[논문]제로 트러스트를 위한 소프트웨어 정의 경계(SDP) 인증 메커니즘 제안 및 ECC 암호 구현

이윤경; 김정녀

doi:10.13089/jkiisc.2022.32.6.1069

제로 트러스트를 위한 소프트웨어 정의 경계(SDP) 인증 메커니즘 제안 및 ECC 암호 구현
Software Defined Perimeter(SDP) Authentication Mechanism for Zero Trust and Implementation of ECC Cryptoraphy 원문보기

情報保護學會論文誌 = Journal of the Korea Institute of Information Security and Cryptology, v.32 no.6, 2022년, pp.1069 - 1080

초록
AI-Helper

확인하기 전에는 어느 것도 믿지 말라는 의미의 제로 트러스트가 보안에서 핫 이슈로 떠오르고 있다. 직접 확인하고, 신뢰할 수 있는 만큼만 네트워크에 연결될 수 있도록 네트워크 경계를 설정하는 것이 제로 트러스트이다. 이러한 개념은 선 검증을 하고 해당 클라이언트에 접속 권한이 있는 만큼만 네트워크 경계를 동적 방화벽으로 만들어 주는 SDP의 개념과도 맞닿아 있다. 그래서 제로 트러스트 아키텍처에서도 제로 트러스트를 실현할 수 있는 예로 SDP 모델을 추천한다. 본 논문에서는 제로 트러스트를 위하여 SDP에서 보완하여야 할 부분을 지적하고 이를 극복하는 방안을 제시한다. 또한 SDP의 엔터티가 되기 위한 과정의 하나인 온보딩 방법을 제안하고, 제안된 온보딩 방법에서 많은 시간이 소요되는 연산의 하나인 ECDSA 성능을 측정하고, ECC 성능 최적화를 위한 구현 방법을 제시한다.

Abstract ▼ AI-Helper

Zero trust, which means never trust anything before verifying it, is emerging as a hot issue in security field. After authenticating users, zero trust establishes network boundaries so that only networks in the trusted range can be accessed. This concept is also consistent with the concept of SDP, which performs pre-verification and creates a network boundary with a dynamic firewall so that clients can access only as many as they have permission to connect. Therefore, we recommend the SDP model as an example of how zero trust can be achieved in a zero trust architecture. In this paper, we point out the areas where SDP needs to be modified for zero trust and suggest ways to overcome them. In addition, we propose an onboarding method, which is one of the processes for becoming an SDP entity, and present performance measurement results.

주제어

표/그림 (16)

그림 Fig. 1. Zero trust logical component
그림 Fig. 2. Structure of SDP
그림 Fig. 3. Simplified SPA message structure
그림 Fig. 4. Simplified TLS handshake process
표 Table 1. SPA structure (SDP v1.0)
표 Table 2. SPA structure(SDP v2.0)
그림 Fig. 5. Login Request message structure
그림 Fig. 6. Login Response message structure
그림 Fig. 7. User login process
표 Table 3. Example of Status Code
그림 Fig. 8. Proposed onboarding process
그림 Fig. 9. Time required for signature generation
표 Table 4. Amount of required computation
표 Table 5. System specifications used to measure performance
그림 Fig. 10. Time required 'for signature verification
표 Table 6. Average Time required for signature generation and verification

AI 본문요약
AI-Helper

문제 정의

우리 회사 사람이니까, 우리 회사의 자산이니까 믿고 회사 네트워크로의 연결을 허용해주는 관습에서 벗어나서, 회사 네트워크에 연결하고자 하는 순간의 사용자 상황 및 사용자가 사용하는 기기의 보안 상태까지 확인한 후 회사 네트워크 접속을 허용해주되, 사용자 및 사용자가 이용 중인 기기에 대한 신뢰 상태에 따라 회사 네트워크 접속 범위를 다르게 해야 한다는 의미이다. 또한 회사 네트워크에 접속해서 다양한 회사 서버에 접속하여 어플리케이션들을 이용하는 도중에도 지속적으로 사용자의 행동을 모니터링하고, 그 결과를 사용자의 회사 네트워크 접속 범위 설정에 실시간으로 반영하는 것을 최종 목표로 한다. 사용자뿐만 아니라 사용자가 이용중인 기기의 보안 상태(예, OS 최신 업데이트 여부, 보안 프로그램 동작 여부, 기기의 무결성, 등)를 실시간으로 모니터링하여 사용자의 네트워크 접속 범위 결정에 반영한다.
본 논문에서는 이러한 SDP v2.0 스펙에서 사용자 인증의 한계를 해결하는 방안을 제시한다.

