01 정보보호의 개요
보안 기술의 개요
1. 보안의 개념
보안 기술의 개요 보안이란 정보 혹은 데이터에 대하여 불법적이 노출, 변조, 파괴 등으로부터 보호하는 행위입니다. 정보의 처리 과정이나 전송 단계에서예기치 못한 일로 인해서 정보가 타인에게 보여지거나, 변조되는 되지 않게 보호하는 역할을 합니다. 따라서 보안은 정보 혹은 데이터의 보호를 위한 기술적·관리적 방법을 의미하고 있습니다.
이와 비슷한 의미로 정보보호라는 용어도 있습니다. 정보보호는 허가되지 않은 접근을 통해 정보가 손상되거나 변형, 파괴되는 행위로부터의 정보를 보호합니다. 정보보호는 정보가 변조되지 않음을 보장하는 무결성, 정보가 외부에 노출되지 않음을 보장하는 기밀성, 사용자가 정보를 요구할 때 즉각적으로 제공할 수 있는 가용성 등의 기능을 제공해야 하는데, 이를 위해 여러 가지 위협으로부터 정보를 보호하기 위한 다양한 보안 기술들을 적용시킬 수 있습니다. 그렇다면 공급자 측면과 사용자 측면에서의 바라본 정보보호의 개념은 어떠할까요? 공급자 측면에서 바라본 정보보호는 내부 및 외부의 위협 요인들로부터 네트워크, 시스템 등의하드웨어, 데이터베이스, 통신 및 전산 시설 등과 같은 정보 자산을 안전하게 보호·운영하기 위한 일련의 행위이고, 사용자 측면에서 바라본 정보보호는 개인 정보 유출·남용을 방지하기 위한 일련의 행위로 볼 수 있습니다.
2. 정보보호의 필요성과 목적
정보보호가 성장하게 된 배경을 먼저 살펴볼까요? 정보보호는 인터넷의 급속한 성장, 인터넷을 통한 공격 기술의 발달, 암호화되거나 보안 장비를 무력화 시키는 크래킹 기술의 발달, 정보 시스템의 취약점 증가, 보안 대책의 미비 등으로 인해 보안 침해 사고가 증가하면서 이에 대응하기 위해 정보보호에 대한 인식과 기술이 함께 성장하게 되었습니다.
이처럼 정보보호의 중요성이 커지면서, 전자상거래, 전자 정부 등 사이버 공간에서의 활동 증가에 따른 안전 신뢰성의 해결은 물론, 개인 프라이버시 침해 및 개인과 기업의 중요 정보에 대한 범죄를 차단할 필요가 생겼습니다. 또한 글로벌화에 따른 국내 정보 유출,국제 해커 및 적성국에 의한 정보 테러 역시 우려되므로 정보화된 국가 주요 기반 시설에 대한 보호를 위해 정보보호는 정보화 사회를 완성하기 위한 필수 불가결한 요소가 되었습니다.
정보보호는 기밀성, 무결성, 가용성, 인증, 부인방지, 접근통제에 목적을 가지고 있습니다.
어떤 의미인지 하나씩 살펴볼까요?먼저, 기밀성의 측면에서 허가 받은 자 누구에게도 정보 접근을 허용하지 않게 하고자 합니다. 우리가 흔히 로그인 시 사용하는 아이디와 비밀번호를 예로 들 수 있겠지요. 다음으로 정당한 권한을 갖지 않은 자에 의한 정보의 변경, 삭제, 생성 등으로부터 무결성을 보장받고자 합니다. 그리고 정보보호는 사고 및 재앙이 발생하더라도 신속하고 완전하게 복구될 수 있는 가용성, 어떤 사람이나 객체가 주장하는 것이 실체 일치하는지를 결정하는 인증, 데이터의 수신자에게 그 데이터의 기원이 누구인지를 증명하는 증거를 제공하는 데 목적이 있는 부인방지를 하고자 합니다. 마지막으로 시스템이나 정보의 사용을 허용할 것인지 거부할 것인지를 구별하는 접근 통제에 정보보호의 목적이 있습니다.
정보보호를 위해서는 접근 통제가 이뤄져야 합니다.
접근 통제란, 사용자와 시스템, 혹은 시스템과 다른 시스템 및 자원에 대한 상호작용의 통제를 말합니다. 여기에서 접근이란 무엇인지, 프로그램이 파일에 접근하는 경우를 예로 들어 살펴봅시다. 접근은 주체와 객체 사이의 정보 흐름을 말하는데, 보시는 화면에서 프로그램은 주체, 파일은 객체로 분류할 수 있습니다.
