- 본 기술이전은 “IoT 인프라 공격 확산 방어를 위한 상황 적응형 보안 자율제어 기술개발”과제 수행의 결과물로, IoT 인프라에서 사물봇에 의한 서비스 거부 공격 등을 방지하는 신뢰 연결 관리 기반 동적 경계망 솔루션을 구현한 기술임
- 신뢰 연결 관리 기반 동적 경계망 솔루션은 (그림 1)과 같이 사물인터넷 네트워크에서 기기 간 연결에 있어 제삼자 기반의 상호 검증을 통해 검증된 기기만이 서비스 서버의 접속 정보를 알 수 있게 함으로써 가상의 경계망을 생성해 주는 기술임
- 본 기술은 사물인터넷 환경에서 필요한 기술만을 적용하여 사용할 수 있도록 “동적 경계망 솔루션용 M-DTLS 보안프로토콜 기술”, “동적 경계망 솔루션용 SPA 기술”, “동적 경계망 솔루션용 통신 기술“, ”동적 경계망 솔루션용 접근제어 결정 및 커맨드 핸들링 기술“, ”동적 경계망 솔루션용 접근 제어 실행 기술“, ”동적 경계망 솔루션용 관리자 GUI 및 시각화 기술“의 여섯 가지 기술로 구성되어 있음
- 신뢰 연결 관리 기반 동적 경계망 솔루션은 클라우드 기반의 보안 솔루션인 SDP(Software Defined Perimeter) 솔루션을 IoT 환경에 맞추어 재설계한 솔루션임
- “볼 수 없으면 해킹도 할 수 없다“는 것을 모토로 나온 솔루션으로, 인증받은 후 접근 권한이 있는 서비스 및 기기의 리스트만을 알 수 있게 하여 네트워크에 연결된 기기 및 서비스들을 해킹으로부터 보호하면서, 필요한 서비스는 제공하는 솔루션임
- 네트워크로 연결되는 사물인터넷 서비스의 경우 다양한 네트워크 침해 사고가 발생하고 있지만, 사물인터넷 기기의 리소스 부족 등을 이유로 다양한 보안 솔루션을 적용하기 힘든 상황임. 하지만 사물인터넷 기기들을 관리하는 서비스 서버에 본 솔루션을 적용하여 사물인터넷 기기에 보안 솔루션을 추가하지 않고도 해킹으로부터 안전한 네트워크를 구성할 수 있음
- 사물인터넷 환경 뿐만 아니라, 스마트 오피스 등 VPN을 필요로 하는 네트워크에 적용하여 별도의 VPN이 없어도 본 솔루션을 적용하여 VPN의 보안기능 제공이 가능함.
- 본 기술은 네트워크에 접속할 때 인증 및 인가 과정을 통해서 서비스를 이용하는 모든 서비스 및 네트워크 환경, 사물인터넷 네트워크 보호에 적용이 가능한 솔루션임
- 본 기술은 IoT 네트워크에서의 DDoS 공격 등을 줄이기 위해서 사용 가능한 프로토콜로서, 기기간 통신 네트워크 연결에 있어 인증/인가된 기기들간의 연결만이 가능하도록 하여, 해킹으로부터 네트워크에 연결된 기기 및 서비스들을 보호하는 기능을 제공함
- 본 기술은 라즈베리파이 3B+와 우분투 18.04.2 PC 및 Power PC에서 구현 및 시험되었으나, 표준 C 인터페이스로 구현되고 특정 라이브러리의 의존성이 거의 없어 다양한 플랫폼에 적용이 가능함
- 본 기술은 IP 기반으로 동작하기 때문에 적용 대상 기기가 IP기반 네트워크 통신을 지원한다면, 특정 통신 인터페이스(예, ZigBee, BLE, Wi-Fi, Z-wave 등)에 상관없이 적용 가능함
- 신뢰 연결 관리 기반 동적 경계망 솔루션은 사물인터넷 네트워크에서 기기 간 연결에 있어 제삼자 기반의 상호 검증을 통해 검증된 기기만이 서비스 서버의 접속 정보를 알 수 있게 함으로써 가상의 경계망을 생성해 주는 기술임
