1925호2019.12.04.

「주간기술동향」은 과학기술정보통신부 「ICT 동향분석 및 정책지원」 과제의 일환으로 정보통신기획평가원(IITP)에서 발간하고 있습니다.

「주간기술동향」은 인터넷(http://www.itfind.or.kr)을 통해 서비스를 이용할 수 있으며, 본 고의 내용은 필자의 주관적인 의견으로 IITP의 공식적인 입장이 아님을 밝힙니다.

정보통신기획평가원의 「주간기술동향」 저작물은 공공누리 “출처표시-상업적 이용금지” 조건에 따라 이용할 수 있습니다. 즉, 공공누리의 제2유형에 따라 상업적 이용은 금지하나, “별도의 이용 허락”을 받은 경우에는 가능하오니 이용하실 때 공공누리 출처표시 지침을 참조하시기 바랍니다.(http://www.kogl.or.kr/info/license.do 참고)

예시) “본 저작물은 ‘OOO(기관명)’에서 ‘OO년’ 작성하여 공공누리 제O유형으로 개방한 ‘저작물명(작성자:OOO)’을 이용하였으며, 해당 저작물은 ‘OOO(기관명), OOO(홈페이지 주소)’에서 무료로 다운받으실 수 있습니다.”

1925호

기획시리즈 2스마트시티의 보안과 개인정보 보호 기술

[곽내정/㈜코리아텍]

Ⅰ. 서론

Ⅱ. 스마트시티 개요

Ⅲ. 스마트시티의 보안 및 개인정보 보호 기술

Ⅳ. 결론

ICT 신기술 15암호화 기반 DNS 통신 표준 기술 및 이슈 현황

[김평수/한국산업기술대학교]

Ⅰ. 서론

Ⅱ. 암호화 기반 DNS 통신 표준 기술

Ⅲ. DoH 관련 보안과 가시성 이슈

Ⅳ. 주요 기업의 DoH 기술 도입 및 이슈 사항

Ⅴ. 결론 및 시사점

ICT R&D 동향 30대면적 플렉서블 압력 센서 어레이 기술

[이정익/한국전자통신연구원]

IoT 센서를 위한 나노 구조 제작

[이승훈/서강대학교]

주간기술동향 2019. 12. 4.

2 www.iitp.kr

*

I. 서론

2018년 유엔 경제사회국(DESA)의 “2018 세계 도시화 전망” 보고서에 의하면, 향후

약 30년 사이 25억 명이 도시 지역에 새로 정착하고, 세계 인구는 2023년 약 80억 명을

넘어설 것으로 전망되고 있다. 전 세계적으로 사람들이 도시로 집중적으로 이주하고 있는

상황 속에서 도시인구 비율은 2050년 68%에 이르고, 2050년 한국의 도시인구 비율은

* 본 내용은 곽내정 책임연구원(☎ 070-7794-3369, knj0125@hanmail.net)에게 문의하시기 바랍니다.** 본 내용은 필자의 주관적인 의견이며 IITP의 공식적인 입장이 아님을 밝힙니다.

전세계적으로 도시화로 인해 발생하는 기후변화, 교통 혼잡, 에너지 부족 등 환경문제를 효율적으로 해결할 대안으로 스마트도시에 주목하고 있다. 스마트시티는 공공 서비스, 공공단체, 민간기업, 프로세스, 기기, 도시 인프라가 서로 지속적으로 교류하는 복잡한 생태계로 구성되며 도시 공공 서비스의 효율성과 효과를 늘리기 위해 인공지능, 사물인터넷과 같은 지능정보기술을 적용한다. 그러나 스마트시티의 서비스들은 IoT, 클라우드, 빅데이터, 증강현실 등의 ICT 기술을 바탕으로 도시 자원을 융합하고 연동하므로 스마트시티의 구성요소들은 보안 위협에 노출된다. 이에 따라 스마트시티에 거주하는 시민들의 안전이 위험에 노출될 것이며 사회적 혼란이 야기될 것이다. 본 고에서는 스마트시티의 보안 및 개인정보 보호 기술들의 연구개발 동향을 살펴보기로 한다.

chapter 1

스마트시티의 보안과 개인정보 보호 기술

•••곽내정 ‖ ㈜코리아텍 책임연구원

기획시리즈

기획시리즈-스마트시티

정보통신기획평가원 3

86.2%로 증가할 것으로 전망되고 있다.

도시화는 편리성과 생산성이 높아진다는 긍정적인 측면이 있다. 그러나 이와 동시에

도시화는 환경오염, 범죄율 증가, 교통체증, 주거비용 증가 등의 많은 문제를 야기하면서

성장의 한계에 직면하고 있다. 이러한 급격한 도시화로 인한 인프라 부족, 에너지 부족,

교통 혼잡, 주거비용 증가 등의 문제가 발생하면서 ICT 기술을 도시의 시설들과 결합하여

도시의 문제들을 해결하는 스마트시티가 주목받고 있다. 2017년 시스코는 스마트시티에

10억 달러 투자를 발표했으며 중국에서는 200개가 넘는 스마트시티 프로젝트가 진행 중

이다[1]. 스마트시티는 5G 통신기술을 기반으로 4차 산업혁명의 핵심기술인 사물인터넷

(IoT), 빅데이터, 인공지능(AI), 클라우드, 모바일 등의 신기술들을 결합하여 수십억 개의

장치로 채워진 도시 인프라, 스마트 교통, 스마트 정부, 스마트 헬스케어, 스마트 환경

및 스마트 홈과 같은 다양한 응용 프로그램을 통해 시민에게 보다 나은 서비스를 제공하고

자 한다.

그러나 이러한 스마트 응용 프로그램은 스마트 시스템의 각 계층에 일반적으로 존재하

는 취약점으로 인해 수많은 보안 및 개인 정보 보호 문제가 발생할 수 있으며 무단 액세스,

Sybil 공격 및 서비스 거부공격(DoS)은 지능형 서비스의 품질을 저하시킬 수 있다[2].

지난 2016년 9월 20일 미라이 봇넷(Mirai Botnet)에 의해 초당 665Gbps 트래픽의

DDoS 공격이 발생하였다. 이어 9월 22일 프랑스의 호스팅 기업인 ‘OVH’를 대상으로

799Gbps 트래픽의 DDoS 공격이 발생하였으며, 약 한 달 뒤인 10월 22일 미국의 호스팅

기업인 ‘Dyn’을 대상으로 1.2Tbps 트래픽의 DDoS 공격이 발생하였다. 두 건의 DDoS

공격에 모두 미라이 봇넷이 이용되었으며, 역대 최고치의 DDoS 공격 기록을 매번 경신하

였다. 또한, 서비스 제공 업체와 일부 타사의 데이터 초과 수집으로 개인 정보노출 위협에

직면해 있다[3].

다양한 응용 분야에서 기존의 많은 보안 기술들이 적용되었지만 센서나 장비들의 계산

능력의 한계로 기존의 보안 기법을 적용하는 것은 적합하지 않다. 또한, 스마트 응용 프로

그램은 IoT 시스템의 이질성, 확장성, 동적 특성 때문에 보안과 개인정보 침해의 위험에

더 쉽게 노출된다. 기존의 도시 문제점을 해결하고 시민들이 편리하고 쾌적한 삶을 영위하

기 위한 스마트시티의 구성요소들이 보안 위협에 노출됨에 따라 스마트시티에 거주하는

시민들의 안전이 위험에 노출되고 큰 사회적 혼란이 야기될 위협성이 커지고 있다. 그러므

주간기술동향 2019. 12. 4.

4 www.iitp.kr

로 스마트시티가 성공할 수 있는 핵심 요소로 안전한 보안기술이 전제조건이 되어야 한다.

본 고에서는 스마트시티의 정의와 특징을 고찰하고 보안과 개인정보 보호를 위한 기술과

적용 분야를 살펴보고자 한다.

II. 스마트시티 개요

1. 스마트시티의 정의

스마트시티에 대한 개념은 국가별로 조금씩 다르긴 하나 공통으로 “언제, 어디서나, 모

든 것과 연결할 수 있는 네트워크와 지능형 ICT 기술로 도시의 효율성을 높이고, 시민의

편익과 삶의 질을 향상시키며, 지속 가능한 혁신성장이 실현되는 미래도시”라고 할 수

있다.

우리나라에서는 스마트시티 조성 및 산업진흥에 관한 법률(2017.03.21. 개정)에서 “도시의 경쟁력과 삶의 질 향상을 위해 건설, 정보통신 기술 등을 융·복합하여 건설된 도시기반 시설을 바탕으로 다양한 도시 서비스를 제공하는 지속 가능한 도시”로 정의하고 있다

<자료> UNCTAD(2016), ⸢Smart Cities and Infrastructure⸥ 재인용

[그림 1] 스마트시티의 6요소

기획시리즈-스마트시티

정보통신기획평가원 5

[4]. ITU(2015)에 의하면 스마트시티란 현재와 미래 세대의 문화적, 경제적, 사회적, 환경적 측면을 동시에 고려하면서 도시 기능의 효율성 및 경쟁력, 삶의 질을 향상시키는 수단들과 ICT를 활용하는 혁신적인 도시를 의미한다. 도시의 인프라는 특히 주택, 위생, 상하수도, 전력 공급 및 분배, 운송, 폐기물 관리 및 통신으로 구성되며, 스마트시티 인프라는 향상된 성능을 달성하기 위해 사용자 요구 및 기타 인프라를 포함한 환경의 변화에 지능적으로 대응하는 기능을 제공함으로써 전통적인 도시 인프라와 차별화된다. 최근에는 도시 인프라와 같은 물리적 측면뿐 아니라 환경, 제도 및 거버넌스 등 비 물리적인 측면을 포괄하는 개념으로 확대되고 있다. [그림 1]과 같이 UNCTAD(2016)에서는 스마트시티의 구성요소를 스마트 교통, 스마트 경제, 스마트 생활, 스마트 거버넌스, 스마트 피플, 스마트 환경으로 세분화하였다. 스마트시티의 6가지 요소는 스마트시티의 물리적 측면의 인프라 구조와 정보통신기술(ICT), 사물인터넷(IoT) 등의 디지털 인프라를 포함하고 있다.

2. 스마트시티의 특징

스마트시티는 기존의 도시와 다른 특성들이 있으며, 이 특성들은 스마트시티의 보안과 개인정보 보호 기술들을 적용할 때 고려되어야 한다. 스마트시티의 특징은 다음과 같이 5가지로 분류할 수 있다.

가. 이질성(HETEROGENEITY)

스마트시티는 IoT 기반 시스템으로 광범위한 IoT 노드, 통신 프로토콜 및 기술, 이동 수단, 다양한 하드웨어 성능, 플랫폼으로 구성되어 있으며 시스템이 서로 다른 사용자에 의해 독립적으로 운용되거나 데이터가 분산, 저장 또는 사용된다.

나. 자원의 제약성(RESOURCE CONSTRAINTS)

대부분의 IoT 장치는 제한된 메모리, 배터리 용량 및 처리 기능을 갖는다. 뿐만 아니라 저전력 무선 표준으로 인해 네트워크 인터페이스도 제한된다.

다. 이동성(MOBILITY)

도시 이동성은 도시의 성장과 발전을 위한 중요한 엔진으로 여겨져 왔으며, 이동성은

도시 내에서의 이동 및 한 장소에서 다른 목적지로의 상품 배송뿐만 아니라 도시 전체의

주간기술동향 2019. 12. 4.

6 www.iitp.kr

무선 통신 및 실시간 모니터링과 같은 기술 그리고 교통 흐름뿐만 아니라 문제에 대한

유연한 반응 등을 의미한다. 따라서 스마트시티는 확장 가능한 시스템과 메커니즘 없이는

제대로 작동할 수 없다.

