SmartWork 구축지원을위한 Mobile App & Mobile Security 통합 Solution 스마트워크보안프레임웍크 (S 4 For Harmonia 제언 ) Any Biz Application Any Mobile Device Any Where Any Time S4 하모니아대표이사장재언 배포용
목차 I 모바일보안개요 II 구조및아키텍처 III 필수보안기능
1. 배경및목적 I. 모바일보안개요 보안강화를통한 안전한스마트업무 (smart- Gov,Military,Biz) 구현 보안성검토 Level 3 이상체계하의안전한스마트워크지원 편리하고친근한협업환경 정보의공유, 유연한소통 비즈니스환경변화를수용하는보안인프라 모바일폰의개인정보유출방지및보안위협으로부터보호 모바일폰기반의전자결재등업무서비스의안전성및신뢰성확보 다양한플랫폼의모바일폰출시 Wi-Fi 플랫폼탑재의무화폐지에 따라다양한플랫폼을탑재한스마트폰출시 WinMobile i-phone, Android 등 모바일폰활용증대 스마트폰을통한업무활용에 대한서비스확대 Smartwork 환경의업무구축 다양한모바일응용솔루션제공으로효과적인업무환경구축 모바일폰의보안위험률증가 스마트폰의다양한용도에따라기존 PC 에서발생하는보안문제가스마트폰에서동일하게발생할수있음 스마트폰의다양한 OS 별보안취약점발생 3
2. 모바일보안위협 I. 모바일보안개요 스마트워크환경은신속성, 이동성등의장점이있으나기업내부환경과동일한작업환경및보안대책이마련되어야활성화가가능. ( 업무유형에따른모바일보안대책고려 ) 악성코드감염 무선기기보안취약 위치 / 개인정보유출 콘텐츠 DRM 해킹 - 불법과금발생 ( 스니핑및도청 ) - 사생활침해 모바일스팸 단말동작마비 모바일 DDoS 모바일뱅킹해킹 불법 / 유해콘텐츠유통 단말분실및정보유출 AP(WI-FI) 무보안설정 모바일서비스중단 각종 I/O 통제 비인가기기무단접속 서비스불법사용증가 출처 : 방송통신위원회, 2010.12.24 스마트모바일시큐리티종합계획 내용빌췌 스마트워크도입문제점 : 보안문제의해결이최우선 ( 삼성경제연구소 CEO 설문조사 ) 이동성에따르는단말기보안및분실대책 기업내부망노출위험, 모바일트래픽의도청위험 권한없는접근의위험등 4
3. 보안위협대응방안 (1/2) I. 모바일보안개요 국정원모바일보안가이드 : Security Level 3 대분류 4 개영역, 중분류 17 개영역, 소분류 40 영역보안요구사항 70 개로구성 영역구분항목규격 / 요구기능 스마트폰단말영역 사용자인증 악성코드대응 데이터보호 수행시점 인증방법 인증실패조치 안티바이러스 안전한인터넷이용 저장매체접속통제 데이터저장여부 화면캡쳐방지 구동시사용자인증수행, 일정시간미사용시, 접속자동해지 / 잠금 잠김해제시사용자인증수행 추측하기어려운비밀번호사용, 비밀번호평문저장금지 일정횟수이상인증실패시보안담당자만해제가능 안티바이러스소프트웨어설치, 최신엔진상태유지, 정기적인검사수행 의심스러운파일다운로드금지, P2P, 웹하드사용금지, 다운로드파일검사후실행 스마트폰 업무 PC 접속및데이터접속통제 기관담당자에게허가받은저장매체만스마트폰에사용 업무용소프트웨어의경우자료저장통제 * 휘발성메모리저장만가능, 불가피한경우파일은암호화하여 `` 임시저장후삭제 스마트폰 DMZ 영역접속시화면캡쳐방지수행 모바일 OS 보호 분실및도난대책 모바일 OS 보안패치 모바일 OS 변조방지 분실및도난스마트폰에대한원격삭제기능제공 모바일 OS 보안패치최신상태유지 모바일 OS 보안패치최신상태유지 5
