Ch20_유비쿼터스 정보보호 기술 동향 국내 정보보안 기반 기술은 정부 및 구제 표준화 기구를 중심으로 주로 초경량 암호/인증 기술, 사생활 보호 기술 개발에 주력중이다.
01_RFID/USN 보안 기술 02_홈 네트워킹 보안 기술 03_생체인식 기술 04_웹 서비스 보안 기술 05_개인정보 침해 유형 06_유비쿼터스 네트워크의 능동형 정보보호 관리
01_RFID/USN 보안 기술 RFID/USN 환경에서의 보안공격 대상 및 침해 대상 보안공격 및 침해 범위 컴퓨터에 저장된 정보/데이터, 통신 인프라 뿐만 아니라 사물이나 신체 등 개인의 모든 정보가 됨 보안공격 및 침해 범위 개인의 컴퓨터에 국한되지 않고, 개인의 사적인 모든 공간이 됨 전자태그/센서 정보의 무단 누출, 위변조, 오작동, 개인 사생활 정보의 불법 수집/유통과 같은 것에 대한 정보보호 보완책이 필요
01_RFID/USN 보안 기술 보안 취약점과 보안 요구 사항 RFID/USN 보안 위협의 특성
01_RFID/USN 보안 기술 USN/RFID 환경에서의 정보보호를 위한 요구 정보를 변조하고 위조하는 위협 개인 사생활을 적극적으로 보호할 수 있는 기술 및 시스템 개발 필요 센서가 발생시키는 유해트래픽을 식별하여 침해 사고를 조기에 탐지할 수 있도록 네트워크 모니터링 체계를 확대 필요
01_RFID/USN 보안 기술 RFID에서 정보보호 방안 각 디바이스들이 주변 곳곳에 널리 퍼져 있기 때문에 개인 정보보호, 시스템 혼란 방지, 확장성, 보안 등 장기적 이슈가 될 문제점을 가지고 있음 센서와 상황 모델로부터 생성되는 의미 있는 정보와 무의미한 정보가 구별 없이 폭주할 경우, 다음 사항을 고려해야 함 무의미한 정보로부터 시스템 혼란 방지를 어떻게 구현할 수 있을 것인가? 유비쿼터스 컴퓨팅 시스템의 응용 레벨에서 하위 통신 레벨까지 확장성은 어떻게 할 것인가? 네트워크화된 모든 장치나 시스템이 서로 연결된다면 인증되지 않은 소프트웨어나 하드웨어의 공격에 어떻게 대처할 수 있는가? 보편적인 해결 방안 시스템에서 태그에 부여하는 정보의 양과 질을 충분히 고려하여 결정 가장 보편적인 해결 방안들은 태그와 리더가 주고받는 신호의 도청을 막는 것
01_RFID/USN 보안 기술 킬 태그(Kill Tag) 태그의 설계시 8비트의 비밀번호를 포함하고, 태그가 이 비밀번호와‘Kill’명령을 받을 경우 태그가 비활성화되는 방식 페러데이 우리(Faraday Cage) 무선 주파수가 침투하지 못하도록 하는 방법으로 금속성의 그물(Mesh)이나 박막(Foil)을 입히는 방법 방해 전파(Active Jamming) 리더기가 제품을 읽지 못하도록 방해신호를 보내는 물건을 소비자가 들고 다니자는 것 불법적으로 이용될 소지가 크고 오히려 방해신호에 의해 다른 RFID 시스템이 손상될 수 있기 때문에 이를 회피하는 연구를 별도로 해야 할 상황 차단자 태그(Blocker Tag) 모든 질문 메시지에 대해서‘그렇다’라고 대답하는 태그를 말함 RFID 정보보호 문제를 해결하기 위해서 사용자에게 정보수집을 제어할 수 있는 권한을 부여할 수도 있음 정보수집의 시작·종료를 사용자가 임의로 컨트롤할 수 있도록 해야 함
