개방형 클라우드 환경의 지능형 영상감시 인큐베이팅 보안 메커니즘 구조

Ⅰ. 서 론

최근의 영상감시 시스템은 영상분석, 컴퓨터비전, 패턴 인식 등의 기술을 적용함으로서 자동적으로 범죄자를 찾거나 화재 현장을 탐지하는 등의 지능형 영상감시 시스템으로 발전해나가고 있다. 이와 같은 지능형 영상감시 시스템은 공공시설, 철도, 공항, 백화점과 같은 다수의 사람이 이용하는 공간에서 테러와 같은 강력범죄나 미아, 납치, 분실 등의 사건사고를 예방 및 해결하기 위한 방도로서 사용되고 있다.

하지만, 지능형 영상감시 시스템은 불특정 다수에 대한 감시 시스템으로 감시 대상은 의도치 않게 시스템 사용자로부터 감시를 받게 된다. 고로 대다수의 시스템은 촬영된 피사체에 대한 개인정보 수집을 최소화하면서 역할을 수행함과 동시에 피사체에 대한 개인 정보가 유출되지 않도록 프라이버시 보호 기법을 적용하여야 한다[1].

또한, 지능형 영상감시 시스템에 클라우드와 빅데이터를 도입함으로서 보다 발전된 시스템 개발이 진행되고 있으며, 이는 촬영된 영상 데이터를 클라우드 서버에 저장함으로서 피사체의 개인정보 유출 경로의 증가와도 연관된다. 그러므로 앞으로의 영상감시 시스템은 기존의 영상감시 시스템에 대한 취약점뿐만이 아닌 도입되고 있는 클라우드와 빅데이터의 취약점을 분석하고 해당 취약점으로부터 피사체의 개인정보가 유출되지 않도록 보호할 수 있는 기술의 개발이 요구된다[2].

본문은 개방형 클라우드 환경에서의 지능형 영상감시 시스템의 취약점을 분석하고, 오픈소스 클라우드로서 IaaS 서비스를 지원하는 Openstack을 이용하여 개방형 클라우드 기반의 지능형 인큐베이팅 보안 플랫폼을 제안하고, Openstack 내의 구현을 위한 기능을 소개하도록 한다. 본문의 구성은 2장에서 기존 클라우드 보안 기술과 취약점을 분석하고, 3장에서 제안하는 메커니즘을 포함하는 개방형 클라우드 기반의 지능형 인큐베이팅 보안 플랫폼을 정의한다. 4장에서 제안한 개방형 클라우드 환경의 지능형 영상감시 인큐베이팅 보안 메커니즘의 인터페이스의 설계를 소개한 뒤, 기존 보안 메커니즘과의 차이점을 5장에 서술한다.

Ⅱ. 관련 연구

2.1 오픈소스 클라우드 Openstack 보안 기능

Openstack은 스토리지의 객체 데이터에 대한 암호화, 정당한 사용자임을 증명하는 사용자 인증, 역할을 기반으로 접근 권한이 없는 구역으로의 접근을 방지하는 접근제어의 3가지 기능을 제공한다[3].

2.1.1 Swift 오브젝트 스토리지 서비스 암호화

Swift는 사용자의 계정별로 저장 공간을 할당하는 오브젝트 스토리지 서비스이다. Swift에서는 선택적으로 오브젝트 데이터에 대한 AES-256(Advanced Encryption Standard) 암호화를 지원하는데, 암호화함으로서 제 3자가 접근 권한을 취득하였을 경우 사용자의 데이터 노출을 방지할 수 있다. 다음 데이터는 Swift가 정지되어 있는 동안 암호화된다[4].

