[논문]Cloud 및 IoT 시스템의 보안을 위한 소프트웨어 정의 경계기반의 접근제어시스템 개발

박승규

doi:10.7236/jiibc.2021.21.2.15

Cloud 및 IoT 시스템의 보안을 위한 소프트웨어 정의 경계기반의 접근제어시스템 개발
Development of Software-Defined Perimeter-based Access Control System for Security of Cloud and IoT System 원문보기

The journal of the institute of internet, broadcasting and communication : JIIBC, v.21 no.2, 2021년, pp.15 - 26

박승규 (남서울대학교 전자공학과)

초록
AI-Helper

최근 클라우드, 모바일, IoT의 도입이 활성화되면서 방화벽이나 NAC(Network Access Control) 등의 고정 경계(Fixed Perimeter) 기반의 기존 보안 솔루션들의 한계를 보완할 수 있는 기술 개발의 필요성이 커지고 있다. 이에 대응하여 새로운 기반 기술로써 최근 등장한 것이 SDP(Software Defined Perimeter) 이다. 이 기술은 기존 보안 기술들과 달리 보호 대상 자원(서버, IoT 게이트웨이 등)의 위치에 상관없이 보안 경계를 유연하게 설정(Gateway S/W를 설치)하여, 날로 다양화·고도화되고 있는 네트워크 기반 해킹 공격을 대부분 무력화할 수 있으며 특히, Cloud 및 IoT 분야에 적합한 보안 기술로 부각 되고 있다. 본 연구에서는 SDP와 해시 트리 기반의 대규모 데이터 고속 서명 기술을 결합하여 새로운 접근제어시스템을 제안하였다. 대규모 데이터 고속 서명 기술에 의한 프로세스 인증기능을 통해 엔드포인트에 침입한 미지의 멀웨어들의 위협을 사전에 차단하고, 주요 데이터의 백업, 복구과정에서 유저 레벨의 공격이 불가능한 커널 레벨의 보안 기술을 구현하였고 그 결과 SDP의 취약 부분인 엔드포인트 보안을 강화하였다. 제안된 시스템을 시제품으로 개발하고 공인시험기관의 테스트(TTA V&V Test)로 성능시험을 완료하였다. SDP 기반 접근제어 솔루션은 스마트 자동차 보안 등에서도 활용될 수 있는 향후 잠재력이 매우 높은 기술이다.

Abstract ▼ AI-Helper

Recently, as the introduction of cloud, mobile, and IoT has become active, there is a growing need for technology development that can supplement the limitations of traditional security solutions based on fixed perimeters such as firewalls and Network Access Control (NAC). In response to this, SDP (Software Defined Perimeter) has recently emerged as a new base technology. Unlike existing security technologies, SDP can sets security boundaries (install Gateway S/W) regardless of the location of the protected resources (servers, IoT gateways, etc.) and neutralize most of the network-based hacking attacks that are becoming increasingly sofiscated. In particular, SDP is regarded as a security technology suitable for the cloud and IoT fields. In this study, a new access control system was proposed by combining SDP and hash tree-based large-scale data high-speed signature technology. Through the process authentication function using large-scale data high-speed signature technology, it prevents the threat of unknown malware intruding into the endpoint in advance, and implements a kernel-level security technology that makes it impossible for user-level attacks during the backup and recovery of major data. As a result, endpoint security, which is a weak part of SDP, has been strengthened. The proposed system was developed as a prototype, and the performance test was completed through a test of an authorized testing agency (TTA V&V Test). The SDP-based access control solution is a technology with high potential that can be used in smart car security.

주제어

표/그림 (18)

