정보센터
- 정보센터
- 보안동향
보안동향
| IPTV의 일반적 공격형태 및 보안대책 | |
|---|---|
| 작성자 : a3security 작성일 : 2009.04.13 조회수 : 32723 | |
|
1. 개요
IPTV(Internet Protocol Television)란 초고속 인터넷 망을 이용하여 제공되는 양방향 디지털 텔레비전 서비스로, 세계 20여 개국에서 이미 상용화가 되었으며 방송과 통신이 융합된 새로운 서비스 형태로서 큰 관심을 받고 있다. 우리나라는 IPTV 시장 창출에 유리한 환경을 확보하고 있고, 각종 영상정보, 음성 및 데이터 정보들이 융합된 새로운 서비스로서 산업 활성화가 가능할 전망이다. 그러나, 시장의 활성화를 위해서는 서비스의 안정성이 제고되어야 하며, IPTV 특성상 부가서비스에 대한 과금 등 영역에서 보안은 필수적이라고 할 수 있다. 에이쓰리시큐리티에서는 IPTV 서비스에 대한 다수의 모의해킹 및 보안대책 수립 컨설팅을 수행한 바 있으며 이에 본지에서는 그동안의 경험을 바탕으로 IPTV 보안에 대한 몇 가지 기본적인 사항을 언급하고자 한다.
즉, 컨텐츠 접속 권한 인증, 컨텐츠 보호(CAS/DRM), CODEC, 양방향 서비스 제어, 가입자 관리, 과금 등의 서비스에 대한 모든 기능은 헤더엔드와 단말 간에 이루어진다. 망은 멀티캐스트 스트리밍을 전달하고, 필요에 따라 사용자가 원하는 채널을 엑세스망에서 브렌칭하는 기능을 담당한다.
 [출처] 정보통신연구진흥원, IPTV 서비스 기술 현황 및 단계별 발전 전망(주간기술동향 1286호)
IPTV의 취약점 공격과 관련하여 에이쓰리시큐리티에서는 다양한 시나리오를 보유하고 있으며, 이러한 시나리오를 기반으로 정밀한 보안대책이 가능하도록 하고 있다. 본지에서는 에이쓰리시큐리티에서 보유하고 있는 다양한 시나리오 중 일부만 간략히 소개하고자 한다. 3.1 서비스 오남용 취약점 공격 IPTV서비스에서는 유료 서비스의 불법적인 서비스 오남용이나 유료 컨텐츠의 불법적인 무료 사용 취약점이 가장 민감한 이슈라고 할 수 있다. 유료 컨텐츠의 불법 다운로드나 인증 우회를 통한 불법 사용, 그리고 유료 서비스에 대한 과금 우회 등은 IPTV 서비스 업체의 수익성을 악화시키는 것 뿐만 아니라 IPTV 서비스 자체의 신뢰도를 약화시켜 전반적으로 IPTV 사업에 악영향을 미칠 수 있다. 유료 서비스의 서비스 오남용 공격 형태는 크게 다음과 같다. l 유료 컨텐츠의 무료 재생 : 유료 컨텐츠의 재생 관련 환경을 조작하여 무료로 유료 컨텐츠를 재생하는 공격 l 유료 서비스의 타 사용자 요금 부과 : 유료 서비스의 결재 과정에서 타 사용자의 정보로 조작하여 타 사용자에게 과금되도록 하는 공격 l 유료 서비스의 결재 우회 : 유료 컨텐츠의 결재 과정에서 결재 관련 인자 값을 조작하는 공격 3.2 IPTV 인프라 취약점 공격 IPTV서비스에서도 여타 다른 서비스 영역의 보안과 마찬가지로 인프라 영역에 대한 취약점 공격이 중요한 이슈이다. 셋탑박스(STB)를 통해서 획득한 정보를 바탕으로 공격자는 IPTV 인프라에 대한 공격을 수행할 수 있으며, IPTV 인프라 자체가 보안에 취약할 경우 불법적인 접근, 이를 이용한 서비스 오남용 및 서비스 거부(방해) 등의 공격이 가능할 수 있다. IPTV 인프라 취약점 공격 형태는 크게 다음과 같다. l 인프라 서버의 관리자 권한 획득 : NMS, 인증서버 등 주요 인프라 서버의 관리자 권한 획득 공격 l DB의 중요 정보 위변조 : DBMS의 과금정보 등 중요 정보를 유출 및 조작하기 위한 공격 l 서버 및 네트워크 중요 정보 유출 : 서버 및 네트워크 장비의 중요 정보를 유출하기 위한 공격
4. IPTV 일반적 보안대책
IPTV의 보안 대책은 기존의 인프라 관점의 보안 대책에 추가적으로 IPTV 환경에 대한 보안 대책도 같이 강구해야 한다. 자세한 보안대책은 컨설팅을 통해서 고객의 환경에 최적화된 대책으로 나와야 할 것이며, 본지에서는 일반적인 보안대책으로 한정하여 알아보도록 하자. l 인증 처리 강화 : 과금이나 기타 유료 서비스 제공 시 중요 트랜잭션 및 세션의 인증을 강화해야 한다. 특히 파라미터에 대한 무결성 검증이나 replay attack에 대한 방지 대책이 필요하다. l 접근통제 강화 : 인프라 주요 정보 자산에 대한 접근통제를 강화하여야 한다. 특히 관리서비스에 대한 인증 및 접근통제를 강화하고, 셋탑 박스나 가입자 단에서 인프라 단으로의 접근을 통제하여야 한다. l 불필요한 서비스 및 파일 통제 : 취약점은 대부분 설정이나 운영 실수에 의하여 생기는 경우가 많다. 따라서 불필요한 서비스나 파일에 대한 통제에 대하여 주기적으로 점검해야 하며, 운영상 필요한 최소한의 서비스만 구동하여야 한다.
5. 맺음말 이상으로 IPTV에 대한 일반적 공격 형태와 보안대책을 간략히 알아 보았다. IPTV가 향후 국가 전략산업으로 관심이 증대되고 있는 요즘, IPTV 보안에 대해서도 많은 관심이 필요하고, 이러한 관심이 그 동안 IPTV 모의해킹 컨설팅이나 IPTV 종합 보안대책 컨설팅 등으로 표출되었다. 기술발전과 맞물린 영역이 전부 그렇듯, IPTV 서비스 기술이 지속적으로 발전하고 있기 때문에 향후에도 IPTV 서비스에 대한 보안성 검토 및 보안대책 마련 작업은 계속되어야 할 것이다. * A3 Security | 컨설팅사업본부 주세홍 컨설턴트 * 본 기고글은 지난 2009년 4월 에이쓰리시큐리티 뉴스레터를 통해 공개된 자료임. |
|
| 이전글 | 위험관리솔루션을 통한 정보보호 관리체계 운영 |
| 다음글 | |
- (주)에이쓰리시큐리티
- 대표자 : 한재호
- 사업자등록번호 : 172-81-00570
- 통신판매신고번호 : 제2011-서울금천-0931호
- 07281 서울 영등포구 선유로9길 10 (문래동6가, 문래 SK V1 center) 1710-11호
- 대표전화 : 02-6952-2511
- 팩스 : 02-6952-8662
COPYRIGHTⓒ A3SECURITY COMPANY LIMITED. ALL RIGHTS RESERVED. Design by Threeway
