PowerPoint 프레젠테이션

Size: px

Start display at page:

Download "PowerPoint 프레젠테이션"

지후 성
6 years ago
Views:

1 Smart City 사례로분석해보는 IoT 보안서비스 드림시큐리티 이건영

2 Contents 1. 스마트시티개요 2. 스마트시티보안위협분석 3. 스마트시티에필요한 IoT 보안방안

3 1 스마트시티란?

4 스마트시티란? 스마트시티란? 언제어디서나정보통신기술을자유롭게사용할수있는미래형첨단도시로교통, 환경, 주거, 시설등일상생활에서대두되는문제를해결하고자 ICT 기술과친환경에너지를도입하여시민들이쾌적하고편리한삶을누릴수있도록보장해주는미래형도시 정보활용 스마트행정스마트방범 방재스마트교통스마트에너지 환경스마트의료스마트복지 정보가공 도시통합운영센터 지능화된시설 첨단정보통신인프라 정보수집 도시기반시설 유비쿼터스도시기술 3

5 스마트시티범위 스마트팩토리 스마트카 스마트홈 스마트그리드 스마트시티전체가사물인터넷 (IoT) 기술로연결되어있으며, 보안기술이가장중요! 4

6 스마트시티구성요소 (1/2) 인프라데이터서비스 도시인프라 ICT 인프라 공간정보인프라 IoT Big Data Al etc. 알고리즘 도시혁신 도시서비스 IoT Big Data, AI Cloud Platform 도시의환경상태를감지해주거지와건물의온도조절 자연재해를예측하고물리적인위험감지 융합생태계조성을통해시민을위한스마트서비스실현 실시간교통상황을수집해운전자에게정보제공 공간빅데이터를활용한국토현황파악및효율적사용 스마트시티통합인프라및보안센터구축 5

7 스마트시티구성요소 (2/2) 인프라 데이터 서비스 구분 도시인프라 ICT 인프라 공간정보인프라 IoT 데이터공유 알고리즘 & 서비스 도시혁신 주요내용 스마트시티관련기술및서비스등을적용할수있는도시하드웨어 스마트시티는소프트웨어중심의사업이지만도시하드웨어의발전도필요 도시전체를연결할수있는유무선통신인프라 과거에는사람과컴퓨터의연결이주된목적이었지만스마트시티에서는사물 (Thing) 간연결이핵심 지리정보, 3D 지도, GPS 등위치측정인프라, 인공위성, Geotagging( 디지털컨텐츠의공간정보화등 ) 현실공간과사이버공간융합을위해공간정보가핵심플랫폼으로등장 공간정보이용자가사람에서사물로변환 CCTV를비롯한각종센서를통해정보를수집하고, 도시내각종인프라와사물을네트워크로연결 스마트시티구축사업에서가장시장규모가크고많은투자가필요한영역 특정부문에대해개별적으로사업을추진할수있어점진적투자확대가능 생산된데이터의자유로운공유와활용지원 좁은의미의스마트시티플랫폼으로볼수있으며, 도시내스마트시티리더들의주도적역할필요 데이터를처리 분석하는알고리즘을바탕으로한도시서비스 실제활용이가능한정보의높은품질과신뢰성확보가관건 도시문제해결을위한아이디어와새로운서비스가가능하도록하는제도및사회적환경 한국정보화진흥원 ( ) 6

스마트시티현황및전망 국내스마트시티현황 스마트시티시장규모및전망 대상스마트시티테마적용솔루션 세종 스마트시티풀패키지 ( 교통방범, 안전, 에너지 물 ) 공공자전거, BRT 우선신호제어, 주차정보시스템, 돌발상황관리, 3D 공간정보, 재난방재, 풍수해감시, 제로에너지타운등 동탄 2 스마트에너지 마이크로그리드, 제로에너지빌딩, 태양광발전, 스마트지하차도,

