시큐리티 하이테크 정보보안 세미나

[Key Note Speech] 소프트웨어 및 공급망 보증과 융복합SW 보안대책

고려대 SW융합대학원 교수

Smart Device – CES 2016

드론, 기저귀센서, Smart Home, 360도 동영상 카메라

lenova PC 사용 불가

중국 화이웨이 전기 다리미에 하드웨어(소프트웨어 악성코드)를 담아 중국에서 판매

 

대형 헬스케어 조직, 81% 해킹

한국에서는 성형 외과의 고객정보(부유한 사람)

미국에서는 중국으로 해킹 당한 다음 의료기관에서 모의 테스트

 

Software?

Why Software is eating the World?

전 세계 2000 기업 90%는 오픈 소스 소프트웨어를 사용할 것이다.

 

스마트 시대: 소프트웨어 중심 사회

SKADA 제어 시스템

군용 소프트웨어 개발 비용 1000억원 규모

 

소프트웨어 중심 사회의 위험: Software Bug

STUXNET: 미국의 NSA(첩보 기구) + 이스라엘

 

국내-외 소프트웨어 개발 방법 차이

요구사항 분석 및 설계 철저 그러나 코딩은 부족 – 인도로 가서 코딩

추적성이 중요

플로우 차트, 다큐멘트

 

날 코딩 & 스파게티 코딩의 폐혜

 

SOFTWARE AND SUPPLY CHAIN ASSURANCE

국토 안보부, 국방부, 상무부, 연방 정부, NSA, 조달청

2일은 비밀, 3일은 공개

 

Chatham House Rule

자기 회사와 직함은 얘기하지 않는다. 부처 이기주의를 없앤다.

토론 공간에서 자유롭게 대화.

 

믿고 사용할 수 있는 Software? Software Assurance

의도하지 않았던, 의도했던 악성코드가 들어갈 경우, 소프트웨어의 모든 취약점이 Software Assurance다

 

Cyber Ecosystem Standardization Efforts

위험 리스트를 DB로 구축

SCAP(Automation) 위험에 리스트에 대해 감지 자동화하도록 시스템으로 구축

 

SSCA History: Software & Supply Chain Assurance

연방정부 위주에서 2004년도에는 비공개에서 공개로 변경

SSCA 세미나 3월 7일 시작

 

Assurance relative to Trust

질 Quality 안전함 Safety 보안 Security

 

DHS Software Assurance Program Overview

소프트웨어 취약점, 공격점을 최소화할 것 인가.
사람, 프로세스(절차 Process), 기술(Technology), 조달(Acquisition)

 

MS SDL

마이크로소프트사가 10년 전에 Trustworthy Computing이라는 것을 시작하여 MS SDL로 발전

Secure Design, Secure coding. 전 직원이 1년 마다 교육받는다

 

SWA(Software Assurance)

조달 과정에서 안전한 소프트웨어를 조달 받을 수 있을까?

 

NIST SP 800 -64 System Development Life Cycle

SDLC 참조 문서를 보며 안전하게 개발

 

Executive Order[EO] 13636 표준 모델 – Framework Core

국가 안전을 위해 미국 오바마 대통령이 명령

 

Software SCA

배포과정에서 소프트웨어가 오염되지 않도록. 부품들이 공급망에서부터 조심

 

SCRM SP-161번 문서

 

Smart Medical: ICT + Smart Device [IoT]

화살표에서는 고민해야 한다.

ISO 27799

 

Smart Manufacturing

 

UL – Cyber

 

보안 시장, 하드웨어 보안으로의 발전

박두진 ICTK 부사장

VIA PUF & PUF

인증 사업(결제 관련 인증) 보안 관련 세계적인 트렌드(Trend) 하드웨어 식으로 보안

 

ICTK 스마트 카드, Payment, 하드웨어 보안 PUF

 

현 보안 시스템의 상황

메모리 기반의 Key 관리 시스템이 핵심 기반이다.

-      Key는 소프트웨어에 의해서 만들어지고 있다.

해커들은 항상 이 저장된 KEY를 훔쳐가려고 한다.

하드웨어가 혼용된 Key 관리 시스템으로 변화하고 있다.

대체 기술로 PUF를 연구 중이다.

 

PUF란 무엇인가?