▪ PUT 요청에 의한 객체 내용의 본문
▪ 내용이 존재하는 개체의 ETag(Entity Tag)
▪ 모든 맞춤 사용자 개체 메타데이터 값(PUT 또는 POST 요청에 대한 메타데이터)

Swift에서 제공하는 암호화는 keymaster와 암호화 두 개의 미들웨어 필터를 프록시 서버 WSGI(Web Server Gateway Interface) 파이프라인에 추가하고 proxy-server.conf 파일에 각각의 필터 구성 섹션을 포함하여 배포한다. keymaster 구성 옵션인 encryption_root_secret은 스토리지 암호화를 위한 비밀키로, 미들웨어가 사용되기 전에 최소 44개의 유효 기본 64자의 값으로 설정되어야하며 모든 프록시 서버에서 일관되어야 한다. 배포된 encryption_root_secret은 스토리지 내의 비밀키로서 적용되게 되고, 암호화를 해제할 경우 disable_encryption 옵션을 True로 설정함으로서 기존의 암호화 오브젝트는 암호화된 상태로 유지하며, 이후 추가되는 요청에 의한 데이터는 암호화를 진행하지 않도록 하고, 암호화된 데이터는 저장되어있는 encryption_root_secret를 호출하여 암호화를 해제한다.

Fig. 1.

keystone authentication process[5]

2.1.2 Keystone 사용자 인증 서비스

Keystone 서비스는 Openstack에서 사용자 인증 서비스를 제공한다. keystone 서비스에서는 사용자 인증을 위해 4개의 구성요소로 이뤄지는데, 관리를 위해 활동 범위가 제한된 사용자와 그룹, 프로젝트의 연합체를 의미하는 domain, 자원에 대한 권리를 가지는 보안그룹을 의미하는 project(tenant), Openstack 클라우드 서비스를 사용하는 user, 사용자의 구체적 동작 수행을 허용하는 특징의 집합인 role이 포함된다. keystone 서비스는 구성요소를 통해 사용자와 클라우드의 인증서비스, 사용자가 이용하고자 하는 서비스에서 다음과 같은 절차를 통해 시스템의 무결성을 제공한다.

2.1.3 Keymaster RBAC 접근제어 서비스

Openstack에서는 사용자에게 할당된 역할에 기반하여 접근을 통제하는 RBAC(Role-Based Access control)을 이용하여 리소스에 대한 사용자 접근을 제어하는데 사용된다. RBAC는 크게 역할 할당, 역할 권한 부여, 권한 승인의 3가지 규칙을 가진다. 접근하는 사용자에 대한 권한은 서비스마다 가지고 있는 policy.json에 저장된다. RBAC는 정확성과 무결성 검증을 위해 테스트를 거치게 되는데, 이 테스트를 실행하는 서비스를 patrole이라 칭한다. patrole은 policy.json에 저장된 내용을 바탕으로 접근제어 정책의 정확성과 무결성을 검증하게 된다[6].

2.2 기존 클라우드 서비스의 한계점과 취약점

2.2.1 영상정보 저장 위치에 따른 발생 취약점

현재 주로 판매되고 있는 영상감시 시스템은 촬영된 영상을 H/W나 클라우드에 저장하여 사용자에게 제공하고 있다. 하지만 독립적인 저장 공간을 가지는 H/W에 비해 클라우드는 공유되는 저장 공간을 제공하며, 다음과 같은 취약점을 가진다[7].

Table. 1.

List of CSA cloud computing vulnerabilities[8]

2.2.2 개방형 전송 매체로 인한 발생 취약점

영상감시 시스템은 영상의 전송 매체로서 동축 케이블을 통한 폐쇄형 전송 또는 유·무선 네트워크를 이용한 개방형 전송을 제공한다. 이때, 전송 매체로서 네트워크를 사용하는 경우 다음과 같은 취약점에 노출될 수 있다[9].

Table. 2.

List of OWASP network vulnerabilities[10]

Ⅲ. 제안된 개방형 클라우드 기반 지능형 영상보안 인큐베이팅 플랫폼

클라우드 기반 지능형 영상보안 인큐베이팅 플랫폼은 영상감시 시스템으로부터 전송되는 영상 데이터를 분석하여 Deep-learning 기술을 통해 사람과 차량, 교통사고 발생과 번호판을 인식하여 긴급 상황에 대해 관제센터에 알리고, 그렇지 않은 상황에선 피사체가 되는 사람이나 차량의 인식 가능한 정보를 알아보지 못하도록 처리하는 플랫폼으로 그림 2와 같이 구성된다. 이 플랫폼은 인식신경망 인큐베이터, 신경망 분석, 실증 치안 DB(DataBase) 구축 및 온라인 학습, 지능형 인큐베이팅 보안의 4가지 서브시스템으로 구성된다.