8 스마트시티현황및전망 국내스마트시티현황 스마트시티시장규모및전망 대상스마트시티테마적용솔루션 세종 스마트시티풀패키지 ( 교통방범, 안전, 에너지 물 ) 공공자전거, BRT 우선신호제어, 주차정보시스템, 돌발상황관리, 3D 공간정보, 재난방재, 풍수해감시, 제로에너지타운등 동탄 2 스마트에너지 마이크로그리드, 제로에너지빌딩, 태양광발전, 스마트지하차도, 스마트생활편의등 판교복합단지 스마트엔터테인먼트 가상 / 증강현실, 공공와이파이, 스마트파킹, 스마트가로등, 음악스트리밍서비스등 평택고덕 스마트세이프티 ( 교통안전, 범죄안전, 사회적약자 ) 스마트속도감지, 스마트가로등, 위급알림, 스마트횡단보도등 위례복정 부산 스마트콤플렉스매니지먼트 ( 스마트빌딩, 구역관리, 전시문화 ) 스마트시티실증단지조성 ( 기존의도시기반위에유무선네트워크와 IoT 기술적용 ) 통합관리센터, 공유차량, 스마트파킹, 스마트빌딩등 스마트파킹, 스마트가로등, 스마트빌딩에너지절약, 해운대미아방지, 드론활용해상안전, 사회적약자안심, 상황인지형대피안내시스템, IoT 기반미세안개분무서비스등 스마트시티관련시장규모는 2016 년 7,819 억달러에서연평균 16.6% 의성장률을보이며 2020 년 1.4 조달러로성장할것으로전망 스마트시티는사물인터넷 (IoT), 인공지능 (AI), 사이버물리시스템 (CPS), 빅데이터등최신 ICT 기술이접목하여매년두자릿수성장예상 7

9 2 스마트시티보안위협분석

컴퓨터가아닌다양한디바이스가연결되면서보안공격시나리오다양화 사물인터넷디바이스에대한정보획득이용이 - 라우터, 스위치, 웹서버뿐만아니라 TV,

10 IoT 보안사고발생이유 공격대상숫자증가 기기취약점공격지점확대낮은보안의식 2020 년 200 억개의디바이스가인터넷에연결 2050 년 1000 억개의디바이스가인터넷에연결 빠른시장대응, 저가의하드웨어공급, 소형 저사양디바이스에보안기능미탑재 컴퓨터가아닌다양한디바이스가연결되면서보안공격시나리오다양화 사물인터넷디바이스에대한정보획득이용이 - 라우터, 스위치, 웹서버뿐만아니라 TV, CCTV, 산업용기기등에대한정보수집및제어가능 사용자보안의식이낮아다양한보안위협존재 패스워드설정, 펌웨어업데이트등개인의보안의식함양필요 대부분이 IoT Hub 또는 IoT G/W 를통해연결 9

11 보안위협형태 제조사의이익및지적재산권침해 제조사가심혈을기울여출시한 IoT 제품을비용의지불없이복제, 유통함으로써제조사의매출에악영향을끼치며제품 / 제조사의이미지하락유발 IoT 제품에탑재된펌웨어를추출, 분석으로제조사의지적재산권침해 서비스무단이용에따른비용증가 IoT 제품의위조를통해고객대상유상서비스를무단으로사용함으로써, 제조사의서비스인프라구축및운영비용증가 인명사고유발 고객과상호작용을하거나안전을제공하는 IoT 제품의경우, 오동작, 악의적조작을통해고객에게신체적 / 정신적피해유발 인명사고발생시제조사의대한책임문제발생으로이미지하락및배 / 보상비용발생 프라이버시침해 IoT 제품의통신을도청하거나악성코드를이용, IoT 제품이수집한민감한정보를몰래탈취함으로써, 고객의프라이버시침해 개인정보탈취사고발생시제조사책임에따른이미지하락및배 / 보상비용발생 다른공격의경유지로악용 IoT 제품의보안취약점을이용한제어권탈취, 악성코드삽입등을통한 DDoS 등다른공격의경유지로악용 대규모공격경유지이용에대한제조사책임문제로분쟁발생 10

12 해킹대상및보안위협 구분센서 / 디바이스네트워크플랫폼 / 서비스 IoT 환경 설명 센서와통신기능이내장되어자동으로데이터를주고받는물리적기기, 스마트카, 스마트 TV 등 센서 / 디바이스의연결네트워크 물리적레이어, 네트워크레이어, 어플리케이션레이어 서비스를제공하기위한클라우드환경의웹사이트, 애플리케이션및빅데이터 불법디바이스 트래픽분석 불법접근 보안위협 펌웨어조작 악성코드삽입 오작동, 센싱정보유출 미승인센서사용등 도청및변조 데이터유출 불법접근 서비스거부공격등 정보유출 프라이버시침해 내부가상머신을통한패킷도청 서비스거부공격등 11

