접근 제어(1)(Access Control)

2019. 11. 2

1(이 자료는 Mark Stamp의 Information Security의 ppt를 편집 정리하였음)

접근 제어

인증 (Authentication)• 접근이 허용될 지를 결정• 인간과 기계 사이에서의 인증• 기계와 기계 사이에서의 인증

권한 허용(Authorization)• 일단 접근이 허용되었다면 사용자는 무엇을 할 수 있는가?• 허용된 사용자가 할 수 있는 동작을 제한한다.

2

인증 정보

어떻게 인간을 기계에게 인증할 수 있을까?한 인간 만이 갖을 수 있는 고유한 정보

• Something you know: 암호(password)• Something you have: 스마트 폰, 스마트 카드 등• Something you are: 생체 정보

3

암호

4

왜 암호를 선호하는가?왜 “Something you know”를 “something you have”와“something you are”보다 더 선호하는가?

• 비용: 암호는 공짜• 편리성: 시스템 관리자는 어떤 것 보다 암호를 새로 만드는것이 훨씬 쉽다.

5

암호의 안전성

암호 키• 64 bits의 키 경우

• 랜덤하게 키를 선택하면 264가지 키가 가능• 그러면 공격자는 약263 경우의 키를 시도해야 한다.

만약 12개의 문자로 이루어진 암호를 문자당 256개를사용하여 랜덤하게 암호를 만든다면 안전하다.

• 총 암호의 수는 25612=296

6

암호의 문제

하지만, 사용자는 암호를 랜덤하게 선택하지 않는다.• 공격자는 25612 경우의 암호 보다 훨씬 적은 수의 암호를 시도할 수 있다. (dictionary attack)

• 암호의 비랜덤성(unrandomness)이 문제의 근원이다.

7

암호의 선택

암호를 지정하는 것이 때로는 가장 좋은 방법일 수 있다.• 하지만, 사용자가 준수하기를 기대하기는 힘들다.

암호가 지정되지 않는다면, 최상의 권고는• 문장 암호에 기반을 둔 암호를 선택한다.• 테스트 암호 해독 도구를 사용해서 약한 암호인지 시험해 본다.• 주기적으로 암호의 변경이 필요한가?

8

암호 선택(1) 문장 암호(Passphase)

• 외우기 쉽거나 연상하기 쉬운 문장으로 구성된 암호• 컴퓨터는 문장의 의미를 해석하지 않기 때문에 문법이나의미, 표준말 등은 중요하지 않다. 다만, 길이가 길수록해독하기 어렵기 때문에 기억하기 쉬우면서도 길이가 긴문장을 택하는 것이 좋다.

실험: 세 개의 그룹• Group A: 적어도 6개 문자, 1개의 비문자• Group B: 문장 암호에 기반을 둔 암호• Group C: 8개의 랜덤하게 선택된 문자

9

암호 선택(2) 결과

• Group A: 약30%의 암호가 쉽게 해독• Group B: 약 10%가 해독

• 암호는 기억하기 쉽다.• Group C: 약 10%가 해독

• 암호는 기억하기 힘들다.

10

암호의 공격(1)공격자는

• 특정 계정을 목표로 할 수 있다. • 어떤 계정이든지 목표로 할 수 있다.• 어떤 시스템에 있는 어떤 계정이든지 목표가 될 수 있다.• denial of service (DoS) 공격을 목표로 할 수 있다.

공통된 공격 경로• 외부 공격자 → 일반적 사용자 → 관리자• 하나의 약한 암호만 찾을 수 있으면 된다!

11

암호의 공격(2)시스템이연속해서 잘못된 암호가 입력될 경우 얼마나 오랫동안 이것을 허용할 것인가?

• 5 초 – 실수에 의한 피해 가능• 5 분 – DOS 공격 가능• 5회, 10회, …

적정한 시간은?

12

암호의 검증(1)입력된 암호가 타당한지 결정하기 위해서 컴퓨터는 이것을 다른 값과 비교해야 한다.입력된 암호를 검증하기 위해서는 암호를 컴퓨터에 보관해야 한다.어떻게 보관?

