클라우드 서비스 (cloud service) 보안컨설팅 사업전망...
TRANSCRIPT
클라우드 서비스
(Cloud Service) 보안컨설팅
사업전망 분석
2013. 12
본 분석물은 미래창조과학부 과학기술진흥기금과
복권기금을 지원받아 작성되었습니다.
머 리 말
인터넷 기술을 활용하여 IT 자원을 서비스 형태로 이용하는
클라우드 서비스는 기업의 IT투자 비용을 획기적으로 절감할
수 있어 높은 관심을 받고 있습니다. 그러나 세계 기업의 87%
가 클라우드 서비스의 도입 걸림돌로 보안을 열거할 만큼, 대
다수 기업들이 보안문제를 가장 우려하고 있습니다.
정보 보안 컨설팅은 정부도 적극 육성하려는 신산업으로, 중
소기업에게 클라우드 서비스 보안 컨설팅 정보를 적기에 제공
하여, 보다 효과적으로 사업을 추진할 수 있도록 하는 것이 이
번 연구의 목적입니다.
이 보고서는 「ReSEAT 프로그램 사업」의 일환으로 저희
한국과학기술정보연구원 ReSEAT 프로그램에 참여하신 최상
현 전문연구위원이 작성한 것으로, 필자의 노고에 감사드립니
다. 아울러 본고의 내용은 필자의 사견일 뿐 저희 연구원의 공
식견해가 아님을 밝혀둡니다.
2013년 10월
한국과학기술정보연구원
원 장 박 영 서
목 차
제1장 개 요 ··············································································1
1. 정보지원의 필요성 ·························································· 1
2. 정보지원의 목적 ······························································ 2
3. 참여연구원 ······································································· 3
제2장 지원 내용 ·······································································4
1. 정보지원 업체의 요구사항 ·············································· 4
2. 정보지원의 범위 및 내용 ················································ 5
제3장 지원 프로세스 ································································8
1. 신청업체 현황 ·································································· 8
2. 1차 지원 ··········································································· 9
3. 2차 지원 ········································································· 19
4. 3차 지원 ······································································· 30
제4장 지원결과 ·······································································50
1. 지원 결과 종합
2. 지원의 한계
3. 기대효과
참고문헌 ················································································55
표 목차
<표 1-1> 참여연구원 ······································································· 3
<표 3-1> 정보보안산업 매출 현황 ················································ 49
그림 목차
<그림 3-1> 클라우드 서비스 도입 장애 요인 ···························· 13
<그림 3-2> 무선랜 보안 취약점 ·················································· 22
<그림 3-3> 정보보안 컨설팅 추진 절차 ································ 45
1
제 1장
개 요
1. 정보지원의 필요성
○ IT 자원을 소유하지 않고 필요시 서비스 형태로 이용하
는 방식인 클라우드 서비스(Cloud Service)는 IT인프라
에 대한 투자비용과 유지보수 부담을 경감시킬 수 있어
기업의 관심이 집중되고 있다.
○ 한편 기업이 클라우드 서비스 도입 검토 시 가장 우려하
는 장애요인은 악성코드, 기밀 데이터 해킹 및 유출 등의
보안 문제로, 기업의 클라우드 서비스 도입을 촉진하기
위해서는 보안취약점 점검 및 보안대책 수립을 지원해
주는 보안 컨설팅이 필요하다.
○ 지식기부 대상인 ㈜이액트는 네트워크설계와 구축 등 네
트워크 인터그레이션(NI: Network Integration)사업을 운
영하는 중소기업으로, 사업 확장을 위해 클라우드 서비스
2
보안 컨설팅 등 기존 사업과 관련이 깊은 분야에서 신규
사업을 모색하고 있다.
○ 그러나 클라우드 서비스 보안기술은 기존의 네트워크 보
안기술과 함께 클라우드 서비스 고유의 보안기술이 복합
되어 있어, 중소기업의 제한된 인력으로는 컨설팅에 필요
한 최신 기술과 시장동향에 대해 만족할 만한 정보를 취
득할 수 없어, 신규 사업 검토에 애로를 느끼고 있다.
○ 따라서 이번에 수행되는 한국과학기술정보연구원
ReSEAT 프로그램의 클라우드 서비스 보안컨설팅 사업
전망 분석 연구는, 신규 사업을 추진하려는 ㈜이액트에게
클라우드 서비스 보안 기술과 시장 동향 등 컨설팅 사업
검토에 필요한 다양한 정보를 제공하여 사업 방향 설정
에 많은 도움을 줄 수 있다.
2. 정보지원의 목적
○ 정부는 행정안전부, 지식경제부, 방송통신위 3개 부처가
공동으로 ‘범정부 클라우드 활성화 종합계획’과 ‘클라우드
컴퓨팅 확산 및 경쟁력 강화 전략’을 수립하였으며, 클라
우드 데이터센터∙모바일 클라우드∙전자정부 등 전략
분야를 육성하고, 안전한 이용 환경 조성을 통해 5년 내
3
구분 성명 직위 전공 업무
ReSEAT
프로그램
최상현 전문연구위원 정보공학 과제 책임자, 자료수집,
정보지원, 기술전수
도입율을 15%이상 달성한다는 목표로 사업을 추진 중에
있다¹⁾.○ 이와 같이 클라우드 서비스가 확산되고 있는 상황에서
클라우드 서비스의 안전한 이용 환경 조성을 위해, 지식
기부 대상기업에게 최신 보안기술을 전수하고 보안컨설
팅 시장 현황을 분석·제공하여, 대상기업이 클라우드 서
비스 보안컨설팅 사업방향을 설정할 수 있도록 지원하고
자 한다.
3. 참여연구원
<표 1-1> 참여연구원
4
제 2장
지원 내용
1. 정보지원 업체의 요구사항
○ (주)이액트는 구내통신망(LAN), 전용회선 등을 설계하고
설치하여 기업망을 구축하는 네트워크 인터그레이션(NI:
Network Integration) 서비스가 주 사업으로, NI사업에서
는 물리적인 네트워크의 설계, 설치뿐만 아니라, 인터넷
의 설치, 웹호스팅, 서버 호스팅, 코로케이션과 같은 IDC
운영에 관련된 전반적인 서비스도 제공하며, 유선 및 무
선을 통한 통합적인 통신망 관리 서비스도 제공한다.
○ (주)이액트는 네트워크 기술의 확장이라는 의미에서 기존
의 NI사업과 연관성이 깊은 클라우드 서비스에 관심을
갖고 있으며, 클라우드 서비스 중 중소기업 규모에서도
사업이 가능한 보안컨설팅 사업을 신규 유망사업으로 검
토하고자 한다.
5
○ 정보지원 업체는 클라우드 서비스 보안컨설팅 사업전망
분석을 위해 클라우드 서비스의 유형과 시장동향, 클라
우드 서비스의 보안 위협 유형과 취약성, 보안 위협 대응
방법과 이들 방법을 조언해 주는 컨설팅 기술에 대한 분
석을 요청하였다.
○ (주)이액트는 당초에 클라우드 서비스 보안컨설팅 사업에
대한 전망 분석만을 요청하였으나, 1차 회의 후 클라우드
서비스 도입 등에 따라 수요가 증가하고 있는 무선랜과
연관된 무선랜 보안 사업에 대해서도 검토해 주기를 요
청하였다. 또한 현재의 주 사업인 네트워크 인터그레이션
(NI) 비즈니스에서는 네트워크 장비를 다량 취급하고 있
으나, 국산 장비에 대한 성능과 품질을 정확히 평가할 수
없어 영업상 애로가 많아, 이에 대한 조언을 요청하였다.
2. 정보지원의 범위 및 내용
○ 클라우드 서비스의 기술 및 시장 동향 분석
- 클라우드 서비스에는 소프트웨어 서비스(SaaS), 플랫폼
서비스(PaaS), 인프라 서비스(IaaS)가 있으며, 클라우드
서비스의 세계시장은 연평균 27%의 높은 성장률을 나타
내고 있다.
6
○ 클라우드 서비스의 보안 위협 유형 분석
- 클라우드 서비스에는 기존의 보안 위협과 함께, 클라우드
특성에 따른 신규 보안 위협이 존재한다. 신규 보안 위협
으로는 가상화 취약점 계승, 정보위탁에 따른 정보유출,
자원 공유 및 집중화에 따른 서비스 장애 등이 있다.
○ 무선랜 시장 현황 분석
- 국내 무선랜 시장은 802.11n 제품의 보급 확대로 연평
균 19.8% 성장하여 2013년말에는 약 1,692억원 규모에
이룰 것으로 전망된다
○ 무선랜 보안 위협 분석
- 무선랜은 서비스의 특성상 불특정 다수가 신호를 수신할
수 있어, 도청이 가능하고 무선 장비에 대한 공격이 가능
하다. 또한 서비스 거부 등 유선 랜에서 사용되는 여러
가지 위협도 같이 존재한다.
○ 클라우드 서비스 보안 기술
- 클라우드 서비스 제품보안 기술에는 접근 제어와 사용자
인증 기술, 검색 가능 암호 시스템 기술 등이 있다. 보안
관리기술에는 데이터 손실 및 유출방지, 시스템 및 네트
워크 보안 등이 있다.
