 동일 또는 유사도가 가장 높은 보안위협 데이터를 식별하는 단계; 및 상기 데이터베이스로부터, 상기 식별된 보안위협 데이터에 대응하는 영향 변수의 정보를 획득하고, 획득된 영향 변수를 상기 생성된 보안위협 데이터의 영향 변수로서 설정하는 단계를 포함할 수 있다.According to one embodiment, the step of setting the influence variable may include the step of identifying, from a database in which a plurality of security threat data accumulated for devices of a smart factory are stored, security threat data identical to or most similar to the generated security threat data; and the step of obtaining, from the database, information on influence variables corresponding to the identified security threat data, and setting the obtained influence variables as influence variables of the generated security threat data.

일 실시 예에 따라, 상기 장치들 각각에 대한 보안위협 위험도를 산출하는 단계는, 설정된 공격 가능성 변수와 영향 변수의 곱을 통해 상기 보안위협 위험도를 산출하는 단계를 포함할 수 있다.According to one embodiment, the step of calculating a security threat risk level for each of the devices may include a step of calculating the security threat risk level through the product of a set attack probability variable and an impact variable.

본 개시의 기술적 사상에 의한 일 양태에 따른 스마트팩토리와 연결되는 보안위협 데이터 제공 장치는, 상기 스마트팩토리로부터 발생하는 데이터를 수신하는 통신부; 및 상기 스마트팩토리에 포함된 장치들 각각의 보안 취약점 심각도에 기초한 공격 가능성 변수를 설정하고, 상기 스마트팩토리로부터 수신한 데이터에 기초하여, 상기 장치들 각각에 대한 보안위협을 나타내는 보안위협 데이터를 생성하고, 생성된 보안위협 데이터에 기초하여, 상기 장치들 각각에 대한 영향 변수를 설정하고, 설정된 공격 가능성 변수 및 영향 변수에 기초하여, 상기 장치들 각각에 대한 보안위협 위험도를 산출하고, 산출된 보안위협 위험도를 시각화한 시각화 모델을 생성하는 프로세서를 포함한다.According to one aspect of the technical idea of the present disclosure, a security threat data providing device connected to a smart factory includes: a communication unit which receives data generated from the smart factory; and a processor which sets an attack possibility variable based on a security vulnerability severity of each of devices included in the smart factory, generates security threat data representing a security threat to each of the devices based on the data received from the smart factory, sets an impact variable for each of the devices based on the generated security threat data, calculates a security threat risk level for each of the devices based on the set attack possibility variable and impact variable, and generates a visualization model visualizing the calculated security threat risk level.

본 개시의 기술적 사상에 따르면, 스마트팩토리를 구성하는 전 계층의 장비들에 대한 보안위협 데이터에 기초한 보안위협 위험도를 시각화하여 제공함으로써, 관리자로 하여금 사고에 대한 신속하고 효과적인 분석 및 대응을 가능하게 한다.According to the technical idea of the present disclosure, by visualizing and providing a security threat risk level based on security threat data for equipment of all layers constituting a smart factory, it enables a manager to quickly and effectively analyze and respond to an accident.

또한, 보안위협 데이터에 따라 장비별 위험도가 시각화되어 제공됨으로써, 관리자는 위험도에 따른 우선순위에 따라 보다 효율적인 대응을 수행할 수 있다.In addition, since the risk level for each device is visualized and provided based on security threat data, managers can perform more efficient responses according to priority based on risk level.

본 개시의 기술적 사상에 따른 방법 및 장치가 얻을 수 있는 효과는 이상에서 언급한 효과들로 제한되지 않으며, 언급하지 않은 또 다른 효과들은 아래의 기재로부터 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 명확하게 이해될 수 있을 것이다.The effects that can be obtained by the method and device according to the technical idea of the present disclosure are not limited to the effects mentioned above, and other effects that are not mentioned can be clearly understood by a person having ordinary skill in the art to which the present invention belongs from the description below.

본 개시에서 인용되는 도면을 보다 충분히 이해하기 위하여 각 도면의 간단한 설명이 제공된다.
도 1은 본 개시의 예시적 실시예에 따른 스마트팩토리 및 스마트팩토리의 보안위협 데이터 제공 장치를 포함하는 시스템의 개념도이다.
도 2는 도 1에 도시된 스마트팩토리의 아키텍처 구조를 나타낸 예시도이다.
도 3은 도 1에 도시된 보안위협 데이터 제공 장치에 포함된 제어 구성의 일례를 나타내는 블록도이다.
도 4는 도 3에 도시된 보안 취약점 진단 모듈에 의해 제공되는 취약점 심각도의 예를 나타낸 테이블이다.
도 5는 본 개시의 실시 예에 따라 도출된 취약점 변수 및 영향 변수를 기초로 산출되는 위험도별 히트맵 색상 분포를 나타낸 예시도이다.
도 6은 본 개시의 실시 예에 따른 보안위협 데이터 제공 장치에 의해 생성되는 보안위협 데이터 시각화 모델의 일례로서 히트맵 기반의 보안위협 데이터 시각화 모델을 나타낸 예시도이다.
도 7은 본 개시의 실시 예에 따른 스마트팩토리의 보안위협 데이터 제공 방법을 설명하기 위한 플로우차트이다.To more fully understand the drawings cited in this disclosure, a brief description of each drawing is provided.
FIG. 1 is a conceptual diagram of a system including a smart factory and a security threat data providing device of the smart factory according to an exemplary embodiment of the present disclosure.
Figure 2 is an example diagram showing the architecture structure of the smart factory illustrated in Figure 1.
FIG. 3 is a block diagram showing an example of a control configuration included in the security threat data provision device illustrated in FIG. 1.
Figure 4 is a table showing an example of vulnerability severity levels provided by the security vulnerability diagnosis module illustrated in Figure 3.
FIG. 5 is an example diagram showing a heat map color distribution by risk level calculated based on vulnerability variables and impact variables derived according to an embodiment of the present disclosure.
FIG. 6 is an exemplary diagram showing a heatmap-based security threat data visualization model as an example of a security threat data visualization model generated by a security threat data providing device according to an embodiment of the present disclosure.
FIG. 7 is a flowchart for explaining a method for providing security threat data of a smart factory according to an embodiment of the present disclosure.

본 개시의 기술적 사상에 따른 예시적인 실시예들은 당해 기술 분야에서 통상의 지식을 가진 자에게 본 개시의 기술적 사상을 더욱 완전하게 설명하기 위하여 제공되는 것으로, 아래의 실시예들은 여러 가지 다른 형태로 변형될 수 있으며, 본 개시의 기술적 사상의 범위가 아래의 실시예들로 한정되는 것은 아니다. 오히려, 이들 실시예들은 본 개시를 더욱 충실하고 완전하게 하며 당업자에게 본 발명의 기술적 사상을 완전하게 전달하기 위하여 제공되는 것이다.The exemplary embodiments according to the technical idea of the present disclosure are provided to more completely explain the technical idea of the present disclosure to those skilled in the art, and the embodiments below may be modified in various different forms, and the scope of the technical idea of the present disclosure is not limited to the embodiments below. Rather, these embodiments are provided to more faithfully and completely convey the technical idea of the present disclosure to those skilled in the art.

본 개시에서 제1, 제2 등의 용어가 다양한 부재, 영역, 층들, 부위 및/또는 구성 요소들을 설명하기 위하여 사용되지만, 이들 부재, 부품, 영역, 층들, 부위 및/또는 구성 요소들은 이들 용어에 의해 한정되어서는 안 됨은 자명하다. 이들 용어는 특정 순서나 상하, 또는 우열을 의미하지 않으며, 하나의 부재, 영역, 부위, 또는 구성 요소를 다른 부재, 영역, 부위 또는 구성 요소와 구별하기 위하여만 사용된다. 따라서, 이하 상술할 제1 부재, 영역, 부위 또는 구성 요소는 본 개시의 기술적 사상의 가르침으로부터 벗어나지 않고서도 제2 부재, 영역, 부위 또는 구성 요소를 지칭할 수 있다. 예를 들면, 본 개시의 권리 범위로부터 이탈되지 않은 채 제1 구성 요소는 제2 구성 요소로 명명될 수 있고, 유사하게 제2 구성 요소도 제1 구성 요소로 명명될 수 있다.Although the terms first, second, etc. are used in the present disclosure to describe various elements, regions, layers, portions, and/or components, it is to be understood that these elements, parts, regions, layers, portions, and/or components should not be limited by these terms. These terms do not imply a particular order, hierarchy, or order, and are only used to distinguish one element, region, portion, or component from another element, region, portion, or component. Accordingly, a first element, region, portion, or component described below may refer to a second element, region, portion, or component without departing from the teachings of the technical idea of the present disclosure. For example, a first element may be referred to as a second element, and similarly, a second element may also be referred to as a first element, without departing from the scope of the present disclosure.

