Trusted IP Network 솔루션 소개
2015.09
Copyright © 2015 Mobile Convergence Co.,Ltd. All rights reserved.
- 네트워크 가상화 기반 네트워크(망) 분리 및 인증 中心 -
Trusted IP Network 개요
IP Network 현황및이슈사항
서킷네트워크vs 패킷네트워크
Trusted IP Network 구성
IP Mobility의보장
Trusted IP Network의특장점
IP Network 현황 및 이슈 사항
4
Trusted IP Network 개요
Client
Terminal
Access
Network
Edge
Network(Router)
IP
Network
Edge
Network(Router)
Server
Access
Network( )LAN, WiFi
3G/LTE…
전달망
정상행위 이상행위
정상사용자
OK FDS
비인가사용자
- ?
Terminal Network Server
App 격리
• 다수의 App이 PC 자원을 공유 • 다수의 App이 하나의 IP 네트워크 공유 • 물리적 다수의 서버 사용
☞ 단말가상화 ☞ VLAN, VPN ☞ 서버 가상화
접근제어
• ID/PW(단순문자열 조합) • 생체인식
• IP 네트워크 단순 전달망으로 접근 제어 기능 부재• ID/PW• 인증서, OTP, 생체인식 등
(VPN, NAC) ( )F/W, IPsec, IDS/IPS,UTM, WAF…
위조 패킷에 대한 대응 부재 위조 패킷에 대한 대응 부재패턴 기반 시스템으로 미탐/과탐
서킷 네트워크 vs. 패킷 네트워크
5
Trusted IP Network 개요Trusted IP Network 개요
Trusted IP Network
패킷 네트워크를
서킷 네트워크처럼!!
(Circuit Level IP Network)
위험서킷
네트워크의보안성
효율
패킷네트워크의
효율성
Router Router
IP Network
DATATCP
HeaderIP
HeaderEthernetHeader
①패킷 생성
②패킷 단위 전송
③패킷 수신 ④패킷 해제
Router는 사용자인식 등의
접근 제어 불가
위변조에 취약한 TCP/IP 의 구조(네트워크 격리구조 불가)
PBX
(Gateway)
PBX
(Gateway)
PSTN Server
PSTN
call
①접속 요청
②종단 확인
③채널 설정
④채널 형성 & 정보 교환Modem Modem
PBX 는 서버와 우선통신하여 신원을 확인
Trusted IP Network 구성
6
Trusted IP Network 개요Trusted IP Network 개요
IP 네트워크 상에 서킷 네트워크의 관제 도메인 기능을 별도의 가상 네트워크로 구현하고
필요한 만큼의 분리된 네트워크를 가상화 기술로 생성
업무용 앱(Trusted IP
Agent)
RCS
LAN
WiFi
3G/LTE
인터넷
Access Network
Microwave
VR
VR
VR
VR
VR
VR
…
통합관제플랫폼
관제 네트워크 VPT
White List
Trusted IP
Access GatewayTrusted IP
Service Gateway
VRn
VR2
VR1
…
해커 PC
단말인증시네트워크 차단
IP Mobility의 보장
7
BO (서울) IDC
VR-M
VR1
…
VR2
VR-M
VR1
…
VR2
VRn
VRn
BO (부산)
VR-M
VR1
…
VR2
VRn
VR2
VR2
VRn
VRn
VR-M
VR-M
VR2
VR2
VRn
VRn
VR-M
VR-M
사용자는 특정 지점에서허용된 VR 터널을 통해 인가된 서버 리소스에만 접근 가능
다른 지점 이동 시에는, 이전의 터널은 소멸되고, 이동 위치에 생성되는 터널만 유효하므로, 리소스접근 권한은 동일함
Trusted IP Network 개요
Trusted IP Network의 특장점
8
Trusted IP Network 개요
가상화 기술 기반의 네트워크 분리
관제와 데이터 도메인의 격리
IP 네트워크의 이동성 제공
목적 별/서비스 별 서버 분리 및
Alias Server Address를 통한 서버 은닉 Trusted IP Network
非인증 상태에서는 네트워크상의모든 구성요소가 보이지 않는 네트워크
Stealth Network
Trusted IP Network 기반 네트워크(망) 분리
물리적망분리
논리적망분리
네트워크(망)분리방식비교
현행네트워크분리기술의이슈사항
TIPN 기반의네트워크(망) 분리
TIPN 기반네트워크(망) 분리의개념
적용방안
물리적 망 분리
물리적 망 분리는 인터넷망과 업무망을 물리적으로 망을 분리할 뿐만 아니라 각 망에 접속하는 PC도 물리적으로 분리하여 망 간 접근경로를 차단하는 방식입니다.
10
외부인터넷
DMZ
웹 메일 패치관리
업무서버 영역
업무망
DB 응용서버업무서버
인터넷망
라우터 침입차단 시스템
스위치 백본 스위치
인터넷PC
업무PC
Trusted IP Network 기반 네트워크(망) 분리
논리적 망 분리
서버 가상화 기반 망 분리(SBC) 기술은 인터넷 접속, 업무 수행 등 기존 PC에서 수행했던 작업을 가상화 서버 등에 접속하여 수행합니다.
