고신뢰 네트워킹 기술

Trusted Networking Technology

저자
예병호, 박종대 / 유무선신뢰네트워킹연구실
권호
30권 1호 (통권 151)
논문구분
차세대 네트워크 기술 특집
페이지
77-86
발행일자
2015.02.01
DOI
10.22648/ETRI.2015.J.300108
초록
최근 사이버 테러의 급증으로 인해 보안장치만으로는 방지의 한계를 나타내면서 사이버 공간에서의 네트워크 역할이 중요해지고 있다. 이에 따라 최근 세계 각국은 사이버 공격, 정보 유출 등에 의한 국가적 차원의 사이버 안보 위협을 미연에 방지하기 위해 적대국과 경쟁국이 생산한 네트워크 장비의 구매를 꺼리는 경향을 나타내고 있다. 이러한 사이버 공격, 정보 유출 등에 의한 국가적 차원의 사이버 안보 위협에 적극적으로 대처하고자 고신뢰 네트워킹 기술개발을 추진 중이다. 본고에서는 고신뢰 네트워킹 핵심기술에 해당되는 단말 관리 및 보안기술, WiFi 및 AP 기술, 네트워크 기술 및 네트워크 제어관리 기술에 대한 국내외 기술동향을 알아본다.
   4766 Downloaded 5959 Viewed
목록

Ⅰ. 서론

최근 사이버 테러의 급증으로 인해 보안장치만으로는 방지의 한계를 나타내면서 사이버 공간에서의 네트워크 역할이 중요해 지고 있다. 특히 IP 네트워크의 구조적인 취약점을 해결할 수 있는 네트워크 구조 및 장비 개발 필요성이 증대하고 있다[1]. 이에 따라 최근 세계 각국은 사이버 공격, 정보 유출 등에 의한 국가적 차원의 사이버 안보 위협을 미연에 방지하기 위해 적대국과 경쟁국이 생산한 네트워크 장비의 구매를 꺼리는 경향을 나타내고 있다. 2012년 10월 미국 하원 정보위원회에서 국가안보를 이유로 중국산 통신장비 구매 불가 선언한 것이 좋은 예이다. 또한 미국에서는 2000년 초부터 국방망/정부망의 네트워크의 안전성 확보를 위해 GIG(Global Information Grid)라는 이름으로 신기술 개발 및 구축을 추진 중이다[2].

특히 가까운 미래에 예상되는 기업, 정부, 공공기관에서 모바일 단말을 활용한 스마트워크 수요 증가 및 클라우드, u-Health, 스마트그리드 등 융합형 인프라를 통한 다양한 중요 업무 서비스 증가에 따라 네트워크의 신뢰성은 매우 중요시 되고 있다. 또한 정보의 개방을 주 내용으로 하고 있는 정부 3.0[3]을 지원하고 창조경제 실현을 위해 부처별 네트워크 제공은 물론, 서비스 융합 트렌드에 따른 스마트워크 요구를 수용하고 부처 간에 인프라와 정보를 효율적으로 공유하기 위한 고신뢰 네트워킹 기술개발이 필요성이 매우 높아지고 있다[4].

고신뢰 네트워킹 기술[1]은 첫째, 외부의 비신뢰적인 통신망으로부터 내부의 신뢰적인 통신망을 보호하기 위한 IP 주소 은닉(비공개) 기반 라우팅 기술, 둘째, 네트워크 접속을 위한 단말/사용자 인증부터 네트워크에 대한 동적인 정책 설정을 통한 지능적 제어관리를 수행하는 고신뢰 제어관리 시스템 기술, 셋째, 사설망 내부 또는 비신뢰적인(Untrusted) 통신망을 경유하여 상호 연결된 원격에서 기관의 정보 시스템에 대한 접근 및 정보 공유/전달을 위한 고신뢰 WiFi 시스템(단말, AP, 게이트웨이) 기술, 넷째, 안전한 모바일 OS, 차세대 암호화 SW, 공격분석/탐지 SW 등 보안을 강화한 네트워크 SW 기술로 이루어져 있다. (그림 1)은 고신뢰 네트워킹 기술 요소와 다양한 응용 서비스의 형태를 나타낸 것으로 유무선 단말의 안전한 접속 및 인증을 통해 네트워크 상에서 제공되는 비화 라우팅, 플로우 라우팅, 망은닉, 네트워크 제어관리 기술을 적용하여 고신뢰의 서비스를 제공한다. 특히, 안정성이 높게 요구되는 국가기간망 및 공공기관을 대상으로 더욱 활용도가 클 것이다.

