Computer Science/Network Security

[CS][네트워크보안] Chapter1. 스마트 시대와 정보 보호

y-seo 2023. 10. 9. 00:21
 
 

스마트 시대와 정보 보호

  • 데이터 처리 장비(컴퓨터)가 등장하기 전 : 정보 보안 문제를 물리적 방법 or 행정적 수단으로 해결
  • 컴퓨터 등장 이후 : 컴퓨터에 저장된 정보 or 파일을 보호할 수 있는 자동화된 도구가 필요해짐
  • 스마트폰/클라우드 등장 이후 : 사람들의 컴퓨터 사용 패러다임 변화로 정보 보안의 필요성 더욱 대두, 지켜야 할 것이 많아짐 

 

 
 

스마트 환경과 스마트 워크

  • 스마트 환경
    • 시간과 장소의 구애 없이 저비용 고성능 컴퓨팅 기능(스마트폰)을 사용하여 인간의 삶을 편리하고 즐겁게 영위하도록 만드는 환경
  • 스마트 워크
    • 네트워크 환경을 기반으로 시간과 장소에 얽매이지 않고 언제 어디서나 업무를 할 수 있는 체제
    • 기존에는 기업 안에서만 보안을 신경 쓰면 되었지만, 스마트 워크 활성화 이후 보호해야 하는 데이터 및 범위가 넓어짐

 

 
 

네트워크 및 인터넷 보안

  • 보안 기술은 애플리케이션 사용성을 방해하기 때문에 사용자들이 불편함을 느낄 수 있음
  • 따라서 편리성과 안전성 모두를 해결하고자 하는 노력 필요
  • 인터넷에서의 보안 위협 예시
    • 웹브라우저 접속시 서버가 사용자의 쿠키나 정보 등을 수집
    • 악성SW을 이용하여 사용자 정보를 몰래 수집

 

 
 

정보보호 위협 환경

  • 인터넷 사용 환경에서 발생할 수 있는 위협
    • 수신자 외 다른 사람에게 정보 노출
    • 전송 중 데이터의 변경
    • 공격자가 합법적 사용자인 것처럼 위장 (Masquerade)
    • 데이터를 보내지 않았는데 보냈다고 주장
    • 데이터를 보냈는데/받았는데 보내지/받지 않았다고 주장 (Repudiation, 부인)
    • 패킷이나 메모리 사용량이 포화되어 서버 정지 (Dos, Denial of Service)
    • 아이디/비밀번호 도용
    • 신용카드 정보 도용
    • 온라인 송금 시 제대로 전달되지 않는 경우
    • 전자상거래시 보안 위협
    • 휴대폰 통화 시 도청
  • 공격과 위협의 구분
    • 공격 (Attack) : 시스템 보안에 대한 침범, 실질적인 피해
    • 위협 (Threat) : 시스템 보안에 침해와 위해를 가할 수 있는 잠재적인 위험, 실제 발생 X, 주의 단계

 

  • 무선으로 하는 것은 모두 암호화 되는 것
  • DDos : 분산서비스거부공격, 가장 강력
  • 바이러스 : 실행 파일에 딱 붙어 존재하는 악성 파일
  • 웜 : 실행 파일과 떨어져 존재하는 악성 파일

 

 
 

정보 보호

  • 정의 : 정보의 수집, 가공, 저장, 검색, 송신, 수신 중에 정보의 훼손, 변조, 유출 등을 방지하기 위한 관리적, 기술적 수단 또는 그러한 수단으로 이루어지는 행위
  • 정보의 가용성과 안전성은 서로 Trade-off (반비례) 관계
  • 가용성과 안전성 모두 만족시킬 수 있는 기술 필요

 

 
 

시대별 정보 보호

  1. 1960년대
    • ARPANET 등장으로 미국에서 컴퓨터들이 연결되지 시작
    • 정보보호의 개념 X
    • 비밀 데이터를 안전하게 관리하기 위한 연구 그룹 O, 이 그룹에서 Rand Report R-609 라는 보고서 탄생
      • 데이터 자체의 보안
      • 데이터에 대한 무자격자를 접근 통제
      • 구성원별 데이터 접근 권한 지정 방안
  2. 1970년대
    • 네트워크에 연결된 컴퓨터의 수가 폭발적으로 증가
    • 기존 ARPANET의 보안 문제 발견
      • 서버에 있는 자료를 원격 사용자로부터 보호할 만한 장치 X
      • 비밀번호 구조와 형식의 취약성, 기존 전화망을 통한 접속에서의 안전성 결여, 존재하지 않는 사용자에 대한 시스템 접근 허락 등
      • 1976년에는 공개키 암호 개발 (RSA 등)
  3. 1980년대
    • PC 등장, 개인용/사무용 컴퓨터가 인터넷에 연결 → 보안 문제 증가
    • 중앙에 집중되어 저장되었던 데이터가 분산되어 저장되게 됨
    • PC 및 소형 네트워크에 저장되어 있는 데이터가 공격의 목표가 됨 (정보 탈취 목적 X)
  4. 1990년대
    • 인터넷 개발 & 컴퓨터 사용자 수 폭등으로 1980년대 문제들이 더욱 커짐
    • 보안보다는 기술 개발에 매진하던 시대로 통신 기술 개발 시 보안을 거의 무시한 상태로 개발
    • 지금도 이 당시 개발되었던 것들을 기반으로 통신 기술(TCP/IP)이 만들어졌기 때문에 지속적인 보안 문제가 발생
  5. 2000년대
    • 전자상거래와 인터넷 금융 거래 활성화로 공격 증가
    • 구매 시스템의 취약적을 노린 공격, 사용자의 심리적 약점을 이용한 공격이 빈번
    • 3세대 이동 통신 등장에 따라 이에 대한 보안 문제도 대두
  6. 현재
    • 모두가 스마트폰을 잘 활용하면서 개인 정보 침해 발생
    • 사물인터넷 발달로 무선통신 기반 네트워크 환경에서의 보안문제가 심각한 이슈
    • 인터넷에 연결된 기기들이 이동성을 갖게 됨에 따라 새로운 정보 보호 개념 등장

