정보보안및해킹방어기술 - Dongseokowon.dongseo.ac.kr/~hjlee/Invited_lecture/2011-05...8 동서대학교컴퓨터정보공학부 ‘해킹과방어’를학교정규교과로…

1

정보보안 및 해킹방어기술

2011. 5. 21(토)

동서대학교컴퓨터정보공학부정보통신공학전공

이 훈 재E-mail: [email protected] : http://kowon.dongseo.ac.kr/~hjlee

http://crypto.dongseo.ac.kr

2011 고교생 초청특강

2011-05-13 1동서대학교 컴퓨터정보공학부

Agenda

1.1. 정보보안정보보안 최근최근 핫핫 이슈이슈

2.2. 정보보안정보보안 기술기술

3.3. 해킹방어해킹방어 대책대책

4.4. 결론결론

2011-05-13 2 동서대학교 컴퓨터정보공학부

http://www.skypdf.com

mailto:[email protected]

http://kowon.dongseo.ac.kr/~hjlee

http://crypto.dongseo.ac.kr

2

Agenda




4.4. 결론결론


개인정보의 유출과 도용(1)- 2007~08년 개인정보대량유출 해킹 사건 -

GS 칼텍스 1,100만명고객 정보 유출

OK 캐쉬백 콜센터,고객정보 2만명 유출



3


개인금융 유출 사고(2)- 2009년 중국발 인터넷뱅킹 해킹사건 -

2009년 8월 11일 조선일보 기사

2011-05-13 동서대학교 컴퓨터정보공학부6

▶Distributed DoS공격에 의한 인터넷 마비사태

사이버테러 사건(3)- 2009년 7.7 DDoS 공격 -


4

개인/기업 금융자원 유출(4)- 2011년 4월 12일 농협전산망 해킹 사건

2011년 5월 4일 전자신문 기사2011-05-13 7 동서대학교 컴퓨터정보공학부

2011년 5월 4일 전자신문 기사




5

2011년 5월 4일 전자신문 기사



정보보호의 중요성(동영상)


§ “DDoS 얼굴없는 공격자” (KBS 스펀지): 10분

§ 또는

§ http://broadcast.boho.or.kr/UserView/UserView.jsp?seqno=605 (KISA 보호나라 TV 동영상): 10분


http://broadcast.boho.or.kr/UserView/UserView.js

6

Agenda




4.4. 결론결론


동서대학교 컴퓨터정보공학부2011-05-13 12

2006.11.1일 KBS뉴스


7


2006.11.1일 조선일보닷컴

동서대학교 컴퓨터정보공학부

‘해킹과방어’를학교정규교과로…

2011-05-13 14


8

동서대학교 컴퓨터정보공학부

‘해킹과방어’를학교정규교과로…

2011-05-13 15

고용창출

업체대형화

세계시장점유율

국내생산(수출)

[2009-10 지식경제부] 지식정보보안산업비전[2009-10 지식경제부] 지식정보보안산업비전

2만1천명5만명 6만명

대기업 10개 15개20개

3조(1,078억)8조(7,500억) 18.4조

(3조)

1.74%3% 5%2007년2007년 2010년2010년 2013년2013년



9

’09년부터 ’13년까지 2,000명의 지식정보보안 전문인력 양성 (총 300억원)

1) 지식정보보안 고급인력 양성

바이오 인식 : HW센서, 알고리즘 개발, 시험ㆍ평가 전문 인력양성

'09년지식정보보안아카데미개설과정

『고용계약형 맞춤형 석사과정』『현장인력 대상 고급 교육과정』

디지털 Forensic : 금융ㆍ회계, 콘텐츠, 기술유출방지, 수사기관 및

포털 업체 종사 인력 대상 교육 과정 개설

250명250명

1,750명1,750명



2) “윤리적 해커” 양성 지원 확대

※ 미국 해킹대회‘데프콘’행사 : 매년 전 세계 해커 8,000여명 참가

‘국제 모의 해킹대회’국내 개최 추진 è 민간주도의 모의 해킹대회 통합 개최

‘윤리적 해커 1,000명 양성 프로젝트’ 추진 ** 3000명 발표(2009.9.15일)☞ ’09년부터『지식정보보안 아카데미』내에『윤리적 해커 양성과정』개설

‘윤리적 해커’ 활동 영역

국가 안보 제품성능검증 공공ㆍ민간기관

취약점 분석공인침투테스터 수사기관, 법원

전문 감정 요원




10

정보보호전문가(SIS) 자격증개편방향

정보보호전문가(SIS) 자격제도 개편을 통한 위상 강화

- 국가기술자격제 전환, 자격증에 대한 인센티브 확대

3) 지식정보보안 자격증 활성화

『SIS자격증』취득 유도를 위한 다양한 인센티브 마련-등급별학점인정제실시,공무원및공기업취업가산점부여등『SIS자격증』취득 유도를 위한 다양한 인센티브 마련-등급별학점인정제실시,공무원및공기업취업가산점부여등



정보보안

물리보안

융합보안

DRM 등 콘텐츠 보안 IPS등 네트워크 보안 및보안관리서비스 (국내외 기술격차

: 1.39년)

(상대수준

: 87.45%)

CCTV, 바이오 인식 제품경쟁력CCTV 감지센서 등 핵심원천기술

(국내외 기술격차

: 1.58년)

(상대수준

: 83.75%)

스마트키, 차량 블랙박스분야 산업용 보안 기기 (국내외 기술격차

: 1.50년)

(상대수준

: 85.82%)

선진국 대비 평균 86%의 기술 수준과 1.5년의 기술 격차

국내 주요업체: 파수닷컴, 마크애니 해외 주요업체: 시스코, 맥아피

해외 주요업체: Tyco Fire & Security 국내 주요업체: 에스원, IDIS

국내 주요업체: PLK 테크, 신창전기 해외 주요업체: GE시큐리티, IBM




11

지식정보보안업체 경쟁력 비교

국내 지식정보보안산업은 전형적인 영세 중소기업형 산업구조

글로벌 기업과 경쟁하기 위해 M&A를 통한 산업구조의 전문화ㆍ대형화가 시급

::

상대규모국 내 기 업해 외 기 업업 종

2%(133억원)Alsok( ) (7,279억원)

41%(241억원)HID Corporation

(580억원, iCLASS®)IC

150%(1,161억원)(760억원, Digipass)OTP

6.6%(244억원, XecureWeb)RSA (3,681억원, RSA)PKI

1.8%(450억원, V3)

Symantec (2조 5,348억원, 노턴 안티바이러스)

※ 전체 60%인 355개 업체가 자본금 6억원 이하 중소영세업체, 매출액 400억원 이상은 10개 업체에 불과





12

정보보안트랙




13



네트워크 공격의 종류


14

네트워크 위협과 대응

1) 자원 조사(reconnaissance) 공격

정의

허가되지 않은 사용자에 의한 네트워크 시스템, 네트워크 제공 서비스, 또는네트워크가 가지고 있는 취약성에 대한 탐색 및 조사 활동을 의미한다.