7
○ 무선랜 보안 관리기술
- 무선랜 보안 관리 기술에는 SSID 등 기본 파라메터 설
정이 있으며, 무선랜의 안전한 운영을 위해 장비별 특성
에 따른 보안설정을 정의하여 관리해야 한다.
○ 정보보안 컨설팅 서비스
- 정보보안 컨설팅 서비스에는 정보통신 기반시설 취약점
분석, 정보보호 성숙도 분석, 네트워크 진단 등이 있다
○ 정보보안 산업 현황
- 2012년 국내 지식정보보안산업 매출액은 총 58,417억원으
로 그 중 정보보안 매출액은 2011년 14,579억원에서 2012
년 16,642억원으로 14.2% 증가하였다.
○ 국산 네트워크 장비의 품질 인증기관 및 인증제품 자료
제공
- 국산 네트워크 장비의 성능과 품질을 객관적으로 입증할
수 있도록, 네트워크 장비 품질 평가 기관과 인증된 네트
워크 제품 자료를 제공하였다.
8
제 3장
지원 프로세스
1. 신청업체 현황
○ 업체명 : (주)이액트
○ 소재지 : 서울시 서초구 양재2동 348번지
신원빌딩 5층
○ 대표자 : 임희득
○ 종업원 : 12명
○ 2012년 매출액 : 5,000백만 원
○ 주생산품 : 네트워크 설계, NI(network Integration) 등
○ 담당자 : 김태진 이사
9
2. 1차 지원
○ 일시 및 장소: 2013년 6월 18일, (주)이액트 회의실
○ 참석자: (주)이액트 김태진 이사, 강주형 과장, ReSEAT
전문위원 최상현
가. 주제 및 토의사항
- 클라우드 서비스의 기술 및 시장 동향, 보안 위협 유형
에 대해 토의하였다.
나. 클라우드 서비스의 기술 및 시장 동향
○ 클라우드란 명칭은 서로 다른 물리적 위치에 존재하는
컴퓨터 자원을 네트워크를 통하여 하나의 자원과 같이
가상화한 환경(구름)에 원하는 작업을 요청하여 실행한다
는 의미에서 기원하였으며, 가상화 기술의 발전과 네트워
크 고도화로 차세대 패러다임으로 부상하고 있다.
○ 클라우드 서비스에는 고비용의 소프트웨어의 패키지
구매대신 사용자들이 이용한 만큼의 비용을 지불하도록
하는 소프트웨어 서비스(SaaS, Software as a Service),
플랫폼 보유사가 자사의 플랫폼 사업 영역을 강화할 목
10
적으로 무료 또는 저렴한 가격으로 플랫폼 환경을 대여
해주는 서비스인 플랫폼 서비스(PaaS, Platform as a
Service), 컴퓨팅 자원의 기본이 되는 저장매체와 하드
웨어 시스템, 서버 등의 인프라 자원을 클라우드 형태로
제공하는 인프라 서비스(IaaS, Infrastructure as a
Service)가 있다.
○ SaaS는 업무용 소프트웨어 등 응용프로그램 및 솔루션
을 자체 구매 없이 인터넷을 통해 이용하는 서비스로, 구
글 e-mail, 캘린더와 같은 최종 애플리케이션이 이에 해
당하며, 클라우드 컴퓨팅 중 가장 먼저 도입되었고 현재
B2C를 중심으로 발전하고 있다.
○ PaaS는 사용자가 소프트웨어를 개발할 수 있는 플랫폼
을 대여해주는 서비스로, 광고나 게임 등 최종 솔루션 제
작툴을 제공하며, B2B를 중심으로 성장하고 있다. IaaS
는 서버, 스토리지등 네트워크 기반 설비를 사용자에게
할당하는 서비스이며, 클라우드의 경제성이 가장 크게 드
러나는 분야로 최근 모바일 클라우드와 결합되어 B2B와
B2C에서 모두 빠르게 성장하고 있다.
○ 국내 클라우드 서비스로는 KT가 지난 2006년부터 스토
리지 가상화 등의 기술을 적용한 유틸리티 컴퓨팅 개념
의 ICS(인터넷 컴퓨팅 서비스)를 출시한 바 있다. 이 서
11
비스는 NHN과 엔씨소프트, KBSi, EBS 등 주요 기업들
에게 제공되고 있으며, 이를 더욱 진화시켜 서버 가상화
를 활용한 웹 컴퓨팅 서비스, 텔레포니 컴퓨팅 서비스 등
다양한 플랫폼으로 확대하고 있다.
○ SK텔레콤은 한국IBM과의 협력을 통해 20여개 이상의
협력사에 PaaS형 클라우드 컴퓨팅 환경을 구축했다. SK
텔레콤이 구축한 PaaS형 클라우드 컴퓨팅 플랫폼은 소
프트웨어 개발자를 위한 서비스로, 서버와 스토리지 등
가상의 플랫폼과 개발용 애플리케이션을 제공하는 방식
이다.
○ 클라우드 서비스 사용자로는 행정안전부 정부통합전산센
터가 범정부 클라우드 플랫폼을 구축 및 운영하고 있다.
범정부 클라우드 플랫폼은 공공 정보시스템의 개발 및
테스트에 필요한 환경을 클라우드 기반으로 제공하는 서
비스이다. 통합센터는 5개 이상의 공공 프로젝트를 대상
으로 시범 서비스를 실시하고, 모든 중앙부처에 서비스를
제공하기 위해 단계적으로 시스템 규모를 확대해 나갈
예정이다.
○ 클라우드 서비스의 세계시장은 연평균 27%의 높은 성장
률을 나타내고 있으며, 클라우드 서비스 도입에 따른 서
버와 스토리지의 수요 증가로 IaaS 시장이 2013년에는
12
SaaS 시장 규모를 추월할 것으로 예상된다. 한편 PaaS
는 자체로 수익을 내기보다는 이를 토대로 구축해 나갈
혁신적 서비스로 수익을 창출하는 수익모델의 기반으로
서 발전해 나갈 전망이다.
○ 스마트 기기 확산에 따라 모바일 클라우드 서비스가 부
상하고 있으며, 스마트폰과 태블릿 PC용 컨텐츠 수요 급
증에 따른 단말기의 저장용량 한계를 극복하고, 스마트폰
-태블릿PC-노트북 통합에서 TV 통합형 서비스로 확장
되고 있다.
○ 모바일 클라우드 서비스의 세계시장은 연평균 54%의 높
은 성장률로 2013년 120억달러 시장을 형성하며, 언제 어
디서나 업무를 처리할 수 있는 스마트 워크 도입 확산에
따라 비즈니스 응용서비스가 가장 빠르게 성장할 것으로
전망된다.
○ 클라우드 서비스 제공자들은 다양한 클라우드 서비스
(IaaS, PaaS, SaaS)를 혼합하여 마켓플레이스를 구축하
고, 새로운 서비스 모델을 제시하며 시장을 주도해 나갈
것이며, 창의적 서비스 제공자는 소비자 주문형
(On-demand) 서비스에 의한 다양한 비즈니스 모델로 부
가가치를 더해 판매하는 역할을 통해(Value-added
Reseller) 성장해 나갈 전망이다.
13
다. 클라우드 서비스의 보안 위협 유형
○ 클라우드 서비스에 대한 보안 위협은 데이터 위협, 시스
템 및 네트워크 위협, 관리적 위협으로 나눌 수 있다. 데
이터 위협은 다시 데이터 손실 및 유출, 데이터 변조 위
협으로 세분화되며, 시스템, 네트워크 위협은 인증, 권한
관련 위협, 시스템 및 네트워크 보안위협, 시스템 악용위
협, 가상머신 취약점으로, 관리적 위협은 가용성 및 호환
성에 대한 위협, 재난, 시스템 장애위협으로 나누어진다.
출처: 클라우드_서비스_보안_위협_및_보안_대책²⁾
<그림 3-1> 클라우드 서비스 도입 장애 요인
○ 데이터 손실 위협의 경우로는 클라우드 서비스는 서비스
14
업체의 인수, 합병, 관리상 실수, 장애발생에 의한 데이터
유실의 가능성이 있다. 실제로 2008년 7월 스토리지 서비
스 업체 미디어맥스(MediaMax)의 폐업으로 약 2만명의
유료 회원의 데이터가 유실된 사례가 있다.
○ 데이터 유출 위협으로는 클라우드 이용환경(데스크톱 가
상화를 이용한 업무PC등) 또는 클라우드 저장소의 이용
자가 늘어나고 있는 상황에서 중요 금융정보를 클라우드
스토리지에 저장하는 경우, 로그인 계정 해킹, 시스템 해
킹, 악의적인 내부자에 의한 사고 발생 가능성이 있다.
○ 데이터 변조 위협: 클라우드 서비스는 많은 사용자가 동
시에 사용하므로 데이터의 기밀성과 무결성을 보장하여
야 한다. 그런데 2008년 7월의 Amazon Web Service
Simple Storage Service(AWS S3) 중단 사례는 서버 간
에 교환되는 메시지에 대한 무결성 검사 루틴이 없었던
데서 기인했다.
