제한된 내부 네트워크 정보 접근제어와 계층별 클라이언트 권한설정 관리에 관한 연구

서우석,박재표,전문석,Seo, Woo-Seok,Park, Jae-Pyo,Jun, Moon-Seog 한국전자통신학회 2012 한국전자통신학회 논문지 Vol.7 No.2

정보처리 시스템의 프로세서가 작업 대상으로 하는 다양한 콘텐츠 정보가 온라인상에서 놀라울 정도로 확대되어진 시점은 불과 몇 년 전이다. 2000년을 실시간 공유와 같은 정보 및 자료의 홍수가 이루어진 기술기반의 해라면, 이후 2011년까지는 활용기반의 기능과 솔루션이 넘쳐나는 기간이었다. 또한 이러한 정보처리 시스템의 활용도가 높아지는 과정 속에서 2009년과 2010년에는 대규모 개인정보의 유출사건이 발생한바 있고 정보의 보호를 위한 방어와 보호를 위한 기술과 솔루션들이 지속적으로 개발, 적용되고 있다. 하지만 외부로부터의 불법접근의 문제점에서 그 범주가 확대되어 내부 사용자 또는 내부 정보처리 시스템과 클라이언트 시스템에 숨겨진 Agent 등으로 인한 피해는 날로 증가하고 있다. 따라서 본 논문에서는 내부정보에 대한 접근 제어와 관리자 및 내부 사용자의 계층별 권한설정에 대한 효율성 기반의 정보보호를 위한 연구가 필요하며, 본 연구 결과로 SOHO급 네트워크에서 대규모 네트워크에 이르기까지 실무에서 보안기법으로 활용 가능한 연구 자료를 제공코자 한다. It has been only few years that various contents information subject for information processing system has been remarkably increased in online. If we say the year 2000 is the technology based year when deluge of information and data such as real time sharing, the time since after 2000 until 2011 has been a period plentiful of application based functions and solutions. Also, as the applicable range of these information process systems extends, individual information effluence has been social issues twice in 2009 and 2010. Thus now there are continuous efforts made to develop technologies to secure and protect information. However, the range problem has been extended from the illegal access from outside to the legal access from internal user and damages by agents hidden in internal information process system and client system. Therefore, this study discusses the necessity for the studies on efficiency based information security by control of access to internal information and authority setting for administrator and internal users. Based on the result of this study, it provides data that can be used from SOHO class network to large scale for information security method.

특정 IP 영역 제한정책 설정에 따른 보안 취약점 공격에 관한 연구

서우석,전문석,Seo, Woo-Seok,Jun, Moon-Seog 한국전자통신학회 2010 한국전자통신학회 논문지 Vol.5 No.6

With regard to the examples of establishing various sorts of information security, it can be seen that there are gradual, developmental procedures including Firewall and VPN (Virtual Private Network), IDS (Intrusion Detection System), or ESM(Enterprise Security Management). Each of the security solutions and equipments analyzes both defense and attack for information security with the criteria of classifying the problems of security policies by TCP/IP layers or resulted from attack patterns, attack types, or invasion through specialized security technology. The direction of this study is to examine latency time vulnerable to invasion which occurs when L2-stratum or lower grade equipments or policies are applied to the existing network through TCP/IP layer's L3-stratum or higher grade security policies or equipments and analyze security holes which may generate due to the IP preoccupation in the process of establishing policies to limit particular IP area regarding the policies for security equipments to figure out technological problems lying in it. 다양한 정보보안 구축 사례를 보면, Firewall과 가상 사설 통신망[VPN(Virtual Private Network)], 침입 탐지 시스템[IDS(Intrusion Detection System)], 기업 보안 관리[ESM(Enterprise Security Management)] 등 단계적인 발전 절차를 갖는다. 각각의 보안 솔루션과 장비는 특성화된 보안 기술을 통해서 TCP/IP Layer별 또는 공격형태, 공격유형, 침해로 인한 보안정책의 문제점과 같은 분류를 기준으로 정보보안 을 위한 방어와 공격을 분석한다. 본 논문의 연구 방향은 TCP/IP Layer의 L3 계층 이상의 상위 등급 보안정책과 장비를 통한 기존 네트워크에 L2 계층 이하 등급의 장비 또는 정책을 적용 시에 발생하는 침입 가능한 대기시간[Latency Time]을 확인하고 보안장비 정책에서 특정 IP 영역에 대한 제한정책 설정과정에서 IP 선점(Preoccupation)으로 인한 발생 가능한 보안 취약점을 분석함으로써 기술적인 문제점을 알아보고자 한다.