3. 보안위협대응방안 (2/2) I. 모바일보안개요 금감원스마트워크보안가이드 출처 : 금융권스마트워크정보보호가이드라인 : 금융감독원 IT 감독국, 2011 년 06 월 대분류 5 개영역과보안영역 19 개에대하여 79 개보안가이드, 11 개의추가사항 1. 이용자단말단보호 : 악성코드, 감염, 단말기도난, 분실등의보안위협에대비하여이용자단말단영역에대한 1.1 악성코드감염방지 1.2. 분실, 도난대응 2. 네트워크보안 : 통신정보의도, 감청, 위변조, 등의보안위협에대비하여네트워크영역에대한보호대책마련 3. 업무시스템보안 : 스마트워크서비스의해킹, 권한없는제 3 자의무단접속등의보안위협에대비, 업무서비스영역에대한보호대책마련 4. 인프라보안 : 정보처리시스템의해킹, 통제시스템의우회, 서비스중단등의보안위협에대비하여인프라영역에대한보호대책마련 5. 관리보안 : 안전한스마트워크서비스이용이이루어질수있도록관리분야의보호대책마련 구분 1.1.1 운영체제임의변조방지 1.1.2 운영체제최신보안패치유지 1.1.3 백신프로그램설치, 최신상태유지, 주기적검사및실시간감사 (1) 설치가능한단말기에한하며, (2) 인터넷을통해다운로드받은파일을실행전검사등주기적검사실행 1.1.4 ( 추가고려사항 ) 단말기에업무용프로그램실행되는동안다른프로세스들의통신또는실행통제 1.3.1단말기의잠금기능상시적용 (1) 일정시간동안입력이없는경우, 자동잠금수행, (2) 일정회수이상입력오류시사용, 접근통제 1.3.2 분실도난단말기의서비스접근차단, 원격잠금 (remote Lock) 1.3.3 분실도난단말기내저장된프로그램, 정보등의원격삭제 (remote Wipe) 6
4. Smart Security Level 4 I. 모바일보안개요 국내벤처 12 회사가모여만든보안성검토 Security Level 3 이상등급을지향하는스마트워크를위한모바일응용및정보보호통합솔루션. 응용체계로는모바일오피스및사용, 전자메일, 전자결재, 업무보고수행. 모바일 PTT(Push To Talk) 를이용한 Voice, Text, Video, Image 실시간방송수행. 모바일단말기와모바일오피스서버간통신시전용통신터널및 IPSec VPN 터널을지원. 무선단말기의모바일오피스체계접속시단말기의고유한정보를이용한인증을수행. - 예 : IMEI, IMSI 다양한사용자인증멀티인증 ( 예 : ID-PW, 공인인증서등 ) 을지원. 암호알고리즘, 암호키등을저장할수있는하드웨어보안토큰 (Micro SD) 지원. 모바일단말기에서첨부파일수신시첨부파일변환기능 ( 가상화, 이미지화 ) 지원. MDM S/W 등단말기의매체를제어할수있는기능지원. 모바일백신및 Secure OS 제공, 가상화보안키보드, 화면캡처방지. 관제 S/W 및로그 S/W 는네트워크정보와사용자단말의위치정보저장 / 전시. 무선랜보안을위한무선방화벽 (W-IPS) 도입. 외부망과내부망간상호간에필요한데이터를스토리지방식보안통제장치를통한연동. 7
1. 모바일정보보호아키텍처 II. 구조및아키텍처 모바일보안영역을모바일서비스계층으로매핑하고, 이에필요한솔루션을결합한구조. 모바일보안영역 인증 접근통제 기밀정보보호 암호화 무결성 가용성 모바일서비스계층 Mobile Application Layer Mobile Platform Layer Mobile Device Layer Network Infra Layer Server Infra Layer 정보보호적용솔루션 모바일안티 ` 바이러스 / 방화벽모바일 NAC, 모바일 DRM, 키보드가상화 모바일매체제어 (MDM), 모바일 VPN,PKI( 공개키기반체계 ) HW 보안토큰 ( 보안 SD 카드 )/ HSM( 하드웨어보안전용모듈 ) IPSec VPN 게이트웨이네트워크접근통제 (NAC) 보안 AP, W-IPS IPSec VPN Agent 및터널관리 * 정보보호솔루션은고객사환경및업무파악후제공 8
