ETRI-Knowledge Sharing Plaform

ENGLISH
기술이전 검색
연도 ~ 이전수 키워드

상세정보

IoT 인프라 보안 위협 확산 방지를 위한 스마트 세그멘테이션 솔루션 기술 V3.0

전수책임자
김정녀
참여자
김경태, 김영호, 김익균, 김정녀, 문대성, 손선경, 이윤경, 임재덕, 황송이
기술이전수
2
이전연도
2021
협약과제
20HR2600, (2세부) IoT 인프라 공격 확산 방어를 위한 상황 적응형 보안 자율제어 기술개발, 김정녀
21HR2500, (2세부) IoT 인프라 공격 확산 방어를 위한 상황 적응형 보안 자율제어 기술개발, 김정녀
- 본 이전기술은 IoT 인프라에 침투한 보안위협(예, 사물봇 등)의 확산으로 인한 IoT 서비스 피해를 최소화하기 위해, IoT 인프라에 침투한 보안 위협에 따라 다양한 기기 속성, 네트워크, 서비스 단위로 구성된 세그멘트 단위와 보안통제정책을 기반으로 IoT 구성 요소의 네트워크 연결에 대한 자율적 통제가 가능한 스마트 세그멘테이션 솔루션임. 스마트 세그멘테이션 솔루션은 크게 IoT 서비스 인프라의 보안통제 상황 전반을 관리하는 보안통제 콘트롤러 기술과 보안통제 콘트롤러의 요청에 의해 IoT 인프라 통제를 수행하는 보안통제 에이전트 기술로 구성됨
- 보안통제 콘트롤러 기술은 자율적 보안통제 단위인 다양한 속성의 세그멘트를 동적으로 구성하고 관리하는 세그멘트 동적 구성 및 관리 기술, 탐지된 보안위협 속성에 따라 보안위협 정보를 분석하고, 분석된 보안위협 정보를 기반으로 네트워크 접속을 통제할 세그멘트와 보안통제정책을 결정하며, 결정된 세그멘트 및 보안통제정책을 통제할 세그멘트가 포함된 IoT GW로 분배하는 기능을 제공하는 IoT 인프라 보안통제정책 관리 및 제어 기술, IoT 인프라에 대한 보안통제 상태 및 관리 전반에 대한 시각화된 모니터링을 가능하게 하는 IoT 인프라 보안통제 모니터링 시각화 기술로 구성되어 있음
- 보안통제 에이전트 기술은 저사양의 경량 IoT GW에서 적은 부하로 사물봇으로 의심되는 행위를 탐지하고 탐지된 결과를 보안통제 콘트롤러로 전달하는 IoT GW 기반 비정상 패킷 탐지 기술, 보안통제 콘트롤러로부터 보안통제정책을 수신하고, 수신된 보안통제정책에 따라 통제 대상의 네트워크 연결 통제 및 필요에 따라 통제 대상 기기에 대한 제어(리부트, 정지)를 수행(enforcement)하는 IoT 인프라 보안통제 적용 기술로 구성되어 있음
- 사물인터넷 서비스를 구성하는 연결기기 수가 폭발적으로 증가하고 있고, 다양한 보안 침해 사고 특히 서비스 거부 공격의 발생이 증가하고 있음. 대규모 기기가 다양한 형태로 연결된 사물인터넷에서는 서비스 거부 공격의 피해 규모는 더욱 심각해지며 서비스 거부 공격을 유발하는 보안 위협 혹은 악성 코드의 전파를 사전에 통제할 필요가 있음

- 현재 대부분의 보안 기술은 사이버 공격이 발생했을 때 공격 세션(패킷)이나 보안 위협이 발생한 대상(기기 등)에 대해서만 대응하는 즉, 탐지된 공격 영역에 한해 네트워크 접속을 통제하고 있어, 보안 위협 확산이 보안 위협 탐지보다 빠른 속도로 이루어지는 경우 혹은 이미 조직이나 서비스 영역에 침투한 보안 위협이 내부에서 확산되는 상황에서는 보안 위협이 효율적으로 통제되지 못함. 또한 보안 위협의 발생은 발생된 대상과 동일 혹은 유사한 속성을 가지는 대상에서 발생할 가능성이 상대적으로 높기 때문에 보안 위협 탐지 시점에 사전에 정의된 세그멘트 단위로 네트워크 통제를 수행할 경우 보안 위협 확산을 방지할 수 있음

