<2001국제정보보호 및 보안기기전>NETSEC-KR세미나 요지(2)

■트랙3 :차세대 인터넷보안과 응용

◇AAA의 기능과 이동성 지원-김기천 교수(건국대)

AAA(Authentication, Authorization, Accounting)는 리모트 액세스를 지원하기 위해 도입된 기능이지만 현재는 이동통신 로밍서비스 및 핸드오프 등을 지원하기 위한 기능으로서 필요성이 더욱 커지고 있다.

특히 IMT2000 등 3세대 이동통신시스템에는 매끄러운 로밍서비스를 지원하기 위해 다이애머터 프로토콜이라는 더욱 확장된 AAA 기능이 개발되고 있다. 또 이에 대한 기본적인 작동방법과 관련한 논의도 활발하게 진행되고 있다.

따라서 모바일 환경에서의 이동노드와 홈에이전트·포린 에이전트간의 시큐리티 어소시에이션 설정이 상당히 중요한 사항으로 등장하고 있다.

이번 발표에서는 AAA와 이동성의 연관성에 대해 알아보고 현재의 접근 방법을 소개한다.

◇전자상거래와 XML 보안-이광수 교수(숙명여대)

전자상거래 시장이 급부상하면서 온라인상의 거래 및 정보 교류애 있어 핵심 역할을 하고 있는 확장성표기언어(XML)에 대한 관심이 높아지고 있다.

하지만 아직은 전자상거래를 비롯한 온라인거래에 대한 신뢰성이 부족해 누구나 믿고 활용할 수 있는 보안 대책 마련이 시급한 상황이다.

이 강의에서는 전자상거래에서의 XML의 역할을 살펴보고 XML에 대한 보완 요구사항과 보안모델에 대한 조사 결과를 발표한다.

또 IETF의 XML/DSIG 작업반의 XML 디지털 서명과 W3C의 XML 서명 작업반의 XML 디지털 서명과 암호화 및 ebXML 보안팀의 전자상거래를 위한 XML 보안 관련 작업에 대해 자세히 알아봄으로써 전자상거래 보안문제에 대한 해법을 찾아본다.

◇국내 무선PKI 구축-이재일 팀장(한국정보보호센터)

최근 들어 이동통신 사용자가 급증하고 있다. 또 이를 바탕으로 이동통신을 이용한 금융·증권·경매 등 무선 분야의 전자상거래 수요도 급격히 증가할 것으로 예상되고 있다.

그러나 무선환경의 특성상 정보가 쉽게 노출되는 문제가 있는 것이 사실이라 이에 대한 보안대책 수립이 시급한 실정이다.

이에 한국정보보호센터에서는 현재 정보통신부 및 공인인증기관·이동통신업체 등과 협의해 무선보안서비스 제공을 위한 무선 공개키기반구조(PKI) 체계 구축을 추진하고 있다.

이동통신을 이용한 금융·증권·경매 등 관련 서비스 시장 증가세가 어느 정도인지를 알아보고 이에 따른 보안대책으로 국내 무선 PKI 체계 구축을 위한 제반 기술 현황과 무선 PKI 체계 구축 추진 방향 등을 상세히 소개한다.

◇근거리 무선 네트워크 보안-김춘수 박사(ETRI)

복잡한 정보체계들의 접속과 다양한 정보장치들의 효율적인 정보 유통을 위한 근거리 무선 네트워크 솔루션이 계속 발표되고 있다. 또 이에 대한 보안문제도 꾸준하게 제기되고 있다.

향후 근거리 무선 네트워크 시장을 지배할 것으로 예측되는 블루투스를 중심으로 네트워크 보안방법들을 소개한다.

블루투스 기술을 응용한 다양한 단말기와 장치 응용방법들을 소개하고 향후 발전 방향에 대해 개략적인 내용을 서론으로 삼아 블루투스가 지닌 특징을 토대로 무선 네트워크로서의 장단점 및 보안구조와 취약점에 대한 검토 내용을 다룬다.

블루투스의 키 관리 방법과 키 교환 메커니즘, 암호 및 인증 방법 등에 대해 소개하고 일반적인 무선 네트워크와 블루투스를 이용한 Add-hoc 네트워크를 비교 설명한다.

