[국내논문]사물인터넷 기기 보안평가를 위한 기술요소 기반의 모델 설계 및 체크리스트 적용 A Design of Technology Element-based Evaluation Model and its Application on Checklist for the IoT Device Security Evaluation원문보기
사물인터넷의 수요가 증가하면서 사용자의 중요 정보들을 수집하는 사물인터넷 기기의 보안에 대한 필요성 또한 꾸준히 증가하고 있다. 하드웨어, 프로세서, 에너지 등의 제약이 있는 사물인터넷 특성상 기존의 보안시스템을 그대로 적용하기 어렵기 때문에, 사물인터넷에 특화된 보안가이드라인 및 관련문서가 만들어지고 있다. 그러나 이들은 사물인터넷 기기 각각에 특화된 보안을 구체적으로 다루기보다는 포괄적이며 일반화된 수준의 보안을 다루고 있다. 더구나 이들은 개발자 및 서비스 제안자의 입장에서 작성되었기 때문에 특정 사물 인터넷 기기를 사용하고자 하는 일반 사용자의 입장에서 특정 사물인터넷 기기가 어느 정도 보안성을 갖추고 있는지 파악하기가 어렵다. 본 논문에서는 사물인터넷과 관련된 기존 가이드라인과 문서들을 토대로 사물인터넷 기기 각각에 대하여 보다 구체화된 보안평가용 평가모델을 설계하여 제시하였다. 아울러 이 평가모델을 토대로 대표적 사물인터넷 기기인 스마트워치를 대상으로 체크리스트를 적용하여 작성해 봄으로써 특정 사물인터넷 기기를 사용하기 전에 보안성 평가를 일반 사용자도 용이하게 할 수 있음을 보여준다.
사물인터넷의 수요가 증가하면서 사용자의 중요 정보들을 수집하는 사물인터넷 기기의 보안에 대한 필요성 또한 꾸준히 증가하고 있다. 하드웨어, 프로세서, 에너지 등의 제약이 있는 사물인터넷 특성상 기존의 보안시스템을 그대로 적용하기 어렵기 때문에, 사물인터넷에 특화된 보안가이드라인 및 관련문서가 만들어지고 있다. 그러나 이들은 사물인터넷 기기 각각에 특화된 보안을 구체적으로 다루기보다는 포괄적이며 일반화된 수준의 보안을 다루고 있다. 더구나 이들은 개발자 및 서비스 제안자의 입장에서 작성되었기 때문에 특정 사물 인터넷 기기를 사용하고자 하는 일반 사용자의 입장에서 특정 사물인터넷 기기가 어느 정도 보안성을 갖추고 있는지 파악하기가 어렵다. 본 논문에서는 사물인터넷과 관련된 기존 가이드라인과 문서들을 토대로 사물인터넷 기기 각각에 대하여 보다 구체화된 보안평가용 평가모델을 설계하여 제시하였다. 아울러 이 평가모델을 토대로 대표적 사물인터넷 기기인 스마트워치를 대상으로 체크리스트를 적용하여 작성해 봄으로써 특정 사물인터넷 기기를 사용하기 전에 보안성 평가를 일반 사용자도 용이하게 할 수 있음을 보여준다.
As the demand for Internet of Things(IoT) increases, the need for the security of IoT devices is increasing steadily. It is difficult to apply the conventional security theory to IoT devices because IoT devices are subject to be constrained by some factors such as hardware, processor, and energy. No...
As the demand for Internet of Things(IoT) increases, the need for the security of IoT devices is increasing steadily. It is difficult to apply the conventional security theory to IoT devices because IoT devices are subject to be constrained by some factors such as hardware, processor, and energy. Nowadays we have several security guidelines and related documents on IoT device. Most of them, however, do not consider the characteristics of specific IoT devices. Since they describes the security issues comprehensively, it is not easy to explain the specific security level reflecting each characteristics of IoT devices. In addition, most existing guidelines and related documents are described in view of developers and service proposers, and thus ordinary users are not able to assess whether a specific IoT device can protect their information securely or not. We propose an security evaluation model, based on the existing guidelines and related documents, for more specific IoT devices and prove that this approach is more convenient to ordinary users by creating checklists for the smart watch.