○ 시스템의 인증, 권한관련 위협: 클라우드 서비스는 인증
계정에 대한 관리가 더욱 중요하며, 일반 사용자 입장에
서는 로그인 세션도용이나 로그인 아이디 및 패스워드
해킹 등에 의한 위협이 있다.
○ 클라우드 서비스 환경에서 쓰이는 많은 단말기와 클라우
드 서비스 환경의 기반이 되는 가상화 서버 등이 보안되
15
어 있지 않다면, 해커들의 목표가 되어 원활한 클라우드
서비스를 제공하지 못하게 된다. 클라우드 서비스에서는
운영체제의 보안 취약점에 의해 Guest OS 사용자가
Host OS나 하이퍼바이저 오류 등의 문제를 발생시켜 서
비스 중단 등의 영향을 줄 수 있다.
○ 시스템 악용위협: 클라우드 서비스를 이용한 피싱, 악성
코드의 공격수단, 봇넷 운영 등이 악용되면 해당 시스템
특성상 탐지하기 쉽지 않으며, 클라우드 서비스 시스템의
대량 연산능력을 이용한 공격도 가능하다. 예를 들어 아
마존의 EC2 클라우드 서비스를 이용하여 8자리의 암호
(영문 소문자의 경우)는 3달러의 비용으로 해독이 가능하
고, 9자리의 암호는 87달러의 비용으로 해독이 가능하다.
○ 현재까지 암호의 안전성은 절대 안전성(비용과 시간이
충분하여도 복호화 하기가 불가능)보다는 계산상 안전성
(암호해독시간이 정보의 유효기간을 초과)에 의존하고 있
는 경우가 많다. 이러한 경우 향후에는 클라우드 서비스
를 이용하여 저렴한 비용으로 해독이 가능하므로, 클라우
드 서비스 파워를 고려한 안전한 암호키 길이의 산정이
필요하다.
○ 클라우드 서비스는 자원 활용의 효율성 증대를 위하여
하이퍼바이저(Hypervisor)를 사용하며, 모든 자원을 소프
16
트웨어 기반으로 가상화하여 제공한다. 따라서 모든 연산
및 데이터 처리가 클라우드 서버에서 이루어지므로 사용
자는 소유한 정보의 관리를 서비스 제공자에게 위탁하게
된다. 또한 사용자별로 할당된 자원은 논리적으로는 독립
적이지만 물리적으로는 동일한 자원을 공유한다.
○ 클라우드 서비스에서는 기존의 보안 위협과 함께 하이퍼
바이저 사용과 같은 클라우드 특성에 따른 신규 보안 위
협이 존재한다. 클라우드 서비스의 신규 보안 위협은 주
체와 관점에 따라 분류방법이 조금씩 다르나, NIST, 가
트너 둥에서 제시하는 보안위협 사례분석을 통해 본 클
라우드 서비스의 핵심 보안요소는 다음과 같다³⁾.(1) 가상화 취약점 계승: 클라우드 서비스는 시스템 자원을
통합, 재분배 하여 제공한다는 인프라 계층의 특성을 가
지고 있어 가상화 시스템의 취약점을 그대로 계승하고
있다. 따라서 악성 코드 감염, 서비스 장애 등 신규 취약
성에 노출될 가능성이 높다.
- 클라우드 서비스는 하이퍼바이저를 사용하여 동시에
복수의 가상머신을 구동하는 역할을 하고 있다. 따라서
하이퍼바이저가 악생코드에 감염될 경우 동일 하이퍼바
이저상의 가상머신들에 의해 악성코드 감염 및 감염 확
산의 위협이 있다.
17
- 가상머신의 특정 웅용프로그램에 해킹툴이 포함될 경
우, 다른 가상머신과 하이퍼바이저 등에 대한 공격도 가
능하다.
(2) 정보위탁에 따른 정보유출: 클라우드 서비스는 이용자
의 정보를 모두 원격의 클라우드 서버에서 제공하고 그
관리 또한 서비스 제공자가 담당하기 때문에 내부자 또
는 악의적인 이용자에 의해 정보가 유출될 가능성이 있
다. 이용자의 정보가 모두 원격지에 저장되기 때문에 서
버내의 다른 이용자가 타인의 정보를 비밀스럽게 복사·
이동· 수정하여도 본래 소유권이 있는 이용자는 알 수
없다.
(3) 자원 공유 및 집중화에 따른 서비스 장애: 클라우드
서비스의 이용자들은 서비스 제공자가 임대하는 물리자
원들을 공유하고 있다. 따라서, 대부분의 자원이 클라우
드 서버에 집중되므로 물리자원에 장애가 생길 경우, 해
당 자원을 공유하는 모든 사용자의 서비스가 중지되는
위협이 존재한다.
(4) 사용단말기의 다양화에 따른 정보 유출: PC, 스마트폰,
스마트패드 둥 다양한 형태의 단말기가 접속되므로 각각
의 단말기가 갖는 보안 위협이 클라우드 서비스에도 계
승된다.
18
○ 관리적 위협의 경우로는 가용성 및 호환성에 대한 위협
이 있다. 클라우드 서비스 장애는 데이터의 손실 및 서비
스 중단 등으로 클라우드 서비스를 이용한 서비스의 신
뢰에 나쁜 영향을 준다. 또한 폐업이나 서비스 제공업체
이전 등의 이유로 호환성에 대한 보장도 필요하다.
○ 클라우드 서비스의 장애에 대한 대표적인 사례로 마이크
로소프트 클라우드 서비스 네트워크인 윈도우 애저의 초
기 사용자들은 2009년 3월 중순에 서비스 중단을 맞았으
며, 2009년 1월 세일즈포스닷컴은 한 시간 동안 서비스가
중단되었고, 구글 지메일(GMail)은 2009년 9월 1일 24시
간이 넘는 장애가 발생하고 24일에도 2시간 정도 장애가
발생하는 등 장애가 반복되다.
라. 회의 결과 및 차기회의 주제
○ 제1차 회의에서는 클라우드 서비스 보안컨설팅 사업 분
석을 위한 기초 자료로서 클라우드 서비스의 기술 및 시
장 동향, 보안 위협 유형에 대해 토의하였다. 토의 결과,
클라우드 서비스의 동향과 보안 위협 요소파악에 많은
도움이 되었으며, 참고자료로 제출된 정보보안의 개요와
네트워크 보안기술 개론은 직원 교육에 바로 활용하겠다
고 하였다.
19
○ 다음번에는 현행 NI사업과 밀접한 관련이 있으며, 클라
우드 서비스 도입 등에 따라 수요가 증가하고 있는 무선
랜과 연관된 무선랜 보안 사업에 대해서도 검토해 주기
를 요청하였다. 또한 현재의 주 사업인 네트워크 인터그
레이션(NI) 비즈니스에서 네트워크 장비를 많이 취급하
고 있으나, 국산 장비에 대한 성능과 품질을 정확히 평가
할 수 없어 영업상 애로가 많다고 하였다.
○ 다음 회의에서는 무선랜 시장 동향과 무선랜 보안 취약
점에 대해 토의하기로 하였다. 또한 사업 현장에서 필요
한 국산 네트워크 장비의 품질과 성능을 객관적으로 평
가할 수 있는 방법 등에 대해 논의하기로 하였다.
3. 2차 지원
○ 일시 및 장소: 2013년 8월 28일, (주)이액트 회의실
○ 참석자: (주)이액트 김태진 이사, 강주형 과장, ReSEAT
전문위원 최상현
가. 주제 및 토의사항
- 무선랜(LAN) 시장 현황
- 무선랜 보안 취약점
20
- 국산 네트워크 장비의 품질 인증 방법
나. 무선랜 시장 현황
○ 무선랜이란 유선랜과 대비되는 표현으로 무선으로 네트
워크를 이용할 수 있도록 하는 기술을 통칭하며 국제 표
준화 기구인 IEEE에서 802 위원회의 하부 그룹인 802.11
그룹에서 표준화를 담당하고 있다.
○ 전세계 139개 국가의 Wi-Fi가 가능한 지역은 총
289,834개로, 상위 10위 국가의 순위를 살펴보면 미국, 중
국, 영국이 1, 2, 3위를 차지하였으며, 한국은 7위에 해당
한다.
○ 시장조사기관인 IDC에 따르면 2011년 전세계 무선랜
(WLAN) 시장 규모가 전년 대비 21.9% 성장한 약 64억
달러를 기록했다고 발표했으며, 이 중 기업용 무선랜 시
장은 전년 대비 29.3% 성장한 30억 2,000만 달러 매출을
달성하였고, 일반 소비자용 무선랜 시장 규모는 2011년 4
분기 8억 3,200만 달러를 기록해, 처음으로 기업용 무선
랜 시장 매출을 앞섰다.
○ 국내 무선랜 시장은 802.11n 제품의 보급 확대와 메시
(mesh) 네트워크 장비 공급의 확대로 2013년까지 연평균
19.8%의 성장세를 나타냄으로써 2013년말에는 약 1,692
21
억원 규모를 이룰 것으로 전망했다
○ 기업용 무선랜 시장의 견고한 성장세는 개별 기업들의
BYOD(Bring Your Own Device)를 적극 수용하는 등 기
업 내 모빌리티 강화가 주된 요인이라고 할 수 있으며,
다수의 모바일 서비스가 활성화됨에 따라 향후에도 모바
일 데이터 트래픽은 지속적으로 증가할 것으로 예상되고
있다.