그 외에도 목표 네트워크에 존재하는 IP 주소를 조사하기 위한 ping sweep, 네트워크에서 제공되는 서비스와 열려 있는 포트 번호를 조사하기 위한 port scan 등과, whois, DNS, Web pages 등을 이용한 정보 수집도 자원 조사 위협에 포함된다.네트워크 공격자는 이러한 자원 조사를 통하여 IP 주소의 범위와 호스트 이름, 제공되는 서비스 그리고 서버, SMTP, DNS 등에 대한 정보를 수집할 수 있다.

대처 방안

- 네트워크 자원 조사 공격을 완벽하게 방지할 수는 없다. - 네트워크 및 호스트 레벨의 침입 탐지 시스템 (IDS; Intrusion Detection System)

은 보통 ping sweep이나 port scan과 같은 네트워크 자원 조사 공격이 진행될경우 네트워크 관리자에게 이 사실을 통지할 수 있다.


2) 정보 도청(eavesdropping)정의

- 정보 도청 (eavesdropping)은 단어 그대로 네트워크를 통해 전달되는 정보나 대화를 엿듣는 것이며, 네트워크 분야에서는 도청을 일반적으로 네트워크 스누핑(network snooping)이나 패킷 스니핑 (packet sniffing)이라 부른다.

- 네트워크 상에서 도청을 위한 일반적인 방법은 TCP/IP 또는 다른 프로토콜 패킷을 캡쳐하고 내용을 해석하는 것이다.

정의 도청의 종류

- 정보 수집 : 네트워크 침입자가 ID, 패스워드, 그리고 패킷 형태로 전달되는 개인정보를 식별하는 것이다.

- 정보 절도 : 내부 또는 외부 네트워크에서 전송되는 데이터를 훔치거나, 비인가접속으로 네트워크에 연결된 컴퓨터의 데이터를 훔치는 것이다.

정의 도청을 위해 사용되는 도구

- 네트워크 분석기- 프로토콜 분석기- 패킷 캡쳐링 유틸리티




15

2) 정보 도청(eavesdropping)패킷 스니퍼 도청에 대한 대처 방안

인증 (authentication) 절차 적용

패킷 스니퍼를 방지하기 위한 첫 번째 방법은 OTP (one-time password)와같은 강한인증 절차를 사용하는 것이다.

스위치 인프라 (switched infrastructure) 적용

네트워크 구조 자체를 패킷 스니퍼를 사용할 수 없도록 스위치 인프라로 구축한다.

앤티스니퍼 (antisniffer) 도구 사용

네트워크 상의 어딘가에서 패킷 스니퍼를 사용하고 있으면 이를 탐지할 수 있도록설계된 소프트웨어 및 하드웨어를 사용한다.

암호화 기술 사용

암호화 기술은 도청 공격, 패스워드 크랙 또는 조작에 영향을 받기 쉬운 데이터를보호하는 것이다.



3) 비인가 자원 접속(access) 공격

정의

- 자원 접속은 정상적으로 허가된 계정과 패스워드를 가지지 않고 네트워크 자원에 접속하는 비 인가 사용자의 능력을 말한다.

- 이러한 자원 접속은 hack 이나 script, 또는 네트워킹 시스템의 취약점을 알아낼수 있는 도구를 이용하여 수행된다.

비 인가 자원 접속 방법

- 패스워드 공격- Man-in-the-Middle 공격- 신뢰 관계 (Trust Exploitation)를이용한 공격- IP 스푸핑 (spoofing) - 데이터 조작 (Data manipulation)- 세션 재연 (Session replay)- 자동 루터 (Auto rooter)- 백 도어 (Back door)




16


패스워드 공격과 대처 방안




패스워드를 알아내기 위하여 주로 사용되는 방법은?

패스워드 공격 방법에는 무작위로 암호를 쳐보는 것에서부터, 일반적으로 많이사용되는 단어를 이용하는 방법(dictionary attack), 트로이 목마 프로그램을 대상컴퓨팅 장치에 설치하여 알아내는 방법, IP 스푸핑이나 패킷 스니핑을 통해패스워드를 알아내는 등 그 방법이 매우 다양하다.

패스워드 공격에 대한 대처 방안은?

패스워드에 공격에 대처하기 위한 첫 번째 단계로는 여러 시스템에 동일한패스워드를 사용하지 않게 하거나, 일정 횟수 이상 패스워드 오류 시 계정을정지시키거나, OTP (one-time password) 또는 암호화된 패스워드를 사용하거나, 적어도 8자 이상의 대소문자와 숫자, 특수 문자를 혼합한 패스워드를 사용하는 것이바람직하다.




17


Man-in-the-middle 공격

- Man-in-the-Middle 공격이란 해커가 네트워크를 통해 전송되는 네트워크 패킷에 접근하는 것이다.

- Man-in-the-Middle 공격은 네트워크 패킷 스니퍼나 라우팅/트랜스포트 프로토콜을 이용하여 이루어진다.

Host A Host B

Router A Router B

암호화되지않은 데이터



Man-in-the-middle 공격에 대한 대처 방안은?

Man-in-the-Middle 공격에 대한 유효 대처 방안은 평문 (clear text)으로 되어 있는데이터를 암호화하는 방법 외에는 없으며, 데이터를 암호화하는 구체적인방법으로는 IPSec 터널과 같은 보안 채널을 이용하는 것이다.

신뢰 관계(Trust Exploitation)를 이용한 공격

- 네트워크 공격자는 네트워크 내에 기존에 설정된 네트워킹 장치 간의 신뢰 관계를 이용하여 네트워크 자원에 접속할 수 있다.

- Man-in-the-Middle 공격은 네트워크 패킷 스니퍼나 라우팅/트랜스포트 프로토콜을 이용하여 이루어진다.

- 즉, 아래 그림에서 다음과 같은 신뢰 관계를 이용하여 네트워크 공격자는 시스템A에 접속할 수 있는 권한을 얻을 수 있다.

- 시스템 A는 시스템 B를 신뢰- 시스템 B는 모든 시스템을 신뢰- 시스템 A는 모든 시스템을 신뢰





18

35

IP 스푸핑(Spoofing)

IP spoofing은 네트워크의 내부 또는 외부에 위치한 해커가 신뢰성이 있는 사용자인것처럼 특정 네트워크 시스템에 접속하는 것이다.

IP spoofing에 사용되는 방법은?

- 신뢰할 수 있는 내부 IP 주소 범위에 속하는 IP 주소를 사용.- 신뢰할 수 있는 허가된 외부 IP 주소를 사용.

IP spoofing에 의한 영향은?

IP spoofing의 영향은 보통 기존의 데이터 스트림에 유해한 데이터나 명령어를 끼워넣는 정도로 한정된다. 이 외에 라우팅 테이블을 변경함으로써 spoofing한 IP 주소로모든 네트워크 패킷을 수신할 수도 있다.

