Trusted pass-간편하고 안전한 인증 솔루션

Trusted IP Network 솔루션 소개

2015.09

Copyright © 2015 Mobile Convergence Co.,Ltd. All rights reserved.

- 네트워크 가상화 기반 네트워크(망) 분리 및 인증 中心 -

목 차

Trusted IP Network 개요

Trusted IP Network 기반 네트워크(망) 분리

Trusted Pass (인증) 서비스

* 별 첨


IP Network 현황및이슈사항

서킷네트워크vs 패킷네트워크

Trusted IP Network 구성

IP Mobility의보장

Trusted IP Network의특장점

IP Network 현황 및 이슈 사항

4


Client

Terminal

Access

Network

Edge

Network(Router)

IP

Network

Edge

Network(Router)

Server

Access

Network( )LAN, WiFi

3G/LTE…

전달망

정상행위 이상행위

정상사용자

OK FDS

비인가사용자

- ?

Terminal Network Server

App 격리

• 다수의 App이 PC 자원을 공유 • 다수의 App이 하나의 IP 네트워크 공유 • 물리적 다수의 서버 사용

☞ 단말가상화 ☞ VLAN, VPN ☞ 서버 가상화

접근제어

• ID/PW(단순문자열 조합) • 생체인식

• IP 네트워크 단순 전달망으로 접근 제어 기능 부재• ID/PW• 인증서, OTP, 생체인식 등

(VPN, NAC) ( )F/W, IPsec, IDS/IPS,UTM, WAF…

위조 패킷에 대한 대응 부재 위조 패킷에 대한 대응 부재패턴 기반 시스템으로 미탐/과탐

서킷 네트워크 vs. 패킷 네트워크

5

Trusted IP Network 개요Trusted IP Network 개요

Trusted IP Network

패킷 네트워크를

서킷 네트워크처럼!!

(Circuit Level IP Network)

위험서킷

네트워크의보안성

효율

패킷네트워크의

효율성

Router Router

IP Network

DATATCP

HeaderIP

HeaderEthernetHeader

①패킷 생성

②패킷 단위 전송

③패킷 수신 ④패킷 해제

Router는 사용자인식 등의

접근 제어 불가

위변조에 취약한 TCP/IP 의 구조(네트워크 격리구조 불가)

PBX

(Gateway)

PBX

(Gateway)

PSTN Server

PSTN

call

①접속 요청

②종단 확인

③채널 설정

④채널 형성 & 정보 교환Modem Modem

PBX 는 서버와 우선통신하여 신원을 확인

Trusted IP Network 구성

6

Trusted IP Network 개요Trusted IP Network 개요

IP 네트워크 상에 서킷 네트워크의 관제 도메인 기능을 별도의 가상 네트워크로 구현하고

필요한 만큼의 분리된 네트워크를 가상화 기술로 생성

업무용 앱(Trusted IP

Agent)

RCS

LAN

WiFi

3G/LTE

인터넷

Access Network

Microwave

VR

VR

VR

VR

VR

VR

…

통합관제플랫폼

관제 네트워크 VPT

White List

Trusted IP

Access GatewayTrusted IP

Service Gateway

VRn

VR2

VR1

…

해커 PC

단말인증시네트워크 차단

IP Mobility의 보장

7

BO (서울) IDC

VR-M

VR1

…

VR2

VR-M

VR1

…

VR2

VRn

VRn

BO (부산)

VR-M

VR1

…

VR2

VRn

VR2

VR2

VRn

VRn

VR-M

VR-M

VR2

VR2

VRn

VRn

VR-M

VR-M

사용자는 특정 지점에서허용된 VR 터널을 통해 인가된 서버 리소스에만 접근 가능

다른 지점 이동 시에는, 이전의 터널은 소멸되고, 이동 위치에 생성되는 터널만 유효하므로, 리소스접근 권한은 동일함


Trusted IP Network의 특장점

8


가상화 기술 기반의 네트워크 분리

관제와 데이터 도메인의 격리

IP 네트워크의 이동성 제공

목적 별/서비스 별 서버 분리 및

Alias Server Address를 통한 서버 은닉 Trusted IP Network

非인증 상태에서는 네트워크상의모든 구성요소가 보이지 않는 네트워크

Stealth Network


물리적망분리

논리적망분리

네트워크(망)분리방식비교

현행네트워크분리기술의이슈사항

TIPN 기반의네트워크(망) 분리

TIPN 기반네트워크(망) 분리의개념

적용방안

물리적 망 분리

물리적 망 분리는 인터넷망과 업무망을 물리적으로 망을 분리할 뿐만 아니라 각 망에 접속하는 PC도 물리적으로 분리하여 망 간 접근경로를 차단하는 방식입니다.

