$\require{mediawiki-texvc}$

연합인증

연합인증 가입 기관의 연구자들은 소속기관의 인증정보(ID와 암호)를 이용해 다른 대학, 연구기관, 서비스 공급자의 다양한 온라인 자원과 연구 데이터를 이용할 수 있습니다.

이는 여행자가 자국에서 발행 받은 여권으로 세계 각국을 자유롭게 여행할 수 있는 것과 같습니다.

연합인증으로 이용이 가능한 서비스는 NTIS, DataON, Edison, Kafe, Webinar 등이 있습니다.

한번의 인증절차만으로 연합인증 가입 서비스에 추가 로그인 없이 이용이 가능합니다.

다만, 연합인증을 위해서는 최초 1회만 인증 절차가 필요합니다. (회원이 아닐 경우 회원 가입이 필요합니다.)

연합인증 절차는 다음과 같습니다.

최초이용시에는
ScienceON에 로그인 → 연합인증 서비스 접속 → 로그인 (본인 확인 또는 회원가입) → 서비스 이용

그 이후에는
ScienceON 로그인 → 연합인증 서비스 접속 → 서비스 이용

연합인증을 활용하시면 KISTI가 제공하는 다양한 서비스를 편리하게 이용하실 수 있습니다.

클라우드 환경에서 블록체인관리서버를 이용한 인증기반 내부망 분리 보안 모델
Internal Network Partition Security Model Based Authentication using BlockChain Management Server in Cloud Environment 원문보기

한국콘텐츠학회논문지 = The Journal of the Korea Contents Association, v.18 no.6, 2018년, pp.434 - 442  

김영수 (배재대학교 사이버보안학과) ,  이병엽 (배재대학교 사이버보안학과)

초록
AI-Helper 아이콘AI-Helper

오늘날 보안 위협이 점차 증가하고, 인터넷을 통한 외부악성 코드에 감염된 디바이스에 의해서 중요 데이터가 유출되는 피해가 증가하고 있다. 따라서 내부망에 연결된 디바이스에 대한 인증을 통해서 업무용 서버로의 접근을 차단하는 내부망 분리 모델이 필요하다. 이를 위한 VDI (Virtual Desktop Infrastructure)방식을 사용한 논리적 망 분리는 내부망에 연결된 물리 디바이스와 가상 디바이스 간에는 정보 교환이 차단되는 방식으로 중요 데이터의 유출을 방지하고 있으나 미등록 디바이스를 사용하여 내부망의 업무용 서버에 접근하여 중요 자료를 유출하는 공격에는 취약하다. 따라서 이의 해결책으로 VDI(Virtual Desktop Infrastructure) 기술에 블록체인 기술을 수용하여 블록체인 기반 망 분리 모델을 제안한다. 이는 VDIVirtual Desktop Infrastructure) 방식의 논리적 망 분리의 보안 취약점인 디바이스의 위변조에 대한 식별 능력과 디바이스의 무결성 강화를 통한 내부의 중요 데이터의 유출 위협을 감소시키는데 기여한다.

Abstract AI-Helper 아이콘AI-Helper

Recently, the threat to the security and damage of important data leaked by devices of intranet infected by malicious code through the Internet have been increasing. Therefore, the partitioned intranet model that blocks access to the server for business use by implementing authentication of devices ...

주제어

#클라우드   #블록체인   #인증   #MAC주소   #내부망분리   #보안  

AI 본문요약
AI-Helper 아이콘 AI-Helper

* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.

