Trusted pass-간편하고 안전한 인증 솔루션

Trusted IP Network 솔루션 소개
2015.09
Copyright © 2015 Mobile Convergence Co.,Ltd. All rights reserved.
- 네트워크 가상화 기반 네트워크(망) 분리 및 인증 中心 -

목 차
 Trusted IP Network 개요
 Trusted IP Network 기반 네트워크(망) 분리
 Trusted Pass (인증) 서비스
* 별 첨

Trusted IP Network 개요
IPNetwork현황및이슈사항
서킷네트워크vs패킷네트워크
TrustedIPNetwork구성
IPMobility의보장
TrustedIPNetwork의특장점

IP Network 현황 및 이슈 사항
4
Client
Terminal
Access
Network
Edge
Network
(Router)
IP
Network
Edge
Network
(Router)
Server
Access
Network
( )LAN, WiFi
3G/LTE…
전달망
정상행위 이상행위
정상
사용자
OK FDS
비인가
사용자
- ?
Terminal Network Server
App
격리
• 다수의 App이 PC 자원을 공유 • 다수의 App이 하나의 IP 네트워크 공유 • 물리적 다수의 서버 사용
☞ 단말가상화 ☞ VLAN, VPN ☞ 서버 가상화
접근
제어
• ID/PW(단순문자열 조합)
• 생체인식
• IP 네트워크 단순 전달망으로 접근 제어 기능 부재
• ID/PW
• 인증서, OTP, 생체인식 등
(VPN, NAC)
( )F/W, IPsec, IDS/IPS,
UTM, WAF…
위조 패킷에 대한 대응 부재 위조 패킷에 대한 대응 부재
패턴 기반 시스템으로 미탐/과탐

서킷 네트워크 vs. 패킷 네트워크
5
Trusted IP Network 개요Trusted IP Network 개요
Trusted IP Network
패킷 네트워크를
서킷 네트워크처럼!!
(Circuit Level IP Network)
위험
서킷
네트워크의
보안성
효율
패킷
네트워크의
효율성
Router Router
IP Network
DATA
TCP
Header
IP
Header
Ethernet
Header
①패킷 생성
②패킷 단위 전송
③패킷 수신 ④패킷 해제
Router는 사용자
인식 등의
접근 제어 불가
위변조에 취약한 TCP/IP 의 구조
(네트워크 격리구조 불가)
PBX
(Gateway)
PBX
(Gateway)
PSTN Server
PSTN
call
①접속 요청
②종단 확인
③채널 설정
④채널 형성 & 정보 교환
Modem Modem
PBX 는 서버와 우선
통신하여 신원을 확인

Trusted IP Network 구성
6
Trusted IP Network 개요Trusted IP Network 개요
IP 네트워크 상에 서킷 네트워크의 관제 도메인 기능을 별도의 가상 네트워크로 구현하고
필요한 만큼의 분리된 네트워크를 가상화 기술로 생성
업무용 앱
(Trusted IP
Agent)
RCS
LAN
WiFi
3G/LTE
인터넷
Access
Network
Microwave
VR
VR
VR
VR
VR
VR
…
통합관제플랫폼
관제 네트워크 VPT
White List
Trusted IP
Access Gateway
Trusted IP
Service Gateway
VRn
VR2
VR1
…
해커 PC
단말인증시
네트워크 차단

IP Mobility의 보장
7
BO (서울) IDC
VR-M
VR1
…
VR2
VR-M
VR1
…
VR2
VRn
VRn
BO (부산)
VR-M
VR1
…
VR2
VRn
VR2
VR2
VRn
VRn
VR-M
VR-M
VR2
VR2
VRn
VRn
VR-M
VR-M
사용자는 특정 지점에서
허용된 VR 터널을 통해 인
가된 서버 리소스에만 접
근 가능
다른 지점 이동 시에는, 이
전의 터널은 소멸되고, 이
동 위치에 생성되는 터널
만 유효하므로, 리소스접
근 권한은 동일함

Trusted IP Network의 특장점
8
가상화 기술 기반의 네트워크 분리
관제와 데이터 도메인의 격리
IP 네트워크의 이동성 제공
목적 별/서비스 별 서버 분리 및
Alias Server Address를 통한 서버 은닉 Trusted IP Network
非인증 상태에서는 네트워크상의
모든 구성요소가 보이지 않는 네트워크
Stealth Network

Trusted IP Network 기반 네트워크(망) 분리
물리적망분리
논리적망분리
네트워크(망)분리방식비교
현행네트워크분리기술의이슈사항
TIPN기반의네트워크(망)분리
TIPN기반네트워크(망)분리의개념
적용방안

