좋은 자료가 있어서...이거 계속 퍼오기만 하네요...
난 언제나 이런 좋은 자료를 써볼수 있으려나....


IT839 3대 인프라 정보보호

정창성, 권원길│KT 정보보호본부

1. IT839 전략의 정보보호 개요

정부는 국민소득 2만 달러 시대를 이끌 IT839 전략을 추진하고 있는데, 이는 BcN(Broadband Convergence Network), IPv6, USN(Ubiquitous Sensor Network)의 3대 인프라를 기반으로 휴대인터넷, 홈네트워크, 텔레매틱스, 인터넷 전화 등과 같은 8대 신규 서비스를 제공하고, 이를 기반으로 9대 신성장동력 산업을 활성화하고자 하는 것으로 통신 서비스 품질과 H/W, S/W 제품의 경쟁력을 동반 강화하여 IT산업의 순환 발전구조를 지속적으로 유지하려는 정책이다.

이러한 IT839전략의 각 요소들은 정보보호 측면에서 바라볼 때 여러가지 우려되는 위협 요소를 가지고 있다. 이러한 위협 요소는 각 분야별로 존재하는데, 먼저, 인프라 측면의 위협을 보면, 새로 구축되는 인프라는 사이버 공격 범위가 확대되고 공격 형태가 다양화되면서 기존의 위협보다 더욱 확산될 수 있는 구조가 되기 때문에 새로운 인프라가 구축되면 사이버 공격으로 인한 기존의 개별망의 피해가 유ㆍ무선 통합망으로 확산되고 나아가 방송망, USN까지 확산 가능할 수 있다는 점이다. 이에 반해 현재의 정보보호 장비와 기술 수준은 새로운 인프라인 BcN망에 적용하기 어렵고 IPv6를 통한 보안대책도 애플리케이션 계층의 취약점을 해결하지 못한 상태이며, USN의 경우 공격의 파급효과가 일상생활까지 확산되고 다량의 정보유출 가능성이 증대할 수 있다는 문제가 있다.

둘째로, 서비스 측면에서 정보보호 위협을 살펴보면, 홈네트워크, 텔레매틱스, 휴대인터넷, 인터넷 전화 등 서비스의 보안 취약성 내재 및 보안관리의 어려움에 따라 서비스 장애 시 대규모의 사회적, 개인적 손실 초래가 가능하다는 것이다. 마지막으로, 디바이스 측면에서는 전자거래의 주체가 사람에게서 모든 사물까지 확대되는 유비쿼터스 환경에 적합한 인증체계 취약으로 인한 피해가 가능하며, 9대 신성장 IT디바이스의 기기 신뢰성 저하, 서비스 장애 등 위협을 초래할 수 있다. 예를 들어, 홈네트워크 정보기기의 불법공격에 의한 보안취약성, 초소형 디바이스의 보안기능 미흡, 디지털콘텐츠의 불법복제 증가 등 보안위협이 증가할 수 있다.

 이처럼 3대 인프라, 8대 신규 IT 서비스, 9대 신성장동력 분야별로 내재된 정보보호 위협 요소는 미래의 지능기반사회(Ubiquitous) 전체에 대한 위협으로 작용 가능하며, 따라서, IT839전략 추진 단계 별로 정보보호 위협 요인들을 고려하여 계획 초기 단계부터 정보보호 전략의 병행 추진이 필요하다. 구체적으로 IT839전략의 각 요소들로부터 각각에서의 보안취약점을 도출하고 이러한 보안취약점을 이용한 공격을 예측하여 사전에 방지하고 신속하게 대응할 수 있는 보안 기술개발이 필요하다.

2. 3대 인프라 정보보호

IT839 전략 전체의 정보보호에 대해서는 2005년 7월에 주간기술동향에서 ‘IT839전략의 정보보호추진 방안’라는 제목으로 다루었으므로, 여기서는 IT839 전략의 기반이 되는 3대 인프라의 정보보호에 대해 집중적으로 살펴보도록 하겠다.

