2014. 6. 23

원 유 재

yjwon@iitp.kr

목 차 I. 정보보호의 중요성 II. 현황 및 당면과제 III. 추진과제 현황 IV. 발전 방향

2 KRnet2014

3 KRnet2014

4 KRnet2014

5

□ 동기 : 호기심, 자기과시 → 금품갈취 → 사회혼란, 사이버테러

□ 기법 : 수동 → 은닉, 자동화 → 조직적, 지능화

KRnet2014

6 KRnet2014

7 KRnet2014

8 KRnet2014

‘최정예 인력 부족‘

‘구직난 속의 구인난’

발생

9 KRnet2014

10 KRnet2014

13 KRnet2014

과제명

(목표) 사이버공격 예방을 위한 침해공격 사전탐지(악성URL/악성코드/좀비PC) 및 악성코드 분석 원천기술 개발

- 악성코드 경유/유포지 등 악성 URL 탐지 및 악성코드 수집 기술 개발 (악성 URL 탐지율 : 90%)

- 이메일 분석 기반 좀비PC 및 봇넷 그룹 탐지 기술 개발 (이메일 기반 좀비PC 탐지율 70%)

- 좀비PC 악성코드 자동 탐지/추출 및 악성코드(실행형/문서형) 자동 분석 기술 개발 (좀비PC에서의 악성코드 탐지율 90%)

(EndProduct/적용범위) 조직 내 악성 URL 접속 탐지/차단 및 신규 악성코드 샘플 수집/분석을 통한 대응, 기존 좀비PC 탐지 및 조치를 통한 악성코드 피해 방지

지능형 악성코드 자동 분석 및 경유/유포지 탐지 기술 개발

좀비PC 악성코드 추출 도구

이메일 기반 좀비PC 및 봇넷 그룹 탐지 시스템

악성코드 배양 기반 공격패턴 분석 시스템

악성URL 탐지 시스템

악성코드 자동 분석 시스템

싱크홀 기반 악성코드 경유지 탐지 시스템

악성코드 경유지 탐지/조치로 악성코드 유포 사전예방

악성 URL 탐지/조치를 통한 감염PC 확산 방지

악성코드 세부 분석 결과 도출 백신 제작에 활용

악성코드 장기 배양/분석을 통한 C&C 및 좀비PC 탐지

이메일 분석을 통한 대규모 좀비IP pool 및 스팸 광고

사이트 탐지

기 탐지된 좀비PC 내부 악성코드 분석 및 추출

-악성코드 분석정보

-유포지 -Exploit -악성코드

유포지

악성코드 좀비PC 정보

악성코드 종합 정보

데이터베이스

대규모 Malnet 자동 탐지 시스템

악성코드 경유/유포지, 좀비PC, C&C 종합현황 시각화

악성코드

확산 방지

기감염

좀비PC

탐지/조치

-경유지 -경유/유포지 연결관계

-C&C -기감염 좀비PC

-좀비PC IP -좀비그룹

-좀비PC 내부 악성코드

MTM기반 단말 및 차세대 무선랜 보안 기술 개발 과제명

(목표) 다양한 모바일 서비스의 안전성과 신뢰성을 요구하는 모바일/무선 환경에서

- 스마트 단말의 정보유출 방지 및 비인가된 사용자의 불법 접근을 차단하는 MTM하드웨어 기반 보안 핵심 기술 개발 (보안등급 : TCG SC2급, 소모전력 ≤ 10mA, 인증시간 2초이하)

- 무선 다중침해 공격의 실시간 방지와 고속접속 보안 서비스를 제공하는 차세대 무선랜 보안 핵심 기술 개발 (802.11n, 2개채널 감시/60%BSS 수준/센서정보기반 탐지 및 대응)

(EndProduct/적용범위) MTM(모바일 보안신뢰모듈)이 탑재된 스마트 보안 단말, 실시간 무선랜 침해 방지 센서, 보안 AP 등/ 모바일 인터넷보안, 지불·뱅킹등 금융보안, 스마트워크/BYOD등 기업보안 등에 활용