(그림 1)

고신뢰 네트워킹 기술 개념도

images_1/2015/v30n1/ETRI_J003_2015_v30n1_77_f001.jpg

본고에서는 고신뢰 네트워킹 핵심기술에 해당되는 단말 관리 및 보안 기술, WiFi 및 AP 기술, 네트워크 기술 및 네트워크 제어관리 기술에 대한 국내외 기술동향을 알아본다.

Ⅱ. 고신뢰 단말 및 AP 기술

1. 단말 관리 기술

모바일 업무 환경 변화로 인해 단말을 보호하는 모바일 단말 관리(MDM: Mobile Device Management) 솔루션이 스마트워크 도입의 필수 요소로 부상하고 있으며 스마트 단말 관리 기술 특히, 스마트 단말은 Intelligence, 측위, 다중 센서, 다중 무선 정합 등을 제공함으로써, 업무 생산성 향상을 위한 편의성을 제공하는 스마트워크 핵심 장비로 이에 대한 보안 제어관리 기술이 요구되고 있다.

스마트 단말 관리 기술은 단말기 기능에 대한 관리/제어를 수행하는 MDM 기능으로부터 애플리케이션 통합 관리/제어(MAM: Mobile Application Management) 및 단말기가 접속하는 데이터/콘텐츠에 대한 관리/제어를 포함하는 MEM(Mobile Enterprise Management) 형태로 발전하고 있다.

국내의 경우, 지란지교소프트는 기존 MDM 기능에 출입 통제 기능을 추가하여 출입지역에 따라서 스마트폰 일부 기능을 사용하지 못하도록 하는 기기 통제 기능을 제공하고 있으며, 인포섹에서는 보안 제어관리, 보안 컨설팅을 통해 집약된 모바일 보안 기술을 MDM에 결합하여 모바일 오피스용 통합 모바일 보안 솔루션을 제공하고 있다. 안랩은 MDM 에이전트와 관리 서버 외에도 단말기 보안 프로그램인 'V3 모바일 엔터프라이즈'까지 포괄하는 AMC(AhnLab Mobile Center)를 제공하고 있다.

세계시장에서는 RIM, Citrix, Good Technology 등이 모바일 단말 관리 솔루션 시장을 주도하고 있다. RIM의 경우 대형 기업의 블랙베리 기기 관리를 위한 사실상의 표준인 BES(Blackberry Enterprise Service)와 35개 이상의 정책 실행이 가능한 중소기업용 솔루션을 제공하고 있으며, Good Technology는 이메일 시스템에서 플랫폼 독립적인 암호화와 특정 애플리케이션을 허가하고 권한을 부여하는 솔루션을 제공하고 있다. Citrix는 최근 젠트라이즈를 인수하여 XenMobile MDM을 출시하였으며, 2013년 6월 XenMobile MDM과 XenMobile Enterprise의 일부 기능들을 탑재한 XNC(XenMobile Netscaler Connector)와 Netscaler MPX 22000을 출시하였다[5].

2. 단말 보안 기술

개인용과 업무용 기능을 한 개 단말기로 수행하는 복합 단말기(BYOD: By Your Own Device) 형태로 발전하고 있으며, 복합 단말기는 한 개의 단말기에 개인용 및 업무용 기능을 동시에 수행하기 때문에 단말기 보안, 개인용/업무용 데이터 분리 관리, 이종 운영체계 사용에 따른 최적화 기술 등이 요구된다.

VMware는 Horizon Mobile은 가상 드라이브 기술을 통하여 한 개 단말기에 두 개의 운영체계를 두어 개인용과 업무용 운영체계를 분리하여 사용하는 방식을 제공하고 있으며, 삼성은 2013년 MWC에서 데이터 센터의 보안 솔루션을 제공하는 centrify사의 기술을 도입한 단말기 보안 솔루션으로 녹스(KNOX)를 발표하였다. 녹스는 한 개 단말기를 개인용과 업무용 영역으로 구분하고 아이콘 터치로 단말기를 개인용과 업무용으로 전환시킬 수 있는 MDM 솔루션으로 하나의 단말기에 암호화된 'Container'라는 별도 저장공간을 마련하여 AES(Ad-vanced Encryption Standard) 256bit key로 암호화하여 업무용 데이터를 저장하고 있다. 하지만 녹스, VMware Horizon Mobile의 솔루션의 경우 협력업체에 한해서만 API를 제공하여 기능 구현 및 기술 지원에 한계가 있다.