02_홈 네트워킹 보안 기술 홈 네트워크 보안 기술 등장 홈 네트워크 구성 요소 홈 네트워크 서비스가 편리하고 안전하게 제공되기 위해 홈 네트워크 환경에서의 보안 요구 사항 및 구현 방안에 대한 중요도가 높아짐 기업의 정보보호 구현 시스템이나 정책에 비해 상대적으로 연구가 활발하지 않음 홈 네트워크는 콘텐츠, 활용 기술,구현 솔루션 등이 외부 네트워크 환경인 인터넷망과 연동이 불가피하기 때문에 공중망에서 발생할 수 있는 해킹이나 바이러스 침투 등의 위험에 노출되어 있음 홈 네트워크 구성 요소 외부의 서비스 네트워크 서비스 관련 콘텐츠 및 솔루션 내·외의 다양한 장치 홈 서버·홈 게이트웨이
02_홈 네트워킹 보안 기술 외부의 서비스 네트워크(외부망) 홈 네트워크 서비스 전달망(SDN) 또는 콘텐츠 전달망(CDN)이라고 함 세부적인 기반 기술로는 DSL, 위성(Satellite), CATV(Cable TV), 광통신(OPTIC) 등 다양하게 존재함 디지털 홈 서비스 관련 정보들을 처리하고 분배 및 관리해주는 부분으로 콘텐츠/서비스 공급자와 댁내 사용자 간의 중계자 역할을 함 홈 네트워크 디지털 홈을 구축하기 위해 네트워크 기능이 부가된TV, 오디오시스템, 냉장고, 보안시스템, 프린터, 팩스, 휴대폰, PDA 등 광범위하고 다양한 기능의 정보가전기기들과 이들 사이를 연결하는 홈 네트워크 기술이 필요 홈 네트워크는 IP/Non-IP 통합 프로토콜 유선 형태 이더넷(Ethernet), 홈 PNA 전력선 통신(PLC), 고성능 직렬 버스(IEEE1394), USB, 이더넷 등 다양한 기술이 존재 무선 형태 블루투스, IEEE 802.11 WLAN, HomeRF, 적외선 통신 규격(IrDA), 초광대역통신(UWB) 및 무선 1394 등의 기술이 존재
02_홈 네트워킹 보안 기술
02_홈 네트워킹 보안 기술 홈 서버 비디오, 전화, 웹, 전자우편, 팩스 등 가정에 있는 각종 미디어의 정보들을 저장, 통합, 분배하는 일종의 컴퓨터 장치를 말함 가전업체의 경우 방송이나 전화 및 인터넷을 통하여 가정으로 들어오는 외부 콘텐츠를 저장 및 재분배하는 것을 홈 서버의 주요 기능으로 정의함 디지털 영상이나 음악을 저장하는 장치로 사용될 뿐 아니라 PC의 외부 저장장치처럼 동작할 수 있어서 가정에서의 정보제어센터의 역할을 수행 디지털 방송 관련 업체 양방향 기술을 이용한 대화형 TV에서 수신기가 시청자의 기호에 맞는 프로그램을 자동적으로 녹화해주고, 보고 싶은 프로그램을 언제라도 꺼내 시청할 수 있는 기능을 제공하는 홈 서버의 역할을 수행 홈 게이트웨이 여러 가지 유무선 홈 네트워크 기술들 중 하나 이상의 댁내망 기술과 xDSL, 케이블, 광 전송장치 및 위성 등 하나 이상의 액세스망 기술을 상호 접속하거나 중계 그 상위 계층에 미들웨어 기술을 부가함으로써 가정의 사용자에게 다양한 멀티미디어 서비스를 제공하기 위한 클라이언트 장치
02_홈 네트워킹 보안 기술 (가상 사설 통신망) 기가비트
02_홈 네트워킹 보안 기술 구성 요소별 보안 취약점
02_홈 네트워킹 보안 기술
02_홈 네트워킹 보안 기술 댁내·외부 네트워크 보안 취약점
02_홈 네트워킹 보안 기술 무선 홈 네트워킹을 지원하는 표준 무선 기술
02_홈 네트워킹 보안 기술 무선 홈 네트워킹 기술의 특성 및 보안 취약점
02_홈 네트워킹 보안 기술
02_홈 네트워킹 보안 기술 정보 가전기기의 보안 취약점
