BcN Security Issues

2006. 6. 8.

원 유 재

yjwon@kisa.or.kr

2

목차

1.BcN 개요

2.ITU-T X.805 취약점 분석 방법

3.BcN 정보보호 위협과 대응기술

4.IPv6 보안위협과 대응방안

5.웹 서비스 보안기술

6.웹 어플리케이션 보안기술

7.BcN 정보보호 추진방향

3

1. BcN 개요 - BcN 개념

Open API

QoS Security IPv6

홈네트워크 등 8대 서비스 u-센서 네트워크 융합형 정보단말

응 용 서 비 스

유선통신FTTH

광대역무선통신

유·무선 통합 음성·데이터 통합

전화 인터넷

통신·방송 융합

CATV DMB

광대역통합망(BcN)은 단계적으로 유·무선 통신망, 방송망, 인터넷망간 연동을

구현하고 최종적으로는 유비쿼터스 센서 네트워크가 AII-IP망으로 통합되는

개념이며, 이기종 망간 표준접속규격으로 IPv6체계를 기반으로 함

4

1. BcN 개요 – BcN 정보보호 이슈 (1/3)

개별 접속망들이 가지는 취약성의 정도가 다르므로 체계적인 보안관리가 어려움

개방형 망구조로 인해 통신망에 쉽게 접근이 가능하여 해킹 및 바이러스 유포 확대 가능성 내재

이질적인 환경증대에 따른 정보수집/배포의 어려움으로 정보공유가 부족하여 신속한 대응 어려움

개별 망에 대한 침해사고 대응 절차가 상이하여 국가 차원의 체계적인 대응필요

정보보호 제품간 표준규격이 없어 보안 정책의 일괄적인 적용 곤란

문

제

점

문

제

점

IP IP 백본망백본망DWDM Optical NetworkDWDM Optical Network

무선네트워크무선네트워크

교환국

예방 탐지

분석

복구

대응

조사DMB

이동통신

유선네트워크유선네트워크

예방 탐지

분석

복구

대응

조사

교환국

FTTH

DSLAMCableModem

xDSL

PSTN

USNUSN

환경 : 공해감시, (자연)재해관리

병원:환자 관리

홈 네트워크

물류/유통 : SCM, 재고관리쇼핑센터 : 자동계산대

RFID

동물관리

예방 탐지

분석

복구

대응

조사

서비스서비스 제공자제공자 도메인도메인

MediaSolutionFinanceCommerceEducation …

5

1. BcN 개요 – BcN 정보보호 이슈 (2/3)

• 이기종 망간 연동시 표준규격으로 통합함에 따라, 사이버공격에 취약한 인터넷망에서 발

생된 위협이 통합망을 통해 기존에는 Closed Network으로 운용되어 상대적으로 안정되

었던 개별망으로 확산되어 음성통신망, 방송망, USN까지 피해 확산 예상

• 광대역통합망의 피해수준은 통합망 전체에 심각한 악영향을 초래하므로 기존의 사후대응

과 달리 Proactive한 정보보호 기술이 요구됨

인터넷망

무선망

방송망

인터넷망

무선망

방송망

인터넷망

무선망

방송망

인터넷망

무선망

음성통신망

음성통신망

음성통신망

USN망 USN망 USN망

6

보안

위협

유형

보안보안

위협위협

유형유형

~ 1998 1999 ~ 2003

해킹, 바이러스해킹, 바이러스

DoS 공격DoS 공격

DDoS 공격DDoS 공격

인터넷 웜인터넷 웜

2004 ~ 현재

악성 BOT, BotNET악성 BOT, BotNET

공격

기법

특징

공격공격

기법기법

특징특징

독립적인 공격독립적인 공격분산 공격분산 공격

은닉화, 자동화은닉화, 자동화

Spyware, CrimewareSpyware, Crimeware

Phishing (피싱)Phishing (피싱)

조직적 / 범죄적 (금융범죄)조직적 / 범죄적 (금융범죄)

선별적 / 지능화선별적 / 지능화

사회 공학적 기법사회 공학적 기법

대응

방안

대응대응

방안방안

Point 보안 솔루션(IDS, F/W 등)

Point 보안 솔루션(IDS, F/W 등)

통합 보안 관리통합 보안 관리

분산 탐지/ 분석분산 탐지/ 분석보안위협 관리 체계 강화보안위협 관리 체계 강화

대응기구 설립/정보공유 협력대응기구 설립/정보공유 협력

제도 개선/관리적 보안 강화제도 개선/관리적 보안 강화보안동향 분석보안동향 분석

보안 위협 패러다임

지능화된 보안시스템 구축지능화된 보안시스템 구축

1.25

개인 정보 유출 피해 증가개인 정보 유출 피해 증가

중국발 웹 해킹을 통한국내 서버 해킹 증가

중국발 웹 해킹을 통한국내 서버 해킹 증가

악성 BOT에 의한간헐적 DDoS 공격 발생

(유해트래픽 증가)

악성 BOT에 의한간헐적 DDoS 공격 발생

(유해트래픽 증가)

