머신 데이터 세트에 무선 액세스

오늘날은 외부 서비스업체가 태블릿 PC나 스마트폰을 통해 머신 네트워크에 접근하고 데이터를 조회하거나 설정을 변경할 수 있다. 설비 운영자가 보안을 등한시하면 잠재적인 피해를 예방할 수 없다. 이와 관련하여 피닉스컨택트는 간단하게 사용할 수 있는 솔루션 Access Point WLAN 1100을 제공하고 있다.

공학 박사 위르겐 베체렉(Jürgen Weczerek): Phoenix Contact Electronics GmbH 제품마케팅 네트워크 기술 매니저

과거에는 머신 네트워크를 악성 소프트웨어와 악의적인 행위로부터 보호하는 것이 비교적 간단했다. 머신네트워크를 로컬 네트워크로 운영하고, 제한된 그룹(대부분 서비스 기술자)만 현장이나 원격으로 액세스할 수 있었다. 지금은 많은 사람들이 네트워크로 연결된 기계에 접근할 수 있어, 새로운 액세스 컨셉트가 필요하다. 이에 스마트 디바이스(태블릿 PC 등)와의 통신을 위해 데이터 네트워크에 접근하는 무선 LAN 액세스를 통해풀어야 할 과제와 그 해결책을 보여주고자 한다. 과거의 네트워크는 로컬 네트워크로 작동하고 현장의 컨트롤 캐비닛에서 개방형 이더넷 포트를 통해서만 접근할 수 있었고, 컨트롤 캐비닛을 잠그는 간단한 보호장치로 시스템을 보호하였다. 그러나 네트워킹이 증가하고 인터페이스들이 통합되면서 네트워크는 원격액세스를 개방할 수밖에 없게 되었다. 사용자는 내부 액세스 뿐만 아니라 외부에서도 머신 네트워크로 접근할 수 있게 되었다. 이러한 변화로 보안 시스템이 없거나 머신 네트워크가 보호되지 않은 상태로, 네트워크에 연결되게 되면, 운영자는 예기치 못한 위험에 노출 된다. 따라서 데이터 네트워크에는 반드시 보안장치가 필요하다.

개인의 비밀번호는 지속적으로 업데이트해야 한다

그림 2: 많은 제조사들은 태블릿과 같은 스마트 장치를 통해 머신에 접근할 수 있도록 제공한다.

대부분의 네트워크 장치는 사용자가 공통장치에 암호로 인증하여 보호한다. 이러한 암호는 악성 바이러스나 외부 침입으로부터 시스템을 보호하지만 운영자는 비밀번호를 생성하고 기억하는 번거로운 일이 생기게 된다. 일반적으로 사용자들은 비밀번호가 기계적으로 보호된다고 생각하는 경우가 많아 문제의식이 결여되어 있다. 하지만 문제는 네트워크 장치가 대부분 제조사에서 정한 최초의 비밀번호나 머신 제작사가 정한 디폴트 비밀번호로 보호되고 있다는 것이다. 이런 내용은 WLAN 액세스포인트를 통해 머신 데이터 네트워크로 접근을 보호하는 무선 LAN 비밀번호(WPA-PSK)에도 적용되고 있다. 따라서 비밀번호를 알거나 비밀번호 저장위치를 알고 있는 사람은 전체 데이터네트워크에 자유롭게 접근할 수 있다.

무선 LAN 비밀번호는 무선 LAN 네트워크에서 데이터 트래픽을 안전하게 암호화하기에 충분하다. 그러나 홈 네트워크에 하나의 비밀번호를 적용한다면, 많은 사용자가 있는 머신 네트워크에서 무단접근을 막을 수 없다. 비밀번호를 계속해서 공유하면 모두가 비밀번호를 알게 될 것이다. 한 명의 사용자에게 (예를 들어 태블릿 PC로) 네트워크로 임시 액세스를 허용했다면, 바로 비밀번호를 교체해야 한다. 이는 사용자뿐만 아니라 태블릿 PC도 액세스 비밀번호를 기억하기 때문이다. 스마트 디바이스는 액세스를 더 이상 원하지 않는 경우에도 비밀번호를 기억할 뿐만 아니라 도달 거리 안의 네트워크가 있으면 자동으로 연결된다. (그림 2).

액세스포인트의 일부 기능을 런타임으로 제어할 수 있다

그림 3: PLC를 통해 자동화된 가상 WLAN 네트워크가 활성화되고 있으며, 이 네트워크는 일회용 비밀번호로 보호되고 QR 코드를 통해 편리하게 제공되고 있다.

