[첨단 헬로티]

산업용 IoT(IIoT) 및 스마트 팩토리의 추세가 오늘날 OEM 사업 모델에 근본적인 변화를 가져오고 있다. 예방적 유지보수, 전반적인 장비효용성(OEE) 향상 및 장비 중단 시간제로는 산업용 장치에서 공통적으로 추구하는 목표이며, 기계 장비 회사는 고객들을 위해 이러한 목표를 실현하기 위한 가능한 모든 수단을 동원하고 있다. 그러기 위해서는 효과적인 방법으로 장치를 파악하고, 현장에 설치된 장치를 원격으로 연결 및 관리할 수 있어야 한다.

이 백서에서는 산업용 장치로 보안 원격 액세스 솔루션을 구현할 때 고려해야 하는 5가지, 그리고 이러한 용도로 기존 VPN 및 원격 데스크톱 솔루션보다 클라우드 기반 원격 액세스 솔루션이 더 적합한 이유를 설명하고자 한다.

IIoT가 가져오는 새로운 OEM 사업 모델의 변화

IIoT는 현장에 설치된 장치 및 디바이스로부터 실시간 데이터를 수집해 기업이 제조 프로세스를 효율적으로 모니터링하고 제어할 수 있도록 함으로써, 제조 분야의 근본적인 변화를 가져왔다. OEE와 제로 중단 시간은 더 이상 단순한 선전 문구가 아니라 사업 성공에 꼭 필요한 요소이다. 생산성을 높이고 가동비용을 낮추기 위해 기업들은 자사의 프로세스와 시스템을 더 잘 파악할 수 있는 새로운 기술과 툴들을 도입하고 있다.

이러한 추세에 발맞추어 기계 장비 회사들은 자신의 고객들이 기계 장치와 장비로 제로 중단 시간과 높은 OEE를 달성하는 툴과 서비스를 제공해야 한다. 원격 액세스 기술은 이러한 목표를 달성할 수 있는 핵심 기술이다.

숙련된 엔지니어들을 대상으로 수집된 데이터를 보면, 기계 장치를 가동할 때 발생되는 문제의 약 60%~70%는 단순히 소프트웨어 업그레이드나 일부 파라미터 변경만으로 해결할 수 있기 때문에, 이런 문제들은 원격으로 해결될 수 있다. 그러므로 원격 액세스 솔루션을 도입함으로써 문제해결을 위해 현장에 인력을 파견할 때 소모되는 시간과 비용을 절약할 수 있다.

원격 액세스 기술을 사용함으로써 기계 장비 회사는 현장에 설치된 기계로부터 실시간 데이터를 수집한다. 이 데이터를 바탕으로 실제 문제가 발생되기 전에 이상 징후를 사전에 감지할 수 있다. 그리고 기계 유지보수를 미리 조치할 수 있으므로 기계 장치의 가용성뿐만 아니라, 생산 품질과 속도를 높일 수 있다. 이러한 예방적 유지보수 서비스를 함으로써 플랜트 기계 장비의 전반적인 효용성은 크게 높아진다.

기존 기계 장비 회사들은 서비스 수준을 높이고 고객의 응대 시간을 빠르게 하기 위해 가상 사설망(VPN)과 원격 데스크톱 연결(RDC) 같은 원격 액세스 기법들을 사용해 왔다. 하지만 이러한 기존의 원격 액세스 솔루션은 여러 가지 한계점과 제약이 있어 기계 장비 회사들이 최상의 서비스를 제공하지 못하게 한다.

VPN 및 RDC 솔루션을 사용할 때 한계점

가상 사설망(VPN)과 원격 데스크톱 연결(RDC)은 현장에 설치된 기계 장비를 원격으로 액세스할 때 주로 사용되고 있는 두 가지 방법이다. RDC는 가상 네트워크 컴퓨팅(VNC)을 사용한다.

그림 1. 기존의 원격 관리 툴-VPN과 RDC

VPN과 RDC 솔루션을 사용해 원격 장치에 보안 연결할 수 있다. 그런데 이 솔루션은 특정한 산업용 기계의 필요에 따라 적응할 수 있는 유연성과 지능이 떨어진다. VPN과 RDC 솔루션을 사용할 때는 다음의 5가지 한계점들을 고려해야 한다.

