01. 암호 기술
1) 암호학(Cayptography) 개념
• 개념 : 평문(Plaintext)을 암호문(Ciphertext)으로 변형하는 과정을 암호화 (Encryption)라 하며.
암호문을 평문으로 만드는 과정을 복호화(Decryption)하는 과정.
• 특징 : 정보보안의 3대 목표 중의 하나인 기밀성을 얻기 위한 중요한 수단이 암호화이다.
2) 암호화(Encryption)와 복호화(Decryption) 절차
정보통신과 인터넷 기술이 발달함에 따라 다양한 중요 정보를 보호하기 위한 방안으로 암호화를 활용하고 있다.
3) 암호기술의분류
암호 기술은 크게 암호화 기술과 암호 프로토콜 기술로 분류된다.
① 암호화 기술
암호화 키와 복호화 키가 같은 대칭 키 암호 방식과 암호화 키와 복호화 키가 서로 다른 공개키 암호 방식으로 분류
② 암호 프로토콜
• 개념 : 암호화 기술을 사용하는 프로토콜을 의미
• 목적 : 인증, 기밀성, 무결성과 부인방지 등을 보장하기 위하여 참여자 또는 제3자가 부정을 하지 못하도록 방지
4) 암호 알고리즘과 암호 시스템
① 암호 알고리즘
• 개념 : 평문을 암호화 키 사용 암호문 생성 및 전송, 수신자는 복호화 키사용 암호문을 평문으로 구성하는 과정.
• 구성요소 :
| 구분 | 구성요소 | 설명 |
| 문장 종류 | 평문(P) | 전송할 문장 |
| 암호문(C) | 암호화 적용된 문장 | |
| 키 종류 | 암호화 키(KE) | 암호문 생성 키 |
| 복호화 키(KD) | 복호문 생성 키 | |
| 알고리즘 종류 | 암호화 알고리즘(E) | 암호문 생성 알고리즘 |
| 복호화 알고리즘(D) | 복호문 생성 알고리즘 |
② 암호 시스템
• 개념 : 암호화하고 복호화하는 일련의 과정에 필요한 요소
• 필요요건 :
• 암호화 키에 의하여 암호화 및 복호화가 효과적으로 이루어져야 한다.
• 암호 시스템의 사용이 용이하여야 한다.
• 암호화 알고리즘보다는 암호 키에 의한 보안이 이루어져야 한다.
5) 비밀키 암호와 공개키 암호 알고리즘
① 비밀키 암호 알고리즘
• 개념 : 암호화에 사용하는 암호화 키와 복호화에 사용하는 복호화 키가 동일한 알고리즘
• 특징 : 키의 길이 제한 없음, 암호화와 복호화 연산의 속도가 빠름.
평문 데이터를 처리하는 방식에 따라 블록 암호(Block Cipher)와 스트림 암호(Stream Cipher)로 구분된다.
• 블록 암호 알고리즘 종류 및 공격기법
• 개념 : 비밀키를 이용하여 고정된 크기의 입력 블록을 고정된 크기의 출력 블록으로 변형하는 암호 알고리즘
• 종류 : Feistel Network, DES(Data Encryption Standard), AES(Advanced Encryptbn Standard),
ICEA(lnternational(Data Encryption Algorithm), SEED, ARIA
• 공격기법 :
• 스트림 암호 알고리즘 종류 및 공격기법
• 개념 : 평문의 비트열과 키의 비트열의 비트 단위 XOR 연산으로 암호문을 생성하는 방식
• 종류 : RC4가 대표적이며, A5/1, A5/2 등의 알고리즘
② 공개키 암호알고리즘
• 개념 : 송신자와 수신자가 서로 다른 키를 사용하여 비밀 통신을 수행하는 알고리즘
• 특징 : 다양한 인증 기능 사용, 안전한 키 교환 사용
• 종류 : RSA(Rvest Shamir and Adleman), 엘가말(EIGamal), ECC(Elliptic Curve Cryptosystem, 타원곡선 암호시스템)
| 알고리즘 | 특징 | 설명 |
| RSA | 큰 정수의 인수분해 어려움에 안전성 | RSA 방식의 안전성은 소수 p와 q에 의존하므로 소수의 선택 조건이 중요 |
| 엘가말 | 이산대수 문제의 어려움에 기반 | 암호화하면 메시지의 길이가 두 배로 증가, 난수 이용하여 같은 메시지에 대해 암호화할 때마다 다른 암호문 |
| ECC | 타원곡선 상의 이산대수 문제에 기반 | 안전성이 높고 속도가 빨라, 휴대폰 등과 같은 이동 통신 기기의 암호화에 적합 |
③ 비밀키 암호 알고리즘과 공개키 암호 알고리즘의 비교
6) 해쉬 함수(Hash Function)
• 개념 : 다양한 크기를 갖는 임의의 데이터로부터 고정된 길이 의 짧은 해쉬 값(해쉬 코드)을 출력하는 수학적 함수
• 특징 : 오류나 변조를 탐지할 수 있는 무결성을 검증
• 종류 : MD5(Message Digest Algorithm 5), SHA(Secure Hash Algorithm)
• 해쉬 함수의 보완 : 솔트(Salt), 키 스트레칭
• 해쉬 함수의 활용 : 무결성 검증, 파일의 무결성, 전송 과정에서의 무결성, 패스워드를 기초로 한 암호화, 전자 서명
02. 인증 기술
1) 인증(Authentication)의 개념
인증이란 정보의 주체가 되는 송신자와 수신자 간에 교류되는 정보의 내용이 변조 또는 삭제되지 않았는지.