02_홈 네트워킹 보안 기술 구성 요소별 보안 요구 사항 정확성(Authenticity) 제한성(Access Control) 사용자 인증에 있어서 가장 간단한 방법은 ID와 비밀번호를 사용하는 방법 2가지 이상의 요소를 이용해 인증하는 방법, 개인 식별 번호와 카드를 동시에 일치시키는 방법, 토큰을 이용하는 방법 등 좀 더 강화된 인증방법들이 사용됨 제한성(Access Control) 정확성의 연장에서 이뤄지는 요소로, 어떤 부분의 서비스를 위한 네트워크 접근 시도인지를 파악해 접근에 제한을 두는 방법 방화벽이 바로 제한성을 이루는 데 필요한 장비 중 하나 네트워크 접속에 필요한 요소를 확인하면 장비, 응용프로그램, 프로토콜, 사용자, 사용자 그룹(서브 넷)을 파악할 수 있으며, 권한까지도 쉽게 알 수 있음 이를 이용해 비즈니스, 업무 환경 등을 종합해 보안 정책을 수립하며 접근을 제한 무결성(Integrity) 원래의 데이터가 전송된 후에 어떻게 변경되었는지 등의 상태를 점검하는 것 이는 비 인가된 자에 의한 정보의 변경, 삭제, 생성 등으로부터 데이터를 보호해 정보의 정확성과 완전성 보장을 뜻함 디지털 서명과 메시지의 정확성 확인 등은 이런 데이터의 무결성을 확인할 수 있는 기술
02_홈 네트워킹 보안 기술 기밀성(Confidentiality) 정보의 비밀이 어느 정도 보장될 수 있는가에 대한 부분 예: 전자우편에 아주 중요한 정보가 들어 있는 경우도 있기 때문에 이를 감추기 위해 암호화를 해야 한다. 복호화 키가 있는 사용자만이 정보를 확인할 수 있음 이런 암호화/복호화 기술을 통칭하여 암호화(Encryption)라고 함
02_홈 네트워킹 보안 기술 홈 네트워크 보안 기술 홈 네트워크 보안 영역 홈 서버·홈 게이트웨이 보안 기술 2계층 인증 네트워크를 이용하는 데 있어서 가장 기본적인 부분, 즉 장비와 사용자에 대한 인증을 요구해 내부적인 보안을 이룰 수 있는 방법 방화벽/액세스 컨트롤 내부 서버들이 접속하는 부분, 원격 사용자의 검색을 위해 보통 2개 또는 그 이상의 방화벽을 설치해 목적에 맞게 동작을 구현시킴 가상 사설 통신망(VPN) 회선 비용을 절감하기 위해 인터넷을 이용한 원거리 접속 솔루션 홈 서버·홈 게이트웨이 보안 기술 사용자 및 서비스 제공자의 정보가 부정한 사용자나 위험으로부터 보호되어야 함 동시에 사용자와 집안의 정보에 대한 사생활이 보호되어야 함 침입, 해킹, 바이러스 등과 같은 외부 침입 행위에 대한 방어 기능도 필요
02_홈 네트워킹 보안 기술 정확성 제한성 무결성 기밀성 홈 서버·홈 게이트웨이에 접근하는 관리자 및 사용자의 신원을 확인하는 기능 기본적인 ID와 비밀번호 기능뿐 아니라 지문, 손, 안면, 홍채 등 신체적 특성을 이용한 생체인식 장치가 점차 사용되고 있음 제한성 사용자가 외부로부터 홈 서버·홈 게이트웨이나 댁내 망에 연결된 정보 가전기기에 접근을 시도하는 경우 미리 정해진 접근권한 제어를 수행하는 기능 접근제어는 서비스 및 사용자 별로 제한을 두어 효과적으로 관리될 수 있음 무결성 홈 서버·홈 게이트웨이상의 중요한 데이터나 댁내·외로 전송되는 데이터에 변경이 발생하는 경우 이를 확인하는 기능 기밀성 홈 게이트웨이를 통하여 전송되는 데이터가 인가되지 않은 사용자에게 노출되는 경우 그 내용이 알려지는 것을 방지하는 기술