제안 방법

  • 블록체인 관리서버는 단말정보 DB와 트랜잭션 검색키워드 DB를 탑재하고 트랜잭션을 관리하고 스마트 컨트랙트를 사용하여 MAC 어드레스 기반 인증 모델에서 사용하는 단말정보와 동일한 정보를 사용하여 터미널 단말을 등록하고 단말 검증을 통한 인증을 하는 모델을 사용한다. [그림 5]와 같이 내부망 분리 모델과 블록체인 모델을 수용한 블록체인 관리서버를 이용한 내부망 분리 모델을 제안한다. 기존의 내부망 관리서버를 블록체인 관리서버로 교체하고 있다.
  • 블록체인관리서버의 데이터베이스에 터미널 단말의 MAC주소와 이의 블록 해쉬값을 매핑한 테이블을 구성하여 터미널 단말의 인증 트랜잭션에 대한 검증을 실험하였다. [표 1]과 같이 터미널 단말의 유형에 따라서 인증 트랜잭션의 성공 유무를 확인하였다.
  • 또한 애저(Azure) 클라우드 서비스를 이용하여 업무서버, VDI 구현 서버, 블록체인관리서버, 이더리움 노드 3개로 구성된 내부망을 구축하고 터미널 단말의 등록 및 인증에 대한 내용에 한해서 블록체인에 저장하였고 터미널 단말의 추가적인 식별정보와 트랜잭션 검색 정보는 블록체인관리서버의 데이터베이스에 저장하였다. 기존의 VDI기반 클라우드 서버의 보안취약점을 제거하기 위하여 무결성 특성을 갖는 블록체인 관리서버를 이용함으로써 구축 비용은 조금 증가하였으나 터미널 단말의 등록 요청 및 인증 요청을 블록체인 저장함으로써 악의적인 수정 및 변경에 따른 보안위협을 차단하고 업무서버를 이용하는 터미널 단말의 분석 정보에 신뢰성을 제공한다.
  • 우리의 제안 모델은 VDI(Virtual Desktop Infrastructure) 기반 클라우드 서버의 취약점인인 업무망 네트워크에 연결되는 터미널 단말의 도용을 방지하기 위하여 터미널 단말의 등록 정보를 변경하지 못하도록 블록체인의 불역성 특성을 활용한 블록체인관리서버를 이용하고 있다. 또한 애저(Azure) 클라우드 서비스를 이용하여 업무서버, VDI 구현 서버, 블록체인관리서버, 이더리움 노드 3개로 구성된 내부망을 구축하고 터미널 단말의 등록 및 인증에 대한 내용에 한해서 블록체인에 저장하였고 터미널 단말의 추가적인 식별정보와 트랜잭션 검색 정보는 블록체인관리서버의 데이터베이스에 저장하였다. 기존의 VDI기반 클라우드 서버의 보안취약점을 제거하기 위하여 무결성 특성을 갖는 블록체인 관리서버를 이용함으로써 구축 비용은 조금 증가하였으나 터미널 단말의 등록 요청 및 인증 요청을 블록체인 저장함으로써 악의적인 수정 및 변경에 따른 보안위협을 차단하고 업무서버를 이용하는 터미널 단말의 분석 정보에 신뢰성을 제공한다.
  • 블록체인관리서버의 데이터베이스에 터미널 단말의 MAC주소와 이의 블록 해쉬값을 매핑한 테이블을 구성하여 터미널 단말의 인증 트랜잭션에 대한 검증을 실험하였다. [표 1]과 같이 터미널 단말의 유형에 따라서 인증 트랜잭션의 성공 유무를 확인하였다.
  • 기존의 내부망 관리서버를 블록체인 관리서버로 교체하고 있다. 사용자의 터미널 단말은 DApp브라우저에서 실행되는 DApp을 통하여 내부망에 접속하는 경우에 DApp은 단말로부터 MAC주소와 IP주소를 추출하여 단말정보를 구성하고 이를 블록체인관리서버에 전송한다. 블록체인관리서버는 사전에 등록한 단말정보 DB와 매칭을 수행하고 매칭이 되는 정보가 존재하면, 트랜잭션으로 가공하고 스마트 컨트랙트로 전송한다.
  • 블록체인 관리서버를 이용한 내부망 분리 모델의 실용성 확인을 위한 응용 구조는 [그림 8]과 같다. 응용모델의 구현을 위하여 애저(Azure) 클라우드에서 제공하는 블록체인 서비스의 개발 환경 및 기능을 활용하여 제안 모델을 구현하였다. 블록체인 관리서버는 웹사이트 접속 요청에 포함된 IP주소와 MAC주소를 검출하여 터미널 단말의 인증과 사이트 식별을 수행한다.
  • 또한 VDI 방식의 데스크탑 가상화 방식은 사용자의 터미널 단말이 바이러스에 감염되어 저장된 데이터가 손실될 경우 정보 자산에 대한 안전성을 제공할 수 없다는 단점이 있고 터미널 단말의 MAC 주소의 위변조를 통한 불법적인 업무서버에 접속하여 중요 데이터를 유출할 수 있는 취약점이 존재한다. 이의 해결을 위해서 블록체인 관리서버를 이용한 인증기반 망분리 보안 모델을 제안하고 이의 실용성 확인을 위해서 응용시스템을 설계 및 구현하였다. 블록체인 관리서버를 이용한 인증기반 내부망 분리 보안 모델은 내부망에 연결된 디바이스에 대한 인증을 통해서 업무용 서버로의 접근을 제어하는 블록체인관리서버와 실행 결과 화면을 전송하는VDI(Virtual Desktop Infrastructure) 방식을 사용하고 있다.
  • 따라서 업무서버를 이용하는 트랜잭션의 분석 기술과 악의적 행동의 추적 기술에 대해서 스마트 컨트랙트의 활용 방안에 대한 추가 연구가 필요하다. 제안모델은 블록체인 관리서버를 사용하여 내부망에 접속하는 디바이스의 MAC(Media Access Control) 주소를 블록체인화하여 이를 관리하는 블록체인 관리서버를 구축하여 디바이스 인증을 수행하고 업무용 서버를 보호한다. 이는 기존의 VDI기반 클라우드 서버의 보안취약점을 제거하기 위하여 무결성 특성을 갖는 블록체인 관리서버를 이용함으로써 구축 비용은 조금 증가하였으나 터미널 단말의 등록 요청 및 인증 요청을 블록체인 저장함으로써 악의적인 수정 및 변경에 따른 보안위협을 차단하고 업무서버를 이용하는 터미널 단말의 분석 정보에 신뢰성을 제공한다.