IP spoofing 위협에의 대처 방안은?

IP spoofing을 방지하는 가장 일반적인 방법은 Access Control을 사용하는 것이며, 이외에 IP 기반의 인증이 아닌 암호화된 인증 기술을 이용하여 더욱 효과적으로 IP spoofing에대처할 수 있다.




36

데이터 조작(Data manipulation)

데이터 조작으로 네트워크 침입자는 통신 채널 상으로 보내진 데이터를 캡쳐하고조작하고, 재연(rerplay)할 수 있다. 데이터 조작 공격을 수행하기 위해 사용되는도구로는 프로토콜 분석기, 패스워드 크래커 등이 있다.

세션 재연(Session replay)

비 인가된 활동을 발생하기 위해 패킷의 순서나 애플리케이션 명령어를 캡쳐하고조작하고, 재연(replay)하는 것으로 세션 재연 공격에는 Cookies, JavaScript 또는Active X scripts 등을 사용된다.

자동 루터(Auto rooter)

자동 루터는 연속적으로 컴퓨터를 스캔/조사/캡쳐하는 전체 해킹 과정을 자동으로수행하는 프로그램으로서, 네트워크 침입자는 짧은 시간 내에 수백에서 수천 개의시스템을 스캔할 수 있다.





19

37

백 도어(back door)

백 도어는 침입이 이루어지는 동안 생성될 수 있는 시스템에의 진입 경로로서, 백도어는 다른 시스템으로 침입하기 위한 경유지 또는 서비스 부인 공격을 하기 위해사용될 수 있다.




정의

- 네트워크 자원을 모두 사용하여 고갈시킴으로써 정상적인 인가된 사용자가 네트워크 서비스를 이용하지 못하도록 하는 것을 의미한다.

- DoS 공격은 시스템을 손상하거나, 사용할 수 없을 정도로 느리게 하는 것을 포함한다.

4) 서비스 거부(DoS : Denial of Service) 공격




20

대처 방안

- 라우터와 방화벽 상에 antispoof 기능과 anti-DoS 기능을 적절히 설정함으로써DoS 공격을 감소할 수 있다.

- 네트워크 ISP와 트래픽 율 (traffic rate)를 제한하도록 설정함으로써 DoS 공격을감소할 수 있다.

DoS의 공격 유형

DoS 공격에는 여러 가지가 있으며 그 중 ping of death, SYN flood 공격, packet fragmentation과 reassembly, E-mail bombs, CPU hogging, 악의적인 applets 등이대표적인 DoS 공격 유형이다.

4) 서비스 거부(DoS : Denial of Service)



40

5) 분산 서비스 거부(DDoS : Distributed DoS) 공격

- DoS 공격은 비 정상적인데이터를수 없이 발생하여네트워크링크를포화상태로만듦으로써정상적인 트래픽을드롭시킨다.

- DDoS 공격은 DoS 공격과유사하지만 DoS보다 훨씬 큰 규모로 진행되며, 수백 또는 수천의다른 지점으로부터하나의목표를집중적으로공격한다.

- DoS 공격은 비 정상적인데이터를수 없이 발생하여네트워크링크를포화상태로만듦으로써정상적인 트래픽을드롭시킨다.

- DDoS 공격은 DoS 공격과유사하지만 DoS보다 훨씬 큰 규모로 진행되며, 수백 또는 수천의다른 지점으로부터하나의목표를집중적으로공격한다.




21

41

5) 분산 서비스 거부(DDoS : Distributed DoS)DDoS의 공격 에

DDoS 공격의 대표적인 예로 그림에서와 같이 해커가 spoof된 특정 IP 주소를이용하여 ICMP echo request를 보내고, 이에 대한 echo reply가 라우터의 특정인터페이스로 집중되는 Smurf 공격이 있다.



42

6) 계층화 모델 고유의 보안 위협

응용(Application) 계층

- Application은종종 방화벽을 통과하는 port를 사용한다.- 예를 들어, 웹 서버가 사용하는 80번 port를 이용하여 공격할 수 있다.

표현(Presentation) 계층

- 데이터를 보호하기 위해 암호화 기술을 사용하지만 대다수의 일반적인 암호화기술은 현재 해독될 수 있다.

- 또한 압축 기술에 의해 압축된 바이러스나 트로이 목마 프로그램들은 대부분의방화벽을 그대로 통과 할 수 있다.

세션(Session) 계층

NFS, SQL, SMB 그리고 X-windows와같은 세션 계층에서 수행되는 프로토콜들은자원에의 비인가 접속을 위해 악용될 수 있다.




22

43

6) 계층화 모델 고유의 보안 위협

전송(Transport) 계층

많은 응용 프로그램과 프로토콜이 well-known TCP/UDP를 사용하기 때문에 특히취약하며, DoS, spoofing, hijacking, port scan 등의 공격이 수행될 수 있다.

네트워크(Network) 계층

ping scans, sniffing, DoS, ARP poisoning, nuking, ping of death, 그리고 spoofing 등이 악용될 수 있다. 그리고 분산 서비스 거부 공격에 특히 위험하다.

데이터 링크(Datalink) 계층

sniffing, spoofing, broadcast storms 그리고 잘못된 설정이나 고장 난 네트워크 카드등으로 인한 취약성과 불안전한 VPN의 악용 등의 가능성이 있다.

물리(Physical) 계층

자원 조사 공격과 wire tap에 취약하다.



암호/복호 기본 개념

q 암호체계ü 암호(복호)화변환

ü 키

ü 평문

ü 암호(복호)문

암호화 복호화

키

공격자

P

Ke Kd

C PC=E(P,Ke) P=D(C,Kd)

Insecurechannel

Securechannel

평문 복호문



23

정보보호 기본요소

q 데이터 기밀성 (Data Privacy or Confidentiality): 적법자만이 비밀정보를 보유

q 데이터 무결성 (Data Integrity): 불법적인 수단에 의해 정보의 변질되지 않음

q 실체 인증 (Entity Authentication or identification): 실체의 identity를 확인

q 메시지 인증(Message Authentication) : 정보의 출처를 확인

q 디지털 서명(Digital Signature) : 정보와 실체를 연결하는 수단

q 접근제어(Access Control) : 권한자만이 재원의 접근을 허가

q 부인봉쇄(Non-Repudiation): 사전의 행위나 동작을 부인 못하게 하는 수단


암호화 기본요소(Cryptographic Primitives)

Unkeyed Primitives

Symmetric-key Primitives

Public-key Primitives

arbitrary length hash functions

1-way permutations

random sequences

symmetric-key ciphers

arbitrary length hash functions(MAC)

PN sequences

Identification primitives

Identification primitives

signatures

public-key ciphers

SecurityPrimitives

block ciphers

stream ciphers

signatures



24

vW W W 보안 요구사항ü Client / Server 상호인증

ü교환되는 메시지 / 문서의 무결성

ü기밀성

v W W W 보안 프로토콜

Ø채널보안 기법

ü SSL ( Secure Socket Layer )

ü PCT ( Privacy Communication Technology )

Ø메시지 보안기법

ü S-HTTP

인터넷 보안


v SSL ( secure socket layer )ü Netscape Communications

ü Privacy, Data Integerity, Server [Client] Authentication,

ü RSA, Diffie-Hellman, Fortezza for Key Exchange

ü DES, 3DES, IDEA, RC2, RC4[stream cipher] for Data Encryption

ü MD5, SHA for Hash Function ( MAC )

TCP

IP

HTTP, FTP,...

