한국정보과학회

http://www.kiise.or.kr

2015년 12월 17일(목) ~ 19일(토), 강원도 휘닉스 파크

제42회 한국정보과학회

정기총회 및 동계학술발표회“생명기술과 정보과학의 만남”

http://c.kiise.or.kr/conference/wc/42

실 버

브 론 즈

▶ 인공지능 소사이어티 & 기계학습 연구센터 머신러닝 동계 워크샵 12.17(목)

▶ 데이터과학과 산업 워크숍 12.18(금)

제42회

정기총회

및

동계학술발표회

xii

정보보호

1. [우수논문] 저사양 노드 네트워크를 위한 보안 프로토콜의 경량 오프로딩 기법

·············································································································· 한지용·권기웅·하민근·안재호·김대영 843

2. [우수논문] 동적 분석 회피를 위한 안드로이드 에뮬레이터 탐지 기법········································· 이소라·김형식 846

3. 데이터 마이닝 알고리즘 성능으로 본 보안 수준에 따른 데이터 효용성 분석····························· 하헌석·윤성로 849

4. [우수논문] 안드로이드 플랫폼 기반 프로세스 모니터링을 이용한 랜섬웨어 방지 시스템의 설계 및 구현

································································································· 김봉준·김운수·이정환·임신혁·송상근·이상준 852

5. 매쉬업 서비스를 위한 OAuth 매커니즘 기반 사용자 통합 인증 플랫폼 개발··············· 이다은·문승일·홍충선 854

6. 클라우드 컴퓨팅 환경에서 가상머신의 자동화된 ARP 테이블관리를 이용한 스푸핑 방어기법 연구

································································································································· 강효성·사이드울라·홍충선 857

7. 개방형 보안 API를 이용한 취약점 탐지 기법························································ 김성수·김도현·김선혁·홍충선 860

8. 클라우드 서비스 소비자 측면의 보안 자가진단 모델······························· 나상호·박준영·이철우·김형천·허의남 863

9. 오디오 핑거프린트를 위한 효율적인 파워 마스크 저장 방법······································································ 서진수 866

10. 사용자 보안 요구사항 기반의 클라우드 보안 위험 평가 방법························· 박준영·Pham Xuan Qui·허의남 869

11. 사물인터넷 저성능 기기의 단대단 보안을 위한 제3자 위탁 키생성 기법··································· 정도영·정병호 872

12. 모바일 기기를 위한 보안 가상 키패드················································································· 박우길·여선기·차영록 875

13. 공유 폴더의 취약성 분석 및 해결 방안···························································································· 배호성·이연식 877

14. 국방 와이파이 무선랜 환경 구축을 위한 보안 아키텍처 설계······················································· 조성림·김영호 880

15. 분산 OSN 환경에서 프라이버시 보호를 위한 사용자 PDS와 사용자 친구 그룹 기반의

데이터 퍼튜베이션 기법······················································································································ 이주형·박 석 883

16. 컴퓨터용 경량 해킹 방지장치 개념 설계············································································· 오세진·김병철·이재용 886

17. 지능형 보안 위협 탐지를 위한 시간 기반 위협 정보 분석 기법 설계······················································· 최경호 889

18. 해양 통신 프레임워크로서 제안된 해사 클라우드에서의 보안위협 분석························· 안개일·이광일·정병호 892

19. 그룹 통제와 관리를 위한 페어링 기반의 D2D MDM 권한 부여 프로토콜···················· 조국래·박세권·성혜민 894

20. 안드로이드 악성코드 탐지율 향상을 위한 안드로이드 악성코드 활성화 기법········································· 곽재상 897

21. 커버리지 밖의 D2D통신을 위해 LTE망과 Proxy단말을 이용한 그룹인증·································· 박지영·최형기 900

22. DLL Injection을 통한 SSL 복호화································································································· 이효석·최형기 903

23. On-path 공격자에 대해 안전한 Multipath TCP 연구······························································· 김동용·최형기 906

24. 프록시 노드를 이용한 RPL 랭크 인증 최적화················································································ 김영조·최형기 909

25. 클러스터링을 이용한 유해트래픽 탐지······························································································ 신동혁·최형기 912

26. 동영상 재생기를 이용한 Adobe Flash Sandbox 우회 취약점·················································· 유준우·최형기 915

27. 호스트 기반 분산형 이동성 관리 기술에서 IPsec을 사용하지 않는 안전한 바인딩 업데이트

····················································································································································· 이세영·최형기 918