라. 연결성 및 확장성(CONNECTIVITY AND SCALABILITY)

연결성은 성공적인 스마트시티를 위한 가장 기본적인 기능이며 연결성을 통해 모든 장

치를 스마트 세계에 연결할 수 있다. 스마트시티는 소규모에서 대규모로 빠르게 발전하고

있으며 데이터와 네트워크 트래픽 모두 빠르게 성장하고 있다.

마. 사용자 참여(USER INVOLVEMENT)

스마트시티는 주민에게 편리하고 효율적인 서비스를 제공하는 것을 주요 목적으로 하므

로 최첨단 기술과 인프라뿐 아니라 인적 요소도 스마트시티의 발전을 위한 기본 요소이다.

또한, 시민의 참여는 스마트 응용 프로그램의 품질을 향상시킬 수 있다.

III. 스마트시티의 보안 및 개인정보 보호 기술

스마트시티의 연결성 및 확장성 그리고 동적인 특징으로 인한 융합화되고 지능화된 응

용에 전통적인 사이버 보안 기술들을 그대로 적용할 수 없으며 스마트시티의 특성을 고려

하여 수정 및 보완되어 적용되고 있다. 그 중 대표적 방법의 개념과 적용 분야를 알아보고

자 한다.

1. 암호화

암호화(cryptography) 알고리즘은 데이터 수명주기, 처리 및 공유 중에 신뢰할 수 없

는 당사자의 액세스를 방지하기 때문에 스마트 애플리케이션의 서비스에 대한 보안 및

개인 정보보호의 핵심기법이다. 현재 데이터를 암호화한 채로 연산이 가능하도록 지원하

는 암호 기술인 동형암호화(homomorphic encryption) 기법이 이슈화되고 있다. “4세

대 암호”로 불리는 동형암호는 현존하는 가장 안전한 보안 기술로 평가 받고 있는데,

2009년 IBM 연구원 젠트리가 동형암호 설계를 발표하며 이를 사용할 수 있다고 증명했

기획시리즈-스마트시티

정보통신기획평가원 7

다. 2011년에는 미국 매사추세츠 공

과대학이 선정한 “미래 10대 유망 기

술”에 선정되었고 이듬해에 IBM이

동형암호 기술 ‘Helib’를 개발하였으

며, 연이어 마이크로소프트의 ‘SEAL’

이 등장했다. 최근 주목을 끌고 있는

동형암호 기술은 “완전동형암호(Fully

Homomorphic Encryption)”[5]로, 보존하는 연산의 수가 늘었고 또한 [그림 2]와 같이

덧셈과 곱셈을 모두 보존함으로써 테일러 근사 다항식 등을 활용하여 임의의 연산을 모두

암호화된 채로 지원할 수 있으며 머신러닝, 딥러닝 등 데이터 분석을 동형암호화된 상태로

수행할 수 있게 되었다. 동형암호는 생체인식 기술, 데이터 결합을 이용한 금융 분야, 클라

우드 기반 데이터 보안[6], 의료정보 분석[7] 등 다양한 분야에서 적용되고 있다.

암호화된 상태의 데이터 분석은 평문 데이터 분석에 비해 수백 배 이상 느린 상황이나

GPU 활용, 병렬처리를 넘어서 하드웨어 칩 구현까지 다양한 고속화 연구도 병행 진행되

고 있어 앞으로 더욱 활용될 것으로 전망된다.

영지식 증명(Zero Knowledge Proof)[8]은 개인정보를 보호하면서도 인증할 수 있는

방법으로, 1982년 Goldwasser 등이 제안하였는데, 증명자가 자신이 알고 있는 지식과

정보를 공개하지 않으면서, 그 지식을 알고 있다는 사실을 검증자에게 증명하는 것을 말한

다[9]. 여기서 증명자(prover)는 자신이 해당 지식을 알고 있음을 증명하는 주체이며, 검

증자(verifier)는 증명자가 해당 지식을 알고 있다는 사실을 검증해주는 주체이다. 이러한

특성으로 인해 참여자 간 통일된 합의를 가진 커뮤니티나 네트워크에서는 영지식 증명

기법을 통해 각 거래의 모든 데이터를 굳이 알 필요가 없으며, 알려고 해도 간단한 방식으

로 검증이 가능하다. 이러한 영지식 증명을 토대로, 증명의 크기가 작고 신속하게 확인할

수 있는, 즉 간결하며(Succinct), 대화 없이도 증명자와 검증자간 증명-검증 절차가 큰

논쟁(Argument) 없이 일어나는 대화형(Non-interactive) 기법인 zk-SNARKs(zero

knowledge Succinct Non–interactive Argument of Knowledges)가 나왔다. zk-

SNARK의 발전으로 블록체인 데이터를 짧은 해시값으로 압축시켜 저장 용량을 줄일 수

있고 거래의 익명성을 보장할 수 있게 되었다. zk-SNARK 증명은 증명자와 검증자 사이

<자료> 삼성 SDS

[그림 2] 완전동형암호

주간기술동향 2019. 12. 4.

8 www.iitp.kr

의 신뢰할 수 있는 초기 설정에 의존하며 이것은 중앙 집중화 문제를 발생시킨다. zk-

STARK(zero knowledge Scalable Transparent ARguments of knowledge)는

zk-SNARK 증명의 개선된 기법으로 만들어졌으며 더 빠르게 구현이 가능하다. 또한, 초

기 신뢰할 수 있는 설정을 필요로 하지 않는다. 이런 특징을 기반으로 영지식증명은 인증

분야에 활용되어 특정 서비스에서 성인, 신용, 회원 등의 자격을 증명하는 경우, 전자서명

및 가상화폐 등에 응용된다.

2. 블록체인

블록체인(Blockchain)은 개방형 네트워크 시스템에서 데이터 분산처리 기술로, 나카모토 사토시라는 익명의 개인 혹은 그룹에 의한 비트코인에 관한 백서의 메일링에 의해 시작되었다. 블록체인은 거래가 발생할 경우 거래에 참여한 참여자들의 기기에 발생한 거래정보를 저장하고 보관하는 방식으로 비트코인을 운영하게 하는 기술로, 이러한 동작 원리는 중앙서버의 관리를 받지 않고 다수의 분산된 네트워크 노드에 저장되므로 데이터와 시스템은 기술적 실패와 악의적 사이버 공격에 대해 기존의 방법보다 강건하다. 각 노드가 정보의 사본을 복제·저장하므로 한 노드의 고장이나 오프라인 전환 등의 상황에서도 네트워크의 이용과 보안 등이 영향을 받지 않는다. 또한, 허가된 블록들은 삭제 및 변경이 어려우며 이것은 부정행위 등을 방지할 수 있는 장점이 있다. 대부분의 전통적인 거래방식과는 달리 블록체인 기술은 분산화된 네트워크 노드가 마이닝이라는 기법을 이용하여 거래를 검증하므로 중개자가 필요하지 않으며 중개자와 제3자를 제외함으로써 비용과 거래 수수료를 절감할 수 있다. 블록체인은 이러한 장점 때문에 의료, 전자투표, 자동차, 식품 등 다양한 산업 분야에서 응용되고 있다. 중국 완샹그룹은 2025년까지 2,000억 위안(한화 약 33조)을 투자하여 상하이와 항저우에 블록체인 기반 스마트시티를 건설하고 있으며 두바이는 2016년 2월 글로벌 블록체인 협의회(Global Blockchain Council)를 설립하고, 같은 해 5월에는 스마트시티 구축 과제를 위한 블록체인 추진 전략을 발표했다.

블록체인 기술은 [표 1]과 같이 발전되었다[9]. 블록체인 1.0 시대에서는 비트코인(Bitcoin),

라이트코인(Litecoin), 도지코인(Dogecoin) 피어코인(Peercoin) 등의 전자화폐에 블록

체인 기술이 적용되어 송금, 결제 등 화폐의 기능을 수행했다. 비트코인은 특정한 관리

주체나 발행 주체가 없이 참여하는 사용자들이 화폐를 발행하고 이체 및 거래내역을 관리

기획시리즈-스마트시티

정보통신기획평가원 9

[표 1] 세대별 블록체인 비교

한다. 이러한 블록체인 기술을 전자화폐 거래 이외의 다른 분야에 응용하고자 하였고, 이

는 캐나다의 비탈리크 부테린이 “차세대 스마트 계약과 탈중앙화된 애플리케이션 플랫폼

(ANext Generation Smart Contract and Decentralized Application Platform)”이

라는 제목의 이더리움 백서를 발표하면서 구체화되었고 블록체인 2.0 시대가 시작되었다.

블록체인 2.0 시대가 블록체인 1.0시대와 구별되는 특징은 스마트 컨트랙트(Smart

Contract)로, 거래당사자 간에 특정한 조건을 결정하고 암호화 블록에 결정된 조건 등을

프로그래밍하고 그 조건에 맞을 경우에 그것이 자동으로 실행된다. 스마트 컨트랙트는

자치(Autonomous), 분산(Decentralized)에 중점을 두고 있으며 블록체인은 분산 애플

리케이션(Decentralized Application)을 개발하고 실행할 수 있는 기반이 되었다. 블록

체인 2.0 기술이 응용된 대표 사례로는 개인이나 단체가 특정 상품을 개발할 때 필요한

지원금을 모금하는 클라우드 펀딩(Clowd Funding)이 있다.

블록체인 3.0은 기술이 사회 전반에 확산·적용되는 시기이다. 먼저 기존 세대에서 사용

되었던 합의 알고리즘인 작업증명(Proof of Work: PoW) 방식에서 벗어나 위임지분증명

(DPoS), 알고랜드(Algorand), 연합된 비잔틴 합의(FBA) 등 여러 알고리즘이 활용되고

있다. 또한, 플랫폼의 개발 언어도 기존 세대는 솔리디티 등 생소한 개발 언어만이 지원되

었지만 블록체인 3.0에서는 파이선, 자바 등 여러 개발 언어가 지원된다. 위임지분증명

(DPoS) 및 “프랙티컬 비잔틴 장애허용(PBFT)”이라는 합의 알고리즘을 사용하는 이오스

(EOS), 중국판 이더리움으로 알려진 네오(NEO), 사물인터넷(IoT)에 블록체인을 적용하

기 위해 개발된 블록체인 플랫폼 에이다(ADA) 등은 블록체인 3.0의 대표적인 프로젝트로

향후 블록체인의 활용 범위를 더욱 넓혀줄 것으로 기대되고 있다.

구분 블록체인 1.0 블록체인 2.0 블록체인 3.0

대표 플랫폼 비트코인 이더리움 이오스, 아이오타, 넴 등

스마트 컨트랙트 적용 유무 × ○ △

합의 알고리즘 PoW, PoS DPoS, PoSP 등

TPS 1~1,000TPS 1,000TPS 초과

개발언어 솔리디티 등 단일 언어만 지원 파이선, 자바 등 다수 언어 지원<자료> KISA

주간기술동향 2019. 12. 4.

10 www.iitp.kr

3. 생체인증

생체인증(BIOMETRICS) 기술은 인간 개개인이 지닌 고유한 생체정보를 자동화 장치로 추출하여 개인을 식별하거나 인증하기 위한 기술이다. 생체정보는 크게 신체적 정보와 행동적 정보로 나뉘며, 신체적 정보로 지문, 정맥, 홍채, 얼굴 등이 있고 행동적 정보로는 음성, 서명, 자판 입력 패턴, 걸음걸이 등이 있다. 생체정보는 인간이 가진 고유한 특징이므로 별도의 보관이나 저장 또는 암기가 불필요하며 분실 우려가 없고 도용이나 양도가 불가능하다는 점에서 개인을 인증하기 위한 기존 인증수단인 비밀번호, 공인인증서 등에 대한 추가 또는 대안 인증수단으로 주목받고 있다[10].