SSLSSL Handshake

SSL Record

Algorithm Negotiation,

Key Exchange,

Authentication

Data Encapsulation

for data protection

인터넷 보안



25

v SSL Handshake Protocol

Server

Client

Client_Hello { R, Ciphersuite }

Server_Hello { R’, Cipher, X.509 Certificate }

Client_Key_Exchange

Session_Key_Generation

Client_Finished, Server_Finished

인터넷 보안


v SSL Client Hello Phaseü client SSL versionü 28-byte random number Rü session IDü cipher_suitesü compression methods

v SSL Server Hello Phase

ü server SSL versionü 28-byte random number R’ü session ID -> If a new session, server’s certificate ü cipher_suite { key exchange algorithm }ü compression method

Client

Server

Server_Hello

Client_Hello

인터넷 보안



26

v SSL Client Key Exchange

Client

ServerClient_Key_Exchange

Pre_Master_Key = gcs mod p | { 48-byte random } Ke [server]

Ø Key Exchange Algorithm’s Parameter in Certificate ü RSA : public exponent ke, modulus nü Diffie-Hellman : g, modulus p, gs mod p

Ø From Pre_Master_Key To Mater-Key [ MD5, SHA, R, R’]

Master_Key = MD5 (Pre_Master_Key || SHA (‘A’ || Pre_Master_Key || R || R’ ) ) ||

MD5 ( Pre_Master_Key || SHA (‘BB’|| Pre_Master_Key || R || R’ ))||

MD5 ( Pre_Master_Key || SHA (‘CCC’|| Pre_Master_Key || R | R’ ) )

인터넷 보안


v SSL Session Key Generation

ü Key Exchange, Authentication 확인ü Negotiated Algorithm, Parameterü All Handshaked Messages ü Sender’s value { client[0x434C4E54], server[0x53525652] }

v SSL Client-Server Finished

ü Keys for data encryption and data integrity

Key_Block = MD5 (Master_Key || SHA (‘A’ || Master_Key || R || R’ ) ) ||

MD5 ( Master_Key || SHA (‘BB’ || Master_Key || R || R’ )) ||

MD5 ( Master_Key || SHA (‘CCC’ || Master_Key || R || R’ ) ) || .........

인터넷 보안



27

q SSL Record Protocolq Fragmentation q Compression q Protection

214 bytes or less

Application Data

SSL_plaintext

SSL_compressed

SSL_ciphertext

SSL_plaintext

Stream Cipher ( RC4 ) with MAC

Block Cipher ( RC2, DES ) with MAC

TCP

IP

HTTP, FTP,.

SSLSSL Handshake

SSL Record

인터넷 보안


§ Change cipher spec 프로토콜

- Change cipher spec 메시지는 이후의 레코드에 대해 cipherspec에정의된 알고리즘과 키를 이용해 보호될 수 있도록 수신측에 알리기위해 사용된다.- 클라이언트는 키 교환메시지와 인증서 확인 메시지를 전송한 후에보냄- 서버는 클라이언트로부터 받은 키 교환 메시지를 성공적으로처리한 후에 보냄

§ Alert 프로토콜

- SSL 레코드 계층에서제공되는컨텐츠 타입 중 하나

- 각종 오류에 대한 메시지와 설명을 전송하는데 이용

(압축 및 암호화 오류, MAC 오류, 인증서 오류, 프로토콜 실패 등)

인터넷 보안



28

VPN(Virtual Private Network)1) VPN의 개요

인터넷과같은 공중망 (Public Network) 인프라를통해서사설망 (Private Network) 간 또는 사설망에접속하려는원격사용자를위한 암호화된연결을제공하는가상 사설망이다. 네트워크연결을위한VPN 서비스로는인증, 데이터무결성, 기밀성등이 있다.* 가상 사설망 (VPN) : 개인/회사단위로운영하는전용망으로, 공중망을전용망형태로 저렴하게사용

인터넷과같은 공중망 (Public Network) 인프라를통해서사설망 (Private Network) 간 또는 사설망에접속하려는원격사용자를위한 암호화된연결을제공하는가상 사설망이다. 네트워크연결을위한VPN 서비스로는인증, 데이터무결성, 기밀성등이 있다.* 가상 사설망 (VPN) : 개인/회사단위로운영하는전용망으로, 공중망을전용망형태로 저렴하게사용


VPN2) VPN의 종류

사이트 간 VPN

- 사이트 간 VPN (site-to-site VPN)은 LAN 간 VPN (LAN-to-LAN VPN)이라고도한다.

- 사이트 간 VPN은 기존의 고전적인 WAN의확장으로 라우터, 방화벽, VPN 집중기 (concentrator)를 사용하여 구성할 수 있다.

- 사이트 간 VPN 연결 유형은 다시 인트라넷 (Intranet) VPN과 익스트라넷(Extranet) VPN으로 구분된다.

Intranet VPN

공중 인프라 상에서 본사와 지사 또는 원격 사무실 간의 연결을 제공한다.

Extranet VPN

공중 인프라 상에서 협력 업체 또는 고객과 본사 인트라넷 간의 연결을 제공한다.



29

VPN2) VPN의 종류

원격 접속 VPN

원격 접속 VPN (remote access VPN)은 공중 인프라 상에서 이동 사용자 또는 재택근무자와 같은 원격사용자를 본사의 내부 네트워크에 안전하게 연결해주는 가상사설망이다.


VPN3) 계층별 VPN 구현 방법

계층별 VPN 구현 방법

- VPN은 계층 별로 아래와 같이 응용 계층, 전송/네트워크 계층, 데이터링크/물리계층에서의 구현 방법이 있다.

- 네트워크 계층에서의 연결 보호 방법은 응용 프로그램은 물론 네트워킹 매체와도 무관하여 가장 유연한 해결책을 제공한다.

- 네트워크 트래픽에 암호화 기술을 적용하기 위한 최적의 계층은 제 3 계층이다.



30

VPN4) 터널링 기술

터널링 프로토콜 종류

공중 네트워크 상에서 VPN을 생성하는 다양한 터널링 프로토콜이 있으며, 아래에대표적인 몇 가지를 요약하였다.


VPN4) 터널링 기술

터널링 프로토콜 종류

GRE

- GRE는 다중 프로토콜 지원이 필요한 사이트 간 VPN에 가장 적합하다.- GRE는 전형적으로 라우팅 프로토콜과 같은 멀티캐스트 패킷에 대한 터널링에

사용된다.