주체는 객체와 객체 내의 데이터에 대한 접근을 요구하는 적극적인 존재를 말하고, 객체는 파일, 디렉토리, DB를 말합니다.정보나 시스템에 대한 접근은 식별, 인증, 인증에 대한 승인, 승인에 대한 검사로 이루어지게 됩니다. 이러한 접근 통제의 과정을 통해 정보의 기밀성과 무결성, 가용성을 보호할 수 있습니다. 식별, 인증, 승인, 검사에 대한 내용을 확인하세요.
정보보호의 원칙
정보보호는 정보에 대한 위협을 받거나 허락되지 않은 공격자의 접근, 수정, 노출, 훼손, 파괴 등으로부터 정보를 보호하고 유지하는 것을 원칙으로 하는데요. 이 원칙을 준수하기 위해 정보보호는 C, I, A를 목표로 합니다.
C는 기밀성, Confidentiality의 첫 글자인 C, I는 무결성, Integrity의 I, A는 가용성, Availability의 A를 각각 따온 말입니다.CIA에 대해 좀더 자세히 살펴보겠습니다. 기밀성은 합법적인 주체만 읽을 수 있도록 보호하는 것으로서, 기밀성을 보장하기 위해 메시지 내용을 암호화하고, 트래픽 흐름을 분석하며, 도청으로부터 메시지 내용을 보호합니다. 이처럼 접속 구간과 내용, 메시지 흐름의 기밀성에 암호 알고리즘 기술을 이용합니다.무결성은 합법적인 주체만 수정할 수 있도록 보호하는 서비스로서, 보장 방법으로는 연결형 무결성 서비스와 비연결형 무결성 서비스가 있습니다. 주로 해시 함수나 디지털 서명, 암호 알고리즘을 이용하게 됩니다.마지막으로 가용성은 정보에 대한 접근과 사용이 적시에 확실하게 보장되는 상태를 말하며, 정보 또는 정보 시스템이 원하는 때에 제대로 제공 되는 것을 의미합니다.
정보보호를 위한 조치
정보보호를 위한 조치는 크게 세 가지로 구분됩니다.
첫 번째로 시설이나 시스템 자체에 대한 물리적인 조치가 있습니다. 중요 시설에 대한 출입통제나 도청 방지 등이 물리적 보호 조치에 해당합니다. 기술적 조치는 정보 시스템, 서버, 네트워크 상의 위험 요소와 취약점을 분석하고, 필요한 보안 기술을 적용하는 것을 말합니다. 시스템의 접근 통제나 데이터의 암호화를 통해 보안을 강화하는 것에 해당합니다. 관리적 조치는 정보에 대한 보호 및 관리를 위한 보안 정책입니다. 시스템에 접근하는 사용자의 보안 인식 강화나 접근에 대한 절차 및 사고 대책에 대한 정책 수립 등이 있습니다.
정보보호를 위한 조치와 같이 대책 또한 물리적, 기술적, 관리적 대책으로 구분할 수 있습니다.
물리적 대책은 보안 위협이 발생한 경우 정보 시스템에 대한 물리적 대책으로, 앞서 말씀드린 바와 같이 중요 시설 보호, 출입 통제, 도청 방지 및 중요 자료에 대한 백업과 재난 복구 계획이 포함될 수 있습니다. 기술적 대책은 시스템, 네트워크, 데이터에 대한 대책으로 세부화 시킬 수 있는데요. 시스템에 대한 보호는 시스템에 접근하는 사용자에 대한 인증 강화, 침입 차단/탐지 시스템 적용, 보안 점검 도구를 통한 취약점 진단 등이 있으며, 데이터에 대한 기술적 대책으로는 데이터 유출 시 내용을 파악할 수 없도록 하는 암호화 등이 있습니다. 마지막으로 관리적 대책은 보안 인력의 선정과 교육 등의 조직에 대한 대책, 보안 정책, 지침 등의 규정에 대한 대책, 교육, 홍보 등의 보안 인식 강화를 위한 대책, 감시 및 내부 감사 등을 통한 대책이 있습니다.
