[논문]보안 운영체제의 성능 평가에 대한 연구

홍철호; 고영웅; 김영필; 신용녀; 김정녀; 유혁

문제 정의

Flask 구조의 특징은 어떠한 운영체제에도 적용 가능하게끔 보안구조만을 정의하고 있다는 것이다. 그리고 유연한 보안 정책의 지원을 위해서 보안 정책과 보안 정책을 수행하는 보안 메커니즘과의 엄격한 구분을 두어서 최대한의 유연성을 보장해 주고자 한다. 아래 [그림 1]은 관련 구조를 나타내고 있다.
본 실험에서는 메모리 대역폭에 대한 성능 분석을 보이고 있다. Imbench 에서 메모리 대역폭을 측정하는 bw mem 는 세가지의 옵션을 제공하며, 이중에서 cp 옵젼은 지정한 양만큼의 메모리를 0 으로 초기화하고 메모리의 반을 나머지 반에 복사하는 시간을 측정한다.
본 논문에서는 Imbench 를 이용하여 보안 운영체제인 SELinux 의 성능 평가를 수행하였으며 이를 통하여 SELinux 가 기존의 리눅스에 비해 어느 정도의 성능 차이를 보이는지 분석해 보았다. 실험결과 시스템 호 줄의 경우 null, read, write 의 경우 일반 리눅스와 SELinux 간에 차이가 크게 나지 않았지만 보안 항목들을 자주 접 근해야 하는 stat 과 open 의 경우 70% 정도의 오버혜드가 발생했다.
사용할 수 있을 것이다. 본 논문에서 보이고있는 분석 결과는 SELinux 에 한정되어 있으나, 향후 분석 대상 보안 운영체제를 확대하고 객관적인 성능을 분석할 수 있는 시나리오를 개발하는 것을 목표로 하고 있다.

제안 방법

본 논문은 리눅스 쪽의 대표적인 접근통제 프로젝트의 하나인 SELinux(Security-Enhanced Linux)를 대상으로 보안 운영체제의 성능 평가를 진행하였다. SELinux 는 일정 수준의 보안 기능을 제공하고 있으며 소스가 공개되어 있어 성능 평가 결과를 분석하는데 용이하다.
성능분석에 사용된 하드웨어 시스템 사양은 Pentium IH 866MHz, 256M RAM 의 데스크탑 PC 이다. 실험 카테고리는 보안 기능의 추가로 발생하는 지연과 대역폭에 대한 실험이며, 세부적으로 시스템 호출 지연, 파일 시스템 지연, 프로세스 지연, 메모리 대역폭 등이 匸k 이때, SELinux 의 보안 정책은 기본적으로 제공하는 예제를 이용하였다.
두 번째 실험 결과는 매초 해당되는 파일 사이즈만큼의 파일 개수를 생성하고 지우는데 걸리는 시간을 측정한 것이다. 이때 X 좌표는 파일의 크기를 변화 시키 면서 측정 했음을 보이고 있으며, Y 좌표는 단위시간에 수행한 오퍼레이션의 개수를 의미한다.

데이터처리

2 장에서는 관련 연구로 성능 분석 대상인 SELinux 와 성능 평가 도구인 Imbench 에 대해 기술한다. 3 장에서 는 Imbench 를 이용하여 SELinux 의 성능 평가를 하고 평가 결과를 분석한다. 마지막으로 4 장에서 결론을 맺는다.