클라이언트 기반 망 분리 (CBC) 기술은 인터넷 접속 등의 작업을 단말 기반 가상화 기술이 적용된 영역에서 수행합니다.
11
외부인터넷
가상화 서버팜
가상화 서버
인터넷망
업무망
사용자 PC
서버 접속용프로그램로컬영역
(업무망)
외부인터넷
업무망
사용자 PC
하드웨어
운영체제
가상화 영역
가상영역(인터넷망)
로컬영역(업무망)
VPN IP Packet
라우터 침입차단 시스템 스위치 백본 스위치
<서버 가상화 기반 망 분리> <단말 가상화 기반 망 분리>
Trusted IP Network 기반 네트워크(망) 분리
네트워크(망) 분리 방식 비교
12
구분 물리적 망 분리 서버 가상화 기반 망 분리(SBC) 클라이언트 기반 망 분리 (CBC)
네트워크분리
(업무 네트워크, 인터넷 네트워크 등)
미분리
(단일 네트워크)
미분리
(단일 네트워크)
운영방법
업무용 PC와 인터넷
PC로 물리적 분리
(PC 2대 사용)
인터넷 망은 서버를 통해
업무망은 PC로 분리
PC 등의 단말 가상화를 통해
인터넷 영역과 업무영역 분리
도입비용높음
(추가 PC, 이중망 구축)
보통
(서버팜 구축)
낮음
(추가 장비 최소화)
추가 장비
- 별도의 PC 1대 추가
- 라이선스(OS, Office)
- 별도 네트워크 구축
(라우터, 스위치, 방화벽)
- 서버팜(서버, 스토리지 등)
- 서버접속용 스위치
- 가상화 소프트웨어
- PC 기반 솔루션
- VPN 장비 및 VDI 등
보안높음
(물리적 분리)
낮음
(서버에서 인터넷 사용)
낮음
(PC에서 인터넷 사용)
장점 해커의 직접적인 접근 차단
- 문서 보안 등 높은 보안성
- PC 대비 업무환경 TCO 우수
- 저사양 기존 PC 자원의 활용
- 도입비용 최소화
- 단일 PC 자원의 활용
단점
- 비효율성(비용, 유지/관리 등)
- 업무효율성 저하
- 회선 임대비용 급증
- 최초 도입비용 높음
- 네트워크 대역폭 증가
- 확장성 제한
- 고장 발생시 복구 어려움
- PC 호환성 및 보안 프로그램 충돌 문
제
Trusted IP Network 기반 네트워크(망) 분리
현행 네트워크 분리 기술의 이슈 사항
네트워크의 분리, 안전성, 경제성 및 확장성 등이 네트워크 분리 도입 전에 고려되어야 합니다.
13
• 경제성이 담보되면서 물리적 네트워크 분리 수준 이상의 보안성 담보
• 외부 및 내부 위협에 대한 대응력 확보
• 업무효율 향상을 통한 경제성이 담보된 인프라
• 스마트 모바일, IoT 단말 등 새로운 환경에 확장이 용이한 네트워크 인프라 구축
안전하면서 효율적인 네트워크 분리를 위한 해결과제
기존 네트워크 인프라를 네트워크 분리 기술을 이용하여 인터넷 네트워크와 업무네트워크로
분리
네트워크의 안정성을보장하기 위해 접근제어 시스템
을 분리하여 관리
네트워크분리및격리
접속 인가된 단말의무결성 지속 검사 및
제어
인가된 단말 또는악의적 목적의
내부자들의 비정상적행위 제어
보안위협
업무 효율성 저하 없이 경제적네트워크 분리 구축
비용 및 유지/관리 비용 필요
비즈니스 경쟁력 강화를위한 스마트워크,
모바일 오피스, 클라우드사무환경 제공
경제성및 확장성
Trusted IP Network 기반 네트워크(망) 분리
TIPN 기반의 네트워크(망) 분리
Trusted IP Network는 “네트워크 VPN과 Virtual Router 기반의 네트워크 가상화” 기술을 근간으로 언제 어디서든 안심하고정보를 유통할 수 있는 폐쇄형 IP 네트워크 입니다.
14
가상 네트워크 기반의 안전하고 효율적인 솔루션
Trusted IP Network 기반 네트워크(망) 분리
• 인가된 기기와 사용자에 한하여
권한에 따라 가상 네트워크별
접근 허용
• 내부자에 의한 개인정보 대량
유출 등 비정상적 행위에 대해
실시간으로 판단 및 제어하는
기능 구비
보안 위협제거 경제성및 확장성확보
• 기존에 구축된 네트워크 자원을
활용하여 필요한 수 만큼 격리된
가상네트워크를 생성하여 구축
및 운영 비용 절감
• 단말 가상화 솔루션과 연계 시,
최소의 단말로 다양한 업무 및
인터넷 사용 가능(단말 구매비용
및 전력 사용량 최소화)
네트워크분리 및 격리
• 완벽하게 분리된 논리적 네트워크
경계 제공
• 안전한 접속 환경을 제공하기 위해
네트워크 관리 도메인을 데이터
도메인으로부터 완벽하게 분리
• 보안 강화를 위하여 외부에 노출되
는 관리 서버 및 응용 서버의 주소
은닉 제공
Client PC IDC
TIPN 기반 네트워크(망) 분리의 개념
15
Service #A Network #A
Untrusted Network
단말/서버 네트워크
App 격리가상화
(SBC, CBC)X
접근제어
(ID/PW…)X
비정상 트래픽 제어 기능 부재
정상 행위 이상 행위
정상 사용자 OK ?
