[정보처리기사] 5과목 정보 보안 (1)

정보 보안 3 요소

• 기밀성 (Confidentiality) : 인가된 사용자만 정보 자산에 접근
• 무결성 (Integrity) : 권한을 가진 사용자가 인가된 방법으로만 정보를 변경
• 가용성 (Availability) : 원하는 시점에 언제든 정보 자산에 접근
• 인증 (Authentication) : 허가받은 사용자인지 확인
• 부인방지 (Non-Repudiation) : 부인하지 못하도록 하는 것

AAA(Authentication, Authorization, Accounting)

• 인증 (Authentication) : 사용자의 신원을 검증
• 권한 부여 (Authorization) : 권한과 서비스를 허용
• 계정 관리 (Accounting) : 사용 정보에 대한 정보

정보 보안 거버넌스 3요소

• 정보 자산의 보호 (기밀성)
• 데이터 무결성 (무결성)
• 서비스 연속성 (가용성)

인증제도

• ISMS (정보보호 관리체계 인증)
• PIMS (개인정보보호 관리체계)
• ISMS-P(정보보호 및 개인정보보호 관리체계 인증)
• ITSEC : 1980년대 후반 영국, 프랑스, 독일, 네덜란드 주축으로 고유의 보안성 평가 기준서 개발
• TCSEC : 미국의 신뢰성 있는 컴퓨터 시스템 평가기준
• CC : 평가 결과를 상호 인증하기 위해 제정된 국제 평가 기준

Secure SDLC 방법론

보안 강화를 위한 프로세스를 포함한 것

• CLASP : SDLC 초기 단계에서 보안을 강화하기 위해 개발된 방법론
• MS-SDL : MS사에서 안전한 소프트에어 개발을 위해 기존의 SDLC를 개선한 방법론
• Seven Touchpoints : 소프트웨어 보안의 모범사례를 SDLC에 통합한 방법론

시큐어 코딩

OWASP

- OWASP Top 10 : 웹 애플리케이션 취약점 중 빈도가 많이 발생하고, 보안상 영향을 줄 수 있는 10가지를 선정하여 발표

 

7가지 보안 약점 종류 외우기!

 

백업과 복구

• RP : 실제 업무 기능 복구까지 걸린 시간
• RTO : 시스템 장애 시 비즈니스가 감당할 수 있는 최대의 시간, 복구 전략시 지표
• RPO : 재해 발생 시 데이터 손실을 감당할 수 있는 데이터의 양
• MTD : 장애 시 업무가 정지 상태를 허용하는 최대 시간, RTO와 비슷하지만 지표가 비즈니스 연속성이다.

 

• 전체 백업
• 증분 백업 : 변경/ 추가된 데이터만 백업
• 차등 백업 : 변경/ 추가된 데이터를 모두 포함하여 백업
• 실시간 백업
• 트랜잭션 로그 백업 : 모든 SQL문을 기록한 로그
• 합성 백업 : 전체 + 증분 백업

암호 알고리즘

(1) 대칭키 : 많은 양 암호화, 속도 빠름, 키 관리가 어려움 / 혼돈과 확산의 성질을 이용하여 평문을 암호화한다.

(2) 비대칭키 : 적은 양 암호화, 속도 느림, 키 관리가 쉬움

 

 

(1) 대칭키

• 블록 암호

- DES : 64bit 블록, 56bit 암호화 키, 16라운드, Feistel (2등분하여 교체)암호 방식

- 3-DES : 암호화 → 복호화 → 암호화 순으로 암호화

- AES : 128bit 평문, 요즘 많이 사용, SPN 암호 방식 사용, 키 크기에 따라 10/12/14 라운드

- SEED : 순수 국내기술로 개발, 128bit 및 256bit 대칭 키 블록의 암호 알고리즘

- ARIA : 국가 암호화 알고리즘, AES와 똑같이 128/192/256bit 암호화키를 지원

- IDEA : 스위스에서 만듬, 8라운드, Feistel 방식과 SPN의 중간형태 구조

- SKIPJACK : 미국의 NSA에서 개발, 32라운드

 

• 스트림암호 

- LFSR : 현재 상태에서 선형 연산을 통해 다음 상태를 생성하는 레지스터

- RC4 : 각 단계에서 키스트림 한 바이트를 생성한다.

- A5 : 시프트 레지스터를 기반으로 사용, GSM 휴대폰 체계에 사용

 

(2) 비대칭키

• 소인수 분해 기반

- RSA : 대표적인 공개키 암호 알고리즘

- Robin : RSA보다 빠름

 

• 이산대수 기반

- Diffie - Hellman : 키 관리 센터 없이 공개키 

- DSA : 미국 전자서명 표준

- ELGamal : 같은 평문에서 다른 암호문의 생성이 가능

- KCDSA : KISA에서 개발한 인증서 기반 부가형 전자서명 알고리즘

 

• 타원 곡선

- ECC : 타원 곡선상의 이산대수를 이용

 

• 전자서명 : 인증서 형태로 발급되는 자신만의 디지털 인감 도장이며 안전한 디지털 서명

 

(3) 단방향 암호화

암호화만 할 수 있음 (ex. 패스워드)

Hash를 이용하여 암호화하는 과정

 

Hash 함수 특성

- 역상 저항성 : 해시 값이 주어졌을 때, 그 해시 값을 생성하는 입력값을 알아내기가 불가능하다

- 제 2역상 저항성 : 아는 상태에서 x→y, y가 나오는 다른 x'를 알 수 없어야 한다.

- 충돌 저항성 : 아무것도 모르는 상태에서 x→y, y가 나오는 다른 x'를 알 수 없어야 한다.

