Haedong

서울대학교공과대학

해동일본기술정보센터
모바일메뉴 열기/닫기
  • 정기간행물
  • 단행본서적
  • 기술보고서/백서
  • 관련사이트
  • 커뮤니티
  • 센터소개
    •

    전기전자/정보통신

    책 커버 표지
    텔레커뮤니케이션_2017/07_연결되는 공장의 네트워크 입문
    • 저자 : リッコテレコム
    • 발행일 : 20170625
    • 페이지수/크기 : 80page/28cm

    요약

    Telecommunication_2017.7 특집요약 (p5~18)

    연결되는 공장의 네트워크 입문
    미래의 제조업을 지원하는 네트워크와 시큐리티 대책

    공장을 IoT화하는 시도가 본격화되고 있다. 그럼 차세대「연결되는 공장」의 기반이 되는 네트워크는 어떻게 구축하면 좋을까? IT 세계의 주민의 입장에서, 미지의 영역인 공장 내부의 네트워크 실태를 분명히 밝히고, 미래의 제조업을 지원하는 네트워크 및 보안 대책의 포인트를 점검해 나가자.

    Part 1. 산업용 이더넷의 세계
    일반 오피스와는 여기가 다르다

    공장의 IoT화에서는 공장을 인터넷 등 외부 네트워크에 접속한다. 이를 위해서는 공장 내부를 이해할 필요가 있지만, 정보계 시스템과는 다른 독특한 영역이다. 공장의 네트워크는 어떻게 구성되어 있을까?

    전세계에서 공장의 IoT화에 대한 움직임이 활발해지고 있다. 일본의 제조업도 예외가 아니며, 공장을 네트워크화하는 시도가 진행 중이다.「우리 공장은 이미 네트워크로 연결되어 있다」. 이렇게 선언하는 공장장이 있을지도 모른다.

    확실히 공장은 네트워크로 연결되어 있다. 그러나 그것은 공장 안의 제조 설비를 접속하는 OT(Operational Technology)의 네트워크이며, 공장 내에 갇혀 있다. 조립 가공 작업을 자동화하는 FA(Factory Automation)나, 석유정제 플랜트나 제철 플랜트 등의 소재 산업의 프로세스를 자동화하는 PA(Process Automation) 수단으로서 도입된 것이다.

    공장의 IoT화에서는, OT의 세계와 IT의 세계를 융합시키게 된다. 공장을 인터넷 등 외부 네트워크에 연결하면, 공장 내에 닫혀 있었던 제조 라인의 데이터를 클라우드나 데이터센터 등의 공장 밖에 수집할 수 있게 된다. 클라우드나 데이터센터에서 가시화∙분석한 데이터는 본사나 다른 거점 공장에서도 접속할 수 있다.

    그러나 현실적으로는 대부분의 공장은 아직 IT와 융합되어 있지 않다. 앞으로 공장을 외부와 접속시키기 위해서는 우선은 공장 내에 있는 OT 네트워크를 이해할 필요가 있다. 그래서 Part1에서는 공장 내에 있는 네트워크의 전체상을 확인하고자 한다.

    -- 공장 네트워크의 3계층 --
    일반적으로 공장의 제조 라인이나 설비에서 이용하는 네트워크는 크게 3개의 계층으로 분류된다. 위부터 ①「제어정보네트워크」, ②「컨트롤러간 네트워크」, ③「필드네트워크」다.

    우선, ①제어정보네트워크는「MES(Manufacturing Execution System)」와 관리용 PC를 접속하는 곳이다. MES는, 제조 현장의 제조 중인 물건의 상황을 파악하면서, 제조 계획에 근거한 작업 스케줄을 세우거나 하는 역할을 담당한다.

    이 네트워크에서는 전부터 TCP/IP와의 조합으로 이용하는, 이른바 표준적인 이더넷이 이용되어 왔으며, 윈도우나 리눅스 베이스 기기가 연결되어 있다. IT 담당자에게도 익숙한 부분이다. 한편, ②컨트롤러간 네트워크와 ③필드네트워크는, 지금까지 IT에 종사해온 사람에게는 미지의 영역이다.

    -- 독자적으로 진화한 공장 네트워크 --
    -- 산업용 이더넷이란? --
    -- 필드용 산업용 이더 --
    -- 계층형에서 평면형 네트워크로 --

    Part 2. 공장 IoT화의 교과서
    차세대 제조업을 지원하는 네트워크는 이렇게

    Part1을 통해 공장 네트워크의 상황에 대해 알 수 있었다. 그럼, 그 공장을 인터넷 등 외부 네트워크에 연결하면 무엇이 가능해질까?「연결되는 공장」을 통해 실현할 수 있는 것들과 그 네트워크화의 방법을 알아보자.