비인가 사용자 - ?
단말 가상화 솔루션Trusted IP Network
Service #B Network #B
Trusted IP Network 기반 네트워크(망) 분리
TIPN 기반네트워크 가상화
IP NetworkTrusted IP Network
통합관제플랫폼
적용 방안
16
Trusted IP Network 기반 네트워크(망) 분리
네트워크/시스템모니터링 서버
백신/보안 패치 서버에이전트 업데이트 서버
서비스 통합 인증서버
그룹웨어 서버
전자메일 서버
인터넷 서비스
업무 서버(ERP, SCM, SFA 등)
Trusted IP
Access GatewayTrusted IP
Service Gateway
1. 관리 네트워크
3. 인증 네트워크
2. 패치 네트워크
0. 관제 네트워크 VPT
통합관제플랫폼
White List
Microwave
LAN
WiFi
3G/LTE
인터넷
Access Network
데이터 센터 운영인력사용자 단말(PC)
일반 업무 사용자사용자 단말(PC)
4. 그룹웨어 네트워크
6. 인터넷
5. 전자메일 네트워크
7. 업무1~ N네트워크
…
…
Trusted Pass(인증) 서비스
인증수단의한계
부정당거래의발생유형분석
Trusted Pass 서비스개요
Trusted Pass 서비스개념
Trusted Pass 서비스구조
Trusted Pass 서비스Flow & 적용방안
(은행/카드사/증권사/공공)
인증 수단의 한계
18
Trusted Pass(인증) 서비스
• 현재의 인증 수단은 메모리해킹, 스미싱, 파밍, 피싱 등의 위협에 노출되어 있음
개인정보유출
유형
공인인증서
• 공인인증서 복사 유출
• 사용자 PC에 키로깅 해킹 악성코드를 설
치하여 공인인증서 P/W 입력시 오류를
발생시키고 P/W를 탈취
OTP
• 사용자 PC에 키로깅 해킹 악성코드를 설
치하여 OTP 인증번호 입력시 오류를 발생
시키고 인증번호를 탈취
SMS 인증
• 스미싱에 취약
• 사용자 스마트폰에 악성코드를 설치하여
소액결제 인증번호를 탈취
• 사용자 PC에 키로깅 해킹 악성코드를 설
치하여 인증번호 입력시 오류를 발생시키
고 인증번호를 탈취
ARS 인증
• 스미싱에 취약
• 사용자 스마트폰에 악성코드를 설치하여
소액결제 인증번호를 탈취
• 사용자 PC에 키로깅 해킹 악성코드를 설
치하여 인증번호 입력시 오류를 발생시키
고 인증번호를 탈취
부정당 거래의 발생 유형 분석
19
Trusted Pass(인증) 서비스
• 키보드로 PC에 입력하는 내용을 몰래 가로채어 기록하는 키로깅 해킹과 스마트폰 해킹을 통해 금융 정보를 취득 후 부정당
거래를 발생
정상사용자의 단말 비인가 사용자의 단말
정상사용자• 보이스 피싱등을 통해 정상사용자가 자발적
으로 금융 거래를 하게 하는 유형-
비인가 사용자
• 정상사용자의 단말에 해킹 도구를 설치하여원격으로 정상사용자에 단말에 접속하여 정상사용자로 위장해서 금융거래를 발생시키는 유형
•메모리해킹, 스미싱, 파밍, 피싱을 통해서 금융정보를 획득한 후, 정상사용자 단말에서 거래를 발생
• 키로깅 해킹, 공인인증서 탈취 등을 통해 해커가 자신의 단말기로 정상사용자로 위장해서금융 거래를 발생시키는 유형
•메모리해킹, 스미싱, 파밍 을 통해서 금융정보를 획득한 후, 원격으로 전송 받아 해커의 단말에서 금융 거래를 발생
Trusted Pass 서비스 개요
20
Trusted Pass(인증) 서비스
기존 2채널 인증
• PC에서 본인 인증 절차를 거친 후, 스마트폰을 통해 추가 인증
• 해킹 기법으로 인한 피해 차단
Trusted Pass
• 인증 채널과 서비스 채널의 분리로 인증 데이터의안정성 확보
• ID(PC), PW(본인 명의의 스마트폰) 인증 정보의분리 입력으로 인증 정보 탈취 가능성 원천 봉쇄
• 해커의 정상사용자 단말을 통한 부정당 행위 원천제거
Trusted IP Network 솔루션
• 가상 네트워크 구성
• 인증 망 별도 분리
• 단말의 접근 경로를 격리/통제
Trusted Pass 서비스 개념
21
Trusted Pass(인증) 서비스
Trusted IP Gateway
Trusted IP Gateway
인증Server
해커 PC
네트워크 차단
금융 앱(Trusted IP
Agent)
악성코드
사용자 스마트폰
사용자 PC
Access
Network
인증 단말의 네트워크를 격리하고 통제 함으로써 해커가 인증 단말에 원격접속하여 인증정보를 탈취하는 행위를
원천적으로 제거하고, 인증정보만을 전송하기 위한 별도의 전용 네트워크(VPN)를 생성하여 인증 정보를 교환.