IPSec

- IPSec은 VPN 보안성 지원을 위한 기술이며, IP 유니캐스트 트래픽만을 지원한다.- IP 유니캐스트 타입 이외의 터널링 패킷을 지원하기 위해서는 GRE나 L2TP를 사

용해야 한다. 따라서 이러한 경우에는 IPSec은 암호화 기능 제공을 위하여L2TP/IPSec과 GRE/IPSec과 같이 다른 프로토콜과 결합하여 사용할 수 있다.

L2TP

- L2TP는 Cisco 사의 L2F와 Microsoft 사의 PPTP를 결합한 기술이다.- L2TP는 다중 프로토콜 지원이 필요한 원격 접속 VPN에 가장 적합하다.



31

암호화 기술1) 암호화 기술 개요

IOS 암호 시스템은암호화(encryption), 인증(authentication), 키 관리(key management)를 수행할 수 있다.IOS 암호 시스템은암호화(encryption), 인증(authentication), 키 관리(key management)를 수행할 수 있다.

암호화를 제공하는 두 가지 방법

대칭키(비밀키) 암호 시스템의 종류

- DES (Data Encryption Standard)- 3DES (Triple Data Encryption Standard)- AES (Advanced Encryption Standard)

비 대칭키(공개키) 암호 시스템의 종류

- RSA (Rivest, Shamir, Adleman) 알고리즘- El Gamal 알고리즘


암호화 기술1) 암호화 기술 개요

인증 기능을 제공하는 대표적인 기술

인증 기술의 종류

- MAC (Message Authentication Code)- HMAC (Hashed Message Authentication Code)- 디지털 서명 (digital signatures)

Diffie-Hellman

Diffie-Hellman 방법은 실제의 키를 교환하지 않고 키 교환 기능을 구현한다. Diffie-Hellman 방법은 데이터 암호화를 위한 세션 키 확립 알고리즘으로널리 사용되고 있다.

키 교환 방법에는 수동작업, 비밀키 교환, 공개키 교환



32

암호화 기술2) 대칭키 암호화

대칭키(비밀키) 암호화 시스템

대칭 키 암호화는 많은 양의 데이터를 암호화하기 위해 사용된다 (비대칭 키 암호화의경우에는 CPU 부하를 많이 차지함).

DES (Digital Encryption Standard)

- DES는 가장 널리 사용되는 표준의 하나로 대칭 키 암호화 기법이다.- 64 비트 메시지 블록 단위로 동작한다.- 알고리즘은 64 비트 입력을 64 비트 출력으로 변환하는 일련의 과정을 사용한다.- 알고리즘은 64 비트 키를 표준 형태로 사용한다. 64 비트 중 56 비트는 랜덤하게 선

택하고, 나머지 8 비트는 parity bits이다.



대칭키(비밀키) 암호화 시스템

3DES (Triple DES)

- 3DES는 무작위 공격에 대해 더욱 안전하도록 만든 DES의 대안이다.- 3DES는 64 비트 메시지 블록 단위로 동작하며, 암호화, 복호화, 암호화의 순서로 동

작을 수행한다.- 3DES는 하나나 두 개 또는 세 개의 서로 다른 키를 사용할 수 있다.- 3DES에서 한 개의 키를 사용하면 표준 DES와 같아져 호환성에 제공되는 장점이 있

지만, 추가적인 처리 시간이 필요하다.- DES와 3DES 알고리즘은 공개되어 자유롭게 사용할 수 있지만, 3DES 기술의 미국

밖으로의 수출은 미국 정부에 의해 제한되어 있다.

AES (Advanced Encryption Standard)

- AES는 가장 최근의 암호화 알고리즘이다.- AES는 128, 192, 256 비트 길이의 메시지 블록을 암호화하기 위하여 키의 길이를

128, 192, 256 비트로 규정하고 있다.- 따라서 총 9 가지의 블록 및 키 길이 조합을 이용한 사용이 가능하다.- AES는 IPSec DES/3DES 기능을 가진 Cisco 라우터 이미지에서 지원된다.



33


암호화 알고리즘의 특징

- 암호 시스템의 안전성과 공격자에 의한 암호문 해독의 난이도는 데이터 암호화에 사용되는 키의 안전도에 있다.

- 암호 시스템에 관계 없이, 키의 길이가 길 수록 암호화 키의 안전도를 한층 향상시킬 수 있다.


암호화 기술3) 비 대칭키 암호화

비 대칭키(공개키) 암호 시스템

- 비 대칭키 암호 시스템에서는 데이터 암호화 및 복호화를 위하여, 동일한 알고리즘을 사용할 수도 있고 다른 (그러나 보충적인) 알고리즘을 사용할 수도 있다.

- 필요한 공개 키와 개인 키는 서로 다르긴 하지만 서로 관련이 있다.- 비대칭 키 암호 시스템을 이용하여 통신할 경우, 통신 쌍은 각자 자신의 공개 키

와 개인 키 쌍이 필요하다.- 공개 키는 공개되어 있으며, 개인 키는 수신자만이 알고 있다.- 대표적인 비대칭 키 암호화로는 RSA가 있다.

RSA

- RSA는 Ron Rivest, Adi Shamir, and Leonard Adleman에 의해 개발된 공개키 암호시스템으로, RSA는 이들 개발자의 머리 글자를 따서 만들어진 이름이다.

- RSA에는 RSA 암호화와 RSA 서명의 두 가지 방법이 있다.- RSA 암호화는 nonce라고 알려진 값을 발생하는데, nonce는 임시 랜덤 스트링으로상대편의 공개 키와 결합된다.

- 이러한 방법은 인증에서 사용되는 공유 키 (shared key) 방법보다 안전하지만, 상당한 프로세서 처리가 필요하고 따라서 성능에 영향을 미친다.

- RSA 서명은 부인방지를 제공한다. 부인방지는 발생된 처리를 증명하는 능력으로 금융거래와 같은 데이터 처리에 중요하다.



34

암호화 기술3) 비 대칭키 암호화

비 대칭키 암호 시스템의 용도

- 비대칭 키 암호화 알고리즘은 시스템 성능 상의 제한 때문에 데이터 기밀성 지원에는 잘 사용되지 않는다.

- 비대칭 키 암호화 알고리즘은 디지털 서명을 이용한 인증 기능을 수행하는 애플리케이션과 키 관리에 주로 사용된다.


암호화 기술4) Diffie-Hellman

Diffie-Hellman

- 안전한 VPN 연결을 만드는 중요한 과정은 키 교환 작업이다.- 아래 그림은 Diffie-Hellman 알고리즘이 공유 비밀 키를 만들어 내는 방법을 보

여준다.- 비밀 키는 양 단의 라우터에서 대칭 키 암호화 알고리즘을 사용하여 데이터를 암

호화하는데 사용된다.