SAFETY

WIPS Server

WIPS 보안서버

무선보안 위협상황 수집, 분석, 제어 및 관리/침해탐지/차단

WIPS Sensor

3W 통합인증 및

지불 결재 서버 스마트폰용 공개키

기반 인증서버

원격 단말보안 관리서버

악성코드

확산제어 서버

iPhone Cloud

Win Mobile Cloud

Android Cloud

INTEGRITY AVALIABLITY

REALIABLITY

인증서버

원격단말제어 앱스토어 보안서버

클라우드 보안 서버

모바일용 SW 보안성 검증 기술 모바일 SW 유통 인증 기술

WiFi

WCDMA

WiBro

Chip-level

Driver-level

Execution-level

Service-level

스마트 단말 보안 플랫폼

• 분실/도난시 단말 도용 방지

• 단말 정보 유출 방지

• 비인가자 불법 접근 방지

• 차세대무선랜 고속접속보안

Secure AP 신뢰AP리스트방송, 고속접속보안 지원

과제명

(목표) 4G LTE망 및 단말 대상 악의적인 공격 및 비정상 트래픽에 대한 탐지 및 대응 기술 개발

- 4G 망 제어/데이터 트래픽 수집 기술 개발 (GTP 트래픽 처리 성능 : 30Gbps/초) - 4G 망 공격/비정상 데이터 트래픽 탐지 기술 개발 (공격/비정식 트래픽 탐지 오탐율 : 5%, 사용자 세션 처리수 : 1,000만개)

- 4G 망 침입 방지 및 이상징후 관제 기술 개발 (공격/비정식 트래픽 대응 지연 시간 : 1,000ms/20Gbps)

(EndProduct/적용범위) 이동통신망 보호를 위한 전용 보안 장비 (IPS, IDS 등) 및 이동통신 장비의 보안 모듈 형태로 이동통신 사업자 망 활용 가능

4G 망 공격/비정상 트래픽 탐지 및 대응 기술 개발

S-GW

Internet 3G 망

MME

P-GW

펨토셀

4G 무선 망

연동망 구간 트래픽 수집 시스템

펨토셀 구간 트래픽 수집 시스템

4G망 트래픽 수집 시스템

4G망 트래픽 수집 시스템

4G망 비정상 트래픽 차단 시스템

4G망 비정상 트래픽 탐지 시스템

4G망 이상징후 관제 시스템

3G 연동망 구간 비정상 트래픽

펨토셀 구간 비정상 트래픽

4G 망 무선 자원 및 주요 장비 과부하 유발 트래픽

4G 망 비정상 과금 및 단말 자원 고갈 트래픽

외부로부터 유입되는 비정상 트래픽

eNB

악의적 서버

4G 코어망(ECP)

o 4G 망은 3G 망과 구성요소 및 프로토콜이 다르고 All-IP 기반으로 모든 망 구성 장비에 대한 공격 위협 증대

※ 또한 4G는 음성 통신도 데이터망을 이용하므로, 데이터 망에 대한 공격으로 음성 서비스 방해 가능

과제명

(목표) BYOD, 스마트워크 환경에서 기업 ICT 자산 보호를 위한 상황정보 기반 동적 접근 통제 기술 개발

- 개인 기기 상황정보 수집, 식별 관리 기술 개발 (애플리케이션 식별 수 : 1,600개)

- 상황정보 기반 이용패턴 프로파일링 및 이상행위 분석 기술 개발(상황정보 활용 개수 : 10개, 비정상 이용 탐지 오탐율 : 5%)

- 동적 접근통제 정책 관리 및 타 보안 솔루션과의 연동 기술 (접근 권한 반영 시간 : 10초 이내)

(EndProduct/적용범위) BYOD, 스마트워크 서비스에 특화된 전용 보안장비(NAC, MDM 등) 및 기업 내부 인프라 보호를 위한 핵심 장비(요소 모듈로 활용 등)에 적용

BYOD, 스마트워크 환경에서 상황정보 기반 동적 접근 통제 기술 개발

스마트 워크 서비스

공용 WiFi 망 모바일 망 외부 유선망

사내 네트워크

공중 유무선망

사내 유무선망

사내 WiFi 망

사내 유선망

Device 비정상 이용 탐지 시스템

Device 접근 상황정보 수집 시스템

Device 접근/사용 동적 통제 시스템

개인 사용 기기

사용자

Device 접근 상황정보 수집 에이전트

보안 정책 연동

탐지 정보

(네트워크 분석을 통한 상황정보 수집 기술 포함)

수집 에이전트의 상황정보

기존 보안 시스템

웹방화벽 /방화벽

인증 시스템

NAC MDM 서버

Agent 및 네트워크 트래픽 분석을 통한 서비스 이용 행위 정보

o 분실/도난, 악성코드/해킹 개인 기기를 통한 기업 내부 인프라 접근 후 주요 기밀 또는 업무 데이터 유출 위협 증가

-> 개인 기기의 기업 내부 인프라 접근, 서비스 이용 등의 상황정보를 분석해 기기의 비정상 접근/사용, 행위 등을 탐지

안드로이드 소스코드 부정사용 방지기술 개발 과제명

(목표) 안드로이드 어플리케이션(앱)의 디컴파일 및 디어셈블링을 통한 부정 복제 및 변조 사용 방지.