생체정보 인증은 로컬 또는 개인이 소지한 기기를 이용한 인증 방식을 기반으로 하며 대표적인 사례는 스마트폰에 설치된 하드웨어 보안 모듈이다. 얼굴, 지문, 음성과 같은 사용자 정보는 보안 모듈 안에 저장되며 인증이 필요할 경우 카메라, 마이크, 지문 인식기 등의 시스템을 이용하여 생체 정보를 수집하고 처리하여 원본과 대조, 확인하여 인증여부를 결정한다. 스퀘어 캐쉬(Square Cash), 벤모(Venmo), 드랍박스(Dropbox) 및 여러 뱅킹 앱과 비밀번호 관리 앱들도 이 인증 메커니즘을 사용한다. 이러한 인증방식은 PC의 지문인식 스캐너, 스마트 카드 또는 스마트 도어락 등에도 유사하게 적용되는 기술이다. 사용자의 선택에 따라 얼굴, 지문, 음성 인식을 사용할 수도 있고 어떤 새로운 인증 기술을 적용할 경우에도 기기에 적용하는 것이 용이하므로 새롭게 도입할 수 있다는 장점이 있다. 하지만 소비자 스마트폰과 같은 인증 메커니즘을 사용할 경우 개인의 신원 정보가 개별 기기에만 제한되므로 다양한 문제가 발생할 수 있다. 예를 들어, 스마트폰을 잠금 해제할 때 지문 인식을 사용할 수는 있어도 사무실 문을 열기 위해서는 도어락에 별도의 신원 확인을 위한 절차를 적용하지 않으면 안 된다.

생체인식 기술은 인증을 위해 적용하기 편리한 반면 보안 측면에서 위험이 있다. 지문

인식이나 음성 인식과 같은 인증 데이터는 기업 서버와 같은 저장 기기나 정보를 분석하는

소프트웨어로부터 정보가 유출될 수 있다. 또한, 긍정 오류나 부정 오류의 위험도 상당히

높은 편이다. 얼굴인식의 경우 마스크나 안경을 썼을 때 인식의 오류가 있을 수 있고 사진

을 이용할 경우 잘못된 허가를 할 수도 있다. 음성의 경우도 시끄러운 장소에서의 인식률

이 낮아질 수 있고 음성 녹음 파일을 사용할 수도 있다. 따라서 다양한 생체 인증 방식을

동시에 사용하거나 추가적인 다른 인증방식을 결합하는 방법도 필요하다.

기획시리즈-스마트시티

정보통신기획평가원 11

현재 생체신호를 측정하는 스마트워치, 밴드형 또는 패치형 웨어러블 디바이스에 대한

기기인증과 핀테크 산업 활성화 정책 등 금융규제 완화 추세에 따라 생체인식 기술은 공인

인증서 대신 활용되는 등 중요한 비대면 인증수단으로서 적용이 확대되고 있다. 스위스

BioID, 미국 BIO-key International, Daon 등 미국, 유럽의 스타트업들이 독자적인

기술력을 확보하고 있으며 애플, 삼성전자 등 글로벌 기업들은 지문인식과 여타 생체 인식

기술 간 통합을 통한 복합인증 서비스를 구현하고 있다. 이와 더불어 한국인터넷진흥원

(KISA)은 심전도를 이용한 텔레바이오메트릭스 기술을 2016년 7월부터 미국·스페인 등

과 국제공동연구를 추진하고 있다.

4. 머신러닝 및 인공지능

카스퍼스키랩이 발표한 “2019년 1분기 IT 위협 진화 보고서”에 따르면 2018년 4분기

1만 8,501개였던 뱅킹 악성코드 파일이 2019년 1분기에는 2만 9,841개로 늘어났으며

[11], 또한, 2019년 1분기에만 약 3만 여개의 뱅킹 트로이목마 변종이 탐지되었으며 공격

을 받은 순 사용자 수는 31만 2,235명에 이르렀다. 이와 같이 다양한 변종의 출현 등으로

악성코드의 증가율은 갈수록 높아지고 있으며 악성코드의 증가로 인해 분석해야 할 데이

터량이 급속히 증가함에 따라 정보보안 분야에서 인공지능 기술이 활발히 적용되고 있다

[12]. 정보보안 분야에서 적용되는 인공지능 분야는 다음과 같이 분류할 수 있다.

가. 위협 인텔리전스

Gartner에 의하면 위협 인텔리전스란 증거를 기반하는 지식으로, 기업의 IT나 정보자

산에 위협이 될 수 있는 부분에 실행 가능한 조언을 콘텍스트나 메커니즘, 지표 등으로

제시하는 정보로 정의하고 있다. 예를 들어, 해커의 공격을 방어하기 위해 필요한 데이터

와 정보, 그리고 해석되고 도출된 인텔리전스가 위협 인텔리전스에 해당한다[13]. 위협

인텔리전스 수집 및 정보 흐름은 다양한 보안 장비에 통합될 수 있고 보안시스템의 분석이

나 강화에 사용될 수 있다. 머신러닝 및 인공지능은 인텔리전스 정보를 이용하여 학습하고

보안 관련 문맥과, 문맥과 문맥 사이의 관계를 분석하며 연관된 행위나 다양한 룰 등을

정의하여 연관된 지식의 구조화된 체계를 만든다[14]. 2018년 9월 SK인포섹은 ‘시큐디

움’이라는 자사 관제 플랫폼에 이상 징후를 탐지하여 분석하는 위협 인텔리전스 서비스와

주간기술동향 2019. 12. 4.

12 www.iitp.kr

탐지 결과 판정을 자동화하는 기술에 머신러닝 기술을 적용했다. 또한, 이스트시큐리티는

실시간 위협 정보뿐만 아니라 이와 관련된 APT 그룹을 추적하고 분석한 “위협 인텔리전

스 리포트”를 제공받을 수 있는 위협 인텔리전스 서비스인 “Threat Inside”를 제공하고

있다.

나. 통합 보안 관제

지능형 통합 보안 관제시스템은 시스템에서 발생하는 각종 로그와 다양한 이벤트를 하

나의 플랫폼에서 수집하고 빅데이터화 한다. 머신러닝이나 인공지능 기술을 도입하여 수

집된 빅데이터를 학습시켜 관제 인력이 미처 파악하지 못한 이상 로그나 이벤트 및 공격의

징후를 집중 분석하여 관제시스템에 적용함으로써 실시간 침해처리 및 처리 시간을 단축

할 수 있고 오탐을 줄일 수 있다. 이글루 시큐리티는 인공지능 기술을 접목하여 대구시의

“지능형 보안관제시스템(D-Security) 구축사업”을 수행·완료하였으며, 시큐아이는 인공

지능 기술을 기반으로 한 보안 분석기술인 IBM의 “왓슨 포 사이버 시큐리티(Watson for

Cyber Security)”를 적용한 원격보안 관제센터를 구축하여 운영하고 있다.

다. 네트워크 침입탐지

기존의 침입탐지시스템은 시그니처 및 룰 기반의 시나리오에 기반하여 공격을 차단하며 이를 위해서는 탐지하고자 하는 공격에 대한 정보와 시그니처가 있어야 한다. 만약, 정보나 시그니처가 없다면 공격을 인지하고 분석하는데 많은 시간과 노력이 필요하다. 게다가 최근 사이버 위협은 고도화되고 지능화되고 있어 네트워크 상에서 발생하는 다양한 이벤트에서 위협을 식별하고 실시간으로 관리하기에는 한계가 있다. 그러나 네트워크 분석 시스템에 머신러닝이나 인공지능 기술을 적용하면 평상시 네트워크 활동 사항으로부터 정상적인 네트워크 패킷과 비정상적인 네트워크 패킷을 수집하여 다양한 머신러닝 및 인공지능 알고리즘을 적용하여 학습된 지식을 기반으로, 실시간 입력되는 패킷에서 정상 및 비정상 여부를 판단하고 이상 행위를 분석하고 추론하는 것이 가능하다[14]. 네트워크 침입탐지시스템의 대표제품은 비지도 학습기반의 머신러닝 기법을 활용하여 시스템을 통해 흐르는 데이터를 이용하여 정상행위를 학습하고 이상행위를 판별하는 다크트레이스의 제품이 있다. 한편, 사일런스의 제품은 프로세스가 새로 생성되거나 라이브러리가 로딩될 때 파일을 검사하여 악성유무를 판별한 후 파일이 실행되기 전에 차단하므로 악성코드

기획시리즈-스마트시티

정보통신기획평가원 13

및 랜섬웨어 등의 사전 차단이 가능하다[15].

라. 악성코드 분석

AV-TEST 통계 기준에 의하면 새로운 악성코드와 이에 대한 변종은 하루에 평균 39만

개가 넘는다. 최근 발생되는 악성코드는 더욱 지능화되고 있으며 급속도로 다양한 변종

악성코드가 발생함에 따라 분석해야 할 데이터 및 대상도 증가하고 있다. 머신러닝이나

인공지능을 적용할 경우 대량의 새로운 악성코드 데이터를 빠르게 학습하고 행위 패턴을

분석하여 유사변종 악성코드를 분류하고 파악하는 것이 용이하다. 머신러닝이나 인공지능

을 적용한 악성코드 분석은 보안 전문가에 의한 분석 시간보다 2~10배 이상 빠르게 진행

할 수 있고 이를 통해 새롭게 추가되는 대량의 악성코드에 대해 더 빠르게 대응할 수

있다. IBM은 인공지능인 왓슨에 100만 건의 침해 사고 보고서를 학습시켰으며, 인공지능

은 이를 바탕으로 이상 접근이나 보안 문제가 발생할 경우 관리자에게 알려준다. 세인트시

큐리티는 자체 개발한 인공지능 기술을 이용하여 다양한 악성코드를 식별하고 탐지하는

안티바이러스 ‘MAX’를 개발했다[16]. 시만텍은 인공지능 기술을 기반으로 한 AI기반 산

업제어시스템 보호 솔루션인 “시만텍 ICSP 뉴럴” 솔루션을 제공하고 있다[17].

IV. 결론

스마트시티는 사물인터넷(IoT), 인공지능(AI), 빅데이터, 클라우드 및 5G 통신 등의 새

로운 기술들을 이용한다. 현장에 설치되는 수 많은 IoT 기기들로부터 다양한 정보를 중앙

으로 모으면 그 정보의 양이 엄청나며 이 정보들을 빅데이터로 저장한다. 저장된 빅데이터

는 관리를 위해 클라우드 기술을, 분석 및 예측을 위해 인공지능 기술(Machine Learning

등)을 활용할 수 있다. 이와 같이 스마트시티는 기술과 데이터가 서로 연결되어 있어 정보

의 유출과 사이버 공격으로 인한 위협이 항상 존재한다. 본 고에서는 보안과 개인정보

보호를 위한 기반 기술을 고찰했다. 스마트시티는 여러 가지 서비스가 함께 유기적으로

통합되므로 서비스별 인증을 자연스럽게 연동하는 것이 과제가 되며 따라서 스마트시티의

보안 안정성을 위해 융합보안의 중요성이 강조된다. 또한, 다양한 보호 메커니즘과 전략이

최근 몇 년 동안 개발되어 왔지만 빠르게 발전하는 스마트 애플리케이션의 여러 보안 요구

주간기술동향 2019. 12. 4.

14 www.iitp.kr

사항을 충족시키기 위해 본 고의 기술을 이용한 보다 진보된 보호 모델 및 프레임워크의

개발은 향후 계속 진행되어야 한다.

[ 참고문헌 ]

[1] Y. Li, Y. Lin, and S. Geertman, “The development of smart cities in China System,” in Proc. 14th Int. Conf. Comput. Urban Planning Urban Manage., 2015, 7–10.

[2] K. Zhang, J. Ni, K. Yang, X. Liang, J. Ren, and X. S. Shen, ‘‘Security and privacy in smart city applications: Challenges and solutions,’’ IEEE Commun. Mag., 55(1), 2017, 122–129.

[3] L. Li, R. Lu, K.-K. R. Choo, A. Datta, and J. Shao, ‘‘Privacy-preservingoutsourced association rule mining on vertically partitioned databases,’’ IEEE Trans. Inf. Forensics Security, 11(8), 2016, 1847–1861.