성능/효과

주된 이유를 몇 가지 언급하자면 다음과 같다. 첫째, 아직까지 보안 운영체제의 중요성에 대한 인식이 널리 확산 되지 못하였다는 것을 언급할 수 있다. 즉 대부분의 시스템 관리자와 사용자들은 보안 운영체제를 도입했을 때 어떤 효과를 얻을 수 있을 것인지에 대해서 정확한 정보를 가지고 있지 못하며, 보안에 대한 인식이 부족해서 적극적으로 보안 침해에 대응하려는 태도를 가지고 있지 않다.
즉 대부분의 시스템 관리자와 사용자들은 보안 운영체제를 도입했을 때 어떤 효과를 얻을 수 있을 것인지에 대해서 정확한 정보를 가지고 있지 못하며, 보안에 대한 인식이 부족해서 적극적으로 보안 침해에 대응하려는 태도를 가지고 있지 않다. 두 번째는 보안 운영체제를 사용했을 때 기존의 응용 프로그램과의 호환성이 떨어진다는 것을 언급할 수 있다. 기존에 사용하고 있던 수많은 응용 프로그램 중에서 일부 또는 많은 프로그램들이 보안 운영체제상에서 그대로 수행되지 못하고 변경되어야 하는 문제점이 있다.
기존에 사용하고 있던 수많은 응용 프로그램 중에서 일부 또는 많은 프로그램들이 보안 운영체제상에서 그대로 수행되지 못하고 변경되어야 하는 문제점이 있다. 세 번째는 보안 운영체제를 도입했을 때, 시스템 관리를 하기 위한 교육이 필요하며, 새로운 환경에 대해서 부담감을 가지는 관리자 및 사용자들은 기존의 시스템을 그대로 사용하려는 성향을 보이게 된다. 마지막으로 중요한 이유 중의 하나는 보안 운영체제에 대한 성능이 제대로 입증되지 않았다는 사실이다.
이중에서 null 옵션은 /dev/null에 한 바이트를 써넣는데 걸리는 시간을 측정하며, 나머지 옵션은 파일 시스템에 대한 시스템 호출이다. 실험 결과에서 알 수 있듯이 SELinux 는 파일에 접근하는 오퍼레이션이 많은 시스템 호출을 수행할 때 가장 큰 성능상의 하락을 보여주고 있다. null 시스템 호출의 경우 /dev/null 디바이스를 접근할 때 보안 정책을 점검하게 되며, 이때 일반 리눅스보다 약간의 지연을 발생시키게 된다.
어느 정도인지를 보여주고 있다. 파일 생성 실험에서 파일의 크기가 0Kbyte 일 때, 일반 리눅스에 비해서 SELinux 는 대략 80 퍼센트정도의 성능을 보이고 있으며, 10Kbyte 일 때, 94 퍼센트의 성능을 보인다. 파일 제거 실험에서 파일의 크기가 0Kbyte 일 때, 일반 리눅스에 비해서 SELinux 는 대략 74 퍼센트 정도의 성능을 보이고 있으며, UJKbyte 일 때, 83 퍼센트의 성능을 보인다.
파일 생성 실험에서 파일의 크기가 0Kbyte 일 때, 일반 리눅스에 비해서 SELinux 는 대략 80 퍼센트정도의 성능을 보이고 있으며, 10Kbyte 일 때, 94 퍼센트의 성능을 보인다. 파일 제거 실험에서 파일의 크기가 0Kbyte 일 때, 일반 리눅스에 비해서 SELinux 는 대략 74 퍼센트 정도의 성능을 보이고 있으며, UJKbyte 일 때, 83 퍼센트의 성능을 보인다. 따라서 파일의 크기가 커질수록 SELinux 의 성능은 일반 리눅스의 성능과 별 차이가 없어지고 있음을 알 수 았다.
파일 제거 실험에서 파일의 크기가 0Kbyte 일 때, 일반 리눅스에 비해서 SELinux 는 대략 74 퍼센트 정도의 성능을 보이고 있으며, UJKbyte 일 때, 83 퍼센트의 성능을 보인다. 따라서 파일의 크기가 커질수록 SELinux 의 성능은 일반 리눅스의 성능과 별 차이가 없어지고 있음을 알 수 았다. 이러한 결과가 나오는 이유는 파일의 크기가 커질수록 보안 정책을 처리하는데 소요되는 지연보다 실제적으로 파일을 생성 및 제거하는데 소요되는 지연이 더 커지기 때문이다.
두 번째는 execve 옵션이며, 이것은 현재 수행되는 프로세스와 동일한 프로세스를 생성시키고 곧바로 다른 프로세스 이미지를 수행시키는 방식이다. 본 실험에서 SELinux 는 일반 리눅스보다 대략 10 퍼센트 정도 추가 지연이 발생하였다. 이러한 결과가 나오는 이유는 fork 및 execve 를 사용한 프로세스 생성 과정 중간에 파일 시스템에서 프로세스의 이미지를 찾아내고 보안 정책을 통하여 접근 허가를 얻어내는 과정이 추가되었기 때문이다.
이때, X 축은 옵션을 의미하고 Y 축은 초당 이동된 메가 바이트를 나타낸다. 실험 결과에서 메모리에 대한 읽기, 쓰기, 복사와 같은 오퍼레이션에 대해서 SELinux 와 일반 리눅스는 거의 차이가 없음을 알 수 있다. 그 이유는 메모리 객체에 대한 접근 제어 정책이 현재 지원되지 않기 때문이다.
보이는지 분석해 보았다. 실험결과 시스템 호 줄의 경우 null, read, write 의 경우 일반 리눅스와 SELinux 간에 차이가 크게 나지 않았지만 보안 항목들을 자주 접 근해야 하는 stat 과 open 의 경우 70% 정도의 오버혜드가 발생했다. 파일 시스템 지연의 경우 작은 파일을 자주 생성하고 삭제하는 경우 SELinux의 성능이 저하되는 것으로 나타났다.
실험결과 시스템 호 줄의 경우 null, read, write 의 경우 일반 리눅스와 SELinux 간에 차이가 크게 나지 않았지만 보안 항목들을 자주 접 근해야 하는 stat 과 open 의 경우 70% 정도의 오버혜드가 발생했다. 파일 시스템 지연의 경우 작은 파일을 자주 생성하고 삭제하는 경우 SELinux의 성능이 저하되는 것으로 나타났다. 프로세스 생성지연의 경우 SELinux 가 일반 리눅스 보다 10% 정도의 추가 지연이 발생하였으며, 성능의 변화가 생기는 부분은 프로세스의 이미지를 찾아내서 접근 허가를 얻어내는 과정이 추가되었기 때문이다.
본 실험 결과가 의미하는 바는 SELinux 가 파일을 생성 및 삭제할 때 파일시스템에 추가적으로 기록하는 보안 레이블과 같은 보안 요소에 의해서 추가되는 시간이 어느 정도인지를 보여주고 있다. 파일 생성 실험에서 파일의 크기가 0Kbyte 일 때, 일반 리눅스에 비해서 SELinux 는 대략 80 퍼센트정도의 성능을 보이고 있으며, 10Kbyte 일 때, 94 퍼센트의 성능을 보인다.

