LTE모뎀이 장착된 교통신호제어기와 교통신호관제센터간 CC인증 VPN적용 기술의 취약점을 분석하고 취약점을 해결하기 위한 기술로서, 마스터 키 생성 및 관리기술과 교통신호제어기와 교통신호관제센터간 상호인증 기술을 제공하고, 마스터키의 보안 강화를 위해 분산된 난수를 이용하는 기술과 사전에 공유한 데이터에 기반한 상호인증 기능을 제공함으로써 보안은 강화시키면서 기존에 CC인증을 재 인증 받지 않고 그대로 사용할 수 있도록 할 수 있다. 특히, 본 기술이전 적용 대상 시스템은 ㈜케이티에서 상용화를 하고 있는 LTE 교통신호제어기와 VPN서버로 현재 상용 구조위에 보안 강화 기술을 설계하였으며 설계문서와 특허를 기술이전 대상으로 하고, 설계문서를 ㈜케이티 협력업체에서 개발할 수 있도록 기술 지원 내용을 포함하고 있다.
최근 교통신호제어기와 교통신호관제센터간에 통신 기술에 있어서 PSTN 모뎀방식의 유선 통신 방식이 지자체를 중심으로 무선 통신 방식으로 급변하고 있으나, 보안업체/신호등업체/통신업체 등 복잡한 이해관계 속에서 보안 취약점이 기술적인 문제와 운영자의 관리 문제 등으로 증가하고 있다. 교통신호제어기는 도로의 안보를 책임지고 있는 중요한 장비임에도 불구하고 경찰청에서는 오히려 SSL_VPN으로 기술이 가능한 것처럼 유도하는 한계를 가지고 있다.
본 기술이전에서는 CC인증 받은 VPN과 KCMVP암호모듈을 탑재한 VPN이 현장에 설치됨에도 불구하고 실제 ㈜케이티 기술에 있어서 보안 취약점을 분석하였으며, 이를 강화하는 방법에 있어서 CC인증을 다시 받지 않는 조건으로 강화 기술을 제공하고 있다.
(1)특징
- KCMVP암호모듈을 탑재한 CC인증 받은 VPN기술이 적용된 ㈜케이티에서 상용화하고 있는 LTE교통신호제어기와 교통신호관제센터간에 보안 취약점을 분석
- CC인증 VPN의 재 인증을 받지 않는 조건과 강화USIM의 재 생산을 하지 않는 조건에서 보안 강화 기술 설계
- 마스터키를 환경설정파일에 저장해서 사용하지 않고, 시스템이 자동으로 생성하도록 설계함
- 모든 신호등에 동일한 마스터키를 사용하지 않고 신호등마다 독립된 마스터키를 생성하도록 설계함
- MAC주소에 기반한 접근 제어를 PSD(Pre-Shared Data)를 사용해서 취약점을 강화
- 난수 발생기의 취약점을 분산 및 협업 환경을 통해 SW적으로 해결안 제시
- ETRI에서 설계한 기술을 ㈜케이티 협력사에서 구현하도록 상용제품 밀착 설계
(2)장점
- LTE 교통신호제어기 관련 보안 인증에 대한 조사를 철저히 함에 따라 CC인증을 재인증 받지 않도록 설계함으로써 CC인증 기간 1년이상 시간과 인증 비용 1억이상을 절감하는 효과가 있음
- SSL VPN 기술에 비하여 클라이언트 인증 기능을 강화하여 상호인증 기능을 강화 했으며, 키 생성에 사용되는 난수의 보안 안전성을 강화 시킴
- 사람에 의한 보안 취약성 문제를 해결하여 마스터키의 생성 및 관리를 모두 자동화 했으며, 신호등별로 독립적인 마스터키 생성이 가능하도록 설계함
- PSK를 안전하게 발급하기 위한 별도의 USIM 제조라인을 구축하지 않아도 됨
LTE교통신호제어기 보안강화 기술
SLC(Secure Local Controller) 시스템 구조설계서
SLC LTE모뎀 기능설계서
SLC USIM클라이언트 기능설계서
SLC VPN클라이언트 기능설계서
SLC VPN서버 기능설계서
SLC 보안토큰USB 기능설계서
교통신호보안시스템 및 방법(국내 출원)
- 지자체에 적용하고자 하는 LTE 교통신호제어기의 보안 강화 기술로 활용이 가능함
- 교통신호제어기뿐 아니라 다양한 IoT디바이스에 대하여 보안 강화 기술로 활용이 가능함