    공장의 네트워크화에 종사하고 있는 벤더나 인티그레이터는 한결같이 이렇게 말한다.「정보계 시스템인『IT』와, 공장의 제조시스템인『OT』는 담당부문이 서로 다르다. 그 부분을 명확히 구분하면서 공장의 네트워크를 생각해야만 한다」.

    Cisco Systems의 CTO 하마다(濱田) 씨도 그렇게 말한다. 시스코는 공장을 네트워크화하기 위한 제조업용 네트워크 아키텍처로서, Rockwell Automation과 공동 개발한「CPwE(Converged Plantwide Ethernet)」를 제안하고 있다. 이 아키텍처는 산업용 이더넷을 이용하여 공장 내의 네트워크를 기존의 계층형에서 수평 접속으로 변혁한다.

    -- IT와 OT를 분류하면서 접속 --
    CPwE의 경우는 공장과 공장 밖을 접속하는 부분에 DMZ를 설치하고, 또한 공장 네트워크의 간선이라고 할 수 있는「공장 코어네트워크」를 구축한다. 한편, 지금까지 시리얼 접속이었던 각 제조 라인의 네트워크는 산업용 이더넷으로 교체한다. 그리고 필요에 따라 방화벽 등을 사이에 두면서, 공장 코어네트워크와 각각의 제조라인을 연결한다. 이를 통해 IT와 OT의 영역을 구분하면서 유연한 접속 환경, 프로토콜의 표준화에 의한 관리 용이성 등을 실현한다.

    CPwE는 어디까지 템플릿이며, 모든 공장에 그대로 적용하는 것이 아니다. 각각의 공장의 요구에 따라 커스터마이즈 방식으로 도입해 나간다. 이처럼 공장의 네트워크화에서는 IT와 OT를 구분하면서도 공장 전체가 연결되도록 해야 한다. 그러나 또 하나 고려해야 하는 포인트가 있다. 그것은 정상적으로 가동하고 있는 기존의 제조라인에 영향을 주지 않는 것이다.

    기존의 제조라인의 경우는 이미 필드제품에 IP주소가 매겨진 경우가 있다. 복수의 라인이 있을 경우, 각각의 라인의 기기는 동일한 IP주소가 할당되어 있는 경우가 많다. 그러나 그것을 접속해 버리면 IP주소의 충돌이 생겨 통신장해가 발생하고 만다.

    그와 같은 경우는「Layer2의 네트워크이지만,『Layer2NAT』과 같은 것을 넣으면, 공장 내의 라인의 IP주소를 크게 바꾸지 않고, 가동 중인 기존 라인을 그대로 유지하면서 네트워크에 편입되어 갈 수 있다」라고 하마다 씨는 설명한다. NAT(Network Address Translation)를 통해 제조라인 내에서 사용하는 전용 주소를 제조라인 밖에서도 통용하는 주소로 변환하면, 동일 IP주소를 갖는 복수의 기기가 동일한 네트워크 안에 존재하는 일은 없어진다.

    --「연결」은 어떤 점이 좋을까? --
    이처럼 공장 전체를 네트워크화하는 목적은 무엇일까? 그것은 Part1에서 살펴 본 MES나 PLC, DCS, 필드기기 등 공장 전체의 데이터를 네트워크를 경유하여 클라우드나 데이터 센터에 집약할 수 있으며, 그곳에서 분석 및 미래예측 등을 가능하게 하는 데 있다.

    지금까지의 공장에도 제조 설비를 제어하기 위한 네트워크는 있었다. 그러나 그 네트워크에서는 MES나 PLC, DCS의 데이터를 클라우드나 데이터 센터에 직접 수집할 수 없다. MES의 데이터는 MES에서, PLC나 DCS의 데이터는 PLC와 DCS에서 각각 사람이 데이터를 엑스포트하고 나서, 작업용 PC엣 집계∙분석하는 수밖에 없었다.