네트워크 보안 인프라 구성을 위한 표준화된 플랫폼 디자인 방법론에 관한 연구

서우석,박재표,전문석,Seo, Woo-Seok,Park, Jae-Pyo,Jun, Moon-Seog 한국전자통신학회 2012 한국전자통신학회 논문지 Vol.7 No.1

Network security infrastructure is constantly developing based on the combination and blending of various types of devices. From the form of distributed control, the phased defense policy such as fire walls, virtual private communication network, invasion prevention system, invasion detection system, corporate security management, and TSM (Telebiometrics System Mechanism), now it consolidates security devices and solutions to be developed to the step of concentration and artificial intelligence. Therefore, this article suggests network security infrastructure design types concentrating security devices and solutions as platform types and provides network security infrastructure design selecting methodology, the foundational data to standardize platform design according to each situation so as to propose methodology that can realize and build the design which is readily applied and realized in the field and also can minimize the problems by controlling the interferences from invasion. 네트워크 보안 인프라는 다양한 형태의 기기별 조합과 융합을 기반으로 지속적인 발전을 하고 있다. 방화벽, 가상 사설 통신망, 침입 방지 시스템, 침입 탐지 시스템, 기업 보안 관리, TSM(Telebiometrics System Mechanism)과 같은 단계별 방어정책인 분산제어 형태에서 현재는 보안기기와 솔루션들을 병합함으로써 집중화와 인공 지능화 하는 단계까지 발전했다. 따라서 본 논문에서는 보안 기기와 솔루션을 집중화 하는 네트워크 보안 인프라 디자인 형태를 플랫폼 형태로 제안하고 각각의 경우에 따른 플랫폼 디자인 표준화를 위한 기초자료인 네트워크 보안 인프라 플랫폼 디자인 선정 방법론을 제공함으로써 실무에서 손쉽게 적용하고 구현하는 과정을 통해 침해로 인한 장애제어 등의 문제점을 최소화한 디자인 구현과 구축에 대한 방법론을 제안하고자 한다.

A Study on WB(Water-Bubble) Based Highly Secure Flexible Network Section

서우석,Seo, Woo-Seok Korea Institute of Electronic Communication Scienc 2017 한국전자통신학회 논문지 Vol.12 No.5