온라인 금융 범죄 증가온라인 금융 범죄 증가

산업스파이내부자 보안사고 증가

산업스파이내부자 보안사고 증가

< 2005년 KT 연간인터넷보안성과분석 >

보안 위협 패러다임의 변화

1. BcN 개요 – BcN 정보보호 이슈 (3/3)

7

위험평가

보호대상 식별환경이해

• 핵심 기술분석• 요소 기술분석• 연관 기술분석

기술분석

보안계층별분류

• Infrastructure layer

• Service layer

• Application layer

기술정의및

범위설정

• 국제 표준규격 및

TTA 표준규격 참고

보안 목표도출

• L.P/D 테이블 도출

• 정보보호 요구사항

도출

참조모델도출

• 모듈 및 구조 도출

서비스흐름분석

• 서비스형태 분석

• 제어 및 사용자

데이터 흐름 도출

• 모듈간 I/O 분석

• 서비스 시나리오 도출

• 서비스 요구사항 도출 위협 분석

위협식별

위협평가 • 우선순위 평가

• 위협목록 도출

• 위협 테이블 도출

취약성 분석

취약성평가

취약성식별

• 우선순위 평가

• 취약성 상세 조사 분석

• 취약성 테이블 도출

보안행위별분류

• Management Plane

• Control Plane

• End-User Plane

정보보호 목표 도출

위험시나리오

도출

우선순위평가

• L/P테이블 도출

• 우선순위 평가

• 현재 적용 보안기술 분석

• 기술적 취약성 조사

현재보안기술

분석

보호대책 기술 도출

개선보안모델

• 대상별 보호대책의

상호연관성 및 중복성

배제 검토

• BcN/8대서비스

공통의 정보보호

프레임워크 최종 도출

대책권고안작성

• Security Technical

Tree 작성

• 보호기술 상세 도출

• 신규기술개발 요소

도출

• 기술트리 목록 필터링

• 최종 보호대책 도출

• 위험시나리오 도출

• 정성적 위험도 평가

정보보호 프레임워크수립

ITU-T X.805 Reference Security Architecture

2. ITU-T X.805 취약점 분석 방법(1/11)

8

IT Network의 Reference Security Architecture 수립을수립을 위한위한Systematic approach 및및 End-to-end 관점의 정보보호 분석 방법 제시제시

2. ITU-T X.805 취약점 분석 방법 (2/11)

9

2. ITU-T X.805 취약점 분석 방법 (3/11)

ITU-T Recommendation X.805

[ Three Security Layers ]

[ Three Security Planes ]< ITU/IETF Workshop on NGN >

10

Security Dimensions Security Threats

• 망의 정보보호를 위한 security measures• 8개 단위기술로 요약(8sets)

- Access Control - Data Integrity- Authentication - Availability- Non-Repudiation - Privacy- Data Confidentiality- Communication Security

• CCITT Rec. X.800(1991) 정의에 따른 위협- Destruction of information - Corruption or modification of information

- theft, removal or loss of information - disclosure of information- interruption of services

Security PlanesSecurity Layers

• 망 activity type에 따라 구별되는 3개planes

• 각 planes별로 발생하는 events는 타planes에 대해 고립되어야 함- Management Plane- Control Plane- End-user Plane

• 망 장비 및 시설의 계층적 그룹화• 각 계층별로 다른 취약점과 대책을 가짐• OSI Model의 layers로 매핑 가능함

- Infrastructure Layer- Services Layer- Application Layer

2. ITU-T X.805 취약점 분석 방법 (4/11)

11

YY

Y

2. ITU-T X.805 취약점 분석 방법 (5/11)

12

• 각 Planes과 Layers가 조합된 9개 Modules별로 적용되는 8 security dimensionsset은 다른 모듈에 적용된 set과 구분 되는 유일한 security measures를 포함

• 각 모듈별 security dimension set은 구분되는 security objectives를 갖게 됨

• 각 Planes과 Layers가 조합된 9개 Modules별로 적용되는 8 security dimensionsset은 다른 모듈에 적용된 set과 구분 되는 유일한 security measures를 포함

• 각 모듈별 security dimension set은 구분되는 security objectives를 갖게 됨

2. ITU-T X.805 취약점 분석 방법 (6/11)

13

Module 1: Infrastructure Layer, Management Plane

Security Dimension Security Objectives

Access Control

Ensure that only authorized personnel or devices are allowed to perform or attempt to perform administrative or management activities on the network device or communications link.

AuthenticationVerify the identity of the person or device performing the administrative or management Activity. Authentication techniques may be required as part of Access Control

Non-repudiationProvide a record identifying the individual or device that performed each administrative or management activity and the action that was performed.

Data confidentiality

This applies to configuration information. Protect the administrative authentication information from unauthorized access or viewing.

Communication Flow Security

remote management of a network device or communications link, ensure that the management information only flows between the remote management stations and the devices or communication links.

Data Integrity Protect the configuration information against unauthorized modification, deletion, creation, and replication.

Availability Ensure that the ability to manage the network device or communications link.

PrivacyEnsure that information that can be used to identify the network device or communications link is not available to unauthorized personnel or devices. Examples of this type of information include a network device's IP address or DNS domain name.

Module 2: Infrastructure Layer, Control Plane

Security Dimension Security Objectives

Access Control Ensure that the network device will only accept control information messages from authorized network devices

Authentication Verify the identity of the person or device observing or modifying control information resident in the network device.

Non-repudiation

Provide a record identifying each individual or device that observed or modified control information in the network device and the action that was performed. This record can be used as proof of access to or modification of the control information.

Data confidentiality

Protect control information resident in a network device or in offline storage from unauthorized access or viewing

Communication Flow Security

Ensure that control information being transported across the network only flows between the source of the control information and its desired destination. The control information is not diverted or intercepted as it flows between these endpoints

Data Integrity Protect control information resident in network devices, in-transit across the network, or stored

AvailabilityEnsure that network devices are always available to receive control information fromauthorized sources

PrivacyEnsure that information that can be used to identify the network device or communications link is not available to unauthorized personnel or devices

2. ITU-T X.805 취약점 분석 방법 (7/11)

14

보호할 대상의 계층 분류

Infrastructure/Service/ApplicationLayer

보호할 대상의 네트워킹 행위별 분류

Management/Control/End-userPlane

Technology Tree 작성을 통해 상세 요소기술 도출 및 신규기술개발 요소 발굴

ITU-T X.805 ,ISO 18028Reference Security Architecture 적용

인프라 및 서비스별 대상

BcN, WiBro, DMB, VoIP, DTV, 홈네트워크, 텔레매틱스, RFID, WCDMA

환경 이해 및 보호대상 식별

위협 분석

취약성 분석

위험 평가

정보보호 목표 및 요구사항 도출

보호대책 도출

인프라 및 서비스간 상호 연관기술분석

3대 인프라 및 8대 서비스 통합정보보호프레임워크정보보호프레임워크 도출도출

9개 대상 분석 완료?