물리적 망 분리
 물리적 망 분리는 인터넷망과 업무망을 물리적으로 망을 분리할 뿐만 아니라 각 망에 접속하는 PC도 물리적으로 분리
하여 망 간 접근경로를 차단하는 방식입니다.
10
외부
인터넷
DMZ
웹 메일 패치관리
업무서버 영역
업무망
DB 응용서버업무서버
인터넷망
라우터 침입차단 시스템
스위치 백본 스위치
인터넷PC
업무PC

논리적 망 분리
 서버 가상화 기반 망 분리(SBC) 기술은 인터넷 접속, 업무 수행 등 기존 PC에서 수행했던 작업을 가상화 서버 등에 접속하여 수행합니다.
 클라이언트 기반 망 분리 (CBC) 기술은 인터넷 접속 등의 작업을 단말 기반 가상화 기술이 적용된 영역에서 수행합니다.
11
외부
인터넷
가상화 서버팜
가상화 서버
인터넷망
업무망
사용자 PC
서버 접속용
프로그램로컬영역
(업무망)
외부
인터넷
업무망
사용자 PC
하드웨어
운영체제
가상화 영역
가상영역
(인터넷망)
로컬영역
(업무망)
VPN IP Packet
라우터 침입차단 시스템 스위치 백본 스위치
<서버 가상화 기반 망 분리> <단말 가상화 기반 망 분리>

네트워크(망) 분리 방식 비교
12
구분 물리적 망 분리 서버 가상화 기반 망 분리(SBC) 클라이언트 기반 망 분리 (CBC)
네트워크
분리
(업무 네트워크, 인터넷 네트워크 등)
미분리
(단일 네트워크)
미분리
(단일 네트워크)
운영방법
업무용 PC와 인터넷
PC로 물리적 분리
(PC 2대 사용)
인터넷 망은 서버를 통해
업무망은 PC로 분리
PC 등의 단말 가상화를 통해
인터넷 영역과 업무영역 분리
도입비용
높음
(추가 PC, 이중망 구축)
보통
(서버팜 구축)
낮음
(추가 장비 최소화)
추가 장비
- 별도의 PC 1대 추가
- 라이선스(OS, Office)
- 별도 네트워크 구축
(라우터, 스위치, 방화벽)
- 서버팜(서버, 스토리지 등)
- 서버접속용 스위치
- 가상화 소프트웨어
- PC 기반 솔루션
- VPN 장비 및 VDI 등
보안
높음
(물리적 분리)
낮음
(서버에서 인터넷 사용)
낮음
(PC에서 인터넷 사용)
장점 해커의 직접적인 접근 차단
- 문서 보안 등 높은 보안성
- PC 대비 업무환경 TCO 우수
- 저사양 기존 PC 자원의 활용
- 도입비용 최소화
- 단일 PC 자원의 활용
단점
- 비효율성(비용, 유지/관리 등)
- 업무효율성 저하
- 회선 임대비용 급증
- 최초 도입비용 높음
- 네트워크 대역폭 증가
- 확장성 제한
- 고장 발생시 복구 어려움
- PC 호환성 및 보안 프로그램 충돌 문
제

현행 네트워크 분리 기술의 이슈 사항
 네트워크의 분리, 안전성, 경제성 및 확장성 등이 네트워크 분리 도입 전에 고려되어야 합니다.
13
• 경제성이 담보되면서 물리적 네트워크 분리 수준 이상의 보안성 담보
• 외부 및 내부 위협에 대한 대응력 확보
• 업무효율 향상을 통한 경제성이 담보된 인프라
• 스마트 모바일, IoT 단말 등 새로운 환경에 확장이 용이한 네트워크 인프라 구축
안전하면서 효율적인 네트워크 분리를 위한 해결과제
기존 네트워크 인프라를 네트워
크 분리 기술을 이용하여 인터
넷 네트워크와 업무네트워크로
분리
네트워크의 안정성을
보장하기 위해 접근제어 시스템
을 분리하여 관리
네트워크분리및격리
접속 인가된 단말의
무결성 지속 검사 및
제어
인가된 단말 또는
악의적 목적의
내부자들의 비정상적
행위 제어
보안위협
업무 효율성 저하 없이 경제적
네트워크 분리 구축
비용 및 유지/관리 비용 필요
비즈니스 경쟁력 강화를
위한 스마트워크,
모바일 오피스, 클라우드
사무환경 제공
경제성및 확장성

