정보보안 이론과 실제
DESCRIPTION
정보보안 이론과 실제. 암호 , 접근제어 , 프로토콜 , 소프트웨어. 1 장. 개요. 등장 인물. 엘리스 , 밥 : 선한 사람. 트루디 : 악한 사람 트루디의 어원 : “ intruder ”. 엘리스의 온라인 은행. 엘리스 온라인 은행 개설 (AOB) 엘리스의 보안 관심 사항은 무엇인가 ? 만약 밥이 AOB 의 고객이면 , 그의 보안 관심 사항은 무엇인가 ? 엘리스와 밥의 공동 관심사항과 다른 관심 사항은 무엇인가 ? 트루디는 이 상황을 어떻게 보는가 ?. 보안성 , 무결성 , 가용성. - PowerPoint PPT PresentationTRANSCRIPT
정보보안 이론과 실제암호 , 접근제어 , 프로토콜 , 소프트웨어
22
개요1 장
3
등장 인물
엘리스 , 밥 : 선한 사람
트루디 : 악한 사람 트루디의 어원 : “intruder”
4
엘리스의 온라인 은행
엘리스 온라인 은행 개설 (AOB)
엘리스의 보안 관심 사항은 무엇인가 ?
만약 밥이 AOB 의 고객이면 , 그의 보안 관심 사항은 무엇인가 ?
엘리스와 밥의 공동 관심사항과 다른 관심 사항은 무엇인가 ?
트루디는 이 상황을 어떻게 보는가 ?
5
보안성 , 무결성 , 가용성
비밀성 , 무결성 , 가용성 CIA (Confidentiality, Integrity,
Availability)
AOB 는 트루디가 밥의 계좌 잔액을 아는 것을 방지해야 한다 .
비밀성 : 허가되지 않은 자가 정보를 읽는 것을 방지하는 것
6
보안성 , 무결성 , 가용성
트루디는 밥의 계좌 잔액을 변경할 수
없어야 한다 .
밥은 그 자신의 계좌 잔액을 정당하지
않게 변경할 수 없어야 한다 .
무결성 : 인가되지 않은 정보의 쓰기를
방지 하는 것
7
보안성 , 무결성 , 가용성
AOB 의 정보는 필요할 때 가용해야만 한다 .
엘리스는 거래를 할 수 있어야만 한다 . 만약 할 수가 없으면 , 다른 곳으로 사업을
변경 할 것임 .
가용성 : 자료는 필요할 때 적절하게 가용하게 하는 것
가용성은 “ 새로운” 보안 관심 사항 서비스 (DoS) 거부에 대한 반응
8
CIA 이상의 주제
밥의 컴퓨터가 “ 밥” 이 트루디가 아니고
진짜 밥인지 아는 방법은 ?
밥의 패스워드는 확인되어야만 한다 .
암호체계를 사용
패스워드의 보안 관심사항은 무엇인가 ?
패스워드의 다른 대안은 있는가 ?
9
CIA 이상의 주제
밥이 AOB 에 로그인 했을 때 , AOB 가 “ 밥” 이 진짜 밥이 어떻게 알 수 있는가 ?
이전처럼 밥의 패스워드 확인필요
스탠드어론 컴퓨터와 달리 네트워크는 보안 문제가 발생
네트워크 보안 관심 사항은 ?
프로토콜은 매우 중요한 이슈
암호도 프로토콜에서 중요
10
CIA 이상의 주제
밥이 AOB 에 의해 인증되었으면 , AOB
는 밥의 행동을 통제해야 함 .
밥은 챨리의 계좌 정보를 볼 수 없어야 함 .
밥은 새로운 소프트웨어를 설치할 수없어야 함 .
이러한 제약을 가하는 것이 인가
접근제어는 인증과 인가 모두를 포함
11
CIA 이상의 주제
암호 , 프로토콜 , 접근제어는 S/W 로
구축된다 .
S/W 의 보안 이슈는 무엇인가 ?
대부분의 S/W 는 복잡하고 버그가 있다 .
S/W 의 문제는 보안의 문제로 연결된다 .