2. 기본네트워크구성 II. 구조및아키텍처 단말영역, 통신영역, 모바일 DMZ 영역, 연동영역, 내부업무영역등 5 개로분리되어진네트워크구성을기본구성. 3/4G Internet IPSec VPN NAC Radius Server 백신 /MDM Secure OS 키보드보안 /E2E 그룹웨어 S20 갤럭시 S2 LG 옵티머스 3D 갤럭시탭 7 갤럭시탭 10.1 아이폰 4G 아이패드 2 보안 AP Smart VPN Gateway 터널매니저 모바일오피스 / DRM 관제 / 로그 Server 단말및인터넷망 DMZ 내부망 9
3. 시스템아키텍처 II. 구조및아키텍처 각모바일서비스계층에따르는시스템아키텍처. 스마트단말 네트워크 가상화키보드 문서보안 / 뷰어 모바일백신 무결성 / 루팅 / 제어 MicroSD 통신 /IPSec MDM/NAC 모바일오피스 /PTT App Smart Device ( 안드로이드, 아이폰 *, 윈도폰 *) 3G,wifi 구간통신터널 / 보안 AP/ W-IPS IP Sec VPN / FLOW QoS/ 유해트래픽 모바일서버 PKI 인증 /Radius VPN/ 터널매니저 네트워크통제NAC AP/W-IPS MDM/ 백신 DRM/ 문서변환 관제 / 로그관리 Mobile Office Server / Mobile PTT Server 망연동체계 내부 GroupWare ERP CRM 내부주요시스템 10
4. 주요기능 ( MAIN Function) II. 구조및아키텍처 모바일응용영역과보안영역으로크게 2 가지영역에대하여아래와같은기능을제공. 1 모바일응용기능 하이브리드형모바일오피스 모바일그룹웨어, 이메일, 게시판 4 Factor 통합인증후업무수행 및조직도, 내부보안인증체계연동 ( 단말기, 네트워크, 공인인증서, 백신무결성 ) 모바일메시지큐를통한 Push To Talk MDM( 단말제어및관리 ) 및로그관리 ( Voice,Text, 동영상, 오피스파일 ) 2 모바일보안기능 IP in IP 기술을통한고정 IP 및 3G, WIFI 간전환시 Seamless 통신 모든데이터 ( 모바일오피스자료, 인증, 관리 / 운영, 업데이트 ) 는 IPSec VPN 통신 모바일오피스데이터는 3 단계암호화송수신 (DRM, E2E, IPSec 암호화 ) 공인인증서하드웨어보안토큰저장 ( 인증,PKI,DRM,NAC 공동사용 ) 모바일백신, 루팅, 무결성, 가상화키보드 단말기의 IMEI,IMSI 정보수집을통한장비인증및모바일응용 IPSec 보안터널접속 11
5. 특징및장점 II. 구조및아키텍처 모바일정보보호관점에서아래와같이 4 개영역에서의특장점을보유. 모바일 App 영역 모바일오피스 /Thinkfree App, PTT App, E2E/ 문서보안암호화. 첨부문서 : 스트리밍및암호화저장 ( 국정원인증알고리즘 ). 네트워크통신영역 통신및 VPN 암호화터널, 고정사설 IP 주소할당 ( 단말기별고정 ). 통신터널과 IPSec 터널에서모든관리업무 (MDM) 및업데이트수행. 3G/WIFI 간이동시동일 IP 사용. 단말보안영역 E2E 암호화, 가상키보드, SecureOS, 문서보안, 백신, PKCS#11, 통합인증 App. 단말관리및인증영역 단말정보수집 App, MDM, Micro SD Chip (H/W 보안토큰 ) NAC 와 Radius 를이용한단말기정보수집및인증 4 Factor 인증 ( 단말기, 네트워크, 공인인증서, 백신무결성 ) 후모바일 App 로그인 12
