Journal Archive

데이터 접근 제어 모델을 통해 데이터 보안 언어를 설계하기 위해서 범용 프로그래밍 언어에서 따르고 있는 절차적 프로그래밍 [11, 12] 구문을 기반으로 설계하였다. 데이터 보안 언어는 절차적 프로그램에서 사용하는 필수 구문인 순차 구문, 반복 구문, 조건 분기 구문 등을 포함하는 While 언어 [12, 13]에 기반을 두고 있다. While 언어는 절차적 프로그램의 실행에 필요한 대입문, 순차구문, 조건분기구문, 반복구문 등을 포함하는 범용적인 절차적 프로그래밍 언어이다.

Fig 2는 본 논문에서 설계한 데이터 보안 언어의 기본 설계를 보여주고 있다. 전체 보안 프로그램은 한 개 이상의 구문(statement)으로 구성되고, 구문은 연산을 위한 다양한 수식(exp)을 이용해 표현된다. 프로그램에서 사용되는 수식 exp는 상수 또는 논리값을 가질 수 있고, 수식의 연산을 수행하는 단항 연산 ⊗ 및 이항 연산 ⊖을 포함하고 있다. 수식은 다양한 연산자를 통해 명령을 수행할 수 있으며, 프로그램의 외부 입력은 input 명령으로 이루어진다. input 명령은 외부의 출처 src로부터 데이터를 입력 받는 연산을 수행한다.

Fig. 2. 
Design of data secure language

데이터 보안 언어의 구문은 절차적 프로그램의 동작에 필요한 대입문, 순차 구문, 선택 구문(if), 반복 구문(while) 등을 포함하고 있다. 그리고, 프로그램의 출력은 출력 명령 output을 통해서 이루어지며, 출력하고자 하는 변수와 출력 대상 dst를 매개 변수로 사용한다.

setSecurityLevel 명령은 데이터 접근 제어 모델을 적용하기 위해서 데이터의 보안 등급(security level)을 지정하는 명령이다. 이 명령어는 보안 중요도를 설정하고자 하는 변수와 보안 등급을 매개 변수로 받아서 변수의 보안 등급을 설정한다. 본 접근 제어 모델에서 변수의 보안 등급은 3단계로 설계하였으며 Table 1에서 보안 등급을 설명하고 있다.

Normal 등급은 일반적으로 사용되는 변수의 등급을 나타내며 별도의 등급 설정이 없으면 Normal로 초기화한다. 보안 설정이 필요한 중요 데이터는 setSecurityLevel 명령을 통해 Secure 등급으로 설정하거나 변경할 수 있다. 외부의 알려지지 않은 또는 안전하지 않은 출처로 부터 유입되는 위험 데이터는 Unknown 등급으로 초기화하며, setSecurityLevel 명령을 통해 중요 데이터에 접근을 차단할 수 있다.

본 논문에서 제안하는 데이터 보안 언어 및 접근 제어 모델은 접근 제어 리스트 (access control list, ACL) [2, 14]와 두 단계의 접근 제어 알고리즘 accessControl 및 dataAccess로 구성된다. Table 2는 본 논문에서 설계한 데이터 보안 언어의 접근 제어 모델의 구성 요소들을 보여주고 있다.

ACL은 데이터 접근 제어를 수행하기 위해서 프로그램에 사용된 데이터의 보안 정보를 관리하는 자료 구조이다. 이 리스트에서는 접근 제어가 필요한 데이터의 보안 등급과 현재 프로그램 상에서 가지는 값을 관리한다. accessControl 알고리즘은 프로그램의 문장을 한 단계씩 분석하는데, ACL에서 관리하고 있는 보안 데이터에 대한 접근이 규칙에 따라 올바르게 이루어지고 있는지를 분석하고 제어하는 역할을 한다. 또한 문장에서 보안 규칙에 어긋난 데이터 접근을 발견하면 이를 차단하고 사용자에게 알려주는 역할을 한다. dataAccess 알고리즘은 데이터 접근 규칙이 ACL을 통해 유지될 수 있도록 관리하고, 프로그램에서 사용되는 수식에서 데이터의 접근이 있을 때 접근 규칙에 적합한지 확인하는 역할을 한다. 이 과정에서 Unknown 등급의 데이터가 Secure 데이터에 접근이 탐지되면 accessControl에 알리고 접근을 차단할 수 있도록 지원한다.

