최고보다,최선을...

ㅁ 정보보안의 필요성

인터넷이 발전하기 전에는 해커가 그 시스템에 직접가서 시스템을 파괴한다거나, 정보를 빼간다거나 했었다. 그러나 인터넷이 발달함에 따라 정보통신이라는 기술에 문제점이 발생함에 따라 해커들이 그 허점을 이용해서 시스템이 침투하고, 네트웍을 못쓰게하고 등등의 문제를 인터넷상에서 할수 있게 되었다. 그러면서 정보보안의 필요성이 부각이 되었다. 그러다면은 보안이 필요하게된 이유가 무엇인지, 어떤 항목 때문에 필요한지 아래 그림을 통해 보자!

-       UNIX Source Code의 공개 :
UINX 및 TCP/IP 소스 코드의 개방과 인터넷에서는 이와 관련한 여러문서들을 무료로 배포함으로써 이를 악용한 보안사고가 발생.

-       인터넷과 전자상거래 환경의 개방성 :
인터넷에서는 상호 정보 교환을 대화형으로 빠르고 원활하게 제공하며, 전세계 어디서나 자유롭게 접근할 수 있는 개방형 환경을 갖고 있다.

-       해킹 수법의 소개 및 해킹 도구의 보편화 :
인터넷에서는 검열이라는 것이 사실상 불가능할 정도로 많은 BBS와 온라인 정보교환(IRC, E-mail, News)을 통해서 해킹 수법 및 해킹 도구에 대한정보 교환이 쉽다.

-       관리자의 인식 부족 :
관리 시스템에 대한 보안 취약성 점검 및 보안 정책의 수립
 . 다양한 보안 위협으로부터 이를 막기 위한 보안 요구 사항을 규정.
 . UNIX 서버 시스템
 . 인터넷 대란(Window 2000 SQL Server)

                       [그림 – 2 해커들의 집중 공격 대상 국가 중 한국의 예(출처 : CERTCC-KR)]

ㅁ 시스템 보안 요구사항

1.     보안을 실시한다고 할 때 과연 어느 정도로 정보가 안전한가를 객관적으로 판단하기 위하여 여러단체에서 보안의 정보를 판별하는 기준을 설정.

2.     TCSEC(Trusted Computer System Evaluation Criteria) – 북미표준

3.     ITSEC(Information Technology Security Evaluation Criteria) – 유럽표준

4.     CC(Common Criteria) 국제 표준

ㅁ 정보보안 구성

 정보보안은 네가지로 분류할 수 있는데, 이는 아래와 같다.

-       네트워크 보안 :
방화벽, 침입 탑지 시스템, 가성 사설망, 통합 보안 관제 시스템 등으로 구성

-       시스템 보안 :
서버 보안과 PC 보안으로 구분

-       어플리케이션 보안 :
PKI 기반의 보안과 컨텐츠 보안

-       E-Biz에서 보안 적용 :
전자입찰, 전자 계약, 전자 세금 계산서 등 e-Biz에서의 정보 보호 적용.

ㅁ 보안의 개념

 컴퓨터 혹은 네트워크 환경에서 자원(하드웨어, 소프트웨어, 데이터)을 대상으로 고갈시키거나(Availability), 변형시키거나(Integrity), 탈취(Confidentiality)하는 행위로부터 보호하는 제반의 정책과 행위이다.

ㅁ 보안의 3요소

1.     가용성

-       정보시스템은 적절한 방법으로 작동되어야 하며, 정당한 방법으로 권한이 주어진 사용자에게 정보서비스를 거부하여서는 안된다.

-       정보를 필요로 할 때 언제든지 가용 될 수 있어야한다.

-       무결성과 상호 이율 배반적인 면 존재 -> 상호 절충 요구.

2.     비밀성

-       정보는 소유자가 원하는 대로 비밀이 유지되어야 한다.