Fig. 2.

Proposed overall platform configuration

Fig. 3.

Logical structure of the proposed platform

본문에서 제안하는 메커니즘은 클라우드 기반 지능형 영상보안 인큐베이팅 플랫폼의 서브시스템 중 하나로 개인정보 노출 가능성이 있는 메타데이터의 비식별화, 중요 데이터 암호화, 정당한 사용자 인증, 접근 권한 외의 시스템 접근 방지를 위한 접근제어 기능을 제공하는 개방형 클라우드 환경의 지능형 영상감시 인큐베이팅 보안 메커니즘이다.

3.1 용어 정의

Table. 3.

Term definition

Ⅳ. 제안된 개방형 클라우드 환경의 지능형 영상감시 인큐베이팅 보안 메커니즘 구조

4.2 제안된 개방형 클라우드 환경의 지능형 영상감시 인큐베이팅 보안 메커니즘의 인터페이스 구조 설계

본문에서는 클라우드 기반 지능형 영상보안 인큐베이팅 플랫폼에서의 인터페이스 구조를 살펴보고, 제안하는 지능형 인큐베이터 보안과 인터페이스를 공유하는 서브시스템간의 관계를 설명하고자 한다.

개방형 클라우드 환경의 지능형 영상감시 인큐베이팅 보안 메커니즘은 실증 치안 DB 구축 및 온라인 학습, 인식신경망 인큐베이터 와 인터페이스를 공유하며, 인터페이스 상에서 이뤄지는 통신 프로토콜을 소개한다. 그림 4는 인터페이스의 구조를 도식화한 것이다.

Fig. 4.

Interface structure of the proposed platform

4.2.1 ICBS-SECS 프로토콜 설계

ICBS의 요청에 따라 SECS에서는 로그인을 통한 정당한 사용자 인증과 사용자에게 허가된 기능을 기반으로 한 서비스 접근제어를 수행한다. 두 서비스는 각각 하나의 모듈 형태로 구성된다.

본 시스템으로의 서비스를 제공받기 위해서는 서비스를 담당하는 ICBS를 거친다. 사용자의 요청을 받은 ICBS에서는 해당 사용자가 시스템에 접근이 허가된 정당한 사용자임 증명하기 위해 전송한 식별정보(ID/PASSWORD, 생채정보 등)를 SECS로 전송하여 사용자의 신원증명을 요청하게 된다. ICBS로부터 전송된 인증 요청은 SECS 내의 인증 모듈의 인증 인터페이스 처리부로 전송된다. 인증 인터페이스 처리부는 사용자 식별정보를 사용자 인증 처리부로 전송하고, 사용자 인증 처리부에서는 요청된 식별정보와 저장되어있는 식별정보를 대조하여 사용자를 인증하고 인증 결과를 반환한다.

결과를 반환받은 ICBS에서는 사용자에게 허용되는 기능을 확인하기 위해 SECS로 사용자에게 허가된 기능에 대한 정보를 요청한다. 요청을 받은 SECS에서는 사용자의 접근 제어 기능을 확인하기 위해 접근제어 모듈의 접근제어 인터페이스 처리부로 요청을 전달하며, 요청을 전달받은 접근제어 인터페이스 처리부는 접근제어 정책 테이블에 있는 정책을 확인하고 결과를 ICBS로 전송한다.