그림 그림 1. SDP 아키텍처와 데이터 흐름 Fig. 1. SDP Architecture and Data Flow
그림 그림 2. SDP 서비스 접속 모델 Fig. 2. SDP Service Connection Model
그림 그림 3. SDP 클라언트 말웨어 보안 공격 Fig. 3. SDP Client Attack by Malwares
그림 그림 4. 멀웨어 예방 시스템 개요 Fig. 4. Malware Protection System overview
그림 그림 5. 해시 트리 Fig. 5. Hash Tree
그림 그림 6. 제안된 SDP 기반 접근제어시스템 개요 Fig. 6. Proposed SDP Based Security System Overview
그림 그림 7. SPA 패킷 구조 Fig. 7. SPA Packet Structure
그림 그림 8. SPA 인증 프로토콜 Fig. 8. SPA Authentication Protocol
그림 그림 9. SDP 클라이언트-컨트롤러 시큐어 채널 성립을 위한 인증 프로토콜 Fig. 9. SDP Client-Controller Authentication Protocol for Secure Channel
그림 그림 10. 접속 가능 서비스 목록 전송 프로토콜 Fig. 10. Available Service List Transfer Protocol
그림 그림 11. 사용자의 서비스 접속 프로토콜 Fig. 11. User Service Access Protocol
그림 그림 12. 시험환경구성도 Fig. 12. Test Environment
표 표 1. 테스트 환경 세부 사양 Table 1. Test Environment Specification
그림 그림 13. 무작위 인증시도 차단 Fig. 13. Random Authorization Packet Blocking
그림 그림 14. 허가된 클라이언트의 비권한 접근 시도 차단 Fig. 14. Unauthorized Access Blocking
그림 그림 15. 동시 접속자 수 Fig. 15. Concurrent User number
표 표 2. 멀웨어 차단 Table 2. Blocking Malwares
그림 그림 16. mutual TLS tunnel 전송속도 Fig. 16. mutual TLS Transfer Speed

AI 본문요약
AI-Helper

문제 정의

본 연구에서는 SDP와 해시 트리 기반의 대규모 데이터 고속 서명 기술을 결합하여 새로운 접근제어시스템을 제안하였다. 대규모 데이터 고속 서명 기술에 의한 프로세스 인증기능을 통해 엔드포인트에 침입한 미지의 멀웨어들의 위협을 사전에 차단하고, 주요 데이터의 백업, 복구과정에서 유저 레벨의 공격이 불가능한 커널 레벨의 보안 기술을 구현하였고 그 결과 SDP의 취약 부분인 엔드포인트 보안을 강화하였다.

제안 방법

또한, 서명 데이터 및 사용자가 지정하는 중요 자료들을 유저 레벨에서 접근이 불가한 커널 레벨의 스토리지에 암호화하여 저장하는 커널 레벨 백업기능을 추가하여 최종적으로 말웨어 등 사용자 시스템에 대해 발생 가능한 모든 미지의 위협에 대한 사전 방지 및 주요 데이터의 백업, 보관, 복구과정에서 사용자 레벨의 공격이 불가능한 커널 레벨의 엔드 포인트 보안시스템을 개발하였다.
일반적으로 다중요소 인증(MFA: Multi-Factor Authentication)이라 하면 지식, 소유, 속성 중 적어도 두 가지 이상의 분류에 해당하는 별도의 증거를 인증 메커니즘에 성공적으로 제시한 경우에만 사용자에게 접근권한이 주어지는 컴퓨터 접근 제어 방식을 의미한다. 본 연구에서는 Device Fingerprint, 인증서를 통해 접근단말에 대한 엄격한 다중요소 인증을 수행 한다.
해커 외부 공격 차단기능을 테스트하기 위하여, 등록되지 않은 단말기로부터 증시도 패킷을 무작위로 생성하여 SDP Gateway로 전송하였을 때 인증 성공 여부를 측정하였다.

대상 데이터

보호 대상은 SDP 클라이언트 프로그램 자체와 이를 통해 서비스 서버에 접속하는 지정 어플리케이션들이며 이 프로그램들이 외부 말웨어에 의해 위변조되는 경우를 감지하여 사전에 차단하도록 하는 기능이다. 이를 위한 구체적 방안은 아래와 같다.
본 연구에서는 타원곡선 기반의 비대칭 암호를 이용하였다. 매개변수는 보안강도 128비트로 사전에 정의된 SECP256K1 곡선과 SECP256R1 곡선을 임의로 선택하여 사용 가능하다.
악성코드 수집 사이트(marc0de.com)에서 수집된 실제 멀웨어를 시료로 하여 엔드 포인트에 멀웨어를 설치후 실행 여부를 테스트하였다.

데이터처리

목표달성의 객관적 검증을 위해 공인된 시험기관의 테스트(TTA Verification & Validation Test)를 시행하였다.
서비스 퍼포먼스 측정을 위하여, Client와 SDP Gateway간 mutual TLS setup 후 시험 프로그램을 사용하여 Client와 서비스 서버 간 평균 mutual TLS tunnel 전송속도를 측정하였다.
시험 프로그램을 이용하여 SDP Client와 SDP Gateway 및 SDP Controller간 동일 시점에 접속되어있는 동시 접속자 수(mutual TLS수) 측정하였다.