인증 정보는 일회성 정보(OTP)를 사용하고, 입력 방식도 자동화 함으로써 키로깅 해킹을 무력화.
인터넷
OTP OTP
뱅킹Server
3G/LTE
단말의무결성지속검사및제어
통합관제플랫폼
이통사
Trusted Pass 서비스 구조
22
Trusted Pass(인증) 서비스
Trusted IP Gateway
Trusted IP Gateway
인증Server
사용자 스마트폰
인터넷
금융 앱(Trusted IP
Agent)
OTP
OTP
서비스Server
2 Login 요청1 ID 입력사용자 PC
3 P/W 입력 요청 Push
5 TIPN 채널 생성
4 P/W 입력을 위한 인증앱 구동
6 인증정보 생성(P/W 입력+OTP생성)
7 인증정보 전달(P/W+OTP)
8 인증 확인
9 인증 결과 통보
10 Login 완료
3G/LTE
사용자
사용자 PC
Trusted Pass 서비스 Flow – Captcha 기반 인증
고객사
Internet
인증 서버사용자 스마트폰
Trusted IP Gateway
그룹웨어 서버사용자 [email protected]
ID 입력1 로그인 요청2
사용자 인증 요청3
사용자 PC
로그인
보안터널 생성4Captcha기반
인증정보 생성/전달5
인증정보 입력6
인증정보 확인7 인증 결과 전송8
로그인 승인9
사용자 PC
로그인
00:30
PnnZ6n
24
Trusted Pass(인증) 서비스
3G/LTE
사용자
사용자 PC
Trusted Pass 서비스 Flow – 패턴 기반 인증
고객사
Internet
인증 서버사용자 스마트폰
Trusted IP Gateway
그룹웨어 서버사용자 [email protected]
ID 입력1 로그인 요청2
사용자 인증 요청3
사용자 PC
로그인
보안터널 생성4패턴 기반
인증정보 생성/전달5
인증정보 입력6
인증정보 확인7 인증 결과 전송8
로그인 승인9
사용자 PC
00:30
로그인
화면의 패턴을 따라 그려주세요.
25
Trusted Pass(인증) 서비스
Trusted Pass 서비스 Flow
27
Trusted Pass(인증) 서비스
PC
뱅킹 서버
6 이체 신청
2 ch(안전채널)
1 ch
사용자
인증
요청
7
인증
성공
내역
전달
11
22ch 인증 요청
8
4 PW 입력
은행
안전채널
인증앱 구동& 안전채널 생성
3
인증 확인5
10
본인명의 스마트폰
1 Login 요청
9인증앱 구동& 인증정보 입력
12 이체 완료 결과 통보
Trusted Pass
인증서버
Trusted IP Border G/W
Trusted IP Service G/W
Trusted IP Manager
Trusted Pass 적용 방안 - 인터넷 뱅킹 계좌 이체
28
Trusted Pass(인증) 서비스
4로그인 승인
(본인명의 스마트폰의 인증 APP)1 로그인 정보 입력 3 네트워크 사용자 인증
5 계좌 이체 신청
PC에서 로그인을 위한 ID 입력(공인인증서 로그인의 경우,
인증서 선택)
보안채널 생성을 위한 네트워크사용자 인증
(TIPN 기술을 이용한 안전한보안채널 생성)
Trusted Pass인증 서버
본인 명의스마트폰
인증 APP을 통해 PW 입력 후 전송,입력 정보 확인 후 로그인 승인
7 계좌 이체 완료
계좌 이체 완료
6인증 정보 입력
(본인명의 스마트폰의 인증 APP)
인증 APP을 통해 보안카드번호(또는 OTP), 공인인증서 PW 입력
계좌 이체를 위한 정보입력 및계좌 이체 신청
2 사용자 인증 요청
뱅킹 서버에서 Trusted Pass 인증 서버에 로그인을 위한
사용자 인증 요청
뱅킹 서버 Trusted Pass인증 서버
Trusted Pass 적용 방안 – 인터넷 대출
29
Trusted Pass(인증) 서비스
4고객정보 확인
(본인명의 스마트폰의 인증 APP)1 신용정보조회 및 약관 동의 3 네트워크 사용자 인증
5대출금 신청
(본인명의 스마트폰의 인증 APP)
대출 신청에 대한 신용정보조회 및약관 동의
보안채널 생성을 위한 네트워크사용자 인증
(TIPN 기술을 이용한 안전한보안채널 생성)
고객정보 확인 및 인증 APP을 통해휴대폰인증번호 입력
7 대출신청 완료