10

외부인터넷

DMZ

웹 메일 패치관리

업무서버 영역

업무망

DB 응용서버업무서버

인터넷망

라우터 침입차단 시스템

스위치 백본 스위치

인터넷PC

업무PC


논리적 망 분리

서버 가상화 기반 망 분리(SBC) 기술은 인터넷 접속, 업무 수행 등 기존 PC에서 수행했던 작업을 가상화 서버 등에 접속하여 수행합니다.

클라이언트 기반 망 분리 (CBC) 기술은 인터넷 접속 등의 작업을 단말 기반 가상화 기술이 적용된 영역에서 수행합니다.

11

외부인터넷

가상화 서버팜

가상화 서버

인터넷망

업무망

사용자 PC

서버 접속용프로그램로컬영역

(업무망)

외부인터넷

업무망

사용자 PC

하드웨어

운영체제

가상화 영역

가상영역(인터넷망)

로컬영역(업무망)

VPN IP Packet

라우터 침입차단 시스템 스위치 백본 스위치

<서버 가상화 기반 망 분리> <단말 가상화 기반 망 분리>


네트워크(망) 분리 방식 비교

12

구분 물리적 망 분리 서버 가상화 기반 망 분리(SBC) 클라이언트 기반 망 분리 (CBC)

네트워크분리

(업무 네트워크, 인터넷 네트워크 등)

미분리

(단일 네트워크)

미분리

(단일 네트워크)

운영방법

업무용 PC와 인터넷

PC로 물리적 분리

(PC 2대 사용)

인터넷 망은 서버를 통해

업무망은 PC로 분리

PC 등의 단말 가상화를 통해

인터넷 영역과 업무영역 분리

도입비용높음

(추가 PC, 이중망 구축)

보통

(서버팜 구축)

낮음

(추가 장비 최소화)

추가 장비

- 별도의 PC 1대 추가

- 라이선스(OS, Office)

- 별도 네트워크 구축

(라우터, 스위치, 방화벽)

- 서버팜(서버, 스토리지 등)

- 서버접속용 스위치

- 가상화 소프트웨어

- PC 기반 솔루션

- VPN 장비 및 VDI 등

보안높음

(물리적 분리)

낮음

(서버에서 인터넷 사용)

낮음

(PC에서 인터넷 사용)

장점 해커의 직접적인 접근 차단

- 문서 보안 등 높은 보안성

- PC 대비 업무환경 TCO 우수

- 저사양 기존 PC 자원의 활용

- 도입비용 최소화

- 단일 PC 자원의 활용

단점

- 비효율성(비용, 유지/관리 등)

- 업무효율성 저하

- 회선 임대비용 급증

- 최초 도입비용 높음

- 네트워크 대역폭 증가

- 확장성 제한

- 고장 발생시 복구 어려움

- PC 호환성 및 보안 프로그램 충돌 문

제


현행 네트워크 분리 기술의 이슈 사항

네트워크의 분리, 안전성, 경제성 및 확장성 등이 네트워크 분리 도입 전에 고려되어야 합니다.

13

• 경제성이 담보되면서 물리적 네트워크 분리 수준 이상의 보안성 담보

• 외부 및 내부 위협에 대한 대응력 확보

• 업무효율 향상을 통한 경제성이 담보된 인프라

• 스마트 모바일, IoT 단말 등 새로운 환경에 확장이 용이한 네트워크 인프라 구축

안전하면서 효율적인 네트워크 분리를 위한 해결과제

기존 네트워크 인프라를 네트워크 분리 기술을 이용하여 인터넷 네트워크와 업무네트워크로

분리

네트워크의 안정성을보장하기 위해 접근제어 시스템

을 분리하여 관리

네트워크분리및격리

접속 인가된 단말의무결성 지속 검사 및

제어

인가된 단말 또는악의적 목적의

내부자들의 비정상적행위 제어

보안위협

업무 효율성 저하 없이 경제적네트워크 분리 구축

비용 및 유지/관리 비용 필요

비즈니스 경쟁력 강화를위한 스마트워크,

모바일 오피스, 클라우드사무환경 제공

경제성및 확장성


TIPN 기반의 네트워크(망) 분리

Trusted IP Network는 “네트워크 VPN과 Virtual Router 기반의 네트워크 가상화” 기술을 근간으로 언제 어디서든 안심하고정보를 유통할 수 있는 폐쇄형 IP 네트워크 입니다.

