Embed Size (px)
Citation preview
정보보호 97-4
알기 쉬운 정보보호 이해
1997. 12.
한국정보보호센터
KOREA INFORMATION SECURITY AGENCY
본 책자는 년 발간한 정보보호총서를 개정 편집한 것입니다1996 .
년 월1997 12
목차별 저자 명단
장 제 목 저자
1 정보보호 서론 김홍근
2 정보시스템 오남용 및 정보보호 법률 강동경
3 정보보호 방침 김홍근
4 위험분석 및 관리 오경희
5 정보시스템 비상계획 이재일
6 물리적 보안 김기현
7 인적 보안 이완석
8 정보시스템 보안감사 오경희
9 데이터베이스 보안 김학범
10 컴퓨터 바이러스 이 철
11 인터넷보안과 정보시스템 해킹방지 신훈
12 침입차단시스템 정윤종
13 웹 보안 이완석
14 통신 및 네트워크 보안 박정호
15 암호 성맹희
16 전자상거래 보안 이경구
17 정보전 이재우
사업책임자 정책기술지원부 부장 임 차식:
참여연구원 기 술 분 석 팀 팀장 김 홍근:
기 술 분 석 팀 선임연구원 이 재일
기 술 분 석 팀 주임연구원 이 완석
기 술 분 석 팀 연 구 원 신 규
기 술 분 석 팀 위촉연구원 채 혜원
서 언
정보통신 시스템의 발전과 함께 정보화 사회가 고도화됨에 따라 정보보호의 중요성은 날로
증 되고 있습니다 특히 전산망 해킹이나 컴퓨터 바이러스 등 여러 가지 기법들이 사이버.
테러의 수단으로 악용되는 등 정보보호의 환경은 날로 어려워지고 있습니다 이제는 정보보.
호야 말로 개인이나 기업만이 아닌 국가의 중요한 문제로 두되고 있는 실정입니다 그러.
나 현실적으로 정보보호에 한 지식을 습득하고 기술적인 책을 수립하는데 필요한 이렇
다 할 참고서적이 없는 것도 사실입니다 선진국에서는 이미 오래 전부터 정보보호에 한.
전문가들의 노력으로 다양한 이론서나 기술서 등을 출간하여 실무자들에게 많은 도움을 주
고 있습니다 따라서 한국정보보호센터에서는 그동안 정부 공공기관의 시스템 관리자를. ・상으로 정보보호 교육을 시행함과 동시에 모든 정보보호 담당자에게 도움이 될 정보보호 입
문서 발간을 추진하여 왔습니다.
본 책자는 정보보호에 한 전반적인 설명을 통하여 하드웨어 소프트웨어 정보 등과 같은, ,
정보통신 시스템 자원을 안전하게 보호하고 관리해야 할 책임이 있는 정보보호 관리자나 담
당자에게 정보보호의 주요 이슈를 이해할 수 있도록 하는데 그 목적을 두고 있습니다 따라.
서 내용 편집에 있어서 정보보호의 주요 개념 관리적 기술적 책 등을 포함하여 각자의, ,
시스템에 적합한 정보보호 책을 수립하는데 반드시 인지하여야 할 사항을 담도록 노력했
습니다.
아무쪼록 본 책자가 정보보호 담당자들이 정보보호 책을 구축하는데 적절한 이론서로서
큰 도움이 되기를 바라며 본 책자 발간을 위해 수고한 한국정보보호센터 직원 여러분의 노,
고를 치하합니다 앞으로 더 알찬 내용으로 보완할 수 있도록 전문가 여러분의 조언과 지도.
편달 있으시기를 바랍니다.
년 월1997 12
한국정보보호센터
원장 이 재우
목차
제 장 정보보호 서론1
제 절 개요1
제 절 정보보호의 기본 개념2
제 절 정보보호 역3
제 절 요약4
참고 문헌
제 장 정보시스템 오남용 및 정보보호 법률2
제 절 개요1
제 절 정보시스템 오남용 현황2
제 절 정보시스템 보안 현황3
제 절 정보시스템 안전보안을 위한 법적 책4
제 절 요약5
참고 문헌
제 장 정보보호 방침3
제 절 개요1
제 절 분류 방침2 NIST
제 절 방침 수립3
제 절 요약4
참고 문헌
제 장 위험분석 및 관리4
제 절 개요1
제 절 위험관리와 위험분석2
제 절 위험분석 방법론3
제 절 위험분석 도구4
제 절 요약5
참고문헌
제 장 정보시스템 비상계획5
제 절 개요1
제 절 비상계획 수립2
제 절 백업 절차 및 장치3
제 절 국내외 재해복구 성공 실패 사례4 /
제 절 요약5
참고 문헌
제 장 물리적 보안6
제 절 개요1
제 절 재해 책2
제 절 건물 및 시설의 안전성3
제 절 출입 및 접근통제4
제 절 전산실 보안관리5
제 절 바이오메트릭6
제 절 스마트 카드7
제 절 요약8
참고 문헌
제 장 인적 보안7
제 절 개요1
제 절 인적 보안의 중요성2
제 절 인적 관리3
제 절 보안 관리4
제 절 보안 담당요원5
제 절 요약6
참고문헌
제 장 정보시스템 보안감사8
제 절 개요1
제 절 정보시스템 보안감사의 기본 개념2
제 절 정보시스템 보안감사의 절차3
제 절 정보시스템 보안감사 활동4
제 절 정보시스템 감사기법5
제 절 감사보고서6
제 절 요약7
참고 문헌
제 장 데이터베이스 보안9
제 절 개요1
제 절 데이터베이스 개념2
제 절 데이터베이스 보안의 문제점3
제 절 안전한 데이터베이스 관리 시스템의 설계4
제 절 요약5
참고 문헌
제 장 컴퓨터 바이러스10
제 절 개요1
제 절 백신 프로그램2
제 절 요약3
참고 문헌
제 장 인터넷보안과 정보시스템 해킹방지11
제 절 정보시스템 해킹과 응1
제 절 인터넷 정보보호 모델2
제 절 침해사고시 응방안3
제 절 요약4
참고 문헌
제 장 침입차단시스템12
제 절 개요1
제 절 특성2
제 절 구성 요소3
제 절 구성 형태4
제 절 침입차단시스템 구축시 고려사항5
제 절 요약6
참고 문헌
제 장 웹 보안13
제 절 개요1
제 절 브라우저 호스트 서버 보안2 ・ ・제 절 및 자바 보안3 CGI
제 절 웹 보안관련 기술4
제 절 요약5
참고 문헌
제 장 통신 및 네트워크 보안14
제 절 개요1
제 절 컴퓨터 네트워크 보안의 분야 및 목표2
제 절 컴퓨터 네트워크 보안 모델3
제 절 보완4 LAN
제 절 요약5
참고 문헌
제 장 암호15
제 절 개요1
제 절 칭키 암호 시스템2
제 절 비 칭키 암호 시스템3
제 절 해쉬 함수4
제 절 암호 프로토콜5
제 절 키관리 및 인증6
제 절 암호 시스템 응용 분야7
제 절 요약8
참고 문헌
제 장 전자상거래 보안16
제 절 개요1
제 절 전자상거래의 발전 모델 및 운 환경2
제 절 보안 서비스3 SET
제 절 전자화폐를 이용한 전자상거래 보안서비스 절차4
제 절 전자화폐5
제 절 요약6
참고 문헌
제 장 정보전 사이버 테러리즘17 ( )
제 절 개요1
제 절 정보전의 정의2
제 절 사이버 위협의 증가3
제 절 정보전의 특성별 구분4
제 절 정보전의 수단과 행위자5
제 절 정보전의 응6
제 절 결언7
참고 문헌
표차례
표 정보보호 분야의 발전[ 1-1]
표 컴퓨터범죄 사례별 발생건수[ 2-1]
표 자료유출 사례별 발생건수[ 2-2]
표 정보기기 관련 범죄 발생 건수[ 2-3]
표 내부자료 변조 및 파괴 발생건수[ 2-4]
표 부정 정보처리 발생기관별 발생건수[ 2-5]
표 해킹에 한 사례별 발생건수[ 2-6]
표 금융범죄 사례별 발생건수[ 2-7]
표 비윤리적 행위 사례별 발생건수[ 2-8]
표 컴퓨터바이러스 사례별 발생건수[ 2-9]
표 연령별 발생건수[ 2-10]
표 기관별 발생건수[ 2-11]
표 결과의 성격에 따른 분류[ 4-1]
표 요구사항에 따른 위험분석 방법론의 분류[ 4-2]
표 의 타당성 평가기준[ 4-3] CERTs
표 년 사고일지[ 5-1] ‘96
표 바이오메트릭 연구분야 및 개발 시스템[ 6-1]
표 카드 비교[ 6-2]
표 운 체제와 데이터베이스 관리 시스템의 보안관점 차이[ 9-1]
표 데이터베이스 관리 시스템 프로토타입과 상용제품의 구조[ 9-2]
표 국내 바이러스 백신 종류[ 10-1]
표 국외 바이러스 백신 종류[ 10-2]
표 불법침입자의 동기에 의한 분류[ 11-1]
표 공격의 상에 따른 공격 결과[ 11-2]
표 해커의 공격방법 및 책[ 11-3]
표 악성 애플릿[ 13-1]
표 참조 모델에서의 보안 서비스[ 14-1] OSI
표 보안서비스와 메커니즘간의 관계[ 14-2]
표 의 특성[ 15-1] Triple-DES
표 칭키 암호 시스템과 공개키 암호 시스템의 비교[ 15-2]
표 해쉬 함수의 특성[ 15-3]
표 키관리 서비스[ 15-4]
표 인증서 형식[ 15-5] X.509v3
표 칭키 암호 시스템과 공개키 암호 시스템의 비교[ 15-5]
표 칭키 암호 시스템과 공개키 암호 시스템의 비교[ 15-2]
표 전자상거래의 단계 발전 형태[ 16-1] 3
표 외국의 전자화폐 개발 현황[ 16-2]
표 국내 전자화폐 개발 현황[ 16-3]
표 전자화폐의 유형별 분류[ 16-4]
표 결재방식에 의한 분류[ 16-5]
그림차례
그림 지역별 보안정책을 갖는 응답자 비율( 2-1)
그림 가장 많이 사용되는 네트워크 보안 책( 2-2)
그림 마이크로 컴퓨터 보안 책( 2-3)
그림 중 형 시스템 보안 책( 2-4)
그림 위험관리의 핵심 개념들( 4-1)
그림 의도적인 노출 위험의 분석을 위한 고려 요소들 간의 관계 모델링( 4-2)
그림 의 위험분석 모델( 4-3) NIST
그림 지문의 특징점 추출( 6-1)
그림 지문 인식 시스템의 처리과정( 6-2)
그림 얼굴 인식( 6-3)
그림 손 인식( 6-4)
그림 스마트 카드 발달 과정( 6-5)
그림 광메모리 카드의 구조( 6-6)
그림 스마트 카드( 6-7)
그림 정보시스템 감사의 발전( 8-1)
그림 여러 감사유형들 간의 관계( 8-2)
그림 의 프레임워크( 8-3) COBIT
그림 데이터베이스 관리 시스템 구조( 9-1)
그림 보안 특성을 갖는 데이터베이스 관리 시스템 구조( 9-2)
그림 안전한 주체 구조( 9-3)
그림 구조( 9-4) Integrity Lock
그림 구조( 9-5) Kernelized
그림 구조( 9-6) Replicated
그림 기생형 바이러스( 10-1)
그림 겹쳐쓰기형 바이러스( 10-2)
그림 인터넷 연결 개념( 11-1)
그림 개별 시스템 정보보호 모델( 11-2)
그림 전산망 경계 보호 모델( 11-3)
그림 인터넷 정보보호 권고 모델( 11-4) -
그림 두 개의 네트워크 세크먼트 사이의 패킷 필터( 12-1)
그림 프락시를 통한 접속 방식( 12-2)
그림 를 이용한 프락시 서비스( 12-3) SOCKS
그림 이중 네트워크 침입차단시스템 호스트( 12-4)
그림 스크린 라우터를 갖춘 배스쳔 호스트( 12-5)
그림 두 개의 네트워크 인터페이스를 가진 배스쳔 호스트( 12-6)
그림 스크넷 서브넷( 12-7)
그림 프로토콜( 13-1) Handshake
그림 통신 시스템 모델( 14-1)
그림 일반적인 암복호화 과정( 14-2)
그림 계층에서의 보안 프로토콜 구조( 14-3) OSI 7
그림 구조와 참조모델 간의 계층 비교( 14-4) IEEE 802 OSI
그림 완전한 모델( 14-5) SILS
그림 암호 기술 분류( 15-1)
그림 비 키 암호 시스템( 15-2)
그림 의 기본 구조( 15-3) DES-EDE3
그림 공개키 암호 시스템의 구조( 15-4)
그림 업무의 전자화( 15-5)
그림 전자계약에서의 안전성 문제( 15-6)
그림 계층적 구성( 15-7)
그림 전자서명의 구조( 15-8)
그림 공개키 암호 알고리즘을 이용한 일회용 패스워드 시스템( 15-9)
그림 방식( 15-10) S/KEY
그림 오늘날의 신용카드 결재 방법( 16-1)
그림 프로토콜상에서 신용 결재 방법( 16-2) SET
그림 전자상거래 절차( 16-3)
그림 화폐기능의 변화( 16-4)
그림 전자화폐( 16-5)
그림 전자화폐( 16-6) First Virtual
그림 전자화폐( 16-7) Cyber Cash
그림 전자화폐( 16-8) e-Cash
제 장 정보보호 서론1
제 절 정보보호의 의미1
오늘날 우리는 급속도로 발전하는 정보사회 에 살고 있다 정보사회는(Information Society) .
정보의 생성 저장 처리 가공 운반 검색이 상호 연결된 다양한 통신망 환경에서 다양한, , , , ,
형태의 정보 서비스에 의해 이루어지는 사회이다 정보통신 기술의 급속한 발전과 세계 구.
석구석을 거미줄처럼 이어주는 인터넷 망은 이러한 정보 및 정보 서비스를 산업계 전반에
걸쳐 다양한 형태로 제공하여 주고 있다 원하는 정보를 언제라도 손쉽게 얻을 수 있도록.
해주는 것이 바로 정보사회이다 유닉스로 변되어지는 클라이언트 서버 환경은 점차 정. ・보 시 의 주역으로 자리잡고 있으며 초고속 정보통신망의 구축은 인터넷 상의 서버들을,
더욱 더 빠르게 엮어주고 있다 정보사회에서 정보의 수집 분석 및 활용 능력은 한 나라의. ,
국익이나 경쟁력을 좌우하는 중요한 자산이 되고 있다.
새로운 문명의 탄생 및 발전은 인류에게 그 편리함과 유익성이라는 혜택을 제공하기도 하지
만 한편 자연적으로 파생되는 역기능으로 인한 폐해를 가져다 주기도 한다 정보통신이라는, .
문명의 이기에 해서도 유사한 문제가 점차 두되고 있다 그 편리함과 유익성에 비례하.
여 위험하고 파괴적인 역기능이 뒤따르고 있는 것이다 정보 사회에서는 모든 산업활동과.
사람들의 생활에서 정보 그 자체가 주요한 원천이 된다 그러나 정보를 취급하는데서 오는.
취약성으로 인해 정보에 한 무단 유출 파괴 및 변조와 같은 정보침해사고가 자주 발생하,
고 있다 불행히도 우리는 인가받지 않은 불법 사용자로 인한 정보 시스템의 파괴 개인 프. ,
라이버시 정보의 노출 불건전 정보의 유통 등과 같은 정보화의 오남용으로 인해 고통받고,
있는 것이다.
자신이 원하는 정보를 언제 어디서든지 손쉽게 얻을 수 있게 되었지만 정보화의 오남용으,
로 인해 생기는 피해 또한 감수해야만 한다 지금 이 순간에도 허가받지 않은 방법으로 중. ,
요 정보 또는 개인 프라이버시 자료가 전 세계 네트워크를 통해 유출되고 있을지도 모르는
일이다 이와 같이 갈수록 첨예해지는 국가간의 경쟁 기업간의 경쟁에서 정보 자산의 보호. ,
는 매우 중요한 현안으로 떠오르고 있다.
정보란 컴퓨터에 존재하는 데이터 뿐만 아니라 이 데이터로부터 유추해 낸 자료를 포함하는
것으로 정의할 수 있다 정보보호는 이러한 유형 무형의 정보들을 내부 또는 외부의 위협으. ,
로부터 보호하고자 하는 것이다 우리나라도 크고 작은 유형의 정보 범죄가 매년 급속한 추.
세로 증가하고 있는 실정이다 한국정보보호센터에서 발간된 정보화 역기능 향분석 보고. ' '
서에 의하면 년 월부터 월까지 집계된 국내 정보화 역기능 사례는 총 건으로서96 1 11 118 '95
년의 건에 비해 큰 폭의 증가를 보이고 있다 그러나 많은 보안 침해 사고가 보고되지100 .
않고 그냥 지나가거나 피해 입은 사실 자체를 모르고 있다는 점을 고려한다면 실제 피해 사
례는 훨씬 더 많고 광범위할 것으로 보인다 정보통신 시스템과 네트워크가 더 개방되고 용. ,
량과 성능 그리고 연결성이 강화될수록 그 취약성도 비례하여 증 될 것이다 각종 전산 침, .
해 사고를 방지하기 위해서는 외부 침입에 비한 효율적인 정보보호 시스템을 개발해야 함
은 물론이지만 그보다는 정보보호에 한 정책 수립과 정보보호 마인드가 우선해야 할 것,
이다 정보보호가 제 로 이루어지지 않을 경우 국가 및 개인이 입게 될 손해도 심각하겠지.
만 국가 또는 기업간의 치열한 정보 사회 경쟁에서도 뒤처지게 된다는 것을 명심해야 한다.
한편 정보통신 환경에 한 정치 경제 사회 문화 등의 의존도 심화됨에 따라 정보보호의・ ・ ・역할 및 수요가 강조될 것으로 예상된다 표 은 정보보호 분야의 발전을 연 별로 구. [ 1-1]
분한 것이다.
표 정보보호 분야의 발전[ 1-1]
제 절 정보보호의 기본 개념2
정보보호에 한 정의는 우연히 혹은 의도적으로 허가받지 않은 정보의 누출 전송 수정, , ,
파괴 등으로부터의 보호하는 것 으로 우리나라 정보화축진기본법 제 조 용어 정의에는[9] 2
정보의 수집 가공 저장 검색 송신 수신 중에 정보의 훼손 변조 유출 등을 방지하기“ ・ ・ ・ ・ ・ ・ ・위한 관리적 기술적 수단을 강구하는 것 으로 되어있다” .・
정보보호의 기본 목표1.
정보보호에 한 요구는 처리되어질 정보의 속성에 따라서 다양할 수 있지만 비 성,
무결성 가용성 의 가지로 별된다 이는 정보보(Confidentiality), (Integrity), (Availability) 3 [5].
호의 속성일 뿐만 아니라 정보보호의 목표이기도 하다 정보보호라는 것 자체가 내부 또는.
외부의 침입자에 의해 저질러지는 각종 정보의 훼손 변조 및 유출 등과 같은 정보 범죄로,
부터 중요 정보를 보호함으로써 정보의 비 성 무결성 가용성을 유지할 수 있기 때문이・ ・다.
가 비 성.
비 성이란 정보는 인가된 자에 의해서만 접근이 가능해야 한다는 원칙이다 즉 정보는 소, . ,
유자의 인가를 받은 사람만이 알아야 하며 인가되지 않은 사람에 의한 정보의 공개는 절
로 방지되어야 함을 뜻한다 비 성이 유지되어야 하는 것에는 그 특성에 따라 핵무기나 방.
어전략과 같은 국가 안보 자료 정부기관의 행정 자료 고객 기록 또는 연구 결과와 같은 기, ,
업 자료 신용도나 병력과 같은 개인 신상에 관한 자료 등이 있다 비 자료의 경우 그 비, .
성이 노출되지 않도록 반드시 인가된 자에 의해서만 접근이 가능하도록 보장하기 위한 정보
보호 메카니즘으로 접근 통제 와 암호화가 있다(Access Control) [4].
접근 통제 메카니즘은 여러 계층에서 구현될 수 있는데 시스템이 설치되어 있는 건물이나
사무실에 자물쇠를 설치하여 정당한 열쇠를 가진 자만이 시스템에 접근할 수 있도록 하는
물리적 수준에서의 접근 통제 시스템에 일단 인가된 방식으로 로그인한 상태에서도 자신에,
게 허가되지 않은 파일이나 장치에 접근하지 못하도록 통제하는 운 체제 수준에서의 접근
통제 네트워크를 통하여 원격 접속할 때 외부 네트워크에서 내부 네트워크로 인가된 접근,
만을 허용하는 네트워크 수준에서의 접근 통제 등이 있다 접근 통제에 실패해도 자료가 암.
호화 되어 있으면 침입자가 이해할 수 없으므로 비 성은 유지될 수 있다 일부 선진국의.
경우 이미 실용가능한 자료 암호화 알고리즘이 표준으로 개발되어 널리 사용되고 있다.
나 무결성.
무결성이란 정보는 정해진 절차에 의해 그리고 주어진 권한에 의해서만 변경될 수 있다는,
것을 의미한다 정보는 항상 일정하게 유지되어야 하며 단지 인가받은 방법에 의해서만 변. ,
경될 수 있다 무결성에 한 정책에는 정보 변경에 한 통제뿐 아니라 오류나 태만으로부.
터의 예방도 포함하고 있어야 한다 즉 정보는 우발적이건 고의적이건 간에 허가없이 변경.
되어서는 안됨을 의미한다 무결성 제어는 내부 혹은 외부로부터의 침입자를 막아 내고 필. ,
요한 업무의 성질에 따라 내부 사용자의 권리를 제함함으로써 부주의하거나 또는 의도적인
위함으로부터 시스템 정보 을 보호하기 위한 정보보호 책이다 무결성 제어를 위한 정보9 ) .
보호 메커니즘을 위해 해쉬 함수나 메시지 인증코드 등을 사용될 수 있고 이미 변경되었거,
나 변경 위험이 있을 때는 이를 탐지해 복구할 수 있는 메카니즘도 필요하다 접근 통제 메.
카니즘도 궁극적으로는 허가받지 않은 접근을 차단함으로써 무결성 훼손을 방지하는데 사용
될 수 있다.
다 가용성.
가용성은 정보 시스템이 적절한 방법으로 작동되어야 하며 정당한 방법으로 권한이 주어진,
사용자에게 정보 서비스가 거부되어서는 안된다는 것이다 다양한 응용 프로그램에 해 적.
당한 반응시간이 결정되어 있어야만 한다 비행기 통제나 병원의 응급 시스템과 같이 생명.
이 관계된 상황에서는 적시에 주어지는 자원의 가용성은 무엇보다도 중요한 요소이다 소유.
정보를 적시에 적절하게 사용할 수 없다면 그 정보는 이미 소유의 의미를 잃게 되거나 정보
자체의 가치를 상실하기 때문이다 가용성을 확보하기 위한 통제 수단으로는 자료의 백업. ,
중복성 유지 물리적 위협 요소로부터의 보호 등이 있다 그러나 이같은 통제 수단의 적용은, .
시스템 외적인 것이 부분이기 때문에 정보보호 관련 시스템의 아키텍쳐 설계시 제외되기
도 한다 그러나 소프트웨어와 하드웨어가 보다 다양한 성능과 기능을 제공함에 따라 이들.
의 복잡도 또한 높아지고 이에 따른 보안 결함이 발생할 가능성도 높아져 시스템의 가용성,
에 많은 우려를 낳고 있다.
정보 시스템 취약성 및 위협 요소2.
정보 보호 활동은 정보 시스템이 갖고 있는 취약성을 찾아내고 시스템을 위협으로부터 보,
호하기 위해 비용 효과적인 책을 세우는 것이다 이는 마치 의사가 환자의 질병 상태를.
정확히 진단한 다음 적절한 처방을 내리는 것과 마찬가지로 비용 효과적이고 실용적인 보,
안 책을 강구하기 위해서는 무엇보다도 정보 시스템의 본래의 보안 취약성과 이를 공격하
여 보안 문제를 일으키는 위협에 한 정확한 진단이 필수적이다.
가 보안 취약성.
모든 정보 시스템은 공격에 취약하며 완벽히 안전한 시스템이란 존재하지 않는다 정보보호.
책이란 시스템이 공격으로 인해 피래흘 입을 가능성을 줄여 주거나 침입자로 하여금 시,
스템을 침입하기 위해 많은 시간과 자원을 투자 하도록 한다 현존하는 정보 시스템이 갖는.
취약성을 분류하면 다음과 같다.
물리적 취약성 침입자는 전산 센터와 같이 정보 시스템이 설치되어 있는 빌딩이나 워:○
크스테이션과 같은 서버나 가 설치되어 있는 사무실에 침입할 수 있다 일단 침입에 성PC .
공하면 시스템 파괴 부품 탈취 시스템 로그인 등 모든 수단의 약탈을 행할 수 있다, , .
자연적 취약성 정보 시스템은 불 홍수 지진 번개 등의 자연 재해에 매우 취약하다: , , , .○
환경적 취약성 정보 시스템은 먼지 습도 온도 등의 주변 환경에 취약함을 보인다: , , .○
하드웨어 취약성 어떠한 종류의 하드웨어 실패나 오동작이 전체 컴퓨터 시스템의 보안:○
에 손상을 입힐 수 있다.
소프트웨어 취약성 시스템을 실패나 오동작으로 몰고 갈 수 있는 어떤 종류의 소프트:○
웨어 실패도 시스템을 취약하게 만들 수 있거나 또는 시스템을 불안정하게 만들 수 있다.
매체 취약성 디스크 테입 출력물 등을 훔쳐 가거나 손상을 입힐 수 있다: , , .○
방출파 취약성 모든 전기 장치는 전자기파를 방출한다 도청자는 컴퓨터 시스템이나: . ,○
네트워크 또는 휴 폰으로부터 발생하는 신호를 가로챌 수 있다.
통신 취약성 컴퓨터가 네트워크나 모뎀에 연결된 경우 인가받지 않은 사람으로부터의: ,○
침입 위험성이 증가된다.
인적 취약성 컴퓨터 시스템을 사용하거나 관리하는 직원은 가장 큰 취약성을 보인다: .○
관리자가 적절히 교육을 받지 않았거나 나쁜 유혹에 빠질 경우 컴퓨터 사용자나 운 자 기,
타 직원들이 비 번호를 누설하거나 문을 열어 두거나 하는 등의 사례를 볼 수 있다.
나 보안 위협.
정보 시스템의 취약성을 공격하여 시스템에 보안 사고를 일으키는 위협은 자연에 의한 위협
과 인간에 의한 위협으로 나누어 지고 인간에 의한 위협은 다시 비의도적인 위협과 의도적,
인 위협으로 나누어진다.
자연으로부터의 위협 불 홍수 지진 전력 차단 등이 이러한 위협의 표적인 것으로: , , ,○
이로부터 발생하는 재난을 항상 예방할 수는 없지만 화재 경보기 온도계 무정전시스템, ,
등을 성치하여 피해를 최소화할 수 있다(UPS) .
비의도적 위협 정보 시스템에 보안 사고를 일으키는 가장 큰 위협으로 인간의 실수와:○
태만이 주 원인이다 패스워드의 공유 자료에 한 백업의 부재 등이 표적인 부주의와 태. ,
만으로 간주되며 이러한 위협은 신문에 기사거리로 크게 다루어지지는 않지만 실제로 정보,
보호 문제를 일으키는 가장 중요한 요인이다.
의도적 위협 이는 기사거리가 되는 흥미로운 위협이며 시중에 판매되는 정보보호 제품: ,○
이 주력해야 할 부분이다 의도적 위협은 바이러스 제작자 해커 사이버 테러리스트 등으로. , ,
부터 발생한다 다음은 표적인 위협 사례 들이다. .
도청 유무선 전송로 또는 정보통신 기기를 통하여 송 수신되는 통신 내용을 가로채어- : ・정보를 불법으로 획득하는 행위를 말하며 정보가 유출될 경우 부정 사용 등 사고를 유발한,
다.
신분 위장에 의한 불법 접근 정당한 사용자처럼 신분을 위장 정보 시스템에 침투하여- : ,
인가받지 않은 정보에 접근하는 행위를 말하며 비인가자가 정보를 불법 획득사용 또는,
위 변조하거나 허위정보 전송 사고를 유발한다.・
정당하게 처리된 정보에 한 부인 정당하게 메시지를 송 수신한 후 고의로 그 사실- : ・또는 내용을 부인하는 행위를 말하며 전자상거래 등 정보통신 서비스의 활성화를 저해하는,
요인이 된다.
악의적인 시스템 장애 유발 불필요한 정보를 고의로 특정 정보 시스템에 송신하는 등- :
시스템의 정상적인 작동을 방해하는 행위를 말하며 정보통신 시스템의 장애를 일으켜서 정,
당한 사용을 저해한다.
정보보호 책3.
과거에는 일부 국한된 전문가와 전문 분야에 정보 시스템을 사용하 기 때문에 정보보호는
비 을 유지하는데 그 중점을 두어왔다 즉 비 정보나 자료를 적의 수중에 들어가지 않도. ,
록 하는 것이 주요 목표 다 그러나 오늘날에는 모든 책상에 컴퓨터가 설치되고 네트워크.
에 연결되어 있어 과거의 방식으로는 정보를 보호할 수 없다 따라서 정보보호에 한 접근, .
방식도 폐쇄된 개념에서 개방 개념으로 바뀌어 가고 있다 오늘날의 정보 시스템 사용자들.
이 전산망 자원의 순기능을 더욱 효율적으로 사용하기 위해서는 비 성과 무결성을 보장하
면서 가용성을 최 화 할 수 있는 보안통제 책이 개발되어 구축되어야 한다.
미래의 정보 기술은 인터넷을 비롯 네트워크의 확산 정보 고속도로 멀티미디어 이기종 컴, , ,
퓨터의 접속 등을 이용한 복합 멀티미디어 서비스를 제공하여줄 것이다 이에 따라 발전하.
는 정보 시스템은 점점 복잡해지며 복잡도가 높아질수록 점점 더 많은 보안 취약점들이 내,
포되어 있을 가능성이 높을 것으로 예측되고 있다.
따라서 정보화 사회가 고도화 될수록 정보보호 책에 한 관심은 더욱 높아질 것이다 또.
한 정보 시스템을 둘러싸고 새로운 형태의 위협이 등장할 것이며 이에 응하는 기술 개발
도 함께 이루어져야 할 것이다 보안 책은 여러 가지 관점에서 분류될 수 있으나 본 장에. ,
서는 사회적 관리적 기술적 책으로 구분한다[10].・ ・
가 사회적 책.
사회적 정보보호 환경은 정부 산업계 교육계 전문가 언론매체 등에 의해 조성된다 정부, , , , .
는 정보 시스템의 보안성을 확보하기 위한 기술 기준이나 법률 제정을 통하여 정보통신 사
업자나 일반 시스템 사용자들의 정보 시스템의 오남용을 방지하고 처벌하여야 한다 산업계.
는 정보보호 제품과 서비스를 공급하여 정보보호를 촉진하며 교육계는 정보 시스템의 사용,
에 따른 윤리와 책임을 주지시키며 언론은 정보보호 침해 사고를 보도함으로써 많은 사람,
들에게 정보보호의 문제점과 책의 중요성을 인식케 한다.
나 관리적 책.
조직은 자체의 보안 방침 수립과 함께 보안 전담 조직을 구성 운 하고 인적 자원에 한・정보보호 인식 제고를 위한 프로그램을 시행해야 한다 기술적인 보안 책이 완벽하게 구.
축됐다 할지라도 시스템을 운 하는 운 자나 사용자 자신들의 보안 의식이 부족하면 모래
위에 세운 성이나 마찬가지이다 미국의 통계 를 보더라도 컴퓨터 범죄의 이상이 내. [10] 80%
부자의 소행으로 나타나 있는 것은 부분의 보안사고가 인적 자원 관리가 허술하거나 보안
의식이 소홀한데서 발단이 된다고 볼 수 있다 그러므로 내부의 인적 자원에 한 지속적인.
보안 마인드 제고와 함께 보안 교육 프로그램을 통해 인적자원 관리에도 관심을 두어야 한
다.
한편 조직의 정보 시스템에 한 취약점 위협 요소들에 한 분석과 이로 부터의 보안 계,
획 설계 재난에 비한 비상계획의 수립을 통하여 물리적인 피해를 막는 책 전산실의 통, ,
제 및 출입인원에 한 출입관리 등도 중요한 관리적 책 요소이다.
다 기술적 책.
이는 다시 세부적으로 시스템을 구성하는 하드웨어와 소프트웨어 데이터 네트워크 책으, ,
로 나눌 수 있다 정보보호 제품을 이용하여 정보통신 시스템의 접근 통제를 구현한다거나. ,
저장된 자료나 송수신 중인 자료를 은폐하는 암호 기술을 적용한다거나 재난 복구를 비,
하기 위한 백업 체제를 갖춘다거나 정보통신 시스템 자체에 보안성이 강화된 시스템 소프,
트웨어를 사용하는 등의 책들이 여기에 속한다 특히 인터넷을 업무에 이용하는 경우 외.
부의 불법적인 접근을 방어하기 위해 인증 시스템 침입방지 시스템 침입차단 시스템, ,
등을 상황에 따라 적절히 사용하여야 한다(Firewall) .
제 절 정보보호 역3
정보보호 역은 정보 시스템의 운용이 안전하도록 하기 위해 필요한 요소의 모임이다 정.
보보호 역은 기존의 정보통신 역의 일부로서 정보보호를 구성하는 주체와 이들간의 관
계로 표시할 수 있다 이들 가 요소들이 적정한 수준을 달성해야 국가 사회적인 정보보호. ・목표를 달성할 수 있다 예를 들어 개별 조직 스스로 정보보호 목표를 달성하려고 해도 필.
요한 정보보호 제품이나 서비스를 얻지 못하면 목표를 달성할 수 없다 정보보호 역은 정.
보보호 관리 정보보호 산업 정보보호 기술 정보보호 기반의 가지 요소로 이루어진다, , , 4 .
정보보호 관리가 제 로 이루어지려면 정보보호 제품이나 서비스가 충분히 공급되어야 하
고 정보보호 제품과 서비스의 공급은 정보보호 기술 개발과 사회적 환경이 뒷받침되어야,
한다.
정보보호 관리1.
정보보호 관리 는 정보 시스템이 제공하는 정보와 서비스에 한 적(Security Management)
절한 수준의 비 성 무결성 가용성 등을 유지하는 과정을 말한다 정보보호 관리 역시 관, , .
리의 하나이므로 관리의 일반적인 주기 를 따른다 최고 경 자의 입장에서, (Plan-Do-See) .
조직 전체 수준이 달성해야 할 정보보호의 목표와 그 목표를 달성하기 위한 전략과 방침
본 책에서는 정책이라는 용어 신 방침이라는 용어를 사용함 이 정해지면 정보 시(policy: )
스템의 자산에 한 위협을 식별하고 위협의 크기와 빈도를 측정하는 위험 분석을 시행한,
다 적절한 위험 수준을 유지하기 위한 정보보호 계획을 수립하고 이에 따라 책을 구현한. ,
다 정보보호 시스템이 효과적으로 유지되기 위해서는 사용자의 정보보호에 한 인식제고.
프로그램을 시행한다 정보보호 기능이 무시되면 효과적인 정보보호 목표 달성이 어려우므.
로 사용자의 정보보호 인식 제고 및 교육은 매우 중요하다 보안 관리의 마지막 활동인 보.
안 감사는 사후 관리적 측면을 강조한다.
정보보호 산업2.
정보보호 산업 은 어떤 조직이 정보보호 관리를 수행함에 있어 필요한 제(Security Industry)
품이나 서비스를 제공하는 역할을 담당한다 정보 시스템의 운용에 있어 추가되는 관리적.
측면에서의 정보보호는 외부 전문가의 전문 기술에 한 컨설팅과 정보보호 제품 개발자로
부터의 정보보호 제품에 의존하게 된다.
이는 마치 전산화가 안된 사무 환경을 전산화시키기 위한 조직이 외부 전문가의 자문을 구
하고 컴퓨터나 통신 제품 판매자로부터 원하는 제품을 구매하는 것과 마찬가지이다 정보보, .
호 서비스에는 위험 분석 관리 서비스 보안 인식 프로그램 서비스 보안 감사 서비스 비, , ,・상 계획 및 재난 복구 서비스 등이 표적이다 이런 정보보호 산업은 아직 국내에는 생소.
하지만 선진국에서는 이미 성업중인 산업이다 현재 선진국에서 생산 판매되는 정보보호 제.
품은 통신 및 네트워크 보안 제품 암호화 제품 재난 복구 제품 물리적 보안 제품 마이크, , , ,
로컴퓨터 터미널 보안 제품 등 수백종에 이른다.・
정보보호 기술3.
정보보호 기술 은 궁극적으로 설계 단계에서부터 정보보호 기능이 고(Security Technology)
려된 제품 또는 기존의 제품에 정보보호 기능을 추가한 정보보호용 제품을 생산하는IT IT
데 이용되거나 정보 시스템 상의 응용 서비스가 안전하도록 보완하는데 이용된다 정보보호, .
기술은 정보 시스템과 응용 서비스에 정보보호 메카니즘을 제공하기 위한 정보보호 메카니
즘 기술 정보통신 시스템 자체의 보안성을 강화하기 위한 시스템 보호 기술 정보통신 시스, ,
템이 제공하는 응용 서비스 예를 들면 전자 우편 전자 상거래 등 를 안전하게 하기 위한 응( , )
용 보호 기술로 구분할 수 있다 정보보호 메카니즘 기술에는 암호화 전자서. (Encipherment),
명 인증 데이터 무결성 접근 통제 등이 있다 시스템(Digital Signature), (Authentication), , .
보호 기술이란 운 체제나 데이터 베이스 분산 시스템 등에 보안 기능을 강화하는 기술을,
말한다 응용 보호 기술은 전자 우편 텔넷 인트라넷 전자 상거래 등과 같은 네트. , , , , WWW
워크 응용을 위한 안전한 미들웨어 기술이다.
정보보호 기반4.
정보보호 기반 은 정보보호 주체간의 건전한 질서를 유지하기 위한(Security Infrastructure)
환경을 조정하고 국제적 협력을 주도하는 법률 제도적으로 명시된 권한을 가진 기관에의, ・해 제공되는 요소이다 정보 시스템의 사용자가 정보 보호에 한 인식을 갖고 필요한 조치.
를 취하며 건전하게 정보통신 시스템을 이용하고 안전하게 비즈니스를 수행할 수 있도록, ,
환경을 조성하기 위한 기반이다 정보통신 시스템의 오남용을 규제하기 위해 법률을 제 개. ・정하고 컴퓨터 범죄 행위를 처벌하는 활동 네트워크 상에서 발생하는 보안 침해 사고를 적,
극적으로 응하는 사고 응 센터 운 네트워크 상에 안전한 메시지 전송을 위한 암호,
체계 관리 센터 구축 운 등이 있다 공정한 정보보호 제품의 생산 소비 질서가 유지되도. -・록 환경을 조성하기 위한 기반으로는 정보보호 기술이나 기준을 표준화하는 활동 정보보호,
제품의 보안성을 평가하고 인증하여 필요에 따라 정보보호 제품을 구매할 수 있도록 하는
활동 조직의 보안성 정도를 평가하는 인정 활동 등이 있다 국제적인 협력이 필요한 분야에, .
는 국제간 시스템 침해 사고 응 협력과 국제적 정보보호 지침 기술 기준의 표준 제정・ ・참여 등이 있다.
제 절 요약4
일상의 업무가 점점 정보통신 기술에 의존하게 됨에 따라 정보통신 시스템에 한 우연의
혹은 의도적인 오남용의 기회가 더욱 잦아지고 있다 더욱이 전자 결재 시스템 도입과 부처.
간 전자 문서의 교환 등을 추진하고 있는 정부 공공기관의 경우 정보 시스템이 잘못 사용・되는 경우 조직 자원의 손실과 같은 유형의 피해는 물론이고 국민 신뢰를 떨어뜨리는 무,
형의 손실도 입게된다.
정보보호의 목표는 조직이 보유한 정보와 하드웨어 및 소프트웨어 등의 가치 있는 중요한
자원을 보호하는 것이다 다시 말해 정보 자산의 기 성 무결성 가용성을 안전하게 유지하. , ,
는 것이 정보보호의 목표이다 이러한 목표를 달성하기 위해 조직의 정보 시스템이 갖고 있.
는 취약성과 이를 둘러싸고 있는 위협에 한 정확한 이해와 적절한 보호 책을 선정하고
적용함으로써 조직의 자산과 명성 등을 보호하게 된다 이러한 책은 사회적 관리적 기술. , ,
적 보호 책으로 나누어진다 정보보호 역은 안전한 정보통신 시스템을 운용하기 위해.
필요한 요소의 모임의 집합으로 정보보호 관리 정보보호 산업 정보보호 기술 정보보호 기, , ,
반으로 구성된다.
참고 문헌
김동규 정보사회와 정보통신망 보안 책 전산보안 세미나 한국전산원 년[1] , “ ”, ‘95 , , 1995 .
이재우 외 유닉스 시스템 보안 취약성 분석 및 진단에 관한 연구 한국전산원 년[2] , , , 1995
월12 .
김명룡 외 정보화 역기능 향 분석 한국정보보호센터 년 월[3] , , , 1996 12 .
[4] Karen A. Forcht, Computer Security Management, boyd & fraser publishing
company, 1994.
[5] Charles P. Pfleeger, Security in Computing, Prentice Hall, 1989.
[6] K.M. Jackson et al., Computer Security Reference Book, CRC Press, 1992.
[7] Computer Security Products Buyers Guide, CSI, 1995.
[8] S. Rao Vallabhaneni, Auditing Computer Security, John Wiley & Sons, Inc, 1989.
[9] http://www.infowar.com/mil_c4i/joint/joint.html-ssi, Information Warfare Legal,
Regulatory, Policy and Organizational Considerations for Assurance, July 1996.
[10] Rita C. Summers, Secure Computing threats and safeguards, McGraw-Hill, 1997.
제 장 정보시스템 오남용 및 정보보호 법률2
제 절 개요1
정보통신과 컴퓨터 기술의 발전에 따라 정보사회의 급격한 전환으로 산업사회에서 볼 수 없
었던 생활의 편리함을 누리게 되었다 그러나 정보사회의 틈새에서 정보통신망을 이용한 컴.
퓨터 범죄 등 다양한 역기능이 등장하 다 이러한 정보화의 역기능을 적절하게 효과적으로.
방지함으로써 정보화의 순기능을 극 화시킬 수 있다.
미국과 국 등 세계 각국은 컴퓨터 범죄를 방지하고 정보화의 이용을 촉진시키기 위하여
제도적 기술적 방안을 마련하고 시행하고 있다 특히 역기능을 방지할 수 있는 기틀인, . ,
법 제도적인 부분은 다른 어떤 부분보다 시급하고 중요한 사안으로 여겨져 미국 등에서는・일부 정보보호 관련법을 이미 제정하 으며 입법을 위한 작업을 진행하고 있다, .
우리나라에서도 정보화촉진법에서 정보보호의 기본 지침을 두고 전산망보급확장과이용촉진,
에관한법률에서 정보보호의 활성화 지침 등을 두고 있다 그리고 새로운 형태의 컴퓨터 범.
죄 행위에 적극적으로 응하고자 년 개정형법에 컴퓨터 범죄와 관련된 처벌조항을 추1996
가하여 개정하 다 또한 정보보호산업 육성과 개인 정보보호를 위한 현행 관련 법률의 미.
비점과 정보화 사회에 부합되는 법률 규정을 보완하는 작업을 추진하고 있다.
본 장에서는 국내 정보시스템 오남용 발생 현황과 외국의 정보시스템 오남용 현황을 살펴보
고 이를 방어하기 위한 국내외 정보보호 관련법을 살펴본 후 간략히 분석하 다, .
제 절 정보시스템 오남용 현황2
정보시스템 범죄 분류1.
정보시스템의 오남용을 통한 범죄 행위의 분류는 여러 방법이 있다 먼저 개인에 한 피해. ,
를 입히는 행위와 공공기관이나 민간기관 등 조직에 피해를 입히는 행위 그리고 사회의 불,
특정 다수에게 피해를 입히는 행위로 나누는 방법이 있다 그리고 행위의 객체와 수.[1] (1)
단을 기준으로 컴퓨터에 하여 행해진 범죄와 컴퓨터를 악용하는 범죄 컴퓨터자체,① ②
에 한 물리적 범죄 전자기록의 훼손과 프로그램 절취 컴퓨터를 이용한 전통적 범죄 컴, , ,
퓨터의 부정 사용 컴퓨터 사보타지 서비스 절도 재산범죄 정보절도 등으로 분류하는, , ,③
견해와 실무사례에서 발췌 분류한 것으로 자료조작범죄 컴퓨터내부의 범죄(2) , ,① ② ③
원격통신범죄 소프트웨어와 하드웨어의 절도 범죄기업 지원 범죄로 분류하는 견해, ,④ ⑤
외에 침해되는 법익을 기준으로 선분류하고 이어 경제적 범죄를 다시 행위의 객체와 수(3)
단을 기준으로 분류하는 방법 등도 논의되고 있다[2].
본 절에서는 자료유출 개인 학교 기업 공공기관 등의 내부인에 의한 자료유출 및 외부( , , ,①
인에 의한 자료 절도 정보기기 관련 범죄 절도 반입 물리적 파괴행위 내부자료), ( , , )② ③
변조 및 파괴 데이터 파괴 변조 실수에 의한 변경 부정정보처리 고의적인 미처리 부( , , ), ( ,④
정처리 해킹 통신망을 통한 타인의 시스템에 무단 침입 금융범죄 신용카드나 수표), ( ), (⑤ ⑥
위조 비윤리적인 행위 음란물 유포 컴퓨터 바이러스 기타로 분류하여 분석한다), ( ), ,⑦ ⑧ ⑨
[3].
정보시스템 범죄 발생 현황2.
가 기관별 현황.
컴퓨터범죄 사례는 표 에서 보는 바와 같이 년에 건 년에는 건 년[ 2-1] 1995 100 , 1996 118 , 1997
에 건으로 나타났다 사례유형별로는 년에 이어 년에도 비윤리적 행위가 건으125 . 1995 1996 31
로 가장 많았으며 년에도 건으로 가장 많이 발생한 것으로 조사되었다 그외 자료유, 1997 46 .
출 금융범죄 내부자료 변조 및 파괴 순으로 발생하 다 년의 자료는 년 월까지, , . 1997 1997 11
집계된 수치이다.
[표 컴퓨터범죄 사례별 발생건수2-1]
년과 년의 사례를 비교해 보면 비윤리적 행위 금융범죄 부정정보 처리 자료유1996 1997 , , ,
출 등의 사례는 늘어난 반면 해킹 컴퓨터 바이러스는 줄어들고 있는 것이 특징이라 하겠,
다.
나 사례유형별 현황.
자료 유출1)
자료 유출은 년에 총 건이 발행했고 그 중에서 개인정보의 자료유출이 건으로 가장1996 15 , 9
많았으며 공공기관의 자료 유출이 건이었다 표 참조, 4 ([ 2-2] ).
년에는 총 건이 발행하여 전체적으로 발생건수가 증가하 으며 자료 유출 형태는 개1997 21 ,
인정보와 공공기관에서 일어나는 것이 부분으로 개인정보는 년에 비해 게속 증가한, 1996
반면 공공기관은 같은 수준을 유지하고 있다, .
이와 같은 결과를 통하여 향후 개인정보의 보호가 강화되어야 함을 알 수 있다.
표 자료유츌 사례별 발생건수[ 2-2]
정보기기 관련 범죄2)
정보기기 관련 범죄는 년에 건 년에 건으로 다소 증가하여 정보기기 관련 범1996 2 , 1997 5
죄는 사라지지 않고 있음을 보여 주고 있다 특히 물리적 파괴가 건으로 조사되어 앞으로. 2
이에 한 책이 필요하다 표 참조([ 2-3] ).
표 정보기기 관련 범죄 발생 건수[ 2-3]
내부자료 변조 및 파괴3)
내부자료 변조 및 파괴는 년 건 년 건 년에 건으로 변화하고 있다1995 14 , 1996 17 , 1997 12 .
유형별로는 년 고의적 변조가 건 실수에 의한 변경이 건이며 년에는 고의적1996 15 , 2 , 1997
변조가 건 실수에 의한 변경이 건으로 나타났다 표 참조 발생건수가 년에10 , 2 ([ 2-4] ). 1996
는 증가한 반면 년에는 감소하고 있음을 볼 수 있다1997 .
이러한 사실은 그 동안 정보보호의 중요성이 인식되지 못하다가 근래에 정보보호의 중요성
이 증가되어 이에 한 책을 고려하고 있는 것으로 판단된다 또한 자료의 고의적 변조.
기술이 날로 증가하기 때문에 이에 한 비책도 고려해야 한다.
표 내부자료 변조 및 파괴 발생건수[ 2-4]
부정 처리4)
부정 정보처리는 년에 건으로 관리 태만으로 인한 사례이다 년에는 건으로 크게1996 1 . 1997 5
증가함을 알 수 있다 표 참조([ 2-5] ).
표 부정 정보처리 발생기관별 발생건수[ 2-5]
해킹5)
해킹 사례는 년에 건이며 단순침입 인식번호 도용이 각각 건씩으로 가장 많았으1996 14 , , (ID) 4
며 자료절취 자료변조 및 파괴가 각 건씩 발생하 고 년에는 자료변조 및 파괴가, , 3 , 1997 5
건으로 가장 많이 발생하 으며 인식번호 도용이 건 발생하 다 표 참조, 2 ([ 2-6] ).
표 해킹에 한 사례별 발생건수[ 2-6]
금융 범죄6)
금융 범죄는 년 건이며 이중 신용카드를 위조한 것이 건 수표위조가 건으로 나타났1996 4 , 3 , 1
다.
이에 비해 년에는 카드위조와 수표위조가 각각 건으로 조사되어 크게 증가함을 볼 수1997 6
있다 표 참조([ 2-7] ).
표 금융범죄 사례별 발생건수[ 2-7] P23U
비윤리적 행위7)
비윤리적 행위는 년 건 년 건이다 사례별로는 음란물 유표 건 사기행위1996 31 , 1997 46 . 27 ,
건 협박 폭력 건으로 나타났다 이중 사기행위는 년의 건에서 년의 건18 , 1 . 1996 12 1997 27・으로 배이상 증가하여 이에 한 책이 절실하다 하겠다 이러한 비윤리적 행위의 부분2 .
은 통신상에서 익명성을 이용한 것이 부분이었다 표 참조PC ([ 2-8] ).
표 비윤리적 행위 사례별 발생건수[ 2-8]
컴퓨터 바이러스8)
컴퓨터 바이러스 발생은 년 건 년 건으로 수치상으로는 크게 줄었다 표1996 26 , 1997 6 ([ 2-9]
참조).
이 중 바이러스 제작 및 유포행위가 년의 건에 비해 년에는 건으로 크게 줄었1996 23 1997 2
다.
표 컴퓨터바이러스 사례별 발생건수[ 2-9]
다 연령별 현황.
연령별로 살펴보면 년에는 가 건으로 가장 많았으며 가 건으로 나타났다1996 20 27 , 30 14 .
년에는 가 건 가 건 가 건 가 건인 것으로 나타났으며1997 20 43 , 30 25 , 40 16 , 10 9 , 1996
년에 비해 년은 전반적으로 꾸준한 상승을 보이고 있고 특히 와 가 계속 증가1997 , 20 30
함을 볼 수 있다 표 참조([ 2-10] ).
표 연령별 발생건수[ 2-10]
라 발생기관별 현황.
발생기관별로 살펴보면 년에는 개인이 건으로 가장 많았으며 금융기관이 건 공공, 1996 35 , 23 ,
기관이 건으로 나타났다 년에는 개인이 건으로 역시 가장 많았으며 일반기업이19 . 1997 47 , 32
건 공공기관이 건으로 나타났다 년 금융기관의 발생률이 가장 높았으나 년에는, 18 . 1996 , 1997
일반기업의 발생율이 년에 비해 높은 상승률을 보이고 있어 일반기업의 컴퓨터범죄의1996
표적이 되고 있음을 알 수 있다.
표 기관별 발생건수[ 2-11]
제 절 정보시스템 보안 현황3
본 절에서는 국내외 기관들의 정보시스템에 한 보안현황을 살펴본다 이를 위하여 국내.
정부기관과 민간기업을 중심으로 설문조사한 결과를 분석하 으며 국외의 경우 년 미, 1996
국 캐니다 유럽 아시아 태평양 라틴아메리카 지역에서 정보시스템의 보안 현황에 하여, , , - ,
조사한 설문결과를 토 로 하 다[4,5].
보안정책1.
보안정책은 조직의 보안을 실행하는 주요 기준으로 외국의 경우 그림 에서 보듯이 응, ( 2-1)
답자의 가 보안정책을 가지고 있으며 년의 에 비해 감소하 다 그리고 응답자54% , 1995 65% .
의 이상이 개월내 보안정책을 개발할 것이라고 응답하 으며 는 정책을 개발하지1/4 12 , 17%
않을 것이라고 응답했다 이러한 데이터를 볼 때 보안정책의 수립 및 시행은 점차 감소함을.
알 수 있다.
그림 지역별 보안정책을 갖는 응답자 비율( 2-1) (%)
국내 정부기관의 경우 전산망 시스템에 한 제도적 보안정책으로 국가안전기획부가 시행하
는 국가전산보안업무기본지침 이 있으며 부분의 정부기관 은 이를 바“ (‘96.12.17)” , (66.7%)
탕으로 기관별 특성을 고려하여 별도의 세부지침을 마련하고 사용하고 있는 것으로 조사되
었다.
전담조직2.
외국의 경우 응답자의 가 정보보호 전담조직을 보유하고 있는 것으로 조사되었으며 이62% ,
와 같은 결과는 년에 비해 증가된 수치이다‘96 .
국내의 경우 정부기관은 응답기관의 가 전담조직을 보유하고 있으며 기업은 만, 25% , 14.5%
이 전담조직을 보유하고 있는 것으로 조사되었다 이와 같은 결과는 국내 조직이 정보보호.
의 필요성을 아직 중요하게 인식하고 있지 않음을 나타낸다.
사이트에 향을 미치는 침해3.
외국의 경우 사이트에 향을 미치는 침해분야는 바이러스 비 번호 노출 컴퓨터 방비의, ,
절도 정보 노출 불충분한 보안 등으로 조사되었다 분야별로 살펴보면 다음과 같다, , . .
데이터 네트워크에서 발생하는 주요 원인은 하드웨어 컴포넌트 오동작 소프트웨어 오동작,
의 문제로 인한 통신 손실 자연적 재난으로 인한 통신 손실 음성 데이터 시스템 소프트웨, ( / ),
어 문제 컴퓨터 바이러스 등이다, .
환경에서 주요 침해 분야는 계속적으로 주종을 이루는 컴퓨터 바이러스 작년에 비해PC ,
크게 증가한 소프트웨어 오동작과 하드웨어 오동작 시스템 소프트웨어 문제 전원 손실 자, , (
연재난 과 비 번호 노출 등이다) .
중 형 컴퓨터에서는 하드웨어 컴포넌트 오동작 소프트웨어 오동작 시스템 소프트웨어 문, ,
제 비 번호 노출 전원손실 전기설비 문제 등 등이 주요 침해 분야이다, , ( ) .
전체적으로 보안 침해 사례의 반이상이 현재 종업원에 의해 저질러 졌으며 이 중 가, 17%
이전 종업원에 의해 저질러 졌다 그리고 발생한 침해 사례의 많은 부분이 보안 전문가에.
의해 가해자를 식별할 수 없었다.
국내 기업의 경우 응답기관의 가 사고경험이 없는 것으로 가 사고를 경험한 것으로90% , 5% ,
가 모르는 것으로 가 밝힐 수 없는 것으로 조사되었다 정보보호관련 사고가 기업에4% , 1% .
서 민감한 사안인 만큼 응답을 거부하거나 잘못된 응답을 하는 경우가 많을 것으로 보여 실
제 정보보호 관련 사고의 경험이 있는 기업은 조사결과보다 많을 것으로 사료된다 정보보.
호 사고를 경험한 개 기업을 상으로 사고 형태를 조사한 결과 바이러스의 감염이 개사10 6
로 가장 많았다.
피해액을 살펴보면 억 천만원 백만원 백만원 으로 조사되어 정보5 (10%), (30%), 4 (10%), (10%)
보호 사고 피해액의 차이가 큰 것으로 나타났다 무응답도 나 조사되어 이와 관련하여. 40%
상당부분 답을 회피하는 경향을 보이고 있다.
보안 책4.
외국의 경우 바이러스 폭탄 버그 트로이잔 목마로부터 조직을 보호하기 위하여 바이러스, , ,
방지 소프트웨어를 많이 사용하여 왔으나 많은 사용자가 네트워크를 사용하기 때문에 보안,
관리자가 절 적으로 사용하기 위한 확실한 정책은 아니다 중 형 시스템은 와 다른 환. / PC
경으로 바이러스에 하여 와 동일한 위험 요인을 가지지 않기 때문에 바이러스 방지 솔PC
루션이 널리 사용되는 것은 아니다.
네트워크에 하여 그림 에서 보듯이 접근제어 소프트웨어 백업 전원장치 네트워크( 2-2) , ,
접근제어 비 번호 관리가 아직 가장 넓게 사용된다, .
마이크로 컴퓨터를 위해 가장 많이 사용되는 보안 책은 그림 과 같이 바이러스 분야( 2-3)
이다 그 외 정규적인 보안감사 분산 보안 관리 전산실 보안 등이 조사되었다. , , .
중 형 컴퓨터 보안을 위하여 전산실 보안이 가장 많이 사용되는 보안정책이며 그 외 백업,
전원장비와 비 번호 관리 파일의 자동백업 등이 사용된다 그림 참조, (( 2-4) ).
그림 가장 많이 사용되는 네트워크 보안 책( 2-2)
그림 마이크로 컴퓨터 보안 책( 2-3) P29D
그림 중 형 시스템 보안 책( 2-4)
보안 솔루션5.
정보시스템의 위험을 평가하는 부분은 거의 사용되고 있지 않으며 보안교육과 인식 프로그,
램이 부족한 상태이다 그리고 부분의 조직들은 이나 스킴같은 평가된 제품. ITSEC NCSC
을 적용하지 않고 있다.
국내 기업의 경우 응답기관의 가 정보보호 관련 시스템 및 솔루션을 보유하고 있어29%
부분 정보보호를 위한 제품이나 도구를 사용하고 있지 않은 것으로 조사되었다 정보보호.
솔루션을 가지고 있는 기업은 일반기업 금융기관 정보통신업체 로 구성26%, 40%, 21.1%
되어 있다.
정보보호관련 시스템을 설치 운 중인 기업들이 가장 주력하는 부문은 데이터베이스・네트워크 응용프로그램 운 체제 하드웨어 순으로 조사(43.1%), (31%), (17.2%), (6.9%), (1.7%)
되어 데이터베이스 및 네트워크 부문에 치중하고 있는 것으로 나타났다.
현재 사용중인 정보보호 책을 살펴보면 순위로 패스워드관리 네트워크 접근관리1 (72.4%),
파일의 백업 바이러스 방지 보안교육 순으로 나타났다(13.8%), (6.9%), (3.4%), (3.4%) .
정보보호관련 시스템을 보유하고 있지 않는 기업중 도입계획이 있는 기업은 없는 기41.5%,
업은 로 나타나 정보보호 시스템 도입계획이 없는 기업이 다소 많은 것으로 나타났다58.5% .
정보보호 시스템의 도입예정 여부를 기업군별로 살펴보면 금융기관이 가장 많아 금융기관에
서 정보보호 시스템의 도입에 가장 관심을 기울이고 있는 것 으로 나타났다(60%) .
제 절 정보시스템 안전보안을 위한 법적 책4
본 절에서는 정보화 역기능 방지법령으로 공공기관 정보의 불법 접근방지 민간부문 정보의,
불법 접근 방지 개인정보 및 프라이버시 보호 불건전정보 유통방지 전자우편 오남용 방지, , ,
를 위한 국내외 관련법 현황을 살펴보고 정보보호기술 이용 촉진을 위한 관련법령을 살펴,
보기로 한다[6,7,8,9,10].
공공기관 정보의 불법 접근 방지1.
가 입법현황.
미국1)
가 컴퓨터보안법) (The Computer Security Act of 1987)
컴퓨터보안법은 연방 컴퓨터시스템내의 민감정보를 보호하기 위한 최소한의 보아절차를 규
정하기 위한 것이다.
주요내용은 국립표준기술원 이 연방 컴퓨터시스템이 정보보호 관련 표준 및 관리지침(NIST)
등을 수립 국가기 정보는 가 담당 민감정보는 가, NSA(National Security Agency) , NIST
담당하여 역할을 분담하고 기술적으로 협조 상무부에 컴퓨터시스템 보안과 프라이버시, 「
권고위원회 를 설치하여 보안문제를 규명한 후 조언 연방 컴퓨터시스템 종사자에 해 보,」
안업무 및 인식에 한 주기적인 훈련 등이 있다.
나 국가정보기반보호법. (National Information Infrastructure Protection Act of 1996)
이 법은 국가 중요 컴퓨터시스템의 비 성 무결성 및 안전성 보호증진을 위해 제정되었다, .
이는 새로운 첨단 컴퓨터범죄에 처하기 위하여 기존의 컴퓨터부정행위및남용법을 개정한
것이다.
주요내용은 권한없이 또는 권한을 초과한 자가 고의로 국가기관의 보호되는 컴퓨터 에 접“ ”
근하여 미국에 위해를 주는 정보를 획득하는 행위를 처벌한다 범죄행위는 미국비 지정.
국가정보에 한 침해 재정 국가 및 기타 컴퓨터정보의 침해 국가컴퓨터시스템의 침해 중, , , ,
요한 컴퓨터의 무권한 사용 컴퓨터에 한 손상 부정거래에 의한 사취 컴퓨터에 한 직, , ,
접적인 협박 등 개로 규정하고 있다7 .
유럽2)
가 국의 컴퓨터 오용법) (Computer Misuse Act)
컴퓨터 오용법은 컴퓨터시스템의 침해에 한 처벌과 법집행기관의 권리를 부여하기 위하여
제정되었다.
주요내용은 컴퓨터시스템의 침해행위 처벌과 범죄 유형으로 비인가자의 접근행위 위반할,
의도를 가진자의 접근행위 비인가자의 데이터 등 수정행위 비인가자의 사용이나 방해행위, , ,
침해에 의한 범죄적인 선동과 시도를 규정하고 경찰에게 장없이 체포할 수 있는 권한 부,
여 등이다.
우리나라3)
가 전산망보급확장및이용촉진에관한법률)
전산망보급확장및이용촉진에관한법률은 전산망의 개발 보급과 이용을 촉진하고 전산망의,
안정적 관리 운 을 통해 정보사회 기반을 조성하기 위하여 제정되었다.・주요내용은 정보통신부장관이 전산망의 안전 신뢰성 제고를 위한 시책 강구 전산상의 안,・전성 신뢰성을 확보하기 위한 기술기준 제정 시행 전산망의 개발보급 촉진을 위한 표준고,・시 및 준수권고 전산망사업자에게 전산망 안정성 및 정보의 신뢰성의 확보하기 위한 보호,
조치 강구 보호조치에 한 침해금지 및 위반자 처벌 전산망사업자 및 이용자가 산업 경, , ,
제 과학기술에 관한 중요정보의 국외유출을 방지토록 조치 전산망에 의해 처리되는 타인의, ,
정보 훼손 비 침해 도용 누설금지 및 위반자 처벌 등이다, , .・
나 기타)
그 외 관련되는 법률로 컴퓨터시스템에 한 부정행위 비 침해 업무방해 등의 규정은 형, ,
법 공업및에너지기술기반조성에관한법률 무역업무자동화추진에관한법률 화물유통촉진법, , , ,
전산망보급확장과이용촉진에관한법률 신용정보의이용과보호에관한법률 공공기관의개인정보, ,
보호에관한법률 전기통신사업법 전파법 통신비 보호법 등에 있다, , , .
나 분석.
국가 및 공공기관의 컴퓨터시스템을 운용하는 내부자의 컴퓨터범죄 및 이의잠재 가능성이
증가하고 있으며 국가 및 공공기관 정보에 한 불법접근을 방지하기 위해서는 이의 사전,
예방과 사후 처벌이 필요하고 전산망사업자 및 이용자가 산업 경제 과학기술에 관한 중요, , ,
정보의 국외유출을 방지토록 하고 있으나 위반시 벌칙조항은 없는 상황이다 또한 국가 및, .
공공기관의 컴퓨터시스템을 통해 처리되는 기 정보의 기준 관할부서 집행기관 등이 모호, ,
하다.
따라서 공공기관의 컴퓨터시스템 운용관리자에게 보안계획 수립요구 특정기관에게 컴퓨터,
사기및오용범죄에 관한 조사 및 고발권 부여 필요 정보보호 관련기관간의 업무 역 구분, ,
정통부는 기 로 분류되지 않은 정보보호에 한 정책 수립 시행 한국정보보호센터는 국,・가컴퓨터시스템 종사자 교육 및 컴퓨터시스템 인증업무 국가 및 공공기관의 컴퓨터 시스템,
을 통해 처리되는 기 정보의 기준 설정 등이 필요한 것으로 사료된다.
민간부문 정보의 불법 접근 방지2.
가 입법현황.
미국1)
가 경제스파이법) (Economic Espionage Act of 1996)
재산적 가치가 있는 기업정보를 보호하기 위한 것으로 제 편 무역비 보호 제 편 년1 , 2 1996
국가기반보호법 등 총 편으로 구성되어 있으며 처벌규정과 본 법과 관련한 소송절차나 기6 ,
소에 관하여 관련 법에 의한 정보보호 소유자의 비 을 보호하기 위해 필요한 조치나 명령
등을 담고 있다.
우리나라2)
가 무역업무자동화촉진에관한법률)
무역업무자동화촉진에관한법률은 무역업무의 자동화를 촉진하여 무역절차의 간소화와 무역
정보의 신속한 유통을 실현하여 무역업무의 처리시간과 비용을 절감하여 산업의 경쟁력을
향상하기 위한 것으로 주요내용은 전자문서 및 무역정보에 관한 정보보호 전자문서 및 무, ,
역정보의 공개 절차 및 처벌규정을 담고 있다.
나 화물유통촉진법률)
화물유통촉진법률은 물류의 표준화 정보화와 복합운송주선업 화물터미날사업 및 창고업 등, ,
에 관한 사항을 규정하여 물류체계 합리화를 도모하고 화물유통의 촉진과 물류비를 절감하,
기 위하여 제정되었다 주요 관련 내용은 전자문서 및 물류정보에 관한 정보보호 전자문서. ,
및 물류정보의 공개에 관한 사항 법률에서 규정하는 처벌 규정을 담고 있다, .
다 공업과에너지기술기반조성에관한법률)
공업과에너지기술기반조성에관한법률은 공업 광업 및 에너지 산업의 발전을 위한 기술기반・을 조성하고 공업 광업 및 에너지 산업의 경쟁력을 강화하기 위해 제정된 것으로 산업정보・의 안전관리 사항 및 처벌규정을 담고 있다.
나 분석.
인터넷 등 사이버공간에서는 의도적 익명성 국경이 없는 네트워크라는 특성으로 인하여 무, ,
단침입자의 탐지 추적이 어렵기 때문에 기본적으로 법적인 규제가 곤란한다.・
그리고 전문적인 정보스파이들은 자국의 안보나 경제적 이익을 손쉽게 얻고자 가상 공간에
서 타국의 민감한 정보들을 훔치고자 하는 시도를 행하고 있으며 국방 및 첨단기술 정보에,
한 적 국으로의 유출 시도가 증가하고 있다.
따라서 개별법에 산재해 있는 산업정보의 통일적인 개념규정과 이에 한 처벌법규의 단일
화 컴퓨터접속을 통한 산업정보 및 국가 중요정보 특히 방위산업관련 정보의 스파이행위에, ,
한 처벌을 강화하여야 한다 국가 중요정보 및 산업정보침해 행위에 한 감시 및 조사기.
구로서 기존의 수사기관을 활용하는 방법 또는 새로운 기관의 설립도 생각해 볼 필요가 있
다.
개인정보 및 프라이버시의 보호3.
가 입법현황.
미국1)
가 프라이버시법) (Privacy Act of 1974)
프라이버시법은 연방 컴퓨터시스템의 개인 기록 오용으로부터 프라이버시를 보호하고 개인
정보의 접근 기회를 부여하기 위하여 제정되었다 주요내용은 연방행정기관에 하여 법률.
에 의하여 별도로 정하고 있는 경우를 제외한 개인의 프라이버시 침해에 한 보호조치 강
구 개인 정보에 한 접근권 행정기관에 의해 특정의 목적을 위하여 기록한 개인정보에, ,
한 타목적 이용 동의권 연방행정기관의 기록 중 자기에 관한 정보에의 접근 및 정정청구권, ,
개인정보 기록의 합목적성 확보 및 개인정보의 보호조치 방안 강구 등을 담고 있다.
나 개인정보프라이버시법) (Personal Information Privacy of 1997)
개인정보프라이버시법은 사회보장번호와 관련한 개인의 프라이버시를 보호하기 위하여 상원
에 제안된 법안이다 주요내용은 신용정보의 기 처리 사회보장번호의 오용 및(’97. 4. 16). ,
상업적 취득 및 분배 금지 개인정보 사용의 사전 동의 등이다, .
유럽2)
가 데이터보호법 국) (Data Protection Act 1984, )
데이터보호법은 컴퓨터시스템의 개인정보에 한 수집 보유 등을 규제함으로써 개인의 프,
라이버시를 보호하기 위하여 제정되었다[11].
주요내용은 컴퓨터로 처리 가능한 형태로 기록된 자료중 개인에 관한 정보의 수집 보유 등,
을 규제하고 개인정보의 합법적 사용 합법적으로 획득된 개인정보는 사용 목적 외 사용 금, ,
지 필요한 경우 정확하게 갱신 특정 목적을 위해 수집된 개인정보는 해당 목적 달성 후 즉, ,
시 소멸 개인정보의 사용자로부터 연락을 받아야 하며 사용중인 개인정보를 읽을 수 있어, ,
야 하며 필요시 오류를 수정 혹은 삭제 가능 개인정보의 비허가로부터 접근 변경 노출, , , , ,
파괴 사고에 의한 손상으로부터 방지하기 위한 보안조치 강구 등의 내용을 담고 있다, .
나 멀티미디어법) (Federal Law to Regulate the Conditions for Information and
독일Communications Services(Multimedia Law), )
멀티미디어법은 정보통신서비스에 한 이용 규칙을 정함으로서 개인정보를 보호하기 위해
제정되었다.
주요내용은 공공단체와 사적단체의 개인데이터에 한 처리절차 및 사용에 한 법적 제한,
개인 데이터의 자동검색 절차 설정 규정 데이터보호를 위한 연방위원회의 선출과 법적 위,
상 및 역할 개인 데이터 보호 관료의 임명 및 임무 특별한 공식적 비 에 한 개인 데이, ,
터 처리와 사용에 관한 특별 규정 보호되는 개인 데이터에 한 형사적 위반 행정상 위반, ,
등에 한 처벌 규정 개인 데이터가 자동적으로 처리되는 곳에서 개인 데이터를 보호하는,
방법을 유형별로 제시하고 있다[12].
우리나라3)
가 공공기관의개인정보보호에관한법률)
공공기관의개인정보보호에관한법률은 공공기관의 컴퓨터에 의해 처리되는 개인정보를 보호
하기 위해 제정되었다.
주요내용은 개인정보의 분실 도난 누출 변조 또는 훼손 방지를 위해 필요한 조치 강구,・ ・ ・처리정보의 정확성 및 최신성 확보 노력 처리정보의 이용 및 제공의 제한 개인정보 취급자, ,
의 개인정보 누설 또는 권한없는 처리나 제공 금지 및 처벌규정 등이다.
나 신용정보의이용및보호에관한법률)
신용정보의이용및보호에관한법률은 신용정보의 오용 및 남용 방지 국민의 프라이버시 보호,
및 신용질서 확립을 위해 제정되었다.
주요내용은 신용정보시스템의 불법접근 및 입력된 정보의 변경 훼손 파괴 위함에 한 기・ ・술적 물리적 보안 책 수립 강구 신용정보의 업무목적 외 불법 누설 및 이용 금지 신용정, ,・보의 불법 누설 및 이용으로 인한 손해에 한 배상 책임 및 처벌규정 등이다.
나 분석.
프라이버시보호법의 적용범위를 국가행정기관이라든지 지방자치단체 또는 특수법인 등의( )
공공부문에만 한정시킬 것인가 아니면 이와 더불어 신용정보조사기관이나 금융기관 등을 중
심으로 하는 민간부문에까지 확장시키느냐에 해서는 각국이 일치점을 보이지 않고 있다.
정보프라이버시권에 의하여 개인은 컴퓨터에 입력된 정보 개인기록 의 정확한 유지 보전과( ) ,
오용 및 남용방지 그리고 절도예방 등에 한 권리를 가짐은 물론 그 기록에 접근하고 통제
를 가할 수 있는 적극적 권리가 증가하고 있는 추세이다.
따라서 공공부문은 물론 민간부문에서의 프라이버시 침해 특히 교육 연구와 금융 전산망, ・부문을 포함시켜 개인정보보호법을 개정하고 상정보를 컴퓨터에 의하여 처리되는 개인정,
보 뿐만 아니라 수작업처리정보를 포함시키며 개인정보심의위원회를 개인정보에 관한 지도,
감독과 일차적인 권리구제를 총괄하는 기구로 정립하는 것이 필요하다 그리고 데이터의 부.
정확 상실 파괴 권한없는 데이터의 접근으로 인한 개인의 피해 및 정신적 고통, , , (damage)
에 한 배상을 인정하는 것도 고려되어야 하며 개인 프라이버시 침해 방지를 위(distress) ,
하여 민간부문까지 관할하는 독립적인 감독기구의 설립도 생각할 필요가 있다.
불건전정보 유통 방지4.
가 입법현황.
미국1)
가 통신품위법) (Communication Decency Act of 1996)
통신품위법은 인터넷 등을 통한 폭력 음란물로부터 미성년자를 보호하기 위하여 제정된 것・으로 현재 연방법원에서 유해한 선정물로부터 어린이를 보호하기 위해 적용범위를 성인에게
까지 확 하는 것은 표현의 자유에 위배된다고 판결위헌으로 판결되었다[13].
주요내용은 전기통신설비를 이용하는 음란 또는 희롱행위에 한 규제 케이블 의 음란, TV
프로그래 규제 케이블 의 비가입자에 한 케이블 채널의 스크램블화 성인용비디오ald , TV ,
서비스 프로그래밍의 스크램블화 폭력 음란물에 한 케이블 사업자의 전송 거부 컴퓨터, ,・사용을 통한 음란한 내용의 통신에 관한 현행법의 명확화 폭력 음란물에 한 가정의 통, ・제 권한 부여 의 등급코드 부여 및 제조업체 통제기능 수용 이와 관련된 기술개발 촉, TV ,
진을 위한 기금 마련 및 처벌규정 등이다.
유럽2)
가 멀티미디어법 독일) ( )
멀티미디어법은 미성년자에 해로운 저작물이나 미디어의 보급을 규제함으로서 청소년을 보,
호하기 위해 제정되었다.
주요내용은 성인을 상으로 하는 저작물 보급시 기술적 혹은 다른 책 강구 공공에 제공, ,
되는 서비스가 미성년자에게 해로운 경우 청소년 보호관의 임명 및 수행사항에 관한 사항을
담고 있다[12].