35

암호화 기술4) Diffie-Hellman

Diffie-Hellman 키 교환 상세


암호화 기술5) 데이터 무결성

데이터 무결성의 필요성

해시(Hash) 함수

무결성 확인 방법

- VPN에서 데이터는 공중망을 통해 전송되기 때문에 데이터는 전송 도중 가로 채기나 수정될 수 있다. 따라서 데이터의 무결성 보장은 VPN에서 중요한 기능이다.

- 해시는 데이터의 무결성을 유지하기 위한 방법이다.- 해시 함수는 가변 길이의 입력 값을 받아 고정 길이의 스트링인 해시 값을 생성

한다.

- 송신자가 전송해 준 해시 값과 수신자가 수신한 메시지를 약속된 해시 함수를 통해 해시 값을 생성한다.

- 만약 두 해시 값이 동일하다면 수신된 메시지의 무결성이 인정된다.- 두 해시 값이 다르다면 수신된 메시지는 무결성을 인정할 수 없으며, 전송 도중

수정/변경된 것으로 판단한다.



36

암호화 기술5) 데이터 무결성

가장 일반적인 두 가지 해싱(hashing)알고리즘

- MD (Message Digest)- SHA (Secure Hash Algorithm)


암호화 기술6) HMAC (Hashed Message Authentication Code)

HMAC이란?

- HMAC는 메시지 무결성을 보증한다.- 로컬 라우터에서, 해시 알고리즘은 공유 비밀 키와 메시지를 이용하여 해시 값을

생성하고, 해시 값은 메시지와 함께 원격지 라우터에 전송한다.- 원격지 라우터에서는, 수신한 메시지와 공유 비밀 키 정보를 기초로 해시 알고리

즘을 통해 해시 값을 재계산한 후, 전송되어 온 해시 값과의 일치 여부를 확인한다.



37

암호화 기술6) HMAC (Hashed Message Authentication Code)

대표적인 두 가지 해싱 알고리즘

HMAC-MD5

- 128 비트의 공유 비밀 키를 사용한다.- HMAC-MD5 해시 알고리즘을 이용, 가변 길이의 메시지와 128 비트 길이의 공유 비

밀 키를 결합하여 128 비트의 해시 값을 만들어 낸다.- 128 비트의 해시 값은 원래의 사용자 메시지에 첨부되어 원격지 라우터로 전송된다.

HMAC-SHA-1

- 160 비트의 비밀 키를 사용한다.- HMAC-SHA-1 해시 알고리즘을 이용, 가변 길이의 메시지와 160 비트 길이의 공유

비밀 키를 결합하여 160 비트의 해시 값을 만들어 낸다.- 128 비트의 해시 값은 원래의 사용자 메시지에 첨부되어 원격지 라우터로 전송된다. - HMAC-SHA-1은 HMAC-MD5에 비해 암호학적으로 더 강력한 해싱 알고리즘으로

알려져 있다.


암호화 기술7) 디지털 인증서

디지털 인증서 개요

전자 서명에 포함되는 내용

- 이름, 일련 번호, 회사, 부서 또는 IP 주소와 같은 사용자나 장비를 식별할 수 있는 정보- 해당 개체의 공개 키 사본

CA (Certificate Authority)

- CA는 인증서에 서명을 하는 곳이다.- CA는 수신자가 확실히 신뢰할 수 있는 제 3 의 기관으로서, 사용자의 신원을 확인하고

디지털 인증서를 발급한다.

- 디지털 인증서 (또는 전자 서명)은 전자 문서에 추가된 암호화된 해시 값을 의미하며, 발신자 신원과 더불어 전자 문서 내용 상의 무결성을 확인하기 위해 사용될 수 있다.

- 전자 서명은 공개 키 암호화와 안전한 단 방향 해시 함수 알고리즘의 조합을 기반으로 하고 있다.



38




디지털 인증서 사용 예

대표적인 두 가지 전자 서명 알고리즘

- RSA : 상업적으로 사용되는 가장 일반적인 알고리즘이다.- DSA (Digital Signature Algorithm): 미국 정부 기관에서 주로 사용되는 알고리즘이다.



39

Ø방화벽의 기능 (정보보호 서비스)•방화벽이란:

- 불법 트래픽/ 정당하지 않은 사용자 접근 방지

- 합법 트래픽/ 정당한 사용자 투명한 접근 허용

파이어월(Firewall)-방화벽


1) 파이어월 기능 및 특징

Ø방화벽 기능 (정보보호 서비스)

A. 인증(Authentication) : 메시지 인증, 사용자 인증 기능; [예] One-Time Password

B. 접근제어(Access Control) : 네트워크 자원에 대하여 자격을 검사하여 접근 통제

C. 트래픽 암호(Traffic Enciphering) : 트래픽 데이터에 대한 암호화 기능 (DES, RSA, IDEA 등)

D. 트래픽 로그(Traffic Log) : 네트워크에 접근하는 모든 트래픽에대한 로그 파일 기록

E. 감사 추적 기능(Audit)



1) 파이어월 기능 및 특징


40

2) 파이어월 기술

- 패킷 필터링 : 목적지 주소와 출발지 주소를 기초로 네트워크 내부로 진입하는정보를 제한한다.

- 프록시 서버 : 파이어월 내부의 클라이언트와 인터넷 간의 연결을 요청한다. - 내용 기반 패킷 필터링 : 목적지 주소와 출발지 주소 뿐만 아니라 패킷 데이터의

콘텐츠도 확인하여 네트워크 내부로 진입하는 정보를제한한다.

파이어월의 3가지 주요 기술

- 파이어월은 패킷 필터링 기술을 이용하여 네트워크 내부로 들어오는 정보를 제한하거나 동일한 네트워크의 한 세그먼트에서 다른 세그먼트로 이동하는 정보를제한할 수 있다.

- 패킷 필터링 기술은 ACL (access control list)를 사용한다.- 패킷 필터링 기술은 보호되지 않은 네트워크로부터 보호된 네트워크로 패킷이

전송될 때 효과적으로 적용할 수 있는 기술이다.

패킷 필터링



3) 파이어월 종류

- 서버 기반의 파이어월이라고도 하는 소프트웨어 기반의 파이어월은 UNIX나Windows 서버 플랫폼과 같은 기존의 OS 상에 설치되는 소프트웨어 애플리케이션이다.

- 소프트웨어 기반의 파이어월은 SOHO 모델과 엔터프라이즈 모델에 적용할 수 있다.

- 일부 퍼스널 파이어월은 데스크톱 PC에 적용할 수 있다.- 소프트웨어 기반의 파이어월은 전형적으로 전용의 파이어월이 없는 SOHO 환경

에 사용한다.

소프트웨어 기반의 파이어월

소프트웨어 기반의 파이어월의 장점

- 초기 설치 비용이 저렴하다.- Web이나 FTP 서버와 같은 다른 애플리케이션과 결합하여 사용할 수 있다.




