정보보호 및 보안기기전과 함께 제8회 정보통신망 정보보호 워크숍(NETSEC-KR)이 16, 17일 양일간 서울 삼성동 코엑스 컨퍼런스센터에서 열린다. 한국정보보호진흥원(KISA)이 주최하고 한국정보보호학회가 주관하는 이번 워크숍은 최신 정보보호 기술과 국제표준기술·보안정책 등이 소개된다. 넷스크린사의 폴 세라노 수석이사와 일본 노무라연구소의 아키라 오츠카 선임연구원이 각각 ‘안전한 비즈니스 애플리케이션’과 ‘일본의 전자화폐에 관한 최근 동향’을 주제로 초청강연할 예정이며 국내 연구계와 업계 관계자들이 총 8편의 튜토리얼과 32편의 세미나 주제발표를 할 예정이다. 또 14일 오후 1시부터는 정통부·업계·연구계 관계자들이 참석한 가운데 ‘정보보호 중장기 종합대책’에 대한 패널토의도 진행됐다. 이번에 발표되는 튜토리얼과 세미나의 주요 내용을 요약한다.
편집자
◆튜토리얼
정보보호 이론 - 정보보호 개론
이만영(서울대 교수)
최근 방송과 신문을 통해 자주 등장하면서 정보보호는 이미 일반인들에게도 친숙한 단어가 됐지만 실제 그 범위나 응용 분야에 대해서는 명확한 정의가 내려져 있지 않다. 따라서 명확한 정보보호의 정의를 내리는 일은 매우 중요하다.
특히 정보보호가 학문과 산업의 영역으로 적용될 때는 정보를 보호해야 할 분야가 너무 다양해 특정 문제를 해결하기 위해 어떤 암호이론을 적용하고 어떤 절차를 밟아야 하는가 등의 과제가 나온다.
정보보호가 해결해야 할 기본과제는 세가지 정도로 요약된다. 첫번째는 정보를 암호화해 기밀성(confidentiality)을 유지하는 것이다. 두번째는 전자서명 등을 이용해 정보나 사용자를 인증하는 무결성(integrity)을 제공하는 것이며 세번째는 이 두가지 문제를 해결하는 데 필수적인 요소인 키(key)의 효율적인 이용이다.
이와 함께 정보보호에 필요한 실용적 요소로 IPsec, SSLv3, TLSv1과 같은 인터넷 프로토콜수, 전자콜과 HMAC 이용 문제, SET 상거래 등에 사용되는 이중서명과 해쉬함서명 및 인증과 신분확인 등에 대해서도 강의를 진행한다.
디지털 콘텐츠 보호 - 워터마킹과 스테가노그래피
김형중(강원대 교수)
컴퓨터의 멀티미디어 기술이 발달하면서 오디오나 비디오 등 각종 디지털 콘텐츠가 많이 등장하고 있다. 이러한 기술의 발달로 MP3 파일을 통한 음악 감상이나 주문형 비디오 등은 현실 속으로 성큼 다가왔다. 디지털 콘텐츠는 단지 아날로그 콘텐츠의 대체수단이 아니라 새로운 비즈니스 모델을 만드는 계기가 된다.
디지털 콘텐츠가 산업의 요소로 자리잡으며 정보보호가 이슈로 부상했다. 디지털 콘텐츠의 특성상 복사가 자유롭기 때문에 자칫하면 공들여 만든 콘텐츠가 불법복제나 해킹으로 인해 무단으로 유통될 수 있기 때문이다.
비밀 통신을 위한 매체로 스테가노그래피(Steganography)가 있고 디지털 콘텐츠의 저작권을 보호하기 위한 수단으로 워터마킹이 있다. 디지털 콘텐츠에 정보를 숨기기 위해서는 두가지 원칙을 지켜야 한다. 하나는 숨긴 정보를 훼손시키기 어렵게 만드는 ‘강인성’을 유지하는 것이고 다른 하나는 정보 은닉 여부에 대해 느끼지 못하게 만드는 ‘인지 불가성’이다.
이 두가지 원칙은 양립하는 것으로 동시에 만족시키기가 어렵다. 현재까지 알려진 두가지 기술 동향에 대해 알아본다.
시스템 보안 - 시큐어 네트워킹을 위한 시큐어 OS 기술
김정녀(ETRI 팀장)
최근들어 OS의 보안상 결함을 이용한 해킹이 자주 발생하고 있다. 이 가운데 이중 루트 권한 획득이나 트로이목마를 이용한 내부자 해킹이 많은 비중을 차지한다. 특히 전력이나 운송, 통신 등 국가 기반 시스템의 경우 해킹을 막는 보안 문제가 심각하게 제기된다.
