ODVA 는 침입억제력을 향상시키는 새로운 장치기반 방화벽 프로파일을 추가한 EtherNet/IP ( 이더넷아이피 )를 위한 사이버 보안 네트워크확장 판인 CIP시큐리티(CIP Security)를 발표했다. CIP 시큐리티 장치기반 방화벽은 리눅스에서 IP테이블(IP Tables) 프로그램으로 방화벽을 설정하는 방법과 유사한 간단한 트래픽 필터를 사용자에게 제공한다. 이러한 장치기반 방화벽은 새로운 CIP시큐리티 장치기반 방화벽 프로파일(CIP Security Device-Based Firewall Profile)을 통해 활성화되며, 필요에 따라 활성화하거나 비활성화할 수 있는 유연성도 지원된다. CIP 시큐리티는 새롭게 추가된 장치기반 방화벽을 통해 훨씬 더 강력한 장치레벨의 보호기능을 제공함으로써, 악의적인 행위자가 EtherNet/IP 산업용 네트워크에 침투하는 것을 방지한다.

CIP 시큐리티 장치기반 방화벽은 IP 주소와 포트 및 프로토콜을 기반으로 트래픽을 필터링 하는 메커니즘이다. 장치기반 방화벽은 “인그레스 이그레스 객체(Ingress Egress Object)라고” 하는 새로운 CIP객체를 통해 구현되며, 알려진 IP 주소목록과 사용 가능한 암호목록(Cipher Suite)에 대한 구성, IP주소 및 포트 번호에 기반한 라우팅 규칙정의 등이 가능하다. 따라서 CIP시큐리티가 적용된 EtherNet/IPTM 장치는 안전하게 통신할 수 있는 노드와 TLS 또는 DTLS 암호화가 필요한 지 여부를 결정할 수 있다. 또한 사용자는 구성된 CIP 시큐리티 장치를 통해 다른 장치에 대한 CIP 통신 라우팅 여부도 결정할 수 있다. 새로운 장치기반 방화벽은 추가적으로 새로운 억제계층을 추가함으로써, 물리적 및 디지털 자산을 위험으로부터 보호할 수 있는 심층방어 접근방식을 지원한다.

EtherNet/IPTM 시스템 아키텍처SIG(Special Interest Group) 부회장인 잭 비소키(Jack Visoky)는 “CIP 시큐리티는 심각한 시스템 손상이나 정보유출로 이어질 수 있는 EtherNet/IP 장치의 오용을 방지하기 위해 새로운 장치기반 방화벽과 같은 보안기능을 계속 추가하고 있다.”고 말했다.

ODVA의 사장 겸 총괄 이사인 알 베이도운(Al Beydoun)박사는 “무단 IP 주소 및 포트번호로 CIP 시큐리티 지원 EtherNet/IP 장치에 대한 액세스를 방지함으로써, 중요한 산업자동화 애플리케이션에 또 다른 보호계층을 추가하여 심층방어 접근방식을 강화할 수 있다.”며, “ CIP 시큐리티를 위한 장치기반 방화벽 프로파일 추가는 재정적 및 기업평판에 대한 손실로 이어질 수 있는 악의적인 사이버 침입에 대응할 수 있는 또 다른 중요한 업데이트이다.”라고 밝혔다.

새로운 CIP시큐리티 장치기반 방화벽 프로파일은 알려진 IP주소만 표준 EtherNet/IP를 통해 통신할 수 있도록 해준다. 또한 신뢰할 수 있는 IP주소와 포트 및 암호화 세트를 기반으로 CIP 라우팅 허용 여부를 구성할 수 있다. 이러한 장치기반 방화벽을 구현하면, IP주소나 또는 포트가 일치하지 않는 데이터 패킷은 삭제되기 때문에 악의적인 작업을 완료할 수 없게 된다. ODVA는 심층방어 접근방식의 일환으로 EtherNet/IP 사용자가 CIP시큐리티를 통해 강력한 장치보안 옵션을 사용할 수 있도록 하는 지속적인 업데이트에 주력하고 있다. CIP 시큐리티를 포함한 최신버전의 EtherNet/IPTM 사양에 대한 자세한 정보는 odva.org에서 확인할 수 있다.