우리나라3)
가 전기통신사업법)
전기통신사업법은 전기통신사업의 운 을 적정하게 하여 전기통신사업의 건전한 발전을 기
하고 이용자의 편의를 도모함으로써 공공복리의 증진에 이바지하기 위하여 제정되었다.
주요내용은 전기통신을 이용한 공공의 안녕질서 또는 미풍양속을 해하는 내용의 통신 금지,
전기통신사업자가 취급중에 있는 통신 비 의 침해나 누설 금지 등이다.
나 청소년보호법)
청소년보호법은 청소년에게 유해한 매체물과 약물 등이 청소년에게 유통되는 것과 청소년이
유해한 업소에 출입하는 것을 규제하기 위하여 제정되었다.
주요내용은 전기통신을 통한 음상정보 상정보 및 문자정보로부터 청소년을 보호하고 청, ,
소년보호위원회를 통한 청소년유해매체물의 심의 결정과 청소년유해매체의 등급 선정 표,・시 의무 청소년유해매체의 방송 및 광고제한 등이다, .
나 분석.
인터넷은 모든 종류의 정보유통이 자유자재로 이루어지는 가상공간이기 때문에 유익한 정보
뿐만 아니라 사회적으로 유해하거나 위함한 정보도 많이 유통되고 있으며 급속히 증가하고, ,
있다 이에 공공의 안녕질서 또는 미풍양속을 해치는 내용 범죄행위를 목적으로 하거나 범. ,
죄행위를 교사하는 내용 반국가적 행위의 수행을 목적으로 하는 내용 선량한 풍속 기타 사, ,
회질서를 해하는 내용의 통신에 해 그 취급을 거부 정지 또는 제한하여야 한다.・따라서 불건전정보에 한 개념규정의 명확화 및 이에 한 별도의 처벌법제인 가칭 불건‘
전정보유통방지및처벌에관한법률의 제정이 필요하며 전기통신사업자에게 불건전정보의 불’ ,
법적인 내용의 게재 여부를 감독하는 책임 부여 및 이용자의 불건전정보의 신고와 이를 감
시 고발하는 기구의 설립과 독일식의 정보통신상의 불건전정보로부터 청소년을 보호하기・위한 청소년보호관제 신설도 고려해 볼만하다.
전자우편 오남용 방지5.
가 입법현황.
미국1)
전자우편의 이용이 급속히 증가하고 있으며 더불어 전자우편을 이용한 불법행위가 다양,
화 지능화되고 있다 수신자가 원치않는 전자우편을 불특정 다수를 상으로 전송하거나.・경쟁기업의 이미지 손상을 위해 경쟁기업을 가장하여 광고성 전자우편을 발송하는 스팸 전
자우편 과 특정 수신자에게 량의 전자우편 전송으로 시스템을 마비시키거나(SPAM-Mail)
통신 및 인터넷 시스템을 정지시키는 전자우편 폭탄 등의 오남용 사례가 늘PC (Mail-Bomb)
고 있다.
전자우편의 업무 의존도가 증가하고 있으나 이에 한 사용지침이나 피해방지 책이 미비,
하여 차 의회에 네티즌보호법 미요청 상업 전자메일105 (Netizens Protection Act of 1997),
선택법 전자우편 보호법(Unsolicited Commercial Electronic Mail Choice Act of 1997),
이 제안된 상태이다(Electronic Mailbox Protection Act of 1997) .
나 분석.
전자우편 오남용 방지법을 통하여 발신자 금지조항 및 의무조항을 명시하고 위반시의ISP
처벌 조항과 수신자의 손해에 한 서비스제공자 및 발신자의 배상을 규정하는 것이 필요하
다.
정보보호기술 이용촉진 법령6.
각국은 국방 및 국가 안보와 접한 암호기술을 군수물자로 분류하여 국가적 독점상태에 있
었으나 전자상거래 등 민간분야의 수요증 에 따라 전략물자에서 민수용도로 전환하여 이,
중용도 로 분류하여 사용하고 있다(Dual-use) .
가 입법현황.
미국1)
가 공중네트워크 보호법) (Secure Public Network Act)
공중네트워크 보호법은 정부 의료 교육 상거래 통신을 위한 공공네트워크 보안을 강화, , , , ,
촉진하기 위하여 차 의회에 제안되었다105 .
주요내용은 정보보호제품의 비합법적 사용금지 개인간 암호통신의 암호키 의무적 제 자 위, 3
탁 금지 개인의 키운 기반구조 자율 참여 법적 권한없이 타인의 정보접근 및 공개 금지, , ,
정부기관의 암호화된 정보 접근 규정 불법적 정보접근에 따른 피해에 한 보상 규정 암호, ,
제품의 정부 조달 절차 암호제품의 수출 규제 및 절차 등이다, .
나 법) SAFE (Security and Freedom Through Encryption Act)
법은 암호기술의 사용 촉진으로 인터넷 상의 프라이버시 보호와 정보보호를 촉진하고SAFE ,
미국민의 암호 사용 판매 암호기술의 수출규제 완화로 수출을 증 시키기 위하여 회 의, , 105
회에 제안되었다.
주요내용은 암호제품의 사용 및 판매의 자유 의무적 키 위탁 금지 범죄행위를 위한 암호의, ,
불법 사용 금지 적성국이나 무역법에서 규정한 것을 제외한 암호제품의 수출 자유화 등이,
다.
나 분석.
미국 등 선진국에서는 암호사용에 한 논란이 지속되고 있으며 특히 산업계에서는 암호,
소프트웨어의 수출을 확 하기 위하여 정부에 규제완화를 요구하고 있다 그러나 각국 정부.
는 암호기술이 해외로 유출되는 것을 방지하기 위한 노력을 경주하고 있다 또한 범죄행위.
에 암호사용을 방지하기 위해 키위탁 키복구 정책을 추진하고(Key escrow), (Key recovery)
있으나 민간부문에서는 자율성의 침해로 이를 반 하고 있다, .
제 절 요약5
컴퓨터와 정보통신의 비약적 발전과 인터넷 사용의 확산에 따라 크고 작은 유형의 정보시스
템 오남용 사례가 매년 증가하고 있다.
우리나라의 정보시스템 오남용 사례 건수도 년 건임에 비해 년 건으로 증가1996 118 1997 125
하는 양상을 보이고 있고 그 피해액도 증가하고 있으며 이제는 다양한 범죄행위로 발전하,
고 있어 이에 한 비책을 서둘러야 한다.
정보시스템의 오남용 사례를 살펴보면 비윤리적인 행위가 가장 높은 것으로 조사되었으며,
부정정보처리 및 금융범죄에 의한 피해도 증가하고 있다 연령별 정보스스템 오남용 발생.
현황을 살펴보면 가 가장 많으며 년에 비해 년에 의 발생건수가 늘어나20 , 1996 1997 30
정보시스템 오남용에 한 가치관의 변화가 절실히 필요하다.
정보시스템 오남용 사례는 외부에 공표되지 않거나 침해 자체를 인식하지 못하는 경우가,
부분이기 때문에 실제 오남용 사례는 훨씬 많고 광범위할 것으로 사료된다.
외국의 경우 정보시스템 오남용 사례는 바이러스의 침해가 가장 큰 것으로 조사되었으며, ,
비 번호의 노출도 심각한 것으로 파악되었다 무엇보다 특이한 사실은 아직도 정보시스템.
오남용 주범의 과반수 이상이 내부직원으로 조사되어 자체 직원에 한 오남용 비책이 시
급히 마련되어야 한다.
정보시스템 오남용을 방지하기 위하여 기술적 책 못지 않게 중요한 것이 법제도적 비책
의 마련이다 미국을 비롯한 선진국은 정보시스템 오남용을 방지하고자 공공기관 및 민간기.
관 정보의 불법 접근 프라이버시 음란물 유포 전자우편 오남용 등 각 분야별로 입법을 추, , ,
진하고 있다 또한 전자상거래 등 응용 부분이 활성화됨에 따라 정보보호 기술을 사용할 수.
있는 제도 마련에 박차를 가하고 있다.
우리나라의 경우 전산망보급확장과이용촉진에관한법률과 정보화촉진기본법에 선언적으로,
기본적인 내용을 담고 있으며 공공기관의개인정보보호에관한법률이나 신용정보의이용및보,
호에관한법률 등 특정 목적을 위한 개별법에서 다소 언급하고 있다 따라서 정보시스템 오.
남용 방지를 위하여 전반적으로 필요한 사항을 도출하여 필요에 따라 단일법이나 특별법으
로의 입법 추진이 필요하다.
참고 문헌
이희선 정보통신망의 안전보안을 위한 법제도적 응방안에 관한 연구 한양 학교[1] , , ,
년 월1996 3
강동필 외 컴퓨터범죄와 법 제도현황 제 회 정보보호심포지움 년 월[2] , , 2 , 1997 6・박광진 외 정보화 역기능 향 분석 한국정보보호센터 년 월[3] , , , 1996 12
년[4] Computer Security Issues : 1996 Survey, Datapro, 1997
백 개 기업 상 정보보안실태 설문조사 컴퓨터와 커뮤니케이션 년 월[5] 2 30 ‘ ’ , , 1996 6
신각철 컴퓨터와 법률문제 법 사 년 월[6] , , , 1992 6
신각철 통신 법률문제 미래글 년 월[7] , PC , , 1992 5
[8] http://ftp.loc.gov/pub/thomas
신각철 정보통신관련법령집 년 월[9] , , 1996 5
사이토히로키 인터넷에 관한 사회적 윤리적 문제들 년 정기 국제심포지[10] , , , 1996 KITAL
움 년 월, 1996 6
[11] http://www.gov.sg/agc/agcciss/acts/c50a/c50a001.htm
[12] http://ourworld.compuserve.com/hompages/ckuner/multimd3.htm
[13] http://www.cdt.org/crypto/
제 장 정보보호 방침3
제 절 개요1
정보보호의 방침은 조직내에서 정보보호 관리를 다스리는 수단이다 어떤 정해진 방침이 있.
어 모든 조직에 적용 가능한 만능의 방침이 있는 것은 아니다 정보보호 관점에서의 방침이.
란 여러 가지 의미를 가지고 있다 방침은 보안 프로그램을 생성하고 그 목표를 설정하며. ,
책임을 부여하는 등의 최고 관리자의 지시를 의미하거나 특정 시스템을 위한 보안 규칙을,
의미하기도 한다 그밖에 전자우편 프라이버시 방침과 같이 완전히 다른 의미로 사용되기도.
한다 이러한 모든 유형의 방침에 공통적인 것은 최고 관리자의 결정사항이 기록된다는 사.
실이다 본 장에서는 위에서 언급한 모든 유형의 방침을 포함하는 광범위한 의미로 방침이. ‘ ’
라는 용어를 사용한다 이상적으로 방침은 보안과 생산성 사이의 균형을 유지해야 하며 조. ,
직 구성원이 능률을 이유로 보안을 소홀히 하지 않도록 최고 책임자 스스로 보안 방침을 지
키는 모습을 보여 구성원들의 동참을 유도해야 한다 정보보호는 조직의 모든 구성원이 정.
해진 정보보호 방침을 준수해야 소기의 목적을 달성하는 집단적인 노력이기 때문이다.
는 년 발간한NIST 1996 “An introduction to Computer Security: The NIST Handbook"[1]
에서 방침 종류로 구분하여 설명하고 있다 본 장에서는 의 방침과 방침 수립에3 . NIST 3
관련된 절차를 설명한다 프로그램 방침 은 어떤 조직의 정보보호 프로그램. (Program policy)
을 처음으로 만들 때 사용하는 것으로 정보 시스템 보안 구조 등과 같이 전체적인 정보보,
호 방법을 포함한다 문제 지향 방침 은 조직마다 특별히 관심있는 정. (Issue_specific policy)
보보호 문제를 다룬다 시스템 지향 방침 은 특정 시스템을 관리하. (System-specific policy)
는데 수반되는 여러 가지 정보보호 결정사항에 초점을 맞춘다.
제 절 분류 방침2 NIST
프로그램 방침1.
일반적으로 조직의 최고 경 자나 이사급 경 자는 해당 조직의 정보보호 프로그램을 구축
및 재구성하기 위하여 프로그램 방침을 수립한다 이러한 상위 수준의 방침에서는 프로그램.
의 목적과 조직 내에서 보안 프로그램이 적용되는 범위를 정의하고 관련 부서에 구현 및,
관리에 한 책임을 부여하며 준수해야 할 문제를 제시한다 이 방침에서는 보안에 한 조, .
직적 전략 방향을 설정하고 이를 실제 구현하기 위하여 자원을 할당한다 프로그램 방침에.
는 다음과 같은 구성요소가 포함된다.
목적 프로그램 방침은 프로그램이 수립되는 이유를 설명하며 프로그램의 목표를 정의:○
한다 무결성 가용성 기 성과 같은 보안에 관련된 요구사항은 방침에서 언급하는 목표의. , ,
근간을 이룬다 예를 들어 방 한 양의 중요 데이터베이스를 관리해야 할 책임이 있는 부서. ,
에서는 오류와 데이터 손실 혹은 데이터 파괴를 감소시키는 작업이 가장 힘들고 중심이 되
는 일이다 그러나 비 로 처리되는 개인정보를 관리하는 부서의 목표는 해당 개인정보에.
한 권한을 가진 경우에만 공개하도록 해당 데이터를 보호하는 것일 것이다.
범위 프로그램 방침은 정보보호 프로그램이 어떤 자원 시설 하드웨어 소프트웨어 정: ( , , ,○
보 직원 을 보호할 수 있는지를 명확히 밝혀야 한다 부분의 프로그램이 모든 자원을 총, ) .
망라하여 보호한다고 하나 항상 그렇지는 않다 어떤 경우에는 조직의 정보보호 프로그램을.
제한된 범위내에 적용하는 것이 적절할 수도 있다.
책임 일단 정보보호 프로그램이 수립되면 이의 관리를 기존의 부서나 새로 신설된 부:○
서에 할당하게 된다 앞서의 목적에서 설명한 바와 같이 프로그램 방침은 정보보호 프로그. ,
램을 수립하고 프로그램 관리 책임을 부여하는 중요한 기능을 수행한다 또한 프로그램 관.
리 책임 이외에 조직 전체의 부서별 및 개인별 책임도 확실히 밝혀야 한다, .
규정준수 프로그램 방침에는 두 가지 준수사항이 명기된다 첫째 프로그램 수립의 배: . ,○
경이 되었던 요구사항과 조직 내의 여러 부서에 할당된 책임이 제 로 이행되고 있는지의
확인에 한 규정이다 보통 감사 부서가 경 자가 정한 보안 프로그램의 우선 순위가 얼마.
나 잘 지켜지고 있는지를 감시하는 책무를 부여받기도 한다 둘째 프로그램 방침에서는 정. ,
보보호 방침을 위반한 사람들에 한 벌칙이나 징계를 명시한다 방침이 상위 수준의 문서.
이므로 여러 위반에 한 세세한 벌칙 내용이 기술되지는 않는다 다만 위반과 징계를 포함.
한 준수 사항을 방침에서 선언하는 것이다 규정준수 방침을 수립할 때 고용자의 입장에서. ,
는 지식이나 훈련이 결여되어 저지르는 경우와 같이 방침 위반이 의도적이지 않을 수 있다
는 사실을 명심해야 한다.
문제 지향 방침2.
프로그램 방침에서는 전사적 정보보호 프로그램을 다루는 반면에 문제 지향 방침은 현재,
관련되어 있거나 관심 있는 분야에 초점을 맞추어 개발된다 예를 들어 조직의 비상 계획에. ,
한 방식 분산식 중앙집중식 이나 시스템 위험 관리 방법론을 문제 지향 방침으로 개발할( , )
수 있다 특정 정보를 보호하기 위하여 추가 조치가 요구되는 법률 예를 들면 전산망법이나. (
형법 이 최근에 제정되어 이를 이행해야 하는 경우와 같이 새로운 이슈가 제기된 경우에도)
적절히 문제 지향 방침에 반 할 수 있다.
프로그램 방침은 광범위한 것이어서 수정을 자주 해야 할 필요가 없는 반면에 문제 지향 방
침에서는 기술 변화와 관련 요인이 발생할 경우 더욱 빈번히 수정해야 한다 문제 지향 방, .
침이 수립되어야 하는 많은 분야 중 두 가지 예를 들어보자.
예 인터넷 접근 많은 조직에서는 인터넷을 그들의 연구 기획 및 교류 증진 또는 비즈( )-1 :
니스 수단으로 간주한다 인터넷에 연결함으로써 많은 이점을 얻을 수 있다는 것은 불문가.
지의 사실이다 인터넷 통제에 관련된 방침에는 누가 통제할 것인가 어느 부류의 시스템이. ,
네트워크에 연결될 것인가 네트워크를 통하여 어떤 종류의 정보를 전송할 것인가 인터넷에, ,
연결된 시스템의 사용자 신분 증명에 필요한 요구사항 침입차단 시스템과 안전한 게이트웨,
이 설치 등이 포함된다.
예 전자우편 프라이버시 사람들은 동료 혹은 다른 사람과 비공식적으로 통신하기 위( )-2 :
하여 전자우편을 사용한다 그러나 시스템이 조직의 소유이기 때문에 바이러스 전파 파괴적. ,
인 전자우편 송신 기 유출 등이 의심스러운 경우와 사업 목적에 합당하게 사용하는지를,
확인하려는 경우 경 진에서는 때때로 고용인의 전자우편을 감시하기를 원한다 반면에 사, .
용자들은 관습적으로 우편물에 용인된 것과 동일하게 전자우편에서도 프라이버시를 보호받
기를 바란다 이 경우 방침에서는 전자우편을 이용할 때 어느 수준까지 프라이버시가 용인.
되는지와 어떤 상황에서 전자우편을 감시의 목적으로 읽어도 되는지를 밝혀야 한다.
프로그램 방침에서 제시한 것처럼 다음과 같은 기본적인 구성요소로 분할함으로써 문제 지
향 방침을 효과적으로 구성할 수 있다.
문제 기술 어떤 문제에 한 방침을 형식화하기 위해서는 이에 한 관련 용어 조건: ,○
등이 정의되어야 한다 여기에는 또한 방침 준수를 유도하기 위하여 방침의 목표와 정당성.
을 명시하기도 한다.
예를 들어 비공식적인 소프트웨어 문제에 한 방침을 수립하는 경우 이 비공식적인 소“ ” , “
프트웨어 는 해당 조직이 허가하지도 구입하지도 감시하지도 관리하지도 소유하지도 않은” , , , ,
소프트웨어를 의미한다고 정의할 수 있다 또한 예를 들어 고용인이 개인적으로 소유하고.
있으나 직장에서 사용할 수 있도록 허가 받은 소프트웨어와 계약을 맺어 다른 부서에서 소
유 및 사용하는 소프트웨어 등에 적용 가능한 특징과 조건이 포함될 수도 있다.
조직의 입장 명기 일단 문제가 기술되고 관련 용어와 조건이 논의되면 해당 문제에:○
한 조직의 입장이나 태도 즉 경 자의 결정 사항 를 명백히 밝혀야 한다 위의 비공식적인( ) . “
소프트웨어 문제에 하여 계속 설명하자면 기정의된 비공식적인 소프트웨어를 항상 혹은” ,
어느 경우에 금지할 것인가 이 소프트웨어의 허가 및 사용에 한 다른 지침이 있는가 경, ,
우에 따른 예외가 인정되는가 그렇다면 누구에 의해 무엇을 근거로 하는가 등등을 방침에,
명시해야 함을 의미한다.
적용 가능성 문제 지향 방침은 또한 적용 가능성을 명시해야 한다 이는 특정 방침이: .○
어디에서 어떻게 언제 누구에게 무엇에 적용될 수 있는지를 명확히 표현해야 함을 의미한, , , ,
다 예를 들어 비공식적인 소프트웨어에 있어서 해당 조직 내의 자원과 직원에게만 사용이. ,
국한되며 다른 장소에 있는 계약 조직에는 적용되지 않는다는 방침이 있을 수 있다 또한.
위치를 이동하면서 근무하거나 회사와 자택에서 근무하는 것과 같이 여러 장소에 파일을 들
고 다니는 직원과 같은 특이한 경우에 한 방침의 적용을 명백히 구분하여야 한다.
역할과 책임 문제 지향 방침에 자주 포함되는 것은 역할과 책임을 부여하는 것이다 이: .○
는 허가받은 경우에 한하여 고용인이 개인적으로 소유하고 있는 비공식적인 소프트웨어를
직장에서 사용할 수 있도록 허용하는 방침인 경우 이러한 경우를 용인하는 권한을 가진 자,
또는 직책을 명시하여야 한다.
비슷한 예로 허가 받은 소프트웨어만이 조직의 컴퓨터 자원에서 사용되도록 단속하거나 비,
공식적인 소프트웨어를 사용하는 사용자를 감시하는 책임이 누구에게 있는지도 확실히 밝혀
놓아야 한다.
규정준수 문제 지향 방침의 규정준수를 다루면서 허용될 수 없는 위반 행위를 어느 정:○
도 자세히 명시하는 것이 바람직하다 처벌은 인사방침 및 관례와 일관성 있어야 하며 해당. ,
부서장 및 노조 표와도 충분한 협의를 해야 한다 또한 규정준수를 감시하기 위하여 조직.
내에 특별 부서를 운 하는 것도 바람직하다.
연락처와 부수적인 정보 문제 지향 방침에서는 누구에게 연락해야 더 많은 지침 및 규:○
정준수 등의 정보를 얻을 수 있는지가 명시되어야 한다 연락처란 개인 혹은 직위를 나타낼.
수 있으나 어떤 업무를 담당하는 사람은 자주 바뀌지만 직위는 거의 변하지 않으므로 연락,
처는 사람보다 직위로 표시하는 것이 더 좋다.
시스템 지향 방침3.
프로그램 방침과 문제 지향 방침은 전체 조직을 고려한 넓은 범위를 다루며 자세한 세부 사
항들은 명기하지 않는다 시스템 지향 방침에서는 자세한 세부 사항들은 명기하지 않는다. .
시스템 지향 방침에서는 자세한 세부 사항에 초점을 맞추어 특정한 하나의 시스템에 한
보안 방침을 기술한다 보안 방침에 관한 결정 사항에는 시스템 수준에서만 적용될 수 있는.
것이 많으며 같은 조직 내에서라도 시스템마다 상이하다 이들이 겉보기에 방침이라고 하기.
에는 너무 구체적이라고 생각될 수 있으나 시스템 사용 및 보안에 중 한 향을 미치므로,
시스템 보안 방침은 매우 중요하다 이러한 종류의 결정 사항은 시스템을 단순히 기술적으.
로 관리하는 기술 간부가 아니라 경 진에 의해 내려져야 하며 그 예는 다음과 같다, .
누가 시스템의 데이터를 읽거나 수정할 수 있는가?○
어떠한 조건하에서 데이터를 읽거나 수정할 수 있는가?○
사용자들이 집에서나 출장 중에 전화선을 통하여 시스템에 접근할 수 있는가?○
일관적이고도 포괄적인 정보보호 방침을 수립하기 위해서 보안 목적 으(Security Objective)
로부터 보안 규칙 을 도출하는 과정이 필요하다 시스템 보안 방침은 보안 목(Security Rule) .
적과 보안 규칙으로 이루어진다.
가 보안 목적.
첫 번째로 특정 시스템에 한 보안 목적을 정의하는 것이다 이 과정은 해당 시스템의 무.
결성 가용성 기 성에 한 필요성을 분석하는 것으로부터 시작된다 보안 목적은 더욱 구, , .
체적이고도 잘 정의되어야 하며 이들 목적이 성취 가능하다는 것이 명확히 밝혀져야 한다, .
보안 목적은 자원에 한 의미있는 행위를 기술하는 문장으로 구성된다 보안 목적은 시스.
템의 임무나 기능적 요구사항에 근거하나 이러한 요구사항을 지원하는 보안 활동을 기술해,
야 한다 시스템 지향 방침이 수립됨에 따라 경 진에서는 여러 가지 사항에 하여 비용.
문제 운 및 기술상의 제한점 등의 의사 결정을 해야 한다 왜냐하면 이 방침에 명기된 보, .
안 목적들이 모두 다 만족되기는 어려울 것이기 때문이다.
보안 목적의 예 회계부 및 인사부 직원만이 급여 처리에 사용되는 정보를 제공하거나 수:정할 수 있다.
나 보안 규칙.
경 진에서는 보안 목적이 결정된 후 시스템을 운 하는 규칙이 제시된다 보안 규칙이란, .
누가 직책 직위 이름 어떤 조건하에서 어떤 데이터에 무엇을 예를 들어 수정 삭제 할 수( , , ) ( , )
있는가 하는 것이다 보안 규칙이 어느 정도 구체적이어야 하는지는 상황에 따라 많이 다르.
다 규칙이 구체적 일수록 위반된 경우를 알기 쉬울뿐 아니라 방침의 시행을 자동화하기 용. ,
이하다 그러나 너무 규칙이 자세히 지정될 경우 이들 규칙을 컴퓨터로 구현하는 것을 어렵. ,
고 복잡하게 만든다.
보안 규칙의 구체성 정도에 한 결정 이외에 경 진은 시스템 지향 방침을 문서화하는데,
있어서의 정형화 정도도 결정해야 한다 다시 말하면 방침 문서가 더욱 정형적(Formality) . ,
일수록 방침을 강제하고 준수시키기가 더 쉽다는 것이다 또한 시스템 수준에서 매우 구체.
적이고도 정형적인 방침은 관리적인 부담도 덜어준다 일반적으로 시스템에 한 접근권한. ,
은 구체적이고도 정형적으로 명기하는 것이 더 좋으며 접근 통제 방침을 이렇게 문서화할,
경우 방침을 준수하고 집행하기 더욱 쉽다 이와 마찬가지로 보안 책임의 할당도 자세하고.
형식적으로 기술해야 하는 분야이다.
다 시스템 지향 방침 구현.
기술은 시스템 지향 방침을 강제하는데 중요한 역할을 하며 이때 기술외적인 방법을 도외,
시하지 않는 것이 중요하다 예를 들어 기 보고서를 특정 프린터로 출력할 수 없도록 기.
술적으로 시스템 수준에서 통제할 수 있다 그러나 이와 함께 해당 프린터 출력에 접근할.
수 없도록 하는 물리적 보안 책이 강구되어야지 그렇지 않을 경우 원하는 보안 목적이,
달성되지 않는다.
종종 시스템 지향 보안 방침을 구현하는데 있어서 누가 어떤 자원에 어떤 유형의 접근을, ,
허용하는지를 컴퓨터 운 체계 수준에서 규정하는 논리적 접근 통제라는 기술적인 방법을
사용한다.
그러나 논리적 통제 통제를 보완하며 보안 방침을 강제하거나 지원하는 다른 자동화된 방법
도 사용할 수 있다 예를 들어 기술적으로 전화 사용자가 특정 번호에 해 전화를 못하도.
록 할 수 있다 침입 탐지 소프트웨어를 사용하여 의심되는 행동을 시스템 관리자에게 경고.
하거나 그러한 부정 행위를 중단시킬 수 있다 에서 플로피 디스크로 시스템을 부팅할, . PC
수 없도록 조정할 수 있다.
이렇게 시스템 보안 방침을 기술저긍로 강제하는 것에도 장 단점이 있다 즉 미리 수립된. ,・방침에 조그만 변화가 필요하거나 예외적으로 처리해야 할 경우가 생길 지라도 기술적인 통
제로는 이를 쉽게 구현하기 어려우며 보안 방침이 너무 경직되어 있을 때 이러한 상황은,
실제로 자주 발생한다.
제 절 방침 수립3
절차나 표준 지침 등은 이러한 방침이 조직 내에서 어떻게 구현되어야 하는지를 설명하는,
자료이다 관리자는 여러 가지 유형의 방침을 숙지함으로써 자기 조직에 중요한 정보보호.
문제를 용이하게 다룰 수 있다 정보보호 방침을 효과적으로 수립함으로써 궁극적으로는 더.
나은 정보보호 프로그램을 개발 및 구현할 수 있고 이에 따라 시스템과 정보를 적절히 보호
할 수 있을 것이다.
방침 수립시 고려 사항1.
첫째로 조직의 특성이 고려되어야 한다 정부기관 공공기관 기업 기업내의 부서 개인 등. , , , ,
조직의 규모와 정보 시스템의 활용 특성 등 비용효과적인 나름 로의 보안 목적을 달성할
수 있는 내용이어야 한다.
둘째 새롭게 제정 또는 갱신되는 보안 방침은 기존의 상부 조직의 방침이나 규칙 법령 등, ,
과 부합해야 한다 조직이 계층 구조로 이루어져 있고 단위 조직별로 방침을 갖을 경우 상. ,
부 조직의 방침을 준수하면서 자신의 조직의 환경에 맞게 세분화하여야 한다 정부 공공. ・조직의 경우 각 조직은 자체의 방침을 제정하기 전에 다음과 같은 법령이나 방침을 기반으
로 해야 하며 일반 민간 조직에서도 참고가 될 수 있다, .
전산망법 형법 개인정보보호법 등, ,○
국가전산보안업무 기본지침 안기부( )○
행정전산망 안전관리지침 총무처( )○
작성 방침2.
누가 방침을 만드는가 방침은 관리적 선언을 포함하고 있지만 이는 기술적인 지식을 배경?
으로 하고 시행가능해야 한다 따라서 기술적 보안 책임자 와 이 방침을. (technical personnel)
전 조직원에게 강제할 최고 관리자 가 협력해서 만들어야 한다 방침을 작성(decision maker) .
하는 동안 방침이 준수 가능한 실제적인 것으로 만들기 위하여 여러 부류의 사람들과 협의
가 이루어져야 한다 여기에는 시스템 관리자 보안 전문가 일반 사용자 감사자. , , , (auditor),
물리적 보안 요원 등이 포함된다 그리고 방침의 내용에는 주기적인 위함분석 결과에 따라.
제시된 보안 우선 순위에 한 결정을 반 하여야 한다.
방침의 해석 및 공포3.
방침을 잘 만들었다 하더라도 때에 따라 해석에 차이가 있을 수 있다 필요할 때 검토 해. , ・석 개정 등을 수행할 담당자나 위원회가 존재해야 한다 그리고 모든 이해 당사자의 의견.・을 충분히 반 할 수 있는 기간을 두어 방침이 효과적일수 있도록 해야 한다.
방침이 작성되면 이를 전체 직원 및 사용자에게 완전히 알리고 이해시켜야 한다 여기에서.
는 토론회를 개최한다거나 비디오 상 온라인 메모 게시 외부 보안전문가 초정 강연회, , ,
등을 통해 경 자의 정보보호에 한 우선적인 관심을 나타내야 한다 방침의 공포에 한.
초기 노력에 더하여 보안 방침에 한 계속적인 인식을 유지하는 것이 필요한데 현 사용자, ,
는 주기적인 재교육을 신규 사용자에게는 신입교육의 일부로 포함시켜야 한다 신규 사용자, .
에게는 방침을 읽고 이해하고 있다는 내용의 서약을 받는 것도 나중의 방침의 위반시 법률
적 조치에 도움이 된다.
방침의 구현4.
넓은 의미로 모든 보안 책은 보안 방침을 구현하기 위한 것이라고 할 수 있다 보안 방침.
은 무엇 이 보호되어야 하며 어떤 우선순위 등 보안 문제 처리에 한 전반적인 방(WHAT) ,
식 등에 한 기술이며 이는 구체적으로 해석되고 누구나 이해하도록 하여야 한다 방침 자, .
체에는 어떻게 에 한 언급은 없다 예를 들어 모든 컴퓨터 사용자들은 인증되어야(HOW) . “
한다 라고 보안 방침에서 명시할 수 있지만 패스워드를 사용하여 인증할 것인지 스마트 카” , ,
드를 사용할 것인지에 한 방법론은 기술하지 않는다 왜냐하면 사용자 인증 방식은 조직.
의 정보 보안 수준이나 인증 방식의 비용 등이 고려되어 언제라도 변경될 수 있는 것이기
때문이다 따라서 보안 방침은 어떤 식으로든 실행 가능한 형태로 구현되어야 하는데. , NIST
는 방침의 구현 방식을 가지로 구분하고 있다3 [1].
표준 조직의 전반에 걸쳐 일률적으로 사용하는 보안 책을 명시한다 예를(Standard) : .○
들어 사용자 인증을 위하여 동일한 스마트 카드 사용을 표준으로 명시할 수 있다.
지침 방침은 해야만 한다 라는 의미이고 지침은 할 수 있다 라는 의미이(Guideline) : “ ” , “ ”○
다 즉 지침은 선택적이던가 권고 사항으로 보다 융통성을 가진다. , .
예를 들어 사용자 접근 통제를 위한 지침에서 강한 사용자 인증을 위하여 스마트 카드와“
같은 것을 사용할 수 있다 라고 표현할 수 있다” .
절차 보안 관련 사안에 한 상세한 보안 조치를 기술한다 예를 들면 직원(Procedure) : .○
이 퇴직되었을 경우 따라야 할 보안 절차가 존재하여 이에 따른 조치를 취한다.
방침의 위반5.
위반이 발생하는 경우는 당사자의 태만과 우연의 실수를 비롯하여 현재의 방침을 적절히 공
지받지 못하 거나 현재의 방침을 이해하지 못하는데도 연유한다 그리고 방침을 알면서도, .
위반 행위를 하는 경우도 있다 이러한 위반이 발생할 경우에 조직 차원에서 즉시 응할.
수 있는 지침이 사전에 마련되어야 한다 여기에는 위반 행위의 방법과 원인을 조사하고 적.
절한 원상 복구 조치 취약성 복구 포함 에 한 언급도 포함한다 또한 외부 조직 사법 수( ) . ( ・사 당국 외부 응팀 언론사 과 언제 누가 어떻게 접촉하는지 등에 한 절차도 포함된, , ) ・ ・다.
비용 문제6.
정보보호 방침을 개발 구현하는데 관련된 잠재적 비용에는 여러 가지가 있다 전체적으로.・볼 때 방침 비용의 부분은 방침의 구현비용이다 또 다른 비용은 방침에 한 기초 설계, . ,
검토 조정 유포 공포 등의 방침 수립 과정에 소요되는 비용이다 성공적인 방침 구현을 위, , , .
해 부가적인 직원 고용이나 훈련이 필요하며 또한 시간을 요한다 일반적으로 정보보호 방.
침의 수립 및 구현에 소요되는 비용은 경 진이 수용할 수 있는 위험 수준을 성취하는데 얼
마나 많은 변화가 필요한지에 달려 있다.
제 절 요약4
정보보호 방침이란 정보보호 프로그램을 생성하고 그 목표를 설정하며 책임을 부여하는 등,
의 경 층의 지시를 의미하거나 특정 시스템을 위한 보안 규칙을 의미한다 본 장에서는 이.
러한 경 층의 결정사항을 가 분류한 가지 유형과 이들 유형의 구성 요소를 설명하NIST 3
다 프로그램 방침은 조직의 정보보호 프로그램을 수립하는데 사용되며 문제 지향 방침은. ,
조직의 특정 당면 문제에 관한 보안 방침을 다룬 것으로 기술 변화에 따라 수정이 잦다 시.
스템 지향 방침은 특정 시스템을 보호하기 위해 경 자가 취하는 결정을 방침화 한 것이다.
일괄적이고 포괄적인 방침을 수립하기 위해 보안 목적과 보안 규칙의 단계 보안 모델로부2
터 시스템 지향 보안 방침을 도출할 수 있다 보안 방침의 수립은 조직의 특성을 반 하고. ,
상위 규정이나 법률 등을 포함하여야 한다 잘 만들어진 방침도 주기적으로 검토되고 필요.
에 따라 개정되어야 하며 이때 모든 이해 당사자가 이해할 수 있는 기회를 만들어야 한다, .
방침은 무엇에 한 기술이며 어떻게에 한 구현은 표준 지침 절차의 형식으로 나타난, ・ ・다.
참고 문헌
[1] An Introduction to Computer Security: The NIST Handbook, NIST Special
Publication 800-12, 1996.
[2] BS 7799:1995, Code of practice for Information security management, British Standard
Institute, 1995.
[3] C. Cresson Wood, Information Security Policies Made Easy, Baseline Software Inc.,
1996.
[4] Karen A. Forcht, Computer Security Management, boyd & fraser publishing
company, 1994.
[5] Charles P. Pfleeger, Security in Computing, Prentice Hall, 1989.
[6] K.M. Jackson et al., Computer Security Reference Book, CRC Press, 1992.
[7] S. Rao Vallabhaneni, Auditing Computer Security, John Wiley & Sons, Inc, 1989.
[8] Rita C. Summers, Secure Computing threats and safeguards, McGraw-Hill, 1997.
제 장 위험분석 및 관리4
제 절 개요1
위험관리의 개념1.
위험관리란 조직이나 기관의 자산을 보호하기 위하여 이에 한 위험을 분석하고 비용 효과/
측면에서 적절한 보호 책을 마련함으로써 위험을 감수할 수 있는 수준으로 유지하는 일련
의 과정이다.
미국의 많은 공식적 위험분석 방법은 년 에 시작되었다 처음에는 위험분석과 평가가1970 .
부분 물리적 위협에 적용되어 이에 따르는 잠재적인 손실을 위협의 발생 가능성에 관해
계산하 다 이후 보험산업에 의해 마련된 위험의 개념은 데이터 프로세싱 분야에 적용되었.
다 각종 무형의 정보가 가치를 갖게되며 정보시스템에 관련된 투자가 형화되는 오늘날[1].
에는 정보시스템의 위험관리가 더욱 중요해지며 관련된 자산의 특성 및 취약성 각종 위협,
의 형태와 책들이 새로운 형태를 띄게 되므로 이에 한 새로운 분석방법이 요구된다.
위험관리의 필요성2.
체계적인 위험분석과정 없이 보호 책을 수립할 경우 취약점과 위협에 한 우선순위가 설
정되지 못하여 보호 책 수립에 불필요하거나 과도한 투자를 하게 될 수 있으며 또한 보호
책의 수립에도 불구하고 존재하는 위협에 적절하게 처하지 못하는 경우가 발생하게 된
다 자산의 가치와 손실을 측정하여 절절한 수준의 보호 책을 필요한 곳에 마련하기 위해.
서 위험분석 및 관리가 필수적으로 요구되는 것이다 위험분석이 정확하게 수행되지 않았거.
나 그에 따른 위험관리가 제 로 이루어지지 않았다면 각종의 보안조치는 그 효력이 감쇄,
될 수 밖에 없다.
따라서 위험관리는 효과적인 보안정책 및 보호 책 수립을 위하여 필요한 기본적 요소로 점
차 인식되어가고 있다[2].
위험관리 현황3.
미국을 중심으로 한 선진국에서는 여년 전부터 양질의 정보와 서비스를 위해 정보시스템10
에 관련된 위험분석과 위험관리에 한 가이드라인을 제시하고 있다 국내의 경우 기[3,4,5].
업에서는 기술력 부족 보안조직의 부재 등으로 위험분석 및 관리가 활성화되지 못하고 있,
으나 일부 관련 기업이나 학에서 이에 한 연구와 사업을 활발히 추진하고 있으며 그 필
요성에 한 공감이 폭넓게 이루어지고 있다[6,7,8,9,10,11,12,13].
제 절 위험관리와 위험분석2
기본 개념1.
위험분석은 조직 자산의 취약성을 식별하고 존재하는 위협을 분석하여 이들의 발생가능성
및 위협의 끼칠 수 있는 향을 파악하여 보안 위험의 내용과 정도를 결정하는 과정이다.
위험분석의 결과는 적절한 보호 책을 선정할 수 있는 근거가 된다[7,14].
위험분석을 포함하는 위험관리는 위험분석 단계에서 측정된 위험을 감수 하거나 보(accept)
호 책을 수립함으로써 제거 또는 감소하는 결정과정을 거쳐 적절한 보호 책을 선정하고,
이를 구현 시험한 후 새로운 보호 책을 포함하여 잔류 위험의 재평가를 수행하는 총체적,
인 과정으로 이루어진다[2,5,6].
다음 절에서 상세히 설명하겠지만 일반적으로 위험은 잠재적인 위협이 현실화되어 나타날,
경우의 손실액과 그러한 손실이 발생할 확률의 곱으로 정의된다.
즉 위험은 잠재적인 손실액이라고 할 수 있다, [15].
위험 위협이 성공할 가능성 위협 성공시 손실의 크기= × ----- (1)
이러한 위험공식을 이용하여 위험관리과정에서 일어나는 결정에 한 제한조건을 보여주는
공식이 있다BPL [16].
B > P L ---------------------------------------------(2)・
는 보호 책을 구현하는데 필요한 비용 이며 는 손실이 일어날 확률B (burden) P (probability)
이다 은 특정 사건에 의한 총체적 손실 을 나타낸다. L (loss) .
위의 식 가 나타내는 것은 손실이 발생할 가능성과 그 경우의 손실의 크기를 곱한 값보(2)
다 보호 책의 비용이 크다면 그 위험을 감수한다는 것이다 반면 이 보호 책의 비용. , P L・보다 커지게 되면 그 보호 책을 구현하여야 한다 이것은 보호 책의 구현과 운용에 드는.
비용이 보호 책의 구현으로 얻을 수 있는 잠재적인 손실의 감소량보다 작아야 한다는 것을
의미한다 이 공식은 위험관리에서 최적의 보호 책을 선정하기 위해 사용된다. .
위험분석의 요소2.
위험관리의 핵심은 위험분석이며 이를 위해 다양한 위험분석 방법론이 제시되고 있다 위험.
분석에서 사용되는 핵심 개념에는 자산 위협 취약성 보호 책 위험 등이 있는데 각 방법, , , ,
론마다 이들의 정의에 미묘한 차이가 있다[17].
그림 위험관리의 핵심 개념들( 4-1)
다음의 그림 은 일반적으로 위협 보호 책 취약성을 설명할 때 사용되는 모형을 각( 4-1) , ,
각의 예를 포함하여 상세화한 것이다 위협에는 입력 오류와 같은 사람에 의한 비의도적인.
위협 전자우편폭탄이나 해킹과 같은 사람에 의한 의도적인 위협 천재지변과 같은 자연적, ,
인 위협들이 있을 수 있으며 이러한 위협에 하여 다양한 보호 책들이 존재하게 된다 그.
러나 보호 책이 존재하지 않거나 보호 책이 존재하더라도 해당 위협을 막기에 충분하지
못할 경우 자산에 존재하는 취약성에 이 위협이 작용하게 되면 손실이 발생하게 된다 이, .
때 발생하는 자산의 손실 크기와 해당 위협이 발생하는 가능성의 함수로 위험의 크기가 결
정된다.
가 자산. (asset)
정보시스템에 한 위험분석에서 자산은 데이터 또는 정보 하드웨어 소프트웨어를 포함한, ,
다 일반적으로 조직의 자산은 물리적인 자산 정보 자산 각종 소프트웨어 관련 인원 및 각. , , ,
종의 무형자산까지를 포함한다.
예로 다음과 같은 분류가 있다[7,14,18].
정보 자산 통계 개인 물류 운 등 각종의 정보 문서 절차 등을 말한다 이러한 정: , , .○ ・ ・ ・보는 데이터베이스나 파일 각종 저장 매체에 저장될 수 있으며 문서화되어 존재할 수도 있, ,
다 일반적으로 정보라고 생각하는 것 외에도 스케쥴 운 지침 감사문서 또는 비상계획 보, , ,
안절차 입출력 절차 등의 운 상의 자료나 절차도 정보자산으로 분류할 수 있다, .
물리적 자산 환경 시스템 공기조절기 전압조정기 통신회선 등 건물 사무실 설비 및: ( , , ), ,○
공간 등
하드웨어 자산 중앙처리장치 메인 메모리 입출력 채널 콘솔 저장매체 디스크: (CPU, ) , , ( ,○
마그네틱 테이프 하드디스크 디스켓 등 입출력장치 프린터 터미널 디스크 드라이버 테, , ), ( , , ,
이프 드라이버 등 및 통신 장비 통신선로 다중화장비 교환장비 전화 모뎀 케이블) ( , , , , , , LAN
등)
소프트웨어 자산 운 체제 프로그램 응용 프로그램 유틸리티 프로그램 테스트 프로그: , ( , ,○
램 통신 프로그램 등, )
무형적 자산 조직의 이미지 신뢰도 등: , .○
인적 자산 개발자 관리자 운 자 등: , , .○
한편 자산은 중요도와 함께 비 성 무결성 가용성과 같은 유지되어야 할 속성을 가질 수, ,
있다 홈페이지의 안내 정보처럼 공개되어야 하지만 무결성이 유지되어야 하는 정보가 있는.
반면 공개되면 조직이나 국가에 손실이 발생하는 정보가 있을 수 있다 또한 같은 속성을.
가진 정보도 그 민감도에 따라 등급화하여 분류될 수 있다[4].
이러한 속성은 위험 발생시 자산의 손실을 결정하는데 필요한 정보이다.
손실 은 향 이라고도 부르며 보안사고가 자산에 미치는 결과로 정의한다 자산(loss) (effect) .
의 파괴 기 성 무결성 가용성의 상실 또는 조직의 이미지 추락과 같은 것들이 이에 포함, , ,
된다 이를 양적으로 측정함으로써 보안사고로 인한 손실과 손실을 완화하는 보호 책에.
한 비용간의 균형을 맞출 수 있다.
자산의 분류는 현재 수행하고자 하는 위험분석의 범위와 목적 또는 특정 모델에 따라 이루,
어진다 자산을 분류하고 그 가치를 파악하여 손실 발생시 전체의 향을 분석하는 과정을.
자산 식별과정이라고 하며 이것이 위험분석의 첫 번째 단계이다[8].
나 위협. (threat)
위협은 일반적으로 내부자 위협이나 자연재해처럼 손실을 발생시키는 원인 이나‘ ’ ‘ ’ (source)
행위자 로 정의된다 그러나 정보시스템의 위협을 상세히 파악하고자 할 경우 비인가(agent) . ‘
된 노출의 위협과 같이 위협이 현실화했을 때 나타나는 결과로 위협을 정의하기도 하고’
패킷의 인터넷 주소변경 위협처럼 위협사건이 일어나는 방식으로 정의되기도‘ (IP spoofing) ’
한다 원인 방식 또는 결과 중 어느 것에 기반하여 중점적으로 분류하느냐는 위협의 식별. , ,
및 평가에 향을 미친다[17].
위협은 위협원천에 따라 크게 자연재해에 의한 것과 인간에 의한 것으로 나눌 수 있고 인,
간에 의한 위협은 다시 의도적인 위협과 비의도적인 위협으로 나눌 수 있다[7,14].
자연적 위협○
자산은 화재 홍수 폭풍 지진 등에 의해 위협을 받을 수 있다 자연적 위협은 단번에 정보, , , .
시스템 전체를 손상할 수 있고 자연재해에 따르는 정전 등의 사고는 정보시스템 안에 저장,
된 정보자산들의 파괴 손상을 가져올 수 있다, .
사람에 의한 의도적 위협○
정보의 집중화와 통신망 이용이 일반화됨에 따라 해커와 같은 컴퓨터 공격자들의 해킹이 날
로 고도화 전문화되어가고 있다 이러한 사람에 의한 의도적인 위협에는 정보자산의 파괴. ,・절도 불법사용 이용 방해 정보의 위조 변조 삭제 유해 프로그램의 삽입 등의 유형이 있, , , , , ,
다 오늘날 모든 국가 사회 구성원이나 조직들이 정보시스템을 이용하고 있는 시점에서 사. ・람에 의한 의도적인 위협은 심각한 사회적인 문제인 동시에 위험의 가장 큰 원천이 되어 가
고 있다.
사람에 의한 비의도적 위협○
정보시스템의 조작 미숙으로 인한 실수나 데이터의 누락 중복 등의 실수,
정보시스템의 결합○
불안전한 정보시스템의 운 은 직접적인 피해뿐만 아니라 간접적으로 해커의 공격에 이용될
수도 있다 운 체제의 결함 응용프로그램의 결함 과부하 하드웨어 고장 전원 고장 통신. , , , , ,
망 장애 등이 있다.
다 취약성. (Vulnerability)
위험분석의 정의에 있어 가장 논란이 많은 것은 취약성이다 취약성의 존재는 위협이 없으.
면 손실로 이어지지 않지만 위협요소들이 침입할 수 있는 근거가 된다 반 로 위협이 있다, .
해도 시스템에 해당 취약성이 없다면 그 위협은 손실을 발생시키지 않는다.
취약성 개념의 정의는 가지 정도로 별된다 첫째는 취약성을 자산의 속성3 [9]. ‘ (Attribute
으로 정의하는 것이다 과 는 취약성을 자산을 손상키켜서Of Assets)' [7,8]. Otwell Aldridge “
위험을 일으키는 시스템의 성질 로 정의하면서 보다 구체적으로 시스템 내에서 불법적 상” “
태로 변화되는데 소요되는 노력의 양 에 한 역척도(the amount of effort) (inverse
라고 설명하 다 또한 는 취약성을 기존 시스템의 약점 이라고 정의하measure)" [19]. Moses ” “
다[20].
둘째는 취약성을 자산과 위협의 관계 로 보는 것‘ (relationship between assets and threats)'
이다 는 취약성을 자산 위협 보호 책 보호 책 효과 간의 함수관계를 갖는 실체. Katzke “ , , ,
라고 정의하 다 는 취약성을 위협 향과 자산의 응관계 로 파악하(entity)’ [21]. Schmidt ” “
고 취약성을 도출하기 위해서 다음과 같은 가지 고려사항을 제시하 다 첫째는 자산, 3 [22].
이 위협받을 가능성 둘째는 자산이 위협에 의해 손상되는 정도 셋째는 보호 책의 효과이, ,
다.
끝으로 셋째는 취약성을 보호 책의 결핍 으로 정의하는 것이다‘ (absense of safeguards)' [9].
는 취약성을 보호시스템 내의 약점 혹은 보호 책의 결핍 이라고 정의하 다Guarro(1988) “ , ”
[23].
라 보호 책 또는. (safeguard countermeasure)
보호 책은 취역성을 위협으로부터 보호하기 위해 수립하는 책이다 보호 책은 물리적.
책 기술적 책 절차적 책으로 나눌 수 있다 물리적 책에는 수위 자물쇠 통신망의, , . , ,
물리적 차단 등이 기술적 책에는 패스워드 각종 접근통제 소프트웨어 침입차단 시스템, , ,
등이 절차적 책에는 출입자 기록부 외부인의 직원 동행 등의 방법이 존재한다, , .
위험분석시 기존에 설치된 보호 책의 식별과 정상작동 여부를 반드시 확인하여야 하며 새,
로운 보호 책을 검토할 경우 새로운 보호 책이 기존의 보호 책의 기능을 무효화시키지
않는지 검토하여야 한다[13].
보호 책을 선정하기 위해서는 그 보호 책이 어느 정도 위험을 낮출 수 있으며 이것이 보
호 책 수립의 비용을 정당화할 수 있는지가 반드시 고려되어야 할 점이다 이를 위해서 객.
관적인 평가가 이루어진 책을 선택하는 것이 바람직하다.
특히 기술적인 보호 책은 그 안전 신뢰성을 일반인이 평가하기 어려우므로 미국을 비롯한・선진 각국은 자체적인 기준에 따라 보안제품을 평가하고 있으며 를 통하여 이러한 평가ISO
기준의 표준제정을 추진하고 있다[8].
국내에서도 한국정보보호센터에서 정보보호시스템의 안전 신뢰성을 평가하는 정보보호시스・템 평가기준을 개발중에 있으며 이를 위험분석에 이용하기 위한 방법론도 개발하고 있다[8].
마 위험. (Risk)
경 학에서는 위험을 크게 이득 기회가 없는 순수 위험과 이득 기회가 있는 투기적 위험으
로 나누는데 보안 위험은 순수 위험에 속한다 위험관리에서의 위험은 위협과 자산의 함[24].
수이다 일반적으로 위험은 위협이 자산에 손실을 발생시킬 가능성과 그 사건이 일어났을.
때의 자산 손실의 곱 즉 기 손실로 나타낸다 에서 제안한, . FIPS 65[3] ALE(Annual Loss
척도가 표적이다Expectancy) .
위험을 분석하기 위한 손실발생확률 및 손실액을 계산하기 위해 고려해야 할 요소와 산정
방식에 하여는 연구자에 따라 다양한 정의와 모델이 개발되었다 특히 정보시스템[5,7,25].
에서 나타나는 위험의 경우 실제로 고려해야 할 요소가 너무나 많고 이들이 서로 향을 끼
치는 방식을 모델링하기가 어렵기 때문이다 이러한 요소들 간의 관계를 표현하고자 하는.
노력의 예로서 의 모델을 그림 에 보 다Bodeau ( 4-2) [17].
위험분석 모델3.
위험분석의 모델은 위험분석의 전반적 흐름을 보여준다 이들은 구체적인 방법론과 연결된.
것도 있고 어떠한 방법론이든 선택하여 사용할 수 있도록 일반적인 위험분석의 단계만을 보
여주는 것도 있다 위험분석 모델의 시초는 년 미국 에서 발행한 자동화된 데이터. 1979 NIST
처리에 관한 위험분석 지침서 에서 찾아 볼 수 있다[4] .
그림 의도적인 노출 위험의 분석을 위한 고려 요소들 간의 관계 모델링( 4-2)
이후로 각 기관의 실정에 맞는 위험분석의 필요성이 강조됨에 따라 미 법무성의
나 및 에너지성의 위험분석 모델이 개발되었으며SRAG(Simplified Ri Interagency Report)
캐나다 및 국CSE(Communications Security Establishment) CCTA(Central Computer
등에서는 자국의 정부기관을 위한 위험 분석 관리 모델and Telecommunication Agency) ・을 개발하여 사용하고 있다[5,6,26].
에서도 보안관리 표준화 작업의 일환으로 위험관리 모델을 개발하고 있다 또한 상ISO [27].
용의 위험분석 도구들 역시 각자의 모델과 방법론에 따라 위험분석을 수행하고 있다. NIST
의 위험분석 모델을 소개하면 그림 에 나타낸 바와 같다( 4-3) .
그림 의 위험분석 모델( 4-3) NIST
일반적인 위험분석의 과정은 조직의 자산을 식별하고 가치를 파악하는 것으로 시작한다 그.
다음 조직의 정보환경에 따라 가능한 위협요소를 식별한 후 이들의 발생 가능성을 조사한
다 또한 위협요인이 향을 끼칠 수 있는 자산의 취약성이 존재하는 지를 파악하고 문제.
발생시 나타날 손실을 측정한다 연구자와 방법론에 따라 위협과 취약성의 분석의 내용과.
강조점에 약간씩 차이가 있다.
이러한 점을 고려하여 방법론을 선택하여야 한다.
보호 책이 존재하는지 조사하고 이들 보호 책이 어느정도 위협 및 손실을 막을 수 있는지
분석한다 이에 따라 현재 조직이 처한 위험을 계산하여 각 위험의 정도와 우선순위를 결정.
하는 것까지를 일반적으로 위험분석에 포함시킨다.
다음으로 우선순위가 높은 위험부터 이를 제거하거나 감소시킬 수 있는 보호 책을 조사하
고 보호 책을 구현하 을 때 나타나는 향을 분석하여 제거되는 위험의 크기를 보호 책,
의 구현에 드는 비용과 비교함으로써 한을 마련한다 어떠한 안을 선택하고 어느 정도.
의 위험수준을 감수할 것인지는 관리적인 결정이므로 이러한 분석결과가 책임이 있는 관리
자에게 정확히 전달되어야 한다.
안으로 선정된 보호 책을 구현 시험하여 설치하고 운 한 후 사후 평가에 따라 추가적,
인 조치를 취할 것인지를 결정하는 것이 위험관리의 한 순환주기를 이루게 된다.
위험관리가 효과적이기 위해서는 연례적인 위험분석이 필요하다 현재와 같이 급변하는 정.
보환경에서는 위협의 종류와 응책이 모두 변하기 때문이다.
제 절 위험분석 방법론3
방법론의 분류1.
위험분석의 방법론은 위험분석 결과의 성격에 따라 크게 정량적 방법과 정성적 방법으로 나
뉜다 정량적 방법은 손실 및 위험의 크기를 금액으로 나타내는 정[2,6,7,8,9,10,11,12,13,28].
한 분석이 요구되는 방법이며 정성적 방법은 손실이나 위험을 개략적인 크기로 비교하는 방
식이다 이들의 특징을 표 에서 비교하 다. [ 4-1] [8].
또한 정량적 방법과 정석적 방법을 모두 이용하는 혼합접근방법 또는(mixed approach
도 있다 이것은 일차적으로는 정성적 방법을 이용하되 특정한 관심combined approach) [27].
사에는 면 한 정량적 결정을 내리는 방식이다 위험분석도구 중 정량적 정성적 방식을 모. /
두 사용하는 것은 정량적 방식의 분류에 넣었다.
표 결과의 성격에 따른 분류[ 4-1]
정량적 접근방법(Quantitative Approach)
정성적 접근방법(Qualitative Approach)
개념위험발생확률 손실크기 기 위험* =가치 분석
손실크기를 화폐가치로 표현하기-어려움위험크기는 기술변수로 표현-
유형
수학공식 접근법- ,확률분포추정법- ,확률지배- ,몬테카를로 시뮬레이션- ,과거자료 분석법-
델파이법- ,시나리오법- ,순위결정법- ,퍼지행렬법- ,질문서법-
주사용지역 미국- 유럽-
척도 연간기 손실- (ALE) 점수 점척도 점척도- (5 , 10 )
장점비용 가치분석 예산계획 자료분석- / , ,
이 쉽다
금액화하기 어려운 정보의 평가가-가능하다분석시간이 짧고 이해가 쉽다-
단점 분석의 시간 노력 비용이 크다- , ,평가 결과가 주관적이어서 사람에-
따라 달라질 수 있다
도구BDSS, RISKCALK, RISKWATCH,AnalyZ, RANK-IT, LRAM
CRAMM, LAVA, RISKPAC,MARION, NetRISK
이들 방법론은 위험분석시의 요구사항에 따라 기본통제 접근방법과 위험분석 접근방법으로
분류되기도 한다 이의 특징을 표 에서 간단히 설명하 다[8]. [ 4-2] .
이 외에 수명주기식 접근방법 을 요구사항에 따른 분류에 넣기도 하나 이는 위험분석의[5,11]
새로운 방법이라기 보다는 위험분석을 시스템의 전체 수명주기에 걸쳐 통합적용하여야 한다
는 요구사항이다.
다음 절에서는 위험분석의 내용을 소개한다.
표 요구사항에 따른 위험분석 방법론의 분류[ 4-2]
기본통제 접근방법(Baseline Approach)
위험분석 접근방법(Risk Analysis Approach)
에서 년 시작 년 에서- SRJ 1970 , 1982 DoJ권장하여 확산
여개의 통제요소로 구성됨- 300분석 및 응책 선정이 용이하고 경제적-
임새로운 위협에 한 처가 곤란함-
특정 정보시스템에 한 위험평가를 통-하여 최선의 보호 책을 선정하는 방법
모델(B>L P )・다양한 방법론 존재-일반적으로 복잡하고 비용이 많이 드나-
조직의 상태를 파악하고 새로운 위협의처에 적합함
정량적 위험분석2.
가 과거자료 분석법.
미래 사건의 발생 가능성을 예측하는 방법으로 과거의 자료를 통해 위험 발생 가능성을 예
측하는 것을 과거자료 분석법이라 한다.
분석의 특징○
장점 위협에 한 과거 자료가 많을수록 분석의 정확도가 높다- : .
단점 과거에 일어났던 사건이 미래에도 일어난다는 가정이 필요하며 과거의 사건 중 발- :
생빈도가 낮은 홍수 지진 등 자료에 해 적용이 어렵다( , ) .
분석절차○
단계 과거의 위협 자료를 수집한다- 1 : .
단계 빈도분포표를 작성한다- 2 : .
단계 단계 에서 수집한 위협 발생 빈도의 평균 가치 손실 을 계산한다- 3 : 1 ( ) .
단계 보호 조치를 한다- 4 : .
단계 기 손실을 절감한다- 5 : .
단계 계량적으로 계산할 수 없는 수익을 고려한다- 6 : .
단계 이익을 계산한다- 7 : .
단계 비용효과에 따라 보안조치 결과를 조정한다- 8 : .
나 수학공식 접근법.
위협의 발생빈도를 계산하는 식을 이용하여 위험을 계량하는 방법이다 과거 자료의 획득이.
어려울 경우 위협 발생빈도를 추정하여 분석하는데 유용하다.
분석의 특징○
장점 위험을 정량화 하여 매우 간결하게 나타낼 수 있다- : .
단점 기 손실을 추정하는 자료의 양이 낮다- : .
분석절차○
단계 위협변수들을 식별한다- 1 : .
단계 발생빈도를 추정한다- 2 : .
단계 연간기 손실 을 추정하여 계산한다- 3 : (ALE : Annual Loss Expectancy) .
다 확률분포법.
미지의 사건을 추정하는데 사용되는 방법이다.
분석의 특징○
장점 미지의 사건을 확률적 통계적 편차를 이용하여 최저 보통 최고의 위험 평가를- : ( ) , ,
예측할 수 있다.
단점 확률적으로 추정하는 방법으로서 정확성이 낮다- : .
분석절차○
단계 최고와 최저를 제외한 추정치의 산술 평균치를 구한다- 1 : .
단계 추정 산술 평균치에 표준화된 인자 값을 곱한다- 2 : .
단계 기 위험 확률치를 구한다- 3 : .
라 점수법.
위협발생요인에 가중치를 두어 위험을 추정하는 방법이다.
분석의 특징○
장점 위험분석에 소요되는 시간과 분석 자원의 양이 적다- : .
단점 추정의 정확도가 낮다- : .
분석절차○
단계 위험 발생을 야기시키는 요인을 기술한다- 1 : .
단계 위험분석자는 위협발생을 야기시키는 요인이 형성될 수 있는 가능성 정도를 측- 2 :
정한다.
단계 각 요인에 가중치를 두어 강도지수 를 구한다- 3 : (ASI : Aggregate Severity Index) .
단계 이론적 최 값을 이용하여 모든 요인의 최 강도지수를 구한다- 4 : .
단계 발생빈도에 한 구간측정을 한다- 5 : .
단계 계산된 강도지수에 해서 발생빈도를 구한다- 6 : .
단계 여러 추정값을 이용하여 필요한 기댓값을 구한다- 7 : .
정성적 위험분석3.
가 델파이법.
시스템에 관한 전문적인 지식을 가진 전문가의 집단을 구성하고 위험을 분석 평가하여 정・보시스템이 직면한 다양한 위협과 취약성을 토론을 통해 분석하는 방법이다.
분석의 특징○
장점 위험분석을 짧은 시간에 도출할 수 있어 시간과 비용을 절약할 수 있다- : .
단점 전문가의 지식과 토론만으로 위협요소 등을 추정하기 때문에 추정의 정확도가 낮- :
다.
분석절차○
단계 전문가 팀은 위험의 순위를 나열해서 위협을 식별한다- 1 : .
단계 팀 구성원 각자의 견해를 종합하여 일치된 결론을 찾는다- 2 : .
단계 일치된 결론을 토 로 위험순위를 나열하여 위협과 취약성의 수준을 결정한다- 3 : .
나 이야기식 시나리오.
어떤 사건도 기 로 정확하게 발생하지 않는다는 사실에 근거하여 일정 조건하에서 위협
에 한 발생 가능한 결과들을 추정하는 방법이다.
분석의 특징○
분석의 특징○
장점 적은 정보를 가지고 전반적인 가능성을 추론할 수 있고 위험분석팀과 경 층간의- : ,
원활한 의사소통을 가능케 한다.
단점 발생 가능한 사건의 이론적인 추측에 불과하고 정확성 완성도 이용기술의 수준- : ・ ・이 낮다.
분석절차○
단계 위협이 발생될 수 있는 분야 전문가로 팀을 구성한다- 1 : .
단계 위험 가능성이 있는 상황 확률요인 비용추정 중에서 바람직한 결과 하나만을- 2 : , ,
산출한다.
단계 가능성 있는 위협으로 인해서 발생될 수 있는 상황을 이야기식으로 기술한다- 3 : .
다 순위결정법.
비교 위험 순위결정표에 위험 항목들의 서술적 순위를 결정하는 방법이다 즉 각 위협을 상.
호 비교하여 최종 위협요인의 우선 순위를 도출하는 방법이다.
분석의 특징○
장점 위험분석에 소요되는 시간과 자원이 적다- : .
단점 위험 추정의 정확도가 낮다- : .
분석절차○
단계 위협요인에 한 상호 비교를 통해 순위를 결정한다- 1 : .
단계 두 가지 위협만을 비교하면서 의견차이를 서로 토론하여 조정한다- 2 : .
단계 두 가지 위협에 해서 팀원들이 제시한 값을 합산한다- 3 : .
단계 단계 에서 제시한 값들을 각 위협별로 합산한다- 4 : 3 .
단계 단계 에서 합산한 값을 근거로 위협의 우선순위를 결정한다- 5 : 4 .
제 절 위험분석 도구4
적합한 위험분석 도구를 사용하면 정보시스템의 보안전략과 계획수립에 상당한 시간과 노력
을 줄일 수 있다 다양한 방법론에 기초한 많은 상용 및 연구용의 도구가 존재하며 국내에.
서도 위험분석도구가 개발되고 있는 추세이다 다양한 도구 중에서 각 조직의 특성에 적합.
한 도구를 선택하기 위한 방법론도 여러 가지로 연구된 바가 있다 이 절에서는 몇가[10,28].
지 도구와 특징 및 선택 방법론을 소개한다.
도구선택 방법론1.
표적인 위험분석 도구 선택 방법론으로는 CERTs(A Comparative Evaluation Method for
의 위험분석 도구 선택 지침 및Risk Management methodologies and Tools)[29], NIST [30]
능력 매트릭스 가 있다(Matrix of Capabilities)[31] .
는 일관성 가용성 적합성 적용가능성 완전성 유효성 신빙성의 가지 기준에 하CERT , , , , , , 7
여 세분화된 속성에 한 척도를 측정하여 각 도구의 타당성 인덱스를 계산하여 가장 나은
도구를 선택하고자 하는 것이다 표 에서 의 타당성 평가기준을 보이고 있다. [ 4-3] CERT [10].
의 경우에는 도구가 자료수집 분석 출력결과 관련 모듈을 얼마나 상세히 기술하고 있NIST , ,
는지를 평가하기 위한 기본 구성요소에 한 충족성과 특정 조직환경에 부합하는지를 판단
하기 위하여 사용하고 있는 하드웨어와 소프트웨어와의 호환성 위험분석 방법론 유형 보고, ,
서의 상세수준 사용자 매뉴얼 등 문서화 과거 자료의 수집 및 활용 가능성 도구내 보호체, , ,
계 사용 용이성 교육 기술지원 및 비용 요소들에 한 고려사항들을 제시하 다, , , .
능력 매트릭스란 의 평가 지침을 개선한 것으로 실제 사용되는 위험분석 도구들의 특NIST
징을 조사하여 가지의 주요 능력 요소를 도출하 고 이를 통해 도구를 평가하도록 한다11 .
표 의 타당성 평가기준[ 4-3] CERTs
기준 기준에 한 설명 속성
일관성특정한 시스템 환경이 주어진 경우 각각의 독립된 분,석으로부터 얻는 결과에 심각한 차이가 발생하지 않도록 하여야 함.
신뢰성
일관된 용어
가용성입력 및 구성요소 출력결과를 쉽게 이해할 수 있어야,하며 개념이 간결하고 명확하여 사용하기 쉽고 오류를 수용할 수 있도록 불확실성에 유연하여야 함.
이해용이성
사용용이성
간결성
오류처리기능
적합성방법론과 도구의 구조는 다양한 정보시스템 환경에적용할 수 있어야 함.
간편성
수정가능성
적용가능성요구된 자료는 재사용 가능하고 경제적으로 수집될수 있어야 함.
실용성
분석범위정의
가용성
완전성위험관리에 관련된 모든 관계 및 요소에 한 고려가있어야 함
구성요소
구성요소의 속성
유효성 위험분석과정의 결과가 실제 현상을 나타내어야 함적절성
실용성
신빙성 출력결과를 신뢰할 수 있어야 함직관성
신뢰성
위험분석 자동화 도구2.
가. BDSS(Bayesian Decision Support System)
는 정보시스템 환경에서 위험관리를 지원하기 위해 설계된 위험분석 소프트웨어 시스BSSD
템이다.
는 정보 위험분석 기법을 발전된 형태의 통계 알고리즘과 함께 결합시킨 최초의 시스BDSS
템이다.
는 정성적 외형 요소 전반적인 구조와 정량적 위협 및 위협의 행렬 그리고 여개BDSS , , 1900
의 제한된 응책 등을 여개가 넘는 위협요소에 해서 비용 효과를 포함하여 분석하는60
방법이다.
에서 제공하는 모듈과 그 기능은 다음과 같다BDSS .
프로젝트 크기 평가 모듈 문제점 배경 목적 목표 책임 접근 방법 등(Project sizing) : , , , , ,○
의 프로젝트 보고서를 작성한다.
위협분석 모듈 위협요소 확인 및 발생 주기를 결정한다: .○
자산 및 손실평가 모듈 유형의 자산과 무형의 자산에 한 기 손실치를 추정한다: .○
위협 및 조합성의 조합 모듈 위협 노출과 취약성간의 조합을 통해 위협발생 주기의 편:○
차 등을 계산한다.
충격분석 모듈 손실가치 위협주기 노출상수의 통계적 분산을 포함한 많은 위험 정량: , ,○
치 및 정보들을 이용하여 분석 상 시스템의 환경에 한 수학적인 위험 모델을 개발한다.
위험분석 모듈 충격분석 모듈에 의해 계산되어진 수학적 위험 모델을 통계 알고리즘에:○
적용하여 손실치 주기 충격분포 불확실성 등을 계산한다 결과로 위험곡선과 연간 평균 기, , , .
손실치를 나타낸다.
응책 분석 모듈 위협 및 취약성 조합 모듈에서 제시한 취약성에 한 응책의 선택:○
및 적용을 가능케 한다.
는 컴퓨터와 정보위험을 관리하고 응시스템 설계를 평가하며 위험관리 결정 및 계BDSS , ,
획을 개발하는 등 전반적인 위험관리에 이용하기 위한 것으로 주로 핵 기술 분야와 정보보,
호 분야의 연구 개발에 적용되었다.
의 단점으로는 복잡한 수학적 통계 모델을 적용하기 어려운 무형자산에 한 분석이BDSS
미비하다는 점이 있다.
나. Buddy System
시스템은 취약성 응책 위협 자산 정보분석 등에 중점을 두고 있으며 이러한 요Buddy , , , , ,
소간의 관계와 상호작용을 가지 명제의 알고리즘을 바탕으로 정확히 분석하는 시스템이다5 .
시스템은 개의 모듈로 나누어져 있는데 각각의 기능은 다음과 같다Buddy 3 .
보안분석 모듈 취약성 분석 위협 응책 확인 그리고 기 손실값과 결과를 산출하는: , ,○
분석 알고리즘을 이용한다.
운 모듈 보안 응책의 실시 감독 등의 보안관리 운 의 부분을 조성한다 버디시: , .○
스템을 분석 상시스템의 환경에 맞추기 위하여 각각의 위협요소와 응책에 한 무게 값
을 변환시킬 수 있는 특성화 과정을 제어한다.
사용자 질문 모듈 시스템 사용자의 이해를 돕고 정확한 답변을 유도한다 또한 소형과: .○
중 형 등의 시스템 기종에 따라 시스템 사용자나 운 자로부터 시스템의 상태를 파악할/
수 있게 하여 준다.
다. AnalyZ
시스템은 많은 시스템 및 보안관련 질문을 통해 시스템 및 조직의 보안 취약성을AnalyZ
발견한 후 위험분석기법을 통하여 위험수준을 정하고 적정 책을 세우게 하는 시스템이다.
시스템은 단계의 위험분석 체계를 채택하고 있는데 이때 수행하는 작업은 다음과AnalyZ 4
같다.
프로젝트 데이터 입력 위험관련 질문을 통한 시스템 관련 정보를 입수하는 단계:○
위험 분석과 응책 입수한 정보를 토 로 위험분석기법을 이용하여 위험 수준 측정:○
및 위험 책을 제시하는 단계
보고서 출력 결과를 정리 및 출력하는 단계:○
완성 및 감사 위 단계를 거쳐 얻어진 자료를 검증하고 선택되어진 위험 책을 저장한:○
다 그리고 위험수준이 설정된 기준치보다 높을 경우 사용자에게 검증을 요청하는 단계.
라. Control-It
알고리즘에 의한 위험분석 기법보다 위험분석 전문가들의 의견을 이용한 델파이 기법을 사
용함으로써 위험요소의 정도가 수치나 통계에 의해 분석되지 않고 상 적인 순위로 나타내
는 시스템이다.
에서는 분석을 단계로 나누어 수행한다Control-It 4 .
단계 위협요인과 자산 요소의 확인1 :
단계 확인된 요소를 가지고 전문가들에 의해 분석표 기입 작성2 :
단계 위협 요인과 자산 요인에 따른 응책을 델파이 기법에 따라 분류 입3 :
단계 결과에 따라 위험 수준이 결정되고 최저와 최고의 위협 및 자산 조합을 재평가하여4 : ,
응책을 마련한다.
마. E-RAT
네트워크 기반의 위험분석 도구로 네트워크 상의 유닉스 서버나 윈도우즈 등의 호95, NT
스트와 데이터베이스를 자동 검색하고 질문을 통해 얻은 추가 정보로 정성적 정량적 평가를/
모두 사용하여 위험을 평가하며 가능한 보호 책을 가상으로 적용하여 예상 피해액의 변화,
추이를 분석하게 도와준다[32].
의 위험분석은 단계로 이루어진다 이들 각각은 다음과 같다E-RAT 6 . .
네트워크 자산검색 분류 개로 분류된 자산을 자동으로 검색 분류한다/ : 34 / . Unix, Win95,○
등의 자원을 검색할 수 있다NT .
위협요소 분석 개로 분류된 위협을 식별한다: 17 .○
취약성 분석 유닉스 서버 의 취약점을 자동 검색한다: (Solaris, SunOS 4.X, HP) .○
위험평가 자산의 가치를 정량적으로 평가하여 위협과 취약성으로 인해 발생할 수 있는:○
예상 피해액을 정량적으로 평가한다.
치유 패치 프로그램을 이용하여 치유가능한 취약점을 치유하고 기타 필요한 방법을 제:○
시한다.
보호 책 가상 적용 가능한 보호 책들을 가상으로 적용한 후 예상피해액의 변화추이:○
를 분석함으로써 적절한 보호 책을 선정하도록 한다.
는 최초의 국산 위험분석 도구로서 네트워크상의 자산을 자동검색하는 것이 가능하E-RAT
다는 것이 특징이다.
제 절 요약5
일반적으로 부분의 기관은 일반적인 예방조치나 운 지침만으로 보호 책을 수립하고 있
어 각 환경에 따라 달리 존재하는 위협을 간과할 수 있다 이러한 경우 불필요한 곳에 보호.
책을 수립하기 위하여 많은 투자를 하거나 보호 책을 수립하 음에도 불구하고 위협을,
효과적으로 막지 못하여 경제적 손실 뿐만 아니라 기업 이미지가 손상되는 등의 피해를 입
게 될 수 있다 위험분석과 위험관리는 시간과 비용을 요구하지만 정보시스템이 제공하는. ,
정보와 서비스에 해 적절한 수준의 비 성 무결성 가용성 등을 유지할 수 있도록 도와줌, ,
으로써 위험관리를 하지 않을 경우 발생할 수 있는 손해를 막아줄 수 있다.