이론/모형

  • 이를 방지하기 위한 보안 솔루션으로VDI(Virtual Desktop Infrastructure) 기반 망 분리 방식과 서버기반 컴퓨팅(SBC; Server Based Computing))방식의 논리적 망 분리 모델이 활용된다. 본 논문의 제안 모델에서 사용하는 VDI(Virtual Desktop Infrastructure) 방식은 [그림 2]와 같은 일련의 과정을 통하여 망 분리를 수행한다. 사용자의 단말은 기본적으로 호스트 OS가 활성화된 상태로 시작하고 내부망에 연결되어 있는 내부 사이트에 접속 가능한 반면, 외부인터넷망에 연결되어 있는 웹사이트에는 접속이 불가능한 상태이다.
  • 그러나 물리적으로 2대의 터미널 단말을 분리하더라도 각 터미널 단말간의 의도된 사용자의 중요데이터의 복제를 통한 정보 이동 및 유출에 있어서는 상당히 취약하다[11-16]. 이를 방지하기 위한 보안 솔루션으로VDI(Virtual Desktop Infrastructure) 기반 망 분리 방식과 서버기반 컴퓨팅(SBC; Server Based Computing))방식의 논리적 망 분리 모델이 활용된다. 본 논문의 제안 모델에서 사용하는 VDI(Virtual Desktop Infrastructure) 방식은 [그림 2]와 같은 일련의 과정을 통하여 망 분리를 수행한다.
본문요약 정보가 도움이 되었나요?

질의응답

핵심어 질문 논문에서 추출한 답변
물리적 망 분리란 무엇인가? 인터넷망과 내부 을 분리하는 망 분리 방식은 크게 물리적 망 분리와 논리적 망 분리로 나눌 수 있다. 물리적 망 분리는 물리적으로 두 대의 PC를 사용하여 한 대는 내부망에 연결하고 다른 한 대는 인터넷 망에 연결하면서 두 대의 PC 간의 연결을 완전히 차단하는 방식이다. 물리적인 망 분리는 보안 관점에서 보면 외부의 공격으로부터는 완전히 안전하다고 생각할 수 있다.
물리적인 망 분리의 한계점은 무엇인가? 물리적인 망 분리는 보안 관점에서 보면 외부의 공격으로부터는 완전히 안전하다고 생각할 수 있다. 그러나 물리적으로 2대의 터미널 단말을 분리하더라도 각 터미널 단말의 악의적인 사용자의 중요 데이터의 복제를 통한 정보 이동 및 유출에 있어서는 상당히 취약하다[1-5]. 이를 방지하기 위한 보안 솔루션으로 VDI(Virtual Desktop Infrastructure)를 이용한 논리적 망 분리 기술이 등장하였다.
VDIVirtual의 단점과 취약점에는 무엇이 있는가? 이를 방지하기 위한 보안 솔루션으로 VDI(Virtual Desktop Infrastructure)를 이용한 논리적 망 분리 기술이 등장하였다. VDIVirtual Desktop Infrastructure) 방식은 클라우드 시스템에서 제공되는 서비스로 사용자의 터미널 단말이 바이러스에 감염되어 저장된 데이터가 손실될 경우 정보 자산에 대한 안전성을 제공할 수 없다는 단점이 있고 터미널 단말의 MAC(Media Access Control) 주소의 위변조를 통한 불법적인 업무서버에 접속하여 중요 데이터를 유출할 수 있는 취약점이 존재한다[6-8]. 이의 해결을 위하여 무결성을 보장하는 블록체인 플랫폼을 사용하는 블록체인 관리서버를 구축할 필요가 있다.
질의응답 정보가 도움이 되었나요?

참고문헌 (21)

  1. 김영수, 문형진, 조혜선, 김병익, 이진해, 이진우, 이병엽, "계층적침해자원기반의 침해사고 구성 및 유형 분석," 한국콘텐츠학회논문지, 제16권, 제11호, pp.139-153, 2016. 