다. 무선랜 보안 위협
(1) 무선랜 취약성 개요
○ 최초 무선랜 표준안인 IEEE 802.11에서는 별도의 무선
랜 인증과 전송 데이터에 대한 암호화는 포함되어 있지
않았다. 이로 인해 초기 무선랜은 별도의 인증절차 없이
접속이 가능하였고, 평문 데이터가 전송되었다.
○ IEEE 802.11b에서 처음으로 무선 전송 데이터의 암호
화에 대한 내용이 포함되었는데, 802.11b에서 정의된
WEP (Wired Equivalent Privacy)은 클라이언트와 무선
AP 사이의 구간에 적용되어 무선 전송데이터의 암호화
를 통해 유선랜 수준의 보안을 제공한다. 하지만, 이 또
한 취약점이 발견되어 간단한 도구를 이용해 암호화 키
22
출처: 무선랜_보안안내서⁴⁾
<그림 3-2> 무선랜 보안 취약점
(key)값을 알아내는 것이 가능한 상황이다.
○ 이 외에도 무선 AP에 대한 서비스 거부 공격, 불법 AP
를 통한 데이터 유출 가능성 등 다양한 무선 서비스에
대한 취약점이 존재한다.
(2) 무선랜의 기술적 취약성
○ 무선랜은 공기를 전송매체로 사용하는 서비스의 특성
상 불특정 다수의 신호수신이 가능함으로 인해 도청이
가능하고, 무선 전파를 전송하는 무선 장비에 대한 공격
이 가능하다. 또한 유선 랜에서 존재하는 여러 가지 공
격 기법이 사용가능하다.
23
(가) 도청
○ 무선랜의 가장 근본적인 문제점이라고 할 수 있는 것
이 도청이다. 무선AP에서 발송되는 전파의 강도와 지형
에 따라 서비스가 필요한 범위 이상으로 전달될 수 있
으며, 이 경우 외부의 다른 무선 클라이언트에서 무선
AP의 존재여부를 파악할 수 있고 더불어 전송 무선 데
이터의 수신을 통한 도청이 가능하게 된다. 이 경우, 만
일 무선 데이터가 암호화 되어있지 않은 경우 모든 전
송 데이터를 볼 수 있어 심각한 문제가 발생하게 된다.
○ 도청은 기본적으로 무선랜 카드가 탑재된 클라이언트
는 모두 이용 가능하며, 일반적으로 암호 해독에 이용되
는 프로그램을 위한 노트북과 신호 수신을 위한 안테나
등이 사용된다. 무선 전송데이터의 도청에 이용되는 별
도의 S/W는 인터넷을 통해 손쉽게 구할 수 있는데, 이
를 이용해 탐지되는 무선랜의 기본적인 구성을 파악할
수 있다.
○ 이러한 S/W와 함께 원거리에서도 무선랜의 신호를 탐
지하기 위한 별도의 무선 통신 수신안테나를 이용하면
미약한 무선 신호를 증폭시켜 무선랜의 전송데이터를
무단으로 취득할 수 있다.
(나) 서비스 거부
24
○ 서비스 거부란 무선 서비스를 제공하는 무선 AP 장비
에 대량의 무선 패킷을 전송하는 서비스 거부 공격을
통해 무선랜을 무력화하는 것을 말한다. 또한, 무선랜이
사용하는 주파수 대역에 대해 강한 방해전파를 전송하
는 것도 통신에 영향을 주게 된다.
○ 무선 클라이언트와의 통신을 위해 설정된 SSID를 포
함한 ‘Probe Request’메시지를 브로드 캐스트로 전송하
게 된다. 이 신호를 수신한 무선 AP는 해당 클라이언트
가 접속하는 것을 허용한다면 ‘Probe Response’메시지
를 회신하게 된다. 이러한 과정에서 다량의 request 메
시지를 무선 AP로 전송하는 경우, response 메시지 회
신 동작의 반복으로 인해 다른 무선 단말기의 접속이
불가능하게 된다.
○ 이러한 무선 AP에 대한 서비스 거부 공격은 실제 내
부 네트워크로의 침입으로 까지 발전되지는 않지만, 백
화점과 같이 실시간으로 무선랜을 이용해 주요 업무가
이루어고 있는 경우, 공격으로 인해 발생되는 무선랜의
중지는 치명적인 결과를 가져올 수 있게 된다.
(다) 불법 AP(Rogue AP)
○ 공격자가 불법적으로 무선 AP를 설치하여 무선랜 사
용자들의 전송 데이터를 수집하는 것으로, 불법 AP의
25
설치유무를 탐지하는 것은 어렵지 않으나 무선의 특성
상 정확한 불법AP의 위치를 파악하는 것은 쉽지 않은
일이다.
ㅇ 불법 AP의 경우, 별도 전원연결이 필요하므로 무선랜
이 적용된 사무공간의 철저한 관리를 통해 불법 AP가
설치되지 않도록 관리를 하는 것이 가장 중요한 부분이
다.
(라) 무선 암호화 방식
○ 무선 데이터 암호화 방식으로 많이 사용되고 있는
WEP(Wired Equivalency Protocol)은 전송되는 MAC
프레임들을 40비트의 WEP 공유 비밀 키와 임의로 선
택되는 24비트의 Initialization Vector(IV)로 조합된 총
64비트의 키를 이용한 RC4 스트림 암호화방식으로 보
호한다.
○ 기본적으로 무선 클라이언트와 무선 AP는 동일한 패
스워드 문장으로부터 4개의 고정된 장기 공유키를 생성
한 후 이들 중에서 하나를 선택하여 암호 및 인증에 활
용한다. 문제는 선택된 공유키의 KEY ID와 IV값을 평
문으로 상대방에게 알려줘야 하기 때문에 WEP키가 추
출될 수 있는 약점이 존재한다.
26
○ WPA/WPA2의 경우에도 초기 무선랜에 접속하는 인증
단계에 사용되는 Pre-shared 키 값(PSK)을 무선 전송
패킷의 수집을 통해 유추해낼 수 있는 취약점이 존재하
는 것으로 알려져 있으나, WEP과는 달리 무선 데이터
전송 시 고정된 키 값을 이용해 무선 전송데이터를 암
호화 하지 않으므로 단순히 무선 전송 데이터 패킷의
수집을 통해서는 무선 전송데이터의 암호화 키 값을 유
추해낼 수는 없다.
○ WPA/WPA2의 무선 AP와 무선 단말기간의 인증에
PSK 또는 802.1x/EAP 인증방식을 이용한다. PSK 인증
방식의 경우, 별도의 인증 서버가 설치되어 있지 않은
소규모 망에서 사용되는 인증방식으로서, 초기 인증에
사용되는 PSK 값을 이용해 4-웨이 핸드쉐이킹(4-way
handshaking) 과정을 통해 무선 AP와 무선 단말기가
동일한 값을 가지고 있는지 확인하게 된다.
○ 문제는 이러한 인증 과정에서 별도의 암호화가 되어
있지 않아 무선 패킷 수집을 통해 비밀키 값을 유추하
는 것이 가능하다는데 있는데, 기존 WEP 암호화 방식
의 공격과 마찬가지로 4-handshake 과정의 초기 인증
패킷만을 수집하여 준비된 사전파일을 사용하여 고정된
PSK 값의 유추가 가능하다.
27
○ 이러한 WEP과 WPA/WPA2 취약점 공격도구는 인터
넷을 통해 쉽게 구할 수 있기 때문에 개인 사용자 또는
소규모 무선랜을 사용하는 중소업체의 경우, 공격 대상
무선 네트워크 주변에서 패킷 수집 작업을 통해 무선
전송데이터 암호화에 취약점을 악용할 수 있다.
(마) 비인가 접근
○ SSID 노출
- 무선랜에서 사용되는 기본적인 인증방식은 개방형 인
증 방식, 즉 별도의 인증절차 없이 무선 AP와의 연결이
이루어지는 방식이다. 무선 AP에 별도의 무선 전송데이
터의 암호화 방식이나, 인증절차가 설정되어 있지 않은
경우에는 무선 전송데이터의 모니터링을 통해 SSID 값
을 획득하고, 획득한 SSID 값을 무선 단말기에 설정하
는 것만으로 무선랜으로의 불법적인 접속이 가능하게
된다.
○ MAC 주소 노출
- 무선랜 환경에서 접근제어를 위해서 MAC 주소 필터
링을 적용하기도 한다. 즉, 무선 전파를 송수신하는 무
선랜 카드에 부여된 MAC 주소 값을 이용하여 무선랜
서비스의 접속을 제한하는데 활용하는 것이다. 이러한
28
MAC 주소 필터링은 간단한 접근제어 방식이면서 공격
의 위험을 줄이는데 효과적이다.
- 하지만, MAC 주소 필터링은 공격자가 정상사용자의
MAC 주소를 도용함으로써 쉽게 무력화되고 있는 실정
이다. 즉, 공격자가 자신의 접속 요청이 제한당하고 있
음을 인지하고, 정상 사용자와 AP 사이의 신호를 분석
하여 정상 사용자의 MAC 주소를 알아낸 후, 자신의
MAC 주소를 정상 사용자의 MAC 주소로 위조하여 접
속을 재요청하는 경우, AP는 정상 사용자의 접속 요청
으로 여기고 접속을 허용하게 된다.
