Journal of The Korea Society of Computer and Information Vol. 24 No. 8, pp. 77-85, August 2019 www.ksci.re.kr https://doi.org/10.9708/jksci.2019.24.08.077 Safe Web Using Scrapable Headless Browser in Network Separation Environment 1)Won-chi Jung*, Jeonghun Park*, Namje Park** Abstract In this paper, we propose a "Safe Web Using Scrapable Headless Browse" Because in a network separation environment for security, It does not allow the Internet. The reason is to physically block malicious code. Many accidents occurred, including the 3.20 hacking incident, personal information leakage at credit card companies, and the leakage of personal information at Interpark (Internet shopping mall). As a result, the separation of the network separate the Internet network from the internal network, that was made mandatory for public institutions, and the policy-introduction institution for network separation was expanded to the government, local governments and the financial sector. In terms of information security, network separation is an effective defense system. Because building a network that is not attacked from the outside, internal information can be kept safe. therefore, "the separation of the network" is inefficient. because it is important to use the Internet's information to search for it and to use it as data directly inside. Using a capture method using a Headless Web browser can solve these conflicting problems. We would like to suggest a way to protect both safety and efficiency. Keyword: Separation of the network, Headless browser, network security, captured Web, safe web I. Introduction 3.20 해킹사태, 카드사개인정보유출, 쇼핑몰개인정보유출등사고많은정보보안사고가발생하였으며, 이를통해많은피해자가속출하였다. 국민적인관심과불안감이높아졌다. 대부분의업무는인터넷을통해이루어지고있으며, 공격자는항상인터넷과의접점을공격하고자한다. 이런환경에서정보보안강화를위해망분리라는개념을도입하여, 업무를사용하는업무망과인터넷을활용하는인터넷망 ( 혹은외부망 ) 을물리적으로원천차단하는정책을만들게되었으며, 금융권, 공공기관또는국가기관등보안이필요한곳은내부업무망을인터 넷망을의무적으로분리하여해킹이나악성코드등의공격을원천적으로차단하는정책을도입하게되었다 [1-2]. 망분리환경에서업무망과인터넷망은분리되어있으므로, 업무망단말은인터넷에직접접속할수없다. 인터넷자료가필요한경우담당자는인터넷망단말을이용하여인터넷자료를검색한후필요한일부정보를저장하여, 보안USB( 보안적으로인가된장치 ) 혹인망간자료전송시스템을이용하여안전성조치를확인한후업무망에서이용하여야한다. 망분리를적용하기위해서는커다란두가지벽이존재한다. First Author: Won-chi Jung, Corresponding Author: Namje Park *Won-chi Jung (jwonchi@jdcenter.com), Dept. of Convergence Infor. Security, Graduate Sch., Jeju Natl. University *Jeonghun Park (jeonghun.park@telefield.com), Dept. of Conv. Infor. Security, Graduate Sch., Jeju Natl. University **Namje Park (namjepark@jejunu.ac.kr), Dept. of Computer Education, Teachers College, Jeju Natl. University Received: 2019. 07. 15, Revised: 2019. 08. 12, Accepted: 2019. 08. 