달리 정의되지 않는 한, 여기에 사용되는 모든 용어들은 기술 용어와 과학 용어를 포함하여 본 개시의 개념이 속하는 기술 분야에서 통상의 지식을 가진 자가 공통적으로 이해하고 있는 바와 동일한 의미를 지닌다. 또한, 통상적으로 사용되는, 사전에 정의된 바와 같은 용어들은 관련되는 기술의 맥락에서 이들이 의미하는 바와 일관되는 의미를 갖는 것으로 해석되어야 하며, 여기에 명시적으로 정의하지 않는 한 과도하게 형식적인 의미로 해석되어서는 아니 될 것이다.Unless otherwise defined, all terms used herein, including technical and scientific terms, have the same meaning as commonly understood by a person of ordinary skill in the art to which the concepts of the present disclosure belong. In addition, terms commonly used, as defined in dictionaries, should be interpreted as having a meaning consistent with their meaning in the context of the relevant technology, and should not be interpreted in an overly formal sense unless explicitly defined herein.

어떤 실시예가 달리 구현 가능한 경우에 특정한 공정 순서는 설명되는 순서와 다르게 수행될 수도 있다. 예를 들면, 연속하여 설명되는 두 공정이 실질적으로 동시에 수행될 수도 있고, 설명되는 순서와 반대의 순서로 수행될 수도 있다.In some embodiments, where the embodiments are otherwise feasible, a particular process sequence may be performed in a different order than the order described. For example, two processes described in succession may be performed substantially simultaneously, or may be performed in a reverse order from the order described.

첨부한 도면에 있어서, 예를 들면, 제조 기술 및/또는 공차에 따라, 도시된 형상의 변형들이 예상될 수 있다. 따라서, 본 개시의 기술적 사상에 의한 실시예들은 본 개시에 도시된 영역의 특정 형상에 제한된 것으로 해석되어서는 아니 되며, 예를 들면, 제조 과정에서 초래되는 형상의 변화를 포함하여야 한다. 도면 상의 동일한 구성요소에 대해서는 동일한 참조부호를 사용하고, 이들에 대한 중복된 설명은 생략한다.In the attached drawings, for example, variations of the shapes depicted may be expected depending on manufacturing techniques and/or tolerances. Therefore, embodiments according to the technical idea of the present disclosure should not be construed as being limited to the specific shapes of the regions depicted in the present disclosure, and should include, for example, changes in shapes resulting from the manufacturing process. The same reference numerals are used for the same components in the drawings, and redundant descriptions thereof are omitted.

여기에서 사용된 '및/또는' 용어는 언급된 부재들의 각각 및 하나 이상의 모든 조합을 포함한다.The term 'and/or' as used herein includes each and every combination of one or more of the mentioned absences.

이하에서는 첨부한 도면들을 참조하여 본 개시의 기술적 사상에 의한 실시예들에 대해 상세히 설명한다.Hereinafter, embodiments according to the technical idea of the present disclosure will be described in detail with reference to the attached drawings.

도 1은 본 개시의 예시적 실시예에 따른 스마트팩토리 및 스마트팩토리의 보안위협 데이터 제공 장치를 포함하는 시스템의 개념도이다. 도 2는 도 1에 도시된 스마트팩토리의 아키텍처 구조를 나타낸 예시도이다.FIG. 1 is a conceptual diagram of a system including a smart factory and a security threat data providing device of the smart factory according to an exemplary embodiment of the present disclosure. FIG. 2 is an exemplary diagram showing the architectural structure of the smart factory illustrated in FIG. 1.

도 1을 참조하면, 스마트팩토리(100)는 설계, 개발, 제조, 유통, 물류 등의 생산과정에 디지털 자동화 솔루션이 결합된 정보통신기술(ICT)을 적용하여 생산성, 품질, 고객만족도를 향상시키는 지능형 생산공장을 의미한다. 스마트팩토리(100)는 기존 제조기술에 센서, 클라우드, 빅데이터, 정밀 제어, 모바일 등 다양한 ICT 기술과의 융합을 통해 구축될 수 있으며, 자동화 및 지능화된 인프라를 제공함으로써 생산성 향상, 에너지 절감, 안전한 생산환경 구현 등이 가능한 장점이 있다.Referring to Fig. 1, a smart factory (100) refers to an intelligent production plant that improves productivity, quality, and customer satisfaction by applying information and communication technology (ICT) combined with digital automation solutions to production processes such as design, development, manufacturing, distribution, and logistics. A smart factory (100) can be built by combining various ICT technologies such as sensors, cloud, big data, precision control, and mobile with existing manufacturing technologies, and has the advantages of improving productivity, saving energy, and implementing a safe production environment by providing an automated and intelligent infrastructure.

도 2를 참조하면, 스마트팩토리(100)는 5계층 구조의 아키텍처로 구성될 수 있으며, 이는 국내외 스마트팩토리 산업제어시스템 표준(RAMI 4.0, ISA/IEC 62443, NIST 800-82, Purdue 모델 등)을 통해 구성될 수 있다. 스마트팩토리(100)의 5계층 중 0계층 내지 3계층은 운영기술(Operation Technology (OT)) 영역에 해당하고, 4계층 내지 5계층은 정보기술(Information Technology (IT)) 영역에 해당한다. Referring to Fig. 2, the smart factory (100) can be configured with a 5-layer architecture, which can be configured through domestic and international smart factory industrial control system standards (RAMI 4.0, ISA/IEC 62443, NIST 800-82, Purdue model, etc.). Among the 5 layers of the smart factory (100), layers 0 to 3 correspond to the operation technology (OT) area, and layers 4 to 5 correspond to the information technology (IT) area.

0계층은 각종 센서 및 생산장비(액츄에이터, 생산 로봇 등)가 작동하는 현장 장치(field device) 영역에 해당한다. Layer 0 corresponds to the field device area where various sensors and production equipment (actuators, production robots, etc.) operate.

1계층은 공정 제어(basic control) 영역으로서, 현장 장치의 상태정보를 수집하고 제어명령을 전달하는 생산 제어 장치들로 구성될 수 있다. 상기 생산 제어 장치들은 PLC(programmable logic controller), DCS(distributed control system) 등의 컨트롤러를 포함할 수 있다.The first layer is a process control (basic control) area, which may be composed of production control devices that collect status information of field devices and transmit control commands. The production control devices may include controllers such as a programmable logic controller (PLC) and a distributed control system (DCS).

2계층은 공정 통제(supervisory control) 영역으로서, 0계층의 현장 장치들 및 1계층의 제어 장치들의 모니터링 및 통제를 위한 생산 운영 장치들로 구성될 수 있다. 상기 생산 운영 장치들은 SCADA(supervisory control and data acquisition), HMI(human machine interface), OWS(operator workstation) 등을 포함할 수 있다.The second layer is a supervisory control area, which may be composed of production operation devices for monitoring and controlling field devices in the 0th layer and control devices in the 1st layer. The production operation devices may include SCADA (supervisory control and data acquisition), HMI (human machine interface), OWS (operator workstation), etc.

3계층은 하위 계층의 장치들로부터 생산정보를 수집 및 분석하여 상위 계층으로 전달하고, 상위 계층으로부터의 생산 명령을 하위 계층으로 전달하는 생산 관리 및 지원 시스템들, 예컨대 MES(manufacturing execution system), Historian 등을 포함하는 생산 관리 영역에 해당할 수 있다.Layer 3 may correspond to the production management area, which includes production management and support systems such as MES (manufacturing execution system), Historian, etc. that collect and analyze production information from devices in lower layers and transmit it to upper layers, and transmit production orders from upper layers to lower layers.

4계층 및 5계층은 일반적인 IT와 유사한 환경으로서 업무PC를 포함하는 업무 영역, 웹 서버나 메일 서버 등을 포함하는 공개 서버 영역, ERP(enterprise resource planning), CRM(customer relationship management), 그룹웨어 등을 포함하는 서버 영역을 포함할 수 있다.Layers 4 and 5 are environments similar to general IT, and can include a work area including work PCs, a public server area including web servers and mail servers, and a server area including ERP (enterprise resource planning), CRM (customer relationship management), groupware, etc.