14

가상 네트워크 기반의 안전하고 효율적인 솔루션


• 인가된 기기와 사용자에 한하여

권한에 따라 가상 네트워크별

접근 허용

• 내부자에 의한 개인정보 대량

유출 등 비정상적 행위에 대해

실시간으로 판단 및 제어하는

기능 구비

보안 위협제거 경제성및 확장성확보

• 기존에 구축된 네트워크 자원을

활용하여 필요한 수 만큼 격리된

가상네트워크를 생성하여 구축

및 운영 비용 절감

• 단말 가상화 솔루션과 연계 시,

최소의 단말로 다양한 업무 및

인터넷 사용 가능(단말 구매비용

및 전력 사용량 최소화)

네트워크분리 및 격리

• 완벽하게 분리된 논리적 네트워크

경계 제공

• 안전한 접속 환경을 제공하기 위해

네트워크 관리 도메인을 데이터

도메인으로부터 완벽하게 분리

• 보안 강화를 위하여 외부에 노출되

는 관리 서버 및 응용 서버의 주소

은닉 제공

Client PC IDC

TIPN 기반 네트워크(망) 분리의 개념

15

Service #A Network #A

Untrusted Network

단말/서버 네트워크

App 격리가상화

(SBC, CBC)X

접근제어

(ID/PW…)X

비정상 트래픽 제어 기능 부재

정상 행위 이상 행위

정상 사용자 OK ?

비인가 사용자 - ?

단말 가상화 솔루션Trusted IP Network

Service #B Network #B


TIPN 기반네트워크 가상화

IP NetworkTrusted IP Network


적용 방안

16


네트워크/시스템모니터링 서버

백신/보안 패치 서버에이전트 업데이트 서버

서비스 통합 인증서버

그룹웨어 서버

전자메일 서버

인터넷 서비스

업무 서버(ERP, SCM, SFA 등)

Trusted IP

Access GatewayTrusted IP

Service Gateway

1. 관리 네트워크

3. 인증 네트워크

2. 패치 네트워크

0. 관제 네트워크 VPT


White List

Microwave

LAN

WiFi

3G/LTE

인터넷

Access Network

데이터 센터 운영인력사용자 단말(PC)

일반 업무 사용자사용자 단말(PC)

4. 그룹웨어 네트워크

6. 인터넷

5. 전자메일 네트워크

7. 업무1~ N네트워크

…

…

Trusted Pass(인증) 서비스

인증수단의한계

부정당거래의발생유형분석

Trusted Pass 서비스개요

Trusted Pass 서비스개념

Trusted Pass 서비스구조

Trusted Pass 서비스Flow & 적용방안

(은행/카드사/증권사/공공)