- 실제, 별도의 무선랜 보안설정을 하지 않은 개방형 인증
방식을 사용하는 곳은 주변에서 쉽게 확인할 수 있으며,
만일 이러한 무인증 무선 AP가 회사 내의 유선 네트워
크에 연결되어 있는 경우, 별도의 인증절차 없이 직접
내부의 서버와 자료에 접속을 할 수 있게 되어 심각한
보안상의 문제가 발생하게 된다.
(3) 무선 단말기의 물리적 보안 취약점
○ 무선 단말기는 무선랜 서비스를 구성하는 주요 요소 중
의 하나로서 무선랜 사용업체의 필요조건에 따라 여러
형태의 무선 단말기가 존재한다. 무선 단말기의 유형 중
29
이동성을 가진 노트북, PDA 등의 경우, 항상 분실의 위
험성이 존재하게 되는데 이 경우, 저장 데이터의 유출은
물론 무선랜의 내부 보안 설정이 함께 유출될 가능성이
존재하게 된다.
라. 네트워크 장비의 품질 입증 방법
○ ㈜이액트에서 운영하고 있는 NI사업에서는 사업 경쟁
력 차원에서 고가의 외산 장비보다는 국산 네트워크 장
비가 선호된다. 그러나 국산 네트워크 장비는 성능과 품
질을 객관적으로 입증할 수 있는 자료가 부족하여 고객
사에 제안하기가 어렵다는 단점이 있다.
○ 이에 대한 방안으로 국산 네트워크 장비의 성능과 품
질을 평가하고 인증하는 기관인 한국정보통신기술협회
(TTA)를 소개하고, TTA에서 인증된 네트워크 제품 자
료를 제공하였다.
마. 회의 결과 및 차기회의 주제
○ 제2차 회의에서는 무선랜의 시장과 보안 취약점에 대해
토의하였다. 토의 결과 도청, 서비스 거부, 불법 AP 등
무선랜의 기술적 특성에 따른 보안 취약점이 분석되었다.
○ 다음 회의에서는 클라우드 서비스의 보안 기술과 무선랜
보안 기술, 정보보안 산업 현황과 정보보안 컨설팅 기술
30
에 대해 토의하기로 하였다. 또한 ㈜이액트의 신규 유망
사업 분야와 진입 시기 등에 대해서도 논의하기로 하였
다.
4. 3차 지원
○ 일시 및 장소: 2013년 8월 28일, (주)이액트 회의실
○ 참석자: (주)이액트 김태진 이사, 강주형 과장, ReSEAT
전문위원 최상현
가. 주제 및 토의사항
- 클라우드 서비스 및 무선랜 보안 기술
- 정보보안 산업현황 및 보안 컨설팅 기술
- ㈜이액트의 신규 사업 분야
나. 클라우드 서비스 보안 및 무선랜 보안 기술
1) 클라우드 서비스 보안 기술
가) 클라우드 서비스 제품보안 기술
○ 클라우드 서비스 보안 기술은 제품보안 기술과 보안
관리기술로 나눌 수 있으며, 제품보안 기술은 클라우드
31
서비스 구성 요소별로 구분할 수 있다.
○ 클라우드 서비스 플랫폼에 사용되는 보안 기술은 접
근 제어와 사용자 인증 기술이 대표적으로, 접근 제어에
는 임의 접근제어, 매체 접근제어, 역할기반 접근제어 방
식이 있다. 또한 사용자 인증 기술에는 ID 및 Password,
PKI, 멀티팩터 인증, 아이핀 등이 있다⁵⁾.○ 스토리지 영역에서는 검색 가능 암호 시스템 기술과 프
라이버시 보존형 데이터 마이닝 기술이 있다. 검색 가능
암호 시스템 기술은 기존의 암호 기술처럼 암호화된 정
보의 기밀성을 보장하면서 동시에 특정 키워드를 포함하
는 정보를 검색할 수 있게 고안된 암호 기술이다. 프라이
버시 보존형 데이터 마이닝 기술은 대량의 데이터에 함
축적으로 들어가는 지식이나 패턴을 찾아내는 기술이다.
○ 네트워크 영역에서 사용되는 SSL은 인터넷에서 인증서
로 상대방을 인증하고 기밀성 및 무결성을 제공하는 기
술이다. IPSec은 네트워크 계층에서 보안성을 제공해 주
는 표준화된 기술로, 상대방 인증, 기밀성, 무결성 등을
제공한다.
○ 단말기 보안 기술은 대부분 암호학적 이론에 근거한 알
고리즘이거나 프로토콜을 기반으로 작동되기 때문에 단
말기 인식 및 인증 기법, 암호학적 프리미티브에 대한 안
32
전성 보장 기법 등이 연구되고 있다. 이 가운데 하드웨
어를 이용해 암호학적 프리미티브를 물리적으로 보호하
는 기술은 현재까지 가장 안전한 기술로 여겨지고 있다.
○ 클라우드 서비스에 대한 보안제품의 상용화 동향은 다음
과 같다.
- 2008년부터 아마존, 구글 등 클라우드 서비스 장애 및 중
단 사고가 지속적으로 발생하고, 보안 문제점이 지적됨에
따라 가상화 보안, 기업 내부 데이터 보호, 보안관제 등
보안제품의 상용화가 진행되고 있다. 시만텍, 파수닷컴
둥 글로벌 보안업체를 중심으로 기존 보안제품의 기능을
확장하는 형태로 클라우드용 보안제품을 발표하고 있다.
- 시만텍은 통합보안 제품인 ‘시만텍 엔드 포인트 프로텍션
(SEP, Symantec Endpoint Protection)’에 가상화 환경에
적합한 형태의 바이러스 백신(Anti-Vtrus) 기능을 포함
시켰다. 가상 환경은 여러 게스트 운영체제에서 동시에
바이러스 검색시 디스크 병목 현상이 발생할 수 있으므
로, 안전한 것으로 판단된 파일의 검사를 생략하거나 가
상 머신별로 백신 동작 시간을 조정하여 성능의 과부하
를 방지할 수 있도록 하는 기능이 포함되었다.
- IBM은 클라우드 환경에 적용 가능한 단일 보안제품뿐만
아니라, 기업별 클라우드 IT 전략수립과 비즈니스 모델
33
운영을 위한 컨설팅 서비스 등 기업의 안전한 클라우드
환경 구축 및 운영을 지원하고 있다. IBM은 소프트웨어
개발 솔루션 ‘티볼비(Tivoli)’에 중앙집중식 인증, 정책관
리 및 접근 제어 서비스 등을 추가하여 클라우드 환경에
적용 가능하도록 보안 기능을 확대 제공하고 있다.
- 국내 기업 파수닷컴은 모바일 환경에서 DRM 기능을 지
원하는 ’파수 모바일 게이트웨이(Fasoo Mobile
Gateway)’, 파일 내용에 따라 차별화된 보안정책을 실현
하는 ‘파수 컨텍스트 센시티브(Fasoo Context-Sensitive)
DRM' 등 클라우드 내부 정보 유출 방지 제품들을 출시
하고 있다.
나) 클라우드 서비스 보안 관리기술
○ 클라우드 서비스 보안 관리기술은 클라우드 서비스 사용
자 정보의 안전성을 보장하기 위해 필요한 기술로, 클라
우드 서비스를 도입하려는 사용자에게 컨설팅을 제공하
기 위해서는 제품보안 기술 보다 우선적으로 확보해야
할 기술이다. 클라우드 서비스 보안 관리기술은 데이터
손실 및 유출방지, 시스템 및 네트워크 보안, 관리적 대
응으로 구분할 수 있다⁶⁾.○ 데이터 손실 및 유출방지 기술에는 클라우드 스토리지
데이터의 암호화, 데이터의 완전한 삭제 및 메모리 접근
34
방어, 중요정보 클라우드 스토리지 저장 금지 등이 있
다.
- 클라우드 스토리지의 데이터는 암호화를 하여 안전하
게 보관하고, 암호화 키 관리 및 암호화된 데이터에 대한
복구 방안을 수립한다.
- 스토리지 및 메모리 데이터 삭제 시 데이터의 완전한
삭제 및 메모리 접근 방어를 위해 Zero Bit로 기록한다.
- 가상 머신(VM)상에서도 악성코드에 의한 정보유출이
가능하므로, 프로그램 실행 영역 및 메모리 보호를 위해
인증된 보안제품을 적용한다.
○ 클라우드 스토리지에 저장되어있는 데이터의 무결성 확
보는 중간자 공격(Man in the Middle Attack)이나 악의
적인 데이터 변조를 막기 위해 데이터 변조방지가 필수
적이다. 이를 위해 퍼블릭 클라우드 서비스 이용 시 사용
자별 암호키에 의한 데이터 암호화를 지원하고, 데이터
전송 시 및 저장 시 각 데이터에 대한 전자 서명 또는
해시 정보 등의 고유정보를 관리하도록 한다.