- 본 기술은 GW 단위에서의 DDoS 공격을 유발하는 사물봇으로 의심되는 네트워크 행위를 탐지하고, 탐지된 보안 위협에 대한 통계를 기반으로 보안 위협 확산 상황 판단 및 IoT 인프라의 보안 위험도 산정과 이를 기반으로 보안 위협 확산을 차단하기 위해 다양한 속성으로 자동 구성된 세그멘트 단위의 보안통제를 적용하는 프레임워크를 제공함으로써, 사물인터넷 인프라 내에서 탐지된 보안 위협의 확산을 방지하는 것을 목적으로 함
- 본 기술은 IoT 구성하는 기기 속성과 탐지된 보안 위협을 기반으로 현재 보안 위험도를 산정하고 이에 따라 다양한 속성으로 구성된 세그멘트 단위에 대해 보안통제정책 기반의 자율적인 인프라 보안통제가 가능하여 사용자 및 관리자의 개입을 최소화할 수 있는 사물인터넷 보안 인프라 기술임.
- 본 기술은 디바이스에 대한 네트워크 접속 통제를 사물인터넷에 연결된 개별 기기에 적용하는 것이 아니라 기기 연결 지점인 IoT 게이트웨이에 적용하므로, 기존 사물인터넷 인프라 내의 게이트웨이의 수정만으로 인프라 통제 및 관리가 가능함.
- 본 기술은 리눅스 커널 기반 운영체제 환경에서 구현 및 시험되었으나, 표준 C 인터페이스로 구현되고 특정 라이브러리의 의존성이 거의 없어, 적용하고자 하는 플랫폼의 크로스 컴파일러만 제공된다면 다양한 플랫폼 환경에 이식이 용이함
- 본 기술은 IP 기반으로 동작하기 때문에 적용 대상 기기가 IP 주소 기반 네트워크 통신을 지원한다면), 특정 통신 인터페이스(예, ZigBee, BLE, Wi-Fi, Z-wave 등)에 상관없이 적용 가능함
- 본 기술에서 제공하는 보안위협 탐지는 IoT 서비스 특성과 DDoS 공격을 유발하는 사물봇 악성코드의 행위 특성을 기반으로 IoT GW 에서 사물봇 의심 위협을 탐지하는 것으로, GW 단위의 분산된 위협 탐지 기능을 수행하여 전체 IoT 인프라의 보안 위협 분석 부하를 줄일 수 있음. 또한 다양하고 심도있는 보안위협 탐지를 위해서는 보안위협 탐지 전문 장비 연동을 통한 탐지 결과를 활용할 수 있음
- 본 기술에서 제공하는 보안통제 수행은 리눅스 운영체제 환경에서 제공하는 iptables 기능을 활용하고 있으나, 적용하고자 하는 사이트의 네트워크 통제 솔루션을 활용할 경우 해당 솔루션이 인식하는 규칙 포맷으로의 변경만으로 적용이 용이함
- 본 이전기술은 IoT 인프라에서 탐지된 보안 위협의 확산을 방지하기 위해, 보안 위협이 탐지된 기기와 동일하거나 유사한 속성으로 구성된 세그멘트 단위로 네트워크 접속 차단 및 해제 등의 스마트 세그멘테이션을 수행하는 기술임
- IoT 인프라에서 스마트 세그멘테이션을 수행하는 본 기술은 보안통제 관리서버와 IoT GW 사이에서 주로 동작하며, 보안통제 관리서버에서는 보안통제 콘트롤러 기술이 IoT GW와 IoT 기기에는 보안통제 에이전트 기술이 적용됨

A. 기술명 : IoT 인프라 보안통제 모니터링 시각화 기술(관리서버)
-> 세그멘트 기반 IoT 인프라 보안 상황 모니터링 인터페이스
-> 보안통제정책 적용 현황 모니터링 인터페이스
-> 보안통제정책 생성 및 배포 인터페이스
-> 세그멘트 구성 관리(생성, 수정, 삭제) 인터페이스
-> 기기 구성 관리(생성, 수정, 삭제) 인터페이스
-> 참조 도메인네임 관리(추가, 변경, 삭제, 분배) 인터페이스.