위험분석과 위험관리에는 여러 가지 기법과 이론들이 있는데 가장 중요한 것은 해당 조직의
환경 비용 시간 등을 고려하여 조직에 가장 적합한 방법을 택하여 수행해야 한다는 것이, ,
다 또한 위험관리가 항상 유효하기 위하여 연례적인 위험분석을 수행할 것이 권고된다. [21].
상 조직과 분석 범위에 따라 달라지겠지만 일반적으로 위험분석은 자동화 도구를 사용한,
다고 하더라도 매우 어려운 작업이다 따라서 처음 위험분석을 시도하는 경우이거나 중요성.
이 높지 않은 상에 해서는 비용이나 시간이 크게 요구되지 않는 점검표를 사용하는 등
의 단순한 모델을 채택하여 기본적인 위험분석을 수행하고 위험관리 체계가 수립된 상태이,
거나 그렇지 않더라도 중요한 상에는 적절한 모델을 택하여 정확한 위험분석을 수행하는
것이 좋을 것이다.
위험관리와 위험분석은 보안관리를 위해 기본적으로 필요한 사항이므로 특히 중요한 정보를
다루는 공공기관 및 정부기관에서는 위험관리를 도입하는 것이 정보보호의 수준을 높이는데
도움이 될 것이다.
참고 문헌
[1] Ken Wong and Steve Watt, Managing Information Security: A non-technical
management guide, Computer Weekly Pub., 1991.
[2] Frederick G. Tompkins, "Information Security Risk Management," Datapro
Information Services Group, Risk management 3494, 19pages, December 1995.
[3] U.S. Department of Commerce/NBS, FIPS Pub 65, Guidelines for Automated Data
Processing Risk Analysis, Jun. 1980.
[4] Department of Defense, Technical rationale behind CSC-STD-003-85: Computer
security requirements, Guidance for applying the DOD TCSEC in specific environments,
CSC-STD-004-85, 25 June 1985.
[5] Communications Security Establishment, A Guide to Risk Management Framework
for Information Technology System, 38pages, 1996.
김범진 을 이용한 정보시스템을 위한 위험분석과 관리 한국과학기술원 석사논[6] , CRAMM ,
문, 1996.
김종 외 인 전산망 보안을 위한 위험관리 지침서 한국전산원 년[7] 15 , , , 1994
오경희 김학범 이철원 홍기융 정보보호시스템 평가 인증을 위한 위험분석[8] , , , , “ ,” WISC・'97, pp.202 213, 1997.~
김기윤 나관식 김종석 체크리스트를 이용한 정보시스템 취약성 평가 통신정[9] , , , “LLNL ,”
보보호학회지 제 호 제 권, 6 4 , pp.35-54, 1996, 12.
이 화 확장능력매트릭스를 이용한 위험분석도구 선택 방법론[10] , “ ,” WISC '95, 1995,
pp.189-202.
김기복 김 오 정보체계 보호 수명주기식 통제모델[11] , , “ ,” WISC '95, pp.203-222.
이재우 김홍근 윤정원 전산망 보안을 위한 위험분석 프로그램에 관한 연구 한국전[12] , , , “ ,”
산원, 1995
이병만 윤정원 박승규 정보시스템 위험분석 모델에 관한 연구[13] , , , “ ,” WISC '97, pp.239~
263, 1997.
[14] K.M. Jackson and J. Hruska, "Computer Security Reference Book", p227 263,~
British Library Cataloguing in Publication Data, 1992.
[15] Haimes, Yacov Y., "Total Risk management," in Risk Analysis, Volume 11, Number
2, June 1991.
[16] White, Fisch and Pooch, Computer System & Network Security, CRC press, 1996
[17] Bodeau, "A Conceptual Model for Computer Security Risk Analysis," IEEE 1992,
pp.56-63.
[18] David Icove, Karl Seger & William Von Storch, Computer Crime, O'Reilly &
Associates, Inc., 1995.
[19] Otwell. K and Aldridge, B., "The Role of Vulnerability in Risk Management,"
Computer Security Journal. Vol. , No.1, pp.15 21, 1989.Ⅵ ~
[20] Moses, R., "Risk Analysis and Management,", Computer Security Reference Book,
CRC Press. Inc., pp.227 263, 1992.~
[21] S. Katzke, "A Government Perspective on Risk Management of Automated
Information Systems," Proceedings of the 1988 Computer Security Risk Management
Model Builders Workshop, pp.3 20, 1988.~
[22] SchMidt, E., "Conceptual Model of the Risk Management Process," Proceedings of
the 1988 Computer Security Risk Management Model Builders Workshop, pp.89 102,~
1988.
[23] Guarro, S., "Analytical and Decision Models of the Livermore Risk Analysis
Methodology(LRAM)," Proceedings of the 1988 Computer Security Risk Management
Model Builders Workshop, pp.49 72, 1988.~
정수 신경 학원론 박 사[24] , , , 1990.
[25] Drake, Morse, "The Security-Specific Eight Stage Risk Assessment Methodology,"
Proceedings of the 17th National Computer Security Conference, 1994.
[28] Tompkins, "How to Select a Risk Analysis Software Package," Datapro on
Information Security Service, Risk management 3493, December 1995, 5pages.
[26] Edward Roback, NISTIR 4325, Risk Assessment Methodology, 1990.
[27] ISO/IEC JTC1/SC27, Guidelines for the Management of IT Security, 1996.
[29] W. M. Garrabrants and A. W. Elis , CERTs, Mar. 1990.Ⅲ
[30] I. E. Gilbert & N. Lynch, "Matrix of Capabilities and Key to the Matrix of
Capabilities," 4th Computer Security Risk A management Model Builder's Workshop,
pp.11-31, Aug. 1991.
펜타시큐리티시스템 주 제품발표 자료[32] ( ), E-RAT , 1997.
제 장 정보시스템 비상계획5
제 절 개요1
비상계획 이란 재난으로부터 조직의 주요 업무 기능에 한 일의 연(Contingency Planning) ,
속성을 보장하고 또 그 피해를 최소화하기 위한 사전 계획 및 준비를 말한다 재난은 조직.
에 큰 손실을 입힐 수 있는 홍수나 지진 같은 자연 재해 또는 전산 시스템 장애로부터 발생
하는 각종 재해를 통칭한다.
비상계획은 문서화된 형태로 존재해야 하며 적절히 검수되어야 한다 또한 모든 직원은 비, .
상계획에 관한 교육을 받아야 한다 재난으로 인해 정보시스템에 문제가 생겼을 경우를.
비한 백업 그리고 손실되거나 파괴된 정보를 복구하기 위한 절차 등이 비상계획에 포함되,
어야 한다.
비상계획은 크게 세 가지로 분류하여 생각할 수 있다[2,8,10].
가 비상 책.
비상 책은 정해진 절차에 따라 비상 사태시의 체계를 명확히 수립하여야 하며 전산망에,
한 위험 분석 및 전산 자원의 중요도를 기초로 하여 수립되어야 한다 비상 책은 비상사.
태의 형태 및 정도에 따라 각각 별도로 구성되어야 하며 비상시를 비한 조직 및 임무 연,
락체계 백업설비의 구성 및 위치 비상시 처리 절차 정상 상태로의 복귀 절차 등이 포함되, , ,
어 있어야 한다 또한 실제 상황 가정 하에서 비상 책에 한 정기적인 훈련과 시험을 실.
시하여 효과를 검증하여야 한다.
비상 책의 목적은 가능한 한 질서 정연하고 조용한 방법으로 비상절차를 수행하고 자산, , ,
자원 및 사람에 한 손상을 최소화하며 재구축 및 복구를 위한 환경을 설정하는 것이다, .
나 백업 설비 및 절차.
백업 설비란 재난이 발생했을 때 취해야 하는 시스템 재구축 및 복구절차를 지원하기 위하
여 필요한 설비를 말한다 백업 설비는 데이터 처리시스템의 유형 특정 상황 및 적용 업무. ,
의 중요도 등에 따라 다양하게 적용될 수 있다 백업 설비의 기본 특징은 물리적 중복을 필.
요로 한다는 점이다 백업 설비는 하드웨어 백업과 소프트웨어 백업으로 나눌 수 있다 하드. .
웨어 백업은 디스크 어레이와 같이 무정지 시스템 운용을 지원하는 설비나 테이프 드라이버
와 같이 비교적 싼 가격으로 용량 데이터 저장을 지원하는 설비가 있다 이외에도 저장.
방식과 보관 방식에 따라 정보 시스템이 설치된 곳에서 행해지는 현위치 백업과, (on-site
전산센터 외부에서 백업이 실시되고 자료가 보관되는 외부 백업backup), (off-site backup)
이 있다[6,10].
백업절차는 정보시스템 자산의 백업과 중요 적용업무 복구를 위해 필요한 문서화된 절차를
말한다 세부사항으로는 팀의 구성 및 구성원의 책임이 정의되어 있어야 하며 시스템 소프. ,
트웨어 데이터 처리용 하드웨어 네트워크 백업공간 등의 설비를 갖추고 있어야 한다 또한, , , .
적용업무 소프트웨어 및 데이터의 백업 방식 및 보관 방침이 정해져야 한다 백업에 한.
적절한 교육과 철저한 검증이 뒷받침 돼야만 효율적인 백업 체제를 구축할 수 있다 안정적.
이고 계속적인 백업의 수행을 위해서는 각종 매뉴얼과 문서 및 기준집 같은 문서화 절차가
필요하다.
다 복구절차.
복구절차는 비상계획의 마지막 단계에서 실시해야 할 조치 사항으로서 운용의 계속성을 보,
장하기 위해 일시적으로 취해지는 비상 책이나 백업단계와는 달리 재난이 발생하기 전의
상태로 완전히 정보시스템을 회복시켜 모든 업무를 정상적으로 가동할 수 있도록 하는 것이
다.
복구 절차는 발생한 재난의 정도에 따라 다르게 처해야 한다 경미한 장애가 발생하 을.
경우 기존의 정보시스템을 유지 보수하거나 일정부분만을 새로 체시켜 다시 정상 업무를
실시하면 되지만 화재나 기타 중 한 재앙이 기존의 정보 시스템에 발생하여 전산실을 비롯
한 모든 설비를 잃어버렸다면 새로운 장소에서 새로운 설비를 전면적으로 도입하여 완전히
정보시스템을 재구축하여야 한다.
전산망 재해에 한 복구 책이 없는 경우 가 즉시 도산하고 가 년내 조업을 중단43% 29% 2
하는 엄청난 결과를 초래하는 것으로 조사됐다 월스트리트 저널자료 년 이와 같이 재( , 1988 ).
난에 비한 복구시스템은 전산시스템의 중요한 요소로 점차 부상하고 있으며 은행과 같은,
타인 자산 관리 기업에서의 재해방지 복구시스템은 고객에 한 기업의 기본 의무라 할 수
있다 현재 각 기업은 온라인 정보처리에 한 의존도가 점차 증가하고 있는 추세이며 이로. ,
부터 발생하는 재해는 곧바로 막 한 재정적 손실과 기업 이미지의 추락으로 이어진다.
제 절 비상계획 수립2
비상계획은 재난으로 전산센터가 파괴된 후에 원격지로 이동하기 위한 계획 뿐만 아니라 그
이상의 것을 포함하고 있어야 한다 비상계획은 재난이나 시스템 장애시 중요 업무 절차를.
보호하기 위한 업무연속성계획의 수립을 포함하고 있어야 한다 업무의 중단을 초래할 수.
있는 위협 중에는 자연재난 우발적 사고 사람에 의한 의도적 비의도적 사고 전산시스템, , / ,
장애 소프트웨어 오류와 같이 다양한 유형이 존재한다 비상계획의 수립은 이러한 다양한, .
위협으로부터 조직의 중요한 자산을 보호하여 줄 뿐만 아니라 재난발생시 신속한 복구를 가
능하게 하여 준다.
비상계획은 각 수준별로 계획들이 일관성을 유지해야 하며 테스트와 유지보수에 한 우선,
순위를 설정하기 위해서는 계획의 단일체제가 필요하다.
또한 각 수준에 따라서 계획별로 다른 중점사항이 필요하기 때문에 비상계획은 전체적인, ,
체제 내에서 다양한 수준의 계획이 요구되어진다 일반적으로 비상계획은 다음과 같은 단계.
를 포함하고 있어야 한다[6,7,9,10].
중요 임무 및 중요 임무를 지원하는 자원의 구분1.
비상계획을 수립하기 위하여 우선적으로 해야 할 것 중 하나는 바로 조직의 중요 임무를 정
의하고 그들에 한 우선 순위를 설정하는 것이다 조직의 중요 임무에 해 적절한 우선.
순위가 설정되어 있다면 그 조직은 재난이 발생하 을 때 신속하게 응할 수 있을 것이다, .
중요 임무의 구분이 이루어졌다면 그 다음 절차는 중요 임무를 지원하는 자원 각 자원을, ,
사용하는 시기 그 자원이 항시 필요한 것인지 또는 그 주의 마지막 날에만 쓰이는지 등등( , ),
자원이 이용 불가능하게 되었을 때 중요 임무나 업무에 미치는 향은 어떠한 지를 고려해
야 한다.
비상계획은 자원 그 자체가 비록 컴퓨터와 직접적으로 관련이 없다 할지라도 주어진 한 기
능을 수행하는데 필요한 모든 자원을 포함하고 있어야 한다 중요 임무를 지원하는 자원에.
는 전산시스템과 같은 장비 뿐만 아니라 이들을 운 하기 위한 인적 자원 소프트웨H/W , ,
어 및 각종 데이터 전산실 에어콘과 같은 각종 설비 그리고 관련 문서들이 있다, , , .
비상계획 전략의 선택2.
비상계획을 수립할 때에는 업무에 해 다양한 유형의 재난이 미칠 수 있는 잠재적인 향
력에 해 결정해야 한다 비상계획의 선택시에는 이러한 잠재적인 향력과 비용을 고려하.
여야 한다 정보시스템 지난에 비한 복구비용이 실제 정보시스템이 지니는 가치보다 더.
크다면 이러한 계획은 받아들여 질 수 없을 것이다 위험평가는 최적의 전략을 결정하기 위.
한 선택 비용을 추정하는데 도움을 주기 위해 사용될 수 있다 위험평가는 수립된 비상계획.
이 최선의 것이라는 확신이 서지 않는 역에 초점을 맞추어야 한다.
비상계획을 수립하기 위해 고려해야 할 사항에는 인적자원에 한 배려 전산센터를 복구하,
기 위한 복구전략 계속적인 업무 수행을 위한 시설 및 설비 비상계획 문서에 한 보관 및, ,
저장 등이 있다 계획이 수립되었다면 비상사태시의 준비와 책임에 한 구분 및 동의가 있.
어야 한다 책임소재의 명확성과 적절한 명시는 비상사태시 복구전략을 신속히 수행하기 위.
한 필수 요소이다[7,9].
비상계획 전략의 수행3.
일단 비상계획이 수립되고 나면 계획의 문서화 직원 교육 등에 한 적절한 준비를 할 필, ,
요가 있다 이들 부분은 지속적으로 수행해야 할 성질의 것이다 중요 기능과 자원을 보호. .
하기 위한 계획을 수행하기 위해서는 철저한 준비가 필요하다 예를 들어 준비 사항 중 하. ,
나는 파일과 응용프로그램을 백업하기 위한 절차를 확립하는 것이다 또 다른 준비는 중복.
된 처리 설비와 같은 장비를 구매하기 위한 것일 수 있다 문서를 포함하여 모든 준비를 최.
신의 것으로 유지하는 것도 중요하다 컴퓨터 시스템은 급속하게 변한다 따라서 백업 및 중. .
복 설비 역시 변화에 맞춰 구입해야 한다 만일 부가적인 장비가 필요하다면 추가 구입을.
하여야 할 것이며 더 이상 필요하지 않게 되거나 조직의 구조에 적합지 않게 된 경우 주기
적으로 체되어야 한다.
검증 및 개정4.
비상계획이 수립되고 나면 계획에 어떤 하자는 없는지 수행 상에 어떤 문제는 없는지를 항,
상 주기적으로 검증해야만 한다 비상계획은 시간이 지남에 따라 그리고 중요기능을 지원하. ,
는 자원들이 계속 변함에 따라 점차 구식의 것이 되어 간다 틀린 가정 장비나 개인의 변동. ,
으로 인하여 검증시 많은 업무연속성계획이 잘못된 것으로 나타난다 따라서 이들 계획은, .
정기적으로 검증되고 수정되어야 하며 비상계획은 항상 최선의 것이 될 수 있도록 누군가,
에 의해 끊임없이 개정되어야 한다.
계획의 개별 성분에 한 빈번한 검증에 근거하여 검증에 한 단계별 접근이 바람직하다, .
전체 계획에 관한 전면적인 검증은 가능한 한 자주 일어나지 않는 것이 좋다 검증의 범위.
와 그 빈도는 조직에 따라서 또 사용하는 시스템에 따라 매우 다양하다.
비상계획에 한 검토는 비상계획 문서의 정확성을 확인하기 위한 것으로 단순한 점검을 통
해서 이루어질 수 있다 예를 들어 계획안에 포함되어 있는 개개인이 아직도 조직 내에서. ,
일하고 있는지 정의되어 있는 로 적절한 책임을 가지고 있는지 등이 점검될 수 있다 또, .
한 사무실이나 집 전화 번호가 올바로 적혀 있는지 등도 점검 상이 될 수 있다 이외에도.
테이프 등의 백업장비로부터 원상태로 복구가 이루어지는지 직원들이 비상절차를 잘 숙지,
하고 있는지도 중요한 점검 사항이다.
새로운 장비의 구입 또는 운 체제의 갱신 새로운 문제점 발견 또는 새로운 통제 기술의, ,
출현 직원 또는 조직의 변화 등은 계획에 한 갱신이 요구되는 구체적인 경우이다, .
변화요인이 발생시 이를 계획에 정의하고 적용하기 위해서는 명확한 책임소재가 필요하다.
적어도 한달에 한 번 정도는 개별 변화에 해 점검해야 한다 이러한 절차는 계획 전반에.
걸친 간단한 연례 점검에 의해 보완되어질 수 있다[7,8,9].
제 절 백업 절차 및 장치3
조직을 재난으로부터 신속히 복구하기 위해서는 사전에 업무 재가동을 위한 적절한 백업체
계를 갖추고 있어야 한다 재난 복구용 컴퓨터 백업장치의 가장 중요한 기능은 재난이 발생. ,
한 컴퓨터를 최 한 빠르게 원래의 상태로 복구시키는 것이다 그 용도와 특성에 따라 현위.
치 외부 백업과 국지 원격지 백업 무정지 시스템 구성을 위한 실시간 백업과 시스템 사용/ / , ,
이 끝난 후에 백업이 이루어지는 배치 백업 등이 있다.
백업 절차1.
사고로부터의 복구는 필요한 자원이 이용 가능한가에 달려 있다 일반적으로 백업은 다음을.
위해 필요하다.
중요 응용 프로그램을 위한 자료와 문서○
하드웨어 주변장치와 통신선 포함( )○
소프트웨어 운 체계 유틸리티 응용프로그램 관련 문서( , , , )○
공급품 문서 양식 서류 테이프( , , )○
인력○
장비 운 지원 인력을 위한 설비, ,○
가 하드웨어 백업.
물리적 장비를 위한 백업은 비상계획의 중요한 요소이다 컴퓨터 하드웨어를 백업하기 위한.
절차는 현 위치 백업과 외부 백업 둘 다 포함해야 한다(on-site) (off-site) .
현 위치 백업은 컴퓨터 센터내 또는 인접한 곳에 있어야 하며 재난시 곧 바로 복구하여 재
가동에 들어갈 수 있다 외부 백업은 현 위치에서 멀리 떨어진 곳에 자료와 체 하드웨어.
를 저장하는 것을 말한다 외부 백업에는 다음과 같은 것이 있다. [6,7].
핫 사이트○
재난 발생시 향을 받는 업무기능을 복구하기 위한 장비와 자원을 가지고 있는 체 장소.
핫 사이트는 자료처리 통신 다른 주요 업무기능 등 제공되는 설비의 형태에 따라 다양하, ,
다 이들 사이트는 보통 모든 설비를 다 갖추고 있어야 하며 몇 시간 내로 가동할 준비가. ,
되어 있어야 한다.
이들 장비는 백업될 주요 소프트웨어 및 자료 등과 호환 가능해야 한다 이 경우 추가적으.
로 요구되는 사항은 직원 프로그램 자료 파일 등이다, .
콜드 사이트○
에어콘 전기 설비 등을 제외한 다른 장비나 자원 등은 준비되어 있지 않은 체 장소 콜드, .
사이트는 통신 설비 시스템 이동성 등에 따라 매우 다양할 수 있으며 흔히, UPS , (mobility) ,
재배치 쉘 이라고도 한다 이들 쉘은 필요한 장비들이 재난 발생 장소로부(relocatable shell) .
터 쉽게 운송될 수 있도록 전산 센터 근처에 위치하여야 하며 전산 장비가 오면 바로 가동,
되는 콜드 사이트이다.
핫 사이트와 콜드 사이트의 주요 차이점은 가동 시간과 비용의 차이이다 핫 사이트는 재난.
시 빠른 복구를 지원해주나 많은 비용을 필요로 하고 콜드 사이트는 가격면에서 핫 사이트
에 비해 저렴하나 빠른 반응을 기 할 수 없다.
중복 사이트○
주 전산 센터와 똑같은 설비로 구성된 장소 조직에 따라서는 재난 후에 완전한 처리능력. (
을 갖게 하기보다는 줄어든 처리 능력만을 갖도록 계획한다 여분의 퍼스널 컴퓨터나 랜 서.
버 등으로 중복성을 갖출 수도 있다.)
상호협약○
두 개의 조직이 재난발생시 상호간의 시스템을 백업해주는 협약 이 경우 협약을 계속 유. ( ,
지하는 문제와 시스템과 인적자원의 변화를 최신의 상태로 유지하기 위한 계획 때문에 이
체방안은 실패할 가능성이 높은 편이다.)
혼합형○
중복 또는 상호 협약 사이트가 개별적 사고에 비해 백업으로서 핫 사이트를 가질 수 있
다 이와 같이 여러 가지 형태로 취해질 수 있는 조합을 말한다. .
나 소프트웨어와 파일 백업.
하드웨어와 다른 주변 장치 외에도 컴퓨터 소프트웨어 프로그램 필수 파일과 자료 등도 백,
업되어야 한다 중복된 자료를 한 세트 이상 저장해야만 한다 외부 저장을 전문으로 하는. .
제삼자에 의한 백업은 비용면에서 매우 효율적이며 분리된 장소에의 보관은 재난 발생시,
한 장소에만 향을 미칠 가능성이 크기 때문에 위험을 분산시켜 준다.
부분의 백업 자료는 접근하는데 너무 많은 시간이 걸리지 않으면서 재난 발생시 같은
향권 내에 놓이지 않을 만한 장소에 위치해야 한다 시간에서 시간 내의 교통 시간 또한(2 4 ).
내부 백업과 마찬가지로 외부 백업 역시 엄격한 보안이 적용돼야 한다 외부 백업 설비도.
철저히 보호돼야 한다 외부 장소에 저장할 자료를 결정할 때 자료에 한 분류를 행해야. ,
하며 우선 순위를 결정해야 한다, .
다 백업 저장 설비.
백업 저장 설비에는 현위치 국지 백업 외부 국지 백업(on-site local backup), (off-site local
외부 원격 백업 문서 서장 장소 등이backup), (off-site remote backup), (archival storage)
있다 현위치 국지 백업은 보통 컴퓨터 센터 근처의 방화 금고나 지하 저장실 등에 있다 보. .
통 최근에 생성된 백업 파일을 유지하며 새로운 변경 사항이 있을시 갱신된다 외부 국지.
백업은 컴퓨터 센터 근처에 있는 또다른 빌딩에 위치한 내화 금고나 지하 저장실에 위치하
며 보통 한 주일 동안의 백업 파일을 저장하기 위해 사용한다 파일은 보통 날마다 순차적, .
으로 바뀐다.
외부 원격 백업은 컴퓨터 센터로부터 여 정도 떨어진 곳에 있는 내화 금고나 지하 저10 km
장실에 위치하며 주 단위의 백업이 행해진다 백업은 원격지에서 통신 선로 등을 이용해 행, .
해진다 문서 저장 장소는 컴퓨터 센터로부터 적어도 이상 떨어진 곳의 지하에. 80 90km~
있는 내화 지진 비 장소를 말한다 마이크로 필름 인쇄된 보고서 연말 자료 등과 같은 선, . , ,
택된 백업 파일을 포함한 여러 해에 걸친 구 자료를 보관하는데 사용된다.
소프트웨어 없이는 컴퓨터 하드웨어는 무용지물이다 비상계획은 완벽한 보안을 제공하기.
위해 적절한 방법으로 소프트웨어와 정보를 보호해야 한다.
백업의 유형2.
백업의 유형은 저장하고자 하는 데이터의 가용성과 무결성 백업의 횟수 가격 비 성능 등, ,
의 요소를 종합적으로 고려하여 결정해야 한다 데이터의 가용성을 고려한다면 데이터 미러.
링 을 가격 비 성능이 주 요소라면 계층적 저장매체 관리(Data mirroring) , (HSM :
를 고려해 볼 수 있을 것이다Hierarchic Storage Management) [10].
데이터 미러링○
데이터의 복사본을 여러 다른 장소에 중복하여 저장해 놓는다 이들 데이터 저장소는 보통.
고속의 전송률을 가지며 사용되는 소프트웨어도 매우 고가에 속한다 데이터 미러링의 주요, .
장점은 이들 데이터 저장소 중 하나에 장애가 생겨도 큰 향을 미치지 않는다는 점이다, .
전체 데이터 백업○
모든 데이터는 마지막 백업이후 변경여부에 상관없이 모든 체 저장장소에 백업된다 따라.
서 전체 데이터 백업은 아주 큰 저장 능력을 지니고 있어야 한다 이 백업은 관련된 파일들.
의 복구시 단지 마지막에 시행한 전체 데이터 백업만을 필요로 하기 때문에 매우 빠르고 또
한 간단하다.
이 백업의 단점은 전체 데이터 백업이 자주 수행되지 않는 환경 하에서 한 파일에 한 과,
도한 갱신은 불필요한 과도한 백업을 일으키는 주요 원인이 될 수도 있다는 것이다.
증가 데이터 백업(Incremental)○
전체 데이터 백업과 비교하여 볼 때 이 백업은 단순히 마지막 백업 이후에 변경된 파일만,
을 저장한다 따라서 데이터 복구시 관계된 파일들을 여러 저장매체로부터 추출해야 하기. ,
때문에 일반적으로 더 많은 시간을 필요로 한다 이런 이유로 해서 증가데이터 백업은 항상, .
전체 데이터 백업에 의해 정기적으로 보충될 필요가 있다.
이미지 백업○
자료 백업의 특수한 형태로서 개개 파일을 저장하는 신 하드디스크의 물리적 섹터를 백, ,
업한다 이것은 매우 빠른 저장 능력을 지니는 전체 데이터 백업의 한 종류이다. .
계층적 저장매체 관리○
값비싼 저장매체를 매우 유용하게 이용할 수 있는 장법이다 접근 빈도가 높은 자료의 경우. ,
하드디스크 같은 고속의 온라인 저장매체에 저장된다 빈도가 가장 낮은 경우는 자기테이프.
등의 매체에 저장된다 중간 빈도의 자료 경우 비교적 저속의 매체 등에off-line . , on-line
저장된다 일반적으로 시스템은 증가 데이터 백업과 전체 데이터 백업의 조합으로 사. HSM
용된다.
백업 장치3.
가 실시간 백업 장치.
실시간 백업 장치는 재난 발생시 즉각적인 데이터의 복구를 필요로 하는 시스템에 주로 쓰
인다.
병원 은행 국방망 같은 곳에서는 일시적인 시스템 장애가 치명적인 결과를 초래할 수도 있, ,
다 따라서 장애 즉시 바로 시스템을 복구하여 사용할 수 있는 실시간용 백업 장치를 필요.
로 한다 이러한 장치의 표적인 것이 하드디스크의 조합을 이용한 백업 장비인 디스크 어.
레이이다 이러한 장치는 보통 고가 제품에 속하나 매우 빠른 전송속도를 가지고 있으며. , ,
데이터에 한 랜덤 접근이 가능하다.
디스크 어레이1)
워크스테이션급 이상의 규모 자료 처리를 위한 시스템 백업 장치로 주로 사용되며 비디,
오나 이미지 등의 규모 자료 저장에 유용하다. RAID(Redundant Array of Inexperisive
를 이용 용량 무정지 시스템 구성을 지원한다Disk) [5].
디스크 어레이는 디스크 장애시 자동으로 데이터가 복구되며 주로 용 무정지 백업, On-Site
시스템으로 사용된다 하드웨어적 특성을 살펴보면 용량 캐쉬 메모리 지원 이상. , (100MB
도 지원 으로 빠른 를 지원하며 기억용량 은 최소 에서 최 이상) I/O , (Raid-5) 2GB 1TB (1TB
에 달한다 사용 인터페이스는 방식이며 초당 전송속도는= 1,000GB) . SCSI , FAST/WIDE
의 경우 초 의 경우 초이다 주로 사용되는 하드웨어 플랫폼SCSI 20MB/ , FAST SCSI 10MB/ .
은 등이 있다UNIX, PC Server, Windows NT, Netware .
레이드(RAID)◆
레이드는 년 미 버클리 학에서 값비싼 호스트용 디스크를 체하기 위해 저가 디스크1987
들의 조합을 이용해 만든 백업장치이다 레이드의 특징은 시스템 가동 중 하드디스크 드라. ,
이브의 고장시에도 시스템의 정치 없이 새 하드디스크로 교환하면 원래의 데이터를 자동으
로 복구해준다는 점이다 데이터 디스크 개당 개의 패러티 디스크를 두어 패러티를 기. 3 4 1~
록하며 디스크 장애시 패러티 데이터가 데이터 디스크를 복구해준다, .
또한 여러 개의 하드디스크 드라이브를 하나의 가상 디스크로 구성하여 용량 저장장치로,
의 구축이 가능하다 레이드는 다수의 하드디스크 드라이브에 데이터를 세그먼트로 분할하.
여 병렬 전송함으로써 전송속도의 향상을 가져오며 안정성 및 확장성이 좋다 개의, (1 Host
에 개의 하드 디스크 드라이브 연결 가능 전용 프로세서 사용으로Buffer Adaptor 7 ). Raid
하드디스크 드라이브 및 성능향상이 뛰어나며 병행 읽기 쓰기 듀얼 패싱 및 듀얼 포팅I/O , / ,
기능이 지원된다 레이드의 또 다른 특징 중 하나는 빠른 유지보수이다 사용자가 시스템 정. .
지 없이 바로 하드 디스크의 교환이 가능하며 저장용량 업그레이드도 용이하다, .
레이드는 지원하는 레벨에 따라서 그 특성이 각기 다르다 레이드 레벨 은 비디오와 이미. 3
지 처리에 적합하며 순차적으로 접근되는 형 파일에 유용하다 레이드 레벨 는 계속되는, . 5
랜덤 접근에 적합하며 현금자동지급기 같은 금융서비스에 적합하다, (ATM) .
레이드의 단점은 컨트롤러와 어레이의 최적 구성이 분명치 않아 효율적으로 사용하기가 어
렵다는 것이다.
콜드시스템2)
콜드시스템 은 형 시스템이나 서버 시스템에 근(COLD : Computer Output to Laser Disc)
거리통신망 이나 클라이언트서버 방식으로 접속해 데이터를 수시로 백업하고 온라인(LAN) ,
검색을 할 수 있는 시스템을 말한다 저장매체로는 흔히 인치와 인치 광디스크 장치. 5.25 12
및 쥬크박스가 사용되고 있다 콜드시스템은 용량의 저장매체 제공 단일 장치에 백. ( 8 38GB
정도 저장 조회 업무의 자동화 형시스템의 부하 제거 자료의 디지털 및 온라인화 등의), , ,
이점을 제공한다 최근에는 마이크로 필름이나 자기 테이프를 체하는 저장매체로 새롭게.
부상하고 있다[4].
나 배치 백업 장치.
배치 백업장치의 특징은 가격이 저렴하고 저장 용량이 큰 반면 속도가 느리다는 점이다 가, .
장 표적인 백업매체로는 테이프 저장장치가 있으며 그 외에도 광디스크 장치 재즈 드라, , ,
이버 집 드라이버 등이 있다, .
테이프 저장장치의 특징은 싸고 용량이 크다는 점이다 용 제거가능 백업, . Off-Site
저장장치로 사용이 용이하며 크기가 작아 저장시 작은 공간만을 필요(removable backup) ,
로 한다 단점은 레이드에 비해 느리고 순차적인 접근만이 허용된다는 점이다 레이드와 결. .
합하여 레이드에 한 이차 백업 장치로 사용할 때 더욱 효과적이다 물론 시스템의 차 백. 1
업 장치로 사용될 수도 있다 제품의 종류에는 와 의 두 가지 제품이 널리 쓰이며. 8mm 4mm ,
급의 저장을 지원한다Giga byte [11].
제 절 국내외 재해복구 성공 실패 사례4 /
성공사례1.
일본 고베지진의 경우 상당수 우량기업들이 성공적으로 시스템을 복구할 수 있었다.
의 경우는 전체 컴퓨터 중 가 피해를 입었으나 일만에 정NEC ACOS 182 49 15 90%○
도 복구함으로써 정상 가동에 들어갈 수 있었다.
일본 은 장애경보 시스템을 통하여 고객비상지원체제 도입으로 고객IBM AUTO-CALL○
사의 피해를 최소화하 다.
쓰미모또은행은 오사까 센터와 동경 센터간의 듀얼시스템 중화 운 으로 거의 손실을(2 )○
보지 않고 은행 업무를 수행할 수 있었다.
미국의 경우에도 성공적으로 재난복구를 마친 사례가 있는데 그 중에서도 년 샌프란, 92○
시스코 지진시 아메리카은행은 샌프란시스코 지점에서 떨어진 콩코드은행에서 시간50KM 8
만에 시스템 복구를 마침으로써 신속히 고객업무에 응할 수 있었다.
실패사례2.
년 월 미국 뉴욕 세계무역센터 지하폭파사건으로 입주회사 개사 중 개사가93 2 350 150 10○
주 동안의 업무마비로 결국 도산하여 최 의 재난복구 실패사례로 기록되었다.
국내에서는 지난 년 그룹의 한 계열사의 공장이 침수되어 개월간 전산장애를 겪은91 H 6○
바 있으며 같은 시기에 식품회사가 노조의 전산실 점거에 의해 약 개월간 전산시스템을, D 3
전혀 사용하지 못함으로써 업무처리에 많은 애로를 겪었다.
년 월 일 오후 회사의 통신 서비스가 시간 이상 일시 중단되는 사고가 일1996 11 7 H PC 2○
어났다 이날 사고는 호스트 컴퓨터가 설치돼 있는 한국통신 혜화전화국 확장공사 중 한 공.
사 시공업체가 층의 수도관을 건드려 파열됨에 따라 층에 있는 호스트 컴퓨터 일부에 물3 2
이 스며들어가면서 일어났다.
년 월 일 주식 매매체결 컴퓨터의 고장으로 증권거래소는 오전 장을 열지 못하고96 5 28○
응급조치를 한 뒤 낮 시에 가서야 주식시장을 열어 주식투자자들로부터 격렬한 항의를 받12
은 바 있다.
표 년 사고일지[ 5-1] ‘96
일시 사고내용
월 일3 12 주문폭주로 공동 온라인망 장애발생 주식거래시간 분 지연10→
월 일5 28 매매체결 컴퓨터 고장 사상 첫 전장 거래 중단→
월 일11 6 증권전산 통신장비 장애 주가지수 선물시장 개장 분 지연45→
월 일11 16 매매체결 시스템 장애 분간 매매 중단 종가 시간 지연90 , 3→
월 일12 12 신증권 시스템 전산장애 매매체결 분 정도 중단 종가 분 지연50 , 40→
주 조선일보 년 월 일 월 일자 보도자료 참조( : 1996 11 18 , 12 13 )※
년 월 일 국민일보 기사1996 8 8○
주민등록 및 자동차 부동산업무 등을 온라인으로 처리하는 국가행정전산망이 컴퓨터의 잦은
고장으로 제기능을 못하고 있다 자동차 등록과 이전 말소업무를 담당하는 자동차 국가행정. ,
전산망이 일 오전 시 분부터 시 분까지 그리고 오후 시 분부터 시 분까지6 9 5 10 50 , 1 50 2 50 2
차례 시간 분에 걸쳐 작동을 멈췄다2 45 .
자동차전산망의 작동 중단은 년 들어서만 번째이며 장비노후화와 용량부족이 장애의‘96 13 ,
주원인으로 지적되고 있다 특히 이같은 장애는 전국 개 시 도의 자동차 주민등록 부동. 15 , ,・산 국가행정전산망도 마찬가지여서 수시로 작동이 중단되고 있다.
제 절 요약5
비상계획의 수립은 재해 발생시 중요 회사 업무가 중단됨으로써 생길 수 있는 피해를 최소
화하기 위한 노력이라고 할 수 있다 적절한 비상계획을 수립한 후 다시 이를 검증하고 그.
결과를 토 로 비상계획을 수정하고 보완하는 작업을 통해 체계화된 재난복구 시스템을 구
축할 수 있다 재난복구 시스템을 갖춘 기업들이 재난에 신속히 처하여 회사 업무를 정상.
가동한 성공적인 예를 통해 비상계획의 중요성을 알 수 있다.
비상계획은 중요 임무 또는 업무 기능의 구분 중요 기능을 지원하는 자원의 구분 잠재적인, ,
사고나 재난의 예측 비상계획 전략의 선택 비상계획의 수행 전략의 시험과 개정 등을 포, , ,
함하고 있어야만 한다.
비상계획이 수립되고 나면 재난복구를 위한 백업 환경의 구축을 고려해야 한다 재난복구용.
소프트웨어를 선정하고 백업 절차를 정해야 한다 백업설비를 위한 장소 선정이 이루어져야.
하며 적절한 백업 설비가 구축돼야만 한다 백업 장소는 설비의 준비 여부에 따라 핫 사이.
트와 콜드 사이트로 구분될 수 있다 또한 백업을 시행하고 저장하는 위치에 따라 현위치. /
외부 백업 국지 원격 백업이 있다 표적인 백업 장치로는 디스크어레이와 테이프 저장장, / .
치 등이 있다.
참고문헌
김종 외 인 전산망의 안전 신뢰성 기준 해설서 한국전산원 년[1] 11 , , , 1994 .・김재업 외 인 주민관리 전산망 보안기준 제정 방안 한국전산원 년[2] 4 , , , pp.89-126, 1991 .
박구현 이준원 재난 비 통신망 신뢰성 확보 책 한국통신학회지 년[3] , , “ ”, , pp.4-9, 1995
월11 .
장길수 시스템 새 저장매체로 부상 전자신문 년 월 일[4] , “COLD ”, , 1996 3 23 .
디스크어레이와 백업 년 월[5] " LAN “, Network Computing, pp.161-177, 1996 3 .
[6] Karen A.Forcht. "Computer Security Management", boyd & fraser publishing
company, 1994.
[7] NIST, An Introduction to Computer Security: The NIST Handbook, Special
Publication 800-12, 1996.
[8] NIST, Generally Accepted Principles and Practices for Securing Information
Technology System, 1996. 9.
[9] BSi(British Standard Institution), British Standard 7799, A code of practice for
Information security management, 1995.
[10] BSI, IT Baseline Protection Manual, 1995.
[11] David Storm, “How to buy a tape backup device",
http://www.storm.com/pubwork/af94.htm
제 장 물리적 보안6
제 절 물리적 보안의 개요1
물리적 보안은 사고 재해 환경적 위험 요소들로부터 컴퓨터 및 관련장치들을 보호하기 위, ,
하여 시설물에 요구되는 적절한 조치 또는 컴퓨터나 관련 장치로의 접근통제를 위한 잠금
장치 경비 표지 및 유사한 관리적 조치를 말한다 이러한 물리적 보안 책의 주 목적은, , .
컴퓨터 시스템이 지원하는 임무의 수행을 지연하거나 방해하는 자연재해나 인위적인 공격의
위협으로부터 컴퓨터 시설물을 보호하는 적절한 조치를 취하도록 유도하는 것이다.
일반적으로 기술적인 보안 책이 충분하여 비인가자의 접근이 완벽하게 차단되었더라도 특
별한 조치를 취하지 않은 시설에 위치한 컴퓨터 시스템은 자연 재해나 기타 장애 요소로 인
하여 컴퓨터 시스템의 파괴나 데이터 및 정보의 파괴와 같은 손실을 야기할 수 있다 마찬.
가지로 불순 세력이나 적으로부터의 공격이나 침투 및 파괴도 컴퓨터 시스템과 자료 보존
측면에서 매우 큰 위협이 될 수 있다 이처럼 물리적 구성요소들은 화재 홍수 지진 태풍. , , ,
등과 같은 자연재해나 도난 방화 파괴 등과 같은 인위적 위협요소에 하여 취약성을 가지, ,
고 있다 전산망에 한 위협요소들은 화재 수해 등과 같은 자연적 재해 뿐만 아니라 컴퓨. ,
터 범죄 바이러스 산업스파이 등 인위적인 범법행위도 포함되고 있다 더욱이 비디오텍스, , . ,
텔레텍스트 전자우편 등과 같은 새로운 전송매체 및 서비스의 출현은 전산망의 위협요소에,
한 노출 가능성을 점증시키고 있으므로 이에 한 기술적 보호 책이 절실히 요구되는 시
점이다.
물리적 보안 책에는 화재 홍수 지진 태풍 등과 같은 자연 재해로부터 컴퓨터 시스템이, , ,
위치한 시설물을 보호하기 위한 자연 재해 책과 전쟁 지역이나 취약 지역에서와 같이 불
순 세력이나 적의 파괴로부터 컴퓨터 시스템을 보호하기 위한 경비 정보와 같은 시설물 보,
안 책이 필요하다.
또한 자연재해나 장애 기타 다른 원인으로 인하여 재해가 발생할 경우 이를 복구하기 위한,
책이 필요하다.
본 장에서는 전산망 안전을 위협하는 물리적 요인들을 파악하고 이에 효과적으로 체하기
위해 안전기술 책을 마련하고자 한다 먼저 물리적 위협으로서 자연재해와 이에 한.
책을 살펴보고 컴퓨터 시스템이 위치하는 시설물의 안전성과 이들 위협으로부터 시설물을
보호할 수 있는 보안 책을 기술한다 또한 컴퓨터 시스템이 위치한 전산실은 전산센터의.
핵심시설이므로 비인가된 인원에 의해 컴퓨터 시스템이 이용되지 않도록 여기에 한 보안
책을 기술하 다 마지막으로 출입통제 및 접근통제에 사용되는 바이오메트릭스 기술이나.
스마트 카드 등에 한 카드기술을 소개하고 있다.
제 절 재해 책2
화재1.
화재가 전산센터에 발생할 경우 컴퓨터 시스템 데이터 및 각종 보관물 등이 파괴 손상되, ・거나 시스템 운 자의 생명에도 위협을 가할 수 있다 또한 이에 따른 서비스의 중단 등 엄.
청난 손실을 초래한다 따라서 화재를 미연에 방지하기 위해서는 화재손실을 최소화하기 위.
한 전산망 관련 시설물의 위치선정 건물의 설계 설치 및 정비가 필요하다 또한 신속한 화, , .
재 탐지 조치 강구 및 화재 발생시 신속한 처 적절한 소화 수단의 준비 및 신속한 응, ,
손실의 최소화 및 신속한 복구를 위한 적절한 수단 강구와 인원 보충이 필요하다.
전산 관련 시설물에 한 화재 안전 평가시 고려되어야 할 요인은 다음과 같다.
인접 건물로부터의 화재에 한 노출 정도○
발화 물질의 정도 인화될 가능성 및 인화 요소 등- ,
건물의 구조와 설계○
건물의 구조 내화구조 단단한 목재구조 내연성 구조 일반적 구조 그리고 목재 기둥- : , , , ,
구조 등
건물의 설계 내화벽 칸막이 계단 차단막 배관 차단장치 화재 방지막 등- : , , , ,
건물 운용 방식○
화재 안전 시설 운용 인화성 액체의 부주의한 사용- , ,
용접기 납땜용 토오치 등의 부주의한 사용- , ,
전기선의 계속적인 연결 오븐이나 보일러의 부적절한 정비- , ,
인화성 물질의 과적 등-
일반적으로 화재가 발생하 을 경우 화재가 크게 번지기 전에 진화를 할 수 있도록 자동화
재 경보 장치 및 소화설비를 갖추어야 한다 자동 화재경보의 경우 화재경보기의 위치 및.
공간 경보의 전달체계 등을 고려하여 설치하여야 한다 또한 소화설비 설치시 휴 용 소화, .
기 호스 자동 스프링클러 등 소화 설비 및 시설의 특성에 따라 이를 운용하여야 한다 예, , .
를 들면 휴 용 소화기는 작은 규모의 화재를 초기단계에 효과적으로 진화할 수 있도며 전
산실 데이터 보관실 등과 같이 물에 의한 피해가 큰 지역은 가스를 이용한 소화장치가 유,
용하다.
수해2.
침수로 인한 전산기기의 피해는 기기의 손상 자료의 훼손과 같은 심각한 손실을 가져올 수,
있다 전산 시설물이 지하실과 같은 낮은 지역에 설치되었다면 홍수에 한 피해는 불가피.
하다.
이러한 수해를 방지하기 위하여 새로운 전산 센터의 시설물 설치시 위험한 범람원에 위치하
지 않도록 하는 토지 이용계획이 필요하며 현존하는 구조물에 하여는 수해 방지 조치가
요구된다 일반적으로 범람원 고여있는 물의 가장자리지역 계곡 입구나 선상지 등 홍수가. , ,
예상되는 위험한 지역에 건물을 설립하는 것은 피하는 것이 좋다.
자연 수해 지역에의 노출을 평가하기 위해서 전산센터 보안 책임자는 그러한 수해 위협 평
가가 자신의 건물 또는 근처의 건물에 적용가능한지 살펴보아야 한다 또한 자연적 수해의.
전반적인 조사뿐만 아니라 그로부터 야기되는 잠재적 손해를 잘 살펴보아야 한다 이러한.
향들을 위험분석에 관련시킴으로써 홍수방지 조치에 드는 비용을 합리화시킬 수 있는 기
초자료로 홍수에 관련된 손실들을 평가할 수 있다.
전산센터 시설물이 침수에 의한 피해가 심각하다고 판단되면 다음과 같은 응 조치를 취해
두는 것이 좋다.
가솔린 엔진으로 작동되는 한 개 이상의 배수 펌프 설치○
차단 밸브가 달린 배수장치 설치○
건물 외부로부터의 홍수가 문제가 된다면 모래부 를 이용하여 신속히 배수구를 만들 수○
있다 외부 입구가 낮을 경우 강력 접착 테이프로 입구를 봉할 수도 있다. .
전산센터 지역에 시멘트로 굴곡을 만들어 두어 유사시 물의 방향을 바꿀 수도 있다 이.○
것은 작은 홍수일 때만 도움이 되는 것이지만 취할 만한 조치이다.
이러한 조치들은 노출이 그리 심하지 않거나 그 원인이 내부로부터 야기될 경우 도움이 된
다 외부 홍수 등의 심각한 노출지역에 위치한 시설물에 해서는 전반적인 방수 책이 필.
요하다.
누수 및 낙수 발생으로 전산센터에 물이 스며들 경우 전산기기에 심각한 장애를 유발할 수
있으므로 이를 방지하기 위하여 전산센터의 바닥 천장 벽 등과 전산센터 바로 위층 마루판, ,
에는 충분한 방수처리를 하여야 한다.
누수 및 낙수의 발생을 방지하기 위한 가장 이상적인 것은 전산센터 위에 배관이 없는 것이
좋으나 그것이 불가피할 경우 쉽게 접근할 수 있는 장소에 차단밸브를 설치하는 것이 좋다.
마찬가지로 전산센터 지역내의 공조장치 보조물로서 냉각 응축되어 있는 파이프에도 누수・를 방지하기 위하여 차단밸브를 장치하여야 한다 주요 수도관에는 배관 파열로 인한 급작.
스런 압력 상실을 탐지하기 위한 압력 탐지기가 설치되어야 하며 전산센터 시설위의 바닥에
있는 모든 구멍은 시멘트나 다른 물질로 막아야 한다.
컴퓨터실은 전기배선용 공간과 캐비넷 간 연결선의 공간을 위해 바닥이 올려진 바닥 밑에
물이 고이면 이러한 선들이 향을 받지 않도록 접속부 등에 한 방수처리가 필요하다 또.
한 비상시 컴퓨터 하드웨어를 방지하기 위하여 플라스틱 덮개를 준비해 두는 등 저비용의
응조치 방안으로서도 효과를 거둘 수 있다.
지진3.
지진은 구조적 손상 또는 전산 센터 빌딩의 붕괴를 초래하고 전자 회로 방해 통신 두절 그, ,
리고 시설물 손실 및 다른 부수적 효과를 초래한다 또한 지역 사회에 보다 넓은 파급 효과.
를 낳는다 즉 수송중단 식품공급 및 기타 다른 주요 서비스 단절 등을 들 수 있다 그 결. , , .
과로 전산센터 운 자들은 업무보고를 못할 뿐만 아니라 필요한 업무지원도 받을 수 없게
된다.
지진에 한 책으로는 두 가지 형태의 응조치가 있다 첫째 견딜 수 있는 빌딩의 선택.
과 주변 빌딩의 피해로부터 피할 수 있는 빌딩의 선택이다 언덕 매립지 앞에 물이 있는. , ,
지역 연료 보관 지역 전산센터 시설에 떨어져 피해를 줄 수 있는 높은 구조물이 있는 지, ,
역 지하에 송유관이나 도시가스 파이프가 지나가는 지역 등은 지진의 피해가 큰 지역이므,
로 이와 같은 지역은 피하는 것이 좋다.
둘째 지진으로 인해 입은 부분의 피해는 지진 다음에 형 화재와 소화를 위한 물의 부,
족으로 인한 것이라는 점을 항상 생각해야 한다 그러므로 스프링클러 시스템이 지진에 파.
괴되지 않고 계속 물을 공급할 수 있도록 요동 방지 버팀목 또는 유동성 있는 연결 등을 이
용할 필요도 있다.
이와 같은 방지 조치 외에 전산센터 보안책임자가 해야 할 일은 전산센터 시설의 긴급 책
에 외부에서의 운용을 포함시켜 기관의 임무 수행을 안전하게 하는 일이다 이때 동일한 지.
진으로부터 향을 받지 않는 충분히 멀리 떨어진 지역을 선택하도록 주의를 기울여야 한
다 또한 예비 파일 문서 등을 저장할 지역의 구조 및 위치를 선정하는 것도 지진 후 복구. ,
와 손상방지를 위해 중요한 일이다.
태풍4.
태풍은 전산센터 시설물에 잠재적인 위협요소이다 태풍은 심한 바람과 많은 비를 동반하여.
구조물 손상 홍수 피해 및 정전 등을 가져온다 태풍의 발생 가능성은 장기간의 기상예보자, .
료에서 알 수 있다 전산센터 보안 책임자는 빌딩을 피해로부터 막는 조치 홍수 및 정전 위. ,
험으로부터 예방하는 조치를 취해야 할 것이며 긴급 책 계획은 그러한 상황에 맞게 세워,
졌는지를 검토해야 한다.
동물5.
쥐 개 곤충 등의 동물들도 컴퓨터 시설물에 치명적인 손상을 초래할 수 있다 손상의 내용, , .
으로는 케이블류의 절단으로 인한 통신의 두절 및 컴퓨터 작동중지 전원 설비 내로 침투한,
동물의 감전사로 인한 전원설비의 고장이나 화재 그리고 출력 서식 및 자기매체의 손상 등,
이다 동물에 의한 피해를 방지하기 위해서는 컴퓨터 시설물 내외의 환경을 보다 청결히 하.
고 쥐약의 투여 동물의 침투가 예상되는 지역에 보호철망의 설치 등 적절한 방제조치를 취,
하여 해결할 수 있다.
주의해야 할 점은 조그마한 구멍으로도 이러한 동물들이 침입할 수 있다는 점과 컴퓨터 시
설물이 설치된 방의 이중마루내부가 이러한 동물들이 활용할 수 있는 좋은 장소를 제공한다
는 점이다 특히 바닥 아래의 공간을 통하여 동물들이 이동하지 못하도록 철망을 설치하는.
것이 좋다.
기타6.
기타 재해에 한 고려사항들에는 진동 가연성 가스 부식성 가스 증기 및 염분 등이 있으, , ,
며 이를 요약하면 다음과 같다.
진동○
진동은 전산기기의 흔들림을 일으키고 이로 인해 기기가 손상되어 정상작동에 지장을 초래
할 수 있으므로 심한 진동을 일으키는 기기는 전산센터에 위치하지 않도록 한다 또한 고층.
일수록 진동의 향을 크게 받을 수 있으므로 전산센터는 건물의 중간층에 위치하는 것이
좋다.
가연성 가스○
가연성 가스는 폭발 및 화재 발생의 위험이 높으므로 이를 방지하기 위하여 전산실은 가연
성 가스를 취급하는 곳과는 충분히 격리된 곳에 위치하도록 한다.
부식성 가스 증기 염분, ,○
부식성 가스와 염분은 전산기기에 부식을 일으키고 증기는 습기로 인해 전산기기에 손상 및
장애를 일으키게 되므로 전산센터는 이와 같은 환경으로부터 안전한 곳에 위치하도록 한다.
또한 공기필터나 촉매 등을 이용하여 공기를 적절하게 정화시켜주는 시설을 갖추어야 한다.
제 절 건물 및 시설의 안전성3
건물1.
일반적으로 전산실 등 주요시설이 있는 건물은 각종 재해 및 장애에 비하여 충분히 조치
가 강구되어야 한다 즉 재해 및 장애의 위험을 최소한으로 줄이고 재해 및 장애 발생시에. ,
는 손실을 최소화하여 최단시간에 복구할 수 있도록 비한다 건물에 한 안전선을 위하.
여 건물의 입지조건 구조 내장 및 외장 방재 설비 등이 고려되어야 한다, , , .
먼저 건물에 한 입지조건은 다음과 같다.
견고한 지반에 위치해야 한다.○
풍수해의 향을 받지 않도록 한다.○
강력한 전자기에 의한 장해를 받지 않도록 한다.○
폭발이나 화재의 우려가 있는 위험물을 수용하는 시설에 인접한 지역은 피한다.○
염분이 많은 지역은 피한다.○
먼지 부식가스 유독가스 등에 의한 공기 오염 지역은 피한다, .○
두 번째 건물의 구조에 한 고려사항은 다음과 같다, .
내화 건축물 또는 간이 내화 건축물로 한다.○
바닥하중과 관련 필요한 구조 내력을 지니도록 한다, .○
건물에는 낙뢰예방을 위해 피뢰침을 설치한다.○
피난 또는 소화상 필요한 통로를 확보한다.○
적절한 위치에 비상구를 설치한다.○
창에는 태양광선을 차단하고 자연재해의 피해를 방지하는 조치를 한다.○
세 번째 건물의 내장 및 외장에 한 고려사항은 다음과 같다, .
건물의 내장은 난연재료를 사용한다.○
건물의 외벽 지붕은 충분한 방수처리를 한다, .○
건물의 외장은 물리적 충격에 견디어 낼 수 있는 강도를 갖도록 한다.○
네 번째 건물의 방재설비에 한 고려사항은 다음과 같다, .
건물의 주위에는 충분한 밝기를 갖는 조명설비를 설치한다.○
불법침입 등에 비하여 방범설비를 한다.○
자동화재 경보 설비를 설치한다.○
소화 설비를 설치한다.○
건물내 주요 시설2.
건물내 주요시설인 전산실 통신실 데이터보관실 전원실 공조실 등은 각종 중요 기기 및, , , ,
장비들이 위치하고 있는 곳이다 따라서 각종 재해 및 장애에 한 충분한 비 및 안전조.
치를 통해 안정적인 전원공급이 가능하도록 한다 이러한 주요 시설에 한 안전성을 위하.
여 위치 및 배치 구조 내장 및 외장 내부설비 등이 고려되어야 한다, , , .
먼저 건물내 주요시설에 한 위치 및 배치에 한 고려사항은 다음과 같다.
건축물 내에서 진동 침수 가연성 또는 부식성의 가스 증기 염분 등으로부터 향을 받, , , ,○
지 않는 위치에 설치한다.
불특정 다수인이 출입하는 장소로부터 격리한다.○
건물자체의 보호 기능을 이용할 수 있는 위치에 설치한다.○
제 자가 침입할 우려가 적은 장소에 설치한다3 .○
두 번째 건물내 주요시설에 한 구조조건은 다음과 같다, .
재해 발생시 피 및 보수를 위해 필요한 공간을 확보한다.○
창문은 개폐 및 분리가 안되도록 한다.○
적절한 위치에 비상구를 설치한다.○
세 번째 건물내 주요시설의 내장 및 외장에 한 조건은 다음과 같다, .
방수 처리○
내장재는 불연재 또는 난연재 사용○
단 석면 등의 재료는 피한다( , )
정전기 및 전자기의 향이 없도록 조치를 강구○
마지막으로 주요시설에 한 내부설비 조건은 다음과 같다.
자동화재경비기 설치○
소화시 장비에 피해를 주지 않는 자동 소화 설비 설치○
화재 비 출입구에 방화문 설치 및 자동개폐 장비 설치○
정전에 비 별도의 전원공급장치 설치○
온습도 조절을 위한 공조설비 설치○
옥외시설3.
옥외시설이란 옥외에 설치되어 있는 전선 전화선 케이블 중계기 등 과 공중선 안테나 및( , ) ( )
부속설비 전선의 단자함 등 와 이들을 지지하고 유지하기 위한 구조물인 맨홀 철탑 등을 말( ) ,
한다.
이러한 설비들은 전산망 센터의 안정적인 운 에 중요하므로 재해 및 장애에 한 충분한
비를 하도록 한다.
옥외시설에 한 장애방지를 위한 안전 책으로 다음과 같은 사항들을 고려하여 옥외시설을
설치하여야 한다.
강풍 진동 수해 낙뢰 등의 자연재해에 의한 고장의 발생을 방지하는 조치를 강구한다, , , .○
전파방해로부터 기능을 보호할 수 있는 조치를 강구한다.○
고온 또는 저온의 장소에 설치하는 옥외설비에는 해당 조건하에서 본래의 기능이 보장될○
수 있는 조치를 강구한다.
온도차가 현저한 장소에 설치하는 옥외설비는 해당 조건하에서 안정적으로 작동하도록○
조치를 강구한다.
중요한 옥외 설비에는 고장 등을 조속히 감지 통보하는 장치를 설치한다, .○
그밖에 옥외시설에 인가된 관련자 이외의 제 자가 쉽게 접근할 수 없도록 감시 및 통제할3
수 있는 장치를 갖춘다 옥외시설의 파괴 및 손상을 방지하기 위하여 제 자가 쉽게 접촉할. 3
수 없도록 하는 조치를 강구한다.
부 시설4.
전원 설비나 공조 시설은 컴퓨터 작동에 핵심적인 필요사항들이지만 정상적인 작업을 위해
서는 다른 보조 설비 즉 급수 승강기 우편물 운반기 건물 외부에서 지원되는 난방과 공조, , , ,
시설 도시가스 등이 필요하며 이에 한 안전 책도 필요하다, .
여기에 한 관련사항들을 분석하고 그에 해 가능한 응 조치를 조사하기 위해서는 빌딩
관리인이나 기타 다른 기술적인 전문가의 도움을 받는 것이 좋다.
각각에 한 관리 계획을 수립할 수도 있지만 냉난방과 전력같이 상호 접한 관계가 있는
경우가 많으므로 이들을 한 시스템으로 통합시켜 모든 기능을 한꺼번에 관리할 수도 있다.
제 절 출입 및 접근통제4
건물에 한 출입 및 접근통제1.
건물자체를 보호해야 할 경우의 조치사항으로는 울타리를 치거나 여러 가지 장애물 외등,
또는 침입탐지기 등을 설치하거나 경비 를 운용할 수 있다 때로는 이러한 조치 중의 몇.
가지를 중복시키면 효과적일 수 있다.
건물 자체의 보호를 위한 보안 책 및 조치 내용을 요약해보면 다음과 같다.
건물주위에 울타리나 바리케이트 설치○
건물주위에 충분한 밝기의 조명설비 설치○
적외선이나 마이크로 웨이브를 이용한 침입탐지기 설치○
폐쇄회로 텔레비전을 설치○
차량 진입로를 굴곡있게 설치○
경비 의 운○
출입구의 통제2.
건물 보호의 목표는 불법 침입을 제지하고 직원 방문객 및 일반인이 일정한 출입구를 사용,
하도록 유도하는 것이다.
출입구 통제의 목적은 출입자를 확인하고 필요시 출입을 금하고 물자의 이동을 파악하는 것
이다.
출입자를 선별하는 방법으로는 출입표찰 등을 교부하여 경비원 확인하에 출입하도록 하는
방법과 허가된 자에게만 출입문을 개폐할 수 있는 기구를 지급하여 출입하도록 하는 방법이
있다 경비원에 의한 출입자 확인 방법은 가장 좋은 방법이나 경비가 많이 들고 장치에 의. ,
한 출입자 통제방법은 열쇠분실 비 번호 누출 등으로 부정출입 위험이 있다 따라서 가급.
적 출입문의 개수를 줄이고 출입문에 개인 식별장치를 부착하여 통제하고 이를 폐쇄회로 텔
레비전 등을 통해 지속적인 확인과 관리를 병행하여 실시하는 것이 좋다 부가적으로 출입.
구 통제장치에는 재래식 열쇠 및 자물쇠 도난방지용 자물쇠 카드 열쇠용 자물쇠 전자식, , ,
자물쇠 기계식 푸쉬 버튼 자물쇠 신체적 특성을 확인하는 자물쇠 등이 있다, , .
모든 출입구는 가능한 한 강압적으로는 또는 몰래 출입하려는 자를 제지할 수 있는 충분한
능력을 가져야 한다 이를 위하여 출입문과 부 시설에 한 보강이 필요하다 가능하다면. .
강력 자물쇠 강화 합판 및 프레임 특수 경첩 비파괴 유리 등을 사용하는 것이 좋다 컴퓨, , , .
터 보안 책임자는 이 분야에 종사하는 전문가의 조언을 구하는 것이 좋다 이러한 출입구.
보강 이외에도 중요한 출입문이 열렸을 때 경보할 수 있는 시스템을 갖추어 경비원이 조치
할 수 있게 하는 방안도 있다 특별히 전자식 개폐문에 적용하여 정상적인 출입시에는 울리.
지 않으나 강제로 문을 열었을 때 경보기가 울리도록 할 수 있다.
출입구 이외로의 침투방지3.
출입구 이외 창문 변압기실 공조장치용 통풍창 옥상 출입구 등도 건물 내부로 침투할 수, , ,
있는 가능성이 높은 지역이다 그러므로 출입구 이외의 잠재적 침투 경로에 하여도 적절.
하게 응할 수 있는 물리적 안전 시설이나 지역 경보 시스템 등으로 보호해야 한다 예를.
들어 노출된 창문은 비파괴 유리나 강화 플라스틱 등으로 시설한다 통풍창은 두꺼운 차폐, .
막으로 보호할 수 있다.
극히 제한된 지역의 일부를 제외한 노출된 창문은 항구적인 폐쇄도 효과적이다 침입자는.
침투에 필요한 시간 동안 발각되지 않는다는 확신이 서거나 모험을 감행할 가치가 있다고
느끼면 벽이나 지붕을 부수고 침입을 시도할 수도 있다 극한 시도에 하여 기존의 물리적.
보호 조치나 감시체계가 충분하지 못하면 특별한 감지기를 창문 창고 시설 또는 건물 주변,
에 추가로 설치하여 보완한다.
요즈음에는 여러 가지 전기 기계식 침입탐지기가 광범위하게 사용되고 있다 침입탐지기의/ .
기본 원리는 도선으로 전기회로를 구성하고 회로가 변경되거나 끊어지면 경보가 작동하는
것이다 이러한 시스템으로는 창문에 가는 은박지를 유리창에 붙이고 창문이 깨어질 때 은.
박지도 찢어지도록 하여 경보를 울리는 것 출입문에 설치한 자기 스위치 또는 접촉 스위치, ,
기울어지는 창문에 설치된 수은 스위치 벽을 부수고 가는 선이 격자 모양으로 내장된 칸막,
이나 함정 등이 이에 속한다 이 장비는 기계장치에 손을 거나 전기 회로를 접지 시키거.
나 부수는 행위는 모두 중앙의 경보장치를 울리게 한다 이러한 장비들은 단순하여 건물보.
호시에 많이 이용되며 다른 보호 장비와 간섭을 일으키지 않으므로 추가하여 사용할 수 있
다 이 부류에 속하는 장비로는 금속테이프 전선 그물 팽팽한 전선 침입 스위치 등이 있. , , ,
다.
건물내 핵심 지역 통제4.
건물 내로 들어온 사람들이 건물보호계획에 의거하여 선별되었다고 할지라도 각 사람이 컴
퓨터 시설물 내의 모든 지역을 임의로 접근하도록 방치해서는 안된다 전산실 자료보관실. , ,
통신실 데이터 입출력 지역 문서보관소 등은 근무시간 중이나 일과 후에 접근허가를 받도, ,
록 해야 한다 자료 파일에 수록된 기 의 보안유지 뿐만 아니라 시설물과 관련한 귀중한.
자산의 보호 부정 조작의 방지 및 부정 행위나 손실을 방지하는 측면에서도 시설물의 보호,
는 매우 중요하다 건물내의 구역별 보안 분석은 어떤 사람에 해 어느 시간에 어느 지역.
의 접근을 허용할 것인지를 알려주는 개인별 업무할당 및 업무의 흐름에 한 연구결과를
토 로 중요한 핵심지역을 찾아내고 이에 한 통계방법을 선정하는 작업이다.
여기에는 건물 출입구의 통제 기법이 그 로 적용될 수 있으나 아래 사항들이 추가적으로
고려되어야 한다.
핵심지역의 출입구는 자물쇠로 잠가 놓거나 관리자를 두어 별도로 통제하여야 한다.○
불필요하게 업무의 흐름을 방해하지 말아야 한다.○
핵심지역 비상구에 경보장치를 부착 목적외 사용금지( )○
반드시 비어 있어야 할 시간에 어떤 핵심지역으로의 침입자 유무확인을 위한 일반적인 내부
감시 시스템으로는 광도계 초음파 감지기 마이크로파 감지기 음향 감지기 진동감지기 근, , , , ,
접감지기 등이 있다.
핵심 지역 보안을 계획할 때는 이러한 침입탐지기를 사용하거나 경비원이나 지역을 경계하,
는 보안 요원 또는 건물 내부를 여러 부분으로 구획하는 물리적 격리 등의 통제방안을 강구
한다 하지만 보안 책임자가 기억해야 할 일은 접근제어를 위한 노력으로 사람의 안전을 해.
치는 경우가 발생해서는 안된다는 점이다.
경비 의 운5.
물리적 보호 조치 장애물 설치 및 침입탐지기 등의 방법에는 궁극적으로 사람이 개입된다, .
경비 가 필요하면 경찰이나 사설 회사와의 계약을 통하여 청원 경찰로 충원할 수 있다 컴.
퓨터 보안 프로그램을 경비 가 지원하는 경우 우선적으로 경비 에게 할당될 수 있는 업무
의 내용을 먼저 검토한다.
일차적으로 경비원은 로비 출입문 창고 시설 통로입구 또는 보안 통제실 등에 고정 배치, , , ,
될 수 있다 경비원은 아래의 임무를 수행한다. .
출입자 신분확인 및 서명 확인○
방문자 표찰 발급 및 회수○
불법 침입 화재 감시 및 조치,○
건물 내외로 이동하는 물자 관리 자산 반출입 규정 시행,○
건물별로 적용되는 규정이나 규칙의 시행○
등기 우편물 접수○
경비원을 가장 효과적으로 운 하려면 경비원 개개인의 임무가 명확해야 하며 잘 훈련되어
있어야 한다 통제소를 신설하고 경비원을 배치하는 것과 같이 기존의 컴퓨터 보안계획을.
보완하려면 컴퓨터 보안 책임자는 먼저 건물의 보완 책임자와 상의하여 통제소의 임무 및
경비원의 업무량을 조사한다.
경비원은 도보 또는 차량으로 특정 경로나 지역을 순찰한다 순찰자의 임무는 다음과 같다. .
문 창문 및 기타 출입구 등이 지정된 시간 동안 확실히 잠겨 있는지의 확인,○
긴급한 화재의 위험 외부에 나와 있는 장비나 기계류 넘어질 위험성이 있는 물건들 또, ,○
는 비상구가 열려 있는 것 등을 정확히 관찰
소화기 소화 호스 및 자동 스프링클러 시스템 등의 상태 확인,○
파일 금고 및 제한 구역 등이 안전한지 점검,○
수상한 사람이나 행동 이상한 냄새나 유출 또는 기타 비정상적인 상태를 파악,○
효과적인 순찰이 되기 위해서는 순찰요원들이 적절히 통제되어야 한다 즉 순찰요원에게 정. ,
해진 시간에 구두 또는 전화 로 이상 유무를 보고하게 하든가 휴 용 무전기를 지급하여 항( ) ,
시 보고가 가능하도록 하는 등의 조치를 취한다 휴 용 무전기를 지급하는 경우에는 비상.
시 특정지역으로 신속히 이동하도록 조치할 수 있는 장점이 있다.
고정된 수의 경비원을 운 하는 경우 보안책임자는 순찰요원이 필요한 명령을 받고 있는지
와 컴퓨터 시설 보호를 위한 훈련을 받고 있는지를 확인하는 것이 중요하다 마찬가지로 공.
조장치 상수 및 하수의 누출과 기타 시설물과 관련한 조치내용을 질문하여 적절한 임무가,
주어졌는지와 비상 조치 훈련을 받았는지를 확인해야 한다.
제 절 전산실 보안관리5
전산실의 보호 책1.
전산실은 자료 파일에 수록된 기 의 보안유지 뿐만 아니라 부정 조작의 방지 및 부정 행위
나 이로 인한 소신을 방지하는 측면에서도 특별한 보안 책이 필요하다.
전산실은 제한 구역으로 설정하고 다음과 같은 보호 책을 강구하여야 한다.
방재 책 및 외부로부터의 위험 방지 책○
항시 이용하는 출입문은 한곳으로 하고 이중실 설치○
출입문 보안장치 설치 및 주야간 감시 책○
보조기억매체를 보관할 수 있는 철제용기 비치○
보조기억매체에 한 안전지출 계획 수립○
전산실 관리책임자 및 자료 또는 장비별 취급자 지정 운용○
전산실에 한 출입통제는 건물 출입구의 통제 기법이 그 로 적용될 수 있으나 전산실의
특수성을 고려하여 별도의 출입통제가 필요하다.
전산실의 출입구에는 출입자를 식별하고 기록하는 출입관리 기능을 설치한다.○
출입구에는 카드 키 등 보안성이 우수한 개폐장치를 설치한다.○
공용의 키를 사용하는 잠금장치일 경우 키관리에 한 별도의 절차를 마련하여 관리한○
다.
평상시에는 비상구를 통한 출입을 금한다.○
전산실에는 출입인가자 명부를 비치하고 비인가자의 출입을 제한하여야 한다 다만 비인.○
가자가 업무상 부득이한 사유로 출입하여야 할 경우에는 미리 전산보안담당관의 승인을 획
득하고 담당자의 안내를 받아야 한다.
전산자료의 보호 책2.
전산자료를 안전하게 보관하고 철저하게 파기하는 것은 거기에 쓰여진 정보 뿐만 아니라,
전산망의 안전에 한 노출을 방지하는 것이다 특히 전산망 안전에 있어서 일반정보보다도.
전산자료의 취급에 관한 보안 책은 더욱 주의를 기울여야 한다.
전산자료의 유출 및 파괴 등에 비하여 다음과 같은 보호 책 강구가 필요하다.
자료복사본 예비 확보 및 안전지역 별도 보관( )○
전산자료 보조기억매체 보유현황 관리( )○
전산자료 및 장비의 반출입 통제○
전산망 불법침입 및 바이러스 피해예방○
가 백업 및 복구.
데이터는 그 성격과 중요도에 따라 백업 상 백업방식 백업기준 등을 설정하여 실시하여야, ,
하며 백업된 데이터는 복구시 수정없이 사용할 수 있도록 항상 최신의 것으로 유지하여야
한다.
백업은 데이터의 복구 필요성이 전제가 되어야 하므로 복구가 필요한 데이터만을 선정하여
백업 상으로 설정하여야 한다 백업을 하기 위하여 먼저 데이터의 성격 별로 상을 분류.
하여 실행하여야 하며 동일한 전산업무와 관련된 백업일 경우 동일시점에서 이루어져야 한
다.
백업 방식은 데이터의 성격 데이터의 양 그리고 전산망 자원의 가동시간 등을 고려하여 결, ,
정하여야 한다 백업방식은 일반적으로 단기적인 백업과 장기적인 백업으로 분류한다 먼저. .
단기적인 백업은 오류나 인터럽트 등의 발생으로 야기되는 업무 취소와 같은 국부적이고 일
시적인 손실을 방지하기 위한 것이다 장기적인 백업은 과거에 자료의 품질에 문제점을 일.
으킨 오류의 발견 사태 발생시 백업 복구 운 의 효율성 검토 및 계획 통계적인 보고 회, , , ,
계 감사 자료 법적 필요성 등으로 인하여 발생하며 이런 이유로 최소한 과거의 어떤 시점,
에 사용된 프로그램의 원시 코드 문서 데이터 파일 등은 보존되어야 한다, , .
보다 세부적으로 백업방식을 분류하면 다음과 같이 가지로 분류할 수 있다6 .
정기 백업○
일정주기마다 백업을 실시하는 것-
수시 백업○
변경작업 발생시 변경이전에 백업을 실시하는 것-
전체 백업○
운용되고 있는 데이터의 응용소프트웨어 전체에 한 백업-
부분 백업○
데이터나 응용소프트웨어의 일부분만 백업하는 것-
즉시 백업○
디스크에 기록되는 즉시 온라인으로 테이프에 기록되는 방식-
단기 백업○
오류 및 인터럽트 등의 발생으로 국부적이고 일시적인 손실을 방지하기 위한 백업-
수립된 백업 기준은 주기적으로 점검하여 부적합한 사항은 신속히 조정되어야 한다 손상된.
데이터가 발생하 을 경우 이를 신속히 파악하고 백업된 데이터를 이용하여 복구하여야 한
다 복구를 위해서는 먼저 손상된 자원을 파악하고 복구 우선 순위를 결정하고 백업자료를.
다시 재저장한 후 이를 테스트하여야 한다.
나 데이터 관리.
데이터는 다음과 같은 사항들을 고려하여 관리하여야 한다.
데이터는 중요도 비 보호 정도에 따라 분류하여 관리 기준 및 절차를 설정,○
데이터 파일의 보관 및 출납은 별도의 지정된 책임자가 정해진 절차에 의거 실시○
중요한 데이터는 보안기능이 설치된 별도의 장소에 보관○
실 데이터는 설치시험 등과 같은 운 이외의 목적으로는 사용 금지○
실 데이터를 직접 처리하는 업무는 적절한 통제하에서 실시○
특히 데이터가 개인의 사생활에 관련된 정보일 때는 정해진 제반규정을 준수하여야 하며,
이용에 관한 별도의 통제기능을 설치한다 또한 데이터 사용시에는 사용자명과 프로그램명. ,
사용시기 사용형태 등 데이터의 사용현황에 관한 기록을 유지 관리한다, .
