[정보보호] 모바일 보안 표준화 동향

까지 중국

보안 표준,

홈 네트워크를 위한 보안 표준, 그리고 웹서비스 보안 표준을 연구하고 있다. 홈네트워크

보안 분야에서 홈네트워크 보안 프레임워크와 홈네트워크를 위한 디바이스 인증서에 대한

표준을 개발하고 있고, 모바일 보안 분야에서 모바일 환경에서의 보안서비스(정책), 인증 구

를 표준화하

Markup

Language)의 ITU-T 표준으로의 채택을 위한 연구주제가 이번 회의부터 채택되었다. 여기

동향과 쟁점사항, 향후 추진 일정을 중심으로 설명한다.

표준 기술의 정의, 내용 개요, 진행상황

모바일 보안을 위한 3가지 보안 표준은 모두 중국의 제안으로 수행되고 있으며, 모바일 보

안 정책(서비스)의 경우 완성도 측면에서 상당한 진전이 이루어진 상태이나, 인증 구조와

상호 대응 시스템의 경우는 이제 막 개념 형성 단계에 있다.

ITU-T SG17 보안 연구과제 합동 라포터 회의가 2005년 7월 11일부터 7월 15일

센젠에서 열렸다. 현재 ITU-T SG17 WP2 연구과제 9에서는 모바일 환경을 위한

조, 그리고 상호 대응시스템(correlative reacting system) 등 세 가지 연구주제

고 있으며, 웹 서비스 보안 분야에서 기존 OASIS의 SAML(Security Assertion

서는 모바일 환경에서 보안 표준화

<그림 1> 모바일 보안 정책 모델

고 유료화된 보안 서비스를 제공하는 것은 모바일 네트워크 제공자에게 새로운

제공할 수 있다. 모바일 환경에서 보안 정책(서비스) 표준은 보안 서비스를 새

모바일 환경은 사용자들은 전세계적으로 모바일을 통하여 제공받는 서비스 이용에 대한 저

항이 인터넷의 경우보다 낮아지고 있다. 따라서, 모바일 환경에서 각 사용자에게 특성화되

부가가치를

로운 부가가

치 서비스를 개발하기 위한 일반적인 보안 모델과 관련 보안 절차, 보안 정책, 보안 정책관

련 보안 요소 집합, 그리고 이를 위한 정보 요소를 정의하고 있다. 모바일 보안 정책의 이

점을 나열하면, 순수한 이동 네트워크 환경 또는 이동 네트워크와 고정 네트워크가 상호 연

동되는 환경에서, 사용자에게 부가가치 서비스로 보안 서비스를 제공함으로써, 네트워크 운

영자에게 새로운 서비스 모델을 창출케 하고, 사용자에게 안전한 모바일 서비스를 이용 가

능케 하기 위하여 개발되고 있다. 모바일 보안 정책을 위한 모델은 그림 1과 같

청하는 발신 단말, 단말과 보안 알고리즘과 보안 수준을 협상하는 보안 게이트

수신하는 수신 단말, 그리고 보안 서비스 사용 요금 정보를 수집하는 AAA(Aut

Authorization, Accounting) 서버로 구성되어 있다. 이번 회의 동안 쟁점은 이

스는 단말과 보안 게이트웨이간의 협상을 통하여 다양한 수준의 보안 서비스를

고등급 보안 서비스의 경우 안전성이 우수한 보안 알고리즘의 사용과 가용한

서비스를 포함하도록 구성된다. 이러한 보안 수준의 결정은 단말과 보안 게이

수행되며, 보안 방식은 링크 대 링크(link-by-link) 방식이 현재 고려되고 있으나

이 호를 요

웨이, 호를

hentication,

표준의 참조

모델에 순수한 이동망 환경 이외에 송신 단말이 모바일 망에 속해 있고 수신 단말이 인터넷

에 속해 있는 ITU-T X.1121 모델을 포함할지에 대한 문제였다. 토의 결과, 이 표준은 모바

일망 환경과 더불어 ITU-T X.1121 모델에 기반을 두고 개발하기로 합의하였다. 보안 서비

제공하며,

다양한 보안

트웨이 간에

, 이는 게이

트웨이에서 사용자 트래픽이 평문 형태로 나타나게 되는 문제점이 있어서 종점간(end-to-

end) 보안 형태도 고려될 것이다. 이 표준은 모바일 망에서 새로운 부가가치를 창출할 수

있으므로, 활용도가 매우 높을 것으로 예측되고 있다.

증가하고 있

매우 중요

을 통하여

야 하는 부

담을 덜고 통일화된 인터페이스를 통하여 인증 서비스를 네트워크 제공자가 제공할 수 있다

는 측면에서 매우 필요하다. 모바일 환경을 위한 인증 구조의 경우, 모바일 단말을 세 가지

일반적인

시에 수행

서버이다. 인

는 단말 인

이터베이스 등이다. 개체 인증 센터는 제삼의 신뢰기관이며,

단말 등록 데이터베이스는 모바일 가입자 정보(단말의 초기 키, 단말을 인증하기 위한 인증

메카니즘의 유형 등의 정보 보관)를 보관한다. 인증을 위한 과정은 그림 2와 같이 초기 인

증과정(Initial authentication procedure)과 인증 확인 과정(authentication confirmation

procedure)으로 구성된다.