• 암호를 파일에 보관하는 것은 잘못된 것이다.• 암호를 해시한 후에 파일에 보관한다.• y = hash(password)을보관• 입력된 암호의 해시값을 검증• 공격자가 암호 파일을 얻는다고 해도 암호를 찾아낼 수 없다.

13

암호의 검증(2)소금값(Salt value)은공격자의일을더욱힘들게한다.암호가 주어지면, 랜덤값 s를선택하고다음과같이해시값을계산한다.

y = hash(pwd, s)그리고 (s,y)을암호파일에보관한다.

• Salt 값은 비밀이 아니다.암호를 검증하는 것은 쉽다.

• 암호 z를 검증하기 위해서, 암호 파일에서 (s,y)를 꺼내온다.• hash(z,s)를 계산하고, 그 값을 y와 비교한다.

공격자는 반드시 각 사용자에 대해서 암호 사전의 해시를 별도로 계산해야 한다.

14

암호의 문제점

기억하기에 너무 많은 암호들• 같은 암호를 또 사용한다.• 그렇다면, 공격자는 암호를 다른 곳에서 찾아낼 수도 있다.• 하나의 암호로 모든 경우에 다 인증하도록 할 수 없을까?

디폴트 암호를 변경하지 않는다.사회 공학적인 문제

• 만약 누가 자신이 시스템 관리자라고 하면서 문제를 해결하기 위해서당신의 암호를 요구한다면 당신은 암호를 알려줄 것인가? - 34%는 알려주고 70%는 조그만 혜택을 받는다면 알려준다.

15

생체인식(Biometrics)

16

Something you are예

• 지문• 자필 서명• 얼굴• 음성• 보행• 눈의 동체• 등등

17

왜 생체인식?생체인식은 암호를 대체할 바람직한 방법으로 보인다.

• 저렴하고 신뢰할 수 있는 생체 인식이 필요• 오늘날 가장 활발한 연구 분야의 하나

최근 생체인식은 보안에서 사용되고 있다.• 지문 인식 마우스(thumbprint mouse)• 안전한 출입을 위한 손바닥 인식• 자동차 문을 열기 위한 지문 인식 등등.

하지만 생체인식은 아직 그렇게 대중적이지 않다.• 아직 기대에 못 미치고 있는가? – 왜?

18

생체인식의 부정적인 측면

사회적인 수용: 개인의 권리에 대한 침해로 인식• 사람들은 ATM의 PIN을 대체하는 방법으로 얼굴 인식 보다는 지문을 더 선호한다.

도난 가능성: • 생체인식 정보는 측정이 된 후에는 훔치는 것이 쉽다.

취소가 불가능하다: • 생체인식 정보가 도둑 맞는다면 어떻게 할 것인가? 이것은 폐기(revoke)될 수없다.

• 일단 당신의 생체인식 정보를 도둑 맞는다면 일생 동안 도둑 맞는 것이다.프라이버시(privacy):

• 생체인식 정보는 개인적인 것이다.

19

이상적인 생체인식

보편성(Universal) (거의) 모든 사람에게 적용되어야 한다.• 현실에서는 모든 사람에게 적용되는 생체인식은 존재하지 않는다.

구별성(Distinguishing) 확실하게 구별할 수 있어야 한다.• 현실에서는 100% 확실한 것은 바랄 수 없다.

영구성(Permanent) 측정이 되는 물리적 특성은 결코 변하지 않아야한다.

• 현실에서는 오랫동안 유효하기를 바랄 뿐이다.

수집성(Collectable) 요구하는 자료의 수집이 용이해야 한다. • 해당 사람들의 협조에 달려 있다.

안전성, 용이성, 등등.

20

식별과 인증

식별(Identification) 누가 거기에 있는가? • 일대 다수(one to many)의 비교• 당신은 현상 수배범 중의 하나인가?• 공항에서 테러용의자 검출• 예: FBI 지문 데이터 베이스

인증(Authentication) 정말 당신인가? • 일대일(one to one) 비교• 예: 지문인식 마우스

식별의 문제가 더 어렵다.• 더 많은 비교에 따른 더 많은 “랜덤” 매치가 발생

우리는 인증에 관심이 있다.21

생체인식 시스템의 두 단계

등록 단계(Enrollment phase)• 사람의 생체인식 정보를 데이터에 보관• 요구되는 정보를 세밀하게 측정하여야 한다.