41


소프트웨어 기반의 파이어월

소프트웨어 기반의 파이어월의 예

- Check Point Firewall-1 - Microsoft Internet Security and Acceleration (ISA) Server - Novell BorderManager - Linux ipfwadm




- 하드웨어 기반의 파이어월은 전용 파이어월로서 특별한 하드웨어 플랫폼 상에파이어월 기능을 하는 소프트웨어가 기존에 이미 설치되어 있는 장치를 의미한다.

하드웨어 기반의 파이어월

- 전문/전용 보안 장비- 트래픽 처리 속도- 트래픽 처리 량- 신뢰성 및 안정성 등




42


하드웨어 기반의 파이어월

통합 스위치 파이어월(Integrated Switch Firewall)

시스코 FWSM (Firewall Services Module)은 통합 섀시 기반파이어월 스위치 기능을 제공한다.



Agenda




4.4. 결론결론



43

구분 시도교육청 대학침입차단시스템(Firewall) 100% 94%

침입 탐지/방지 시스템(IDS/IPS) 100% 86.5%

웹 방화벽 100% 77.5%

통합보안관리시스템(ESM) 100% 22.5%22.5%

개인정보차단 필터링 시스템 100% 47%47%

바이러스관리 시스템(VMS) 100% 99%

패치관리시스템(PMS) 100% 85%

스팸 메일 차단 시스템 100% 94.5%

스파이 웨어 차단 시스템 94% 86.5%


네트워크 보안이란

§ 네트워크보안이란?§ 네트워크에 연결된 컴퓨터 시스템의 운영 체제, 서버, 응용

프로그램 등의 취약점을 이용한 침입을 방지

응용시스템 보안

시스템 자원

조직 출입관리

N/W보안

서버보안

OS보안

교육훈련

시스템파손방지

정보보호문서

시스템 운영자

인증시스템Network/System 보안

OS보안

관리적 보안물리적 보안

기술적 보안

인가된 사용자

망관리자비 인가자크래커



44

네트워크 보안기술의 발전 (1세대)§ 네트워크 보안 1세대 (Firewall, IDS)

§ Firewall• 서버와 인터넷 사이에서 트래픽을 필터링하여 로컬 보안 정책 /

목적에 맞는 인증된 트래픽 통과를 허용하는 시스템

• 내 / 외부 서비스를 중계하는 게이트웨이

• 게이트웨이가있는 중간지역(DMZ)

외부네트워크

내부네트워크

필터링 필터링

게이트웨이(Proxy)

De-Military ZoneUnsecured Public Network

Secured Internal Network


네트워크 보안기술의 발전 (1세대)

§ IDS (Intrusion Detection System)• System과 Network에서 자료를 수집해 System의 침입이나 오용(misuse)

사실을 탐지하는 System

• Raw Data Source, Event Detection, Analysis, Response, Data Storage로

구성

• 해킹공격에 대한 사전 침입 탐지 및 대응 기능

• 콘솔화면/ 알람/ 이메일/ 핸드폰 / 세션차단/ 방화벽 연동

IDS

�침입차단정보 전송 (Firewall)

�침입탐지

웜, 트로이목마, 바이러스 등



45


§ 네트워크 보안 1세대의 취약점


네트워크 보안기술의 발전 (2세대)§ 네트워크 보안 2세대 (IPS: Intrusion Prevention System)

1

2



46


§ IPS의 한계

§ 사전 탐지 능력 부재

• 패턴 매칭 방식을 사용함에 따라 새로운 취약점을 이용한 공격

발생시 적절히 대응하지 못하거나, 오탐하는 경우가 많음

• 새로운 공격보다 늦게 시그너쳐가 업데이트되고 있는 실정

§ 프로토콜 유효성·다양한 애플리케이션 지원 부재

§ 트래픽 성능의 한계

• 대량의 트래픽 발생 등의 환경에서 패킷 누수 현상으로 인해 정확히

탐지하지 못하거나 공격을 놓치는 경우가 발생

§ 전사적인 보안 플랫폼 부재



§ 통합적인 보안관리의 필요성



47


EMS : Enterprise Management System

보호구역

라우터로그

방화벽로그

IDS로그

서버 보안로그

WWWDNSMail

바이러스차단

통합보안관제시스템

스케너로그

에이전트보안로그

mail 보안로그

qq 네트워크네트워크 보안보안 33세대세대 ((통합보안관제통합보안관제 ESM)ESM)üü 정보보호를정보보호를 위하여위하여 설치된설치된 침입탐지시스템침입탐지시스템, , 방화벽방화벽, , 백신백신 서버서버 등의등의

정보보호용정보보호용 장비를장비를 단일단일 보안관리시스템으로보안관리시스템으로통합통합

üü 정보보호시스템들을정보보호시스템들을 단일단일 체계로체계로 통합함으로통합함으로 단일단일 보안관리보안관리

체계가체계가 가능함으로가능함으로 통일된통일된 보안보안 정책정책 수립수립 가능가능



qq 네트워크네트워크 보안보안 33세대세대 ((위협관리위협관리 시스템시스템 TMS)TMS)üü 위협정보들을위협정보들을수집수집··분석분석··경보경보··관리하는관리하는정보보호정보보호 통합관리통합관리 시스템시스템

üü 실시간실시간 위협정보들을위협정보들을 수집수집··분석하여분석하여 정보보호관리자에게정보보호관리자에게제공하여제공하여 각종각종

보안위협으로보안위협으로부터부터 사전사전 대응대응 및및 예예··경보경보 체계를체계를 구축구축

취약성 DB글로벌 위협 및취약성 정보

예/경보전송 및대응 시스템

TAS센서

서버 팜TAS 센서

인트라넷

백본망

TAS 매니저(위협분석시스템)유해트래픽 및 이상징후 탐지

사용자

위협관리시스템



48

네트워크 보안기술의 발전 (3세대)§ 네트워크보안 3세대 (통합위협관리UTM)

§ 방화벽ㆍIDSㆍIPSㆍVPN 등과 안티바이러스 및 유해 차단

기능 등이 하나로 결합된 통합위협관리시스템

게이트웨이 관리 시스템

PC 서비스센터

방화벽 IPSVPN

웹 보안 안티스팸안티 바이러스

NAC&IP/MAC관리 P2P 보안메신저 보안

패치 관리 로그 관리정책관리

사용자 관리 정보 제공환경 관리

통합보안관리 제품 요구

시장 및 보안 기술의 변화

통합 관점의 장점

(1) 다기능 (2) 관리용이성 (3) 보다 저렴한 비용



교육부교육부 대응대응 사례사례


49


구분 사업영역 안철수연구소

소프트포럼

어울림정보기술

이글루시큐리티

시큐브시큐아이닷컴

정보보호기술

SGA

PC보안§ Anti-Virus§ 패치관리시스템(PMS)§ 통합 PC보안 관제

서버보안§ Secure-OS§ DB보안§ 세션로깅

네트워크보안

§ 침입방지시스템(IPS)§ 방화벽(Firewall)§ 통합위협관리시스템(TMS)§ 네트워크접근제어시스템(NAC)§ 가상사설망(VPN)