02_홈 네트워킹 보안 기술 기기인증 침입방지 기능 ID/비밀번호를 통한 기본적인 모바일 장비의 보안 및 서비스 거부(DoS) 공격, 바이러스나 웜, 코드나 설정 파일에 대한 보안을 고려해야 함 댁내 모바일 장치에 대한MAC/IP 주소 및 텔넷(Telnet)에 대한 보안, 장비에 대한 접근 제한, RADIUS나 LDAP를 통한 사용자 접근 제한, 트래픽의 암호화 등의 서비스를 제공해야 함 비상시를 위한 자동 복구 및 치유 기능도 고려되어야 함 기기인증 정보가전기기에 연결할 경우 부정한 정보 가전기기인지를 확인하는 기능 PC 및 댁내 단말들의 인증은 네트워크를 사용하는 데 있어서 필요한 요소, 즉 스위치 포트, MAC 주소, IP 주소 프로토콜의 조합으로 네트워크 접속을 제한할 수 있음 침입방지 기능 패킷 필터링, 침입과 해킹, 악성코드 등과 같은 외부 침입에 대해 방어하는 기능
03_생체인식 기술 생체인식 개개인마다 평생 변하지 않으면서 모든 사람이 각기 다른 신체적·행동적 특징을 찾아 자동화된 수단으로 등록하여, 이후 제시한 정보와 패턴을 비교 검증하고 식별하는 것 생체정보의 구분 안면 모양, 홍채, 망막, 정맥, 손모양, 지문, DNA 등의 신체적 특성을 이용한 방법 서명, 음성, 걸음걸이 등의 행동학적 특성을 이용하는 방법
03_생체인식 기술
03_생체인식 기술 사용자 등록 및 인증, 인식 과정
03_생체인식 기술 생체인식 기술을 이용한 인증 기술 ① 사용자, ② 장치, ③ 장치와 장치 간으로 구분 사용자 인증 개체 확인자가 사용자를 식별하는 과정 확인 작업은 항상 개체 식별 요구자가 확인자에게 식별 증거를 위한 요구가 있을 때 행해짐 식별은 프로토콜이나 상황정보로 표현 장치 자체에 대한 인증 해당 네트워크에 등록될 때 발생하며, 장치마다 부여된 보안 식별자를 이용하거나 장치의 인증서를 활용해 인증을 수행할 수 있음 네트워크가 해당 네트워크 내의 장치를 인식하고 그 영역을 국한시키는 데 사용 장치와 장치 간 인증 홈 네트워크 환경인 경우 외부 인터넷을 통한 접근보다 집안에서의 통신이 이루어짐 장치들 간에도 자원 공유를 위해 인증이 필요함
03_생체인식 기술 다중 생체인식 기술 개요 여러 생체인식 기술을 함께 사용하여 성능을 향상시키고, 신뢰도, 수용도를 높이는 기술 다중 생체인식 기술은 유비쿼터스 환경에서 사용자가 안전하게 다양한 서비스를 받을 수 있도록 하는 생체인식, 생체 센싱, 생체 네트워킹, 생체면역 등으로 구분하는 바이오 보안 분야 중 하나 개인별로 차이가 있는 사용자의 고유한 생체정보 또는 독특한 행동을 이용하는 것으로, 사용자가 기억하거나 소지할 필요가 없음 분실 및 도난 등의 문제가 전혀 없어 기존의 방법에 비해 높은 보안 성능을 제공할 수 있음 둘 이상의 생체정보나 생체인식 기술을 적절히 조합한 다중 생체인식 기술이 연구되고 있음 단일 생체인식 기술에 비해 여러 가지 면에서 우수성이 입증되고 있음
03_생체인식 기술
03_생체인식 기술 기존 생체인식 기술의 문제점 어떠한 단일 생체 특징도 절대적으로 우수한 성능을 나타내지 않음 예) 성능이 우수한 홍채의 경우, 현재 기술로서는 홍채영상을 획득하는 것이 다른 생체인식 기술인 얼굴, 지문 등에 비교하여 어려움이 많으며, 장비의 가격도 비쌈 현재 널리 쓰이는 지문과 얼굴 및 화자인식의 경우 만족할 만한 수준이 아님 비밀번호 입력 편리성 인위성 정확도 음성 모양 지문
