제 1 장 정보보호 개요

http://www.ezpia.biz[[email protected]]

정보보호기초강의정보보호기초강의정보보호기초강의정보보호기초강의

제제 11 장 정보보호 개요장 정보보호 개요

2002007. 9. 7. 9.

22007-02 정보보호기초

1.1. 개요개요

1.1 서비스 , 기법 및 공격

1.2 OSI 보안구조

1.3 네트워크 보안 모델

1.4 교재의 구성


1.1. 개요개요

컴퓨터 보안 컴퓨터 보안 (Computer security)(Computer security)

데이터를 보호하고 해커를 막기 위한 도구의 집합을 총칭데이터를 보호하고 해커를 막기 위한 도구의 집합을 총칭컴퓨터에 저장된 파일 보호정보통신망 유통정보를 보호공용시스템의 경우 ( 시분할 시스템 )

데이터 네트워크를 통해서 접근하는 시스템분산 시스템의 등장데이터전송을 위한 네트워크 및 통신시설의 이용

네트워크 보안 네트워크 보안 (Network security):(Network security): 전송중인 자료를 보호전송중인 자료를 보호

인터네트워크 보안 인터네트워크 보안 (Internetwork security):(Internetwork security): 상호 상호 연결된 네트워크 집합을 보호연결된 네트워크 집합을 보호


1.1 1.1 서비스서비스 , , 기법 및 공격기법 및 공격

보안서비스 (Security Service)

정의 : 조직의 데이터 처리 시스템과 정보의 전송에 대한 안전성을 수행하기 위한 서비스

전자문서의 특성 전자문서는 원본과 사본의 차이가 없음 비트의 변경이 물리적 흔적을 남기지 않음 전자문서에 대한 진실성의 증명은 정보 그 자체에 있는

내부적 증거 존재에 의존함

문서와 관련된 전통적인 기능들 ( 표 1.1)

전자문서에서도 유사한 기능들이 필요함



보안기법 (Security Mechanism)

정의 : 보안 공격을 예방 , 탐지 , 복구하기 위하여 설계된 메커니즘 표 1.1 의 기능을 모두 지원하는 기법은 없음

암호화 기법 해쉬함수 ( 정보의 암호학적 변형 )



보안공격 (Security Attack)

조직에 의하여 소유된 정보의 안전성을 위태롭게 하는 어떠한 행위

G. J. Simmons 의 정보보안은 공격의 예방 , 예방 실패 시에는 공격의 탐지를 어떻게 할 것인가를 다룸

표 1.2 : 공격의 유형들 위협과 공격

위협 : 보안침해의 잠재력인 취약점을 이용하는 위험 가능성 공격 :

– 지능적 위협으로부터 초래되는 시스템보안에 대한 습격 . – 보안 서비스를 피하여 시스템의 보안정책을 파괴하는 의도적인

시도


1.2 OSI 1.2 OSI 보안구조보안구조

조직의 보안 필요성의 효율적 평가 , 다양한 보안제품과 정책의 선택을 위하여 보안의 요구사항의 정의와 이 요구사항을 만족시키는 접근방식에 대한특성을 체계적으로 정의 하여야함

ITU-T X.800 : Security Architecture for OSI

3 가지 요소 보안서비스 보안기법 보안공격

보안제공 task 의 조직화 지원 이 표준을 따라 제품을 제작함


1.2.1 1.2.1 보안 서비스보안 서비스

X.800 은 개방형 통신시스템의 프로토콜 계층에 의하여 제공되는 서비스로서 보안서비스를 정의하고 있음

보안 서비스는 보안 정책을 구현하고 , 보안 기법에 의하여 구현됨

X.800 의 보안 서비스 체계 표 1.4 : 5 개부류와 14 개서비스로구성됨 5 개부류

인증 접근제어 데이터 기밀성 데이터 무결성 부인봉쇄


1.2.1 1.2.1 보안 서비스 보안 서비스 (cont(cont’’))

데이터 기밀성 (Data Confidentiality) 비밀성은 정보의 소유자가 원하는 대로 정보의 비밀이 유지되여야

함을 의미 접근통제와 암호화 메커니즘을 적용여러 수준의 보호가 존재

연결 기밀성 : 한 연결의 모든 사용자 데이터를 보호함

비연결 기밀성 : 한 데이터 블록에 있는 사용자 데이터 전부를 보호함

선택적 - 필드 기밀성 : 사용자 데이터 중 선택된 필드에 대해서만 보호함

트래픽 흐름 기밀성 :트래픽 흐름 관찰로부터 유도 가능한 정보의 보호

102007-02 정보보호기초


데이터 무결성 (Data Integrity)