Poster Session

Poster Session❚제42회 정기총회 및 동계학술발표회 53

P2.6 정보보호 12.17(목) 13:00~14:20, 볼룸Ⅰ

▹평가위원A: ▹평가위원B:

P2.6-01 매쉬업 서비스를 위한 OAuth 매커니즘 기반 사용자 통합 인증 플랫폼 개발

이다은⋅문승일⋅홍충선(경희대)

P2.6-02 클라우드 컴퓨팅 환경에서 가상머신의 자동화된 ARP 테이블 관리를 이용한 스푸핑 방어

기법 연구

강효성⋅사이드울라⋅홍충선(경희대)

P2.6-03 개방형 보안 API를 이용한 취약점 탐지 기법

김성수⋅김도현⋅김선혁⋅홍충선(경희대)

P2.6-04 클라우드 서비스 소비자 측면의 보안 자가진단 모델

나상호⋅박준영(경희대), 이철우⋅김형천(국가보안기술연구소), 허의남(경희대)

P2.6-05 오디오 핑거프린트를 위한 효율적인 파워 마스크 저장 방법

서진수(강릉원주대)

P2.6-06 사용자 보안 요구사항 기반의 클라우드 보안 위험 평가 방법

박준영⋅Pham Xuan Qui⋅허의남(경희대)

P2.6-07 사물인터넷 저성능 기기의 단대단 보안을 위한 제3자 위탁 키생성 기법

정도영⋅정병호(한국전자통신연구원)

P2.6-08 모바일 기기를 위한 보안 가상 키패드

박우길⋅여선기⋅차영록(계명대)

P2.6-09 공유 폴더의 취약성 분석 및 해결 방안

배호성⋅이연식(군산대)

P2.6-10 국방 와이파이 무선랜 환경 구축을 위한 보안 아키텍처 설계

조성림(고려대), 김영호(한국국방연구원)

P2.6-11 분산 OSN 환경에서 프라이버시 보호를 위한 사용자 PDS와 사용자 친구 그룹 기반의

데이터 퍼튜베이션 기법

이주형⋅박석(서강대)

P2.6-12 컴퓨터용 경량 해킹 방지장치 개념 설계

오세진(국방과학연구소), 김병철⋅이재용(충남대)

P2.6-13 지능형 보안 위협 탐지를 위한 시간 기반 위협 정보 분석 기법 설계

최경호(고려대)

P2.6-14 해양 통신 프레임워크로서 제안된 해사 클라우드에서의 보안위협 분석

안개일⋅이광일⋅정병호(ETRI)

P2.6-15 그룹 통제와 관리를 위한 페어링 기반의 D2D MDM 권한 부여 프로토콜

조국래⋅박세권⋅성혜민(대구경북과학기술원)

P2.6-16 안드로이드 악성코드 탐지율 향상을 위한 안드로이드 악성코드 활성화 기법

곽재상(고려대)

사용자 보안 요구사항 기반의 클라우드 보안 위험 평가 방법

박준영, Pham Xuan Qui, 허의남

경희대학교 컴퓨터공학과

{parkhans, pxuanqui, johnhuh}@khu.ac.kr

A Methodology of Cloud Security Risk Assessment based on user

security requirements

Jun-Young Park, Pham Xuan Qui, Eui-Nam Huh

Department of Computer Engineering, Kyung-Hee University

요 약

클라우드 보안 기술은 클라우드 컴퓨팅 기술의 발전과 함께 빠르게 발전하고 있다. 또한 클라우드 보안

기술은 다양한 보안 평가를 기반으로 발전하고 있다. 하지만 기존의 보안 위협 평가 방법은 다양한 서비스

분야를 지원하는 클라우드 환경에 적합하지 않으며 서비스 유형을 고려하지 않은 보안 평가는 또 다른 보안

위협을 초래한다. 이러한 문제를 해결하기 위해서 클라우드 보안 평가 모델은 다양한 서비스 분야와 서비스

사용자의 보안 요구사항을 충족해야 하며 사용자 보안 요구사항을 기반으로 보안 평가가 이뤄져야 한다.

따라서 본 논문에서는 사용자의 클라우드 사용 목적 및 특성을 고려한 보안 위험 평가 모델을 제안하여

다양한 서비스 형태를 고려하여 정확한 클라우드 보안 위험 평가가 가능할 것이다.

1. 서 론

클라우드 컴퓨팅은 꾸준히 발전하고 있으며 세계적인

ICT 조사기관인 IDC에서 2015년 전세계 클라우드 시장

규모 및 성장률 발표를 따르면 2015년에는 2014년

대비 23%이상 성장할 것으로 전망하고 있다[1].