한편, 이러한 스마트팩토리(100)는 ICT 기술의 도입 및 IT 영역과 OT 영역의 연결로 인한 보안위협이 존재할 수 있다. 예컨대, 공격자는 외부 인터넷으로부터 연결된 IT 영역에 침투하여, IT 영역과 OT 영역의 접점을 통해 OT 영역에 접근할 수 있다. 공격자는 생산 운영 장치의 권한을 탈취한 후 생산 제어 장치로 변조된 명령을 전달할 수 있고, 상기 변조된 명령으로 인해 생산 장치의 오작동이 발생함에 따라 공장에 피해가 발생할 수 있다. Meanwhile, such smart factories (100) may have security threats due to the introduction of ICT technology and the connection between the IT and OT areas. For example, an attacker may penetrate the IT area connected from the external Internet and access the OT area through the contact point between the IT and OT areas. After seizing the authority of the production operation device, the attacker may transmit a modified command to the production control device, and damage may occur to the factory as the production device malfunctions due to the modified command.

공격자가 사용하는 경로나 방법이 되는 공격 벡터는, 물리적으로 외부에 노출된 공장 장치의 특성을 이용한 물리적 접근을 통한 공격, 공정 자동화를 위해 장치 간 연계 형태를 이루는 산업제어시스템을 통한 공격, 가용성을 중점으로 보안 취약점을 다수 보유한 공정 제어 네트워크를 통한 공격, OT 영역과 연결된 IT 영역을 통한 공격 등이 존재한다.Attack vectors, which are the paths or methods used by attackers, include attacks through physical access that utilize the characteristics of factory devices physically exposed to the outside, attacks through industrial control systems that form a linkage between devices for process automation, attacks through process control networks that have numerous security vulnerabilities with a focus on availability, and attacks through IT areas connected to OT areas.

이러한 보안 위협은 스마트팩토리(100)의 계층별 및 각 계층의 장치별로 존재할 수 있다. 예를 들어, 0계층의 보안위협은 물리적 장치 훼손, 공정 데이터 유출, 오작동 및 중단이 존재하고, 1계층의 보안 위협은 공정 데이터 조작, 공정 네트워크 장애가 존재할 수 있다. 2계층의 보안 위협은 비인가 접속, 공정의 임의 조작, 악성코드 감염, 공정 데이터 및 레시피 유출 등이 존재하고, 3계층은 서비스 중단, 랜섬웨어 감염, 공정 데이터 및 레시피 유출 등이 존재할 수 있다. 4계층 및 5계층은 일반적인 IT 환경의 보안 위협인 랜섬웨어 감염, 서비스 장애 및 중단, 중요 정보 유출 등이 존재할 수 있다. 특히, OT 영역은 IT 영역에 비해 보안 취약점에 대한 대비가 충분하지 않은 바, 공격의 난이도가 낮고 공격으로 인해 발생하는 피해가 매우 클 수 있다.These security threats may exist for each layer of the smart factory (100) and for each device in each layer. For example, security threats in layer 0 include physical device damage, process data leakage, malfunction, and interruption, and security threats in layer 1 include process data manipulation and process network failure. Security threats in layer 2 include unauthorized access, arbitrary process manipulation, malware infection, process data and recipe leakage, and security threats in layer 3 include service interruption, ransomware infection, process data and recipe leakage, and security threats in layer 4 and layer 5 include security threats in general IT environments, such as ransomware infection, service failure and interruption, and important information leakage. In particular, the OT area is not sufficiently prepared for security vulnerabilities compared to the IT area, so the difficulty of attack is low, but the damage caused by the attack can be very large.

다시 도 1을 설명한다.Let's explain Figure 1 again.

상술한 바와 같은 스마트팩토리(100)의 보안위협을 대응하기 위해, 보안위협 데이터 제공 장치(200)는 스마트팩토리(100) 내 장치들의 모니터링/분석을 통해 보안위협 데이터를 생성하고, 보안위협 데이터에 따른 위험도를 시각화하여 제공할 수 있다. 보안위협 데이터 제공 장치(200)는 스마트팩토리(100)의 각 계층에 직접 연결되거나, 일부 계층에 연결되어 각 계층에 포함된 장치들의 모니터링/분석을 수행할 수 있다. 예컨대 보안위협 데이터 제공 장치(200)는 SIEM(security information and event management) 장치(또는 SIEM 소프트웨어)를 포함할 수 있으나, 이에 한정되는 것은 아니다.In order to respond to the security threats of the smart factory (100) as described above, the security threat data providing device (200) can generate security threat data through monitoring/analyzing devices in the smart factory (100) and provide a visualized level of risk according to the security threat data. The security threat data providing device (200) can be directly connected to each layer of the smart factory (100) or connected to some layers to perform monitoring/analysis of devices included in each layer. For example, the security threat data providing device (200) can include a SIEM (security information and event management) device (or SIEM software), but is not limited thereto.

SIEM 장치는 스마트팩토리(100) 내의 네트워크 하드웨어나 애플리케이션, 보안 장치 등에 의해 생성되는 로그 및 이벤트 데이터를 수집하고, 수집한 데이터를 분석하여 보안 위협을 탐지할 수 있다. SIEM은 SIM(security information management)와 SEM(security event management)를 결합한 보안 솔루션에 해당한다. 구체적으로, SIEM 장치는 스마트팩토리(100) 내의 네트워크 하드웨어나 애플리케이션, 보안 장치 등에 의해 생성되는 보안 경보에 대해 실시간 모니터링을 진행하고, 데이터의 수집 및 분석, 이벤트의 상관관계 도출, 및/또는 로그 관리 등을 통해 탐지되는 보안위협을 나타내는 보안위협 데이터를 생성할 수 있다. The SIEM device can collect logs and event data generated by network hardware, applications, security devices, etc. in a smart factory (100), and analyze the collected data to detect security threats. SIEM corresponds to a security solution that combines SIM (security information management) and SEM (security event management). Specifically, the SIEM device can perform real-time monitoring of security alerts generated by network hardware, applications, security devices, etc. in a smart factory (100), and generate security threat data representing security threats detected through data collection and analysis, event correlation derivation, and/or log management.

특히, 본 개시의 실시 예에 따른 보안위협 데이터 제공 장치(200)는 스마트팩토리(100)에 포함된 장치들 각각에 대한 보안위협 데이터에 기초하여 보안위협 위험도를 도출하고, 도출된 보안위협 위험도를 시각화하여 제공할 수 있다. 이에 따라, 관리자는 스마트팩토리(100)에 포함된 장치들의 보안 공격이나 보안 사고에 대해 신속히 파악하여 대응할 수 있다.In particular, the security threat data providing device (200) according to the embodiment of the present disclosure can derive a security threat risk level based on security threat data for each device included in a smart factory (100) and provide the derived security threat risk level in a visualized form. Accordingly, the manager can quickly identify and respond to security attacks or security accidents of the devices included in the smart factory (100).

도 3은 도 1에 도시된 보안위협 데이터 제공 장치에 포함된 제어 구성의 일례를 나타내는 블록도이다. 도 4는 도 3에 도시된 보안 취약점 진단 모듈에 의해 제공되는 취약점 심각도의 예를 나타낸 테이블이다. 도 5는 본 개시의 실시 예에 따라 도출된 취약점 변수 및 영향 변수를 기초로 산출되는 위험도별 히트맵 색상 분포를 나타낸 예시도이다. 도 6은 본 개시의 실시 예에 따른 보안위협 데이터 제공 장치에 의해 생성되는 보안위협 데이터 시각화 모델의 일례로서 히트맵 기반의 보안위협 데이터 시각화 모델을 나타낸 예시도이다.FIG. 3 is a block diagram showing an example of a control configuration included in the security threat data providing device illustrated in FIG. 1. FIG. 4 is a table showing an example of vulnerability severities provided by the security vulnerability diagnosis module illustrated in FIG. 3. FIG. 5 is an example diagram showing a heatmap color distribution by risk level calculated based on vulnerability variables and impact variables derived according to an embodiment of the present disclosure. FIG. 6 is an example diagram showing a heatmap-based security threat data visualization model as an example of a security threat data visualization model generated by the security threat data providing device according to an embodiment of the present disclosure.

도 3을 참조하면, 보안위협 데이터 제공 장치(200)는 통신부(210), 입력부(220), 출력부(230), 프로세서(240), 및 메모리(250)를 포함할 수 있다. 도 3에 도시된 제어 구성들은 설명의 편의를 위한 일례로서, 보안위협 데이터 제공 장치(200)는 도 3에 도시된 구성들보다 많거나 적은 구성들을 포함할 수도 있다.Referring to FIG. 3, the security threat data providing device (200) may include a communication unit (210), an input unit (220), an output unit (230), a processor (240), and a memory (250). The control configurations illustrated in FIG. 3 are examples for convenience of explanation, and the security threat data providing device (200) may include more or fewer configurations than the configurations illustrated in FIG. 3.