대출신청 완료 및 은행 승인 대기
6상품설명서 및 약정서 확인
(본인명의 스마트폰의 인증 APP)
상품설명서/약정서 확인 및 인증APP을 통해 보안카드번호(또는
OTP)/공인인증서 PW 입력
대출금 신청 및 인증 APP을 통해계좌 비밀번호 입력
2 사용자 인증 요청
뱅킹 서버에서 Trusted Pass 인증 서버에 로그인을 위한
사용자 인증 요청
Trusted Pass인증 서버
본인 명의스마트폰
뱅킹 서버 Trusted Pass인증 서버
Trusted Pass 적용 방안 - ATM 현금 인출
30
Trusted Pass(인증) 서비스
1 현금 인출 요청 4 네트워크 사용자 인증
5PIN 번호 인증
(본인명의 스마트폰의 인증 APP)
ATM에서 현금 인출 요청 보안채널 생성을 위한 네트워크사용자 인증
(TIPN 기술을 이용한 안전한보안채널 생성)
6 현금 인출 완료
본인 인증 완료 후 현금 인출 승인(거래완료)
생성된 보안채널을 통해 PIN번호입력 후 전송
3 사용자 인증 요청
뱅킹 서버에서 Trusted Pass 인증 서버에 로그인을 위한
사용자 인증 요청
Trusted Pass인증 서버
본인 명의스마트폰
뱅킹 서버 Trusted Pass인증 서버
2 계좌 PW 입력
계좌 PW 입력(1차 인증)
Trusted Pass 적용 방안 - ATM 현금 인출(모바일 카드)
31
Trusted Pass(인증) 서비스
4PIN 번호 인증
(본인명의 스마트폰의 인증 APP)1 모바일 카드 활성화 3 네트워크 사용자 인증
5 현금 인출 요청
ATM의 NFC 단자에 모바일을 접촉하여 모바일 카드 활성화
보안채널 생성을 위한 네트워크사용자 인증
(TIPN 기술을 이용한 안전한보안채널 생성)
생성된 보안채널을 통해 PIN번호 입력 후 전송(1차 인증)
7 현금 인출 완료6계좌 PW 입력
(본인명의 스마트폰의 인증 APP)
생성된 보안채널을 통해 계좌 PW입력 후 전송(2차 인증)
ATM에서 현금 인출 요청
2 사용자 인증 요청
뱅킹 서버에서 Trusted Pass 인증 서버에 로그인을 위한
사용자 인증 요청
Trusted Pass인증 서버
본인 명의스마트폰
뱅킹 서버 Trusted Pass인증 서버
NFC
현금 인출 승인(거래완료)
Trusted Pass 서비스 Flow
33
Trusted Pass(인증) 서비스
쇼핑몰
PC
거래 승인 서버
1 Login & 결제요청2 결제 정보 전달
9 거래 승인거래 완료 결과 통보10
2 ch(안전채널)
1 ch
PG 사
사용자
인증앱(앱카드) 구동& 안전채널 생성
인증서버
인증
요청
3
인증
성공
내역
전달
8
6
통신사
4 2ch 인증 요청
PIN 입력
3G/LTE
카드사
안전채널
5
인증 확인7
본인명의 스마트폰
4PIN 번호 인증
(본인명의 스마트폰의 인증 APP)
생성된 보안채널을 통해 PIN번호 입력 후 전송
Trusted Pass 적용 방안 예시 - 온라인 PC 웹 결제
34
Trusted Pass(인증) 서비스
1 온라인 쇼핑몰 로그인
ID/PW 입력 후 로그인
2 상품 결제
결제수단을 이용하여 상품 결제
3 네트워크 사용자 인증
보안채널 생성을 위한 네트워크 사용자 인증(TIPN 기술을 이용한 안전한 보안채널 생성)
5 결제 완료
본인 인증 완료 후 결제 승인(거래완료)
인증 서버본인 명의스마트폰
Trusted Pass 적용 방안 예시 - 모바일 결제
35
Trusted Pass(인증) 서비스
1 모바일 쇼핑몰 로그인
ID/PW 입력 후 로그인
2 상품 결제
결제수단을 이용하여 상품 결제
4PIN 번호 인증
(본인명의 스마트폰의 인증 APP)
생성된 보안채널을 통해 PIN번호 입력 후 전송
3 네트워크 사용자 인증
5 결제 완료
본인 인증 완료 후 결제 승인(거래완료)
보안채널 생성을 위한 네트워크 사용자 인증(TIPN 기술을 이용한 안전한 보안채널 생성)
인증 서버본인 명의스마트폰
4 신용카드 승인
본인 인증 완료 후 신용카드 승인(거래완료)
2 네트워크 사용자 인증
보안채널 생성을 위한 네트워크 사용자 인증(TIPN 기술을 이용한 안전한 보안채널 생성)