12. This work was supported by Institute for Information & communications Technology Promotion(IITP) grant funded by the Korea government(msit) [2019-0-00203, The Development of Predictive Visual Security Technology for Preemptive Threat Response]. And, this research was supported by Basic Science Research Program through the National Research Foundation of Korea(NRF) funded by the Ministry of Education (NRF-2019R1I1A3A01062789)
78 Journal of The Korea Society of Computer and Information 첫번째는많은예산이확보의어려움이다. 단말관점에서망분리는 2개의 PC를지급해야하기때문에모든사무직원에게기존에지급된 PC외에 1대를더지급해야한다. 또, 단말노드부터내부인트라넷까지분리되어야하기때문에연결된네트워크장비가두배로필요며, 내부관리서버나정보보호장비, 정책서버, 배포서버등접점관리가필요한장비는기존장비외에추가로필요하기때문에, 장비를도입하고운용하는인력까지따진다면기존까지구축한정보시스템및네트워크도입비용의상당부분이재투자되어야하는상황이기때문에기존정보화혹은정보보안예산과비한다면, 상당한예산이확보필요하다. 두번째는임직원의변화관리의어려움이다. 인터넷을통해다양한정보를활용하여내부문서를작성하고, 외부메일을통해편하게공유를했다면, 변화된환경에서는제한적이고불편한절차를거쳐서만인터넷정보가활용이가능하다. 정보보안담당은이런변화관리를위해많은노력을펼치지만새로운정책에따른갈등은심화되는양상을보인다. 본논문에서제안하고하는내용은정보보안담당자와불편을호소하는임직원사이에서업무망및인터넷망이서로분리된망분리환경에서인터넷을이용하는방법을제안하여, 차단의관점이아닌활용의관점에서최근기술을활용한방안을제시하고자한다. II. Preliminaries 2. Related works 2.1 Examples of Korea Domestic Hacking 쇼핑몰에서근무하는직원은업무시간에사내 PC에서웹메일을접속후, 동생이보내온메일에 우리가족 이라는첨부가있었으며, 이첨부파일은스크린세이버실행파일이있었다. 가족의메일이라의심없이첨부파일을실행하였으나, 실행된스크린세이버파일에는 ( 그림1) 과같이 ielowutil.exe 악성파일이숨겨져있었으며파일이실행과같이악성파일은 PC에는설치된다. Fig. 1. Information Leakage Through Hacking Mail 이악성코드는공격자의명령제어 (Command and Control, C&C) 서버와통신을수행한다. 해당직원은 PC에서파일공유서버로악성코드가전이되었으며, 또다시파일공유서버를경유하여여러 PC로악성코드가확산되었으며, 이와같이내부정보를수집했다. 수집된내부정보를활용하여개인정보취급자 PC를장악하였으며, 이를통해하여회사 DB서버로접근, 그이후다른직원 PC를이용, 회사DB 로부터개인정보를외부로유출하였다 [3-4]. 이쇼핑몰업체가망분리가되었다면, 해킹메일에의한악성코드는 PC 제어권을뺐기었을지라도내부 DB를통한개인정보유출사건으로확대진행되지않았을것이다. 2.2 Data Exchange System and Design 자료교환체계에관한연구는다양한방법으로진행되어왔으며, 이중일부는현재까지살아남는방식이되었다. 연구를살펴보자면, PC를이용하여네트워크중앙에 VM이탑재된서버에접속하여 Server-Client 방식의응용프로그램을활용하여데이터를저장하여자료를교환하는일련의방식을 SBC(Server Based Computing) 기반의자료교환의체계라고하며, 이방식은서버의중앙집중관리로통제가비교적수월하게가능하다. 서버로집중된자료는서버가탈취될경우해당자료침해가발생할수있는단점이존재한다. 중앙화된서버의하이퍼바이저에유저별사용자운영체제를 VM에연결하여사용자의운영체제를구동하여사용자 PC에설치된클라이언트프로그램을이용하여서버를통해서구동되며이를네트워크를통해이용하는방식이서버- 데스크톱가상화기반의자료교환체계라고한다. 이방식은중앙서버가가상화를구동할때허가된 ActiveDirectory 를승인하는방식으로사용자에게인증된영역을사용할수있도록부여하는방식이다. 장점으로는클라이언트가다양한 PC, 운영체제등을활용하여동일한환경에서사용할수있는장점이존재하고, 업그레이드등자원관리와 PC 고장등물리적인파손이나자료손실위험에서다른방식보다안전하다고할수있다. 하지만, 사용자가급증하는경우자원을분할해사용하기때문에성능저하가불가피하며, 이를해결하기위해서는서버증설등큰비용이수반되기때문에예측하여운영하기어려운부분이있다. 이런서버-데스크톱가상화기반의자료교환체계는현재운영되는논리적망분리의기원이된다고볼수있다 [5-6]. 이밖에, 외부망, 내부망사이에공유스토리지를이용한물리적으로분리된망사이에다른네트워크 ( 제어망 ) 를설정하여, 정의된스토리지전송경로를 TCP/IP 등알려진통신체계가아닌양방향으로연동을실시간으로해주는방식을이용하는스토리지기반의자료교환체계가있으며, 장점으로는 TCP/ IP 통신을기반으로물리적으로완전히차단되어외부망해커의공격에침범당해도내부시스템은안전하게보호할수있으며, 게이트를단순화하여, 입구등에서바이러스, 악성코드차단등정보보안장비를총력하여보안체계를구축할수있다. 단점으로는실시간으로전송받을수없는불편이존재한다 [7-8].