전산실 장비에 한 보호 책3.
통신장비 전산장비 등 전산실 내부의 장비를 설치하기 위해서는 사전에 충분한 검토와 기,
준이 있어야 하며 충분한 시험절차를 거쳐 설치하여야 한다 이렇게 설치된 장비에 한 백.
업 및 복구 책 감시 및 제어 책 유지보수 책 등을 수립하여 보다 안전하고 신뢰성 있, ,
는 운용이 필요하다.
먼저 전산실 장비들에 한 보안 책으로 백업 및 복구 책을 살펴보면 다음과 같다.
장비에 한 장애 발생시에 비한 백업 및 복구절차 규정○
전산망에 중 한 향을 미치는 장비는 중첩 설치 및 분산 배치○
중요한 장비의 가동정지에 비하여 원래의 기능이 다른 장비로 이전되어 중단없이 계속○
처리될 수 있도록 조치
다음으로 감시 및 제어 책에 하여 살펴보면 다음과 같다.
중요한 장비에 한 접근상황을 감지 기록 통보할 수 있는 기능을 구비, ,○
부하 상태를 감시 및 제어하여 장비의 가동 정지를 방지하는 기능을 구비○
상호접속이 된 전산망 환경의 경우 상호간 장애를 감지 기록 통보하는 기능을 구비, ,○
마지막으로 유지보수 책에 하여 살펴보면 다음과 같다.
전산장비에 한 유지보수 절차를 규정○
정기적으로 예방점검을 실시하고 작업시에는 담당자가 입회하여 그 결과를 확인○
장애발생 및 장애처리 등에 한 내용을 기록 유지○
부가적으로 전산 장비를 보다 효율적이며 안정적으로 운용하기 위하여는 전산장비의 확충
및 전산망 구조 변경 등에 한 절차를 규정하고 정해진 절차에 의하여 이를 실시하며 항상
그 내용을 기록 유지할 필요가 있다.
전산자원에 한 보호 책4.
일반적으로 전산망을 구성하는 기기나 파일 등 각종 전산자원에 한 파괴나 부정사용을 방
지하기 위하여 사용자에 한 접근 권한의 분류 부여 및 해지 통제방식 등에 관한 기준 및, ,
절차의 규정이 필요하다 운용중인 서비스 및 장비의 특성을 고려하여 이를 수립하여야 한.
다.
가 주전산기.
전산망에 있어서는 주전산기 자체가 중요한 자산일 경우가 많고 중요 정보(main computer) ,
도 주전산기 내부나 그 주위에 있는 것이 보통이다 그러므로 주전산기는 물리적 안전이 가.
장 필요한 상이다 물리적 접근 제어는 신원확인을 위한 통상적 절차 등의 확인방법 또는.
열쇠나 카드 등의 소유에 의한 확인 패스워드 등의 지식에 의한 확인 그리고 신체적 행위, , ,
적 특징을 측정하여 확인하는 방법 등이 사용된다(biometrics) .
정보의 처리와 보관은 운 체제에 의해 제어 받으므로 안전한 운 체제를 사용하는 것이 중
요하다 또 그 안전도를 증명하는 것도 필요하다 뿐만 아니라 주전산기에서도 컴퓨터. . PC
바이러스는 많은 문제를 일으키고 있다 이 또한 중 한 안전 저해 요소이므로 바이러스 예.
방지침을 수립하여 이를 준수하여야 한다.
나 및 단말기. PC
및 단말기를 방치해두었을 경우 비인가자가 단말기를 무단으로 조작하여 전산자료를 수PC
정 파괴 열람 및 출력 등이 가능하다, , .
중요한 파일 및 데이터를 정기적으로 백업○
부팅 패스워드 설정○
화면보호기능 패스워드 을 사용( )○
중요 문서에 패스워드 사용○
패스워드 관리 지침에 따라 패스워드를 안전하게 관리○
바이러스 예방 지침 준수○
백업 디스켓을 안전한 장소에 보관○
단말기별 취급자 및 관리책임자 지정 운용○
단말기별 취급 장을 유지○
단말기에 한 접근권한은 정기 또는 필요시 이를 검증하여 접근권한 부여의 타당성에○
맞도록 조정
단말기 취급자가 교체되었을 경우 지체없이 자료접근권한을 변경○
전산자원에 한 접근통제는 전산망 자원별로 독립된 사용자 식별번호와 패스워드 등에 의
하여 정당한 자격 및 권한 확인 절차를 갖도록 하며 중요한 자원일 경우 단계 이상의 확인2
기능을 갖추도록 하여야 한다 사용자의 인증을 위하여 사용되는 패스워드는 업무의 중요도. ,
전산망 자원 책임한계 등의 기준에 따라 부여하는 것이 좋다, .
다 패스워드.
접근통제 를 하기 위해서는 신원 확인이 일차적으로 행해져야 한다 이 때(access control) .
가장 흔히 쓰이는 것은 그 신원 확인 상자 혼자만이 알고 있는 사항을 확인하는 것이다.
혼자만의 지식이 패스워드가 되어 어떠한 장소나 정보에 접근 가능하게 한다.
이 패스워드를 어떻게 관리하는가도 역시 중요한 문제이다.
이러한 패스워드는 그 안전성을 위하여 주기적으로 변경하여야 하며 사용빈도 등 접근상황
의 분석결과에 따라 패스워드 변경이 필요할 경우 이를 즉시 변경하는 것이 좋다 패스워드.
관리는 권한을 부여받은 책임자만이 통제할 수 있도록 하여야 하며 사용하지 않는 패스워드
는 말소시키며 한번 사용된 패스워드는 재사용하지 않아야 한다.
초기설치 이전설치 유지보수 등의 경우 작업추진 과정에서 패스워드가 타인에게 노출되었, ,
을 위험이 많으므로 해당 업무의 작업이 완료되었을 경우 패스워드를 변경하여야 한다 또.
한 중요한 전산자원의 사용권한에 한 패스워드 변경 이력은 기록 유지하여야 한다.
일반적으로 패스워드는 다음과 같이 타인의 추정이 어렵도록 구성하여 설계하여야 하며 패
스워드는 별도의 보호기능을 부여하여 저장 관리하는 것이 좋다.
최소한 개 이상의 문자로 패스워드를 사용하여야 한다6 .○
알파벳과 숫자를 조합하여 패스워드로 사용하여야 한다.○
사용자 를 패스워드로 사용하지 않아야 한다ID .○
생년월일 부서이름 컴퓨터이름 가족 이름 등 사용자 신상에 관련된 패스워드를 사용하, , ,○
지 않아야 한다.
사전에 등록된 단어를 패스워드를 사용하지 않아야 한다.○
동일한 문자를 반복하여 사용하지 않아야 한다.○
여러 의 호스트에 계정이 있을 경우 동일한 패스워드를 사용하지 않아야 한다.○
패스워드 입력시 타인이 지켜보지 않도록 하여야 한다.○
패스워드를 기록하여 사용하지 않도록 하여야 한다.○
타인과 패스워드를 공유하지 않도록 하여야 한다.○
패스워드를 주기적으로 갱신하여야 한다.○
제 절 바이오메트릭6
개요1.
바이오메트릭 산업은 이미 보안문제의 해결책으로 여러 나라 여러분야에서 널리 사용하고
있다 년 애틀란타 올림픽 회에서 중요 장소의 출입허가를 사람의 손 모양으로 측정. 1996
하는 바이오메트릭 시스템이 사용되었으며 미 에너지성은 직원의 신원을 검증하기 위하여
망막 스캔을 사용하고 있다.
세계 각국은 바이오메트릭 산업의 진흥을 위하여 다음과 같이 각종 컨소시움 및 협회를 결
정하고 있으며 정기적인 컨퍼런스 개최 등 많은 노력을 기울이고 있다.
미국의 CBDC(Commercial Biometrics Developer's Consortium)○
오스트레일리아의 Australian Biotechnology Association○
국의 AfB(Association for Biometrics)○
주관NCSA(National Computer Security Association) BiometricCon○
바이오메트릭의 정의2.
일반적으로 신분을 확인하는 방법에는 다음 가지가 있다3 .
무엇을 알고 있는가(What you know)○
무엇을 가지고 있는가(What you have)○
무슨 신체적 특징을 가지고 있는가(What you are)○
이 중에서 바이오메트릭 기술은 에 해당하는 인증 방법이다“What you are" .
국제 바이오메트리 협회 의 정의에 따른 바이오메트릭이란 개인인식(Biometric Consortium) “
혹은 주장되는 신분에 한 확인에 사용될 수 있는 신체적인 특성 또는 개인적으로 구별 가
능한 특성을 자동적으로 측정하는 기술 로 정의되고 있다” .
이러한 바이오메트릭 기술은 장소 혹은 방의 접근제한 개개의 시스템 접근제한 등 다양한,
인증 시스템에 응용이 가능하다 이 분야의 기술에는 지문처리 사진 상 매칭 눈동자 스캔. , , ,
음성인식 등의 기술이 사용된다.
바이오메트릭 기술3.
가 지문.
지문은 가장 널리 사용되고 연구되는 바이오메트릭 특성이다 지문의 고유 특성으로 인하여.
음성 인식 얼굴 인식보다 지문 인식이 식별 성능에 한 신뢰도와 안정도가 높은 것으로,
평가되고 있으며 가장 효율적인 개인 인증 방법으로 이용되고 있다 지문의 자동 검증 인증. ,
및 분류에 관한 문제는 철저히 연구되어 왔으나 결코 완벽한 것은 아니다 지문에 한 주.
요 관심사는 다음과 같다.
특징점 추출(Minutiae Detection)○
지문 검증 및 인식(Fingerprint Verification & Recognition)○
지문 분류 및 검색(Fingerprint Classfication & Retrieval)○
지문비교를 위한 부분의 자동 시스템은 특징점 매칭 에 기초한다 특(minutiae matching) .
징점 라는 것은 그림 과 같이 근본적으로 지문 패턴을 구성하는 융선(minutiae) ( 6-1) (ridge
이 끊어지는 점 분기되어 갈라지는 점을 나타낸다line) , .
그림 지문의 특징점 추출( 6-1)
특징점 추출을 위하여 제안된 접근방식의 부분은 특별한 알고리즘을 사용하여 지문 상
을 바이너리 상으로 변환한다 이렇게 얻어진 상들은 지문선의 두께를 하나의 픽셀로.
줄이는 처리과정을 거치며 여기에서 특징점을 추출하고 이를 저장한다.
이러한 지문 데이터는 많은 메모리를 필요로 하며 검색에 많은 시간이 소요된다 예를DB .
들면 명이하의 작은 에서 약 초의 시간이 소요된다 이러한 단점을30 DB(H/W 486-50Mhz) 4 .
극복하기 위하여 용량의 데이터베이스에서는 지문 검색의 능률을 향상하기 위하여 지문의
매크로 특성에 따라 미리 분류하여 사용한다 그림 는 지문의 매크로 특성에 따라 이. ( 6-2)
를 분류하고 처리하는 일련의 과정을 나타내고 있다.
그림 지문 인식 시스템의 처리과정( 6-2)
나 얼굴.
얼굴 인식에 기초한 바이오 메트릭 시스템은 보안 시스템 범인 식별 이미지 및 상 처리, , ,
등 많은 응용들에서 사용된다man-machine interaction .
하지만 얼굴 인식을 위한 모델의 개발은 매우 힘든 작업이다 아직 인간의 두뇌가 얼굴을.
어떻게 인식하는지를 알지 못한다 자동적으로 얼굴 인식을 하기 위해서는 다음과 같은 복.
합적인 문제들이 해결되어야 한다.
복합장면에서 얼굴의 위치(face localization in complex scenes)○
자세와 조도에 불변(invariance to pose and illumination)○
표정의 변화에 불변(invariance to change in expression)○
코밑 수염 턱수염 안경 머리 스타일 등에 불변, , , (invariance to moustache, beard,○
등glasses, hair style )
그림 얼굴 인식( 6-3)
얼굴 특성을 이용한 바이오메트릭 시스템들의 동작 원리는 다음과 같다 먼저 특정 범위내.
의 모든 타원형 객체들을 략적인 위치를 파악한다 다음으로 타원의 위치와 크기를 국부.
적 범위로 최적화하여 정확한 위치를 측정한다 마지막으로 발견된 객체가 안면인지 아닌지.
를 검사하고 수평 및 수직 방향 이미지 특성을 이용하여 눈 코 입 역을 검사한다, , .
손에 기초한 바이오메트릭 시스템은 극도의 보안이 요구되지 않는 적은 비용으로 이 목적을
달성하려는 응용들에 사용될 수 있다.
예를 들면 병원 공항 큰 가게 등에서 보안 응용으로 사용될 수 있다 손의 이미지는 쉽게, , .
얻을 수 있고 처리될 수 있기 때문에 손의 기하학적 특성의 추출은 많은 노력을 요구하지
않는다.
손 검증 문제는 특성들의 통계적 해석에 연관된다 그림 는. ( 6-4) HaSIS(Hand Shape
로 손의 특징을 추출하기 위하여 개의 기하학적 특성을 추출한다Identification System) 17 .
여기에서 추출한 기하학적 특성에는 손가락의 길이 및 넓이 손의 폭 및 두께 등이 이에 포,
함된다.
그림 손 인식( 6-4)
연구 분야 및 개발 시스템4.
표 바이오메트릭 연구분야 및 개발 시스템 계속[ 6-1] ( )
연구 분야 개발된 시스템
목소리식별
BI Voice Verification●Brite Voice System●ImagineNation's Vault●iNTELiTRAK's Voice Verification Gateway for WWW Servers●사의 와ITT SpeakerKey FAQ●
MOSCOM Corporation●PTT Telecom Cave●
사의Qvoice Star Trek Deep Space Nine Voice Print●Sensory Circuits' Voice Password on a Chip●T-NETIX's SpeakEZ●Veritel●Voice Control Systems' SpeechPrint ID●Voice Control System (TI)●Speaker Recognition (comp.speech Q6.6)●Speaker (Speech) Recognition(comp.speech links)●
얼굴 상
TrueFace from Miros, Inc●FaceVACS from Siemens Nixdorf●Intelligent Vision Systems, Inc.●FaceIt PC by Visionics Corporation●ZN-Face: Access control system using face recognition●PHANTOMAS: Image database with face-to-face search function●
for forensic investigationsTechnology Recognition Systems●BS-Control by Berninger Software●
표 바이오메트릭 연구분야 및 개발 시스템 끝[ 6-1] ( )
연구 분야 개발된 시스템
지문 상
Live Scan Vendors (3M, Digital Biometrics, Fingermatrix, IDeas●International, Identicator, Identix, Security Print, Sony, Ultra-Scan,Vitrix)AND Identification/Identix●Biometric Tracking, L.L.C. (Smart Card and biometric plug-in Java●
applet)Comnetix●Finger Check●Fingerprint Technologies (Australian consortium of companies)●Jasper●Mytec●National Registry Inc. (NRI)●Security Print●의FBI IAFIS and NCIC 2000 Programs●
(Lockheed Martin, Mitreteck Systems, Harris)규모 AFIS Systems (Cogent Systems and HP, North American●
MORPHO Systems, NEC, Printrak International, TRW (uses CogentSystems), Unisys (uses NEC)
손 상 Recognition Systems' ID3D●
필기체 상
AEA's Chequematch and Countermatch●CADIX●CIC●PenOp●
수정체 상 IriScan●
혈관 상 Veincheck●
제 절 스마트 카드7
개요1.
오늘날 카드는 은행 금융 의료 소매업 전화 시스템 접근 통제 항공권 구매 통과 운임, , , , , , ,
수금 등 매우 넓은 범위의 응용에 사용되고 있다 일반적으로 카드는. ,
마그네틱 스트라이프 카드 돈에 관련: (price)○
광 메모리 카드 저장량: (storage)○
스마트 카드 안전성: (security)○
으로 연관시켜 사용되고 있는 추세이다 앞으로는 마그네틱 스트라이프 카드 및 광 메모리.
카드의 역할도 스마트 카드에 의하여 이루어질 것이다 그림 는 이러한 스마트 카드의. ( 6-5)
발달과정을 나타내고 있다.
그림 스마트 카드 발달 과정( 6-5)
마그네틱 스트라이프 카드2. (magnetic stripe card)
마그네틱 스트라이프 카드는 년 후반에 은행 업무에서 나타나기 시작하 으며 현재1970
와 는 개의 기준 과ANSI ISO 2 (ANSI/ISO BCD Data Format ANSI/ISO ALPHA Data
을 선택하고 있다Format) .
마그네틱 스트라이프 카드는 은행 소매업 전화 시스템 접근 통제 항공권 구매 통과 운임, , , , ,
수금 등의 응용분야에 활용되고 있으며 기능은 다음과 같다.
마그네틱 물질로 구성되어 읽고 쓰는 기능이 있음○
카드 리더기는 카드 상에 있는 마그네틱 정보를 읽고 쓸 수 있는 마그네틱 레코딩 헤드○
로 구성
카드상에 있는 정보는 이진 코드로 구성○
나 와 같은 높은 수준의 데이터 형태는 이진 코드를 숫자 및 문자 겸ISO BCD ALPHA○
용 문자로 바꾸기 위해 사용
마그네틱 스트라이프 카드에서 카드와 읽기 쓰기 사이에서 데이터 교환은 초당 약 비/ 12000
트로 일어나며 기억 용량은 매체의 형태 쓰는 데이터의 방법 트랙의 번호 트랙에 있는 정, , ,
보의 조 도에 의해서 결정된다.
광 메모리 카드3. (Optical memory card)
광 메모리 카드는 레이저 빔을 사용하여 많은 양의 정보를 저장할 수 있는 카드로서 다음과
같은 특징을 갖는다.
구적 불휘발성 기록의 갱신 가능, ,○
내구성 있는 매체와 카드구조○
높은 데이터 저장 능력○
데이터 암호화와 전자서명의 지원○
위조나 조작의 어려움○
데이터가 고의적으로 조작되었거나 손상을 당하면 감지가능○
읽기 갱신, , machine written data○
비용의 부가 사용 없이 새로운 응용의 적응 가능성○
다른 데이터 저장 기술 고 도의 마그네틱 스트라이프 바코드- , (bar codes), machine○
칩readable text, I.C.
과 안전성이 강화된 카드 선택의 부가 가능성holograms○
단순하고 안전한 데이터 백업○
그림 광메모리 카드의 구조( 6-6)
이러한 광 메모리 카드의 구조는 그림 과 같이 레이저빔을 이용하여 데이터를 저장하( 6-6)
고 읽을 수 있는 구조로 되어 있다.
스마트 카드4.
스마트카드란 통합된 마이크로프로세서가 내장되어 정보 저장 능력과 처리 능력을 지닌 크
레디트 카드 크기의 카드를 말한다 일반적으로 스마트 카드는 접촉 및 비접촉 방식에 따라.
다음과 같이 세가지 형태로 분류한다.
접촉형 스마트 카드○
접촉형 스마트 카드는 그림 과 같이 일반 크레디트 카드의 마그네틱 부분 신에 작은( 6-7)
칩이 카드 앞쪽에 내장되어 있다 카드 리더기에 스마트 카드를 넣으면 카드 리더기와 카드.
의 중앙에 있는 칩간에 접촉이 일어나고 이를 통하여 데이터가 전송된다.
비접촉형 스마트 카드○
비접촉형 스마트 카드는 그림 과 같이 플라스틱 크레디트 카드 형태이며 내부에 컴퓨( 6-7)
터 칩과 안테나 코일이 내장되어 원격 수선 및 전송이 가능하다 비접촉형 스마트 카드는.
빠른 처리가 요구되는 곳에 많이 사용된다.
콤비 카드(Combi)○
콤비 카드는 그림 과 같은 형태를 가지며 접촉형 및 비접촉형 카드 기능을 모두 수행( 6-7)
하는 단일 카드를 말한다.
이러한 스마트 카드의 장점은 다음과 같다.
마그네틱 스트라이프 카드보다 신뢰성이 있다.○
마그네틱 스트라이프 카드보다 배 이상의 정보를 저장할 수 있다100 .○
보안장치○
자유로이 사용가능하며 재사용 가능○
다기능 수행○
광범위한 응용 뱅킹 수송 의료 등( , , )○
휴 용 전자 장치와의 호환성 전화 등(PC, )○
반도체 기술의 발달○
스마트 카드는 은행 카드 전화 카드 도로세 징수카드 건강 관리 카드 접근관리 카드 서, , , , ,
비스에 한 지불 카드 식별카드 등 여러 응용에 사용된다, .
그림 스마트 카드( 6-7)
비교5.
위에서 설명한 마그네틱 스트라이프 카드 광 메모리 카드 스마트 카드를 비교하면 다음과, ,
같다.
표 카드 비교[ 6-2]
기 술 마그네틱 광메모리 스마트
실패율 2% n/a 0.03%
유지비용조정 횟수(intervention)년간 실패 횟수기술자 한 명에 의해 유지되는 기계의 수여분의 부품에 한 비용
-4001000204000
-40080015500
-100100100100
제 절 요약8
기술적인 보안 책이 충분하여 비인가자의 접근이 완벽히 차단되더라도 특별한 조치를 취
하지 않은 시설에 위치한 컴퓨터 시스템은 자연재해로 인하여 컴퓨터 시스템이 파괴되거나
자료의 손실 및 정보의 파괴와 같은 손실을 야기할 수 있다 마찬가지로 불순세력이나 적으.
로부터의 공격이나 침투 파괴도 컴퓨터 시스템과 자료보존의 측면에서 매우 큰 위협이 될
수 있다 이러한 손실은 부분 물리적인 피해의 유발과 물리적 피해로 야기된 전산 작업의.
지연과 같은 부가적 손실을 병행한다 이러한 손실을 최소화하기 위한 책을 물리적 보안.
책이라 하며 컴퓨터 시스템의 기술적인 보안 책에 우선하여 시행되어야 한다.
물리적 보안 책에는 수해 화재 지진 등과 같은 자연재해로부터 컴퓨터 시스템이 위치한, ,
컴퓨터 시설물을 보호하기 위한 자연 재해 책과 전쟁 지역이나 취약 지역에서와 같이 불
순 세력이나 적의 파괴로부터 컴퓨터 시스템을 보호하기 위한 경비 경보와 같은 시설물 보,
안 책의 두 가지로 구분된다 각각의 책은 위협의 상이 틀리므로 적용되는 책의 내.
용이 틀리나 컴퓨터 시스템을 둘러싸고 있는 시설물에 적용된다는 점에서 유사한 성격을 지
닌다.
전산실의 경우 인가된 컴퓨터 사용자의 잘못으로 컴퓨터 시스템의 정상적인 운용이 지연되
거나 고장 수리의 지연으로 일어날 수 있는 컴퓨터 시스템의 작업 지연 등도 재해에 포함되
기는 하나 이는 컴퓨터 사용자의 훈련 감독 및 통제 핵심적인 인원의 교 운용 부정 조, , ,
작을 방지할 물리적 접근통제 등과 같은 행정적 심리적 보안 책을 통하여 조치되어야 한,
다.
비승인자의 컴퓨터 시설 접근을 제한하고 승인된 자만이 컴퓨터 시설을 이용할 수 있도록
하기 위하여 출입제한 및 접근통제 기법을 많이 사용한다 출입 제한 및 접근통제는 건물.
자체 주출입구 핵심지역 등 구역별 특성이나 업무의 할당 및 흐름 등을 검사하여 통제기법, ,
을 적용하여야 한다 이러한 출입 제한 및 접근통제에 사용될 수 있는 제품으로는 지문 망. ,
막 얼굴 손 등 개인의 신체적 특성을 이용한 바이오메트릭 제품이나 마그네틱 스트라이프, ,
카드 메모리 카드 스카트 카드 등 카드를 이용한 제품 등이 사용될 수 있다, , .
참고 문헌
한민국 전산망표준 전산망 보안관리를 위한 기술지원서 총론[1] KISR-5G-0006('93), - ,
체신부 년 월, 1993 2 .
한민국 전산망표준 전산망 보안관리를 위한 기술지원서 전산[2] KISR-5G-0007('93), -
센터의 물리적 보안 체신부 년 월, , 1993 2 .
컴퓨터 보안관리 지침 연구 물리적 보안 분야 한국전산원 년 월[3] - , , 1990 12 .
전산망의 안전 신뢰성 기준 해설서 한국전산원 년 월[4] , , 1994 12 .・컴퓨터통신망의 보호체계에 관한 연구 한국전자통신연구소 년 월[5] , , 1993 12 .
[6] Philip Fites, martin P.J. karatz, Information System Security, International Thomson
Computer Press, 1996.
[7] http://www.csr.inibo.it/research/biolab/
[8] http://www.biometrics.org:8080/~BC/
[9] http://cherry.kist.re.kr/html/sites.html
[10] http://cybercity.shinbiro.com/~freemen/
[11] http://www.tech.purdue.edu/it/adc/smcard.html#bibliography
제 장 인적 보안7
제 절 개요1
인적 보안은 사용자 접근통제와도 긴 한 관계를 가지고 있지만 세부적으로 볼 때 두 개의
분야는 엄연히 다르다고 할 수 있다 접근통제는 직원 및 사용자가 업무상의 필요에 따라.
물리적 차원에서 전산실의 출입 권한을 주어야 하는가 등을 결정하는 것이고 시스템 차원,
에서 어느 수준의 데이터까지 접근하여 사용할 수 있는가를 결정하는 것이다 인적 보안은.
한층 더 높은 관리적인 측면을 말하며 이는 어떠한 사람을 고용할 것인지 어느 보직에 고,
용할 것인지를 결정하는 것이다 그러므로 인적 보안은 직책이나 업무 분야에 따른 접근통.
제의 기초가 된다 본 장에서는 정보보호의 인적인 부분만을 다룬다. .
부분 정보보호에 한 내용을 다룰 경우 인적 보안에 한 내용이 소홀하다 인적 보안은.
단순히 정보시스템의 하드웨어나 소프트웨어 보안 수준이 아니며 정보보호 담당자의 권한,
이기보다는 그 상위계층인 경 층의 권한이나 정책적인 면이 훨씬 더 강하기 때문이다.
제 절 인적 보안의 중요성2
정보보호라 하면 사람들은 주로 침입차단시스템 재난복구 암호기술 및 접근통제 등을 생각, ,
하며 근래에 자주 보도되고 있는 바이러스와 해커에 해서는 언급하지만 인적 보안이 근,
본적인 바탕이 된 후 앞에서 언급된 내용을 포함한 상위계층의 보안 조치가 취해져야 한다.
컴퓨터 보안은 전적으로 인간에게 달려있다 즉 보안 정책을 수립하고 컴퓨터를 운용 관리. , ,
하며 보안 조치를 취하는 모든 작업이 인간에 의해 행해지며 컴퓨터의 해킹 바이러스 작성,
및 부주의로 일어나는 모든 컴퓨터의 피해 또한 인간에 의해 행해진다.
그러므로 컴퓨터의 하드웨어나 소프트웨어를 포함한 모든 컴퓨터 관련 장비를 포함해서 볼
때 인적요소가 가장 신뢰성이 떨어지는 컴퓨터 구성요소이다.
인간에 의한 위협은 크게 외부인에 의한 위협과 내부인에 의한 위협 두 가지로 나눌 수 있
다 이중 외부인에 의한 위협은 많은 분야의 사람이 관심을 가지고 있으나 내부인에 의한.
위협은 그다지 큰 관심을 끌지 못하고 있다 외부인에 의한 위협이란 해커 크래커 프리커. , , ,
기업스파이 전직 근로자 사이버 테러리스트 악덕 정보 거래자 국외 정보 수집 기관 바이, , , , ,
러스 작성자 등을 예로 들 수 있다 미국. NCSA(National Computer Security Association)
에서 조사한 정보시스템 피해를 볼 때 외부인에 의한 피해는 전체 정보시스템 피해의 약 6
분의 을 차지하고 있다 하지만 부분의 사건이 보고되지 않는다는 점을 볼 때 외부인에1 .
의한 피해는 훨씬 더 클 것으로 예상된다 많은 기업은 자신의 정보시스템이 해킹 당했다는.
사실이 알려질 경우 기업 이미지가 손상되며 따라서 기업에 큰 손해를 가져 올 것을 우려하
여 해킹 사례를 보고하지 않고 있으며 심지어 해커가 누구인지를 알고 있을 경우 해커에게
돈을 주면서까지 해킹 사실을 숨기고 있다.
년 미국 변호사 협회 의 보고서는 접근 권한을 가지고 있는1984 (American Bar Association)
내부인에 의한 정보시스템의 피해가 전체 정보시스템 피해의 약 인 큰 비중을 차지하고78%
있다고 발표하 다 내부인에 의한 위협은 조직내 불만을 가지고 있는 사람 외부 유혹에 매. ,
수되는 사람 정직하지 못한 사람이나 무관심과 고의로 인한 정보 유출의 경우가 제일 많다, .
내부인에 의한 정보시스템 피해 사례가 날로 급증하고 있을 뿐만 아니라 사건을 찾아내어
처벌하기란 매우 힘들다 특히 정보시스템 보안에 중요한 업무를 담당하고 있는 시스템 관.
리자 운용자 프로그래머에 의한 피해는 더욱 더 찾아내기가 힘들다 내부인에 의한 정보시, , .
스템의 피해가 이렇게 큰 비중을 차지하므로 절에서는 사용자 및 직원에 한 채용 승진3 , ,
퇴직 및 해고시에 반 되어야 할 인사관리정책과 근무환경 직원 교육 및 사기 고양을 포함,
한 구성원에 한 보호를 절에서는 인적 보안에 지켜야 할 몇 가지 사항을 정리하 다, 4 .
절에서는 정보시스템에 관련된 여러 보직과 그들의 역할에 해 각각 알아보도록 한다5 .
제 절 인적 관리3
채용1.
내부보안은 직원에 의한 조직의 주요한 정보 유출을 막으며 절도로 인한 정보시스템의 피해
를 최소화하는데 있다 모든 조직이 정직한 직원으로 구성되어 있다면 보안담당자가 필요없.
을 것이다 반 로 조직이 모두 부도덕한 직원으로 구성되어 있다면 조직은 서로를 감시하.
는데 모든 시간을 사용함으로서 조직의 효율성은 매우 취약할 것이다 하지만 최 한도로.
많은 정직한 직원을 고용함으로써 조직의 내부보안 수준을 한층 더 높일 수 있다.
건전한 인사관리정책에 반 되어야 할 첫 번째 단계가 바로 채용이다 이는 기업에서 필요.
한 인원을 선발하여 채용할 수 있는 가장 좋은 기회이며 면접을 통한 인성조회를 함으로써
정보시스템에 비위협적이며 신뢰할 수 있는 상자를 선정할 수 있기 때문이다 회사의 물.
품이나 돈을 훔친 경험이 있는 사람의 약 가 처벌을 받지 않고 지나간다 특히 민감한90% .
정보를 취급하는 부서에서 근무할 인원 자금을 관리하는 직원을 채용하고자 하는 경우에는,
신원조회에 특별히 더 많은 관심을 가지고 주의깊게 살펴보아야 할 것이다 신원조회에 많.
은 시간과 비용이 소모되지만 약 의 인원이 회사 내에서 발생하는 문제의 약 를 차20% 80%
지한다고 할 때 신원조회의 필요성을 절실히 느낄 수 있다.
신원조회를 함으로서 사전에 어떠한 사람을 고용할 것인가를 알 수 있으며 신원조회를 통해
고용 상자가 범죄 경력을 가지고 있다면 다시 한번 상자를 고용할 것인가를 생각하게
될 것이다.
컴퓨터 범죄자의 부분이 처벌을 받지 않으며 다음 직장으로 옮겨서도 똑같은 행동을 한다
고 한다 하지만 신원조회는 프라이버스 침해라는 이유로 많은 제한과 반발을 받고 있다. .
상자의 전 직장 고용주에게 이 사람을 다시 고용할 의사가 있느냐는 간단한 질문을 한다면
배경에 관련된 특별한 정보가 필요없다 하더라도 상자에 해 상세한 신원조회를 해야 하
는지를 파악할 수 있을 것이다 이러한 방법을 사용함으로써 상세한 정보를 수집할 수 없다. ,
하더라도 상자를 고용할 것인가 또는 추가 신원조회를 해야 하는가를 알 수 있다.
신규 채용 상자를 선정한 후 조직의 신규 채용 서약서를 읽고 이해하며 서약서의 사항을,
준수할 것임을 서약시에 서명하여야 한다 신규 채용 서약서에 서명을 하도록 하여 신규 채.
용 서약서의 사항을 지킨다는 것 또한 본인 업무의 연장이라는 주지시킨다.
승진2.
민감한 정보를 다루는 직책이나 많은 업무에 책임감을 필요로 하는 직책의 승진 상자에
한 신원조회를 하는 것 또한 중요하다 상자가 입사할 당시에는 좋은 가정과 안정된 재.
정적 배경을 가지고 있었을 지라도 그 후 몇 년이 지나 주요 보직의 승진 상자가 되기까
지 많은 시일이 지났으며 개인적인 상황 또한 많은 변화가 있었을 것이다 그러므로 주요.
보직의 승진 상자에 한 신원조회는 필수라고 할 수 있다 만약 상자가 경제적으로 큰.
어려움에 빠져 있다면 회사 차원에서 도움을 주어 횡령이나 도용의 가능성을 사전에 방지할
수 있으며 사원의 사기를 높일 수 있는 좋은 기회이기도 하다.
퇴사자 및 해고자3.
보안에 한 의식을 가지고 있는 관리자는 종업원과 고용주의 관계에 해 관심을 가지고
있어야 한다 특히 불만을 가진 직원의 퇴사 및 이직 문제는 관리자가 항상 많은 관심을 가. ,
지고 다루어야 한다.
가 퇴사자.
가장 문제가 되는 사람이 바로 퇴사자이다 퇴사자가 퇴사하기로 계획하거나 생각하기 시작.
한 날부터 퇴사한다는 최종 결심을 하기까지는 많은 공백기간이 있을 수 있다 이 공백기간.
중에는 고용주가 종업원의 의도 및 계획을 알 수 없으며 이 기간이 바로 관리의 취약 기간
이라고 할 수 있다 그러므로 고용인과 사이가 좋지 않은 직원이나 불만이 많은 직원이 기.
업의 정보를 빼내어 경쟁 기업에 판매함으로써 직간접적으로 피해를 입힐 수 있다 또는 논.
리폭탄이나 틀린 데이터를 시스템에 입력하거나 아예 데이터 자체를 삭제하는 방법도 있다.
관리자의 임무 중 하나는 퇴사자의 수를 가능한 한 줄이는 것이다 관리자는 직원과의 잦은.
접촉을 통하여 직원의 기분 분위기 및 사기 등을 파악하여 어떠한 점이 문제가 되는지를,
파악하여 사전에 해결함으로 퇴사자의 수를 최소화할 수 있다.
나 해고자.
퇴사자보다는 해고자에 한 보안 관련 문제를 해결하기가 훨씬 수월하다 관리자는 해고자.
의 퇴사날짜를 정할 수 있으므로 회사와 업무에 미치는 향을 최소화 할 수 있다 예를 들.
면 중요한 프로젝트가 시작되기 전이나 프로젝트가 끝난 후에 해고할 수 있다.
다 회사를 떠나는 마지막 날.
해고자이건 퇴사자이건 회사를 떠나야 한다고 결정이 내려졌다면 이에 한 빠른 조치를 취
하는 것이 최선이다 특히 해고자의 경우 후임자를 교육시킨다거나 남은 프로젝트를 마무리.
한다는 등의 긴 기간이 없어야 한다.
직원이 해고당할 경우 관리자가 마지막 상담을 통해 고용이 공식적으로 마감되었음을 알려
야 한다 마지막 상담시 왜 해고되었는지에 한 이유를 설명한다 또한 법적이나 고용계약. .
에 따르는 남은 임금을 지급하며 최소한 한 명의 경호원이 해고자 및 퇴사자를 본인의 자리
까지 인도하여 회사에서 지급한 상자에 개인 사물을 정리하게 한다 해고자 퇴사자는 회사. /
배지 사업 카드 신용카드 휴 용 컴퓨터 및 열쇠를 포함한 모든 회사 장비를 반납한, ID, , ,
다 그 후 모든 정리가 끝나면 해고자 퇴사자는 회사의 역 밖으로 경호원과 동행하여 회. /
사를 떠난다.
해고자 퇴사자는 회사를 떠나는 날 이후로는 회사에 더 이상 출입을 할 수 없으며 회사의/
어느 정보 시스템과도 연결할 수 없도록 조치를 취해야 한다 다음은 취해야 할 조치사항을.
정리하 다.
출입허가 목록에서 해고자 퇴사자의 이름을 삭제한다/ .○
회사 경호원들에게 해고자 퇴사자 목록을 전달하여 출입허가 권한을 가지고 있는 사람의/○
허가 없이는 출입을 허가하지 말게 하며 직원과 같이 출입을 하고자 한다 하더라도 권한자
의 허가 없이는 출입시키지 말아야 한다.
해고자 퇴사자가 출입권한을 가지고 있었던 지역의 출입 카드 시스템을 재프로그래밍하/○
며 필요시 자물쇠를 교체한다.
해고자 퇴사자가 사용한 모든 컴퓨터의 접근 권한을 삭제한다/ .○
테이프 저장 시설 회보지 출판사를 포함한 모든 외부 시설에 해고자 퇴사자의 명단을, /○
통보하여 회사의 정보를 유출하지 않도록 하며 회사의 재난 재해 복구 절차에 담당하고, ・있는 업무가 있다면 다른 사람에게 체한다.
모든 외부 시설에 해고자 퇴사자가 회사의 정보를 수집하려고 하거나 권한 밖의 행동을/○
하려 할 경우 고용자에게 통보해 줄 것을 요청한다.
해고자 퇴사자가 높은 보직이나 중요한 요직 재난 재해 복구 및 시스템 보안 관련 근무자/ , ・일수록 퇴사 후의 조치를 취하기가 어렵다 보안 분야에서 근무하 거나 중요한 요직에서.
근무하 을수록 회사의 정보시스템에 접근하는 방법이 다양했을 것이며 취약점을 이용한 접
근 경로 또한 다양할 것이다 이를 다 파악하여 조치를 취한다는 것은 그리 쉽지 않다. .
직원에 한 보호4.
가 근무환경.
앞에서도 언급된 바와 같이 직원은 조직의 정보시스템을 포함하여 조직을 구성하는 요소 중
제일 취약하다 그러므로 직원에게 최고의 근무환경을 제공하도록 노력하여야 한다 특히 경. .
제적인 어려움이나 가족 중 아픈 사람이 있다거나 과다한 업무량이 주어져 오랜 기간동안
야근 작업을 해야 하는 경우 직원은 맡은 바 임무에 소홀해질 수 있다 따라서 관리자는 이, .
러한 상황에 처한 직원에게 특별한 관심을 두어 문제를 해결해 주도록 노력해야 한다.
조직은 어떠한 상황에 따라 조직 개편을 실행할 수 있으나 직원은 규칙적이면서도 보장받,
는 생활을 유지하고자 한다 그러므로 너무 잦은 개편은 직원들에게 심리적인 부담을 주게.
되고 불안하게 만들므로 될 수 있으면 자제해야 한다 또한 근무지 근무 부서 담당업무 등. , ,
은 조직의 형편상 직원이 원하는 로 다 들어줄 수 없지만 회사의 입장을 잘 설명하여 오
해가 없도록 해야 한다.
직원에 한 인사 기록이나 개인 정보는 유출되지 않도록 특별히 보호하지 않으면 구성원의
프라이버시 문제를 유발시킬 뿐 아니라 이를 악이용하여 직원이 매수되거나 협박당하는 상
황이 발생할 수 있다.
직원은 조직에 있어서 필수요소이다 따라서 조직은 직원을 보호하도록 최 한으로 노력해.
야 한다 특히 재난이나 재해 발생시를 비하여 재난 재해 복구 계획에는 직원을 안전하게. /
피시킬 수 있는 방법이 제일 먼저 포함되어야 한다.
이는 아무리 피해의 규모가 작고 이를 복구할 장비를 보유하고 있다 하더라도 장비를 사용
할 인원이 없다면 아무 소용없기 때문이다.
나 교육.
기업내의 모든 직원 및 계약자는 기업의 정보 및 자원을 보호하기 위한 보안교육을 충분히
받아야 한다 교육 수준 및 교육 빈도 수는 직원의 직책 및 담당업무에 의해 정해진다 예를. .
들어 데이터를 입력하는 직원과 정보보호 담당자가 받아야 할 교육은 분명히 달라야 한다.
현 기업에서는 모든 직원이 기업의 정보 시스템을 사용해야 담당업무를 처리할 수 있지만
거의 모든 직원은 기본교육으로도 충분하다.
기업에서는 직원의 보안교육용 자료 및 교육의 실시에 한 책임자를 정해두어 보안 교육에
차질이 없도록 한다 교육은 정보보호 담당 부서가 아닌 다른 부서가 이 업무를 담당할 수.
도 있으며 정보보호 담당 부서와 교육 담당 부서가 협조하여 이 업무를 진행해 나갈 수도
있다 또한 각 부서에서는 부서원이 보안 교육에 참석할 수 있도록 협조하여야 한다. .
많은 관리자는 정보보호에 관련된 교육이나 자료를 읽는 것이 생산성 향상에 아무런 기여를
하지 않으므로 불필요하다고 생각하는 사람이 많다 관리자는 직원이 단순히 교육을 참석하.
는 것에서 만족하지 않고 정보보호 관련 자료 및 서적을 근무시간에 읽을 수 있도록 충분히
배려를 해주어야 한다.
교육을 언제 실시해야 하는가 하는 점 또한 고려해 두어야 한다 신입사원을 상으로 하는.
교육도 여러 가지일 수 있다 하나는 컴퓨터 시스템에 접근할 수 있는 권한이 주어지기 이.
전에 모든 교육을 받아야 하는 경우가 있으며 아주 간단한 교육만을 실시한 후 시간이 지,
남에 따라 담당 업무에 해당하는 수준의 정식 교육을 실시하는 방법이 있다.
제 절 보안 관리4
업무 분담1.
업무 분담이란 보안에 관련된 업무를 여러 직원에게 분담하는 것이다 만약 한 명이 보안에.
관련된 모든 업무를 담당한다면 이러한 점을 악용할 가능성이 많아지기 때문이다 작은 규.
모의 조직에서는 개 시스템 관리자 혼자서 시스템 보안관련 기능 및 업무를 수행하며 사,
용자는 보안에 관련된 업무를 전혀 수행할 수 없도록 되어있다 그러나 한 명이 보안에 관.
련된 전반적인 사항을 모두 다 감당할 수가 없을 뿐 아니라 이러한 체제가 오랜 기간동안
유지되어 온다면 취약점을 악이용할 수 있는 기회를 제공하게 된다 그러므로 이러한 체제.
는 보안에 유익한 방법이라고 할 수 없다 높은 수준의 보안을 요구하는 시스템에서는 주로.
시스템 관리자 보안 관리자 또는 및 오퍼레이, ( Information System Security Officer, ISSO)
터 등이 보안에 관련된 업무를 수행하며 최근에는 데이터 베이스 네트워크 및 여러 분야의,
관리자도 보안에 관련된 업무를 수행한다 여러 명이 시스템 보안 관련 업무를 담당하게 함.
으로서 직원들간의 상호 견제 효과를 유지하여 범죄를 일으킬 수 있는 기회를 줄이는 것이
다 또한 여러 명이 나누어 작업을 할 수 있으므로 전문가로서의 맡은 바 임무를 성공적으.
로 수행할 수 있다 이들의 업무와 책임에 해서는 다음 절에서 알아보기로 한다. .
혼자만의 작업 금지2. (Never alone)
직원이 민감한 정보를 다루어야 하는 경우에는 두 명 이상이 위치하고 있는 장소에서만 정
보를 열람하고 사용하게 함으로써 정보 유출을 최 한으로 줄일 수 있다 이는 앞에서 언급.
한 바와 같이 혼자서 모든 업무를 수행할 수 없도록 하기 위한 것이다 이러한 방법은 실생.
활에서도 많이 볼 수 있다.
은행을 예로 든다면 수표를 신청하는 사람과 이를 허가하는 사람이 따로 있는가 하면 공수
표를 관리하는 사람과 이를 사용하는 사람이 분류되어지는 점을 들 수 있다.
근무순환3.
보안 관련 직책은 순환 보직제이어야 한다 보안 관련 보직과 같은 전문직책에 직원을 임용.
하고자 한다면 교육에 많은 시간과 노력을 투자하여야 한다 하지만 보안관련 직책에 장기.
간 근무할 경우 그 직책이 구적이라고 믿을 수 있으며 시스템이나 시스템에 저장되어 있
는 정보를 악용한다고 하더라도 아무도 이를 찾아낼 수 없다는 생각을 할 수 있다 그러므.
로 보안 관련 직책에 근무하는 직원은 일정한 기간 후 순환되어야 한다.
위협을 감소시킬 수 있는 사항4.
다음 사항을 실행함으로써 보안의 취약점을 최소화할 수 있으며 정보유출을 막을 수 있다, .
프로그래머 오퍼레이터 감사자 및 유지 보수 인원 상호간의 접촉을 최소화한다 프로그, , .○
래머가 오퍼레이터의 업무를 수행함으로써 시스템 운용상의 취약점을 사용한 프로그램을,
작성하여 정보를 유출해 낼 수 있다.
프로그램에 한 문서를 정해진 시간에 상세히 작성함으로서 시간을 절약할 수 있다 프.○
로그래머는 작성한 프로그램의 정확한 기록을 남기지 않음으로 에러 수정시 많은 시간이 소
비되며 특히 신입사원일 경우 시간 소비의 피해가 크다.
프로그래머는 전산실에 출입을 못하도록 한다.○
오퍼레이터나 프로그래머를 다른 부서나 지역으로 이동시킴으로 해당 부서의 시스템에○
한 지식을 사용하여 장기간의 시스템 착복을 막을 수 있다.
전산실의 모든 사항을 통제해야 한다 프로그래머나 오퍼레이터는 많은 수법으로 시스템.○
의 취약점을 사용하여 불법적으로 시스템을 사용할 수 있다 모든 사항에 한 통제는 이러.
한 점들을 방지할 수 있다.
운용상에 일어나는 모든 사항을 기록으로 남겨야 한다 문제가 생겼을 때에 기록을 사용.○
하여 문제의 발단을 찾아낼 수 있다.
시스템 사용에 한 철저한 전산 보안 감사와 평가가 이루어져야 한다.○
컴퓨터 출력 펀치 카드 및 프로그램 정보는 규정에 의한 절차를 사용하여 처리되어야,○
한다.
개발 구입하여 사용하는 프로그램을 원본과 비교하여 검사한다/ .○
접근통제5.
조직은 사업의 성패를 좌우할 수 있는 많은 민감한 정보를 보유하고 있으며 이는 정보화 시
를 맞이하여 정보시스템에 저장되어진다 그러므로 컴퓨터에 저장된 정보를 보호하기 위.
해서는 어느 누가 정보에 접근할 수 있는가를 판단하여야 한다.
조직의 모든 사람에 해 어느 정도 수준의 데이터까지 접근할 수 있어야 맡은 바 임무를
원활히 수행할 수 있는가를 판단하여야 한다 너무 많은 권한을 부여할 경우 자원의 낭비는.
물론 필요 이상의 데이터에 접근할 수 있어 보안상 취약해진다 또한 너무 적은 권한을 부.
여하 을 경우 특별한 이유로 출근하지 못한 직원을 신하여 업무를 처리할 수 없는 상황
이 발생할 수 있다 이러한 상황을 고려하여 직원의 권한을 올바르게 책정하는 데에는 많은.
어려움이 있다.
감사6.
감사는 내부 인원으로 실시되는 내부 감사와 외부 인원에 의해 실시되는 외부 감사로 나뉜
다 감사는 그동안 시스템의 사용자 어카운트를 적절히 잘 관리해 왔는가를 감사하는 것으.
로 직원이 근무하는데 필요한 최소한의 권한만을 부여 받았는지와 이를 잘 지켜왔는지를,
검토한다 더불어 모든 직원이 보안 교육을 받았으며 교육이 실시되었는가를 점검한다 또한. .
특정 직원이 데이터에 접근할 수 있는 권한이 실제로 필요한 것인지 검토하여 접근 권한 목
록을 갱신한다.
제 절 보안 담당요원5
조직의 관리자1.
조직의 전략적 의사결정을 행하는 최고 관리자는 비상 책 및 재난 책 등을 포함한 보안
책에 한 최종 결정자이다 그러므로 최고 관리자의 보안 인식이 매우 중요하다 하지만. .
얼마전 한국기업 경 진의 정보시스템 보안 인식도를 조사한 바에 의하면 보안 인식 수준이
굉장히 낮은 것으로 판단되었다 이들은 조직의 보안 책 전략의 설정 및 전략을 실행하기.
위한 전술적 계획을 수립하여 시행하는데 그 책임이 있으므로 정보시스템 보호에 해 많은
관심을 가지고 있어야 한다.
앞에서 언급된 바와 같이 단 한 명이 정보시스템 보안에 한 모든 업무를 수행하게 될 경
우 많은 위험이 뒤따른다 그러므로 정보시스템의 안전에 하여 특별한 책임을 분담하여.
맡고 있는 사람들이 별도로 책정되어 있어야 한다 즉 정보시스템 보안 담당자 내부 보안. ,
감사요원 데이터베이스 관리자 네트워크 관리자 시스템 오퍼레이터 등이 이에 해당한다, , , .
하지만 좀 더 완벽한 정보시스템 보안의 목적을 달성하기 위해서는 조직전체 구성원의 적극
적인 참여가 있어야 한다.
비상 책 재난 책 및 컴퓨터 보안 책이 수립된 후 모든 관리자들은 최고 관리자에 의,
해 결정된 책을 완벽히 숙지함으로써 언제 어디서든지 책을 실행할 수 있는 능력을 갖,
추어야 한다 또한 관리자는 업무상의 어떤 변화로 인하여 정보 시스템에 피해가 가지 않도.
록 하며 정보가 유출되지 않도록 업무의 모든 절차를 완벽하게 파악하고 있어야 한다 특히.
중간 관리자는 보안사고에 해 즉각 응할 수 있도록 노력해야 하며 부하 직원으로 하여,
금 침해사건이 발생했을 경우 즉시 보고를 하도록 독려하여야 하고 보고가 상위 관리자에,
게 정확히 빠른 시간 내에 보고될 수 있는 체제를 갖추어야 한다.
정보 시스템 보안 책임자2.
시스템 보안 담당자는 조직에서 유일하게 모든 업무 시간을 시스템 보안을 강화하는데 사용
하며 시스템 보안에 한 총체적인 책임을 진다 보안 담당자는 최고 경 자가 결정한 보안.
정책을 수행해 나가도록 노력하며 시스템의 취약점과 이를 보완시킬 수 있는 방법을 찾아,
내도록 노력하여야 한다 또한 보안 담당자는 정기적으로 최고 경 자와 임원들에게 시스템.
보안의 현황과 이를 향상시킬 수 있는 책 및 소요 예산 등을 보고해야 한다 다음은 시스.
템 보안 담당자의 업무를 나열하 다.
조직에 필요한 보안 수준을 설정하여 이를 위한 계획을 수립한다 설정한 보안 수준에.○
맞는 비상 책 재난 책 및 복구 책 등을 수립하여 최고 관리자의 재가를 받아 시행한다, .
조직의 보안 표준 지침 절차 등을 작성하여 전 사원이 이를 따를 수 있는 체제를 구축, ,○
한다.
보유하고 있는 시스템 운 체제 데이터베이스 통신 프로그램의 취약점을 파악하며 문, , ,○
제되는 프로그램을 더 이상 사용하지 않거나 보완하여 문제를 해결한다.
신뢰할 수 있는 장비 즉 인증 받은 장비를 사용하여 시스템을 구축하도록 한다, .○
시스템 보안 담당자는 국내외 정보보호 관련 기관의 발표내용이나 행동을 주의 깊게 지켜보
아 해당되는 사항이 있으면 이에 응하거나 보완할 수 있는 체제를 갖추어야 한다 또한.
조직의 변화와 수요에 처해 나갈 수 있어야 하며 나아가 정보화 사회의 발전에 처해 나
갈 수 있어야 한다.
내부 보안 감사자3.
내부 보안 감사자는 정기적으로 시스템의 모든 내용을 감사한다 즉 내부적으로는 직원에게. ,
할당된 권한이 업무 수행에 적당한지와 권한 외 데이터의 접근 여부를 찾아내며 외부적으,
로는 외부자의 로그 정보 및 시스템 수행 작업 등을 분석하여 문제점을 찾아내거나 업무 처
리 절차상의 그릇된 점 침입 및 시도 여부 등을 파악하여 취약점을 보완하는 작업을 수행,
한다 이러한 작업은 시스템과 데이터 남용을 사전에 방지할 수 있게 한다. .
내부 보안 감사자가 이러한 작업을 원활히 수행하기 위해서는 조직의 보안 정책 위기 조치,
사항 복구 계획 등을 자세히 파악하고 있어야 되며 감사 후에는 이들을 수정하여 더욱더,
완벽한 정책과 계획이 될 수 있도록 하여야 한다 또한 내부 보안 감사자는 정확한 감사결.
과를 직접 최고 경 자에게 보고할 수 있는 체계를 갖추어야 한다.
데이터베이스 관리자4.
데이터베이스 관리자의 최고 목표는 데이터베이스를 관리하고 사용자 직원에게 적절한 시간/
내에 데이터의 가용성을 제공하는 것이다 데이터베이스 관리자는 먼저 데이터베이스 보안.
정책을 수립하여야 한다.
이는 시스템 오퍼레이터 시스템 보안 담당자 네트워크 관리자 내부 감사자 및 보안 관련, , ,
실무자와 긴 한 협조 하에 작성되어야 한다 우선 현존하는 위협을 파악하여 취약한 부분.
을 수정 보완한다.
데이터베이스 관리자는 데이터를 생성하는 부서와 협의하여 직무상 데이터를 열람하는 권한
또는 수정하는 권한이 부여되어야 하는 사람을 구분하여 해당 권한을 부여한다 데이터를.
수정할 수 있는 사람에게 데이터를 열람할 수 있는 권한도 동시에 부여하여야 하는지를 판
단하여야 하며 열람하는 권한만이 부여된 인원은 데이터를 수정할 수 없도록 하여야 한다, .
직무상 데이터 접근이 필요 없는 인원은 절 로 접근할 수 없도록 하여야 한다.
데이터베이스는 조직을 운용하는 인원 다음으로 중요하다 그러므로 만약 정보 시스템이 침.
해사고를 당하여 데이터가 파괴되었다 할지라도 빠른 시간 내에 정상적으로 복구하여 업무
를 수행할 수 있도록 하여야 한다 이를 위해서는 정기적인 백업 정책이 수립되어야 하며.
위험에 취약하거나 중요한 데이터는 필요시 매일 백업해 두어야 한다.
네트워크 관리자5.
네트워크 관리자는 조직에 필요한 네트워크 구축 통신망 구축 및 외부와의 연결에 한 총,
책임을 진다 조직의 소요에 맞게 외부에서 내부로 연결 또는 내부에서 외부로 연결해야 하.
는지와 누가 연결할 수 있는지 등을 파악하여 구현되어야 한다 또한 네트워크 관리자는 감.
사를 위하여 외부로부터의 접근과 접근실패 및 외부로의 연결 등에 한 정보를 로그파일에
저장해 두어야 한다 이 정보는 감사뿐만 아니라 외부로부터의 침해사고 발생시 이를 추적.
하는데도 사용된다.
시스템 오퍼레이터6.
시스템 오퍼레이터는 시스템 관리자의 지침을 받아 시스템을 작동하는 인원을 말한다.
기계실에는 시스템 오퍼레이터와 시스템 관리자 외에는 출입할 수 없도록 통제하여야 한다.
시스템 오퍼레이터야말로 시스템 및 시스템 취약점에 해 제일 많은 지식을 가지고 있는
사람이므로 이들의 보직을 순환시키거나 특히 퇴직시 앞에서 언급된 내용을 엄격히 적용하
여야 한다 또한 오퍼레이터와 프로그래머와의 접촉을 최소화하여 프로그래머가 시스템의.
취약점을 알 수 없도록 해야 한다.
제 절 요약6
정보 시스템 구성요소 중 가장 취약한 요소가 바로 인적 요소이다 또한 정보 시스템 위협.
은 외부에서보다 내부직원에 의한 내부 위협이 훨씬 더 크다 내부 위협은 직원의 실수 및.
부주의에서 올 수도 있으며 불법적으로 장비나 정보를 외부로 유출하는 방법 등이 있다 그, .
러므로 직원 사용자 관리가 시스템 보안에 큰 향을 미친다고 할 수 있다/ .
신입사원 경력사원 승진 및 주요 보직 이동 상자에 한 철저한 신원조회를 통하여 문제, ,
를 일으킬 가능성이 있는 사람을 사전에 배제함으로서 문제를 방지할 수 있다.
퇴직자와 해고자가 기업을 떠날 때 충분한 보안 조치를 취해야 한다 퇴직자 해고자의 명단. /
을 배포함으로서 그들이 퇴직일 이후 회사에 출입할 수 없도록 하며 기업의 정보시스템에,
접근할 수 없도록 조치를 취하며 테이프 보관시설 및 재해 복구 절차를 실행할 수 없도록,
한다.
직원들의 사기를 높이기 위하여 관리자는 직원들에게 근심이 없는 근무환경을 조성해주며
보안 관련 교육 및 과제물을 통하여 항시 보안 마인드를 형성할 수 있도록 한다 또한 보안.
에 관련된 업무는 여러 사람에게 분담하여 할당하고 보안 정보를 다룰 시에는 항상 두 명,
이상이 참석하도록 하며 보안 담당자들을 순환 근무시킴으로써 보안의 취약점을 최소화한, ,
다.
정보시스템 보안 담당자는 조직의 최고 관리자 내부 보안감사자 데이터베이스 관리자 네, , ,
트워크 관리자 및 시스템 오퍼레이터를 통하여 정보시스템을 보호하며 운용함으로서 조직의
중요 자산을 지키고 안전한 정보 시스템을 운 할 수 있는 환경을 조성한다.
이러한 많은 조치를 취한다 하더라도 직원 개개인의 정보보호 마인드가 형성되지 않으면 모
든 일이 소용없으므로 개개인에 한 정보보호 교육을 정기적으로 실행하고 관리자들은 직,
원 모두가 교육에 참여할 수 있도록 솔선수범한다 개개인은 의무적으로 정보보호 교육에.
참석하도록 노력하여야 한다.
참고 문헌
[1] Michel E. Kabay, PhD, ENTERPRISE SECURITY, McGraw-Hill, 1996.
[2] Robert J. Fischer/Gion Green, Introduction to Security, Butterworth-Heinemann, 1992.
김재업 이형원 이광훈 김경희 안효직 주민관리 전산망 보안기준 제정 방안에 관한 연[3] , , , , ,
구 보고서 한국전산원, , 1991.
문상재 김세헌 박 호 컴퓨터통신망의 보호체계에 관한 연구 한국전자통신연구소[4] , , , , ,
1993.
[5] Charles Cresson Wood, Information Security Policies Made Easy, 1996.
[6] Karen A. Forcht, Computer Security Management, boyd & fraser publishing
company, 1994.
제 장 정보시스템 보안감사8
제 절 정보시스템 감사 개요1
정보시스템 감사의 발전1.
일반적으로 감사란 특정의 개인이나 경 체의 행위나 업무에 하여 경 자 또는 투자자를
신하여 독립된 제 자가 그 내용을 조사하여 결과를 보고하는 것이다 이러한 감사는 특3 [1].
히 회계상의 부정이나 오류의 적발을 목적으로 시작되어 경 상의 접근을 감사하는 내부감
사로 그리고 최근에는 정보시스템 감사로 발전하고 있다, .
년 후반 컴퓨터가 기업의 자료처리 수단으로 사용되기 시작하 을 때 당시의 감사는1950
수작업 및 물리적 통제를 조사하고 컴퓨터의 입 출력만을 추적 확인하는 정도의 컴퓨터 주/
변감사에 머물렀다 그러나 년 들어 사에서 컴퓨터를 이용한 형의. 1970 Equity Funding
부정 사건이 발생하게 되자 컴퓨터 감사활동에 한 경 자의 관심이 높아지고 컴퓨터 관련
통제를 강화해야 한다는 필요성이 제기되었다[2].
그러나 이전에는 수작업으로 처리하던 작업들이 자동화되어 통제기능이 컴퓨터 시스템 내에
구현되게 되자 컴퓨터의 내부논리를 시험하지 않고서는 감사가 불가능하게 되었으며 컴퓨터
기록 매체에 수록된 정보에 해서는 기존의 감사기법을 더 이상 적용할 수 없게 되었었다.
이렇게 되자 감사인들은 컴퓨터에 관련된 다양한 정보와 기술을 습득하여야만 했고 컴퓨터
에 관련된 통제 기법들을 개발하게 되었다.
이렇게 컴퓨터 주변감사에서 컴퓨터를 통한 감사로 발전하게 되자 이러한 분야를
감사 또는 컴퓨터 감사라고 지칭하게 되었다EPD(Electronic Data Processing) , [2].
년 들어 정보통신기술의 발달로 컴퓨터로 연결된 통신망을 통해 정보의 신속한 교환1980
이 이루어지게 되자 회계자료 뿐만 아니라 재고관리 업무관리 경 관리 등 조직 경 상의, ,
주요정보를 컴퓨터 시스템 내에 저장 관리 교환하게 되고 조직의 업무처리 과정 자체가 컴, ,
퓨터 네트워크 상에서 이루어지게 되었다 이러한 업무처리 과정의 변화와 새로운 형태의.
위험의 발생에 따라 새로운 통제기법이 나타나게 되었으며 감사목표 및 방법도 그에 따른
변화가 나타나게 되었다 이러한 변화를 반 하여 최근에는 정보시스템 감사라는 용어를 사.
용하게 되었다[3].
그림 정보시스템 감사의 발전( 8-1)
이렇게 최신의 정보기술을 이용한 정보의 수집 가공 보관 배포 등의 과정을 수행하는 시, , ,
스템을 정보시스템이라 부르며 이들 시스템이 조직의 경 목표에 따라 효율적이고 효과적이
며 안전하게 운 되고 있는지 그리고 그 운 이 관련 법령이나 조직의 규칙에 합당한지를,
평가하고 필요한 조치를 권고하는 것을 정보시스템 감사라고 정의한다 정보시스템 감사[4].
의 목적으로는 위에서 언급한 것 이외에 경제적으로 투자 효과비의 적합성을 검토하는
경제성이나 정보 및 재무보고의 신뢰성 등이 언급되고 있다, .
한편 국내에서는 정보시스템 감사라는 용어와 전산감리 또는 정보시스템 감리 라는 용[6] [13]
어가 혼용되어 사용되고 있다.
최근 들어서는 물류정보시스템이나 전자문서 교환 전자상거래를 포함하여 정보기술이 기업,
및 조직의 핵심전략으로 부상하는 가운데 정보기술 혹은 정보기술의 감사라는 용어도 심심
치 않게 사용되고 있는 것을 볼 수 있어 정보시스템 감사의 상과 내용이 계속 확 되고
있음을 감지할 수 있다.
정보시스템 감사의 국내외 현황2.
아직 국내에서는 정보시스템 감사가 시작단계이나 해외 여러 국가에서는 정보시스템 감사가
회계 감사 및 내부 감사의 일부로 정착되어 가고 있다.
정보시스템 감사가 가장 활성화된 부문은 역시 은행 등의 금융회사이며 전화회사 등 정보,
시스템에 한 의존도가 높은 회사들은 감사 부서 내에 전산 감사 부서를 두고 있으며[12]
이들이 차지하는 비중이 점점 높아지고 있다.
미국의 경우 정부측에서는 상무성 산하기관인 NIST(National Institute of Standard &
에서 컴퓨터 보안 기준 및 지침을 연구 보급하고 있으며 내부 감사인 협회Technology) (IIA:
에서 정보시스템 감사의 역별 감사인의 직무를 규정하고 있Institute of Internal Auditors)
고 국가기관의 경우 미 공법 등에 의거하여 감사관이 정보시스템 감리를100-235, 97-255
시행하고 있다[7].
민간 분야에서 일반 감사에 한 요구사항 외의 구체적인 법적 근거는 없으나 주요기업의
이상이 자발적으로 의 공70% ISACA(Information Systems Audit and Control Association)
인 정보시스템 감사인 이나 전산전문가에 의(CISA: Certified Information Systems Auditor)
한 감사를 수행하고 있다.
는 정보시스템 감사분야에서는 유일한 전 세계적 민간단체로서 년부터 자ISACA 1981 CISA
격시험제도를 주관하여 실시하고 있으며 년 현재 세계 여개국 여명이 이 제도1997 100 10,000
에 의해 자격을 인정받고 있다 구미에는 이 외에 정보시스템 감사에 한 별도의 자격[14].
제도는 없다.
국은 에서 국가 감사 상 기관의 정보시스템에 한 투자활용 효과를Audit Commission
감사하도록 되어 있으며 이들의 활동이 전체 감사활동의 를 점유하고 있는 것으로 알려50%
져 있다 또한 라는 기관에서 국. CCTA(Central Computer & Telecommunication Agency)
정부의 컴퓨터와 통신 프로젝트에 한 기술적 재무적 사항을 검토하도록 되어 있다 유럽, .
의 경우 국가기관시스템은 국가발령 감사인이 감사를 수행하고 민간 분야에서는 전산전문가
또는 회계법인이 감사를 수행하고 있다[7].
일본의 경우는 세계에서 유일하게 자체 시스템 감사 기술자 자격제도가 있어 통산성의 주관
으로 시험을 시행하여 자격을 인정하고 있다 년 시스템 감사기업 장 등록제도를[17]. 1991
만들어 시스템 감사 실시기업을 일반 이용자에게 공지하고 있으며 년에는 문부성의 전1996
산인력개발을 위한 커리큘럼에서 미래에 필요한 최고도의 기술인력으로 시스템 분석가와 시
스템 감사 기술자를 선정한 바 있다 년의 시스템 감사 백서에 따르면 일본기업의. 1991 2~
가 정보시스템 감사를 실시하고 있는 것으로 발표되었다25% .
그 외 동남아시아의 홍콩 싱가포르 말레이시아 등의 국가 역시 일찍부터 에 가입하, , ISACA
여 여명의 합격자가 활동하고 있는 등 정보시스템 감사가 활발하게 진행되고 있으200 CISA
며 동남아의 정보시스템 감사용 각종 소프트웨어의 주 공급원이 되고 있다.
한편 국내에서는 은행 등 금융기관이나 외국인 투자 회사 외에 실제로 정보시스템 감사를
수행하고 있는 회사가 많지 않다 그러나 정보시스템 도입율이 높아지고 인터넷 연결이 폭.
증함에 따라 정보시스템 감사의 중요성 및 필요성의 인식도 급속히 확산되고 있다.
공공기관에서는 한국전산원이 초고속통신망사업 추진에 따라 개발사업에 한 전산감리를
실시하고 있다[7].
그러나 국가적인 정보화의 본격적인 추진에 따라 국가기간전산망 및 전자상거래 등의 정보
서비스가 가까운 시일 내에 활성화될 것이며 이에 따라 예상되는 정보화 역기능에 비하기
위하여 정보시스템 보안감사의 필요성에 한 인식과 요구도 점점 높아지고 있다 또한 인.
력면에서도 여명의 합격자가 국내에 존재하고 있으며 한국협회 한국기술100 CISA ISACA ,
사협회 및 회계사협회 등 관련 단체에서도 정보시스템 감사를 수행하고자 준비 중에 있으므
로 정보시스템 감사가 활성회될 수 있는 바탕이 점차 마련되고 있다.
제 절 정보시스템 보안감사의 기본 개념2
정보시스템 보안감사의 현황1.
일반적으로 이루어지고 있는 보안감사는 업무감사의 일환으로 조직의 보안을 위한 통제가
목적으로 이루어져 왔으며 국방 등 전통적으로 보안이 중요한 분야가 아닌 경우 업무감사의
보완적 성격을 띄는 것이 보통이다.
그러나 년 의 컴퓨터 혁명이라 부를 수 있는 정보화의 향으로 정보의 중요성이 강70 80~
조되면서 정보보호에 한 요구도 계속 증가하고 있는 실정이다 특히 공공정보가 정보시스.
템에 저장되고 통신망을 통해 접근하거나 유통되게 되면서 프라이버시의 문제 등이 세계적
으로 부각되고 있다.
이러한 상황에서 정보시스템의 안전 신뢰성에 한 객관적인 확인을 제공해 줄 수 있는 정・보시스템 보안감사의 역할이 자연스럽게 요청되고 있는 것이다.
정보의 무결성이 중요한 은행 등 금융기관의 경우 재정경제원에 의한 연 회의 외부 보안감1
사 외에 각 기관 내부의 안전관리실 등에서 수시로 보안감사를 수행하고 있으며 기업의
경우 내부적으로 보안정책을 수립하고 이에 따른 각종의 보안절차를 감사하는 보안감사가
실시되고 있다 또한 회계법인이나 컨설팅 회사에서도 정보시스템 보안에 한 감사 및 컨.
설팅 서비스를 개발 판매하고 있다, .
그러나 이러한 움직임은 일부에 그치고 있고 다수의 기업에서는 정보시스템 보안에 한
객관적인 평가의 필요성을 느끼고 있으면서도 아직은 기술적으로 훈련된 인원의 부족으로
인하여 물리적 관리적 보안 외에 기술적인 보안에 한 감사는 일반화되고 있지 못한 실정・이다.
이러한 상황으로 국내에서 정착된 정보시스템 보안감사의 일반적인 모델이라는 것은 아직
존재하지 않는다 따라서 이 장에서는 정보시스템 보안감사에 관련된 외국의 활동과 현재의.
발전 경향을 소개하는 형태가 될 것이다 그러나 정부기관을 비롯하여 여러 단체나 기관에.
서 이 분야에 한 연구가 진행 중에 있으므로 어떤 형태로든 점차 정보시스템 보안감사가
확산되리라고 보인다.
정보보호시스템 보안감사의 정의2.
정보보호의 정의와 필요성에 관하여서는 제 장 서론을 참조하라1 .
일반적으로 내부감사의 일환으로 수행되는 정보시스템의 보안에 한 감사에서는 전기의 감
사 자료 및 그간의 정보시스템 관련 변동사항에 한 자료를 토 로 각종의 보안통제의 평
가를 포함하는 운 활동에 한 감사가 이루어진다 이러한 경우의 감사는 조직이나 정보[9].
시스템에 큰 변동이 없는 한 상세한 통제 목표 및 검토 목록에 의하여 감사를 수행할 수 있
으며 감사의 범위도 제한적이다, .
그러나 실제로 정보시스템의 보안을 위해 검토되어야 할 역은 매우 넓다 정보시스템에.
관련된 다양한 과정 및 절차에서 보안성의 검토가 필요한 작업이 나타나게 되는데 각 조직
에서 일반 감사와 정보시스템 감사와의 관계에 따라 해당 감사의 범위가 변할 수 있다.
프로젝트 수주에 한 감사나 운 감사 과정에서도 보안성에 한 검토가 이루어질 수 있
다 이러한 경우 일상적인 정보시스템 보안감사와는 그 상과 구체적인 활동에서 차이가.
있을 수 있다.
예를 들어 정보시스템에 한 보안감사가 처음으로 도입되는 경우 외부 기관에 의한 보안,
감사 또는 조직이나 정보시스템에 큰 변동이 있는 경우에는 정보시스템에 한 보안정책을,
포함하여 위험분석과 각종의 보안 책에 한 검토가 우선적인 상이 되어야 한다.
또 구매나 개발을 통하여 새로운 정보시스템이 도입되는 경우에는 그러한 사업의 타당성 및
위험의 검토를 위한 감사활동 외에 시스템의 요구사항 개발과정 또는 설계과정에 감사인이
참여하여 정보시스템의 보안에 필요한 통제가 존재하는지에 한 검토를 수행하거나 필요한
감사용 모듈이나 기능을 요구할 수도 있다[5, 11].
따라서 각종 정보시스템 감사의 방법 중 그 목적과 상에 따라 보안성의 검토를 위한 여러
가지 목표와 기법이 있을 수 있으며 이들이 단일한 감사 과정에서 완전히 수행되는 것이 아
니라 여러 가지 목적의 다양한 감사과정에서 그러한 목표와 기법을 채택하여 감사를 수행하
는 것이 보통이다.
본고에서는 정보시스템 및 정보시스템을 이용하여 보관되고 처리되는 정보를 각종의 역기능
과 위협으로부터 안전하게 보호하기 위하여 정보시스템과 정보의 무결성 기 성 가용성을, ,
효과적 효율적 경제적으로 제공하고 있는지에 한 보장 을 제공하기 위한 감사를 정보, , [5]
시스템 보안감사로 정의하겠다 이때 효과성은 정보시스템이 보안 목표를 달성하고 있는지.
를 검토하는 것이며 효율성은 한정된 자원을 얼마나 잘 이용하고 있는지를 고려하는 것이
다 경제성이란 전체적인 비용 효과의 측면을 살펴보아 타당한지를 검토하는 것을 의미.
한다 또한 이러한 속성을 유지하기 위한 통제 방법들이 법령이나 조직 규율을 따르고 있는.
지의 준거성도 고려하여야 한다.
이렇게 정의함으로써 정규적인 정보시스템 운 상의 보안감사를 포함하면서 다양한 감사과
정에서 이루어지는 보안성의 감사를 포함하고자 한다.
정보시스템 보안감사의 구체적인 내용은 각종의 보안통제를 식별하고 분석 시험하여 정보,
시스템 보안환경의 적절성을 평가하는 과정으로 이루어진다.
정보시스템 보안감사를 다른 형태의 감사와 비교하자면 가장 일반적으로 알려진 회계감사,
는 외부의 독립적인 감사인에 의해 수행되는 것으로 주로 기업의 재무상황을 평가하는 것에
초점을 맞추고 있고 기업 내부에서는 경 통제를 평가하는 내부감사가 이루어지고 있다, [1].
이 내부감사를 운 감사라고 부르기도 한다 내부 통제의 중요한 일부로서 조직 자원의 안.
전성을 평가하기 위하여 수행되는 보안감사 가 있다 이들 전통적인 감사형태를 정보시스[2] .
템이라는 새로운 통제 상에 해 적용하기 위해 정보시스템 감사라는 분야가 출현하게 되
었다 정보시스템 보안감사라고 할 때는 기존의 보안감사가 정보시스템과 만나는 부분 그리. ,
고 정보시스템의 안전 신뢰성 평가에 관련된 기술적으로 새로운 부분이 상이 될 것이다.・그림 에 이러한 감사 유형들의 관계를 도시하 다 그러나 이러한 구분은 이해의 편의( 8-2) .
를 위한 것이고 앞으로 기술적 훈련이 일반화되면 굳이 정보시스템 감사와 전통적인 감사를
구분할 필요가 없으리라 보인다.
정보시스템 감사의 주요개념 위험과 통제3. :
위험과 통제에 관한 기본적인 관계에 관하여서는 위험관리의 장을 참조하라.
내부통제란 조직의 자산을 보호하고 거래 처리 기록의 정확성을 유지하며 경 목표에 따라
조직이 움직여 갈 수 있도록 관리의 목적으로 설정된 방침 및 절차를 말한다[12].
그림 여러 감사유형들 간의 관계( 8-2)
통제는 일반적으로 그 특성에 따라 예방통제 검출통제 교정통제의 가지로 나뉜다, , 3 [4].
예방통제는 오류 누락 또는 악의적 행위를 사전에 방지하기 위하여 고안된 통제를 말한다, , .
예방통제의 예로는 인가된 사람만이 자원에 접근할 수 있도록 하는 접근통제 소프트웨어가
있다.