S/W 개발에 있어 결함을 어떻게 줄일 수
있는가 ?
12
CIA 이상의 주제
일부 S/W 는 나쁜 의도로 작성되었다 .
멀웨어 : 컴퓨터 바이러스 , 웜 등
엘리스와 밥이 멀웨어로부터 자신들을
보호하는 방법은 ?
트루디가 더욱 효과적으로 멀웨어를
만드는 방법은 ?
13
CIA 이상의 주제
운영체제 (OS) 가 보안을 통제 예 : 인가
운영체제 : 거대하고 복잡한 S/W
Win XP: 40,000,000 라인의 코드 !
다른 S/W 처럼 버그와 결함은 문제
운영체제에 관련된 많은 보안 이슈 상존
운영체제를 신뢰할 수 있는가 ?
14
과목 구성
크게 4 개의 분야로 구성
암호
접근제어
프로토콜
소프트웨어
15
암호
“ 비밀 코드”
다루는 암호분야는 고전 암호
대칭 암호
공개 암호
해시 함수
고급 암호 분석
16
접근제어
인증 패스워드
생체인식과 기타
인가 접근제어목록과 권한목록
다단계 보안 (MLS), 보안모델링 , 은닉통로 , 추론제어
방화벽과 침입탐지체계
17
프로토콜
단순 인증 프로토콜
“ 나비 효과” - 작은 변경이 보안에는 엄청난
결과를 초래
암호가 사용됨 .
실제 보안 프로토콜
SSL, IPSec, 커베로스
GSM 보안
18
소프트웨어
S/W 보안 - 심각한 오류 버퍼 오버플로우
기타 공통 결함
멀웨어 특정한 바이러스와 웜
방지와 탐지
미래의 멀웨어
19
소프트웨어
소프트웨어 역공학 (SRE)
해커가 S/W 를 “ 분석” 하는 방법
디지털 권한관리 (DRM)
S/W 보안의 난해성
운영체제 보안 문제
테스트의 제한성 공개 소스와 비공개 소스
20
소프트웨어
운영체제 (OS) 기초적인 운영체제 보안 이슈들 “ 신뢰성 있는” 운영체제 요구사항들 차세대 보안 컴퓨팅 (NGSCB)
PC 에서 마이크로소프트의 신뢰성 있는 OS
S/W 는 거대한 보안 주제 관련되는 엄청난 자료 고려해야 하는 많은 보안 문제
21
적과 같이 생각하라 !
과거에는 “해킹” 에 관해 상세히 설명하는 좋은 자료들 전무
그러한 자료들은 오히려 해커들을 도와 주게 된다고 생각
최근에 , 이러한 현상은 변화 네트워크 해킹 , 악의적인 S/W 작성법 ,
해커 S/W 작성법 등에 관한 서적의 다수 출현
22
적과 같이 생각하라 !
선한 사람도 나쁜 사람이 생각하는 것처럼 생각해보아야 함 !
경찰과 같이 … 범죄자들을 이해하고 연구해야 하듯이…
정보보안에서도 트루디의 분위기를 이해하고 ,
트루디의 방법을 알아야만 ,
트루디가 하는 일을 방지할 수 있음
23
적과 같이 생각하라 !
이러한 정보보안에 대한 아이디어가 관연
괜찮은 것인가 ?
“ 악인들이 이미 알고 있는 사실들을 선한
자들에게 교육하기 위한 책을 누군가가
집필할 때가 되었다 .” Bruce Schneier
24
적과 같이 생각하라 !
트루디같이 생각하려고 노력해야 한다 .
트루디의 방법을 연구해야만 한다 .
트루디의 교묘함에 놀랄 수 있다 .
가끔 앨리스와 밥의 어리석음에 실소를 하게 될 것이다 .
그러나 트루디 같이 행동하면 안 된다 .
25
이 과목에서는…
항상 악인처럼 생각한다 .
항상 문제점을 찾으려고 노력한다 .
약한 연결점을 찾으려고 노력한다 .
규정을 어기는 것은 괜찮다 .
트루디 같이 생각하라 !!!
그러나 , 불법적인 어떤 일도 해서는안 된다…