시큐어 OS 기술은 OS 커널에 사용자 인증, 접근 제어, 감사 추적, 암호화 파일 시스템 등의 보안 기능을 강화하는 것으로 내부자 침입을 비롯한 시스템 수준의 해킹을 차단 또는 방지할 수 있다. 시큐어 OS는 안전한 인터넷, 전자상거래 그리고 전자정부 환경을 제공한다.
이번 강의에서는 정보통신시스템 기반 보호를 위한 시큐어 OS 기술을 소개하고 일반적인 예제와 구체적인 예제를 함께 들어 기술의 필요성을 설명한다. 강의 주제는 시큐어 OS 기술 개발 현황의 경우 TCSEC, ITSEC, CC 등과 같은 시스템 보안 평가 표준 현황과 SE리눅스, 트러스티드 솔라리스 등과 같은 해외 기술 개발 동향 그리고 리눅스, FreeBSD 기반의 시큐어 OS 기술 개발 현황 등이며 이를 바탕으로 시큐어 네트워킹에서 필요한 시큐어 OS 핵심 기술을 다룬다.
생체인식 기술 - 국내 생체인식 기술 표준화 및 평가현황
김재성(KISA 평가 1팀장)
최근 미국·영국·독일 등 선진국을 중심으로 생체인식 기술 표준화 및 평가기술 연구가 활발히 진행되고 있다. 특히 미국에서는 생체인식 인터페이스 표준인 API 표준과 생체정보 보안관리 표준인 X9.84를 ISO/IEC JTC1 SC17의 WG11(biometrics)을 통해 국제 표준화를 선도하고 있는 실정이다.
반면 국내 상황은 많은 생체인식 연구기관과 업체들이 지문·홍채·정맥 등의 자체 알고리듬 기술력을 확보하고 있음에도 불구하고 관련 기술에 대한 평가 기술과 표준화 추진 체계가 전무한 상태였다. 따라서 빠르게 발전하는 생체인식 산업의 주류를 타지 못하는 결과를 초래할 수도 있었다.
하지만 작년 2월 한국생체인식협의회 설립을 계기로 한국정보보호진흥원에서 바이오API 및 X9.84 국내 표준 개발, 지문 등 생체인식 제품의 평가 기술 연구가 시작됐다.
이번 발표에서는 국내외 생체인식 기술 표준 개발 현황 및 평가 기술 연구 현황에 대해 살펴본다. 또 향후 국내 생체인식 산업의 인프라 구축을 위해 필요한 국내 표준화 추진 체계 및 평가 기술 연구 계획에 대해 조망해본다.
무선 보안 - 이동 및 무선 네트워크 보안 기술
문상재(경북대 교수)
이제 인터넷은 생활의 일부로 자리잡았다. 사람 사이의 커뮤니케이션은 물론이고 각종 상거래도 인터넷에서 이뤄진다. 특히 최근에는 인터넷 사용 방식이 유선에서 무선으로 확대되면서 더욱 편리한 인터넷 사용이 가능해졌다. 무선 인터넷은 우리 생활을 편리하게 만들지만 그와 함께 보안 문제를 야기할 가능성도 높다.
무선 인터넷의 발달과 이동전화 단말기의 다기능화로 인터넷 보안 기술과 이동통신 보안 기술이 결합되고 있다. 무선 보안 발표에서는 무선 인터넷 및 이동통신의 보안 기술을 살펴보고 두가지 보안 기술이 결합돼 가는 현황을 살펴본다.
주요 내용으로는 이동 및 무선 네트워크를 위한 보호 서비스를 간략히 소개한 후 이동 및 무선 네트워크에 적합한 보호 알고리듬과 메커니즘을 다룬다. 또 TCP/IP 및 무선 인터넷의 주요 보안 기술, 무선 환경을 지원하는 정보보호 기반, 3GPP에서의 보안 기술에 대해 설명한다.
덧붙여 현재 IETF에서 다뤄지고 있는 최신 보안 기술을 살펴보고 이동 네트워크에서 사용될 스마트카드 대상 물리적 분석 공격 기술과 그 대응 방법에 대해 알아본다.