모바일앱 / 클라우드 부적절한패스워드관리 ( 복잡도, 길이 ) 70% 디바이스 / 모바일앱 / 클라우드 유효사용자 ID 확보가능 Lack of Transport Encryption 70% 디바이스인터넷통신시안전한암호화통신미사용 Insecure

13 디바이스보안취약점 사물인터넷 (IoT) 디바이스 70% 가보안취약점에노출 Insecure Web Interface 60% 디바이스 / 모바일앱 / 클라우드 웹 XSS 공격에취약, 부적절한세션관리, 기본사용자 ID/PW 사용 IoT 80% Privacy Concerns 디바이스 / 모바일앱 / 클라우드 이름, 주소, 생년월일, 건강정보, 신용카드번호등의개인정보관리소홀, 통신시암호화미사용 Insufficient Authentication/Authorization 80% 디바이스 / 모바일앱 / 클라우드 부적절한패스워드관리 ( 복잡도, 길이 ) 70% 디바이스 / 모바일앱 / 클라우드 유효사용자 ID 확보가능 Lack of Transport Encryption 70% 디바이스인터넷통신시안전한암호화통신미사용 Insecure Software/Firmware 60% 클라우드로부터디바이스소프트웨어 / 펌웨어업데이트다운로드시암호화채널미사용으로이를중간가로채기후리눅스파일시스템에마운트후소프트웨어 / 펌웨어조작가능 MISCON 2015, 한국 HP IoT 보안은 IoT 플랫폼구축의핵심 12

스마트홈보안취약점 CCTV : 자체소프트웨어결함으로영상및음성도 감청하여사생활침해 Smart TV : TV 에탑재된카메라를해킹하여영상촬영및유출 가전 : 홈네트워크라우터를해킹하여좀비가전으로만든뒤악성메일발송 온도조절기 : 가정온도기제어권을해킹하여온도제어 로봇청소기 :

14 스마트홈보안취약점 CCTV : 자체소프트웨어결함으로영상및음성도 감청하여사생활침해 Smart TV : TV 에탑재된카메라를해킹하여영상촬영및유출 가전 : 홈네트워크라우터를해킹하여좀비가전으로만든뒤악성메일발송 온도조절기 : 가정온도기제어권을해킹하여온도제어 로봇청소기 : 원격조정애플리케이션취약점을해킹하여카메라를통해감시하여사생활침해 운영체제 (OS) 위 / 변조를통해기기오작동유도 악성코드를심어해킹공격매개체로이용 악성코드를심어데이터탈취 모바일앱위 / 변조통해오작동유도 네트워크도 / 감청을통해데이터탈취 잘못된데이터를보내기기오작동유도 API( 응용프로그램인터페이스 ) 취약점을통한권한획득 13

대의자동차를원격으로조정해경적을울리거나엔진을갑자기정지하는사건발생 원격제어기능을악용한스마트카불능상태유발 타이어공기압모니터시스템 (TPMS) 해킹

15 스마트카보안취약점 스마트카보안취약점 스마트카 차량네트워크침투 고속주행, 브레이크조작, 방향변경, 경보장치해제등가능 악성코드가감염된차량진단앱을통한자동차원격제어 스마트카통신추적을통해프라이버시침해 교통 자동차도난방지시스템을해킹해 100 대의자동차를원격으로조정해경적을울리거나엔진을갑자기정지하는사건발생 원격제어기능을악용한스마트카불능상태유발 타이어공기압모니터시스템 (TPMS) 해킹 체로키의유커넥트시스템에접속하여자동차의펌웨어를변경하여제어권탈취 교통표지를위한전광판제어장치접속권한탈취 도로차량감지기술내광범위한설계및보안결함발견 센서를가장해교통관리시스템에위조데이터전송가능 교통정보수집센서해킹을통한신호제어 통신공격을통해자율주행시스템오작동 14