- 기기고유정보 추출 및 인증 정보 매칭기술 (부정복제 사용방지를 위한 기기의 고유한 정보를 활용한 인증 기술 )

- 기기고유정보 기반 앱 암호화기술 (앱 암호화를 통한 소스코드 유출 방지 기술)

- 앱 실행을 위한 비밀키교환 시스템 (앱 실행 시 서버와의 비밀키 교환을 통해, 위변조를 확인하는 기술)

- 앱 재 패키징 및 배포 기술 (구동을 위한 앱에 복호화를 위한 코드 삽입 후 다시 패키징하고, 클라이언트로 배포하는 기술)

(EndProduct/적용범위) 보안이 필수적인 금융권 및 정부기관과 연관된 안드로이드 어플리케이션 및 소스코드(지적재산권)을 보호하고자 하는 모든 개발자를 대상으로 활용.

⑤ 암호화

⑥ APK 재패키징 & 배포

④ 비밀키 생성

암호화 알고리즘

.APK

암호화된 APK

⑧복호화

⑦ 비밀키 생성

원본 APK

③ 앱 실행 시 런처에 요청

암호화된 APK

복호화 알고리즘

기기 고유정보 전송

비밀키 생성정보 전송

① 개발자 원본앱 등록

Server

Google Play Store

스텁앱

스텁앱

런 처

원본 APK

② 개발자 스텁앱 등록

단 말 기

[시스템 개요] ※ 단말기에 시스템 권한을 가진 런처 내장 - 앱정보 교환 및 복호화 기능 수행 - 키 교환 및 암호화앱 다운로드 수행 ① 개발자는 원본앱을 유즈브레인넷 서버에 등록 - 원본앱이 등록될 경우, 서버는 재패키징 과정 진행 - 재패키징 결과물 : 마켓등록용(스텁)앱, 암호화앱 * 마켓등록용(스텁)앱 : 런처에 앱정보전달코드 삽입 * 암호화앱 : 암호화된 원본앱(서버에 보관) ② 개발자는 스텁앱을 마켓에 등록 - ①에서 생성된 마켓등록용(스텁)앱을 수령하여 등록 ③ 사용자는 마켓에 등록된 앱 설치 및 실행 ④ 앱 실행 시 기기고유 정보를 서버로 전달하며, 서버는 전달받은 기기고유정보를 기반으로 비밀키 생성 - 앱 복호화 시 비밀키 정보를 활용하기 위함 - 비밀키를 클라이언트에 암호화하여 전달 ⑤ 실행앱 정보 확인 후 앱 암호화 진행 - 비밀키를 사용하여 앱 암호화 ⑥ 암호화된 앱을 단말기로 보안통신을 사용하여 전송 ⑦ 암호화된 비밀키를 복호화하여 비밀키 복원 ⑧ 복원된 비밀키로 암호화된 앱 복호화하여 , 원본앱 복원 및 실행

과제명

(목표) 모바일 기기 환경의 안전성 강화(인터페이스 공격 대응)와 편의성 개선(트레이드오프 조절)을 위한 HCI 기반 Usable Security 제공 보안 모듈 및 시스템 개발

- 모바일 인증을 위한 HCI 기반 안전성 모델과 이론적인 정형화 기술 개발 (STM-GOMS 모델)

- 안전성 편의성 트레이드오프를 고려한 모바일 인증 기술 개발 (숄더 서핑 공격 방지율 90% 이상, 레코딩 공격 방지율 90% 이상) - 직관적 안전성을 제공하는 모바일 인증 및 상호작용 기술 개발 (평균 실행 시간 10초 이내, 오류율 5% 이내) - 복합적 모바일 인증 및 보안 인터페이스 직관성 강화 기술 개발

(EndProduct/적용범위) 모바일 인증을 위한 직관적 HCI 보안 인터페이스 및 프로토콜(SW) / 모바일 컴퓨팅 장치, 스마트기기 및 관련 응용 서비스, ATM, KIOSK, 디지털 도어락 등 유사 인터페이스 기기 응용

