- 본 이전기술은 분실 및 도난의 가능성과 악성코드 위협이 높은 스마트단말 환경에서 가상화 모듈을 통해 기존의 모바일 OS(안드로이드OS)가 동작하는 일반영역과 보안 기능을 제공하는 보안영역으로 운영환경을 분리하여, 스마트단말 내의 민감 정보을 보호하고 처리하는데 있어 안정한 운영환경을 제공하는 은닉형 보안플랫폼 기술임
- 본 기술은 스마트단말 내 은닉형 보안플랫폼 구조를 제공하기 위해 크게 , “은닉형 보안플랫폼 기술”과 “보안플랫폼용 보안API 및 추상화 기술”로 구성되어 있음
- 세계적 뿐만 아니라 국내에서도 스마트폰 이용자가 빠른 증가세를 보이고 있고, 스마트폰에 기반을 둔 다양한 서비스의 보급으로 인해 모바일 데이터의 사용량이 급격하게 확대되고 있으며, 이에 따라 스마트폰 내에 많은 데이터를 손쉽게 저장할 수 있게 됨에 따라 이들 데이터를 보호할 수 있는 진보된 기술이 필요함
- 기존에는 모바일 단말의 중요한 데이터를 보호하기 위해 모바일 백신, 원격제어와 관련된 기술이 있으나, 이들 기술은 루팅 등을 통한 악의적인 공격으로부터 중요한 데이터를 보호하기 위해서는 다소 부족한 면이 있음
- 또한 개방형 OS 기반의 스마트워크 단말기 보급 확산과 자유로운 앱 생태계로 인하여 보안 위협이 증가하고 단말 분실 및 도난으로 인한 정보 유출 가능성이 매우 높아 스마트 단말 내의 데이터 보호 장치가 필요함
- 최근 악성 코드의 지능화 및 진화로 인해 이들 악성 코드로부터 스마트단말 내의 데이터를 보호하고, 보안 연산에 대한 안전한 운영 환경을 제공할 수 있는 원천적인 보안 구조를 가지는 플랫폼 보안이 요구되고 있음
- ARM core기반의 하드웨어적인 실행환경 분리를 기반으로 보안 기능을 구축하는 외산 제품이 등장하고 있으나 국산 암호알고리즘 및 인증 알고리즘이 내장되어 있지 않아 기존의 국내 보안 시스템과의 연동 및 공공 분야의 활용에 어려움이 있음
- 본 기술은 모바일OS(안드로이드OS) 환경에서 운영되는 악성코드의 위협으로부터 데이터를 보호하기 위해, 스마트단말용 가상머신 모니터를 통해 모바일OS 영역인 일반 영역과 보안 기능 수행을 위한 보안영역을 분리하고, 보안영역에 보안 기능을 수행하는 보안플랫폼을 운영함으로써, 보안플랫폼 내의 데이터 보호 및 보안 기능 수행에 안전을 보장하는 것이 목적임
- 또한 본 기술은 보안영역 내의 보안플랫폼에서 다양한 국산 암호알고리즘 및 인증알고리즘 기능을 추가함으로써 국내의 보안시스템과의 연동 및 공공분야 활용에도 문제가 없도록 하였음
(장점)
- 진화하는 스마트 단말의 악성 코드로부터 단말 내 중요 정보의 유출을 방지할 수 있는 플랫폼 수준의 보안 구조를 제공함
- 특히, 암호키, 인증서 등과 같은 민감 정보의 안전한 보호가 가능하여 관련 서비스의 신뢰도를 높일 수 있음
(인증 결과의 신뢰도 향상(신뢰 인증), 암호 연산의 신뢰도 향상(데이터 보호의 신뢰도 향상))
- 소프트웨어적인 기법을 적용함으로써 비용 절감 및 배포 용이
(기술 상세 사양)
- 은닉형 보안플랫폼 접근 통제 강화를 위한 앱 및 사용자 2단계 인증 구조
- 일반영역에서 은닉형 보안플랫폼 기능 이용을 위한 제한된 보안API 라이브러리
- 은닉형 보안플랫폼 내의 안전저장 기술을 통한 데이터 기밀성 및 무결성 지원
- 은닉형 보안플랫폼 기반 FIP-196 표준 인증 규격 준수
- KCMVP Level 1 기준을 준수하는 암호 알고리즘 제공(ARIA, SEED 포함)(블록 암호, 비대칭키 암호, 해쉬 & MAC, 전자서명, 난수생성 알고리즘)
- 암호키 노출 방지형(White-Box 기반) 키생성 및 관리 기능
- 스마트단말용 TYPE-2 기반 가상머신 모니터 기능
A. 기술명 : 은닉형 보안플랫폼 기반 보안엔진 기술
안드로이드OS와 분리된 보안영역에서 운영되는 “은닉형 보안플랫폼 기반 보안엔진 기술”은 분리된 보안영역에서 데이터 처리를 수행하는 보안엔진으로 KCMVP 대응이 가능한 경량형 암호알고리즘, 화이트박스 기반의 키관리, 데이터의 기밀성과 무결성을 제공하는 안전저장 기능으로 구성됨.
