<테마특강>무선 인터넷 보안

관련 통계자료 다운로드 무선인터넷 보안

 3GPP에서 정의하고 있는 보안구조는 이동통신을 위해 필요한 개체들마다 영역을 구별해 보안기능을 규정하고 있기 때문에 사업자 영역과 사용자 영역의 보안기능을 별도로 고려해야 한다.

 3GPP(3rd Generation Partnership Project)에서 정의하고 있는 보안구조를 설명하고 사용자·단말·프로그램의 이동성으로 인해 요구되는 보안기술에 대해 기술함으로써 이동통신 환경에서 필요한 보안기술을 이해하는데 조금이나마 보탬이 되고자 한다.

 컴퓨터를 사용함에 있어서 보안 위협은 사용자의 통신 내용을 누군가 불법적으로 도청하거나 감청하는 행위, 통신 내용을 변조 또는 조작하는 행위, 사용자의 권한을 위조하거나 사용자로 위장하는 행위 등이 있다. 또 컴퓨터나 통신망이 정상적으로 작동하지 못하도록 방해하는 행위와 악의적인 용도로 사용자의 정보를 빼내는 행위 등도 이에 속한다.

 보안 위협으로부터 사용자들을 보호하기 위해서는 통신하는 내용을 암호화해 권한을 갖지 않은 사람은 내용을 이해할 수 없도록 하고, 전자서명을 통해 내용이 불법적으로 변경되거나 사용자 행위를 부인할 수 없도록 해야 한다. 허용된 사용자인지 법적으로 허용된 서비스인지를 확인하는 인증과정도 반드시 필요하다.

 이러한 보안 위협과 요구사항은 PDA나 휴대폰을 이용해 사이버트레이딩·인터넷뱅킹·전자상거래 등을 이용하는 무선 환경에서도 똑같이 적용된다. 오히려 보호해야 하는 네트워크가 무선 환경까지 확장돼 유무선 통합 환경에서 보안이 고려돼야 하는 점, 보안기능이 동작하는 단말의 환경이 메모리 크기·성능 등에서 유선 환경보다 훨씬 제약이 많은 점, 사용자 또는 단말이 어디든지 이동할 수 있다는 점 등 때문에 유선 환경의 보안기술을 그대로 적용하는데 어려움이 따르고 추가적인 기술이 요구된다.

 <그림1>은 3GPP에서 정의하고 있는 보안구조다. 이 그림이 시사하는 것은 이동통신을 위해 필요한 개체들마다 영역을 구별해 보안기능을 규정하고 있다는 것이다. 따라서 안전한 통신을 위해 사업자들 영역에서 고려해야 하는 보안기능과 사용자들이 직접적으로 사용하는 응용 영역에서 고려해야 하는 보안기능들이 나뉘어 있다.

 네트워크 접근 보호는 사용자가 3G서비스에 안전하게 접근하는데 필요한 보안서비스를 정의하고 있으며 주로 무선 구간에서의 공격을 방어하기 위한 보안서비스다. 따라서 사용자의 단말기와 기지국 제어기에서 메시지의 무결성 및 암복호화 기능을 제공해야 한다.

 네트워크 영역 보호는 통신사업자 영역의 코어망에서 시그널링 데이터들이 안전하게 교환될 수 있도록 하는 보안기능이다. 따라서 사업자들이 관리하고 있는 사용자 정보의 안전성을 보장할 수 있어야 하고 서비스 거부 공격에 대한 대책을 필요로 한다. 특히 로밍서비스를 지원할 경우 서로 다른 사업자들간의 사용자 정보를 공유할 필요가 생기기 때문에 사용자 정보에 대한 접근 제어가 요구된다.

 사용자 영역 보호는 단말기의 사용자가 허용된 사용자인지를 인증하는 보안기능으로 3GPP에서는 USIM(User Subscriber Identity Module)을 사용하는 것으로 정의하고 있다. 응용 영역 보호는 단말기를 통해 사용할 수 있는 응용서비스에서 고려돼야 하는 보안기능을 정의하나 3GPP에서는 아직 구체적으로 정의하고 있는 보안기능은 없으며 산업에서 정의되는 기능을 수용할 것으로 보인다.