TIPN 기반의 네트워크(망) 분리
 Trusted IP Network는 “네트워크 VPN과 Virtual Router 기반의 네트워크 가상화” 기술을 근간으로 언제 어디서든 안심하고
정보를 유통할 수 있는 폐쇄형 IP 네트워크 입니다.
14
가상 네트워크 기반의 안전하고 효율적인 솔루션
• 인가된 기기와 사용자에 한하여
권한에 따라 가상 네트워크별
접근 허용
• 내부자에 의한 개인정보 대량
유출 등 비정상적 행위에 대해
실시간으로 판단 및 제어하는
기능 구비
보안위협제거 경제성및 확장성확보
• 기존에 구축된 네트워크 자원을
활용하여 필요한 수 만큼 격리된
가상네트워크를 생성하여 구축
및 운영 비용 절감
• 단말 가상화 솔루션과 연계 시,
최소의 단말로 다양한 업무 및
인터넷 사용 가능(단말 구매비용
및 전력 사용량 최소화)
네트워크분리및격리
• 완벽하게 분리된 논리적 네트워크
경계 제공
• 안전한 접속 환경을 제공하기 위해
네트워크 관리 도메인을 데이터
도메인으로부터 완벽하게 분리
• 보안 강화를 위하여 외부에 노출되
는 관리 서버 및 응용 서버의 주소
은닉 제공

Client PC IDC
TIPN 기반 네트워크(망) 분리의 개념
15
Service #A Network #A
Untrusted Network
단말/서버 네트워크
App 격리
가상화
(SBC, CBC)
X
접근제어

(ID/PW…)
X
비정상 트래픽 제어 기능 부재
정상 행위 이상 행위
정상 사용자 OK ?
비인가 사용자 - ?
단말 가상화 솔루션Trusted IP Network
Service #B Network #B
TIPN 기반
네트워크 가상화
IP NetworkTrusted IP Network

적용 방안
16
네트워크/시스템
모니터링 서버
백신/보안 패치 서버
에이전트 업데이트 서버
서비스 통합 인증서버
그룹웨어 서버
전자메일 서버
인터넷 서비스
업무 서버
(ERP, SCM, SFA 등)
Trusted IP
Access Gateway
Trusted IP
Service Gateway
1. 관리 네트워크
3. 인증 네트워크
2. 패치 네트워크
0. 관제 네트워크 VPT
White List
Microwave
LAN
WiFi
3G/LTE
인터넷
Access
Network
데이터 센터 운영인력
사용자 단말(PC)
일반 업무 사용자
사용자 단말(PC)
4. 그룹웨어 네트워크
6. 인터넷
5. 전자메일 네트워크
7. 업무1~ N네트워크
…
…

Trusted Pass(인증) 서비스
인증수단의한계
부정당거래의발생유형분석
TrustedPass서비스개요
TrustedPass서비스개념
TrustedPass서비스구조
TrustedPass서비스Flow & 적용방안
(은행/카드사/증권사/공공)

인증 수단의 한계
18
• 현재의 인증 수단은 메모리해킹, 스미싱, 파밍, 피싱 등의 위협에 노출되어 있음
개인
정보유출
유형
공인인증서
• 공인인증서 복사 유출
• 사용자 PC에 키로깅 해킹 악성코드를 설
치하여 공인인증서 P/W 입력시 오류를
발생시키고 P/W를 탈취
OTP
치하여 OTP 인증번호 입력시 오류를 발생
시키고 인증번호를 탈취
SMS 인증
• 스미싱에 취약
• 사용자 스마트폰에 악성코드를 설치하여
소액결제 인증번호를 탈취
치하여 인증번호 입력시 오류를 발생시키
고 인증번호를 탈취
ARS 인증
• 스미싱에 취약
• 사용자 스마트폰에 악성코드를 설치하여
소액결제 인증번호를 탈취
치하여 인증번호 입력시 오류를 발생시키
고 인증번호를 탈취

부정당 거래의 발생 유형 분석
19
• 키보드로 PC에 입력하는 내용을 몰래 가로채어 기록하는 키로깅 해킹과 스마트폰 해킹을 통해 금융 정보를 취득 후 부정당
거래를 발생
정상사용자의 단말 비인가 사용자의 단말
정상사용자
• 보이스 피싱등을 통해 정상사용자가 자발적
으로 금융 거래를 하게 하는 유형
-
비인가 사용자
• 정상사용자의 단말에 해킹 도구를 설치하여
원격으로 정상사용자에 단말에 접속하여 정상
사용자로 위장해서 금융거래를 발생시키는 유
형
• 메모리해킹, 스미싱, 파밍, 피싱을 통해서 금융
정보를 획득한 후, 정상사용자 단말에서 거래
를 발생
• 키로깅 해킹, 공인인증서 탈취 등을 통해 해
커가 자신의 단말기로 정상사용자로 위장해서
금융 거래를 발생시키는 유형
• 메모리해킹, 스미싱, 파밍 을 통해서 금융정보
를 획득한 후, 원격으로 전송 받아 해커의 단
말에서 금융 거래를 발생