인증 서버본인 명의스마트폰
Trusted Pass 적용 방안 예시 - 오프라인 신용카드 결제
36
Trusted Pass(인증) 서비스
1 신용카드 결제 요청
카드단말기를 통해 신용카드 결제 시도
3PIN 번호 인증
(본인명의 스마트폰의 인증 APP)
생성된 보안채널을 통해 PIN번호 입력 후 전송
4PIN 번호 인증
(본인명의 스마트폰의 인증 APP)
생성된 보안채널을 통해 PIN번호 입력 후 전송
3 네트워크 사용자 인증
보안채널 생성을 위한 네트워크 사용자 인증(TIPN 기술을 이용한 안전한 보안채널 생성)
인증 서버본인 명의스마트폰
Trusted Pass 적용 방안 예시 - ATM 현금 서비스
37
Trusted Pass(인증) 서비스
1 현금서비스 신청
ATM에서 현금서비스 신청
2 신용카드 PW 입력
신용카드 PW 입력(1차 인증)
5 현금서비스 승인
본인 인증 완료 후 현금서비스 승인(거래완료)
Trusted Pass 서비스 Flow
39
PC
MTS 서버
8 2차 인증 요청
2 ch(안전채널)
1 ch
사용자
인증서버
인증
요청
2 9
인증
성공
내역
전달
7 13
통신사
5 PW 입력
증권사
안전채널
인증앱 구동& 안전채널 생성
4
인증 확인6
12
본인명의 스마트폰
1 Login 요청
11인증앱 구동& 인증정보 입력
15 주식 거래 완료 결과 통보
3G/LTE
Trusted Pass(인증) 서비스
14 주식 거래 신청
32ch 인증 요청
10
4PIN 번호 인증
(본인명의 스마트폰의 인증 APP)
생성된 보안채널을 통해 PIN번호 입력 후 전송
Trusted Pass 적용 방안 예시 - 온라인 PC 주식 거래
40
Trusted Pass(인증) 서비스
1 증권사 홈페이지 로그인
ID/PW 입력 후 로그인
2 2차 인증 요청
안전한 거래를 위한 2차 인증(인증 APP) 요청
3 네트워크 사용자 인증(중계사업자)
보안채널 생성을 위한 네트워크 사용자 인증(TIPN 기술을 이용한 안전한 보안채널 생성)
5 주식 거래
중계사업자인증 서버
본인 명의스마트폰
6 거래 완료
주식 거래 완료주식계좌를 이용하여 주식 거래(매도/매수)
안전한 주식거래를 위해 스마트폰의Trusted Pass APP에서 PIN 번호를입력해 주세요.
확인
Trusted Pass 적용 방안 예시 - 모바일 APP 주식 거래
41
Trusted Pass(인증) 서비스
1 증권사 APP 로그인
ID/PW 입력 후 로그인
4PIN 번호 인증
(본인명의 스마트폰의 인증 APP)
생성된 보안채널을 통해 PIN번호 입력 후 전송
2 2차 인증 요청
안전한 거래를 위한 2차 인증(인증 APP) 요청
3 네트워크 사용자 인증(중계사업자)
보안채널 생성을 위한 네트워크 사용자 인증(TIPN 기술을 이용한 안전한 보안채널 생성)
5 주식 거래
중계사업자인증 서버
본인 명의스마트폰
6 거래 완료
주식 거래 완료주식계좌를 이용하여 주식 거래(매도/매수)
인증요청안전한 주식거래를 위해 스마트폰의 Trusted Pass APP에서 PIN 번호를 입력해 주세요.
PIN 요청 PIN 발급
확인
Trusted Pass 서비스 Flow
43
Trusted Pass(인증) 서비스
민원24
PC
인증 승인 서버
1 Login & 인증요청2 인증 정보 전달
9 인증 승인인증 결과 통보10
2 ch(안전채널)
1 ch
사용자
인증앱(앱카드) 구동& 안전채널 생성
인증서버
인증
요청
3
인증
성공
내역
전달
8
6
통신사
4 2ch 인증 요청
PIN 입력
3G/LTE
행정자치부
안전채널
5
인증 확인7
본인명의 스마트폰
3PIN 번호 인증
(본인명의 스마트폰의 인증 APP)
생성된 보안채널을 통해 PIN번호 입력 후 전송
Trusted Pass 적용 방안 예시 - 온라인 PC 웹 인증
44
Trusted Pass(인증) 서비스
1 온라인 인증 로그인
ID/PW 입력 후 로그인
2 네트워크 사용자 인증
보안채널 생성을 위한 네트워크 사용자 인증(TIPN 기술을 이용한 안전한 보안채널 생성)
4 인증 완료
본인 인증 완료
인증 서버본인 명의스마트폰
홍길동님께서 로그인하셨습니다.