비인가된자에 의한 정보의 변경 , 삭제 , 생성 등으로부터 보호하여 정보의 정확성과 안전성을 보장되어야 함을 의미 해쉬 등 메커니즘을 적용

예방보다 탐지가 더 중요5 가지서비스

복구 지원 연결 무결성 : 데이터에 대한 수정 , 삽입 , 삭제 , 또는 재전송을 탐지하여 복구 시도

복구 지원 없는 연결 무결성 : 탐지만 하고 복구하지 않음 연결형 선택필드 무결성 : 선택필드의 무결성 검증 비연결 무결성 : 비연결에서의 데이터블록의 무결성 제공 ,

제한된 형태의 재정송 탐지 추가 비연결 선택필드 무결성 : 하나의 비연결형 데이터블록의 선

택된 필드들의 무결성 제공

112007-02 정보보호기초


부인봉쇄 서비스 (Non-repudiation, 부인방지 )

부인방지는 송신자와 수신자간에 전송메시지를 놓고 송신자의 발신부인과수신자의 수신부인 방지 서비스 부인방지를 위해 통신프로토콜에 내재된 전자서명 메커니즘 등을

적용발신처 부인봉쇄 : 메시지가 특정 발신자에 의하여 송신되었음을

증명 수신처 부인봉쇄 : 메시지가 특정수신자에 의하여 수신되었음을

증명

가용성 서비스 (Availability Service)

정식 인가된 상용자에게 실시간 서비스를 제공함을 의미데이터백업 , 중복성유지 , 물리적 위협요소로부터의 보호 등의

메커니즘을 적용

122007-02 정보보호기초


인증 (Authenticity)

인증은 데이터통신에 있어서 송수신자간에 각자의 실제 신원 확인을 가능케 함을 의미

실체인증 , 개인식별 등의 메커니즘을 적용

접근 제어 (Access control)

접근제어는 통신링크를 통한 호스트 시스템과 응용간의 액세스를 제한하고 제어할 수 있음을 의미

개인식별과 인증을 거쳐 접근 권한을 부여

132007-02 정보보호기초

1.2.2 1.2.2 보안 기법보안 기법

142007-02 정보보호기초

1.2.2 1.2.2 보안 기법 보안 기법 (cont(cont’’))

Specific Security Mechanism 암호화전자 서명 접근제어 데이터 무결성 인증 교환 트래픽 패딩 경로 제어 공증

Specific Security Mechanism 암호화전자 서명 접근제어 데이터 무결성 인증 교환 트래픽 패딩 경로 제어 공증

Pervasive Security

Mechnism 신뢰된 기능 보안 등급 사건 탐지 보안감사기록 보안 복구

Pervasive Security

Mechnism 신뢰된 기능 보안 등급 사건 탐지 보안감사기록 보안 복구

표 1.5 : X.800 에서 정의한 보안기법들

152007-02 정보보호기초


암호화 기법 (Encipherment)

데이터와 트래픽 흐름 정보의 기밀성 제공 다른 보안 서비스와 결합하여 사용됨

전자 서명 기법 (Digital Signature)

데이터 단위에 서명 서명된 데이터 단위를 검증

접근제어 기법 (access Control)

어떤 개체에 접근 권한이 있는지를 결정하고 권한 부여

162007-02 정보보호기초


데이터 무결성 기법 (Cipherment)

비연결형 서비스의 단일 데이터 단위 또는 필드 무결성연결형 서비스의 데이터 스트림 또는 필드의 무결성

인증교환 기법 (Authentication Exchange)

패스워드와 같은 인증정보의 이용암화화 기법 활용개체의 특성과 소유정보 활용

트래픽 패딩 기법 (Traffic Padding)

트래픽 분석에 대한 다양한 수준의 보호기능을 제공

172007-02 정보보호기초


경로 제어 기법 (Routing Control)

동적 또는 물리적으로 안전한 서브네트워크 , 중계기 또는 링크들만을 이용하는 사전 조정방법 중 선택하여 라우팅

공증기법 (Notarization)