Trusted Pass 서비스 개요
20
기존 2채널 인증
• PC에서 본인 인증 절차를 거친 후,
스마트폰을 통해 추가 인증
• 해킹 기법으로 인한 피해 차단
Trusted Pass
• 인증 채널과 서비스 채널의 분리로 인증 데이터의
안정성 확보
• ID(PC), PW(본인 명의의 스마트폰) 인증 정보의
분리 입력으로 인증 정보 탈취 가능성 원천 봉쇄
• 해커의 정상사용자 단말을 통한 부정당 행위 원천
제거
Trusted IP Network 솔루션
• 가상 네트워크 구성
• 인증 망 별도 분리
• 단말의 접근 경로를 격리/통제

Trusted Pass 서비스 개념
21
Trusted IP
Gateway
Trusted IP
Gateway
인증
Server
해커 PC
네트워크 차단
금융 앱
(Trusted IP
Agent)
악성코드
사용자 스마트폰
사용자 PC
Access
Network
인증 단말의 네트워크를 격리하고 통제 함으로써 해커가 인증 단말에 원격접속하여 인증정보를 탈취하는 행위를
원천적으로 제거하고, 인증정보만을 전송하기 위한 별도의 전용 네트워크(VPN)를 생성하여 인증 정보를 교환.
인증 정보는 일회성 정보(OTP)를 사용하고, 입력 방식도 자동화 함으로써 키로깅 해킹을 무력화.
인터넷
OTP OTP
뱅킹
Server
3G/LTE
단말의 무결성 지속
검사 및 제어

이통사
Trusted Pass 서비스 구조
22
Trusted IP
Gateway
Trusted IP
Gateway
인증
Server
사용자 스마트폰
인터넷
금융 앱
(Trusted IP
Agent)
OTP
OTP
서비스
Server
2 Login 요청1 ID 입력
사용자 PC
3 P/W 입력 요청 Push
5 TIPN 채널 생성
4 P/W 입력을 위한 인증앱 구동
6 인증정보 생성(P/W 입력+OTP생성)
7 인증정보 전달(P/W+OTP)
8 인증 확인
9 인증 결과 통보
10 Login 완료

▶Captcha/패턴기반인증서비스Flow

3G/LTE
사용자
사용자 PC
Trusted Pass 서비스 Flow – Captcha 기반 인증
고객사
Internet
인증 서버사용자 스마트폰
Trusted IP Gateway
그룹웨어 서버사용자 PC
mobilecvg@gmail.com
ID 입력1 로그인 요청2
사용자 인증 요청3
사용자 PC
홍길동
mobilecvg@gmail.com
로그인
보안터널 생성4
Captcha기반
인증정보 생성/전달
5
인증정보 입력6
인증정보 확인7 인증 결과 전송8
로그인 승인9
사용자 PC
홍길동
mobilecvg@gmail.com
로그인
00:30
PnnZ6n
24

3G/LTE
사용자
사용자 PC
Trusted Pass 서비스 Flow – 패턴 기반 인증
고객사
Internet
인증 서버사용자 스마트폰
Trusted IP Gateway
그룹웨어 서버사용자 PC
mobilecvg@gmail.com
ID 입력1 로그인 요청2
사용자 인증 요청3
사용자 PC
홍길동
mobilecvg@gmail.com
로그인
보안터널 생성4
패턴 기반
인증정보 생성/전달
5
인증정보 입력6
인증정보 확인7 인증 결과 전송8
로그인 승인9
사용자 PC
홍길동
mobilecvg@gmail.com
00:30
로그인
화면의 패턴을 따라 그려주세요.
25

▶은행TrustedPass 서비스Flow & 적용방안

Trusted Pass 서비스 Flow
27
PC
뱅킹 서버
6 이체 신청
2 ch
(안전채널)
1 ch
사용자
인
증
요
청
7
인
증
성
공
내
역
전
달
11
2
2ch 인증 요청
8
4 PW 입력
은행
안전채널
인증앱 구동
& 안전채널 생성
3
인증 확인
5
10
본인명의 스마트폰
1 Login 요청
9
인증앱 구동
& 인증정보 입력
12 이체 완료 결과 통보
Trusted
Pass
인증서버
Trusted IP
Border G/W
Trusted IP
Service G/W
Trusted IP
Manager