결과를 전송받은 ICBS는 전송받은 정책을 이용하여 사용자에게 제공될 수 있는 서비스를 확인한다. 사용자는 관리자, 사용자로 구분되며, 관리자는 원본 영상정보, 사용자의 인증 및 접근 권한 정보, 암호화 및 비식별화 복원 키 등에 대한 열람, 기록, 수정, 삭제의 기능을 가지며 사용자는 자신이 녹화한 범위의 영상에 한정하여 열람, 기록, 삭제의 기능을 제공한다. 표 4는 ICBS- SECS 인터페이스의 유니트와 역할을 정리한 것이다.

Table 4.

Define the functionality of the ICBS–SECS module

Fig. 5.

Proposed ICBS – SECS protocol design

Fig. 6.

Proposed DBCS - SECS protocol design

4.2.2 DBCS-SECS 프로토콜 설계

먼저 영상감시 시스템으로부터 영상정보가 전송되면 DBCS는 SECS로 피사체의 개인정보 유출이 의심되는 데이터에 대한 비식별화 처리를 요청한다. SECS는 메타데이터 비식별화 모듈의 비식별화 인터페이스 처리부로 요청을 전송하며, 요청받은 비식별화 인터페이스 처리부는 비식별화 데이터 연산 처리부로 전송한다. 비식별화 요청을 받은 비식별화 데이터 연산 처리부는 평문 메타데이터에 대응하는 연산 처리를 통한 비식별화 영상정보를 생성하여 결과를 비식별화 인터페이스 처리부로 반환한다[26]-[29]. 데이터 연산처리부는 비식별화를 진행한 영상에 대한 복원용 키를 저장하며, DBCS에서는 해당 영상을 비식별 처리가 진행된 영상으로 대체한다.

다음으로 영상 데이터의 안전성을 높이기 위하여 영상 데이터를 암호화 처리하는 과정을 진행하는데, DBCS로부터 SECS로 영상 데이터의 암호화를 요청하면 SECS는 암호화 모듈의 암호화 인터페이스 처리부로 요청을 전송한다. 암호화 인터페이스 처리부는 암호화 처리부로 요청을 전달하고, 요청을 받은 암호화 처리부는 요청받은 데이터 파라미터에 대한 암호문을 생성한 뒤 결과를 암호화 인터페이스 처리부로 반환한다. 암호화된 영상에 대한 복호화키는 암호화 처리부에서만 가지게 되며, 복호화를 진행하기 위해서는 암호화된 영상에 대한 복호화키를 SECS로 요청해야만 하며, 복호화 요청이 들어올 경우 해당 영상의 복호화키를 전송하여 DBCS에서 복호화를 진행한다. 이후 같은 영상에 대한 암호화는 새로운 영상으로서 새로운 암호화키를 적용하여 암호화를 진행하게 된다. DBCS에는 암호화된 영상정보만을 저장한다.

DBCS의 암호화된 영상은 외부에 유출되어도 복호화키가 요구되며, 이에 대한 복호화키는 SECS에서 가지고 있으므로 공격자가 영상정보를 탈취하고자 하는 경우 두 모듈에서 필요한 정보를 별도로 획득해야만 한다. 표 5는 DBCS-SECS 인터페이스의 유니트와 역할을 정리한 것이다.

Table 5.

Define the functionality of the DBCS-SECS module

Ⅴ. 기존 영상감시 시스템과의 차이점

5.1 일반적인 CCTV 시스템과 제안된 시스템의 영상 전송 과정

기존의 영상감시 시스템은 촬영된 영상을 클라우드에 전송하는 과정에서 파이프라인에 암호화 미들웨어를 접목함으로서 전송되는 데이터에 대한 암호화를 진행한다. 클라우드 서버 내에 저장되는 데이터는 사용자의 비밀키를 통해 암호화가 이루어진 암호문으로 사용자를 제외한 타인에 대해 영상이 공개되지 않아야 하므로 암호화된 영상정보를 저장하는 클라우드는 암호문에 대한 복호화키를 필요로 하지 않는다. 그림 7은 영상 전송 과정의 차이를 간략히 나타낸 것이다[20].

Fig. 7.

