Vol.5, No.6, December (2015), pp.539-547 http://dx.doi.org/10.14257/ajmahs.2015.12.12 망분리 환경에서 안전한 서비스 연계를 위한 단방향 망간자료전송 시스템 보안 모델 연구 이현정 1), 조대일 2), 고갑승 3) A Study of Unidirectional Data Transmission System Security Hyun-Jun Lee 1), Dae-Il Cho 2), Kab-Seung Kou 3) 요 약 2012년 8월 18일 [정보통신망 이용촉진 및 정보보호 등에 관한 법률] 개정으로 100만명 이상 이용 자의 개인정보를 보유했거나 정보통신서비스 매출이 100억원 이상인 정보통신서비스 사업자는 망분 리 조치가 의무화되었다. 망분리 환경에서 분리된 망간의 PC간 자료전송, 서버간 자료 동기화 및 스 트림 연계 환경 구축의 필요성이 발생하게 되고 이를 위해 망연계 시스템이 탄생하게 되었다. 망연계 시스템은 분리된 망 간에 보안성을 유지하면서 외부망으로부터 들어올 수 있는 악의적인 침입 및 악 성코드에 대해 내부망을 보호하고, 중요 자료의 외부 유출을 방지해 사용자의 업무 편의성과 보안성 강화를 확보하기 위해 필요하게 되었다. 하지만 현재 망연계 시스템이 업무 효율성을 우선하고 있어 보안성 적인 측면이 많이 고려되고 있지 못한 실정이다. 이에 본 논문에서는 안전한 망연계를 위한 단방향 망간자료전송 시스템이 가져야 할 보안기능 요구사항을 도출하고 이를 기반으로 단방향 망간 자료전송 시스템을 위한 보안 모델을 제시하고자 한다. 핵심어 : 망분리, 단방향 데이터 전송, 망간자료전송, 보안 모델, 망연계 Abstract Act on Promotion of Information and Communications Network Use and Information Protection is revised in August 18, 2012. The law requires the network isolation to company that hold 1 million people or more than your personal information and revenue 10 billion won or more telecommunications service providers. Unidirectional Data Transmission System is very important in separated network. Because Received (September 09, 2015), Review Result(September 25, 2015) Accepted(October 12, 2015), Published(December 31, 2015) 1 138-200 KOSYAS, Inc. R&D Center, 63-10 Munjeong-dong, Songpa-gu, Seoul, Korea email: hjlee@kosyas.com 2 138-200 KOSYAS, Inc. R&D Center, 63-10 Munjeong-dong, Songpa-gu, Seoul, Korea email: chodi@kosyas.com 3 (Corresponding Author) KOSYAS, Inc. R&D Center, 63-10 Munjeong-dong, Songpa-gu, Seoul, Korea email: kabseung@kosyas.com * 본 연구는 미래창조과학부 및 정보통신기술진흥센터의 정보통신 방송 연구개발사업의 일환으로 수행하였음. [13-912-06-005, 클라우드 환경에서 가상화 네트워크 및 시스템의 보안성 평가를 위한 보안 스캐너 개발] Copyright c 2015 HSST 539