인간-컴퓨터 상호작용(HCI) 기반 Usable Security 원천기술 개발

과제명

(목표) 스마트 단말용 스트리밍 음란물 차단 핵심기술 및 시스템 개발

- 영상 특성(조도, 크기, 방향 등)에 강인한 음란물 판단 정보 고속 추출기술 개발 (음란물 판단 정보 추출 속도: 0.3 Sec/Frame이내)

- 영상 정보 및 관심 영역 기반 음란물 실시간 판단 및 차단 기술 개발 (음란물 차단 속도: 10초 이내)

- 스마트 단말용 스트리밍 음란물 차단 시스템 개발 (스트리밍 음란물 차단 성능: 90% 이상)

(EndProduct/적용범위) 스마트 단말용 동영상 실시간 분석 및 음란물 차단 시스템 /스마트 단말용 안심 콘텐츠 사용 서비스, 클린 스마트 E-Learning 서비스에 활용

스마트 단말용 스트리밍 유해 컨텐츠 차단 기술 개발

:유해 콘텐츠 스트리밍

:무해 콘텐츠 스트리밍

저장공간 시공간 특징기반 다운로드 콘텐츠 분석을 통한 음란물 검색 기술

Application & UI

Multimedia Framework

Android Kernel

스트리밍 데이터 최적 분류 기반 음란물 실시간 탐지 및 차단 기술

방송사

인터넷포털

모바일

유해정보 탐지 분석

시공간정보 기반 유해 특징 추

출

스마트단말 콘텐츠 분석 플랫폼

과제명

(목표) 파이프라인 시설의 보안성 강화를 위한 부정접근 방지 및 침해사고 전조증상 탐지 기술 개발

- 세부영역별 심층방어 개념의 실시간 부정접근방지 기술 (L7 데이터 필드 추출 : > 100 Mbps 포함)

- 고의적/비고의적 침해사고 전조증상탐지 기술 (침해사고 대비 전조증상 탐지율 : =< 100%)

(EndProduct/적용범위) - 산업용 보안이벤트관리 시스템, 산업용 망관리 에이전트, 산업용 방화벽 - 주요기반시설 네트워크 보안 기술로 활용

제어시스템 인트라넷 보호용 침해사고 이상징후 탐지 및 다중계층 대응 기술 개발

PLC/RTU/DCS Controllers PLC/RTU/DCS Controllers

HMI SCADA Servers Historian

보안정책 및 경보

네트워크 상황정보

기업망

감시제어망

필드망

센서 및 엑추에이터

• 비인가 시스템/제어명령 접근제어 • 산업용 프로토콜 비정상 행위분석

• 전역 보안상황분석 • 보안장비 구성, 상태 관리

• 산업용 망구성,성능, 장애 데이터 수집 • 산업용 망통신 데이터 상태 수집

파이프라인 인트라넷

11

시장규모 100억~400억 400억~700억 700억~900억 900억~

<기존 보안위협> PC 방화벽

안티 스파이웨어

스팸차단

보안운영체제

싱글사인온(SSO)

DDoS 대응

방화벽(Firewall)

웹 방화벽

VPN

공인/사설 인증 서

비스

통합보안관리

PKI

DB 보안(접근제어)

PC보안

DRM

침입방지

바이러스 백신

보안관제

영상수집장치

(DVR)

카메라(CCTV)

엔진/칩셋(영상)

웜·바이러스

불법접근

DDoS

불법 스팸

웹 해킹

<지능형/신규 보안

위협> 취약점 분석 도구

로그관리 분석 도구

무선네트워크 보안*

모바일 보안*

보안 USB

보안 스마트카드

홍채인식

유해콘텐츠 차단

DB 암호*

얼굴 인식

영상감시 관리

영상감시 지능형

솔루션

사회기반시설 보안

무선/모바일 위협

지능형 공격(APT)

사이버 사기

개인/기업정보 탈취

사회안전 위협

KRnet2014

12

구분 사이버 위협 대응 ICT 환경변화 대응 범죄예방, 사회 안전 개인정보침해 위협

수출주도형

수입대체형

미래성장형

① APT 공격 대응

② 사이버블랙박스

③ 지능형 영상감시

④ 사용자 진화형 얼굴-홍채 인식

⑤ 유해콘텐츠 차단

⑥ 무선침입탐지

⑦ 스마트단말 보안칩

⑧ 산업용 통합보안

⑨ Cipherbase 기반 암호

⑩ 유니버셜 인증

KRnet2014

13 KRnet2014

과제명

(목표) 기업/조직 내부의 정보보호를 위한 빅데이터 분석 기반 고도화된 APT 공격 탐지 기술 개발

- 내부로 유입되는 악성코드 및 내부 감염PC 탐지, 악성코드 공격 프로파일링 기술 개발

- 빅데이터 분석 플랫폼 기반 대용량 보안이벤트 처리 및 APT 공격 징후 탐지 기술 개발 - 내부 APT 공격징후 시각화 및 통합 보안관제 기술 개발