Physical Unclonable Function

물리적으로 복제 불가능하다.

PUF의 구비조건

-      예측 할 수 없어야 한다.

-      복제 불가능해야 한다.

-      반복성이 좋아야 한다.

-      Random 성이 확보해야 한다.

PUF의 종류

MIT에서 똑 같은 반도체 소자로 반도체의 특성에 따라 data를 만듬

Philips 인버터 특성 차이를 이용해 정 방향 역 방향

 

기존 PUF의 문제점

-      양산 불가능

-      온도나 습도 등의 환경 변화에 예민하게 반응한다.

-      반복성이 나쁘다

-      반복성을 개선하기 위한 후속 조치가 필요하다.

-      보통 ECC를 사용한다.

-      설계 부담과 test 시간이 길어져 생산 비용이 증가가 큰 부담이다.

-      효율적인 ECC가 관건이나 확실한 대안이 필요하다.

 

VIA PUF는 무엇인가?

-      VIA hole을 이용

-      적절한 크기의 hole을 주면 반도체 공정에서 open 또는 short가 형성

-      open과 short가 랜덤적으로 생성

-      open : short  50:50

 

검증된 기술

-      삼성, DongBu Hiteck 개발 진행

 

VIA PUF의 장점

-      우수한 반복성

-      높은 수준의 Random 성

-      쉽게 PUF 개수를 조정

 

PUF의 독창성

물리적 구조에서 KEY를 생성한다. 사용 후 KEY를 없앤다.

KEY는 필요 시 재 생성한다.

메모리에 저장할 필요가 없다.

해커가 훔쳐 갈 곳이 없다.

 

PUF의 기본 응용 분야

안전한 ID로 사용 가능

PKI 환경에서 안전한 Private Key로 사용 가능

안전한 암호화 된 data 저장

 

안전한 ID

VIA PUF가 제공하는 하나 뿐인 ID, 복제 불가능한 ID

드론을 하이 제킹할 수 있음 그러나 PUF로는 안전함.

 

안전한 Private Key

VIA PUF는 PKI 시스템에서 안전한 Private Key를 제공

복제나 복사 될 위험 없음.

FIN Tech에 적합(공인 인증서 대체, OTP 대체, U2F)

IoT 센서에 적용 가능한 지 적용 중.

 

안전한 data 암호화 / 저장

암호화하여 NVM에 저장

VIAPUF Key는 사용 후 파괴되어, NVM에 저장하지 않음.

 

Giant

사물 인증, 정품/ 가품 인증, 16년 5월

보드 가격에 대해서는 양이 많다는 전제 하 50 cent

 

정품인증 Anti-Counterfeit

안전한 data 암호화/저장 기술을 이용

배터리, 액세서리, 드론, 전자담배 카트리지, 고가품, 옷, 시계 진품 확인

 

 

이기종 방화벽 및 네트워크 보안정책관리 솔루션

이정상(더보안 기술컨설팅팀 이사)

이기종 방화벽 및 네트워크 보안정책 관리

방화벽은 필수 아이템

 

실무자만 아는 보안/네트워크 정책관리

사이트에서 사용하는 방화벽 운영 연말 감사에 문제 발생, 보안 사고에서 허용 안 되는 정책 실시했는가

운영 실무자 입장에서 감사를 준비하기 위해 퇴근을 못함.

정책이 들어간 것을 스크린 샷으로 Excel에 저장

네트워크 내용은 Notepad에 저장

시스템 상의 문제를 검출하기 위해 Excel, NotePad를 살펴보고 있음.

 

방화벽 보안 정책

중국인 2명, 면세구역서 출국장 들어가 출입문 뜯고 밀입국, 잠김 풀린 문, 느슨한 경비, 공항 측 하루 지나서야 알아챔

 

물리적 보안사고로부터 교훈

이기종 & 다수의 방화벽: 운영 주체에 따라 제어 업무가 다를 수 있음. 관리 정책 운용

과다 정책: 허용되는 과다 정책 설정에 따라 허가 받지 않는 Access 승인, 트래픽 플로우 분석을 통한 정밀한 Access 정책

중복 정책: 방화벽 규칙 및 정책이 중요

감사: 사고 발생 후 원인이 되는 정책을 알아야 함.

