ETRI-Knowledge Sharing Plaform

ENGLISH

BROWSE

성과물

Home 성과물 기술이전
기술이전 검색
연도 ~ 이전수 키워드

상세정보

목록

스마트 세그멘테이션 보안통제정책분배 및 적용 기술

전수책임자
임재덕
참여자
김경태, 김영호, 김정녀, 나중찬, 손선경, 이윤경, 임재덕, 진승헌
기술이전수
1
이전연도
2018
협약과제
18HH4900, (2세부) IoT 인프라 공격 확산 방어를 위한 상황 적응형 보안 자율제어 기술개발, 김정녀
- 본 이전기술은 사물인터넷 인프라 내의 보안 위협 확산을 방지하기 위해 사물인터넷 구성 요소 중 사물인터넷 게이트웨이에 스마트 세그멘테이션 즉, 게이트웨이에 연결된 디바이스의 네트워크 접속 및 차단을 수행하기 위한 스마트 세그멘테이션용 보안통제정책(이하 보안통제정책) 분배 및 적용 기술임
- 본 이전기술은 스마트 세그멘테이션 수행을 위한 보안통제정책 결정을 위한 보안위협 탐지 및 탐지된 보안위협에 대한 보안통제정책의 결정은 사전에 이루어졌음을 가정하며, 실제 보안 위협 탐지는 기존의 IDS, IPS 등과 같은 네트워크 공격 탐지 기술 및 제품을 활용할 수 있음. 보안통제정책 적용 단위인 세그멘트 역시 본 기술을 적용 및 운용하는 서비스 사이트에서 필요로 하는 단위로 정의할 수 있음
- 본 이전기술은 보안통제정책 분배를 위해 보안통제 관리서버와 사물인터넷 게이트웨이 사이에 스마트 세그멘테이션을 위한 보안통제정책 분배 프로토콜 기술을 제공하고, 보안통제정책 적용을 위해 게이트웨이에 보안통제정책 적용 기술을 제공함. 보안통제정책에 의한 네트워크 접속 차단 및 해제 기능은 게이트웨이 내 네트워크 패킷 필터링 프로그램(iptables)을 활용함
- 본 이전기술은 사물인터넷 서비스를 제공하는 인프라에서 보안 위협이 발생하였을 경우 해당 보안 위협의 확산 방지 및 서비스 보호에 대한 기본적인 프레임워크를 제공하여, 사물인터넷 서비스 제공을 위한 인프라 운영 업체에 대해 기본적인 보안 구조로 활용할 수 있도록 함
- 사물인터넷 서비스를 구성하는 연결기기 수가 폭발적으로 증가하고 있고, 다양한 보안 침해 사고 특히 서비스 거부 공격의 발생이 증가하고 있음. 대규모 기기가 다양한 형태로 연결된 사물인터넷에서는 서비스 거부 공격의 피해 규모는 더욱 심각해지며 서비스 거부 공격을 유발하는 보안 위협 혹은 악성 코드의 전파를 사전에 통제할 필요가 있음

- 현재는 보안 위협 발생에 대한 의심 대상에 대해서만 통제하는 수준으로 보안 위협 확산이 보안 위협 탐지보다 빠른 속도로 이루어지는 경우 보안 위협 통제는 효율적으로 발생하지 못함. 또한 보안 위협의 발생은 발생된 대상과 동일 혹은 유사한 속성을 가지는 대상에서 발생할 가능성이 높기 때문에 보안 위협 탐지 시점에 사전에 정의된 세그멘트 단위로 통제를 수행할 경우 보안 위협 확산을 방지할 수 있음