인증 수단의 한계

18


• 현재의 인증 수단은 메모리해킹, 스미싱, 파밍, 피싱 등의 위협에 노출되어 있음

개인정보유출

유형

공인인증서

• 공인인증서 복사 유출

• 사용자 PC에 키로깅 해킹 악성코드를 설

치하여 공인인증서 P/W 입력시 오류를

발생시키고 P/W를 탈취

OTP


치하여 OTP 인증번호 입력시 오류를 발생

시키고 인증번호를 탈취

SMS 인증

• 스미싱에 취약

• 사용자 스마트폰에 악성코드를 설치하여

소액결제 인증번호를 탈취


치하여 인증번호 입력시 오류를 발생시키

고 인증번호를 탈취

ARS 인증

• 스미싱에 취약

• 사용자 스마트폰에 악성코드를 설치하여

소액결제 인증번호를 탈취


치하여 인증번호 입력시 오류를 발생시키

고 인증번호를 탈취

부정당 거래의 발생 유형 분석

19


• 키보드로 PC에 입력하는 내용을 몰래 가로채어 기록하는 키로깅 해킹과 스마트폰 해킹을 통해 금융 정보를 취득 후 부정당

거래를 발생

정상사용자의 단말 비인가 사용자의 단말

정상사용자• 보이스 피싱등을 통해 정상사용자가 자발적

으로 금융 거래를 하게 하는 유형-

비인가 사용자

• 정상사용자의 단말에 해킹 도구를 설치하여원격으로 정상사용자에 단말에 접속하여 정상사용자로 위장해서 금융거래를 발생시키는 유형

•메모리해킹, 스미싱, 파밍, 피싱을 통해서 금융정보를 획득한 후, 정상사용자 단말에서 거래를 발생

• 키로깅 해킹, 공인인증서 탈취 등을 통해 해커가 자신의 단말기로 정상사용자로 위장해서금융 거래를 발생시키는 유형

•메모리해킹, 스미싱, 파밍 을 통해서 금융정보를 획득한 후, 원격으로 전송 받아 해커의 단말에서 금융 거래를 발생

Trusted Pass 서비스 개요

20


기존 2채널 인증

• PC에서 본인 인증 절차를 거친 후, 스마트폰을 통해 추가 인증

• 해킹 기법으로 인한 피해 차단

Trusted Pass

• 인증 채널과 서비스 채널의 분리로 인증 데이터의안정성 확보

• ID(PC), PW(본인 명의의 스마트폰) 인증 정보의분리 입력으로 인증 정보 탈취 가능성 원천 봉쇄

• 해커의 정상사용자 단말을 통한 부정당 행위 원천제거

Trusted IP Network 솔루션

• 가상 네트워크 구성

• 인증 망 별도 분리

• 단말의 접근 경로를 격리/통제

Trusted Pass 서비스 개념

21


Trusted IP Gateway

Trusted IP Gateway

인증Server

해커 PC

네트워크 차단

금융 앱(Trusted IP

Agent)

악성코드

사용자 스마트폰

사용자 PC

Access

Network

인증 단말의 네트워크를 격리하고 통제 함으로써 해커가 인증 단말에 원격접속하여 인증정보를 탈취하는 행위를

원천적으로 제거하고, 인증정보만을 전송하기 위한 별도의 전용 네트워크(VPN)를 생성하여 인증 정보를 교환.

인증 정보는 일회성 정보(OTP)를 사용하고, 입력 방식도 자동화 함으로써 키로깅 해킹을 무력화.

인터넷

OTP OTP

뱅킹Server

3G/LTE

단말의무결성지속검사및제어


이통사

Trusted Pass 서비스 구조

22


Trusted IP Gateway

Trusted IP Gateway

인증Server

사용자 스마트폰

인터넷

금융 앱(Trusted IP

Agent)

OTP

OTP

서비스Server

2 Login 요청1 ID 입력사용자 PC

3 P/W 입력 요청 Push

5 TIPN 채널 생성

4 P/W 입력을 위한 인증앱 구동

6 인증정보 생성(P/W 입력+OTP생성)

7 인증정보 전달(P/W+OTP)

8 인증 확인

9 인증 결과 통보

10 Login 완료


▶Captcha / 패턴기반인증서비스Flow

3G/LTE

사용자

사용자 PC

Trusted Pass 서비스 Flow – Captcha 기반 인증

고객사

Internet

인증 서버사용자 스마트폰

Trusted IP Gateway

그룹웨어 서버사용자 [email protected]

ID 입력1 로그인 요청2

사용자 인증 요청3

사용자 PC

홍길동[email protected]

로그인

보안터널 생성4Captcha기반

인증정보 생성/전달5

인증정보 입력6

인증정보 확인7 인증 결과 전송8

로그인 승인9

사용자 PC


로그인

00:30

PnnZ6n

24


3G/LTE

사용자

사용자 PC

Trusted Pass 서비스 Flow – 패턴 기반 인증

고객사

Internet

인증 서버사용자 스마트폰

Trusted IP Gateway

그룹웨어 서버사용자 [email protected]

ID 입력1 로그인 요청2

사용자 인증 요청3

사용자 PC


로그인

보안터널 생성4패턴 기반

인증정보 생성/전달5

인증정보 입력6

인증정보 확인7 인증 결과 전송8

로그인 승인9

사용자 PC


00:30

로그인

화면의 패턴을 따라 그려주세요.