통신부(210)는 보안위협 데이터 제공 장치(200)를 스마트팩토리(100)와 연결하여, 스마트팩토리(100)에 포함된 장치들의 로그나 이벤트 데이터 등을 수신하기 위한 적어도 하나의 통신 모듈을 포함할 수 있다. 상기 이벤트 데이터는 보안 이벤트에 대한 데이터일 수 있으나 이에 한정되는 것은 아니다. The communication unit (210) may include at least one communication module for connecting the security threat data provision device (200) to the smart factory (100) and receiving logs or event data of devices included in the smart factory (100). The event data may be data on a security event, but is not limited thereto.

실시 예에 따라, 통신부(210)는 수신된 로그나 이벤트 데이터의 분석 결과에 따라 생성되는 보안위협 데이터를 보안 관리자 등의 단말기나 서버로 제공하거나, 보안위협 데이터를 시각화한 시각화 모델을 상기 보안 관리자 등의 단말기나 서버로 제공할 수 있다.According to an embodiment, the communication unit (210) may provide security threat data generated based on the analysis results of received logs or event data to a terminal or server of a security manager or the like, or may provide a visualization model that visualizes the security threat data to a terminal or server of the security manager or the like.

입력부(220)는, 보안위협 데이터 제공 장치(200)의 관리자 등으로부터의 명령이나 요청을 수신하기 위한 적어도 하나의 입력 수단을 포함할 수 있다.The input unit (220) may include at least one input means for receiving a command or request from an administrator of the security threat data provision device (200).

출력부(230)는, 스마트팩토리(100) 내 장치들의 보안위협 데이터에 기초한 각종 정보, 또는 보안위협 데이터 제공 장치(200)의 동작과 관련된 각종 정보 등을 시각적 형태 등으로 출력하기 위한 적어도 하나의 출력 수단을 포함할 수 있다. 실시 예에 따라, 출력부(230)는 상기 보안위협 데이터를 보안위협 위험도 에 따라 시각화한 시각화 모델을 출력할 수 있다.The output unit (230) may include at least one output means for outputting various information based on security threat data of devices within a smart factory (100), or various information related to the operation of a security threat data providing device (200), in a visual form, etc. According to an embodiment, the output unit (230) may output a visualization model that visualizes the security threat data according to the level of security threat risk.

프로세서(240)는 보안위협 데이터 제공 장치(200)의 전반적인 동작을 제어할 수 있다. 이러한 프로세서(240)는 적어도 하나의 CPU, GPU, AP, FPGA, ASIC 등의 하드웨어를 포함할 수 있다. 실시 예에 따라, 프로세서(240)는 보안 취약점 진단 모듈(242), 보안위협 데이터 생성 모듈(244), 위험도 산출 모듈(246), 및 시각화 모듈(248)을 포함할 수 있고, 각 모듈은 메모리(250)에 저장된 소프트웨어들이 로드되어 프로세서(240)에 의해 실행됨에 따라 구성될 수 있다.The processor (240) can control the overall operation of the security threat data providing device (200). The processor (240) can include hardware such as at least one CPU, GPU, AP, FPGA, ASIC, etc. According to an embodiment, the processor (240) can include a security vulnerability diagnosis module (242), a security threat data generation module (244), a risk calculation module (246), and a visualization module (248), and each module can be configured as software stored in a memory (250) is loaded and executed by the processor (240).

보안 취약점 진단 모듈(242)은, 스마트팩토리(100)에 포함된 장치들에 대한 보안 취약점의 특성 및 심각도를 진단할 수 있다. 예컨대, 보안 취약점 진단 모듈(242)은 CVSS(common vulnerability scoring system)를 포함할 수 있다. The security vulnerability diagnosis module (242) can diagnose the characteristics and severity of security vulnerabilities for devices included in the smart factory (100). For example, the security vulnerability diagnosis module (242) can include a common vulnerability scoring system (CVSS).

CVSS는 MITRE(MIT Research and engineering)의 보안 취약점 관리체계인 CVE(common vulnerability and exposure)의 요소 중 하나로, 보안 취약점이 동작하는 환경, 절차, 및 파급력 등을 통해 취약점을 진단하고 평가하는 기준에 해당한다. CVSS는 시간과 환경에 따라 분석한 취약점의 정도를 점수로 나타내어 취약점의 심각도를 제공한다. CVSS is one of the elements of CVE (common vulnerability and exposure), a security vulnerability management system of MITRE (MIT Research and Engineering), and is a standard for diagnosing and evaluating vulnerabilities through the environment, procedures, and impact of security vulnerabilities. CVSS provides the severity of vulnerabilities by expressing the degree of vulnerabilities analyzed over time and environment as a score.

CVSS는 기본적으로 3개의 metric으로 구성되고, 각 metric의 세부 내용은 다음과 같다.CVSS basically consists of three metrics, and the details of each metric are as follows.

1) Base metric : 시간과 사용자들에 의해 변하지 않는 본질적이고 근본적인 취약점을 나타내며, 악용가능성, 범위, 영향의 3가지 하위 요소로 구성된다. 1) Base metric: This represents a fundamental and essential vulnerability that does not change over time and across users, and is composed of three sub-elements: exploitability, scope, and impact.

i) 악용가능성 메트릭은 취약점을 악용하는 데 필요한 기술적 수단과 악용의 용이성을 나타내며, 공격 벡터, 공격 복잡성, 필요한 권한, 사용자 상호작용 등 4가지 하위 구성요소로 이루어진다. '공격 벡터'는 취약점 악용에 필요한 접근의 수준을 나타내며, 원격으로 악용될 수 있는 취약점에 가장 높은 점수가 부여되고, 물리적으로 접근해야만 악용 가능한 취약점에 가장 낮은 점수가 부여될 수 있다. '공격 복잡성'은 공격자가 성공적으로 취약점을 악용할 수 있는 통제의 범위를 벗어난 요인들에 따라 결정된다. 공격자가 추가적인 노력을 기울여야 악용이 가능한 취약점에 높은 점수가, 그렇지 않은 취약점에는 낮은 점수가 부여된다. '필요한 권한'은 공격자가 취약점을 악용하는 데 필요한 권한의 수준에 따라 결정될 수 있다. 공격자가 관리자 권한을 구해야 악용할 수 있는 취약점에 높은 점수가, 그 반대로 권한이 필요없는 취약점에는 최저 점수가 부여될 수 있다. '사용자 상호작용'은 공격자가 다른 사용자의 도움을 받아야 하는지 여부를 나타내며, 외부 도움 없이 작업을 완료할 수 있을수록 점수가 높아질 수 있다.i) Exploitability metrics indicate the technical means required to exploit a vulnerability and the ease of exploitation, and are composed of four sub-components: attack vector, attack complexity, required privileges, and user interaction. 'Attack vector' indicates the level of access required to exploit a vulnerability, with the highest score being given to vulnerabilities that can be exploited remotely, and the lowest score being given to vulnerabilities that require physical access. 'Attack complexity' is determined by factors beyond the scope of control that allow an attacker to successfully exploit a vulnerability. Vulnerabilities that require additional effort from an attacker are given a high score, while vulnerabilities that require additional effort are given a low score. 'Required privileges' can be determined by the level of privileges required by an attacker to exploit a vulnerability. Vulnerabilities that require an attacker to obtain administrative privileges may be given a high score, while vulnerabilities that do not require privileges may be given a low score. 'User interaction' indicates whether an attacker requires assistance from other users, and the higher the score, the more likely it is that the attacker can complete a task without external assistance.

ii) 범위 메트릭은 시스템(스마트팩토리(100)) 내의 여러 장치들 간에 영향을 주고받으면서 취약점이 발생할 가능성을 의미할 수 있다. 하나의 취약점에 대한 악용이 성공하면서 시스템의 다른 부분에 접근할 수 있는 경우 점수가 높아질 수 있다.ii) The scope metric can indicate the possibility of a vulnerability occurring while interacting with multiple devices within the system (smart factory (100)). If exploitation of one vulnerability is successful and allows access to other parts of the system, the score can increase.

iii) 영향 메트릭은 공격의 결과를 가리키며, 기밀성(공격자가 악용 후 접근할 수 있는 데이터의 양), 무결성(공격자가 시스템의 데이터를 조작할 수 있는 범위), 및 가용성(공격 후 승인되는 사용자에 대한 시스템의 가용성)의 하위 요소들을 포함할 수 있다.iii) Impact metrics refer to the consequences of an attack and may include sub-factors of confidentiality (the amount of data an attacker can access after an exploit), integrity (the extent to which an attacker can manipulate data in the system), and availability (the availability of the system to authorized users after an attack).