 

Hash 함수 종류

MD5, HAS-160, SHA

 

암호학적 해시 함수의 결점

- 무차별 대입 공격(Brute-Force Attack)

: 해시 함수는 빠르기 때문에 무차별적으로 데이터를 넣다보면 암호화가 깨질 수 있다. → MD5가 그래서 깨졌다.

키 스트레칭으로 보완

 

- 레인보우 테이블 공격

: 사용자의 암호유형을 정의한 레인보우 테이블을 만들어 하나씩 대입해 보면서 암호를 발견해 낼 수 있다.

솔팅을 이용하여 보완

전자우편 보안 암호화 프로토콜

PGP : 필 짐머만이 개발, 전자우편 보안의 표준

PEM : 메시지 내용 암호화, 특정 키가 있어야 내용 볼 수 있음.

S/MIME : 첨부물에 대한 보안

DKIM : 메일 발신자가 발송 정보를 위장할 수 없도록 하는 기술 표준

 

접근 통제 

접근 통제 정책

• 강제적 접근 통제(MAC) : 기밀성이 강조되는 조직에서 사용
• 임의적 접근 통제(DAC) : 자원의 소유권을 가진 사람이 다른 사람의 접근을 허용하거나 제한할 수 있다.
• 역할기반 접근 통제(RBAC) : 사용자의 역할에 기반을 두고 접근을 통제하는 모델이다. (부서)

접근 통제 모델

• 벨 라파둘라 모델 : 기밀성을 강조한 모델, No Read up, No Write Down
• 비바 모델 : 무결성을 위한 상업용 모델, No Read Down, No Write Up
• 클락 윌슨 모델 : 무결성 중심의 상업용 모델
• 만리장성 모델 : 충돌을 야기하는 어떠한 정보의 흐름도 차단해야 한다는 모델로 이익 충돌 회피를 위한 모델

보안 운영체제 목적

• 안정성
• 신뢰성
• 보안성

보안 솔루션

• 방화벽
• 웹 방화벽
• 침입 탐지 시스템 (IDS) : 오용 탐지(공격 패턴 감지), 이상 탐지(비정상 행위 감지), 네트워크 기반 IDS(패킷 분석), 호스트 기반IDS(로그 분석)
• 침입 방지 시스템 (IPS) : 방화벽과 침입 탐지 시스템을 결합한 것
• 데이터 유출 방지 (DLP) : 내부 정보의 외부 유출을 방지하기 위한 보안 솔루션
• 가상 사설 통신망 (VPN) 
• NAC (Network Access Control) : MAC 주소를 IP관리 시스템에 등록한 후 보안관리 기능을 제공하는 솔루션
• ESM (Enterprise Security Management) : 로그 및 보안 이벤트를 통합 관리하는 보안 솔루션
• SIEM (Security Information &  Event Management) : 빅데이터 수준의 데이터를 장시간 심층 분석한 인덱싱 기반
• SOAR (Security Orchestration, Automation and Response) : 보안 오케스트레이션, 자동화 및 대응
• Sandbox : 원래의 운영체제와 완전히 독립되어 실행되는 형태
• FDS(Fraud Detection System) : 이상 금융거래 차단 시스템
• Proxy Server : 클라이언트 대신에 인터넷상의 다른 서버에 접속하는 서버

 

방화벽

• DMZ 구간 : 내부 네트워크에 포함되어 있으나 외부에서 접근할 수 있는 구간

구현 방식에 따른 유형

• 패킷 필터링 : 네트워크 계층과 전송 계층에서 동작
• 애플리케이션 게이트웨이 : 응용 계층에서 동작, 로그 정보 이용
• 회선 게이트웨이 : 응용계층과 세션 계층 사이에서 동작
• 상태 기반 패킷 검사 : OSI의 모든 계층에서 패킷을 분석하여 차단하는 기능
• 혼합형 타입 : 서비스 종류에 따라 복합적으로 구성

방화벽 시스템 구축 유형

• 스크리닝 라우터 : 내부 네트워크와 외부 네트워크 사이의 패킷을 허용/거부하는 라우터
• 베스천 호스트 : 내부 네트워크로 진입하기 전에 베스천 호스트를 두어 내부 네트워크를 전체적으로 보호
• 듀얼 홈드 호스트 : 2개의 인터페이스(내부,외부)를 가진 베스천 호스트
• 스크린드 호스트 : 패킷 필터 라우터와 베스천 호스트로 구성
• 스크린드 서브넷 : 두 개의 스크리닝 라우터와 한 개의 베스천 호스트로 구성되어 있다.

보안 프로토콜

(1) SSH : 원격 호스트에 접속하기 위해 사용되는 프로토콜, 22번 포트

(2) SSL : 웹 브라우저와 웹 서버 간에 데이터를 안전하게 주고받기 위한 업계 표준 프로토콜, 433번 포트

(3) TLS : 전송계층을 기반으로 개발

(4) IPSec : 전송 모드는 헤더를 제외한 페이로드만을 보호 / 터널 모드는 IP 패킷 전체를 보호

IPSec 프로토콜 

- AH (Authentication Header) : 무결성, 인증 제공

- ESP (Encapsulating Security Payload): 무결성, 인증, 기밀성 제공

- IKE : 키 교환에 사용되는 프로토콜

(5) S-HTTP : 웹상에서 네트워크 트래픽을 암호화하는 주요 방법 중 하나이다. 웹상의 파일들이 안전하게 교환될 수 있도록 해주는 HTTP의 확장판이다.

(6) RedSec : RADIUS 데이터를 전송 제어 프로토콜(TCP)이나 전송 계층 보안(TLS)을 이용하여 전송하기 위한 프로토콜