25



▶은행Trusted Pass 서비스Flow & 적용방안

Trusted Pass 서비스 Flow

27


PC

뱅킹 서버

6 이체 신청

2 ch(안전채널)

1 ch

사용자

인증

요청

7

인증

성공

내역

전달

11

22ch 인증 요청

8

4 PW 입력

은행

안전채널

인증앱 구동& 안전채널 생성

3

인증 확인5

10

본인명의 스마트폰

1 Login 요청

9인증앱 구동& 인증정보 입력

12 이체 완료 결과 통보

Trusted Pass

인증서버

Trusted IP Border G/W

Trusted IP Service G/W

Trusted IP Manager

Trusted Pass 적용 방안 - 인터넷 뱅킹 계좌 이체

28


4로그인 승인

(본인명의 스마트폰의 인증 APP)1 로그인 정보 입력 3 네트워크 사용자 인증

5 계좌 이체 신청

PC에서 로그인을 위한 ID 입력(공인인증서 로그인의 경우,

인증서 선택)

보안채널 생성을 위한 네트워크사용자 인증

(TIPN 기술을 이용한 안전한보안채널 생성)

Trusted Pass인증 서버

본인 명의스마트폰

인증 APP을 통해 PW 입력 후 전송,입력 정보 확인 후 로그인 승인

7 계좌 이체 완료

계좌 이체 완료

6인증 정보 입력

(본인명의 스마트폰의 인증 APP)

인증 APP을 통해 보안카드번호(또는 OTP), 공인인증서 PW 입력

계좌 이체를 위한 정보입력 및계좌 이체 신청

2 사용자 인증 요청

뱅킹 서버에서 Trusted Pass 인증 서버에 로그인을 위한

사용자 인증 요청

뱅킹 서버 Trusted Pass인증 서버

Trusted Pass 적용 방안 – 인터넷 대출

29


4고객정보 확인

(본인명의 스마트폰의 인증 APP)1 신용정보조회 및 약관 동의 3 네트워크 사용자 인증

5대출금 신청


대출 신청에 대한 신용정보조회 및약관 동의



고객정보 확인 및 인증 APP을 통해휴대폰인증번호 입력

7 대출신청 완료

대출신청 완료 및 은행 승인 대기

6상품설명서 및 약정서 확인


상품설명서/약정서 확인 및 인증APP을 통해 보안카드번호(또는

OTP)/공인인증서 PW 입력

대출금 신청 및 인증 APP을 통해계좌 비밀번호 입력







Trusted Pass 적용 방안 - ATM 현금 인출

30


1 현금 인출 요청 4 네트워크 사용자 인증

5PIN 번호 인증


ATM에서 현금 인출 요청 보안채널 생성을 위한 네트워크사용자 인증


6 현금 인출 완료

본인 인증 완료 후 현금 인출 승인(거래완료)

생성된 보안채널을 통해 PIN번호입력 후 전송







2 계좌 PW 입력

계좌 PW 입력(1차 인증)

Trusted Pass 적용 방안 - ATM 현금 인출(모바일 카드)

31


4PIN 번호 인증

(본인명의 스마트폰의 인증 APP)1 모바일 카드 활성화 3 네트워크 사용자 인증

5 현금 인출 요청

ATM의 NFC 단자에 모바일을 접촉하여 모바일 카드 활성화



생성된 보안채널을 통해 PIN번호 입력 후 전송(1차 인증)

7 현금 인출 완료6계좌 PW 입력


생성된 보안채널을 통해 계좌 PW입력 후 전송(2차 인증)

ATM에서 현금 인출 요청







NFC

현금 인출 승인(거래완료)


▶카드사Trusted Pass 서비스Flow & 적용방안


33


쇼핑몰

PC

거래 승인 서버

1 Login & 결제요청2 결제 정보 전달

9 거래 승인거래 완료 결과 통보10

2 ch(안전채널)

1 ch

PG 사

사용자

인증앱(앱카드) 구동& 안전채널 생성

인증서버

인증

요청

3

인증

성공

내역

전달

8

6

통신사

4 2ch 인증 요청

PIN 입력

3G/LTE

카드사

안전채널

5

인증 확인7


4PIN 번호 인증


생성된 보안채널을 통해 PIN번호 입력 후 전송

Trusted Pass 적용 방안 예시 - 온라인 PC 웹 결제

34


1 온라인 쇼핑몰 로그인

ID/PW 입력 후 로그인

2 상품 결제

결제수단을 이용하여 상품 결제

3 네트워크 사용자 인증

보안채널 생성을 위한 네트워크 사용자 인증(TIPN 기술을 이용한 안전한 보안채널 생성)

5 결제 완료

본인 인증 완료 후 결제 승인(거래완료)

인증 서버본인 명의스마트폰

Trusted Pass 적용 방안 예시 - 모바일 결제

35


1 모바일 쇼핑몰 로그인


2 상품 결제

결제수단을 이용하여 상품 결제

4PIN 번호 인증




5 결제 완료

본인 인증 완료 후 결제 승인(거래완료)