Process of image transmission of a typical CCTV system and a proposed system

본문에서 제안한 개방형 클라우드 환경의 지능형 영상감시 인큐베이팅 보안 메커니즘은 영상감시 시스템으로부터 전송받은 영상 데이터의 사람 및 차량에 대한 검출 및 사고 감지 기능 제공을 위해 플랫폼 내에서 원본 데이터를 가공할 필요성이 존재한다.

개방형 클라우드 환경의 지능형 영상감시 인큐베이팅 보안 메커니즘은 플랫폼 내에 존재하는 피사체의 개인정보가 포함된 원본 데이터에 대한 프라이버시와 안전성을 제공한다. 영상정보는 개방형 클라우드 환경의 지능형 영상감시 인큐베이팅 보안 메커니즘을 통해 피사체의 개인정보 보호를 위해 비식별화 처리를 진행한 영상 데이터로 변환한다. 이 과정을 거친 영상정보는 기존의 영상감시 시스템과 다르게 피사체의 개인정보를 포함하지 않는다. 제안된 메커니즘은 영상정보를 탈취하기 위해서는 영상정보를 저장하고 있는 모듈과 영상에 대한 비식별/암호화에 대한 복원키를 가진 모듈을 모두 공격하여 영상정보와 영상정보에 대한 복원키를 획득해야만 영상정보의 원본 영상을 얻을 수 있다.

5.2 일반적인 CCTV 시스템과 제안된 시스템의 사용자 인증 과정

다음으로 사용자의 시스템 접근과 사용자 인증에 대해 기존의 클라우드 내의 접근제어는 각각의 서비스가 하나씩의 사용자의 역할에 대한 정책을 가지며, 해당 정책에 의거하여 사용자의 권한을 파악하고, 사용자의 역할 권한에 따라 서비스를 제공하였다.

반면 제안된 보안 메커니즘은 독립된 별도의 서비스에서 하나의 플랫폼에서 제공되는 서비스로 제공할 수 있으며, 사용자에 대한 인증을 별도의 모듈에서 진행하고, 정당한 사용자임에 대한 인증 결과를 받고 난 후 사용자의 접근 권한에 대한 정보를 별도의 모듈에서 진행하여 관련 정보를 받아 플랫폼에서 확인하는 방식으로 사용자에 대한 식별정보와 접근 권한을 서비스를 제공하는 하나의 모듈이 아닌 별도의 모듈에서 진행하게 된다. 그러므로 서비스 제공 모듈이 아닌 별도의 보안 전용 모듈에서 식별정보와 접근정책을 저장하고, 이에 대한 확인을 서비스 제공 모듈에서 확인함으로서 보안성을 강화할 수 있다.

그림 8은 일반적인 CCTV 시스템과 제안된 시스템의 접근제어와 인증 서비스 과정을 간략히 나타낸 것이다.

Fig. 8.

User authentication process of general CCTV system and proposed system

Ⅵ. 결론 및 향후 과제

본 논문에서는 클라우드 기반 지능형 영상보안 인큐베이팅 플랫폼내의 데이터 보안과 피사체의 개인정보 보호를 위한 개방형 클라우드 환경의 지능형 영상감시 인큐베이팅 보안 메커니즘의 구조와 시스템간의 인터페이스를 소개하였다.

개방형 클라우드 환경의 지능형 영상감시 인큐베이팅 보안 서비스는 하나의 독립된 서비스로서 클라우드 상에서 영상감시 시스템에 대한 프라이버시 영상정보 비식별화, 클라우드 내의 데이터 암호화, 인가된 사용자의 시스템 접근 허가를 위한 접근제어, 접근한 사용자의 신분 확인을 위한 인증 기능을 수행하는 독립된 보안 서비스를 제공할 수 있다.