-       물리적 수준의 접근 통제(열쇠나 잠근 장치)

-       운영체제 수준의 접근 통제(시스템,파일,password 등)

-       네트웨크 수준의 접근 통제(내부 네트워크 사용을 제한)

3.     무결성

-       비 인가된 자에 의한 정보의 변경, 삭제, 생성 등을 보호하여, 정보의 정확성과 완전성을 보장하여야 한다.
(물리적 통제, 접근 통제(Access Control), 변경된 정보에 대한 탐지)

ㅁ 보안의 위협 - 시스템 공격의 유형

-       중지(Interruption) : 가용성에 대한 공격
. 시스템의 정상적인 동작을 방해하는 행위이며, 하드웨어의 파괴, 시스템 파일 삭제, 주요 특정 파일 삭제 등의 공격을 말한다.

-       도청(Interception) : 비밀성에 대한 공격
. 인가되지 않은 사용자가 전산 자원에 불법 접근하는 해위이며, 파일의 불법적인 복사, 전산망에서의 감청, Wiretapping 등의 공격을 말한다.

-       변조(Modification) : 무결성에 대한 공격
. 전산망을 통해 접근하여 전산 자원의 일부분이나 중요한 부분을 불법으로 수정하는 행위이며, 하드웨어 자체를 변경, 시스템 소프트웨어의 구성을 변경하는 공격을 말한다.

-       위조(Fabrication) : 무결성에 대한 공격
. 인가되지 않은 사용자가 정상적인 사용자로 위장하거나, 불법 코드 등을 시스템에 삽입하는 행위의 공격을 말한다.

ㅁ TCP/IP(Transmission Control Protocol / Internet Protocol)란?

-       네트워크와 네트워크를 연결하기 위한 포로토콜.

. 여러 개의 네트웍을 연결해서 데이터를 서로 주고 받기위해, 서로 상호연결하기위한 프로토콜이다.

-       컴퓨터 네트워크에서 사용되는 메시지 교환규칙 프로토콜.

-       다양한 형태의 물리적 네트워크에 연결된 컴퓨터를 통해 네트워크 상의 다른 컴퓨터와 통신을 하기 위한 절차를 정의.

ㅁ TCP/IP의 생성 과정.

-       ARPANET(Advanced Research Project Agency Network) 미국방성 프로젝트 수행 목적으로 구축.

-       NSFNET(the US National Science Foundation Network)

-       Internet = ARPANET + NSFNET : 1980년대 중반

[그림 - 1 TCP/IP와 OSI -7 Layers(계층) 비교]

 ㅁ TCP/IP – 데이터 캡슐화/ 역 다중화

-       데이터 캡슐화(Data Encapsulation) – 송신 측 입장에서 데이터 생성과정.

 순수 사용자의 데이터가 생성 이되면 각각의 계층에서는 각각의 헤더(Header)를 붙이게 된다. 헤더라는 것은 각 계층에서 해야 할 일들을 정의한 오버헤드(Overhead)라고 할 수 있는데, 각 계층을 지나면서 각 계층에서 해야 할 일을 헤더에 붙이는 작업을 데이터 캡슐화(Data Encapsulation)라고 한다.

-       역 다중화(Demultiplexing) – 수신 측 입장에서 데이터 생성과정.

 . 이더넷 드라이버에서 수신이 되며, 해당 데이터를 어느 쪽(ARP, IP, RARP)을 보낼지 이더넷 헤더의 프레임타입(type)을 확인해서 결정한다.
 . IP에서는 TCP, UDP로 보낼지는 결정해야 하는데, 이때 사용되는 프로토콜의 헤더 값을 확인해서 결정한다.
 . 응용계층에서는 각각의 포토번호를 확인해서 데이터를 보낸다.

[그림 - 4 TCP/IP 데이터 요청/응답 흐름]

ㅁ TCP/IP 프로토콜

 각 계층별로 하는 일에 대해서 좀더 자세히 알아 보겠다.

-       데이터 링크 계층 프로토콜 :
 . 패킷을 전달하는 물리적 인터페이스와 관련된 하드웨어를 제어하는 기능을 수행한다.
  (NIC, Hub, Connector, Cable 등)
 . ARP(Address Resolution Protocol)
  1 TCP/IP 상에서 데이터 전송을 위해서는 IP주소(32bit)와 MAC주소(48bit) 주소필요.
     (송.수진 측 모두 필요)
  2 물리적의 IP주소를 사용하여 목적지 MAC주소를 획득하는 프로토콜.
  3 ARP request(Broadcast)  / ARP response(Unicast).