예

아니오

8개 시큐리티 서비스를 기준으로목표 설정 및 요구사항 도출

Access control, Authentication, Non-repudiation, Data confidentiality, Communication flow security, Data integrity, Availability, Privacy

2. ITU-T X.805 취약점 분석 방법 (8/11)

15

2. ITU-T X.805 취약점 분석 방법 (9/11)

Module One

신규 BcN장비통합관리방안부재

Module Two

제어/신호정보노출및위변조

Module Three

단말의불법복제

이종망간상호연동시관리문제

IPv4와 IPv6의병행사용으로인한관리어려움

BcN환경에적합한보안장비의부재

다양한단말개발로인한취약성증가

16

Module 4

모바일환경의발달로인한공격추적의어려움

Module 5

DDoS/DoS공격으로인한서비스지연및장애

Module 6

사용자의개인정보유출서비스인증및권한관리문제

BcN에적합한법, 제도부재

다양한서비스제공으로보안취약점증가예상

온라인금융범죄증가

웜/바이러스및악성코드로인한고객 PC 장애

2. ITU-T X.805 취약점 분석 방법 (10/11)

17

Module 7

개방형 API 제공으로인해다양한취약점발생

Module 8

취약점을이용한Application 권한탈취시도

Module 9

Web Application 취약점증가

악성코드및보안취약점증가추세

Spam 메일및 Phishing증가

2. ITU-T X.805 취약점 분석 방법 (11/11)

18

3. BcN 정보보호 위협 (1/10)BcN Architecture BcNBcN Architecture Architecture

전달계층

접속계층

서비스/ 제어 계층

OXC

소프트스위치

BTS

무선망

DSLAM

xDSL

유선망

FTTH HFC

ONU

OLT CMTS

ONUBSC

AGWAGW TGW

DWDM ATMRouter

OXC

AP

Open APIG/W

응용서버

APC

이더넷

SGW

AGWSDHSDH

PSTN

보안서버

Home G/W라우터 이더넷

구내 망 및홈N/WAccess Mediator

DMB

통합단말

u-센서 네트워크

RFID WPAN (UWB 등)

센서망

방송망

DNS

단말 및홈N/W계층

19

3. BcN 정보보호 위협(2/10)BcN 계층별 위협 특성BcNBcN 계층별계층별 위협위협 특성특성

Open API

OSS/BSS서버

Application서버

IPv6기반QoS 보장형 패킷망

디지털콘텐츠

IT SoCPost PC 이동

통신DTV내장형

S/W지능형

홈네트워크

USN 망

텔레매틱스

방송망유무선통합망

유무선 통합스위치플랫폼

Open APIGateway

BcN 계층 구조

단말계층

접속계층

전달계층

제어계층

Application계층

Network API

개인정보 노출

BcN 신호/제어 정보 노출/위변조

QoS 보장을 저해하는 공격

공격의 역추적 어려움

다양한 단말로 인한 취약성증가

통합인증 (접속, 서비스)/ 통합보안관리

20

3. BcN 정보보호 위협(3/10)서비스 및 제어계층서비스서비스 및및 제어계층제어계층

소프트스위치Open API

G/W

응용서버주요 보호 대상

OSA GW, 소프트스위치(IMS), 과금서버, HSS, MRC 및 Policy서버

Open API

보안 위협 내용

사용자의 개인정보 유출 사용자의 정보가 불법적으로 유출

지적 재산권 보호 응용서비스 컨텐츠에 대한 지적재산권 침해

관리 제어 정보의 보호 문제 관리제어 정보들이 노출 및 위변조

사용자 세션 하이젝킹 위협 사용자의 세션을 가로채거나, 해제할 수 있음

소프트스위치(IMS) 및 게이트웨이의 신뢰성 보장 문제

악의적인 공격으로 비정상적으로 동작할 수 있음

핵심역할을 담당하는 구성요소로 신뢰성을 보장하여야 함

서비스 접근 인증 및 권한 문제응용 서비스에 대하여 불법적인 사용자가 접근

본래 부여된 권한을 초과하여 서비스 이용

개방형 API 제공으로 인한 비인증장비 접속 취약점

비인증 장비가 쉽게 접속

불법적인 서비스 제공 및 서비스 가로채기

새로운 Protocol의 사용 검증되지 않은 프로토콜 자체의 보안 취약성에 악용

21

3. BcN 정보보호 위협(4/10)

트래픽관리서버

과금서버

AAA HSS방송제어

서버홈 제어

서버

소프트 스위치

SIPAS

OSAGW

OSAAS

VoD/방송응용서버

홈응용서버

IM-SSF

SCP

CSC MGC

관리자

사용자

개인정보

제어정보

지적재산권

새로운 프로토콜

서비스계층

제어계층

사용자 인증사용자 인증

사용자 인증사용자 인증

서비스 인증

시스템 보호

기밀성 보장

지적재산권 보호)