    「수작업으로 집계를 하게 되면, PDCA를 돌리는 사이클은 아무래도 월 단위나 주 단위가 된다. 빠른 판단을 할 수 없다. 제조에 관계된 모든 데이터가 한 곳에 모여야만이, 바로 공정개선, 공정간 개선, 공장간 개선으로 이어질 수 있다」(하마다 씨)

    -- 과혹한 환경에서 견딜 수 있는 하드 --
    시스코가 공장 등의 산업용에 제공하는 스위치는「Cisco IE(Industrial Ethernet)시리즈」다. 산업용 이더넷인 EtherNet/IP, PROFINET, CC-Link IE, Modbus TCP 등, 멀티 프로토콜을 서포트하고 있다. 그리고 오피스와는 달리 공장의 환경은 과혹하다. 그 때문에 Cisco IE시리즈는 내환경성이 있는 구조로 되어 있다.

    일반적인 네트워크 기기는 팬이 달려 있으며 대체로 0~40℃의 범위에서 작동하는 사양이다. 그러나 분진이 날리고 온도가 낮았다가 높았다가 하는 공장에서는 보통의 기기는 사용할 수 없다.

    세세한 스펙은 모델 넘버마다 다르다. 예를 들면 Cisco IE시리즈의 스위치는, 팬이 없는 설계에서 -40℃~75℃에서의 이용에 대응하고 있다. 또한, PLC를 비롯한 제어기기를 제어판 내에 설치할 때에 일반적으로 사용되고 있는「DIN 레일」에도 장착할 수 있는 사양이다. 시스코 외에도 산업용 스위치를 제공하는 대만의 Advantech와 Moxa, 독일의 Hirschmann 등이, 내환경성이 있는 DIN 레일 대응 스위치를 갖추고 있다.

    네트워크 인티그레이터인 Net One Systems는 현재, 공장 IoT네트워크 비즈니스에 주력하고 있다. 자동차나 항공기회사, 그곳에 부품을 납입하고 있는 티어1 공급업체의 IoT화를 지원하고 있다. 그리고 그들 공장도「내환경성은 중요해진다」라고 넷원시스템즈 시장개발본부의 우에노(上野) 부장은 말한다.

    -- IoT화로 품질향상을 지향하는 공장 --
    -- 스위치도 제조설비의 한 부품 --
    -- 공장에도 SDN이 유효 --

    Part 3. 연결되는 공장을 보호하는 방법
    사이버 범죄자는 노리고 있다

    IoT화가 진행되는 가운데, 사이버 공격에 의해 공장이 가동 정지되는 사고가 국내외에서 빈번하게 발생하고 있다. 공장은 지금 어떤 보안 위험에 직면하고 있는 것일까? 그 실태와 대책 포인트를 해설한다.

    공장의 IoT화를 추진하는데 있어서 큰 과제 중 하나가 보안이다. 지금까지 공장 내에 닫혀 있던 네트워크를, 인터넷 등 외부의 네트워크와 연결한다면 사이버 공격 위험은 확실하게 높아진다. 이미 뼈아픈 경험을 한 공장도 적지 않다. 자주 인용되는 사례가 다임러 크라이슬러(현, 다임러)의 미국 공장에서 2005년에 발생한 사고다. 바이러스 감염에 의해 13개의 자동차공장의 조업이 정지되었다. 생산이 50분간 정지되는 등 약 1,400만 달러의 손해를 입었다.

    미국의 국토보안성에서 제어시스템 보안을 담당하는 ICS-CERT에 보고된, 제조업을 포함하는 중요 인프라에 있어서 보안 사고의 발생 건수는 2015년에 295건에 달했다. 2010년과 비교하면 실제로 7배 이상 증가하였다. 게다가 그것은 빙산의 일각에 지나지 않는다. 「보안 사고로 인식하지 않았던, 혹은 보고하지 않고 처리된 사안을 고려하면, 실제 수는 이것의 열 배라고도 한다」라고 Fortinet Japan의 모리야마(森山) 씨는 설명한다.

    일본 국내 공장에서도 피해는 물론 발생하고 있다. 보안업체인 Trend Micro가 실시한 조사에서는, FA/PA계 제어시스템의 관리에 관여하는 사람의 42.2%가, 제어시스템의 바이러스 감염을 경험한 적이 있다고 대답하였다. 또한, 그 중 55.4%는 가동 정지 경험이 있으며, 중에서는 가동 정기 기간이 6일 이상인 경우도 있었다고 한다.

    -- 무너진 에어 갭 신화 --
    -- 공장은 취약투성이 --
    -- WannaCry가 계기 --
    -- 세그먼트 분류로 수평감염 방지 --
    -- 생산설비에 대한 부정 명령 저지 --

      -- 끝 --

    목차