16 스마트그리드보안취약점 양방향통신기술을사용함으로써공격대상및위협증가 스마트그리드장비간상호연결증가로공격자의침입경로다양화 기존에알려진시스템정보및취약점노출 소비자접근가능지점이증가하여공격자에게다양한침입접근경로제공 스마트그리드장비는광범위한지역에물리적으로산재되어관리가어려움 AMI 보안위협 펌웨어조작 과금정보변경 : 에너지사용정보및가격정보조작하여전송 인증키및전력사용정보노출 전력망보안위협 서비스거부공격 : 넓은지역무인시스템으로공격가능성높음 전력망장치오동작 주요기기해킹공격 : 악성코드에의한오동작및정지 15

17 3 스마트시티에필요한 IoT 보안방안

IoT 공통보안원칙 (1/2) IoT 기반융합서비스활성화로기하급수로증가될 IoT 연결장치들은데이터를수집하는센서와간단한제어가가능한 actuator 를포함하여이종복합시스템들까지다양화 따라서기존시스템중심으로설계된인터넷보안기술로는한계가있으므로 IoT 장치및서비스의 설계 - 개발 단계부터 설정 - 운영 - 실행 - 폐기 단계전반에대해보호및보안대책마련필요

18 IoT 공통보안원칙 (1/2) IoT 기반융합서비스활성화로기하급수로증가될 IoT 연결장치들은데이터를수집하는센서와간단한제어가가능한 actuator 를포함하여이종복합시스템들까지다양화 따라서기존시스템중심으로설계된인터넷보안기술로는한계가있으므로 IoT 장치및서비스의 설계 - 개발 단계부터 설정 - 운영 - 실행 - 폐기 단계전반에대해보호및보안대책마련필요 한국인터넷진흥원 (KISA), 미래창조과학부는 IoT 공통보안 7 대원칙 수립 정보보호 프라이버시강화를고려한 IoT 제품 서비스설계 안전한소프트웨어및하드웨어개발기술적용및검증 안전한초기보안설정방안제공 4 보안프로토콜준수및안전한파라미터설정 IoT 제품 서비스의취약점보안패치및업데이트지속이행 6 안전한운영 관리를위한정보보호및프라이버시관리체계마련 7 IoT 침해사고대응체계및책임추적성확보방안마련 17

19 IoT 공통보안원칙 (2/2) IoT 공통보안원칙 정보보호 프라이버시강화를고려한 IoT 제품 서비스설계 안전한소프트웨어및하드웨어개발기술적용및검증 안전한초기보안설정방안제공 보안프로토콜준수및안전한파라미터설정 IoT 제품 서비스의취약점보안패치및업데이트지속이행 안전한운영 관리를위한정보보호 프라이버시관리체계마련 사물인터넷침해사고대응체계및책임추적성확보방안마련 IoT 공통보안가이드 1 IoT 장치의특성을고려하여보안기능의경량화구현 2 IoT 서비스운영환경에적합한접근권한관리및인증, 종단간통신보안, 데이터암호화등의방안제공 3 소프트웨어보안기술과하드웨어보안기술의적용검토및안전성이검증된보안기술활용 4 IoT 장치및서비스에서수집하는민감정보 ( 개인정보등 ) 보호를위해암호화, 비식별화, 접근관리등의방안제공 5 IoT 서비스제공자는수집하는민감정보의이용목적및기간등을포함한운영정책가시화및사용자에투명성보장 6 소스코드구현단계부터내재될수있는보안취약점을예방하기위해시큐어코딩적용 7 IoT 제품 서비스개발에사용된다양한 SW 에대해보안취약점점검수행및보안패치방안구현 8 펌웨어 / 코드암호화, 실행코드영역제어, 역공학방지기법등다양한하드웨어보안기법적용 9 IoT 장치및서비스 ( 재 ) 설치시보안프로토콜들에기본으로설정되는파라미터값이가장안전한설정이될수있도록 Secure by Default 기본원칙준수 10 안전성을보장하는보안프로토콜적용및보안서비스제공시안전한파라미터설정즉, 통신및플랫폼에서검증된보안프로토콜사용 ( 암호 / 인증 / 인가기술 ) 11 IoT 장치 서비스의보안취약점발견시, 이에대한분석수행및보안패치배포등의사후조치방안마련 12 IoT 장치 서비스에대한보안취약점및보호조치사항은홈페이지, SNS 등을통해사용자에게공개 13 최소한의개인정보만수집 활용될수있도록개인정보보호정책수립및특정개인식별정보의생성 유통을통제할수있는기술적 관리적보호조치포함 14 다양한유형의 IoT 장치, 유 무선네트워크, 플랫폼등다양한계층에서발생가능한보안침해사고대비침입탐지및모니터링수행 15 침해사고발생이후원인분석및책임추적성확보를위해로그기록의주기적저장 관리 18