Fig 3은 본 논문에서 설계한 접근 제어 모델의 구조를 보여주고 있다. 소프트웨어에 사용되는 보안 정보의 안전한 접근을 보장하기 위해서 파싱된 프로그램에서 정보의 보안 등급을 분석하고 ACL에서 관리되는 보안 정보들은 AccessControl 과 DataAccess에서 분석된 정보의 접근 규칙에 따라 안전성을 확인하고 규칙을 위반하는 경우 접근을 차단할 수 있도록 설계하였다.

Fig. 3. 
The structure of Access control model

본 절에서는 본 논문에서 제안하는 데이터 접근 제어 알고리즘에 대해 설명한다. Table 3은 보안 데이터의 접근 제어 규칙을 보여주고 있다. 동등한 보안 등급의 데이터는 서로 접근이 허용(Accept)되고, 서로 다른 보안 등급의 연산이나 출력은 접근 제어 규칙에 따라 보안 등급을 전달하거나 차단한다. Normal 데이터와 Secure 데이터의 연산은 허용하되 결과는 Secure 등급으로 상향하고, Normal 데이터와 Unknown 데이터의 연산은 Unknown 으로 설정함으로서 Secure 데이터의 보안을 유지한다. 또한 Unknown 데이터와 Secure 데이터의 연산이 시도되는 경우에는 경고를 하고 접근을 차단한다.

Fig 4와 Fig 5는 Table 2에서 기술한 accessControl과 dataAccess 알고리즘을 보여주고 있다. accessControl 알고리즘은 프로그램의 구문을 분석하며 데이터의 흐름을 파악하고 Secure 등급으로 설정된 데이터가 올바르게 접근되고 있는지 분석한다. 접근 제어 규칙을 위반하는 경우에는 사용자에게 경고를 주고 접근을 차단하는 역할을 한다.

Fig. 4. 
Access control algorithm for data secure language

Fig. 5. 
Algorithm for dataAccess

Fig 4의 접근 제어 알고리즘은 프로그램을 문장 단위로 분석하는데, 데이터의 이동 정보를 파악하고 데이터 접근이 올바른지 판단한다. 분석중인 문장의 종류에 따라 대입문이면 dataAccess 알고리즘을 통해 우변(RHS)의 보안 등급을 알아내고, 대입문의 좌변 (LHS)에 보안 등급을 전파한다. 또한 우변 변수의 보안 등급이 변경되면 ACL을 수정한다. 선택문 if는 조건식 exp의 결과가 참 또는 거짓에 따라 다음 구문을 분석한다. 반복문 while의 경우, 조건식 exp의 결과가 참인 경우는 반복문의 실행을 처리한다.

출력 명령 output은 보안 데이터의 외부 유출 가능성이 있으므로 출력 데이터와 목적지 데이터 dst의 보안 등급을 ACL로부터 확인한다. Secure 등급의 데이터가 Unknown 등급의 목적지 데이터로 출력된다면 데이터 유출 경고를 발생하고, 출력 명령을 차단한다. 보안 설정 명령 setSecurityLevel의 경우에는 해당 변수의 보안 등급을 새롭게 설정하고, 설정된 정보를 ACL에 반영함으로써 이후에 변수의 접근 제어를 위한 보안 등급을 관리한다.

Fig 5의 dataAccess 알고리즘은 프로그램 내의 수식에 대해 데이터의 접근 규칙에 따라 ACL을 관리하고, 데이터의 접근 제어가 정상적으로 이루어지도록 지원하는 역할을 한다.

Fig 5의 알고리즘에서 수식이 상수 이거나 참 또는 거짓의 논리값인 경우 보안 등급을 Normal로 초기화하고 반환한다. 수식이 변수인 경우에는 ACL의 정보를 통해 변수의 보안 등급을 확인하고 이를 반환한다. 수식이 이항 연산인 경우 각 항의 보안 등급을 확인한다. 이 수식이 보안 데이터(Secure)와 의심 데이터(Unknown)의 조합으로 이루어진다면 보안 데이터의 접근 경고를 출력하고 연산을 차단한다. 이와 같은 연산은 개인 번호와 같은 보안 정보를 위변조하거나 외부로 유출하는 등의 방법으로 위험을 야기할 수 있기 때문이다. 단항 연산의 경우에는 포함된 항의 보안 등급으로부터 단항 연산 결과의 보안 등급으로 설정한다. 입력 명령(input)의 경우 데이터의 출처 또는 데이터의 특성으로부터 보안 등급을 확인하고 ACL에 등록한다. ACL은 데이터의 보안 등급을 지속적으로 유지한다.