Safe Web Using Scrapable Headless Browser in Network Separation Environment 79 Fig. 2. Network DataTransfer System scheme 공공기관등에공유된망분리가이드라인을살펴보면, ( 그림 2) 와같이이중일부는발전되어현재공공기관에서사용하는자료교환시스템의체계와설계의밑바탕이된것을볼수있다. 공유스토리지를이용한자료교환체계는중계시스템을활용한현재의망간자료전송이되었으며, 일방향전송장치 ( 스트리밍장비 ) 로현재망간통신이필요한서버사이에사용되고있다. 2.3 Efficient Network Eeparation Scheme in Network Eparation Environment 업무망과인터넷을분리한기관은해킹에의한자료유출및침해사고에상당한정보보안관점에서성과를보이고있으나, 사용자에대한불편이가중되어, 업무의효율적인부분에있어서는회의적이다. 안전한정보시스템네트워크분리모델을수립하기위해서업무망과외부망은망간자료전송, 일방향전송장치를제외하고는어떤통신도허락하지않는다는것이다. 이런체계를구축하기위해서는망을분리하기전모델수립이필요하다. 예를들어, 국가정보통신망과연결을해야하는기관인경우는망을 1단계 : 업무망, 2단계 : 국가정보통신망, 3 단계인터넷망으로구성하는것이적합하며, 감시제어를위한통제 (SCADA, Supervisory Control And Data Acquisition) 가필요한경우는 SCADA 망을별도로구성해야한다. 네트워크분리를위한프로세스는우선정보시스템식별이필요하다. 보유하고있는정보시스템을성격에따라대민서비스를위한정보시스템, 내부업무를위한정보시스템영역, 정보보호를위한영역, 네트워크나서버등인프라관리를필요한영역으로분리할필요가있다. 특히기업의업무특성상주요정보를다루는정보시스템, 개인정보를다루기위한개인정보처리시스템은별도로구분하여정보시스템을분류하는것이우선적으로선행되어야한다. 이를통해식별되고분류된정보시스템을안전하게구분지어망분리를수행할영역을나누어야한다. 식별된정보시스템을등급으로분류하고, 기관의예산과상황에맞게몇개의영역으로나눌지를결정해야한다. 특히정보시스템이활용되는영역과중요도, 가치는영역을분류하는중요한기준이된다 [9-14]. 이렇게결정된영역에인터넷허용여부를다시결정해야한다. 크게나누면인터넷이허용된외부망과인터넷이허용되지않은내부망으로구분된다. 여기에위에서정한영역을추가하 여나누는방식으로네트워크분리설계방안을설계한다. 기관의업무효율성, 업무적절성에따라외부망을 1개이상분리할수도있고, 내부망을국가정보통신망사용여부나기타사유로한개이상분리하는설계를진행할수있다. 이밖에도효과적인망분리를수행하기위해서는사전에고려해햐하는사항들이추가적으로존재한다 [11-12,15-16]. 첫째, 망분리사업추진전기관내부조직원의공감대가필요하다. 망분리는기관정보보안담당자가정보보호를위한모든행위가이행되고, 집중되는단계이며, 이에따른책임도집중되어있다. 둘째, 기관에적합한망분리방식을선정하는것이다. 적합한망분리선정을위해정보보호의 3요소 ( 기밀성, 무결성, 가용성 ) 를기준으로하여자산의가치를분석하여분리방식을정할필요가있다. 셋째, 정보시스템접점을완벽하게차단하여야한다. 완벽한네트워크분리완성을위해정보시스템망분리를하여야한다. 일반적으로피씨나말단노드의분리만을고려하는경우가있는데정보시스템, 네트워크, 정보보호시스템은분리되어망분리의차단효과를완벽하게구축해야한다. 넷째, 정보시스템간어플리케이션에대한기능및구조의검토가필요하다. 수신된사용자의요청을처리하고응답하기위해서는다양한응용어플리케이션이필요하며, 이들은다양한프로토콜과호환성을담보하여야한다. 이를해결하기위해서다양한프로토콜과 API가망간자료전송시스템이나일방향전송장치로 ( 스트리밍장비 ) 로정상적인연계가되는지확인이필요하며, 보안적으로안전한지검증이필요하다. 다섯째, 내부사용자의무선인터넷및매체제어통제대책마련이다. 대다수의망분리사업은유선망을이중으로구성하는방안에중점이되어있다. 하지만매체나무선망을통제할수없다면외부위협은망분리이전과동일하게존재한다. 불법적인매체의차단을위해서는물리적인 USB 포트차단방식과소프트웨어방식인매체제어솔루션을이용한차단그리고무선망차단을위해서는다양한형태의무선카드를연결할수없는구조를만들고업무공간에서 WIPS(Wireless Intrusion Prevention System) 등을설치하여차단하는등의통제수단이사전에고려되어야한다. III. The Proposed Scheme 3. Technical analysis constituting network separation 3.1 Separate network from network and end node viewpoint 망분리는네트워크를업무망과인터넷망으로분리하여사용목적에따라독립적으로네트워크를구성하는것을말한다. 망을분리하는방법은크게물리적으로독립적인네트워크를구성하는방법과 SBC(Server Based Computing), CBC(Client Based Computing) 등논리적으로네트워크를구성하는방법으로나뉘며각방법의특징은 ( 그림3) 처럼명확한차이를가지고있다.