As the demand for Internet of Things(IoT) increases, the need for the security of IoT devices is increasing steadily. It is difficult to apply the conventional security theory to IoT devices because IoT devices are subject to be constrained by some factors such as hardware, processor, and energy. Nowadays we have several security guidelines and related documents on IoT device. Most of them, however, do not consider the characteristics of specific IoT devices. Since they describes the security issues comprehensively, it is not easy to explain the specific security level reflecting each characteristics of IoT devices. In addition, most existing guidelines and related documents are described in view of developers and service proposers, and thus ordinary users are not able to assess whether a specific IoT device can protect their information securely or not. We propose an security evaluation model, based on the existing guidelines and related documents, for more specific IoT devices and prove that this approach is more convenient to ordinary users by creating checklists for the smart watch.
* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.
문제 정의
이에 따라 기존의 정보보호 기술을 기반으로 하여 다양한 사물인터넷 기기환경에 적용되는 보안서비스를 제공하는 연구가 전 세계적으로 진행되고 있다[5]. 이번 장에서는 각각 다른 사물인터넷 기기에 적용할 수 있는 보안평가항목을 작성하기 위하여 사물인터넷 기기의 보안과 국내외 다양한 기관들의 보안 가이드라인에 대하여 검토해 본다.
IoT를 실현하기 위해서는 다양한 기술요소가 필요하다[9]. 본 절에서는 사물인터넷 보안평가 항목을 크게 사물인터넷의 기술적 3요소인 디바이스, 네트워크, 서비스로 구분 하여 각각의 보안 요소와 그에 대한 세부적인 요구사항들을 목적에 따라 정리하였다. 각 보안요구사항 및 세부사항은 본 논문에서 정의하고 있는 등급1에 해당되는 사물인터넷 기기의 보안 요구사항 및 기존의 국내·외 보안 가이드라인에서 참고 했으며, 각 요소별 보안 요구사항에 대한 평가 항목 내용은 <표 6>, <표 7>, <표 8>과 같다.
물론 사용자가 사물인터넷 기기를 구매하기 전 보안에 대해 고려해야 할 점을 제시해 주는 가이드라인도 존재하나 이는 대부분 사용자들이 이해하기 어렵고 접근하기 힘들다는 문제가 있다. 따라서 본 논문에서는 앞서 설명하였던 등급 1에 해당하는 스마트워치에 특화된 체크리스트를 제안한다. 체크리스트는 앞에서 연구한 내용 및 사물인터넷 기기의 보안요소를 고려하여 작성하였다[14].
본 논문에서는 사물인터넷 기기를 등급별, 기술요소에 따른 보안 요구사항 및 보안 위협을 도출하고 기존 보안가이드라인을 분석하였다. 그리고 등급 1에 해당하는 사물인터넷 기기에 대한 보안인증항목 도출방법을 제시하고 그에 적용 가능한 보안 인증 항목을 성능과 기술적 요소에 따라 각각 분류하고 정리하였다.
본 논문에서 작성한 스마트워치 보안요소 체크리스트를 활용할 경우 소비자는 특정 사물인터넷 디바이스를 구매하기 전 보안요소를 일목요연하게 파악할 수 있게 된다. 본 논문은 지금까지 전체적인 사물인터넷 보안을 다룬 연구와는 다르게 특정등급의 사물인터넷 기기에 대한 보안을 정의하고 다룰 수 있게 해준다. 또한 사물인터넷 기기를 직접 사용하는 소비자가 기기를 구매하기 전 보안에 대한 부분을 파악할 수 있도록 이를 체크리스트로 작성할 수 있도록 제공함으로써 특정 사물인터넷 기기에 대한 구체적인 보안을 고려하여 구매 여부를 신중하게 결정하도록 해준다는 측면에서 유용하다.
제안 방법
이에 따라 국내외 다양한 기관 및 협회에서 사물인터넷 보안 표준화에 대하여 연구를 진행하여 가이드라인을 제시하였다. 그러나 기존의 문서들은 사물인터넷 보안에 대해 다소 포괄적으로 다루고 있어 다양한 성능을 가지고 있는 사물인터넷에 개별적으로 적용시키기 힘들다.