4 신용카드 승인

본인 인증 완료 후 신용카드 승인(거래완료)




Trusted Pass 적용 방안 예시 - 오프라인 신용카드 결제

36


1 신용카드 결제 요청

카드단말기를 통해 신용카드 결제 시도

3PIN 번호 인증



4PIN 번호 인증






Trusted Pass 적용 방안 예시 - ATM 현금 서비스

37


1 현금서비스 신청

ATM에서 현금서비스 신청

2 신용카드 PW 입력

신용카드 PW 입력(1차 인증)

5 현금서비스 승인

본인 인증 완료 후 현금서비스 승인(거래완료)


▶증권사Trusted Pass 서비스Flow & 적용방안


39

PC

MTS 서버

8 2차 인증 요청

2 ch(안전채널)

1 ch

사용자

인증서버

인증

요청

2 9

인증

성공

내역

전달

7 13

통신사

5 PW 입력

증권사

안전채널

인증앱 구동& 안전채널 생성

4

인증 확인6

12


1 Login 요청

11인증앱 구동& 인증정보 입력

15 주식 거래 완료 결과 통보

3G/LTE


14 주식 거래 신청

32ch 인증 요청

10

4PIN 번호 인증



Trusted Pass 적용 방안 예시 - 온라인 PC 주식 거래

40


1 증권사 홈페이지 로그인



안전한 거래를 위한 2차 인증(인증 APP) 요청

3 네트워크 사용자 인증(중계사업자)


5 주식 거래

중계사업자인증 서버


6 거래 완료

주식 거래 완료주식계좌를 이용하여 주식 거래(매도/매수)

안전한 주식거래를 위해 스마트폰의Trusted Pass APP에서 PIN 번호를입력해 주세요.

확인

Trusted Pass 적용 방안 예시 - 모바일 APP 주식 거래

41


1 증권사 APP 로그인


4PIN 번호 인증




안전한 거래를 위한 2차 인증(인증 APP) 요청

3 네트워크 사용자 인증(중계사업자)


5 주식 거래

중계사업자인증 서버


6 거래 완료

주식 거래 완료주식계좌를 이용하여 주식 거래(매도/매수)

인증요청안전한 주식거래를 위해 스마트폰의 Trusted Pass APP에서 PIN 번호를 입력해 주세요.

PIN 요청 PIN 발급

확인


▶공공Trusted Pass 서비스Flow & 적용방안


43


민원24

PC

인증 승인 서버

1 Login & 인증요청2 인증 정보 전달

9 인증 승인인증 결과 통보10

2 ch(안전채널)

1 ch

사용자

인증앱(앱카드) 구동& 안전채널 생성

인증서버

인증

요청

3

인증

성공

내역

전달

8

6

통신사

4 2ch 인증 요청

PIN 입력

3G/LTE

행정자치부

안전채널

5

인증 확인7


3PIN 번호 인증



Trusted Pass 적용 방안 예시 - 온라인 PC 웹 인증

44


1 온라인 인증 로그인




4 인증 완료

본인 인증 완료


홍길동님께서 로그인하셨습니다.

Trusted Pass 적용 방안 예시 - 모바일 인증

45


1 모바일 인증 로그인


3PIN 번호 인증




4 인증 완료

본인 인증 완료



홍길동님께서 로그인하셨습니다.

For Trusted Networking Anywhere, Any Device

Trusted IP Network System

Thank you!

www.mobilecvg.com

* 별첨- TIPN 기본시스템구성도

- TIPN 구성요소

- TIPN Gateway 모델

- Trusted IP Network 솔루션검증내역

Trusted IP Network 기본 시스템 구성도

Terminal (Trusted IP Agent)

Desktop(Windows XP/7/8

Smartphone(Android)

Notebook(Windows XP/7/8)

ApplicationServers

Server #1

Server #2

Server #N

Network Infrastructure

Transport VPN(L3 VPN)

… …

Mobile IP VPN

TrustedDevice Manager

Security PostureManager

Trusted IPManager

LAN

WiFi

3G/LTE

인터넷

Access Network

Microwave

Trusted IPAccess G/W

Trusted IPService G/W

Trusted IP Network 구성 요소 (1)