80 Journal of The Korea Society of Computer and Information 우선물리적방법은고전적인네트워크구성을 N개가아닌 2N개의형태로만들어각목적에맞는별도의네트워크를통해업무혹은인터넷을쓰는방식으로목적별로필요한영역네트워크를구성할물리적인네트워크자원과물리적인단말장치가필요하다. 물리적필요공간을많이차지하며, 비용도가장많이필요하지만정보보안관점에서가장안전한망분리방법이다. 즉완전히독립된네트워크구조를사용하고별도의 PC 를통해해당네트워크만이용하여망간의간섭이없는독립적인구조이다. 앞에서언급한비용및공간의제약은기술의발전에의해비용은절감되고장비및 PC의공간이줄어들고있기때문에많은부분에서해소될전망이다 [17-21]. 논리적망분리는많은방식이있으나대부분현재사용하고있는단말과연결되어있는네트워크를그대로이용하며해당단말의 OS를가상화하여사용하는 CBC 방식과단말이접속하는서버를통해망분리를사용하는 SBC 방식이보편적이다. VDI 또한서버를통한가상데스크탑으로망분리를하지만 SBC는서버의리소스를완전하게이용하고중앙집중식으로관리가가능하다는점이다르다 [22-29]. 이를통해인가되지않은장비나 PC는내부로들어왔을때인가의과정을걸쳐야네트워크를사용할수있다. 명칭에서도나타나듯이정책에따라서버나앤드포인트의접근을통제하고제어한다. Fig. 4. NAC(Network Access Control) scheme 내부망접근전장비혹은 PC의안전검사를실시하고내부망접근후에도어떤영역으로접근하는지가능한범위와가능한역할을부여할수있다. 방식은크게네트워크방식과 Agent 방식으로운용되고병행하여사용할경우효과적인통제를수행할수있다. 대부분네트워크방식의 NAC는 ARP 프로토콜을이용하여, NAC장비가 Gateway 로착각하게만들어인가여부를확인하고통신제어의역할을실시한다. Agent 방식의 NAC는관리서버로부터내려받은정책을사용자의정보보호레벨에맞게통제를실시하며, 특히앤드포인트의검염소역할을수행한다. 물리적업무망접속을시도하는경우에차단을수행하기위해필수적인솔루션이라고할수있다. NAC가없다면물리적망분리를수행하는기관에서외부망 PC와업무망 PC의네트워크를바꿔접속을시도하는경우를효과적으로막을수없다. Fig. 3. Network DataTransfer System scheme 3.2 NAC(Network Access Control) 망분리형식과관계없이 NAC는필수솔루션이다. NAC는 'Network Access Control' 의약자로 ' 네트워크접근제어및네트워크접근통제 ' 라고도한다. NAC( 네트워크접근제어 ) 는 ( 그림4) 와같이제어를위해특정프로토콜들을사용하여사용자의 PC 즉 ' 앤드포인트 (Endpoint)' 가내부망네트워크에처음접근시도를하면, 기존내부망에피해를끼치지않도록접속하는보안정책들을적용할수있게하는네트워크솔루션이다. 3.3 Media control system 정보보안담당자가필수로관리해야할부분이바로매체제어이다. 다양한매체로대용량의파일과정보를공유하는것은높은업무효율을가져올수는있지만악성코드가감염되거나많은중요한정보가유출되는등그만큼취약한부분이있다. 망분리를수행했을지라고매체를제어하지않는다면매체를통한자료유출을막을수없기때문에안전하지않다. 두개의 PC의양쪽 USB를연결하여 PC간통신을하는방법도존재하기때문에매체제어는망분리의필수조건이다. 매체제어방법은물리적인제어방법과소프트웨어방식으로나눌수있다. 물리적인방식은 PC를케이지같은곳에넣어정보보안담당자가열쇠를가지고있어, 키보드마우스교체등특별한경우가아니면매체에접근하지못하게하는방법이다.