검출통제는 이미 발생한 오류 누락 또는 악의적 행위를 검출하고 발생을 보고하도록 하는,
통제를 말한다 검출통제의 한 예는 자동화된 시스템의 접근위반기록이 될 수 있다 그러나. .
이러한 기록이 자동으로 남겨진다 하더라도 이를 검토 처리하는 절차가 없다면 충분한 통,
제가 이루어졌다고 보기 어렵다.
교정통제는 검출된 오류 누락 악의적 행위의 결과를 복구하기 위한 통제이다 백업 및 재, , .
해 책이 교정통제의 예가 될 수 있다.
일반적으로 예방통제가 가장 비용이 적은 반면 효과는 가장 높다 교정통제는 가장 비용이.
높고 효과는 가장 적다 따라서 예방통제에 좀 더 많은 투자를 하는 것이 일반적이다 서[1]. .
로 다른 통제가 같은 목적에 적용되어 존재할 경우 이들을 중복통제라고 한다 중복통제는.
통제의 효과는 높지만 비용이나 효율성의 문제가 있을 수 있으므로 이에 한 판단이 필요
하다 또한 같은 목적을 가진 통제 중 주된 것이 그 기능을 하지 못하거나 우회되었을 경우.
이를 보완할 수 있는 관계에 있는 통제를 보완통제라고 한다.
통제는 그 내용에 따라 부분의 경우에 적용할 수 있는 일반통제와 구체적인 응용시스템에
따라 달라지는 응용통제로 구분되기도 한다.
특히 감사위험이란 외부의 위협에 의한 일반적인 위험에 반하여 감사과정 자체에서 발생하
는 위험을 말하는데 감사보고서가 중요한 오류를 포함하거나 감사인이 발생한 오류를 검출,
하지 못할 위험으로 정의되며 이러한 감사위험에는 내재적 위험 통제 위험 검출 위험의[1] , ,
범주가 있다[5].
내재적 위험이란 관련된 보완통제가 없다고 가정할 때 감사 중의 다른 오류와 결합하여 중
요한 오류가 존재할 위험을 말하며 통제 위험은 내부통제 시스템에 의해 시의 적절하게 예,
방되거나 검출되지 않을 중요한 오류가 존재할 위험이다.
검출위험은 정보시스템 감사인이 부적합한 시험절차를 사용하여 사실상 중요한 오류가 존재
하는 데도 중요한 오류가 없다고 결론지을 위험을 말한다.
감사인은 이러한 위험을 충분히 이해하고 적절한 통계적 표본추출이나 감사과정에 한 강
력한 품질관리를 통하여 검출위험의 확률을 최소화하여야 한다.
전반적 감사위험은 상기한 개별 범주의 감사위험들의 집합이다 감사 통제방법을 명시함으.
로써 효율적으로 각 분야의 감사위험을 감수할 수 있는 낮은 수준으로 유지할 수 있다.
제 절 정보시스템 보안감사의 절차3
정보시스템 보안감사의 절차는 정보시스템 감사의 일반 절차와 큰 차이는 없다 다만 감사.
의 목적이 보안성의 검토에 한정되므로 각 단계의 수행 내용이 한정되게 한다 또한 감사.
당시의 목적과 상에 따라 각 단계의 기간이나 내용에 변경이 있을 수 있다.
일반적인 정보시스템 감사는 다양한 단계로 나누어져 설명되나 여기에서는 다음[5,6,8,9,10],
과 같이 크게 단계로 나누어 설명한다4 .
먼저 시스템을 이해하기 위한 자료수집단계와 이 단계에서 얻어진 자료를 기초로 존재하는
통제를 평가하는 단계 조사 및 시험 단계 보고서 작성 단계로 나누어질 수 있으며 각 단계, ,
에 하여 하부 단계가 존재한다 이들 하부 단계를 별도의 단계로 분류하는 것도 가능하겠.
지만 이해의 편의상 다음과 같이 분류하 다.
자료수집 단계1.
가 예비감사계획.
이 단계에서는 감사계획과 위험 평가 또는 피감사인이나 감사관리자에 의한 구체적인 요청,
에 기초하여 감사 목적을 이해하고 감사받아야 할 부서나 데이터 센터를 선정하여 감사 범
위를 설정하여야 한다 가능한 한 일찍 피감사인에게 감사작업계획에 한 정보와 감사의.
범위 및 목표에 한 설명을 제공하여야 한다.
나 정보수집.
이 단계에서는 조사와 시험과정에서 필요한 정보의 근원을 선정하여 필요한 정보를 입수한
다 이러한 정보는 감사증거의 수집을 지원하고 통제를 문서화하여 증명하기 위해 필요한.
것이다.
이 작업은 면담 및 자료 요청을 통해 이루어진다 필요한 자료와 면담 상자는 다음 절에.
서 다룬다.
통제의 평가2.
가 위험분석과 중요 통제점 식별.
다음으로 구체적인 감사 상 정보시스템을 이해하여야 한다 이 과정에서 감사 수행을 위.
하여 충분한 기초지식을 얻게 된다 전 단계에서 수집한 문서와 다양한 담당자와의 면담에.
서 얻어진 정보를 바탕으로 정책과 절차를 숙지하고 자료흐름도 업무흐름도 등의 관련 문, ,
서를 통하여 업무의 개략적 진행을 파악한다 또한 사용되고 있는 정보시스템 구조를 파악.
하고 존재하는 통제를 식별하여야 한다.
중요한 통제지점 은 위험이 최 화되는 기능이나 활동이다 달리(Critical Control Point) [10].
표현하면 통제가 가장 필요한 지점이다 일반적으로 자동화된 절차와 기능에 하여 통제가.
필요하며 수작업 절차가 자동화된 절차와 접하는 지점에서는 항상 통제가 요구된다 감사인.
은 데이터 센터 기능적 사용자 역 그리고 컴퓨터 응용시스템에서 중요한 통제지점을 식, ,
별하여야 한다.
각 중요한 통제지점에서 감사인은 잠재적이거나 실제적인 위험과 손실을 감소하거나 제거할
수 있는 예방통제 검출통제 교정통제와 같은 통제의 유형을 식별하고 문서화하여야 한다, , .
피감사 조직에 위험관리절차가 수립되어 연례적인 위험분석이 이루어지고 있다면 그러한 자
료를 검토하여 참고로 이용하는 것이 좋다 위험관리 및 위험분석 절차는 그 자체로 중요한.
보안통제이나 국내에서는 아직 활성화되고 있지 못하다 위험관리절차가 수립되어 있지 않.
거나 위험분석의 내용이 미비하여 감사인이 자체적으로 위험분석을 수행해야 할 필요가 있
다면 필요한 전문분야의 인원들과 함께 위험분석팀을 구성할 수도 있다.
나 상세 감사계획 개발.
이 단계에서는 효과적인 감사를 하기 위하여 감사자원을 적절히 배분하여 감사계획을 개발
하여야 한다 전 단계에서 조사한 정보를 바탕으로 조직에 존재하는 일반통제 및 컴퓨터의.
보안통제들이 각종의 위협에 적절히 처할 수 있는지의 적절성과 효과성을 평가한다 이러.
한 평가에 따라 위험의 규모와 순위를 결정하고 감사자원을 배분한다[8].
이 과정에서 감사의 기술적 복잡성을 파악하고 필요한 증거의 성격에 따라 적절한 감사통제
방법 및 감사기법을 채택한다 응용업무시스템의 특성에 따라 특별한 시험이 필요하다면 이.
러한 시험계획을 개발한다 감사작업 프로그램이나 절차는 잠재적인 위험 손실과 통제 취약. ,
점을 고려하여 가능한 한 상세하게 수립되어야 한다.
조사 및 시험3.
감사작업 프로그램이 개발되어 감사관리자에게 인증을 받고 나면 이제 개발된 감사계획에
따라 감사를 수행하는 단계이다.
이 단계는 존재하는 통제가 준수되고 있는지를 조사하는 준거성 시험과 준거성 평가의 결과
를 보완하거나 존재하는 위험을 실증하기 위한 실증성 시험을 시행하게 된다.
증거의 수집기법으로는 일반적으로 관계자 면담 현장에서의 관찰 문서 및 자료 검토 등이, ,
있다 또한 자동 감사도구를 사용하기도 한다 이러한 감사기법에 하여서는 다음 절에서. .
자세히 설명한다.
가 준거성 시험.
준거성 시험이란 사전에 규정된 내부통제와 보안절차가 실제로 업무절차에 일관성 있고 지
속적으로 적용되고 준수되고 있는지를 검토하는 것으로 이를 통제시험이라고도 한다, [15].
이러한 준거성의 평가는 절차 플로 차트 컴퓨터 기록 통제절차의 시험 내부통제 질문서, , , ,
면담과 관찰을 통해 이루어질 수 있다.
한편 준거성 시험의 결과로 문서화된 통제가 실제로 업무 처리시 정확히 준수되지 않고 있
음이 드러나게 되면 자료의 정확성을 시험하는 실증성 시험이 집중적으로 이루어져야 한다.
또한 문서상으로 검토한 통제가 위험에 처하기에 매우 취약한 경우에도 준거성 시험의 의
미가 없어지므로 위험이 높은 부문에 한 실증성 시험에 감사자원을 배분하여야 한다 반.
로 문서상의 통제가 위험에 처하기에 적정하고 준거성 시험의 결과 통제들이 잘 적용,
되고 있다면 실증성 시험에 너무 많은 감사자원을 투자할 필요가 없다[8].
나 실증성 시험.
실증성 시험은 재고총액과 개략 이윤 백분율과 같은 비율이나 경향의 커다란 변동에 하여
조사하거나 선행 연도나 사업부문의 표준과 비교하는 분석적인 조사를 포함한다 또한 실증.
성 시험은 은행예금계정의 이자와 같은 컴퓨터 계산의 정당성을 참조하고 시험한다.
정보시스템 보안감사의 과정에서는 운용시스템을 조사하는 경우를 제외하고는 일반적으로
실증성 조사보다 준거성 조사가 차지하는 비율이 높다[10].
보고서 작성4.
가 증거의 평가.
이 단계는 조사와 시험의 결과를 평가하여 내부통제와 보안 절차 및 시행의 적정성 효과성, ,
효율성을 식별하고 평가하는 단계이다 이 과정에서 약점이나 결함이 식별되면 이러한 약점.
이나 결함의 원인과 결과를 결정하여야 한다.
감사인은 요구되는 통제목표에 하여 이용 가능한 통제기법을 언급하여야 한다 하나의 통.
제기법이 하나 이상의 통제목표를 만족시킬 수도 있고 하나의 통제목표를 만족하기 위하여
하나 이상의 통제기법이 필요할 수도 있다 감사인은 통제목표에서 미비한 점을 식별하여야.
하고 높은 위험이 있는 부분의 부정적인 향을 제거하기 위하여 어떤 추가적인 기법 지침, ,
그리고 감사절차가 필요한지를 결정하여야 한다.
의견의 도출이나 결론은 누적된 문서 전자화된 증거 준거성 및 실증성 감사조사 및 시험의, ,
결과에 기초하여야 한다 감사증거는 충분하고 연관성이 있으며 신뢰할 만하고 이용가능하. , , ,
고 증명가능하고 사용 가능하여야 한다 불리한 결론은 추가의 감사절차를 거쳐야 한, , [11].
다 감사 조사 혹은 시험과정의 각 단계는 조직의 작업서 준비기준에 따라 감사작업서에 철.
저하게 문서화되어야 한다.
나 감사보고 작성.
감사보고서에는 두 가지 종류가 있다 일반적으로 최종 감사보고서를 보고에 이용하지만 중. ,
간 감사메모의 사용이 권장된다[10].
컴퓨터 보안의 조사과정에서 감사인은 강점과 결함을 모두 만나게 된다 감사인이 가장 관.
심을 가져야 할 것은 결함이 조직에 미치는 향이다 감사인은 이러한 발견사항을 적절한.
시기에 감사 메모나 보고서를 통하여 관리자에게 전달할 필요가 있다.
보안감사의 역에 따라 조사는 한두 주가 걸릴 수도 있고 두달 이상이 걸릴 수도 있다 감.
사인과 피감사인 간의 좋은 작업관계를 유지하고 개선하기 위하여 감사인의 감사의 상태,
문제 진행을 설명하는 중간감사 메모를 작성할 수 있다 중간감사 메모를 사용함으로써 감, .
사 발견사항과 권고를 개발하는 과정에 피감사인이 참여하게 되고 차후 발견사항과 권고사
항을 수락하기 위한 사전준비를 할 수 있다.
중간감사 메모1) [10]
감사 메모는 중간감사문서로서 피감사인에게 발견된 결함을 설명하고 적시에 그런 결함을
개선하도록 하기 위한 것이다 만약 피감사인이 이러한 발견사항을 인정하고 적절한 시간.
내에 개선을 수행한다면 이러한 결함은 최종 감사보고서에 포함되지 않는다 단 개선행위가. ,
부적절하게 수행되거나 옥은 전혀 수행되지 않는 경우는 예외이다 이것은 피감사인에게 감.
사인이 발견한 결함을 고칠 수 있는 기회를 주기 때문에 권장되는 방법이다 이러한 방법은.
피감사인이 감사 발견사항과 권고에 관한 내용을 알기 위해 최종 발표나 최종 감사보고서를
기다릴 필요가 없어지므로 피감사인의 긴장을 해소해 주며 따라서 감사인과 피감사인 간의
업무관계를 긍정적으로 만든다.
또한 감사메모는 일시적이고 제한된 범위 예를 들어 프로젝트 관리자 지역 데이터 처리관, ,
리자 그리고 지역 사용자 관리자에게 배포된다, .
최종 감사보고서2)
각 조직은 자신의 관리방식과 철학 요구사항을 고려하여 자체의 감사보고서 형식을 개발할,
수 있다 감사보고서는 최소한 감사 목적 범위 컴퓨터 센터에 한 개요 감사 발견사항. , , , ,
결론 권고사항 및 각 권고사항의 구현에 한 추정된 완료일과 같은 피감사인의 응답을 포,
함하여야 한다.
최종 감사보고는 감사메모에 의해 적절하게 개선되지 않거나 이전에 전혀 해결되지 않은 결
함들을 다룬다 감사보고서는 구적이며 부서 관리자 법인 데이터 처리 관리자 그리고 사. ,
용자 관리자와 일반 관리자를 포함하는 조직 전체에 한 넓은 범위에 배포된다.
최종 감사보고서의 상세한 내용에 관해서는 절을 참조하라6 .
다 사후감사의 실시.
모든 감사 권고사항이 적절히 구현될 때까지 주기적인 사후조사가 필요하다 이러한 사후조.
사는 피감사 관리 부서에 의해 마련된 개선구현 일정에 기초하여 시기 적절하게 이루어져야
한다 사후현장조사는 모든 승인된 권고사항이 적절히 구현되었는지 증명하기 위한 것이다. .
모든 구현에 한 감사보고서는 원래의 최종보고서를 인수한 모든 인수자에게 보내어서 권
고사항 구현의 감사관리가 만족스럽게 이루어지고 있음을 보여야 한다[10].
그러나 조직 내부의 감사가 아닌 일회적인 외부감사에서는 이러한 사후 검토단계가 생략되
는 경우도 있다[5].
제 절 정보시스템 보안감사 활동4
정보시스템 보안감사과정에서 수행하여야 할 활동은 시각에 따라 차이가 있다.
전통적으로는 보안성의 감사라 할 때 논리적 접근통제 환경통제를 포함한 물리적 접근통제, ,
데이터 통제 재해 책에 한 감사 를 상으로 하나 정보시스템에 한 정기적 운 감사, [5]
의 측면을 강조하게 되면 논리적 접근통제와 사고처리 절차에 집중하여 통제목표를 설정하
기도 한다 한편 외부기관에 의한 조직의 보안감사를 가정하는 경우 상세한 보안감사분야[9].
및 기법보다는 보안방침 위험평가 통제구조의 적합성에 한 감사를 중시(security policy), ,
하는 거시적인 틀을 제시하기도 한다 또는 정보시스템에 관련된 모든 분야의 보안성을[17].
다루고자 하는 경우 형컴퓨터 응용 프로그램 소프트웨어 시스템 소프트웨어 통신보안, , , , ,
운 보안 등 각종의 감사 상에 따라 중요한 감사방법을 논의하기도 한다[10].
일반적으로 정보시스템 보안감사 활동은 각종의 보안 책의 적정성을 평가하는 것이고 이러
한 보안 책은 정보보호 방침 위험분석 재난복구 사고처리 절차 물리적 보안 인적 보안, , , , , ,
환경 보안 데이터 보안 논리적 보안 등을 포함하는 넓은 분야에 걸쳐있다 이들 각 분야에, , .
서 감사인이 주의를 기울여 검토하여야 할 사항들은 본 정보보호총서의 해당 장에서 상세히
다루어지고 있으므로 이를 참고하라.
현재까지 나온 여러 가지 정보시스템 감사에 관한 자료 중 가장 상세하고 전 분야를 포괄하
는 것으로 국제 민간 정보시스템 감사인 재단인 ISACF(Information System Audit and
의Control Foundation) COBIT(Control Objectives for Information and related Technology)
을 꼽을 수 있다.
에서는 년에는 정보시스템 감사를 위한 기준을 년에는 이 기준에 한 해ISACAF 1988 , 1989
설을 발표한 바 있으며 정보시스템의 감사를 위하여 항목에 달하는 통제목표[11] 300 (Control
라는 감사활동에 활용 가능한 목표의 목록을 개발하여 활용해 왔다 이의 변Objectives) [16].
경과 증보를 거듭하는 과정에서 년여에 걸쳐 세계 각 국의 감사인의 의견과 실무 경험을2
통합하여 년 이라는 이름으로 최근의 기술 발전을 반 하는 새로운 정보시스템1996 COBIT
감사의 모델과 통제 목표를 발표하 다[9].
본 장에서는 이 의 모델에 따라 정보시스템의 보안성 조사에 관련된 활동을 소개하COBIT
겠다.
의 모델1. COBIT
그림 은 의 모델에서 정보기술에 관련된 가지 측면을 보여주고 있다 정보 기술( 8-3) Cobit 3 .
의 역에는 조직의 경 전략을 다루는 기획과 조직 역 그러한 정보기술 전략을(1) , (2)
실현하는 방법으로서 개발 또는 구매의 결정 및 수행을 다루는 획득과 구현 역 그렇, (3)
게 얻어진 서비스 또는 자원을 실제 운 환경에 설치하기까지의 지원과 전통적인 보안 및
재해 책을 다루는 인도와 지원 역 그리고 모든 정보기술 프로세스가 정규적으로 통, (4)
제되어 작용하고 있는지를 확인하는 감독의 역이 있다.
그림 의 프레임워크( 8-3) COBIT
한편에서는 이러한 정보들이 갖추어야 할 속성들이 있다 이들은 각 역에서 일어나는 여.
러 과정들과 연관된다 이러한 속성은 효과성 효율성 비 성 무결성 가용성 준거성 신. , , , , , ,
뢰성이다.
다른 한 측면으로는 이에 관계된 자원들이 있다 이러한 자원은 사람 응용업무 시스템 기. , ,
술 시설 데이터로 나뉘게 된다, , .
따라서 정보시스템 감사의 구체적인 작업은 감사 상 역에서 일어나는 활동들에 하여
관련된 자원들이 요구되는 속성들을 갖추고 있는지를 조사하는 것이다.
정보기술의 각 역은 여러 가지 프로세스들을 포함한다 이 프로세스들은 또 구체적인 활.
동들로 구성된다.
의 모델에 따른 정보시스템 보안성에 관련된 역2. COBIT
이 모델에 따르면 보안성 즉 비 성 무결성 가용성에 관련된 프로세스들은 다음과 같다, , , .
기획과 조직(Planning & Organization)○
정보 구조에 한 정의-
위험분석-
품질관리-
획득과 구현(Acquisition & Implementation)○
응용 소프트웨어의 획득과 유지-
기술적 하부구조의 획득과 유지-
절차의 개발과 유지-
시스템의 도입과 인증-
변경 관리-
인도와 지원(Delivery & Support)○
서비스 수준의 정의-
제 자 서비스의 관리- 3
성능과 용량의 관리-
지속적인 서비스 보장-
시스템 보안-
형상관리-
문제와 사건의 관리-
데이터 관리-
시설 관리-
운 관리-
감독(Monitoring)○
절차의 감독-
독립적인 보증의 획득-
에서는 이러한 각각의 활동들에 해 상당히 구체적인 통제 목표를 제시하여 실제COBIT
감사에 활용할 수 있도록 소개하고 있다[9].
시스템 보안에 한 감사 활동의 한 예3.
이 절에서는 이 모델에 따른 활동 중 인도와 지원의 역에 있는 시스템 보안의 검COBIT
토를 위한 통제 목표 및 감사 활동을 간단히 소개한다.
시스템의 보안을 위하여 검토하여야 할 사항으로 다음과 같은 것이 있다 먼저 전략적 보안.
계획이 수립되어 있으며 사용자 보안요구사항에 따라 지침과 통제가 정보시스템에 제공되는
지를 검토한다 그러한 통제는 일관성을 위해 중앙집중형으로 관리하는 것이 바람직하다 중. .
앙 집중화된 보안 조직이 시스템 자원에 하여 업무상의 필요에 따라 특정한 접근을 보장
하는 책임을 지고 있는지 검토한다.
데이터 분류체계가 존재하고 사용되고 있으며 모든 시스템 자원이 보안과 내용 측면에서 사
용자의 책임에 연결되어 있는지 사용자 보안 프로파일이 요청된 바에 따른 최소한의 접, “
근 을 나타내고 있으며 프로파일이 재인증을 위해 관리자에 의해 정규적으로 조사되고 있는”
지 확인한다 재인증 작업은 침투시험을 통해 이루어질 수도 있다. .
직원교육이 보안인식을 포함하고 있으며 소유자 책임성 그리고 바이러스 보호 요구사항을,
포함하고 있는지 조사한다.
보안 결함의 존재가 보고되고 있으며 정규적인 문제해결 절차가 존재하는지 그리고 이러한,
보고서가 인가되지 않은 중요한 접근 시도 및 중요한 보안활동에 한 인가된 활동들을 보
고하고 있는지를 검토한다 변경 관리가 규칙에 따라 일관성 있게 이루어지고 있는지 바이. ,
러스에 한 정규적인 검사와 예방조치가 취해지고 있는지 등을 확인한다.
이 외에 암호와 키관리에 관련된 작업이 있으나 국내 실정에는 적합지 않아 생략하 다.
신 패스워드 관리가 추가되어야 할 것이다.
위에 나열한 사항들이 준수되는지를 확인하기 위하여 그리고 보안에 한 위반사항이나 미,
비점을 확인하기 위하여 준거성 시험이나 실증성 시험을 다른 장에서 설명하는 각종의 기법
으로 수행하게 된다.
제 절 정보시스템 감사기법5
감사증거의 수집 기법으로는 일반적으로 관계자 면담 현장에서의 관찰 문서 등 각종 증빙, ,
자료에 의한 검증 감리기준 및 점검표에 의한 점검 표본추출에 의한 자료 분석 등이 있다, , .
또한 자료 분석을 위해서 각종의 자동화된 감사 기법 및 도구가 개발되어 있다.
현장에서의 관찰은 직원들의 활동을 관찰하여 보안절차가 준수되는지를 관찰하는 것이다.
이때 주의할 것은 감사인의 존재가 일상적인 직무 수행에 향을 미치지 않도록 하여야 한
다.
관계자 면담1.
필요하다면 피감사부서 또는 기관의 누구와도 면담을 해야하지만 중요한 정보원으로는 다음
과 같은 사람들이 있다.
시스템의 보안목표와 문제상황을 알아보기 위하여 최고 보안관리자○
사용자의 요구사항을 알아보기 위하여 사용자 관리층과 면담○
데이터 사전 및 구조를 알기 위하여 데이터베이스 관리자와 면담○
운 시스템에 한 정보를 얻기 위하여 시스템 프로그래머와 면담○
정보시스템 접근통제에 한 정보를 얻기 위하여 보안요원과 면담○
정보시스템의 목적과 성과에 한 정보를 얻기 위하여 품질보증요원○
문제와 불평이 있는지 알아보기 위하여 어떤 사건의 개시자나 문서 수령자와 같은 제 자3○
등
자료 입수2.
정보시스템을 이해하기 위하여 다음과 같은 자료들이 이용된다.
선행 감사작업서○
선행 감사보고서○
선행 감사 권고사항 구현상태 보고서○
조직의 보안정책과 절차 매뉴얼○
보안정책 절차와 기준에 한 데이터 처리 부서의 매뉴얼,○
컴퓨터 보안 정책 절차 기준과 지침의 매뉴얼, ,○
위험분석 보고서○
방문자 기록○
자료관리자 기록○
프로그램 컴퓨터 응용시스템의 사용자와 운 자 매뉴얼,○
보안 소프트웨어 변경통제 절차○
사용자 관리 절차○
데이터베이스 관리자와 데이터 보안담당자를 위한 업무기술서○
데이터 분류 체계○
다양한 접근 경로의 문서화된 목록 및 네트워크 구성도○
접근통제 소프트웨어의 감사기록○
재해복구계획과 컴퓨터 및 사용자를 위한 사고처리 계획○
컴퓨터와 주변장치에 한 보험정책○
자동화된 업무 계정 보고서와 기록○
문제 추적 해결 보고 절차, ,○
보안 위반사건 보고서○
주기적인 관리적 보안 절차○
데이터 처리 부서 및 관리부서의 조직 구조도○
직원에 한 보안교육 자료 등○
자동화된 감사기법3.
증거 그 자체가 발생한 사건에 한 검증력을 갖는 서류증거에서 전기적 증거로 변화하면서
사건의 검증에 한 형태가 달라져야 했다 전기적 증거는 적절한 통제가 없다면 쉽게 변경.
되거나 삭제되고 그러한 변경의 이력도 없어질 수 있다 그러므로 전기적 사건의 증거는 전.
기적 증거물 자체 뿐 아니라 그의 발생 기록 저장을 관리하는 통제의 정확도로 구성된다, , .
따라서 자동화된 감사기록과 기록의 보존은 가장 중요한 통제 중의 하나이다[8].
전산화된 자료의 무결성을 검토하기 위한 방법으로는 여러 가지가 있으며 이 경우 자동화된
감사도구를 사용하는 것이 일반적이다 이러한 도구로는 시험용 데이터 생성기나 범용 감사.
용 소프트웨어 또는 일반 유틸리티 소프트웨어 등이 있으며 때로 직접 프로그램을 제작하,
여 데이터나 프로그램의 논리를 검토 시험하기도 한다.・
테스트 데이터법 시험용의 데이터를 사용하여 특정 기능이 사용자의 요구에 맞게 작동:○
되고 있는지를 확인하는 기법.
감사 프로그램법 감사인이 지정한 기준에 따라 파일에서 해당 데이터를 표본 추출하여:○
연산이나 비교 등을 행하는 기법.
통합시험설비 법 온라인 시스템에 한 감리법으로 가공의 구(Integrated Test Facility) :○
좌를 설정하여 테스트 데이터를 실제 데이터와 함께 처리함으로써 마스터 파일이나 다른 계
좌에 향을 주지 않고 예정 로 처리됨을 확인하는 기법.
감리 모듈법 감사인을 위한 모듈을 처리 프로그램에 삽입하여 감사인이 파라메터로 지:○
정한 추출 조건에 합치되는 데이터를 추출하여 상세 검토하는 기법.
병행 시뮬레이션법 별도의 시험 처리 프로그램을 준비하여 실제 데이터를 입력하여 처:○
리함으로써 결과를 원래의 시스템에서 처리된 결과와 비교함으로써 정확성을 검증하는 기
법.
스냅샷법 처리 프로그램에 특정 시점에서의 주기억장치의 내용을 출력시키는 루틴을:○
삽입하여 그 결과를 분석함으로써 내부처리과정의 모습을 확인하는 동시에 감사증거를 확보
하는 방법.
추적법 특정 트랜잭션의 처리를 추적하여 실행된 프로그램의 리스트로 처리과정의 정:○
확성을 검증하는 기법.
코드 비교법 시스템 프로그램을 감사용 프로그램과 비교하여 정당성을 검증하는 기법: .○
통제 처리법 감사기간 중 처리된 실제 작업결과와 동일 프로그램을 사용하여 감사인의: ,○
입회 하에 같은 작업을 수행하여 결과를 비교하여 정확성을 확인하는 기법.
시스템관리설비 법 해당 컴퓨터의 성능 측정과 사용된(System Management Facility) :○
프로그램의 처리과정을 이용하여 부당하거나 승인되지 않은 운 이 일어날 경우 발견할 수
있도록 프로그램 하는 기법.
성능측정법 와 같은 방식으로 감사 상 시스템의 효율성을 평가하여 정상진행보: SMF○
다 많은 시간을 요하는 작업을 추출하여 부당 수정 및 부정사용을 발견하는 기법.
범용 감사 프로그램 법 데이터베이스 관리 시스템용(GAS: Generalized Audit Software) :○
프로그램을 기초로 하여 개발하여 파일의 검증과 분석 프로그램의 검증 표본추출 및 확인, ,
서 작성 등 미리 작성된 프로그램에 의거 감사하는 기법[13].
이러한 여러 가지 자동감사기법 을 사용(CATT: Computer Assisted Auditing Techniques)
할 경우 프로그램의 변경이나 마스터 파일의 변경이 필요한 경우가 많으므로 주의하여야 한
다.
특히 감사용 업무관련 정보 및 아이디 패스워드가 악용될 수도 있으므로 이들의 관리에 주,
의하여 접근을 제한하여야 한다[5].
이러한 자동화된 감사도구는 일반적으로 데이터의 무결성을 검사하기 위해 주로 사용되는
것으로 보안의 검토를 위해서는 시스템에서 지원하는 로그파일이나 관리도구를 주로 사용,
하게 된다 컴퓨터의 운 기록 파일들은 임의적인 변경을 막기 위해 이진파일로 저장되어.
있어 내용확인에 시스템의 로그파일 참조 명령어를 사용해야 하는 등 사용상의 불편이 있어
이들을 손쉽게 처리하기 위한 확인점검 도구 등 침투사항을 통해, SATAN, ISS, SecureDr
보안을 시험하는 도구들도 개발되어 많이 이용되고 있다[18,19].
제 절 감사보고서6
전체 감사보고서의 논조는 건설적이고 도움이 될 수 있어야 한다 중요한 긍정적인 발견사.
항들이 반드시 명시되어야 한다 모든 발견사항은 설득력 있고 증명가능하며 중요하고 논리.
적이고 사실적이어야 한다.
감사보고서가 효과적이기 위해서 만약 피감사인이 감사인이 식별한 통제의 문제나 약점을
개선하기 위하여 이미 같거나 비슷한 활동을 고려하 다면 피감사인에게 적절한 신뢰를 표
현하여야 한다 감사보고서는 감사인이 감사 발견사항과 권고사항을 개발하기 위하여 피감.
사인과 논의하고 함께 일하 음을 나타내어야 한다.
또한 감사보고서는 각 결함에 해 구체적이고 실제적인 해결책 즉 권고사항을 포함하여야,
한다 감사보고서는 문제나 상황을 개선하기 위해 누가 무엇을 해야하는지를 분명히 진술하.
여야 한다 권고사항은 이치에 맞아야하며 검증할 수 있어야 하며 비용 효과적이어야. , ,
하고 조직의 크기와 데이터 처리 부서의 자원을 고려하여야 한다 즉 권고사항은 실행가능. ,
성이 있는 것이어야 한다[17].
감사에서 발견된 결함은 그 문제의 배경이 된 원인을 식별할 수 있도록 충분히 문서화되어
야 한다 각각의 발견된 결함에 해 가능한 한 실제적이거나 잠재적인 향을 지적하여야.
하며 이때 향은 빈도나 손실액으로 정량화 하여 표현하는 것이 좋다.
최종 감사보고서는 감사 발견사항의 결함에 하여 다음을 논의하여야 한다.
상황 구체적인 문제를 진술한다: .○
기준 어떤 요구사항이 위반되었는지를 설명한다 이러한 요구사항은 내부통제 조직 계: . ,○
획 프로그램 정책 절차 법률 또는 다른 정규적인 기관의 요구사항 표준 시스템개발방법, , , , , ,
론 지침 컴퓨터 보안 표준 또는 일반적인 사업 및 관리 실무에 의해 결정된다, , .
원인 위반의 이유를 설명한다: .○
효과 위반의 결과로 나타나는 잠재적이거나 현실화된 위험과 손실을 금전적이거나 다:○
른 방식으로 설명한다.
권고 구체적인 해결책이나 안을 진술한다: .○
감사인은 감사보고서에 의해 부분을 평가받기 때문에 최종보고서는 깨끗하고 깔끔하게 작
성되어야 하며 배포 전에 편집과 교정을 완전히 마쳐야 한다 본론은 기술적인 전문용어의.
사용을 피하여 가능한 한 짧게 기술하고 관심 있는 사람들이 세부사항을 검토할 수 있도록
보조자료를 활용하는 것이 좋다.
관리자 및 다른 권한이 있는 관련부서에 감사보고서를 넘기기 전에 피감사인과 최종 검토를
가져야 한다 피감사측은 발견된 각 결함을 승인하거나 거부할 기회를 가져야 한다 모든 거. .
부는 상급 감사인과 상급 피감사인에 의해 평가되어야 한다 감사 권고사항을 거부하는 경.
우 피감사측에서 서면화된 논평을 하여야 한다 이런 경우 피감사측은 개선행위를 받아들이. ,
지 않았을 때 생길 수 있는 위험을 고려하여야 한다.
최종보고서는 현장 작업이 완료된 후 적당한 기간 내에 제출되어야 한다 감사보고서는 명.
확하고 상세하고 객관적이며 시기 적절하고 정확하여야 한다 단순하고 평이한 문장과 잘, , , , .
선택된 단어 그리고 최소한의 기술적인 전문용어를 사용하는 것이 바람직하다 최고관리자, .
를 위하여 한두 장으로 요약된 감사보고서를 표지 및 상세 보고서와 함께 준비하여야 한다.
제 절 요약7
지금까지 정보시스템 보안감사에 하여 알아보았다 정보시스템 보안감사는 정보시스템에.
관련된 인물 시설 및 정보의 비 성 무결성 가용성이 효과적이고 효율적으로 안전하게 경, , ,
목표를 위해 지원되는지를 평가하는 것이다 그러나 보안이 비용 효과면에서 경제성이. ・있는지 각 종의 법령 규칙 등을 준수하고 있는지 또한 중요한 판단 근거가 된다, , .
정보시스템 보안감사의 내용은 기술적 관리적인 보호 책을 포함하여 논리적 물리적 환경, , ,
적인 보호 책 및 재해 책 등을 평가하게 되며 그 절차는 일반적인 감사 절차를 따른다.
구체적인 감사 행위에 해서는 간단히 언급하 으나 실제 감사에 들어가게 되면 일반적으
로 상세한 통제목표의 명세서가 있어 이를 기초로 현재의 응용업무에 적합한 형태로 적절히
변경하여 이에 따라 통제를 확인하며 감사를 수행하게 된다 그러나 정보시스템의 감사를.
진행하는 측면에서는 기존의 통제 명세서를 확인하는 것은 하나의 도구에 불과하고 정보시
스템 전반에 한 기술적 지식과 회계지식 등을 경 관리적인 관점에서 이용하여 조직의
통제상태를 파악하고 가장 위험이 높은 지점을 판별하여 구체적이고 적절한 조치를 권고할
수 있어야 한다.
인터넷이나 정보고속도로의 등장으로 정보시스템이 기업이나 기관의 활동에서 차지하는 비
중은 점점 커지고 있으나 기존의 조직들은 이러한 새로운 기술의 위협과 필요한 책을 식
별하지 못하고 정보기술을 적절히 통제하지 못하는 경향이 있다.
한편 정보기술에 기반을 둔 기술자들은 경 상의 필요성이나 조직의 목표보다는 기술적인
요구에 집중하는 경향이 존재한다 그러나 정보기술은 조직의 목표 달성을 위해 채택되는.
것이며 특히 보안에 있어서는 기술적이거나 관리적인 책 어느 한쪽만으로는 결코 완전한
해결책이 될 수 없으므로 이 양자를 적절한 수준에서 일관되게 통합적으로 유지하는 것이
매우 중요하다.
이러한 보안의 유지관리 작업은 일차적으로 담당 보안관리자가 수행하여야 하나 이를 확인,
검토하여 제 자적인 입장에서 보증을 제공하는 정보시스템 감사인의 역할이 반드시 요구되3
며 앞으로 그 중요성은 점점 커질 것으로 예측된다.
참고 문헌
이길 회계감사론 삼 사 년[1] , , , 1997 .
김궁헌 정보시스템 감사 법문사 년[2] , , , 1995 .
이동수 정보시스템 감사 이론과 실무 정보기술 자가진단 이한출판사 년[3] , : / , , 1996 .
시스템공학연구소 정보시스템 감사 년[4] , , 1995
한국정보시스템 감사 통제협회 수험총서 주 교문사 년[5] , CISA , ( ) , 1996 .・한국전산원 전산감리기준 해설서 년[6] , , 1994 .
한국전산원 국가기간전산망 감리체계화 방안 년[7] , , 1994 .
한국통신 정보시스템 감사방법 단계적 통제방식 년[8] , ( ) 1988 .
[9] ISACA, COBIT: Control Objectives for Information and Related Technology, 1995.
[10] S.R. Vallabhareni, Auditing Computer Security, John Wiley & Sons, 1989.
[11] ISACAF, General Standards for Information Systems Auditing and Statements on
Information Systems Auditing Standards. 1989.
한국통신 공무국외여행귀국보고서 전산감사 기술습득을 위한 해외훈련[12] , ( ), 1989.
[13] http://www.nca.or.kr/AUDIT
[14] ISACA, Gloval Communique, V.4, 1997.
[15] ISACA, Control Objectives, Rolling Meadows, Illinois, 1992.
데이콤 시스템 감사기법연구회 시스템 감사방법 한국광보[16] , , , 1989.
한국전산원 전산감리[17] , , 1995.
한국정보보호센터 운 기록 확인점검 도구 현황 연구응용[18] , , -1997-004.
한국정보보호센터 전산망 안전진단 소프트웨어 사용설명서[19] , , 1996.9.
제 장 데이터베이스 보안9
제 절 개요1
과거 수년 동안 정보기술의 발달은 은행 학 제조 및 서비스 회사 병원 도서관 등의 다, , , ,
양한 기관에서 컴퓨터 시스템의 사용을 확산시켰다 지속적인 가격하락과 전문가들의 수적.
증가 및 지원 도구의 유용성 등으로 인하여 하드웨어와 소프트웨어 기술이 제공하는 신뢰성
이 증가되어 컴퓨팅 서비스의 확산에 도움을 주고 있다[1].
이는 많은 양의 데이터가 컴퓨터 시스템에 의해 저장되거나 관리되는 것보다는 이 요구사항
을 만족시키는 도구 및 기술에 의한다는 것을 의미한다 일반적으로 그러한 요구사항은 데.
이터베이스 관리 시스템 을 도입한 데이터베이스(DBMS: DataBase Management System)
기술로 만족되어진다.
데이터베이스는 데이터베이스 관리 시스템 소프트웨어에 의해 관리되는 구적인 데이터의
집합이며 데이터베이스 설계 방법은 다양한 정보에 한 요구사항과 응용의 다양한 운 환
경을 지원하기 위해 개발되었다.
데이터베이스의 보안에는 다음과 같은 세 가지의 특성이 있다[2].
비 성(confidentiality)○
무결성(integrity)○
가용성(availability)○
비 성은 정보의 부적절한 노출을 예방하고 감지하는 것을 의미하는데 일반적으로 군사적,
목적과 같은 보호된 환경에 사용되는 중요 데이터를 보호하는 것이다.
무결성은 정보의 부적절한 수정을 예방 및 감지하는 것을 의미한다 시스템의 가용성은 시.
스템이 제공하는 서비스에 한 부적절한 거부를 예방 및 감지하는 것이다.
지난 십수년간 데이터베이스 보안에 관한 문제들은 끊임없이 두되었으며 몇몇 훌륭한 제,
어 기법들이 연구 개발되었지만 아직도 많은 보안문제들이 남아 있다 미국의 경우를 보더.
라도 년에서야 미국방성은 를 설립하 다1981 NCSC(National Computer Security Center) .
년에는 안전한 컴퓨터 시스템을 위한 평가의 기준인1983 TCSEC(Trusted Computer
을 개발하여 년에 미국방부 표준으로 제정하 으며System Evaluation Criteria)[3] , 1985 ,
년에는 을 데이터베이스 시스템에 적용하기 위한1991 TCSEC TDI(Trusted DBMS
를 제정하 다Interpretation of TCSEC)[4] .
본 장에서는 데이터베이스 보안에 관련된 다음과 같은 내용을 고찰한다.
데이터베이스 개념○
데이터베이스 보안의 문제점○
안전한 데이터베이스 관리 시스템의 구조○
제 절 데이터베이스 개념2
데이터베이스는 어느 특정 조직의 응용 시스템들이 공동으로 사용하기 위해서 컴퓨터가 접
근할 수 있는 매체에 통합 저장한 운용 자료의 집합이다.
운 체제에 의해 공급되는 데이터 관리기능은 데이터베이스 관리시스템이라는 프로그램의
집합을 통해 확 된다 스키마 관리 동시에 발생하는 트랜잭션 관리 데이터 접근통제 로. , , ,
깅 시스템 고장 후의 데이터베이스의 복구 같은 기능을 제공하는 데이터베이스 관리 시스,
템에 의해 다량의 데이터를 빠르고 효율적으로 접근할 수 있다.
데이터베이스 관리 시스템의 구성요소1.
데이터베이스 관리 시스템의 전형적인 구조는 그림 과 같으며 다음과 같은 기능과 일( 9-1)
치된다.
데이터 기술 언어의 컴파일○
데이터 관리 언어의 처리○
데이터베이스 질의○
데이터베이스 관리○
파일 관리○
이들 모듈의 기능성을 지원하는 데이터는 다음과 같다.
데이터베이스 기술 테이블○
권한 테이블○
동시에 발생하는 접근 테이블○
데이터베이스 내의 데이터 집합은 데이터 관리 언어(DML: Data Manipulation Language)
명령이나 질의 언어 명령어를 통해서 사용자나 응용 프로그램에 의(QL: Query Language)
해 요청된다 이들 명령어들은 데이터 관리 언어과 질의 언어 프로세서를 통해서 데이터베.
이스 관리 시스템에 의해 해석되는데 목적은 데이터베이스 기술 테이블에 기술된 데이터베
이스 스키마에 따라 질의를 최적화하는 것이다.
그림 구조( 9-1) DBMS
데이터 기술 단계2.
데이터베이스 관리 시스템의 데이터 기술 단계에서는 데이터의 추상화를 제공하는데 다음과
같은 단계가 고려될 수 있다.
가 논리적 단계.
선택된 논리적 모델의 특성과 응용의 특성에 따라 데이터 전체의 논리적 스키마 상의 뷰
는 다양한 응용의 필요에 따라 제공된다 논리적 뷰는 데이터베이스의 논리적 스키마(view) .
에 한 부분적인 기술이다.
일반적으로 유용한 것은 논리적 뷰를 만들기 위한 데이터 기술 언어(DDL: Data
와 논리적 뷰를 작동하는 데이터 관리 언어이다Description Language) .
나 논리적 데이터 스키마.
이 단계에서는 데이터베이스 내의 모든 데이터가 선택된 데이터베이스 관리 시스템의 논리
적 모델을 사용하여 기술된다 모든 데이터와 그들간의 관계는 선택된 데이터베이스 관리.
시스템의 데이터 기술 언어를 통해 기술되며 논리적 스키마 상의 다양한 작동은 데이터베,
이스 관리 시스템의 데이터 관리 언어를 통해 기술된다.
다 물리적 데이터 스키마.
이 단계에서는 보조기억장치내의 파일들이 데이터가 저장되는 구조를 기술한다 데이터는.
물리적으로 레코드와 레코드 포인터로서 저장된다.
보안특성을 갖는 데이터베이스 관리 시스템 구조3.
보안 특성이 포함된 데이터베이스 관리 시스템의 전체적인 구조는 그림 와 같다 보( 9-2) [1].
호된 데이터는 데이터베이스 관리 시스템 함수에 의해서만 접근될 수 있다고 가정한다 사.
용자 로그인과 인증 후에 데이터베이스에 한 질의를 하는 순서는 인증 규칙에 위배되는가
를 확인하는 인증 시스템 절차에 의해 중재된다 질의 규칙을 만족시킬 경우에만 접근이 허.
용되며 그렇지 않을 경우에는 오류 메시지를 사용자에게 보낸다 허용된 접근 질의는 트랜, .
잭션 관리자에 의해 처리된다.
안전한 데이터베이스 관리 시스템 모듈은 모든 질의를 관리하며 인증 규칙과 보안 공리,
들을 포함하고 있다 응용 관리자는 라이브러리 프로그램의 개발과 유지에(security axioms) .
책임이 있으며 데이터베이스 관리자는 데이터베이스의 개념 스키마와 내부 스키마를 관리,
한다.
보안 관리자는 접근 규칙과 보안 공리를 정의하며 감사자는 권한 위반이 발생할 수 있는 가
능성을 점검하기 위해 요구에 한 접속과 질의를 접근하는 순서를 점검한다.
그림 보안 특성을 갖는 구조( 9-2) DBMS
제 절 데이터베이스 보안의 문제점3
데이터베이스 환경에서 다양한 조직이나 응용을 사용하는 사용자들은 데이터베이스 관리 시
스템을 통해서 통합된 데이터의 집합을 참조한다 나아가 프로그램과 데이터 구조간의 중복. ,
데이터간의 불일치 의존성 등의 문제점을 해결할 수는 있지만 이러한 기능들의 제공에도, ,
불구하고 보안 위협들이 중요하고 심각한 문제점으로 두되고 있다.
데이터베이스 환경에서의 데이터 보호는 위협들을 파악하고 이를 해결하기 위한 적절한 정
책과 메커니즘을 선택하는 것을 의미한다[5].
데이터베이스 보안에 한 위협1.
위협은 우연히 또는 특정 기술을 사용하여 시스템에서 관리하는 정보를 노출시키거나 수정
하는 적 적인 주체로 정의될 수 있다.
데이터베이스 보안에 한 위반은 데이터의 부적절한 열람 변경 또는 삭제로 이루어지며, ,
위반으로부터 발생하는 사건을 위협이라 부른다 위반은 다음과 같은 세 가지의 범주로[6].
나누어질 수 있다.
부적절한 정보의 노출 적절하지 못한 사용자가 고의적 또는 우연히 데이터에 접근함으:○
로써 발생한다.
부적절한 데이터의 변경 부적절한 데이터 처리와 변경으로 인한 데이터의 무결성에:○
한 위반을 의미한다.
서비스의 거부 사용자가 데이터에 접근하거나 자원을 사용하지 못하도록 하는 활동이:○
다.
보안위협은 발생하는 방법에 따라 다음과 같이 우연한 위협과 고의적 위협으로 분류될 수
있다.
우연한 위협 천재지변 하드웨어나 소프트웨어의 오류 또는 버그 사람에 의한 오류: , ,○
고의적 위협 권한 없는 사용자 적 적인 주체에 의한 위협: ,○
데이터베이스의 보안 요구사항2.
위와 같은 위협들에 처하기 위한 데이터베이스 시스템의 기본적인 보안 요구 사항들은 컴
퓨터 시스템의 보안 요구사항과 비슷하다 컴퓨터 시스템에서 필요한 기본적인 보안 요구사.
항들은 접근통제 데이터 무결성 사용자 인증 및 신뢰성 등이며 데이터베이스 시스템의 보, , ,
안 요구사항들을 나열하면 다음과 같다.
가 데이터베이스의 무결성.
데이터베이스의 무결성은 데이터베이스 관리 시스템 운 체제 데이터베이스 관리자 등이, ,
공동으로 책임져야 하는 부분이다 운 체제와 데이터베이스 관리자의 관점에서 볼 때 데이. ,
터베이스와 데이터베이스 관리 시스템은 각각 파일과 프로그램에 해당된다고 할 수 있다.
따라서 데이터베이스를 보호하는 가장 근본적인 형태는 시스템상의 모든 파일들을 정기적,
으로 백업하는 것이다 데이터베이스의 주기적인 백업은 예기치 못한 재난에 처하는데 적.
절한 방안이 될 수 있다.
만약 오류가 발생한 시점에서 데이터베이스를 복구하려면 데이터베이스 관리 시스템은 트,
랜잭션의 로그를 기록 유지해야 한다.
데이터베이스 내의 데이터는 전원 공급의 문제에 해서는 면역이 되어 있으며 기타 물리적
사고에 의해 파괴되어도 데이터베이스를 재구성 할 수 있어야 하는데 이것을 물리적 데이터
무결성이라 한다 데이터베이스의 구조는 논리적으로 유지된다 예를 들어 데이터베이스가. .
논리적 무결성을 가지고 있다면 한 속성의 값을 수정하여도 다른 속성에게 향을 주지 않,
는다 이러한 데이터베이스의 무결성을 논리적 데이터 무결성이라 한다. .
나 원소의 무결성.
원소의 무결성은 원소들의 정확성을 의미한다 결국 인증 받은 사용자들은 정확한 데이터만. ,
을 데이터베이스로 공급할 책임이 있다 그러나 사용자들은 데이터의 수집 결과 산출 값의. , ,
부여 등에서 실수를 할 수 있다 그러므로 데이터베이스 관리 시스템은 이러한 경우 사용자. ,
에게 오류를 방지할 수 있도록 도움을 줄 수 있어야 한다 무결성 제약조건을 검사하기 위.
해서는 많은 비용이 요구된다 그러므로 적은 부가 노력으로도 검사할 수 있는 무결성 제약. ,
조건을 고려해야 한다.
다 감사 기능.
다양한 응용처리에서 데이터베이스에 한 모든 접근의 감사기록을 생성할 필요가 있다 감, .
사기록은 데이터베이스의 무결성을 유지하는데 도움을 주며 적어도 데이터 값에 향을 준,
사용자를 발견하여 향을 미친 데이터의 범위를 판단할 수 있게 해준다 또한 추론에 의해. ,
기 데이터가 노출되었는지를 판단하는 데에도 유용하다[7].
라 접근통제.
뷰는 사용자에게 그 사용자가 사용하지 않는 데이터를 감출 수 있는 수단이다 데이터를 감.
출 수 있는 뷰의 개념이 시스템의 사용을 단순하게 함과 동시에 보안을 증 시킬 수 있다, .
사용자에게는 관심이 있는 데이터만을 주의 집중하게 함으로써 간단하게 이용할 수 있다.
사용자들에게 자기의 뷰만을 사용하도록 제약을 부과함으로써 보안이 유지되도록 한다 관.
계형 데이터베이스 시스템에서는 전형적으로 다음의 두 단계에 한 보안을 제공한다.
릴레이션 사용자에게 한 릴레이션에 한 접근을 직접 허용할 수도 있으며(relation) -○
거절할 수도 있다.
뷰 사용자는 자기의 뷰에 나타난 데이터를 접근할 수도 있고 또 접근할 수 없는 경우- ,○
도 있다.
사용자는 한 릴레이션 전체를 직접 접근할 수는 없더라도 뷰를 통하여 이 릴레이션의 일부
분을 접근할 수는 있다 그러므로 릴레이션 단계의 보안과 뷰 단계의 보안이 결합하여 어떤. ,
사용자에게 그가 필요한 데이터만을 접근하도록 할 수 있다.
마 사용자 인증.
데이터베이스 관리 시스템은 엄격한 사용자 인증이 요구된다 이 인증은 운 체제에서 수행.
되는 인증보다 더 엄격하다 전형적으로 데이터베이스 관리 시스템은 운 체제 상위 계층의.
응용 프로그램으로서 실행된다 이는 운 체제와 데이터베이스 관리 시스템 사이에 안전한.
경로 가 없음을 의미하며 따라서 사용자 인증을 포함한 각종 데이터를 운 체(trusted path) ,
제로부터 수신할 때에는 안전 여부를 점검해야 한다 따라서 데이터베이스 관리 시스템은. ,
별도의 사용자 인증 절차를 반드시 가지고 있어야 한다.
바 가용성.
데이터베이스 관리 시스템은 프로그램과 시스템의 두 가지 관점이 있다 데이터베이스 관리.
시스템은 일반 파일 시스템에 비하여 가용성이 훨씬 높다 예로써 동일한 레코드에 한 두. ,
사용자의 요구를 중재할 수 있고 보호된 데이터의 누설을 방지하기 위해 보호되지 않은 데,
이터들에 한 접근을 이용해 추론을 못하도록 해야 한다 또한 서비스가 무한정 지연되어.
궁극적으로 서비스의 거부를 초래하는 것을 방지해야 한다.
제 절 안전한 데이터베이스 관리 시스템의 설계4
데이터베이스는 특정 소프트웨어인 데이터베이스 관리 시스템에 의해 구성되어 관리되는 데
이터의 집합이다 데이터베이스 보안은 데이터베이스 관리 시스템 수준과 운 체제 수준의.
메카니즘을 통하여 성취될 수 있다.
보안 요구사항을 구현하는데 있어서 운 체제 수준에서 시행된 몇 가지 보안 기능은 데이터
베이스 관리 시스템에 의해 악용될 수 있다 특별히 관리 기능과 공유 자원 관리가 데. I/O
이터베이스 관리 시스템 환경에서 보안에 유용할 수 있다 그러나 데이터베이스 관리 시[8].
스템의 보안 기능은 중요한 운 체제 기능에 한 단순한 확장을 고려하지 않았다 보안에.
관한 한 운 체제와 데이터베이스 관리 시스템과의 차이는 다음과 같이 나열된다[9].
표 운 체제와 데이터베이스 관리 시스템의 보안관점에서 차이[ 9-1]
데이터베이스 관리 시스템에서의 보안 메커니즘1.
일반 목적의 데이터베이스 관리 시스템에서 정보시스템의 보안 요구사항을 성취하기 위해서
는 다양한 기능이 요구된다 데이터베이스 관리 시스템은 복잡한 보안 정책을 취급하는데.
유용한 데이터들 간의 복잡한 관계를 처리하기 때문에 이 임무를 수행하는데 중요한 역할을
한다.
가 데이터베이스 관리 시스템에서 제공되어야 할 보안 요구사항.
객체 운 체제에서의 는 파일 단위로 측정되며 데이터베이스granularity : granularity ,○
관리 시스템에서의 는 좀더 미세한 단위 예 로 측granularity ( , relation, rows, columns, fields)
정될 수 있다 공유 데이터의 도 데이터베이스 관리 시스템에서 측정될 수 있다. granularity .
데이터 사이의 상호 문맥 관계 데이터베이스에 저장된 데이터는 의미를 지니며 이것으:○
로 데이터들의 관계가 생긴다 서로 다른 유형의 접근통제인 경우 보안 요구사항을 정확하.
게 구현하기 위하여 객체 내용 문맥 및 접근 기록 등을 기초로 접근을 통제하여야 한다, .
메타데이터 메타데이터는 데이터베이스에 저장되어 있는 데이터의 구조에(Metadata) :○
관한 정보를 가지고 있다 메타데이터는 데이터가 저장되어 있는 곳과 다른 디렉토리에 저.
장되어 있으며 데이터베이스 내용에 관한 민감한 정보를 제공할 수 있다.
논리적 객체와 물리적 객체 운 체제에서의 객체는 물리적 객체 예 파일 장치 메모: ( , , ,○
리 프로세스 등 이며 데이터베이스 관리 시스템의 논리적 객체 예 릴레이션 뷰 와는 별개, ) ( , , )
이다 여기서 보안 요구사항과 보안 메카니즘은 특별히 데이터베이스 관리 시스템 객체 보.
호를 위한 것이다.
데이터의 여러 유형 데이터베이스는 데이터 유형의 다형성에 따라서 여러 접근 모드를:○
가질 수 있다 예 통계모드 관리모드.( , , )
정적객체와 동적객체 운 체제가 관리하는 객체는 정적이며 실제 객체와 일치하나 데:○
이터베이스에서의 객체는 동적으로 생성되며 실제 객체와 일치하지 않을 수도 있다 예를.
들면 질의를 통해 생성된 결과는 동적인 객체이며 실제 객체의 내용과 다를 수 있다.
다중등급 트랜잭션 보안 등급이 다른 데이터 사이의 트랜잭션이 발생할 경우 다중등급:○
을 통한 트랜잭션으로 보안을 유지해야 한다.
데이터 생명주기 데이터베이스에 저장된 데이터의 생명주기는 길기 때문에 데이터베이:○
스 관리 시스템은 데이터의 생명주기 동안은 계속해서 데이터 보호를 보증하여야 한다.
데이터베이스 관리 시스템에서 제공되어야 할 보안 요구사항은 다음과 같다[1].
다양한 정도의 접근 제공 데이터베이스 관리 시스템은 다양한 정도의 접근granularity :○
를 기초한 접근통제를 확인해야 한다 관계형 데이터베이스의 경우 접근통제는granularity .
다음의 를 적용할 수 있다 데이터베이스 릴레이션 집합 한 개의 릴레이션 한granularity . , , ,
개의 릴레이션에 한 여러 개의 행 한 개의 릴레이션에 한 여러 개의 열(columns),
등이 있다(rows) .
다양한 접근 모드 제공 접근통제는 적용되는 오퍼레이션에 따라 달라질 수 있다 관계: .○
형 데이터베이스에서 접근 모드는 기본 문장으로 표현된다 예를 들면SQL . SELECT,
등이 있다INSERT, UPDATE, DELETE .
다양한 형태의 접근통제 제공 접근 요청시 다양한 형태의 접근통제를 이용하여 처리할:○
수 있다 이름에 의한 통제 데이터에 의한 통제 문맥에 의한 통제 기록에 의한 통제 질의. , , , ,
결과에 의한 통제 등 다양한 형태를 제공한다.
동적 권한부여 제공 데이터베이스 관리 시스템은 데이터베이(Dynamic Authorization) :○
스가 오퍼레이션을 수행하는 동안에 발생한 결과로 인해 사용자인가를 수정할 수 있는 수단
을 제공하여야 한다 사용자의 작업에 따라서 인가를 수정할 수 있다. .
다중수준의 보호 제공 데이터베이스 관리 시스템은 강제적 접근 통제를 통하여 다중수:○
준의 보호를 할 수 있어야 한다 강제적 접근 통제는 주체와 객체의 보안레이블을 기초로.
접근을 통제한다 이들 보안레이블은 비계층적으로 분류되는 범주로 나눌 수도 있고 계층적.
인 구조를 갖도록 구성될 수도 있다.
비 채널 이 없어야 함 데이터베이스 관리 시스템은 사용자가 간접통(Convert Channel) :○
신을 통하여 비인가적인 방법으로 정보를 얻을 수 없도록 하여야 한다 그러나 강제적 접근.
통제 기능을 제공한다해도 시스템인 비 채널을 갖는지를 확인할 수 없다.
추론통제 제공 추론통제는 사용자가 데이터베이스에서 추론을 통해(Inference Control) :○
정보를 얻을 수 없도록 하여야 한다 데이터베이스에서 추론 문제는 집합 문제와 데이터 연.
관 문제와 관련 있으므로 데이터베이스 관리 시스템은 정보를 수집할 경우 분류할 수 있는
수단을 제공해야 하며 데이터 항목들이 속해있는 집합의 중요도에 따른 등급을 반 해야 한
다.
제공 데이터베이스 관리 시스템은 추론을 방지하기 위하여Polyinstantiation :○
기술을 제공한다 은 강제적 접근통제의 결과로서 발생하Polyinstantiation . Polyinstantiation
며 자신의 분류범주를 가지는 데이터에 해 데이터베이스가 같은 데이터 항목에 여러 개의
를 포함시키는 것이다instance .
감사기능 제공 보안 관련 사건 발생시 기록되어야 하며 기록 형태는 시스템 저널 감사: ,○
추적 시스템 로그와 같은 구조화된 형태이다 감사 추적은 가능한 데이터 위협요소들을 검, .
출할 경우 연속 분석을 하는데 유용하다 또한 추론을 통제할 경우 감사 기록을 유용하게.
사용할 수 있다.
정보흐름 제공 정보흐름은 인가된 접근을 통해 얻은 출력물의 목적(Information Flow) :○
지를 검사하는 것이다.
메커니즘의 균일성 제공 일반 메커니즘은 다양한 정책들을 지원해야 하고 보안과 관련:○
된 모든 통제를 제공하도록 사용되어야 한다.
뒷문 이 없어야 함 데이터에 접근하기 위해서는 반드시 데이터베이스 관리(Back Door) :○
시스템을 통하여야 한다.
추가 실행 시간을 최소화하여 시스템의 성능 저하를 최소로 하여야 한다.○
나 정보의 무결성 요구사항.
위의 요구사항 외에 데이터베이스 관리 시스템의 내용 응용과는 독립적으로 정보의 무결성
에 관한 기본적인 개념이 추가될 수 있다[10,11].
잘 정의된 트랜잭션 데이터는 반드시 잘 정의된 트랜잭션을 통해 수정될 수 있다 이는: .○
보증 정도의 정확성이 인증되는 것이다 데이터베이스 관리 시스템 메커니즘은 다음과 같은.
특성으로 잘 정의된 트랜잭션을 해석한다 실패의 최소율 연속성. (atomicity of failures),
진행성 변환의 정확성 등이다 데이터베(serializability), (progress), (correct state transform) .
이스 관리 시스템은 데이터가 갱신될 경우 이러한 오퍼레이션은 트랜잭션을 통해서만이 가
능함을 확인할 수 있어야 한다 정확한 상태 변환은 부분적으로 소프트웨어와 데이터베이스.
관리 시스템 일치성 제약 메커니즘을 통해 이루어진다.
신분이 확인된 사용자 작업시 이에 적당한 신분이 확인된 사용자만이 작업을 수행할:○
수 있다 운 체제가 사용자를 인증한 경우 데이터베이스 관리 시스템이 중복해서 사용자를.
인증할 필요는 없다.
최소권한 제공 무결성과 관계된 문맥인 경우 사용자가 작업하는 동안(Least Privilege) :○
필요로 하는 자원과 권한에 해 최소 집합을 제공하여 사용자를 제한하는 것이다 데이터.
베이스 관리 시스템 메커니즘에서 최소 권한으로는 읽기 쓰기 오퍼레이션 등이 있다 트‘ ’, ‘ ’ .
랜잭션시 필요한 파라메터는 실행시에 매핑되며 이들 파라메터들은 다음과 같은 식별자를
사용하여 갱신을 인증 받은 데이터 항목을 기술한다.
- <relation>
- <relation, attribute>
- <relation, key, attribute>
임무의 분리 단일 개별자가 임의로 자신의 데이터를 파괴할 수(Separation of Duties) :○
없도록 한 것이다 무결성을 목적으로 설계되지는 않고 있으나 가 트랜잭션 제어. Sandhu[12] -
로 불리는 기술을 제안하 다.
운 의 지속성 제공 시스템 오퍼레이션은 정확히 정의된 범위 내에서 유지되어야 한다: .○
물리적 보안은 운 의 지속성 기능에서 측정된다.
사건의 재구성 정당하지 않은 행동은 발견되어야 하고 이로써 권한 남용을 막을 수 있:○
다 데이터베이스 관리 시스템은 감사 추적을 기초로 하여 사건을 재구성한다 접근을 한 사. .
람 데이터의 내용 접근 시간 명령 등을 추적하는 능력은 데이터베이스 관리 시스템이 사, , ,
용하는 데이터베이스 모델에 따르면 감사추적 데이터를 저장할 수 있는 용량에 의존되기도
한다.
실제성 점검 일정기간 동안 실세계의 개체가 시스템내의 데이터 값을(Reality Check) :○
정확하게 유지하 는지를 검사한다.
안전한 사용의 용이성 시스템을 운 하기 위한 가장 쉬운 방법은 동시에 가장 안전한:○
방법이어야 한다 즉 보안 절차는 간단한고 사용자에게 익숙하며 잘 알려져 있어야 한다. .
권한의 표성 제공 정책에 기초하여 권한을 할당한다 권한 할당 절차는 조직의 규칙: .○
을 반 하며 사용자가 부담을 느끼지 않도록 유연하여야 한다.
안전한 데이터베이스 관리 시스템 구조2.
안전한 데이터베이스 관리 시스템 구조의 특징을 기술한다 안전한 데이터베이스 관리 시스.
템은 두 가지의 가능한 모드에서 운 되는데 이 두 가지의 모드는 시스템 하이(system
모드와 다중등급 모드이다high) (multilevel) .
시스템 하이 모드의 데이터베이스 관리 시스템의 모든 사용자는 데이터를 릴리즈하기 전에
가장 높은 보안 등급이 승인되어야 하며 책임이 누구에게 있는지를 데이터 릴리즈 하기 전,
에 검토해야 한다 이 방법은 기존의 데이터베이스 관리 시스템 기술을 수정 없이 사용할.
수는 있지만 신원허가 절차와 데이터에 한 수동적인 검토 때문에 추가 비용을 지불해야
한다 이 모드는 모든 사용자가 가장 높은 신원허가 등급으로 되기 때문에 보안에. cleared
한 위험을 증 시킬 수 있다.
다중등급 모드에서는 안전한 또는 안전하지 않은 데이터베이스 관리 시스템의 사용을 기반
으로 하여 다른 형태의 구조가 가능하다 다중등급 구조는 안전한 주체 구조. (Trusted
와 구조이다 구조는Subject Architecture) Woods Hole . Woods Hole Integrity Lock,
구조이다 안전한 주체 구조에서는 안전한 데이터베이스 관리 시스템Kernelized, Replicated .
과 안전한 운 체제가 사용되지만 구조에서는 안전 필터가 추가된 안전하지Woods Hole
않은 데이터베이스 관리 시스템이 사용된다 따라서 안전한 주체 구조에서는 새로운 데이터.
베이스 관리 시스템 개발이 요구되거나 기존의 데이터베이스 관리 시스템에 해 보안 특성
의 확장을 필요로 한다.
다음의 표는 사용 데이터베이스 관리 시스템이나 프로토타입에 사용된 구조에 한 개요이
다[1].
표 프로토타입과 상용제품의 구조[ 9-2] DBMS
구조 프로토타입 상용제품
Integrity Lock Mitre TRUDATA
Kernelized SeaView Oracle
Replicated NRL -
Trusted Subject A1 Secure DBMS(ASD) SybaseInformixIngresOracleDECRubix
가 안전한 주체 구조.
안전한 주체 구조는 그림 과 같다( 9-3) .
가 다른 보안 등급을 가진 사용자들의 인터페이스에 사용되고UFE(Untrusted Front End) ,
운 체제에 해서 안전한 주체로서 안전한 데이터베이스 관리 시스템이 사용되며 이는 데
이터베이스에 물리적인 접근을 가능하게 해준다 안전한 주체는 운 체제의 강제적 접근통.
제나 보안정책 중 한 개 이상의 정책으로부터 면죄될 수 있음을 의미한다 운 체제나 데이.
터베이스 관리 시스템은 기준에 준한 구성요소인 개체로 여길 수 있으며 이는DoD TCB
보안 평가를 위한 상물이 될 수 있다 데이터베이스 관리 시스템은 데이터베이스의 객체.
를 다중등급별로 보호할 수 있으며 보안 래티스는 상위 등급이 하위 등급을 지배할 수 있는
방법으로 구성된다 데이터베이스 관리 시스템 레이블은 객체와 주체 모두에게 할당되지만.
데이터베이스 관리 시스템 주체만이 데이터베이스 관리 시스템 레이블에 관련된 데이터에
접근할 수 있다 이 주체는 안전한 주체이며 따라서 운 체제의 강제적 접근통제에 면죄될.
수 있다 이 모델은 동급의 민감도를 지닌 요소들을 구분 지을 수 있으며 가 낮. granularity
은 하나의 객체에 이들을 저장할 수 있다.
이로써 이 객체에 한 개의 레이블을 할당할 수도 있고 동급의 민감도를 지닌 각각의 객체에
해 한 개의 레이블을 할당할 수도 있다 데이터베이스 관리 시스템은 이 모델을. Sybase
채택하여 튜플수준 의 레이블링을 구현한 것이다 등급의 컴퓨터와(tuple-level) . B2 VAX B1
등급의 안전한 운 체제에서 구현가능하다UNIX .
그림 안전한 주체 구조( 9-3)
나 구조. Wood Hole
구조는 년 에서 발표Wood Hole 1982 National Research Council (Committee on
한 것으로 다음과 같은 구조로 분류된다Multilevel Data Management Security, 1982) .
구조1) Integrity Lock
구조는 그림 와 같다 사용자는 인터페이Integrity Lock ( 9-4) [12]. UFE(untrusted front end)
스를 통해 연결되어 전처리 질의와 후처리 질의를 수행한다 는. TFE(Trusted front end)
와 안전하지 않은 데이터베이스 관리 시스템 사이에 위치한다UFE(Untrusted front end) .
는 로서 보안기능과 다중 등급의 보호기능을 수행한다 는 스탬프 형태의 보TFE TCB . TFE
안 레이블을 객체에 붙임으로써 다중 등급의 보호기능을 수행하는데 스탬프는 보안레이블에
관계된 내용을 저장하는 특별한 필드이고 인 암호 메커니즘을 사용하여 데이Integrity Lock
터를 암호화하는데 관련된 제어 데이터를 저장하는 필드이다 는 데이터를 데이터베이. TFE
스에 저장할 경우 스탬프를 생성하고 상 적으로 데이터베이스에 저장할 경우 스탬프를 생, ,
성하고 상 적으로 데이터베이스로부터 데이터를 검색할 경우 스탬프를 검증한다 이 모델.
은 트로이 목마 위험처럼 잘 알려진 추론 위험성을 포함하고 있다 이런 위협요소leakage .
를 피하기 위해서는 서브질의 처리 질의 최적화selection, projection, (subquery handling),
같은 연산은 데이터베이스 관리 시스템이 아닌 나(query optimization), statistical TFE
에서 이루어져야 한다 추론 위험성을 제거하려는 접근으로 이 사용자와 데이UFE . Denning
터베이스 관리 시스템 사이에 상호 교환되는 필터의 삽입을 제안하 다[13].
구조를 가진 제품은Integrity Lock ARC/PSG(Atlantic Research Corporation/Professional
의 이며 이 것은 와 공Service Grouptrudata) TRUDATA AT&T 3B2/UNIX System V MLS
유 관계형 데이터베이스에서 동작된다.
그림 구조( 9-4) Integrity Lock
2) Kernelized architecture
데이터베이스이 데이터에 물리적 접근을 통제하고 강제적 보호기능을 하는 안전한 데이터베
이스 관리 시스템이 사용된다 를 통하여 하위 사용자는 하위 데이터베이스 관리 시스. TFE
템과 상호동작하며 상위 사용자는 상위 수준으로 상위 데이터베이스 관리 시스템과 상호동
작한다 사용자의 데이터 검색 요청은 하위의 운 체제로 전해지고 운 체제는 데이터베이.
스에서 요청된 데이터를 검색한다 유사한 보안레이블을 가진 객체는 안전한 운 체제 객체.
에 저장되어 있으므로 검색 후에 보안통제를 하게 된다.
안전한 운 체제는 운 체제 객체 접근에 관련된 연산에 해 감사기록을 생성해야 하며 운
체제 감사기록과 같은 형태로 다른 감사 기록도 데이터베이스 관리 시스템 연산을 위해
생성되어야 한다 이 모델은 그림 와 같다. ( 9-5) [14].
그림 구조( 9-5) Kernelized
3) Replicated architecture
이 모델은 그림 과 같으며 하위 데이터를 데이터베이스에 중복하여 저장하는 것이다( 9-6) .
이 방식은 하위 사용자 단지 하위 데이터베이스에만 접근할 수 있으며 상위 데이터를 수정
할 수 없다 중복의 일치성을 위한 안전한 동기화 알고리즘이 필요하고 중복으로 인하여 보.
안 래티스의 크기가 증가하므로 따라서 비용도 증가한다.
그림 구조( 9-6) Replicated
제 절 요약5
데이터베이스 보안은 데이터베이스 내에 저장된 데이터에 한 불법적인 접근 고의적인 변,
경이나 파괴 그리고 비일관성을 발생시키는 우발적인 사고로부터 데이터 또는 데이터베이스
를 보호하는 것이다.
본 장에서는 데이터베이스 보안에 관련된 다음과 같은 내용에 해 고찰하 다.
데이터베이스 개념○
데이터베이스 관리 시스템의 구성요소-
데이터 기술 단계-
보안 특성을 갖는 데이터베이스 관리 시스템 구조-
데이터베이스 보안의 문제점○
데이터베이스 보안에 한 위협-
데이터베이스의 보안 요구사항-
안전한 데이터베이스 관리 시스템의 설계○
데이터베이스 관리 시스템에서의 보안 메커니즘-
안전한 데이터베이스 관리 시스템 구조-
참고 문헌
[1] Silvana Castano, Mariagrazia Fugini, Giancarlo Martella, Pierangela Samarati,
Database Security, Addition-Wesley, 1995.
[2] Russel D. and Gangemi G.T., Computer Security Basics, O'Reill & Associates, 1992.
[3] "Department of Defence Trusted Computer System Evaluation Criteria," Department
of Defence, NCSC, 1985.
[4] "Trusted Database Management System Interpretation of the TCSEC, National
Computer Security Center, Apr. 1991.
[5] Olson I. and Marshall A., Computer access Control Policy Choice, Elsevier Science,
1990.
[6] Hinke T. H., DBMS Technology vs. Threats. In Database Security: Status and
Prospects, Elsevier Science, 1988.
[7] T. F. Lunt, D. E. Denning, R. R. Schell, M. Heckman, and W. R. Schockley, "The
SeaView Security Model," IEEE Transaction on Software Engineering, Vol. 16, No. 6,
Jun., 1990.
[8] Spooner D. L., Relationship between database security, In Database Security: Status
and Prospects, Elsevier Science, 1988.
[9] Henning R. R., The functional security responsibilities of a database management
system and an operating system, In Database Security: Status and Prospects, Elsevier
Science, 1988.
[10] Clark D. D, Wilson D. R., "Evolution of a model for computer integrity", In Report
of the international workshop on data integrity, Sep., 1989.
[11] Sandhu R, Jajodia S., "Intergrity mechanisms in database management system", In
Proc. 13th NIST-NCSC National Computer Security Conference, Oct., 1990.
[12] Sandhu R. S., "Transaction control expressions for separation of duties", In Proc.
4th Aerospace Computer Security Applications Conference.
[13] Graubart R. "The integrity lock approach to secure database management", In Proc.
IEEE Symp. on Security and Privacy, Oakland, April, 1984.
[14] Demming D. E., Communicative filters for reducing inference threats in multilevel
database systems", In Proc. IEEE Symp. on Security and Privacy, Oakland, CA, April,
1985.
제 장 컴퓨터 바이러스10
제 절 개요1
컴퓨터 바이러스의 정의1.
컴퓨터 바이러스란 자기 자신을 스스로 복제할 수 있는 기능을 가지고 있으며 컴퓨터 프로
그램이나 실행 가능한 부분을 변형시켜 그곳에다 자신 혹은 자신의 변형을 복사해 넣는 명,
령어들의 집합이다 또한 바이러스는 수정에 의해 다른 프로그램을 감염시킬 수 있고 컴[1].
퓨터 시스템과 네트워크를 감염시킨다.
컴퓨터 바이러스의 특징2.
컴퓨터 바이러스는 다른 시스템이나 실행파일을 감염시키기 위해 자신을 복제할 수 있는 기
능을 가지고 있다 또한 새로운 바이러스가 나오게 되면 그것을 모방한 변형 바이러스가 다.
양하게 나오는 특징이 있다 최근 바이러스 프로그램들의 양상은 더욱 지능화되어 가고 있.
