IoT기반 금융보안 가이드라인 연구
A Study on IoT Based Financial Security Guideline
- 주제(키워드) IoT 보안가이드
- 발행기관 아주대학교
- 지도교수 김기형
- 발행년도 2018
- 학위수여년월 2018. 2
- 학위명 석사
- 학과 및 전공 정보통신대학원 IoT(사물인터넷)
- 실제URI http://www.dcollection.net/handler/ajou/000000027201
- 본문언어 한국어
- 저작권 아주대학교 논문은 저작권에 의해 보호받습니다.
초록/요약
사물인터넷(Internet of Things)가 다양한 분야 및 구조와의 융합으로 그 규모가 더욱 커짐에 따라 홈/헬스케어를 비롯한 엔터테인먼트, 스마트 그리드, 식료품, 유비쿼터스 건설 등 실생활 전반에 걸쳐 많은 부분에 적용 되고 있다. 그 중에서도 금융 분야에서 사물인터넷(이하 IoT)의 활용은 양적인 성장 뿐만 아니라 질적인 성장 또한 두드러지게 이루어지고 있다. 그러나 이러한 성장과 함께 보안에서의 취약점을 보이며 많은 보안사고 사례 및 피해 사례를 야기하고 있다. 이에 따라 본 연구에서는 금융권의 웨어러블 디바이스를 중심으로 한 IoT활용 사례를 살펴본 뒤 보안취약 사례들을 소개하고 더 나아가 금융 분야에서 IoT를 활용 할 시 고려해야할 보안 아키텍처를 제시하고자 한다. 먼저 금융권에서의 IoT 디바이스 활용사례를 살펴보면 주로 스마트워치와 글라스 등 신체에 적용할 수 있는 웨어러블 디바이스를 중심으로 이용되고 있다. 그 중에서도 웨어러블 기기를 이용한 결제 영역에서 가장 활발하게 활용되고 있으며 IoT 디바이스를 이용한 지불 체계로는 NFC, QR코드, 심전도, 지문 등의 바이오 정보를 활용한 결제 등이 있다. 이러한 IoT 디바이스의 금융보안이 구현된 기술로는 관리 기술, 암호·인증 기술, 프라이버시 보호 기술, 인테영역 무선 통신 네트워크(WBAN) 보안 기술 등이 있다. 또한 이러한 웨어러블 기기를 활용할 때 고려해야 할 보안 요구사항으로는 정보보안의 3요소인 기밀성, 무결성, 가용성 이외에도 웨어러블 기기 활용 환경의 특수성을 고려한 확장성, 유연성, 자가 구성 등의 요소들을 추가적으로 필요로 한다. IoT 서비스의 보안 발생 위협 사례로는 데이터 위·변조, 인가되지 않은 서비스 이용 및 사용자 접근 허용, 인증 방해, 통신신호 및 DB의 기밀성·무결성 침해, 개인정보 침해 및 유출, 복제 공격 등의 다양한 형태가 있다. 이를 각각의 영역으로 나누어 살펴보면 서비스 영역에서는 디폴트 계정을 이용한 비인가자의 불법접근, 랜섬웨어 감염 등이 있으며 플랫폼 영역에서는 시스템의 IP노출을 이용하거나 디버그 포트를 이용한 공격의 사례가 있다. 또 네트워크 영역에서는 드론 하이재킹과 정상 Wi-Fi AP위장의 사례가 디바이스 영역에서는 해킹관련 HW를 삽입한 사례가 있다. 이러한 IoT 디바이스의 보안 발생 위협을 막기 위해서는 서비스 지원차원의 검증된 프로토콜 적용을 통해 IoT기기의 외부 네트워크 노출을 최소화 해야할 뿐 아니라 서비스의 취약점을 주기적으로 모니터링 하고 지속적 보안 업데이트를 수행하는 등의 방안을 강구해야할 필요가 있다. 서비스 관점에서의 정보보호 방안으로는 웹서비스에서 CoAP 자체 보안 개선의 필요성과 ID관리 기술의 마련 등을 제시한다. 마지막으로 본 연구에서는 보다 구조적인 IoT 금융정보보안을 위해 금융 보안 아키텍처를 제시한다. 먼저 개발단계에서는 보안 모듈 및 시큐어 코딩 적용, 외부 소프트웨어 취약성 고려, 하드웨어 취약요소 고려 및 충분한 테스트 실시, 취약점 업데이트 기능 등을 제공하여야 한다. 또한 운영단계에서는 지속적인 취약 정보 수집 대응방안 수립 통지, 리콜 실시 등의 과정이 필요하다. 향후 웨어러블 디바이스에 대한 보안 위협은 관련 사업이 성장함에 따라 더욱 증가할 전망이며, 사용자의 사적 재산 피해까지 이어질 수 있는 사안임을 재인식하고 예방을 위한 정부와 네트워크 사업자, 웨어러블 기기 제조업체, 사용자 등 이해관계자들의 보안의식 또한 중요하다. 우리나라는 현재 IoT를 이용한 핀테크 사업의 첫걸음 단계에 들어섰다고 할 수 있다. 더욱 안정화된 정착을 위해서는 기술적 철저한 기술적 보안으로 보안공격에 대한 불안성을 감소시켜야 한다. 즉, 개인정보를 고려한 ‘Security by Design’에 따라 설계·활용하고 지속적으로 관리한다면 IoT 디바이스는 금융산업의 안전한 체계지원 및 4차 산업혁명의 시대를 살아갈 우리 모두의 스마트한 생활에 큰 기여를 할 것으로 기대한다.
more목차
제1장 서 론 1
제1절 연구의 배경 1
제2절 연구의 목적 3
제2장 IoT 금융보안 연구와 배경지식 4
제1절 IoT(Internet of things) 정의와 현황 4
1. IoT의 정의 4
2. IoT의 서비스 현황 6
3. 논의 및 시사점 8
제2절 IoT 디바이스 금융권 활용 8
1. IoT 디바이스의 금융권 활용사례 9
2. IoT 디바이스의 금융보안 구현기술 13
3. 논의 및 시사점 17
제3절 IoT 디바이스의 금융보안 동향 18
1. IoT 디바이스 보안위협 및 사고사례 18
2. IoT 디바이스 보안 고려사항 24
3. 논의 및 시사점 25
제3장 IoT 금융보안 가이드라인 제안 27
제1절 IoT-금융의 정보보호 27
1. 디바이스 정보보호 방안 27
2. 네트워크 정보보호 방안 29
3. 서비스관점(빅데이터) 정보보호 방안 31
4. 논의 및 시사점 32
제2절 IoT 금융 보안 아키텍처 구성 33
1. 보안 아키텍처 고려사항 33
2. 보안 가이드라인 제시 36
3. IOT의 보안 아키텍처 이용한 취약점 극복 37
제4장 요약 및 평가 39
제5장 결 론 40
참 고 문 헌 42