[4] 국토교통부, “스마트시티 개념 및 추진현황,” 정책자료, 2018. 5.[5] 삼성 SDS, “데이터 프라이버시 보호 – 선택이 아닌 필수,” 인사이트 리포트, 2019. 5.[6] I. Jabbar and S. Najim, ‘‘Using fully homomorphic encryption to secure cloud computing,’’

Internet Things Cloud Comput., 4(2), 2016, 13–18 [7] M. S. H. Talpur, M. Z. A. Bhuiyan, and G. Wang, ‘‘Shared–node IoT network architecture

with ubiquitous homomorphic encryption for healthcare monitoring,’’ Int. J. Embedded Syst., 7(1), 2014, 43–54.

[8] S. Goldwasser, S. Micali, and C. Rackoff, ‘‘The knowledge complexity of interactive proof systems,’’ SIAM J. Comput., 18(1), 1989, 186–208.

[9] 헤시넷, “영지식증명,” 2019. 7.[10] 유성민, “사업 실현성에 좀 더 가까워진 ‘블록체인’ 전망”, KISA, ISSUE&TREND, 2, 2019, 38-43.[11] Maria Korolov, “생체 인증 기술의 정의와 생체 인증 데이터 수집이 위험한 이유”, IT WORLD,

2019. 2.[12] 카스퍼스키랩, “2019년 1분기 IT 위협 진화 보고서,” 카스퍼스키랩, 2019. 5.[13] 아이마켓코리아, “인공지능(AI) 머신러닝 기반 보안솔루션 알아보기(다크틀이스, 사일런스),” 아이마

켓코리아, 2019. 2.[14] 이스트시큐리티, “위협 인텔리전스와 위협 정보 공유 체계(STIX/TAXII)가 필요한 이유,” 인사이트

리포트, 2019. 7.[15] 박형근, “정보보안에서의 인공지능 도입 분야와 주요 사업자”, 시큐리티플러스, 2018. 12, pp.3-9.[16] Byline Network, “세인트시큐리티, 국내 첫 AI 백신 ‘맥스’ 국내외 공식 출시,” 2018 .3. 29.[17] IT WORLD, “시만텍, 산업제어시스템 보호 위한 AI 기반 ‘시만텍 ICSP 뉴럴’ 솔루션 발표”, 2018.

12. 12.

ICT 신기술

정보통신기획평가원 15

*

I. 서론

지난 수십 년 동안 TCP/IP 네트워크 상에서 동작되어 온 Domain Name System

(DNS)은 사람이 기억하기 쉽고 의미를 갖도록 만들어진 문자 형태의 도메인을 컴퓨터가

처리하기 용이한 숫자 형태의 IP 주소로 변경하는 시스템으로, 전화번호부와 비슷한 개념

이라 할 수 있다[1]. 클라이언트, 즉 인터넷 사용자가 웹사이트에 접속하기 위해서 마이크

로소프트사의 인터넷 익스플로러, 구글사의 크롬, 모질라사의 파이어폭스 등과 같은 웹

브라우저 주소창에 “www.naver.com”과 같은 웹사이트의 주소를 적고 실행하면 [표 1]

과 같이 DNS 서버는 해당 웹사이트의 IP 주소를 클라이언트에게 응답하여 웹사이트에

접속하도록 한다.

그런데, 원래 보안 문제를 고려하지 않고 개발된 DNS의 약점을 최대한 악용하는 다양

한 공격들이 발생되어 왔다[2]. [표 2]와 같은 다양한 형태의 DNS 공격 수법에 대응하고

자 만든 표준 기술이 DNS Security Extensions(DNSSEC)이며 1997년 IETF RFC2065

표준으로 처음 제정되었고, 이후 2005년에 RFC 4035로 다시 제정되었으며 그 이후에도

* 본 내용은 김평수 교수(☎ 031-8041-0489, pskim@kpu.ac.kr)에게 문의하시기 바랍니다.** 본 내용은 필자의 주관적인 의견이며 IITP의 공식적인 입장이 아님을 밝힙니다.

chapter 2

암호화 기반 DNS 통신 표준 기술 및 이슈 현황

•••김평수 ‖ 한국산업기술대학교 교수

ICT 신기술

주간기술동향 2019. 12. 4.

16 www.iitp.kr

[표 1] 웹사이트 접속 과정

기능이 계속 업데이트되고 있다[3]. DNSSEC은 DNS 요청 및 응답에 관련된 서버들 간의

안전한 통신을 위해 DNS 시스템을 담당하는 국제인터넷주소관리기구(Internet Corporation

for Assigned Names and Numbers: ICANN)가 고안했다. ICANN은 공격자가 DNS

최상위, 2차 및 3차 디렉터리 서버 간 통신의 하이재킹 가능성을 인식했다. 이 하이재킹을

통해 공격자는 클라이언트에게 정상 웹사이트의 IP 주소 대신 악성코드 업로드, 피싱,

[표 2] DNS 공격 종류

통신 단계 내용

DNS 통신

Web Browsing 사용자가 웹 브라우저에 URL 주소 입력

DNS Query 웹 서버의 호스트 이름을 IP 주소로 변경하기 위해 DNS 서버에 요청

DNS Response DNS 서버가 웹 서버의 IP 주소를 응답

HTTP 통신

TCP Connection Establishing 웹 서버와 TCP 연결 시도(3-Way Handshake, HTTPS 통신의 경우 TCP+TLS Handshake)

HTTP GET 웹 서버에게 GET 명령 전송

HTTP/X.X OK 웹 서버가 클라이언트에게 데이터(웹 문서)를 회신(X.X는 HTTP 버전을 나타냄)

TCP Connection Closing 웹 서버-클라이언트간 연결 해제(4-Way handshake)

Rendering 웹 브라우저가 웹 문서를 출력<자료> 한국산업기술대학교 자체 작성

공격 종류 공격 방식과 영향

DNS 반사(Reflection)

- DNS 서버에서 대량 메시지를 보내 피해자를 장악하는 공격- 공격자는 공격 가능한 모든 DNS 서버에서 대용량 DNS 파일을 요청하는데 이 과정에서 피해자의

스푸핑된 IP 주소를 사용- 서버가 응답하면 피해자는 요청하지 않은 엄청난 양의 DNS 트래픽을 받으며 심지어 시스템이 마

비될 수 있음

DNS 캐시 중독(Poisoning)

- 사용자를 악성 웹 사이트로 유인할 수 있는 공격- 공격자는 DNS에 잘못된 레코드를 삽입하여 오염시키고, 잠재적 피해자가 오염된 웹사이트 가운데

하나를 요청하는 경우 DNS 서버가 공격자 관리하의 다른 웹사이트의 IP 주소로 응답하도록 함- 이러한 오염된 정보를 통해 피해자가 가짜 악성 웹사이트에 도달하면, 비밀번호를 입력하거나 악성

코드를 다운로드 받도록 유인함

DNS 리소스 소진(Resource

exhaustion)

- ISP가 관리하는 DNS 동작을 방해하여 해당 ISP의 사용자가 웹사이트에 접속하는 것을 막는 공격- 공격자는 도메인 이름을 등록하고 피해자의 DNS 서버를 도메인의 인증 서버로 사용함- 공격자는 도메인에 대한 대량의 요청을 생성해 존재하지 않는 하위 도메인으로 넘기고, 결과적으로

피해자의 DNS 서버를 향한 DNS요청이 폭주되어 시스템이 마비됨<자료> Keith Shaw, “DNS의 작동원리와 이를 공격하는 방법”, Network World, April 2018., 재정리

ICT 신기술

정보통신기획평가원 17

혹은 파밍 공격을 감행할 수 있는 악성 웹사이트의 IP 주소를 응답하게 된다. 이러한 문제를 해결하기 위해 개발된 DNSSEC은 DNS 요청에 디지털 서명을 하도록 하는데, 이를 통해 최종 사용자가 보낸 DNS 요청을 공격자가 가로챌 수 없게 되어 DNS 요청의 무결성을 검증할 수 있도록 한다. 하지만, 1997년에 첫 번째 표준이 만들어진 후 20년 넘게 지난 현재 ICANN은 도메인 업계에게 DNSSEC 표준을 전면 도입하도록 권고하고 있음에도 불구하고 도메인 레지스트라 중 20%만이 표준 기술을 적용하고 있는 상황이다[2]. 또한, 2017년 개최된 99차 IETF 회의에서 IRTF 연구그룹 중 하나인 MAPRG(Measurement and Analysis for Protocols Research Group)에서 “Fingerprint-based detection of DNS hijacks using RIPE Atlas”란 주제로 DNS 보안 이슈가 발표되었는데, 보안 능력이 우수하다고 평가 받고 있는 대표적 공개 DNS 서버인 Google Public DNS 및 Cisco OpenDNS 조차도 높은 비율은 아니지만 DNS 하이재킹 공격을 받았음을 확인할 수 있었다[4].

이러한 DNS 통신의 보안 취약성 때문에 DNS 통신 전체를 암호화해야 한다는 의견이

제기되어 왔으며 IETF에서 지속적으로 표준화가 진행되고 있다[5]-[10]. 본 고에서는 암

호화 기반 DNS 통신 관련 IETF 표준 기술 개요 및 주요 기업에서의 도입 동향과 이슈에

대해서 소개한다. 첫 번째로, IETF에서 개발된 표준화 기술인 DNS PRIVate Exchange

(DPRIVE) WG의 DNS-over-TLS(DoT)를 간략히 소개하고, 그 이후 개발된 DNS Over

HTTPS(DOH) WG의 DNS-over-HTTPS(DoH) 기술을 자세히 소개하고 DoT 기술과의

차이점을 분석한다. 최근 도입 과정에서 이슈가 되고 있는 DoH 기술에 대해서는 ESNI

기술과의 연동 및 IETF 표준화 기구에서의 이슈 대응을 기술한다. 마지막으로, 모질라와

구글 중심으로 암호화 기반 DNS 기술에 대한 개발 및 도입 현황을 기술하고, 도입 과정에

서 논란이 되고 있는 몇 가지 이슈들을 소개한다.

II. 암호화 기반 DNS 통신 표준 기술

1. TLS 기반 DNS 통신 암호화

DNS-over-TLS(DoT)는 기존 DNS 프로토콜에 전송계층 암호화를 적용한 것이다.

주간기술동향 2019. 12. 4.

18 www.iitp.kr

DoT는 DNS 서버-클라이언트 사이의 통신을 암호화하여 클라이언트가 서버에게 보내는 DNS 요청에 대한 도청을 근본적으로 차단할 뿐만 아니라 중간자(Man in the Middle, MITM) 공격까지 차단하여 DNS 공격의 가능성을 줄인다[5],[6],[8]-[10]. 또한, 잘 알려진 TLS 프로토콜 기반으로 DNS 요청 메시지를 전송함으로써 호환성 및 편리성을 보장한다. DoT 표준화는 2015년 IETF DPRIVE WG에서 논의가 시작되었으며, 첫 번째 표준은 2016년에 RFC 7858(Specification for DNS over Transport Layer Security(TLS), May 2016)로 제정되었으며, 이후 업데이트 되어 새로운 표준이 2018년 RFC 8310(기존 RFC 7858, Usage Profiles for DNS over TLS and DNS over DTLS, Mar 2018)로 제정되었다.