20 IoT 대상별보안요소 구분센서 / 디바이스네트워크플랫폼 / 서비스 IoT 환경 보안요구사항 드론, 센서등다양한형태의성능이다른 IoT 기기별맞춤형디바이스보안기술 이기종기기가연결된 IoT 네트워크를대상으로해킹및악성코드공격등을탐지 차단하기위한네트워크보안기술 IoT 서비스구성요소 ( 기기, 사용자, 서비스 ) 간상호인증, 접근제어및프라이버시 ( 위치, ID, 데이터 ) 보호 필요기술 경량 저전력암호기술 디바이스인증및식별 불법복제방지를위한하드웨어보안기술 (Chip 보안, 물리및데이터보안 ) 운영체제위변조방지 단말상호간인증 보안통신 (E2E 보안 ) 및접속제어 통합해킹공격탐지 대응 악성코드에감염된사물에의한 DDos 방지 기기간인증, 키관리및접근제어 데이터보안 (DB 암호화 ) 응용프로그램무결성검증 (API 보안, 코드사인 ) 프라이버시침해방지 ( 개인식별, 추적 ) 19

21 IoT 보안기술 (1/2) 1 IoT Network Security 2 IoT Authentication 3 IoT Encryption 4 IoT PKI 5 IoT Security Analytics 6 IoT API Security 20

22 IoT 보안기술 (2/2) 구분개요특징기술 IoT Network Security IoT device 를인터넷의백엔드시스템에연결하는네트워크보호및보안 기존의전통적인네트워크보안기능에통신프로토콜, 표준및장치기능을고려한광범위네트워크보안 방화벽 (F/W), 침입방지 (IPS), 침입탐지 (IDS), 안티바이러스, 안티멀웨어, End-2-End IoT Authentication 단일 device 의여러사용자및사용자의 IoT device 인증 대부분의 IoT 인증시나리오는사람이개입하지않고기기를기반으로수행 ID/PW, PIN, Two-Factor 인증, Digital Certificate, 생체인증 (FIDO) IoT Encryption Disk, DB, 메모리등에저장된데이터암호화 IoT devices 와시스템간에데이터전송시암호화하여데이터의무결성과기밀성유지 광범위 IoT devices 는표준암호화프로세스및프로토콜의사용이제한될수있음 모든 IoT encryption 은전체가동일한암호키생명주기관리절차를따라야하며, 키관리는모든데이터암호화의핵심 VPN, SSL/TLS, 키관리시스템 (KMS), HSM, 정형 / 비정형암호화 IoT PKI 개인키 / 공개키생성, 분배, 관리및폐지를포함한 X.509 Digital Certificate 와개인키, 인증서의생명주기기능제공 일부 IoT 장치의하드웨어사양에따라 PKI 활용범위가제한되거나제약될수있음 기기용인증서는제조시 IoT 장치에사전에주입되거나제조후에주입될수도있음 X.509 Digital Certificate (RFC3280), 자율주행차량통신 (V2X, IEEE ) IoT Security Analytics IoT device 로부터데이터를 Collecting, Aggregating, Monitoring, and Normalizing Device 의특정행동또는정책에벗어나는행동에대해실행가능한 Reporting 이나경고제공 IoT 보안분석은전통적인네트워크보안솔루션에서식별되지않는새로운형태의공격및침입을탐지하기위한분석기술이요구 IoT 보안분석은예측가능한모델링과오탐율을줄이기위해기계학습, 인공지능및빅데이터기술을추가한연구를계속진행되고있음 Cisco, Indegy, Kaspersky Lab, SAP, and Senrio IoT API Security 인증및인가된 API 를이용하여 IoT 장치와응용프로그램간의데이터이동기능제공 인가된 device 와시스템간데이터데이터무결성을보호하기위해서는 API security 가선행되어야함. API 는잠재적위험및공격으로부터보호되어야함 API 코드사인, 펌웨어전자서명, Crypto 모듈인증 (KCMVP) 21