Trusted IP Access Gateway

Authentication Redirection 기능

비정상적트래픽유형을감지하고대응하여외부해킹으로

부터인증서버보호

White List 기반TrustedIP Service Gateway에터널생성요청

인증된정상적단말(White List에등록된단말)의터널을해당

가상라우터로 집선하여Trusted IP Service Gateway로전달

Trusted IP Access Gateway와Trusted IP Service Gateway 간

접속은사전정의된L3 VPN 터널을통해접속되며,개별가상

라우터간접속을사전정의하여사용(네트워크가상화)

* Trusted AP를통해접속하는무선단말의경우Trusted AP

터널을경유하여접속되며, Trusted AP 터널은사전정의

(구성관리)된가상라우터와연결

Network

솔루션 구성

단말집선장소에 위치하여인증패킷을통합관제

네트워크에 올려주는 역할을 하며 가상 네트워크별

WhiteList기반접근통제

Trusted IP Service Gateway

Trusted IP Access Gateway와연계하여외부공격및해킹으로부터인

증서버보호

격리되어있는통합관제네트워크를통해사용자/단말별인증

사용자/단말별사전정의된네트워크VPN 터널생성/유지/삭제/관리

인증을통해허용된VPN 터널만해당가상네트워크에접속허용

(White List 기반접속제어)

사전정의된가상라우터별Mobile IP VPN 터널관리

Trusted IP Access Gateway와사전정의된L3 VPN 터널을통해가상화

네트워크상호유지

가상네트워크별정보공유및교환수행

Network

서버 집합 장소에 위치하여 Trusted IP Access Gateway

와 연계하여 가상화된 네트워크를 네트워크 및 서버별

로접근통제및관리(터널생성및종료)

49


솔루션 구성

Trusted IP Agent (Android/Windows)

인증용Parameter (기기별로고유번호통한인증기능)

기기(Trusted IP Agent)와Trusted IP Gateway 간양방

향Trusted 터널을생성∙관리∙종료하기위하여기기에

설치되는S/W

Device

Trusted IP Manager 터널,가상네트워크구성및연동관리 터널및가상경로별품질보장관리 인증서버(AAA)연계System

Security Posture Agent 접속인증및통신중에단말에설치된주요소프트웨어

요소들의무결성을검사하여감염된단말의Trusted IP

네트워크로의접속/접근을감시하여네트워크접근안

정성확보

Device

Security Posture Manager 단말의소프트웨어이미지관리

인증요청시Agent이미지와정상상태의이미지를

비교하여 변화발생시 적절한(차단)조치수행

접속중에도이미지변화시적절한(차단) 조치수행

System

Trusted Device Manager

디바이스관리및보안정책수행

디바이스의인증과정관리

디바이스 정보/상태관리

디바이스에설치된각종소프트웨어관리

System

TDM Agent

Trusted Device Manager 와연동하여인증과정관리

디바이스보안정책적용

디바이스분실관리

설치된소프트웨어관리

Device

50


51

Optional 솔루션 구성

IPSec Agent (Android/Windows) IKE Phase I / IKE Phase II 터널모드암호화/복호화제공

-ESP 프로토콜Device

IPSec VPN Device IKE Phase I / IKE Phase II 터널모드암호화/복호화제공

-ESP 프로토콜System

Secure Container Agent (Android/Windows) 다운로드파일수정및저장관리

파일변경검사Device

Secure Container Manager 단말다운로드파일수정및관리

단말파일변경실시간감시

System

Trusted IP Gateway 모델

52

Throughput

Interfaces

Operation Mode

Flow QoS

Flow Setup

Concurrent Flow

Subscriber Management

240G Multi-Shelf System 80G Single-Shelf System 20G Stand-Alone System

GigE(1Gbe/10Gbe), POS GigE(1Gbe/10Gbe), POS GigE(1Gbe/10Gbe)

Transparent Mode / Routing Mode (BGP,OSPF, VR …)

MR (Maximum Rate) / GR (Guaranteed Rate) / AR (Available Rate) / CR (Composite Rate)

1.5 M Flows / sec / Line Card

4 M Flows / Line Card

8,000 Services Classification Rules / Line Card 8,000 Services Classification Rules

4 M Flows

1.5 M Flows / sec

T240 T80 T20

Trusted IP Network 솔루션 검증 내역

고신뢰 네트워크용 Secure WiFi Solution

Trusted IP Manager : Access, Service Trusted IP Access Gateway Trusted IP Service Gateway Trusted IP Agent : Smartphone (Pantech Vega, Preload Version)