2. HTTPS 기반 DNS 통신 암호화

가. 기술 개요

DNS-over-HTTP(DoH)은 DoT와 마찬가지로 기존 DNS 통신의 암호화를 위한 표준 기술이다. DNS 요청을 암호화하여 HTTP GET(또는 POST) 명령 내부에 삽입한 후 HTTPS 암호통신을 수행한다[7]-[10]. 다시 말해서, DNS 요청 메시지를 HTTP 요청인 것처럼 위장하기 때문에 높은 보안성 효과는 물론 높은 확장성을 제공한다. DoT와 마찬가지로 DNS 해석을 수행하는 동안 MITM에 의한 DNS 조작, 검열, 도청 등을 방지할 수 있다. 암호화된 HTTPS를 사용하는 것 외에도 DoH는 운영체제 레벨이 아닌 응용 프로그램 레벨에서 동작된다는 특징을 갖는다. 즉, 모든 DoH 연결은 웹브라우저 또는 모바일 앱 같은 응용 프로그램과 DoH와 호환되는 보안 DNS 서버 간에 이루어진다. 모든 DoH 트래픽은 기본적으로 HTTPS이기 때문에, DoH 요청은 암호화되어 일반 웹 트래픽에서 숨겨져 DoH 서버의 해석기에게 전송되며, 도메인 이름의 IP 주소를 포함하여 암호화된 HTTPS로 응답한다. 이러한 DoH의 설계는 응용 프로그램이 DNS 요청의 개인 정보를 제어하고 설정에서 DoH 서버 목록을 고정시킬 수 있으며 DoH 호환성을 갖지 않는 운영체제의 기본 DNS에 의존하지 않음을 의미한다. 또한, DoH 기반에서는 사용자의 DNS 요청이 ISP와 같은 네트워크 관리자에게 보이지 않는다. 모든 DoH 기반 DNS 요청 및 응답은 암호화된 연결이기 때문에 다른 일반적인 HTTPS 트래픽과 구별할 수 없다. 결국, DNS 서버로 전달되는 DoH 트래픽은 암호화되어 있기 때문에 통신을 모니터링하면서

ICT 신기술

정보통신기획평가원 19

악의적인 행동을 하는 당사자가 해당 트래픽을 볼 수 없게 되어 개인정보 보호 측면에서는 명확하게 유리하다. DoH 표준화는 2017년 IETF DOH WG에서 시작되었으며 2018년 RFC 8484(DNS Queries over HTTPS, Oct 2018)로 표준이 제정되었다.

나. ESNI(Encrypted Server Name Indication) 기술과의 연동

2018년 8월 IETF에서 웹사이트 접속을 최대한 안전하게 만드는 TLS 1.3 표준에 대해 그야말로 정말 오랜 기간의 논의 과정을 통해 RFC 8446(The Transport Layer Security Protocol Version 1.3, Aug 2018)[11]로 표준을 제정하였다. SNI는 TLS의 확장 표준 중 하나로서, 인증서에서 사용하는 방식인데 이는 과거 TLS 표준에서 계속 사용되어 왔다. 참고로, 지난 2019년 2월 방송통신위원회가 보안접속 및 우회접속 방식으로 불법음란물 및 불법도박 등과 같은 유해한 정보를 제공하는 웹사이트를 차단하기 위한 고도화 정책을 발표했는데 이때 채택한 것이 SNI 정보 기반 HTTPS 차단 방식이었다. 그런데, SNI 정보를 기반으로 HTTPS 사이트의 차단이 가능해지는 문제를 근원적으로 막기 위해 SNI필드를 암호화시키는 기술이 요구되기 시작했는데 이것이 바로 ESNI(Encrypted SNI) [12]-[14]인 것이다. 하지만, ESNI 기술은 “보안(Security)과 가시성(Visibility)”이라는 상충되는 개념 사이에서의 많은 논쟁 때문에 TLS 1.3에 포함되지 못했으며, 별도의 문서를 통해 IETF TSL WG에서 표준화를 위한 논의를 진행중이다. “보안과 가시성” 논쟁은 사용자 개인의 사생활 및 인권을 중요시하는 개인에 중심을 두고 있는 ‘보안’ 측면과 네트워크 트래픽 모니터링 및 장애 문제 해결과 같은 네트워크 관리에 중심을 두고 있는 ‘가시성’ 측면에서 상충되는 논쟁을 의미한다. SNI 암호화에 대한 이슈 및 요구사항의 경우는 WG Draft(Issues and Requirements for SNI Encryption in TLS, draft-ietf-tls- sni-encryption-08, October 2019)[13]에서 다루고 있으며, 실제 암호화 방법 초안의 경우 WG Draft(Encrypted Server Name Indication for TLS 1.3, draft-ietf-tls- esni-04, July 2019)[14]에서 다루고 있다.

현재 논의되고 있는 ESNI 기술에서도 DNS 통신 암호화 기술인 DoH 기능을 사용하도

록 되어 있다. 사실상 DNS 통신 암호화의 배경은 SNI의 암호화인 ESNI와 밀접한 연관이

있다. SNI가 평문으로 전달될 수밖에 없는 이유는 클라이언트와 웹서버 간에 키 교환을

못하기 때문이다. 하지만, 웹서버 접속과정에서 HTTPS 통신전에 이루어지는 DNS 통신

을 활용한다면 SNI의 암호화가 가능해진다. SNI 필드를 암호화하기 위해서는 웹서버에서

주간기술동향 2019. 12. 4.

20 www.iitp.kr

도 알 수 있는 대칭 암호키가 필요한데, 이 대칭 암호키를 만들기 위해서는 웹서버의 공개

키를 먼저 가져와야 한다. 웹서버의 공개키 값을 알고 있으면 클라이언트가 생성한 개인키

값과 함께 디피-헬먼(Diffie-Hellman) 키 교환 알고리즘으로 웹서버와 공유할 수 있는

대칭 암호키를 만들 수 있다. 웹서버는 클라이언트가 보내준 공개키 값과 자신의 개인키

값을 가지고 동일한 대칭 암호키를 만들 수 있다. 이 때, 웹서버의 공개키를 안전하게

가져오는 방식으로 DoH 기능을 사용하는 것이다. 웹서버가 잘 알려진 DNS 서버의 레코

드에 자신의 공개키를 올려 놓으면 클라이언트가 웹서버에 접속하기 전에 A, AAAA 등과

같은 레코드 정보들과 함께 공개키 정보를 함께 가져오는 것이다. 결국, DNS 서버가 이

정보를 공개하지 않으면 제3자가 암호화된 SNI, 즉 ESNI를 풀어낼 수 없게 된다.

DoH와 ESNI를 동시에 사용하는 경우 위에서 언급한 방송통신위원회가 발표했던 웹사이트 차단을 완전하게 회피할 수 있게 된다. 예를 들어, DNS 요청을 국내 ISP가 아닌 외국기업이 운영하는 공개 DNS 서버인 Google Public DNS, 클라우드플레어 등으로 DoH 기반으로 암호화해서 보내고, 아울러 SNI 필드 역시 ESNI를 이용하여 암호화해서 보내면 어느 누구도 웹 접속 내용을 전혀 감청하지 못하게 된다. 하지만, 지금 당장 두 기술의 동시 사용은 어려운 상황이다. 클라이언트 측면에서 DoH와 ESNI를 모두 지원하는 웹브라우저는 IV장에서 소개할 모질라의 파이어폭스 뿐이다. 또한, DNS 서버의 경우 역시 클라우드플레어만 ESNI를 지원하고 있다. DoH와 ESNI를 동시에 사용하면 클라이언트가 접속하는 웹사이트의 이름은 암호화되지만 그 사이트의 IP 주소는 여전히 확인 가능하다. 물론, 요즘은 IP 주소 하나로 여러 개의 웹사이트를 함께 호스팅할 수 있기 때문에 정확한 웹사이트를 알아내기 어려운 면은 있겠지만 어느 정도는 어떤 웹사이트에 접속하는지 확인할 가능성은 남게 된다. 그런데, DoH와 ESNI를 동시에 사용하여 도청이나 차단을 시도하려는 누군가로부터 사생활을 보호할 수는 있지만 구글과 같은 기업에게 많은 데이터 수집을 허용하는 것은 막을 수 없다는 것을 명심해야 할 것이다.

III. DoH 관련 보안과 가시성 이슈

DNS 통신을 암호화한다는 공통된 목표를 가지고 있는 두 가지 표준 기술 DoT와 DoH

는 연결 측면에서 차이점을 갖는데 이 차이점이 생각보다 아주 큰 이슈를 만들어 내고

ICT 신기술

정보통신기획평가원 21

있다[8],[9]. DoT는 자체 전용 포트인 853을 기반으로 TCP 연결 프로토콜로 사용하고

TLS 암호화 및 인증을 통해 연결하는 반면 DoH는 기존 HTTPS 트래픽의 표준 포트인

443을 기반으로 HTTPS 및 HTTP/2를 사용하여 연결한다. DoT의 경우 DNS 요청 자체

가 암호화되기 때문에 실제 어떤 내용이 오고 가는지 확인할 수는 없지만, 전용 포트 853

번을 사용하기 때문에 다른 트래픽으로부터 확연하게 구별이 된다. 따라서, DoT를 사용

하고 있다는 것이 쉽게 모니터링 될 수 있으며, 경우에 따라 차단이 용이할 수 있다. 반면

에, 잘 알려진 기존의 표준 포트를 사용하는 DoH의 경우, 같은 포트를 사용하는 일반적인

HTTPS 통신과의 구별이 어렵다. 결국, DoH의 경우 DNS 트래픽과 일반 HTTPS 트래픽

이 완전히 혼합되어 구별을 할 수가 없기 때문에 DoH를 사용하고 있다는 것을 숨길 수

있다.

이러한 두 프로토콜의 연결방식, 즉 사용하는 포트의 차이점 때문에, DoT 및 DoH

표준 기술 사이에서도 앞서 언급했던 “보안과 가시성” 논쟁이 벌어지고 있다[15]. 심지어,

이러한 “보안과 가시성” 논쟁은 인터넷 트래픽에 대한 ‘선(Good)’과 ‘악(Evil)’이라는 표현

까지 나오는 상황이 되었다. 멀웨어(Malware) 및 스팸 방지 등을 위한 DNS 모니터링과

같은 좋은(Good) 측면에서의 사용과, 인터넷 검열(Censorship), 인권 침해(Human rights

abuse) 등과 같은 나쁜(Bad) 측면에서의 사용이라는 DNS 통신 두 가지 측면이 상충되고

있는 것이다.

DoH는 보안을 더욱 강화하자고 주장하고 있으며, DoT는 보안도 물론 중요하지만 가

시성에 대한 중요성 역시 고려되어야 한다고 주장하고 있다. DoH를 찬성하는 진영은

개인에 중심을 두고 사용자 개인의 사생활과 인권을 중요시한다. 2018년 10월 발표된

Freedom House 자료에 따르면 전세계 65개 국가에서 37억 인구가 인터넷을 사용하고

있는 것으로 조사되었는데, 15개 국가만이 인터넷을 Free하게 사용할 수 있는 것으로

확인되었다[16]. 여기에서, Free란 가격 측면에서 무료가 아닌 권리와 자유의 측면에서

자유롭게 사용한다는 뜻이다. 20개 국가가 인터넷이 완전히 제한되며 30개 국가에서는

인터넷이 부분적으로 제한된다. 다시 말해서, 많은 나라들이 여전히 인터넷 사용을 제한하

고 있다고 볼 수 있다. DoH를 찬성하는 진영은 DoH를 통해 이러한 문제점을 근본적으로

해결할 수 있다고 주장하고 있는 것이다. 반면, DoT를 찬성하는 진영은 관리자가 DNS

활동을 모니터링하고 분석하여 네트워크의 보안과 건전성을 확보하고자 하는 것을 중요시

주간기술동향 2019. 12. 4.

22 www.iitp.kr

한다. DNS는 실제로 데이터를 주고받는 데이터 영역이 아닌 네트워크 관리를 위한 제어

영역의 일부이기 때문에 네트워크 운영자 및 보안 담당자에게 DNS 통신을 모니터링하고

필터링할 수 있도록 해야 한다고 주장하고 있는 것이다. 하지만, 특정 포트를 통해 들어오

는 DoT의 경우는 DNS 요청을 쉽게 차단할 수 있지만 DoH의 경우는 차단을 위해서

모든 종류의 HTTPS 트래픽을 차단해야 하는 어려움이 있다. 불법적인 활동을 숨기는

데 악용될 수 있기 때문에 암호화된 트래픽에 대한 감청 필요성은 일정 부분 인정할 수밖

에 없다고 본다. 결국 문제되는 것은 법적으로 어느 정도까지 허용할 것이냐 하는 것인데,

DNS 트래픽만을 선별적으로 제어할 수도 있기 때문에 DoT가 DoH보다 관리하기 쉬운

것은 사실이다.