먼저, IT839의 기반인 3대 인프라에 대해 살펴보도록 하자. 3대 인프라는 광대역 통합망(BcN), 차세대 인터넷 프로토콜(IPv6), USN을 말하며, 이를 구축하는 목적은 BcN을 IPv6 체계를 기반으로, 단계적으로 통신망, 방송망 및 인터넷망과 향후, USN이 ALL-IP망으로 통합하는 것이다.

또 다른 인프라인 USN은 필요한 모든 것(곳)에 전자태크 혹은 센서를 부착하여 주변의 환경 및 상황정보를 감지하여 수집하고, 이를 실시간으로 네트워크에 연결, 관리하기 위한 것이다. USN은 수많은 센서 노드 및 이동 단말들이 P2P로 연결되어 정보를 송수신하며 BcN망과 연동된다.

3대 인프라의 정보보호 위협 요인에는 크게 다음과 같은 것들이 있다.

- BcN은 기존 통신망과 프로토콜, 서비스가 상이하여 현재까지 개발된 정보보호 기술로는 대응 곤란함
- 개별망의 위협이 타망으로 쉽게 확산 우려
- IPv6 신규 기능의 취약점을 이용한 새로운 공격 발생 가능
- USN에서는 송수신되는 정보의 유출로 인해 위험이 일상생활까지 확대 가능

개별 인프라별 정보보호 위협 요인을 세부적으로 알아보자.

첫째, BcN 분야 위협 요인으로는

- 네트워크 보안이 소규모 망 차원의 단순 모니터링, 분석, 대응에서 향후 네트워크 전체에 대한 통합된 보안관리 형태로 확장이 필요하나, 현재는 미흡함
- BcN 백본 인프라의 처리 능력이 최고 수십 Gbps 수준인 반면, 현재의 정보보호 장비의 처리능력은 수 Gbps에 불과하여 BcN에 적용 가능한 고성능 보안장비 개발 필요
- 업체별, 기종별 정보보호 장비간 상호연동을 위한 표준규격 필요함
- 서비스 접속 시 속도지연이나 데이터 손실없이 안전하게 전달하기 위한 전달망 보안 기술개발 필요
- 다양한 사이버 공격에 대해 품질저하 없이 서비스를 제공하기 위한 기술개발 필요
- 개별망의 위협이 타망으로 쉽게 확산 우려로서 인터넷 침해사고에 취약한 인터넷망에서 발생된 위협이 BcN을 통해 통신망, 방송망 및 USN까지 확산 가능함. 음성통신 방식이 VoIP 기술을 이용하여 기존의 회선교환망에서 인터넷망으로 전환되는 경우 음성통신도 웜, 바이러스 등 인터넷 침해사고에 노출될 수 있다는 것
- 개방형 인터페이스(Open API) 사용으로 인해 다양한 경로로 통신망에 쉽게 접근이 가능하여 해킹 및 바이러스 유포 확대 가능성 내재한다는 것이다.

둘째, IPv6 분야 위협 요인으로는

- IPv6의 신규 기능의 취약점을 이용한 새로운 공격발생 가능성
- IPv6는 자동환경 설정, 이웃노드 탐색, Mobile IP 등의 기능이 추가되면서 기존 공격을 변형한 새로운 유형의 헤더조작, 바이러스, 웜 등의 공격 발생 가능
- IPv6망으로의 완전전환 이전에 과도기적으로 IPv4와 IPv6의 병행사용이 요구되어 End-to-End 네트워크 보안이 곤란
- 홈네트워크 장비 등 IPv6가 장착된 장비가 다양해지면서 인터넷 침해사고의 대상 또한 급격히 증가
- IPv6환경에서는 DNS에 대한 의존도 증가로 주소 위ㆍ변조 공격 가능성도 높아짐에 따라 보안이 취약할 경우, 피싱(Phishing)과 같은 인터넷 사용자를 속이는 공격에 악용될 위험이 증가되는 문제 등이 있다.