A Study of Unidirectional Data Transmission System Security Unidirectional Security Gateways is gateway to maintain security of protected network. But development Companies of Unidirectional Data Transmission System think that work efficiency is the important than security. In this paper, for secure data transmission between a separated network we propose a Security model for Unidirectional Data Transmission System. Keywords : Separated Network, Unidirectional Security Gateways, Data transmission between N/W, Security Model 1. 서론 금융감독위원회/금융감독원은 3.20 해킹 사태, 카드사 개인정보 유출 등 계속되는 금융권의 보 안 사고를 막기 위하여 인터넷망과 내부망을 분리하는 망분리를 의무화 하였다. 망분리의 이유는 인터넷을 통해 내부시스템에 접근이 가능한 운영단말기 등이 악성코드에 감염되어 정보유출 및 자 료 파괴를 초래하는 해킹 공격의 경로로 이용되고 있기 때문이라고 밝혔다. 이에 금융위는 금융전산 보안강화 종합대책(7.11) 을 마련하여, 전산센터에 대해서는 14년도말 까지 내부 업무망과 외부 인터넷망을 원천적으로 차단하는 물리적 망분리를 의무화하였고, 은행은 2015년 까지 논리적/물리적 망분리를 완료해야 하며, 증권사 등 제2금융권은 2016년까지 망분리를 완료해야 한다. [1] 망분리는 2012년 8월 개정된 정보통신망 이용촉진 및 정보보호 등에 관한 법률 에서 망분리 조 치 의무화에 의해 본격적으로 시행되었으며, 2014년 금융권까지 확대 되면서 차세대 정보보호의 한 축으로써 자리매김 하고 있다. 하지만 분리된 망간 자료교환을 위해 사용자들은 USB등의 매체 들을 이용하는데, 여기서 초래되는 불편함과 분실사고 등으로 인해 업무 효율성 및 보안성이 급격 히 하락하면서 이에 대한 해결방안이 필요로 되었다. 또한, 망분리를 통하여 웹서버와 내부 WAS, DB 서버 망을 분리하였으나 원활한 웹 서비스를 위해서는 외부 인터넷망의 웹서버와 내부 업무망 의 WAS, DB서버에 대한 연계에 대한 필요성이 발생하게 되었다. 이런 요구를 바탕으로 망이 분 리된 네트워크 간에 자료를 전송하고 서비스를 연계하기 위해 망간자료전송 시스템이 도입되었으 며, 망간자료전송 시스템은 USB의 목적인 파일 전송을 대체하기 위한 용도인 파일전송 망간자료 전송 시스템과 WEB와 DBMS/WAS 등의 서비스를 연계하기 위한 스트림연계 망간자료전송 시스 템으로 구분되고 있다. 본 논문에서는 망간자료전송 시스템을 이용하여 서비스를 연계하는 경우 발생할 수 있는 보안 취약점에 대응할 수 있는 보안성이 향상된 스트림연계 망간자료전송 시스템의 설계를 제안하고자 한다. 2. 망연계를 위한 보안 솔루션 망연계의 필요성은 제어시스템에서부터 출발하였다. 제어시스템은 하나의 독립된 망으로 운영되 었으나 물리적으로 떨어져 있는 제어망을 연결하거나 내부 업무망과 제어망을 연결할 필요성이 제 540 Copyright c 2015 HSST
Vol.5, No.6, December (2015) 기 되면서 안전하게 제어망과 업무망 사이를 연결하기 위한 보안 솔루션들이 제시되었다[6][7]. 2.1 방화벽 for SCADA 제어시스템 환경에서 사용되는 방화벽은 기존에 TCP/IP 인터넷 망에서 사용되는 방화벽과 기능 적인 측면에서 큰 차이는 없으나 기존 방화벽이 TCP/IP 프로토콜에 기반한 제품이라고 한다면, 제어시스템에 사용되는 방화벽은 제어시스템에서 사용되는 프로토콜을 제어 할 수 있다는 점에서 차이를 보인다. 제어시스템 방화벽은 PCN/SCADA 네트워크와 인터넷망 간에 직접적으로 연결 불가 기업 네트워크와 제어 네트워크 간 제한된 접근 기업 네트워크로부터 제어네트워크 내 공유 서버로 의 제한된 접근(인증) 제어시스템의 인가된 원격 지원을 위한 안전한 방법 무선디바이를 위 한 안전한 연결 트래픽에 허용을 판단할 수 있는 잘 정의된 정책 트래픽 인입/인출을 확인 할 수 있는 모니터링 방화벽 관리를 위한 안전한 연결에 대한 보안 목적을 만족할 수 있어야 한다.[5] 2.2 일방향 게이트웨이 물리적 일방향 게이트웨이 장비는 업무망에서 제어망으로 데이터를 보낼 수 있는 회선을 차단 함으로써, 외부로부터의 침투 경로 자체를 제거한 장치이다.[2] 국외 물리적 일방향 자료전송 제품 으로는 Owl Technologies 社 (미국)의 Dual Diode [3]와 Waterfall 社 (이스라엘)의 Unidirectional Security Gateway [4]등의 제품이 있다. [그림1] Waterfall Security Solutions 社 Waterfall for Ethernet [Fig, 1] Waterfall Security Solutions Ltd, Waterfall for Ethernet 국내의 경우 국가 기반시설 전자제어시스템 보안가이드라인 에서는 제어시스템의 운영정보 활용을 위해 외부 네트워크와 연동할 경우 물리적으로 안전성이 보장된 방법의 사용을 권고하고 있다 [2] Copyright c 2015 HSST 541
