홈 네트워크 보안 참조 모델 정의하고

이 참조모델 근거로 보안 위협 정의하는 것

국제표준화기구인 ITU-T의 SG17 WP2는 정보통신 보안에 관한 표준화를 다루는 연구그룹이다. 현재 산하에 7개의 연구과제(Question)가 있고 통신망을 위한 정보보호 표준화 작업을 진행하고 있다. 이 연구과제들 중 ‘연구과제 9’에서는 안전한 통신 서비스라는 이름으로 홈네트워크 보안 표준, 모바일 보안 표준, 웹 서비스 보안 기술, 그리고 안전한 응용 프로토콜 등에 대한 표준을 개발 중에 있다. 2005년도 10월 제네바회의를 통하여 홈네트워크 보안 분야 3개 표준과제들이 개발되고 있는 중이다.

Q9 에디터로 활동중인 순천향대학교 염흥열 교수는 “ITU-T SG17 연구과제 9에서 추진 중인 홈네트워크 보안 표준은 홈네트워크 보안 프레임워크, 홈네트워크를 위한 디바이스 인증서 프로파일, 이외에 인가 인증서 프로파일, 홈게이트웨이를 위한 운영 가이드라인 등의 향후 표준화 항목에 대한 표준화를 추진하고 있다”고 밝혔다.

또한 염 교수는 “케이블 망을 위한 CAS(Conditional access system)와 DRM (digital right management) 등의 핵심요소 기술들은 ITU-T 내에서 SG9에서 표준화가 추진되고 있으며, SG17에서는 지난 2004년 일본 동경에서 한국을 중심으로 홈네트워크 보안을 연구키로 합의돼  현재 3건의 표준안이 한국 주도하에 개발되고 있다”고 덧붙였다. 표준안 내용에 대해 자세히 알아보자.

홈네트워크 보안 프레임워크 표준

우선 홈네트워크 보안 프레임워크 표준(일명 X.homesec-1)과 디바이스 인증 표준은 한국(에디터: 염흥열, 오흥룡)에서 각각 제안되었고 홈네트워크 보안 프레임워크 표준은 원격 사용자와 홈 사용자 관점에서 본 보안 취약성과 보안 요구사항을 도출하고 보안 서비스를 구현할 구체적인 보안 메커니즘을 정의하며, 이 보안 메커니즘의 적용 위치를 정의하고 있다.

홈 네트워크 보안 프레임워크는 기본적으로 홈 네트워크 보안 참조 모델을 정의하고 이 참조모델을 근거로 하여 보안 위협을 정의하는 것이다. 이 보안 위협에 적합한 보안 서비스를 정의해 보안 서비스를 구현할 구체적인 보안 메커니즘을 구현해야 한다. 어떤 보안 메커니즘의 집합이 홈 네트워크 보안 서비스를 위하여 요구되는 망 요소 또는 망 요소간의 관계에 적용될 것인지를 제시하기 위한 표준이다.

보안 관점에서 홈 디바이스는 다시 보안 명령을 전달하는 디바이스와 보안 명령을 받는 디바이스, 그리고 동시에 송수신하는 디바이스로 구분될 수 있다. 홈 네트워크를 위한 디바이스는 다시 보안 관점에서 세 가지 유형으로 정의되고 있다. 디바이스 유형 A는 유형 B와 유형 C 디바이스에게 제어 명령을 내리는 디바이스이고, 유형 B는 기존 통신 기능이 없는 홈네트워크 디바이스와 네트워크를 연결하는 디바이스, 유형 C는 오직 제어명령 만을 수신하여 서비스를 제공하는 디바이스를 말한다.

홈네트워크 일반 모델은 원격 사용자, 원격 터미널, 응용서버, 안전한 홈게이트웨이, 홈응용서버, 홈디바이스, 홈 사용자 등 7개의 개체들로 구성된다. 홈디바이스는 특성에 따라, Type A, B, C로 분류된다. 원격사용자는 홈네트워크에 있는 디바이스를 제어하기 위하여 원격터미널을 이용하는 사용자이다.

원격터미널은 외부에서 가정내에 있는 디바이스에 연결하기 위해 사용되는 장치이다. 응용서버는 외부에서 제공되는 다양한 멀티미디어 서비스 및 응용 서비스들을 가정내에 제공하는 역할을 한다. 안전한 홈게이트웨이는 보안적 관점에서 정의한 가정내 게이트웨이로써, 외부 네트워크와 홈내 네트워크 사이에서 주어진 보안정책에 따라 데이터 패킷 전송, 보안 파라미터 변환, 사용자 인증, 패킷 필터링, 침입차단 등의 보안 기능을 수행한다.

홈 응용 서버는 원격 사용자와 홈디바이스들을 연결하게 하며, 원격사용자 및 홈사용자들에게 가정내에 존재하는 멀티미디어 서비스나 다양한 응용서비스들을 제공한다. 홈 사용자는 가정내에서 홈네트워크 디바이스나 외부 네트워크의 다양한 서비스에 접근하고자 하는 사용자이다. 홈 디바이스는 가정내에 존재하는 개체로써 홈 사용자들에게 편리한 서비스를 제공하기 위한 장치들이다.

