본문 바로가기
카테고리 없음

[정보보호 후기] #1. 정보보호론의 개요

by 꺄꺄꺄 2022. 5. 7.

본 포스팅은 박미진 알짜배기 핵심테마 100, 탑스팟 정보보호 핵심기출 N제 요약집, 탑스팟 정보보호기사 책을 참고하여 작성되었음을 알려드립니다.

PART 01 정보보호 개요

정보보호는 역시, 자신이 가지고 있는 소중한 무언가를 제 3자로부터 보호하는 것을 의미한다. 그 소중한 무언가가 무엇인지 제대로 파악하고 인지하는 것이 정보보호의 시작이다. 그리고 제 3자가 어떻게 접근 해오는지에 대해 대략적으로 알고 대비하는 것이 그 다음이다. 이 파트에선 그런한 것을 간단하게 짚고 넘어간다. 본 포스팅은 이 과목에 대한 개요 포스팅이지만, 필요하다고 판단이 되어 조금 내용을 본 포스팅에서 일부 바로 짚고 넘어가고자 한다.

정보보호의 목표: 정보보호의 시작은 사랑과 우정으로부터 시작되었다.

  • 기밀성: 우리끼리만 아는 비밀 신호
  • 인증성: 나닌까, 문열어
  • 가용성: 가질 수 없다면, 부숴버리겠어.
  • 무결성: 처음부터 이렇게 적혀있었나?
  • 부인방지: 내가 한거 아냐;;
  • 책임추적성: 그럼 도대체 누가 한거지???


기밀성: 우리끼리만 아는 비밀 신호

정보보호가 주로 다루어지는 공간은 디지털 공간이고, 그 중에서도 비중이 높은 것은 제 3자가 관리하고 있는 네트워크 공간에서 일어난다. 이 말은 즉은, 언제든지 네트워크를 관리하는 제 3자는 사용자가 주고 받고하는 정보를 엿볼 수 있음을 얘기한다. 이러한 보안 위협을 도청이라고 한다. 제 3자가 관리하는 네트워크 공간에서 제 3자가 보더라도 알 수 없게 하는 아주 간단한 방법은 바로 암호화이며, 정보보호에서 요구하는 이러한 성질을 기밀성이라고 한다. 이로써 A와 B는 C의 네트워크를 빌려써도, 암호화를 통해 기밀성을 만족하고, C는 알 수 없게 안전하게 둘만의 비밀 대화를 할 수 있게 되었다.

인증성: 나닌까, 문열어

A와 B는 서로 비밀대화를 주고 받는 사이에, 잠시 B가 화장실을 갔다. 이 때 C가 몰래 B 컴퓨터로 B인척 대화를 했고, A는 B인줄 알고 계속 비밀 대화를 이어나갔다. 이로써 A와 B의 사업은 모두 망했다. 여기서 발생한 보안 위헙은 위장이고, A와 B가 빠트린 정보보호 요구사항은 바로 인증성이다. 아무리 보안 통신을 했다고 한들, 엉뚱한 자와 통신을 하면, 암호화하나 마나이다. 그래서 보안통신을 하기전에 상대방이 올바른 상대인지 확인하는 인증과정이 필요하다. A와 B는 이제 암호어 하나 정하고, 암호대화를 시작하기전 서로 암호어가 일치하면, 암호대화를 시작하게 되는 절차를 추가했다. 다음에 C가 와서 시도를 하려고 했으나, 그 절차를 진행할 수 없어 포기하게 되었다. 이로써 A와 B는 마음 편히 비밀 대화를 할 수 있었다.


가용성: 가질 수 없다면, 부숴버리겠어

C는 심술이 났다. 그래서 자신이 관리하고 있던 네트워크에서 A와 B가 통신하고 있는 케이블을 잡고 뒤 흔들었다. 그러자 A와 B의 통신 연결이 끊어졌다. 몇번이고 재 연결을 해보았지만, C가 계속 케이블을 뒤흔드는 바람에 주식이 곧 폭락할 것이라는 내용을 전달하지못하고, A와 B는 떡락해버린 주식 폭격을 맞고 사업이 망하고 만다. 그리고 다음엔 이런일이 없도록 예비통신 케이블을 여러개 대여한다. 여기서 요구 됐던 정보보호 요구 사항은 바로 가용성이다. 해커는 심술이나면 얼마든지 사용하는 것을 방해해 피해를 입일 수도 있다. C는 더 이상 할 수있는게 아무것도 없어졌다.