관리자 인증

시스템 인증

시스템 보호

기밀성 보장신규 프로토콜 취약성

분석 및 대책마련

암호화 기법 및 접근제어를 이용한 개인정보보호

AAA를 이용한 강한 사용자 인증 및 권한 관리

DRM을 이용한 지적재산권 보호

Open Service Access GW 시스템 보호

개방형 구조에서의 서비스에 대한 인증

SSL, IPSec을 이용한 원격 장비 관리

SecureOS를 통한 게이트웨이, 소프트스위치 보호

암호화 기범을 사용하여 제어 및 설정 정보 보호

사용자 인증 통한 SIP 세션 가로채기 공격 보호

22

3. BcN 정보보호 위협(5/10)전달 계층전달전달 계층계층

OXC

AGW

AGW TGW

DWDM ATMRouter

AGWSDH

SDH

PSTN

IPv6, MPLS주요 보호 대상

IP/MPLS 에지 라우터, 서비스 스위치, AGW, TGW, SGW, IP/MPLS 코어 라우터, 인증서버, OXC, DWDM 시스템

SGW

보안 위협 내용

DoS 공격으로 인한 서비스 지연 및 장애 DoS 및 DDoS 공격을 통한 인터넷의 마비

전달망 측면에서의 서비스 품질 보장 문제대역폭을 불법적으로 사용

특정 대상의 할당 대역폭을 사용하지 못하게 하는 공격

BcN 생존성 보장 문제 악의적인 공격 혹은 기타 원인으로 서비스가 중단

이종망간 상호 연동시의 정보보호 문제연동을 방해하는 공격이 발생

연동과정에서 사용자 정보 노출

IPv4와 IPv6의 혼합 사용으로 인한 보안 문제IPv4와 IPv6 연동 취약점 악용

보안정책이나, 여러 보안기능의 적용 측면에서 어려움

23

3. BcN 정보보호 위협(6/10)

TGW

SGW

IP/MPLS에지 라우터

DWDM

AGW

QoS 정보

IP/MPLS코어 라우터

OXCIP/MPLS

코어 라우터

에지라우터

코어라우터

에지라우터

ATM ATM

라우팅 정보 스위칭 정보

BcN 코어 네트워크

기존 패킷 네트워크기존 서킷 스위치

네트워크

TGW

SGW

AGW

IP/MPLS에지 라우터

코어라우터

OXC

관리자

관리자 인증

시스템 인증

이상트래픽 탐지 분석

DDoS 공격 대응

네트워크 생존성 보장

시스템 보호

IPv4/IPv6

병행 사용

IPv4/IPv6 병행사용취약점 분석/대응

이기종망간 연동메커니즘 보호

ACL, rate-limit 기능을 이용한 DoS 공격 트래픽 제한

Black hole, Sink hole을 통한 DoS 공격 트래픽 완화

트래픽의 통합 모니터링 및 이상트래픽 분석체계 구축

One Time Password와 같은 강력한 관리자 인증

광대역 환경에 적합한 능동형 고성능 정보보호 시스템

24

3. BcN 정보보호 위협(7/10)가입자 계층가입자가입자 계층계층

BTS

DSLAM

xDSLFTTH HFC

ONU

OLT CMTS

ONUBSC

AP

APC

이더넷 DMB

DNS

무선망 유선망 방송망

주요 보호 대상

DHCP 서버, 무선망 접속장비(AP, BTS, Node-B, RAS), 유선망 접속장

비, 방송망 접속장비

보안 위협 내용

망 통합으로 인한 취약성 확산 개별망의 취약성으로 인한 피해는 모든 망으로 확산될 수 있음

악의적 공격의 위치 다양화 및 역추적 악의적인 공격자의 위치는 매우 다양/ 역추적에 있어서도 어려움

DHCP 주소 공간 고갈 공격 정상적인 사용자가 망에 접속하는 것을 방해

유·무선망 도청, 데이터 위변조 문제 음성 데이터 및 기타 멀티미디어 서비스 피해

Jamming 공격 무선 및 방송망에 jamming 공격 (QoS 보장하기 어려울 수 있음)

MITM(Man in the middle) 공격 다양한 무선 망 (WLAN, WiBro 등)

비인가자 접속 차단 문제 다양한 접속망을 동시에 이용할 수 있는 환경

25

3. BcN 정보보호 위협(8/10)

sw

MUX

BRAS

ATM

DSLAM

IP-DSLAM

Ethernet VDSL ADSL

CMTS

OTX/RX

Coaxial

ONU

HFC

PDSN

BSC

GGSN

SGSN

RNC

위성 DMB

지구국

지상파 DMB

지구국

GapFiller

유선 가입자망

무선 가입자망 방송망

WCDMAcdma2000 WLAN

관리자

사용자 기밀성 보장 기밀성 보장

사용자 인증 사용자 인증

관리자 인증

시스템 보호

이상트래픽 탐지 분석

DDoS 공격 대응

네트워크 생존성 보장

이동환경에서의공격자 역추적

사용자 인증

접속계층의 DoS 공격 트래픽 제한 기능(AcL, Rate Limit)

접속계층의 DoS 공격 트래픽 완화 (Black hole)

가입자단 트래픽의 모니터링 및 분석체계 구축

공개키 기반의 강력한 사용자 인증

암호화를 통한 사용자 정보 보호

26

3. BcN 정보보호 위협(9/10)단말 및 홈 계층단말단말 및및 홈홈 계층계층

Home G/W라우터 이더넷

구내 망 및홈N/W

통합단말

RFID WPAN (UWB 등)

센서망

U-센서네트워크

주요 보호 대상

Home GW, 다양한 단말(가전기기 등), 소형 센서, 각종 무선 PAN 기술

(Zigbee, UWB, Bluetooth 등)

보안 위협 내용

가입자망 접속장비의 정보보호 취약성 문제접속 장비의 플랫폼상에서의 취약성, 응용 프로그램상의

취약성, 사용 프로토콜상의 취약성 악용

홈 게이트웨이 안전성 보장 문제홈네트워크 내부에는 많은 개인정보가 있으며 가전을 제어

홈네트워크 마비시키기 위한 공격의 대상

위장 단말기 탐지 어려움 복제 단말기를 통하여 사용자의 통신내용을 도청

무선/USN 에 사용되는 소형 단말의 보안 취약성소형 단말기들이 보안에 취약성

개인 정보 유출

다형성 웜/바이러스/Spyware등의 출현 웜·바이러스 및 Spyware가 등장 및 빠른 확산

27

3. BcN 정보보호 위협(10/10)

Open API

OSS/BSS서버

Application서버

IPv6기반QoS 보장형 패킷망

디지털콘텐츠

IT SoCPost PC 이동

통신DTV내장형

S/W지능형

홈네트워크텔레매틱스

방송망유무선통합망

유무선 통합스위치플랫폼

Open APIGateway

BcN 계층 구조

단말계층

접속계층

전달계층

제어계층

응용계층

- 제어 시스템(플랫폼) 보호

- 제어정보 보호(정책 및 설정)