A Study of Unidirectional Data Transmission System Security [그림. 2] 물리적 일방향 자료전달 기술 개념도 [Fig. 2] Technical Concept of physical On-Way Data Transmission 2.3 망간자료전송시스템 현재 금융기관에나 공공기관 망연계 시 가장 많이 사용되는 방식으로 망간자료전송시스템은 분 리된 망을 연계하기 위하여 각 망의 양단 끝에 설치되는 전송통제서버와 전송통제서버를 연계하기 위한 중간매체로 구성 된다. [8-11] [그림 3] 망간자료전송시스템의 기본 구성 [Fig. 3] Basic Composition of Data Transmission System between N/W 2.3.1 용도에 따른 분류 현재 사용되는 망간자료전송 제품을 용도에 따라 구분하면 자료전송 망간자료전송 시스템과 스 542 Copyright c 2015 HSST
Vol.5, No.6, December (2015) 트림연계 망간자료전송 시스템으로 구분된다. 각각의 용도는 다음과 같다. [표 1] 망간자료저송 제품 구분 [Table 1] Sort of Data Transmission System between N/W 구분 자료전송 스트림 연 계 용도 자료전송시스템은 분리된 망 사이에 사용자 PC간 저장 자료(파일 등) 전송을 위해 사용된 다. 스트림연계시스템은 분리된 망 사이에 존재하는 서버 간 서비스 전송(예 : 외부 웹서버와 내부 DB 서버 간 서비스 연계)을 위해 사용된다. 2.3.2 구성 형태에 따른 분류 현재 사용되는 망간자료전송시스템은 분리된 망을 연결하기 위해 망의 종단에 설치되는 전송통 제서버 간을 어떤 방식으로 구성하는지에 따라 중계시스템 기반, 시리얼 연계방식, 공유스토리지 연계 방식으로 구분되고 있다.[12] [표 2] 망간자료전송제품 구성 형태별 비교 [Table 2] Comparision of Data Transmission System between N/W 구분 중계시스템 기반 시리얼 연계방식 공유스토리지 연계 방식 망간 연결 매체 네트워크 분리 구간 Ethernet을 이용한 메모리 전송방식 중계시스템 간 연결을 non-tcp 방식을 이용하여 네트워크 단절 IEEE1394 케이블을 이용한 전송 방식 IEEE1394 구간에서 네트워크 단절 FCP를 이용한 디스크 전송 방식 스토리지 영역에서 네트워크 단절 일방향 지원 지원 지원 전용 프로토콜 지원 지원 FCP 양방향 서비스 지원 지원 지원 전송 data 암호화 구간 암호화 지원 구간 암호화 지원 구간 암호화 지원 접근통제 지원 지원 지원 3. 향상된 보안성을 제공하기 위한 망간자료전송시스템 제안 망연계 시스템의 한 종류인 망간자료전송시스템의 태생은 외부의 침입으로부터 중요 정보를 보 호하고자 보안영역과 비보안영역(상대적으로 보안 수준이 낮고, 외부로 부터의 접근을 허용한 영역 Copyright c 2015 HSST 543
A Study of Unidirectional Data Transmission System Security 을 분리하였으나, 비보안영역과 보안영역 간에 데이터를 전송하고자 하는 요구에서 발생하였다. 그 렇다면, 망연계에 사용되는 망간자료전송시스템은 단순히 망을 연계하는 목적이 아닌 망을 분리된 상태와 동일한 수준의 보안성을 유지하면서 망을 연계할 수 있도록 설계되어야 한다. 망간자료전송시스템은 2005년 다중영역구분보안시스템으로 보안적합성 검증필 인증을 시작하였 으며, 2009년부터는 CC 인증을 받은 제품도 출시되기 시작하였다. 2012년 CC 국내인증 제도의 변 화로 제품유형이 망간자료전송제품으로 변경되었으며, CC 인증을 위해서는 망간자료전송제품 보 안요구사항을 준수해야만 한다. 망간자료전송제품 보안요구사항에서도 망간자료전송 제품에도 응용프로토콜 식별, IP/MAC 기 반의 접근 통제 등의 보안 메커니즘을 통해 안전하게 자료전송 및 서비스를 연계할 것을 요구하고 있다. 