가설 설정

제안하는 방법에서 기기 인증서는 기기 생산 공장에서 기기에 대한 공인 인증서를 저장하여 출시한 상태를 가정한다. 또는 SDP를 구축하여 사용하는 회사 내에서, 회사 자산관리 서버에 등록된 기기에 대해 회사 사설 인증서(혹은 공인 인증서)를 발급하여 기기에 저장해 둔 상태를 가정한다. 그리고, 회사에서 SDP를 적용하는 경우, 컨트롤러에 회사에서 관리하는 기기들의 정보가 등록된 상태에서 시작하게 된다.
은 본 논문에서 제안하는 온보딩 과정 및 온보딩 과정에서 shared secret을 공유하는 방법을 보여준다. 제안하는 방법에서 기기 인증서는 기기 생산 공장에서 기기에 대한 공인 인증서를 저장하여 출시한 상태를 가정한다. 또는 SDP를 구축하여 사용하는 회사 내에서, 회사 자산관리 서버에 등록된 기기에 대해 회사 사설 인증서(혹은 공인 인증서)를 발급하여 기기에 저장해 둔 상태를 가정한다.

제안 방법

컴퓨팅 시스템의 성능이 좋아지면서 보안성을 확보하기 위한 RSA 인증서의 키 길이도 길어지고 있어서, 상대적으로 짧은 키 길이를 가진 ECC 기반의 인증서를 이용한 인증 서비스가 늘고 있다. 따라서 본 논문에서는 ECC 인증서를 이용한 서명 생성 및 검증을 고려한다. 또한 KCMVP 인증 알고리즘 커브의 하나인 ECC secp256r1 커브에서의 서명생성/검증 속도를 측정한다.
따라서 본 논문에서는 ECC 인증서를 이용한 서명 생성 및 검증을 고려한다. 또한 KCMVP 인증 알고리즘 커브의 하나인 ECC secp256r1 커브에서의 서명생성/검증 속도를 측정한다.
0 스펙의 SPA 메시지 구조를 보완하는 방법을 제시하였다. 또한 SDP 스펙에서 사용자 인증을 추가하는 방안을 제시하고, SPA 메시지 검증에 필요한 보안정보를 공유하는 온보딩 과정을 제안하였다. 제안한 온보딩 과정에서 기기 인증에 ECC 서명생성 및 검증을 사용하고, 이 연산에 가장 많은 시간이 소요되므로 ECC를 최적화 구현한 방법을 제시하고, ECDSA 서명 생성 및 검증에 소요되는 시간을 측정하였다.
본 논문에서 제안한 기기 온보딩 과정에서는 보안 정보를 공유하기 위해서 기기 인증서를 이용하여 기기를 인증하는 과정이 추가되었다. 기기 온보딩 과정은 기기가 회사내 네트워크에 처음 연결될 때 한 번하는 과정이지만, 새로운 인증과정이 추가되므로 추가 시간이 소요된다.
본 논문에서는 사용자의 지리적 위치와 관계없이 동일한 사용자는 동일한 과정을 통해서 회사 네트워크에 접근할 수 있어야 하고, 사용자 중심의 접근제어 정책을 네트워크 레벨에서 실행하는 SDP의 기본 개념을 거스르는 SDP v2.0 스펙의 SPA 메시지 구조를 보완하는 방법을 제시하였다. 또한 SDP 스펙에서 사용자 인증을 추가하는 방안을 제시하고, SPA 메시지 검증에 필요한 보안정보를 공유하는 온보딩 과정을 제안하였다.
본 절에서는 SDP v2.0 스펙에 기술되어있는 온보딩 과정에 오류가 있으므로 이를 보완하기 위하여 온보딩 과정에서 SPA 검증에 필요한 보안정보를 공유하는 방법을 제안한다.
본 절에서는 SDP 스펙의 Login Request 메시지를 사용자 인증에 이용하는 구체적인 방법을 제시함으로써, SDP 프로토콜을 따르면서 사용자 인증이 가능하게 하여 SDP를 제로 트러스트 아키텍처에 적용할 수 있는 방안을 제시한다. SDP 스펙의 Login Request 메시지는 Fig.
에 기술한다. 서명 생성 및 검증에 걸리는 시간 측정의 정확도를 높이기 위하여 1000회 연속 서명 생성 및 검증에 소요되는 시간을 측정하였다. 시간 측정에는 서명생성 직전과 직후에 clock( ) 함수를 호출하여 클럭 수를 구하고, 두 클럭 수의 차를 계산한 후, 이를 초당 클럭 수로 나누어 구하였다.
또한 SDP 스펙에서 사용자 인증을 추가하는 방안을 제시하고, SPA 메시지 검증에 필요한 보안정보를 공유하는 온보딩 과정을 제안하였다. 제안한 온보딩 과정에서 기기 인증에 ECC 서명생성 및 검증을 사용하고, 이 연산에 가장 많은 시간이 소요되므로 ECC를 최적화 구현한 방법을 제시하고, ECDSA 서명 생성 및 검증에 소요되는 시간을 측정하였다. 서명 생성 및 검증에 걸리는 시간을 합해도 3ms 미만이고, 이는 무시할 만한 수준이므로 제안한 온보딩 과정으로 인한 시간 오버헤드는 거의 없다고 할 수 있다.