셋째, USN 분야 위협 요인으로는

- USN에서는 공격의 파급효과가 일상생활까지 확대되고 수집, 전송되는 정보의 유출 위험이 증대함
- USN은 고객 맞춤형 서비스 제공을 위해 고객의 위치정보 등을 수시로 수집하므로 프라이버시 침해 위험이 증가
- USN에서 이동단말, 센서 등은 CPU와 배터리의 용량이 적기 때문에 보유 자원을 집중적으로 소모시키는 공격을 받을 경우 해당 서비스의 중단 발생 가능
- USN은 보안 기능이 상대적으로 취약한 Ad-hoc 네트워크 구조로 이동단말기기에 대한 통제가 어려워 사이버 공격에 대한 취약성이 가중
- RFID EPC(Electronic Product Code) 네트워크에서는 고객의 정보 및 상품정보를 DB에서 집중적으로 수집 관리함으로써 DB 취약성으로 인한 정보유출 가능성 증대
- RFID ODS(Object Directory System)의 분산 구성으로 어느 한 정보의 위ㆍ변조는 연쇄적인 위험을 초래하는 위협 등이 있다.

이번에는 이러한 3대 인프라의 정보보호 위협에 대응하기 위해 요구되는 정보보호 기술을 살펴보자.

먼저, BcN 정보보호 기술에는

- ISP망의 Ingress Point에서 네트워크 위협의 능동 탐지 및 대응 기술
- ISP망의 발전속도를 고려한 고성능 네트워크 위협 대응 기술
- 알려진 침입공격에 대한 탐지 기술과 알려지지 않은 침입에 의한 과다 트래픽 탐지 기술
- 유해 트래픽에 대한 차단 및 대역폭 제어 기술
- 공격자에 대한 능동대응을 위한 침입자 역추적 및 포렌식 기술
- 네트워크 노드 및 관리자에 대한 인증 및 접근제어 기술
- 이동통신망과의 연동에 따른 인증을 위한 접근제어(예:AAA) 기술
- 감염 무선단말에 의한 과다출력 공격방지용 Anti-jamming 기술
- 무선망에서의 악성코드 전파에 의한 전력 소모 공격을 방지할 수 있는 무선 네트워크 보안 노드 기술 등이 있고,

IPv6정보보호 기술에는

- 기존의 IPv6용 보안 기술에서 IPv6지원 가능한 형태의 보안 기술(IPsec 등 이용한 스니핑 및 Man-in-the Middle 공격 방지)
- IPv6/IPv6 변환용 네트워크 노드 자체에 대한 보안 기술
- IPv6 프로토콜 자체에 대한 옵션 처리 미적용으로 인한 공격을 방지할 수 있는 보안 게이트웨이 기술
- IPv6 프로토콜을 적용한 전용 보안(Filtering 기술, 탐지 기술, 분석 기술 등) 기술
- Mobile IPv6용 인증/인가/접근제어 기술 등이 있다.

USN 정보보호 기술에는

- 해커가 태그의 정보 획득을 시도하는 공격을 막는 인증 기술
- 정상적인 리더와 태그 사이의 데이터 교환 도청방지 기술
- 정상적인 데이터를 위조하는 리더 또는 태그를 혼란시키는 공격을 방어하는 데이터 기밀성과 무결성 보장 기술
- 리더기에 대한 DoS 공격을 감지 및 방지 기술
- RFID/USN을 구성하는 주요 서버에 대한 트래픽 폭주 제어 기술
- RFID/USN에서의 서버 인증 및 데이터 보호 기술
- RFID/USN 네트워크 노드 간의 신뢰 채널 보장 기술
- 센서 신호의 Jamming 회피(리더기와 태그 사이 안전한 Anit-collision을 위한 프로토콜이 필요함) 기술 등이 있다.


'IT정보기술자료' 카테고리의 다른 글

스핌(spim)..  (0) 2007.02.26
어떤게 가망성이 있을까나?....  (0) 2007.02.26
피싱(Phishing)...  (0) 2007.02.26

+ Recent posts