본 논문의 데이터 접근 제어 모델은 데이터 보안 언어에서 설정된 데이터의 보안 등급을 관리하고, 프로그램에서 사용되는 정보의 이동 및 연산을 분석하면서 의심 데이터로부터 접근을 차단함으로써 보안 데이터를 안전하게 보호한다. 본 논문의 접근 제어 모델은 프로그램에서 데이터의 보안 등급 정의를 통해 프로그램의 중요한 정보를 외부로부터 보호할 수 있다.

본 절에서는 본 논문에서 제안한 데이터 보안 언어를 통해 접근 제어 모델을 구현하고 이를 통해서 분석 결과의 유효성을 검증하고자 한다. 본 실험에서는 본 논문에서 제안하고 있는 데이터 보안을 확보할 수 있도록 프로그램에서 데이터의 보안 등급을 설정하고 이를 통해서 보안 데이터가 안전하지 않은 외부의 데이터에 의해서 노출되는 사례를 효과적으로 탐지하고 차단할 수 있는지 평가한다.

검증 실험을 위해 Fig 2의 데이터 보안 언어를 이용한 데이터 보안 프로그램을 구성하였다. Fig 6은 데이터 보안 언어를 이용한 테스트 프로그램을 보여주고 있다. 본 프로그램의 실행에서 보안 데이터가 여러 연산을 통해서 사용되고 있으며, 실행 과정에서 외부의 Unknown 데이터와 연산이 되거나 유출되는 경우를 포함하고 있다.

Fig. 6. 
A data secure program

테스트 프로그램에서 사용되는 데이터는 Table 4에서 보여주고 있다. dataB와 sum은 라인 3과 라인 6에서 각각 setSecurityLevel 명령을 이용해 보안 등급을 Secure로 설정하였다. 이 변수는 프로그램 내에서 안전하게 보호하고자 하는 보안 데이터에 해당하고, Unknown 데이터로부터 안전하게 보호되어야 한다. 라인 4의 변수 dataX는 외부로 부터 유입된 Unknown 데이터에 해당한다. 따라서 프로그램 내에 사용되는 보안 데이터가 dataX와 함께 연산에서 사용되지 않도록 보장해야 한다. 변수 check는 프로그램의 반복문 라인 12에서 반복적으로 보안 데이터 sum과 dataX 사이에 연산이 이루어진 결과를 대입하는 연산을 수행하고 있으며, 이러한 연산이 탐지되고 제어될 수 있는지 검증한다. 변수 test는 라인 18에서 보안 데이터 sum과 dataX가 함께 연산되고, 이후 연산 결과가 출력 명령 output에서 Unknown 데이터에 의해서 유출되는 사례를 보여준다. 따라서 test 변수의 결과가 외부로 유출되는 경우를 효과적으로 탐지할 수 있어야 한다. 라인 20, 라인 21에서는 if 조건문에서 Normal 데이터 dataA와 Secure 데이터 dataB가 각각 Unknown 데이터 dataX에 의해서 유출되고 있을 때 이를 탐지하고 Secure 데이터의 유출을 정확하게 차단할 수 있는지 검증한다.

Fig 6의 테스트 프로그램에서 보안 데이터가 연산되거나 유출되는 구문은 밑줄로 강조해서 표기하고 있다. 라인 12는 보안 데이터 sum이 Unknown 데이터 dataX와 연산되어 값이 변조되거나 유출되는 경우에 해당한다. 이 문장은 반복문내에서 반복적으로 연산이 수행된다. 라인 15에서는 보안 데이터 sum이 Unknown 데이터 dataX와 함께 출력 명령 output을 통해 외부로 유출되는 경우이다. 라인 18은 보안 데이터와 Unknown 데이터의 연산 결과가 Normal 데이터 test에 대입되고 있다. 따라서, test는 보안 데이터의 값을 포함하고 있으며, 이 과정에서 Table 3의 접근 제어 규칙에 따라 Secure 보안 등급으로 변화된다. 따라서 라인 17과 라인 19는 동일한 output 명령이지만 라인 17에서 test는 Normal 등급을 가지고 데이터 유출에 자유로울 수 있지만 라인 18의 연산에서 test는 Secure 데이터로 변경됨에 따라 라인 19의 output 명령은 유출되어서는 안되는 경우를 보여준다. 라인 20과 21은 if 조건문에서 보안 데이터 dataB가 output 명령에 의해 외부 유출되는 상황을 나타내고 있으며, 라인 21의 경우 조건문의 결과에 따라 실제 데이터 유출 명령은 실행되지 않는 것을 알 수 있다.