03_생체인식 기술 다중 생체인식 기술의 연구 동향 다중 센서 다중 생체특징 동일 생체특징의 다중 유닛 하나의 생체 특징을 여러 개의 다른 방식의 센서로 획득 지문 획득을 위해 광학, 초음파, 반도체 방식 센서들을 사용할 수 있음 비용면에서는 효과적이지 못함 다중 생체특징 다수의 서로 다른 생체 정보를 사용하는 방법 예) 얼굴, 지문 및 음성을 함께 사용하여 생체인식을 수행 생체정보 수집기가 많이 필요하여 비용면에서 효과적이지 못함 동일 생체특징의 다중 유닛 하나의 생체 특징에 대하여 여러 개의 특징 유닛을 사용 다중 유닛들은 대체로 사람의 신체 구조에 의하여 자연스럽게 생성됨 예) 두 눈의 홍채, 양손으로부터 각각 하나씩 2개의 손 영상, 각 손가락으로부터 하나씩 10개의 지문 등이 해당
03_생체인식 기술 생체인식 적용 사례 동일 생체특징을 여러 번 획득 하나의 생체특징을 하나의 센서로 여러 번 획득하여 사용 이 경우는 사용자 등록시 생체특징 템플릿을 다수 개 생성/저장해야 가능함 비용면에서 다중 유닛 방식보다 조금 더 효과적임 예) 한 손가락으로부터 여러 번 지문을 획득하거나, 동일인의 음성을 여러 번 샘플링하거나, 동일 얼굴의 영상을 여러 번 촬영하여 사용하는 경우 동일 입력 생체특징 신호에 대한 다중 표현과 매칭 알고리즘 하나의 입력된 생체 특징 신호를 여러 가지 다른 방식으로 표현한 후, 다양한 매칭 알고리즘을 사용 한 지문 신호에 대해 여러 가지의 특징을 추출하고 여러 가지 매칭 방법을 사용하여 생체인식을 수행 비용면에서는 가장 효과적임 생체인식 적용 사례
03_생체인식 기술
03_생체인식 기술
03_생체인식 기술
04_웹 서비스 보안 기술 웹 서비스 보안 기술 웹 서비스 보안 기술의 구분 웹 서비스 기술 표준을 적용하여 다수의 응용들 간의 안전한 문서 전송, 인터넷 자원의 접근제어와 인가, 합법적 사용자 확인을 위한 인증 서비스 등을 제공하는 표준 보안 기술 웹 서비스 보안 프레임워크 기술과 XML 정보보호 기술로 구성 웹 서비스 보안 기술의 구분 XML 정보보호 기술 XML 기반 서비스나 시스템을 위한 보안 기반 기술로 인증, 인가, 기밀성, 무결성, 부인 방지 등의 보안 서비스 및 보안정보 관리 기능을 제공 XML 전자서명 및 암호화 기술, XML 기반 공개키 관리 기술, XML 기반 키 관리 기술, 보안정보 교환 기술 등 웹 서비스 보안 프레임워크 기술 XML 정보보호 기술을 기반으로 웹 서비스에서 안전하게 정보를 교환하고 자동화된 방법으로 상호의 보안정책을 처리하여, 안전하고 통합된 비즈니스를 가능하게 함 통신보안 기술, 보안정책 기술, 사생활 보호 기술, 보안세션 관리 기술, 신뢰관리 기술
04_웹 서비스 보안 기술 웹 서비스 응용보안 기술 차세대 인프라 및 서비스, 모바일/그리드/시맨틱 웹 서비스와 같은 환경에서 공통적인 보안 위험 요소를 해결할 수 있는 메커니즘과 다양한 디바이스와 비즈니스 환경을 고려하여 각 응용별로 특화된 보안 프로파일들을 제공 웹 서비스 응용보안 프로파일 기술과 웹 서비스 보안 상호운영성 지원 기술
04_웹 서비스 보안 기술
04_웹 서비스 보안 기술 국가권고 기술 가이드라인에서의 웹 서비스 보안 정보시스템에 대한 상호 운용성, 사용자 편이성, 보안성의 품질 확보를 위해 정보 기술 아키텍처를 정의 준수해야 하는 보안 표준 ① 웹서비스 보안을 위한 XML 전자서명 ② XML 암호화 ③ WS-Security(권고) ④ 웹 서비스 간 사용자 인증 연동을 위한 SAML (권고)
05_개인정보 침해 유형