Safe Web Using Scrapable Headless Browser in Network Separation Environment 81 Fig. 5. Media control system scheme 또한, USB를물리적으로파손시키거나제거금지스티커로붙이는방법도존재한다. 소프트웨어방식은 ( 그림5) 와같이 Agent 방식으로 PC에접근하는매체를차단하는방식이다. 매체제어는보안 USB 와같이도입하여업무망과외부망사이의자료를보안 USB를통해허용하는방법을정책적으로허용할수있다. 3.4 Network connection solution 망연계솔루션은망분리가구축된환경에서업무망과외부망사이에서로다른네트워크망간실시간데이터연계 (Streaming, 그림6- 상단 ), 파일전송 (File Transfer, 그림7- 하단 ) 서비스를정보보안정책에맞게구성하여안전하게망간데이터전속을할수있는환경을제공할수있는솔루션이다. Fig. 7. Streaming and File transfer control mechanism 솔루션의구성은크게두가지방법으로존재하는데 ( 그림7) 과같이서버와서버를실시간으로연계하는스트리밍 (Streaming) 서비스가존재한다. 안전성을확보하기위해단방향암호화통신 (Outbound Session 을이용 ) 방식을사용한다. 또한 White List 방식을통해유요한접근 IP, Port만연결을허용하도록구성이되어있다. 파일전송 (File transfer) 방식은결재를통해인가된반출자료를반입, 반출하는것을의미한다. 반입반출시는백신이나, APT솔루션을통해숨겨진악성코드등을검사하거나, 실행이가능한확장자 (exe, msi, scr) 등을제한하는정책을적용하여운영할수있다. Fig. 6. (top) Streaming system scheme / (bottom) File transfer scheme 3.5 Headless Browsing technology 일반적인웹브라우저는웹페이지의결과를모니터에뿌려사용자가웹을인식하도록한다. 브라우저는어떤화면을어떻게구성할지를웹서버로부터 HTML, CSS 등파일을불러와서화면을구성하는역할을수행하게된다. 헤들리스 (headless) 브라우저기술은 header 없이수행되는즉창이없는브라우저라고이해하면적절하다. 일반적으로는검색엔진등이사이트정보를파악하고수집하기위해 Crawling 을수행할경우에많이이용하며, 자동화된웹의브라우징컨트롤을목적으로한다. 헤들리스브라우저를컨트롤하기위한기술로는 Webkit 기반의 phantom.js, casper.js 가있으며, Jsdom 기반의 zombie.js, Gecko 를기반으로한 slimer.js 등이있으며, 헤들리스브라우저를옵션으로사용할수있는구글크롬의 Headless Chrome 등이있다. 이런기술을이용한다면, ( 그림8) 과같이브라우저구동없이웹의특정정보를추출하거나전체페이지를원하는전자문서로캡처하여저장하는것이가능하다.
82 Journal of The Korea Society of Computer and Information Fig. 8. Web Scraping with a headless Browser IV. Proposal for improvement of network separation for user convenience 4. Suggestion of user convenience improvement in network separation environment 4.1 Analysis of internet usage requirement in business network 망분리가구축되어있는기관에서는업무망과외부망이분리되어있기때문에해킹이나악성코드등의공격을원천적으로차단하고는있지만, 망분리환경에서업무망과외부망은분리되어있으므로, 업무망 PC에서인터넷에접속할수없다. 인터넷에있는정보를업무에활용하기위해서는기관에맞는망분리정책을따라야한다. 자료교환시스템이구축되어있는기관은인터넷자료를다운로드받아자료교환을통해업무망으로전달하고전달받은자료를업무망에서열어업무자료에활용한다. 인터넷에존재하는한, 두가지자료를활용할경우는정보보안을준수하고따르지만, 인용해야할자료가다양하고많은자료로요구될때불편함이존재하며, 정보보안담당자와임직원간의갈등의요소가된다. 본논문을통해제안하고자하는것은업무망에서망분리의원칙을위배하지않고인터넷을사용하는방법이다. 4.2 Use secure web network in the proposed network separation environment 지금까지망분리의주요개념과자료교환을위해필요한기술들을살펴보았다. 잠깐정리해보면, 업무망과외부망이단절되어야하며, 이중외부망에서만인터넷이사용가능해야한다. 업무망은안전성의이유로인터넷이차단된상태에서회사의업무를한다. 하지만 5G가도입되고인터넷을통한정보를얻고이를업무에활용할경우가많으며, 업무특성에따라이런경우가더많은회사나직군이존재한다. 회사의특성이나일부부서혹은직무담당자의업무효율성을이유로인터넷을 열어주거나외부망 PC 에문서편집기를설치하는것은회사의 전체적인보안수준을내려야하기때문에조심스럽게접근할 필요가있다. 주목할부분은망분리정책에서망연계솔루션과 망간자료전송시스템을이용한문서파일의전송은허용하고 있다는점이다. 이를활용하여망분리된기관업무망에서안전 하게웹을사용하는방안을제안하고자한다. 업무망단말 (Intranet PC) 은접속하고자하는사이트의인터 넷주소를기정의된망간자료전송방법을통해인터넷망단말 (Internet PC) 로전달한다. ( 그림 9) 를참고하자면, 업무망단말 (Intranet PC) 과인터넷망단말 (Internet PC) 사이에직접적인 통신은불가능하므로, 업무망단말 (Intranet PC) 은앞에서설명 한자료전송시스템을이용하여인터넷주소를외부망단말로 전달한다. 인터넷주소는 URL(Uniform Resource Locator) 주소또는 IP(Internet Protocol) 주소등인터넷접속에사용될수있는 모든종류의주소를의미하며, 전송을위해프로토콜을별도로 정의할수있다. 인터넷망단말 (Internet PC) 은자료전송시스 템을통해전달받은인터넷주소를기초로해당사이트에접속 하여데이터를스크래핑한다. Fig. 9. Safe Web Using Scrapable Headless Browser in Network Separation Environment ( 그림 10) 과같이, 인터넷주소가 'www.google.com' 이면. 인 터넷망단말에있는에이전트가헤들리스브라우저를호출하여 해당사이트의구성을 PDF 등전자문서로변경하고저장하며, 이과정을사이트스크래핑 (Site Scrapping) 이라고한다. 브라 우저를통한웹서피은악성코드가포함된경우 PC 를감염시켜 침해사고등피해가예상되지만전자문서로캡처된웹은브라 우저에서열릴지라도악성코드는작동할수없는상태가된다. 이렇게악성코드등이존재할수없는전자문서형태로변환 한파일 (PDF, 혹인이미지 ) 을자료교환을통해내부로전송한