?KCMVP 대응 암호 알고리즘
- 대칭키 암호 : AES, SEED, ARIA (모드 : ECB/CBC/CTR/CFB/OFB)
- 공개키암호 : RSA-1024, RSA-2048
- 전자서명: KCDSA_1048, KCDSA_2048,
- 해쉬함수 : SHA224, SHA256, SHA384, SHA512
- 난수생성기: HMAC_DBRG
?화이트박스 기반 키관리 기능
- 화이트박스(WB)를 이용한 키 생성 알고리즘
?안전한 저장관리(Secure Storage) 기능
- 중요 데이터의 안전한(암호화, 무결성 검증) 저장/관리
- 안전 저장을 위한 메모리 관리(단편화 관리)
B. 기술명 : 은닉형 보안플랫폼 접속제어 및 관리 기술
안드로이드OS와 분리된 보안영역에서 운영되는 “은닉형 보안플랫폼 접속제어 및 관리 기술”은 분리된 보안영역으로의 접근 제어 및 접근 관리를 위해 인증 및 접근제어, 메시지 관리 등의 기능으로 구성됨. 일반영역에서 전달된 보안 API에 해당하는 추상화 라이브러리를 호출할 수 있도록, 일반영역에서 호출된 보안 API 메시지를 해석 및 관리하는 기능을 포함하고 있음
?보안영역 접근에 대한 2-Facotr 인증(Admission) 기능
- 보안영역 접근 허가앱 인증
- 사용자 PIN 인증
?보안영역 접근제어(Access Control) 및 메시지 관리 기능
- 2-Factor 인증을 통한 영역 간 통신 채널 제공
- 인증 정보 기반 세션 관리(생성/삭제/타임아웃/갱신)
- 통신채널 신뢰성 확보를 위한 채널 암호화
- 영역 간 송수신 메시지 관리 및 보안 서비스 호출 관리
C. 기술명 : 보안플랫폼용 보안 API 및 추상화 기술
“보안 API 및 추상화 기술”은 일반영역(안드로이드OS)의 보안서비스(앱)가 분리된 은닉형 보안플랫폼의 보안 기능을 사용할 수 있도록 개발자에게 제공된 API와 일반영역에서 제공된 API의 실제 구현을 제공하는 보안영역(보안플랫폼)에서의 추상화 라이브러리로 구성됨. 일반영역에서 호출된 보안 API 내용을 분리된 보안영역에 전달하고 수행된 결과를 보안서비스(앱)에게 전달하는 메시지를 관리하는 기능을 포함하고 있음.
? 일반영역에서의 보안플랫폼 활용을 위한 보안API 주요 기능
- 안전저장 및 메모리 관리용 IF
- 사용자 접근제어용 PIN 관리 IF
- 보안영역 채널 및 세션 생성 IF
- FIPS-196 표준 규격 기반 RSA 서명 생성/검증용 IF
- FIPS-196 표준 규격 기반 G-PKI 연동용 KCDSA 서명 생성/검증용 IF
?보안영역의 보안서비스 추상화 기능
- 안전저장 및 메모리 관리 라이브러리 구현
- 사용자 접근제어용 PIN 관리 라이브러리 구현
- 보안영역 채널 및 세션 생성 라이브러리 구현
- FIPS-196 표준 규격 기반 RSA 서명 생성/검증 라이브러리 구현
- FIPS-196 표준 규격 기반 G-PKI 연동용 KCDSA 서명 생성/검증 라이브러리 구현
- 휴대 단말 및 이동 환경에서 높은 보안성을 요구하는 보안 강화형 특수 단말로 활용(예, 안전재난 서비스용 스마트 보안단말)
- 군 경계 상황 등 보안이 철저히 요구되는 분야에서 발생하는 긴급 상황의 신뢰된 전파 및 정보 유출 방지를 위한 보안 단말 플랫폼으로 활용(상황 전파용 스마트 보안단말)
- 모바일 환경에서 스마트워크 및 원격 업무 제공시 사용자 인증 정보 및 중요 정보 유출 방지를 위한 보안 단말 플랫폼으로 활용(모바일 오피스용 스마트 보안단말)
- 특정 구성원 간의 문자/음성 정보의 안전한 전달 및 관리를 위한 보안 단말 플랫폼으로 활용 가능(보안 통신용 스마트 보안단말)
- IoT 등 융합 단말 제품에서 안전한 키 및 중요 정보 처리의 보안성을 제공하는 보안플랫폼으로 적용 가능(Ex. IoT 게이트웨이 보안플랫폼 및 셋탑박스 보안플랫폼 등) (융합서비스 단말 보안)
- 휴대성 및 이동성의 특징을 기반으로 한 스마트단말 기반 서비스에서 스마트단말의 보안 문제(정보 유출, 신원 도용 등)를 원천적으로 해결할 수 있는 보안 구조를 제공하여, 해당 서비스의 활성화에 기여할 것으로 기대됨