○ 시스템 및 네트워크 보안기술에는 인증 및 권한관리,
네트워크 보안, 가상화 보안이 있다. 인증 및 권한관리로
는 클라이언트 장비에서 로그인 계정 입력 값의 유출을
35
방지하기 위하여 키보드보안 솔루션 또는 가상키보드 솔
루션을 적용한다. 또한 역분석 방지를 위해 PC기반의
솔루션 보호 시 주로 사용되는 패킹 및 난독화, 디버깅
방지 솔루션을 적용한다. 가상환경에서는 VM 추가, 삭제
가 쉽게 가능하므로 악의적인 용도로 VM이 추가 및 삭
제되는 것을 방지하기 위해 가상머신, 관리자 프로그램
등에 접근 시 권한별 접근 관리를 한다.
○ 시스템과 네트워크 보안을 위해 가상머신에는 전용백
신프로그램 및 루트킷 탐지 솔루션을 도입하고, 정기적인
취약점 패치 및 업데이트를 수행하며, 침입탐지시스템,
방화벽, 가상사설망, DDoS 방어시스템, IP Spoofing,
ARP Spoofing 탐지시스템 등 네트워크 보안 기술을 적
용한다.
○ 통신 채널 암호화를 위해 웹기반 서비스에는 HTTPS
보안프로토콜을 적용하고, 데스크톱 클라우드 서비스에는
SSL VPN을 적용하며, 네트워크 통신 데이터 보호를 위
해 RDP, ICA등의 프로토콜 이용 시 암호화 기능을 적용
한다.
○ 하이퍼바이저나 가상머신에 대한 취약점을 이용하여
시스템 접근권한을 획득할 수 있으므로, 하이퍼바이저 및
가상머신에 대해 정기적으로 취약점 패치를 수행한다.
36
2) 무선랜 보안 기술
가) 무선랜 보안 제품기술
○ 무선랜 보안 기술도 제품보안 기술과 보안 관리기술로
나눌 수 있다. 무선랜 제품보안 기술은 다시 RSNA
(Robust Security Network Association) 이전
(Pre-RSNA)과 이후(RSNA), 그리고 기밀성과 무결성,
인증 및 키관리 관점에서 구분할 수 있다.
○ 1993년경 초기 무선랜에서 정의한 보안 규격 즉,
Pre-RSNA는 무선 구간의 기밀성 제공을 위해
WEP(Wired Equivalent Privacy) 암호 알고리즘이 있으
며, 이는 이름에서도 알 수 있듯이, 유선과 동등한 수준
의 데이터 보호를 위한 목적으로 개발되었다.
○ WEP에서 사용되는 RC4 스트림 암호는 24비트의 짧은
IV(Initial Vector)를 사용하는 등 암호 알고리즘 자체 취
약점이 존재하고, 키 분배 메커니즘이 정의되어 있지 않
아서 AP와 단말간 미리 정해진 암호키만 사용하여야 한
다. 또한 하나의 AP에 접속하는 모든 단말은 동일한 암
호키를 사용하므로, 악의적인 사용자는 자신이 알고 있는
암호키를 이용해 AP에 접속한 다른 사용자의 무선 구간
데이터를 엿들을 수 있다는 문제점이 있다.
37
○ RSNA
- RSN(Robust Security Network)에서 단말과 AP간 유
니캐스트되는 데이터 프레임이나 관리 프레임은 일반적
으로 CCMP(Counter Cipher Mode with Block Chaining
Message Authentication Code Protocol)로 프레임 바디
를 암호화함으로써 기밀성과 무결성 및 재사용 탐지 기
능을 제공한다. 반면에, 브로드캐스트 또는 멀티캐스트되
는 인증 해제 (deauthentication), 연결 해제
(disassociation) 등의 관리 프레임 및 자원 할당 등에 활
용되는 액션 프레임의 보호를 위해서는 BIP 프로토콜을
사용한다. 이는 암호화가 아니라 CMAC(Cipher-based
MAC) 값을 프레임 바디 이후에 추가하여 무결성과 재
사용 탐지 기능을 제공한다.
- CCMP는 기밀성을 위하여 AES(Advanced Encryption
Standard)의 counter 모드와 인증 및 무결성을 위한
CBC-MAC(Cipher Block Chaining-Message
Authentication Code)를 결합하여, WEP 및 TKIP에 비
해 보안성을 높인 무선 구간 암호 방식이다.
○ IEEE 802.1X 기반의 인증 및 접근제어 방법에서 RSN
인증 및 접근제어, 그리고 키관리는 단말, AP, 인증서버
의 세 엔티티에 의해 이루어진다. 먼저 단말과 AP간 네
38
트워크 발견(network discovery)과 보안 협상(security
negotiation) 중에 RSNE(Robust Security Network
Information Element)를 교환함으로써 양자간 보안연결
(SA: Security Association)을 위한 기초정보를 얻는다.
이후 802.1X 표준을 기반으로 하는 인증과정에
EAP(Extensible Authentication Protocol)로
RADIUS(Remote Authentication Dial In User Service)
인증서버와 통신을 거치고, 단말과 AP간 핸드셰이킹에
의해 키 일치로 실제적인 SA를 완료하고, 이후 사용자
데이터에 대한 무선 구간의 암복호화가 이루어진다⁷⁾.나) 무선랜 보안 시장
○ 스마트폰과 태블릿PC 등 모바일 기기의 보급 확산에
따라 전 세계 모바일 보안시장이 2010년부터 2015년까지
연평균 30% 이상 성장할 것으로 IDC는 기대하고 있으
며, 전 세계 모바일 보안시장 규모는 2010년(4억700만 달
러)에 비해 2015년 190억 달러로 비약적인 성장이 있을
것으로 전망하고 있다⁸⁾.○ 이에 따라 주요 기업들은 모바일 보안시장 선점 위해
적극적으로 대응하고 있는데, 시만텍(Symantec), 맥아피
(McAfee), 트렌드마이크로(Trend Micro), 웹루트
(Webroot) 등 해외 보안 전문업체들은 모바일 기기당 연
39
평균 30달러 선에서 안티바이러스 보호, 백업 데이터 저
장, 분실 또는 도난 모바일 기기 위치 추적, 웹브라우징
모니터링, 원격모바일 기기 데이터 삭제 서비스 등을 경
쟁적으로 제공하고 있다.
○ LG CNS, 삼성SDS, SK C&C 등 국내 IT서비스 업체들
도 모바일 보안솔루션 시장 선점에 속도를 내고 있으며,
안연구소, 인포섹, 지란지교소프트 등 주요 보안업체들도
최근 다양한 모바일 보안 기능에 단말관리 기능을 접목
시킨 통합 모바일 보안관리 제품을 출시하고 있다.
○ 모바일 보안시장은 앞으로 지속적으로 성장할 것이며,
소비자도 점차 증가할 것으로 예상되는데, 시만텍의 설문
조사 결과, 24개국 1만 2,704명 가운데 16%만이 최신 모
바일 보안소프트웨어를 모바일 기기에 설치한 것으로 나
타났다. 이 중 응답자의 10%는 모바일 관련 사이버범죄
의 피해를 본 적이 있다고 대답하여 모바일 보안 소프트
웨어 시장의 성장 가능성을 증명하였다.
다) 무선랜 보안 관리기술
○ 무선랜의 안전한 운영을 위해서는 위치별, 장비별 특
성에 따른 보안설정 및 암호화, 인증 등에 대한 전반적인
설정을 정의하여 관리하도록 해야 한다. 무선랜 보안 관
40
리 기술에는 SSID 등 기본 파라메터 설정, 무선랜의 고
정 IP 사용 및 유․무선 네트워크 분리, 사용자 인증 및
데이터 암호화 등이 있다.
○ SSID는 가장 먼저 무선 네트워크를 구분하는 ID값이다.
이 SSID값은 무선랜 서비스를 제공하는 기관의 이름이
나 부서를 추측하거나, 무선 AP의 장비명을 추측할 수
있도록 설정해서는 안 된다. SSID를 숨김모드로 설정하
면 SSID를 모르는 사용자일 경우 자신이 위치한 곳에서
제공되는 무선랜 서비스가 없기 때문에 무선랜 서비스에
접속할 수 없게 된다. 따라서 SSID를 숨김모드로 설정하
고, 인가된 사용자에게만 미리 SSID를 알려주어 접속하
도록 하면 비인가자의 접속시도를 줄일 수 있다.
○ 장비의 출고시 관리자의 ID, Password는 설정되어 있지
않거나 간단하게 설정되어 있어 암호화 설정을 하지 않
은 보안수준으로써, 반드시 일정 수준의 암호설정을 통해
관리자 페이지에 대해 접근제어를 하도록 한다. 또한 임
의의 단말에서 관리자 페이지에 접근을 허용하면 비인
가자의 네트워크 설정 변경 및 중요 정보가 노출될 위험
이 존재하므로, 허가된 장비에서만 관리자 페이지에 접근
이 가능하도록 고정IP접근 제어와 MAC주소 접근 제어
를 수행한다.
41
○ 접속을 허용하는 사용자의 단말기 MAC을 사전에 등
록하고 등록된 장비만 접속을 허용하도록 MAC 필터링
을 한다. MAC 필터링은 각각의 무선단말장치에 부여되
는 고유한 번호(MAC)를 통해 사용자 인증을 하는 방식
이다.