본 논문에서는 기존의 사물인터넷 보안 가이드라인 및 표준화 문서를 기반으로 하여 보안평가모델을 설계하고 대표적 사물인터넷 기기인 스마트워치에 적용가능한 보안평가체크리스트를 작성하고 적용하였다.
본 장에서는 이러한 불편함을 개선하기 위해 사물인터넷 포럼에서 정의한 등급별 기기정보 및 정보보안 3요소 및 인증/인가에 대한 보안 요구사항을 고려하여 (그림 1)과 같은 등급에 따른 사물인터넷 기기에 대한 보안평가모델을 제안한다. 본 논문에서 제안하고 있는 보안평가항목은 등급1에 해당하는 기기로 제한한다.
본 논문에서 제안하고 있는 보안평가항목은 등급1에 해당하는 기기로 제한한다. 따라서 본 논문에서는 등급1에 해당하는 사물인터넷 기기에 대한 기존 보안가이드라인과 사물인터넷 기기 등급별로 필요한 보안 요구사항 및 보안위협을 함께 고려하여 보안평가항목을 설계한다.
사물인터넷의 기술적 요소에 따른 보안평가모델을 제안하기에 앞서 사물인터넷 기기 등급별 보안요구사항 및 사물인터넷 기기의 기술적 3요소에 대한 보안 요구사항을 먼저 정리하였다. ITU-T가 정의한 사물인터넷의 참조모델에 따르면, IoT 계층은 디바이스, 네트워크, 서비스 및 어플리케이션 지원계층, 어플리케이션 계층으로 구분하여 분류되고, 각 계층별로 관리기능 및 보안기능으로 구성된다.
각 보안요구사항 및 세부사항은 본 논문에서 정의하고 있는 등급1에 해당되는 사물인터넷 기기의 보안 요구사항 및 기존의 국내·외 보안 가이드라인에서 참고 했으며, 각 요소별 보안 요구사항에 대한 평가 항목 내용은 , , 과 같다.
이처럼 스마트워치의 수요는 매년 증가하고 있으며, 웨어러블 기기 시장을 선두하고 있다. 다루고 있는 사물인터넷 등급 1 기기중 대표적 기기인 스마트워치의 보안요구사항 및 보안위협에 대하여 살펴보고 앞에서 연구하였던 사물인터넷 보안평가 항목을 적용하여 스마트워치의 보안에 대해 파악할 수 있는 체크리스트를 작성하였다. 또한 본 장에서 다루고 있는 체크리스트의 내용 및 표는 저자의 학위논문[14]을 기반으로 재구성하였다.
다루고 있는 사물인터넷 등급 1 기기중 대표적 기기인 스마트워치의 보안요구사항 및 보안위협에 대하여 살펴보고 앞에서 연구하였던 사물인터넷 보안평가 항목을 적용하여 스마트워치의 보안에 대해 파악할 수 있는 체크리스트를 작성하였다. 또한 본 장에서 다루고 있는 체크리스트의 내용 및 표는 저자의 학위논문[14]을 기반으로 재구성하였다.
체크리스트 적용 사례로 S사의 S watch를 활용하였다. 본 체크리스트는 질문항목마다 가부 또는 유무의 표시를 하는 평점법을 적용하였으며, 평가란은 사실 유무(Yes, No), 해당 없음(N/A) 항목으로 나누었고 세부점검항목에서는 적용하고 있는 항목을 체크할 수 있도록 되어있다[14]. 항목체크 판단기준은 S watch의 설명서이며, 이를 참고하여 체크리스트 항목에 체크하였다.
본 논문에서는 사물인터넷 기기를 등급별, 기술요소에 따른 보안 요구사항 및 보안 위협을 도출하고 기존 보안가이드라인을 분석하였다. 그리고 등급 1에 해당하는 사물인터넷 기기에 대한 보안인증항목 도출방법을 제시하고 그에 적용 가능한 보안 인증 항목을 성능과 기술적 요소에 따라 각각 분류하고 정리하였다. 이렇게 분류된 보안인증 점검 항목을 기반으로 스마트워치에 적용 가능한 보안체크리스트를 작성하였다.