으며 국내에서 발견된 외국산 바이러스보다 국내에서 제작된 바이러스의 수가 훨씬 많아졌,
다 국내 제작 바이러스들은 자신을 암호화시켜 은폐시키는 기법을 사용하여 사용자가 쉽게.
발견하지 못하도록 보다 지능화 되고 있다.
컴퓨터 바이러스의 발전 단계3.
컴퓨터 바이러스의 발전 단계는 다음의 네 단계로 구분할 수 있다[1].
제 세 원시형 바이러스 이것은 컴퓨터 바이러스라는 것이 실제로1 (Primitive virus) :○
존재할 수 있다는 가능성을 증명하는 수준이었다.
돌 바이러스 예루살렘 바이러스 등이 여기에 속한다(Stoned virus), .
제 세 암호화 바이러스 제 세 바이러스는 백신 프로그램이2 (Encryption virus) : 2○
바이러스를 진단하기 어렵게 하기 위해 프로그램의 일부 또는 부분을 암호화하여 저장한
다 실행하는 첫 부분에 존재하는 암호를 푸는 부분이 항상 일정하므로 실효를 거두지 못했.
다 폭포 바이러스 느림보 바이러스 등이 여기에 속한다. (Cascade virus), (Slow virus) .
제 세 은폐형 바이러스 은폐형 바이러스는 기억장소에 존재하면서3 (Stealth virus) : ,○
감염된 파일을 길이가 증가하지 않은 것처럼 보이게 하고 백신 프로그램에서 감염된 부분,
을 읽으려고 하면 감염되기 전의 내용을 신 보여줌으로서 바이러스가 존재하지 않는 것처
럼 사용자를 속이는 것이다 브레인 바이러스 조쉬 바이러스 바이러스. , (Joshi virus), 512 ,
바이러스 등이 좋은 예이다 은폐형 바이러스도 기억장소를 먼저 검사해 은폐기능을4096 .
무력화시키면 쉽게 진단할 수 있다.
제 세 갑옷형 바이러스 제 세 암호화 바이러스와 제 세 은폐형4 (Amour virus) : 2 3○
바이러스들은 백신 프로그램 자체가 공격 목표 다 그러나 제 세 바이러스는 여러 단계. 4
의 암호화와 고도의 자체수정 기법 등을 동원함으로써 바이러스를 분석하고 백신 프로그램,
의 제작을 어렵게 만들어서 백신 프로그램 개발을 지연시키는 방법을 사용하고 있다 갑옷.
형 바이러스의 일종으로 다형성 바이러스 가 있다 이것은 암호화를 푸는(Polymorphic virus) .
부분이 항상 일정한 단순 암호화 바이러스와는 달리 갑옷형 바이러스는 감염될 때마다 암호
화를 푸는 부분이 달라진다.
따라서 백신 프로그램에서 단순히 문자열을 비교하는 방법으로는 진단하기가 불가능하며,
바이러스의 암호화 알고리즘을 내장해야만 진단이 가능해진다 고래 바이러스. (Whale virus)
등이 갑옷형의 표적인 예이다.
컴퓨터 바이러스 분류 방법4.
컴퓨터 바이러스의 분류는 컴퓨터 바이러스의 종류에 따라 처 방법이 달라지므로 바이러,
스 분류 작업은 중요하다[1,7,9,14].
가 컴퓨터 기종에 따른 분류.
형 기종○
개인용 컴퓨터 호환기종 애플 매킨토시 아타리 아미가 등: IBM-PC , , , ,○ Ⅱ
나 바이러스 분류. IBM-PC
부트 바이러스○
파일 바이러스○
부트 파일 바이러스/○
바이러스는 감염되는 부위에 따라 부트 바이러스 파일 바이러스IBM-PC (Boot virus), (File
부트 파일 바이러스 의 세 가지로 나눌 수 있다virus), / (Boot/File virus) .
부트 바이러스1)
컴퓨터를 처음 켰을 때는 디스크의 가장 처음 부분인 부트 섹터에 위치하는 프로그램이 제
일 먼저 실행되는데 여기에 자리잡는 컴퓨터 바이러스를 부트 바이러스라고 한다, ‘ ’ .
부트 바이러스도 감염되는 디스크 종류에 따라 플로피 디스크에만 감염되는 것과 하드 디스
크에 감염되는 것들도 하드 디스크의 주 부트 섹터 에 감염되는 것과(master boot sector)
도스 부트 섹터 에 감염되는 것으로 나눌 수 있다(DOS boot sector) .
플로피 디스크 감염 바이러스의 예로는 브레인 바이러스 등이 있고(Brain virus), LBC.Ⅱ
주 부트 섹터 감염 바이러스에는 바이러스 돌 바이러스 등이 있으며 도스 부트 섹터LBC , ,
감염 바이러스에는 탁구 바이러스 디스크 살해 바이러스(Pingpong virus), (Disk_Killer
등이 있다virus) .
파일 바이러스2)
일반적인 프로그램에 감염되는 컴퓨터 바이러스를 말하는 것으로 파일과 파*.COM *.EXE
일 등의 실행파일 오버레이 파일 주변기기 구동 프로그램 등에, (overlay file), (device driver)
감염되며 실행할 수 없는 데이터 파일에는 감염되지 않는다 예루살렘 바이러스. (Jerusalem
어둠의 복수자 바이러스 등이 여기 속한다 파일 바이러스는virus), (Dark_Avenger virus) .
파일에 감염되기 위해 여러 가지 다양한 전략을 사용하기 때문에 어떤 한 가지 방법으로는
분류하기가 쉽지 않은 것이 특징이다.
가 감염 파일에 따른 분류)
일반적인 분류 방법은 감염되는 프로그램의 종류에 따른 것이다 파일 바이러스는 감염되는.
프로그램에 따라 특정 파일 감염 바이러스 파일 감염 바이러스 파일 감염, *.COM , *.EXE
바이러스 파일 감염 바이러스와 파일 감염 바이러스의, *.COM/*.EXE *.COM/*.EXE/*.SYS
가지로 분류할 수 있다 표적인 특정 파일 바이러스로는 에만 감염되5 . COMMAND.COM
는 르하이 바이러스 가 있다 파일 감염 바이러스로는 만 바이러스(Lehigh virus) . *.COM
비엔나 바이러스 등이 있으며 파일 감염 바이러스에(Taiwan virus), (Vienna virus) , *.EXE
는 맥가이버 바이러스 로즈버드 바이러스 등이 있다(McGyver virus), (Rosebud virus) .
파일 감염 바이러스에는 예루살렘 바이러스 어둠의 복수자 바이러스 등이*.COM, *.EXE ,
있으며 파일 감염 바이러스에는 새해인사 바이러스, *.COM/*.EXE/*.SYS (Happy_New_Year
가 표적이다virus) .
나 감염위치에 따른 분류)
기생형 바이러스(parasitic virus)○
겹쳐쓰기형 바이러스(overwriting virus)○
산란형 바이러스(spawing virus)○
연결형 바이러스(linking virus)○
분류 방법은 파일 바이러스가 프로그램 내의 어디에 위치하느냐에 따르는 것이다 파일 바.
이러스는 기생형 바이러스 겹쳐쓰기형 바이러스 산란형 바이러스 연결형 바이러스로 구분, , ,
된다.
기생형 바이러스는 원래의 프로그램을 파괴하지 않고 프로그램의 앞이나 뒤에 바이러스 프
로그램이 붙는 것을 가리킨다 기생형 바이러스에 감염된 파일에는 원래의 프로그램과 바이.
러스 프로그램이 공존하기 때문에 필요적으로 길이가 증가하게 되지만 바이러스 프로그램,
이 실행된 다음에 원래의 프로그램을 실행시키기 때문에 사용자는 바이러스에 감염된 사실
을 알지 못하는 경우가 많다 예루살렘 바이러스 어둠의 복수자 바이러스. (Jerusalem virus),
등 부분의 파일 바이러스들이 여기에 속한다(Dark_Avenger virus) .
그림 기생형 바이러스( 10-1)
원래의 프로그램이 있는 곳에 바이러스 프로그램이 겹쳐서 존재하는 것을 겹쳐쓰기형 바이
러스라고 한다.
그림 겹쳐쓰기형 바이러스( 10-2)
산란형 바이러스는 파일에 직접 감염시키지 않고 같은 이름의 파일을 만들어*.EXE *.COM
서 여기에 바이러스 프로그램을 넣어두는 것이다 같은 이름의 파일과 파일. *.COM *.EXE
이 같은 디렉토리 안에 존재할 때 파일 이름을 입력하면 파일이 먼저 실행되기 때*.COM
문에 파일 바이러스가 직접 감염된 경우와 같은 효과를 나타낸다 표적인 예로. AIDS Ⅱ
바이러스를 들 수 있다.
연결형 바이러스도 프로그램을 직접 감염시키지 않고 디렉토리 역에 저장된 프로그램의
시작 위치를 바이러스 프로그램의 시작 위치로 바꿈으로써 컴퓨터 바이러스의 동작을 수행
하는 것이다.
따라서 프로그램을 실행시키면 원래의 프로그램 신에 바이러스 프로그램이 먼저 실행되
고 바이러스 프로그램의 실행이 끝나면 원래의 프로그램을 실행시켜서 사용자가 눈치채지,
못하게 하는 것이다 표적인 예에는 바이러스가 있다. Dir .Ⅱ
다 동작 원리에 따른 분류)
일반적인 프로그램처럼 한 번 실행된 후에 기억장소에서 사라지는 것을 비상주형 바이러스
라고 하며 기억장소 상주 프로그램 들처럼 기억장(non-resident virus) , (RAM resident virus)
소에서 계속 존재하는 것을 상주형 바이러스 라고 한다 비상주형 바이러스의(resident virus) .
경우는 감염된 프로그램이 실행될 때만 바이러스 프로그램이 동작해 다른 프로그램을 감염
시키지만 상주형 바이러스의 경우에는 감염된 프로그램이 한번 실행된 다음에는 실행되는,
프로그램들을 계속 감염시킬 수 있다 비상주형 바이러스의 예로는 만 바이러스 비엔나. ,
바이러스 등을 들 수 있으며 상주형 바이러스의 예로는 예루살렘 바이러스 어둠의 복수자, ,
바이러스 등을 들 수 있다.
부트 파일 바이러스3) /
부트 파일 바이러스는 부트 섹터와 파일 모두에 감염되는 바이러스이며 부트 부분에 해/ ,
서는 부트 바이러스의 분류 방법을 파일 부분에 해서는 파일 바이러스의 분류 방법을 사
용하면 된다 부트 파일 바이러스의 예로는 침입자 바이러스 테킬라 바이러. / (Invader virus),
스 등을 들 수 있다(Tequila virus) .
바이러스와 관련된 위협5.
컴퓨터 바이러스라는 용어는 일반적으로 시스템 또는 네트워크에 해를 끼칠 수 있는 악성
소프트웨어를 말한다 또한 트로이 목마 와 통신망 벌레 그. (Trojan Horses) (Network Worm),
리고 빠르고 강력하게 작용하여 시스템 또는 네트워크에 커다란 손상을 입히는 소프트웨어
의 형태이다.
가 트로이 목마.
트로이 목마 프로그램은 유용하거나 자주 사용되는 프로그램 또는 명령 수행 절차 내에 숨
겨진 코드를 포함시켜 사용자가 프로그램을 실행할 경우 원치 않는 기능을 수행한다.
트로이 목마 프로그램의 개발자는 다른 사용자에게 유용한 프로그램의 소스코드를 처음으로
개발하거나 소스 코드에 접근할 수 있어 프로그램에 임의의 코드를 첨가하여 유용한 기능,
이외에 몇 가지 해로운 기능을 수행하도록 한다.
탐지하기가 어려운 트로이 목마의 한 예는 다음과 같다.
로긴 프로그램처럼 컴파일된 특정 프로그램에 추가 코드를 첨가하여 변형한 멀티 유저-○
상의 컴파일러
로긴 프로그램 내에 트랩도어를 만들어 트로이 목마 프로그램에 특별한 패스워드를 사용○
하여 시스템에 로그
로긴 프로그램이 재 컴파일 할 때마다 컴파일러는 프로그램에 트랩도어 코드를 첨가,○
따라서 트로이 목마 코드는 로긴 프로그램의 소스 코드를 읽어서는 발견하기가 어렵다.
트로이 목마 프로그램을 시스템에 설치하는 방법은 다음과 같다.
트로이 목마 프로그램을 최초에 이식하여 의심이 없는 사용자가 복사하여 실행시키도록○
한다.
트로이 목마 프로그램을 많은 사람이 접근할 수 있는 네트워크 서버와 같은 소프트웨어○
저장소 멀티 유저 환경 시스템 또는 디렉토리의 공개 접근 디렉토리 그리고 소프트웨어 블, -
루틴 보드에 이식한다 그러면 사용자는 속아서 자신의 시스템 또는 디렉토리에 트로이 목.
마 프로그램을 복사한다.
다 통신망 벌레. (Network Worms)
통신망 벌레 프로그램은 연결된 통신망을 사용하여 시스템에서 시스템으로 확산되며 통신,
회선으로 연결된 시스템을 공격한다 일단 시스템 내에서 활동을 시작하면 통신망 벌레는. ,
컴퓨터 바이러스로 활동하고 또한 트로이 목마 프로그램을 삽입하거나 파괴적인 활동을 한,
다 자신들을 복제하기 위해서 통신망 벌레들은 통신망과 시스템 타입에 따른 통신망 매체.
를 사용한다.
통신망 매체의 예는 다음과 같은 것들을 포함한다.
벌레가 자신을 복제하여 다른 시스템에 메일을 보낼 수 있는 통신망 메일○
벌레가 다른 시스템에서 자신의 복제를 수행할 수 있는 원격 수행 능력○
원격 시스템을 로그인하여 자신을 다른 시스템으로 복제하도록 하는 명령을 사용하는 원○
격 로그인 능력
통신망 벌레의 새로운 복제는 더 많은 시스템으로 계속해서 확산될 수 있는 원격 시스템에
서 작동한다.
통신망의 규모에 따라 다르지만 통신망 벌레는 비교적 짧은 시간 안에 많은 시스템으로 확
산된다.
통신망 벌레의 목적은 정보를 파괴하지 않고 암호를 빼내며 바이러스나 트로이 목마를 침,
투시키는 것이 핵심이다 또한 통신망 벌레는 피해를 줄일 수 있는 코드를 포함할 수 있으.
므로 파괴를 위한 잠재력이 매우 높다, .
다 다른 관련 소프트웨어 위협들.
트로이 목마 컴퓨터 바이러스 그리고 통신망 벌레의 수많은 변종들이 끊임없이 나타나고, ,
있다 이러한 변종은 다른 시스템간에 광범위하게 확산되어 통신망을 혼란시키고 또한 시스.
템에서 자신을 복제하여 컴퓨터 처리가 중단될 때까지 프로세서 타입을 잡아먹는다 확산과.
피해를 야기할 목적으로 더 정교한 기술을 사용한 많은 새로운 변종의 형태들이 만들어질
가능성이 매우 높다.
라 불법 사용의 위협.
컴퓨터 바이러스와 악성 소프트웨어 형태들은 사람에 의해서 만들어지고 기본적으로 사람,
들의 문제라는 것을 간과하지 않는 것이 중요하다 기본적으로 악성 소프트웨어들은 사람들. ,
이 해악과 다양한 피해를 줄 수 있는 그들의 능력을 확 하고 향상시키기 위해 사용하는 도
구이다 그러한 소프트웨어는 사용자가 빠른 속도로 작업을 한다든지 또는 익명성을 유지한. ,
다든지 또는 프로그램의 시스템 호출을 요구하는 등의 일을 효과적으로 수행할 수 없도록,
한다 그러나 일반적으로 악성 소프트웨어는 현명한 사용자들이 범할 수 있는 취약성을 이. ,
용하므로 악성 소프트웨어로 인한 공격 가능성을 줄이기 위한 조치는 컴퓨터 사용자에 의,
한 무단 사용의 가능성을 다루어야 한다.
제 절 백신 프로그램2
백신 프로그램의 분류1.
일반적으로 바이러스 백신 프로그램은 다음과 같이 크게 세 가지로 구분할 수 있다.
바이러스 감염을 사전에 막기 위한 예방 프로그램○
바이러스에 감염이 되었는지를 검사하는 진단 프로그램○
바이러스에 감염된 것이 확인되었을 경우 원상태로 복구하는 치료 프로그램 등으로 구분○
할 수 있다.
가 예방용 백신 프로그램. [14]
예방용 백신 프로그램은 바이러스 공격으로부터 바이러스를 사전에 막을 수 있는 프로그램
이다 또한 예방용 백신 프로그램 자체가 바이러스에 감염이 되면 악성 바이러스보다 더 큰.
피해를 입을 수 있으므로 조심을 하여야 한다.
바이러스를 예방하는 기법에는 네 가지가 있다.
일반적으로 바이러스는 감염시킬 파일이 바이러스에 감염이 되어 있으면 감염을 시키지○
않는 특성을 이용하여 해당 부분이 감염되어 있는 것처럼 위장하는 방법
인터럽트 벡터 테이블의 값을 가로채 바이러스 동작 여부 파일의 삭제 포맷 등 를 확인( , )○
하는 기법
바이러스들의 문자열을 일일이 비교하여 검색하는 기법○
해당 파일을 등의 명령으로 암호화하여 체크섬을 생성시켜 파일의 변형여부AND, XOR○
를 확인하는 기법
나 진단용 백신 프로그램.
진단 프로그램에는 알려진 바이러스의 진단 방법으로 문자열 비교와 내부 알고리즘 추적 방
법이 있으며 새로운 바이러스에 한 진단 방법으로 특정 문자열의 존재 여부를 확인하는,
방법과 인공지능 방법 등이 있다.
문자열 비교 방법은 예방 프로그램처럼 램에 상주하는 것이 아니라 진단 프로그램이 실○
행되면 실행 가능한 모든 파일에 하여 일일이 패턴 검사를 하는 방법으로 현재 가장 많이
사용되는 방법이다.
내부 알고리즘 추적 방법은 문자열 비교 방법으로는 진단이 불가능한 바이러스를 진단하○
기 위한 방법으로 내부 알고리즘을 그 로 진단 프로그램에 추가시켜 바이러스와 같은 암호
화 해독 방법을 거쳐 특정 문자열이나 특정 루틴의 수행여부를 가리는 방법이다.
특정 문자열 존재 확인 방법은 바이러스 제작자들이 특정 코드 등을 바이러스에 심어 놓○
는 경향이 있다는 점을 이용한다 바이러스를 업그레이드 할 때 특정 문자열이 계속 존재한. ,
다면 이 방법을 사용하여 쉽게 변종 바이러스를 찾아낼 수 있다 바이러스 제작 툴 킷을 이.
용한 간단한 바이러스들도 진단이 가능하다.
인공지능 기법은 바이러스들이 가지는 공통적인 문자 패턴을 미리 데이터베이스화하여○
바이러스와 같은 동작을 할 수 있는 문자열이 존재하는지 진단하는 방법으로 속도가 느리고
정상 백신 프로그램을 바이러스로 착각하는 등의 단점이 있다.
다 치료 백신 프로그램.
바이러스에 감염된 것이 확인되면 해당 파일을 치료하여 복구를 해야 한다 바이러스 감염.
은 비겹쳐쓰기형과 겹쳐쓰기형으로 구분되며 비겹쳐스기형은 다시 전위형과 후위형으로 구
분된다.
비겹쳐쓰기형 바이러스는 프로그램을 메모리에 로드한 후에 해당 바이러스 부분을 제외○
한 정상적인 내용을 다시 프로그램에 쓰는 방법으로 치료가 가능하다.
전위형 바이러스에 감염된 경우는 파일 맨 앞쪽에 존재하는 바이러스 시작 부분부터 끝-
까지 삭제하고 재저장하면 된다.
후위형 바이러스에 감염된 경우는 바이러스 자신이 먼저 실행하기 위하여 바꾸어 놓은-
처음 실행 부분과 레지스터 내용을 정상을 복구해야 하고 원래 크기 값을 확인하여 감염된,
파일 뒷부분에 존재하는 바이러스 프로그램을 삭제
겹쳐쓰기형 바이러스는 해당 파일은 복구가 불가능하므로 파일 자체를 삭제해야만 한다.○
백신 프로그램의 종류2.
가 국내 백신 프로그램의 특징.
국내에서 발견된 바이러스를 가장 많이 진단 및 치료를 할 수 있으며 진단 속도V3+ :○
또한 다른 백신 프로그램에 비해 빠르고 부트 바이러스 샘플 채취 유틸리티인,
가 포함되어 있어서 새로운 부트 바이러스에 감염되었을 경우 이 유틸V3BACKUP.EXE『 』
리티를 이용하여 감염된 부트 섹터를 파일로 채취할 수 있다.
년 월 현재 여종의 국내외 바이러스들을 진단 치료할 수TV(Turbo Vaccine) : '97 8 460○
있는 프로그램으로 이 백신 프로그램의 특징은 처음으로 인공지능 검사 옵션인 가 추가, ‘/H’
되었다 이 옵션은 신종 바이러스인 경우에도 바이러스 코드를 조합하여 바이러스로 의심되.
는 경우에는 알려지지 않은 바이러스로 진단해 준다‘ ’ .
년 월 현재 종의 국내외 바이러스를 진단 치료할 수 있으며T2(Tachyon ) : '97 8 201 ,○ Ⅱ
한글화 작업을 하는 등 개발자의 성의가 보이는 백신 프로그램이다 또한 백신 프로그램 제.
작 툴 킷을 선보 다.
년 월 현재 종의 국내외 바이러스를 진단 치료할 수 있으며 화K2(Kicom ) : '97 9 203 ,○ Ⅱ
면구성이 깔끔한 편이다 바이러스 분석시 부분 분석이 아닌 전체 분석방법을 사용하기 때.
문에 종에 한 진단 치료시 오진이 거의 없다203 , .
표 국내 바이러스 백신 종류[ 10-1]
순서 제작사 진단 치료/ 진단 비고
1 안바이러스 연구소V3+, V3RES 쉐어웨어
V3Pro97 상업용
2 학생 T2, T2R 프리웨어
3 학생 TV, TVRES 프리웨어
4 학생 K2 프리웨어
5 학생 J2, PBBV 프리웨어
나 국외 백신 프로그램.
프로그램 미국의 맥아피 사에서 만든 제품으로 이제까지 국내에 셰어웨SCAN : (McAfee)○
어로 소개가 되다가 본격적으로 국내에 상업용 제품을 공급하고 있다 맥아피사의 인터넷.
홈페이지에서 평가판을 다운받을 수 있으며 그 후부터는 바이러스 패턴 파일만 업데이트 함
으로써 추가되는 바이러스에 하여 진단 및 치료가 가능하다.
프로그램 아이슬랜드에서 제작된 프로그램으로 셰어웨어 형식으로 제공되고F-PROT :○
있다 국내에 알려진 외국 백신 프로그램 중 가장 기능이 뛰어나며 압축 실행 파일에 걸린. ,
바이러스도 검사를 하고 있어 국산 백신 프로그램들과 상호 보완적으로 사용할 수 있다.
표 국외 바이러스 백신 종류[ 10-2]
순서 제 품 명 제 작 사 국 가 명 비고
1 Alert Look -
2 Avast! Alwil 크로아티아
3 AVG Grisoft -
4 AVP KAMI Ltd 러시아
5 AVScan H+B EDV 독일
6 DSAV Dr. Solomon 국
7 DrWeb Dialogue Science 러시아
8 F-Prot Frisk Software 아이슬란드
9 F-MacroW Frisk Software 아이슬란드
10 F/Win Kurtzhals 독일
11 IBM AV IBM 미국
12 Integrity Master Stiller Research 미국
13 InVircible NetZ -
14 Norman Virus Control Norman Data 노르웨이
15 Norton AV Symantec 미국
16 Scan McAfee 미국
17 Sweep Sophos 국
18 Power Antivirus Gdata -
19 PC-cillin Trend Micro 일본
20 TBAV ThunderByte 네덜란드
21 VDS Advanced Research Group -
22 Virus Buster Leprechaun 호주
23 VET CYBEC 호주
컴퓨터 바이러스 동작 원리3.
가 컴퓨터 바이러스 감염 동작 원리.
부트 바이러스 감염1)
바이러스에 감염된 디스크로 부팅을 할 경우 처음 동작○
정상적인 부팅과정 부분에 바이러스를 로드0000:7C00h( )○
로드된 바이러스는 사용가능 메모리 크기 저장 의 값을 먼저 자신이 들어가0000:0413h( )○
있을 메모리만큼 줄이고 그 조정된 크기를 재저장 자신의 크기만큼 줄임( , 640KB →
638KB)
재 저장된 위치로 바이러스를 복사○
정상적인 에서 해당하는 값의 코드를 바이러스 내부IVT(Interrupt vector table) Int 13h○
루틴으로 가도록 수정 원래 의 값은 바이러스만 알고 있는 다른 곳에 따로 저장( Int 13h )
감염시 다른 곳으로 옮겨 놓은 정상 부트 역 로 로딩하여 정상적인 부팅과0000:7C00h○
정 수행
정상 수행 중 가 호출되면 바이러스는 먼저 해당하는 디스크에서 자신의 식별자Int 13h○
를 검사하여 재감염 여부를 확인
이미 감염되어 있으면 정상적인 코드 값을 수행Int 13h○
감염되어 있지 않으면 원래 부트 역을 읽어 다른 곳으로 이동시키고 바이러스 부트 프○
로그램을 부트 역에 복사한 후 정상적인 코드 값을 수행, Int 13h
파일 바이러스 감염2)
가 동작원리에 따라)
비 램상주형○
바이러스에 감염된 파일을 실행할 때 처음 동작-
감염되지 않는 파일을 검색하여 감염-
감염 후 정상적인 루틴 수행-
램상주형○
바이러스에 감염된 파일을 실행할 때 처음 동작-
먼저 메모리를 검사하여 메모리가 바이러스에 감염되어 있는지를 확인-
바이러스에 감염이 되어 있으면 메모리의 감염을 포기 바이러스에 감염되어 있지 않으면- ,
를 비롯한 바이러스가 필요로 하는 인터럽트를 가로챈 후 기억장소에 상주함Int 21h
정상 수행 중 가 호출되면 바이러스는 먼저 실행된 파일에서 자신의 식별자를 검- Int 21h
사하여 재감염 여부를 확인
이미 감염되어 있으면 재감염을 포기하고 정상적인 수행- Int 21h
감염되어 있지 않으면 파일에 감염을 시도-
나 감염위치에 따라)
기생형○
전위형 실행 파일 앞부분에 바이러스가 붙음 파일 등- : (*.COM )
후위형 실행 파일 뒷부분에 바이러스가 위치하며 앞부분의 코드를 변경하고 명령- : JMP
을 이용하여 바이러스 수행 파일 모두 해당(*.COM, *.EXE )
개선된 겹쳐쓰기형 앞부분에 바이러스가 위치하고 원래 프로그램의 앞뒤가 서로 바뀜- :
명령 삽입 파일 해당(JMP , *.COM )
겹쳐쓰기형○
복구 불가능형 정상적인 프로그램의 앞부분부터 겹쳐 쓰고 감염된 프로그램 길이는 원- :
래 프로그램 크기와 같으나 원래 프로그램은 실행되지 않음,
복구 가능형 정상적인 프로그램이 사용하지 않는 부분에 겹쳐 쓰며 감염된 프로그램의- :
크기도 변하지 않는다 또한 원래 프로그램도 정상적으로 실행되므로 육안으로 검색하기가. ,
거의 불가능하다.
산란형○
같은 이름의 파일과 파일이 같은 디렉토리에 존재할 때 파일이 먼- *.COM *.EXE *.COM
저 실행되는 원리를 이용
바이러스를 정상적인 파일과 같은 이름으로 파일을 복사- *.EXE *.COM
해당 파일만 삭제하면 간단히 치료가 됨-
연결형○
루트 디렉토리에 저장된 파일 실행 클러스터의 위치를 바이러스가 위치하고 있는 곳으로-
수정하여 실행하게 하는 방법
고수준의 바이러스 제작기법이며 바이러스가 해당- DIR-Ⅱ
백신 프로그램 동작 원리4.
가 예방 프로그램 원리.
바이러스보다 정상적인 실행 루틴이 먼저 가로챔Int 21h○
가로챈 인터럽트를 이용하여 실행되는 모든 프로그램 검사○
특정 문자열을 검색하여 문자열이 바이러스로 인식하여 경고 메시지 출력○
특정 문자열이 검색되지 않으면 정상적인 루틴을 실행○
나 진단 및 치료 프로그램 원리.
바이러스에 해당하는 문자열을 메모리에서 검색 바이러스가 메모리에 상주하고 있으면(○
치료가 되지 않기 때문에 반드시 메모리의 바이러스를 제거한 후 실행)
바이러스와 같은 문자열이 검색되면 원래의 인터럽트 번지를 찾아내어 원래의 위치로 복○
귀시켜 줌
바이러스와 같은 문자열이 없으면 정상적인 부트 역 검색과 파일을 검색○
부트 바이러스1)
부트 역을 읽어서 바이러스 문자열 검색하고 비교○
바이러스와 같은 문자열을 검색하면 바이러스 발견 메시지 출력○
옮겨진 원래 부트 역을 찾아서 바이러스가 들어있는 부트 역에 겹쳐 써버림○
문자열이 같거나 치료가 끝나면 부트 바이러스로 진단○
파일 바이러스2)
맨 앞부분의 바이트를 읽어 파일인지 파일인지를 우선 판단2 *.COM *.EXE○
각기 형식에 맞추어 바이러스 문자열을 검색하고 비교○
파일인 경우에는 전위형인지 후위형인지를 구별하여 치료*.COM ,○
전위형일 경우 앞부분에서 바이러스 크기만큼 메모리에서 삭제하는 방법으로 치료○
후위형이면 맨 앞부분의 수정된 개의 바이트를 찾아 복귀시키고 메모리에서 원래 프3 4○ ~
로그램 크기만큼만 디스크에 저장함으로써 치료
파일인 경우 헤더 부분 중 중요한 개의 레지스터 값을 복귀*.EXE 4 (CS, IP, SS, SP)○
마찬가지로 원래 프로그램 크기만큼만 디스크에 저장함으로써 치료○
컴퓨터 바이러스 발견 기법5.
가 부트 바이러스.
다음과 같은 증상이 나타나면 부트 바이러스에 감염되었을 가능성이 매우 높은 경우이다.
시스템 메모리의 크기 가 줄어들어 있을 경우(640KB 638KB)○ →
평상시보다 부팅 속도가 현저히 느린 경우○
가끔씩 정상적으로 부팅이 되지 않을 경우○
부팅시에 이상한 에러 메시지가 출력되는 경우○
정상적인 명령 수행시 엉뚱한 에러를 출력시키는 경우○
깨끗한 도스 디스켓을 이용하여 부팅한 후 부트 역을 덤프받아 비교해 보았을 때 원,○
래 부트 역에 있던 내용과 다른 경우
파일 목록을 출력시켰을 때 갑자기 파일 목록이 깨져 나오는 경우○
디스크 라벨 이 어느 특정한 문자열로 바뀌었을 경우(Label)○
나 파일 바이러스.
다음과 같은 증상이 나타나면 파일 바이러스에 감염되어 있을 가능성이 매우 높은 경우이
다.
프로그램 파일을 실행시킨 후 원래 파일이 가지고 있는 크기보다 증가되어 있을 경우○
파일을 실행시킨 후 파일 작성일자가 어느 특정한 날짜로 바뀌어져 있는 경우○
정상적인 파일을 실행시켰을 때 읽기 또는 쓰기 오류가 반복적으로 나타나는 경우 파일(○
자체가 깨진 경우가 있으나 파일 바이러스에 의한 감염여부도 확인)
제 절 요약3
최근 들어 많은 컴퓨터 사용자들이 컴퓨터 바이러스에 피해를 입고 있어 사회적인 문제가
되고 있다 그러나 부분의 컴퓨터 사용자들이 컴퓨터 바이러스의 향과 피해를 심각하지.
않다고 생각하고 있는 것이 현실이다 또한 바이러스에 한 연구보고나 책 연구가 활발.
하지 못해 이에 한 책이 요구되고 있다.
본 장에서는 컴퓨터 바이러스의 현황과 책에 해 기술하 다.
제 절에서는 컴퓨터 바이러스에 한 정의 및 바이러스와 관련된 위협들에 해 기술하1
고 제 절에서는 컴퓨터 바이러스의 감염 동작 원리와 백신 프로그램의 동작 원리에 해, 2
기술하 다.
본 장의 내용이 컴퓨터 바이러스에 한 정확한 이해와 바이러스의 피해에 한 경각심과
인식을 새롭게 하는 계기가 되기를 바라며 컴퓨터 바이러스에 한 연구보고 및 책연구,
에 많은 도움이 되길 바란다 그리고 컴퓨터 사용자들 역시 바이러스를 미리 예방하려는 의.
지를 가질 때만이 바이러스로부터 피해를 줄여 나갈 수 있다는 것을 알아야 할 것이다.
참고 문헌
안철수 바이러스 분석과 백신 제작 주 정보시 년[1] , , ( ) , 1996 .
안바이러스연구소 컴퓨터바이러스뉴스 월호 년[2] , , 11/12 1996 .
안바이러스연구소 컴퓨터바이러스뉴스 월호 년[3] , , 9/10 1996 .
안바이러스연구소 컴퓨터바이러스뉴스 월호 년[4] , , 7/8 1996 .
이서로 파워해킹 테크닉 파워북 년[5] , , , 1995 .
김진수 박중헌 해커선언 에스컴 년[6] , , , , 1995 .
박명순 컴퓨터 바이러스 기한재[7] , , , 1994.
정윤기 바이러스의 모든 것 크라운 년[8] , , , 1995 .
양성무 컴퓨터 바이러스 태성출판사 년[9] , , , 1993 .
편집부 윈도우즈 유틸리티와 항 바이러스 세화 년[10] , CP , , 1992 .
정윤기 컴퓨터 바이러스 그것을 알고 싶다 크라운 년[11] , ! , , 1996 .
황희융 노턴 유틸리티 이렇게 활용한다 교학사 년[12] , , , 1992 .
장 식 시스템 프로그래밍 중 년[13] , , , 1994 .
지원우 컴퓨터 바이러스 예방과 치료 정보문화사 년[14] , , , 1994 .
이재우 정보보호현황 한국정보보호센터 년[15] , , , 1996 .
이재우 외 년도 국내외 컴퓨터 바이러스와 백신 프로그램 현황 및 분석 한국전산[16] , ‘95 ,
원 년, 1995 .
이재우 외 컴퓨터 바이러스 감염 예방 시스템 개발에 관한 연구 한국전산원 년[17] , , , 1995 .
권석철 외 컴퓨터 바이러스 완전소탕 크라운 년[18] , , , 1997 .
[19] Pamela Kane, PC Security and Virus Protection Handbook, M&T Books, 1994.
[20] Victoria Lammer, Survivor's Guide to Computer Virus, Virus Bulletin, 1993.
전자신문사 월호 년[21] Computer & Communication, , 7 1996
이 철 컴퓨터 바이러스 예방지침서 한국정보보호센터[22] , , , 1997.12
제 장 인터넷 보안과 정보시스템 해킹 방지11
제 절 정보시스템 해킹과 응1
정보시스템 해킹의 개념1.
사전적인 의미의 정보시스템은 컴퓨터 등을 이용한 정보의 계산 제어 통신 등의 기능을 하, ,
는 체계를 말한다 현실적으로는 로부터 중 형 컴퓨터에 이르기까지 각종 컴퓨터와 이. PC
들 네트워크를 이용하여 전 세계를 연결하는 광 한 체계까지 포함한다 사회에서 통념적으.
로 받아들여지고 있는 정보시스템 해킹의 개념은 정보시스템에 해 접근 권한이 없는 사용
자가 기술을 비정상적으로 이용하여 정보시스템의 통제를 파괴하여 접근하거나 불법적으로
권한을 행사하는 것을 말한다 최근에는 실제로 정보시스템에 접근하지 않고 정보시스템의.
정상적인 서비스와 운 을 방해하는 서비스 거부 공격 등 네트워크를 기반으로 한 침입도
해킹의 한 분야로 이해되고 있다.
정보시스템에 한 공격적인 위협을 략적으로 분류해보면 인터넷과 같은 전산망에 한
공격 전화망 및 교환기 등의 통신시스템에 한 공격인 프리킹 패스워드나 저, (Phreaking),
작권 침해 공격인 크랙킹 바이러스 이동통신이나 위성통신 공격과 신용(Cracking), (Virus),
카드 전화카드 스마트카드 등 각종 정보관련카드에 관련된 위 변조 공격 그리고 상 및, , ,・음성의 도청이나 통신방해 등 다양한 위협들이 존재한다.
이와 같이 국가적 정보인프라체계의 발전에 저해되며 위협이 될 수 있는 기술들이 인터넷이
나 등을 통해 전 세계적으로 공유되고 있는 실정이므로 정보보호 선진국에서는 정보BBS
전 이라는 이름으로 정보시스템에 한 광의의 위협으로부터 정보시스(Information warfare)
템을 보호하기 위한 예방기술 및 정책을 추진하고 있다.
여기에서는 인터넷을 중심으로 전산망에 한 해킹 사례 및 현황 침입수법에 따른 책 그, ,
리고 일반적인 해킹방지를 위한 보호모델을 제시하고 침해사고 발생시의 처리요령 등을 기,
술한다 또한 이후 기술되는 해킹은 전산망에 한 불법적인 침입과 자료의 파괴 유출. , ,
위 변조 및 시스템의 정상적인 운 과 동작을 방해하는 모든 행위를 의미한다.・
해킹과 해커의 이해2.
가 해킹과 해커의 정의.
해커들이 저지르는 모든 불법적인 행위들을 해킹이라고 하며 전산망에서의 보안 침해사고를
일으키는데 표적인 사례는 다음과 같다, .
불법 침입 인가 받지 않은 정보시스템에 불법으로 접근:○
불법 자료 열람 허가되지 않은 정보시스템내 자료 열람:○
불법 자료 유출 정보시스템의 자료를 불법 유출:○
불법 자료 변조 정보시스템의 자료를 불법 변조:○
불법 자료 파괴 정보시스템의 자료를 불법 파괴:○
정상 동작 방해 정보시스템의 정상적인 동작 방해 정지:○ ・
년 초반 는 컴퓨터 시스템의 내부 구조 및 동작 등에 심취하여 이를 알고자 노70 (Hacker)
력하는 사람으로서 컴퓨터 등에 뛰어난 기술을 가진 사람을 의미하 으나 점차 갈수록 해,
킹에 의한 범죄사례들이 자주 발생하고 해킹수법들이 일반적으로 많이 알려지면서 범죄적
행위를 저지르는 경우를 지칭하게 되었다 물론 이러한 불법적인 행위를 저지르는 해커를.
침입자 파괴자 라고 명칭을 하여 원래 의미와 차별화를 시도하는 경우가, (Intruder, Cracker)
있었으나 사회적으로 잘 받아들여지지 않았다고 볼 수 있다.
또한 해킹수법이 중화되면서 단순한 해킹기술을 구사하는 해커와 실제 기술력을 갖춘 해
커를 구분하기 위해 지능형 침입자 라는 용어가 등장하기도 하(Ubercracker, Uberhacker)
는데 스스로 시스템의 보안 문제점을 분석 파악하거나 불법 침입 프로그램 등을 제작할 수,
있는 능력의 소유자를 말한다.
위에서 설명한 바와 같이 원래 해커는 긍정적인 의미로 사용되었으며 불법적인 전산망 침, ,
입을 일삼는 해커들을 구분하기 위해 침입자 공격자 등의 용, (Cracker, Intruder, Attacker)
어를 사용하기도 하지만 현실적으로 해커를 범죄적인 공격자 침입자의 의미로서 사용하고,
여기에서도 해커를 그러한 의미로 사용한다.
나 국내 해킹관련 현황.
인터넷 상에서는 공공연히 해커가 운 하는 홈페이지 해킹관련 뉴스그룹 메일링 리스트, , ,
등을 이용하여 해킹 수법 및 사례에 한 정보교환이 이루어지고 있으IRC, FTP, Gopher
며 국내에서도 통신 동호회 및 일부 학의 컴퓨터 관련 동아리들이 해킹수법 등을 공, PC
공연히 소개하고 있는 실정이다 인터넷과 웹 서버의 기하급수적인 확산으로 해킹정보에 관.
심 있는 사람이라면 무한한 자료를 접할 수 있다 과거에는 컴퓨터 천재에게나 쓰이던 해커.
라는 칭호가 지금은 초등학생이나 중학생도 충분히 인터넷에서 얻은 해킹자료를 이용하여
시스템을 해킹 할 수 있어 해킹의 중화 해커들의 그룹화 지능화 등이 우려되고 있다, , .
다 해커들의 공격 상.
일반적으로 해커들은 학교나 등에서 해킹수법을 익히고 등과BBS, USENET, IRC NASA
같은 연구소 미국방성 등 정부공공기관을 해킹 하여 자신들의 능력을 과시하려 한다 또한, .
해커에 따라서는 금전적 이익을 목적으로 금융기관 전산망을 해킹하기도 하고 사주를 받아
다른 국가기관이나 경쟁회사 등을 해킹하기도 한다.
해커의 해킹 목적에 따라 그 상 기관이 달라지며 실제로 해커가 피해를 입히는 정보시스,
템 구성요소들을 본다면 해커는 일반적으로 네트워크상에 떨어져 있는 컴퓨터호스트를 목표
로 삼아 침입한다 또한 일반적인 사용목적의 호스트보다는 웹서버 서버 메일서버 등. , FTP ,
외부 서비스를 제공하는 네트워크서버를 부분 공격하게 되는데 피해기관의 외부 네트워,
크에 연결된 시스템이 가장 접근하기 좋고 네트워크 기반의 취약점이 많기 때문이다 또한.
보통 외부 네트워크를 통해 홍보나 인트라넷 기술을 응용한 서비스가 많아지면서 이러한 시
스템에서의 해킹 피해는 매우 큰 손해를 가져다 줄 수 있다.
해킹기술의 진보로 인하여 주요 서버 외에도 라우터 침입차단시스템 네트워크 프린터 등도, ,
공격 상이 되었으며 자바나 응용기술 바이러스로 인해 인터넷을 사용할 때 클라ActiveX ,
이언트로만 이용되는 도 해커들의 공격 상이 될 수 있다PC .
라 해커의 침입동기.
해커들이 모두 다 그런 것은 아니지만 일반적으로 다음과 같은 동기를 가지고 침입을 시도
하게 된다.
호기심과 과시욕에 의한 행위○
서비스의 무료 사용과 자신의 사용공간 확보 및 확장-
비 스런 행동에 한 긴장감-
호기심 흉내 또는 모방적인 행위- ,
자신이 알고 있는 기술력과 정보에 한 과시적 심리-
정보시스템에 해 월등한 최고권한을 갖고자 하는 심리-
금전적 이익을 위한 행위○
금융전산망 해킹과 불법계좌이체 등-
금전적 사주에 의한 정보스파이-
가치 있는 자료를 불법적으로 획득하고자 하는 행위-
부정부주의적 행위○
고의적인 태업을 유도하거나 보복적인 행위- ,
전산망 해킹중독증세로 인한 정신이상성향의 행위-
어떤 신념이나 주의에 의한 파괴적 행위-
국가적인 정보체제에 한 의도적 행위○
경쟁적인 국가에 한 스파이 행위-
경쟁적인 국가에 한 파괴 행위-
해커들의 소속에 따른 불법침입동기와 목적을 표 과 같이 분류하기도 한다[ 11-1] [11].
표 불법침입자의 동기에 의한 분류[ 11-1]
해커 침입자( ) 동기 및 목적
일반해커 개인의 이익이나 탐구심,
내부 불순분자 여러 가지 개인적 집단적 동기/
범죄자 경제적 이익 추구
테러리스트 악의적 그룹/ 그들의 추구하는 이념
기업체 산업 스파이 경쟁 기업 패해,
조직 국가, 스파이 경제적 국익 전쟁 도구, ,
마 해커의 공격결과.
해커의 공격 상에 따라서 공격의 결과도 달라진다 가장 단순한 공격은 단지 접속만 시도.
해보는 것이다 일반적으로 접속의 성공시에는 시스템에 로그가 남지만 실패시에는 시스템.
에 아무런 흔적도 남지 않는다 그러나 침입 상호스트가 나 침입차단시스템. TCPWAPPER
같은 접근통제용 보안도구를 설치했다면 접속실패시의 흔적도 추적할 수 있게 된다 공격의.
상에 따른 공격 결과를 표 와 같이 정리할 수 있다[ 11-2] .
표 공격의 상에 따른 공격 결과[ 11-2]
공격 상 공격결과
데이터데이터가 공격 상일 경우는 자료검색 단순열람 데이터 변조 데이터 삭제, , ,등의 결과를 나타낸다.
서버주요서버인 웹서버 메일서버 서버 등이 공격당할 경우에는 해당서버, , FTP의 기능이 마비된다.
시스템특정 시스템이 공격 상일 경우 해커들은 갖가지 방법으로 관리자의 계정,을 확보한 후 백도어 프로그램을 설치하고 자신의 흔적을 지운 뒤 빠져나간다.
시스템 자원프로세스 파일지시자 파일 시스템 블록 등 시스템자, CPU, (file descriptor),원을 소진하여 해당 자원의 가용도를 떨어뜨린다.
바 해커의 공격방법.
인터넷은 를 기반으로 하여 여러 운 체제를 갖춘 시스템들을 상호 연결해주는 거TCP/IP
통신망이다 그러나 프로토콜은 년 해킹 취약성을 제시한 논문이 발표된 후. TCP/IP 1980
해커들이 즐겨 사용하는 해킹방법의 원천이 되어버렸다 그리고 각종 운 체제 및 응용프로.
그램들의 설계상 구현상의 문제점들이 속속 인터넷을 통해 공개되면서 해킹의 중화가 이,
루어지고 있다 해커들은 현재 인터넷 환경에서 손쉽게 구할 수 있는 여러 취약점들을 침입.
에 이용한다 지금까지 알려진 해킹방법을 략적으로 분류하면 다음과 같다. .
패스워드 크래킹을 이용한 도용ID○
운 체제 버그나 취약점을 이용한 불법 접근과 권한 획득○
응용 프로그램과 라이브러리 취약점 이용 불법접근과 권한 획득○
등의 해킹도구를 이용한 취약점 파악 및 분석ISS, SATAN○
등 해킹지원 스크립트를 이용한 해킹 자동화rookit○
데이터패킷 감청용 스니퍼 도구를 이용한 주요 자료 획득○
메일스팸 메일폭탄 등 전자우편 오남용 관련 침입,○
시스템동작방해를 위한 서비스거부공격○
등 프로토콜관련 취약점을 이용한SMTP, NNTP, TCP, UDP, ICMP, RIP, SNMP X.25○
해킹
위조공격 이나 불법 감청 이 고난도 해킹수법으로 자주 언급되었으나IP (spoofing) (sniffering)
현재는 웹의 사용증가로 자바 나 프로그램 버그 웹 브라우저 등 웹 관련 해킹, ActiveX CGI ,
문제가 자주 발행하고 있으며 시스템에서 발생하는 해킹의 유형으로는 버퍼오버플로우 공격
이 유행을 하고 있다 또한 정보시스템의 보안이 점차 강화됨으로써 직접적으로 침입하.
기 어려워지면서 최근에는 침투하지 않고 정보시스템의 정상적인 서비스를 방해하는 서비스
거부공격이 널리 퍼지고 있는 실정이다.
표 해커의 공격방법 및 책[ 11-3]
공격분류 설명 책
패스워드크래킹
암호화된 패스워드를 유추하는 수법
패스워드* shadow일회용 패스워드*좋은 패스워드 사용*
운 체제취약점
운 체제의 설계 구현상 문제로 인/한 보안 취약점 이용
운 체제 패치 보완버전 설치,
라이브러리취약점
라이브러리내 함수의 설계 구현상/보안 취약점 이용
패치된 라이브러리 설치.
응용 프로그램
취약점
응용 프로그램 설계 구현상의 보안/취약점 이용
응용 프로그램 패치
해킹도구 이용등 해ISS, SATAN, Probe, rookit
킹도구 이용원격지에서의 비정상 접속 모니터링
스니퍼링스니퍼 프로그램으로 상의LAN ID,패스워드 감청
인증기능 강화
메일 폭탄스팸메일
이용 수신자 시스템의 자원Email낭비 정상동작 방해,
메일 필터 설치 운*서버 감시* Email
서비스 거부공격
정보시스템에 직접적으로 침입하지않고 외부에서 정상 동작 방해 공격
완벽한 책은 아직 없으며 일부,탐지 기능 이용 가능SW
프로토콜취약점
프로토콜의 설계 구현상의 문제로/보안취약점이 발생
프로토콜의 재설계가 필요하다* .
사 해커의 공격성향.
부분의 해커들은 자신의 신분을 감추려고 하기 때문에 주로 심야나 새벽시간을 이용하여
해킹하며 자신들의 흔적을 감추기 위하여 해킹에 성공한 뒤에도 시스템 로그파일에서 자신
의 흔적을 지우고 나온다 공격 상 호스트를 불법 접근하여 권한을 행사할 때도 다른 정.
보시스템을 여러 군데 해킹 하여 우회하여 침입하거나 자신의 시스템 인터넷 주소를 속이는
기법 등으로 최 한 사후 추적을 어렵게 한다 년에 체포된 존 미트닉이란 해커는 여러. 1995
개의 핸드폰 번호를 불법적으로 변조 이를 이용하여 무선모뎀을 해킹에 사용하 다 이 해, .
커를 잡기 위해 는 무선추적장치를 동원한 끝에 년 만에 잡을 수 있었다FBI 2 .
이와는 달리 해킹의 흔적을 공개적으로 남기는 경우도 있다 해커들 사이에서 통용되는 가.
명이나 해킹그룹명으로 자신들의 흔적을 공격 상시스템에 남긴다 예를 들어 홈페이지 화.
면 변조나 파일 등의 시스템 및 서버 구성파일 변조 등을 들 수 있다.cshrc, .login, rc* .
외부에서 해커가 공격을 할 경우 상기관의 외부에 설치된 호스트만 공격 상이 되지는 않
는다 해커들은 인터넷의 여러 자원을 통하여 얻은 한 호스트 주소나 전자메일주소를 이. IP
용하여 해당 네트워크 주소를 유추한 뒤 침입 상 전산망 전체 호스트를 분석 점검하여 어
떤 주소가 라우터이고 침입차단시스템인지 일반 호스트인지 웹 서버인지 알아내어 침입IP , ,
을 시도하기도 한다.
제 절 인터넷 정보보호 모델2
인터넷 구성요소의 이해1.
인터넷의 구성요소를 기술적으로 분석하여 취약성 있는 부분을 찾아내고 해커들의 침입을
방지하기 위한 통합적인 해킹방지 및 예방체계인 인터넷 정보보호 모델을 소개하고자 한다.
인터넷은 투명한 통신을 보장한다 통신의 최종 목표 중의 하나가 투명한 통(Transparent) .
신의 보장이라면 현재 인터넷 이외에 이기종간 통신의 문제를 완벽하게 해결해줄 수 있는
전산망은 없을 것이다 이와 같이 투명한 화형의 통신이 보장되는 것은 하나의 장점이지.
만 정보보호의 측면에서 본다면 이는 오히려 큰 문제점을 야기한다, .
일반적으로 인터넷에 접속하려면 다음 그림 곽 같은 연결 방법을 생각할 수 있다 인( 11-1) .
터넷은 투명한 통신이 제공되므로 어떤 기관의 전산망이 인터넷에 직접 연결되어 있다면,
외부 인터넷에서 내부 전산망의 어떠한 호스트에도 직접 연결할 수 있다 이는 인터넷이 가.
진 하나의 장점이지만 해킹 등 외부 인터넷에서의 불법적인 행위의 유입시에는 매우 큰 약
점이 되는 것이다 그림 에서 보듯 인터넷을 사용할 수 있는 불법 침입자들은 라우터. ( 11-1)
로 연결된 기관의 내부 전산망에 있는 어떠한 서브넷 상의 컴퓨터에도 직접 연결을 시도할
수 있는 것이다.
또한 해커들은 부분 자신의 가정에서 다이얼업 통신을 이용하여 망사업자가 제공하는PC
통신서버에 접속하고 망사업자 시스템을 경유하지 않으므로 전화망의 전화번호SLIP, PPP
추적 등의 문제와 연계되어 더욱 해커들에 한 흔적을 추적하기 어려워지고 있다.
그림 인터넷 연결 개념( 11-1)
인터넷 정보보호 모델2. [10]
가 개별 시스템 보호 모델.
기관의 전산망이 인터넷에 연동하게 되면 라우터를 통해 내부의 이 외부의 인터넷과LAN
투명하게 연결된다 결국 외부 인터넷의 어떠한 컴퓨터에서도 내부의 모든 서브넷 컴퓨터에.
쉽게 접근할 수 있음을 의미한다 그러므로 기관의 전산망 내부 모든 컴퓨터는 외부로부터.
의 침입을 막기 위한 보호 책이 요구된다[10].
그림 는 개별 시스템에서 각각 보호 메커니즘을 구현해야 하는 모델을 보여주고 있( 11-2)
다 전체 기관 내부망이 있다면 각각의 모든 서브넷에 연결되어 있는 시스템마다 독자적인.
외부로부터의 접근통제 및 방지기법이 구현되어야 한다.
그림 개별 시스템 정보보호 모델( 11-2)
나 전산망 경계 보호 모델.
그림 의 개별 시스템 보호 모델은 내부 전산망의 모든 컴퓨터에 외부에서의 접근 방( 11-2)
지를 위한 방법들을 구현해야 하는 번거로움이 있다 또한 제한된 인원의 관리자가 모든 컴.
퓨터를 일일이 관리 제어하기에 어려운 점들이 있다 만약 한 서브넷의 하나의 호스트라도.・적절하게 보호되지 못한다면 그로 인해 내부 서브넷 전체가 보안문제에 빠질 수 있다 그러.
므로 보다 효율적으로 외부망으로부터 내부망 전체를 보호하고 접근을 제어하려는 방법이
전산망 경계 보호 모델이라고 볼 수 있다 그림 에서 경계 보호 모델을 보여주고 있. ( 11-3)
다 이 모델은 바로 전산망 침입차단시스템이나 라우터 등에서 제공하는 외부망과의 불법.
차단 필터링 및 사용자 인증 개념으로 이해하면 된다.
침입차단시스템으로 내부 전산망이 외부 인터넷에 노출되는 것을 막는 가장 효과적인 방법
으로써 그림 의 경계 보호 모델이라고 할 수 있다 하지만 아무리 우수하고 값비싼( 11-4) .
침입차단시스템을 설치하더라도 적절한 망설계와 구성 관리가 제공되지 않는다면 얼마든지,
침입 당할 수 있으며 침입차단시스템에서의 전산망 해킹 사례도 이미 보고되어 있다.
그림 전산망 경계 보호 모델( 11-3)
다음 그림 를 권고 모델로서 제시하고자 한다 이는 인터넷의 정보보호의 종합적인( 11-4) .
모델로서 개별 시스템 보호 모델과 경계 보호 모델로 구성되어 있다.
외부 인터넷에서의 접근통제를 위해서는 침입차단시스템과 라우터를 이용하는 모델을 이용
하는 것이 가장 효과적이라고 볼 수 있다 먼저 라우터에서는 외부로부터의 접속에 해. IP
주소 에 의한 호스트 및 네트워크의 접근을 차단할 수 있다(IP Address) .
보안 게이트웨이에서는 라우터에서 불충분한 침입차단시스템 기능을 제공하게 된다 라우터.
에서 걸러내지 못한 불법 트래픽에 해 인증 과 감사추적(Authentication) (Auditing,
을 제공할 수 있으며 허용한 네트워크 응용에 해 원하는 내부의 목적지 컴퓨터Logging)
까지 중계해주는 프락시 기능을 제공한다 보통 판매되는 침입차단시스템 제품들은(Proxy) .
이 게이트웨이에서 제공하는 침입차단시스템과 이 게이트웨이 침입차단시스템을 함께 구현
하는 경우도 있다.
다음 단계에서는 서브넷 상에서 존재하는 각각의 개별 컴퓨터들의 보안을 위해 각 시스템별
접근통제 강화와 시스템 보안 강화를 의미한다.
외부 인터넷에서 들어오는 단계별로 각각 보안 구현(a)
라우터는 필터링 접근 제어(b)
게이트웨이는 응용 보안 시스템 차원의 보안 서비스(c) ,
호스트에서는 시스템 보안 및 접근 제어 보안(d)
응용 보안은 각 엔드 사용자간의 특정적 보안(e)
그림 인터넷 정보보호 권고 모델( 11-4) -
라우터 및 보안 게이트웨이에서의 보안기능이 외부의 불법접근을 충분하게 차단할 수만 있
다면 문제는 없겠지만 언제나 완벽한 보안기능을 제공하는 침입차단시스템은 존재하지 않,
는다는 가정 하에서 내부망 각각의 호스트에서도 접근통제 기능은 따로 제공하는 것이 바람
직하며 시스템 내부의 운 체제 및 응용 프로그램의 문제가 있을 경우 모두 패치하고 주요
시스템 파일들의 보안성 검토도 이루어져야 한다.
마지막으로 응용 프로그램 보안에서는 전자우편 보안서비스를 제공할 수 있는 방법이나 보
안기능이 제공된 서비스 등을 의미하며 이것은 각 사용자들의 전산TELNET, FTP, WWW
망 응용 보안 서비스를 제공하는 측면이라고 보겠다.
하지만 위의 제시는 가장 일반적인 모델일 뿐이고 실제 보안환경 구축시에는 관련 전문기관
과 협의하여 비용과 보안 정도 등 여러 보안관련 요인을 놓고 종합적인 보안 컨설팅을 거친
후 간단하게 보안도구나 침입차단시스템을 설치할 것인지 아니면 중 중의 보호망을 구축, 2 3
하여 보안을 강화할 것인지를 결정해야 할 것이다.
시스템 보호3. UNIX
상기 모델에서는 침입차단시스템 관련 내용은 다른 장에서 다루어질 것이므로 여기서는 내
부 시스템들 중에서 부분을 차지하고 있는 시스템을 어떻게 보호해야 할 것인가에UNIX
해서 알아본다[11].
가 계정 및 패스워드 보호.
해커들은 계정과 패스워드만 알아낸다면 원하는 시스템에 접근할 수 있으며 이후에는 시스
템 관리자의 권한을 얻으려고 한다 그러므로 계정과 패스워드 시스템의 보호가 매우 중요.
한 데 쉬우면서도 가장 관리가 소홀하다고 볼 수 있다 패스워드 및 계정 보안정책에 따라, .
패스워드의 길이 패스워드의 구성요건 등을 지정하고 계정을 타인에게 이양하는 것을 금지, ,
한다고 하여도 사용자의 보안에 한 인식이 제고되지 않고는 어려우므로 사용자들에 한
정기적인 교육과 지침 시달이 필요할 것이다 사실은 그렇게 하더라도 항상 문제는 발생할.
소지가 있으므로 이를 지원하는 도구를 설치하여 정기적으로 체크하고 불법 침입 흔적이 없
는지 감시하여야 한다 사용하지 않는 계정은 폐쇄시켜야 한다 오랫동안 사용하지 않는 계. .
정은 항상 해커들의 표적이 되므로 계정의 발급과 중단 폐쇄에 한 정책을 세우고 항상,
이를 지키도록 하며 각 사용자들의 계정 사용을 모니터링 하는 것이 필요하다 패스워드에, .
해서는 사용자들의 패스워드 선정 기준을 만들고 패스워드의 주기적 교체에 한 정책을,
세우고 실행한다.
나 파일시스템 보호.
유닉스 파일시스템의 보호는 다음과 같은 입장에서 매우 중요하다.
여러 사용자간 파일 접근통제의 필요성○
트로이 목마 등 불법 파일 시스템 작성 및 실행 여부의 점검○
시스템 중요 제어 파일이나 프로그램의 변조 유무의 점검○
침입자가 어떠한 경로로 시스템에 침입하 다 하더라도 미래의 침입을 위해서 뒷문(Back
프로그램을 만들기도 하며 혹은 후에 또 다른 호스트의 접근을 위해 또는 현재 시Door) , ,
스템에서 관리자의 권한을 얻기 위해 파일시스템에 흔적을 남긴다 파일 시스템의 불법적인.
프로그램 설치 유무 통제 권한의 변경이나 취약한 부분 등은 같은 보, tiger, cops, tripwire
안도구를 이용하여 점검할 수 있다.
다 시스템 보안관리 지침. UNIX
각종 시스템파일과 주요 서버 구성 파일 시동파일들의 보안 허점을 점검하고 보안 취약성,
이 알려진 주요 서버나 프로그램 라이브러리의 패치가 이루어져 있는지 점검하며 네트워크,
관련 취약점들에 해서 안전한지 점검한다 일반적인 점검사항을 정리하면 다음과 같다. .
관리자는 일반사용자로 로그인하고 절 경로의 를 이용하여 작업을 수행하여/bin/su root○
백도어 프로그램에 유의한다su .
수시로 프로세스 수정 여부와 파일 등 주요 시스템 실행파일의 변경 유무init /bin/login○
를 점검한다.
등의 기동 파일이나 같은 주요 시스템파일/etc/rc, .cshrc, .login, .profile /etc/inetd.conf○
에 변경된 내용이 있는지의 여부를 조사하여 트로이 목마 프로그램의 설치여부를 점검한다.
일반사용자의 트로이 목마 방지를 위해 로서 결코 다른 사용자의 프로그램을 실행하root○
지 말아야 한다.
사용자 쉘 상태에서는 결코 자리를 뜨지 말아야 한다root .○
관리자는 패스워드 선택 기준에 맞추어 패스워드를 자주 바꾸고 타인에게 알려주거나 보○
여주지 말아야 한다.
외부에서 로 접근 가능한 마운트가 이루어지지 않도록 막아야 한다root NFS .○
파일에 불법적인 신뢰 호스트를 정의할 수 있으므로 사.netrc, .rhosts, /ect/hosts.equiv○
용하지 않도록 한다.
는 자체 로그를 관리 생성하도록 하고 외부에서 접근 가능한 디렉토리의 접근모드FTP○ ・를 항상 읽기 전용 으로 조정한다(Read Only) .
전자우편 시스템의 은 인터넷 웜 에서 이용되는 등 지속적인 보sendmail (Internet Worm)○
안문제를 가지고 있으므로 최신 버전으로 교체 운 한다.
안전한 단말기 지정을 방지하기 위해 파일에서 를 제(Secure Terminal) /etc/ttytab root○
외하고는 모든 의 를 지우고 다음을 실행한다tty secure .
의 파일에서 다음 항목을 분석한다UNIX log .○
비정상적인 시간 의 접근-
이 많은 경우- Failed Login
의심스러운 명령- su
외부 시스템으로부터의 접근-
제 절 침해사고시 응방안3
침해사고시 처리절차1.
가 침입자의 발견과 주의사항. [11]
현재 침입을 당하고 있다는 것을 알았을 때 혹은 침입의 흔적을 발견했을 때 일반적으로, ,
시스템 관리자는 어떻게 해야할지를 몰라 당황하게 된다 따라서 이러한 경우를 미리 비.
하는 절차를 정책으로 세워두는 것이 필요하다 침입자는 다음과 같은 형태를 통해 발견될.
수 있다.
관리자가 침입자의 활동을 직접 모니터링 한다.○
등의 시스템 파일이나 주요 명령들이 변경된/etc/passwd, /etc/shadow, /etc/inetd.conf○
것을 확인한다.
다른 지역의 관리자로부터 통지받는다.○
관리자가 시스템 모니터링시 다음과 같은 시스템의 비정상적인 활동이나 현상을 파악하는,
것이 중요하다.
한 사용자가 둘 이상 로그인하고 있다.○
일반 사용자가 컴파일러 디버거를 사용한다, .○
네트워크에 로드를 걸고 이상한 프로그램을 실행한다.○
한 사용자가 많은 외부 접속을 시도하고 있다.○
일반 모뎀 사용자가 아닌데 모뎀으로 로그인하고 있다.○
관리자가 아닌데 관리자로 명령어를 사용한다.○
휴가이거나 근무시간이 아닌데 시스템을 사용한다.○
나 침입자의 처리.
침입자를 발견한 후 관리자의 조치는 상황을 보며 판단하는 것이 좋은 데 다음은 일반적으,
로 취할 수 있는 방법들을 열거한 것이다.
무시한다 관리자가 보안에 관심이 없는 경우나 해킹을 당해도 무방한 경우에 해당된다: .○
화한다 등으로 적절하게 추적할 시간을 벌며 침입자의 의도를 파악: talk(1), write(1)○
하려는 방법이다.
접속을 추적한다 침입자를 실제 잡으려는 시도인데 네트워크로 접속한 경우에는 화: ,○
하며 역추적할 충분한 시간을 벌어야 한다 물리적 단말기일 경우 즉시 단말실에서 확인한.
다 그리고 추적을 드러내놓지 않기 위해 역추적을 하면서 침입자의 컴퓨터에 을 보. mail(1)
내거나 을 시도하지 않는다talk(1) .
접속을 끊는다 프로세스를 죽이거나 네트워크 연결을 끊거나 혹은 전원을 중단한다: , , .○
이 경우 관리자의 선택은 둘 중의 하나이다 그 침입자가 다시 침입하더라도 막아낼 자신이.
있거나 혹은 침입자가 이용한 불법 침입 방법을 봉쇄하 거나 그 침입자의 신원을 밝힌 경
우와 그렇지 못했다 하더라도 침입자를 빨리 몰아내고 침입자의 불법행위를 처리한 다음,
빨리 정상적인 서비스를 해야 하는 경우이다.
여기에서 네트워크를 통해 들어온 침입자를 추적하려 한다면 우선 그 침입자가 사용하는,
터미널을 파악하기 위해 등을 이용하면 된다 만약 지역 터미w(1), ps(1), who(1), finger(1) .
널 이라면 등으로 표시되며 네트워크를 경유한 가상단(Real Terminal) tty01, 01, ttya, tty4a ,
말기는 등이 포함된 등으로 나타난다p, q, r ttyp1 .
다 시스템 복구 및 정상화.
침입자를 몰아내고 여러 분석을 마친 후 침입자가 만들어 둔 여러 가지 불법 작업들을 정리
해야 하는데 특히 침입자가 주로 하는 일은 다음과 같다, .
새로운 계정의 생성○
현재 계정의 패스워드를 교체○
주요 시스템파일의 접근 모드를 변경○
백도어 프로그램을 생성SUID, SGID○
시스템 프로그램을 교체 또는 수정○
먼저 새로운 계정을 만든 경우에는 파일을 원래 로 복구해야 한다 특히/etc/passwd . UID
가 인 경우 패스워드가 없는 경우 등을 검사한다 그리고 침입자들이 만들어 둔 불법 바이0 , .
러스 프로그램 등을 없애기 위해 프로그램 등을 색출하고 파일과 디렉토리 등SUID, SGID
의 권한 모드의 변경 유무 체크 백업과 비교하여 무결성 체크를 시도한다 특히, (Integrity) .
와 같은/.rhosts, /etc/hosts.equiv, /etc/netgroups /etc/exports, /etc/inetd.conf, /etc/passwd
시스템 주요파일이나 등의 기동파일 아래의 실행파일에/etc/rc, .login, .cshrc , /bin, /usr/bin
한 조작이 있는지 필히 검사한다.
제 절 요약4
주로 인터넷 해킹을 중심으로 해커와 해커들의 여러 가지 특성을 알아보고 그들로 인한 공
격들의 략적인 책을 알아보았다 그리고 인터넷 정보보호 모델을 제시함으로서 인터넷.
보안의 전체적인 이해를 도울 수 있게 하 다 마지막으로 실제로 일어나는 해킹 사건 사고. ,
시 시스템관리자가 침입자를 발견 처리 조치하고 시스템을 정상화시키는 방법에 해 략・적으로 살펴보았다 결론적으로 현 인터넷상에서 완벽한 보안 책은 없으며 관리자가 철저.
한 백업과 인터넷 보안에 한 관심을 가지고 지속적으로 기술적 관리적인 책을 수립하,
고 추진한다면 해킹의 위협은 그리 심각한 결과를 초래하리라고는 보지 않는다.
참고 문헌
경찰청 해킹방지기법[1] , , 1996. 7.
한국전산원 국가기간전산망 보안침해사고 응체계 구축보고서[2] , , 1995.12.
한국정보보호센터 정보시스템 해킹 현황 및 응[3] , , 1996.11.
노정석 김휘강 조용상 최재철 해킹의 최신 형태와 방지 테크닉 월간 인터넷[4] , , , , “ ”, , 1996.
이석찬 외 인터넷 침입 수법과 응 방안 특강 자료집[5] , “ ”, NETSEC-KR96 , KUS,
PLUS, 1995.
임채호 외 관리자를 위한 인터네트 보안지침서 시스템 공학연구소[6] , Version 1.4, , 1995.
김희상 장환용 김 민 해커들의 해킹 기법 연암출판사[7] , , , , , 1993.
오 희 외[8] , Security+ for UNIX, PLUS, 1995.
이서로 외 파워 해킹 테크닉 파워북[9] , , , 1995.
임채호 해킹 수법 현황 및 방지 책 정보보호심포지움[10] , “ ”, ‘96
시스템공학연구소 관리자를 위한 인터네트 보안지침서[11] , “ ” Ver. 1.1 - 1.4, 1995
한국정보보호센터 정보보호현황[12] , , 1996.10
이희조 임채호 인터네트 유닉스 보안[13] , , “ / ”, NETSEC-KR '95, 1995.6
[14] "The Cuckoo's egg", Clifford Stoll, 1989, DOUBLEDAY
[15] GAO, "Virus Highlights Need for improved Internet Management", IMTEC-89-57,
Jun. 1989.
[16] Russell L. Brand, coping with the Threat of Computer Security Incidents : A
Primer from Prevention through Recovery", CERT/CC, CMU, PA. CERT V0.6. Jun. 1990.
[17] Danny Smith, "Forming an Incident Response Team", AUSCERT, Univ. of
Queensland. Brisbane, QLd. - Jul. 1994.
[18] John P. Wack, "Establishing a Computer Security Incident Response
Capability(CSIRC)", NIST, NIST, Md. - NIST Special Publication 800 3, Nov. 1991.~
[19] "Computer Emergency Response Team System (CERT System): Operational
Framework" Members of the CERT System. - Nov. 16, 1990.
[20] "The CERT Coordination Center FAQ", CERT/CC, CMU, Revision 7. - January
1993.
[21] "DARPA establishes Computer Emergency Response Team" DARP, Dec., 1988.
[22] "Forum of Incident Response and Security Teams (FIRST) Operational Framework",
FIRST, Sep. 1992.
[23] E. Eugene Schultz Jr., David S. Brown and Thomas A. Longstaff, "Responding to
Computer Security Incidents", CIAC, LLNL, CA. Jul. 1990.
[24] E. Eugene Schultz Jr. " The Computer Emergency Response Team System
CERT-SYSTEM", CIAC, LLNL, CA. Oct, 1991.
[25] G. S. Stewart and D. Sylvester, "Potential Liabilities Of Computer Security
Response Centers Arising From Notification To Publishers And Users Of Security
Deficiencies In Software", Dec. 1989.
[26] B. Y. Fraser and R. D. Pethia, "The CERT/CC Experience: Past, Present, and
Future" CERT/CC, INET '92. - Kobe, Japan. - June 15-18, 1992. - p. 203-208.
[27] P. Holbrook (CICNet, US) and J. Reynolds (ISI, US), "Site Security Handbook",
RFC1244, FY18. Jul. 1991.
[28] CEC, "Incident Reporting - A European Structure: Database Structures" Commission
제of the European Communities (CEC/DGX111-B). - Report No. 19733(S2003/ 08). - Oct.
1992.
[29] "IT Security Incident Analysis Services (IAS)" International Organization for
Standardization ISO/IEC JTCI/SC27/WG1. SC27/N882, SC27/WG1/N457Rev. May 1994.
[30] E. Eugene Schultz Jr., Richard D. Pethia, J. R. Dalton, "Computer Emergency
Response Teams : Lesson Learned", CIAC, CERT/CC, AT&T, 13th NCSC, Md. NIST,
1990.
[31] http://www.cert-kr.or.kr.
[32] Katherin T. Fthen, "Future of Incident Response" 8th FIRST workshop, July 1996.
[33] Gafinkel & Spafford, "Practical UNIX and Internet Security", 1996, O'Reilly
Association.
[34] RAND, "Emerging Challenge: Security and Safety in Cyberspace", IEEE Technology
and Society Megazine, Vol.14 No.4., 1996.
[35] Marcus J. Ranum, A Taxonomy of Internet Attacks : What You Can Expect, IWI,
1995.
제 장 침입차단시스템12
제 절 침입차단시스템 개요1 (Firewall)
기본 개념1.
침입차단시스템이란 건물에 화재가 발생할 경우 더 이상 화재가 주변으로 번지는 것을 막,
기 위하여 주변과의 모든 연결 경로를 차단하는 방화벽이란 단어에서 기인한 것으로 컴퓨터
통신망에 적용되면 이는 컴퓨터 통신망의 보안 사고나 문제가 더 이상 주변 혹은 내부로 확
되는 것을 막기 위해 내부망과 외부망 사이에서 망가 정보의 흐름을 안전하게 통제하는
시스템을 말한다.
침입차단시스템의 주요 목적은 외부 네트워크로부터 내부 네트워크를 보호하는 것이다 외.
부 네트워크는 신뢰할 수 없으며 보안 침해의 원천이 될 수 있다 내부 네트워크의 보호는, .
허가되지 않은 사용자가 내부 네트워크의 정보에 접근하는 것을 방지하고 허가된 사용자들,
이 방해를 받지 않고 네트워크 자원에 접근할 수 있도록 하는 것이다 일반적으로 침입차단.
시스템이란 네트워크를 보호하기 위한 다양한 보안 장치의 구조와 보안기능을 포괄적으로
나타내는 용어로 사용되며 경우에 따라서는 하드웨어 암호화 장치나 스크린 라우터 응용, ,
게이트웨이 등과 같은 네트워크 보안장치만을 나타내는 용어로 사용되기도 한다.
침입차단시스템은 활성화된 인터넷 서비스를 접속함과 동시에 내부망의 보안 수준을 현저하
게 향상시킬 수 있다 본 장에서는 침입차단시스템의 기능과 특성 보안 위협 요소를 방어하. ,
는 방법 침입차단시스템이 방어할 수 없는 것 그리고 침입차단시스템의 구성요소에 하여, ,
서술한다.
침입차단시스템의 필요성2.
를 이용한 인터넷 환경의 급속한 보급으로 시간과 장소에 제약을 받지 않고 각종 정TCP/IP
보를 공유할 수 있는 사이버스페이스 환경에서 각종 통신망이 네트워크를 형성하여 전 세계
가 하나로 상호 연결되어 있다 또한 인터넷망의 확장과 더불어 사용자는 인터넷에 접속하.
여 다양한 형태의 정보 및 여러 가지의 통신 서비스 등을 쉽게 제공받고 있지만 반면에 인
터넷을 통해 불법 사용자 및 해커의 침입 등으로 정보의 손실 파괴 변조 등에 의한 피해가, ,
늘고 있다.
이러한 문제점을 해결하기 위해서 내부망의 여러 시스템에 일괄적인 보안 책을 적용하여
내부망상의 시스템을 외부망으로부터 안전하게 보호하기 위한 네트워크 구성 요소로써 침입
차단시스템이 필요하다.
침입차단시스템은 보안정책을 실현하는데 도움을 주며 하나 이상의 호스트 시스템과 라우,
터 강한 인증 서비스에 한 정의 허가된 서비스에 한 접속 정책 등의 여러 가지 보안, , ,
기능들로 이루어지며 네트워크 구성에 관한 보안 정책을 실현한다 침입차단시스템의 주요, .