이론/모형

전자서명에는 ECDSA(Elliptic Curve Digital Signature Algorithm) Scheme이 이용되었으며, 상호인증 및 키공유에는 Full MQV(Menezes-Qu- Vanstone) C(2e, 2s, ECC MQV) Scheme이 이용되었다. 난수 생성과 키생성을 위해서 시스템 엔트로피를 엔트로피 소스로 이용하는 해시함수 기반 DRBG(Deter- ministic Random Bit Generator) Scheme을 이용한다.
매개변수는 보안강도 128비트로 사전에 정의된 SECP256K1 곡선과 SECP256R1 곡선을 임의로 선택하여 사용 가능하다. 전자서명에는 ECDSA(Elliptic Curve Digital Signature Algorithm) Scheme이 이용되었으며, 상호인증 및 키공유에는 Full MQV(Menezes-Qu- Vanstone) C(2e, 2s, ECC MQV) Scheme이 이용되었다. 난수 생성과 키생성을 위해서 시스템 엔트로피를 엔트로피 소스로 이용하는 해시함수 기반 DRBG(Deter- ministic Random Bit Generator) Scheme을 이용한다.

성능/효과

SDP 기반 접근제어 솔루션은 국내외 시장 모두에서 향후 확대 잠재력이 매우 높은 기술이라 전망된다. 향후, UI 및 편의 기능 개선, 윈도 및 안드로이드, iOS 등 운영체제의 다양성 확보 등 솔루션의 상품성 제고와 더불어 스마트 자동차 보안, 자동 검침 보안 등 신규 응용 분야의 진출도 구체화해 나갈 계획이다.
본 연구에서는 SDP와 해시 트리 기반의 대규모 데이터 고속 서명 기술을 결합하여 새로운 접근제어시스템을 제안하였다. 대규모 데이터 고속 서명 기술에 의한 프로세스 인증기능을 통해 엔드포인트에 침입한 미지의 멀웨어들의 위협을 사전에 차단하고, 주요 데이터의 백업, 복구과정에서 유저 레벨의 공격이 불가능한 커널 레벨의 보안 기술을 구현하였고 그 결과 SDP의 취약 부분인 엔드포인트 보안을 강화하였다. 제안된 시스템을 시제품으로 개발하고 공인시험기관의 테스트(TTA V&V Test)로 성능시험을 완료하였다.
제안된 시스템을 시제품으로 개발하고 공인시험기관의 테스트(TTA V&V Test)로 성능시험을 완료하였다.

후속연구

SDP 기반 접근제어 솔루션은 국내외 시장 모두에서 향후 확대 잠재력이 매우 높은 기술이라 전망된다. 향후, UI 및 편의 기능 개선, 윈도 및 안드로이드, iOS 등 운영체제의 다양성 확보 등 솔루션의 상품성 제고와 더불어 스마트 자동차 보안, 자동 검침 보안 등 신규 응용 분야의 진출도 구체화해 나갈 계획이다.

참고문헌 (17)

Information and Communication Strategy Committee, "Cloud Computing Execution (ACT) Strategy for Experiencing the 4th Industrial revolution", 2018.
CISCO, "Cisco Annual Internet Report (2018-2023) White Paper", 2020.
Juanita Koilpillai, Nya Alison Murray, "Software Defined Perimeter(SDP) and Zero Trust", Cloud Security Alliance, pp. 1-24, 2020.
Seung Kyu Park, "Development of Prevention and Post-recovery System against the Ransomwares Attacks using the Technique of Massively Data Signing and Kernel Level Backup", Journal of the Institute of Electronics and Information Engineers, Vol. 57, No. 3, pp. 56-73, March 2020. DOI: https://doi.org/10.5573/ieie.2020.57.3.57

상세보기
Seung Kyu Park, et al. "Implementation of the Large-scale Data Signature System Using Hash Tree Replication Approach", Journal of the Institute of Electronics and Information Engineers, Vol. 55, pp. 43-50, May 2018. DOI : 10.5573/ieie.2018.55.5.43

상세보기
Musa Abubakar Muhammad, Aladdin Ayesh, Pooneh Bagheri Zadeh, "Developing an Intelligent Filtering Technique for Bring Your Own Device Network Access Control", The International Conference on Future Networks and Distributed System, No. 46, 2017. DOI : 10.1145/3102304.3105573.
Jung Yoon-soo, Han Gun-hee, "Effective access control techniques between different IoT devices in the cloud environment", Journal 9 of the Korean Convergence Society, Vol. 9, pp. 57-63, 2018. DOI : 10.15207/JKCS.2018.9.4.057