최근 IETF에서는 DoH에 대한 네트워크 관리 측면에서 문제를 걱정하는 몇몇 비중 있는 의견이 나오면서 이를 위한 추가적인 논의가 필요함이 제기되었다. 또한, DoH 표준을 진행해왔던 DOH WG이 마무리가 되어가는 시점에서 네트워크 운영 측면에서의 추가적인 논의를 지속적으로 다룰 WG이 필요하게 된 것이다. 이러한 전반적인 내용을 고민하고 향후 어떻게 진행할지를 논의하기 위해 캐나다 몬트리올에서 개최된 105차 IETF 총회(2019.7.19.~7.27.)에서 ADD(Applications Doing DNS) BOF가 처음 진행되었다. 참고로, ADD BOF의 필요성은 체코에서 시작된 104차 IETF 회의에서 DOH WG회의 이후에 “Side Meeting”이라 불리는 비공식적인 회의에서 150명 이상이 참석한 가운데 논의되었다. 이번 ADD BOF를 통해 네트워크 운영 측면에서 DoH의 우려사항 및 이슈를 공식적으로 더 논의할 필요가 있는지 결정하고, 필요성이 있다면 새로운 WG을 만들지, 기존 WG에서 새로운 로드맵을 수립하여 진행할지 결정하고 또한 누가 이 작업에 관여할지를 논의하였다. 또한, ADD BOF 회의 이후 약 3개월간 온라인 상에서 논의되었던 추가적인 이슈를 다루기 위해서, 두 번째 BOF 회의인 ABCD(Application Behavior Considering DNS) BOF가 싱가포르에서 개최된 106차 IETF 총회(2019.11.16.~11.22.)에서 진행되었다.

IV. 주요 기업의 DoH 기술 도입 및 이슈 사항

현재 클라우드플레어, Google Public DNS, IBM Quad9 등과 같은 공개 DNS 서버에

ICT 신기술

정보통신기획평가원 23

서 DoH 기술을 지원하고 있다. DoH 클라이언트라 할 수 있는 웹브라우저의 경우는 모질

라(Mozilla)와 구글(Google)에서 개발, 테스트, 및 적용을 진행하고 있다. 본 절에서는

DoH 기술을 자사의 웹브라우저에 적용 중인 대표적인 기업 모질라와 구글의 개발 동향,

웹브라우저에서의 설정 방법, 아울러 도입 과정 중 발생되는 이슈를 소개한다.

1. 모질라

가. 개발 및 도입 현황

DoH 적용 및 확산에 가장 적극적인 기업인 모질라는 지난 2019년 9월 DoH를 자사 웹브라우저인 파이어폭스(Firefox)에 서서히 도입하겠다는 계획을 발표했으며 우선 미국의 사용자들에 국한된다고 밝혔다. 모질라가 DoH 프로토콜에 관심을 갖기 시작한 건 2017년이다. 여러 가지 조사와 작업, 실험을 진행했고, 2018년 6월부터는 파이어폭스에 접목시키는 방법을 실험하기 시작했다. 현재 시점에서 약 7만 명의 사용자들이 파이어폭스의 DoH 옵션을 활성화시키고 있다고 한다. 모질라는 지난 몇 년 동안의 실험을 통해 안정적으로 DoH를 접목시키는 데 성공했다고 보고 있으며, 속도나 기능에 있어 불편함이 없도록 파이어폭스 서비스 수준을 끌어올렸다고 발표하였다. 아울러 많은 사용자들이 DoH를 통해 보다 안전한 DNS 트래픽을 불편 없이 누릴 수 있게 될 것이라고 장담하고 있다.

모질라가 조사한 바에 따르면 미국의 파이어폭스 사용자들 중 공개 DNS 서버인 Cisco OpenDNS 제어 옵션이나 Google Public DNS 안전 검색 기능을 이용하는 비중이 4.3%로 매우 적다고 한다. 이는 DNS 관리 개념을 이해하고 실천하는 사람이 거의 없다고 봐도 무방한 수준이기 때문에 모질라는 DoH를 파이어폭스의 디폴트 옵션으로 활성화하려는 계획을 가지고 있다. 물론, DoH가 불편한 사용자들도 있을 수 있어 언제든지 옵트아웃을 할 수 있도록 계획하고 있으며 차기 파이어폭스 버전부터 서서히 DoH가 디폴트인 상태가 유지될 것이라고 발표하였다. 또한, 파이어폭스는 사용자들의 선택권을 존중하기 위해서 다양한 DoH 활성화/비활성화 옵션을 제공한다. 그 중 하나가, 운영체제에서는 “자녀 보호 옵션”이 활성화되어 있는지를 확인하는 기능이다. 만약, 자녀 보호 옵션이 활성화되어 있는 운영체제라면 DoH를 자동으로 비활성화시킨다. 또한, 사용자 모르게 DoH를 비활성화시키는 공격의 가능성에 대해서 검토할 예정이라고 한다. 이러한 다양한 도입 및 이와 관련된 노력들은 파이어폭스를 통해 DoH를 확산하고자 하는 모질라의 강력한

주간기술동향 2019. 12. 4.

24 www.iitp.kr

의지라 할 수 있다.

나. 파이어폭스 브라우저에서 사용 방법

이미 언급한대로, 모질라의 웹브라우저인 파이어폭스에서는 DoH 기술을 기본적으로

제공하기 때문에 설정하는 부분에 대한 정식 메뉴가 존재한다. DoH 기능을 사용할 것인

가에 대한 여부와 어떤 서비스 제공자를 사용할 것인가에 대해 사용자가 설정하기가 용이

하다. [그림 1]은 파이어폭스의 네트워크 연결에 관한 설정창으로, DoH를 활성화하고

클라우드 플레어를 서비스 제공자로 설정하고 있음을 보여주고 있다.

다. 도입에 따른 이슈 사항

하지만, 이미 DoT와 DoH의 비교에서 언급했듯이, DoH는 개인 정보를 중시하는 쪽에서는 옹호할 수 있는 프로토콜이지만 ISP(Internet Service Provider)는 물론 네트워크 보안 장비 제조사에게는 거의 악몽과 같은 수준의 프로토콜이라 할 수 있다. 최근 다른 나라와 마찬가지로 영국에서도 ISP가 저작권을 침해하거나 상표를 등록한 내용을 호스팅

[그림 1] 모질라의 파이어폭스 브라우저에서 DoH를 활성화하고 서비스 제공자를 설정하는 창

ICT 신기술

정보통신기획평가원 25

하는 특정 유형의 웹사이트를 법적으로 차단해야하며, 특히 음란물 사이트, 도박 사이트 등 유해한 웹사이트를 강력하게 차단해야 한다. 이 때문에, 영국 정부와 ISP는 웹브라우저에서의 DoH 프로토콜 지원 계획을 중단해야한다는 압력을 가하고 있다. 지난 2019년 7월 영국 내 ISP를 위한 무역협회는 파이어폭스에 DoH 프로토콜 지원을 계획하는 모질라를 올해의 “인터넷 악질(Internet Villian)”상 후보자로 지명하기도 했었다[17]. 사실, British Telecom과 같은 소수의 ISP를 제외하고 영국 내 대부분의 ISP들은 DoH를 지지하고 있지 않다. 최근 ISPAUK(Internet Services Providers Association)가 발표한 성명서에서, 모질라는 영국의 필터링 의무와 부모의 통제를 우회하여 영국의 인터넷 안전 표준을 훼손하는 방식으로 DoH를 지원할 계획이라고 주장했다. 이러한 무역협회의 성명서는 영국 정부와 다양한 단체가 자사의 웹브라우저인 파이어폭스와 크롬에 DoH를 지원하려고 하는 모질라와 구글을 향한 2개월 간의 끊임없는 비판 이후에 나온 것이며, 모든 의견들은 새로운 DoH 프로토콜을 향하고 있다. 이에 대해서 모질라는 DoH는 영국 시민들에게 실제적인 보안 혜택을 제공할 것이며 모질라의 궁극적인 목표는 보다 안전한 인터넷을 구축하는 것이라고 밝혔다. 또한, 영국의 신뢰할 수 있는 이해 관계자들과 진지하고 건설적인 대화를 계속하고 있다고 말했다. 현재 영국에서 DoH를 기본적으로 사용할 계획은 없는 상태이지만, 유럽의 DoH 협력사들을 통해 중요한 보안 기능인 DoH를 다른 유럽 국가들에 널리 보급하고 있다고 밝혔다.

2. 구글

가. 개발 및 도입 현황

구글은 DoT와 DoH 기술을 자사의 공개 DNS 서버인 Public DNS에 기능을 제공하여왔다. 특히, DoH의 경우는 표준화 제정 이전부터 제공해 왔다. 2019년 1월 구글은 자사의 DNS 서버에 DoT를 지원한다고 공식적으로 밝혔으며 최근에는 DoH을 사용하려는 계획을 수립하였다. 구글은 DoH는 트래픽을 암호화해 인터넷 사생활보호와 보안을 향상시키는 것은 물론 해커들이 웹사이트를 악의적으로 가로채거나 훔쳐보는 행위를 방지하는데 도움이 될 수 있다고 설명한다. 특히, 그동안 자사의 대표적인 웹브라우저인 크롬에서는 기본적으로 DoH 기술을 제공하고 있지 않았지만 최근 들어 크롬 사용자 일부를 대상으로 DoH 기술에 대한 테스트 계획을 밝혔다.

주간기술동향 2019. 12. 4.

26 www.iitp.kr

나. 크롬 브라우저에서 사용 방법

이미 언급한대로, 크롬에서는 DoH 기술을 기본적으로 제공하지는 않기 때문에 설정하

는 부분에 대한 공식적인 메뉴는 없다. 다만, 명령줄 인수(Command-line argument

or Command-line flag)란 방법을 통해 DoH 기능을 시작할 수 있다. 명령줄 인수란

크롬과 같은 실행 파일로의 바로가기나 명령줄을 통해 실행파일을 실행시킬 때 전달하고

자 하는 일련의 텍스트 문장을 의미한다. 개발자나 사용자의 선호 혹은 옵션에 따라 프로

그램이 실행되는 방식을 맞추고자 할 때 쓰인다. 이를 통해, 브라우져 시작 단계에서 일련

의 추가 명령어가 크롬 실행 파일로 전달된다. 예를 들어, 크롬이 클라우드플레어 DoH

서버를 사용하도록 설정하는 방법을 소개한다. [그림 2]와 같이 크롬 프로그램의 속성

(Properties)창을 열어 ‘바로가기’ 메뉴 중 ‘대상(Target)’ 필드의 끝에 다음과 같은 문장

을 추가한 후 저장한다. --enable-features=“dns-over-https<DoHTrial” --force-fieldtrials=“DoHTrial/Group1” --force-fieldtrial-params=“DoHTrial.Group1”:server/https%3A%2F%2F1.1.1.1%2Fdns-query/method/POST

[기본 설정] [크롬 시작 시 DoH를 활성화하는 설정]

[그림 2] 구글의 크롬 브라우저에서 DoH를 활성화하기 위해 설정하는 모습

ICT 신기술

정보통신기획평가원 27

이와 같은 설정 후, 크롬에서 DoH가 동작

되는지 테스트하기 위해서 DoH 서버인 클라

우드플레어의 “https://1.1.1.1/help”에 접

속한다. [그림 3]과 같이 DoH가 동작되고 있

음을 확인할 수 있다.