2) Temporal metric : 사용자들의 환경에 의한 것이 아닌 시간의 흐름에 따라 변화하는 취약점의 특성을 나타내며, 악용 코드의 성숙도, 대응 수준, 보고 신뢰도를 포함할 수 있다.2) Temporal metric: This indicates the characteristics of a vulnerability that change over time rather than depending on the user's environment, and may include the maturity of the exploit code, response level, and reporting reliability.

3) Environmental metric : 사용자의 환경을 고려한 특성(IT 자산의 중요성, 조직의 취약점 관리를 위한 완화 노력 등)을 나타내며, Environmental metric에 따라 기초 CVSS 점수가 조정될 수 있다.3) Environmental metric: This indicates characteristics that take into account the user's environment (importance of IT assets, mitigation efforts for managing the organization's vulnerabilities, etc.), and the basic CVSS score can be adjusted according to the environmental metric.

도 4를 함께 참조하면, 보안 취약점 진단 모듈(242)은 스마트팩토리(100)에 포함된 장치들 및 소프트웨어들에 대한 보안 취약점의 정도를 진단하고, 진단 결과에 해당하는 취약점 심각도를 점수(CVSS 점수 등)로 나타낼 수 있다. 예컨대 상기 취약점 심각도는 0 내지 10 사이의 점수를 가질 수 있고, 점수 구간에 따라 복수의 취약점 등급(예컨대 CVSS 3.1 기준 5개의 등급)으로 구분될 수 있다. 점수가 높을수록 취약점 심각도가 높을 수 있다.Referring to FIG. 4 together, the security vulnerability diagnosis module (242) can diagnose the degree of security vulnerabilities in devices and software included in the smart factory (100) and express the vulnerability severity corresponding to the diagnosis result as a score (CVSS score, etc.). For example, the vulnerability severity can have a score between 0 and 10 and can be classified into multiple vulnerability grades (e.g., 5 grades based on CVSS 3.1) according to the score range. The higher the score, the higher the vulnerability severity.

프로세서(240)는, 스마트팩토리(100)의 장치들 각각의 취약점 심각도에 기초하여, 상기 장치들 각각에 대한 공격 가능성 변수(Likelihood)를 설정할 수 있다. 예컨대 프로세서(240)는 상술한 취약점 심각도 및 취약점 등급에 기초하여 상기 공격 가능성 변수를 설정할 수 있다. 구체적으로, 프로세서(240)는 취약점 등급이 'None'인 경우 상기 공격 가능성 변수를 '1'로 설정하고, 'Critical'로 갈수록 상기 공격 가능성 변수를 1씩 증가시킬 수 있다. 설정된 공격 가능성 변수는 후술할 위험도 산출 모듈(246)의 보안위협 위험도 산출 과정에서 활용될 수 있다.The processor (240) may set an attack likelihood variable (Likelihood) for each of the devices of the smart factory (100) based on the vulnerability severity of each of the devices. For example, the processor (240) may set the attack likelihood variable based on the vulnerability severity and vulnerability level described above. Specifically, the processor (240) may set the attack likelihood variable to '1' when the vulnerability level is 'None', and may increase the attack likelihood variable by 1 as it goes to 'Critical'. The set attack likelihood variable may be utilized in the security threat risk calculation process of the risk calculation module (246) described below.

실시 예에 따라, 보안위협 데이터 제공 장치(200)는 통신부(210)를 통해 연결된 별도의 장치로부터 상기 취약점 심각도에 대한 정보를 수신하고, 수신된 취약점 심각도에 기초하여 공격 가능성 변수를 설정할 수도 있다.According to an embodiment, the security threat data providing device (200) may receive information on the vulnerability severity from a separate device connected through the communication unit (210) and set an attack probability variable based on the received vulnerability severity.

다시 도 3을 설명한다.Let's explain Figure 3 again.

보안위협 데이터 생성 모듈(244)은, 스마트팩토리(100) 내의 네트워크 하드웨어나 애플리케이션, 보안 장치 등에 의해 생성되는 로그 및 이벤트 데이터를 수집하고, 수집한 데이터를 분석하여 스마트팩토리(100) 내의 장치들 각각에 대한 보안 위협을 나타내는 보안위협 데이터를 생성할 수 있다. 상술한 바와 같이 보안위협 데이터 생성 모듈(244)은 SIEM 솔루션에 대응할 수 있으나, 이에 한정되는 것은 아니다.The security threat data generation module (244) can collect logs and event data generated by network hardware, applications, security devices, etc. within the smart factory (100), analyze the collected data, and generate security threat data indicating security threats to each device within the smart factory (100). As described above, the security threat data generation module (244) can correspond to a SIEM solution, but is not limited thereto.

프로세서(240)는 생성된 보안위협 데이터에 기초하여, 상기 보안위협 데이터에 대응하는 공격에 의해 시스템이 영향을 받은 정도를 나타내는 영향 변수(Impact)를 도출할 수 있다. 예컨대 영향 변수(Impact)는 복수의 레벨들로 구성될 수 있으며, 아래의 예시는 영향 변수가 4개의 레벨로 구성된 형태를 나타내며, 영향 변수는 각 레벨에 따라 1 내지 4 중 어느 하나의 값을 갖게 된다.The processor (240) can derive an impact variable (Impact) that indicates the degree to which the system is affected by an attack corresponding to the security threat data based on the generated security threat data. For example, the impact variable (Impact) can be composed of multiple levels, and the example below shows a form in which the impact variable is composed of four levels, and the impact variable has a value of one of 1 to 4 depending on each level.

1) Level 1: 최소한의 시스템이 영향을 받거나 소프트웨어가 오작동하여 최소한의 영향을 미친 경우를 의미하며, 간단한 사고 대응 해결책이 존재하는 경우이다. 사용자 지정 콘텐츠 오류, 문서 오류 등이 이에 해당된다.1) Level 1: This refers to a case where minimal systems are affected or software malfunctions causing minimal impact, and simple incident response solutions exist. Examples include custom content errors and documentation errors.

2) Level 2: 약간의 시스템이 영향을 받거나 소프트웨어 운영에 영향을 주지 않는 기능만 사용할 수 없는 상태를 의미하며, 사고 대응 해결책이 존재하는 경우이다. 러닝타임 지연, 애플리케이션 작동 오류 등이 이에 해당된다.2) Level 2: This means that only some systems are affected or only functions that do not affect software operation are unavailable, and there is an incident response solution. This includes running time delays and application operation errors.

3) Level 3: 상당수의 시스템과 소프트웨어의 중요 기능들이 영향을 받거나 성능이 크게 저하되는 경우, 정상적인 시스템 운영에 영향을 미치는 경우를 의미하며, 사고 대응 해결책이 존재하는 경우이다. 애플리케이션 로드 실패, 배포 실패, 사용자에게 영향을 미치는 성능 저하 등이 이에 해당된다.3) Level 3: This refers to a case where a significant number of critical functions of a system or software are affected or performance is significantly degraded, affecting normal system operation, and an incident response solution exists. This includes application load failures, deployment failures, and performance degradation affecting users.

4) Level 4: 생산, 시스템 작동 중단 상황이 발생하는 경우, 사고 대응 해결책이 존재하지 않아 가동을 멈추고 대응 해결책을 연구해야 하는 경우를 의미한다. 모든 이벤트 상관관계 분석 기능 강제종료, 업그레이드 또는 패치 실패, 사용자 인터페이스 사용 불가능 등이 이에 해당된다.4) Level 4: In the event of a production or system failure, there is no incident response solution, so the operation must be stopped and a response solution must be studied. This includes the forced termination of all event correlation analysis functions, failure of upgrades or patches, and inability to use the user interface.

한편, 상기 영향 변수는, 스마트팩토리(100)의 장치들 각각에 대해 누적 발생한 다수의 보안위협 데이터와, 상기 보안위협 데이터 각각에 대응하는 공격에 의해 시스템(스마트팩토리(100))이 영향을 받은 정도를 소정의 레벨들로 구분하여 도출한 데이터(영향 변수)를 저장한 데이터베이스(미도시)를 통해 획득될 수도 있다. 즉, 프로세서(240)는 상기 장치들 각각에 대해 생성된 보안위협 데이터를, 상기 데이터베이스에 저장된 다수의 보안위협 데이터 중 동일하거나 유사도가 가장 높은 보안위협 데이터를 식별하고, 식별된 보안위협 데이터의 영향 변수를 상기 생성된 보안위협 데이터의 영향 변수로서 설정할 수 있다.Meanwhile, the above-mentioned influence variable may be obtained through a database (not shown) that stores a plurality of security threat data accumulated for each device of the smart factory (100) and data (influence variable) derived by dividing the degree to which the system (smart factory (100)) is affected by an attack corresponding to each of the security threat data into predetermined levels. That is, the processor (240) can identify the security threat data generated for each of the devices as the security threat data that is identical or has the highest degree of similarity among the plurality of security threat data stored in the database, and set the influence variable of the identified security threat data as the influence variable of the generated security threat data.