Trusted Pass 적용 방안 - 인터넷 뱅킹 계좌 이체
28
4
로그인 승인
(본인명의 스마트폰의 인증 APP)1 로그인 정보 입력 3 네트워크 사용자 인증
5 계좌 이체 신청
PC에서 로그인을 위한 ID 입력
(공인인증서 로그인의 경우,
인증서 선택)
보안채널 생성을 위한 네트워크
사용자 인증
(TIPN 기술을 이용한 안전한
보안채널 생성)
Trusted Pass
인증 서버
본인 명의
스마트폰
인증 APP을 통해 PW 입력 후 전송,
입력 정보 확인 후 로그인 승인
7 계좌 이체 완료
계좌 이체 완료
6
인증 정보 입력
(본인명의 스마트폰의 인증 APP)
인증 APP을 통해 보안카드번호
(또는 OTP), 공인인증서 PW 입력
계좌 이체를 위한 정보입력 및
계좌 이체 신청
2 사용자 인증 요청
뱅킹 서버에서 Trusted Pass
인증 서버에 로그인을 위한
사용자 인증 요청
뱅킹 서버 Trusted Pass
인증 서버

Trusted Pass 적용 방안 – 인터넷 대출
29
4
고객정보 확인
(본인명의 스마트폰의 인증 APP)1 신용정보조회 및 약관 동의 3 네트워크 사용자 인증
5
대출금 신청
대출 신청에 대한 신용정보조회 및
약관 동의
사용자 인증
고객정보 확인 및 인증 APP을 통해
휴대폰인증번호 입력
7 대출신청 완료
대출신청 완료 및 은행 승인 대기
6
상품설명서 및 약정서 확인
상품설명서/약정서 확인 및 인증
APP을 통해 보안카드번호(또는
OTP)/공인인증서 PW 입력
대출금 신청 및 인증 APP을 통해
계좌 비밀번호 입력
Trusted Pass
인증 서버
본인 명의
스마트폰
인증 서버

Trusted Pass 적용 방안 - ATM 현금 인출
30
1 현금 인출 요청 4 네트워크 사용자 인증
5
PIN 번호 인증
ATM에서 현금 인출 요청 보안채널 생성을 위한 네트워크
사용자 인증
6 현금 인출 완료
본인 인증 완료 후 현금 인출 승인
(거래완료)
생성된 보안채널을 통해 PIN번호
입력 후 전송
Trusted Pass
인증 서버
본인 명의
스마트폰
인증 서버
2 계좌 PW 입력
계좌 PW 입력(1차 인증)

Trusted Pass 적용 방안 - ATM 현금 인출(모바일 카드)
31
4
PIN 번호 인증
(본인명의 스마트폰의 인증 APP)1 모바일 카드 활성화 3 네트워크 사용자 인증
5 현금 인출 요청
ATM의 NFC 단자에 모바일을 접촉
하여 모바일 카드 활성화
사용자 인증
생성된 보안채널을 통해 PIN번호 입
력 후 전송(1차 인증)
7 현금 인출 완료6
계좌 PW 입력
생성된 보안채널을 통해 계좌 PW
입력 후 전송(2차 인증)
ATM에서 현금 인출 요청
Trusted Pass
인증 서버
본인 명의
스마트폰
인증 서버
NFC
현금 인출 승인(거래완료)

▶카드사Trusted Pass서비스Flow & 적용방안

33
쇼핑몰
PC
거래 승인 서버
1 Login & 결제요청
2 결제 정보 전달
9 거래 승인거래 완료 결과 통보10
2 ch
(안전채널)
1 ch
PG 사
사용자
인증앱(앱카드) 구동
인증서버
인
증
요
청
3
인
증
성
공
내
역
전
달
8
6
통신사
4 2ch 인증 요청
PIN 입력
3G/LTE
카드사
안전채널
5
인증 확인7

4
PIN 번호 인증
생성된 보안채널을 통해 PIN번호 입력 후 전송
Trusted Pass 적용 방안 예시 - 온라인 PC 웹 결제
34
1 온라인 쇼핑몰 로그인
ID/PW 입력 후 로그인
2 상품 결제
결제수단을 이용하여 상품 결제
3 네트워크 사용자 인증
보안채널 생성을 위한 네트워크 사용자 인증
(TIPN 기술을 이용한 안전한 보안채널 생성)
5 결제 완료
본인 인증 완료 후 결제 승인(거래완료)
인증 서버
본인 명의
스마트폰

Trusted Pass 적용 방안 예시 - 모바일 결제
35
1 모바일 쇼핑몰 로그인
2 상품 결제
결제수단을 이용하여 상품 결제
4
PIN 번호 인증
5 결제 완료
본인 인증 완료 후 결제 승인(거래완료)
인증 서버
본인 명의
스마트폰