- 제어 시스템/관리자 인증

- 제어 서버에 대한 침입탐지/대응

- 통합보안관리(통합 모티터링/탐지/대응)

- 통합인증(서비스, 접속 인증)

- 개방 구조에서 응용서비스 인증

- 응용서비스 침입탐지/차단

- 응용서버 시스템(플랫폼) 보호

- 사용자 개인정보 보호

- 컨텐츠 지적재산권 보호 (DRM)

- 사용자의 개인정보 유출

- 서비스 접근인증/권한 위협

- 개방형 API 제공으로 인한 비인증 장비 접속 취약점

- 컨텐츠 지적 재산권 보호

- 관리 제어 정보의 도청/위변조

- 사용자 세션 하이젝킹 위협

- 소프트스위치(IMS) 및 게이트웨이의 신뢰성 보장 문제

- 각종 설정 정보 보호

- 서비스 품질 보장 저해 위협

- DoS 공격으로 인한 서비스지연 및 장애

- 접근인증 및 권한 문제 (불법관리자, 시스템)

- 과다 트레픽 유발을 통한DDoS 공격

- 유·무선망 도청, 데이터 위변조 위협

- 악의적 공격의 위치 다양화및 역추적

- 비인가 사용자 접속

계층별 취약성 정보보호 소요기술

- 능동 고성능 정보보호 시스템

- 네트워크 시스템/관리자 인증

- DDoS 공격 대응(QoS 저해 방지)

- 백본 네트워크 시스템 보호

- 백본 이상트래픽 탐지 분석

- 이기종망간 연동 메커니즘 보호

- 접속망 네트워크 시스템 보호

- 네트워크 시스템 관리자 인증

- 가입자 이상트래픽 탐지/대응(웜/바이러스)

- 사용자(접속) 인증

- 가입자 데이터 기밀성 보장

- 이동환경에서 공격자 역추적

USN 망

28

The security framework for the IP protocol layer has been formally defined and standardized by the IETF IP Security Working Group (IPsec) in RFC 2401

IPsec Components(IPv6 Essential p.89참조)

IP security architecture

ESP protocol/header AH protocol/header

Encryption Algorithms Authentication Algorithms

ISAKMP for IP Security

Key management framework※ Internet Security Association and Key Management Protocol

4. IPv6 보안위협과 대응방안IPsec 개요(1/7)

29

IPsec mode of operationTunnel Mode – A new packet is created using an IP-in-IP tunneling method. Original IP header can be authenticated and encrypted. This provide better protection against traffic flow analysis ( I.e Virtual Private Network )Transport Mode – IP header will be no protected by Authentication and Encryption. Typically applicable to end to end.

IPsec Protocol SuitesAuthentication Header (AH) TransformationEncapsulating Security Payload (ESP) TransformationInternet Key Exchange Protocol (IKE)

연결 관리와 정책 관리를 위한 데이터베이스

SPD(Security Policy Database) 보안 정책 데이터베이스

SAD(Security Association Database) 보안 연계 데이터베이스

4. IPv6 보안위협과 대응방안IPsec 개요(2/7)

30

Provides:Data Origin AuthenticationConnectionless IntegrityAnti-Replay Protection

Does Not ProvideMessage Confidentiality

Calculates And Verifies A Message Authentication Code (MAC) Using Transforms Specified For IPsec Standard

AH in

Tra

nspo

rtMo

de

IP UPR. LYR. PAYLOADTCP/UDP HDR

UPR. LYR. PAYLOADTCP/UDP HDRIP AH HDR

AUTHENTICATED

4. IPv6 보안위협과 대응방안IPsec 개요(3/7)

AH – Authentication Header

31

4. IPv6 보안위협과 대응방안IPsec 개요(4/7)

Provides:Data Origin AuthenticationConnectionless IntegrityMessage Confidentiality

적용방법 : ESP 단독, ESP+AH 조합된 형태 (터널모드 사용 시)

터널 종단간에 협상된 키와 암호화 알고리즘으로 데이터그램 암호화

ESP

in T

rans

port

Mode

IP UPR. LYR. PAYLOADTCP/UDP HDR

UPR. LYR. PAYLOADTCP/UDP HDRIP ESP HDR

ENCRYPTED

AUTHENTICATED

ESP TRLR. ESP AUTH.

ESP – Encapsulation Payload

32

4. IPv6 보안위협과 대응방안IPsec 개요(5/7)

말단 호스트 사이는 ESP 사용

IP headerIP header ESP headerESP header PayloadPayload ESP trailerESP trailer ESP authESP auth

New IP headerNew IP header AHAH IP headerIP header ESP headerESP header PayloadPayload ESP trailerESP trailer ESP authESP auth

IP headerIP header ESP headerESP header PayloadPayload ESP trailerESP trailer ESP authESP auth

ESP applied packetAH Added

호스트 A 와 보안 게이트웨이 1 사이

보안 게이트웨이 사이

보안 게이트웨이 2 와호스트 B 사이

Authentication only

Encryption & authentication

보안 게이트웨이 2보안 게이트웨이 1

1472 1472

IPsecIPsecIPsecIPsec

호스트 A 호스트 B

보안 게이트웨이사이는 AH 사용

AH와 ESP를 이용한 예

33

4. IPv6 보안위협과 대응방안IPsec 개요(6/7)

IPsec flow processing

34

4. IPv6 보안위협과 대응방안IPsec 개요(7/7)

IKE – Internet Key Exchange

AH, ESP 등의 암호화, 인증 서비스를 이용해서 상대방과 통신을 하기 위해서는 다음 사항을 결정해야 함

프로토콜, 암호 알고리즘, 키 등에 대한 협의

( Internet Key Exchange – IKE ) 이러한 협의 내용에 대한 기록 ( Security Association – SA )

SA는 둘 이상의 객체가 어떻게 보안 서비스를 사용하는지에 대한 relationship

각 SA는 다음 사항에 의해서 식별됨

Security Parameter Index (SPI)IP destination addressSecurity Protocol Identifier (AH or ESP)