해킹과 보안의 역사
1950년대 이전
해킹과 보안의 역사이번에는 해킹 및 보안과 관련한 역사적인 이슈들에 대해 살펴보도록 하겠습니다. 먼저 1950년대 이전의 해킹과 보안에 대해 살펴보죠.1918년 폴란드의 암호 보안 전문가들에 의해, 평문 메시지를 암호화된 메시지로 변환하는 기능을 하는 전기/기계 장치인 에니그마가 등장하게 되었습니다. 처음에는 은행의 통신 보안을 위해 개발된 것이지만, 제2차 세계대전에서 독일군에 의해 군사 통신 보안용으로사용되게 되었죠.1943년 알란 튜링이 개발한 최초의 컴퓨터인 콜로서스는 2차 세계대전에서 에니그마를 해독하기 위해 제작되었습니다. 높이 3m에 2,400개의 진공관이 사용되었죠. 에니그마를 해독하기 위해 청공된 암호문과 에니그마의 암호화문이 일치할 때 까지 비교하는 방식을 사용하였습니다.해킹, 해커 등에 사용되는 단어인 해크(Hack)도 1950년대 이전에 사용되어 왔는데요. 처음 해커는 우리가 알고 있는 컴퓨터의 취약점을 악용하는 사용자가 아니었습니다. 1948년도 메사추세츠 공과대학의 모형 기차 제작 동아리인 TMRC에서 ‘전기 기차, 트랙, 스위치를 보다 빠르게 조작하다’라는 의미로 사용했는데, 기차를 잘 움직이게 하기 위해서 컴퓨터를 연구하게 되면서 그 대상이기차에서 컴퓨터 자체에 대한 연구와 프로그램을 개발하는 쪽으로 변화하게 되었고, 이때부터 해킹이라는 의미가 현재의 의미로 사용되었습니다.
1970년대
이번에는 1970년대에 대한 내용입니다.
1970년대에 최초의 이메일이 전송되었는데요. 1971년 레이 토밀슨이 최초로 이메일 프로그램을 개발하였습니다.
알파넷에서 엣문자를 사용한 최초의 이메일이 발생되었고, 이때 디이씨의 디에이텐을 이용해 키보드 문자열 중 가장 윗줄, q부터 p까지를 전송하였습니다. 최초의 데스크톱 컴퓨터인 솔의 출시와 마이크로소프트, 애플 컴퓨터가 탄생한 시기도 1970년대입니다.
1980년대
1980년대 본격적인 네트워크 해킹이 시작된 시기입니다. 1980년 초 ‘네트워크 해커’라는 개념이 처음 생겨났는데요. 원격의 시스템 침투가 시작되었습니다. 대표적인 네트워크 해킹 사건으로 414 Gang이 있습니다. 미국 밀워키의 로날드 마커 오스틴(Ronald Mark Austin)을 포함해 6명이 운영한 해커 그룹이 암 센터와 로스알라모스 국립 연구소 등의 60개의 컴퓨터 시스템에 침입해중요 파일을 삭제한 사건입니다. 또한 1981년 ‘Captain Zap’이라는 별명을 가졌던 이안 머핀(Ian Arthur Murph)이 AT&A의 컴퓨터 시스템에 침입해 전화 요금 관련 시계를 바꾸어 낮은 가격의 심야 요금이 대낮에 적용되도록 조작했습니다.그리고 1980년대에 해킹과 관련된 문화가 등장합니다. 1983년 해커를 소재로 한 최초의 영화 ‘워 게임즈’를 비롯하여, 1985년 해킹 잡지 ‘프랙(Phrack)’이 창간되었으며, 1985년 7명의 미국 소년이 뉴저지 소재의 미 국방부 컴퓨터에 침입하여, 통신 위성 위치를 변경하는 코드 등의 극비 군사통신 데이터를 획득하였습니다. 1986년 해킹 잡지인 2600이 정기 출판되었고, 같은 해 미 의회에서는극심해지는 컴퓨터 이용 범죄에 대응하기 위해 ‘컴퓨터 사기와 오용에 관한 조항’이라는 컴퓨터 범죄 관련 최초의 처벌 규정을제정했습니다.그리고 이 때부터 해커라는 단어가 사용되었으며, 대표적인 해커로는 케빈 미트릭, 로버트 타판 모리스, 로이드 브렌켄십 등이 있습니다. 로이드 브렌켄십은 해커 선언문의 저자이기도 합니다.
1990년대
1990년대 해킹과 보안의 역사에 대해 알아보겠습니다. 1990년 최초의 해킹 대회인 ‘데프콘’이 라스베가스에서 개최되었고, 자신의 팀을 보호하면서 상대팀을 공격하여 상대의 시스템을 많이 해킹한 팀이 승리하였습니다. 1994년에는 인터넷 브라우저‘네스케이프’가 개발되고 웹 정보 접근이 가능해졌으며, 해커들이 자신의 노하우와 프로그램을 과거 BBS에서 웹 사이트로 옮겨왔습니다. 다양한 해킹 정보와 사용이 편리한 해킹 툴이 웹을 통해 공개되기도 하였습니다. 1997년에는 아메리카온라인(AOL)
침입만을 목적으로 고안된 무료 해킹 툴인 AOHell이 공개, 초보 해커들에 의해 악용되어 수백만의 미국 온라인 사용자의 메일함이
대용량 메일 폭탄 공격을 받았습니다. 1998년에는 ‘죽은 황소 숭배’라는 뜻의 해킹그룹이 ‘백 오리피스(Back Orifice)’라는 트로이목마를 데프콘 회의에서 발표하였고, 1998년 이스라엘 10대 해커가 스니퍼와 트로이목마를 이용해 미국의 펜타콘 시스템에 침투해 소프트웨어를 탈취하였습니다. 마우스 버튼을 클릭하여 각 내용을 다시 한 번 확인해 보세요.