- 본 기술은 사전 정의된 세그멘트 단위의 보안통제 정책을 분배 및 적용하는 프레임워크를 제공함으로써, 사물인터넷 인프라 내에서 탐지된 보안 위협의 확산을 방지하는 것을 목적으로 함
- 본 기술은 디바이스에 대한 네트워크 접속 통제를 사물인터넷에 연결된 개별 디바이스에 적용하는 것이 아니라 디바이스 연결 지점인 사물인터넷 게이트웨이에 적용하여 기존 사물인터넷 인프라 내의 게이트웨이 수정만으로 인프라 통제 및 관리가 가능함
- 본 기술은 리눅스 커널 기반 운영체제 환경에서 구현 및 시험되었으나, 표준 C 인터페이스로 구현되고 특정 라이브러리의 의존성이 거의 없어, 클로스 컴파일러만 제공된다면 다양한 플랫폼 환경에 이식이 용이함
- 본 기술은 IP 기반으로 동작하기 때문에 적용 대상 디바이스가 IP 주소 기반 네트워크 통신을 지원한다면, 특정 통신 인터페이스(예, ZigBee, BLE, Wi-Fi, Z-wave 등)에 상관없이 적용 가능함
- 본 기술에서 제공하는 보안통제 수행은 리눅스 운영체제 환경에서 제공하는 iptables 기능을 활용하고 있으나, 적용하고자 하는 사이트의 네트워크 통제 솔루션을 활용할 경우 해당 솔루션이 인식하는 규칙 포맷으로의 변경만으로 적용이 용이함
- 본 이전기술은 사물인터넷 인프라에서 탐지된 보안 위협의 확산을 방지하기 위해, 보안 위협이 탐지된 디바이스 및 해당 디바이스와 동일하거나 유사한 속성으로 세그멘팅된 단위로 네트워크 접속 차단 및 해제 등의 스마트 세그멘테이션을 수행하는 기술임
- 본 기술은 사물인터넷 보안통제 관리서버와 사물인터넷 게이트웨이 사이에 동작하며, 관리서버에서는 스마트 세그멘테이션을 위해 결정된 보안통제정책의 분배 기능을 제공하고, 게이트웨이에서는 보안통제적용 에이전트를 통해 보안통제정책 수신 및 적용 기능을 제공함
?보안통제 관리서버용 보안통제정책 라이브러리
-> 형상: 리눅스 라이브러리(스마트 세그멘테이션 정책 분배 API)
-> 기능:
.. 세그멘트 ID로부터 세그멘트에 포함된 디바이스 결정
.. 결정된 디바이스 정보를 포함한 스마트 세그멘테이션 정책을 게이트웨이의 정책적용 에이전트로 분배

?게이트웨이용 보안통제 적용 에이전트
-> 형상: 라즈비안 OS용 바이너리(정책 적용 에이전트 프로그램)
-> 기능:
.. 보안통제 관리서버로부터 스마트 세그멘테이션 정책 수신
.. 수신된 스마트 세그멘테이션 정책 적용- iptables rule로 적용: 차단 및 해제
- 디바이스 단위, 프로토콜 단위, 서비스 세션 단위
- 해당 기술 프로그램
-> 보안통제정책 분배 라이브러리(관리 서버)
-> 보안통제정책 수신 및 적용 바이너리(게이트웨이)
- 해당 기술 시스템 설계서
- 해당 기술 시험 문서
- AMI AMI: Advanced Metering Infrastructure, 양방향 원격검침 인프라
서비스, 스마트시티, 스마트팩토리 등 다양한 IoT 서비스에 연결되는 디바이스에 대한 그룹별 네트워크 접속 통제 관리 프레임워크로 활용
- 사물인터넷 보안 게이트웨이 내의 보안 기술로 활용
- 본 이전기술은 동일 혹은 유사 속성을 가지는 세그멘트 단위의 디바이스 네트워크 접속 통제를 통해 탐지된 보안 위협의 확산을 방지하고 격리함으로써, 서비스 거부 공격(DDoS) 및 악성코드 확산에 따른 사물인터넷 피해를 줄일 수 있음
저작권정책

(34129) 대전광역시 유성구 가정로 218, ETRI 대표 문의처: TEL 1466-38(6자리) / KSP 오류, 불편접수: TEL 042-860-6981

2016 Electronics and Telecommunications Research Institute. All rights reserved.

본 홈페이지는 게시된 이메일 주소가 자동수집되는 것을 거부하며, 이를 위반시 정보통신망법에 의해 처벌됨을 유념하시기 바랍니다.

제1유형