데이터처리

4.1.절에서 구현한 ECC커브로 ECDSA 서명 생성 및 검증 기능을 구현하고 성능을 측정해 보았다. 성능 측정을 위해서 윈도우즈 노트북에 WSL2 ubuntu를 설치하여 테스트 하였고, 사용한 노트북 사양은 Table 5.

성능/효과

Fig. 9.에서 처음 1000회의 연속된 서명 생성 소요 시간은 0.457초 이므로 1회 서명 생성에 평균 0.457ms가 소요됨을 알 수 있다. 그리고 두 번째 연속된 1000회의 서명 생성에는 0.
이 논문에서 제안한 온보딩 과정은 사용자 인증과 기기 인증을 분리하여 고려함으로써 기존 SDP에서 사용자-기기 쌍(pair)으로 묶어서 접근제어 정책을 부여하는 것보다 사용자 편의성을 높일 수 있고, 사용자가 현재 사용하는 기기의 보안 상태에 따라서 접근할 수 있는 서비스의 종류 등이 달라지므로 높은 보안성을 확보할 수 있다. 즉, 사용자가 회사에 등록된 기기가 없는 외부에서 급하게 회사 메일을 확인하고자 하는 경우, 다른 사람의 PC 등을 빌려서 회사 메일서버에만 접속할 수 있도록 하는 등의 서비스가 가능해 진다.

후속연구

또한, mutual-TLS를 통해서 이미 IH-컨트롤러 간 혹은 AH와 컨트롤러 간 암호화 통신이 가능한 상태이므로 Login Request 메시지는 암호화된 TLS 채널을 통해 컨트롤러에 전송되어 사용자 ID, 패스워드에 대한 기밀성 및 무결성이 보장된다. 또한, OTP를 이용한 사용자 인증이 필요한 경우, Login Request 메시지 전송 전, 사용자로부터 OTP 값을 입력받아서 이 값을 Login Request 헤더 및 사용자 ID와 함께 전송함으로써 사용자 인증이 가능해질 것이다.
그리고, SPA 성공 후 mutual-TLS를 수행하고, TLS 세션 생성에 성공하면, 컨트롤러에 전송하는 “Login Request” 메시지에 사용자 크리덴셜(credential)을 추가할 수 있다고 기술되어 있다. 즉, TLS 핸드 쉐이크 성공 후 암호화 통신이 가능해지면, 해당 암호화 통신을 통해서 서비스 이용 요청 전 사용자 인증 메커니즘을 추가 할 수 있을 것이다.
이 논문에서 제안한 온보딩 과정은 사용자 인증과 기기 인증을 분리하여 고려함으로써 기존 SDP에서 사용자-기기 쌍(pair)으로 묶어서 접근제어 정책을 부여하는 것보다 사용자 편의성을 높일 수 있고, 사용자가 현재 사용하는 기기의 보안 상태에 따라서 접근할 수 있는 서비스의 종류 등이 달라지므로 높은 보안성을 확보할 수 있다. 즉, 사용자가 회사에 등록된 기기가 없는 외부에서 급하게 회사 메일을 확인하고자 하는 경우, 다른 사람의 PC 등을 빌려서 회사 메일서버에만 접속할 수 있도록 하는 등의 서비스가 가능해 진다. 또한 SDP에서 보안의 시작점이라 할 수 있는 사용자의 보안 정보들을 암호화 해서 IH, AH에 전송하기 때문에 보안성을 더욱 높일 수 있다.
지문인식, 얼굴인식, 홍채인식 등도 OTP와 동일하게 사용자 ID와 사용자의 생체정보를 전달함으로써 사용자 인증을 할 수 있으며, 최근 많이 사용되고 있는 FIDO 인증 기술 또한 적용이 가능할 것이다. 또한, 인증서를 이용한 사용자 인증에도 동일한 방법을 적용할 수 있다.