• 천천히 반복해서 측정할 필요가 있다.• 이 단계는 많은 생체인식 체계에서 취약한 부분이다.

• 좋은 인식을 위해서는 정밀한 측정이 이루어져야 한다.

인식 단계(Recognition phase)• 실제로 생체 인식 정보를 검색• 빠르고 간단해야 한다.• 동시에 상당히 정확해야 한다.

22

사람들의 협조

우리는 사람들이 협조적일 것으로 가정한다.인증에서는, 사람들이 협조적이다.식별에서는, 비협조적인 사람들이 종종 있다.

• 예를 들면, 얼굴 인식에서• 라스베가스 카지노에서 알려진 사기꾼을 식별할 때• 공항에서 테러리스트를 식별할 때 등등.

등록 과정이 이상적으로(ideally) 이루어지지 않을 수 있다.• 사람은 인식 과정에서 혼란이 발행하게 할 수 있다.

23

생체 인식 에러

기만율(Fraud rate) vs. 모욕율(insult rate)• 기만 A를 B로오인(mis-authenticate) 한다.• 모욕 A를 A로 인식하지 못한다.

어떤 방법이건 기만이나 모욕 중 하나를 감소시키면 다른 하나는 증가한다.

• 예• 99% 음성 매치 ⇒ 기만은 감소하나 모욕이 증가• 30% 음성 매치 ⇒ 기만은 증가하나 모욕은 감소

동일한 에러율: 기만율 == 모욕율• 이것은 여러 생체인식 시스템을 비교하는 유용한 측정치이다.

24

생체 인식 예: 지문고대 중국: 서명의 한 방법으로 사용과학적인 형태

• 1798 J.C. Major는 지문은 고유(unique)할 것이라고 주장• 1823 J. E. Purkinje 교수는 9 가지 지문의 유형에 대해 논의• 1856 Sir W. Hershel 은 인도에서 계약에 지문을 사용• 1880 Dr. H. Faulds는 Nature에서 ID로 지문을 사용하는 논문 발표• 1883 M.Twain의 소설 Life on the Mississippi 에서 살인범을 지문으로 밝히는 내용 등장

지문 사용의 확대• 1892 Sir Francis Galton (Darwin의 조카)은 지문 분류 시스템을 개발

• 그의 “지문 특징(minutia)” 시스템은 오늘날도 아직 사용됨• 또한 지문은 변하지 않는다는 것을 증명

25

지문 비교

보기: 순환형(loops), 소용돌이형(whorls), 화살형(arches)이러한 특징으로부터 추출된 지문특징(Minutia)

26

Loop (double) Whorl Arch

지문 인식(1)

27

1. 지문 이미지를 캡쳐2. 이미지를 선명하게 함3. Minutia 식별

지문 인식(2)추출된 minutia는 데이터베이스에 보관된 사용자의 minutia와비교한다.

• 수작업에 의한 분석과 유사하다.

28

Minutia 특징

29

Ridge ending Bifurcation(분기) Short ridge (dot)

생체인식 예: 손바닥생체인식의인기있는방법손의형태를측정한다.

• 손바닥, 손가락의폭• 손가락의길이등. (16)

사람의손은유일하지않다.손의기하학적특성은많은경우에충분한정보를제공인증에적합식별문제에서는유용하지않다.

30

손바닥 인식의 장단점

장점• 신속• 등록에 1분• 인식에 5초• 손은 대칭적 (다른 쪽 손을 뒤집어서 사용)

단점• 너무 어리거나 늙은 사람은 사용할 수 없다.• 비교적 높은 동일 에러율을 갖는다.

31

생체인식 예: 홍체 인식(Iris Scan)홍체의 패턴

• 홍체: 눈의 색깔있는 둥근 부분• 이론적으로, 인증에 가장 적합한 방법• 홍체의 패턴의 발달 형태는 “chaotic”• 그래서 조그만 변화도 큰 차이를 만든다.• 유전적 영향은 거의 없다.• 일란성 쌍둥이 경우 조차도 다르다.• 패턴은 일생 동안 바뀌지 않는다.