이러한 발전 전망에도 여전히 클라우드 도입에 보안이

큰 문제로 인식되고 있으며 그 중에서 다양한 서비스를

제공 및 지원하는 클라우드 서비스 환경을 고려한 보안

위험 평가 모델이 필요하다. 또한 대부분의 보안 위험

평가모델들은 대부분 ICT 시스템 중심으로 위험 분석을

수행하고 있으며 보안 위험 간의 연관 관계를 고려하지

않은 위험 분석 방법들이 존재한다.

따라서 본 논문에서는 시스템 중심의 보안 위험

분석이 아닌 사용자의 보안 요구사항에 중심을 두고

시스템에서 발생하는 위험 평가를 수행하여 보다

사용자에게 적절한 보안 위험 평가를 수행하고자 한다.

본 논문은 2장에서 관련 연구로 사용자 관점에서의

보안 이슈와 클라우드 컴퓨팅 보안 요소에 대해서

기술한다. 3장에서는 사용자 보안 요구사항 기반의

클라우드 보안 위험 평가 모델을 제안하며, 마지막으로

4장에서 결론 및 향후 연구를 통해 본 논문의 연구

결과와 향후 연구 계획을 제시한다.

2. 관련 연구

2.1 사용자 관점에서의 보안이슈

사용자의 보안 요구사항은 사용자의 입장에 따라

달라질 수 있다. [2]에 따라 사용자를 크게 2가지

타입으로 개인 소비자와 기업 사용자로 나누어 평가를

진행하며 각 사용자 관점에 따라 보안이슈는 [표 1]과

같다.

표 1. 사용자 관점에서의 보안 이슈

개인소비자 기업 사용자

개인 정보 노출 서비스 중단

개인 정보 감시 기업 정보 훼손

개인 데이터의 무분별한

상업적 이용 기업 정보 유출

개인 정보 파괴 고객정보 유출

법/규제 위반

위와 같이 사용자의 입장 또는 관점에 따라 보안

이슈가 상이하기 때문에 사용자 요구사항을 고려해야

한다.

2.2 클라우드 컴퓨팅 보안 요소 기술[3]

클라우드 컴퓨팅에서 잠재적인 위협을 방지하기

위해서는 [표 2]와 같이 클라우드 보안 요소 기술과

그에 따른 구체적인 기술적 요구사항들이 만족되어야

한다.

2015년 동계학술발표회 논문집

869

표 2. 클라우드 컴퓨팅 보안 요소 기술 정리

구 분 내 용

기밀성과

데이터 암호화

- 기밀성 보호 기본적인 암호화 기술 제공되어야 하며 클라우드 컴퓨팅에서는 대 용량

데이터의 암호화시 가용성이 떨어질 수 있는 점을 고려하여 적절한 암호화 알고리즘을 사용

- DES AES 나 와 같은 블록 암호대용으로 스트림 암호화한 방식 고려

사용자 인증 - Single-Sign On, OpenID, OASIS Security Assertion 개방형 인증 기술인 의 Markup

Language

데이터 무결성 - 클라우드 컴퓨팅에서는 저장되는 데이터와 교환되는 메시에 대한 오류검사가 필 요

가용성 복구 - 서비스 중단이나 데이터손실을 막기 위해서 장애 감내성 및 데이터 복구 기법이 필요

원격 확인 및

가상 머신 보호

- 원격 실행 코드가 많으므로 원격확인 특히 소프트웨어에 대한 이진 분석이 중요한 이슈

- 가상 머신 상에서 프로그램의 실행 영역 및 메모리 보호를 위해 등 sandboxing 관련 기술

연구 중요

네트워크 보안

및 웹 보안

- IDS, IPS, IPSec VPN 방화벽 및 등 기존의 네트워크 보안 기술을 어떻게 효율적으로

적용할 것인지 연구 필요

- 클라우드 컴퓨팅은 주로 웹 기반 인터페이스를 이용하므로 기반의 SSL/TLS https 활용

방안 연구도 필요

공격모델 및

시뮬레이션

- 클라우드 컴퓨팅에서는 사용자의 요청에 의한 자원을 할당하는 서비스 방식이므로 서비스

거부 공격은 전향적인 공격모델

- 이에 클라우드 환경을 가정한 공격 모델 정립과 공격 시뮬레이션 기술로 안전한 클라우드

환경 제공을 위해 필요

보안 정책 관리

및 비용 분석

- 암호화 등 보안 기능 적용으로 상당량의 컴퓨터 자원 및 에너지를 소모하므로 이에 대한

비용과 보안사고 시 예상되는 피해 규모 등을 종합적으로 평가하여 자 원 및 인력을 적절히

배분하는 것이 중요

3. 사용자 보안 요구사항 기반의 클라우드 보안 평가

모델

본 논문에서 제안하는 사용자 중심형 클라우드 보안

평가 모델은 크게 5단계로 이뤄지며 제안하는 모델은

[그림 1]과 같다.