이러한 측면에서 기업망을 중심으로 개발된 현재의 스마트 단말기 관리의 국가 공공망에 적용을 위해서는 네트워크와 연계된 강화된 보안 기술이 추가되어야 하며 데이터 보안 등급에 따른 차별화된 보안 알고리즘 (ARIA(Academy Reserch Institute Agency), SEED)을 적용한 데이터 암호화 및 관리 기술, 서비스 구역 내의 보안 등급 지역에 따른 차별화된 접속 인증/허가 기술, MAC, IP 어드레스, IMEI(International Mobile Equi-pment Identity)/IMSI(International Mobile Subscriber Identity), USIM(Universal Subscriber Identity Module) 정보 등 다양한 정보를 활용하는 인증 기반 등이 통합적으로 이루어져야 한다[5].

(그림 2)는 단말 관리를 위한 정보 수집 절차로써 Device Controller는 Mobile Device 내부의 Device Agent로부터 주기적으로 OS, 버전(OS 버전, S/W 버전, 펌웨어 버전 등), 설치 Software 목록 등을 전달받아 Device Manager로 전달하여 관리함으로써 Device의 최신 상태를 유지하면서 보안 취약 요소를 점검한다. 세부적인 기능으로는 관리자 및 사용자별 관리, 분실 접수/해제/원격 Device 잠금 및 해제, 데이터 백업/삭제/복구, 분실 처리 시 위치 추적, 사용자 권한 관리 등의 분실 관리 기능과 Software 원격 배포(부서별/개인별/전체), 업그레이드/삭제, 원격 실행관리, 배포 목록 및 이력 관리 등의 소프트웨어 관리 기능, 모바일 화면캡쳐 방지, 외장메모리, WiFi, 3G, 4G, Bluetooth, 카메라 제어, 위치정보 제어(GPS), 테더링 제어(WiFi, USB 등) 등의 보안정책을 적용한다.

(그림 2)

단말 정보 수집 절차

images_1/2015/v30n1/ETRI_J003_2015_v30n1_77_f002.jpg

3. WiFi AP 기술

스마트 단말 급증에 따른 모바일 트래픽이 급격히 증가하였으며, 이러한 변화에 대처 방안으로 WiFi 관련 기술이 주목 받고 있으며, 일상생활뿐 아니라 기업의 업무 환경에서도 WiFi가 차지하는 비중이 증가하고 있다.

하지만 WiFi는 전파 수집, 불법 접속, 중간자 공격 등을 통한 사용자 주요 정보 유출과 전파 교란(Jamming), 다량의 패킷 전송을 이용한 서비스 거부 공격 등 기술적 보안 위협이 있으며, 취약한 보안 설정을 해킹해 불법 접속 및 내부망으로 침투하는 등 다양한 공격 유형이 가능하다는 기술적 보안 취약점을 가지고 있어 중요 업무 데이터 전달 시 기밀 누출에 대한 위험성을 내포하고 있다.

또한 WiFi는 무선랜 장비 및 단말 관리 미흡, 사용자 보안의식 결여로 인한 침입 허용, 전파 관리 미흡에 따른 외부자의 내부 AP 접속 및 내부자의 외부 AP 접속 허용 등과 같은 관리적 보안 위협이 상존하고 있다. 실제로 2010년, Air Tight Networks사에서 전 세계 27개 공항 대상 무선랜 취약성 조사 결과, 80% 이상이 보안에 취약한 것으로 나타났다. 또한 국내의 경우 전국의 무선 AP 42,997대에 대한 보안현황 조사 결과, 약 44.8%가 보안이 설정되지 않고 운영되고 있음이 파악되었다[6][7].

WiFi 보안 취약점에 대처하기 위해 RF 관리, DPI (Deep Packet Inspection) 등을 수행하는 무선랜 제어기, 무선 구간의 신호를 수집, 분석, 대응을 수행하여 불법 AP 및 단말 탐지/차단하는 WIPS(Wireless Intrusion Prevention System) 등의 방어 기술이 있다. 하지만 이러한 대응 기술은 무선 구간의 보안 문제점에 주안점을 두기 때문에 유무선 네트워크 통합 보안 체계에 의한 근본적인 WiFi 보안 대책에 대한 필요성이 대두되고 있다. 구체적으로는 통합 제어관리를 통한 사용자 인증, CC (Component Compliance) 인증 기준에 적합한 암호화 알고리즘 적용, VPN 게이트웨이와 연동한 AP에서의 화이트리스트를 통한 접근 차단 기술 등이 필요하다.