그리고 주체가 되는 송, 수신자가 정당한지를 확인하는 방법
* 메시지 인증과 사용자 인증으로 구분
① 사용자 인증(User Authentication)
네트워크상에서 사용자가 자신이 진정한 사용자라는 것을 상대방에게 증명할 수 있도록 하는 기능
② 메시지 인증(Message Authentication)
전송되는 메시지의 내용이 변경이나 수정되지 않고 본래의 정보를 그대로 가지고 있다는 것을 확인하는 기능
2) 인증방식의 유형
• 지식기반 인증
사용자가 알고 있는 정보(What you know)에 기반한 방법
• 소유기반인증
사용자가 소유하고 있는 도구(What you have)에 기반한 방법
• 존재(생체)기반 인증
사용자의 신체나 신체의 특징에 기반(What you are)한 방법
3) 인증기술의종류
① 패스워드 인증 - 지식기반 인증
• 개념 : 사용자가 미리 패스워드를 설정한 후, 인증 시 입력된 패스워드와 설정된 패스워드를 비교하여 사용자를 인증
• 패스워드 정책 : 사용자는 쉽게 기억할 수 있고 공격자는 추측이 난해
인증 시스템은 실패한 로그인 시도 횟수를 제한 필요
• 패스워드에 대한 공격 기법 : 무차별공격(Brute Force Attack), 사전공격(Dictionary Attack),
트로이 목마, 패스워드 파일에 대한 직접접근, 사회공학적 기법
• 패스워드 공격에 대한 대응 방안
패스워드 발생기 사용, 로그인 실패 횟수 제한, 주기적 패스워드 변경,
사전공격 및 무차별 공격탐지를 위한 침입탐지시스템(IDS) 사용, 보안인식교육, OTP 사용
② OTP(One Time Password) 인증 - 소유기반 인증
• 개념 : 세션마다 일회용 패스워드를 생성하여 입력 하는 일회용 패스워드 생성기를 사용하는 인증기술
• OTP 종류 : 동기식, 비동기식
③ 생체 (Biometric) 인증 - 생체기반 인증
• 개념 : 사람의 신체적 또는 행동적 특성을 자동화된 장치인 센서로 추출하여 인증수단으로 활용하기 위한 인증기술
• 생체인증의 특성
보편성: 누구나 갖고 있는 생체적 특성
유일성: 개개인을 구분할 수 있는 고유한 특성
획득성: 센서로부터 측정되어 정량화될 수 있는 특성
영속성: 변하지 않고 변경이 되지 않는 특성
정확성: 환경변화와 무관한 인증 정밀도를 요구하는 특성
수용성: 생체정보 추출/사용 과정에 대한 거부감이 없어야 하는 특성
• 생체인증의 종류 : 신체 정보를 이용한 방식, 행동 특성을 이용한 방식
• 생체인증의 처리과정 : 사용자의 생체정보를 생체정보 DB에 저장한 후,
인증 시 저장된 생체정보 DB와 사용자로부터 추출된 생체인증 정보를 비교하여 인증수행
④ 멀티팩터(multi factor) 인증
단일 인증방식의 취약점을 보완하기 위하여 복수 개의 인증 기술을 조합 하여 인증의 보안성을 향상시킨 방식
4) 전자서명
• 개념 : 인증기능을 이용해 전자문서에 서명이 가능하게 하는 기술
5) PKI(Public Key Infrastructure : 공개키 기반 구조)
• 개념 : 정보보안 서비스를 제공해 주는 암호화 및 복호화 키와 인증서를 안전하게 분배하기 위한 기반 구조
• 구성요소 :
03. 접근통제기술
1) 접근통제(Access Control) 개요
• 개념 : 사용자와 시스템이 상호작용을 하면서 누가 시스템에 접근하여 무슨 작업을 할 수 있는지를 통제하는 방법
• 절차 :
• 식별 (Identification) : 신원을 밝히는 과정으로, 주체가 누구인지를 시스템이 식별하는 과정(예 : ID)
• 인증(Authentication) : 주체가 식별된 본인이 맞다는 것을 시스템에 증명해 보이는 과정(예 : PW)
• 인가(Authorization) : 시스템이 인증된 사용자에 대한 권한 제어하는 과정
2) 접근통제 정책