다. 도입에 따른 이슈 사항

지난 2019년 9월 월스트리트저널(WSJ)은

미국 의회 반독점(Antitrust) 조사관 사이에

서 DoH 프로토콜이 구글에게 불공정한 경쟁

우위를 안길 수 있음을 우려한다고 보도했다

[18]. DoH는 정부기관이 인터넷 트래픽을 감

시하는 것을 어렵게 만들거나, DoH를 도입하지 않은 ISP들이 사용자 정보를 수집하는

것을 가로 막을 수 있다고 우려하고 있는 것이다. 실제로 미국 내 대표적인 ISP인 Comcast

케이블사나 AT&T 무선통신사는 DoH가 인터넷 분야에서 경쟁 구도에 큰 영향을 줄 것이

라고 우려하고 있다. 현재는 사용자들의 인터넷 트래픽에 대한 주도권이 ISP에게 있지만,

많은 인터넷 사용자들이 새로운 표준인 DoH 서비스로 이동하는 경우 기존 ISP들이 인터

넷 사용자 정보를 더 이상 확보할 수 없게 될 수 있다. 더 나아가, 기존 DNS 서버 기능을

제공하던 ISP가 아닌 DNS 클라이언트 역할을 하는 웹브라우저의 제조업체인 구글에게

DNS 서비스 통제권을 집중시키는 부작용도 발생할 수 있다고 우려했다. 심지어, 구글이

크롬 웹브라우저 사용자들로 하여금 DoH를 지원하는 구글 서비스로 이동할 것을 유도할

수 있다고도 ISP들은 예측하고 있다. 이러한 우려에 대해서 구글은 Google Public DNS

를 통해 DNS 서비스는 물론 DoH 서비스에 대한 중앙 집중화를 계획하고 있지 않다고

반박하였다.

V. 결론 및 시사점

본 고에서는 암호화 기반 DNS 통신 관련 IETF 표준 기술 개요 및 주요 기업에서의

[그림 3] 크롬 브라우저에서 DoH가 활성화된 모습

주간기술동향 2019. 12. 4.

28 www.iitp.kr

도입 동향과 이슈에 대해서 소개하였다. 첫 번째로, IETF의 DPRIVE WG에서 개발된

DoT를 간략히 소개하였고, 그 이후 개발된 DOH WG의 DoH 기술을 자세히 소개하였으

며 DoT 기술과의 차이점을 분석하였다. 특히, 도입 과정에서 이슈가 되고 있는 DoH

기술에 대해서는 ESNI 기술과의 연동 및 IETF 표준화 기구에서의 이슈 대응을 기술하였

다. 마지막으로, 모질라와 구글 중심으로 암호화 기반 DNS 기술에 대한 개발 및 도입

현황을 기술하였으며, 도입 과정에서 발생되고 있는 이슈들을 소개하였다.

본 고에서 언급한대로, 지난 2019년 2월 방송통신위원회가 보안접속 및 우회접속 방식

으로 불법음란물 및 불법도박 등과 같은 유해한 정보를 제공하는 웹사이트를 차단하기

위한 고도화 정책을 발표했으며, 이를 불법 감청 혹은 인터넷 검열이라고 여겨 정책을

반대하는 의견이 청와대 국민청원에 등장하였고 방송통신위원장이 이에 대한 해명을 하기

도 하였다. 결국, 우리나라는 물론 전 세계적으로 안전한 인터넷을 제공하고 제공받는 과

정에서 “보안(Security)과 가시성(Visibility)” 논쟁이 벌어지고 있으며, 이는 표준화 기술

을 개발하는 과정에서도 발생하고 있는 것을 확인할 수 있다. 이러한 표준화 과정이 개인

의 사생활 보호를 최대한 보장하는 방향으로 가는 시장 중심으로 진행될지 건전한 인터넷

환경을 최대한 보장하기 위한 방향으로 가는 관리 중심으로 진행될지 관심을 갖고 지켜볼

필요가 있다.

[ 참고문헌 ]

[1] 김평수, “사물인터넷 환경에서의 DNS와 DOA 기술 비교 및 인터넷 거버넌스 이슈 분석”, OSIA S&TR Journal, Vol.31, No.1, March 2018, pp.31-37.

[2] Keith Shaw, “DNS의 작동원리와 이를 공격하는 방법”, Network World, April 2018.[3] 보안뉴스, 국제인터넷주소관리기구, “전 세계에 DNSSEC 도입을 촉구하다”, 2019. 2. 26.[4] P. Foremski, M. Andziński, “Fingerprint-based detection of DNS hijacks using RIPE

Atlas”, IRTF MAPRG, 99th IETF Meeting, July 2017. [5] Z. Hu, et al., Specification for DNS over Transport Layer Security(TLS), IETF RFC 7858,

May 2016.[6] S. Dickinson, et al., “Usage Profiles for DNS over TLS and DNS over DTLS,” IETF RFC

8310, Mar 2018.[7] P. Hoffman, et al., “DNS Queries over HTTPS,” IETF RFC 8484, Oct 2018.[8] P. Nohe, “What is the difference between DNS over TLS & DNS over HTTPS?,” The

TLS Store, Dec 2018.

ICT 신기술

정보통신기획평가원 29

[9] 김평수, “안전한 웹사이트 접속을 위한 IETF 표준 기술 동향 분석”, 정보와 통신, 한국통신학회, Vol.36, No.6, June 2019, pp.32-40.

[10] A. Hounsel, K. Borgolte, P. Schmitt, J. Holland, N. Feamster, “Analyzing the Costs(and Benefits) of DNS, DoT, and DoH for the Modern Web”, arXiv:1907.08089, July 2019.

[11] E. Rescorla et al., “The Transport Layer Security Protocol Version 1.3,” IETF RFC 8446, Aug 2018.

[12] Z. Chai, A. Ghafari, and A. Houmansadr, “On the Importance of Encrypted-SNI(ESNI) to Censorship Circumvention,” Proc. of the 9th USENIX Workshop on Free and Open Communications on the Internet(FOCI 19), Santa Clara, CA, USA, August 2019.

[13] C. Huitema, et al., Issues and Requirements for SNI Encryption in TLS, draft-ietf- tls-sni-encryption-09, IETF WG Draft, October 2019.

[14] E. Rescorla, et al., “Encrypted Server Name Indication for TLS 1.3,” draft-ietf-tls-esni-04, IETF WG Draft, July 2019.

[15] J. Livingood et al., “Centralized DNS over HTTPS(DoH) Implementation Issues and Risks,” draft-livingood-doh-implementation-risks-issues-04, September 2019.

[16] Freedom On The Net 2018, Freedom House, October 2018.[17] Catalin Cimpanu, UK ISP group names Mozilla ‘Internet Villain’ for supporting

‘DNS-over-HTTPS,’ ZDNet, 2019. 7. 4.[18] John D. McKinnon, Robert McMillan, “Google Draws House Antitrust Scrutiny of

Internet Protocol,” The Wall Street Jounal, 2019. 9. 29.

주간기술동향 2019. 12. 4.

30 www.iitp.kr

*

I. 결과물 개요

II. 기술의 개념 및 내용

1. 기술의 개념

스마트폰, 웨어러블 디바이스, 의료기기 등의 입력 인터페이스 소자로 수직, 수평, 굽힘

* 본 내용은 이정익 책임연구원(☎ 042-860-1166)에게 문의하시기 바랍니다.** 본 내용은 필자의 주관적인 의견이며 IITP의 공식적인 입장이 아님을 밝힙니다.***정보통신기획평가원은 현재 개발 진행 및 완료 예정인 ICT R&D 성과 결과물을 과제 종료 이전에 공개하는 “ICT

R&D 사업화를 위한 기술예고”를 2014년부터 실시하고 있는 바, 본 칼럼에서는 이를 통해 공개한 결과물의 기술이전, 사업화 등 기술 활용도 제고를 위해 매주 1~2건의 관련 기술을 소개함

개발목표시기 2019. 12. 기술성숙도(TRL)개발 전 개발 후

TRL 3 TRL 5

결과물 형태 HW-Module 검증방법 ETRI Q-mark

Keywords 신축성 전자소자, 감각 입력 패널, 감각 출력 패널, TFT 어레이, 전자 피부

외부기술요소 100% 자체개발기술 권리성 특허출원

chapter 3-1

대면적 플렉서블 압력 센서 어레이 기술

•••이정익 ‖ 한국전자통신연구원 책임연구원

ICT R&D 동향

ICT R&D 동향

정보통신기획평가원 31

방향 등의 외부에서 가해지는 힘의 세기를 감지할 수 있는 능동구동 센서 기술로, 플렉

서블 기판 상에서 대면적, 고해상도 압력센서 어레이를 제작할 수 있는 기술

2. 기술의 상세내용 및 사업화 제약사항

기술의 상세내용

- 수동의 플렉서블 압력센서 뿐만 아니라 대면적 능동 구동 플렉서블 압력센서 제작이

가능

- 초박막의 두께(4㎛)까지 플렉서블 압력센서 제작이 가능

- 어느 정도 신축(10%)이 가능한 플렉서블 압력센서 제작이 가능

- 기존 관련 특허들을 회피할 수 있는 기술로서 신규 사업자도 사업화 가능(국내 및

미국 특허출원 완료)

기술이전 범위

- 스마트폰, 웨어러블 디바이스, 의료기기 등의 입력 인터페이스 소자로 수직, 수평,

굽힘 방향 등의 외부에서 가해지는 힘의 세기를 감지할 수 있는 능동구동 센서 기술

로, 플렉서블 기판 상에서 대면적, 고해상도 압력센서 어레이를 제작할 수 있는 기술

※ 초박막 플렉서블 기판 형성 기술

※ 대면적, 고해상도의 플렉서블 압력센서 어레이 기술

※ 플렉서블 저저항 배선 기술

※ 플렉서블 능동 구동 TFT 어레이 기술

[그림 1] 대면적 플렉서블 압력 센서 어레이 기술 개념도

주간기술동향 2019. 12. 4.