1. 모바일오피스연동기능 III. 필수보안기능 보안이강화된안전한스마트워크를위하여모바일그룹웨어접속시아래와같은 8 단계의보안연동절차를통하여접속. 내부망 1 그룹웨어접속절차 모바일오피스메인화면 2 모바일백신구동화면 3 모바일 OTP 구동화면 4 모바일 PKI 구동화면 5 모바일 DRM 저장화면 6 모바일 VPN 터널링형성구간 7 모바일문서변환서버 ( 내, 외부 ) 8 모바일문서변환서버 ( 내, 외부 ) 13
2. 양방향터널기능 III. 필수보안기능 스마트 VPN Gateway 장비, Tunnel Manager 및 Mobile VPN Agent 를이용하여 Seamless 한통신터널을단말기와센터간제공. 단말기 -> VPN Gateway 장비간통신터널생성절차 1 2 3 4 5 단말기별고유하게보유하고있는 UUID 기반 IP-in-IP Tunnel 형성요구 AAA 서버에서단말이요청한 UUID 인증후, 대응되는고정사설 IP주소 (HOA) 검색 AAA 서버에서 mvpn 터널매니저로터널생성요청 (HOA, COA 등제공 ) mvpn 터널매니저에서 mvpn 터널에이전트로터널형성요구 mvpn 터널에이전트에의해단말에서요청한양방향통신터널형성 14
3. 보안토큰을이용한 3 단계암호화 III. 필수보안기능 스마트폰에설치된 Micro SD Chip 에저장된암호키를 IPSec, E2E, DRM 등이같이암호화알고리즘을공동사용하여보안이강화된 3 단계암호화를지원. 외부스마트폰단말영역 3G 외부모바일서버영역 (DMZ) IPSec NAC Radius Server 인증 / 백신 /MDM Secure OS 키보드보안 E2E 2 내부서버영역 그룹웨어 Internet 3 S20 Smart VPN Gateway Micro SD Chip Wi-Fi NAND Flash 영역 터널매니저 W-IPS 모바일오피스 / DRM 1 일반영역 - 첨부파일암호화저장공간 3 복호화 (MUST) Smart Card 내부영역 보호영역 - 암호화키 IPSec, E2E(PKI), DRM. 공인인증서 - 전용 / 국정원암호화알고리즘 2 복호화 1 복호화 국정원인증알고리즘이용 15
4. 사용자인증기능 III. 필수보안기능 IPSec 보안터널을통하여터널사용인증을수행한후모바일응용서비스접속인증을위하여아래와같은인증절차를수행. 통신망 ( 보안터널 ) 사용인증 IPSec VPN IPSec App. 모바일오피스사용자인증 모바일오피스 모바일오피스 Start 인증서로망인증 인증서확인 인증서선택 인증서 PIN 입력 SD 카드 보안터널생성 SD 카드 ID/Pass 입력 인증서로사용자인증 ID/Pass 로사용자인증 DRM 인증 모바일오피스사용허가 16
5. 단말기인증기능 III. 필수보안기능 스마트단말기에대하여 NAC 장비를통해서단말기인증정보를수집하여사전에관리자가등록한인증서버 (Radius) 의정보와확인한후망접속을허가. 내부망영역 외부모바일서버영역 3G Smart VPM Tunnel 매니저 단말기인증 (IMEI, IMSI) WIFI 보안터널개통 인증서버 (Radius) Radius 서버 관리자 사용자, 전화번호, IMEI, IMSI 정보등록 17
6. 문서암복호화 III. 필수보안기능 수신되는문서에대해서도보안터널을통해서유통되며, DRM 으로암호화하고 MicroSD 의암호화공간에저장되고, 물론휘발성기능도기본제공. 단말기 모바일오피스서버 그룹웨어서버 조회시 DRM 인증후복호화 암호화파일 SD Card 저장 DRM 암호화파일전송 DRM 문서암호화 보안터널 통신터널 암호화저장 통신 / 보안이중터널로전송 망연동 SAN SCSI Micro SD card 첨부파일암호화저장공간 모바일서버전달 연계서버 연계스토리지 연계서버 모바일서버전달 18