32

홍체 인식의 역사

식별에 인간의 홍체를 사용하는 아이디어는 1936년에 최초로 제안

• Frank Burch 1980대에 재등장

• James Bond 영화첫번째 특허로 등록 - 1986 최근에 가장 좋은 홍체 스캐닝 방식 제시 – 1994

• John Daugman이 특허• Iridian Technologies에서 특허 소유

33

자동화된 홍체 스캔

34

1. 스캐너를 홍체에 위치시킴2. 흑백 사진을 찍음

• 극좌표를 사용…3. 이미지는 2-D wavelet

transform을 사용하여 처리4. 256(2048bits) byte의 홍체

코드를 얻음

홍체 유사성 측정

Hamming distance에 기반정의: d(x,y)

• (# of non match bits) / (# of bits compared)• 예:

d(0010,0101) = 3/4, d(101111,101001) = 1/3 2048-bit iris code에 대해서 d(x,y) 계산

• 완전한 매치는 d(x,y) = 0• 동일한 홍체의 경우, 기대값은 0.08• 랜덤인 경우, 기대값은 0.50• 0.32 이하인 경우 매치된 것으로 인정

35

홍체 인식의 에러율

36

distance

0.29 1 in 1.3∗1010

0.30 1 in 1.5∗109

0.31 1 in 1.8∗108

0.32 1 in 2.6∗107

0.33 1 in 4.0∗106

0.34 1 in 6.9∗105

0.35 1 in 1.3∗105

distance Fraud rate

: equal error rate

홍체 인식에 대한 공격

높은 해상도의 눈을 스캔공격자는 눈의 사진을 사용한다.

• National Geography에나온아프간여자의 20년전의사진을사용한결과인증이되었다.

• 사진공격을막기위해서스캐너는빛을이용하여생명체의홍체인지를확인한다.

37

생체인식 에러율

Equal error rate (EER): • fraud rate == insult rate

지문의 EER은 약 5%손 인식의 EER은 약 10-3

홍체 스캔의 EER은 약 10-6

• 하지만 실제로 이러한 에러율을 얻기는 힘들다.• 등록 과정이 극도로 정밀해야 한다.• 지문의 EER이 높은 것은 상대적으로 값 싼 기기를 사용하기때문(?)

38

동일 에러율 비교

실제로 대부분의 생체인식은 지문보다 훨씬 나쁘다!생체인식은 인증에 유용하다…하지만 식별을 위한 생체인식은 좋은 결과를 제공해 주지 못한다.

39

생체 인식 결론

생체인식 정보 자체는 위조하기 어렵다.하지만 공격자는

• Alice의 엄지 손가락을 훔칠 수 있다.• Bob의 지문, 눈 등을 포토 복사할 수 있다.• 생체인식에 대한 소프트웨어 공격 가능

• 생체 정보 데이터베이스, 생체 인식 소프트웨어 공격,…

손상된(broken) 생체정보를 어떻게 복구할 것인가?생체정보는 완전히 믿을 수 있는 것은 아니다!오늘날 생체정보의 사용은 제한적이다.

40

Something you have

41

Something you have사람이 소유하고 있는 것

• 열쇠• 노트북 컴퓨터

• MAC 주소• 암호 발생기(OTP)• 신용 카드• 스마트카드

최근에는 스마트 폰을 모든 사람이 갖고 있다는 가정하에 스마트 폰을 이용한 인증을 많이 하고 있다.

• 예: 스마트 폰으로 인증 코드를 받아서 인증

42

인증의 추세(1)다중 인증

• 3개 중 2개를 요구• Something you know• Something you have• Something you are

• 예• ATM: 신용카드와 PIN• 신용 카드: 카드와 서명• 암호 발생기: 기계와 PIN• 암호/PIN을 갖는 스마트 카드

43

인증의 추세(2)통합 인증(Sign-on)

• 반복해서 암호를 입력해야 하는 번거로움• 사용자는 인증을 한번만 하기를 원한다.• “인증서”는 사용자가 있는 곳에 있다. • 이후의 인증은 사용자가 모르는 가운데 진행

44