4 신용카드 승인
본인 인증 완료 후 신용카드 승인(거래완료)
인증 서버
본인 명의
스마트폰
Trusted Pass 적용 방안 예시 - 오프라인 신용카드 결제
36
1 신용카드 결제 요청
카드단말기를 통해 신용카드 결제 시도
3
PIN 번호 인증

4
PIN 번호 인증
인증 서버
본인 명의
스마트폰
Trusted Pass 적용 방안 예시 - ATM 현금 서비스
37
1 현금서비스 신청
ATM에서 현금서비스 신청
2 신용카드 PW 입력
신용카드 PW 입력(1차 인증)
5 현금서비스 승인
본인 인증 완료 후 현금서비스 승인(거래완료)

▶증권사Trusted Pass서비스Flow & 적용방안

39
PC
MTS 서버
8 2차 인증 요청
2 ch
(안전채널)
1 ch
사용자
인증서버
인
증
요
청
2 9
인
증
성
공
내
역
전
달
7 13
통신사
5 PW 입력
증권사
안전채널
인증앱 구동
4
인증 확인
6
12
1 Login 요청
11
인증앱 구동
& 인증정보 입력
15 주식 거래 완료 결과 통보
3G/LTE
14 주식 거래 신청
3
2ch 인증 요청
10

4
PIN 번호 인증
Trusted Pass 적용 방안 예시 - 온라인 PC 주식 거래
40
1 증권사 홈페이지 로그인
안전한 거래를 위한 2차 인증(인증 APP) 요청
3 네트워크 사용자 인증(중계사업자)
5 주식 거래
중계사업자
인증 서버
본인 명의
스마트폰
6 거래 완료
주식 거래 완료주식계좌를 이용하여 주식 거래(매도/매수)
안전한 주식거래를 위해 스마트폰의
Trusted Pass APP에서 PIN 번호를
입력해 주세요.
확인

Trusted Pass 적용 방안 예시 - 모바일 APP 주식 거래
41
1 증권사 APP 로그인
4
PIN 번호 인증
안전한 거래를 위한 2차 인증(인증 APP) 요청
3 네트워크 사용자 인증(중계사업자)
5 주식 거래
중계사업자
인증 서버
본인 명의
스마트폰
6 거래 완료
주식 거래 완료주식계좌를 이용하여 주식 거래(매도/매수)
인증요청
안전한 주식거래를 위해 스마트
폰의 Trusted Pass APP에서 PIN
번호를 입력해 주세요.
PIN 요청 PIN 발급
확인

▶공공TrustedPass서비스Flow & 적용방안

43
민원24
PC
인증 승인 서버
1 Login & 인증요청
2 인증 정보 전달
9 인증 승인인증 결과 통보10
2 ch
(안전채널)
1 ch
사용자
인증앱(앱카드) 구동
인증서버
인
증
요
청
3
인
증
성
공
내
역
전
달
8
6
통신사
4 2ch 인증 요청
PIN 입력
3G/LTE
행정자치부
안전채널
5
인증 확인7

3
PIN 번호 인증
Trusted Pass 적용 방안 예시 - 온라인 PC 웹 인증
44
1 온라인 인증 로그인
4 인증 완료
본인 인증 완료
인증 서버
본인 명의
스마트폰
홍길동님께서 로그인하셨습니다.

Trusted Pass 적용 방안 예시 - 모바일 인증
45
1 모바일 인증 로그인
3
PIN 번호 인증
4 인증 완료
본인 인증 완료
인증 서버
본인 명의
스마트폰
홍길동님께서 로그인하셨습니다.

ForTrustedNetworking Anywhere,AnyDevice
TrustedIPNetworkSystem
Thank you!
www.mobilecvg.com

* 별첨
- TIPN기본시스템구성도
- TIPN구성요소
- TIPNGateway모델
- TrustedIPNetwork솔루션검증내역

Trusted IP Network 기본 시스템 구성도
Terminal
(Trusted IP Agent)
Desktop
(Windows XP/7/8
Smartphone
(Android)
Notebook
(Windows XP/7/8)
Application
Servers
Server #1
Server #2
Server #N
Network Infrastructure
Transport VPN(L3 VPN)
…
…
Mobile IP VPN
Trusted
DeviceManager
SecurityPosture
Manager
TrustedIP
Manager
LAN
WiFi
3G/LTE
인터넷
Access
Network
Microwave
Trusted IP
Access G/W
Trusted IP
Service G/W