1. 설치에 시간이 소요되고 전문적인 IT 지식을 필요로 한다. 원격 장치와 커넥티비티를 적절히 구축하고, 필요한 인증 키 및 데이터를 교환하기 위해서는 IP 어드레스, 도메인 이름, ID, 인증 모드, 적합한 암호화 알고리즘, 효율적인 해쉬 기능과 같은 다수의 파라미터를 적절히 구성해야 한다. 그러기 위해서는 많은 시간과 노력 그리고 많은 자동화 엔지니어들이 잘 알지 못하는 전문적인 IT 지식이 필요하다.

2. 장비를 원격으로 액세스하려면 기업 보안 정책을 변경해야 한다. VPN 애플리케이션은 VPN 서버에 정적 공용 IP 어드레스를 필요로 하고, 특정 네트워크 포트를 인바운드 및 아웃바운드 트래픽을 허용하도록 구성해야 한다. 인바운드 방화벽 규칙에 따르면, 사용자가 NAT 규칙을 생성하고 포트 포워딩을 사용해 인바운드 VPN 연결을 허용해야 한다. 아웃바운드 방화벽을 위해서는 UDP 포트 500이나 UDP 포트 4500 혹은 여타 지정된 포트를 아웃바운드 VPN 연결이 가능하도록 구성해야 한다. 대부분의 IT 부서는 변경사항으로 하여금 네트워크 취약성이 초래되고 네트워크 보안을 떨어트릴 수 있기 때문에 자사의 네트워크를 이렇게 변경하는 것을 달가워하지 않는다. 그러므로 보안이 되고 유연한 방화벽 규칙을 생성하는 것이 대부분 IT 부서, 특히 산업용 네트워크를 관리하는 부서의 경우 중요한 과제이다.

3. 원격 연결을 하면서 보안을 달성하기가 복잡하고 높은 비용이 소요된다. 기계 장비 회사와 현장에 설치된 기계 사이의 VPN 연결은 사이트-대-사이트 연결이며, 일반적으로 플랜트 네트워크로 연결된 모든 로컬 장치들을 원격으로 액세스한다. 그러므로 공장 관리자는 기계 장비 회사의 네트워크 액세스를 특정 기계 장치들로만 제한할 수 있다.

예를 들어, 플랜트 장비에 대한 액세스를 정해진 애플리케이션들에만 제한해 제조 정보에 대한 허가되지 않은 액세스를 차단하고 플랜트 장비를 무단으로 조작하지 못하도록 할 수 있다. 이러한 위험성을 완화할 수 있는 유일한 방법은 IT 부서가 VPN 기술을 사용해 일일이 단-대-단 연결을 생성하는 것이다. 그런데 위에서도 언급했듯이, 이렇게 하기 위해서는 일이 복잡해지고 비용이 많이 들기 때문에 설치 및 유지보수 비용이 크게 증가한다.

RDC 연결도 마찬가지로, 플랜트 네트워크상의 컴퓨팅 장비를 공용 네트워크에 노출시키면 보안 위험성이 높아지기 때문에 문제가 된다. 컴퓨터는 주기적인 보안 패치 업데이트가 필요한데, 이때 공장 내의 와이파이 네트워크와 같은 공용 네트워크로 연결된다. 공장 컴퓨터가 공용 네트워크로 연결될 때 RDC 제어가 가능하도록 열려 있으면 취약성이 발생될 수 있다. 이 틈에 네트워크 공격이 발생되고 랜섬웨어와 같은 바이러스에 감염될 수 있다. 이와 같은 보안 문제를 완화하기 위해서는 인력 또는 유지보수 비용에 추가적인 자원이 필요하다.