[그림 – 5 ARP 동작과정]  ARP request : 목적지 IP주소를 써서 모든 컴퓨터에게 보낸다. 즉, 내가 목적지의 IP주소를 알고 있는데, 그 목적지의 MAC Address을 알고 있으면 응답을 달라 요청함. (boradcast)  ARP response : 목적지의 컴퓨터가 요청한 컴퓨터에게 바로 직접적으로 응답을 해준다. (nicast)

-       네트워크 계층 프로토콜 :
네트워크 상의 패킷 이동의 제어(패킷을 전달하고 경로를 선택)기능을 수행하는 프로토콜이다. (라우팅 기능 수행)
 1 IP(Internet Protocol) : 사용자의 데이터를 패킷 형태로 전송하는 기능을 수행하는 비 연결형 프로토콜이다. 즉, 전송 요청을 라우터에 보내면, 라우터가 알아서 해당 목적지에 요청을 한다. (라우팅 기능)

-       전송 계층 프로토콜 :
두 호스트 간에 종단 간 연결을 맺고 데이터를 전달할 수 있는 기능을 수행.
 1 UDP(User Datagram Protocol) : 종단 간에 연결을 설정하지 않은 채 데이터를 전송하는 비접속형 전송 서비스를 제공하는 비신뢰성 프로토콜.
 2 TCP(Transmisstion Control Protocol) : 종단 간에 연결을 설정한 후 데이터를 전송하는 신뢰성있고, 순서적인 데이터 전달 서비스를 제공하는 접속형 프로토콜.
신뢰성 서비스 : 신뢰성을 제공하기 위해 수신 데이터에 대한 확인응답, 흐름제어, 세그먼트화 등을 제공.

-       응용 계층 프로토콜 :
TCP/IP 프로토콜의 이용하는 서비스
 1 Telnet : 사용권한을 가지고 있다는 전제 하(계정)에 다른 사람의 호스트 컴퓨터를 원격지에서 액세스 할 수 있는 프로토콜.
 2 FTP(File Transfer Protocol) : 여러 시스템간에 파일을 전송하기 위한 프로토콜.
 3 SMTP(Simple Mail Transfer Protocol) : 여러 사용자 간에 전자 메일을 주고 받기 위한 프로토콜.
 4 HTTP(Hypertext Transfer Protocol) : Web상에서 파일(텍스트, 그래픽 이미지, 사운드, 비디오 그리고 기타 멀티미티어 파일)을 주고받는데 필요한 프로토콜.

ㅁ TCP 연결 설정.

 TCP의 연결설정 방법은 3-way Handshaking방법을 사용한다.

                                   [그림 – 7 TCP 연결설정 흐름]

위 그림과 같이 컴퓨터 A가 B에 연결을 시도하기 위해서 SYN라는 메시지를 보내게된다. 그러면서 코드 1000이라고 같이 붙어여 보내게 되는데, B컴퓨터에서는 A컴퓨터의 SYN(1000)메세지를 확인해서 B컴퓨터가 연결을 시도하려는거라는걸 알게된다. B 컴퓨터는 다시 A 컴퓨터에게 ACK라는 메시지와 함께 1001이라고 코드를 같이 보내게 된다.(응답 받은 코드에서 +1을 더해서 보냄) 그러면서 SYN(4000)이라고 보내게 되는데 B 컴퓨터 또한 A 컴퓨터에 연결을 시도하는 것이기 때문이다. A컴퓨터는 다시 B 컴퓨터에게 ACK(4001) 보내게되므로서 연결이 된다. 이렇게 3단계를 거쳐 연결을 되기 때문에 3-way Handshaking이라 한다.

ㅁ TCP 재전송 타이머

 TCP는 타이머를 통해서 신뢰성 있는 데이터를 주고 받는다. 즉, A 컴퓨터에서 패킷을 보냄과 동시에 타이머가 시작되고, A 컴퓨터에선 B 컴퓨터가 응답을 보낼 시간을 대략적으로 계산해 그 시간까지 응답이 없으면 중단에 패킷이 분실된 줄 알고 타이머가 만료되고, 다시 이전에 보냈던 패킷을 재전송을 하게 된다.  

[그림 – 8 TCP 재전송 관련]