위험도 산출 모듈(246)은, 상술한 공격 가능성 변수(Likelihood) 및 영향 변수(Impact)에 기초하여, 스마트팩토리(100) 내 장치들 각각에 대한 보안위협 위험도(Risk)를 산출할 수 있다. 예컨대 보안위협 위험도(Risk)는 공격 가능성 변수(Likelihood)와 영향 변수(Impact)의 곱에 해당할 수 있다.The risk calculation module (246) can calculate the security threat risk (Risk) for each device in the smart factory (100) based on the attack possibility variable (Likelihood) and the impact variable (Impact) described above. For example, the security threat risk (Risk) can correspond to the product of the attack possibility variable (Likelihood) and the impact variable (Impact).

시각화 모듈(248)은, 위험도 산출 모듈(246)에 의해 산출된 보안위협 위험도(Risk)를 시각화한 시각화 모델을 생성할 수 있다. 예컨대, 시각화 모듈(248)은 히트맵(heatmap) 시각화 기법을 적용하여 스마트팩토리(100)의 장치별 보안위협 위험도를 시각화할 수 있다. The visualization module (248) can generate a visualization model that visualizes the security threat risk calculated by the risk calculation module (246). For example, the visualization module (248) can visualize the security threat risk for each device of the smart factory (100) by applying a heatmap visualization technique.

도 5와 도 6을 참조하면, 시각화 모듈(248)은 상기 보안위협 위험도(Risk)에 따른 히트맵 색상 분포를 기초로, 스마트팩토리(100)의 장치별 보안위협 위험도에 대한 시각화 모델(600)을 생성할 수 있다. 상기 히트맵 색상 분포는 보안위협 위험도에 따라 색상, 채도, 및/또는 명도가 변화하도록 형성될 수 있다. 시각화 모듈(248)은 장치들 각각에 대해 산출된 보안위협 위험도에 기초하여, 상기 장치들 각각에 대한 히트맵 색상을 설정하고, 설정된 히트맵 색상을 반영하여 시각화 모델(600)을 생성할 수 있다.Referring to FIGS. 5 and 6, the visualization module (248) can generate a visualization model (600) for the security threat risk of each device of the smart factory (100) based on the heat map color distribution according to the security threat risk. The heat map color distribution can be formed so that the color, saturation, and/or brightness change according to the security threat risk. The visualization module (248) can set a heat map color for each device based on the security threat risk calculated for each device, and generate a visualization model (600) by reflecting the set heat map color.

프로세서(240)는 생성된 시각화 모델(600)을 출력부(230)를 통해 출력하거나, 통신부(210)를 통해 다른 단말기나 서버 등으로 전송할 수 있다. 도 6에 도시된 시각화 모델(600)을 참조하면, 시각화 모듈(248)은 도 2에서 상술한 스마트팩토리(100)의 아키텍처 구조 상에, 전 계층에 포함된 장치들의 보안위협 위험도를 히트맵(602, 604, 606, 608, 610, 612)으로 표시할 수 있다. 관리자는 표시된 히트맵(602, 604, 606, 608, 610, 612)에 기초하여, 0계층의 변환 장치, 2계층의 스위치, 및 3계층의 MES의 보안위협 위험도가 높음을 인식할 수 있다. 또한 관리자는 1계층의 데이터수집장비(data acquisition (DAQ)), 2계층의 HMI, 및 4계층 내지 5계층의 WAS(web application server)에 대한 보안위협 위험도가 중간 정도에 해당함을 인식할 수 있다. 즉, 보안위협 데이터 제공 장치(200)는, 스마트팩토리(100)의 전 계층에 포함된 장치들의 보안위협 데이터에 기초한 보안위협 위험도를 히트맵 기반의 시각화 모델(600)을 통해 제공함으로써, 관리자로 하여금 스마트팩토리(100)에 포함된 장치들에 대한 보안위협의 신속한 감지 및 대응을 가능하게 할 수 있다.The processor (240) can output the generated visualization model (600) through the output unit (230) or transmit it to another terminal or server, etc. through the communication unit (210). Referring to the visualization model (600) illustrated in FIG. 6, the visualization module (248) can display the security threat risk of devices included in all layers on the architecture structure of the smart factory (100) described above in FIG. 2 as a heat map (602, 604, 606, 608, 610, 612). Based on the displayed heat map (602, 604, 606, 608, 610, 612), the manager can recognize that the security threat risk of the conversion device in the 0th layer, the switch in the 2nd layer, and the MES in the 3rd layer are high. In addition, the manager can recognize that the security threat risk for the data acquisition (DAQ) equipment of the first layer, the HMI of the second layer, and the WAS (web application server) of the fourth to fifth layers is at a medium level. That is, the security threat data provision device (200) provides the security threat risk based on the security threat data of the devices included in all layers of the smart factory (100) through a heat map-based visualization model (600), thereby enabling the manager to quickly detect and respond to security threats to the devices included in the smart factory (100).

실시 예에 따라, 시각화 모듈(248)은 상기 아키텍처 구조 대신, 스마트팩토리(100) 내 장치들의 실제 배치도 등과 같은 도면 상에 각 장치의 보안위협 위험도를 히트맵으로 표시할 수도 있다.According to an embodiment, the visualization module (248) may display the security threat risk level of each device as a heat map on a drawing, such as an actual layout diagram of devices within a smart factory (100), instead of the above-mentioned architectural structure.

메모리(250)는, 보안위협 데이터 제공 장치(200)의 동작과 관련된 각종 명령어나 데이터를 저장할 수 있다. 예컨대, 메모리(250)는 스마트팩토리(100)로부터 수신한 보안위협 데이터, 및 상기 보안위협 데이터에 기초하여 스마트팩토리(100)의 장치별로 보안위협 위험도를 시각화한 시각화 모델을 생성하기 위한 알고리즘이나 프로그램 데이터 등을 저장할 수 있다. 이러한 메모리(250)는 적어도 하나의 휘발성/비휘발성 메모리를 포함할 수 있다.The memory (250) can store various commands or data related to the operation of the security threat data providing device (200). For example, the memory (250) can store security threat data received from the smart factory (100), and algorithms or program data for generating a visualization model that visualizes the security threat risk level for each device of the smart factory (100) based on the security threat data. The memory (250) can include at least one volatile/nonvolatile memory.

도 7은 본 개시의 실시 예에 따른 스마트팩토리의 보안위협 데이터 제공 방법을 설명하기 위한 플로우차트이다.FIG. 7 is a flowchart for explaining a method for providing security threat data of a smart factory according to an embodiment of the present disclosure.

도 7을 참조하면, 보안위협 데이터 제공 장치(200)는 스마트팩토리(100)의 장치들 각각의 취약점 심각도(CVSS 점수 등)에 기초한 공격 가능성 변수(Likelihood)를 설정할 수 있다(S700).Referring to FIG. 7, the security threat data provision device (200) can set an attack possibility variable (Likelihood) based on the vulnerability severity (CVSS score, etc.) of each device of the smart factory (100) (S700).

보안위협 데이터 제공 장치(200)는 스마트팩토리(100)의 장치들 및/또는 애플리케이션들로부터 발생하는 로그 및 이벤트 데이터 등에 기초하여, 상기 장치들 각각에 대한 보안위협 데이터를 생성할 수 있다(S710). 보안위협 데이터 제공 장치(200)는 생성된 보안위협 데이터에 기초하여 상기 장치들 각각에 대한 영향 변수(Impact)를 설정할 수 있다(S720).The security threat data providing device (200) can generate security threat data for each of the devices based on logs and event data generated from devices and/or applications of the smart factory (100) (S710). The security threat data providing device (200) can set an impact variable (Impact) for each of the devices based on the generated security threat data (S720).

보안위협 데이터 제공 장치(200)는 설정된 공격 가능성 변수 및 영향 변수에 기초하여, 스마트팩토리(100) 내의 장치들 각각에 대한 보안위협 위험도(Risk)를 산출할 수 있다(S730). 보안위협 데이터 제공 장치(200)는 산출된 보안위협 위험도를 히트맵 형태 등으로 시각화하여 제공할 수 있다(S740).The security threat data provision device (200) can calculate the security threat risk level (Risk) for each device in the smart factory (100) based on the set attack possibility variables and impact variables (S730). The security threat data provision device (200) can provide the calculated security threat risk level by visualizing it in the form of a heat map, etc. (S740).