4. VPN 보안은 관리하기가 어렵다. 높은 수준의 보안을 달성하기 위한 한 가지 방법은 각각의 VPN 터널에 대해 사전에 지정된 각기 다른 공용 키나 X.509 인증서를 사용하는 것이다. 필요한 VPN 터널/연결 수가 적으면 키와 인증을 관리하는 것이 별로 어렵지 않다. 하지만 VPN 터널 수가 늘어나면 이러한 키와 인증서를 관리하기가 매우 어려워지며, VPN 서버나 클라이언트 시스템을 변경하게 되면 인증서를 다시 생성해야 한다. 또한, 인증서가 만료되면 시스템에 새로운 인증서를 로드해야 하므로 유지보수가 더더욱 복잡해진다.

5. VPN과 RDC의 확장성과 유연성을 위해서는 비용이 증가한다. VPN 서버는 일반적으로 지원할 수 있는 VPN 터널 수가 제한적이다. 사업이 확장됨에 따라 네트워크에 더 많은 장치와 디바이스가 연결되면서 지원되는 엔지니어 수도 늘어날 것이다. 그러면 필요한 VPN 연결도 증가하게 된다. 이 숫자가 VPN 서버의 용량을 초과하면 새로운 VPN 서버를 설치하고 똑같은 구성 작업을 하기 위해서는 또 많은 시간이 걸릴 것이다.

VPN 서버는 대개 기계 장비 회사의 서비스센터에 설치되어 있다. 원격 사이트에 설치된 많은 수의 VPN 클라이언트들이 중앙 서비스센터의 VPN 서버로 연결된다. 일반적으로 지원 엔지니어들은 서비스센터 외부에서 이 서버로 액세스하지 못한다. OpenVPN이나 L2TP over IPsec 같은 서버를 사용해 서비스센터 외부에서 VPN 서버로 액세스하려면 원격 사이트에 VPN 서버를 설치하고, 각각의 VPN 서버에는 공용 IP 어드레스를 사용해야 한다. 그러므로 설치 및 유지보수 비용이 많이 들게 된다. 또한, 원격 연결을 위해 클라이언트 측뿐만 아니라 서버 측에서는 또 다른 네트워크 서브넷을 필요로 한다. 따라서 엔지니어들이 각기 다른 장소의 원격 장비를 동시에 진단하고자 하면 IP 어드레스 충돌이나 여타 문제들을 피하기 위해 원격 IP 사이트의 IP 서브넷 구성을 알아야 한다.

마찬가지로 PLC/컨트롤러로 원격 데스크톱을 연결하는 것도 간단하거나 쉽지 않다. 최소한 전용 PC가 있어야 하며 관련된 소프트웨어 툴이 설치되어 있어야 한다. 사업이 확장되면 전용 PC의 수와 소프트웨어 툴 라이선스 수가 증가하게 되고 IT 비용이 급격히 증가할 것이다. 또한, PC와 여기에 설치된 소프트웨어 툴을 관리하는 데 들어가는 노력을 생각해야 한다. 기계 장비 회사들은 쉽게 문제를 해결하기 위해 클라이언트 및 호스트 시스템에 동일한 소프트웨어 툴 버전 설치하는 것을 선호한다. 그러려면 유지보수를 담당하는 IT 엔지니어들이 서버와 클라이언트 측에서 소프트웨어 툴에 대한 모든 업데이트에 신경을 써야 한다.

VPN 및 RDC 기반 원격 액세스 솔루션에는 이러한 한계점과 제약이 따르므로 기계 장비 회사들은 기계 장비를 원격으로 관리하기 위해 사용하기 편리하고, 보안적이며, 유연성 뛰어나고, 확장이 용이한 솔루션을 찾는다.

클라우드 기반 보안 원격 액세스

클라우드 기반 원격 액세스는 현장에 설치된 장치를 유연하게 원격으로 액세스하는 새로운 차원의 원격 액세스 솔루션이다. 클라우드 기반 원격 액세스 솔루션의 네트워크 토폴로지는 원격 게이트웨이, 클라우드 서버, 클라이언트 소프트웨어, 이 3가지 요소로 구성되어 있다. 원격 게이트웨이는 현장 장비에 연결되어 원격으로 액세스 및 제어를 가능하게 한다. 클라이언트 소프트웨어는 엔지니어의 PC나 데스크톱에 설치되어 있다. 그리고 클라우드 서버는 아마존 웹 서비스(Amazon Web Services)나 마이크로소프트 애저(Microsoft Azure)와 같은 클라우드 기반 플랫폼에 설치된다.