B. 기술명 : 세그멘트 동적 구성 및 관리 기술(관리서버)
-> IoT 기기 등록을 위한 JSON 기반 기기 정보 구성 및 기기 정보 송수신 프로토콜
-> 등록 기기의 속성에 기반하여 기본적으로 내재하고 있는 CVSS 기반 보안 위험도 측정
-> 등록되는 기기의 속성에 기반한 세그멘트 동적 구성 및 관리(생성, 수정, 삭제)

C 기술명 : IoT 인프라 보안통제정책 관리 및 제어 기술(관리서버)
-> GW로부터 탐지된 보안위협정보 수신. 보안위협정보 수신은 보안위협 정보를 전송하는 GW와 보안위협정보 송수신 프로토콜로 상호 작용하는 기능임
-> GW로부터 수신한 보안위협정보 및 기기 고유 위험도 기반 보안위협정보 분석
-> 보안 위협 발생 기기들 간 유사도를 분석 및 결과를 기반으로 한 보안통제정책 적용 대상 세그멘트 결정
-> 보안 위협 정보에서 추출한 공통의 5-tuple 정보를 기반으로 보안통제정책 자동 생성
-> 보안통제를 적용할 세그멘트를 포함하는 GW 선정 및 보안통제정책 분배. 보안통제정책 분배 기능은 보안통제정책을 적용하는 GW와 보안통제정책 분배 프로토콜로 상호 작용하는 기능임

D 기술명 : IoT GW 기반 비정상 패킷 탐지 기술(에이전트)
-> IoT GW에서의 사물봇 행위 분석용 DNS 패킷 캡쳐 및 비정상 행위 탐지
-> 비정상 행위로 탐지된 패킷 정보에 대한 보안통제 관리서버로의 송신. 보안위협정보 송신은 보안위협 정보를 수신하는 보안통제 관리서버와 보안위협정보 송수신 프로토콜로 상호 작용하는 기능임
-> 사물봇 탐지용 참조 도메인 네임 수신 및 로컬관리. 참조 도메인 네임 수신은 참조 도메인 네임 목록을 관리하는 보안통제 관리서버(시각화 인터페이스)와 참조 도메인 네임 송수신 프로토콜로 상호 작용하는 기능임

E 기술명 : IoT 인프라 보안통제 적용 기술 (에이전트)

-> 보안통제를 적용할 보안통제정책 수신. 보안통제정책 수신 기능은 보안통제정책을 분배하는 보안통제 관리서버와의 보안통제정책 분배 프로토콜로 상호 작용하는 기능임
-> 분배된 보안통제정책에 따른 세그멘트 기반 보안통제정책 적용(iptables 룰 적용)
-> 분배된 보안통제정책과 정책 적용 프로그램(iptables)의 룰 동기화를 위한 보안통제정책 로컬 관리
-> GW와 기기 사이의 기기 제어(기기 리부트, 기기 정지) 명령 송수신 프로토콜
-> 기기에서의 제어(기기 리부트, 기기 정지) 명령 수행
- 각 세부 기술별 프로그램(소스코드)
- 각 세부 기술별 시스템 설계서
- 각 세부 기술별 시험 문서
- AMI(Advanced Metering Infrastructure, 양방향 원격검침 인프라)서비스, 스마트빌딩, 스마트시티, 스마트팩토리 등 다양한 IoT 서비스에서 다양한 기기 속성의 논리적 그룹, 네트워크 및 서비스로 구성된 세그멘트별 자율적 네트워크 접속 통제 관리 프레임워크로 활용
- 사물인터넷 보안 GW 내의 보안 기술로 활용
- 본 이전기술은 동일 혹은 유사 속성을 가지는 세그멘트 단위의 기기 네트워크 접속 통제를 통해 탐지된 보안 위협의 확산을 방지하고 격리함으로써, 서비스 거부 공격(DDoS) 및 악성코드 확산에 따른 사물인터넷 피해를 줄일 수 있음