상기한 실시예들의 설명은 본 개시의 더욱 철저한 이해를 위하여 도면을 참조로 예를 든 것들에 불과하므로, 본 개시의 기술적 사상을 한정하는 의미로 해석되어서는 안될 것이다. The description of the above embodiments is merely provided as examples with reference to the drawings for a more thorough understanding of the present disclosure, and should not be construed as limiting the technical idea of the present disclosure.

또한, 본 개시가 속하는 기술 분야에서 통상의 지식을 가진 자에게 있어 본 개시의 기본적 원리를 벗어나지 않는 범위 내에서 다양한 변화와 변경이 가능함은 명백하다 할 것이다.In addition, it will be apparent to a person skilled in the art that various changes and modifications can be made without departing from the basic principles of the present disclosure.

Claims (16)

스마트팩토리의 보안위협 데이터 제공 방법에 있어서,
상기 스마트팩토리에 포함된 장치들 각각의 보안 취약점 심각도에 기초한 공격 가능성 변수를 설정하는 단계;
상기 스마트팩토리로부터 발생하는 데이터에 기초하여, 상기 장치들 각각에 대한 보안위협을 나타내는 보안위협 데이터를 생성하는 단계;
생성된 보안위협 데이터에 기초하여, 상기 장치들 각각에 대한 영향 변수를 설정하는 단계;
설정된 공격 가능성 변수 및 영향 변수에 기초하여, 상기 장치들 각각에 대한 보안위협 위험도를 산출하는 단계; 및
산출된 보안위협 위험도를 시각화한 시각화 모델을 제공하는 단계를 포함하되,
상기 영향 변수를 설정하는 단계는,
스마트팩토리의 장치들에 대해 누적 발생한 다수의 보안위협 데이터가 저장된 데이터베이스로부터, 상기 생성된 보안위협 데이터와 동일 또는 유사도가 가장 높은 보안위협 데이터를 식별하는 단계; 및
상기 데이터베이스로부터, 상기 식별된 보안위협 데이터에 대응하는 영향 변수의 정보를 획득하고, 획득된 영향 변수를 상기 생성된 보안위협 데이터의 영향 변수로서 설정하는 단계를 포함하는,
방법.
In the method of providing security threat data for smart factories,
A step of setting an attack possibility variable based on the severity of security vulnerabilities of each device included in the above smart factory;
A step of generating security threat data indicating a security threat to each of the devices based on data generated from the smart factory;
A step of setting an impact variable for each of the devices based on the generated security threat data;
A step of calculating the security threat risk level for each of the above devices based on the set attack possibility variables and impact variables; and
Including a step of providing a visualization model that visualizes the generated security threat risk level,
The steps for setting the above influence variables are:
A step for identifying security threat data that is identical to or most similar to the generated security threat data from a database storing a plurality of security threat data accumulated for devices of a smart factory; and
A step of obtaining information on an impact variable corresponding to the identified security threat data from the database and setting the obtained impact variable as an impact variable of the generated security threat data,
method.
 제1항에 있어서,
상기 장치들은 상기 스마트팩토리를 구성하는 복수의 계층들에 포함되고,
상기 시각화 모델을 제공하는 단계는,
상기 스마트팩토리를 구성하는 복수의 계층들에 포함된 장치별로 보안위협 위험도를 시각화한 시각화 모델을 제공하는 단계를 포함하는,
방법.
In the first paragraph,
The above devices are included in multiple layers that constitute the smart factory,
The step of providing the above visualization model is:
A step of providing a visualization model that visualizes the security threat risk level for each device included in multiple layers constituting the smart factory,
method.
 제1항에 있어서,
상기 시각화 모델을 제공하는 단계는,
보안위협 위험도에 따른 히트맵(heatmap) 색상 분포 정보로부터, 상기 장치들 각각에 대한 히트맵 색상을 설정하는 단계; 및
설정된 히트맵 색상을 반영하여 상기 시각화 모델을 제공하는 단계를 포함하는,
방법.
In the first paragraph,
The step of providing the above visualization model is:
A step of setting a heatmap color for each of the devices from heatmap color distribution information according to the security threat risk level; and
comprising a step of providing the visualization model by reflecting the set heatmap color;
method.
 제1항에 있어서,
상기 공격 가능성 변수를 설정하는 단계는,
상기 스마트팩토리에 포함된 장치들 및 소프트웨어들에 대한 보안 취약점의 정도를 분석하는 단계;
분석 결과에 대응하는 취약점 심각도를 판단하는 단계; 및
판단된 취약점 심각도에 기초하여, 상기 스마트팩토리에 포함된 장치들 각각에 대한 공격 가능성 변수를 설정하는 단계를 포함하는,
방법.
In the first paragraph,
The step of setting the above attack probability variable is:
A step of analyzing the degree of security vulnerabilities in devices and software included in the above smart factory;
Step for determining the vulnerability severity corresponding to the analysis results; and
A step of setting an attack probability variable for each device included in the smart factory based on the determined vulnerability severity,
method.
 제4항에 있어서,
상기 취약점 심각도는 CVSS(common vulnerability scoring system)에 의해 산출되는 CVSS 점수에 해당하고,
상기 공격 가능성 변수는, CVSS 점수의 구간별로 구분되는 복수의 취약점 등급 중, 상기 산출된 CVSS 점수에 대응하는 취약점 등급의 값으로 설정되는,
방법.
In paragraph 4,
The above vulnerability severity corresponds to the CVSS score calculated by the common vulnerability scoring system (CVSS).
The above attack probability variable is set to the value of the vulnerability grade corresponding to the calculated CVSS score among multiple vulnerability grades classified by CVSS score interval.
method.
 제1항에 있어서,
상기 보안위협 데이터를 생성하는 단계는,
상기 스마트팩토리로부터 발생하는 로그 및 보안 이벤트 중 적어도 하나를 포함하는 상기 데이터를 수신하는 단계;
수신된 데이터를 SIEM(security information and event management) 솔루션을 통해 분석하는 단계; 및
분석 결과에 기초하여 상기 장치들 각각에 대한 보안위협을 나타내는 보안위협 데이터를 생성하는 단계를 포함하는,
방법.
In the first paragraph,
The steps for generating the above security threat data are:
A step of receiving the data including at least one of a log and a security event occurring from the smart factory;
Step of analyzing the received data through a SIEM (security information and event management) solution; and
A step of generating security threat data indicating a security threat to each of the devices based on the analysis results,
method.
 삭제delete 제1항에 있어서,
상기 장치들 각각에 대한 보안위협 위험도를 산출하는 단계는,
설정된 공격 가능성 변수와 영향 변수의 곱을 통해 상기 보안위협 위험도를 산출하는 단계를 포함하는,
방법.
In the first paragraph,
The step of calculating the security threat risk for each of the above devices is:
Including a step of calculating the security threat risk level by multiplying the set attack probability variable and the impact variable.
method.
 스마트팩토리와 연결되는 보안위협 데이터 제공 장치에 있어서,
상기 스마트팩토리로부터 발생하는 데이터를 수신하는 통신부; 및
상기 스마트팩토리에 포함된 장치들 각각의 보안 취약점 심각도에 기초한 공격 가능성 변수를 설정하고,
상기 스마트팩토리로부터 수신한 데이터에 기초하여, 상기 장치들 각각에 대한 보안위협을 나타내는 보안위협 데이터를 생성하고,
생성된 보안위협 데이터에 기초하여, 상기 장치들 각각에 대한 영향 변수를 설정하고,
설정된 공격 가능성 변수 및 영향 변수에 기초하여, 상기 장치들 각각에 대한 보안위협 위험도를 산출하고,
산출된 보안위협 위험도를 시각화한 시각화 모델을 생성하는 프로세서를 포함하고,
상기 프로세서는,
스마트팩토리의 장치들에 대해 누적 발생한 다수의 보안위협 데이터가 저장된 데이터베이스로부터, 상기 생성된 보안위협 데이터와 동일 또는 유사도가 가장 높은 보안위협 데이터를 식별하고,
상기 데이터베이스로부터, 상기 식별된 보안위협 데이터에 대응하는 영향 변수의 정보를 획득하고, 획득된 영향 변수를 상기 생성된 보안위협 데이터의 영향 변수로서 설정하는,
장치.
In a security threat data provision device connected to a smart factory,
A communication unit that receives data generated from the above smart factory; and
Set attack probability variables based on the severity of security vulnerabilities of each device included in the above smart factory,
Based on the data received from the above smart factory, security threat data indicating security threats to each of the above devices is generated,
Based on the generated security threat data, impact variables are set for each of the above devices,
Based on the set attack probability variables and impact variables, the security threat risk for each of the above devices is calculated,
Includes a processor that generates a visualization model that visualizes the generated security threat risk level,
The above processor,
From a database storing a large number of security threat data accumulated for devices in a smart factory, identify the security threat data that is identical to or most similar to the generated security threat data,
From the above database, information on the impact variables corresponding to the identified security threat data is obtained, and the obtained impact variables are set as the impact variables of the generated security threat data.
device.
 제9항에 있어서,
상기 장치들은 상기 스마트팩토리를 구성하는 복수의 계층들에 포함되고,
상기 프로세서는,
상기 스마트팩토리를 구성하는 복수의 계층들에 포함된 장치별로 보안위협 위험도를 시각화한 시각화 모델을 생성하는,
장치.
In Article 9,
The above devices are included in multiple layers that constitute the smart factory,
The above processor,
Create a visualization model that visualizes the security threat risk level for each device included in multiple layers that constitute the above smart factory.
device.
 제9항에 있어서,
상기 프로세서는,
보안위협 위험도에 따른 히트맵 색상 분포 정보로부터, 상기 장치들 각각에 대한 히트맵 색상을 설정하고,
설정된 히트맵 색상을 반영하여 상기 시각화 모델을 생성하는,
장치.
In Article 9,
The above processor,
From the heat map color distribution information according to the security threat risk level, a heat map color is set for each of the above devices,
Generate the above visualization model by reflecting the set heatmap colors.
device.
 제9항에 있어서,
상기 프로세서는,
상기 스마트팩토리에 포함된 장치들 및 소프트웨어들에 대한 보안 취약점의 정도를 분석하고,
분석 결과에 대응하는 취약점 심각도를 판단하고,
판단된 취약점 심각도에 기초하여, 상기 스마트팩토리에 포함된 장치들 각각에 대한 공격 가능성 변수를 설정하는,
장치.
In Article 9,
The above processor,
Analyze the level of security vulnerabilities in the devices and software included in the above smart factory,
Determine the vulnerability severity corresponding to the analysis results,
Based on the assessed vulnerability severity, an attack probability variable is set for each device included in the smart factory.
device.
 제12항에 있어서,
상기 취약점 심각도는 CVSS(common vulnerability scoring system)에 의해 산출되는 CVSS 점수에 해당하고,
상기 공격 가능성 변수는, CVSS 점수의 구간별로 구분되는 복수의 취약점 등급 중, 상기 산출된 CVSS 점수에 대응하는 취약점 등급의 값으로 설정되는,
장치.
In Article 12,
The above vulnerability severity corresponds to the CVSS score calculated by the common vulnerability scoring system (CVSS).
The above attack probability variable is set to the value of the vulnerability grade corresponding to the calculated CVSS score among multiple vulnerability grades classified by CVSS score interval.
device.
 제9항에 있어서,
상기 통신부는, 상기 스마트팩토리로부터 발생하는 로그 및 보안 이벤트 중 적어도 하나를 포함하는 상기 데이터를 수신하고,
상기 프로세서는,
상기 수신된 데이터를 SIEM 솔루션을 통해 분석하고,
분석 결과에 기초하여 상기 장치들 각각에 대한 보안위협을 나타내는 보안위협 데이터를 생성하는,
장치.
In Article 9,
The above communication unit receives the data including at least one of a log and a security event generated from the smart factory,
The above processor,
The above received data is analyzed through a SIEM solution,
Generate security threat data indicating security threats to each of the above devices based on the analysis results.
device.
 삭제delete 제9항에 있어서,
상기 생성된 시각화 모델을 출력하는 출력부를 더 포함하는,
장치.
In Article 9,
Further comprising an output section for outputting the generated visualization model,
device.
KR1020220139700A 2022-10-26 2022-10-26 Method and apparatus for providing security threat data in smart factory Active KR102750418B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020220139700A KR102750418B1 (en) 2022-10-26 2022-10-26 Method and apparatus for providing security threat data in smart factory