35

4. IPv6 보안위협과 대응방안IPv6 보안 기술(1/7)

IPv4/IPv6 공통 보안 이슈스니핑(Sniffing) , 스푸핑(Spoofing)응용계층 공격Rogue 디바이스 위장 공격Man-in-the-Middle 공격플러딩(flooding) 등 DoS공격

IPv6 새로운 보안 이슈확장된 주소 공간AnycastICMPv6라우팅 헤더Hop-by-Hop 옵션 헤더Access ControlPrivacy ExtensionsFragmentationLink Local 공격Ingress Filtering & Routing 위협

36

전환단계의 보안 이슈

Firewall의 Filtering을 위한 패킷 조사

• IPsec 터널링 이슈

IPv6망내 공격자가 IPv4망에 대한 보안 공격후 주소변경으로역추적 회피 가능성

• 프라이버시 기능의 악용

주소 적법성 검사

• Ingress filtering– 터널링된 IPv4 또는 IPv6 주소의 Filtering 및 위변조

검사

• Broadcast 오용(IPv4 network)• Multicast 오용(IPv6 network)

4. IPv6 보안위협과 대응방안IPv6 보안 기술(2/7)

37

향상된 부분

자동화된 스캐닝과 웜 전파는 늘어난 주소 공간으로 어려워짐

링크로컬 주소의 사용으로 외부공격자의 내부네트워크 접근제한

IPsec 의 기본 채택으로 IPv4보다 안전한 인프라 구축이 용이

• IPsec 을 사용함으로써 IPv6 보안 취약성의 많은 부분이

해결 가능

고려할 부분

전환 기술(단계)에서의 보안 취약성

운영자들의 IPv6 운용 및 관리 부주의로 인한 취약성 노출 위험

IPv6 보안 응용 개발의 초기단계에 따른 보안기능의 강화 필요

4. IPv6 보안위협과 대응방안IPv6 보안 기술(3/7)

38

4. IPv6 보안위협과 대응방안라우팅 헤더(4/7)

Firewall

IPv6 Internet

InternalServer B

Attacker A

Internal Server CPacket Src Dst dport Rt Header

Segs LeftRt Header Address

1 A B 53 1 C

B2 A C 53 0

XA->C 패킷

1. 접근 제어 회피

3.Reflection 공격

모든 IPv6호스트들은 라우팅 헤더 처리를 해야 함(RFC2460)

2. Spoofing을 통한 DoS 공격

대응방안

호스트와 라우터: 타입0의 라우팅 헤더 처리를 제한 또는 금지

Firewall : 목적지 주소와 라우팅 헤더를 필터링

39

Anycast 서비스 (RFC3513)애니캐스트 라우터를 통해 최적(짧은 홉거리, 낮은 비용, RTT 등) 서버에게 전달

서버는 Global Unicast 주소로 응답

보안 취약성서버의 주소 위장 공격(애니캐스트 요청 -> 유니캐스트 주소 응답)스니핑을 통한 서버의 정보(유니캐스트 주소) 유출

대응 방안Firewall의 애니캐스트 주소 필터링 필요

• 외부에서의 Anycast 서비스 요청 제한

IPsec을 이용하여 위장 공격 및 정보 유출 방지

AR

Request : Anycast Addr.

Reply : Global Uncast Addr.

host A

host B

host C

Client

Anycast Group

4. IPv6 보안위협과 대응방안Anycast(5/7)

40

4. IPv6 보안위협과 대응방안Access control(6/7)

암호화된 패킷은 네트워크 기반의 firewalls이 상위 레이어의 정보를 알 수 없게 함. Distributed (personal) firewalls은 복호화 후 볼 수 있음.AH만 사용한 IPv6에서는 firewall이 상위 레이어의 정보를 볼 수 있도록 할 수 있음.

Firewall은 상위 레이어 정보를 기초로 패킷에 대한 접근을 permit or deny 가능

ESP HDRESP HDRSrc A Dst BSrc A Dst B Encrypted DataEncrypted Data What the Network Firewall Sees

What the DistributedFirewall Sees

UDP HDRUDP HDRSrc A Dst BSrc A Dst B DataData

AH HDRAH HDRSrc A Dst BSrc A Dst B DataDataUDP HDRUDP HDRWhat the Network Firewall Sees with AH

IPv6 Net

Network Firewall

Src A Dst B

Distributed Firewall

IPv6 IPsec Tunnel

41

취약성IPv4 Firewall은 터널링된 패킷의 페이로드 검사 불가능

• IPv4용 firewall – IPv4 헤더는 검사 가능– IPv4 페이로드 검사 불가능

• IPv6용 firewall– IPv4 페이로드 검사 가능 (IP protocol 41)

방안Firewall은 패킷을 디캡슐화후 검사터널 종단에서 내부망으로 전송 전에 패킷 검사 수행Firewall을 통과하는 암호화 터널(ex: IPsec-ESP) 불허용

• IPsec-AH 허용호스트 기반의 Firewall 사용

IPv4 헤더 IPv6 헤더 IPv6 페이로드(L4헤더와 데이터)

IPv4 페이로드

4. IPv6 보안위협과 대응방안터널링과 Firewall(7/7)

42

5. 웹 서비스 보안 기술 (1/7)

XML 키 관리(XKMS)

XML 키 관리(XKMS)

Web Services Security (WS-Security)Web Services Security (WS-Security)

Simple Object Access Protocol (SOAP)Simple Object Access Protocol (SOAP)

XM

L S

ecuri

tyFra

mew

ork

s

HTTP, FTP, SMTP, JMS, etcHTTP, FTP, SMTP, JMS, etc

Transport-Level Security : Secure Socket Layer (SSL)Transport-Level Security : Secure Socket Layer (SSL)

Transmission Control Protocol and Internet Protocol (TCP/IP)Transmission Control Protocol and Internet Protocol (TCP/IP)