4. 안전한 OS 기술

AP는 개방형 OS인 Embedded Linux 사용으로 인해 보안성 취약점이 존재함에 따라 AP 내부의 Embedded Linux에 Kernel Level의 시스템 보안 기능을 추가하여 Secure OS를 보증한다. File System, Device 및 I/O 등의 동작에 대한 감시 보고 기능, Process/Program 실행 통제 기능, Root 권한 탈취 방지 기능, Hacking 방지 기능, System Audit 기능 등을 제공한다.

  • - 불법적 Root 권한 탈취 방지

  • - Linux 보안 Kernel

  • - Critical Daemon/System File 등 보호

  • - Linux Command의 원격 실행 방지

  • - 시스템 자원에 대한 강제적 접근 통제(File, I/O Device, 네트워크 등)

  • - 시스템 프로그램의 동작 감시 기능(비허용 동작 검출 등)

  • - 시스템 Hacking 방지 기능(보안OS기반 시스템 보호)

  • - 프로그램 실행 통제 기능

  • - 시스템 동작 감사 내용 기록 기능

  • - 감시와 접근 통제에 대한 감사 내용 기록)

  • - 관리서버에 감사기록 전달 기능

  • - 시스템 통제 정책 설정 기능

5. White List 기반 접근 제어 기술

White List는 Black List에서 금지된 Device/User만을 제한하는 것과 다르게 나머지는 금지하고 허용되는 Device이나 사용자들을 지정한 목록으로 '안전'이 증명된 것만을 허용한 보안 방법으로 보안성은 높지만 편의성을 심각하게 저해할 수 있어서 피싱방지 등의 제한적 영역에서만 사용되고 있다. 하지만 점차 보안 위협 등이 고도화됨에 따라 새로운 보안 방식으로 제시되고 있는 방법이다.

그리고 시스템을 이용하는 사용자들은 다양한 형태가 존재할 수 있다. 예를 들어, 회계업무를 수행하는 실무자는 회계업무용 서버에만 접근이 가능하여야 하며, 시스템 관리자는 기업 내 시스템 운영/관리를 담당하고 있으므로 관리영역 및 다양한 업무서버 접근이 가능하여야 한다. 이에 따라, 시스템에서는 현재 부각되고 있는 White List 방법을 적용하여 허가된(authorized) 사용자/단말만을 선별하여 접근 권한을 제어하도록 하며, 이러한 White List는 관리 기능을 통해 관리되며, 단말의 MAC, CoA(Care of Address), HoA(Home Address) 등 다수의 고유 정보들로 구성된다.

6. Security Posture 기술

단말 및 AP에 Security Posture Agent를 탑재하여 접속 인증 요청 시 실시간으로 장치의 DNA를 추출하고, 접속/통신 중에도 장치의 감염/변조에 대해 대응할 수 있다. 이때, DNA 추출 대상은 ELF/PE의 실행파일, 동적/정적 라이브러리 파일, 실행권한이 있는 파일, Script 파일이며, fast hashing, fattern time-space featuring를 적용하여 DNA를 생성한다.

Security Posture Manager는 실시간 추출된 DNA 정보와 원본/이전 DNA 정보를 비교한다. 또한, Device Agent App 자체에 대한 무결성 검증을 위해 로그인 시에 각 Device Agent App에 대해 DNA를 생성하여 Security posture Manager에 저장되어있는 정보와 동일한지 비교한다.

Security Posture Agent와 Manager 간의 데이터는 OTP(One Time Password) 기반 암호화 키를 적용한 ARIA 암호화 알고리즘을 사용하여 암호화한 데이터를 교환한다. 이 비교 과정에서 DNA 정보가 일치하지 않으면 인증은 거부된다. 연결이 유지되는 과정 중에도 주기적으로 DNA 정보를 추출하고 비교 절차를 통하여 장치의 위변조 상황을 확인하게 되면 연결을 종료한다.