7. 모바일디바이스관리 III. 필수보안기능 MDM 기능을제공하며, 보안터널을통하여양방향실시간제어, 업데이트되며, 모바일백신과모바일 SecureOS 기능도기본으로제공. 제어관리모니터링등록관리 - 전체사용및중지 - 통신매체제어. 3G 제어. WIFI 제어. Bluetooth 제어. Tethering 제어 - 저장매체제어. SD Card 제어. 외부기기제어 - 카메라 / 스피커제어 - 화면제어 - 위치정보. 위치보기 - 단말상태. 실행프로세스보기 - 기관등록 - 사용자등록 - 공지사항 - NEW S/W 등록 - 보안 AP 등록 - GPS 위치및거리등록 - 화이트리스트등록 - 블랙리스트등록 A 보안영역 B 보안영역 C 보안영역 보안영역별정책적용예 단말위치추적 19
정보보호체계 19 개요소기술 3G IPSec NAC 장비인증 E2E 망연동 Internet 백신 MDM OS 위변조방지 S20 VPN G/W DRM( 휘발성 ) DRM( 가상화 ) WiFi 터널매니저 WIPS 모바일오피스 PKI ( 공인인증서 ) Groupware 가상키보드보안 Micro SD 보안토큰 Mobile VPN IPSec Agent 20
모바일정보보호체계비교표 단말기탑재 S/W 암호화 가상키보드 인증서모듈 문서뷰어 백신 MDM Client E2E 암호화 E2E 암호화 DRM 암호화 IPSec 스마트기기주소 고정사설 IP 주소 S4 하모니아 Secure OS 통신터널 보안터널 모바일오피스 App. 장비등록 App. Thinkfree App. PKCS#11 연동모듈 모바일전자정부서비스를위한공통기반구축 ( 행정안전부 ) 가상키보드 인증서모듈 문서뷰어 백신 MDM Client E2E 암호화 E2E 암호화 유동사설 IP 주소 IP주소이동성 제공 미제공터널기능 제공 미제공공인인증서 Micro SD Chip ( 탑재 ) App. 이용 MDM 흐름도 통신터널, 보안터널이용 Public 망이용장비인증 Radius Server를이용하여장비인증확인 장비인증절차없음통신수단 통신터널, 보안터널 Public 망첨부파일 저장 ( 국정원인증알고리즘사용 ) 저장안함 21
음성동보서비스 유관기관, 시청, 구청상황실, 관제센터 모바일 DMZ 영역 시청내부시스템 송신 Voicing Transmit Example Voice Recording Voice Transmitting IPSec VPN 장비 Radius 서버 백신 /MDM Secure OS 인사 DB 서버 MicroSD IPSEC 에이전트 공중망 (Wibro,WiFi, 3G,4G) 암복호화 연계서버 S20 PTT 서버 방화벽 Multicasting 수신수신 PTT Receiving - Voice, - Photo, - Movie, - Text G-PKI 인증서버 서버 E2E 모바일오피스 / 공유스토리지 그룹웨어서버외 내부인증 유관기관, 시청, 구청업무담당자 22
실시간 CCTV 영상서비스 유관기관, 시청, 구청 CCTV 카메라 Ethernet 모바일 DMZ 영역 내부 CCTV 관제상황실 IP 카메라 #n IPSEC 에이전트 아날로그카메라 #n 공중망 (,ADSLWibro,WiFi, 3G,4G) PTT 서버 S20 암복호화 방화벽 IPSec VPN 장비 Radius 서버 백신 /MDM Secure OS 연계서버 운영 PC NVR 서버 수신 Multicasting Receiving - Voice, - Photo, - Movie, - Text 수신 G-PKI 인증서버 CCTV 영상서버 E2E 모바일오피스 / 공유스토리지 내부영상서버 내부인증 유관기관, 시청, 구청업무담당자 23
질의응답 감사합니다. 24