그림 2. 클라우드 기반 보안 원격 액세스

원격 게이트웨이와 클라이언트 소프트웨어는 모두 클라우드 서버로 아웃바운드 보안 연결 요청을 개시한다. 클라우드 서버는 이 두 연결 요청을 맵핑하고, 양측이 성공적으로 인증되면 연결을 구축한다.

클라우드 기반 보안 원격 액세스 솔루션의 네트워크 토폴로지는 원격 액세스 터널의 형태로 아웃바운드 연결을 생성해, 기존 VPN과 원격 데스크톱 제어 기술의 한계점들을 효과적으로 극복할 수 있다. 또한, 클라우드 기반 원격 액세스는 기계 장비 회사들에 다음과 같은 이점들을 제공한다.

1. 사용 편의성
(1) 전문적인 구성이 필요하지 않은 ‘플러그-앤-플레이’로 원격 액세스
클라우드 기반 원격 액세스 솔루션을 사용하면 해쉬 기능, 암호화/암호해독 알고리즘과 같은 보안 파라미터가 자동으로 구성된다. 그러므로 기계 장비 회사는 이러한 파라미터를 구성할 필요가 없다. 버튼을 클릭하는 것만으로 원격 연결을 구축할 수 있게 된다.

(2) 가상 IP 어드레스를 사용해 현장에서의 IP 재구성이 필요 없이 편리하게 다중 원격 액세스 가능
기계 장비 회사에서 처음에 설정한 IP 어드레스에 상관없이, 클라우드 기반 솔루션은 장치들에 고유한 가상 IP 어드레스를 할당한다. 이 가상 IP 어드레스를 사용해 다중의 동시적인 원격 연결을 구축할 수 있다. 또한, IP 어드레스 충돌 문제를 염려하지 않고도 각기 다른 현장에서 동일한 IP 체계를 사용할 수 있어 설치비용을 크게 절감할 수 있다.

(3) 중앙에서 모니터링 및 관리할 수 있는 원격 액세스 연결
클라우드 기반 원격 액세스 솔루션에서 클라우드 서버는 원격 연결을 구축하고 관리하기 위한 구심점이다. 관리자는 클라우드 서버에 연결돼 각 연결의 트래픽 상태 및 볼륨을 모니터링한다. 또한, 잦은 재구성 없이도 클라이언트 계정, 원격 게이트웨이, 인증서를 편리하게 관리할 수 있다. 이러한 모든 관리 작업은 클라우드 기반 서버 포털을 통해 쉽게 가능해진다.

· 클라이언트 계정 관리 : 관리자가 클라이언트 액세스를 생성, 삭제 또는 재지정할 수 있다.
· 게이트웨이 관리 : 관리자가 중앙의 클라우드 기반 포털을 통해 원격 게이트웨이 및 연결 장비를 추가하거나 삭제할 수 있다.
· 인증서 관리 : 클라우드 서버가 중앙의 인증서 관리자 역할을 하고 각각의 원격 액세스 연결에 대해 자동으로 X.509 인증서를 지정한다. 인증서가 확인될 때까지 클라우드 서버가 일시적으로 연결을 중단할 수 있다.

2. 보안 향상
(1) 단-대-단 암호화를 사용한 데이터 누출 방지
클라우드 기반 원격 액세스 솔루션은 원격 장비와 엔지니어 PC 사이에 단-대-단 암호화가 가능하다. 클라우드 서버는 트래픽을 전달할 뿐이며 전달되는 데이터를 암호화를 해독하거나 저장하지는 않는다.