TIPN v1.0 보안 적합성 검증 획득 (Trusted WiFi, 2014년 10월 14일)

안전한 금융거래 환경 조성을 위한 실증사업”대비 선행 검증 수행 발주 기관 : 미래부/NIA 검증 기관 : ETRI 시험 내용

- Router/Gateway 보안 적합성 검증 항목- 신뢰성 : Smoke, Regression Test- 기능 : 네트워크 가상화 기반 네트워크분리 기능 (관제, 데이터 등)- QoS- 성능

시험 결과 : 적합

국가망 효율화를 위한 Trusted IP Network 시험 : 2014년 12월 5일

53

Trusted IP Network 적용 사례

주관 : NIA

과제 목적 : 네트워크 및 단말 등에 IoT SW기반의

안전하고 신뢰할 수 있는 가상화 네트워크 기술 및

보안기술을 접목하여 안전금융 거래환경을 조성하

고, 이를 확산할 수 있는 실증 시범 사업 추진

과제 기간 : ’15.05.31.~’15.12.31.

추진 개념 : “안전한 거래환경 조성을 위한 가상화

네트워크“ 정의

추진 방향

언제 어디서나 안전한 네트워크 이용을 보장하는 SW

기술 상용화

금융 SW 산업 확산 및 수출 증대

IoT SW기반“안전한 금융거래환경 조성”을 위한 실증 시범사업 참여

미래부·-NIA, TIPN기술로 안전거래환경 이끈다

미래창조과학부와 한국정보화진흥원(NIA)이 TIPN(Trusted IP Network) 기술로 안전거래 환경을 이끌기로 했다. TIPN은 가상화 기술을 통한 업무별 망분리 및 단말·사용자별 망 접근제어가 가능하고 보안이 강화된 고신뢰 네트워크를 의미한다.

미래부와 NIA는 1일 서울 청계천로 정보화진흥원에서 소프트웨어(SW) 중심사회 확산 방안의 일환으로 추진되는 'SW기반 안전한 금융거래환경 조성사업'의 착수보고회를 개최했다. 지난 5월 22일 미래부와 정보화진흥원은 'SW기반 안전한 금융거래환경조성 사업' 사업자로 콤텍정보통신-KT-오투 컨소시엄을 선정하고 협약을 체결한 바있다.

이 사업은 최근 은행의 자동입출금기(ATM), 인터넷뱅킹 등 온라인 전자금융거래의이용이 꾸준히 증가함에 따라 금융권을 대상으로 한 사이버 공격의 피해가 증가하는상황에서 '안전한 금융거래환경 구현'을 위해 추진되는 사업이다. 정부 12억5000만원을 포함 총 16억7000만원(정부, 민간 합계) 규모로 우정망의 지역청 1개소에TIPN 기술을 적용해 안전 SW 실증 시범사업을 추진할 계획이다.

이번 시범사업은 TIPN 기술에 대한 취약점 분석 및 안전성 강화를 위해 미래 네트워크선도시험망(KOREN)을 활용해 실증시험을 진행하고 취약점 및 안전성 검증 후, 우정망에(플랫폼·네트워크·단말 등) 시범 적용할 계획이다. 특히 시범사업에 도입되는 기술의 보안성 강화를 위해 취약점신고포상제(Bug bounty)를 실시해 화이트 해커들이대거 참여하는 국내 해킹대회도 개최할 예정이다.

미래부와 NIA는 이번 시범사업의 성공적 진행을 위해 우정사업본부, 우정사업정보센터, 한국전자통신연구원(ETRI) 등 관련기관과 사업에 대한 논의를 진행해 왔으며 각기관에서 참여하는 실무협의회를 구성해 사업수행을 지원하기로 협의했다.미래부 서석진 소프트웨어정책관은 "TIPN 기술을 통해 네트워크 보안기술의 국산화및 시장창출을 지원하고 국내 중소 SW 기업이 활성화 될 수 있도록 노력할 것"이라고말했다. 정보화진흥원 이재호 단장은 "이를 기반으로 국내 보안 기술의 확산과 TIPN 기술이 공공기관에 확산·적용될 수 있도록 지속적으로 지원할 것"이라고 전했다.

한편 이번 시범사업은 올해 12월까지 추진되며 이번 시범사업의 결과를 바탕으로2016년, 2017년에는 공공부문 확산을 검토할 예정이다.

아주경제(15.06.01.)

Technology

Trusted pass-간편하고 안전한 인증 솔루션