○ 무선 접속에 관련된 키 값이 노출되었을 경우 비인가
자가 노출된 키를 통해 무선 네트워크에 접속 할 수 있
게 된다. 이때 DHCP 서비스가 활성화 되어 있다면 비인
가자 단말기는 자동으로 내부의 IP를 할당받아 내부 네
트워크에 접속 하게 된다. 이를 방지하기 위해 무선 AP
에서 DHCP 서비스를 사용하지 않고 고정 IP를 사용하
여 접속하도록 한다.
○ 기존의 유선 네트워크와 무선 네트워크가 동일한 구간
을 사용할 경우, 무선랜의 취약점을 통한 침해사고 발생
시 그 피해는 전사적으로 확산될 가능성이 있다. 유선랜
과 무선랜이 사용되는 네트워크를 구분하고 무선랜의 사
용범위를 구분하여 침해사고 발생시 피해규모와 피해의
확산을 제한된 범위로 한정할 수 있도록 한다.
○ WPA의 TKIP, CCMP 기술은 크래킹이 가능한 기존의
WEP보다 보안성이 높으며, WPA2의 AES를 사용하는
CCMP가 가장 높은 보안 수준을 제공하는 것으로 알려
42
져 있고 IEEE에서도 WPA2(AES)를 무선랜 표준으로 정
의하였다. 따라서 특수한 경우를 제외하고는
WPA2(AES) 암호화 알고리즘을 통해 무선 네트워크의
데이터를 보호하여야 한다.
다. 정보보안 산업 현황 및 보안 컨설팅 기술
1) 정보보안 컨설팅 기술
○ 정보보안 컨설팅이란 ‘조직의 목적을 달성하는 데 있어
전산 시스템과 네트워크 등 모든 정보기술(IT) 자산과
조직에 일어날 수 있는 위험을 분석하고 이에 대한 대책
을 수립함으로써 관리자와 조직이 그 대책을 실현할 수
있도록 지원하는 독립적인 자문 서비스'라고 한국정보통
신기술협회(TTA)는 정의하고 있다.
○ 보안컨설팅은 다음과 같은 효과를 기대할 수 있다.
- 전반적인 보안진단을 실시함으로써 정보자산에 발생할
수 있는 위험요인 등을 사전에 파악하고 보호대책을 수
립할 수 있으며, 기업의 보안현황을 파악하고 문제점을
개선시키기 위한 목표를 정의함으로써 기업의 보안수준
을 제고한다.
43
- 국내(KISA ISMS) 및 국제(ISO/IEC 27001) 보안 관리
체계 기준의 준수 여부를 평가함으로써 이에 대한 인증
을 획득하며, 국내외 보안 관리체계 인증 획득 시 기업의
대외 이미지 향상, 고객신뢰도 향상 등을 도모한다.
- 컨설팅 내용 등에 대해 종업원 교육을 실시함으로써
보안업무의 기업 내 적용이 원활해지며, 기업의 입장에서
보안 관련 법, 제도적 장치에 대한 이해를 통해 효과적이
고 경제적인 활용이 가능해진다.
○ 정보보안 컨설팅 절차
보안컨설팅의 목적은 다양한 분석 및 진단을 통해 보안
마스터플랜을 수립하고, 보안솔루션을 구축하여 적용할
수 있도록 하는 것으로, 컨설팅 시 단계별로 추진해야 하
는 업무는 다음과 같다⁹⁾.(가) 착수(WHY)
- 착수단계는 컨설팅을 왜 해야 하는지를 설명하는 단
계로 컨설턴트는 기업의 업무현황 및 요구사항을 분석하
고, 기업으로 하여금 보안 자가진단을 실시하도록 조치한
다.
- 업무현황 분석시에는 고객의 경영환경 등 총괄적인
측면과 보안조직, 보안 현황 등의 보안문제 도출을 위한
44
기능파악에 초점을 두고 진행한다.
- 요구사항 분석시에는 고객이 기대하는 업무 요구사항을
명확히 함으로써 컨설팅 범위와 방법을 확정하고, 컨설팅
일정에 대한 협의가 이루어져야 한다.
(나) 진단(WHAT)
- 진단단계는 컨설팅 수행 시 무엇을 해야 하는가를 설
명하는 단계로, 취약성 분석 및 위험평가가 이루어지며,
컨설턴트는 본 단계에서 정보자산의 식별 및 가치평가,
시스템 위협 및 취약점 진단, 보안경영실태 진단 등의 업
무를 수행해야 한다.
- 정보자산의 식별 및 가치평가 작업은 기업 내 자산의
실질적인 가치를 파악하는 작업으로 시스템과 보안경영
실태를 진단할 때 취약점을 판단하는 기준이 된다.
- 시스템의 위협 및 취약점 진단을 통해 보안시스템 도
입 및 확대를 추진하게 되며, 보안경영실태 진단을 통해
현실성 있는 보안정책과 지침을 수립하고 보안경영활동
을 실무에 적용하게 된다.
(다) 계획수립(HOW)
- 계획수립 단계에서는 보안업무를 어떻게 추진해야 하
는가를 설명하는 단계로, 본 단계에서는 진단단계에서의
45
환경분석과 취약점 진단결과를 정리하여 어떻게 보안경
영활동을 추진할 것인가의 마스터플랜을 수립한다.
- 먼저 환경분석 및 자산분석 결과와 기술적 보안진단
및 보안경영실태에 대한 진단결과를 정리하여 기업이 우
선적으로 추진해야 할 핵심과제를 선정한다.
- 다음으로 분석 및 진단결과를 바탕으로 보안경영체계
를 수립하고, 단계별 보안대책을 수립하여 기업에 제시한
다.
출처:보안컨설턴트용 실무 가이드북
<그림 3-3> 정보보안 컨설팅 추진 절차
46
(라) 실행 및 종료(WHEN)
- 실행 및 종료단계는 이전 단계에서 수립된 보안경영체
계와 단계별 보안대책을 언제 추진해야 하는가를 설명하
는 단계로, 본 단계에서는 보안정책서, 보안지침, 보안절
차 등 보안경영 문서체계 확립과 보안시스템 구축이 실
행되도록 한다.
- 보안경영체계의 주요 통제항목을 제시하고, 이에 따라
기업의 환경에 적합한 보안문서체계를 설계하며, 보안솔
루션 도입을 통한 시스템 구축을 추진한다.
- 보안문서체계 도입이나 시스템 구축시 임직원 교육과
사후점검을 실시한다.
○ 정보보호 컨설팅 서비스 유형
정보보호 컨설팅 서비스 비지니스에는 아래와 같은 분야
가 있다.
- Compliance
ü주요정보통신 기반시설 취약점 분석•평가
ü ISMS 수립 및 인증지원 컨설팅
ü 개인정보영향평가
ü 시큐어 코딩
47
- Security Management
ü정보보호 성숙도 분석
ü정보보호 대책 이행 점검
ü지침/절차 수립
ü정보보호 체계설계
ü마스터플랜 수립
- Vulnerability
ü서버/PC/DB/WAS 진단
ü네트워크/무선/VoIP 진단
üWeb/모바일 앱 진단
ü모의해킹
- Assessment
ü정보유출 방지 체계 수립
ü개인정보유출 방지 체계 수립
2) 정보보안 산업 현황
○ 국내에 정보보호관련 기업이 본격적으로 설립되기 시작
한 것은 1990년도 중반으로, 이를 기준으로 하면 국내 정
보보안 산업은 대략 15년 정도의 역사를 갖고 있다. 정보
보호산업은 2004년 개정된 정보통신망 이용촉진 및 정보
48
보호 등에 관한 법률에서 ‘정보보안 제품을 개발·생산 또
는 유통하거나 정보보안에 관한 컨설팅 등과 관련된 산
업’이라고 정의하였다.
○ 그 후 산업이 발전함에 따라 기존의 정보보호산업이 확
대 발전된 지식정보보안산업은 ‘암호·인증·인식·감시 등
의 보안기술이 적용된 제품을 제조 또는 판매하거나, 보
안기술 및 보안제품을 활용하여 재난·재해·범죄 등에 대
응하거나 관련 장비·시설을 안전하게 운영하기 위한 모
든 서비스 제공과 관련되는 산업”이라고 정보통신산업진
흥법에서 정의하고 있다.
○ 지식정보보안산업은 정보보안과 물리보안, 융합보안 분
야로 나누어지는데, 정보보안은 컴퓨터 또는 네트워크상
의 정보 훼손, 변조, 유출 등을 방지하기 위한 보안 제품
및 서비스를 말하며, 대표 제품으로는 방화벽, 안티바이
러스,Forensic 툴 등이 있다.