기능은 네트워크에 한 접속 제어나 외부 네트워크로부터의 보호이다 보편적으로 침입차.
단시스템은 하드웨어나 소프트웨어 또는 하드웨어와 소프트웨어의 통합으로 구현되어 있다.
침입차단시스템이 없는 상태에서 네트워크 보안은 호스트의 보안에 절 적으로 의존한다.
따라서 모든 호스트는 동시에 동일한 수준의 높은 보안을 유지하여야 한다 모든 호스트에.
동일한 수준의 보안을 유지하는 것은 매우 어려우며 인력과 시간이 많이 소모되는 작업이,
다 보안 설계상의 작은 실수나 부적절한 패스워드와 같은 일반적인 오류가 외부 공격에 쉽.
게 노출될 수 있다 침입차단시스템을 이용한 네트워크 보안은 호스트의 전체적인 보안을.
동시에 강화시켜 주는 많은 장점이 있으며 보안 통제가 한 곳에서 가능하므로 보안 정책을,
효율적으로 시행할 수 있게 된다.
제 절 침입차단시스템의 특질2
침입차단시스템의 기능1.
가 내부망에 한 접근통제 기능.
침입차단시스템은 내부 네트워크에 한 접근통제 기능을 제공한다 메일 서버나 공개 정보.
서버와 같은 특정 호스트를 제외하고는 외부에서 내부망에 접속하는 것을 통제하는 기능이
있어야 한다.
이러한 접근통제는 패킷 필터링 규칙에 의해 가능하다 접속 통제를 위한 규칙을 설정하여.
외부망에서 내부망으로 들어오는 패킷의 주소나 혹은 서비스 포트 번호 등을 분석한 후IP
접속 허용 여부를 결정하게 된다 내부망에서 외부망으로 나가는 패킷에 해서도 동일한.
원리로 접근통제를 실시할 수 있다 일반적으로 내부망의 보안성과 인터넷 서비스의 원활한.
사용을 위해서는 내부에서 외부로 나가는 패킷보다 외부에서 내부로 들어오는 패킷에 해
서는 접근통제를 강화하여야 한다 따라서 내부에서 외부로 나가는 패킷과 외부에서 내부로.
들어오는 패킷에는 서로 다른 패킷 필터링 규칙이 적용되어야 한다.
나 사용자 신분확인 기능.
침입차단시스템은 내부망 호스트 접속시 모두 이곳을 통과하기 때문에 강력한 인증 소프트
웨어나 하드웨어를 설치하기에 적합한 장소이므로 침입차단시스템을 통하여 내 외부망에・한 접속을 시도하는 사용자의 신분을 증명하는 기능이 요구된다.
사용자가 자신의 패스워드를 사용하는데 신중을 기하더라도 네트워크상에서 패스워드가 평
문 그 로 전송되기 때문에 침입자들이 사용자의 패스워드를 모니터링 할 위협은 항상 존재
한다.
또한 패스워드는 재사용 하는 전통적인 패스워드 시스템의 취약점을 방지하기 위하여 스마
트 카드나 일회용 패스워드 인증 토큰 생체특성 등의 강력한 인증 기법 등이 제시되고 있, ,
다 인증기법을 강화함에 따라 동일한 패스워드의 재사용을 막을 수 있으며 침입자에게 패. ,
스워드가 노출되는 위험을 막을 수 있다 또한 패스워드가 노출된다 하더라도 재사용이 불.
가능하기 때문에 위험이 감소된다.
신분확인 기능은 사용자에 한 식별 과정과 이를 검증하는 인증 과정으로 이루어진다.
다 감사 추적 및 보안 관리 기능.
내부망과 외부망의 모든 접속이 침입차단시스템을 통하여 이루어진다면 침입차단시스템은
접속 정보와 네트워크 사용에 따른 유용한 통계정보들을 제공할 수 있는 감사 추적 기능이
필수적이다 보안관리란 인가된 관리자만이 수행하는 보안기능과 보안관련 데이터 예 인증. ( ,
필터링 규칙 로그 등 에 한 안전한 관리기능으로 침입차단시스템의 보안관련 데이터DB, , )
및 보안기능을 안전하게 유지하기 위하여 필요한 기능을 말한다.
감사 추적 기능은 침입차단시스템을 통하여 이루어지는 사용자의 보안 관련 활동 및 사건을
기록 조사 검토하는 기능으로 침입차단시스템에 한 허가 뿐 아니라 허가되지 않은 접근, ,
이나 공격에 한 정보도 로그 파일에 기록해 두어야 한다 또한 의심스러운 사항이나 명백.
한 침입 사실이 확인될 경우 이에 한 자세한 정보를 관리자에게 알리거나 경보음을 울릴,
수 있는 기능을 제공하도록 구현될 수도 있다 이러한 기능은 감사기록 상사건 감사기록. ,
파일의 관리 보안위반활동 처리 등에 한 구성 요소들로 이루어지며 사용자 신분 설정 변,
경 및 삭제 접속 규칙 목록 설정 및 변경 등을 관리자만이 수행할 수 있도록 한다, .
네트워크 사용 통계정보와 침입에 한 증거를 모으는 것은 몇 가지 이유 때문에 매우 중요
하다.
가장 중요한 것은 침입차단시스템이 네트워크 침입자의 공격에 잘 견디어 내는지의 여부와
침입차단시스템이 허가되지 않은 접근을 적절히 통제하는가에 한 분석 자료로 활용할 수
있다는 점이다 또한 네트워크 사용통계 및 취약성 분석을 위한 자료로도 활용할 수 있다. .
라 비 성 및 무결성 기능.
침입차단시스템은 또한 중요한 트래픽에 한 비 성과 무결성 기능을 제공할 수 있다 비.
성 기능은 전송되는 데이터가 인가되지 않은 사용자에게 노출되었을 경우 노출된 데이터,
를 통하여 정보가 누출되는 것을 방지하기 위한 기능이다 무결성 기능은 침입차단시스템의.
중요한 데이터에 하여 인가되지 않은 변경이 발생할 경우와 침입차단시스템을 통하여 전
송되는 데이터의 변경에 하여 확인하는 기능이다.
일반적으로 트래픽의 암호화는 네트워크 프로토콜의 각 계층에서 가능하다 비 성 기능의.
장점은 트래픽을 보호하기 위한 다른 보안 기능과는 달리 데이터가 비록 외부 침입자에게
노출되어도 의미를 알 수 없으므로 비 성이 보장된다는 점이다 비 성 기능은 하드웨어나.
소프트웨어에 의해 제공될 수 있다.
하드웨어 형태의 암호화 도구는 소프트웨어보다 빠르게 데이터를 암호 복호화할 수 있다는/
장점이 있으며 침입차단시스템과 침입차단시스템간의 암호화 채널(Virtual Private
을 설정하여 비 성 기능을 구현하고 있다Network) .
침입차단시스템의 역할2.
가 프라이버시 보호.
특정 사이트에서는 일반적인 정보가 공격자에게 유용한 정보가 될 수 있기 때문에 프라이버
시가 큰 관심사항이다 침입차단시스템을 사용하는 일부 사이트들은 핑거 와 도메인. (finger)
서비스와 같은 블록 서비스들을 원한다.
핑거는 사용자가 전자우편 등 최종 로그인 시간을 표시하는 것과 같이 사용자에 한 정보
를 표시한다 그러나 핑거는 시스템에 사용자가 연결되어 사용중일 경우 사용자가 얼마나. ,
자주 시스템에 접속하는지에 관한 정보 등을 제공한다.
침입차단시스템은 사이트 시스템에 하여 블록 정보를 사용DNS(Domain Name System)
할 수 있으므로 사이트 이름과 주소는 인터넷 호스트에게 유용하지 못하다 일부 사이트IP .
는 이러한 정보를 막아버리거나 공격자에게 유용한 다른 정보들을 숨기기도 한다, .
나 서비스의 취약점 보호.
침입차단시스템은 네트워크 보안을 혁신적으로 개선하여 안전하지 못한 서비스를 필터링 함
으로써 내부망의 호스트가 가지는 취약점을 감소시켜준다 그 결과 선택된 프로토콜만 침입.
차단시스템을 통과할 수 있으므로 내부망은 적정 수준 이하로 위험을 줄일 수 있다 외부의.
공격자에 의한 부당한 서비스를 막을 수 있는 동시에 서비스가 부당하게 사용될 위험을 상
당히 줄일 수 있는 이점이 있다.
다 보안 기능의 집중화.
추가되거나 개조된 보안 소프트웨어가 많은 호스트에 분산되어 탐재되어 있는 것보다 침입
차단시스템에 집중적으로 탑재되어 있는 것이 조직의 관점에서는 더 경제적이다 특히. one
시스템과 인증 소프트웨어는 외부망에서 접속이 가능한 각 시스템보다는 침time password
입차단시스템에 설치되어 있어야 한다 네트워크 보안을 위한 또 다른 방법은 호스트에 보.
안 기능을 강화하는 것이다 이러한 방법은 특정한 상황에서는 침입차단시스템보다 효과적.
인 방법이 될 수 있으나 침입차단시스템의 경우 소프트웨어만 추가함으로써 원하는 기능을, ,
간단히 실현할 수 있으므로 더 효과적일 수 있다.
침입차단시스템의 문제점3.
침입차단시스템을 사용함으로써 이득이 있는 반면 몇 가지의 불이익도 있으며 침입차단시, ,
스템에서 방어하지 못하는 위협도 존재한다 침입차단시스템이 인터넷에서의 모든 보안 문.
제를 해결할 수 있는 것은 아니다.
가 제한된 서비스.
침입차단시스템의 단점으로 가장 명확한 것은 Telnet, FTP(File Transfer Protocol), X
등 사용자가 자주 사용하는 특정 서비스들에 하여 장애물이 된다는 것이Windows, NFS
다 그러나 이러한 단점이 침입차단시스템에만 적용되는 것은 아니다 각 사이트의 보안 정. .
책에 따라 네트워크 접속이 호스트에서 통제될 수도 있다 보안 요구사항과 사용자 요구사.
항을 적절히 만족시켜 주는 잘 설계된 보안정책은 서비스에 한 이러한 장애를 완화시켜
줄 수 있다.
나 백 도어 위협.
침입차단시스템은 백 도어를 통해 내부망으로 들어오는 것을 방어하지 못한다 예를 들어.
침입차단시스템으로 보호하고 있는 내부망에 모뎀을 통해 접속이 가능하다면 공격자는 침입
차단시스템을 우회할 수 있다 모뎀 속도는 현재 과 를 실행시킬 수 있을 정도로. SLIP PPP
빨라졌다 내부망에 이나 를 이용한 접속은 다른 네트워크로의 연결을 가능케 하며. SLIP PPP
잠재적인 백 도어가 될 수 있다 따라서 허가되지 않은 모뎀 접속을 정책적으로 제한하여야.
한다.
다 내부 사용자에 의한 보안 침해.
침입차단시스템은 일반적으로 내부 사용자에 의한 보안 침해를 방어할 수는 없다 침입차단.
시스템은 외부망에서 들어오는 사용자의 접근을 통제하도록 설계되어 있지만 내부 사용자가
데이터를 불법으로 복사하거나 다른 장소로 빼내는 것을 방어하지는 못한다 따라서 침입차.
단시스템이 내부 사용자에 의한 보안 침해나 침입차단시스템을 경유하지 않은 내부자 공격,
에 해서는 다른 보안 응책이 있어야 한다.
라 기타 문제점.
기타 침입차단시스템의 문제점은 아래와 같다.
새로운 형태의 서비스는 기존의 침입차단시스템에 적용하기가 어렵다.○
상이나 음성 정보의 전송을 위한 멀티캐스트 들은MBONE(Multicase Backbone) : IP○
일반적으로 침입차단시스템에서 적절히 필터링 되지 않고 전송된다 패킷에 외부 침입자의.
접근을 허용하는 명령어가 포함되어 있을 경우 은 잠재적인 위협요소가 될 수 있, MBONE
다.
바이러스 침입차단시스템은 내부 사용자가 바이러스에 감염된 프로그램을 인터넷으로:○
부터 다운로드받거나 전자우편 으로 전송하는 것을 막지 못한다 이러한 프로그램들, (e-mail) .
은 여러 가지 방법으로 압축되어 있거나 인코딩 되어 있기 때문에 침입차단시스템에서 바이
러스를 검색하지 못한다 바이러스 문제는 백신 프로그램이나 다른 보안 정책에 의해 해결.
되어야 한다.
데이터 처리 모든 접속이 침입차단시스템을 경유하여 이루어지므로 침입차단시스템에:○
서 병목 현상이 발생할 수 있다 예를 들어 침입차단시스템이 으로 연결되어 있다면. T1 T1
이하의 속도로만 트래픽을 처리할 수 있다.
보안 기능의 집중화 침입차단시스템에는 모든 보안 기능이 집중되어 있다 따라서 침입: .○
차단시스템의 붕괴는 모든 내부망에 심각한 보안 침해를 초래할 수 있다.
보안 정책의 실현4.
침입차단시스템은 네트워크 접속 정책을 수행하고 강화하는 도구로 사용된다 그 결과 침입.
차단시스템은 사용자나 서비스에 한 접근통제 기능을 제공한다 따라서 접근통제 정책은.
침입차단시스템에 의해 강화되어지고 있는데 반하여 침입차단시스템이 설치되어 있지 않은
경우에는 완전히 사용자간의 협력에 의존하게 된다.
가 네트워크 정책.
침입차단시스템의 설계 설치 그리고 사용에 직접적으로 향을 주는 망 보안정책은 두 가,
지 등급으로 분류된다 상위 등급의 정책은 내부망에서 제공되는 서비스의 허용 여부를 정.
의하는 망접속정책이며 낮은 등급의 정책은 침입차단시스템이 실제적으로 어떻게 접속을,
제한하고 정책에서 정의된 서비스를 필터링 하는가를 기술한다.
네트워크 접근 정책1)
서비스 접근 정책은 다이얼 인 정책 과 를 이용한 외부망 접속 서비스 정책에 초, SLIP PPP
점을 두고 있다 이 정책은 조직 전체의 정보보호정책으로 확장되어야 한다 침입차단시스템. .
이 성공적으로 구현되기 위해서는 서비스 접근 정책이 실질적이고 완벽하여야 하며 침입차
단시스템이 설치되기 전에 수립되어야 한다 실제적인 정책은 사용자가 망의 자원에 접근할.
때 이미 알려진 위험으로부터 내부망을 적절히 보호할 수 있어야 한다, .
침입차단시스템은 외부망으로부터의 접근은 모두 통제하고 내부망에서 외부로의 접근은 모
두 허용하는 전형적인 정책들을 구현할 수도 있으며 정보 서버나 메일서버와 같은 특정 호,
스트에 해서만 외부망으로부터의 접근을 허용하는 정책을 구현할 수도 있으며 특정 외부,
망 사용자에 해 특정 내부망 호스트에 접근을 허가할 수도 있다 이러한 접속은 강력한.
인증 기능이 갖추어진 후에 구현되어야 한다.
침입차단시스템 설계 정책2)
침입차단시스템 설계 정책은 침입차단시스템에 한정된다 설계 정책에서 서비스 접근 정책.
을 실현하기 위한 규칙을 정의한다 침입차단시스템의 기능과 한계 와 관련된 위협. , TCP/IP
과 취약성을 알지 못하고는 이러한 정책을 설계할 수 없다 침입차단시스템은 두 가지의 기.
본적인 설계 정책 중 한 가지를 적용한다.
거부되지 않은 모든 서비스는 허가한다.○
허가되지 않은 모든 서비스는 거부한다.○
첫 번째 정책을 실현한 침입차단시스템은 기본적으로 서비스 접근 정책에 의해 허가되지 않
는 서비스를 제외하고는 모든 서비스에 한 접근을 허용한다 두 번째는 허가된 서비스는.
통과시키고 그 외에 모든 서비스는 기본적으로 거부한다 두 번째 정책은 정보보호의 모든.
역에서 사용하는 고전적인 접근 모델이다.
첫 번째 정책은 정책에 의해 거부되지 않은 새로운 서비스나 표준화되지 않은 를TCP/UDP
이용한 경우 침입차단시스템을 우회하여 접근할 수 있는 방법을 제공할 수 있으므로 바람,
직하지 못하다.
제 절 침입차단시스템의 구성 요소3
침입차단시스템은 크게 패킷 필터링 기법과 접근통제를 보다 자세히 구현할 수 있는 응용게
이트웨이 기법 두 가지로 이야기할 수 있다 이러한 기법은 다음절에서 설명한 침입차단시.
스템 구성 형태에 적용된다 일반적으로 패킷 필터링 기법은 라우터에 적용되며 응용 게이. ,
트웨이는 배스천 호스트에서 적용된다.
배스천 호스트1.
배스천 호스트란 침입차단시스템 소프트웨어가 설치되어 내부 네트워크와 외부 네트워크 사
이에서 일종의 게이트웨이 역할을 수행하는 호스트를 말한다 하드웨어 소프트웨어 통합형. /
태로 제공되는 침입차단시스템 제품 중 어떤 것은 침입차단시스템 내에 기능까지 내장OS
되어 배스천 호스트에 침입차단시스템 이외에는 일체의 프로그램이 작동하지 않도록 한 극
단적인 제품도 있다 배스천 호스트는 내부 네트워크 전면에서 내부 네트워크 전체의 보안.
을 책임지는 호스트이기 때문에 해커들의 공격 목표가 되기 쉽다 따라서 배스천 호스트는.
매우 신중하게 관리되어져야 한다 필요 없는 프로그램은 지우고 명확치 않은 서비스를 막. ,
고 버그는 항상 최신 버전으로 패치하여 보안 허점이 없도록 특별히 신경을 써야 한다, OS .
배스천 호스트가 해커에게 침입당하면 그 후방의 내부 네트워크 전체가 해커의 사정권 내에
들어갈 가능성이 있기 때문이다.
배스천 호스트는 특별한 서비스를 제공하지 않기 때문에 굳이 빠르고 뛰어난 성능의 기종을
선택할 필요는 없다 다만 네트워크 로드를 감안하여 메인 메모리는 풍부한 것이 바람직하. ,
다 그러나 프락시 나 여타 기능을 제공한다면 속도 및 디스크 용량 역시 커야. (Proxy) CPU
한다 보통은 저급 워크스테이션에 메모리와 하드디스크를 확장해 사용한다 물론 이것은 설. .
치할 침입차단시스템 소프트웨어에 따라 결정할 문제다.
어떤 침입차단시스템은 자체 하드웨어를 가지고 있거나 에서 돌아가는 것도 있기 때문, PC
이다.
또한 물리적인 위치 역시 신중히 고려해야 한다 배스천 호스트는 네트워크의 로비와 같은.
역할을 하므로 물리적 보안 역시 매우 중요하다 고의 또는 실수로 배스천 호스트에 이상이.
발생하면 전체 네트워크의 사용이 위태로워진다 여러 사람의 손길이 닿지 않는 곳에 위치, .
해야 하며 아울러 외부 인터넷과 내부 네트워크를 연결하는 라우터 바로, (Outerior Router)
뒤에 설치하는 것이 바람직하다 내부로 들어오는 모든 패킷이 배스천 호스트를 거쳐야하기.
때문에 이의 속도를 고려하여 이 둘 사이의 거리는 가능한 한 가까워야 한다.
침입차단시스템에는 배스천 호스트가 하나 또는 그 이상이 존재할 수 있는데 그 이유는 침
입차단시스템을 사용하는 기관의 특별한 요구나 자원의 보유에 의해 달라지기 때문이다 이.
배스천 호스트는 다양한 침입차단시스템의 구현과 구조에 사용된다.
가 배스천 호스트의 보안 침해.
배스천 호스트의 무결성이 어떻게 침해당할 수 있나 이것을 이해함으로써 침해사고를 방지?
할 수 있는 응책을 세울 수 있다 가장 큰 위협은 침입자가 배스천 호스트에 직접 로그인.
하는 것이다 로그인은 항상 배스천 호스트의 응용 프락시를 통해 이루어져야 하며 강력한. ,
인증 기능이 필요하다 만약 사용자가 배스천 호스트에 로그인 접근 권한을 얻게 되면 내부. ,
망은 쉽게 침해될 수 있다 이러한 침해는 일반적으로 아래와 같은 경로로 이루어진다. .
파일 시스템에 한 약한 접근통제○
가 구축된 내부망NFS○
침해당한 사용자 홈 디렉토리에 있는 와 같은 실행파일rhost r*-○
과다한 접근 권한을 부여할 수 있는 네트워크 백업 프로그램○
적절히 보호되지 않은 관리 쉘 프로그램의 사용(administrative)○
소프트웨어의 갱신 기록이나 노출된 문서를 통해 정보를 습득○
패킷을 전송시켜주는 커널이나 보안 취약성이 있는 운 체계를 재 설치IP○
나 배스천 호스트의 검토 사항.
패킷 전송을 막는 것 이외에 보안에 취약한 모든 프로그램 유틸리티 서비스를 배스천IP , ,
호스트에서 제거하여야 한다 아래에 유닉스하의 배스천 호스트에서 검토해야 할 사항들을.
몇 가지 제시하 다.
컴파일러 링커 등의 프로그래밍 도구 삭제,○
불필요하거나 이해할 수 없는 프로그램 삭제SUID, SGID○
비상 사태에 비하여 중요한 파일 백업○
디스크의 분할로 침해 발생시 다른 역으로의 침해 확산 방지○
불필요한 시스템 프로그램 이나 계정 삭제( )○
불필요한 네트워크 서비스 제거○
명령어를 사용하여 필요한 서비스만 제공netstat -a○
와 파일의 불필요한 내용 삭제/etc/inetd.conf /etc/service○
패킷 필터링2.
가 위험 역.
부분의 네트워크는 외부 인터넷과 라우터를 이용하여 연결이 되어 있는데 보안경계선이,
란 위험이 많은 외부망으로부터 보호해야 할 내부망의 경계를 의미한다 인터넷 상에 존재.
하는 해커들 때문에 일종의 위험지역을 정의해 두는 것이 유용하다 위험 지역에 포함되어.
있는 호스트들은 공격에 노출되어 있다 따라서 공격으로부터 시스템을 보호하기 위해서는.
내부망을 위험지역 밖에 위치시켜야 한다.
그러나 외부 공격을 방어할 수 있는 보안 장치가 없다면 위험지역으로부터 결코 안전할 수,
없다 일반적으로 위험 역이란 내부망을 제외한 모든 네트워크 인터넷 를 의미한다. ( ) .
나 패킷 필터링. IP
패킷 필터링은 라우터의 인터페이스간을 통과하는 패킷을 필터링하기 위해 설계된 패킷IP
필터링 라우터를 사용하여 수행된다 패킷 필터링 라우터는 다음과 같은 필드들을 필터링한.
다.
발신처 및 목적지 주소IP○
발신처 및 목적지 포트TCP/UDP○
패킷 필터링을 특정 호스트나 네트워크의 특정 포트에 해 여러 가지 방법으로 접속을 막
을 수 있다 즉 허가되지 않은 발신처 호스트로부터 전송된 패킷의 접근을 막을 수 있다. , .
즉 허가되지 않은 발신처 호스트로부터 전송된 패킷의 접근을 막을 수 있다 필요할 경우, . ,
특정 내부 호스트를 모든 외부 호스트로부터의 접근을 막을 수도 있다 패킷 필터링은. IP
프로토콜 포트에 한 필터링을 추가함으로써 유연성을 제공할 수 있다 침입차단시스템은.
외부에서 전송된 나 패킷의 포트를 허가된 내부망 시스템에만 연결시키고 다른TCP UDP
시스템으로는 연결되지 않도록 하는 정책을 실현할 수 있다.
다 프로토콜 필터링.
네트워크 접속정책에 따라 특정 필드나 프로토콜을 필터링하는 것은 네트워크 접속의 허용
이나 접근 서비스 유형을 결정하는 작업이다 아래 서비스들은 본질적으로 취약이 많고 침. ,
입자에 의해 자주 악용되는 것들이다 이러한 서비스들이 내부망에 접속하고자 할 때 침입. ,
차단시스템에서 반드시 필터링 되어야 한다.
번 포트 사용TFTP(Trivial File Transport Protocol) : 69○
번 포트와 번 이상의 포트 사용X Windows, OpenWindows : 2000 6000○
번 포트RPC(Remote Procedure Call) : 111○
번 포트 사용rlogin, rsh, rexec : 513, 514, 512○
아래와 같은 서비스들은 필요에 따라 사용을 통제할 수 있다.
번 포트 특정한 시스템에 해서만 접근 허용Telnet : 23 .○
번 번 포트 과 비슷하며 특정 시스템에 해서만 접근 허용FTP : 20 , 21 . Telnet ,○
번 포트 특정 서버에 해서만 접근 허용SMTP : 25 . e-mail○
번 포트 반송된 패킷 라우팅의 위장에 취약RIP(Routing Information Protocol) : 520 .○
번 포트 는 호스트 이름과 호스트에 관한 정보를 포함하고 있어 공격의DNS : 53 . DNS○
상이 될 가능성이 높음
번 포트 는 네트워크 읽고 접속하기 위해 사용NNTP : 119 . NNTP○
번 포트 프락시 서비스를 포함하고 있는 응용 게이트웨이와 함께gopher, http : 70, 80 .○
사용되어야 함
이나 와 같은 서비스들은 본질적인 취약성을 지니고 있으나 인터넷 상에서 이러Telnet FTP ,
한 서비스에 한 접속을 완전히 차단하는 것은 상황에 따라 지나친 보안 정책이 될 수도
있다.
라 패킷 필터링 기능.
스크린 라우터는 네트워크 보안을 위한 수단으로 패킷 필터링 기능을 수행한다 스크린 기.
능은 상용 침입차단시스템이나 소프트웨어에서도 제공되나 패킷 필터링 기능은 일반적으로,
라우터에서 제공된다.
간단한 패킷 필터링 모델1)
패킷 필터링 라우터는 보통 하나 또는 그 이상의 네트워크 세그먼트 사이에 위치한다 네트.
워크 세그먼트들은 외부망과 내부망 세그먼트들로 분류된다 패킷 필터링 장치와 연결된 네.
트워크 세그먼트들의 숫자가 클수록 패킷 필터링 라우터가 구현할 수 있는 정책들은 복잡,
해진다 일반적으로 복잡한 보안 책은 관리가 어렵고 패킷 필터링 규칙 적용시 실수할 가. ,
능성이 높으며 보안 장비의 성능 저하 등의 문제점을 야기시키므로 피해야 한다, .
그림 두 개의 네트워크 세그먼트 사이의 패킷 필터( 12-1)
많은 경우에 있어서 그림 에서와 같은 간단한 모델이 네트워크 보안 정책을 실현하는( 12-1)
데 사용된다 이 모델은 패킷 필터링 장치에 단지 두 개의 세그먼트만 있음을 보여주고 있.
다 보통 이들 네트워크 세그먼트들 중 하나는 외부 네트워크 세그먼트이고 다른 하나는 내.
부 네트워크 세그먼트이다 패킷 필터링은 허가되지 않은 서비스의 접근을 거부하도록 구성.
된다 일반적으로 네트워크 정책에서 내부 사용자가 외부망에 접근하는 것은 반 의 경우보.
다 개방적이기 때문에 스크린 라우터 포트들의 필터링 규칙도 차별적으로 적용되어야 한다.
패킷 필터링 장비 작동2)
현재 사용되는 부분의 패킷 필터링 장비 스크린 라우터 패킷 필터링 게이트웨이 들은 아( , )
래와 같은 방식으로 작동한다.
패킷 필터링 장비의 포트에 패킷 필터링 규칙 정의①
포트에 도착한 패킷 헤더를 분해 에 헤더 부분의 필드 분석, IP, TCP, U②
패킷 필터링 규칙은 특정 순서에 따라 저장하며 각 규칙은 저장된 순서 로 패킷에 적,③
용
규칙에서 패킷의 송신이나 수신을 허가할 경우 패킷 통과,④
규칙에서 패킷의 송신이나 수신을 허가하지 않을 경우 패킷 거부,⑤
어느 규칙에도 적용되지 않는 패킷 거부⑥
패킷 필터링 규칙들을 작성하는데 범하기 쉬운 실수는 규칙들을 잘못된 순서로 정의하는 것
이다 패킷 필터링 규칙의 정의 순서가 잘못되면 거부해야 할 패킷을 허가하고 허가해야 할. ,
패킷은 거부하게 되는 오류를 범할 수 있다.
마 패킷 필터 규칙 구현.
패킷 필터링 규칙을 작성한 후에는 스크린 라우터나 침입차단시스템에 규칙들을 적용하여야
한다 서로 다른 종류의 패킷 필터링 장비들은 패킷 필터링 규칙을 적용하는 고유의 절차와.
문법을 가지고 있다 따라서 패킷 필터링 장비를 다른 회사의 제품으로 바꿀 경우에는 새로.
운 패킷 필터링 규칙과 문법을 적용하여야 한다.
접근 리스트 작성1)
라우터에 적용되는 접근 리스트에는 접근 허가와 접근 거절에 관한 조건들을 순차적으로 정
의하고 있다 라우터는 패킷 필터링 작업시 접근 리스트에 있는 조건들을 정의된 순서 로.
하나씩 패킷에 적용하여 접근 허용여부를 결정한다 첫 번째 조건이 일치한 경우에는 후속.
조건들을 더 이상 검사하지 않고 접근을 허용하므로 조건들의 순서가 매우 중요하다.
이러한 라우터에 적용되는 접근 리스트는 표준 접근 리스트 와 확장(Standard access lists)
접근 리스트 가 있다 표준 접근 리스트는 조건 검색시 하나의 주소(Extended access lists) .
만 참조하며 확장 접근 리스트는 조건 검색시 두 개의 주소를 참조한다, .
표준 접근 리스트의 사용2)
표준 접근 리스트의 문법은 다음과 같다.
access-list list {permit:deny} address wildcard-mask
는 에서 가지의 정수이며 하나 또는 그 이상의 허가 거절 조건을 식별하는데 사용된list 1 99 , /
다 와 는 비트 값이며 식별자로 점을 사용한다. address wildcard-mask 32 .
예를 들어 하나의 급 네트워크 이 스크린 라우터에 연결되어 있고 이 스크린 라우, A 67.0.0.0
터는 서브넷 마스크 을 이용하고 있다고 가정하자255.255.0.0 .
access-list 3 permit 67.23.2.5 0.0.0.0
access-list 3 deny 67.23.0.0 0.0.255.255
access-list 3 permit 67.0.0.0 0.255.255.255
첫 번째 접근 리스트는 급 네트워크와 번 서브넷 위의 주소 를 갖고 있는 호A 23 IP 67.23.2.5
스트에 한 트래피만 허가한다 두 번째 접근 리스트는 서브넷 으로 가는 모든 통행을. 23
봉쇄한다 세 번째는 급 네트워크 에 보내진 모든 트래픽을 허용한다. A 67.0.0.0 .
확장 접근 리스트의 사용3)
확장 접근 리스트는 발신처와 목적지의 주소 프로토콜의 정보에 기초하여 해당 인터페IP ,
이스의 트래픽을 필터링할 수 있게 해준다 확장 접근 리스트에 한 문법은 다음과 같다. .
access-list {permit : deny} protocol source source-mask destination destination-mask
[operator operand]
문법에서 는 부터 까지의 정수이고 한 개 또는 그 이상의 확장된 허가 거절 조건list 100 199 /
을 식별하는데 사용된다 프로토콜은 중 하나가 될 수 있다 와. IP, TCP, UDP, ICMP . source
는 비트 값이고 소수점 방식 으로 쓰여진다source-mask 32 (dotted-decimal) .
는 를 위한 와 같은 방식으로 사용되었다destination-mask source address source-mask .
와 는 포트 번호 서비스 접근 포인트 또는 접촉 이름 을 비교operator operand , (contact name)
하기 위해 사용된다 이 값들은 와 에 프로토콜에 중요하다 는 특정 프로토콜. TCP U . operand
의 목적지 포트의 십진 값이다 와 에 프로토콜 주요 값들에 해서 는 아래. TCP U operator
와 같이 정의된다.
lt(less than)○
eq(equal to)○
gt(greater than)○
neq(not equal to)○
예를 들면 네트워크 정책에서 외부망 에서 내부망 으로 들어오는(132.124.23.55) (199.245.180.0)
접속을 허가하지 않을 경우 아래와 같은 접근 리스트를 작성할 수 있다SMTP , .
access-list 101 deny tcp 132.124.23.55 0.0.0.0 199.245.180.0 0.0.0.255 eq 25
아래 예는 내부망 에 관한 것이다133.34.0.0 .
access-list 101 permit tcp 0.0.0.0 255.255.255.255 133.34.0.0 0.0.255.255 gt 1023
access-list 101 permit tcp 0.0.0.0 255.255.255.255 133.34.12.3 0.0.0.0 eq 25
access-list 101 permit icmp 0.0.0.0 255.255.255.255 133.34.0.0 255.255.255.255
interface ethernet 0
ip access-group 101
첫 번째 리스트는 목적지 포트가 보다 큰 모든 접속을 허가하는 명령어이다 두1023 TCP .
번째 리스트는 호스트의 포트 에 외부망에서 들어온 접속을 허133.34.12.3 SMTP (25) TCP
가하는 명령어이다 세 번째 리스트는 오류 피드백을 위해 외부망에서 들어오는 를 허. ICMP
가하는 명령어이다.
확장 접근 리스트 명령어는 접근 그룹 인터페이스 명령어와 함께 사용되어야 한다 접근 그.
룹 명령어는 접근 리스트 정의를 인터페이스에 적용시키기 위해 사용된다 접근 그룹 명령.
어 문맥은 아래와 같다 여기서 는 부터 까지의 정수이며 인터페이스에 적용되는 접. list 1 199 ,
근 리스트를 나타낸다.
프락시 서비스3. (Proxy)
가 프락시의 필요성.
내부망이 외부망과 단절되어 있다면 외부망으로부터의 위협은 전혀 고려하지 않아도 되나, ,
내부 사용자는 외부망으로부터의 접속 서비스를 받을 수 없게 된다 반 로 내부망과 외부.
망이 연결되어 있다면 외부망으로부터의 위협을 감수하여야 한다 이 두 가지 문제를 적절, .
히 해결할 수 있는 해결책은 보안 기능이 제공되는 특정 호스트를 통해서만 외부망에 접속
하도록 하며 외부망에서 내부망으로 접근시에도 특정 호스트를 통해서만 가능하도록 한다, .
사용 투명성의 문제는 프락시 시스템을 사용함으로써 해결할 수 있다 프락시 시스템은 사.
용자에게 직접 이중 네트워크 호스트에 접속하도록 하는 신 모든 접속을 배후에서 처리해
준다 따라서 사용자는 이중 네트워크 호스트와의 접속을 의식하지 않고 외부망 호스트에.
접근할 수 있으며 모든 접속은 프락시 서버의 보안 기능에 의해 통제되므로 허가되지 않은,
사용자나 호스트의 접속을 막을 수 있다 그림 는 실제 접속과 프락시에 의해 형성된. ( 12-2)
가상의 접속을 보여주고 있다.
그림 프락시를 통한 접속 방식( 12-2)
하나의 특정 프로토콜이나 프로토콜 집합을 위한 프락시 서버는 이중 네트워크 호스트나 배
스천 호스트 상에서 작동한다.
클라이언트 프로그램을 경유하여 실제 목적지 서버에 접속하는 신 프락시 서버에 접속하
고 프락시 서버는 클라이언트의 요구를 검증한 후 접근을 허용해줄 것인지 아닌지를 결정, ,
한다 만약 요구가 받아들여지면 프락시 서버는 클라이언트를 신해 실제 서버에 접속하여.
클라이언트의 요구를 실제 서버에 전달하고 실제 서버의 응답을 클라이언트에게 전달한다.
사용자의 입장에서 보면 프락시 서버에 접속하는 것이 실제 목적지 호스트에 직접 접속하는
것처럼 보인다 목적지 서버의 관점에서는 프락시 서버를 운 하는 호스트의 사용자에게 응.
답하는 것처럼 보이며 실제 사용자의 주소는 모른다.
나 프락시 서버의 구현 방법.
프락시 서비스는 제공되는 통신 서비스마다 상이하다 몇몇 통신 서비스는 프락시 기능을.
자동으로 제공할 수 있다 이러한 서비스의 경우 일반 서버에 맞게 프락시 구성을 변경하면. ,
된다 그러나 부분의 서비스의 경우 서버와 클라이언트에 맞는 적절한 프락시 서버 소프. ,
트웨어가 필요하다 사용자는 아래 두 가지 방법 중 하나를 사용하여야 한다. .
클라이언트 소프트웨어 클라이언트 소프트웨어는 사용자 요청 서비스 등: (FTP, Telnet )○
이 있을 때 프락시 서버에게 접속할 실제 서버에 한 정보를 알려주고 실제 서버에 접속,
할 수 있도록 해준다.
사용자 프로시져 사용자 프로시져의 경우 사용자는 직접 실제 서버에 접속하는 신: ,○
표준 클라이언트 소프트웨어를 사용하여 프락시 서버에게 접속할 실제 서버에 한 정보를
알려주고 접속을 요청하여야 한다, .
다 프락시 서비스 제공.
응용 게이트웨이1)
패킷 필터링 라우터와 관련된 취약점을 개선하기 위해 침입차단시스템은 과 와Telnet FTP
같은 서비스에 한 접속을 필터링하고 연결시켜 줄 수 있는 응용 소프트웨어를 사용할 필
요가 있다 이러한 응용은 프락시 서비스로 불려지며 프락시 서비스를 수행하는 호스트는. ,
응용 게이트웨이로 언급된다 좀 더 확실한 보안과 유동성을 제공하기 위해 응용 게이트웨.
이와 패킷 필터링 라우터는 함께 사용되기도 한다 예를 들어 패킷 필터링 라우터를 사용하.
여 외부에서 접속하는 모든 과 를 차단하는 라우터를 생각해보자 이 라우터는Telnet FTP .
과 패킷이 응용 게이트웨이를 통해 접근하는 것만 허용한다 사용Telnet FTP Telnet, FTP .
자가 응용 게이트웨이를 통해 내부 목적지 시스템에 접속 연결하고자 할 경우 아래와 같은,
절차를 따르게 된다.
사용자는 을 사용하여 응용 게이트웨이에 접속하고 내부의 호스트 이름 입력Telnet①
게이트웨이는 사용자의 발신처 주소를 확인하고 접근 규칙에 따라 허용 여부 결정IP ,②
사용자는 일회용 패스워드 장치를 사용하여 자신을 인증③
프락시 서버는 내부 호스트와 접속을 생성Telnet④
프락시 서비스는 두 접속간의 데이터를 전송⑤
응용 게이트웨이는 접속을 로그⑥
이 절차와 같이 프락시 서비스를 사용하면 몇 가지 이점이 있다 첫 번째로 프락시 서비스.
는 프락시 서버를 통과하는 서비스만 허용한다 즉 응용 게이트웨이가 와 에. , FTP Telnet
한 프락시를 포함하고 있다면 와 만이 보호된 내부망에 접근이 허용되며 다른FTP Telnet ,
모든 서비스들은 접근이 차단된다.
프락시 서비스를 사용함으로써 얻을 수 있는 또 다른 이점은 프로토콜을 필터링 할 수 있다
는 점이다 예를 들어 침입차단시스템이 연결을 필터링 할 수 있고 의 명령. FTP , FTP put
사용을 통제하여 서버에 내부 사용자가 중요 정보를 기록하거나 외부 사anonymous FTP ,
용자가 정보를 삭제하는 것을 막을 수도 있다 응용 게이트웨이는 내부 호스트에 응용 트래.
픽을 직접 허용하는 것 외에 아래와 같은 많은 이점이 있다.
정보 은닉 응용 게이트웨이가 외부망에 알려지는 유일한 호스트(Information hiding) :○
이름이므로 내부망 호스트의 이름을 를 통하여 불필요하게 외부망에 알릴 필요가 없다DNS .
강력한 인증과 로깅 응용 트래픽이 내부 호스트에 도착하기 전에 응용 게이트웨이에서:○
엄격히 인증되며 내부망 호스트보다 효과적으로 로깅이 이루어진다, .
비용 효과적임 인증이나 로깅을 위한 소프트웨어나 하드웨어가 응용 게이트웨이에만:○
설치하면 되므로 경제적이다.
복잡하지 않은 필터링 규칙 응용 게이트웨이에 트래픽 필터링 규칙을 적용하는 것이:○
라우터에 응용 트래픽 필터링 규칙을 적용하는 것보다 간단하다 라우터는 단지 응용 게이.
트웨이로 전송되는 패킷만 하용하고 나머지는 거절하면 된다, .
응용 게이트웨이의 단점은 과 같은 클라이언트 서버 프로토콜의 경우 내부에서 외부Telnet -
로 나가거나 반 로 들어오는 접속의 경우 두 가지 절차가 필요하다는 점이다 몇몇 응용, .
게이트웨이의 경우 클라이언트의 변경이 요구되며 변경된 클라이언트가 침입차단시스템과,
잘 접속이 되는지에 따라 단점이 될 수도 있고 장점이 될 수도 있다 응용 게이트웨. Telnet
이는 기존의 클라이언트 신 변경된 클라이언트를 사용하는 사용자의 행위에 의존한다 변.
경된 클라이언트는 침입차단시스템에 투명하여야 한다 즉 사용자는 명령어에서 목. , Telnet
적지 호스트를 명시하면 침입차단시스템은 사용자의 명령어를 가로채어 목적지 호스Telnet
트에 한 라우터 역할을 수행한다.
이 때 침입차단시스템은 사용자에게 일회용 패스워드를 요구한다.
서비스에서와 같이 응용 게이트웨이는 나 전자우편 윈도우에 해서도 사용Telnet FTP , X
된다 몇몇 응용 게이트웨이는 특정 호스트에 하여 과 명령어 사용을 금지하. FTP put get
는 기능이 있다.
서킷 레벨 게이트웨이2) (Circuit)
서킷 레벨 게이트웨이는 종종 응용 게이트웨이의 범주에 포함되기도 한다 서킷 레벨 게이.
트웨이는 와 관계가 있으나 프로토콜의 필터링이나 다른 별도의 처리를 수행하지는 않TCP
는다 예를 들어 응용 게이트웨이는 서킷 레벨 게이트웨이의 한 예이다 일단 발신처. Telnet .
와 목적지 사이에 연결이 이루어지면 침입차단시스템은 두 시스템 사이에 단순히 데이터 비
트를 전송하는 역할을 한다.
라 프락시 서비스의 특징.
프락시 서비스는 클라이언트와 서버 사이에서 제공되기 때문에 클라이언트와 서버간의 통신
서비스에 맞게 재구성되어야 한다 일반적으로 프락시 서버가 제 로 구성되지 않을 경우. ,
클라이언트와 서버간 통신 서비스의 효율성이 저하될 수 있다.
프락시 서비스의 장점은 사용자가 외부망 서비스에 투명하게 접속할 수 있다는 점과 프락시
서버에서 로깅이 효율적으로 이루어질 수 있다는 점이다 프락시의 단점은 프락시 소프트웨.
어가 나 과 같은 간단하고 오래된 서비스들에서는 많이 유통되지만 상 적으로FTP Telnet
새로 개발되었거나 자주 사용되지 않는 서비스에 한 프락시는 구하기 힘든 단점이 있다, .
적절한 프락시 소프트웨어가 설치될 때까지 새로운 서비스를 사용하는 시스템들은 잠재적으
로 보안 취약점이 될 수 있으므로 위험지역 밖에 놓여 있어야 한다.
프락시 서버는 접근 허용 여부를 결정하기 위해 사용되는 프로토콜을 이해하고 해석할 수,
있어야 하며 이것은 통신상에 많은 부하를 줄 수 있다 프락시 서비스를 지원해 줄 수 있는, .
전용 프로토콜을 제외하고는 프락시 서버는 프로토콜에 따라 클라이언트 또는 프로시저들,
의 수정이 필요하다 이러한 수정 때문에 프락시를 가진 응용 소프트웨어들은 그렇지 않은.
것만큼 잘 작동하지 않는다 또한 사용자는 프락시 서비스를 지원하지 않는 명령어들을 사.
용할 수 없다는 단점이 있다.
마 를 이용한 프락시 서비스. SOCKS
팩키지는 와 에 의해 개발되었으며 현재SOCKS David Koblas Michelle Koblas , SOCKS4,
두 가지 버전이 널리 사용되고 있다 는 인터넷 상에서 무료로 제공되며SOCKS5 . SOCKS ,
인터넷에서 사실 표준 프락시 서비스 팩키지로 사용되고 있다 를 사용하기 위해서. SOCKS
는 두 호스트간에 동일한 버전의 가 구현된 서버가 있어야 하며 서버를 통SOCKS , SOCKS
한 리다이렉션 접속 요청에 의해 작동한다 서버는 먼저 리(redirection connection) . SOCKS
다이렉션 접속 요청을 인증한 후 허가된 접속에 해 프락시 서비스를 제공한다 일단 접속, .
이 이루어지면 내부망 호스트와 외부망 호스트 사이에 모든 허가된 서비스들이 지원된다.
는 새로운 클라이언트 소프트웨어들을 쉽게 지원해 줄 수 있다는 장점 때문에 인터SOCKS
넷에서 널리 사용되고 있다 그러나 는 지능형 로깅이나 접근 통제. SOCKS (access control)
기능을 적절히 제공하지 못하며 또한 기반의 클라이언트들에서만 작동하는 단점이 있, TCP
다 그림 는 를 이용한 프락시 서비스를 보여주고 있다. ( 12-3) SOCKS .
그림 를 이용한 프락시 서비스( 12-3) SOCKS
팩키지는 아래 요소들로 구성되어 있다SOCKS .
서버 시스템에서만 동작SOCKS (UNIX )○
클라이언트 라이브러리SOCKS○
표준화된 클라이언트 프로그램 등UNIX (Telnet, FTP, HTTP )○
제 절 침입차단시스템 구성 형태4
침입차단시스템은 조직의 네트워크 보안을 강화하거나 보안정책을 실행하는데 있어 보다,
효과적인 보안도구로 사용된다 침입차단시스템은 관리 소홀과 빈약한 사용자 인터페이스로.
인해 제 로 작동하지 못하는 경우가 많다 침입차단시스템에서 작동하는 패킷 필터링 기능.
의 적절한 구현을 위해서는 통신 프로토콜에 한 많은 지식이 요구된다.
스크린 라우터와 같은 패킷 필터링 장치도 침입차단시스템으로 불려지고 있다 게이트웨이.
침입차단시스템은 참조모델의 상위 레벨에서 작동하기 때문에 응용 계층에서 제공되는OSI
기능에 관한 정보가 많이 사용된다.
이 장에서는 다양한 형태의 침입차단시스템 구성요소에 관해 소개한다.
이중 네트워크 호스트1.
네트워크에서 멀티 네트워크 호스트란 두 개 이상의 네트워크 인터페이스 보드들을TCP/IP
갖추고 있는 호스트를 말한다 일반적으로 각 네트워크 인터페이스 보드를 통해 다른 네트.
워크에 접속된다 멀티 네트워크 호스트는 또한 네트워크 세그먼트들 사이의 트래픽을 라우.
팅 할 수 있다 라우팅이란 멀티 네트워크 호스트에 의해 수행되는 라우팅 기능을 말하며. ,
게이트웨이는 응용 프로그램 계층에서 제공되는 라우팅 기능들을 설명하는데 사용된다.
만약 멀티 네트워크 호스트에서 라우팅 기능이 제공되지 않는다면 네트워크 내의 트래픽 이
동이 불가능하며 각 네트워크는 멀티 네트워크 호스트 내에서 제공되는 응용 프로그램이나,
데이터의 공유만 가능하다.
가 침입차단시스템 기능.
이중 네트워크 호스트는 신뢰할 수 없는 외부 네트워크로부터 내부 네트워크를 보호하기 위
해 사용할 수 있다 그림 는 침입차단시스템으로 사용되는 이중 네트워크 호스트의. ( 12-4)
한 예를 보여주고 있다 이중 네트워크 호스트는 트래픽을 전송하지 않기 때문에. TCP/IP
내부 네트워크와 외부 네트워크 사이에서 완벽하게 트래픽을 차단할 수 있다IP .
그림 이중 네트워크 호스트( 12-4) Firewall
많은 인터넷 서비스는 기본적으로 저장 후 전송 서비스를 제공한다 이(store & foreward) .
러한 서비스가 이중 네트워크 호스트상에서 지원된다면 네트워크간에 응용 서비스의 교환도
가능하다.
외부망과 내부망 사이에 응용 제공 기능이 사용될 경우 응용 제공 기능은 반드시 침입차단,
시스템내에 구현되어야 하며 침입차단시스템을 통과하지 않는 응용 트래픽은 모두 차단되,
어야 한다 즉 명확히 허용되지 않은 것은 모두 금지하여야 한다 사용자가 침입차단시스템. , .
에 직접 접근할 수 있다면 침입차단시스템 보안은 붕괴될 것이다 이 중 네트워크 호스트는.
외부망과 내부망의 접속점이므로 위험 역 이 될 수 있다 만약 사용자가 취(risk of zone) .
약한 패스워드를 사용하거나 추측하기 쉬운 패스워드를 사용하여 자신의 계정이 외부의 침,
입에 쉽게 노출될 수도 있도록 한다면 위험 역은 내부망으로 확 될 것이며 결국 이중,
네트워크 호스트를 이용한 보안은 실패하게 된다.
사용자 로그인에 한 적절한 로그 기록이 유지된다면 보안 침해가 발생하 을 경우 허가, ,
되지 않은 로그인을 추적할 수 있다 이중 네트워크 호스트에 한 사용자의 직접적인 접근.
이 금지되어 있다면 직접적인 접근 시도는 잠정적인 보안 침해로 생각할 수 있다.
이 중 네트워크 호스트는 침입차단시스템에 사용되는 기본적인 구성요소이다 이 중 네트워.
크 침입차단시스템 호스트의 중요한 특성은 라우팅이 불가능하다는 점과 네트워크 세그먼트
사이의 유일한 경로는 응용 계층이라는 점이다.
부분의 침입차단시스템은 환경에 설치된다 몇몇 유닉스 환경에서 라우팅 기능이UNIX .
기본으로 제공된다 따라서 이중 네트워크 호스트에서는 라우팅 기능을 삭제할 수 있는 조.
치를 취하여야 한다.
스크린 호스트 게이트웨이2.
배스천 호스트는 내부망 보안에 매우 중요하므로 내부망과 외부망 사이에 또 다른 보안 장
치를 설치하곤 한다 보통 스크린 라우터를 함께 이용한다 그림 는 스크린 라우터 장. . ( 12-5)
비를 갖춘 배스천 호스트를 나타내고 있다.
그림 에서 배스천 호스트의 네트워크 인터페이스가 내부망과 연결되어 있으며 스크( 12-5) ,
린 라우터의 포트 중 하나는 내부망과 연결되고 다른 포트는 외부망과 연결된다 이러한 시, .
스템 구성을 스크린 호스트 게이트웨이라고 한다.
그림 스크린 라우터를 갖춘 배스천 호스트( 12-5)
외부망에서 내부망으로 입력된 모든 트래픽이 배스천 호스트를 경유하도록 스크린 라우터를
구성한다 배스천 호스트로 트래픽을 전송하기 전에 스크린 라우터는 패킷 트래픽에 필터링.
규칙을 적용한다 필터링 규칙에 적합한 트래픽만 배스천 호스트로 보내고 부적합한 트래. ,
픽을 모두 거절하여야 한다 이러한 구조는 보다 안전한 네트워크 보안 서비스를 제공할 수.
있다.
외부 침입자가 스크린 라우터를 통과하더라도 배스천 호스트에서 차단된다.
배스천 호스트는 외부망의 접근을 허가할 것인지 거부할 것인지를 결정할 때 응용 계층의,
기능을 이용한다 접근 요청이 배스천 호스트에서 허락되면 내부망과 트래픽 교환이 가능하. ,
다 외부망으로 나가는 트래픽의 허용 여부는 스크린 라우터에서 결정된다. .
스크린 호스트 게이트웨이의 라우터 구성1)
스크린 라우터의 라우팅 표는 외부 트래픽이 배스천 호스트를 경유하도록 구성되어야 한다.
스크린 라우터의 라우팅 표는 외부 침입이나 허가되지 않은 변경으로부터 보호되어야 한다.
라우팅 표가 변경되면 외부 트래픽이 배스천 호스트를 우회하여 직접 내부망에 접근하게 되
는 위험이 발생하게 된다.
access-list 1 permit 0.0.0.0 255.255.255.255 199.245.180.10 0.0.0.0
access-list 1 deny 0.0.0.0 255.255.255.255 199.245.180.0 0.0.0.255
네트워크 으로 전송되는 모든 네트워크 트래픽은 주소가 인 배199.245.180.0 IP 199.245.180.10
스천 호스트를 경유하여야 한다.
두 가지 네트워크 인터페이스를 가진 배스천 호스트3.
그림 은 스크린 라우터가 있으며 두 개의 네트워크 인터페이스를 갖춘 배스천 호스( 12-6) ,
트를 나타내고 있다 즉 외부망에 연결된 인터페이스와 내부망에 연결된 인터페이스가 존재. ,
한다 스크린 라우터의 포트 하나는 배스천 호스트에 연결되며 다른 포트는 인터넷에 연결. ,
된다.
스크린 라우터는 외부망에서 입력된 모든 트래픽을 배스천 호스트의 내부 연결망 인터페이
스로 보내도록 구성되어야 하며 스크린 라우터는 패킷 트래픽을 필터링 한다 따라서 네트, .
워크 침입자는 먼저 스크린 라우터를 경유하여야 하며 결국 배스천 호스트에서 접근이 통,
제된다.
그림 두 개의 네트워크 인터페이스를 가진 배스천 호스트( 12-6) P302M
외부 연결망에는 스크린 라우터와 배스천 호스트 인터페이스만 존재한다 외부 연결망은.
역할을 한다DMZ(Demilitary Zone) .
스크린 서브넷4.
침입차단시스템 중에는 독립된 네트워크 즉 스크린 서브넷을 이용하는 형태가 있다 그림, . (
은 한 예이다 내부망과 외부망 모두 스크린 서브넷에 접근할 수 있으나 내부망과 외12-7) . ,
부망 사이의 네트워크 트래픽이 독립된 네트워크를 경유하여 전송되는 것은 불가능하다.
그림 스크린 서브넷( 12-7)
스크린 서브넷은 일반적으로 스크린 라우터와 함께 사용한다 그림 은 스크린 라우터. ( 12-7)
를 사용하는 스크린 서브넷을 나타내고 있다 스크린 서브넷의 접속 지점에 배스천 호스트.
를 사용하는 스크린 서브넷을 그림 에 나타내고 있다 외부망과 내부망을 연결하는데( 12-7) .
스크린 라우터가 사용되며 배스천 호스트는 응용 게이트웨이에서 허가되지 않은 모든 트래,
픽의 접근을 통제한다 스크린 서브넷은 외부망과 내부망 사이의 네트워크 트래픽 전송을.
허용하지 않기 때문에 외부망과 내부망은 서로의 주소를 이용한 접근이 불가능하다 외IP .
부에 공개 서버를 운 하거나 아니면 공인된 주소를 사용하지 않고 네트워크를 운 하고IP
있는 곳에서 사용하기에 적합한 침입차단시스템이다.
제 절 침입차단시스템 구축시 고려사항5
침입차단시스템 관련 정책이 결정된 후 적절한 침입차단시스템 구축에 해 고려해야 한다, .
이러한 사항들은 다른 소프트웨어 시스템의 구축과 유사하게 한다 이러한 사항들은 다른.
소프트웨어 시스템의 구축과 유사하게 요구사항 정의 분석 설계 구축과 같은 과정을 거친, , ,
다 본 절에서는 침입차단시스템 구축에 한 최소한의 고려사항에 해 설명한다. .
조직의 보안 정책을 실현하기 위해 침입차단시스템을 설치하기로 결정하 으면 다음 단계는
적당한 수준의 보안을 제공하는 침입차단시스템을 경제적이고 효과적으로 구축하는 것이다.
보안을 위해 침입차단시스템이 가져야 하는 기능이 무엇인지에 해서는 누구도 완전하게
설명할 수 없으나 일반적으로 침입차단시스템에서 아래와 같은 기능의 제공을 권장한다, .
허가된 서비스를 제외한 모든 서비스를 거부하는 정책을 지원.○
조직의 보안정책을 지원.○
새로운 서비스나 조직의 보안정책 변경시 이의 수용 가능.○
강력한 인증 기법의 지원 및 접목 가능.○
내부망 시스템의 필요로 특정 서비스의 필터링 기능 제공.○
필터링 언어는 유동성 편리성 그리고 다양한 기능 제공IP , .○
등 다양한 프락시 서비스 제공Telnet, HTTP, SMTP .○
침입차단시스템은 호스트에 한 공개 접속을 제공하며 공개된 정보 서버는 침입차단시○
스템에 의해 보호되어야 한다 비공개 호스트는 공개 서버와 물리적으로 분리되어 있어야.
한다.
다이얼 인 접속을 한 곳으로 집중하여 필터링 기능 제공.○
트래픽과 수상한 행위에 한 로깅 기능 제공.○
와 같은 운용 시스템을 필요로 할 경우 보안이 검증된 운 체계를 침입차단시스템UNIX ,○
에 설치하여야 하며 침입차단시스템의 무결성을 보장할 수 있는 다른 보안 도구들도 함께
설치되어야 한다.
강도와 정확성을 검증 받을 수 있는 방법의 개발 필요.○
설계를 단순화하여 유지보수가 용이하도록 하여야 한다.○
오류가 발견되었을 경우 즉시 수정이 가능하여야 한다, .○
침입차단시스템을 구매하거나 개발하기 전에 먼저 정책과 관계된 요구사항을 작성하는 것이
선행되어야 한다 정책 개발에 어려울 경우 전문가의 자문을 받아야 한다. , .
만일 조직 내에 침입차단시스템 구축에 한 전문가가 있다면 좀 더 경제적으로 작업할 수
가 있을 것이다 침입차단시스템 개발의 장점 중 하나는 조직내의 전문가가 침입차단시스템.
의 구체적인 설계와 사용에 하여 완전히 파악하고 있다는 점이다 업체의 도움을 받아 침.
입차단시스템을 구축하는 경우 이러한 전문가가 없을 수 있다 동시에 조직내의 침입차단시, .
스템을 개발하고 문서화하는 작업에 많은 시간이 소요되는 경우 침입차단시스템을 유지 보,
수하는데도 많은 시간이 요구된다 때때로 이러한 경비를 고려하지 않고 시스템에 한 경.
비만을 계산하여 예산 착오가 발생하곤 한다 침입차단시스템을 구매할 것인지 개발할 것인.
지 결정하고 침입차단시스템을 구축하고 성공적으로 운용하는데 필요한 자원이 측정하는데,
아래 질문 내용이 도움이 될 수 있다.
침입차단시스템 시험방법과 침입차단시스템이 예측한 로 작동하는지 검증하는 담당자○
가 있는가?
백업이나 수리와 같은 침입차단시스템의 유지보수 작업은 누가 할 것인가?○
누가 새로운 프락시 서버 새로운 패치 새로운 서비스 등을 침입차단시스템에 설치하여, ,○
실행시킬 것인가?
보안과 관련된 잘못된 프로그램이나 문제점을 즉시 해결할 수 있는가?○
사용자 교육이나 지원은 누가 할 것인가?○
제 절 요약6
침입차단시스템은 내부 네트워크의 보안정책에 기준 하여 외부 네트워크로부터의 침입을 막
으며 또한 내부 네트워크의 정보 등을 보호하는 시스템을 말하는 것으로 이를 수행하기 위, ,
해 침입차단시스템은 외부로부터의 접근을 제어하는 접근통제 내부 네트워크로 접근을 위,
한 강력한 사용자 인증 특정 네트워크와의 암호화 통신 기능 그리고 네트워크 사용에 따른, ,
로깅 정보의 관리 등의 주요한 기능을 수행한다 그러나 침입차단시스템이 널리 사용되면서.
몇 가지 주의사항이 요구되고 있는데 이를 정리하면 서비스의 제한 백도어의 위험 새로운, , ,
프로그램의 개발에 따른 적용 문제 그리고 내부 사용자에 한 보안 침해 등에 한 내용,
이다 침입차단시스템을 구성하는 요소들을 보면 보안의 노력이 집중되고 프로그램이 탑재.
된 배스천 호스트 패킷을 정보를 이용 필터링 하는 패킷 필터링 라우터 등을 설명하 으며, ,
마지막으로는 이들 구성요소를 가지고 침입차단시스템을 구성하는 형태로 이중 네트워크 호
스트 스크린 호스트 게이트웨이 두 개의 네트워크 인터페이스를 가진 베이션호스트 그리, , ,
고 스크린 서브넷 등의 구성 형태를 설명하 다.
참고 문헌
[1] Karanji Siyan, Ph.D., Cris Hare, Internet Firewalls and Network Security, New
Riders Publishing, 1995.
[2] D. Brent Chapman and Elizabeth D. Zwicky, Building Internet Firewalls, O'Relly &
Associates, Inc, 1995.
[3] S. Garfinkel and G. Spafford, Practical Unix & Internet Security, O'Relly &
Associates, Inc, 1996.
[4] William R. Cheswick Stever, Firewalls and Internet Security, Addison-Wesley
Publishing Company, 1995.
[5] Cisco Connection Documentation, Cisco Systems, Vol 3, Num 7, 1996.
이재광 이용준 박성열 인터넷 방화벽과 네트워크 보안 이한출판사[6] , , , , , 1996.
한국정보보호센터 시스템 총서[7] , Firewall , 1996.
제 장 웹 보안13
제 절 개요1
웹은 년 에 의해 처음으로 제안되었다 웹은 처음에 많은 관심을 받지 못하1990 Berners-Lee .
다가 사용자 인터페이스를 편리하게 설계하고 여러 가지 형태의 자료를 손쉽게 받아볼 수,
있는 브라우저 의 출현으로 인하여 널리 퍼져 나가기 시작하 다 익스플로러(Browser) .
네비게이터 와 같은 웹 브라우저의 편리한 사용자 인터페이스는 전문(Explorer), (Navigator)
가들뿐만 아니라 일반인의 인터넷 사용을 증가시켰고 결과적으로 인터넷의 규모를 계속해,
서 증가시켜 오고 있다.
웹 사용자의 증가로 인하여 인터넷을 사용한 전자상거래 또한 많은 사업자의 관심사로 두
되고 있으며 크게 성장하고 있는 추세이나 웹 보안이 제일 큰 걸림돌이 되고 있다 이와 더.
불어 인터넷 해킹에 유닉스의 취약점과 웹 서버 브라우저 엑티브 엑스 자바 스크립트 자, , , ,
바 등의 응용 프로그램 버그를 이용하는 전형적인 방법과, CGI IP spoofing, SYN flooding,
등 네트워크 프로토콜의 구조적 결함을 이용하는 방법이 이용되고 있으며ICMP bombing
이러한 방법을 사용한 해킹사례 또한 증가하고 있다.
웹의 사용이 증가하고 있는 이 시점에서 웹 보안 향상을 위한 두 가지 방법이 존재한다 우.
선 시스템 보안의 측면에서 서버의 올바른 설치와 운 방법 그리고 와 자바에 한 보, , CGI
안이 강조되며 등 웹 관련 신기술이 기존 서버와 결합하여 보다 보안성이SSL, S-HTTP
강조된 프로토콜로 통신하는 기법이 활발히 연구 개발되고 있다.
제 절 브라우저 호스트 서버 보안2 ・ ・안전한 웹 보안 환경을 구축하기 위해서는 개 요소가 제 로 운용되어야만이 비로소 안전3
한 환경을 구축하 다고 볼 수 있다 이 개 요소는 웹 브라우저 보안 서버가 탑재되는 호. 3 ,
스트 보안과 웹 서버 보안이다.
브라우저 보안1.
현재 가장 보편적으로 사용되고 있는 브라우저는 네비게이터 익스플로러와 핫자바,
가 있다 이외에도 많은 브라우저들이 개발되어 사용되고 있다 설명하고자 하는(HotJava) . .
내용은 모든 브라우저에 공통적으로 적용되는 점들을 나열하 다 브라우저 사용자들은 브.
라우저를 사용할 때 프라이버시 문제와 보안 문제점을 이해하고 있어야 한다 부분의 사.
용자들이 웹을 항해할 때 인터넷 쇼핑 재미있는 자료 다양한 광고 등에 관심을 두지만 자, ,
신의 프라이버시 정보가 상상외로 노출될 수 있다는 점은 모르고 있다.
브라우저는 사용자가 인터넷을 항해한 정보를 가지고 있다 만약 이 내용이 유출되었을.○
경우 사용자의 관심사나 인터넷 항해 습관에 한 프라이버시가 노출되게 된다.
전자메일을 통하여 받거나 보낸 메시지의 모든 내용이 하드디스크에 저장되어 있으므로○
이 내용이 유출되었을 경우 사용자가 언제 누구와 어떠한 내용의 메시지를 주고받았는지 알
수 있다.
모든 웹 브라우저는 자체내의 캐쉬를 사용하고 있다 이는 사용자가 같은 사이트를 반복.○
적으로 방문하 을 경우 그 페이지를 다시 다운로드하기 보다는 캐쉬에 저장되어 있는 내용
르 보여주도록 하여 시간을 절약하는 방법이다 하지만 공격자가 캐쉬 디렉토리를 찾아낼.
수 있다면 앞에서 언급한 바와 같이 사용자의 관심사항 및 항해 습관을 파악할 수 있으며
악성 코드를 캐쉬에 저장한 후 실행하게 하는 경우가 발생할 수 있다.
외부 프락시 서버를 사용할 경우 내부 네트워크에서는 사용자가 인터넷의 어느 곳을 방○
문하 는지 알 수 없지만 프락시 서버 운용자는 사용자의 인터넷 항해 내용을 전부 가지고
있다는 점이 불리하다.
자바와 자바 스크립트는 웹 페이지에 화려함을 더해 주지만 그에 따른 보안상의 많은 취○
약점을 가지고 있다 그러므로 사용자는 신뢰할 만한 사이트를 방문할 경우를 제외하고는.
자바와 자바 스크립트 기능을 사용하지 말 것을 권장하고 있다.
브라우저가 복잡한 기능을 제공함에 따라 사용자들이 브라우저가 내장하고 있는 보안 옵○
션을 이해하거나 관심을 두지 않는 경향이 있다 브라우저 구입시 설정되어 있는 기능은 사.
용자의 편의를 위주로 설정되어 있으므로 옵션을 적절히 설정하여 보안성을 강화시켜야 한
다.
브라우저가 다운로드받은 파일을 처리하지 못할 때 외부 프로그램을 이용하여 실helper○
행하게 된다 그러나 이 프로그램도 악성인 것이 있으므로 무턱 고 프로그램. helper helper
을 다운로드받아 플러그인 하면 안 된다.
브라우저가 제공하는 윈도우에 기술된 길고 장황한 설명을 다수의 사용자는pop-up○
읽으려 하지도 않고 무슨 내용인지 모르고 를 답하는 경향이 있는데 이는 보안 침해 공, yes
격에 좋은 여건을 제공하는 일이다.
호스트 보안2.
호스트는 웹 서버 프로그램이 수행되는 컴퓨터를 말하며 호스트가 안전한 운용체제 환경에,
서 운용되어야만이 이 위에서 동작되는 서버 프로그램이 안전하다 호스트를 안전하게 운용.
하기 위해서는 다음의 가지 사항을 준수해야 한다7 .
가 간략성.
안전한 정보 시스템을 구축하는 데에는 간략성이 매우 중요하다 웹 서버를 구축하는데 있.
어서 보안에 민감한 기능은 타시스템과 별도로 구축하여야 한다 또한 서버에 필요 없는 기.
능은 모두 없애야 한다 즉 데몬이 필요없다면 아예 없애도록 하며 컴파일러가 필. , NFS C
요 없다면 인스톨하지 말아야 한다 서버에서 많은 기능을 제공하면 할수록 각 기능의 취약.
점으로 인한 위험 부담을 감수하여야 한다 마지막으로 서버에 로그인할 수 있는 인원의 수.
를 최소화하여야 한다 관리자는 지속적으로 사용자 명단을 검토하여 불필요한 인원의 로그.
인을 가능한 한 줄이도록 노력하여야 한다.
나 슈퍼 유저 권한.
서버에 최소한의 기능만을 수행하도록 한다 하더라도 슈퍼 유저의 권한은 호스트 보안의 기
초가 되는 것으로서 꼭 권한을 필요로 하는 사람 이외에는 어떠한 방법으로도 슈퍼 유저 권
한을 가질 수 없도록 하여야 한다.
다 접근통제.
접근통제는 누가 무엇에 어떻게 접근할 수 있는가를 결정하는 것으로 서버에 한 접근통제
는 다른 시스템의 접근통제와 같으나 그것과 비교할 때 더 중요하다고 볼 수 있다.
라 책임추적성.
인터넷은 다양한 플랫폼의 컴퓨터가 상호 연결되어 운용된다 이러한 환경에서 정확하게 모.
든 시스템을 완벽하게 통제하기란 매우 어렵다 그러므로 누가 무엇을 사용하여 어떠한 작.
업을 수행하 는지에 한 정확한 정보를 기록해 두어야 한다 정확하게 통제할 수 없다면.
누구의 책임인가를 밝힐 수 있는 최소한의 정보는 기록해 두어야 한다.
마 감사.
호스트 보안을 담당하는 자는 컴퓨터 시스템에 능통한 자일 수도 있지만 인간이 완벽하지
않다는 점을 감안할 때 감사는 필수적이라고 할 수 있다 감사를 자주 할수록 보안에 유리.
하나 업무 효율성이 떨어질 수 있다 하지만 호스트 시스템이 자주 바뀐다거나 여러 사람이.
서버를 관리하는 경우 또는 관리해야 하는 데이터의 양이 많고 해커의 표적이 되는 서버를
운용할수록 감사는 자주 이루어져야 한다.
바 공고.
보안 취약점을 여러 사람에게 알리는 역할 역시 호스트 보안에 매우 중요하다 이는 시스템.
의 취약점을 파악하며 패치를 사용하여 시스템을 안전하게 하거나 사용자가 취약한 소프트
웨어를 사용하지 않도록 하여 안전한 시스템을 운용할 수 있도록 한다 시스템과 소프트웨.
어의 취약점을 파악하여 알려주는 기관이 있다 이들은 한국정보보호센터의 한국 전산망 침.
해사고 응지원팀 침해사고 응팀(CERTCC-KR); http://www.certcc.or.kr, (CERT);
미 에너지성의http://www.info.cert.org, Computer Incident Advisory Capability(CIAC);
와 등이 있다http://ciac.llnl.gov World Wide Web Consortium(W3C); http://www.w3.org .
사 복구.
정보보호에 있어서 가장 중요하면서도 기초가 되는 것이 바로 백업이다 아무리 시스템 관.
리자와 사용자가 완벽한 보호 체제를 갖추고 있다 하더라도 안전한 시스템이란 없다100% .
만약 시스템이 침해 사고를 당하거나 관리자 또는 사용자의 실수로 데이터나 시스템에 이상
이 생겼다면 사고 전 상태의 업무 환경으로 복구하는 것이 제일 급선무이다 이는 사고 전.
상태로 돌아가 지속적인 업무를 수행할 수 있도록 하는 최선의 방법이다 관리자는 정기적.
으로 시스템을 백업하여야 하며 특히 업무상 중요한 데이터는 자주 백업해 두어야 한다, .
서버 보안3.
앞에서 언급된 가지 사항을 잘 준수하여 안전한 호스트를 구축하 다면 다음은 그 위에 서7
버를 안전하게 구축하여 운용하는 것이다 서버는 다른 호스트와는 달리 위험에 매우 취약.
하다 그러므로 서버에 로그인 할 수 있는 사용자 인증 기능에 특별한 관심을 가져야 한다. .
다음은 서버의 안전한 설치와 관리 및 기본 인증 주소를 이용한 접근통제와 패스워드, IP
검사 및 네트워크 주소를 병합한 접근통제에 해 알아보기로 한다.
가 웹 서버의 안전한 설치와 관리.
루트가 아닌 웹 등과 같이 비특권 사용자로 서버 실행nobody, daemon,○
디렉토리의 접근권한 관리○
환경을 구성하여 하나의 가상 파일시스템 구축chroot○
침입차단시스템 과의 연계(firewall)○
비특권 사용자로 서버 실행1)
일반적으로 웹 서버는 가 하여 동작하지는 않는다 그러나 웹 서버인 가 일반inetd fork . httpd
적으로 를 통해서 루트 권한으로 동작한다 할지라도 일단 가 수행된 뒤에는inetd , httpd
구성파일에 지정된 로 동작하게 된다 부분의 경우 파conf/httpd.conf UID . conf/httpd.conf
일에 로서 루트를 설정해 두는 경우가 많은데 이는 매우 위험한 일이다 이러한 경우User , .
는 루트 권한으로 동작하고 있으므로 의 취약점을 통해 시스템 파일에 접근할 수httpd , CGI
있게 된다면 파일의 내용을 고치는 등의 크래킹이 가능하다 그러므로 아래와, /etc/passwd . ,
같이 파일에 와 을 설정한다conf/httpd.conf User Group .
를 수행하는 사용자나 그룹의 이름 또는 를 지정한다User/Group : httpd ID .
해당 는 임의로 설정할 수 있다 단 는 제외User webmaster : User . , root
내 임의의 도 설정가능Group staff : /etc/group group
즉 일단 루트가 시스템 부팅시에 를 동작시키더라도 파일을 참조하여, httpd , httpd.conf ,
프로세서의 소유자를 로 전환하게 되며 파일시스템에 해커가 접근 가능httpd ‘webmaster' ,
하게 되더라도 중요한 시스템 파일의 내용을 바꿀 수는 없게 된다, .
디렉토리 접근 권한2)
웹 서버가 설치된 디렉토리의 접근 권한 관리에도 매우 주의해야 한다.
drwxr-xr-x 5 WWW WWW 1024 Aug 8 00:01 cgi-bin/
drwxr-x--- 2 WWW WWW 1024 Jun 11 17:21 conf/
-rwx------ 1 WWW WWW 109674 May 8 23:58 httpd
drwxrwxr-x 2 WWW WWW 1024 Aug 8 00:01 htdocs/
drwxrwxr-x 2 WWW WWW 1024 Jun 3 21:15 icons/
drwxr-x---2 WWW WWW 1024 May 4 22:23 logs/
위와 같이 접근권한이 설정되어 있을 경우 어차피 데몬은 루트의 권한으로 수행되었httpd
다가 가 바뀌는 것이므로 차라리 내부의 공격에 비하여 소유자를 로 바꾸는 것이UID , root
더 나을 것이다 또한 외부인이 에 포함된 스크립트를 주의 깊게 살펴볼 수 있. , cgi-bin cgi
다면 취약점을 찾아낼 수 있으므로 디렉토리의 통제권한은 즉 로, cgi-bin 711 , rwx--x--x
해두는 것이 가장 바람직하다.
서버 구성 파일3)
웹 서버를 구축하면 다음과 같은 네 개의 파일이 생성된다 이 파일들은 웹 서버를 운용하.
는데 있어서 기본 옵션을 설정해주는 파일들이다 파일은 서버 관련 파일 및 서. access.conf
버에서 사용하는 문서파일에 한 접근통제 권한을 설정하여 준다 파일은 웹 서. httpd.conf
버 운용에 있어서 가장 기본적인 옵션을 설정하는 파일이다 파일은 파일 확장. mime.types
자와 파일형식간의 매핑 정보를 저장하여 둔다 파일은MIME . srm.conf server Resource
이라고 불리며 도큐먼트 소유자가 누구인지에서부터 시작하여 스크립트는 어디에Map , , CGI
존재하는지 등 서버의 자원에 관한 전반적인 내용을 담고 있는 설정파일이다 이러한 파일, .