    원문보기 상세보기

  2. 김영수, 이병엽, "클라우드 환경에서 문서의 유형분류를 위한 시맨틱 클러스터링 모델," 한국콘텐츠학회논문지, 제17권, 제11호, pp.389-397, 2017. 

    원문보기 상세보기

  3. E. B. Lee, A Study on Information Security of Network Partition Based, Proc. of the KIISC Conference 20, Vol.1, pp.39-46, 2010. 

  4. M. E. Kuhl, Cyber Attack Modeling and Simulation for Network Security Analysis, Simulation Conference 2007 (Winter), pp.1180-1188, 2007. 

  5. J. S. Moon, Cyber Terrorism Trends and Countermeasures, Proc. of the KIISC Conference 20, Vol.4, pp.21-27, 2010. 

  6. B. Lee and J. H. Lee, "Blockchain based secure firmware update for embedded devices in an Internet of Things environment," Journal of Supercomputing, Vol.73, No.3, pp.1152-1167, 2017. 

    상세보기 crossref

  7. Satoshi Nakamoto, "Bitcoin:A peer-topeer electronic cash system," 2008. 

  8. B. Lee, Y. J. Lim, and J. H. Lee, "Consensus algorithms in block-chain platforms," Proceedings of Symposium of the Korean Institute of communications and Information Sciences, pp.386-387, 2017. 

  9. H. Han, B. Sheng, C. C. Tan, Q. Li, and S. Lu, "A timing-based scheme for rogue AP detection," IEEE Trans. Parallel Distrib. Syst., Vol.22, No.11, pp.1912-1925, Nov. 2011. 

    상세보기 crossref

  10. D. Inoue, R. Nomura, and M. Kuroda, Transient MAC address scheme for untraceability and DOS attack resiliency on wireless network," in Proc. Wireless Telecommun. Symp., pp.15-23, Pomona, U.S.A., Apr. 2005. 

  11. S. Banerjee, Order-P, An Algorithm To Order Network Partitionings, ICC '92, Conference record, SUPERCOMM, ICC '92, Discovering a New World of Communications, IEEE International Conference on 1, pp.432-436, 1992. 

  12. Samuel T. King, SubVirt:Implementing Malware with Virtual Machines, Proceedings of the 2006 IEEE Symposium on Security and Privacy, 2006. 

  13. C. Y. An and C. Yoo, Comparison of Vitualization Method, Proc. of the KIISE Korea Computer Congress 2008, Vol.35, No.1, pp.446-450, 2008. 

  14. Guangda Lai, A Service Based Lightweight Desktop Virtualization System, Service Sciences (ICSS), 2010 International Conference on, pp.277-282, 2010, 

  15. P. Barham, B. Dragovic, K. Fraser, S. Hand, T. Harris, A. Ho, R. Neugebauer, I. Pratt, and A. Warfield, "Xen and the art of virtualization," Proc. of the 9th SOSP, pp.164-177, Oct. 2003. 

  16. B. Liu, L. Lishen, and X. Qin, "Research on Hardware I/O Passthrough in Computer Virtualization," Proc. of ISCSCT 2010, pp.353-356, Aug. 2010. 

  17. S. H. Kim, J. Y. Yang, and Y. J. Kim, "A Study on the Selfish Mining of Block Chain," Proceedings of Symposium of the Korean Institute of communications and Information Sciences, pp.422-423, 2015. 

  18. I. Eyal and Emin G. Sirer, "Majority is not Enough: Bitcoin Mining is Vulnerable," In Financial Cryptography, pp.436-454, 2014. 

  19. A. Gervais, G. O. Karame, K. Wust, V. Glykantzis, H. Ritzdorf, and S. Capkun, "On the security and performance of proof of work blockchains," Proceedings of the 2016 ACM SIGSAC Conference on Computer and Communications Security, ACM, pp.3-16, Oct. 2016. 

  20. Muneeb Ali and Jude Nelson, Blockstack: A Global Naming and Storage System Secured by Blockchains, USENIX ATC, 2016. 

  21. Vitalik Buterin, "A Next Generation Smart Contract & Decentralized Application Platform," Ethereum White Paper, 2014. 

저자의 다른 논문 :

관련 콘텐츠

이 논문과 함께 이용한 콘텐츠

저작권 관리 안내
섹션별 컨텐츠 바로가기

AI-Helper ※ AI-Helper는 오픈소스 모델을 사용합니다.

AI-Helper 아이콘
AI-Helper
안녕하세요, AI-Helper입니다. 좌측 "선택된 텍스트"에서 텍스트를 선택하여 요약, 번역, 용어설명을 실행하세요.
※ AI-Helper는 부적절한 답변을 할 수 있습니다.

선택된 텍스트

맨위로