참고문헌 (8)

Brent Bilger, Alan Boehme, et al., "SDP Specification 1.0," CSA, April, 2014
Jason Garbis, Juanita Koilpillai, "Software Defined Perimeter(SDP) Specification v2.0," CSA, Mar. 2022
Jason Garbis, Juanita Koilpillai, "Software-Defined Perimeter Architecture Guide," CSA, 2019.
Yoon Hong, "A method for detecing phishing/pharming attacks using SSL/TLS protocols," Journal of Defense and Security, vol.1, no.2, pp. 118-134, Dec. 2019.
Ji Yeon Yang, Hyoung Kee Choi, "A Study on the Certificate Verification Testing in SSL/TLS Implementations," KICS Summer Conference 2017.pp.138-139, 2017.
CISA Cybersecurity division, "Zero trust maturity level," Pre-decisional Draft, version1.0, June 2021.
Scott Rose, O.Borchert, S. Mitchell, and S. Connelly, "Zero Trust Architecture," NIST.SP.800-207, Aug. 2020.
Juanita Koilpillai, "Software Defined Perimeter-A New Paradigm for Securing Digital Infrastructures/Systems," GTSC 2017, Aug.

저자의 다른 논문 :

표제어: PCR

동의어: Packet Collision Rate

용어 설명 출처 목록 (6)

용어 설명: PCR은 세균 특이성이 있는 primer를 이용하여 적은 수의 세균이 있을지라도 쉽게 검출할 수 있는 유용한 방법이며, 이를 이용하여 구강 내 치면세균막이나 타액에서 직접 세균을 검출할 수 있게 되었다[8].

내보내기 구분	파일저장 인쇄 메일전송
구성항목	기본정보 상세정보 관리번호, 논문명, 저널/프로시딩명, 저자 , 발행년, 권, 호, 시작페이지, 끝페이지, 발행기관 관리번호, 논문명, 대등논문명, 저자 , 저널/프로시딩명, 발행기관, 발행년, 발행언어, 권, 호, 시작페이지, 끝페이지, ISBN, ISSN, 주제분야, 키워드, 초록(한글), 초록(영문), 저자(소속기관)
저장형식	Text(ASCII format) Excel format RefWorks Direct Export RIS format (for Reference Manager, ProCite, EndNote), Scholar's Aids, Mendeley
메일정보	받는사람 (필수) @ 보내는사람 (선택) @ 제목 내용 KISTI 검색결과 이메일 서비스
안내	총 건의 자료가 검색되었습니다. 다운받으실 자료의 인덱스를 입력하세요. (1-10,000) 검색결과의 순서대로 최대 10,000건 까지 다운로드가 가능합니다. 데이타가 많을 경우 속도가 느려질 수 있습니다.(최대 2~3분 소요) 다운로드 파일은 UTF-8 형태로 저장됩니다. 파일의 내용이 제대로 보이지 않을실 때는 웹브라우저 상단의 보기 -> 인코딩 -> 자동선택 여부를 확인하십시오. ~ Text(ASCII format) Excel format

연합인증