원문보기 상세보기
Kang Yong-hyuk, Kim Moon-jung, Han Moon -seok, "A study on the intrusion detection technique using software-defined networking techniques in wireless sensor networks", Journal 8 of the Korean Convergence Society, Vol. 8, pp. 51-57, 2017. DOI : 10.15207/JKCS.2017.8.8.051

원문보기 상세보기
Ashish Singh & Kakali Chatterjee, "Cloud security issues and challenges: A survey", Journal of Network and Computer Applications, Vol. 79, pp. 88-115, 2017. DOI : 10.1016/j.jnca.2016.11.027.

상세보기
Miss. Shakeeba S & Khan, Miss. Sakshi S. Deshmukh., "Security in Cloud Computing Using Cryptographic Algorithms", Journal of Computer Science and Mobile Computing, Vol. 3, pp. 517-525, 2017. DOI: 10.15680/ijircce.2015.0301035
Cho Young-Ju, et al. "Operating principle and preventive measures of Ransomware", Proceedings of the Korea Contents Association Conference, pp. 91-92, May 12, 2017.
Dong Ryeol, Hwang, "A Study on the Response System of Ransomware(Master thesis)", The Graduate School of Hanseo University, pp. 34-38, August 2018.
Forrester, "Global Business Technographics ® Security Survey", 2015.
Mark Stamp, "Information Security Principles and Practice 2nd Edition", John Wiley & Sons, ch.11-13, 2011.
Eun-Sub Lee, Young-Kon Kim, "A Study on Effective Countermeasures against E-mail Propagation of Intelligent Malware," The Journal of The Institute of Internet, Broadcasting and Communication (JIIBC), Vol. 20, No. 3, pp. 189-194, 2020. DOI : 10.7236/JIIBC.2020.20.3.189

원문보기 상세보기
Yong-Sun Ko, Jae-Pyo Park, "A Study on the Ransomware Detection System Based on User Requirements Analysis for Data Restoration," Journal of the Korea Academia-Industrial cooperation Society (JKAIS), Vol. 20, No. 4, pp. 50-55, 2019. DOI : 10.5762/KAIS.2019.20.4.50

원문보기 상세보기
Sung-Min Kim, Hae-Sun Jung, Yong-Woo Lee, "Smart City Cyber Security Based on Information Security Industry ," The Journal of KIIT, Vol. 18, No. 4, pp. 129-136, 2020. DOI : 10.14801/jkiit.2020.18.4.129

상세보기

표제어: PCR

동의어: Packet Collision Rate

용어 설명 출처 목록 (6)

용어 설명: PCR은 세균 특이성이 있는 primer를 이용하여 적은 수의 세균이 있을지라도 쉽게 검출할 수 있는 유용한 방법이며, 이를 이용하여 구강 내 치면세균막이나 타액에서 직접 세균을 검출할 수 있게 되었다[8].

내보내기 구분	파일저장 인쇄 메일전송
구성항목	기본정보 상세정보 관리번호, 논문명, 저널/프로시딩명, 저자 , 발행년, 권, 호, 시작페이지, 끝페이지, 발행기관 관리번호, 논문명, 대등논문명, 저자 , 저널/프로시딩명, 발행기관, 발행년, 발행언어, 권, 호, 시작페이지, 끝페이지, ISBN, ISSN, 주제분야, 키워드, 초록(한글), 초록(영문), 저자(소속기관)
저장형식	Text(ASCII format) Excel format RefWorks Direct Export RIS format (for Reference Manager, ProCite, EndNote), Scholar's Aids, Mendeley
메일정보	받는사람 (필수) @ 보내는사람 (선택) @ 제목 내용 KISTI 검색결과 이메일 서비스
안내	총 건의 자료가 검색되었습니다. 다운받으실 자료의 인덱스를 입력하세요. (1-10,000) 검색결과의 순서대로 최대 10,000건 까지 다운로드가 가능합니다. 데이타가 많을 경우 속도가 느려질 수 있습니다.(최대 2~3분 소요) 다운로드 파일은 UTF-8 형태로 저장됩니다. 파일의 내용이 제대로 보이지 않을실 때는 웹브라우저 상단의 보기 -> 인코딩 -> 자동선택 여부를 확인하십시오. ~ Text(ASCII format) Excel format

연합인증