(EndProduct/적용범위) 보안업체에서 개발되는 상용 솔루션/장비 및 일반 기업/조직에서 운영되는 보안관제 시스템 등에 광범위하게 적용

악성코드 프로파일링 및 대용량 보안이벤트 분석을 통한 공격징후 탐지기술 개발

대용량 보안이벤트 분석을 통한 APT 공격 징후 탐지 기술

인 터 넷

방화벽 보안장비 네트워크 장비

웹/메일서버등 기타운영장비

악성코드/감염PC 탐지 및 프로파일링 기술

통합보안관제 기술

대용량 보안 이벤트

네트워크 트래픽

빅데이터 분석 플랫폼

내부유입 악성코드 탐지 내부 감염PC 탐지 악성코드 프로파일링 내부 APT 공격 징후 시각화

감염PC

정상PC

감염PC 감염PC

정상PC 보안관리시스템

실시간 통합보안 모니터링

<기업/조직 내부>

공격탐지

단계별 공격 징후 탐지

최초침투

명령제어

내부취약점 확인

정보유출

연관분석 및 APT 공격 탐지

악성코드 분석 결과 및 프로파일 정보

공격징후 분석/탐지 결과

KRnet2014

과제명

(목표) 악성 스크립트를 이용한 사이버 공격을 예방하기 위한 악성스크립트 탐지 및 실행 방기 기술 개발

- 네트워크 레벨 스크립트 기반 사이버 공격 차단 기술 - 호스트 레벨 악성 스크립트 탐지/실행 방지 기술 - 악성 스크립트 탐지 시그니처 관리 및 웹사이트 점검 기술

(EndProduct/적용범위) 보안업체에서 개발되는 상용 솔루션/장비 및 일반 기업/조직에서 운영되는 보안관제 시스템 등에 광범위하게 적용

스크립트 기반 사이버 공격 사전 예방 및 대응기술 개발

방화벽

웹 서버

방화벽

네트워크 레벨 스크립트 기반 사이버 공격 탐지 /차단 기술 개발

악성 스크립트 탐지 시그니처 관리 기술

악성 스크립트 배포 웹사이트 점검 기술

호스트 레벨 악성 스크립트 탐지 및 실행 방지 기술

침입 탐지/차단 시스템

웹 서버

기업 네트워크

기업 네트워크

악성 스크립트 배포 서버

악성 스크립트 배포 서버

정상 서버

탐지

DDoS 공격 등 사이버 공격 유발 악성 스크립트

개인정보 탈취, HTML5 기반

스크립트 악성코드 등

악성 스크립트

악성 스크립트 탐지 시그니처

악성 스크립트 탐지 시그니처

악성 스크립트

악성 스크립트 탐지 시그니처

악성 스크립트

악성 스크립트 탐지 시그니처

차단

차단 차단

DDoS 공격 등 사이버 공격 유발 악성 스크립트

차단 차단

[HTML4,5]

KRnet2014

14 KRnet2014

블랙박스 블랙박스

침해공격 원인 분석 시스템

데이터 수집/관리 시스템

대용량 유무선 침해사건 탐지/분석 시스템

침해사건 간 연관분석, 프로파일링, 보안관제 Intelligence

침해공격 원인 분석 시스템

데이터 수집/관리 시스템

<침해대응기관> <A업체> <B기관>

사이버 블랙박스

통합보안상황 분석 시스템

악성코드, 악성URL, C&C IP 등 [ 블랙박스에서 차단할 정보 제공 ]

악성코드, 악성URL 등 [ 신규 수집된 악성정보 제공 ]

특정 악성코드, URL, IP 관련 침해공격 세부정보 요청

[ 추가 분석자료 요청 ] 공격시간, 추가 설치된 악성코드, 내/외부 감염IP, C&C, 통신 프로토콜, 공격규모, 침해공격 트래픽

[ 추가 분석자료 제공 ]

과제명 사이버블랙박스 및 보안관제 인텔리전스 기술개발