 마지막으로 보안의 가시성과 구성은 사용자에게 제공되는 보안서비스가 어떤 것이 있고, 현재 적용되고 있는 보안서비스가 어떤 것인지를 사용자에게 보여줄 수 있고 필요에 따라서 사용자가 선택할 수 있어야 함을 의미한다.

 위의 영역 중에서 응용 영역 보호를 위한 보안기술들로는 무선 PKI(Public Key Infrastructure) 기술, 무선 전송계층 보안(Wireless Transport Layer Security) 기술, 종단간 보안(End to End) 기술, 스마트카드 연동기술 등을 예로 들 수 있다.

 무선 PKI 기술은 휴대폰에서도 인증서를 사용해 전자서명이 가능토록 해 구매요청서 같은 정보가 불법적으로 변조되지 않도록 하며 사용자의 구매행위를 부인하지 못하도록 하는데 활용될 수 있다.

 무선 전송계층 보안기술은 사용자의 단말기와 사업자 영역의 게이트웨이 사이에 교환되는 정보를 암호화해 권한이 없는 사용자가 이해할 수 없도록 한다.

 종단간 보안기술은 무선인터넷 서비스 환경으로 WAP(Wireless Application Protocol)을 사용하는 경우에 단말기와 서버 사이에 교환되는 정보를 암호화해 권한이 없는 사용자가 이해할 수 없도록 보호하는데 응용된다.

 스마트카드 연동기술은 스마트카드를 통해 보안정보를 효율적으로 저장 및 관리하는 기능과 단말기와 스마트카드 사이의 연동기능을 제공해 사용자의 보안정보를 스마트카드에 담아 휴대가 가능토록 하는 기술이다.

 우리나라에서는 2000년부터 정부산하 연구기관에서 무선인터넷 보안기술을 추진하는 것으로 응용 영역 보호를 위한 기술들을 준비해 왔으며, 정보보호 산업체에서 상용제품으로 개발해 이동통신 사업자나 공인인증기관 등에서 운용되고 있다. 그러나 단말기의 환경을 고려해 적합한 알고리듬을 사용하고 성능을 최적화시키는 작업과 보편적으로 사용될 수 있도록 기관들간의 상호 운용성을 높여야 하는 숙제를 가지고 있다.

 보안 요구사항을 분석하는데 이동성에 대한 고찰은 유선 환경에서도 필요하지만 무선 환경에서는 더 다양한 문제를 야기시킨다. 우선 단말의 이동성으로 생기는 문제는 무선랜 환경에서처럼 단말이 다른 네트워크로 이동한다면 네트워크 주소의 불일치로 인해 MIP(Mobile Internet Protocol) 같은 기술을 필요로 한다.

 MIP는 단말이 다른 네트워크로 이동하면 홈에이전트에 이동했음을 알리는 등록절차를 밟아야 한다. 또 홈에이전트가 이동한 단말으로부터 오는 메시지를 이동한 네트워크로 전송함으로써 이동단말은 메시지를 수신할 수 있게 된다.

 이러한 과정에서 위장등록, 메시지 재전송 공격, 서비스 거부 공격 등이 발생할 수 있으므로 MIP에서는 이러한 공격을 방지할 수 있는 보안기술 규격을 포함하고 있다. 이동통신 환경도 장차 코어망뿐만 아니라 단말기까지 IP를 채택하는 ALL IP망으로 진화될 것이기 때문에 같은 문제가 고려돼야 한다.

 사용자의 이동성으로 인해 요구되는 보안기술도 있다. 예를 들어 우리나라의 통신사업자와 다른 나라의 통신사업자가 로밍서비스를 제공한다고 했을 때 사용자의 로밍으로 인해 서로 다른 사업자간에 사용자 정보를 공유할 필요가 생긴다. 이 과정에서 허가된 사업자만 허용된 사용자에 대한 정보를 접근할 수 있도록 관리하고, 교환되는 사용자 정보는 안전하게 전달돼야 한다.