본 논문에서는 망간자료전송시스템이 분리된 망간에 안전하게 서비스를 연계하기 위한 안전한 서비스 연계 망간자료전송 시스템을 위한 구체적인 보안 메커니즘을 제안하고자 한다. 3.1 보안 메커니즘 설계 3.1.1 전 구간 암호화 일부 망간자료전송 제품은 분리된 망간의 안전한 데이터 전송을 위해 망간을 연결하는 전송통 제 서버 사이를 암호화 하여 데이터를 송수신한다. 그러나 전송통제 서버 구간에만 암호화를 수행 하는 경우 전송통제 서버 구간에서는 데이터를 안전하게 전달할 수 있으나, 전송통제 서버로 데이 터를 송수신을 요청하는 end point 에서 전송통제 서버 구간 사이의 데이터는 평문으로 전송되기 때문에 데이터 전송 구간에서의 데이터 노출이 발생할 수 있다. 따라서 전송통제 서버 구간에서의 암호화 방식이 아닌 end to end 형태의 암호화가 필요하다. 3.1.2 보안/비보안 영역 식별 스트림연계 제품은 비보안영역에서 보안영역으로 데이터를 전송할 때 일방향 전송데이터 방식 을 사용한다. 일방향 데이터 전송 방식은 보안수준이 높은 곳에서 낮은 곳으로 데이터를 한 방향 으로만 흐르게 함으로써 보안을 유지하겠다는 개념이다. 그러나 서비스 연계의 특성상 데이터의 양방향성이 보장되어야 한다. 이런 경우 데이터의 일방향 전송이라는 것은 물리적 개념에서 일방 향성은 유지될 수 있으나 논리적인 데이터 흐름은 양방향을 유지하고 있기 때문에 물리적 일방향 성의 유지는 의미를 상실한다. 이에 서비스에 따라 양방향성을 유지할 필요가 있는 경우에 대한 보안대책으로는 망을 연결하고 있는 전송통제서버가 서비스의 연결을 중재하고 제어할 수 있는 역 할을 수행해야 한다. 예를 들어 서비스의 요청은 업무망(비보안영역)에서만 요청 될 수 있으며, 제 어망(보안영역)에서는 서비스에 대한 요청을 제한할 수 있어야 한다. 544 Copyright c 2015 HSST
Vol.5, No.6, December (2015) 3.1.3 IP/Port 기반 Access Control 보안영역과 비 보안영역으로 망 분리를 한 첫 번째 이유는 보호되어야 할 영역을 비보안영역(예 : 인터넷망)으로부터 분리하기 위해서이다. 그러나 보안영역에 위치한 데이터를 사용하기 위해서는 불가피하게 망을 연계할 필요가 발생하였고, 이를 좀 더 안전하게 연계하기 위해서는 need-to-know 원칙에 따라 연계할 주체/객체를 정확히 식별하여 허용된 주체/객체에만 서비스 연계를 허용하는 것이다. 이를 위해 IP/Port 기반으로 주체/객체간의 접근 통제 메커니즘이 요구 된다. 3.1.4 Application Identification 기본적으로 네트워크 기반의 접근통제는 IP/Port를 이용하는 방식을 주로 사용한다. 네트워크를 통해 통신하는 모든 객체는 IP를 기반으로 하고 있기 때문에 이 방식을 다수의 객체들 중에 허용 된 객체를 식별하는 데는 가장 효율적인 방법이다. 그래서 IP/Port 기반의 접근 통제는 가장 기본 적으로 사용되는 접근 통제 방법이다. 그러나 IP/Port 기반의 접근 통제는 Data 영역을 식별하지 는 않기 때문에 악의적인 사용자가 허용된 IP/Port를 통해 허용되지 않는 서비스를 전송한다면 IP/Port 기반 접근통제만으로는 통제가 어렵다. 따라서 IP/Port 기반 위에 허용된 서비스인지 여부 를 확인할 수 있도록 Application을 식별하는 메커니즘이 필요로 된다. 3.1.5 Intrusion Detection & Prevention 위에서 언급한 IP/Port 기반의 접근통제를 통해서는 Layer 3/4에서의 접근 통제를 수행하고 Application Identification 기술을 통하여 허용된 서비스임을 식별하였다고 하더라도 허용된 트래 픽이 안전하다고 말할 수 없다. 허용된 IP/Port, 허용된 서비스 이기는 하나 여기에 실린 데이터가 악의적인 코드를 수반한 데이터라면 보안영역 내부로 악성 코드가 유입될 수밖에 없다. 따라서 최 종적으로는 비보안영역에서 유입되는 패킷에 대해 보안영역으로 전송하기 전에 데이터 영역에 대 한 검사가 수행되어야 한다. 3.2 보안이 향상된 스트림연계 시스템 전체 구성도 다음은 위에서 제안된 보안메커니즘을 기반으로 설계된 스트림연계 망간자료전송시스템의 전체 구조도이다. 망간자료전송시스템 크게 보안영역의 전송통제서버와 비보안영역의 전송통제서버, 두 전송통제서버의 통신을 연계하기 위한 전송매체로 구성된다. 전송매체는 일반적으로 스토리지 기 반, IEEE1394 등이 이용되지만 그 외 다른 방식들도 사용될 수 있다. 전송통제서버는 연계하고자 하는 데이터를 수신하는 경우 상대 네트워크로 전송하기 전 어플리케이션 식별, 침입탐지 등의 보 안기능을 통해 데이터의 안전성을 확인 후 데이터를 전송함으로써 물리적으로 분리된 네트워크 간 Copyright c 2015 HSST 545