IT 네트워크에서는 관리자가 중앙에서 개별적 비밀번호를 지정하고, 서버를 통해(예를 들면 Radius 서버) 네트워크에 연결되어 있는 장치에 보관한다. 또한 사용자의 액세스 권한이 바뀌면 이를 중앙 서버에서 조정할 수 있다. IT 데이터 네트워크는 무선 LAN을 위한 비밀번호 대신 보안WPA 엔터프라이즈를 사용한다. 이 방법에서는 WLAN 액세스 포인트가 클라이언트(예를 들면 태블릿 PC)의 연결 요청을 프로토콜 IEEE 802.1x를 통해 다운스트림 Radius 서버와 협상한다. 머신 네트워크는 네트워크 관리자가 관리하지 않는다. 한 번 설정된 사용자 권한과 비밀번호는 머신의 서비스 기간동안 변경되지 않고 유지된다. 이러한 이유로 Radius 서버를 머신에 통합하는 것과 같이 IT 서비스를 구현하는 것 역시 해법이 되지 못한다. 관리자가 관리하지 않기 때문이다(그림 3).

그림 4: WLAN 1100이라는 디바이스는 안테나와 무선 모듈이 통합된 토탈 솔루션으로, 이를 이용하여 머신에 빠르고 안정적인 WLAN 네트워크를 설치할 수 있다.

위에서 설명한 사항은 데이트 네트워크를 자동화하고 머신 컨트롤 시스템으로 관리하여 피해갈 수 있다. 이러한 접근법은 비용 효과적이고 실용적이며, 머신 제작자에게 완전한 제어와 유연성을 제공한다. 그러나 중요한 전제조건은 네트워크 장치가 WLAN 액세스 포인트와 런타임으로 머신 컨트롤 시스템을 제어할 수 있는 인터페이스를 포함하는 것이다. 피닉스컨택트 Web-API 인터페이스를 머신 제조사를 위해 자사의 데이터 네트워크 컴포넌트에 통합한 이유이다. 네트워크 장치의 개별 기능을 HTTP-GET 메시지 전송을 통해 런타임으로 제어할 수 있다. 또한 머신 컨트롤을 통해 전체 모듈을 간단하게 구성할 수 있다. 이때 사용되는 명령어는 CLI(표준 명령 인터페이스)의 명령어와 일치한다. 2017 하노버 박람회에서 소개된, FL Switch 2000의 스위치와 WLAN 1100 시리즈의 WLAN 액세스 포인트는 해당 인터페이스를 갖추고 있다(그림 4).

구성 가능한 IP 필터가 네트워크 장치로의 접근을 제한한다

태블릿 PC를 통해 머신 네트워크와 연결하고자 하는 사용자는 자신의 액세스 요청을 터미널을 통해 등록한다. 이후 컨트롤 시스템이 임의의 일회용 비밀번호를 생성하고, 컨트롤러는 가상의 액세스 포인트를 WLAN 1100에서 HTTP-GET 메시지를 통해 구성하고 활성화한다. WLAN 네트워크에 대한 일회용 비밀번호는 터미널을 통해 사용자에게 전달된다. 태블릿 PC의 카메라를 이용하여 자동으로 WLAN 연결을 설정할 수 있는 QR코드로 내보내는 것은 더욱 편리한 방법이다. 더 이상 연결이 필요하지 않으면, 컨트롤러가 가상의 액세스 포인트를 비활성화하여, WLAN 비밀번호와 태블릿 PC에 저장된 비밀번호는 보안의 위해요소가 되지 않는다. 다음 연결에는 새로운 일회용 비밀번호가 부여되기 때문이다.

그림 5: 싱글 홀 마운팅으로 인해 WLAN 1100은 빠르고 간단하게 기계나 AGV, 컨트롤 캐비닛에 연결할 수 있다.

WLAN 1100은 안전하지만 머신 네트워크에 더욱 안전하게 접근할 수 있는 방법을 제공한다. 개별적인 WLAN 보안 설정을 갖춘 최대 2개의 가상 액세스 포인트를 동시에 구성할 수 있다. 운영자는 고유한 WLAN 비밀번호 외에 각 액세스에 연결 수를 제한할 수 있고 데이트 네트워크에 설치된 장치로의 액세스를 IP 필터를 통해 제한할 수 있다. 서비스 기술자를 위한 네트워크 접근을 제공하면서 조작자에게는 시각화 서버만을 볼 수 있는 권한으로 제한할 수 있다. 또한 포트 기반 DHCP 서버가 각 가상 WLAN 액세스를 위해 개별적이고 독립적인 IP 주소를 WALN 클라이언트에 할당할 수 있다 (그림 5).

머신의 네트워킹이 늘어나면서 네트워크에 접근하는 사용자 수도 늘어나고 있다. 이에 사용자 권한부여와 암호관리를 통한 보안이 필요하다. IT 네트워크와 달리 머신제어는 네트워크 내에 비밀번호와 사용권한을 자동으로 부여할 수 있다. 네트워크 컴포넌트는 런타임시 머신 컨트롤에서 간단한 인터페이스를 통해 제어할 수 있어야 한다.