그림 1. 사용자 중심형 클라우드 보안 평가 모델

사용자 보안 요구사항 분석은 사용자 서비스 특성 및

서비스 목적 등과 필요 보안 기술 등을 기반으로

사용자 보안 요구사항을 분석한다. 예를 들어, 웹

서비스의 경우 서비스 가용성 및 사용자 인증을

최우선으로 고려하는 보안 요구사항이 발생한다.

보안 위험 평가는 보안 위험 평가 방법인

OCTAVE(Operationally Critical Threat, Asset, and

Vulnerability Evaluation)[4], CORAS[5], CRAMM

(CCTA Risk Analysis and Management Method)[6]

등의 방법들을 사용하여 사용자 보안 요구사항 분석을

기반으로 클라우드 보안 평가를 수행한다.

보안 평가 Commitment는 클라우드 보안 위험 평가

후 해당 서비스 또는 시스템에 적용하기 위해 보안

위험 평가 내용을 적용한다

보안 Provisioning/Monitoring에서는 보안 평가를

바탕으로 보안 위험 관리 및 실시간 감시를 통해

클라우드 보안 위험 관리를 수행한다.

보안 Quality Assessment는 보안

Provisioning/Monitoring에서 발생하는 예외 사항 또는

보안 위험 평가 내용을 수정하는 등의 역할을 수행한다.

수시로 변화하는 보안 위험 요소를 파악하여

능동적으로 보안 위험 평가에 적용할 수 있도록

도와준다.

2015년 동계학술발표회 논문집

870

4. 결 론

보안 위험 평가 모델로 OCTAVE, CORAS 등의

다양한 방법 및 모델들이 제시되고 있지만 일반적인

보안 위험 평가로 사용자 보안 요구사항은 고려되지

않아 정확한 보안 평가가 이뤄지기 어렵다. 또한 그에

따라 부정확한 보안 평가는 시스템에 또 다른 위협으로

발생할 수 있기 때문에 사용자가 제공/이용하고자 하는

서비스의 특성 및 목적을 고려하여 위험 평가가

이뤄져야 한다.

본 논문에서는 사용자의 보안 요구사항을 기반으로

위험 평가를 실시하였다. 또한 실시간으로 모니터링을

실시하여 변화되는 위험을 즉각적으로 대응이 가능하기

때문에 기존의 보안 위험 평가 모델보다 능동적이고

사용자 중심적인 보안 위험 평가가 가능하다.

향후 연구로는 본 모델을 기반으로 하이브리드

환경에서의 보안 위험 평가와 보안 요소

협상(Negotiation)으로 사용자 보안 요구사항이 복수일

경우를 고려한 보안 위험 평가 모델을 제안하도록

하겠다.

Acknowledgement

본 연구는 미래창조 과학부 및 정보통신

기술진흥센터의 대학 ICT연구센터 육성지원사업 (IITP–

2015-(H8501–15–1015))과 정부(교육부) 재원으로

한국연구재단의 기초연구사업 (No.NRF-

2013R1A1A2013620)의 연구결과로 수행되었음

(교신저자 : 허의남)

참고 문헌

[1] IDC research, “2015년 클라우드 시장 규모 및

성장률”, 2015.01.21.

[2] 최재규, 노봉남, “클라우드 컴퓨팅 환경에서의 보안

평가 요소”, 보안공학연구논문지, 2011.06

[3] Gartner, “Assessing the Security Risks of Cloud

Computing”, 2008.06

[4] Cert Coordination Center, “The OCTAVE

approach”, 2003

[5] M. S. Lund, B. Solhaug, "Model-Driven Risk

Analysis: The CORAS Approach". Springer Science &

Business Media, 2010.

[6] Z.Yazar, “A Qualitative Risk Analysis and

Management Tool-CRAMM”, SANS Institute InfoSec

Reading Room, 2011.

2015년 동계학술발표회 논문집

871