○ 2012년 국내 지식정보보안산업 매출액은 총 58,417억원
으로 2011년 대비 10.6% 증가한 것으로 나타났으며, 그
중 정보보안 매출액은 2011년 14,579억원에서 2012년
16,642억원으로 14.2% 증가하였다¹⁰⁾.○ 최근 개인정보보호 사고 발생 등에 따라 정보유출 방
지 보안관리 제품의 수요가 증가하였으며, 정보보안 컨설
49
정 보 보 안 산 업 매 출 현 황
(단위 : 억 원 ) 구 분 2 0 1 1 년 2 0 1 2 년 성 장 률 (% )
정
보
보
안
제
품
네트워크 보안 3,945 4,387 11.2
시스템 보안 1,705 1,920 12.6
정보유출 방지보안 2,498 3,067 22.8
암호/인증 1,125 1,250 11.1
보안관리 1,255 1,430 13.9
기타 제품 811 845 4.2
보
안
서
비
스
보안컨설팅 서비스 1,055 1,265 19.9
유지보수 서비스 780 910 16.7
보안관제 서비스 870 980 12.6
교육/훈련 서비스 55 68 23.6
인증 서비스 480 520 8.3
출처: 2012 국내 지식정보보안산업 실태조사
<표 3-1> 정보보안산업 매출 현황
팅 서비스는 2012년도 매출액이 1,265억원이며 성장률은
19.9%로, 교육훈련 서비스(23.6%), 정보유출 방지 보안
(22.8%) 다음으로 성장률이 높은 것으로 나타났다.
50
제 4장
지원결과
1. 지원 결과 종합
○ 클라우드 서비스에는 SaaS, PaaS, IaaS가 있으며, 스마트
폰의 증가에 따라 모바일 클라우드 서비스의 세계시장은
연평균 54%의 높은 성장률로 2013년 120억달러 시장을
형성될 것으로 분석되었다.
○ 클라우드 서비스에 대한 보안 위협은 데이터 위협, 시스
템 및 네트워크 위협, 관리적 위협이 있으며, 가상화 취
약점 계승, 정보위탁에 따른 정보유출 등 클라우드 특성
에 따른 신규 위협이 존재하는 것으로 분석되었다.
○ 무선랜은 전파를 전송매체로 사용하는 특성상 도청이 가
능하고, 무선 장비에 대한 공격과 유선 랜에서 존재하는
여러 가지 공격 기법이 사용 가능하다는 것으로 분석되
었다.
51
○ 스마트폰의 보급과 함께 다수의 모바일 서비스가 활성화
됨에 따라 향후에도 무선 데이터 트래픽은 지속적으로
증가할 것으로 분석되었다.
○ 클라우드 서비스 보안 관리기술은 컨설팅을 제공하기 위
해서는 제품보안 기술보다 우선적으로 확보해야할 기술
로, 데이터 손실 및 유출방지 기술, 시스템 및 네트워크
보안 기술이 있는 것으로 분석되었다.
○ 정보보안 컨설팅 서비스는 정보보안 분야에서 교육훈련
서비스(23.6%), 정보유출 방지 보안(22.8%) 다음으로 성
장률이 높은 것으로 분석되었다.
○ 위와 같은 분석 결과를 토대로 ㈜이액트의 신규 유망 사
업 분야를 검토한 결과, 클라우드 서비스 보안 컨설팅 사
업은 정부의 정책지원 분야로 향후 시장 규모 확대 예상
되며 신기술 사업으로 아직 경쟁 사업자는 많지 않다는
장점은 있으나, 아직 초기 시장 형성 단계로 당분간 안정
적인 매출은 기대하기 어렵다고 판단되었다.
○ 한편, 무선랜 보안 컨설팅 사업은 기존의 NI사업과 연관
성이 높아 기존 고객을 활용할 수 있으며, 무선랜 보안
시스템 구축 사업의 사전 영업 활동으로 활용할 수 있다
는 장점이 있다. 또한 무선랜 보안 컨설팅 사업도 초기
시장 형성 사업으로, 타 경쟁사 보다 시장을 선점할 기회
52
가 크다. 그리고 시장이 아직 성숙된 단계는 아니나 그
동안 무선랜이 상당히 많이 보급되어 있고 향후에도 지
속적으로 보급될 것으로 분석되어, 무선랜 보안 컨설팅
사업에 대한 사업 여건은 충분히 조성되어 있다고 판단
할 수 있다.
○ 이와 같은 분석에 따라 무선랜 보안 컨설팅 사업은 조기
에 사업 검토를 시작하고, 클라우드 서비스 보안 컨설팅
사업은 시장의 추이를 보면서 사업 진입 시기를 판단하
는 것이 좋겠다는 결론을 얻었다. 또한 기존에 축적된
NI사업 경험을 바탕으로 비교적 쉽게 시작할 수 있는 무
선LAN 보안 시스템 구축 사업을 무선랜 보안 컨설팅 사
업과 함께 조기에 검토하는 것도 필요하다는 결론에 도
달하였다.
2. 지원의 한계
○ 미래창조과학부는 2017년까지 정보보안산업 시장을 현재
의 2배 규모인 10조원 규모로 육성하고, 최정예 정보보안
인력 5000명을 양성한다는 정보보안산업 육성 계획을 지
난 7월 4일 발표했다. 미래부 관계자는 “세계 최고의 정
보통신기술(ICT) 강국이라는 평가에도 국내 정보보안시
53
장은 상대적으로 협소하고 낙후돼 있어 선도적인 기술
경쟁력을 확보하거나 우수 인력을 유치하는데 한계가 있
다”며 “우리나라가 정보보안산업 강국으로 도약하기 위
해선 우선 국내 시장 규모가 커져야 한다는 판단 아래
시장 창출을 적극 지원할 계획”이라고 말했다.
○ 이어서 미래부는 공공분야부터 수요를 창출할 방침으로,
주요 정보통신기반 시설 지정 대상을 2017년까지 400개
로 늘리고 민간 기업을 대상으로 한 정보보호관리체계
(ISMS) 의무 인증 대상도 150개에서 500개로 확대하기
로 했다.
○ 정보보안산업은 이와같이 정부가 적극 육성하려는 산업
으로 성장 잠재력은 매우 크다고 할 수 있다. 그러한 한
편으로는 정부 관계자도 언급했듯이 국내 정보보안시장
은 아직까지 협소하고 낙후돼 있어, 정보보안산업에 대해
체계적으로 정리된 자료가 매우 귀하다. 또한 정보보안산
업 중 보안컨설팅 분야는 고부가가치 산업이나, 아직 초
창기 산업으로 체계화된 자료나 축적된 경험이 더더욱
많지 않다. 이러한 상황에서 깊이 있는 자료를 수집하고
분석하기에는 시간과 자원에 한계가 있었다.
3. 기대 효과
54
○ 클라우드 서비스에 대해 시장과 보안 위협을 분석하고,
무선랜의 취약점과 시장을 분석했다. 또한 클라우드 서비
스와 무선랜의 보안관리 기술을 분석하고, 정보보안 컨설
팅에 대해 시장과 기술을 분석 제시하였다.
○ 이러한 분석 결과를 바탕으로 ㈜이액트의 신규 유망 사
업 분야를 검토하였으며, 무선랜 보안 컨설팅 사업은 조
기에 사업 검토를 시작하고, 클라우드 서비스 보안 컨설
팅 사업은 시장의 추이를 보면서 사업 진입 시기를 판단
하는 것이 좋겠다는 분석 결과를 제시하였다.
○ 이러한 분석 결과는 (주)이액트의 신규 사업 계획 검토에
중요한 자료가 될 것으로 기대된다.
55
참고문헌
1. 맹형규, “범정부 클라우드 추진현황 및 향후계획“, 국가정보화
전략위원회, 2012. 6. 21
2. 정현철, "클라우드 서비스 보안 위협 및 보안 대책", 한국인터
넷진흥원(KISA), CLOUDSEC2012, pp. 8
3. 차영태, “클라우드 컴퓨팅 보안 기술 동향과 산업전망“, 한국
산업기술평가관리원, PD ISSUE REPORT, VOL.12-6, 2012,
pp.123-143
4,,“무선랜 보안안내서“, 한국인터넷진흥원(KISA), 2010, pp.24-41
5. 은성경 외,“클라우드 컴퓨팅 보안 기술“, 전자통신동향분석, 제
24권, 제4호, 2009, pp.79-88
6. ,“클라우드 서비스 정보보호 안내서“, 한국인터넷진흥원
(KISA), 2011, pp. 42-46
7. 정민호 외,“차세대 무선랜 최신 기술동향“, 전자통신동향분석,
제27권, 제2호, 2012, pp.1-10
8. 김신효 외,“차세대 무선랜 보안 기술 동향“, 전자통신동향분석,
제28권, 제1호, 2013, pp.100-109
9. 한국산업기술진흥협회,“보안컨설턴트용 실무 가이드북“, 중소
기업기술정보진흥원, 2007, pp.10-13
10, "2012 국내 지식정보보안산업 실태조사", 한국인터넷진흥원
(KISA), 2012.. pp.109
56
저자소개
최 상 현
․Osaka 대학 대학원 공학박사, 공학석사
․서울대학교 공과대학 공학사
․전 남서울대학교 교수
․전 한국통신 연구개발원 책임연구원
․전 금성소프트웨어 연구소장
․전 한국과학기술연구원 연구원
․전 한국전력 전자계산소 과장
․현 한국과학기술정보연구원 ReSEAT프로그램 전문연구위원
․기술사(전자계산조직응용)
․정보시스템 감리원(수석)
․정보통신공사 감리원(특급)
․재난관리지도사
․저서 : 간호정보학(공저), 고문사, 2012