Ⅲ. 고신뢰 네트워크 기술

1. 망은닉 기술

현재 미국 정부는 전 세계 네트워크를 미국방성의 가용 네트워크로 만들 수 있어야 하므로 Future Internet이라는 새로운 네트워크 대신에 기존 네트워크상에서 Black Core Network이라는 오버레이 방식을 사용하여 기존 인터넷 인프라를 그대로 활용하면서, 오버레이 기반의 네트워크 보안 장치 및 보안통신 시그널링 기술을 이용하여, 보안성을 요구하는 연결에 네트워크 자원의 배타적 할당과 암호화를 통한 폐쇄적 연결 서비스를 제공하고 있다. 망은닉 기술은 이를 더욱 발전시키는 개념으로, 외부의 비신뢰적인 통신망으로부터 내부의 신뢰적인 통신망을 보호하기 위한 IP 주소(서버주소)를 은닉하는 기술로써 고신뢰의 안전한 국가망을 구축할 수 있는 독창적인 기술이다[1][2]. 이와 유사한 기술로는 TOR(The Onion Routing)[8] 기술이 있으며 TOR의 경우 프록시 서버 기반의 가상 네트워크를 구성하여, End-to-End 연결성을 제공하여, 사용자 IP나 개인정보 등을 남기지 않고 접속할 수 있는 기술이다.

Black Core Network 기술은 2020년까지 미국방인터넷의 고도화를 추진 중이며, 폐쇄망(사설망)에서 공중통신망을 경유하는 트래픽의 경우, HAIPE(High Assu-rance Internet Protocol Encryption) 프로토콜을 사용하여 데이터의 암호화뿐만 아니라, HAIPE가 탑재된 에지 라우터 주소의 수시 변경을 통하여 코어망 전체를 음영화하는 기술이며, 전 세계 네트워크를 미국방성의 가용 네트워크로 만들 수 있도록 논리적 망으로 구성하여 모든 전장자원 정보의 상호연결, 실시간 정보유통을 가능하도록 하며, 세부적인 사항은 다음과 같다.

  • - HAIPE 장치와 암복호화 및 VPN(Virtual Private Network) 터널기술 적용

  • - 비밀등급별로 구분된 망을 Black Core라는 네트워크를 통해 안전하게 통합

  • - 비화망(SIPRNET: Secret Internet Protocol Router Network) 및 비비화망(NIPRNET: Non-secure Internet Protocol Router Network)과 일반망을 구분

  • - 하나의 물리적 회선을 IPSec VPN 기술을 이용해 논리적으로 분리 운용

  • - 정보수집에 필요한 자가, 임대통신, 컴퓨팅시스템과 서비스 등을 포함한 논리적 망 구성

  • - 전/평시에 전체 DoD 및 관련된 유관 조직의 전략적, 운영적, 전술적 작전 지원

  • - 공통적인 IP 인프라에서 다른 정보 접근 요구를 갖는 단말들의 원활한 통신수행

2. 네트워크 가상화 기반 망 분리 기술

안전하게 IP 네트워크를 사용하려면 서버 종류별로 단말 및 네트워크가 분리되어야 하나, 업무망, 인터넷망의 물리적 망분리·이중화로 인해 투자 및 운용비가 증가할 뿐만 아니라 사용자 불편의 증가로 사용성 저하의 반대급부로 업무정보를 상용 이메일·웹하드 서비스를 통해 교환하는 사례가 늘어, 중요 기밀의 유출 가능성이 증대하고 있다. 또한 망 일부에서 업무망·인터넷망의 접점이 발생하며, 이로 인해 전체 망의 보안성 저하와 부처별·기관별 두 개의 망을 구축·유지하고, PC, 프린터 등 업무환경을 이중으로 구성하므로 비용 부담이 크다.

가상사설망(VPN)은 인터넷에 연결된 단말이 인터넷을 통해 사설망에 접속할 수 있도록 개발된 방식으로 기존 VPN 장비는 개별 사설망별 VPN 장비가 필요하므로 VPN 장치별로 존재하는 별도의 인증서버의 통합관제가 불가능하며, 통합관제 시스템 또한 안전하게 인터넷과 인트라넷으로부터 분리되어야 하며, VPN 장치별로 별개의 네트워크를 구성할 수 있는 통합 VPN 게이트웨이가 필요하다.

네트워크 가상화를 통한 망분리 기술은 물리적인 망분리 모델의 단점인 업무 효율성 저하, 네트워크 도입비용 및 회선 임대비용 증가 등을 개선하고 정부에서 권고하는 물리적 망분리 모델과 동일한 수준의 보안성 확보가 가능한 방법으로 기존 네트워크의 변경 없이 구성하는 오버레이 모델로 적은 비용으로 원하는 만큼의 가상 네트워크를 구축할 수 있어 네트워크 측면에서는 구축 및 회선 운영에 소요되는 비용을 대폭 절감할 수 있다.