무결성: 처음부터 이렇게 적혀있었나???

A와 B는 아주 클리어하고 안전하게 비밀대화를 주고 받아갔다. 어느날 A가 금액을 B한테허 가격을 잘못 전달받고 거래를 한바람에 손실이 일어난 것이다. 그래서 B한테 따지기 위해 대화내용을 살펴보았지만, B는 올바르게 말했는데 A가 잘못 본것이다. A는 보고도 믿을 수 없다. 분명히 봤는데. 하지만, A는 대화내용이 수정이 될 수 있다고 인지를 했기에, A는 대화 내용이 절대 변경이 될 수 없도록 하였다. 여기서 볼 수 있는 보안 위협은 메시지 변경이고, 정보보호 요구사항 무결성이다.

부인방지: 내가 한거 아냐;;

A와 B가 한 대화내용은 더 이상 변경될 수 없다. 하지만 어느날 또 거래 내용을 대화하는 중에 잘못된 전달이 일어났다. B가 잘못된 금액을 말했던 것이 대화내용에 남아 있엇던것이다. B의 눈은 즉시 띠용했다. B는 극구 부인했다. 자신이 이런 말을 했을리가 없다고. 사실 충격적이게도 이 시스템은 딱히 A와 B를 구분하는 수단을 갖고 있지 않았다. 단지 문맥적으로만 자신이 한말과 상대방이 한말을 파악했을 뿐, A와 B는 서로가 구리다고 생각하는 와중에도, 현 시스템의 한계를 인정하고, 같은 키를 써서 인증하는 과정을 저리고, 구별되는 각자만의 키를 가져서 인증하는 시스템으로 변경하였다. 이로써 서로가 한 행위가 구별이 되니, 나중에는 실수를 했더라고 하더라도 절대 발뺌을 할 수 없을것이다. 여기서 볼 수 있난 보안위협은 부인이고, 보안 요구사항은 부인방지다. 알고 모르게 서로의 관계가 악화되고 있는 듯 하였다.

책임추적성: 그럼 도대체 누가 한거지???

이런 저런것을 조치를 취하고 나면서도, 무언가 발생하는 자잘한 실수들. 그들의 MBTI는 각각 ENTJ와 ESTJ로 절대 서로가 실수할리가 없다고 자신을 하고, 서로 상대의 실수인데, 아닌척 발뺌하고 있을거라고 당연하게 생각했다. 일이 너무 많아서 복잡해져가긴 했으닌까 말이다. 하지만, 한 켠으로도 그들은 뭔가 한편으로 뭔가 이상하다는 것을 점점 느끼긴 했었다. 그래서 그들은 인정할 것은 인정하자고, 다양한 술루션을 동원하여 서로의 활동 로그를 낱낱히 남겨서, 자기가 한 행동에 대해선 확실히 인정할 수 밖에 없겠끔 해놓았다. 이것이 정보보호 마지막 요구사항인 책임추적성이다. 이제 이보다 더 완벽한 보안시스템이 있을까?

정보보호의 시작은 사랑과 우정으로부터 시작되었다.

이제 A와 B는 모든 솔루션을 총 동원해, 낱낱히 서로의 실수를 조사를 하였다. 역시 충격적이게도 모든 솔루션은 A와 B 둘 다, 단 한번도, 실수를 한적이 없다고 알려주는 것이다. A와 B는 역시 자신이 단 한번도 실수한적 없다는 사실에, 스스로에게 감탄을 금치못하고 있었던 그들이다. 그래도 꼬리가 아무리 짧아도 그들에게는 잡힌다는 말은 그들이 이 모든 사건의 범인이 C인 것을 밝혀낸 것을 두고 나온 말이다. 당장 C를 잡아와서 흠씬 두들겨 주고, 물었다. 왜 그랬고, 어떻게 이 보안시스템을 뚫을 수 있었는지. C는 입을 열었다. “너희들이 사업으로 폭망하고, 좋지 못한 선택을 하는 미래를 보았고, 나는 너희들을 잃고 싶지 않았다. 그리고 이 시스템을 뚫을 수 있었던 것은, 너희들은 비밀번호를 서로 같이 썼을 때나, 나중에 따로 쓰기 시작했을 때도, 모두 나의 생년월일을…” C는 이 말을 끝으로…


PART 02 암호학

암호학에서는 정보보호에서 제일 기초가 되는 암호도구들을 소개한다. 제일 기초적인 암호 모듈로 시작하여, 암호 모듈이 가진 특성에 또 다른 것을 가미하여, 다른 기초적인 암호 도구로 활용 되기도 한다. 여기서 제일 기초적인 암호 모듈의 내부를 아주 깊이 파고 들고, 그 외의 암호도구들도 차례대로 소개를 한다.