후속연구

본 논문의 결과로 보안 운영체제를 도입하려는 사용자들은 기존의 시스템에 비해서 어느 정도 성능의 변화가 있는지에 대한 성능 비교 분석 결과를 유용한 정보로 사용할 수 있을 것이다. 본 논문에서 보이고있는 분석 결과는 SELinux 에 한정되어 있으나, 향후 분석 대상 보안 운영체제를 확대하고 객관적인 성능을 분석할 수 있는 시나리오를 개발하는 것을 목표로 하고 있다.

내보내기 구분	파일저장 인쇄 메일전송
구성항목	기본정보 상세정보 관리번호, 논문명, 저널/프로시딩명, 저자 , 발행년, 권, 호, 시작페이지, 끝페이지, 발행기관 관리번호, 논문명, 대등논문명, 저자 , 저널/프로시딩명, 발행기관, 발행년, 발행언어, 권, 호, 시작페이지, 끝페이지, ISBN, ISSN, 주제분야, 키워드, 초록(한글), 초록(영문), 저자(소속기관)
저장형식	Text(ASCII format) Excel format RefWorks Direct Export RIS format (for Reference Manager, ProCite, EndNote), Scholar's Aids, Mendeley
메일정보	받는사람 (필수) @ 보내는사람 (선택) @ 제목 내용 KISTI 검색결과 이메일 서비스
안내	총 건의 자료가 검색되었습니다. 다운받으실 자료의 인덱스를 입력하세요. (1-10,000) 검색결과의 순서대로 최대 10,000건 까지 다운로드가 가능합니다. 데이타가 많을 경우 속도가 느려질 수 있습니다.(최대 2~3분 소요) 다운로드 파일은 UTF-8 형태로 저장됩니다. 파일의 내용이 제대로 보이지 않을실 때는 웹브라우저 상단의 보기 -> 인코딩 -> 자동선택 여부를 확인하십시오. ~ Text(ASCII format) Excel format

연합인증

[국내논문] 보안 운영체제의 성능 평가에 대한 연구
A Study on Performance Evaluation of Secure Operating Systems 원문보기

초록
AI-Helper

AI 본문요약
AI-Helper

문제 정의

제안 방법

데이터처리

성능/효과

후속연구

이 논문을 인용한 문헌

관련 콘텐츠

원문 보기

이 논문과 함께 이용한 콘텐츠

AI-Helper ※ AI-Helper는 오픈소스 모델을 사용합니다.

선택된 텍스트

연합인증

[국내논문] 보안 운영체제의 성능 평가에 대한 연구 A Study on Performance Evaluation of Secure Operating Systems 원문보기

초록 용어보기논문에서 용어와 풀이말을 자동 추출한 결과로, 시범 서비스 중입니다. AI-Helper

AI 본문요약 엑셀 다운로드 AI-Helper

문제 정의

제안 방법

데이터처리

성능/효과

후속연구

이 논문을 인용한 문헌

관련 콘텐츠

원문 보기

이 논문과 함께 이용한 콘텐츠

AI-Helper ※ AI-Helper는 오픈소스 모델을 사용합니다.

선택된 텍스트

[국내논문] 보안 운영체제의 성능 평가에 대한 연구
A Study on Performance Evaluation of Secure Operating Systems 원문보기

초록
AI-Helper

AI 본문요약
AI-Helper