- 본 기술은 사물인터넷 환경에서 필요한 기술만을 적용하여 사용할 수 있도록 “동적 경계망 솔루션용 M-TLS 보안프로토콜 기술”, “동적 경계망 솔루션용 SPA 기술”, “동적 경계망 솔루션용 통신 기술“, ”동적 경계망 솔루션용 접근제어 결정 및 커맨드 핸들링 기술“, ”동적 경계망 솔루션용 접근 제어 실행 기술“, "동적 경계망 솔루션용 관리자 GUI 및 시각화 기술"의 여섯 가지 기술로 구성되어 있음
- 본 이전기술에 활용되는 암호 알고리즘은 업체가 보유하고 있는 암호 알고리즘을 재사용할 수 있도록 암호 알고리즘은 기술 이전 범위에 포함하고 있지 않으며, 암호 알고리즘이 필요할 경우 본 기술이전과 별도로 추진되는 “IoT 보안 자율제어 시스템용 경량 암호 기술”을 통해 활용할 수 있음
A. 기술명 : 동적 경계망 솔루션용 M-DTLS 보안프로토콜 기술 : Cortex-M3급 및 라즈베리파이의 경량 기기에서 운영 가능한 TCP 기반의 표준 보안프로토콜(RFC 6347)의 경량화 기술로, ECC 인증서 기반의 상호 인증 및 세션키교환, 전송 메시지 보호 기능을 제공
B. 기술명 : 동적 경계망 솔루션용 SPA 기술 : 본격적인 인증서 기반의 기기간 상호 인증 과정에 들어가기 전 미리 등록된 정당한 기기인지를 확인하여 다음 과정의 진행 여부를 결정하는 기능을 제공
C. 기술명 : 동적 경계망 솔루션용 통신 기술 : 클라이언트와 컨트롤서버간, 컨트롤서버와 서비스서버간, 클라이언트와 서비스서버간 SPA 송수신 전용 UDP 통신 및 신뢰인증을 위한 UDP 통신, 클라이언트와 컨트롤서버간, 컨트롤서버와 서비스서버간, 클라이언트와 서비스서버간 인증/인가 및 커맨드 처리를 위한 TCP 통신을 제공하되, 멀티 스레드를 이용하여 통신의 안정성 및 실시간성 강화
D. 기술명 : 동적 경계망 솔루션용 접근제어 결정 및 커맨드 핸들링 기술
- 접근제어 결정 기능 제공 : 인증된 클라이언트 기기 및 사용자에 대해서 접근 권한이 있는 서비스를 결정하고, 사용자의 서비스 요청에 대해서 접근 허용 여부를 결정하는 기능
- 커맨드 생성 및 처리하는 기능 : 동적 경계망 솔루션에서 사용되는 클라이언트-컨트롤 서버, 컨트롤 서버-서비스 서버, 클라이언트-서비스 서버간 커맨드들을 생성/검증/처리하는 기능
E. 기술명 : 동적 경계망 솔루션용 접근제어 실행 기술 : 컨트롤 서버 및 서비스 서버에서 클라이언트의 접속 요청에 대해서 접근 결정에 따라 접근을 허용하고 거부하는 기술
F. 기술명 : 동적 경계망 솔루션용 관리자 GUI 및 시각화 기술 : 컨트롤 서버에서 DPS가 적용된 모든 네트워크 구성원 관리 및 접근 정책 설정, 패킷 모니터링, 감사 및 데이터베이스 구조 등의 기능을 제공하는 기술
- 해당 기술별 소스 코드 프로그램
- 해당 기술별 기능시험문서
- 해당 기술별 기술문서
- 스마트홈, 스마트 시티, 스마트 팩토리, AMI 등 IP 통신으로 연결되어 있는 다양한 IoT 네트워크 보호 및 서비스 보호에 적용 가능함
- IoT용 보안 GW를 비롯한 다양한 경량 임베디드 기기의 네트워크 보안 기술로 활용
- IoT 서비스 단위에서 관리되는 경량 기기의 네트워크 접속 제어를 위한 경량 IoT 기기용 네트워크 보안 프로토콜로 활용