  • 대칭키 암호
  • 공개키 암호
  • 일방향 해시 함수
  • 메시지 인증 코드
  • 디지털 서명

PART 03 접근통제

암호학에서는 정보보호에서 제일 기초가 되는 암호도구를 보여줬다고 하면, 그 다음으로 정보보호에서 기초가 되는 계정 시스템에 관한 내용들을 확인 할 수 있다. 수 많은 사용자들을 유일한 사용자를 식별해내고, 정말 올바른 사용자가 맞는이 인증하는 과정을 거쳐, 그 사용자에게 주어진 권한에 맞게 적절히 할 수 있는 범위를 인가를 해주는 이 과정이 접근 통제라고 한다.

  • 생체인증
  • OTP(One Time Password) 인증
  • SSO(Single Sign On: 일명 로그인 유지)
  • 접근통제 보안 모델(벨라파듈라/비바/클랄-윌슨)

PART 04 시스템 보안

이 파트 이후로는 각 영역에서 일어나는 실제 보안, 보호에 관한 실제적인 내용을 다룬다. 시스템 보안은 어쩌면 운영체제의 보안이라고 할 후 있을 정도로 운영체제의 기초 사항과 운영체제의 보안을 주로 다루게 된다.

  • 운영체제의 보호 기법
  • 악성 소프트웨어의 종류
  • 윈도우 시스템 구조와 보안 체계
  • 유닉스 시스템 구조와 보안 체계
  • 운영체제의 모니터링과 보안 로그
  • 시스템 공격 방법
  • 그 외 채신 기슐들


PART 05 네트워크 보안

이제 컴퓨터안으로 국한된 보안 내용에서 제일 살떨리는 보안과 해킹의 전쟁터 네트워크에서 일어나는 보안과 보안 위협을 다루게 된다.

  • 4계층, 전송 계층 프로토콜들: 내가 친구랑 편지를 주고 받는법
  • 3계층, 네트워크 계층 프로토콜들: 우체국 아저씨가 일하는 방법
  • 무선랜의 암호화와 인증기술 (WEP, WPA 등)
  • 각종 네트워크 보안 공격 방법 (DOS, 스캐닝, 스푸핑 등)
  • 네트워크 모니터링과 관리도구 (SNMP, 유닉스 명령어 등)
  • 방화벽 종류와 구조, 방식 (FireWall, IDS, IPS 등)
  • VPN(Virtual Private Network, 가상사설망)
  • 보안 통합 솔루션(ESM, NAC 등)


PART 06 애플리케이션 보안

여기서 말하는 애플리케이션은 모두가 알겠지만, 프로그램을 말하는 것이 아니다. OSI 7계층 중, 7계층, 애플리케이션 계층의 프로토콜을 말한다. 흔히 쓰이는 애플리케이션 계층 프로토콜의 널리 알려져있는 보안 취약점을 짚고 넘어간다.

  • 파일 전송 서비스
  • 메일 전송 서비스
  • 웹 서비스와 웹 공격
  • 데이터베이스 보안
  • 전자지불 시스템
  • 디지털 포렌식

PART 07 정보보호 관리 및 법규

정보보호의 실 수요자는 기업이다. 이 파트는 정보보호가 기업, 비즈니스에서는 어떻게 적용이 되고, 운영이 되는가에 대해 다룬다.

  • 정보보호 통제 항목 (ISO/IEC 27000 시리즈)
  • 위험분석과 위험관리
  • 비지니스 연속 계획과 재난 복구 프로세스
  • 정보보안 제품 인증과 정보보호 관리 체계 인증
  • 개인정보법과 정보보호법


PART 01. 정보보호 개요에서 잠시만 짚고, 넘어가려고 했던것이 산을타고 하늘로 승천하고 있다.

댓글

티스토리툴바