또한, 유무선 환경에서 목적별, 서비스별로 완전히 격리된 독립망 구축하고, 독립망별로 서버를 분리하고, 단말 가상화와 연계하여 사용하면 물리적 망분리 모델과 동일한 수준의 보안성 확보가 가능하다. 또한, 보안이 보장되는 VPN 기술(고신뢰 VPN)을 적용, 위조된 단말 및 사용자는 물론 위조 패킷까지 차단이 가능하며, 격리된 전용 네트워크상에서 다양한 스마트 기기를 타 업무에 영향을 주지 않고 안심하게 사용할 수 있는 환경을 제공하며, 별도의 격리된 제어/관제망을 제공함으로써 안전한 네트워크 관리 환경을 제공한다. <표 1>은 VPN 기술의 주요 기술 요소에 대하여 고신뢰 VPN 기술과 비교한 것이다.

<표 1>

기존 VPN과 고신뢰 VPN 기술 비교

images_1/2015/v30n1/ETRI_J003_2015_v30n1_77_t001.jpg

*MPLS(multi-Protocol Label Switch)

3. Secure 터널링 구조

Secure 터널은 이동성과 품질보장 기능을 동시에 갖춘 IP-in-IP 터널링 기술을 근간으로 동종 터널을 concentration하거나 이기종 터널 간을 연동하여 계층적으로 구성할 수 있는 Tunnel-in-Tunnel 기술이다. 서비스별/이용자별/기관별로 적합한 터널을 다양하게 제공하여 높은 수준의 정보보증을 보장한다.

(그림 3)은 고신뢰 네트워킹 시스템에 적용된 Secure터널링 구조로써, Secure 터널의 유형으로는 장치 사용자 단위별로 부여되는 IP 터널, AP와 Access Gateway간에 구성되는 AP 터널(관리 및 제어 터널, 다수의 사용자 데이터 터널), 액세스 게이트웨이와 서비스 게이트웨이간에 구성되는 IP 라우팅 기반의 트랜스포트 터널이 있다. 장치 사용자 단위에서 송수신 정보의 암호통신을 제공하는 IPSec 터널을 제공한다. 또한 터널별로 White List를 참조하여 터널 이용 여부를 결정한다.

(그림 3)

Secure 터널링 구조

images_1/2015/v30n1/ETRI_J003_2015_v30n1_77_f003.jpg

* GRE(Generic Routing Encapsulation)

* GW(Gateway)

액세스 게이트웨이는 단말의 집선 장소에 위치하여 White List 기반으로 가상 네트 워크별 접근 통제 및 관리 기능을 수행하며 인증된 정상적 단말(White List에 등록된 단말)의 터널을 해당 가상라우터로 집선하여 서비스 게이트웨이로 전달하며, 서비스 게이트웨이는 서버 집합 장소에 위치하여 네트워크를 가상화하고 가상 네트워크 및 서버별로 접근 통제 및 관리 기능을 수행한다. 또한 IPSec 게이트웨이는 단말에 설치된 IPSec Agent와 더불어 End-to-End 암호화를 수행하는 장비로써, 서비스 서버 앞단에 위치하여 단말로부터 서버로 전송되는 암호화된 패킷을 복호화해서 서버로 전달하고 서버로부터 단말로 전송되는 패킷을 암호화하여 단말로 전달하는 암복호화 기능을 수행한다.

4. 트래픽 관리 기술

인가된 장치별 사용자에게 요구되는 통신을 안전하게 제공하면서 가변적인 접속 규모 및 트래픽 용량 변화에 대응하고 응용 서비스별 품질 수준을 보장하는 지능형 TM(Traffic Management) 서비스가 필요한다. TM 서비스는 서비스 정책에 따라 실시간 통신망 자원의 분할과 할당을 주관한다. 특히, 네트워크 가상화 기반의 망분리, 스마트워크 서비스 등에서 요구되는 지능적인 대역폭 자원할당, 접속 지연 및 패킷 손실 관리, DDoS 공격의 감지와 완화, Fair Use 보장, 가상 서비스별 SLA (Service Level Agreement) 관리 등을 IP Flow Routing 기술로 제공한다.