05_개인정보 침해 유형 개인정보 보호를 위한 익명성 통신 방법 유비쿼터스 컴퓨팅 환경에서 사용자의 개인정보 보호를 위해서는 기밀성, 위치정보의 보호, 익명성 통신을 만족시켜야 함 기밀성 시스템 혹은 통신에 참여하지 않은 다른 사용자들은 통신의 내용을 읽을 수 없어야 하는 것 위치정보의 보호 사용자가 자신의 정보를 노출하지 않기로 결정하거나 다른 사용자가 사용자를 실제로 보지 않았다면 해당 위치에 있는 사용자의 정확한 위치를 다른 사용자는 알 수 없도록 하는 것 익명성 통신 두 개체가 서로 통신하고 있을 때, 시스템의 다른 사용자는 통신하는 두 개체가 누구인지 알 수 없도록 하는 것
05_개인정보 침해 유형 디바이스에 대한 보안 기술 웹상에서의 개인정보 보호 기술 지능형 홈·로봇 서비스 보호 기술 신뢰성 있는 홈 네트워크 인프라 구축을 위해 유효한 사용자를 구별하며 서비스 로봇, 차세대 PC 등 다양한 정보기기 간에 안전한 통신 및 제어 기술을 제공하기 위한 것 경량형 복합단말 보안 플랫폼 기술 통신·방송 신규 IT 서비스 환경에서 차세대 이동통신 및 텔레매틱스 서비스에서 사용되는 복합 단말기의 안전성 보장을 위한 정보보호 기술 클린 멀티미디어 서비스 보호 기술 멀티미디어 콘텐츠에 대한 유통 보호 및 불건전 정보 차단을 통한 깨끗한 IT 서비스 환경을 제공하는 정보보호 기술 웹상에서의 개인정보 보호 기술 인터넷상의 무분별한 개인정보 노출을 막을 수 있는 방안의 하나로 P3P가 새롭게 조명을 받음 P3P는 지난 2002년 국제 웹 표준화 기구인W3C가 웹 사이트 이용시 사생활을 보호하기 위해 정한 표준 기술 플랫폼임 W3C에서 기존의 OPS 기술의 협력 필터링과 자원 정의 프레임 워크(RDF) 응용 프로그램에서 XML 등장과 함께 이를 혼합 적용하기 위해 고안됨
05_개인정보 침해 유형 P3P의 목표 웹 브라우저로 하여금 자동적으로 해당 웹 사이트의 사생활에 관한 정보를 읽고 사용자가 이미 설정해놓은 정보공개 수준과 비교하여 정보를 선별적으로 제공함으로써 어떠한 때에 개인정보를 제공해야 하는지, 이용자가 선택/결정을 하는 데 도움을 줌 쿠키 설정의 번거로움, 사생활 보호기준 설정의 어려움, P3P에 따르지 않는 사이트 배제 등의 문제에 대한 해결책 마련 및 온라인 웹상에서 개인정보를 효율적으로 보호하기 위한 기준 확립 및 기술 도입 등이 요구됨
06_유비쿼터스 네트워크의 능동형 정보보호 관리 네트워크상의 모든 정보보호 솔루션이 유기적으로 연계되어 해킹 등 사이버테러를 사전에 탐지하고 차단, 이를 역추적해 복구하는 서비스까지 지원하는 개념 방화벽, 침입 탐지 시스템(IDS), 백신 알려진 취약점에 대한 공격 예방과 탐지를 제공하는 데 그침 새 취약점이 발견되었을 때 이를 이용한 공격에는 적절히 대응하지 못함 도메인 간의 협력 메커니즘 구현, 공격자에 대한 강력한 대응 메커니즘 구현, 보안 환경 변화에 대한 적응성을 주 특성으로 가지는 능동형 보안관리 시스템이 필요
Thank You ! IT CookBook, 유비쿼터스 컴퓨팅 개론 20장 끝
일정: 12/16(금) 10:00~11:00 범위: ch13, 14, 15 / ch17, 18, 19, 20 문제 수: 10문제 CH13: 4문제 CH14: 2문제 CH15: 1문제 CH17: 0.5문제 CH18: 1.5문제 CH20: 1문제 발표 자료는 모두 메일로 보내주시기 바랍니다. win4class@hanmail.net