기반의상호인증 디바이스 Gateway Server 간상호인증및키교환을통해세션키기반의데이터암 복호화 IoT

23 인증및암호 IoT Device/Gateway / 서비스구간의인증, 기밀성, 무결성등보안서비스제공을위한기술 대칭키, 비대칭키 ( 공개키 ) 알고리즘활용 디바이스 Gateway Server 간공개키 ( 인증서 ) 기반의상호인증 디바이스 Gateway Server 간상호인증및키교환을통해세션키기반의데이터암 복호화 IoT 제품에탑재된펌웨어및응용프로그램은암호화하여펌웨어분석행위차단 플래시메모리 / 디스크에데이터를저장할때자동으로암호화하여저장된데이터안전성보장 22

기기인증체계 전자정부기기인증체계 (G-IoT) RootCA 행정안전부 상호인증 한국인터넷진흥원

한국인터넷진흥원기기최상위인증기관간상호연동을위한인증서신뢰목록 (CTL) 발급 인증기관인증서폐지목록

대량등록된기기정보에대하여일괄발급 인증서폐지목록 (CRL) 발급, 디렉토리게시 인증서발급신청,

24 기기인증체계 전자정부기기인증체계 (G-IoT) RootCA 행정안전부 상호인증 한국인터넷진흥원 (KISA) IoT 인증기관인증서발급, 폐지, 갱신 한국인터넷진흥원기기최상위인증기관간상호연동을위한인증서신뢰목록 (CTL) 발급 인증기관인증서폐지목록 (ARL) 발급및게시등 G-IoT RootCA RootCA CA 기기인증서발급, 폐지, 갱신 - 대량등록된기기정보에대하여일괄발급 인증서폐지목록 (CRL) 발급, 디렉토리게시 인증서발급신청, 기기정보대량등록및관리 G-IoT CA SCVP ECC, RSA 등암호알고리즘지원 인증서발급 SCVP 웹관리도구 서버기반의인증서검증 스마트폰과같은저사양기기에서인증서유효성검증을신뢰하는서버에위임하여수행 웹관리도구 소방차인터넷전화기 CCTV 웹기반의인증서및기기정보관리기능제공 대량의기기정보등록, 일괄재발급등록 / 갱신등록 / 폐지 XML 파일을활용한일괄발급 23

V2X 인증체계 V2X(Vehicle to Everything communication, V2X

V2V(Vehicle to Vehicle), V2I(Vehicle to Infrastructure),

등총칭함 인증서발급 / 관리 인증서발급 인증서발급 노변기기 (RSU) 단말기 (Device) 인증서발급

(Pseudonym Certificate) 인증서검증 (CRL) 차량단말 (OBU) 전자서명생성 차량단말

Message (BSM) V2V OBU : On Board Unit, RSU : Roadside Unit

25 V2X 인증체계 V2X(Vehicle to Everything communication, V2X communication) 는차량이유 무선망을통해다른차량및도로등인프라가구축된사물과정보를교환하는통신기술 V2V(Vehicle to Vehicle), V2I(Vehicle to Infrastructure), V2N(Vehicle to Nomadic Device), V2P(Vehicle to Pedestrian) 등총칭함 인증서발급 / 관리 인증서발급 인증서발급 노변기기 (RSU) 단말기 (Device) 인증서발급 차량인증기관 V2I 차량인증서 (Enrollment Certificate) V2N 익명인증서 (Pseudonym Certificate) 인증서검증 (CRL) 차량단말 (OBU) 전자서명생성 차량단말 (OBU), 노변기기 (RSU) 등에인증서발급 / 갱신 / 폐지 / 관리 Basic Safety Message (BSM) V2V OBU : On Board Unit, RSU : Roadside Unit 차량프라이버시보호를위한가명 ID( 익명인증서 ) 생성 / 배포 차량단말 (OBU) 전자서명검증 차량과차량간의메시지 (BSM) 의신뢰성보장을위한인증서유효성검증 24

인증정보확인 접근허용 개인키로서명 거래데이터전자서명및검증 공개키로검증 안면 홍채 FIDO 등록시생성 저장된개인키로전자서명 PIN FIDO 클라이언트 RP Server API FIDO Server FIDO Client, ASM, Authenticator 로구성 FIDO