2017년 통합보안(IS, Integrated Security), 융합 보안(CS, Convergence Security) 등과 같은 새로운 보안시장의 변화 속에서 운영과 관리 차원의 다양한 보안 패러다임이 제시되고 있다. 이러한 솔루션과 기술은 현존하는 네트워크 인프라의 변경과 유동적인 다차원적인 변화를 이끌어 내기보다는 보안성을 높이는 1차원적인 방어에 모든 보안 역량이 집중되어짐으로써 예상치 못한 침해와 장애를 지속적으로 내제하고 있는 네트워크 인프라를 유지해 오고 있다. 따라서 WB(Water-Bubble)이라는 새로운 아이디어를 네트워크 인프라에 접목하고 실험과 구현 기반의 분석을 진행함으로써 유사패턴 공격과 집중화 트래픽 공격을 방어할 수 있는 탄력적 네트워크 구간을 제안하고 개발할 수 있는 기회이기도 한다. 또한 본 논문에서 제안하는 WB 기반의 강한 보안성을 갖는 탄력적 네트워크 구간에 관한 연구기법은 공격의 최종 목적지로 예상되는 네트워크 영역을 울림형태의 탄력적 영역변화를 갖는 네트워크 구간(구역)으로 유동성과 비예측성, 상호 접점비율에 따른 비 영역 확장성 등의 3대 주요 제한 및 보안 기준을 바탕으로 네트워크 구간 보안성 확보를 위한 연구 자료를 제공하고자 한다. In 2017, amid changes in the security market such as integrated security (IS) and convergence security (CS), a variety of security paradigms in terms of operation and management have been suggested. Rather than changing existing network infrastructure and bringing about fluid, multi-dimensional changes, these solutions and technologies focus entire security capacity on a primary protection, leading to network infrastructure suffering from unexpected inherent violations and problems in a continued manner. Therefore, it is time to propose and develop a flexible network section that can protect from attacks of similar pattern and concentrated traffic attacks by applying a new concept of WB (Water-Bubble) to network infrastructure and analyzing on the basis of experiment and installation. Methodology of the WB-based highly secure flexible network section proposed in this study is expected to provide materials for studies on how to achieve network section security taking into account three major limitations and security standards: fluidity, unpredictability, and non-area scalability by contact point ratio, by changing a network area predicted to be the final target of attack into resonant network section (area) with flexible area changes.

Cloud Computing 서비스 침해방어를 위한 단계별 4-Stage 방어기법에 관한 연구

서우석,박대우,전문석,Seo, Woo-Seok,Park, Dea-Woo,Jun, Moon-Seog 한국전자통신학회 2012 한국전자통신학회 논문지 Vol.7 No.5

최근 공개되어진 네트워크 인프라를 활용한 서비스 집약 솔루션인 Cloud Computing에 대한 공격은 개발 플랫폼과 웹 기반 제공 소프트웨어, 자원 서비스 등을 무력화시키는 침해 사고와 서비스 장애를 발생시키고 있다. 따라서 불법적인 서비스 차단에 대한 공격으로부터 Cloud Computing 시스템이 지원하는 3가지 서비스 (3S' : laaS, PaaS, SaaS)의 운영정보와 생성된 자료에 대한 보안연구가 필요하다. 본 논문은 Cloud Computing 서비스에 대한 공격과 방어 실험을 단계별 4-Stage 기반의 방어기법으로 최적의 서비스가 가능한 시스템 구축에 관한 연구이다. 최초 네트워크에 대한 접근을 관제하고 가상화 서비스 제어와 지원 서비스 분류, 다중화 경로 선정 등의 순차적이며, 단계적인 4-Stage 접근 제어를 실시하는 방어정책으로 공격을 분산시키고 각 Stage별 접근 제어를 위한 모니터링과 분석을 통해 방어정책 구현과 분석을 시행함으로써 공격 유형별 방어를 실험하고 연구 결과는 Cloud Computing 서비스 기반의 방어정책 구현을 위한 실무적인 기초자료를 제공하고자 한다. Attack on Cloud Computing, an intensive service solution using network infrastructure recently released, generates service breakdown or intrusive incidents incapacitating developmental platforms, web-based software, or resource services. Therefore, it is needed to conduct research on security for the operational information of three kinds of services (3S': laaS, PaaS, SaaS) supported by the Cloud Computing system and also generated data from the illegal attack on service blocking. This paper aims to build a system providing optimal services as a 4-stage defensive method through the test on the attack and defense of Cloud Computing services. It is a defense policy that conducts 4-stage, orderly and phased access control as follows: controlling the initial access to the network, controlling virtualization services, classifying services for support, and selecting multiple routes. By dispersing the attacks and also monitoring and analyzing to control the access by stage, this study performs defense policy realization and analysis and tests defenses by the types of attack. The research findings will be provided as practical foundational data to realize Cloud Computing service-based defense policy.