그리고 등급 1에 해당하는 사물인터넷 기기에 대한 보안인증항목 도출방법을 제시하고 그에 적용 가능한 보안 인증 항목을 성능과 기술적 요소에 따라 각각 분류하고 정리하였다. 이렇게 분류된 보안인증 점검 항목을 기반으로 스마트워치에 적용 가능한 보안체크리스트를 작성하였다. 본 논문에서 작성한 스마트워치 보안요소 체크리스트를 활용할 경우 소비자는 특정 사물인터넷 디바이스를 구매하기 전 보안요소를 일목요연하게 파악할 수 있게 된다.
대상 데이터
사물인터넷 서비스 제공자 및 제조자는 이러한 보안 요구사항을 수행하였는지의 여부를 보안 체크리스트를 통하여 체크할 수 있으며, 기기를 사용하는 사용자의 경우 자신이 구매하고자 하는 기기가 보안 요구사항을 얼마나 충족시키는 지 확인할 수 있다. 체크리스트 적용 사례로 S사의 S watch를 활용하였다. 본 체크리스트는 질문항목마다 가부 또는 유무의 표시를 하는 평점법을 적용하였으며, 평가란은 사실 유무(Yes, No), 해당 없음(N/A) 항목으로 나누었고 세부점검항목에서는 적용하고 있는 항목을 체크할 수 있도록 되어있다[14].
후속연구
또한 사물인터넷 기기를 직접 사용하는 소비자가 기기를 구매하기 전 보안에 대한 부분을 파악할 수 있도록 이를 체크리스트로 작성할 수 있도록 제공함으로써 특정 사물인터넷 기기에 대한 구체적인 보안을 고려하여 구매 여부를 신중하게 결정하도록 해준다는 측면에서 유용하다. 앞으로 본 연구결과를 토대로 각 분야의 사물인터넷 기기들 각각에 적용 가능한 보안 인증항목 및 변형된 체크리스트를 마련할 계획이다.
질의응답
핵심어
질문
논문에서 추출한 답변
ITU-T가 정의한 사물인터넷의 참조모델에 따르면, IoT 계층은 어떻게 분류되는가?
사물인터넷의 기술적 요소에 따른 보안평가모델을 제안하기에 앞서 사물인터넷 기기 등급별 보안요구사항 및 사물인터넷 기기의 기술적 3요소에 대한 보안 요구사항을 먼저 정리하였다. ITU-T가 정의한 사물인터넷의 참조모델에 따르면, IoT 계층은 디바이스, 네트워크, 서비스 및 어플리케이션 지원계층, 어플리케이션 계층으로 구분하여 분류되고, 각 계층별로 관리기능 및 보안기능으로 구성된다. 이러한 사물인터넷 기기의 기술적인 요소로는 디바이스, 네트워크, 서비스로 구성된다[8].
기존의 보안가이드라인 및 문서는 어떤 관점에서 작성되었는가?
기존의 보안가이드라인 및 문서는 주로 사물인터넷 서비스 제공자, 제조자 관점에서 작성되었다. 물론 사용자가 사물인터넷 기기를 구매하기 전 보안에 대해 고려해야 할 점을 제시해 주는 가이드라인도 존재하나 이는 대부분 사용자들이 이해하기 어렵고 접근하기 힘들다는 문제가 있다.
스마트워치 또한 같은 운영체제를 탑재하고 있는 스마트폰의 보안위협을 가지고 있을 가능성이 높은 이유는?
스마트워치는 스마트폰과 동일한 운영체제를 탑재하고 있다. 따라서 스마트워치 또한 같은 운영체제를 탑재하고 있는 스마트폰의 보안위협을 가지고 있을 가능성이 높다.
이 논문을 인용한 문헌
저자의 다른 논문 :
활용도 분석정보
상세보기
다운로드
내보내기
활용도 Top5 논문
해당 논문의 주제분야에서 활용도가 높은 상위 5개 콘텐츠를 보여줍니다. 더보기 버튼을 클릭하시면 더 많은 관련자료를 살펴볼 수 있습니다.
※ AI-Helper는 부적절한 답변을 할 수 있습니다.