26 생체인증 (FIDO) Fast IDentity Online 의약자로온라인환경에서사용자의신원을빠르게식별하기위한방법 지문인식등의생체인식기술과공개키암호기술을융합하여 ID/PW, 인증서비밀번호입력대신생체인식을통해사용자를인증하고, 이를통해사이트에등록된비밀키로전자서명을생성하고제출하여사용자가인증받는인증기술 사용자 ( 다양한바이오인증 ) 지문 사용자단말기에저장된생체정보와비교 사용자단말기 (FIDO 클라이언트 ) FIDO 등록시저장된공개키로전자서명검증 FIDO 서버 지문인식 화자 사용자인증 인증정보확인 접근허용 개인키로서명 거래데이터전자서명및검증 공개키로검증 안면 홍채 FIDO 등록시생성 저장된개인키로전자서명 PIN FIDO 클라이언트 RP Server API FIDO Server FIDO Client, ASM, Authenticator 로구성 FIDO 등록시키쌍생성하여개인키는단말기내저장, 인증시개인키로서명 지문, 안면, 화자등다양한생체정보지원 고객사서비스서버에 API 를적용하여 FIDO Server 와 Client 인터페이스 서비스앱검증요청 / 응답처리 인증장치및정책설정, FIDO 등록및인증 - 등록시공개키저장, 인증시공개키로서명검증 웹기반의 FIDO Admin 제공 25

키관리시스템 (KMS) Key Management System 은암호키의라이프사이클을관리하는시스템이며, 암호키의생성, 저장, 분배, 백업 / 복구, 교체, 파기등의기능제공 KMIP(Key

키에대한접근제어 KMS 서버 KMS Server 암호키암복호화 Life Cycle 에따른암호키관리 HSM Master Key KMS 서버 키생성, 등록, 백업및복구등키관리 HSM 과연계하여암호키암

에설치하는웹기반의 KMS Admin 암호키관리, Application 관리, 정책설정, 로그관리등 Device KMS Agent Application DBMS 네트워크장비 KMS Agent KMS

27 키관리시스템 (KMS) Key Management System 은암호키의라이프사이클을관리하는시스템이며, 암호키의생성, 저장, 분배, 백업 / 복구, 교체, 파기등의기능제공 KMIP(Key Management Interoperability Protocol) 표준프로토콜을준수하여다양한어플리케이션과암호시스템간의통신기능제공 관리자 KMS Admin 구간암호화로키안전하게전송 Key 정책로그 키에대한접근제어 KMS 서버 KMS Server 암호키암복호화 Life Cycle 에따른암호키관리 HSM Master Key KMS 서버 키생성, 등록, 백업및복구등키관리 HSM 과연계하여암호키암 복호화를위한 Master Key 관리 키요청에대한접근제어 ( 허용 IP, 인증서를통한상호인증 ) Application 의 Agent 와구간암호화로안전한키전송 KMS Admin 관리자 PC 에설치하는웹기반의 KMS Admin 암호키관리, Application 관리, 정책설정, 로그관리등 Device KMS Agent Application DBMS 네트워크장비 KMS Agent KMS Agent KMS Agent 서버내부에키저장으로인한보안위협방지 KMS Agent Application 에적용되는표준화된 Agent KMIP 를준수한다양한함수지원 암호화키요청 / 수신, 암호키생성. 등록요청 26

DB 암호화 데이터베이스의암호화를통해중요데이터보호하고, 정보유출시에도데이터기밀성보장 DB

안전한암호키관리를통해정보유출시에도데이터를복호화할수없도록암호키에대한기록과소수의인가자에의한접근만허용 사용자 응용서버 API 모듈 쿼리 DB

동일평문에대한동일암호문생성되지않음 관리자 정책서버 정책, 암호키전송 암호화 암호키관리 암호키암호화하여별도관리, 암호통신을통해암호키전송

28 DB 암호화 데이터베이스의암호화를통해중요데이터보호하고, 정보유출시에도데이터기밀성보장 DB 에저장되는데이터에대하여안전한암호알고리즘을통하여저장및관리 안전한암호키관리를통해정보유출시에도데이터를복호화할수없도록암호키에대한기록과소수의인가자에의한접근만허용 사용자 응용서버 API 모듈 쿼리 DB 서버 Plug-In 모듈 암복호화 전체또는부분, 테이블, 컬럼, 다국어, 다양한데이터유형에대한암호화 인덱스컬럼암호화시인덱스도암호화지원 동일평문에대한동일암호문생성되지않음 관리자 정책서버 정책, 암호키전송 암호화 암호키관리 암호키암호화하여별도관리, 암호통신을통해암호키전송 암호키생성, 폐기, 백업 / 복구, 교체, 유효기간설정등라이프사이클관리 DB 암호정책관리 접근제어 GUI 기반의 Admin 암호키관리접근권한관리로그및통계관리 정책, 암호키전송 DB 사용자, Application, IP, 시간, 요일별암복호화접근제어 감사 정책및접근내역에감사로그관리 27