ONSU-MF(One Network Security Unit-Multi Function)기법과 OSD-MD(One Security Device-Multi Defense)기법 기반의 보안정책 구현

서우석,이규안,전문석,Seo, Woo-Seok,Lee, Gyn-An,Jun, Moon-Seog 한국정보처리학회 2011 정보처리학회논문지 C : 정보통신,정보보안 Vol.18 No.5

본 논문은 다양한 보안방어 정책과 기기들이 산재해 있으나, 이를 표준화하여, 각 방어정책의 특성과 방어기법을 새롭게 정의함으로써 기존 네트워크 인프라 구현을 포함한 새로운 보안정책 도입 및 추가 구현 시 관리자 또는 사용자가 손쉽게 정책을 추가하고 바로 적용 가능하도록 각 보안 분야별 정책과 기기를 명세 보고서화 하는데 의의가 있다. 따라서 하나의 네트워크 보안기기를 기반으로 부여 가능한 정책들을 분류하는 ONSU-MF(One Network Security Unit-Multi Function)기법과 하나의 보안기기로 다양한 보안방안을 구현하는 OSD-MD(One Security Device-Multi Defense)기법으로 구분하고 이를 통합한 표준화 구현기법을 통해 향후 네트워크 보안 인프라 개선 메커니즘을 제안코자 한다. This study is meaningful in that it standardizes various security and defense policies and devices, newly defines characteristics of defense policies and defense techniques, and specify and report various kinds of security polities and devices in order for administrators or users to add and apply the policies when introducing new security policies including the implementation of existing network infra and applying additionally. Therefore, this study aims to divide the policies into ONSU-MF(One Network Security Unit-Multi Function) that classifies one network security device-based policies and OSD-MD(One Security Device-Multi Defense), which implements various security methods by using one security device, and suggest network security infra improvement mechanism through the standardization implementation technique integrating the two methods.

이원화된 계층적 개인정보 Life-Cycle 접근제어 방법론에 관한 연구

서우석,김계순,전문석,Seo, Woo-Seok,Kim, Kye-Soon,Jun, Moon-Seog 한국전자통신학회 2013 한국전자통신학회 논문지 Vol.8 No.8

2013년 현재 개인정보보호를 위한 사회적 합의결과로 도출되어진 관련법이 제정되고 수차례의 개정을 통해 IT분야를 비롯한 다양한 사회적 업무분야에 최종적인 정보보호를 위한 명확한 성문법적인 정책과 지침 등의 방향이 제시되어 졌다. 이러한 일련의 개인정보 중요성에 대한 사회적 이슈를 기반으로 새로운 개인정보 접근 패러다임이 나타났고 정보보호라는 거시적인 접근 방법에서 전문적인 접근방법의 필요성이 대두되어졌다. 물론 현재까지 모든 개인정보 형태의 자료들을 특정한 정보의 범주에 모두 제한하고 경계를 두는 것은 다소 무리수 있어 보이나 IT분야를 기반으로 하는 정보의 홍수 속에서 개인정보의 흐름을 확인하고 보안대상으로 선정하는 부분은 표준화되어 진 것은 사실이다. 다만 아직까지도 개인정보 Life-Cycle의 5가지 표준화된 흐름인 수집, 처리, 제공, 보관, 파기 등을 모든 기업과 기관이 보유한 정보들에 일상적으로 적용하기 어려운 경우도 발생하고 있다. 따라서 이원화된 계층적 개인정보 Life-Cycle 접근제어 방법론을 제안함으로써 표준화 방법론을 제안한다. 본 연구결과는 개인정보 Life-Cycle에 최적의 접근제어 가능한 현실적인 자료를 제공하고자 한다. Currently in 2013, a law that was drawn as a result of social agreement for personal information protection was enacted, and through several amendments, definite policy of written law and guideline were presented for definitive information protection in various fields of social business including IT field. Based on a series of social issues about the importance of personal information, a new access paradigm to personal information appeared. And from macroscopic access method called information protection, the necessity of technical access method came to the fore. Of course, it seems somewhat irrational to restrict all data in the form of personal information to a certain category of information until now. But in the deluge of information based on IT field, it is true that the part of checking the flow of personal information and selecting as security target has been standardized. But still there are cases in which it is difficult to routinely apply the five standardized flows of personal information Life-Cycle-collect, process, provide, store, and destroy-to information that all companies and organizations have. Therefore, the researcher proposes the standardized methodology by proposing the access control methodology for dualised hierarchical personal information Life-Cycle. The results of this research aim to provide practical data which makes optimal access control to personal information Life-Cycle possible.