Trusted IP Network 구성 요소 (1)
Trusted IP Access Gateway
 AuthenticationRedirection기능
비정상적트래픽유형을감지하고대응하여외부해킹으로
부터인증서버보호
 WhiteList기반TrustedIPServiceGateway에터널생성요청
 인증된정상적단말(WhiteList에등록된단말)의터널을해당
가상라우터로 집선하여TrustedIPServiceGateway로전달
 TrustedIPAccessGateway와TrustedIPServiceGateway간
접속은사전정의된L3VPN터널을통해접속되며,개별가상
라우터간접속을사전정의하여사용(네트워크가상화)
* TrustedAP를통해접속하는무선단말의경우TrustedAP
터널을경유하여접속되며,TrustedAP터널은사전정의
(구성관리)된가상라우터와연결
Network
솔루션 구성
단말집선장소에 위치하여인증패킷을통합관제
네트워크에 올려주는 역할을 하며 가상 네트워크별
WhiteList기반접근통제
Trusted IP Service Gateway
 TrustedIPAccessGateway와연계하여외부공격및해킹으로부터인
증서버보호
 격리되어있는통합관제네트워크를통해사용자/단말별인증
 사용자/단말별사전정의된네트워크VPN터널생성/유지/삭제/관리
 인증을통해허용된VPN터널만해당가상네트워크에접속허용
(WhiteList기반접속제어)
 사전정의된가상라우터별MobileIPVPN터널관리
 TrustedIPAccessGateway와사전정의된L3VPN터널을통해가상화
네트워크상호유지
 가상네트워크별정보공유및교환수행
Network
서버 집합 장소에 위치하여 Trusted IP Access Gateway
와 연계하여 가상화된 네트워크를 네트워크 및 서버별
로접근통제및관리(터널생성및종료)
49

솔루션 구성
Trusted IP Agent (Android/Windows)
 인증용Parameter(기기별로고유번호통한인증기능)
 기기(TrustedIPAgent)와TrustedIPGateway간양방
향Trusted터널을생성∙관리∙종료하기위하여기기에
설치되는S/W
Device
Trusted IP Manager
 터널,가상네트워크구성및연동관리
 터널및가상경로별품질보장관리
 인증서버(AAA)연계System
Security PostureAgent
 접속인증및통신중에단말에설치된주요소프트웨어
요소들의무결성을검사하여감염된단말의TrustedIP
네트워크로의접속/접근을감시하여네트워크접근안
정성확보
Device
Security PostureManager
 단말의소프트웨어이미지관리
 인증요청시Agent이미지와정상상태의이미지를
비교하여 변화발생시 적절한(차단)조치수행
 접속중에도이미지변화시적절한(차단)조치수행
System
Trusted Device Manager
 디바이스관리및보안정책수행
 디바이스의인증과정관리
 디바이스 정보/상태관리
 디바이스에설치된각종소프트웨어관리
System
TDM Agent
 TrustedDeviceManager와연동하여인증과정관리
 디바이스보안정책적용
 디바이스분실관리
 설치된소프트웨어관리
Device
50

51
Optional 솔루션 구성
IPSec Agent (Android/Windows)
 IKEPhaseI/IKEPhaseII
 터널모드암호화/복호화제공
-ESP프로토콜
Device
IPSec VPN Device
 IKEPhaseI/IKEPhaseII
 터널모드암호화/복호화제공
-ESP프로토콜
System
Secure Container Agent (Android/Windows)
 다운로드파일수정및저장관리
 파일변경검사
Device
Secure Container Manager
 단말다운로드파일수정및관리
 단말파일변경실시간감시
System

Trusted IP Gateway 모델
52
Throughput
Interfaces
Operation Mode
Flow QoS
Flow Setup
Concurrent Flow
Subscriber Management
240G Multi-Shelf System 80G Single-Shelf System 20G Stand-Alone System
GigE(1Gbe/10Gbe), POS GigE(1Gbe/10Gbe), POS GigE(1Gbe/10Gbe)
Transparent Mode / Routing Mode (BGP,OSPF, VR …)
MR (Maximum Rate) / GR (Guaranteed Rate) / AR (Available Rate) / CR (Composite Rate)
1.5 M Flows / sec / Line Card
4 M Flows / Line Card
8,000 Services Classification Rules / Line Card 8,000 Services Classification Rules
4 M Flows
1.5 M Flows / sec
T240 T80 T20

Trusted IP Network 솔루션 검증 내역
 고신뢰 네트워크용 Secure WiFi Solution
 Trusted IP Manager : Access, Service
 Trusted IP Access Gateway
 Trusted IP Service Gateway
 Trusted IP Agent : Smartphone (Pantech Vega, Preload Version)
TIPN v1.0 보안 적합성 검증 획득 (Trusted WiFi, 2014년 10월 14일)
 안전한 금융거래 환경 조성을 위한 실증사업”대비 선행 검증 수행
 발주 기관 : 미래부/NIA
 검증 기관 : ETRI
 시험 내용
- Router/Gateway 보안 적합성 검증 항목
- 신뢰성 : Smoke, Regression Test
- 기능 : 네트워크 가상화 기반 네트워크분리 기능 (관제, 데이터 등)
- QoS
- 성능
 시험 결과 : 적합
국가망 효율화를 위한 Trusted IP Network 시험 : 2014년 12월 5일
53