제 3 자 공증에 의한 인증을 제공 제 3 자는 거래개체들에 의하여 신뢰를 받음 제 3 자는 요구하는 인증을 증명 가능한 방식으로

제공하기 위하여 필요한 정보를 가지고 있음

182007-02 정보보호기초


Peer Entity AuthenticationData Origin AuthenticationAccess Control ServiceConnection ConfidentialityConnectionless ConfidentialitySelective Field ConfidentialityTraffic Flow ConfidentialityConnection Integrity with RecoveryConnection Integrity without RecoverySelective Field Connection IntegrityConnectionless IntegritySelective Field Connectionless IntegrityNon-reputation. OriginNon-reputation. Derivery

YY.YYYY

Y

Y

YY

Y..

YY.....

.

.

.Y

YYY

.

.Y....

.

.

.

.

.

.

.

.

.

.

.

.

.

.

Y

Y

YY

YYY

Y......

.

.

.

.

.

.

.

.

.

.

.

.

.Y

.

.

.

.

.

.

.

.

.

.YY.Y

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.YY

E

ncip

herm

ent

Dig

ital S

igna

ture

Acce

ss C

ontrol

Dat

a In

tegr

ityAu

then

ticat

ion

Exch

ange

Traffi

c Pa

ddin

gRo

utin

g Con

trol

Not

arizat

ion

Mechanism

Service

Peer Entity AuthenticationData Origin AuthenticationAccess Control ServiceConnection ConfidentialityConnectionless ConfidentialitySelective Field ConfidentialityTraffic Flow ConfidentialityConnection Integrity with RecoveryConnection Integrity without RecoverySelective Field Connection IntegrityConnectionless IntegritySelective Field Connectionless IntegrityNon-reputation. OriginNon-reputation. Derivery

YY.YYYY

Y

Y

YY

Y..

YY.....

.

.

.Y

YYY

.

.Y....

.

.

.

.

.

.

.

.

.

.

.

.

.

.

Y

Y

YY

YYY

Y......

.

.

.

.

.

.

.

.

.

.

.

.

.Y

.

.

.

.

.

.

.

.

.

.YY.Y

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.YY

E

ncip

herm

ent

Dig

ital S

igna

ture

Acce

ss C

ontrol

Dat

a In

tegr

ityAu

then

ticat

ion

Exch

ange

Traffi

c Pa

ddin

gRo

utin

g Con

trol

Not

arizat

ion

Mechanism

Service

192007-02 정보보호기초

1.2.3 1.2.3 보안 공격보안 공격

보안 공격 (Security Attack) : 정보보호를 저해하는 행위 보안 공격 유형

1) 방해 (Interruption)

시스템의 일부가 파괴되거나 사용할 수 없는 경우로 가용성에 대한 공격

2) 가로채기 (Interception)

비인가자들의 불법적인 접근에 의한 신뢰성에 대한 공격

3) 불법수정 (Modification)

비인가자들의 불법적인 접근 뿐만 아니라 불법적인 변경에 의한 무결성에 대한 공격

4) 위조 (Fabrication)

비인가자들의 시스템에 대한 위조물 삽입에 의한 인증에 대한 공격

202007-02 정보보호기초

1.2.3 1.2.3 보안 공격 보안 공격 (cont(cont’’))

212007-02 정보보호기초


자연적 위협요소 자연적 재앙 , 에러 및 손실 , 정보관리 부실 네트워크 장애 , 시스템 장애

고의적 위협요소 내부의 적 , 컴퓨터 해킹 , 위장 (Masquerade)

메시지 순서 변조 (Modification of Message Sequence)

서비스 거부 (Denial of Service), 부인 (Repudiation)

정보노출 (Leakage of Information)

신분 레이블 변조 (Modification of Identification Label)

222007-02 정보보호기초


소극적 공격 (passive attack) :

2 가지 유형 - 메시지 내용공개와 트래픽 분석 트래픽 분석 : 송수신자 신분 , 통신시간 , 통신의 성격을

유추 변화가 없으므로 검출 곤란 검출보다 예방 필요

적극적 공격 (active attack) :

4가지 유형 - 신분위장 , 재전송 , 메시지불법수정 , 서비스 부인 신분위장 : 어떤 개체가 다른 개체의 행세를 함 메시지불법수정 : 메시지내용이 수정되거나 전송의 지연 , 순서의 바뀜