■트랙4:정보보증기술

◇트루시큐어서비스:The Internet Assurance Solution-김희수 사장(트루시큐어)

트루시큐어(TruSecure)서비스는 고객이 인터넷 비즈니스를 가장 효율적으로 최대한 안전하게 수행할 수 있도록 보장해주는 포괄적인 정보보안 인증서비스다. 트루시큐어사의 전문가들은 고객사의 보안통제 효율과 보안 상태에 대한 개선 및 위험성에 대한 사전 제안 및 대안을 제시, 사이트의 안정성을 지속적으로 보증한다.

특히 트루시큐어 인증이 부여된 후에도 지속적인 보안상태 점검과 새로운 위협 등에 대한 정보를 실시간 공유하거나 기타 여러 경로를 통해 고객사의 보안 수준이 항상 일정하게 유지될 수 있도록 지원한다.

전세계적으로 수많은 e뱅킹, 트레이딩, 제조, 의료·헬스케어, Insurance Company, 인터넷데이터센터(IDC), 텔코/ISP 등 450여사 1700개 사이트 트루시큐어 인증을 획득, 안정적인 비즈니스를 수행함과 동시에 효율적인 투자에 대한 충분한 ROI를 제공하고 있다.

◇기업환경별 보안 컨설팅 방향-김휘강 사장(에이쓰리시큐리티컨설팅)

최근 들어 금융권 및 공공기관을 중심으로 보안 컨설팅 수요가 급증하고 있다.

인터넷이나 무선 솔루션을 이용한 전자뱅킹서비스를 적극 추진하고 있는 금융권은 물론 네트워크 환경을 바탕으로 정보화를 추진하고 있는 기관이나 기업들에게 있어 보안문제는 가장 우선적으로 해결해야 하는 과제가 되고 있기 때문이다.

그러나 각각의 기업이나 기관마다 기본적인 환경은 물론 문화와 업무환경 및 네트워크와 서버환경이 다르기 때문에 요구되는 보안모델 역시 현격한 차이를 보이고 있다.

이에 따라 본 세미나에서는 일반적인 자산분석시스템과 위험분석시스템 및 네트워크의 취약점을 진단함으로써 정보보안 조직을 설립하는 등의 각 기업환경에 맞는 보안 컨설팅에 대한 방향을 제시하고 어떤 표준모델들이 가장 적절하게 적용될 수 있는지 등을 살펴본다.

◇데이터 백업 및 복구－오승홍 과장(리눅스시큐리티)

인터넷 비즈니스의 발전 등 급변하는 IT환경에서 정보의 원천이라 할 수 있는 데이터 관리의 중요성이 점차 강조되고 있다. 따라서 데이터 장애에 대비한 백업 및 리스토어(restore)의 관리 능력 또한 같이 중시되고 있는 추세다.

그러나 SAN(Storage Area Network)과 NAS(Network Attached Storage) 등 새로운 저장장치 관리 방식의 등장과 더불어 이에 대응해 백업 방식 또한 LAN-Free·Serverless·Client-Free 등 다양화되는 추세로 발전하고 있다. 따라서 고객들은 어떤 방식으로 자신들의 데이터를 관리하고 장애에 대비하는 백업체계를 구축할지 혼란스러운 현실이다.

이에 따라 새로운 데이터 관리의 패러다임과 신기술 동향에 대해 살펴보고 이에 대응하는 몇몇 주요 솔루션의 특장점에 대해 개요를 다룬다.

◇보안 운용체계 기술 동향-홍기융 사장(시큐브)

최근에 빈번해지는 각종 해킹 사례는 컴퓨터 시스템 내의 주요 정보에 대한 불법적인 유출 및 수정·삭제 등 악의적인 목적으로 발생됨을 알 수 있다.

이 같은 현상은 보안 운용체계의 필요성을 충분히 역설할 수 있는 필연적인 원인을 제공하고 있는 것으로 해석될 수 있다. 따라서 미국과 일본 등 선진국들은 오래 전부터 이런 사실을 충분히 파악해 이 분야에서 상당한 기술적 노하우 및 토대를 구축해 놓은 상황이다.

우리나라의 경우 아직까지는 보안 운영체계의 필요성이 부각되지 않고 있으나 일부 연구기관 및 민간기업 등에서는 이런 움직임이 나름대로 진지하게 진행 중이다. 이에 따라 이 세션에서는 보안 운용체계의 개념 및 기술, 국내외 제품 동향과 표준화 동향 등에 대한 보안 운용체계 기술 동향에 대해 다룬다.

<정리=김순기기자 soonkkim@etnews.co.kr>