(2) 주문형 원격 액세스 제어
기계 장비 회사는 원격 액세스 솔루션을 사용해 문제 해결, 모니터링, 유지보수 및 진단을 한다. 기계 장비에 대한 원격 액세스는 계속해서 필요한 것이 아니므로, 필요할 때만 사용해 보안 문제를 최소화하고 비용을 절감시킨다. 특히, 셀룰러 기술을 사용하는 경우처럼 사용량에 따라 요금이 매겨지는 경우에는 더 그렇다. 또한, 장치를 가동하는 회사는 기계 장비 회사가 자사의 네트워크로 연결된 모든 애플리케이션을 원격으로 액세스할 수 있도록 하지 않고, 원격 액세스의 범위가 필요한 애플리케이션들로만 제한하는 수단을 필요로 한다. 이렇게 함으로써 플랜트 가동을 방해할 수 있는 위험성 차단된다.

클라우드 기반 원격 액세스는 장치를 가동하는 회사가 원격 연결을 개시하거나 허용할 수도 있다. 장치를 가동하는 회사는 HTTPS나 텔넷(Telnet) 같은 서비스 또는 애플리케이션을 기계 장비 회사가 원격으로 사용할 수 있게 허가할 것인지에 관한 규칙들을 설정한다. 또한, 사용 권한을 특정한 서비스 엔지니어들로만 제한하는 등, 누구한테 이러한 사용 권한을 줄 것인지를 제어할 수 있다.

(3) 변경할 필요가 없는 IT 보안 정책
클라우드 기반 원격 액세스 솔루션은 원격 장비를 액세스 하기 위해 아웃바운드 서비스 포트 443(대개 SSL을 사용하는 보안 웹사이트 액세스용으로 지정)으로 아웃바운드 연결을 구축한다. 그러므로 플랜트 네트워크를 관리하는 IT 부서에 어떤 문제도 일으키지 않는다. 클라우드 기반 원격 액세스 솔루션은 기계를 가동하는 회사의 IT 보안 정책과 부합되게 동작될 수 있다.

3. 유연성과 확장성
(1) 특정한 하드웨어 플랫폼에 국한되지 않는 클라이언트 소프트웨어
유효한 클라이언트 계정이기만 하다면 사용자는 어느 랩탑/PC로든 클라이언트 소프트웨어를 다운로드하고 언제 어디서나 원격 액세스를 할 수 있다.

(2) 장치에 바로 연결된 것처럼 원격 액세스 가능
클라우드 기반 원격 액세스 솔루션은 투명한 터널을 생성하고 클라이언트와 원격 장비를 마치 동일한 네트워크상에 있는 것처럼 연결한다. 그러므로 액세스하려는 원격 장비(예를 들어, 지멘스 PLC 또는 로크웰 컨트롤러)에 상관없이, 그리고 데이터 수집이나 프로그래밍에 사용되는 프로토콜(예를 들어, L2 브로드캐스트 패킷 또는 L3 IP 패킷)에 상관없이, 기계 장비 회사는 자사의 소프트웨어 툴을 사용해 원격 장비 바로 옆에 앉아 있는 것처럼 원격으로 데이터를 수집하고 원격 장비를 프로그래밍할 수 있다.

(3) 손쉬운 네트워크 확장
네트워크 관리자는 원격 네트워크를 확장하고자 할 때, 손쉽게 장비를 추가 및 삭제하고 클라이언트 계정과 인증서를 관리한다.

맺음말

OEM및 기계 장비 회사들은 현장에 설치된 장치를 원격으로 액세스하기 위해 보안되고, 편리하며, 확장성 이 뛰어난 원격 액세스 솔루션을 필요로 한다. 기존의 VPN과 RDC를 사용하는 솔루션은 전문적인 IT/네트워킹 지식을 필요로 하고 보안/방화벽 정책을 변경해야 한다.

클라우드 기반 관리 인프라를 사용한 원격 액세스 솔루션은 보안적이면서 OEM이 필요로 하는 사용 편리성, 유연성, 확장성을 제공한다. Moxa의 Moxa Remote Connect(MRC) 솔루션은 OEM 및 기계 장비 회사들이 효율을 향상시키고 운영비용을 절감할 수 있도록 설계됐다. 이 솔루션에 관한 보다 자세한 내용은 Moxa Remote Connect에서 확인할 수 있다.

블랜치 후앙, Moxa 제품 관리자