사용자 애플리케이션의 품질을 보장하기 위해서는 등급(Class)별 분류 방식 보다 사용자 애플리케이션 유형(Flow)별 품질 보장이 필요하다. Flow 제어 서비스는 심층적인 트래픽 식별 기능과 애플리케이션 속성별 Poli-cing/Shaping 기능으로 정밀(Granularity)한 트래픽 제어를 수행한다. 응용 서비스 Flow별로 망 자원을 할당하여 체감 품질을 보장하고, 대역폭 이용 효율을 개선하며, Congestion이 발생한 경우, Flow 단위로 Routing 및 Forwarding을 제어하여 서비스의 품질을 보장한다. 이때, 품질 보장 유형으로 GR(Guaranteed Rate), MR (Maximum Rate), AR(Available Rate), CR(Composite Rate)이 있다.

유입되는 트래픽에 대해 IP Flow 기반의 유해 트래픽 탐지 및 완화 기술로 공격을 방어하며, 다양한 제어 정책에 따라 접속을 억제한다. 또한, 시그너처 기반의 비정상 트래픽 탐지 기능을 제공하며, 시그너처 DataBase에 사전 정의하여 등록한 시그니처와 비교하여 수행한다. Bittorrent, E-Donkey, Thundar, Poco, Kuogoo 등의 주요 P2P 애플리케이션의 Signature는 기본적으로 관리되고, 정책에 따라 간편한 방법으로 추가/삭제할 수 있다.

Ⅳ. 고신뢰 네트워크 제어관리 기술

시스코 및 쥬니퍼와 같은 네트워크 장비업체들은 자사의 장비를 관리하기 위한 네트워크 관제시스템을 보유하고 있으며, 이러한 관제시스템을 바탕으로 QoS 정책 설정 및 네트워크 관리 기능을 수행하고 있으나 해당 회사의 네트워크 장비에만 적용이 가능하며 보안 기술과 관련된 제어는 별도의 관제시스템을 이용해야만 한다.

Symantec이나 안랩과 같은 보안 장비업체들은 자사의 보안장비를 관리하기 위한 보안 관제시스템을 보유하고 있으며, 이러한 관제시스템을 이용해서 방화벽, IDS(Intrusion Detection System), IPS(Intrusion Pro-tection System) 등과 같은 장비들을 통합적으로 관리하고 있다. 이러한 관제시스템은 해당 회사의 보안 장비에만 적용이 가능하며 네트워크를 제어하기 위해서는 별도의 관제시스템을 이용해야만 한다.

기기 인증 또는 사용자 인증을 통한 네트워크 접속 인증 절차와 특정 서비스를 제공받기 위한 서비스 인증 절차가 개별적으로 진행되는 인증 메커니즘을 제공하고 있으며, 접속 인증을 통과하면 서비스 권한이 없는 사용자도 특정 서비스 서버에 인증을 요구할 수 있으므로 접속 인증과 서비스 인증을 동시에 처리하는 기술이 보안성 측면에서 우수하다. 한번의 인증으로 제공받을 서비스, QoS 정책, 보안 정책까지 결정되는 통합된 인증 기능이 필요하다.

국내에서는 네트워크 관제나 보안 관제 솔루션을 제공하는 업체들이 존재하지만 전역적으로 End-to-End에 대해서 보안 및 QoS 정책을 제어하기 위한 솔루션이 없으며 그에 대한 연구도 미비한 상태이며, 이러한 측면에서 다음과 같은 기능을 제공하는 제어관리 시스템이 필요하다.

  • •  한번의 다중 인증을 통해 보안 등급, QoS, 서비스를 인지하여 네트워크 구성, 트래픽 및 서비스에 대한 동적이고 전역적인 고신뢰 네트워킹을 제어
  • •  액세스 네트워크 기기 인증 및 제어 기능은 고신뢰 네트워크에 수용되는 단말 인증, 무선 인터넷 장치 제어 및 이동성 제어 기능 수행
  • •  고신뢰 네트워크 제어관리 기능은 코어 네트워크 영역을 제어 관리하는 기능으로 인가된 트래픽에 대한 고품질 서비스를 보장하고 비인가 트래픽에 대해 폐쇄적인 네트워크 접근을 제어
  • •  트래픽 모니터링을 통해 DDoS와 같은 네트워크 위협을 사전에 차단하고, 서비스 연속성을 위한 장애 관리, 서비스 품질 제어를 위한 자원관리 및 QoS 정책 관리 기능 제공
  • •  고신뢰 게이트웨이 제어관리 기능은 네트워크 주소 노출로 인한 네트워크 공격 차단을 목적으로 하는 망은닉 제어, 인증된 사용자별로 인가된 터널을 맵핑하도록 제어하는 계층적 터널링 제어, 사용자의 다양한 액세스 네트워크에 대한 이동성 제어 및 계층적으로 구성된 터널에 대한 QoS 제어 수행