Diskless와 Stateless 보안정책 기반의 고속화 동기 네트워크 인프라 구현에 관한 연구

서우석,전문석,Seo, Woo-Seok,Jun, Moon-Seog 한국전자통신학회 2011 한국전자통신학회 논문지 Vol.6 No.5

2011년 네트워크 정보 서비스 분야 중 많은 보안 기술이 접목되고 보안 정책들을 필요로 하는 서비스 중 Cloud Computing의 하드웨어 플랫폼 서비스인 Infrastructure as a Service가 제공되고 있다. 기존 중앙 집중화 방식 서비스와 제공되는 하드웨어 범주에 대한 사양과 기술적인 부분이 다소 유사하지만, 특정한 네트워크라는 공간적 제한사항을 벗어나 공중망을 대상으로 서비스를 한다는 가장 큰 차이점이 있다. 정보보안 기술 역시 제공 되어지는 하드웨어 플랫폼의 안정성을 확보하기 위한 기술로 동반성장하고 있다. 현재 지원되는 하드웨어의 경우는 Internet Data Center가 기존에 제공하던 서버, 디스크(백업 디스크) 등을 가상화함으로써 공급되고 제공되고 있으며, 서비스되는 하드웨어 플랫폼이 다소 한정적이다. 물론 제공되는 서비스에 대한 보안부문의 영역도 Center내에 국한되거나 클라이언트와의 연결 공중망에 대한 TCP/IP 기반의 SSL(Secure Sockets Layer) 등으로 미시적인 접속보안 정책이 이용되고 있다. 따라서 본 논문에서 서비스 영역을 보안장비로 확대하고 Diskless와 Stateless 보안정책 기반의 고속화 동기 네트워크 인프라를 제안함으로써 방어정책 구현을 위한 현실적인 보안기법을 제공하고자 한다. Among the network information services combined with a number of security technologies and required security policies, Infrastructure as a Service, a hardware plat-form service of Cloud Computing, has been provided since 2011. It is more or less similar to the existing central concentration method services, in terms of the specifications and technical aspects for given hardware category, but it is entirely different from them in that it overcomes the spatial limitations of specific network and targets the public network. Information security technology has also been prospering so that it could ensure the stability of offered hardware plat-forms. As currently supported hardware, Internet Data Center has been provided by virtualizing the previously offered servers and discs (backup discs), but the hardware plat-forms offered are somewhat limited. Meanwhile, the areas of security fields for offered services are confined to the center or include the TCP/IP-based SSL (Secure Sockets Layer) for the public network connected with clients, which shows that microscopic access security policies have been used. Therefore, this study was aimed to provide a realistic security mechanism for realizing defense policy, by expanding service areas into security devices and suggesting Diskless and Stateless security policy based high-speed synchronous network infrastructure.