모바일 환경에서 인터넷 서비스 제공과 각종 금융거래를 위한 응용이 다양하게

다. 모바일 환경에서 응용을 위하여 모바일 단말과 응용서비스 서버 간에 인증은

하다. 특히 응용 서비스 제공자의 유형과 형태에 무관하게, 일반적인 인증 모델

인증 서비스를 제공하는 것은 매 응용 서비스 제공자마다 인증 서비스를 개발해

유형으로 구분하였다. 단말 유형 1은 다른 모바일 서버로부터 서비스를 제공받는

모바일 단말이고, 단말 유형 2는 서비스 제공자 역할과 서비스 사용자 역할을 동

하는 단말이며, 단말 유형 3은 네트워크 운영자 네트워크 내에 존재하는 응용

증을 위하여 정의된 개체는 3가지 개체로 구성된다. 하나는 단말이고, 다른 하나

증 센터, 그리고 단말 등록 데

<그림 2> 인증과정 및 인증 확인 과정

초기 인증 과정에서는 사용자와 인증 센터 간에 특정 인증 프로토콜을 수행하고 이 과정의

토큰을

용하여 두

번 회의에서

커버로스

말 모두가 인증센터로 접근하는 중계형(Mediation) 인증

모델의 채용도 고려해야 한다는 기고서가 일본에서 제안되었으며, 이러한 인증 모델이 기존

3GPP 인증 모델과 차별성을 두고 개발하기로 합의하였다. 이러한 인증 모델은 NGN(Next

Generation Network)에 적용될 수 있다.

부산물로 단말 한정 키를 단말과 개체 인증센터가 공유하며, 더불어 단말에게 인증

전달한다. 사용자 인증 확인 과정에서는 초기 인증에서 공유한 단말 한정 키를 이

사용자간에 안전한 통신을 위한 세션키를 생성하는 과정으로 구성되어 있다. 이

는 이러한 인증 모델 외에 인증과정에서 발신 단말만이 인증센터와 통신하는

(Kerberos) 인증 모델과 송수신 단

<그림 3> 모바일 환경에서 침해 대응을 위한 구성요소

최근에 모바일 단말을 대상으로 하는 웜과 바이러스가 보고되고 있다. 모바일 환경에서 상

관 침해 대응시스템은 이동환경에서 단말과 네트워크간의 협력을 통하여 모바일 단말의 보

안 상태를 파악하여 잠재적인 공격을 제어하는데 목적을 두고 있다. 상관 침해 대응시스템

을 위한 구성요소는 그림 3과 같이 단말에서 보안 관련 정보를 수집하는 보안 상

트, 단말로부터 보안 관련 정보를 수집하여 단말의 보안 등급을 결정하는 보안

그리고 단말의 보안 등급을 저장하고 있는 응용 서비스 제어 장치로 구성된다. 모

에 보안 상관 에이전트를 두고, 보안 단말 에이전트는 단말의 보안 관련 정보

속도 등을 제어한다. 또한, 보안 상관서버는 단말로 하여금 최신 안티 바이러스

운영체제에 대한 업데이트를 담고 있는 사이트로 이동하여 새로운 버전의 백신

제 업데이트 버전을 다운로드 받도록 유도하는 등의 행위도 수행할 수 있다. 이

써, 네트워크가 단말의 보안 상태를 감시 제어할 수 있게 판단하게 하고, 이를 근

관 에이전

상관 서버,

바일 단말

(운영체제의

버전, 안티 바이러스 소프트웨어의 버전, 단말에 존재하는 응용 서비스 목록 등)를 수집하

여 모바일 네트워크에 있는 보안 상관 서버에 전송하며, 보안 상관 서버는 수신된 정보를

근거로 이 단말에 대한 보안 등급을 판단하여 접근을 위한 범위, 접근 가능한 응용, 송수신

백신 또는

또는 운영체

렇게 함으로

거로 바이

러스 또는 웜에 오염된 단말의 행위가 네트워크에 바로 영향을 미치지 않게 할 수 있다. 이

표준은 이러한 시스템을 개발하기 위한 보안 모델을 정의하고, 여기서 필요한 정보 요소의

구조와 의미를 정의하며, 각 구성 요소의 기능과 역할을 개발한다. 이번 회의를 통하여 정

과, 이동망

다는 쟁점이 제기

되었다. 토의 결과 모든 토론 결과를 반영하여 계속 논의키로 합의하였다.

공통적으로 해결해야 할 문제는 이 표준이 3GPP, 3GPP2, 또는

다.

성과 및 국내 대응을 위한 제언

한국은 지난 3월 말 모스코바 회의에서 모바일 망을 위한 향후 추진해야 할 연구 과제를

제안하여 이를 기반으로 를 근거로

향후 NGN을 위한 모바일 망 보안 표준을 개발할 예정이다. 국내에서도 모바일 보안 관련

산업체와 연구소의 적극적인 참여와 기고가 요구되고 있는 시점이다.

염흥열 (순천향대학교 정보보호학과 교수, hyyoum@sch.ac.kr)

보 요소 교환을 위하여 이용하는 기반 프로토콜에 대한 정의가 필요하다는 쟁점

을 위한 침해대응시스템에 대한 필요성과 보안 요구사항을 분명히 해야 한

마지막으로 이 세 표준에서

ITU-T SG19 표준과 호환을 유지하고, 상호 보완적으로 개발되느냐 하는 것에 있

향후 로드맵에 관한 연구를 추진하기로 합의하였고, 이