A Study of Unidirectional Data Transmission System Security 의 보안성을 유지할 수 있다. [그림 4] 보안이 향상된 망간자료전송시스템의 구조 [Fig. 4] Security Enhanced Data Transmission System between N/W 4. 결론 및 향후 연구 망간자료전송 시스템은 제어시스템 네트워크에서 분리된 제어망과 업무망을 안전하게 연계하고 자 처음 사용되기 시작하였으나 인터넷을 통한 개인정보 유출 등의 보안사고로 인해 일반 업무망 에도 망을 분리하는 조치가 요구되고 있는 상황에서 망을 연계하기 위한 시스템은 그 중요성이 크 다 할 수 있다. 본 논문에서는 보안성을 향상한 스트림연계를 위한 망간자료전송 시스템에 대한 설계를 제시하였다. 향후, 본 설계를 바탕으로 실제 시스템 개발 및 시험을 거쳐 안전한 시스템 개 발을 위한 연구를 진행할 예정이다. Reference 546 Copyright c 2015 HSST
Vol.5, No.6, December (2015) [1] http://www.korea.kr/archive/expdocview.do?docid=34258, Jun, (2013). [2] KyoungHo Kim, Yeop Chang, Heemin Kin, Jeong-han Yun, Woonyou Kim, Physical One-way Data Transfer System Design for Control System Network, Journal of KIISE, (2013), Vol.40, No.2, pp.126-130. [3] http://www.commoncriteriaportal.org/files/epfiles/383-4-273%20st%20v01l.pdf, December, (2014). [4] http://www.commoncriteriaportal.org/files/epfiles/[st]%20waterfall%20security%20target%20v0.72.pdf, June, (2012). [5] CPNI, Firewall Deployment for SCADA and Process Control Networks Good Practice Guide V1.4, January, (2005). [6] Jungeun Jee, Sangji Lee, Sungryoul Lee, Byungchul Bae, Yongtae Shin, A Logical Network Partition Scheme for Cyber Hacking and Terror Attacks, Journal of KIISE, (2012), Vol.39, No.1, pp.95-101. [7] Moonsu Jang, Sinkyu Kim, Byung-gil Min, Jungtaek Seo, Study on Technology Requirement using the Technology Trend of Security Products concerning Industrial Control System, Journal of Security Engineering, (2008), Vol.5, No.6, pp.449-460. [8] SECUEVER, reversewall-mds 3.0 Certification Report, (2012). [9] LKSYSTEM, i-connect V3.0 Certification Report, (2013). [10] JionLab, CoreBridge V2.1 for Linux Certification Report, (2014). [11] HANSSAK, HRX-AOSP V2.1 Certification Report, (2011). [12] http://www.ciociso.com/news/articleview.html?idxno=10394, (2013). Copyright c 2015 HSST 547