재전송 : 데이터 단위를 수동적으로 획득하여 다시 전송 서비스부인 ( 서비스거부공격 ): 특정 목표물을 대상으로 무력화 ,

성능 저하 유발 예방하기가 대단히 어려움 : 모든 자원과 시간보호 불가능 예방 , 탐지 , 복구 필요

232007-02 정보보호기초


242007-02 정보보호기초

1.3 1.3 네트워크 보안 모델네트워크 보안 모델

252007-02 정보보호기초

1.3 1.3 네트워크 보안 모델 네트워크 보안 모델 (cont(cont’’))

보안을 위한 모든 기술의 2 가지 요소 보안을 위한 암호화 또는 특정 코드의 추가 암호화 키와 같은 어떤 비밀정보

일반 모델로부터 특정 보안 서비스 설계의 기본사항 보안 관련 변환 알고리즘의 설계

공격자가 변환을 파악할 수 없는 것이어야 함 변환 알고리즘과 병용될 비밀 정보의 생성 비밀 정보의 분배 및 공유 방법의 개발 특정 보안 서비스를 위한 보안 알고리즘비밀정보를 사용할 통신 주체간의 프로토콜 지정

262007-02 정보보호기초

1.3 1.3 네트워크 보안 모델 네트워크 보안 모델 (cont(cont’’))

확장모델

1 차방어 : 수비 -gatekeeper function 패스워드 기반 로그인 절차 : 사용자 인증 , 접근통제 감독 및 심사 구조 : 웜 , 바이러스등의 검출과 거부

2 차방어 : 감시 -monitoring function 내부 활동을 감시 침입자 발견을 위하여 저장된 정보분석

272007-02 정보보호기초

1.4 1.4 교재의 구성교재의 구성

<1 부 관용암호 방식 >

2 장 관용암호 방식 : 고전적 기법 – 2 가지 암호 방식개요 :

관용암호방식 , 공개키 암호방식– 고전적 관용암호 방식 개념

3 장 블록 암호화와 DES – 단순한 형태의 DES, DES 의 설명– 블록 암호화 방식의 설계 원리 및 운용모드

4 장 유한필드 개요 – 그룹 , 링 , 필드 , 모듈러 연산 , 오일러 알고리즘– 다항식 연산 , GF(p)

282007-02 정보보호기초

1.4 1.4 교재의 구성 교재의 구성 (cont’)(cont’)

5 장 개선된 암호화 표준 (AES)

– AES 암호화 및 AES 평가 기준

6 장 현대 대칭 암호화

– 3 중 DES, Blowfish

– RC5, ASBC 의특성

– RC4 스트림 암호화

7 장 대칭 방식을 이용한 기밀성

– 암호 함수의 배치

– 트래픽 기밀성

– 키의 분배 , 난수 생성

292007-02 정보보호기초


<2 부공개키암호와해쉬함수 >

8 장 정수론의 소개

– 솟수 및 페르마와 오일러 정리

– 솟수의 판정 , 중국인 나머지 정리 , 이산대수

9 장 공개키 암호와 RSA

– 공개키 암호시스템의 원리 및 RSA

10 장 키 관리 : 기타 공개키 암호화

– 키 관리

– Diffie_Hellman 키 교환

– ECC 방식과 암호화

302007-02 정보보호기초


11 장 메시지 인증과 해쉬함수

– 인증에서의 요구 조건 및 인증함수

– 메시지 인증코드

– 해쉬함수와 MAC 의보안

12 장 해쉬 알고리즘

– MD5, SHA 및 RIPEMD-160 알고리즘

– HMAC 방식

13 장 디지털 서명과 인증 프로토콜

– 디지털 서명

– 인증 프로토콜 , DSS

312007-02 정보보호기초


<3 부네트워크보안실제 >

14 장 인증 응용

– KEREBEROS

– X.509 인증 서비스

15 장 전자우편 정보보호

– PGP

– S/MIME

322007-02 정보보호기초


16 장 IP 보안

– IP 보안의 구조

– 인증헤더 (AH), ESP 및 SA

– 키 관리

17 장 웹 보안

– SSL

– TLS

– SET

332007-02 정보보호기초


<4 부시스템보안 >

18 장 침입자– 침입자 개념

– 침입탐지– 패스워드 관리

19 장 바이러스 – 바이러스와 그위협

– 바이러스 대책

20 장 방화벽

– 방화벽의 원리

– 신뢰시스템 개념

Documents

제 1 장 정보보호 개요