• 개념 : 시스템의 보안정책은 접근통제 시스템의 설계 및 관리를 다루기 위한 상위 지침
대상 시스템 자원들 을 보호하기 위해서 조직이 희망하는 기본적인 원칙들의 표현
• 정책 종류 :
① 최소권한정책(Mhinnum Privilege Policy)
시스템 주체들은 그들의 활동을 위하여 필요한 최소분량의 정보를 사용
② 최대권한정책(Maximum Privilege Policy)
데이터 공유의 장점을 증대시키기 위하여 적용하는 최대 가용성 원리에 기반
3) 접근통제 정책의 종류
① 강제적 접근통제(MAC: Mandatory Access Control)
주체에게 보안 등급(Security Level)을 부여하고 객체에게는 보안 레이블(Security Label)을 부여한 후 사전에 정한 규칙 에 따라 해당 주체가 객체에 대하여 접근이 가능한지의 여부를 판단할 수 있도록 하는 정책
② 임의적 접근통제(DAC: Discretionary Access Control)
주체의 계정 또는 계정이 속한 그룹의 신원에 근거하여 객체에 대한 접근을 제어하며, 객체의 소유자가 직접 접근 여부 를 결정하는 모델
③ 역할기반 접근통제(RBAC: Role Based Access Control)
관리자에 의해 사전에 역할(Role)을 정의하고. 각 역할에 따라 접근이 가능한 객체를 매핑한 후 주체에게 역할을 부여하 여 접근을 제어하는 정책
4) 접근통제 메커니즘
① 접근통제 행렬(Access Control Matrix)
주체와 객체를 행과 열로 표현하고 행렬의 각 엔트리는 접근 권한을 표시
* 특정 자원에 접근하기 위해 행렬을 검색하는 것은 비효율적이므로 Capability List와 Access Control List 나누어 관리
② ACL(Access Control List)
객체를 기준으로 주체에 대한 접근 권한을 관리하며, Access Control Matrix의 열에 해당
③ CL(Capability List)
주체를 기준으로 객체에 대한 접근 권한을 링크드리스트 형식으로 관리하며, Access Control Matrix의 행에 해당
④ SL(Security Label)
객체에 부여된 보안 속성 정보의 집합 의미
5) 접근통제모델
① Bell-Lapadula 모델
최초의 수학적 모델이며, 강제적 정책에 의한 접근 통제 모델(MAC 정책)로 미 국방성의 지원에 따라 설계된 모델로서 기밀성을 강조한다. 정보의 불법적인 파괴나 변조보다 기밀 유출 방지에 중점을 두었으며, 정보가 높은 레벨에서 낮은 레벨로 흐르는 것을 방지하기 위한 모델이다.
② Biba 모델
Bell-Lapadula 모델의 단점인 무결성을 보장하도록 만들어진 모델(기밀성 보장하지 않음)로 주체에 의한 객체 접근의
항목으로 무결성을 다룬다.
③ Clark and Wilson 모델
무결성 중심의 상업용으로 설계한 것으로 애플리케이션의 보안 요구사항을 다루는데 정보의 특성에 따라 비밀 노출
방지 보다 변조 방지가 더 중요할 수 있다는 것에 기초한다. 객체는 항상 프로그램을 통해서만 접근 가능하도록 하는
모델이다.
④ Chinese Wall 모델(만리장성 모델, Brewer-Nash)
충돌을 야기하는 어떠한 정보의 흐름도 차단해야 한다는 모델로 이익의 상충을 금지하기 위한 모델로 직무 분리를 접근
통제에 반영한 개념이 적용된 모델이다.
'TOPCIT > TOPCIT교재' 카테고리의 다른 글
| VII. 시스템 아키텍쳐 보안(손선희) (0) | 2022.08.09 |
|---|---|
| IV. 보안관리체계와 표준 - 문경숙 (0) | 2022.08.08 |
| 8. 장애 대응 처리 기술 - 배준호 (0) | 2022.08.01 |
| 16. 최신기술 - 이강욱 (0) | 2022.08.01 |
| 15. 이동 통신 및 멀티미디어 통신기술 - 이상희 (0) | 2022.08.01 |