Trusted Pass 적용 방안 예시 - 모바일 인증
45
Trusted Pass(인증) 서비스
1 모바일 인증 로그인
ID/PW 입력 후 로그인
3PIN 번호 인증
(본인명의 스마트폰의 인증 APP)
생성된 보안채널을 통해 PIN번호 입력 후 전송
2 네트워크 사용자 인증
4 인증 완료
본인 인증 완료
보안채널 생성을 위한 네트워크 사용자 인증(TIPN 기술을 이용한 안전한 보안채널 생성)
인증 서버본인 명의스마트폰
홍길동님께서 로그인하셨습니다.
Trusted IP Network 기본 시스템 구성도
Terminal (Trusted IP Agent)
Desktop(Windows XP/7/8
Smartphone(Android)
Notebook(Windows XP/7/8)
ApplicationServers
Server #1
Server #2
Server #N
Network Infrastructure
Transport VPN(L3 VPN)
… …
Mobile IP VPN
TrustedDevice Manager
Security PostureManager
Trusted IPManager
LAN
WiFi
3G/LTE
인터넷
Access Network
Microwave
Trusted IPAccess G/W
Trusted IPService G/W
Trusted IP Network 구성 요소 (1)
Trusted IP Access Gateway
Authentication Redirection 기능
비정상적트래픽유형을감지하고대응하여외부해킹으로
부터인증서버보호
White List 기반TrustedIP Service Gateway에터널생성요청
인증된정상적단말(White List에등록된단말)의터널을해당
가상라우터로 집선하여Trusted IP Service Gateway로전달
Trusted IP Access Gateway와Trusted IP Service Gateway 간
접속은사전정의된L3 VPN 터널을통해접속되며,개별가상
라우터간접속을사전정의하여사용(네트워크가상화)
* Trusted AP를통해접속하는무선단말의경우Trusted AP
터널을경유하여접속되며, Trusted AP 터널은사전정의
(구성관리)된가상라우터와연결
Network
솔루션 구성
단말집선장소에 위치하여인증패킷을통합관제
네트워크에 올려주는 역할을 하며 가상 네트워크별
WhiteList기반접근통제
Trusted IP Service Gateway
Trusted IP Access Gateway와연계하여외부공격및해킹으로부터인
증서버보호
격리되어있는통합관제네트워크를통해사용자/단말별인증
사용자/단말별사전정의된네트워크VPN 터널생성/유지/삭제/관리
인증을통해허용된VPN 터널만해당가상네트워크에접속허용
(White List 기반접속제어)
사전정의된가상라우터별Mobile IP VPN 터널관리
Trusted IP Access Gateway와사전정의된L3 VPN 터널을통해가상화
네트워크상호유지
가상네트워크별정보공유및교환수행
Network
서버 집합 장소에 위치하여 Trusted IP Access Gateway
와 연계하여 가상화된 네트워크를 네트워크 및 서버별
로접근통제및관리(터널생성및종료)
49
Trusted IP Network 구성 요소 (2)
솔루션 구성
Trusted IP Agent (Android/Windows)
인증용Parameter (기기별로고유번호통한인증기능)
기기(Trusted IP Agent)와Trusted IP Gateway 간양방
향Trusted 터널을생성∙관리∙종료하기위하여기기에
설치되는S/W
Device
Trusted IP Manager 터널,가상네트워크구성및연동관리 터널및가상경로별품질보장관리 인증서버(AAA)연계System
Security Posture Agent 접속인증및통신중에단말에설치된주요소프트웨어
요소들의무결성을검사하여감염된단말의Trusted IP
네트워크로의접속/접근을감시하여네트워크접근안
정성확보
Device
Security Posture Manager 단말의소프트웨어이미지관리
인증요청시Agent이미지와정상상태의이미지를
비교하여 변화발생시 적절한(차단)조치수행
접속중에도이미지변화시적절한(차단) 조치수행
System
Trusted Device Manager
디바이스관리및보안정책수행
디바이스의인증과정관리
디바이스 정보/상태관리
디바이스에설치된각종소프트웨어관리
System
TDM Agent
Trusted Device Manager 와연동하여인증과정관리
디바이스보안정책적용
디바이스분실관리
설치된소프트웨어관리
Device
50
Trusted IP Network 구성 요소 (3)
51
Optional 솔루션 구성
IPSec Agent (Android/Windows) IKE Phase I / IKE Phase II 터널모드암호화/복호화제공
-ESP 프로토콜Device
IPSec VPN Device IKE Phase I / IKE Phase II 터널모드암호화/복호화제공
-ESP 프로토콜System
Secure Container Agent (Android/Windows) 다운로드파일수정및저장관리
파일변경검사Device
Secure Container Manager 단말다운로드파일수정및관리
단말파일변경실시간감시
System
Trusted IP Gateway 모델