Non-X

ML

Fra

mew

ork

s

XML 접근제어(XACML)

XML 접근제어(XACML)

XML 보안정보 교환(SAML)

XML 보안정보 교환(SAML)

43

5. 웹 서비스 보안 기술 (2/7)XML 전자서명/암호

▣ 전자문서 혹은 메시지에 대한 인증, 무결성, 부인봉쇄 서비스 제공◈전자서명된 결과가 XML 형태로 XML 및 웹서비스 환경에 접목이 용이

◈ XML에 대한 부분서명 지원

◈ Remote에 있는 대상에 대한 전자서명 가능

◈여러 개의 문서에 대한 서명을 하나의 XML 전자서명으로 처리 가능

▣ 전자문서 혹은 메시지에 대한 기밀성 제공

◈암호화된 결과가 XML 형태로 XML 및 웹서비스 환경에 접목이 용이

◈ XML에 대한 부분암호화 지원

44

5. 웹 서비스 보안 기술 (3/7)SOAP Message Security

▣ SOAP 메시지에 대한 정보보호 제공◈메시지 수준에서의 무결성과 기밀성

을 구현하기 위한 SOAP extension 의 표준 집합

◈제공되는 주요 메커니즘: - security token을 메시지의

일부로 전송하는 기능- 메시지 무결성, 인증, 부인봉쇄- 메시지 기밀성

◈ Multi-hop 을 거치는 SOAP Message의 안전한 end-to-end 전송 가능

◈ SOAP 메시지 일부분에 대한 전자서명이나 암호화 가능

◈메시지 전달 경로상의 intermediary가 추가로 전자서명이나 암호화 가능

◈ Timestamp 지원으로 메시지 중복송수신 여부 판단 가능

SOAP-Envelope

SOAP-Header

SOAP-Body

Timestamp

Security Header

Security Token

Cipher Data

Signature

Cipher Data

45

5. 웹 서비스 보안 기술 (4/7)XKMS(1/2)

▣ PKI 기능을 XML 기반 어플리케이션에 용이하게 지원할 수 있는 공개키 관리를 위한 프로토콜(XKMS : XML Key Management Spec)

◈ X-KISS (XML Key Information Service Specification)- 식별자 정보가 주어졌을 때, 필요로 하는 공개키 위치와 식별자 정보 그리고 공개키 연결 기능 지원

- X-KISS Locate Service와 Validate Service로 구성

- 인증서의 유효성 검증 서비스 제공

◈ X-KRSS (XML Key Registration Service Specification)- 키 쌍 소유자에 의한 키 쌍의 등록, 관리를 지원하는 프로토콜

- 키복구, 재발급 (갱신) 또는 키취소 기능 지원

46

5. 웹 서비스 보안 기술 (5/7)XKMS(2/2)

SOAP Request

SOAP Response

PKI Provider (1) PKI Provider (2)

XM

LSig

natu

reXM

LEncry

ption

Java

Cry

pto

Lib

rary

SO

AP

Security

X-KISS

LocateLocate

ValidateValidate

X-KRSS

RegisterRegister

ReissueReissue

RevocationRevocation

RecoveryRecovery

PKI Module Interface

Signed &Encrypted

XML Documents

<KeyBinding><…..>

Result = Valid<KeyBinding>

<KeyID> <KeyInfo>

SOAP Request

SOAP Response

Public Key

Key Pair

User (1)

User (2)

47

5. 웹 서비스 보안 기술 (6/7)XACML, SAML

▣ 공유 자원 및 시스템에 대한 사용자의 접근 권한을 명시하는 접근제어정책에 대한 표준화된 언어의 제공을 목적으로 하는 XML 기반의 접근제어 언어 (XACML : eXtensible Access Control Markup Language)

◈보안정책에 대한 표준언어 제공

- 정책의 작성, 검토, 시험 및 승인 등의 보안정책의 관리가 수월

◈기존의 접근제어 시스템에도 쉽게 적용 가능

◈ XML의 범용성, 확장성 상속

◈정책언어와 요청/응답언어로 구성

▣ 이질적인 웹 접근 관리와 보안 제품간에 인증과 인가 정보를 교환하기위해 제안된 XML 기반 언어 (SAML : Security Assertion Markup Language)

◈인증과 인가 서비스를 제공하는 다양한 벤더 플랫폼간의 상호 운용성 제공

◈인증과 인가 정보를 교환하기 위한 XML 기반의 프레임워크

◈시스템들에 의해 생성되는 정보를 전달하기 위한 일반적인 공통언어 정의

◈ SSO (Single Sign On)에 적용 가능

◈ Assertion Protocol, Binding, Profile이 정의되어 있음

48

5. 웹 서비스 보안 기술 (7/7)SAML

SAML

AuthenticationAssertion

AttributeAssertion

AuthorizationDecisionAssertion

AuthenticationAuthority

AttributeAuthority

Policy DecisionPoint

Policy EnforcementPoint

Policy Policy Policy

CredentialsCollector

SystemEntity

ApplicationRequest

<SAML 서비스 모델>

49

6. 웹 어플리케이션 보안 기술(1/3)웹 어플리케이션 방화벽

Firewall, SSL, IDS, 보안 OS 등을 이용한 네트워크 계층에서의 방어만으로는 응용 계층에 대한 공격을 막을 수 없음

Firewall

Hardened OSWeb ServerApp Server

Firewall

Dat

abas

esLe

gacy

Sy

stem

sW

eb S

ervi

ces

Dire

ctor

ies

Hum

an R

esrc

sB

illin

gCustom Developed Application Code

APPLICATIONATTACK

Net

wor

k La

yer

App

licat

ion

Laye

r (응용계층에 보안 구멍이 존재)

50

6. 웹 어플리케이션 보안 기술(2/3)웹 어플리케이션 방화벽

IP Address TCP Port HTTP Header Cookie URL Form Data

Firewall / IDS :Denial of service(DoS)Distributed DoSSYN floodPing of deathTCP session hijackingPacket fragmentation

Web 취약성 :SQL InjectionCross site scriptingCookie/Session PoisoningForceful browsing

.