Acknowledgments

이 논문은 2017년도 정부(과학기술정보통신부)의 재원으로 정보통신기술진흥센터의 지원을 받아 수행된 연구임[2017-0-00207,클라우드 기반 지능형 영상보안 인큐베이팅 플랫폼 개발]

References

• Jin Su Kim, Min-Gu Kim, and Sung Bum Pan, "A Study on Optimization of Intelligent Video Surveillance System based on Embedded Modul", Journal of Smart Media, 7(2), p40-46, Jun.), (2018. [https://doi.org/10.30693/smj.2018.7.2.40]
• Hyeon-in Cha, Gwangho Song, and Yoosung Kim, "A Recognition of Violence Using Mobile Sensor Fusion in Intelligent Video Surveillance Systems", Journal of KIISE, 45(6), p533-544, (2018). [https://doi.org/10.5626/jok.2018.45.6.533]
• Jinsu Kim, Sangchoon Kim, and Namje Park, "Openstack Security Techniques of Cloud Service", Conference of JCITPE, p57-59, Aug.), (2018.
• "Data encryption", Openstack, https://docs.openstack.org/security-guide/tenant-data/data-encryption.html [accessed: Jan. 29, 2019].
• "Authentication procedure of open stack keystone", Zetawiki, https://zetawiki.com/wiki/%EC%98%A4%ED%94%88%EC%8A%A4%ED%83%9D_%ED%82%A4%EC%8A%A4%ED%86%A4_%EC%9D%B8%EC%A6%9D%EC%A0%88%EC%B0%A8 [accessed: Jan. 29, 2019].
• "Role-Based Access Control Overview", Openstack, https://docs.openstack.org/patrole/latest/rbac-overview.html [accessed: Jan. 29, 2019].
• Donghyeok Lee, and Namje Park, "CCTV Video Data Security Scheme for Open Distributed Cloud Environment", Conference of KSII, 19(1), p113-114, Apr.), (2018.
• Top Threats to cloud computing, Cloud Security Alliance, p8-36, (2017).
• Donghyeok Lee, and Namje Park, "Proposal of Technol ogy and Policy Post-Security Management Framew ork for Secure IoT Environment", Journal of KIIT, 15(4), p127-138, Apr.), (2017. [https://doi.org/10.14801/jkiit.2017.15.4.127]
• OWASP, The Open Web Application Security Project, p6-16, (2017).
• Tae-hwan Park, Ga-ram Lee, and Ho-won Kim, "Survey and Prospective on Privacy Protection Methods on Cloud Platform Environment", Journal of KIISC, 27(5), p1149-1155, Oct.), (2017.
• "IBM Bluemix", IBM, https://www.ibm.com/cloud-computing/bluemix/ko [accessed: Jan. 28, 2019].
• "Microsoft Azure", Microsoft, https://docs.microsoft.com/ko-kr/azure/security/azure-security [accessed: Jan. 28, 2019].
• "Amazon Web Sevice", Amazon, https://aws.amazon.com/ko/security/ [accessed: Jan. 28, 2019].
• "Paas-Ta", PaaS-Ta, https://www.paas-ta.kr/intro/forwarding_result [accessed: Jan. 28, 2019].
• Hyeog Jang, Taehyeon Hwang, Hunjun Yang, "Highway Incident Detection and Classification Algorithms using Multi-Channel CCTV", Journal of IEIE, 51(2), p23-30, (2014). [https://doi.org/10.5573/ieie.2014.51.2.023]
• Donghyeok Lee, Namje Park, "Similarity-based Virtual Facial Generation Method for Privacy Protection of Intelligent CCTV Environment", Journal of CISC 2017, Jun.), (2017.
• Namje Park, "Privacy Enhanced CCTV Video Security Framework using Metadata De-identification", Journal of ICICT, p199-200, (2018).
• Donghyeok Lee, Namje Park, Geonwoo Kim, and Seunghun Jin, "De-identification of metering data for smart grid personal security in intelligent CCTV-based P2P cloud computing environment", International Journal of Peer-to-Peer Networking and Applications, 11(6), p1299-1308, Nov.), (2018. [https://doi.org/10.1007/s12083-018-0637-1]
• Donghyeok Lee, and Namje Park, "ROI-based efficient video data processing for large-scale cloud storage in intelligent CCTV environment", International Journal of Engineering and Technology, 7(2.33), p151-154, Mar.), (2018.