스마트그리드(Smart Grid) 전력망과 정보통신망 융합 보안 방향

서우석,전문석,Seo, Woo-Seok,Jun, Moon-Seog 한국전자통신학회 2010 한국전자통신학회 논문지 Vol.5 No.5

본 논문은 스마트그리드 전력망과 정보통신망의 이원화된 별도의 망을 하나의 통신체제로 재구성하고 스마트그리드 융합 정보통신망을 구현하기 위한 보안 방향과 향후 사이버 공격으로부터 방어를 위한 네트워크를 3단계 주요 핵심 망으로 재구성 및 기존 정보통신망 구성 계층인 TCP/IP Layer 4계층과 전력망과의 계층적 분리를 통한 방어 방향을 제안하고 있다. 또한 현재 스마트그리드 전력망의 문제점과 취약성 그리고 3가지 보안 모델을 제안함으로써 연구와 실험을 위한 기반을 제안하고 있다. 미래지향적인 전력산업의 한 기술로써 발전 방향과 현황을 제시하고 본 논문을 통하여 TCP/IP Layer별 공격과 방어를 전력망과 융합하고 새로운 스마트그리드 전력통신망 기술과 시장의 발전방향 및 스마트그리드 향후 정보보안 과제를 알아보는데 의의가 있다. This Study suggests security directions to reconstruct separate network of Smart Grid and information communication network as one communications system and implement Smart Grid integrated information communication network. In addition, it suggests prevention directions to prevent future cyber attacks by reorganizing network as the key three-stage network and separating TCP/IP four layers that consist of existing information communication network from Smart Grid. Moreover, it suggests the foundation for the study and the test by providing current problems of Smart Grid, weak points, and three security models. This study is meaningful to suggest development directions and situations as a technology of future-oriented electric industries, integrate attacks and preventions of TCP/IP Layers with Smart Grid, and seek for a new technology of Smart Grid and future tasks for Smart Grid information security.

통합보안 시스템 망 내 3차원-Puzzle 보안정책에 관한 연구

서우석,전문석,Seo, Woo-Seok,Jun, Moon-Seog 한국전자통신학회 2010 한국전자통신학회 논문지 Vol.5 No.4

본 논문은 공개되어진 이질적인 네트워크 사이에 상호 제3의 공격적인 패킷 경로로 활용되어지고 IP역추적 등의 공격에 대한 추적과 공격방법에 따른 방어기법을 적용하는 방어 시스템만으로는 공격을 차단하는데, 한계를 보이고 있다. 따라서 원천적인 공격 경로를 차단하기 위해 라우팅 프로토콜을 운영하는 네트워크 정보를 패킷 내에 캡슐화 함으로써 공격 대상인 네트워크에서 지속적인 공격 라우팅 프로토콜의 정보와 경로에 대한 정보를 지속적으로 학습하고 데이터베이스화함에 따라 사전 차단 논리를 구현하고자 한다. 또한, 다양한 공격 성향을 분류하는 단계에서 진화된 네트워크 라우팅 프로토콜을 분류하고 다양한 공격에 대한 방어 연구이다. 본 논문 연구를 통하여 공격 경로 네트워크와 라우팅 프로토콜별 공격을 분석하고 해당 접근 네트워크 별 방어를 위한 통합 정보보호 구현 방법인 통합보안 시스템 3차원-Puzzle과 Path 그리고 Cube를 통한 방어를 위한 정확한 메커니즘을 확보하는데 의의가 있다. This study shows a limit to attacks that the prevention system, which is used as the mutual third aggressive packet path between open heterogeneous networks and applies prevention techniques according to the trace like IP tracking and attack methods, can prevent. Therefore, the study aims to learn information of constant attack routing protocol and of the path in network, the target of attack and build a database by encapsulating networks information routing protocol operates in order to prevent source attack paths. In addition, the study is conducted to divide network routing protocols developed from the process of dividing the various attack characters and prevent various attacks. This study is meaningful in that it analyzes attack path network and attacks of each routing protocol and secure exact mechanism for prevention by means of 3D-Puzzle, Path, and Cube of the integrated security system which is an implementation method of integrated information protection for access network defense.