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020220139700A KR102750418B1 (en) 2022-10-26 2022-10-26 Method and apparatus for providing security threat data in smart factory

Publications (2)

Publication Number Publication Date
KR20240058694A KR20240058694A (en) 2024-05-03
KR102750418B1 true KR102750418B1 (en) 2025-01-07

Family

ID=91077365

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020220139700A Active KR102750418B1 (en) 2022-10-26 2022-10-26 Method and apparatus for providing security threat data in smart factory

Country Status (1)

Country Link
KR (1) KR102750418B1 (en)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101687716B1 (en) * 2015-10-15 2016-12-19 국방과학연구소 An apparatus for calculating a vulnerability of information system and method thereof
KR102143510B1 (en) * 2019-01-31 2020-08-11 김종현 Risk management system for information cecurity
KR102295947B1 (en) * 2019-11-15 2021-08-30 한전케이디엔주식회사 System and method for real time monitoring of cyber secure management

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20090037538A (en) * 2007-10-12 2009-04-16 한국정보보호진흥원 Risk Assessment Method Using Information Asset Modeling
KR20180045363A (en) * 2016-10-25 2018-05-04 (주)케이사인 Apparatus and Method for Determining Priority for Event Integrated Management of Heterogeneous Systems

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101687716B1 (en) * 2015-10-15 2016-12-19 국방과학연구소 An apparatus for calculating a vulnerability of information system and method thereof
KR102143510B1 (en) * 2019-01-31 2020-08-11 김종현 Risk management system for information cecurity
KR102295947B1 (en) * 2019-11-15 2021-08-30 한전케이디엔주식회사 System and method for real time monitoring of cyber secure management

Also Published As

Publication number Publication date
KR20240058694A (en) 2024-05-03

Similar Documents

Publication Publication Date Title
CN111260176B (en) Method and system for eliminating fault conditions in a technical installation
Eckhart et al. Enhancing cyber situational awareness for cyber-physical systems through digital twins
Allison et al. Digital twin-enhanced incident response for cyber-physical systems
CN117692345B (en) IT operation method and system based on artificial intelligence
CN114788242B (en) Method for monitoring and/or controlling one or more chemical plants
US20240176894A1 (en) A critical infrastructure simulation and emulation system and method
CN113671909A (en) Safety monitoring system and method for steel industrial control equipment
Johnson et al. Developing real-time monitoring models to enhance operational support and improve incident response times
Dondossola et al. Critical utility infrastructural resilience
CN116861444A (en) System security evaluation method, apparatus, device, storage medium, and program product
CN118157961B (en) Active simulation intrusion assessment and full-link visual protection system, method and equipment
Venkataramanan et al. Enhancing microgrid resiliency against cyber vulnerabilities
CN118898072A (en) An automated information security penetration testing platform
CN120110893A (en) A network operation and maintenance method and system based on digital twin technology
KR102757660B1 (en) Method and apparatus for providing security threat data based on attack graph in smart factory
Aydın Detecting cybersecurity threats in digital energy systems using deep learning for imbalanced datasets
KR102750418B1 (en) Method and apparatus for providing security threat data in smart factory
CN120811778A (en) Power network vulnerability analysis system and method based on virtual attack and defense deduction
Idima et al. Comprehensive analysis of SCADA system data for intrusion detection using machine learning
Giuseppi et al. Securing cyber-physical systems: an optimization framework based on OSSTMM and genetic algorithms
Bothos et al. Cybersecurity vulnerability and risk of industrial control systems
Häckel et al. Development of dynamic key figures for the identification of critical components in smart factory information networks
Murthy Exploring the Use of PHM for Software System Security and Resilience
Hossain et al. Detection of undesired events on real-world scada power system through process monitoring
Gozuoglu Smart Monitoring of Power Networks: Augmented Reality and Edge AI for Grid Resilience

Legal Events

Date Code Title Description
PA0109 Patent application

Patent event code: PA01091R01D

Comment text: Patent Application

Patent event date: 20221026

PA0201 Request for examination
E902 Notification of reason for refusal
PE0902 Notice of grounds for rejection

Comment text: Notification of reason for refusal

Patent event date: 20240423

Patent event code: PE09021S01D

PG1501 Laying open of application
E701 Decision to grant or registration of patent right
PE0701 Decision of registration

Patent event code: PE07011S01D

Comment text: Decision to Grant Registration

Patent event date: 20241213

GRNT Written decision to grant
PR0701 Registration of establishment

Comment text: Registration of Establishment

Patent event date: 20241231

Patent event code: PR07011E01D

PR1002 Payment of registration fee

Payment date: 20250102

End annual number: 3

Start annual number: 1

PG1601 Publication of registration