52
Throughput
Interfaces
Operation Mode
Flow QoS
Flow Setup
Concurrent Flow
Subscriber Management
240G Multi-Shelf System 80G Single-Shelf System 20G Stand-Alone System
GigE(1Gbe/10Gbe), POS GigE(1Gbe/10Gbe), POS GigE(1Gbe/10Gbe)
Transparent Mode / Routing Mode (BGP,OSPF, VR …)
MR (Maximum Rate) / GR (Guaranteed Rate) / AR (Available Rate) / CR (Composite Rate)
1.5 M Flows / sec / Line Card
4 M Flows / Line Card
8,000 Services Classification Rules / Line Card 8,000 Services Classification Rules
4 M Flows
1.5 M Flows / sec
T240 T80 T20
Trusted IP Network 솔루션 검증 내역
고신뢰 네트워크용 Secure WiFi Solution
Trusted IP Manager : Access, Service Trusted IP Access Gateway Trusted IP Service Gateway Trusted IP Agent : Smartphone (Pantech Vega, Preload Version)
TIPN v1.0 보안 적합성 검증 획득 (Trusted WiFi, 2014년 10월 14일)
안전한 금융거래 환경 조성을 위한 실증사업”대비 선행 검증 수행 발주 기관 : 미래부/NIA 검증 기관 : ETRI 시험 내용
- Router/Gateway 보안 적합성 검증 항목- 신뢰성 : Smoke, Regression Test- 기능 : 네트워크 가상화 기반 네트워크분리 기능 (관제, 데이터 등)- QoS- 성능
시험 결과 : 적합
국가망 효율화를 위한 Trusted IP Network 시험 : 2014년 12월 5일
53
Trusted IP Network 적용 사례
주관 : NIA
과제 목적 : 네트워크 및 단말 등에 IoT SW기반의
안전하고 신뢰할 수 있는 가상화 네트워크 기술 및
보안기술을 접목하여 안전금융 거래환경을 조성하
고, 이를 확산할 수 있는 실증 시범 사업 추진
과제 기간 : ’15.05.31.~’15.12.31.
추진 개념 : “안전한 거래환경 조성을 위한 가상화
네트워크“ 정의
추진 방향
언제 어디서나 안전한 네트워크 이용을 보장하는 SW
기술 상용화
금융 SW 산업 확산 및 수출 증대
IoT SW기반“안전한 금융거래환경 조성”을 위한 실증 시범사업 참여
미래부·-NIA, TIPN기술로 안전거래환경 이끈다
미래창조과학부와 한국정보화진흥원(NIA)이 TIPN(Trusted IP Network) 기술로 안전거래 환경을 이끌기로 했다. TIPN은 가상화 기술을 통한 업무별 망분리 및 단말·사용자별 망 접근제어가 가능하고 보안이 강화된 고신뢰 네트워크를 의미한다.
미래부와 NIA는 1일 서울 청계천로 정보화진흥원에서 소프트웨어(SW) 중심사회 확산 방안의 일환으로 추진되는 'SW기반 안전한 금융거래환경 조성사업'의 착수보고회를 개최했다. 지난 5월 22일 미래부와 정보화진흥원은 'SW기반 안전한 금융거래환경조성 사업' 사업자로 콤텍정보통신-KT-오투 컨소시엄을 선정하고 협약을 체결한 바있다.
이 사업은 최근 은행의 자동입출금기(ATM), 인터넷뱅킹 등 온라인 전자금융거래의이용이 꾸준히 증가함에 따라 금융권을 대상으로 한 사이버 공격의 피해가 증가하는상황에서 '안전한 금융거래환경 구현'을 위해 추진되는 사업이다. 정부 12억5000만원을 포함 총 16억7000만원(정부, 민간 합계) 규모로 우정망의 지역청 1개소에TIPN 기술을 적용해 안전 SW 실증 시범사업을 추진할 계획이다.
이번 시범사업은 TIPN 기술에 대한 취약점 분석 및 안전성 강화를 위해 미래 네트워크선도시험망(KOREN)을 활용해 실증시험을 진행하고 취약점 및 안전성 검증 후, 우정망에(플랫폼·네트워크·단말 등) 시범 적용할 계획이다. 특히 시범사업에 도입되는 기술의 보안성 강화를 위해 취약점신고포상제(Bug bounty)를 실시해 화이트 해커들이대거 참여하는 국내 해킹대회도 개최할 예정이다.
미래부와 NIA는 이번 시범사업의 성공적 진행을 위해 우정사업본부, 우정사업정보센터, 한국전자통신연구원(ETRI) 등 관련기관과 사업에 대한 논의를 진행해 왔으며 각기관에서 참여하는 실무협의회를 구성해 사업수행을 지원하기로 협의했다.미래부 서석진 소프트웨어정책관은 "TIPN 기술을 통해 네트워크 보안기술의 국산화및 시장창출을 지원하고 국내 중소 SW 기업이 활성화 될 수 있도록 노력할 것"이라고말했다. 정보화진흥원 이재호 단장은 "이를 기반으로 국내 보안 기술의 확산과 TIPN 기술이 공공기관에 확산·적용될 수 있도록 지속적으로 지원할 것"이라고 전했다.
한편 이번 시범사업은 올해 12월까지 추진되며 이번 시범사업의 결과를 바탕으로2016년, 2017년에는 공공부문 확산을 검토할 예정이다.
아주경제(15.06.01.)