 

비즈니스 기본 인프라의 핵심: 보안, 신뢰성, 속도

완벽한 보안, 견고한 신뢰성, 더 빠른 속도

 

비즈니스 요구에 따른 트래픽 증가와 보안위협 식별

글로벌 IP 트래픽 연평균 증가율 23%(1000페타바이트 = 엑사바이트 단위)

패킷과 패킷 사이의 통과 시간이 존재하는데, 이 시간에 방화벽이 통과시킬 것인지 검증

기업 데이터 유출 및 탈취 30%

비즈니스 네트워크 및 서비스 애플리케이션 공격 70%

 

보안정책 실무 주요 이슈

보안 실무 담당자는 관리하고 있는 모든 서비스의 내용과 특성을 파악하고 있지 않음

정책신청자

정책관리는 업무 수신 부서로부터 요청한 모든 정책들에 대한 신청서 온전히 남아 있지 않음

 

방화벽/네트워크 보안정책 복잡도 증가와 위험

시스템다운 타임 위협

기밀 데이터 유출

 

비즈니스 위험 해결 방안

예측 불가의 시스템 다운타임 위협 – 분산서비스 공격 DDoS

네트워크 가용성에 대한 공격

기밀 데이터 유출 위협 – 악성 코드 취약점을 이용한 공격

해결 방안: 방화벽 네트워크 보안 정책 최적화 + 정책 통합 관리

 

보안정책 관리 솔루션을 위한 프로세스 개선

1단계: Configuration 분석

2단계: Traffic 트래픽 분석

3단계: 정책화

4단계: Clean 최적화

 

보안정책관리 솔루션 도입 개선 효과

6% 기밀 데이터 및 자산 유출 방지에 따른 연간 비즈니스 평균 이익 확보

20% 네트워크 가용성 보장 연간 비즈니스 평균 이익 확보

2분 방화벽, 네트워크 보안 규칙 분석시간 개선

10분 미사용 정책, 과다 정책, 소요시간 개선

 

보안정책관리 프로세스 개선을 위한 시스템 구성 예시

관리자/운영자 -> 정책관리 어플라이언스 -> 데이터 수집 어플라이언스 -> 방화벽

 

 

 

고도화된 랜섬웨어 대책 및 해결방안

김종필(소프트캠프 상무)

보안 업계의 핫-이슈: 랜섬웨어, 서비스와 솔루션

 

고도화된 랜섬웨어란?

보안사고는 피해에서 금전요구로 전환

기존의 바이러스들이 행위 기반(심리)에서 특정 목적까지 발발.

실질적으로 사회적으로 이슈 된 것은 한국 수력 원자력 내부 PC파괴

랜섬웨어는 외형적으로 보이지는 않으나 문서에 숨겨진 쉘코드가 작동

문서를 중점적으로 가상화 기반으로 대용량 파일 관리하는 솔루션 출시.

 

문서형 악성 코드

문서형과 실행형 악성 코드

문서형 악성 코드(Non-PE Exploit) 공격의 특징은 제로데이 형태의 APT로 유입되어 있다고 가정

 

랜섬웨어 악성코드 개요

일반적인 랜섬웨어의 유형 해커집단 서로가 사용자 컴퓨터의 주인이라고 행세

대규모 피해 사례는 고도화되는 랜섬웨어로 금전 피해 증가.

 

악성코드 현황 및 현상

표적 공격의 91%는 스피어 피싱 이메일로 시작되어 94%는 파일을 첨부

 

공격 사례 기업 임직원 대상 – CEO 메시지

PC가 잠김, 심지어 스마트 폰도 잠김 – 크립토 락커, CTB 락커

공격사례, 도로, 항공, 교통 등 주요 공공 기관 대상

의사 전달 과정에서 문서, 이 메일(E-mail) 중심이라 피해가 심각함.

사회적 공격 분석 방법

 

랜섬웨어 공격 감염 메시지

Your computer has been Locked!

 

문서 검진 서비스를 통한 램섬웨어 대응 방법

잠재적인 위험을 선제적으로 대응하는 서비스,

비정상문서를 찾기 위한 구문 분석 및 휴래스틱 분석

가상화 격리 환경 V-Room 에서의 문서 진단

서비스 Flow