.

.

ATTACKSATTACKSSQL Slammer Code Red Nimda Forceful browsing Cross site scripting OS command injectionUnicode attacks Cookie password theftCookie poisoning Web-based worms SQL injection Site defacing

웹 어플리케이션보안 솔루션의 필요

51

6. 웹 어플리케이션 보안 기술(3/3)웹 어플리케이션 방화벽

홈페이지와 웹 서버를 보호 목적

웹 해킹 및 웹 애플리케이션 취약점 공격에 대한 차단과 방어

개인 정보 및 신용카드 정보 불법 유출 방지

웹 사이트 변조 사전 차단

Hacker

Internet

내부 Network

…Web Zone

Web FirewallFirewall

IP TrafficHTTPHTTPS

AuthorizedUser

Public WebServer

WebApplication

Database

IntranetWeb Server

52

7. BcN 정보보호 추진방향

Open API

OSS/BSS서버

Application서버

IPv6기반 QoS 보장형 패킷망

디지털콘텐츠

IT SoCPost PC 이동

통신

DTV 내장형S/W

지능형홈네트워크

USN 망

텔레매틱스

방송망유무선통합망

소프트스위치Open APIGateway

통합 정보보호관리 시스템

고성능 통합정보보호시스템

유선망 유해 트래픽 탐지/차단

서비스및

제어계층

전달계층

접속계층

홈/단말계층

응용서버 보호 시스템

무선망 유해트래픽 탐지/차단

접속계층 ACL, Rate-limit, Sink hole, Black hole

전달계층 ACL, Rate-limit, Sink hole, Black hole

53

Open API

OSS/BSS서버

Application서버

IPv6기반 QoS 보장형 패킷망

디지털콘텐츠

IT SoCPost PC 이동

통신

DTV 내장형S/W

지능형홈네트워크

USN 망

텔레매틱스

방송망유무선통합망

소프트스위치Open APIGateway

통합 인증 시스템-서비스 품질에 영향 최소화

-사용자의 편리성 제공

서비스및

제어계층

전달계층

접속계층

홈/단말계층

응용서비스에 대한 사용자 인증

단말기를 통한 네트워크 접속인증

이동성에 의한 핸드오프로 인한 재인증

7. BcN 정보보호 추진방향통합인증체계구축

54

7. BcN 정보보호 추진방향가입자단까지 보안기능 확대

일반 사용자들은 자신의 단말이 유해 트래픽의 진원지가 될 수 있으며,

악의적인 공격의 피해자가 될 수 있다는 인식 부족

정보보호 관련 투자 및 관리가 어려운 중소기업의 사용자들은 회사의

데이터가 외보로 유출될 수 있다는 인식 부족

가입자 단말에서 발생하는 유해 트래픽에 대한 제어 요구 증가

가입자 단말에 대한 보안 관리 요구 증가

다양하고 이동성이 많은 단말의 사용 예상

홈 게이트웨이

레지덴셜게이트웨미

인터넷

• 유해 트래픽 탐지/차단

• 내부 단말 보안관리 (패치, 접속인증 등)

• 유해 트래픽 탐지/분석

• 홈/레지덴셜 게이트웨이 관리(ACL 등)

55

BcN

QoS 보장-Bandwidth

-Delay-Jitter

정보보호 기능으로 인한 품질저해 방지해야 함

서비스별로 요청 품질이 다르므로 QoS-Aware한 정보보호 기술 필요

QoS 관련 제어 시스템/프로토콜에 대한 공격을 통한 서비스 품질저해 공격을

예방하기 위한 정보보호 기술개발 필요

사용자 단말

응용서비스

7. BcN 정보보호 추진방향서비스 품질을 고려한 정보보호

56

BcN 시범사업에 BcN 정보보호 기술요구사항 제시

BcN시범사업의 정보보호 현황분석

시범사업의 안전성 점검 및 세부대책 마련

BcN 구축⋅운영에 참조할 수 있는 정보보호 가이드라인 개발 및 배포

BcN 품질요구사항을 만족시키는 정보보호 SLA 등급 기준 마련

BcN 안전성 확보를 위한 정보보호 관리체계 구축

BcN 정보보호 안정성 점검 및 세부대책 마련

-환경 제공

-정보보호 현황분석-안전성점검-법제정비

-관리체계 구축정보보호이행 계획

BcN시범사업자

정부

-보안기술개발-보안제품개발

정보보호 기술요구사항

BcN 정보보호 기술 및 제품

연구소/업체

정보보호 기술요구사항

세부대책/가이드라인

7. BcN 정보보호 추진방향구축단계부터 고려한 정보보호

57

사용자의 선택적 요구에 따른 정보보호 서비스(Firewall, VPN, IDS, 안티바이러스,

스팸차단 등) 제공

맞춤형 정보보호 서비스

정보보호 검역서비스

가입자 단말의 보안상태 점검을 통하여 격리/치료/접속허용 등 일련의 조치를

취하는 검역 네트워크 구축

가입자 단말에 대한 바이러스 치료, 취약점 패치, 해킹툴제거 등의 정보보호

기능에 대한 원격 수행 시스템 구축

정보보호 취약점 점검 ASP 서비스

ASP 서비스 형태로써, 보유 자산에 대한 원격 정보보호 취약점 점검 시스템 구축

취약점 점검 서비스 신청 접수 및 관리 시스템 구축

7. BcN 정보보호 추진방향정보보호시범서비스 추진

58

인터넷

검역네트워크

검역 네트워크

바이러스치료 취약점패치

해킹툴제거네트워크 접속 제어

가입자에이전트

정보보호 취약점 점검

ASP 서비스

원격 정보보호 취약점

점검 시스템

맞춤형 정보보호서비스

VPNFirewall IDS 스팸차단

안티바이러스

7. BcN 정보보호 추진방향정보보호시범서비스 추진