응용보안§ 컨텐츠보안(DRM)§ 전자문서유출방지(DLP)§ 공인인증서 응용(PKI)§ 공인전자문서보관소 응용

보안관제

§ 종합분석시스템(ESA)§ 통합보안관리(ESM)§ 위험관리시스템(RMS)§ 네트워크모니터링시스템(NMS)§ 보안관제서비스

통합보안통합보안(Security Convergence)(Security Convergence)

--[[주주]SGA ]SGA 자료자료--

▶▶ Category of Information Security & Inbound Companies

개인 정보보안

§ 전산 보안 대책

§ 서버 보안

: Secure OS 장치

§ 웹 보안

: Firewall, IDS 장치

§ 개인 Privacy 보안

: 개인정보철저 관리

: 필요시 암호화 저장

§ 개인정보보안

§ 3대 중요 개인 보안

1) 개인 의료 정보

2) 개인 금융 정보

3) 개인 중시 정보

§ 공인인증서 생활화

1) 하드디스크(X)2) USB 플래시(ㅿ)3) 저장토큰(◯)4) 보안토큰(◎)



50

개인 인터넷뱅킹 해킹 방어 대책

§ 공인인증서=전자인감



해킹해킹 ·· 바이러스바이러스 대응방안대응방안해킹해킹 ·· 바이러스바이러스 대응방안대응방안

••정보통신기반보호법정보통신기반보호법

••정보통신망정보통신망이용촉진이용촉진및및정보보호정보보호등에등에관한관한법률법률

정정 부부

법, 제도 제정 및 홍보

일반인일반인

예방예방 및및 대응대응 능력능력 배양배양

예방예방 및 대응대응 기술 지원

대응기관대응기관

••88대대예방예방수칙수칙

••진단진단및및복구복구지침지침

해킹해킹··바이러스바이러스

예방예방 및및 피해피해

최소화최소화


51


해킹해킹 · 바이러스바이러스대응방안대응방안

8대 예방 수칙 [KISA]

§ 한달에 한번 시스템 취약성 점검 하기

§ 한달에 한번 패스워드 변경하기

§ 매일 일정시간에 바이러스 자동검사하기

§ 출처가 분명하지 않은 전자우편 열지 않기

§ 다운로드 받기 전 바이러스 검사하기

§ 정품 소프트웨어 사용하기

§ 최신의 백신 버전으로 업데이트 하기

§ 중요한 데이터 백업을 생활화하기

§ 한달에 한번 시스템 취약성 점검 하기

§ 한달에 한번 패스워드 변경하기

§ 매일 일정시간에 바이러스 자동검사하기

§ 출처가 분명하지 않은 전자우편 열지 않기

§ 다운로드 받기 전 바이러스 검사하기

§ 정품 소프트웨어 사용하기

§ 최신의 백신 버전으로 업데이트 하기

§ 중요한 데이터 백업을 생활화하기


§ 좋지 않은 패스워드

-- 짐작하기짐작하기 쉬운쉬운 패스워드패스워드

Ex:Ex:전화번호전화번호, , 생년월일생년월일, , 차량번호차량번호

-- 숫자로만숫자로만 이루어지거나이루어지거나 짧은짧은

패스워드패스워드

-- 사전에사전에 있는있는 단어의단어의 패스워드패스워드

§ 좋지 않은 패스워드

-- 짐작하기짐작하기 쉬운쉬운 패스워드패스워드

Ex:Ex:전화번호전화번호, , 생년월일생년월일, , 차량번호차량번호

-- 숫자로만숫자로만 이루어지거나이루어지거나 짧은짧은

패스워드패스워드

-- 사전에사전에 있는있는 단어의단어의 패스워드패스워드

� 좋은 패스워드

- 특수문자([, *, #, !, ?등)와

알파벳, 숫자가 조합된 패스워드- 최대길이의 긴 패스워드

- 사전에 없는 단어의 패스워드

� 좋은 패스워드

- 특수문자([, *, #, !, ?등)와

알파벳, 숫자가 조합된 패스워드- 최대길이의 긴 패스워드

- 사전에 없는 단어의 패스워드


예방수칙2-한달에 한번 패스워드 변경하기


52


� WHY?사용자도 모르는 사이에 바이

러스와 같은 많은 악성 프로그

램이 메일로 전달

(ex: Navidard, Sircam, Nimda)

� WHY?사용자도 모르는 사이에 바이

러스와 같은 많은 악성 프로그

램이 메일로 전달

(ex: Navidard, Sircam, Nimda)

� 해결방법용도가분명치않은전자우편

은 함부로열지않는다.

� 해결방법용도가분명치않은전자우편

은 함부로열지않는다.


예방수칙4- 출처가 분명하지 않은 전자우편 열지 않기


§ 예방방법

--디스켓디스켓, CD, CD--ROM ROM 백업백업

§ 예방방법

--디스켓디스켓, CD, CD--ROM ROM 백업백업

� Why?

- 악성프로그램

- 사용자의 실수

- 물리적인 손상

- 기타

� Why?

- 악성프로그램

- 사용자의 실수

- 물리적인 손상

- 기타


예방수칙8- 중요한 데이터 백업을 생활화 하기


53

결론: 개인/기관 웹침해사고 대응

침해사고 유형방지 기술

비고공통사항 개별사항

웹 해킹

운영체제(OS) 및

주요 응용프로그램

패치(수정)

•홈페이지 개발(리뉴얼) 시 지침

(홈페이지 개발 보안 가이드) 준

수

DDoS좀비 PC 활용

데이터 유출

• DDoS 대응 전용시스템 구축

•좀비 PC 탐지·치료 기반 구축

E-mail 해킹

•관리자/사용자의 ID, P/W 관리철

저

→ P/W 생성 원칙 강화

웹 취약점 공격•주기적인 취약점 분석·조치

→ 소스 프로그램 수정 등


채용을 원하지 않는 사람들

- 내용은 모르고 토씨만 고치는 사람- 일은 하지 않으면서 불평만 하는 사람- 밤에만 생기가 도는 사람- 1년 내내 책 한 권 읽지 않는 사람- 늘 회사 욕 하면서 사표 절대로 쓰지 않는 사람- 출근 늦게 하고 꼭 아침 먹으러 가는 사람- 퇴근시간 지나서 자리에 앉아 일 시작하는 사람- 말로 시작해서 말로 끝내는 사람- 인사 할 줄도 모르고 받을 줄도 모르는 사람- 틈만 나면 남 험담하는 사람

- 전화는 받자마자 “여보세요” 하는 사람



54

감사합니다 !

(단국대학교윤내현 교수 외)2011-05-13 107동서대학교 컴퓨터정보공학부


Documents

정보보안및해킹방어기술 - Dongseokowon.dongseo.ac.kr/~hjlee/Invited_lecture/2011-05...8 동서대학교컴퓨터정보공학부 ‘해킹과방어’를학교정규교과로…