2000년대
2000년대는 개인용 컴퓨터가 대중화된 시기입니다. 일반 사용자가 바이러스에 대해 인지하기 시작하여 PC에 방화벽이나 백신 프로그램을 설치하여 보호하였습니다. 2000년 2월 야후, CNN, 아마존 등에서는 분산 서비스 거부 공격이 이루어졌습니다.
ICMP 패킷을 이용한 스머프 공격으로 몇 시간 동안 마비가 되었고, 보안에 취약한 서버에 트로이목마가 포함된 클라이언트 프로그램을 통해 디도스 공격을 시도하였습니다. 웜과 바이러스로 인해 경제적 손실이 발생하기도 했는데요. 2000년 러브 버그로 인해 87억 5천만 달러의 경제적 손실이 발생했습니다. 악성 바이러스가 담긴 파일을 ‘ILOVEYOU’라는 제목으로 메일을 보내, 첨부된 파일 실행 시 다른 이메일 계정으로 메일이 복제되도록 하여 크게 전파되었죠. 2003년 1월 24일 오후 2시 30분부터 약 2달 동안 MS-SQL2000 서버를 공격하는 슬래머라는 웜이 등장하였고, 2004년 베이글 웜, 마이돔 웜, 네스카이 웜 등이 등장하였습니다.
2005년 10월부터 2006년 2월 사이 주민등록번호 수십만 개가 유출되는 사건이 있었는데요. 유출된 개인 정보가 인터넷 게임 사이트 가입 등에 무단 도용되었습니다. 중국에서 직접 접속한 경우, 국내 사설망 등을 통해 접속한 경우, 중간 경유지를 이용한 경우로 원인이 분석됩니다. 2005년 11월에는 금용 정보를 이용해 계좌에서 잔고를 인출한 사고가 발생했으며 인터넷 피싱 사이트를 통해
개인의 금융 정보를 탈취하였습니다. 2006년 7월에는 안심클릭의 허점을 이용한 해킹 사기 사건이 발생하였습니다. 불법적으로 입수한 개인의 카드번호를 이용해 인터넷 신용카드 결제 방식의 제도적·기술적 취약점 이용한 것이었고, 인터넷 검색엔진을 통해 개인의 접속 정보를 수집하였습니다. 부분적으로 표시되는 카드 번호를 조합하여 실제 카드번호를 유추하였습니다. 2006년 3월
자동 클릭을 통해 국내 대형 포털 사이트의 검색 순위의 조작, 2007년 2월 8일 공인인증서 유출로 인한 시중 은행의 불법 인출 사건, 2008년 2월 11일 한국 시티은행 해킹 사건이 발생하는 일도 있었습니다.
2010년대
2010년대에는 보안 침해로 발생하는 문제가 사회적 문제로 대두되면서 보안 전문가의 필요성이 요구되기 시작합니다.2010년에 있었던 주요 사건으로는 농협의 사이버 테러 사건이 있는데요. 2011년 4월에 발생한 농협 전산 시스템이 삭제된 이 사건은 북한의 사이버 테러로 인해 발생한 것으로 판단하고 있습니다. 개인 정보 유출과 도용을 우려하고 있습니다. 지능형 지속 위협인
APT 공격도 있었습니다. 개인 정보 유출 등의 목적으로 특정한 사이트를 장기간에 걸쳐 공격합니다. 마지막으로 스마트폰에 대한 보안 위협이 대두되고 있습니다. 2009년 출시된 애플의 스마트폰을 시작으로 현재 대부분의 사용자가 스마트폰을 사용하고 있으며 스마트폰의 성능이 PC와 유사해지면서 스마트폰의 활용도가 증가하였는데요. 무선LAN, 셀룰러, 블루투스, NFC 등의 다양한 네트워크에 접속이 가능하여 해킹 도구로 사용되고 있습니다. 사진, 메시지, 공인인증서 등 사용자의 다양한 개인 정보가 스마트폰에 저장되기 때문에 이렇듯 스마트폰을 활용한 해킹 공격이 대두되고 있습니다.
'정보 보호' 카테고리의 다른 글
| 06 윈도우 보안 (0) | 2016.01.26 |
|---|---|
| 05 로그와 취약점 관리 (0) | 2016.01.26 |
| 04 접근 제어와 권한 관리 (1) | 2016.01.26 |
| 03 계정과 패스워드, 세션 관리 (0) | 2016.01.26 |
| 02 물리적 보안 (5) | 2016.01.26 |