 유선 환경에서는 이러한 용도로 ‘래디우스(RADUIS)’ 기술이 적용되고 있지만 IETF(Internet Engineering Task Force)에서 무선 환경의 요구사항을 만족시킬 수 있는 ‘다이어미터(DIAMETER)’ 기술이 새롭게 제안됐고 국내에서도 연구기관을 중심으로 개발이 진행되고 있다. 최근 관심이 고조되고 있는 무선랜 서비스에서도 사용자의 로밍을 효율적으로 지원할 수 있는 인프라 구축과 다이어미터 기술이 적용될 필요성이 있다.

 다음은 프로그램의 이동성으로 인해 요구되는 보안기술이 있다. 유선 환경에서는 사용자들이 필요한 프로그램이나 데이터를 PC에 저장해 놓고 사용하지만 이동통신 환경에서는 휴대 단말기의 성능 및 메모리 용량에 제약이 있기 때문에 단말기에는 최소의 정보만 보관하고 필요할 때마다 서버로부터 다운로드해 사용한다.

 최근에 출시되는 모든 단말기들이 가상머신(Virtual Machine) 환경을 지원하는 것도 프로그램의 이동성을 높이기 위한 방법이다. 단말기에서 실행되는 프로그램은 단말기 제조사나 이동통신 사업자들이 단말기 또는 서비스를 제어하기 위한 프로그램과 사용자 프로그램이 구별돼 있으므로 각각의 프로그램마다 사용할 수 있는 자원에 대한 관리가 필요하다.

 이러한 방법으로 자바 환경에서 제공하는 샌드박스 모델과 프로그램마다 접근할 수 있는 자원을 제한하는 단말기 환경에서도 적용할 필요가 있다. 최근에는 코드 사인 기술을 적용해 프로그램뿐만 아니라 프로그램을 사용하는 사용자에 따라서도 자원에 대한 접근을 제어할 수 있는 기술들이 연구 중이다.

 프로그램의 이동성으로 고려해야 하는 또 다른 요소로는 모바일 바이러스다. 현재까지 PDA 환경에서 동작하는 바이러스는 보고된 적이 있으나 휴대폰 환경에서 동작하는 바이러스는 아직 없다. 그렇지만 외국 유명 백신업체들의 CEO들이 모바일 바이러스의 출현을 경고하고 있고, 이동통신 서비스를 확대하기 위해 단말기 플랫폼이 콘텐츠 제공자들에 공개되고 있기 때문에 출현 가능성은 계속 높아지고 있는 상황이다. 모바일 바이러스는 사용자들이 스스로 주의를 해야 하는 인터넷 바이러스와 달리 통신사업자나 단말기 제조사에서 우선적으로 대비해야 할 것이다.

 지금까지 3GPP에서 정의하고 있는 보안구조와 단말기·사용자·프로그램의 이동성에 따라서 요구되는 보안기술을 살펴봤다. 그러나 무엇보다도 중요한 것은 이러한 보안기술이 서비스가 아니고 모바일커머스(m-Commerce)를 위한 인프라로 인식될 필요가 있다는 것이다. 즉 없으면 그만인 기술이 아니고 모바일커머스를 위해서는 반드시 제공돼야 하는 기술이라는 점이다. 무선보안기술이 규격화돼 모바일커머스 응용들이 상호 운용성을 제공하고 공통된 인터페이스를 공급하는 것이 장기적으로 콘텐츠 제공자와 정보보호업체들의 경쟁력을 뒷받침하는 방안이라고 생각한다.

 

 원유재 약력

 △1962년 7월 충남 출생

 △1985년 2월 충남대학교 전산학과(학사)

 △1987년 2월 충남대학교 전산학과(석사)

 △1998년 8월 충남대학교 전산학과(박사)

 △1987년 2월∼2001년 2월 한국전자통신연구원 책임연구원, 무선인터넷정보보호연구팀장

 △2001년 3월∼현재 안철수연구소 보안연구2실 CTO



★관련 그래프/도표 보기