네트워크보안 스마트경량 IoT 기기용네트워크보안프로토콜적용 보안프로토콜 (PANA, TLS, DTLS, 키분배 ) 을활용하여기기간상호인증및세션키교환, 전송데이터기밀성및무결성제공 TLS/DTLS( 보안채널 ) IoT 통신 Layer APP APP PANA Local Network(Zigbee, BLE, Z-wave.

29 네트워크보안 스마트경량 IoT 기기용네트워크보안프로토콜적용 보안프로토콜 (PANA, TLS, DTLS, 키분배 ) 을활용하여기기간상호인증및세션키교환, 전송데이터기밀성및무결성제공 TLS/DTLS( 보안채널 ) IoT 통신 Layer APP APP PANA Local Network(Zigbee, BLE, Z-wave...) IoT G/W( 중간노드 ) MQTT TLS TCP IP CoAP DTLS UDP 키분배 경량 IoT 기기 TLS/DTLS( 보안채널 ) internet PANA / EAP-TLS( 상호인증및키분배 ) 서비스서버 internet 인증서버 ( 키관리서버 ) PANA (D)TLS 경량형보안프로토콜 EAP-TLS 인증프로토콜 네트워크키분배및관리 경량형보안프로토콜 기기 - 서버간상호인증 전송메시지기밀성및무결성 표준규격준수 (RFC 5191) ECC 인증서기반상호인증 전송메시지기밀성및무결성 표준규격준수 전송메시지암호키교환 28

IoT 환경의보안적용예시 암호모듈 스마트홈 APP IoT 통신 Layer APP PKI 인증 인증서검증 키관리

IoT 보안플랫폼 내부시스템 IP 스마트카 보안통신보안통신보안통신 E2E( 종단간 ) 보안통신 PKI 인증및검증

운영환경및기기에적합한암호키생성, 배포, 보관등 Key life cycle 관리 PANA

기기운영환경을고려하여서버기반인증서검증 SCVP 시스템 IoT 운영환경에서필요한모든키통합관리 TCP/UDP

30 IoT 환경의보안적용예시 암호모듈 스마트홈 APP IoT 통신 Layer APP PKI 인증 인증서검증 키관리 암호모듈 MQTT CoAP PANA TLS DTLS 국정원암호모듈 스마트팩토리 암호모듈 TCP UDP 중계서버 IoT 보안플랫폼 내부시스템 IP 스마트카 보안통신보안통신보안통신 E2E( 종단간 ) 보안통신 PKI 인증및검증 키관리 보안통신 암호모듈 기기인증서발급을위한 PKI 시스템 ( 인증서일괄발급, 인증서간편발급등기능제공 ) IoT 운영환경및기기에적합한암호키생성, 배포, 보관등 Key life cycle 관리 PANA 프로토콜을활용하여기기간인증및안전하게통신하도록키교환제공 제한된성능및리소스를고려한초경량 저전력암호알고리즘지원 기기운영환경을고려하여서버기반인증서검증 SCVP 시스템 IoT 운영환경에서필요한모든키통합관리 TCP/UDP 를사용하는 IoT 환경에적합한 (D)TLS 프로토콜을이용하여보안통신 IoT 환경을고려한 Firmware 기반경량암호, Chip 기반하드웨어암호모듈적용 29

354-437-4..

354-437-4.. 357 358 4.3% 5.1% 8.2% 6.2% 5.6% 6% 5% 5.3% 96.1% 85.2% 39.6% 50.8% 82.7% 86.7% 28.2% 8.0% 60.0% 60.4% 18,287 16,601 (%) 100 90 80 70 60 50 40 86.6% 80.0% 77.8% 57.6% 89.7% 78.4% 82.1% 59.0% 91.7% 91.4%