본 논문에서 제안한 접근 제어 모델은 데이터 보안 언어를 통한 구현 및 실험을 하고 정확성을 검증하였다. 본 구현 환경은 Microsoft Windows 7 운영 체제에서 함수형 언어 하스켈(Haskell) [15]을 이용해서 구현하였다. 함수형 언어 하스켈은 문자열을 다루는 고급 기능들을 지원하기 때문에 프로그래밍 언어의 설계 및 분석기 개발 등에서 효과적인 프로그래밍 환경을 제공한다.

구현된 데이터 보안 언어를 통해 Fig 6에서 제시한 데이터 보안 프로그램을 이용해 접근 제어 모델의 분석 결과를 실험하였다. Fig 7은 구현한 모델을 통한 프로그램의 분석 실행 결과를 보여주고 있으며, 보안 데이터의 위험을 탐지하고 차단할 수 있도록 정보를 제공하고 있다. 첫 번째 Output Warning 분석 결과는 output 명령을 통해서 Secure 데이터가 Unknown 데이터를 통해서 외부로 유출이 탐지되는 경우에 대한 분석 결과를 경고하고 있다. 이 분석 결과는 Fig 6의 프로그램에서 라인 15, 18, 20에서 사용된 보안 데이터의 output 명령에 대해서 데이터 유출 사례를 정확하게 탐지하였다.

Fig. 7. 
Results of evaluation with the test program

두 번째 Access 분석 결과에서는 Secure 데이터에 대한 Unknown 데이터의 접근 및 연산(분석 타입: DTApproach)과 output 명령을 통한 보안 데이터 유출(분석 타입: DTOutput)을 탐지하고 경고 메시지를 보여준다. 경고 메시지에는 위험 분석 타입, 사용되는 데이터의 현재 값, 그리고 데이터의 보안 등급을 보여주고 있다. 1 ~ 4번 경고 메시지는 반복문 내 라인 12에서 Secure 데이터 sum이 Unknown 데이터 dataX와 함께 연산이 되면서 데이터의 유출 및 위조 가능성을 경고 하고 있다. 총 4회의 반복문이 수행되면서 4회의 명령 수행에 대해서 데이터의 현재 값과 보안 등급 등의 분석 결과를 보여준다. 5, 6, 8번 경고 메시지는 라인 15, 19, 20에서 output 명령에 의해서 보안 데이터의 외부 유출이 시도되는 경우이다. 7번 경고 메시지는 라인 18에서 보안 데이터 sum이 위험 데이터 dataX와 함께 연산이 되는 상황을 탐지하고 있다. 본 명령에 의해서 변수 test는 보안 등급이 Normal에서 Secure로 조정된다. 따라서 라인 17에서 사용된 output 명령과 달리 라인 19에서 사용된 output 명령은 보안 데이터의 유출 사례로 탐지되고 있다.

본 실험 결과는 본 논문에서 설계한 데이터 보안 언어로 작성된 프로그램에서 Secure 데이터로 설정된 dataB, sum이 Unknown 데이터로 사용되는 dataX와 함께 연산이 되거나 output 명령으로 외부 유출되는 사례에 효과적으로 탐지한 결과를 보여준다. 또한, 테스트 프로그램의 라인 18에서 데이터의 연산을 통해 변수 test의 보안 등급은 Normal에서 Secure로 상승하였으며, output 명령에 의해서 유출되는 경우에 정확하게 Secure 데이터에 대해서 탐지함을 확인할 수 있다.

Fig 8은 본 논문에서 구현하고 실험한 데이터 접근 제어 모델에 대한 실행 화면을 보여준다. 프로그램 내에서 사용되는 데이터의 안전한 유지 및 관리는 정보 보안의 중요성이 커짐에 따라 다양한 연구를 통해서 확보되어야 하는 기술이다. 본 논문에서는 접근 제어 모델을 통해 프로그램상의 보안 데이터를 안전하기 유지하고 보호할 수 있는 체계를 확보할 수 있는 방법을 제시하고 있다. 제안된 접근 제어 모델은 구현 및 실험을 통해서 보안 데이터의 효과적인 탐지 및 차단이 가능한 것을 확인할 수 있다.

Fig. 8. 
Execution results of the experiments