해킹/바이러스 - 인터넷 공격과 인텔리전스
임채호(KAIST 교수)
지난해 9·11 테러 이후 미국을 비롯한 선진국은 정보보호에 대한 예산을 대폭 확충했다. 이는 물리적 테러뿐만 아니라 사이버 테러에 대한 대비책을 세우기 위한 것이다. 작년에 나타난 님다나 코드레드 바이러스는 해킹과 바이러스에 의한 사이버 테러의 가능성을 증명했다.
님다와 코드레드 바이러스는 기존 바이러스와 달리 네트워크의 취약점을 찾아 서버 차원의 감염이 이뤄지며 바이러스와 해킹 툴이 결합된 독특한 형태를 갖고 있다. 이미 세계적으로 수백만대의 컴퓨터가 이들 바이러스에 감염돼 천문학적인 금전적 피해를 입었다.
이처럼 새로운 공격에 대한 사전 정보 수집, 감시 활동은 매우 중요하다. 물리적 테러와 사이버 테러는 유사한 결과를 나타내지만 특징은 다르다. 이러한 사전 대비만이 사이버 테러의 큰 피해를 막을 수 있다.
미국의 사이버테러 관련기관인 인터넷시큐리티인텔리전스는 여러가지 에이전트에 의한 정보 수집과 분석을 하고 있다. 이는 기술적 문제가 중요한 요소지만 많은 네티즌의 자발적 참여가 전제돼야 한다. 이러한 선진국의 사이버 테러 대비책과 비영리 단체들의 동향과 방안에 대해 살펴본다.
◆세미나 트랙
차세대/BT 보안 - 양자 컴퓨터와 양자 암호
양형진(고려대 교수)
양자 계산과 양자 정보 이론은 양자 물리학과 일관성 있게 재구성된 계산 및 정보 이론이다. 특정한 계산의 경우 양자 계산은 어떤 고전 계산보다도 지수적으로 빠르게 작업을 수행할 수 있다.
그 대표적인 예가 쇼어(shor) 알고리듬인데 최근 IBM에서 양자 컴퓨터로 쇼어 알고리듬을 구현해 15를 인수분해하는 데 성공했다. 이러한 성공으로 공개키 암호 체계의 신뢰성에 의문이 제기되고 있다.
하지만 불확정성의 원리와 측정에 의한 양자상태의 붕괴를 적절히 이용하면 거의 완벽한 안정성이 보장되는 키 분재 방식이 가능하다. 도청에 의한 정보 확인은 일종의 측정에 해당되며 상태 붕괴를 수반하는 양자 역학에서의 측정은 원래의 정보 상태를 변형시키므로 도청은 전달되는 정보를 담은 양자역학적 상태를 반드시 변형시킨다.
이를 이용해 도청 시도 여부를 완벽히 판단할 수 있으며 고도의 키 분배 방식이 가능하게 된다. 이를 양자 암호 혹은 양자 키 분배라고 한다. 이 기본적인 개념과 원리 그리고 대표적인 키 분배 방식을 설명한다.
차세대/BT 보안 - AAA 기반 로밍 서비스 보안 기술
김현곤(ETRI 팀장)
무선 인터넷을 키워드로 한 유무선 통합서비스 시대가 다가왔다. 유무선 통합서비스는 인터넷 사용의 편리함을 한층 높게 만들 수 있다. 하지만 IP 기반의 개방형 네트워크를 수용하기 위해서는 기존 보안 시스템이 할 수 있는 것보다 많은 취약점을 해결해야 한다.
특히 무선 인터넷 사용자의 로밍으로 인한 망 측면에서는 동종 혹은 이종간 시큐리티 인터네트워킹이 빈번히 이뤄질 것이다. 예를 들어 무선랜 공중망간, 이동통신망간, 무선랜 공중망과 이동통신망간 시큐리티 인터네트워킹을 들 수 있다. 이로 인해 망 사이에 걸쳐 시큐리티 인터네트워킹 기능을 수행하는 AAA(Authentication, Authorization, Accounting) 기술은 그 중요도가 더욱 높아진다.
이번 세미나에서는 안전한 로밍 서비스 제공을 위해 요구되는 AAA 기술을 소개한다. 또 IETF의 최근 표준화 동향과 AAA 기술의 적용 시나리오를 대상 서비스별로 소개한다. 이 기술은 현재까지 모바일 IPv4와 WLAN을 주요 서비스 대상으로 하지만 향후에는 SIP와 모바일 IPv6까지 확대될 예정이다. 이러한 AAA 기술은 유무선 통합 환경에서 안전한 로밍 서비스를 제공하는 정보보호 기반 기술이 될 것이다.