V. 결론

지금까지 살펴본 바와 같이 고신뢰 네트워킹 기술은 단말, 무선 장치, 네트워크 장비, 서버 등을 포괄하는 기술로 가까운 미래에 예상되는 기업, 정부, 공공기관에서 모바일 단말을 활용한 스마트워크 수요 증가 및 클라우드, u-Health, 스마트그리드 등 융합형 인프라를 통한 다양한 중요 업무 서비스 증가에 따라 사이버 위협으로부터 방어을 위한 핵심 기술로써 중요성이 커지고 있으며, 이에 대한 연구개발이 더욱 필요한 시점이다.

용어해설

고신뢰 네트워킹 기술 기밀성, 가용성, 품질, 이동성 등의 관점에서 네트워크 자원의 배타적 할당과 암호화를 통한 안전하고 독립적인 연결 서비스를 제공하는 네트워크 기술을 지칭하며, 단말-네트워크-보안장비-관제시스템의 협업을 통한 토털-솔루션 제공이 가능한 기술임.

약어 정리

AES

Advanced Encryption Standard

AMC

AhnLab Mobile Center

AR

Available Rate

ARIA

Academy Reserch Institute Agency

BES

Blackberry Enterprise Service

BYOD

By Your Own Device

CC

Component Compliance

CoA

Care of Address

CR

Composite Rate

DPI

Deep Packet Inspection

GIG

Global Information Grid

GR

Guaranteed Rate

GRE

Generic Routing Encapsulation

GW

Gateway

HAIPE

High Assurance Internet Protocol Encryption

HoA

Home Address

IDS

Intrusion Detection System

IMEI

International Mobile Equipment Identity

IMSI

International Mobile Subscriber Identity

IPS

Intrusion Protection System

MAM

Mobile Application Management

MDM

Mobile Device Management

MEM

Mobile Enterprise Management

MPLS

Multi-Protocol Label Switch

MR

Maximum Rate

NIPRNET

Nonsecure Internet Protocol Router Network

OTP

One Time Password

SIPRNET

Secret Internet Protocol Router Network

SLA

Service Level Agreement

TM

Traffic Management

TOR

The Onion Routing

USIM

Universal Subscriber Identity Module

VPN

Virtual Private Network

WIPS

Wireless Intrusion Prevention System

XNC

XenMobile Netscaler Connector

[1] 

KEIT PD Issue Report, “세이프네트워크 기술,” 2013. 4.

[2] 

Mr. Randy Cieslak, “GIG 3.0 Design Factors,”Public Intelligence, http://info.publicintelligence.net/USPACO M-GIG.pdf

[3] 

관계부처 합동, “정부 3.0 추진 기본계획,” 2013. 6. 19.

[4] 

한국인터넷진흥원, “2012 국내 지식정보보안산업실태조사,” 2012. 11.

[5] 

송종태 외, “세이프 네트워크 기술,” 전자통신동향분석, vol. 27, no. 6, 2013. 12.

[6] 

한국인터넷진흥원, “2010 해킹.바이러스 현황 및 대응,” 2010. 10.

[7] 

KEIT PM Issue Report, “차세대 무선랜 보안 기술동향 및 이슈,” 2010. 10. 8.

[8] 

한국인터넷진흥원, “TOR 네트워크의 원리와 악성코드 사례 분석,” 2014. 5.

(그림 1)

고신뢰 네트워킹 기술 개념도

images_1/2015/v30n1/ETRI_J003_2015_v30n1_77_f001.jpg
(그림 2)

단말 정보 수집 절차

images_1/2015/v30n1/ETRI_J003_2015_v30n1_77_f002.jpg
(그림 3)

Secure 터널링 구조

images_1/2015/v30n1/ETRI_J003_2015_v30n1_77_f003.jpg

* GRE(Generic Routing Encapsulation)

* GW(Gateway)

<표 1>

기존 VPN과 고신뢰 VPN 기술 비교

images_1/2015/v30n1/ETRI_J003_2015_v30n1_77_t001.jpg

*MPLS(multi-Protocol Label Switch)

Sign Up
전자통신동향분석 이메일 전자저널 구독을 원하시는 경우 정확한 이메일 주소를 입력하시기 바랍니다.