이는 보안적 관점에 따라 다시 타입 A, B, C로 분류된다. A에는 다른 홈디바이스들을 제어하는 기능을 가지고 있는 PC, PDA 등이 이에 해당하고, B는 브리지 역할을 하는 홈디바이스로 통신 인터페이스가 없는 홈디바이스 C와 연결해주는 역할을 한다. 즉 Bluetooth, HAVi 등의 기능을 가지고 있는 장치들이다. 홈 디바이스 C는 단지 디스플레이 기능만을 가지고 있는 보안카메라, A/V 장치 등이 이에 해당된다.

염 교수는 홈네트워크에서 고려되어야 할 사항을 5가지로 요약했다. ▼다양한 전송매체 기술이 사용되고 있다. (전력선, 유ㆍ무선 통신, 전화 케이블 등이 사용됨에 따라 도청, 가로채기, 서비스거부공격, 중간자공격 등에 노출되기 쉬움) ▼홈네트워크는 유ㆍ무선 네트워크로 구성되어 있다. (보안위협으로부터 유ㆍ무선 네트워크를 모두 고려해야 함) ▼홈네트워크는 보안 관점에서 다양한 환경으로 구성됨(개인 혼자 살고 있는 환경, 자녀들과 함께 살고 있는 환경, 룸메이트들로 구성된 환경 등 다양한 환경이 존재함)

▼원격터미널은 원격사용자에 의해서 이동된다. (외부 네트워크에서 가정내에 존재하는 디바이스들을 제어하기 위하여 항상 휴대됨) ▼홈디바이스들은 특징에 따라 다양한 보안 등급이 적용되어야 함(Type A, B, C에 따르거나, 서비스되는 특징들에 따라)

또한 염 교수는 “홈 네트워크를 위하여 정의된 보안 서비스에는 기밀성, 무결성, 인증, 접근 제어 또는 인가, 부인 방지, 통신 흐름 보안, 프라이버시 보안, 가용성 등이 있다. 또한 원격 사용자, 원격 터미널, 홈 디바이스, 홈 사용자, 보안 홈 게이트웨이, 그리고 홈 응용 서버 등의 6개의 망요소와 모바일 터미널과 모바일 사용자간의 관계 등으로 구성되는 12개의 보안 관계 간에 이들 보안 서비스들이 적절하게 배치될 것”이라고 밝혔다.

한편 홈네트워크를 위한 보안기능 요구사항들은 총 13가지로 정의하고 있다. 내용을 살펴보면 다음과 같다.

① 홈네트워크를 구성하는 모든 개체들은 중요한 정보들을 안전하게 유지하여야 하며, 비인가된 사용자들로부터의 접근, 변조, 삭제를 막아야 한다.

② 원격터미널은 적절한 사용자 인증방법을 통하여, 원격사용자의 인증을 수행하여야 한다.

③ 원격터미널과 안전한 홈게이트웨이 구간은 네트워크 계층이나 섹션 계층에서 개체인증, 키관리, MAC, 무결성 기능을 가져야 한다.

④ 원격터미널과 홈응용서버 구간은 용용계층이나 네트워크 계층에서 개체인증, 키관리, 암호화, MAC, 무결성 기능을 가져야 한다.

⑤ 원격터미널과 홈디바이스 B, C 구간은 응용계층에서 개체인증, 키관리, 전자서명, 암호화, MAC, 무결성 기능을 가져야 한다.

⑥ 홈디바이스 A는 홈사용자에 대한 인증을 수행하여야 한다.

⑦ 홈디바이스 A와 홈디바이스 B, C 구간은 응용계층에서 개체인증, 키관리, 암호화, MAC, 무결성 기능을 가져야 한다.

⑧ 홈디바이스 B, C와 홈응용서버/응용서버 간에는 네트워크 계층, 세션 계층, 응용계층에서 개체인증, 키관리, MAC, 무결성 기능을 가져야 한다.

⑨ 홈디바이스 B, C와 안전한 홈게이트웨이 간에는 네트워크 계층, 또는 세션 계층에서 개체인증, 키관리, MAC, 무결성 기능을 가져야 한다.

⑩ 안전한 홈게이트웨이와 홈응용서버/응용서버 간에는 네크워크 계층에서 개체인증, 키관리, MAC, 무결성 기능을 가져야 한다.

⑪ 홈네트워크 관리자는 사용자 허가 하에 원격 및 로컬로 홈게이트웨이나 홈응용서버를 관리하여야 한다.

⑫ 홈게이트웨이는 방화벽, 침입차단, 데이터 필터링과 옵션 기능으로 유지보수를 위한 원격접근 인터페이스를 가져야 한다.

⑬ 안전한 홈게이트웨이를 관리하기 위하여 로그인ㆍ메시지 기능을 통하여 관리자에게 모니터링 되어야 한다 등이다.

이 보안 표준은 현재 ‘first darft recommendation’상태에 있으며 앞으로 나타날 모든 홈 네트워크 보안 표준의 기본 문서로 활용할 것이며, 고차원의 기본 기능을 설계하기 위한 가이드라인 문서로 활용될 것이다. 이 표준안은 올해 안에 완료될 전망이다.

[길민권 기자(reporter21@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>