Trusted IP Network 적용 사례
 주관 : NIA
 과제 목적 : 네트워크 및 단말 등에 IoT SW기반의
안전하고 신뢰할 수 있는 가상화 네트워크 기술 및
보안기술을 접목하여 안전금융 거래환경을 조성하
고, 이를 확산할 수 있는 실증 시범 사업 추진
 과제 기간 : ’15.05.31.~’15.12.31.
 추진 개념 : “안전한 거래환경 조성을 위한 가상화
네트워크“ 정의
 추진 방향
 언제 어디서나 안전한 네트워크 이용을 보장하는 SW
기술 상용화
 금융 SW 산업 확산 및 수출 증대
IoT SW기반“안전한 금융거래환경 조성”을 위한 실증 시범사업 참여
미래부·-NIA, TIPN기술로 안전거래환경 이끈다
미래창조과학부와 한국정보화진흥원(NIA)이 TIPN(Trusted IP Network) 기술로 안
전거래 환경을 이끌기로 했다. TIPN은 가상화 기술을 통한 업무별 망분리 및 단말·사
용자별 망 접근제어가 가능하고 보안이 강화된 고신뢰 네트워크를 의미한다.
미래부와 NIA는 1일 서울 청계천로 정보화진흥원에서 소프트웨어(SW) 중심사회 확
산 방안의 일환으로 추진되는 'SW기반 안전한 금융거래환경 조성사업'의 착수보고회
를 개최했다. 지난 5월 22일 미래부와 정보화진흥원은 'SW기반 안전한 금융거래환
경조성 사업' 사업자로 콤텍정보통신-KT-오투 컨소시엄을 선정하고 협약을 체결한 바
있다.
이 사업은 최근 은행의 자동입출금기(ATM), 인터넷뱅킹 등 온라인 전자금융거래의
이용이 꾸준히 증가함에 따라 금융권을 대상으로 한 사이버 공격의 피해가 증가하는
상황에서 '안전한 금융거래환경 구현'을 위해 추진되는 사업이다. 정부 12억5000만
원을 포함 총 16억7000만원(정부, 민간 합계) 규모로 우정망의 지역청 1개소에
TIPN 기술을 적용해 안전 SW 실증 시범사업을 추진할 계획이다.
이번 시범사업은 TIPN 기술에 대한 취약점 분석 및 안전성 강화를 위해 미래 네트워크
선도시험망(KOREN)을 활용해 실증시험을 진행하고 취약점 및 안전성 검증 후, 우정
망에(플랫폼·네트워크·단말 등) 시범 적용할 계획이다. 특히 시범사업에 도입되는 기
술의 보안성 강화를 위해 취약점신고포상제(Bug bounty)를 실시해 화이트 해커들이
대거 참여하는 국내 해킹대회도 개최할 예정이다.
미래부와 NIA는 이번 시범사업의 성공적 진행을 위해 우정사업본부, 우정사업정보센
터, 한국전자통신연구원(ETRI) 등 관련기관과 사업에 대한 논의를 진행해 왔으며 각
기관에서 참여하는 실무협의회를 구성해 사업수행을 지원하기로 협의했다.
미래부 서석진 소프트웨어정책관은 "TIPN 기술을 통해 네트워크 보안기술의 국산화
및 시장창출을 지원하고 국내 중소 SW 기업이 활성화 될 수 있도록 노력할 것"이라고
말했다. 정보화진흥원 이재호 단장은 "이를 기반으로 국내 보안 기술의 확산과 TIPN
기술이 공공기관에 확산·적용될 수 있도록 지속적으로 지원할 것"이라고 전했다.
한편 이번 시범사업은 올해 12월까지 추진되며 이번 시범사업의 결과를 바탕으로
2016년, 2017년에는 공공부문 확산을 검토할 예정이다.
아주경제(15.06.01.)

Trusted pass-간편하고 안전한 인증 솔루션

Recommandé

Recommandé

Contenu connexe

Tendances

Tendances (20)

En vedette

En vedette (20)

Similaire à Trusted pass-간편하고 안전한 인증 솔루션

Similaire à Trusted pass-간편하고 안전한 인증 솔루션 (20)

Dernier

Dernier (6)

Trusted pass-간편하고 안전한 인증 솔루션