Safe Web Using Scrapable Headless Browser in Network Separation Environment 83 다. 이방법을이용하면, 보안을지켜야하는보안담당자와자 료를효율적으로이용하고자하는불편을호소하는임직원사 이의갈등의틈새를줄일수있다. 업무하는정보보안담당자는감정노동에시달리게된다. 이런 시점에서정보보안의안전성을그대로유지하면서편의성을제 고하는연구나발명이앞으로많이수행되기를희망한다. Fig. 10. Features Required for Internet PC Agent 5.2 Administrative Recommendations on the proposed network separation 망분리를하기위해서는막대한예산이투입되고네트워크서버팜, PC 등대부분의모든것에수정이필요하기때문에어려운결정을해야한다. 현장에서경험을바탕으로이러한망분리정책에대한반발을잠재우기위한방법을고안하게되었다. 다양한자료교환, 망연계솔루션이존재한다. 이런다양한제품이동일하게업무망에서안전한웹을이용하기위해서는망연계를통한웹브라우징을위한프로토콜을만들필요가있다. 그리고프로토타입의코드를작성하고공개하여, 정보보호시스템을만드는많은업체가써드파티로참여하여지속적으로편의성을주는방향으로진화되길바란다. 또한, 정보보안이직원의편의를고려하고연관된시스템을이용할경우정보보안체계의준수율과임직원이느끼는정보보안안전성평가등은다음연구를통해분석할필요가있다. V. Suggestions for Administrators 5.1 A Study on the Direction of Information Security 정보보안담당자의역할은크게두가지로나누어볼수있다. 첫번째는관리의영역이다. 주기적으로네트워크, 서버, 정보보호제품에이상한계정은없는지, 적용된정책이과도하지는않은지, 허가받지않은권한이나계정이생성된것이있는지끊임없이살펴보고점검하고, 임직원과경영진에게정보보안에대한관심을제고하여능동적인정보보안체계를확립해나가는과정이필요하다. 두번째는기술적보안영역이다. 외부로부터공격을차단하기위해기술적으로대응하는영역으로흔히정보보안제품인방화벽, IPS(Intrusion Prevention Systems), IDS(Intrusion Detection System), APT(Advanced Persistent Threat) 대응솔루션, 백신, DRM(Digital Rights Management) 등등많은보안솔루션이기술적인영역의역할을수행하는수행체계이다. 네트워크를망분리하는정책은두번째인기술적보안영역에해당한다. 기술적으로원천적인망을분리해서보안을강화하는방식이다. 하지만이를통해기술적보안영역에서의성과는존재하지만관리적보안을수행하기에는어려움이생긴다. 관리적보안은타부서와그소속임직원의협조가절대적으로필요하다. 그런데망분리같은대규모작업을통해기술적영역의보안체계를변경하면, 수년, 아니수십년동안일해온직원들의반발이거세며, 이런급진적인변화는불만을폭주시키게만들어결론적으로관리적보안을약화시키는원인이될수있다. 해킹기술의진화에맞춰정보보호기술은발전하였으며, 정보보호기술의발전이소속직원을불편하게만들수있다. 더큰피해를막기위한선제적조치임을강조해도현장에서 VI. Conclusions 중요자료유출을방지하기위한망분리사업들이공공기관을중심으로진행되었으며, 기술적인운영문제점도많았지만많은부분은해결해나가면서발전해가고있다. 특히보안 USB 를통해망간자료전송을하거나, 공유스토리지를활용한자료교환체계는구조적인취약점으로인해유명무실해지고있어, 현재공공기관에서는실시간데이터연계 (Streaming), 파일전송 (File Transfer) 시스템을구축하여운영하고있다. 정보보안의중요한역할이차단이라는것은누구나알고있다. 하지만, 이제안을통해 정보보안과효율성은반비례 라고주장하는속언에반발하고싶으며정보보안담당과소속직원서로가서로를이해하고배려하는마음으로정보보안기술이발전해야하고, 이런방향이궁극적으로는소속직원의적극적인보안동참으로유도되어관리적보안성과로이어질것이다. REFERENCES [1] Eun-hye Han, In-seok Kim, Efficient Operation Model for Effective APT Defense, Journal of the Korea Institute of Information Security and Cryptology, Vol. 27, Issue 3, pp. 501-519, June 2017. [2] D. Lee, N. Park, "Electronic identity information hiding
84 Journal of The Korea Society of Computer and Information methods using a secret sharing scheme in multimedia-centric internet of things environment, Personal and Ubiquitous Computing, Vol. 22, Issue 1, pp. 3-10, Feb. 2018. [3] Ji-Sang Lee, Jung-Eun Jee, Yong-Tae Shin, "A Study on Network Partition to Cope with Cyber Attack, Proceedings of the Korean Information Science Society Conference, Korean Information Science Society, pp. 313-315, June 2011. [4] N. Park and M. Kim, "Implementation of load management application system using smart grid privacy policy in energy management service environment, Cluster Computing, Vol. 17, Issue 3, pp. 653-664, Sep. 2014. [5] Jungeun Jee, Sangji Lee, Sungryoul Lee, Byungchul Bae, Yongtae Shin, "A Logical Network Partition Scheme for Cyber Hacking and Terror Attacks, Journal of KISS : Information Networking, Vol. 39, No. 1, pp. 95-101, Feb. 2012. [6] D. Lee and N. Park, "Geocasting-based synchronization of Almanac on the maritime cloud for distributed smart surveillance, International Journal of Supercomputing, pp. 1-16, 2016. [7] Sung-hoon Lee, "A Study on Separate Plan of Efficient Information System Network in Partitioned Network Environment, http://www.riss.kr/link?id=t12468570, pp. 12-33, June 2011. [8] J. Kim, N. Park, G. Kim, and S. Jin, "CCTV Video Processing Metadata Security Scheme Using Character Order Preserving-Transformation in the Emerging Multimedia, Electronics, Vol. 8, No. 4, pp. 412, Apr. 2019. [9] Mi-hwa Lee, Ji-won Yoon, A Study on Detection Method of Multi-Homed Host and Implementation of Automatic Detection System for