32 www.iitp.kr

사업화 제약사항

- 플렉서블 압력 센서의 성공적인 사업화를 위해서는 본 기술에서 제공하는 기술을

이용하여 1차적으로 시제품을 제작하고 사업자 입장에서 양산에 필요한 추가 기술

및 분석 결과를 검증하면서 조정할 수 있는 방안을 병행해야 함

III. 국내외 기술 동향 및 경쟁력

1. 국내 기술 동향

센서가 대부분 기기의 핵심 부품으로 확대되면서 센서산업의 경쟁력 확보가 국가 산업

경쟁력 강화의 필수 요소가 되고 있으며, 센서산업 자체만으로도 향후 IoT 진전으로

높은 성장이 예상되는 한편 타 산업 분야에 미치는 파급이 크므로 전략산업으로 육성

할 필요가 있음

국내 센서의 기술수준은 선진국 대비 65% 수준에 불과하며, 첨단센서에 대한 기반기술

의 부족으로 혁신제품 개발에 한계를 보이고 있음

국내 센서산업의 열악한 상황, 높은 기술장벽, 센서기술 보호주의 강화 등으로 시장

기능만으로는 한계가 있어 국가 차원의 적극 지원이 필요

KAIST, UNIST, 성균관대 등에서는 플렉서블 기판 상에서 압력센서 등을 연구 중이며,

KETI에서는 플렉서블 압력센서를 발표하였고, ETRI에서는 신축, 유연, 투명 압력센서

등을 연구하고 이에 대한 시제품을 발표

2. 해외 기술 동향

센서기술은 미국, 독일 등 일부 선진국을 중심으로 디지털 센서 단계를 지나 스마트

센서에 대한 연구가 활발하게 진행되고 있으며, 첨단센서의 경쟁력을 타산업 분야 경

쟁력의 핵심으로 인식하여 집중 지원하고 있음

국가별 기술수준은 미국·독일·일본 등이 최고 수준을 보유하고 있으며, 플렉서블 압력

센서의 시제품이 나오고 있음

ICT R&D 동향

정보통신기획평가원 33

3. 표준화 동향

ETRI(안성덕)에서 IEC TC124에 skinelectronic pressure sensor에 대한 표준 초안

을 발표하였고(2019.5.), 2019년 NP로 제출하고자 함

4. 관련 보유특허

5. 기술적 경쟁력

IV. 국내외 시장 동향 및 전망

1. 국내 시장 동향 및 전망

국내 센서 내수시장은 2012년 54억 달러(약 6조 3,000억 원) 규모에서 2020년 99억

달러(약 11조 6,000억 원) 규모로 연평균 10.4% 성장할 전망이나 국내 기업의 내수시

장 점유율은 10.5% 수준으로 매우 낮고, 기술수준은 선진국 대비 65% 수준

No. 국가 출원번호(출원일) 상태 명칭

1 미국 16/217629(2018.12.12.) 출원 STRETCHABLE ELECTRONICS AND METHOD FOR

FABRICATING THE SAME

2 유럽 18210926.4(2018.12.7.) 출원 STRETCHABLE ELECTRONICS AND METHOD FOR

FABRICATING THE SAME

3 중국 201811527661.4(2018.12.19.) 출원 STRETCHABLE ELECTRONICS AND METHOD FOR

FABRICATING THE SAME

경쟁기술 본 기술의 우수성 및 차별성

두께가 어느 정도 필요한 수동 구동 형태의 플렉서블

압력센서

- 능동 구동 형태의 압력센서를 유연하게 제작이 가능하며, 초박막의 두께(4㎛)의 신축 유연한 압력센서 제작이 가능

- 디스플레이 기술 발전에 맞추어 투명하고 유연성을 가진 센서로서 향후 다양한 대면적 촉각센서 형태로 제작이 가능

- 투명유연센서는 다양한 웨어러블 기기에서 터치센서로서 역할뿐만 아니라, 굴곡이 발생하는 부분에서도 센서 특성 확보가 가능

주간기술동향 2019. 12. 4.

34 www.iitp.kr

2. 해외 시장 동향 및 전망

세계 센서 시장은 2014년 795억 달러에서 연평균 7.9% 성장하여 2019년에는 1,161

억 달러 규모에 이르러 TV 시장과 비슷한 규모로 성장할 전망

3. 제품화 및 활용 분야

V. 기대효과

1. 기술도입으로 인한 경제적 효과

플렉서블 전자소자 및 웨어러블 디바이스 관련 시장 확대

국내 소재, 부품 산업의 기술력 및 경쟁력 향상

일자리 창출

2. 기술사업화로 인한 파급효과

월등한 제품 신뢰성 및 내구성으로 기존 제품에 비해 경쟁력 향상

플렉서블 전자 소자 및 웨어러블 소자 관련 신규 사업 분야 발굴

관련 핵심기술 확보 및 시장 선도 효과

활용 분야(제품/서비스) 제품 및 활용 분야 세부내용

플렉서블 압력 센서 플렉서블 기판 상에 압력센서를 제작하여 이를 웨어러블 디바이스, 자동차 등에 적용하는 제품

플렉서블 촉각 센서 압력에 대한 것을 촉각으로 인식할 수 있도록 할 수 있는 제품

ICT R&D 동향

정보통신기획평가원 35

*

I. 결과물 개요

II. 기술의 개념 및 내용

1. 기술의 개념

IoT 적용을 위한 센서는 저전력으로 원하는 물질에 대한 감지가 가능해야 함

* 본 내용은 이승훈 교수(☎ 02-705-8471)에게 문의하시기 바랍니다.** 본 내용은 필자의 주관적인 의견이며 IITP의 공식적인 입장이 아님을 밝힙니다.***정보통신기획평가원은 현재 개발 진행 및 완료 예정인 ICT R&D 성과 결과물을 과제 종료 이전에 공개하는 “ICT

R&D 사업화를 위한 기술예고”를 2014년부터 실시하고 있는 바, 본 칼럼에서는 이를 통해 공개한 결과물의 기술이전, 사업화 등 기술 활용도 제고를 위해 매주 1~2건의 관련 기술을 소개함

개발목표시기 2020. 3. 기술성숙도(TRL)개발 후

TRL 4

결과물 형태 특허, 논문 검증방법 개발 목표치에 대한 자체 검증

Keywords 나노 센서, 저전력 센서, IoT 센서, 유연 센서

외부기술요소 100% 개발 기술 권리성 특허

chapter 3-2

IoT 센서를 위한 나노 구조 제작

•••이승훈 ‖ 서강대학교 교수

ICT R&D 동향

주간기술동향 2019. 12. 4.

36 www.iitp.kr

본 기술은 나노 구조체 및 미세 공정을 이용함으로써 센서 동작 시 소비되는 전력을 최소화 할 수 있음

2. 기술의 상세내용 및 사업화 제약사항

기술의 상세내용- 수열 합성법 및 나노 박막 증착을 이용한 나노 구조 제조 기술 개발- 유연기판을 이용한 나노구조 제조 기술 개발- 이중 나노 구조 및 다층 나노 구조를 이용한 고감도 확보

기술이전 범위

- 다양한 기판상 나노 구조 제조 기술- 센서 물질 형성 기술

사업화 제약사항

- 센서 상용화를 위한 신뢰성 확보

III. 국내외 기술 동향 및 경쟁력

1. 국내 기술 동향

나노 구조 형성 기술

[그림 1] 기술개념도

ICT R&D 동향

정보통신기획평가원 37

- 한양대 등에서 유연 기판 상에 hydrothermal 기법으로 나노 구조를 형성한 결과논

문을 발표함(2013년도)

- 성균관대에서 Pd nanowire를 가지고 수소 가스 센서 적용에 적용함(2005년)

2. 해외 기술 동향

이중 나노 구조 형성 기술

- 중국의 Chongqing Univ.에서 3 step hydrothermal 방법을 이용해서 NiCo2S4

@MnO2 이중 나노구조를 합성한 연구를 발표함(2016년)

- 중국의 Anhui Normal Univ.에서 Nickel form 위에 2 step hydrothermal과

열처리 방법을 통해 NiCo2O4@NiCo2O4 core-shell 이중 나노 구조를 개발함

(2018년)

3. 기술적 경쟁력

IV. 국내외 시장 동향 및 전망

1. 국내 시장 동향 및 전망

웨어러블 센서

- 연세대에서 Poly(styrene-butadiene-styrene)가 코팅된 실에 은 나노입자를 코팅

하여 직조하여 제작한 센서로 수직 힘에 의해 정전용량 변화를 감지함(2015년)

- KAIST에서 늘어나는 실에 PVA/GNP(Graphene NanoPlatelets)를 반복적으로

코팅한 센서로 손가락 관절의 움직임을 저항 변화로 감지함

경쟁기술 본 기술의 우수성 및 차별성

반도체 공정기술 수열합성은 저렴한 공정비용으로 대면적 나노 구조 형성이 가능하며 복잡한 구조의 형성이 가능함

저항 센서 기술 유전체 합성을 통해 임피던스 측정 방식의 경우 저전력 동작이 가능함

주간기술동향 2019. 12. 4.

38 www.iitp.kr

가스센서

- 서울대학교에서 유연 기판인 PET 기판 위에 Graphene/Palladium(Pd) nanoparticle

로 제작된 저항 변화를 감지하는 수소 가스 센서를 개발함(2012년)

- 성균관대학교에서 electrodeposition 기법으로 Pd nanowire/Pd nanotube array

로 제작된 저항 변화를 감지하는 수소 가스 센서를 개발함(2008년)

3. 해외 시장 동향 및 전망

웨어러블 센서

- 중국의 Soochow Univ.에서 Silicon nanowire(SiNW)와 PDMS를 혼합한 압저항

방식의 센서를 개발함

- 일본의 Nagoya 대학교에서 hollow 튜브에 전극을 코팅해서 직조한 정전 용량 변화

를 감지하는 센서를 개발함

가스센서

- Univ. of California에서 glass 위에 CNT@Palladium nanowire를 patterning

하여 가스 농도에 따른 저항 변화를 감지하는 수소 가스 센서를 개발함(2017년)

- 이탈리아에서 graphene 위에 Pd nanoparticle을 올린 저항 변화 감지형 수소 가

스 센서를 개발함(2017년)

4. 제품화 및 활용 분야

활용 분야(제품/서비스) 제품 및 활용 분야 세부내용

가스 센서 공업지역 오염진단, 자동차 등 배기가스 센서, 산업용 군용 등 특수환경 적용 센서

웨어러블/IoT 센서 생활환경 진단 센서, 생체 정보 검출 센서

환경 센서 환경 진단 빅데이터 확보, 국가 환경 진단 자료 확보 및 이를 활용한 서비스

ICT R&D 동향

정보통신기획평가원 39

V. 기대효과

1. 기술도입으로 인한 경제적 효과

유연한 기판에 가격이 싸고 제조가 간단한 나노 기술을 접목하여 센서를 제작하여 웨어

러블 또는 IoT에 적용한다면 가격 경쟁력에서 우위를 점할 수 있을 것으로 예상됨

고감도 저전력 센서의 개발로 새로운 IoT 기기 및 시스템 시장을 창출할 수 있을 것으

로 기대됨

2. 기술사업화로 인한 파급효과

수열 합성법을 통한 나노 구조 제작은 대면적화에 용이하고, 정전용량 센서, 압저항

센서, 가스 센서 등 다양한 분야에 적용이 가능하기 때문에 활용 범위가 넓고 저전력

구동이 가능함

유연함과 높은 감도를 통해 IoT에 적용 가능한 환경 진단 센서가 개발된다면 특수용도

뿐만 아니라 일반 대중들을 대상으로 하는 새로운 IoT 시장을 창출할 수 있을 것으로

예상됨

정보통신기획평가원은 주간기술동향의 ICT 기획시리즈에 게재할 “인공지능(AI)” 분야 원고를

모집하고 있습니다.

관심 있는 전문가 분들의 많은 참여를 바랍니다.

원고 주제 : 인공지능(AI) 관련 기술·시장·정책 동향

(※ 제목과 목차는 저자가 자율적으로 결정)

제출 자격 : 대학, 연구기관, 산업체 재직자

접수 기간 : 2019년 11월 1일~12월 31일 기간 내 수시접수

제 출 처 : 주간기술동향 원고접수메일(wttrends@iitp.kr)로 제출

원고 양식: 파일참조(원고양식)

원고 분량: 13페이지 내외

기타

- 게재 원고에 대하여 소정의 원고료 지급(200자 원고지 10,000원/1매, 최고 40만 원)

- 기획시리즈 칼럼은 매주 1편씩 발간 예정

- 원고제출 시 반드시 원고심의의뢰서(첨부파일참조)를 함께 제출하여 주시기 바랍니다.

- 게재된 원고로 인해 지적재산권 침해문제가 발생할 경우, 원고저자는 원고료 반환, 게시물 삭제 및

정보통신기획평가원이 입게 될 손실·비용에 대한 배상 등의 불이익을 받을 수 있습니다.

제출 및 문의처

- (34054) 대전광역시 유성구 화암동 58-4번지 정보통신기획평가원

기술정책단 산업분석팀 주간기술동향 담당

- Tel : 042-612-8296, 8214 / Fax : 042-612-8209 / E-mail : wttrends@iitp.kr

주간기술동향 원고 공모

사업책임자: 문형돈(기술정책단장)

과제책임자: 이성용(산업분석팀장)

참여연구원: 이재환, 이효은, 이상길, 안기찬, 김용균, 정해식, 김우진, 장예지, 전영미(위촉)

통권 1925호(2019-47)

발 행 년 월 일 : 2019년 12월 4일발 행 소 : 편집인겸 발행인 : 석제범등 록 번 호 : 대전 다-01003등 록 년 월 일 : 1985년 11월 4일인 쇄 인 : ㈜승일미디어그룹

(34054) 대전광역시 유성구 유성대로 1548(화암동 58-4번지)

전화 : (042) 612-8296, 8214 팩스 : (042) 612-8209

6

http://www.iitp.kr