 

 
 

보안과 보호

  • 보안 : 가치 있는 유/무형 자산을 도난/소실/유출로부터 보호하는 것, 악의로부터 지키는 것
  • 보호 : 위협으로부터의 안전, 정보를 저장하거나 유통하는 전반적인 시스템의 안정, 보안보다 조금 넓은 의미, 악의+사고로부터 막는 것

 

 
 

보안의 3요소

  • = CIA 모델
  • 기밀성 (Confidentiality) : 정보 접근과 공개에 대한 제한 조건을 지키는 것, 숨기기
  • 무결성 (Integrity) : 부적절한 정보 수정이나 파괴를 막는 것, 변경 X
  • 가용성 (Availability) : 시스템이 지체 없이 동작하도록 하고 합법적인 사용자에게 서비스를 거절하지 않도록 하는 것, 쉽게 접근
    • 가용성 침해 공격 = Dos 공격
  • 하지만 3요소만 고려하는 것은 부족할지도..
  • 그러나 공공데이터 같은 경우에는 3요소가 모두 필요하지 않을지도..

 

 
 

정보보호 서비스

  • 위 "보안의 3요소"에서 추가되는 것 = 보안의 n대 요소
  • 인증성 (Authenticity) : 데이터가 진실인지, 누구한테서 왔는지 확인할 수 있도록 하는 것 (Ex. 휴대전화 인증, 2차 인증)
  • 책임 추적성 (Accountability) : 개체의 행동을 추적할 수 있어야 한다는 것, 누구의 책임인지 확인, 부인 방지/침입 탐지/사후 복구 포함, 이를 가능하게 하는 것을 Digital Forensic이라 함, 바뀌지 않는 로그(기록) 필요
    • 위 2가지를 무결성에 포함하여 3대 보안 요소라 부르기도 함
    • 아니면 그저 5대 보안 요소라 부르기도 함
  • 부인 방지 (Non-repudiation) : 송신이나 수신 행위 여부를 부정하지 못하게 하는 것, 중요하여 따로 빼서 관리
    • 부인 : 보냈는데 안 보냈다고, 받았는데 안 받았다고 하는 것
  • 기본적으로는 CIA인데 환경이 복잡해져 몇 가지가 추가되기도 한다

 

 
 

정보 보호 대상

  • 결국은 데이터를 위해 다른 대상을 보호해야 함
  • 목록
    • 소프트웨어 - Software의 불법 사용, 소프트웨어 조작, 악성코드 등을 검사 (목적은 데이터를 빼내는 것)
    • 하드웨어 - 하드웨어 물리적 손상, 탈취 등을 검사
    • 데이터 - 데이터의 기밀성, 무결성, 가용성을 보호
    • 인적 요소 - 사회공학(사람 간 관계를 이용한 피싱), 관리자 실수, 내부자의 기밀 정보 노출 등을 방지
    • 절차 - 사용자 인증, 데이터 검증 등의 절차가 생략되거나 변경되는 것을 방지
    • 네트워크 - 네트워크 불법 사용, 도청, packet injection 등을 방지
  • 위 각 대상마다 다른 형태의 보안 필요

 

 
 

컴퓨터의 양면성

  • 컴퓨터는 공격의 주체가 될수도, 공격의 대상이 될 수도 있음
  • 공격의 종류
    • 직접 공격 : 공격자가 자신의 컴퓨터로 시스템에 직접 침투
    • 간접 공격 : 공격자가 다른 컴퓨터(Ex. Zombie)를 이용해 시스템에 침투, 추적을 피하기 위해, (예시) DDos(분산서비스거부공격)

 

 
 

편리성과 보안성

  • 서로 Trade-off 관계
  • 편리성이 극단적으로 높아진다면?
    • 누구나 언제 어디서든 아무 자료에 접근/수정 가능
    • 보안 수준이 극도로 낮아짐
  • 보안성을 극단적으로 높이면?
    • 관리자만 정해진 시간에 정해진 컴퓨터에서 접근/수정 가능
    • 모든 사람이 불편해 함
  • 보안 관리자는 조직의 특성과 사용자들의 보안 의식 수준 등을 고려하여 둘 사이의 균형점을 찾는 것이 중요

 

 
 

정보보호의 인적 요소

  • 정보 보안 요소 중 가장 취약한 것은 "인간"
    • 내부자가 정보 보안 침해 의도가 있다면, 매우 무서운 공격 요소가 됨
    • 내부자가 정보 보안 침해 의도가 없더라도, 습관/실수/성격/보안 기술에 대한 무지로 인해 보안이 침해될 가능성이 높음
  • 사회공학적 공격(Social Engineering Attack) : 사람의 심리적 취약점을 활용해 기밀 정보나 재화를 불법적으로 취득하는 행위
저작자표시