Multi-Homed Host, Journal of the Korea Institute of Information Security and Cryptology, Vol. 28, No. 2, pp. 457-469, Apr. 2018. [10] N. Park and N. Kang, "Mutual Authentication Scheme in Secure Internet of Things Technology for Comfortable Lifestyle, Sensors, Vol. 16, No. 1, pp. 1-16, Dec. 2015. [11] Seung Jae Jeon, Hun Yeong Kwon, Public Enforcement and Private Enforcement of Technical and Organizational Measures for Protecting Personal Information, Journal of Law & Economic Ragulation, Vol. 11, No. 2, pp. 269-291, Dec. 2018. [12] Namje Park, Hyo Chan Bang, "Mobile middleware platform for secure vessel traffic system in IoT service environment, Security and Communication Networks, Vol. 9, Issue 6, pp. 500-512, April 2016. [13] Jin-Woo Park, Hong-Ki Min, Hwanyong Lee, "A Study of Data Exchange System to Prevent Information Leakage Between Intra-Network and Inter-Network, Korea Computer Graphics Society, pp. 156-157, July 2017. [14] D. Lee, N. Park, Geonwoo Kim, and Seunghun Jin, "De-identification of metering data for smart grid personal security in intelligent CCTV-based P2P cloud computing environment, Peer-to-Peer Networking and Applications, Vol. 11, No. 6, pp. 1299-1308, Nov. 2018. [15] Namje Park, Hongxin Hu, and Qun Jin, "Security and Privacy Mechanisms for Sensor Middleware and Application in Internet of Things (IoT), International Journal of Distributed Sensor Networks, Vol. 2016, Article ID 2965438, 3 pages, 2016. [16] Youn-seo Jeong, Ki-Dong Nam, "An Investigation of Network Separation Solution for Government Network, Proceedings of Symposium of the Korean Institute of communications and Information Sciences, pp. 1125-1126, June 2011. [17] Namje Park, Jin Kwak, Seungjoo Kim, Dongho Won, and Howon Kim, "WIPI Mobile Platform with Secure Service for Mobile RFID Network Environment, Advanced Web and Network Technologies, and Applications, LNCS, Vol. 3842, pp. 741-748, Jan. 2006. [18] Donghyeok Lee, Namje Park, ROI-based efficient video data processing for large-scale cloud storage in intelligent CCTV environment, International Journal of Engineering & Technology, Vol. 7, No. 2.33, pp. 151-154, Mar. 2018. [19] Namje Park, Donghyeok Lee, Electronic identity information hiding methods using a secret sharing scheme in multimedia-centric internet of things environment, Personal and Ubiquitous Computing, Vol. 22, Issue 1, pp. 3-10, Feb. 2018. [20] Donghyeok Lee, Namje Park, A Study on COP-Transformation Based Metadata Security Scheme for Privacy Protection in Intelligent Video Surveillance, Journal of the Korea Institute of Information Security and Cryptology, Vol. 28, No. 2, pp. 417-428, Apr. 2018. [21] Namje Park, Information Exchange between VTSCs for Secure Next-generation Vessel Traffic System, International Information Institute (Tokyo). Information, Vol. 20, Iss. 2B, pp. 1309-1316, Feb. 2017. [22] Donghyeok Lee, Namje Park, A Proposal of Privacy-Enhanced Deduplication Technique in a Cloud Environment, The Journal of Korean Institute of Information Technology, Vol. 16, No.5, pp. 91-102, May 2018. [23] Jinsu Kim, Sangchon Kim, and Namje Park, "Access
Safe Web Using Scrapable Headless Browser in Network Separation Environment 85 Control Masking Mechanism to Dynamic Image Identification Information," The Journal of Korean Institute of Information Technology, Vol. 17, No. 7, pp. 95-101, Jul. 2019. [24] Donghyeok Lee, Namje Park, Institutional Improvements for Security of IoT Devices, Journal of the Korea Institute of Information Security & Cryptology, Vol. 27, No. 3, pp. 607-615, June 2017. [25] Jinsu Kim, Sangchon Kim, and Namje Park, "Face Information Conversion Mechanism to Prevent Privacy Infringement," The Journal of Korean Institute of Information Technology, Vol. 17, No. 6, pp. 115-122, June 2019. [26] Namje Park, Byung-Gyu Kim, and Jinsu Kim, "A Mechanism of Masking Identification Information regarding Moving Objects Recorded on Visual Surveillance Systems by Differentially Implementing Access Permission, Electronics, Vol. 8, No. 7, pp. 735, June 2019. [27] Jinsu Kim, and Namje Park, "Inteligent Video Surveilance Incubating Security Mechanism in Open Cloud Environments," The Journal of Korean Institute of Information Technology, Vol. 17, No. 5, pp. 105-116, May 2019. [28] Jinsu Kim, and Namje Park, "Development of a board game-based gamification learning model for training on the principles of artificial intelligence learning in elementary courses," Journal of The Korean Association of Information Education, Vol. 23, No. 3, pp. 229-235, June 2019. [29] Namje Park, Privacy-Enhanced Deduplication Technique in Closed Circuit Television Video Cloud Service Environment, International Journal of Engineering & Technology, Vol. 7, No. 3.24, pp. 321-325, Oct. 2018. Authors Won-chi Jung received the BSc degree in Computer Science from Soongsil University, Korea, in 2008. He is currently a Master's student in Department of Convergence information Security, Graduate School at Jeju National University since 2018. Won-chi Jung works for JDC(Jeju Free International City Development Center, public institution) as an information security officer since 2014. And he was senior programmer of the Platform Development Team of the SK company for 4 years. He is concerned in the information security technology, Web Services Security, Big Data and Blockchain. Jeonghun Park received the BSc degree in Computer Science from Korea National Open University, Korea, in 2017. He is currently a Master's student in Department of Convergence information Security, Graduate School at Jeju National University since 2018. Jeonhun Park is a network expert. He has been managing the National Information and Communication Network of Jeju Special Self-Governing Province for 13 years. He has been researching various technologies for efficient management of national information and communication networks. He is concerned in networks, access control and network policy settings. Namje Park received the BSc degree in information industry from Dongguk University, Korea in 2000, and received his M.E. and Ph.D. degrees in Information Engineering from Sungkyunkwan University in 2003, and 2008 respectively. Prof. Namje Park is a Professor of Department of Computer Education in Teachers College at Jeju National University since 2010.He has been serving as a Research Scientist of Arizona State University since 2010. Prior to joining the researcher at ASU, he had worked as a post-doc at University of California, Los Angeles for 1 year. And he had an appointment as the senior engineer of the information security research division of the Electronics and Telecommunication Research Institute for 6 years. He is concerned in the information security technology field for the mobile environments, IoT system, Smart Grid, Mobile XML Security, Web Services Security, Ubiquitous computing including Sensor Network and a variety of cryptographic technologies. He has many talks related in mobile and information security technologies.