들은 루트 외에는 통제할 수 있어서는 안 되므로 소유자는 반드시 루트이어야 하며 통제권,
한은 즉 으로 해두어야 한다600 , rw------- .
환경4) chroot
환경을 만들면 사용자가 설정한 디렉토리가 루트가 된다chroot .
외부의 접근시 상위 디렉토리 접근은 불가능하다 새 루트에는 인터프리터나 구성 파일이.
없어야 한다.
chroot /path/to/new/root /server-root/httpd
웹 서버와 침입차단시스템5)
침입차단시스템을 설치할 경우에는 침입차단시스템내의 내부 네트워크에 웹 서버를 설치하
는 것은 매우 위험하다 서버가 해킹 당한다면 침입차단시스템의 설치는 의미가 없어진다. .
그러므로 침입차단시스템 외부에 웹 서버를 설치해야 한다 그래서 웹 서버가 해킹 당하더.
라도 해커는 침입차단시스템을 뚫어야지만 내부 네트워크의 시스템에 접근할 수 있게 된다.
나 로그파일 관리.
서버 프로그램에는 라는 디렉토리가 존재하고 그 밑에는 와 라는 파logs , access.log error.log
일이 존재한다 에는 서버에 접근 성공한 내용이 기록되고 에는 접근에. access.log error.log
실패한 내용이 기록된다 에 기록된 내용을 보면 다음과 같다. access.log .
<xxx.xxx.xxx.18--[21/Nov/1996:15:10:53+0900]GET/security/title.html HTTP/1.0 200 325>
이 기록에 의하면 이라는 호스트에서 년 월 일 오후 시 분에 서, xxx.xxx.xxx.18 1996 11 21 3 10
버에 연결하여 파일을 열람했다는 것을 알 수 있다 에 남는 기, security/title.html . Error_log
록의 내용은 다음과 같다.
<[Wed Nov 1 14:37:09 1996] httpd: access to
/WWW/httpd/htdocs/auth3/tip.html failed for 111.111.111.111, reason: client denied by
server configuration>
이 기록은 문서에 년 월 일 오후 시 분에 누/WWW/httpd/htdocs/auth3/tip.html 1996 11 1 2 37
군가가 접근하려다가 서버가 요구하는 조건에 맞지 않아 접근이 거부되었던 것을 알 수 있
다.
와 를 사용하여 서버의 이용상태에 한 정보를 파악할 수 있고 만약 서access.log arror.log ,
버에 문제가 발생했을 경우 이 로그 파일을 통하여 침입에 한 증거를 확보할 수 있다 하, .
지만 이 파일이 불법침입과 같은 사고를 미리 방지해 줄 수는 없으며 위의 형태와 같은 자,
료가 파일에 계속 누적되어 쌓이므로 나중에 문제가 발생하여 파일을 검사할 때에 검색자에
게 편리한 인터페이스를 제공해 주지 못한다 더욱이 접근이 빈번하게 일어나는 서버의 경.
우 이 로그파일의 크기가 빠르게 커지기 때문에 로그 파일의 유지 관리가 문제점으로 남게,
된다.
다 사용자 와 패스워드를 이용한 기본 인증. ID (Basic Authentication)
버전 부터 제공된 클라이언트 인증방법이다 에서 지원하기 때문에HTTP 1.0 . HTTP HTTP
를 사용하는 모든 브라우저와 서버 사이에서 이용할 수 있다 이 방법을 사용하기 위해서는.
몇 개의 파일을 작성해 주어야 한다 필요한 파일은 이다 각. .htaccess, .htpasswd, .htgroup .
파일의 내용을 보면 는 접근통제를 요구하는 디렉토리마다 하나씩 존재한다 이, .htaccess .
파일에는 해당 디렉토리에 접근을 허용하는 사용자 의 목록 파일의 위치 등을ID , .htpasswd
명시해준다 내용을 보면 다음과 같다. .
AuthUserFile /otherdir /.htpasswd
AuthGroupFile /dev/null
AuthName ByPassword
AuthType Basic
<Limit GET>
require user foo
</Limit>
위의 내용을 살펴보면 제일 윗줄의 에는 사용자의 패스워드를 저장하고 있는, AuthUserFile
파일의 패스를 지정해 준다 에는 각 사용자의 등록된 로그인명과 암호화된 패스. .htpasswd
워드가 저장되어 있다.
접근이 허용된 사용자의 수가 많을 경우 관리의 효율성을 위해 파일을 만들어 모, .htgroup
든 사용자 를 저장하고 파일에는 파일이 있는 곳의 패스를 지정해 준ID , .htaccess .htgroup
다 사용자 를 모두 저장하고 있는 파일을 지정해 준 곳이 두 번째 줄의. ID AuthGroupFile
이다 의 는 접근통제 방식으로 패스워드를 사용하고 있다는 것을 나. AuthName ByPassword
타낸다 위에서 은 이 방법이 기본인증 이라는 것을 나타낸. AuthType (Basic Authentication)
다 은 이 접근통제 방식은 메쏘드 를 이용한 요청에 해당한다. <Limit GET> GET (method)
는 것을 나타낸다 는 패스워드 검사를 통해 접근이 허용되는 사용자의 리. Require user ID
스트를 지정해 놓는다 위의 예에서는 에게 접근이 허용되고 있다 는 올바른 패스워. foo . foo
드를 입력함으로써 해당 디렉토리에 있는 자료 열람이 허용된다.
하지만 이 방법이 완벽한 접근통제를 구현해 주는 것은 아니다 클라이언트가 입력한 패스, .
워드는 암호화되지 않고 단지 된 형태로 서버에까지 전송되기 때문에 도중에 네트uuencode
워크 상에서 패스워드가 노출될 수 있다 패스워드가 노출되면 접근권한이 없는 사람이 그.
패스워드를 사용하여 적합한 사용자인 것처럼 가장한 후 서버에 접근할 수 있다 또한 등록.
되어 있는 사용자의 수가 너무 많거나 이의 패스워드를 자주 변경해 주어야 할 경우에는,
서버 관리자에게 너무 큰 업무부하가 주어지는 문제점이 발생한다.
라 주소를 이용한 접근통제. IP
사용자 인증을 위해서 에서 제공하는 또 하나의 방법으로 클라이언트의 주소를 이HTTP IP
용한 접근통제 방법이 있다 이 방법을 사용하기 위해서는 파일에 사용자 가 아. .htaccess ID
닌 클라이언트의 주소를 지정해 줌으로써 접근을 허용하거나 거부할 수 있다 만약. ,
이라는 도메인에서 오는 요청을 허용하려면 파일에xxx.xxx.xxx .htaccess allow from
이라고 지정해 주고 거부할 경우에는 신에 를 사용한다xxx.xxx.xxx.* , allow deny .
<Limit GET>
order deny, allow
deny from all
allow from xxx.xxx.xxx.*
</Limit>
그 이외의 다른 곳에서 오는 요청은 거부한다는 것을 알 수 있다 이 방법은 사용자 와. ID
패스워드가 네트워크를 통해 전송되지 않아도 된다는 점에서 더욱 간단하고 안전하다고 볼
수 있다 하지만 개의 해커가 자신의 주소를 변조할 수 있다는 점을 감안할 때 반드시. , IP
안전하다고는 할 수 없는 방법이다.
마 패스워드 검사와 네트워크 주소를 병합한 접근통제.
접근통제를 하는 부분의 서버는 패스워드를 검사하는 방법과 네트워크 주소로 접근을 제
어하는 두 가지 방법을 혼합하여 사용하고 있다 에서 오는 요청 중에서 에. xxx.xxx.xxx foo
해서만 패스워드를 검사하여 접근을 허락하고 그 이외의 도메인이나 에 있, xxx.xxx.xxx.*
는 사람일지라도 이외의 사람에게는 접근을 허용하지 않는다 이를 표현하는foo . .htaccess
파일의 구성은 다음과 같다.
AuthUserFile /otherdir /.htpasswd
AuthGroupFile /dev/null
AuthName ExampleAllowFromChungNam
AuthType Basic
<Limit GET>
order deny allow
deny from all
allow from xxx.xxx.xxx.*
require user foo
</Limit>
두 가지 방법을 혼합하여 좀 더 안전한 인증을 꾀하고 있지만 패스워드가 평문으로 전송된,
다는 점과 주소가 변경될 수 있다는 점을 근본적으로 고치지는 못한다IP .
제 절 및 자바 보안3 CGI
1. CGI(Common Gateway Interface)
는 웹 서버에서 외부 프로그램이나 소프트웨어를 실행하는 가장 간단한 방법이다 즉CGI . ,
클라이언트가 과 기타 정보를 이용해 웹 서버에게 요청하면 웹 서버가 적절한 방법으URL
로 스크립트를 실행하게 되고 이후에는 스크립트가 그에 한 응답을 책임지게CGI CGI
된다 물론 부분의 클라이언트는 웹 브라우저이므로 의 실행 결과는 일반적인. CGI HTML
문장이 된다.
가 의 특징. CGI
한마디로 를 표현하자면 프로그램이 만들어내는 문서라 할 수 있기 때문에CGI HTML
의 장점과 한계를 부분 같이 가지게 된다HTML .
서버를 일관된 방법으로 확장할 수 있다 현재까지의 웹은 웹 브라우저와 서버간의 통. :◯신으로 이루어진다 통신 방식은 라고 하지만 부분의 내용은 로 작성된 문. HTTP , HTML
서이다 는 이 구성에서 벗어나지 않고 외부 실행 파일을 실행해 그 결과를 볼 수 있는. CGI
가장 간단한 방법이다 즉 그 자체가 문서라고 보아도 무방하다 그러므로 지금까지. HTML .
사용해 온 방법을 그 로 적용할 수 있으며 별도의 프로토콜이나 처리가 필요하지 않다, .
표준이다 모든 는 명령행 이나 표준 입력 환경변수를 통해 인수를. : CGI (command line) ,◯받고 표준출력으로 자료를 출력한다 또한 주고받는 환경변수 등이 잘 정의되어 있으면 모, .
든 서버에서 같은 방식으로 지원할 수 있다 그러므로 서버와 모든 브라우저에서 외부 프로.
그램을 실행할 수 있는 방법이라 할 수 있다.
로 참조할 수 있다 등과 같이 를 직접 지정할URL : http://foobar/cgi-bin/foobar.cgi CGI◯수 있다 즉 입력에서 직접 에 한 을 적는 것만으로 웹 서버에 있는. URL CGI URL CGI
프로그램을 실행시킬 수 있다 그러므로 정보 검색 시스템은 로 이루어진 문서를 지원할. CGI
수 있지만 이외의 다른 방법으로는 이런 작업을 수행할 수 없다, .
웹 서버에만 설치하면 된다 동일한 작업을 로 구현할 수 있고 넷스케이프 플러그: CGI ,◯인 또는 인터넷 익스플로러의 고유 기능을 이용해 구현할 수 있다.
그러나 서버 관리자의 입장에서 보면 특정 브라우저에 의존하거나 또는 모든 방문자에게 플
러그인 같은 소프트웨어를 설치해 준다는 것은 사실상 어려운 일이다 그러므로 서버 관리.
자의 관점에서는 가 가장 적당한 해결책이 될 것이다CGI .
나 의 문제점. CGI
이것은 의 문제점을 지적할 때 꼭 지적되는 사항으로 충분히 검증되지 않은 가 서CGI CGI
버에 설치된다면 보안에 구멍이 생길 수 있다 그와 함께 등의 부분의 서. NCSA, CERN
버에서 지원하는 디렉토리별 인증 시스템은 에 해서는 아무런 효력이 없다CGI .
파일의 내용을 보여 주는 가 설치되어 있다면 어떤 디렉토리에 어떤 파일 있다는 것을CGI ,
짐작할 수 있는 경우 나 과 같은 방법으로 이루어진 인증 시스템은 무의미htpasswd htgroup
해진다 예를 들면 이라는 디렉토리에 로 기본 인증기능을 설치한. , /secret htpasswd (Basic)
라는 로 참조하면 사용자 와 비 번호를 입력하는 다이얼http://foobar/secret/passwd URL ID
로그가 실행되어 그에 한 인증절차를 거치지만
라는 로 참조할 경우에는 인증 과정 없이http://foobar/cgi-bin/listfile.cgi/secret/passwd URL
파일의 내용을 볼 수 있게 된다.
서버에서의 가장 큰 보안 취약점은 주로 의 문제점에서 시작된다 프로그램은 사용CGI . CGI
자 입력을 입력 값으로 받아 실행된다 만약 프로그램에서 입력 값에 한 아무런 확인. CGI
도 하지 않는다면 사용자는 입력 값 뒤에 의 특수문자와 악성 명령어를 추가시켜 시스템OS
에 엄청난 피해를 입힐 수 있다 전자우편을 서버에 보내는 프로그램일 경우 프로그램. CGI ,
코드 안에 과 같은 라인이 존재하게 된다system(/usr/lib/sendmail -t $USER < input_file) .
클라이언트는 변수에 와 같은USER USER = [email protected] < /dev/null ; rm -rf /
값을 주면 명령이 수행되면서 먼저 지정된 주소로 빈 메일을 보내고 특수문자인, system ,
로 분리된 두 번째 명령인 을 수행하여 모든 파일을 삭제하게 된다“;” rm .
그러므로 프로그램이 사용자의 입력을 받아 실행되는 프로그램이라면 입력 값 내의 특CGI
수문자 존재 여부를 확인하여야 할 것이다 또한 최근 권고문 에 발표된. CERT 96.06 NCSA
와 버전 이전 버전 포함 에 포함된 예제 코드의httpd_1.5a-export APACHE httpd_1.0.3 ( ) CGI
버그를 이용하여 임의의 명령을 수행할 수 있다 라는 예제 프로그램은 이. phf CGI system()
나 과 같은 쉘 기반의 버그를 방지하기 위한 라이브러리 함수가open() escape_shell_cmd()
있는데 이 함수를 이용하는 다른 프로그램도 공격 상이 될 수 있다CGI .
다음과 같은 을 사용하여 패스워드 파일과 디렉토리 구조를 구할 수 있다URL .
http://xxx.xxx.xxx/cgi-bin/phf?Qalias=x%0a/bin/la%20-la%20
http://xxx.xxx.xxx/cgi-bin/phf?Qalias=x%0a/bin/cat%20/etc/passwd
또 다른 관련 문제로 와 서버의 디렉토리에 있는 프CGI NCSA APACHE cgi-bin test-cgi
로그램에 다음과 같은 코드가 있다.
echo QUERY_STRING = $QUERY_STRING
이 코드는 와 같은 문자를 포함하는 질의어 를 보내면 확장자로 쓰여 디렉토리내“*” (query)
의 모든 파일을 되돌려 주고 와 같은 질의어 를 보내면 디렉토리의 리스트“/*” (query) root
를 되돌려 준다.
% echo "GET /cgi-bin/test-cgi?/*" | nc host.domain 80
% echo "GET /cgi-bin/test-cgi?*" | nc host.domain 80
또는
%telnet host.domail 80
GET /cgi-bin/test-cgi?*
자바 보안2.
자바 언어로 작성된 애플릿은 조그마한 프로그램으로서 멀티미디어에 중점을 두었으며 클라
이언트는 서버의 애플릿을 다운로드 받아 클라이언트의 자원을 사용하여 클라이언트에서 실
행하도록 되어 있다 이는 서버의 자원을 사용하지 않는다는 점에서 분산환경 컴퓨팅을 실.
현화하 으며 쓰레드 기능을 사용하여 애니메이션 사운드 등 여러 기능을 한꺼번에 실행하,
도록 하여 사용자뿐만 아니라 프로그래머의 사랑을 독차지하 다 반면에 애플릿은 많은 보.
안상의 취약점이 발견되어 많은 전문가들은 브라우저의 자바 기능을 사용하지 말 것을 권하
고 있는 실태이다.
애플릿은 사용자에게 미치는 피해의 정도에 따라 적의적 애플릿과 악성(Hostile) (Malicious)
애플릿으로 구분된다 적의적 애플릿은 다운로드된 애플릿이 실행될 경우 시스템에 치명적.
인 피해를 입히는 것을 말하며 악성 애플릿은 백 그라운드 사운드를 지속적으로 플레이하거
나 시스템의 모든 자원을 소모시켜 사용자의 시스템을 다운시키는 등 사용자를 성가시게 하
는 것을 말한다 다음은 발견된 적의적 및 악성 애플릿을 정리하 다. .
가 적의적 애플릿.
적의적 애플릿은 로컬 컴퓨터의 권한으로 실행되므로 자바 언어에서 다운로드된 프로그램에
적용되는 모래박스 의 제한을 받지 않아 시스템의 모든 데이터를 지우는 등의 치(Sand Box)
명적인 행동을 할 수 있다 다음은 적의적 애플릿이 발견된 날짜별로 정리하 다. .
표 악성 애플릿[ 13-1]
취약점명 날짜취약점이 발견된브라우저
수정 버전 취약점
Jumping theFirewall
년 월1996 1 네비게이터 2.0 네비게이터 2.1자바 통신 소프트웨어의 취약점
Slash and Burn 년 월1996 3 네비게이터 2.01 네비게이터 2.02내부 클래스 참조의 취약성
Applet runningWild
년 월1996 3 네비게이터 2.01 네비게이터 2.02자바 바이트 코드 검사기와 자바 클래스 코딩기법의 취약점
Casting Cautionto the Wind
년 월1996 5네비게이터 2.02익스플로러 2.0B2
네비게이터 3.0B3익스플로러 2.0B2
자바 번역기 응용 취약점
T a g - T e a mApplets
년 월1996 6 네비게이터 3.0B3 네비게이터 3.0B4자바 번역기 응용 취약점
You are notmy Type
년 월1996 6 네비게이터 3.0B5 네비게이터 3.0B6자바 배열타입 응용의취약점
Casting Cautionto the Wind
년 월1996 7 네비게이터 3.05B 네비게이터 3.0B6 자바 번역기의 취약점
Big Attackscome in SmallPackages
년 월1996 8 익스플로러 3.0B3 익스플로러 3.0B4내부 클래스 참조의 취약점
Digital Sign 년 월1997 4핫자바 의 아1.0 J1.1.1
핫자바 의 아1.0 J1.1.2
디지털 사인 데이터베이스 취약점
나 악성 애플릿.
악성 애플릿은 사용자에게 치명적인 피해를 입히지 않는다 악성 애플릿의 공격을 받았을.
경우 브라우저를 다시 실행하거나 컴퓨터를 재부팅하면 된다 악성 애플릿은 단순히 사용자, .
가 원하지 않는 이미지를 모니터에 디스플레이 하는 것부터 시스템의 자원을 모두 사용하여
작업을 더 이상 수행할 수 없는 상황을 초래하는 것 등이 있다 다음은 악성 애플릿의 종류.
들을 나열하 다.
성가신 애플릿1) (annoying applet)
악성 애플릿 중 가장 간단한 기법을 사용하는 것으로서 사용자를 성가시게 하는 애플릿이
다 이들은 배경 사운드를 지속적으로 발생시키거나 성인용 이미지를 화면에 디스플레이 하.
는 등의 일을 한다.
서비스 거부 공격2) (Denial of Service)
서비스 거부 공격은 시스템의 모든 자원 사이클 메모리 화면 등 을 사용함으로써 사(CPU , , )
용자가 컴퓨터를 사용하지 못하는 상황을 초래하게 하는 방법이다 이 공격은 빠른 시간 내.
에 이루어지거나 사용자가 모르는 사이에 컴퓨터의 자원을 소모하므로 사용자가 공격을 중
단시키지 못하게 된다 잘 알려진 서비스 거부 공격의 하나는 화면에 여러 개의 형 윈도.
우를 생성하여 시스템을 다운시키는 것이 있다.
시간 훔치기3) CUP (Stealing CPU time)
자바의 장점은 애플릿을 사용하여 여러 시스템에 저장되어 있는 코드를 다운로드 받아 사용
할 수 있다는 점이다 다시 말하면 공격자의 시스템에 저장되어 있는 코드를 여러 웹 항해.
자에게 다운로드 받아 실행하도록 한 후 애플릿 소유자의 시스템과 통신 연결하여 그 결과,
를 전송하도록 하는 것이다.
전자우편 위조4)
이 기법은 잘 알려진 방법으로서 포트 를 사용하여 데몬과 직접 화를 하여 전25 sendmail
자우편을 전송한다 전자우편 위조 공격은 인터넷의 표준을 사용한 것으로서 우편을 사용하.
는 호스트는 포트 를 통해 들어오는 우편을 모니터하도록 되어 있다 유닉스 윈도25 SMTP . ,
우 와 윈도우 등은 이러한 기법을 사용하고 있다 이 애플릿은 피해자가 악성 애프릿95 NT .
을 다운로드 받으면 피해자의 이름과 컴퓨터를 사용하여 전자우편을 전송한다 이 공격은.
피해자의 컴퓨터에서 전자우편이 전송됨으로써 위조 우편인지 정상적인 우편인지 판단할 수
없다.
애플릿 암살자5)
애플릿 암살자라는 이름을 가진 애플릿은 사용자의 인터넷 웹 항해를 모니터하며 다운로드
되어 실행되는 모든 애플릿 쓰레드를 종료시킴으로써 결과적으로 애플릿을 종료시킨다 사.
업 암살자 애플릿은 특정한 사이트에서 다운로드 된 애플릿만을 종료시키지만 애플릿 암살
자는 모든 애플릿의 쓰레드를 종료시킨다 자바 규칙에 의하면 애플릿의 쓰레드는 다른 애.
플릿의 쓰레드를 종료시키지 못하게 되어있으나 불행히도 이 규칙이 올바르게 적용되지 않
아 다른 애플릿의 쓰레드를 종료시킬 수 있게 되어있다.
제 절 웹 보안관련 기술4
1. SHTTP(Secure HTTP)
년 에 보안요소를 첨가한 가 발표되었다 는 범용으1994 HTTP Secure HTTP . Secure HTTP
로 사용될 수 있도록 설계되었으며 트랜잭션의 기 성 인증 무결성 등을 지원해준다 응용, , .
레벨에서의 메시지 암호화를 통해 안전한 트랜잭션을 보장해 주고 사의, RSA Data Security
공개키 암호 알고리즘을 이용하여 서버와 클라이언트가 공유하여야 하는 정보 세션키 등을( )
암호화하여 전송한다.
가 의 특징. SHTTP
클라이언트와 서버에서 행해지는 암호화 동작이 동일하다 즉 요청과 응답에 같은 암호. ,◯화 처리를 한다.
가 가지고 있는 트랜잭션의 형태를 변화시키지 않으며 의 특성을 모두 보존HTTP HTTP◯하고 있다.
등 여러 암호 알고리즘에 사용되는 다양한 암호문 형태를 지원한다PKC-7, PEM, PGP .◯클라이언트의 공개키를 요구하지 않으므로 사용자 개인의 공개키를 선언해 놓지 않고,◯
사적인 트랜잭션을 시도할 수 있게 한다 그러므로 서버보다는 클라이언트에 좀 더 비 스.
러운 입장을 유지할 수 있도록 해 주었다.
선택 협상 과정이 있기 때문에 획일적인 암호화를 지양하고 다양한(Option Negotiation)◯암호 알고리즘 모드 매개변수의 사용에 융통성을 제공해 주고 있다, , .
2. SSL(Secure Socket Layer)
은 사에서 개발한 것으로 응용프로그램 프로토콜과SSL Netscape Communications TCP/IP
사이에 위치하며 자료의 암호화 서버의 인증 메시지의 무결성을 제공해 주고 있다 서버에, , .
한 인증은 반드시 수행되지만 클라이언트에 한 인증은 선택적으로 수행할 수 있는 방법
을 제공해준다.
은 서버와 클라이언트 양쪽의 연결을 위해서 핸드쉐이크 프로토콜을 수행한다SSL TCP/IP .
이 결과로 양쪽은 암호화 통신에 합의하고 암호화 통신과 인증에 필요한 값을 준비한다 이, .
단계가 지나면 은 응용프로그램 프로토콜에서 생성해 낸 바이트스트림의 암호화와 복호SSL
화만 수행하게 된다 이는 요청과 응답에 포함되는 모든 정보 양식자. HTTP HTTP (URL,
료 접근통제 인증자료 가 암호화되어 전송된다는 것을 의미한다 핸드쉐이크 프로토콜을, ,...) .
그림으로 나타내면 다음과 같다.
그림 프로토콜( 13-1) Handshake
은 번호 번을 사용하고 같은 서버에서 안전한 서버와 안전하지 않은 서버를SSL port 443
모두 운 할 수 있다 예를 들면 상점의 경우에 상품을 소개하는 자료는 반드시 안전해야. ,
할 필요가 없으므로 안전하지 않은 서버에서 운 하여 모두에게 공개하고 주문과 지불에,
관련한 자료는 안전한 서버에서 관리할 수 있다.
가 의 특징. SSL
자료의 암호화를 위한 비 키를 핸드쉐이크 프로토콜 단계에서 정한 후 그 키를 사용하◯여 암호화된 메시지로 통신하기 때문에 기 성이 보장된다.
공개키 알고리즘을 사용하여 상 방의 신원을 인증할 수 있다.◯안전 해쉬함수 를 사용하여 메시지인증코드(Secure hash function[MD5, SHA,...])◯
를 만들어 메시지에 포함시키기 때문에 통신이 신뢰성 있다(Message Authentication Code) .
나 와 의 관계. Secure HTTP SSL
와 은 서로 다른 통제 방법을 가지고 있다 은 와 같은Secure HTTP SSL SSL HTTP, NNTP
응용프로그램 프로토콜의 하위에서 동작하는 것에 반해 는 처럼 메시지, Secure HTTP PEM
기반인 통제 방법을 사용한다 하지만 이 둘은 서로 배타적인 구조를 가지고 있는 것이 아.
니기 때문에 위에 가 위치하는 구조로 각자가 가지고 있지 않은 부분을SSL Secure HTTP
서로 보완하여 새로운 웹 보안 메커니즘을 개발할 수 있다 와 은 모두가. Secure HTTP SSL
공식적인 표준으로 지정되어 있는 상태가 아니므로 현재 사와EIT Netscape
사는 공동연구를 통해 와 을 하나의 방법으로 통합하는Communications Secure HTTP SSL
방법을 개발하여 공식 표준으로 만들기 위해 노력하고 있다.
제 절 요약5
인터넷의 증가와 웹의 기하급수적인 성장으로 말미암아 관련 취약점 또한 그 종류가 다양해
지고 기술적으로 복잡해지고 있다 특히 웹에 관련된 웹 서버나 클라이언트 구현상의 문제.
뿐 아니라 취약성 문제 그리고 새로운 통신형태인 자바에 관련된 취약성도 속속 알려CGI
지고 있는 추세이다 이런 여러 취약성을 막기 위해서는 웹 서버의 보안을 강화시키거나 웹.
브라우저를 최근의 것으로 패치하여야 한다 그리고 프로그래밍시 취약요소를 철저히. CGI
배제하여 작성하여야 하며 자바는 안전한 사이트 방문을 제외하고는 사용하지 않는 것이 바
람직하다.
그러나 이런 단편적인 응으로는 웹을 이용한 전자상거래 등 앞으로 지속적으로 발전할 웹
환경에 처하기에는 부족하며 등 새로운 웹 관련 프로토콜 개발이나 관련SHTPP, SSL
연구가 지속적으로 이루어져 새로운 웹 보안체계가 정착되어야 한다 웹 보안기술은 아직까.
지는 과도기라고 보며 보다 중요한 것은 현재 자신의 웹 보안환경을 체계적으로 구축하고
새로운 기술에 해서 지속적인 관심을 가지고 적용하는 것이라 하겠다.
참고 문헌
박현제 인터넷 입문[1] , , KRNET 96, 1996.
권도균 전자 거래 보안[2] , , NETSEC-KR 96, 1996.
[3] Greg Bossert, Requirements for HTTP Security, Internet-Draft, 1995.
[4] Adam Cain, Introduction to Web security, 2nd WWW-Forum KR, 1995.
[5] E. Rescorla, The Secure HTTP, Internet-Draft, 1995.
[6] Alan O. Freier, The SSL Protocol, Internet-Draft, 1996.
[7] Adam Cain, Kerberizing the Web, http://snapple.ncsa.uiuc.edu/adam/khttp/intro.html,
1996.
강신각 제 회[8] , “WWW Security & Payments", 4 WWW-KR workshop, 1996.
권도균 제 회[9] , “Cryptography Programming", 4 WWW-KR workshop, 1996.
[10] Aviel D. Rubin, Daniel Geer, Marcus J. Ranum, Web Security Sourcebook, Wiley
Computer Publishing, 1997.
[11] Debra Cameron, Security Issues for the Internet and the World Wide Web,
Computer Technology Research Corp, 1997.
[12] Lincoln D. Stein, The World Wide Web Security FAQ,
http://www.genome.wi.mit.edu/WWW/faqs/www-security-faq.html
[13] James Gosling, Bill Joy, Guy Steele, The Java Language Specification,
Addison-Wesley, 1996.
[14] James Gosling, Henry McGilton, The Java Language Environment, Sun
Microsystems Computer Company, http://java.sun.com/whitePaper/javawhitepaper_1.html
[15] Sun Microsystems Computer Company, The Java Virtual Machine Specification,
ftp://ftp.javasoft.com/docs/vmspec.ps.zip, 1995.
제 장 통신 및 네트워크 보안14
제 절 개요1
정보통신 및 전자기술의 발전에 힘입어 현 사회는 과거 산업사회로부터 정보사회로 급속하
게 진전되고 있으며 최근 그 발전 속도는 엄청난 가속력을 가지고 빠르게 진행되고 있다.
그 결과 과거에는 상상조차 할 수 없었던 정보서비스의 편리함과 효율성 그리고 신속성을
제공받고 있다 또한 이러한 결과는 통신 및 컴퓨터 네트워크를 통하여 모든 사람에게 전달.
가능하게 됨으로써 어느 누구가 이와 같은 문명의 이기를 공유할 수 있게 되었다.
그러나 이와 같은 문명의 이기가 전 세계 각계각층의 사람들에게 공유되고 상호 전달되면서
단순한 흥미 목적으로 이를 파헤쳐 보고자 하는 시도에서부터 극단적인 시스템 파괴에 이르
는 등의 예상치 못한 역기능이 발생하게 되었다 이렇듯 통신 및 컴퓨터 네트워크는 컴퓨터.
시스템간 상호접속 및 정보교환 편리한 창구역학을 하는 반면 누구든지 자유롭게 접근이,
가능하므로 시스템 침입자에 의한 보안사고의 위험이 상존하고 있다.
현존하는 통신매체의 제 자가 통신로 상의 정보를 획득하고자 한다면 기술상의 어려움은 있3
지만 거의 모든 정보가 획득가능하다고 할 수 있다 예를 들면 현존하는 통신로 상으로 가.
장 안전하다고 하는 광섬유를 사용하는 광통신에서도 광섬유를 적당히 구부려 광섬유 내에
서의 반사조건을 변경시킴으로써 전송되는 광신호의 일부를 광섬유 밖으로 유출하여 정보를
획득할 수가 있다 따라서 현재 존재하는 모든 통신선로 상의 정보는 항상 획득할 수 있다.
고 가정해야 한다 이런 가정 하에서 통신선로 상의 정보를 보호할 수 있는 방법을 찾는 것.
이 통신 및 네트워크 정보보호의 가장 큰 목적이라 할 수 있다.
본 장에서는 통신시스템 모델링을 중심으로 전통적인 통신보안에 하여 간단히 기술하고
컴퓨터가 근간이 되고 있는 최근 컴퓨터 네트워크에 하여 상세히 기술한다.
통신 시스템 모델링1.
통신 시스템의 모델은 그림 과 같이 나타낼 수 있다 송신 측에서의 디지털 데이터로( 14-1) .
변환되어 부호화된 음성 화상 등의 아날로그 신호나 컴퓨터에서 처리되는 데이터는 통신로,
에서 전송되기 알맞은 형태로 진폭 주파수 또는 펄스 폭이나 펄스위치가 변조되어 전송로,
로 보내진다 전송로는 잡음에 매우 민감하므로 통신로상의 신호는 잡음에 의해 변화되어.
수신 측에 전달된다 수신 측에서는 이것을 복조하여 원래의 아날로그 신호나 데이터로 복.
원하는 과정을 수행한다 이것은 잡음에 의한 변화를 파악하는 과정으로 통신보안에서 가장.
중요한 암호화와 복호화의 과정과 동일하다고 볼 수 있다.
그림 통신 시스템 모델( 14-1)
통신에서의 위협요소2.
통신 시스템뿐만 아니라 일반적인 정보시스템에서의 위협요소는 위협의 주체에 따라 인간에
의한 위협과 자연재해에 의한 위협으로 나눌 수 있다 본 절에서는 인간에 의한 위협요소.
중에서 의도적인 위협요소에 해 기술한다.
그림 일반적인 암복호화 과정( 14-2)
첫 번째는 물리적 위협으로서 통신시스템에 한 직접적인 파괴나 손상을 입히는 행위 또는
도난 등이 있을 수 있다 두 번째는 기술적 위협으로서 일반적으로 통신에 해 어느 정도.
의 지식을 가지고 있는 사람에 의해 가해지는 위협이며 크게 수동적 공격과 능동적 공격 두
가지로 나눌 수 있다 수동적 공격은 통신 선로 상에서 무단으로 정보를 취득하고자 하는.
행위이고 능동적 공격은 통신선로상의 정보를 변조 위조하고자 하는 행위이다 통신보안은, .
이러한 수동적 공격과 능동적 공격에 한 응을 총칭하는 것이다.
수동적 공격에 한 방어는 통신로에 한 제 자의 접속시도를 방지하는 방법과 통신로 상3
의 데이터를 암호화함으로써 기 성을 보장하여 인가되지 않은 자가 취득하는 데이터를 무
의미하게 만드는 방법이 있다 그러나 유선과 무선의 통신로가 혼합되어 있는 현재의 상황.
에서는 통신로에 한 접속접근만으로는 수동적 공격에 한 방어가 미흡하므로 암호화 방
법을 함께 사용하고 있는 실정이다 능동적 공격에 한 방어는 암호화와 함께 데이터의 결.
함 유무를 확인하는 방법에 의해 수신 측에서 데이터에 한 무결성을 확인하는 방법이 주
로 사용된다.
통신보안 장비는 부분 분식의 위험과 침입의 위험을 지니고 있으며 소프트웨어는
나 논리 폭탄 트로이 목마 등을 포함하고 있다trapdoor (logic bumb), (trojan horse) .
통신 시스템에 한 공격의 표적 유형은 다음과 같은 것이 있다.
통신에 한 도청◯메시지 분배 변조◯메시지 분배 복사◯시스템 불법 과부하◯터미널의 도청◯컴퓨터 버스의 도청◯입력되는 패스워드의 관찰◯
네트워크 보안3.
년 월 여 의 컴퓨터시스템을 정지시킴으로써 인터넷을 마비시켰던 미국의 인터1988 11 , 7000
넷 벌레 사건을 필두로 불법적인 해킹사례가 증가하여 왔으며 국내에서도(Internet Worm)
정보통신 서비스가 활발해짐에 따라 다수의 보안사고가 발생하고 있다.
그러므로 정보교류의 기반이 되는 컴퓨터 네트워크의 안전 필요성이 더욱 높아지고 있으며
네트워크를 경유한 외부로부터의 침입시도를 차단하고 기능을 정상적으로 유지하는 것은 건
전하고 효율적인 정보화 사회의 유지 및 발전을 위하여 매우 중요한 요소로 등장하게 되었
다.
초기 네트워크의 관리는 그 규모 및 기술적인 측면에서 비교적 단순하 지만 사용자의 증가
및 요구 기술수준의 향상 그리고 다양한 장비를 네트워크 관리에 한 표적인 표준안인,
이 제안되었으며 년에는 정보보호 특성SNMP(Simple Network Management Protocol) 1993
을 정의한 가 제안되었다 프로토콜 뿐만 아니라 인터넷 프로토콜인 가SNMPv2 . OSI TCP/IP
바로 이 를 사용하고 있다SNMP .
본 장에서는 이와 같은 컴퓨터 네트워크의 보안기술에 한 일반적 사항인 컴퓨터 네트워크
의 분야 및 목표 서비스 등에 하여 소개하고 전형적인 개방 시스템 상호접속, (OSI, Open
에 기초한 보안 그리고 최근 계속하여 그 사용이 증가하고 있는Systems Interconnection) ,
근거리 통신망 의 보안 등에 하여 기술한다(LAN, Local Area Network) .
제 절 컴퓨터 네트워크 보안의 분야 및 목표2
컴퓨터 네트워크 보안의 분야 및 목표는 네트워크 자체 측면에서 보면 네트워크의 용도 구,
성 및 규모에 따라 다르고 네트워크 사용자의 측면에서 보면 네트워크 관리자 네트워크 사,
용자 및 네트워크 개발자의 입장 등이 서로 다르지만 일반적으로 다음과 같은 분야 및 목표
를 공통점으로 가진다.
비 성 의 유지 및 보장1. (confidentiality)
전송되는 데이터가 확인되지 않고 원치 않는 상 방에게 노출되지 않도록 하는 것으로서 비
성은 컴퓨터 네트워크 보안기술이 추구하고 있는 가장 근본적이고 기본적인 목표이다 컴.
퓨터 네트워크를 이용하여 통신하는 사용자간에 교환되는 정보에 해서는 비 이 보장되어
야 하고 인가된 사용자 외에는 해당 정보에 한 접근이 원천적으로 차단되어야 하는 것을
의미한다.
무결성 유지 및 보장2. (integrity)
컴퓨터 네트워크를 통하여 송수신되는 정보의 내용이 불법적으로 생성 또는 변경되거나 삭
제되지 않도록 보호되어야 하는 것을 의미한다.
또한 정보가 변조된 경우에는 이를 탐지해 내고 경고하는 것 또한 정보의 무결성을 유지하
기 위한 중요한 기능이다.
데이터 발신처 확인3. (data-origin authentication)
원격지로부터 전송받은 데이터가 원하는 곳으로부터 올바르게 전송된 것인지 확인하는 방법
으로서 컴퓨터 네트워크를 통하여 송수신되는 정보는 반드시 확인된 곳으로부터 정확하게
전송되어야 한다.
통신사실의 부인 방지4. (nonrepudiation)
컴퓨터 네트워크 상에서 전송측이든 수신측이든 통신에 참여했던 사실을 부인하지 못하도록
하는 방법으로서 통신 경로 및 행위 추적을 위한 중요한 기능이다.
사용자 신분 확인 및 인증 기능의 제공5.
컴퓨터 네트워크에 접속을 시도하는 상 사용자 및 컴퓨터 시스템 이 사전에 허가된 상( )
인지 확인하여 불법적인 상으로부터 컴퓨터 네트워크를 보호하는 것을 의미한다.
인가된 접근 의 허용6. (authorized accessability)
허가된 사용자에게는 접근을 허용하며 허가된 사용자일지라도 허가된 범위 내에서만 정보자
원의 이용과 상호 통신 등이 가능하도록 하는 것을 의미한다.
가용성 의 향상7. (availability)
네트워크에 접속된 전체 시스템의 성능을 안정적으로 유지하는 한편 전체시스템의 이용 효
율에는 이상이 없도록 하는 것을 의미한다 안정성과 효율성은 상호 절충관계가 있으나 네.
트워크에 한 사용 요구정도와 실제 활용도 등 여러 가지 요소를 고려하여 균형을 유지함
으로써 네트워크 이용 효율이 극 화 되도록 하는 것이다.
제 절 컴퓨터 네트워크 보안 모델3
본 절에서는 컴퓨터 네트워크의 보안 모델을 설명하기 위하여 참조모델과 호환되는 보OSI
안모델의 구조를 중심으로 기술한다 왜냐하면 컴퓨터 네트워크 보안 서비스와 메커니즘은.
참조모델의 각 계층과 동등하게 분류할 수 있기 때문이다OSI .
컴퓨터 네트워크의 보안서비스는 신분확인 비 보장 접근통제 데이터 무결성 그리고 부인, , , ,
봉쇄 서비스가 있다 사용되는 메커니즘은 암호화 인증 데이터 무결성 접근통제 전자서명. , , , , ,
트래픽 패딩 경로통제 그리고 공증 메커니즘이 있다 참조 모델과 호환되는 보안 모델, , . OSI
의 구조와 각 계층의 보안 프로토콜은 그림 과 같다( 14-3) .
제 계층인 물리 계층에서의 보안에 해서는 에서 정의하고 있으며 이 계층1 ISO 9160◯에서는 전송되는 비트를 전부 암호화하도록 규정하고 있다.
제 계층인 데이터 링크 계층에서의 보안은 보안 서비스는 규정되어 있으나 다양한 프2 ,◯로토콜에 적용될 수 있는 구체적이고 실제적인 보안 메커니즘은 아직 정해지지 않고 있다.
그러나 에서는 근거리 통신망에서의 보안을 위하여 제 계층의 보안 프로토콜IEEE 802.10 2
을 규정하고 있다.
제 계층인 네트워크 계층과 트랜스포트 계층에서의 보안에 해서는3, 4 SDNS(Secure◯프로젝트에 의하여 과Data Network System) SP3(Security Protocol 3) SP4(Security
에서 정의되었다 와 의 에서는 네트워크 계층과 트랜스프트 계Protocol 4) . ISO IEC JTC1/SC6
층 보안 프로토콜의 표준화를 진행 중에 있다.
제 계층인 세션 계층에서는 보안서비스가 제공되지 않고 있다5 .◯제 계층인 프리젠테이션 계층에서 제공되는 보안 기능들은 암호에 기초한 데이터의 구6◯
문적인 부호화이다.
제 계층인 응용 계층에서의 보안은 보안7 MHS(Message Handling System) ,◯보안과 디렉토리 보안 등이 있으며 현재FTAM(File Transfer, Access, and Management) ,
CCITT(Consultative Committee for International Telegraph and Telephone) X.400, ISO
등에서 연구 중에 있다8571, CCITT X.507 .
각 계층에 보안서비스와 메커니즘을 할당하는데 있어 고려될 사항은 다음과 같고 표[ 14-1]
은 참조모델 각 계층과 보안서비스의 관계를 나타낸 것이다OSI .
최소화된 방법으로 보안 서비스가 구현되어야 한다.◯한 계층 이상에서 보안 서비스가 제공되어도 보안시스템의 구성이 가능하여야 한다.◯보안을 위한 추가기능은 의 기존 기능과 중복되어서는 안된다OSI .◯
그림 계층에서의 보안 프로토콜 구조( 14-3) OSI 7
각 계층의 독립성을 위반하지 않아야 한다.◯보호해야 할 기능의 양은 최소화하여야 한다.◯한 실체 가 하위 계층의 실체에 의하여 제공되는 보안 메커니즘에 종속적인 경우(entity) ,◯
중간 계층들의 보안에 위반되지 않아야 한다.
보안기능이 추가될 때는 가능한 한 독립된 모듈로서 실현될 수 있도록 정의되어야 한다.◯
표 참조 모델에서의 보안 서비스[ 14-1] OSI P344U
해당 계층에 하여 보안 서비스가 제공되어야 한다Y(Yes): .
제공되지 않는다: .・주의 응용 프로세스 자체에서 보안 서비스를 제공한다* : , .
보안 서비스1.
다음의 표 는 보안 서비스와 메커니즘간의 관계를 나타낸 것이다 이 표에서 볼 수[ 14-2] .
있는 바와 같이 각각의 서비스에 하여 타당한 메커니즘으로서 라고 표시한 것이 절‘Y'
적인 것은 아니다 즉 보안 서비스에 하여 타당한 메커니즘으로서 로 표시된 메커니즘. , ’Y'
은 해당 메커니즘 자체 또는 다른 메커니즘과 함께 적용될 수도 있다는 뜻이다.
표 보안서비스와 메커니즘간의 관계[ 14-2]
자체 또는 다른 메커니즘과 함께 조합하여 적용될 수 있는 타당한 메커니즘Y(Yes):
적용하기에 타당하지 않은 메커니즘:
--------------------------------------------------------------------
암호화 전자서명 접근통제 데이터 무결성E : DS : AC : DI :
인증교환 트래픽 패딩 경로통제 공증AE : TP : RC : N :
에서 정의하는 보안서비스와 그 의미는 다음과 같다ISO 7498-2 .
가 신분확인.
수신된 데이터의 실체가 요구된 실체라는 것을 확인하는 것이며 다음과 같이 두 가지로 구
분된다.
등 실체 확인1) (Peer Entity Authentication)
통신 당사자간의 신분확인과 자격유무의 점검 등한 실체간의 신뢰성 있는 연결의 확립,
또는 데이터 전송의 과정에 적용되는 서비스를 의미한다 일반적으로 패스워드 및 암호화.
기법을 사용하고 단일방향 등 실체 확인과 양방향 등 실체 확인으로 나누어 볼 수 있으
며 다양한 수준의 보안을 제공할 수 있다.
데이터 발신처 확인2) (Data Origin Authentication)
데이터를 발신한 발신처를 확인한 후 해당 발신처의 자격유무를 제공하는 서비스를 의미한
다 전자우편 시스템의 경우와 같이 송신자와 수신자 상호간의 통신 없이 정보를 전송하는.
네트워크 단일방향 네트워크 에서 데이터 단위의 발신처에 한 확인을 제공하는 서비스이( )
다 여기에서는 데이터 수정 등에 한 보안은 제공하지 못한다. .
나 접근통제. (Access Control)
비인가된 동작들의 위협에 하여 자원을 보호하는 것을 의미한다 사용자의 신분이 확인된.
이후에는 해당 사용자가 정보 자원에 하여 어느 정도까지 접근할 수 있는 자격이 있는가
에 한 허락을 부여한다 이 접근통제의 수행은 사용자가 정보자원에 한 접근을 요청하.
면 참조 모니터는 이 요청의 정당성을 참조 모니터의 정보를 이용하여 판단한다DB .
이렇게 함으로써 보호하여야 할 정보 자원에 하여 불법적으로 접근하지 못하도록 하는 서
비스를 제공하는 것이다.
다 비 보장.
네트워크를 통하여 흐르는 정보가 비인가된 개인 실체 그리고 여러 가지 불법적인 동작 및,
처리 등으로 인하여 그 내용이 노출되는 것을 방지하는 서비스로서 다음과 같이 네 가지로
분류된다.
접속 비 보장1) (Connection Confidential)
접속에서 모든 사용자 데이터 비 성을 보장한다N N .
비접속 비 보장2) (Connectionless Confidential)
비접속 에서 모든 사용자 데이터의 비 성을 보장한다N-SDU(Service Data Unit) N .
선택 역 비 보장3) (Selective Field Confidential)
접속 또는 비접속 에서 사용자 데이터 내의 선택적 역의 비 보장을 제공N N-SDU N
한다.
트래픽 흐름 비 보장4) (Traffic Flow Confidential)
트래픽 흐름을 관찰함으로써 유추될 수 있는 정보의 비 성을 제공한다.
라 데이터 무결성.
데이터의 내용 자체가 비인가된 방식에 의하여 변경 또는 삭제가 되지 않는 것을 의미하며
다음과 같이 다섯 가지 종류가 있다.
복구기능을 갖춘 접속 무결성1) (Connection Integrity with recovery)
접속에서 모든 사용자 데이터의 무결성을 제공하고 전체 데이터 내에 어떤 데이N N SDU
터의 변경 삽입 삭제 또는 재사용을 감지하고 복구 기능을 갖는다, , .
복구기능이 없는 접속 무결성2) (Connection Integrity without recovery)
위의 서비스와 같은 기능을 가지며 복구 기능은 없다.
선택 역 접속 무결성3) (Selective Field Connection Integrity)
접속상에서 전송된 의 사용자 데이터 내에서 선택 역의 무결성을 제공하고 선택N-SDU N
된 역이 변경 삽입 삭제 또는 재사용 되었는지 감지한다, , .
비접속 무결성4) (Connectionless Integrity)
비접속 의 무결성을 제공하고 수신된 가 변형되었는지 결정하는 형태이다 또한SDU SDU .
추가적으로 재사용을 감지하기 위한 제한된 형태가 제공될 수도 있다.
선택 역 비접속 무결성5) (Selective Field Connectionless Integrity)
비접속 내에서 선택된 역의 무결성을 제공하고 선택된 역이 변형되었는지 결정하SDU
는 형태이다.
마 부인봉쇄.
발신자가 발신사실을 또는 수신자가 수신사실을 부인하지 못하도록 정보보안의 방법으로 봉
쇄하는 것을 의미하며 다음과 같이 두 가지 종류가 있다.
발신 부인 봉쇄1) (Non-repudation, Origin)
데이터의 수신이 데이터의 발신 부인 봉쇄 서비스와 함께 제공된다 이것은 발신자가 보낸.
데이터 또는 그 내용을 부인할 수 없도록 한다.
수신 부인 봉쇄2) (Non-repudiation, Delivery)
데이터의 발신이 데이터의 수신 부인 봉쇄 서비스와 함께 제공된다 이것은 수신자가 받은.
데이터 또는 그 내용을 부인할 수 없도록 한다.
보안 메커니즘2.
보안 서비스를 실현하고 제공하기 위한 메커니즘은 여러 가지가 있으나 여기서는 ISO
에서 규정하는 것들을 기술한다 보안 메커니즘은 보안 서비스를 제공하기 위하여 임7498-2 .
의의 계층에 구현될 수 있으며 그 종류는 다음과 같다.
가 암호화. (Encipherment)
암호화는 데이터와 정보의 비 성을 제공할 수도 있고 다른 메커니즘을 보강하는데 중요한
역할을 한다 암호화 메커니즘은 부분 키관리 메커니즘을 필요로 하며 이러한 암호화에는.
칭키 및 비 칭 키 암호화 방법이 있다.
또한 모델 하위 계층에서 암호화하는 데이터링크 계층 암호화가 있으며 세션층이나 프OSI
리젠테이션 계층에서 암호화가 이루어져 물리 계층의 보안이 침해당한다 하더라도 안전하게
보안을 제공할 수 있는 엔드 투 엔드 암호화가 있다(end to end) .
나 전자서명. (Digital Signature)
전자서명 메커니즘은 데이터에 한 서명과 서명된 데이터의 한 검증의 절차로서 정의된
다 서명의 서명자의 비 정보인 비 키를 사용함으로써 데이터의 암호화 및 검사 값을.
생성하는 과정이며 검증은 서명자의 공개 정보를 사용하여 정보를 보낸 사람이 누구인지를
알아내는 과정이다.
전자서명 메커니즘의 본질적인 특성은 비 키의 소유자가 아니면 어느 누구도 서명된 데이
터를 생성할 수 없어야 한다 또한 서명자는 그 데이터에 서명하고 송신했음을 부인할 수.
없어야 하고 데이터를 받은 사람은 그 서명된 데이터를 변조 및 위조할 수 없어야 한다.
다 접근통제. (Access Control)
접근통제 메커니즘은 실체의 접근 권리를 결정하거나 부여하기 위하여 실체에 인가된 고유
성 실체에 관한 정보 또는 실체의 자격을 사용한다 만약 한 실체가 비인가된 자원에 접근, .
하고자 하거나 인가된 자원이라고 할지라도 불법적인 방법으로 접근하고자 한다면 접근통제
기능은 그 시도를 거부하고 경보를 발생시키거나 선택적으로 그 사건들을 보안감사
에 기록할 수도 있다 접근통제 메커니즘은 다음 방법들을 사용할 수 있다(Security Audit) . .
접근통제 정보○
패스워드와 같은 인증 정보○
자격 소유 그리고 부가적 표시, ,○
보호라벨○
접근이 시도된 시간○
접근이 시도된 경로○
접근 지속시간○
접근통제 메커니즘은 통신의 끝점이나 중간점에서 적용될 수 있으며 발신이나 중간점에서
적용된 접근통제는 송신자가 수신자와 통신하기 위하여 인증되어야 하는지 또는 요구된 통
신자원을 사용하기 위하여 인증되어야 하는지를 결정하기 위하여 사용된다.
라 데이터 무결성. (Data Integrity)
네트워크 상에서 데이터의 정확성을 점검하는 메커니즘으로 송신 실체와 수신 실체에서 각
각 무결성을 결정하게 된다 송신자는 데이터 자체에 한 특정 값을 계산하여 무결성 기능.
을 주며 여기에는 주로 를 사용하는 메시지 인증코드 조작 점검 코드DES , (MDC,
를 사용한다manipulation detection code) .
데이터 무결성 메커니즘은 하나의 데이터 또는 데이터 역의 무결성 그리고 데이터 열의,
무결성인 두 가지 측면으로 나눌 수 있다 일반적으로 이 두 무결성 서비스를 제공하기 위.
해서는 다른 메커니즘들이 사용된다 하나의 데이터 또는 데이터 역의 무결성은 송신 측.
과 수신측의 두 가지 처리 과정이 필요하다 송신 측에서는 송신하고자 하는 데이터와 관계.
가 있는 무결성 정보를 생성하여 데이터에 부가하여 송신하고 수신 측에서도 마찬가지로 수
신한 데이터와 관계가 있는 무결성 정보를 발생시켜 수신한 무결성 정보와 비교하여 데이터
의 변경 여부를 결정한다 이 방식만으로는 한 데이터의 재사용을 막을 수는 없다. .
접속형 데이터 전송의 경우는 데이터의 순서 무결성을 제공하기 위하여 데이터 단위의 순서
번호와 시간 스탬프 등과 같은 부가적 기능이 사용될 수 있으며 비접속형 데이터 전송의 경
우는 각 데이터의 재사용을 막기 위하여 시간 스탬프가 사용될 수 있다.
마 인증 교환. (Authentication Exchange)
인증에 적용될 수 있는 기술로는 패스워드와 같은 단순한 신분확인 정보를 이용하는 것부
터 암호 기술을 사용하는 것까지 다양한 방법이 있으며 실체의 특성이나 소유를 사용할 수,
도 있다 이 메커니즘은 등 실체 신분확인을 제공하기 위하여 계층에 실현될 수 있다. N .
만약 실체의 신분확인이 실패하면 접속은 거부 또는 종료되며 관리 센터에 의하여 그 내용
이 기록될 수도 있다.
암호 기술로는 재사용을 방지하기 위하여 프로토콜을 사용할 수 있다 인증 기hand-shake .
술의 선택은 그들이 사용할 환경에 의존하며 많은 환경들은 시간 스탬프와 동기 클럭,
와 그리고 부인봉쇄 서비스 사용을 필요로 한다two-way three-way handshake, .
바 트래픽 패딩. (Traffic Padding)
트래픽 해석을 방지하기 위하여 다양한 수준의 보안을 제공하는 메커니즘을 의미한다 여기.
에는 실제의 데이터가 아닌 정보들을 고의로 네트워크에 흘리는 방법 등이 사용되며 트래픽
패딩이 비 보장 서비스에 의하여 보호된다면 더욱 효율적이다.
사 경로 통제. (Routing Control)
보안요구를 충족시키기 위하여 물리적 논리적 전송 경로를 선택하는 메커니즘을 의미하며,
경로는 물리적으로 안전한 서브네트워크 릴레이 또는 링크를 사용한다 이는 유동적으로 또, .
는 미리 지정함으로써 선택될 수 있다 은 지속적인 공격에 비하여 망 서비스. End-system
공급자에게 다른 정보를 경유하여 연결을 설정하도록 지시할 수 있다.
어떤 보안수준을 가지는 데이터는 보안방침에 따라 서브네트워크 릴레이 또는 링크를 통해, ,
전송되는 것이 금지될 수 있으며 접속 설정자나 비접속 데이터 단위의 송신자는 특정한 서,
브네트워크 링크 그리고 릴레이를 피하도록 요구하는 경로절차를 규정해야 한다, , .
아 공증. (Notarization)
공증 메커니즘은 통신되고 있는 데이터의 무결성 근원 시간과 목적지와 같은 특성들을 보, ,
증하는 것이며 이러한 보증은 통신 실체들 간에 신뢰할 수 있는 제 자에 의하여 이루어진3
다 각 통신 실체는 공증에 의한 서비스를 제공하기 위하여 전자서명 암호화와 무결성을 사. ,
용할 수 있다 이러한 공증이 이루어질 때 데이터는 안전하게 통신된다. .
다음의 보안 메커니즘들은 특정한 서비스에 규정되지 않으며 이 보안 메커니즘들의 일부는,
보안관리의 관점으로 간주될 수 있다 이러한 보안 메커니즘의 중요성은 요구되는 보안 수.
준에 직접적으로 연관된다.
자 신뢰기능.
신뢰기능은 다른 보안 메커니즘들의 역을 확장하거나 효율성을 확립하는데 사용되며 구,
현하기가 어려울 뿐 아니라 비용도 많이 든다 이러한 문제들은 보안 기능의 구현을 허용하.
는 구조를 선택함으로써 최소화 될 수 있다 그리고 보안이 적용된 계층위의 보안 속성은.
다른 방법에 의하여 제공되어야 한다.
차 보안 라벨.
보안 라벨은 자원의 민감성 정도를 나타내는 것으로서 데이터 전송시 적당한 보안 레벨을
전송하는 것이 필요할 경우가 있다.
보안 라벨은 전송된 데이터와 연관된 부가적인 데이터일 수도 있고 데이터를 암호화 하는데
사용된 키를 나타낼 수도 있으며 근원이나 경로와 같은 데이터의 내용을 나타낼 수도 있다.
또한 보안 라벨은 관련된 데이터에 안전하게 결합되어져야 한다.
카 사건 감지.
보안관련 사건 감지는 보안 위반 사건 뿐만 아니라 로그온과 같은 정상적인 접근 사건 감지
를 포함한다 보안 관련 사건들은 보안 메커니즘들을 포함하는 의 실체들에 의하여 감지. OSI
된다 이러한 보안 관련 사건의 예로는 보안 위반 등이 있다. , overflow .
타 보안감사 추적.
보안감사 추적은 보안감사를 추가함으로써 보안상태가 파괴된 곳을 조사하고 찾아내도록 하
는 보안 메커니즘을 제공한다 보안감사는 시스템 통제의 타당성을 검사하고 확립된 정책과. ,
동작절차를 준수하는지 확인하고 손해 사정의 관점에서 지원하며 통제 정책 및 여러 가지, , ,
과정들의 변화를 추적하기 위하여 시스템 기록과 활동내용 등을 독립적으로 시험하고 재검
토한다.
보안감사는 보안관련 정보의 기록 보고 및 분석을 요구한다 일지나 기록은 보안 메커니즘, .
으로 고려되고 분석과 보고 생성은 보안관리 기능으로 고려될 수 있다.
파 보안 복구.
보안복구는 여러 가지 보안 사건을 취급하고 관리하는 메커니즘들의 요구를 수용하고 규칙
을 적용한 결과에 의하여 복구 기능을 제공한다 이러한 복구동작은 순간 일시 그리고 장기. ,
간으로 구분된다.
제 절 보안4 LAN
배경1.
은 년 초에 실험적으로 출발한 이후 수많은 관련 제품들이 쏟아져 나오면LAN 1970 LAN
서 각광을 받고 있는 네트워크 중 하나이며 전송속도의 고속화 및 상호 연결 범위의 확
등으로 인하여 이용범위가 계속하여 증가 일로에 있다.
의 정의는 여러 학자들 간에 서로 다르게 정의되고 있지만 일반적으로 다수의 독립된LAN , “
컴퓨터 시스템 간에 상호 통신이 가능하도록 하는 통신 네트워크 로 정의된다 컴퓨터가 개” .
발된 이래 컴퓨터의 용도는 주로 데이터 처리에 중점을 두어 왔으나 년 에 들어와서는‘80
컴퓨터 연산능력의 제한 컴퓨터 자원의 한정성 등 여러 가지 난점을 해결하기 위하여 컴퓨,
터들 간의 상호 접속 필요성이 증가되었다.
또한 컴퓨터 하드웨어 가격의 하락 및 컴퓨터와 통신 기술의 접목 시도 그리고 비전문가로,
하여금 컴퓨터를 이용하여 각종 정보를 처리하고자 하는 욕구가 증 됨에 따라 보다 효율적
이고 조직적이며 신뢰성 있게 정보의 상호교환을 목표로 등장한 것이 바로 이다LAN .
이렇듯 은 지리적으로 분산되어 있는 시스템을 효율적으로 이용 가능하도록 하며 제공LAN
되고 있는 서비스도 매우 다양한 반면 컴퓨터 네트워크 보안의 측면에서 보면 정보의 내용
변경 불법 유출 순서 변경 송 수신과 미확인 컴퓨터 바이러스 감염 등의 위협을 내포하, , , ・고 있다 이렇게 이 네트워크 보안 측면에서 취약점을 가지고 있는 이유는 이 개. LAN LAN
방형 구조를 가지고 있기 때문이다.
최근에는 이러한 에 한 불법적인 사용을 방지하기 위하여 여러 가지 네트워크 보안LAN
에 한 새로운 제도와 절차 및 기술적인 책 등을 마련 중에 있다.
보안2. LAN
은 기본 참조모델의 하위 계층인 데이터 링크 계층과 물리 계층만을 상으로 삼LAN OSI 2
고 있다 데이터 링크 계층은 다시 부계층과. LLC(Logical Link Control) MAC(Media
부계층으로 구분된다 부계층은 전송 매체의 구성 형태와 접근통제Access Control) . MAC
방식에 따라 가지가 있으며 부계층은 모든 계층에 공통으로 적용된다4 LLC MAC .
이 계층에서 전송되는 프로토콜 데이터 단위 는 방송통신 방LLC (PDU, Protocol Data Unit)
식으로 에 실리게 된다 따라서 은 구조상 접속된 모든 노드가 데이터에 접근이LAN . LAN
가능하여 동등 실체 간에 송수신되는 에 한 불법적인 변경의 위험이 존재한다 이러PDU .
한 근거리 통신망 구조의 개방성은 합법적인 통신자로의 가장이 용이하고 정보의 불법적인
노출 도청 및 변경이 가능하므로 합법적인 통신자로 가장한 의 무단 이용이나 정보의, LAN
변조와 위조 삭제 등에 한 보호가 필요하다, .
위와 같이 통신망 환경에서의 정보보호 필요성이 증가함에 따라 에서는LAN IEEE
을 구성하여 근거리 통신망의 정보보802.10(Local Area Network Security Working Group)
호를 위한 표준화 작업을 수행하고 있으며 표준안인, SILS(Standard for Interoperable
를 제안하고 있다Local area network Security) .
표준안은 모델 안전한 데이터 교환 키 관리SILS SILS , (Secure Date Exchange, SDE), (Key
프로토콜 시스템 보안 및 관리 프로토콜의Management) , (System/Security Management) 4
분야로 나뉘어 연구되고 있으며 데이터 발신처 인증 비 보장 비접속 무결성과 접근통제, ,
서비스를 제공한다.
모델은 의 보안 서비스를 제공하기 위하여 기본 참조 모델 및 관리 모델과SILS LAN OSI
관계가 되어 있으며 는 안전한 데이터 교환 서비스를 제공하므로 기본 참조 모델SDE OSI
의 계층 프로토콜에 해당한다 키관리는 의 정보를 암호화하기 위한 키들을 관리하는2 . SDE
계층 프로토콜에 해당하고 시스템 보안 및 관리는 보안 프로토콜을 안전하게 관리하기 위7
한 계층 프로토콜이다7 .
그림 는 구조와 기본 참조 모델간의 계층 비교를 나타낸다( 14-4) IEEE 802 OSI .
PCL : Physical Convertence Layer
PDL : Medium Dependent Physical Layer
그림 구조와 참조모델 간의 계층 비교( 14-4) IEEE 802 OSI
근거리 통신망은 앞에서 언급한 바와 같이 부계층IEEE 802 MAC(Media Access Control)
과 부계층을 두어 여러 가지 서비스를 제공한다 부계층LLC(Logical Link Control) . MAC
은 가지의 서로 다른 물리적인 매체에 접근할 수 있는 프로토콜을 제공하며 부계층은4 LLC
스윗칭 노드가 없는 두 국간의 데이터 프레임의 전송을 담당한다.
관리 모델은 시스템 관리와 계층 관리를 정의하고 있는데 시스템 관리는 네트워크의OSI
감시와 통제를 전 계층에 걸쳐서 행하지만 계층관리는 각 계층마다 행해진다OSI .
시스템 관리를 위한 실체들은 시스템 관리 응용 실체(System Management Application
계층관리자 와 관리정보베이스Entity, SMAE), (Layer Manager, LM) (Management
로 구성된다Information Base, MIB) .
는 네트워크의 시스템 관리를 수행하는 응용계층의 실체이며 또는SMAE CMIP IEEE 802.1
프로토콜을 통해 다른 와 통신한다 계층을 관리하는 은 계층 프로토콜의 요구에SMAE . LM
하여 다른 과의 통신을 통해 수행한다 의 주된 기능은 프로토콜에 사용되는 객체LM . LM
들을 관리하는 것이다 즉 의 지시에 따라 에 의하여 객체들의 동작이 이루어진. SMAE LM
다.
각 스택은 분리된 계층 실체를 가져야만 하며 이 실체들은 보안 서비스를 요청한다2 . SDE
프로토콜은 이 서비스를 제공하기 위한 정보를 키관리 시스템관리에 의존하게 된다 데이터.
교환 사용자 스택은 가 실현되기 전에 존재하는 네트워크 통신 프로토콜로서 로부SILS SDE
터 보안 서비스를 제공받는다 또한 데이터 교환 사용자 스택에 의한 요구 프리미티브들은.
와의 인터페이스를 과의 인터페이스인 것으로 여기며 시스템 관리와 키관리 스택SDE MAC
등과 직접적으로 통신할 수 없다.
시스템 관리 스택과 키관리 스택은 전 계층에서 통용되는 일종의 데이터 집단이라고 할 수
있는 안에 있는 객체들의 속성 값을 변형시킴으로써 가 서비스를 제공할 수 있SMIB SDE
게 한다 즉 계층 의 시스템 관리와 키관리 응용으로부터 를 통해 계층으로 통. 7 SMIB SDE
신 경로가 설정된다.
그림 는 에 정의된 프로토콜과 서비스들에 한 전체 모델을 나타낸다 이 그림( 14-5) SILS .
에서 점으로 표시된 역인 키관리 프로토콜 안전한 데이터 교환 프로토콜 계층 관리자와, ,
는 에 의하여 정의된 프로토콜을 의미하며 단일사선으로 표시된 역인 시스템mapper SILS
관리 스택 키관리 스택 과 시스템 보(System Management Stack), (Key Management Stack) /
안관리 프로토콜은 에 의하여 명시만 되어 있으며 이중사선으로 표시된 역인 키관리SILS ,
응용 시스템 보안관리 응용과 개의 는 보안방침에 따라 실현되어져야 한다, / 3 SMIB .
그림 완전한 모델( 14-5) SILS
에서는 계층 에서 을 사용하여 관리기능을 수행하는 모델과 계층 위에SILS 7 CMIP ISO LL
서 을 사용하는 관리 모델을 모두 지원해야 한다 두 개의 서로 다른IEEE 802.1 IEEE 802 .
관리 프로토콜을 지원하기 위하여 반드시 다른 키관리 프로토콜이 필요한 것은 아니므로
모델에서는 하나의 키관리 프로토콜로 두 개의 키관리 프로토콜을 지원할 수 있도록SILS
를 이용한다 예를 들면 키관리 프로토콜이 계층에서는 지원되지 않고 스mapper . LLC ISO
택의 상위 계층에서 제공되는 서비스를 요구한다면 는 이 기능을 수행하여야 한다mapper .
제 절 요약5
전자기술의 발전으로 자료의 처리 집적 및 분류 그리고 가공 등을 통한 양질의 서비스가,
이루어지고 있으며 과거에는 상상조차 할 수 없었던 정보서비스의 편리함과 효율성을 제공
받고 있다 또한 이러한 결과는 컴퓨터 네트워크를 통하여 모든 사람에게 전달됨으로써 어.
느 누구나 이와 같은 문명의 이기를 공유할 수 있게 되었다.
그러나 반면에 이와 같은 많은 정보가 통신 및 컴퓨터 네트워크를 통하여 공유됨으로써 개
인의 프라이버시 침해뿐만 아니라 기업체 및 국가 공공기관의 중요 정보 유출 도용 및 변,・조 등의 위협을 초래할 수도 있는 정보화 사회의 역기능 문제 또한 나날이 증가하고 있는
실정이다.
그러므로 정보교류의 기반이 되는 통신 및 컴퓨터 네트워크의 보호 필요성이 더욱 높아지고
있으며 외부로부터의 침입시도를 차단하고 통신 및 네트워크의 기능을 정상적으로 유지하는
것은 건전하고 효율적인 정보화 사회의 유지 및 발전을 위하여 매우 중요한 요소로 등장하
게 된 것이다.
본 장에서는 이와 같이 날로 중요해지고 있는 통신보안기술의 기본사항을 기술하 으며 네
트워크의 보안기술에 한 일반적인 사항들과 개방시스템 상호접속(OSI, Open Systems
을 기초로 한 보안 모델 그리고 근거리 통신망Interconnection) , (LAN, Local Area Network)
의 보안에 하여 상세하게 기술하 다.
개방시스템 상호접속 모델을 기초로 한 기술적인 네트워크 보안 책으로는 제 계층인3, 4
네트워크 계층과 트랜스포트 계층에 보안시스템을 우선적으로 구축하는 것이 매우 효과적이
며 계층에서는 부인봉쇄 서비스가 제공되지 않으므로 부인봉쇄 서비스는 제 계층인3, 4 7
응용 계층에서 제공되도록 해야 한다.
참고 문헌
김철 암호학의 이해 풍문고 년[1] , , , 1996 .
문상재 김세헌 박 호 컴퓨터 통신망의 보호체계에 관한 연구 한국전자통신연구소[2] , , , , ,
년1993
박정수 근거리 통신망 데이터 교환 보호 시스템의 설계 및 구현 경북 학교 공학석사[3] , ,
학위 논문 년, 1993
차오길 김진원 김화수 근거리 통신망 의 에 관한 소고 통신정보보[4] , , , “ (LAN) SECURITY ”,
호학회지 제 권 제 호 년3 , 3 , PP. 40-48, 1993 .
한국전자통신연구소 현 암호학[5] , , 1991
[6] Charles P. Pfleeger, Security in Computing, Pretice Hall, 1989.
[7] Michael Purser, Secure Data Networking, ARTECH HOUSE, INC., 1993.
[8] ISO, Information Processing Systems - Open Systems Interconnection - Basic
Reference Model - part 2: Security Architecture, ISO 7498-2, 1989.
[9] IEEE, Standard for Interoperable Local Area Network Security(SILS), IEEE
802.10/D6, Sep. 1989.
제 장 암호15
제 절 서론1
현재 우리나라는 고도의 정보사회를 구축하여 국민의 삶을 향상시키기 위해 초고속정보통,
신망 구축 멀티미디어 교육 원격진료시스템 구축과 같은 사업을 지정하여 추진 중에, S/W,
있다 그러나 사회가 고도로 정보화 될 수록 개인의 프라이버시를 비롯하여 전산망의 불법. ,
적인 해킹 등 많은 역기능적인 문제가 두되어 이를 방지하기 위한 정보보호 문제가 부각
되고 있다.
암호기술은 이러한 정보보호문제를 해결할 수 있는 핵심기반기술로 제시되고 있다 일반적.
으로 암호기술이란 서로 신뢰하지 않는 사람들 간에 제기되는 비 성 인증 무결성 문제를, ,
해결하는 기술이라 정의할 수 있다 암호기술은 그림 과 같이 암호화 기술과 암호 프. ( 15-1)
로토콜 기술로 분류할 수 있다.
그림 암호 기술 분류( 15-1)
암호화 기술이란 평문을 해독 불가능한 형태로 변형하거나 또는 생성된 암호문으로부터 해
독 가능한 형태로 변환하기 위한 원리 수단 방법 등을 취급하는 기술로 공개된 전산망에서, ,
의 불법적인 도청을 방지하기 위하여 사용한다 암호화 기술은 사용되는 키의 종류에 따라.
암호화키와 복호화키가 같은 칭키 암호 알고리즘과 암호화키와 복호화키가 다른 비 칭키
암호 알고리즘으로 구분되며 칭키 암호 알고리즘은 변환하는 방법에 따라 블록 암호 알,
고리즘과 스트림 암호 알고리즘으로 구분한다.
암호 프로토콜 기술이란 고도의 정보화 사회에서 야기되는 인증 무결성 문제를 해결하는,
유한한 절차로 표적인 정보보호 프로토콜에는 전산망에서 상 방의 신분을 확인하는 개,
인식별 및 인증기술 현재의 도장이나 사인을 정보사회에 적합하게 변환시킨 전자서명기술,
등이 있으며 현재 많은 관심과 시급한 개발이 요구되는 전자결재 및 전자화폐에도 암호 프
로토콜 기술의 응용 분야이다.
본 장에서는 칭키 암호 알고리즘 비 칭키 암호 알고리즘 암호 프로토콜 기술의 기본적, ,
인 개념을 중심으로 전개하고 응용분야로 전자서명과 일회용 패스워드 시스템에 해 살펴,
보고자 한다.
제 절 칭키 암호 시스템2
칭키 암호 알고리즘은 비 키 암호 알고리즘 또는 단일키 암호 알고리즘이라고도 명명하
며 송 수신자가 동일한 키에 의하여 암호화 및 복호화 과정을 수행하는 것을 특징으로 한, ・다 그림 는 비 키 암호 시스템 과정을 보여주고 있다. ( 15-2) .
그림 비 키 암호 시스템( 15-2)
블록 암호 알고리즘1.
블록 암호 알고리즘은 고정된 크기의 입력 블록을 고정된 크기의 출력 블록으로 변형하는
암호 알고리즘에 의해 암호화 및 복호화 과정을 수행하는 암호 시스템이다 표적인 블록.
암호 알고리즘으로는 미국의 유럽DES(Data Encryption Standard), Triple-DES, Skipjack,
의 일본의IDEA(International Data Encryption Algorithm), FEAL(Fast data Encipherment
등이 있다Algorithm), MISTY .
가. DES(Data Encryption Standard)
는 에서 개발한 시스템을 발전시킨 암호 시스템으로 년 월 일 연DES IBM Lucifer , 1976 11 23
방 표준으로 승인되어 년 월 일, 1977 1 15 FIPS PUB 46(Federal Information Processing
에 로 공표되었다Standard 46) “Data Encryption Standard" .
NBS1)는 표준에 관하여 매 년마다 안전성을 재평가하여 표준으로써의 존속 여부를DES 5
결정한다 년 월 일 는 에 관한 가지 고려사항을 발표하 고 이때. 1987 3 6 NBS DES 3 ,
가 표준화 작업에 참여하여 사용 중지가 고려되었으나NSA(National Security Agency)
가 제안한 수정 과정을 거친 후 다시 년까지 미국 정부 표준으로 재확인되었다NSA 1994 .
1) 의 전신NIST(National Institute of Standards and Technology)
의 참여로 인한 문제점은 당초에 비트이던 키 크기를 비트로 축소함으로써 안전NSA 128 56
도를 떨어뜨렸다는 지적을 받고 있고 내부 함수로 사용되는 의 설계원칙을 공, DES S-BOX
개하지 않음으로써 설계자만이 알 수 있는 트랩도어가 있을 수 있다는 것이다 이러한 사실.
에도 불구하고 는 년까지 표준으로 사용하는 것이 결정되어 사용되고 있다DES 1998 .
현재까지의 연구 결과에 의하면 의 안전성에 문제가 있는 것으로 파악되고 있다 그러DES .
므로 암호학적으로 큰 문제점이 없는 것으로 알려져 있는 기존의 알고리즘을 중심으로 새로
운 개념의 알고리즘을 개발하여 신의 표준으로 채택하려는 움직임이 있다DES .
는 기본적으로 라운드로 구성되며 암호화는 동일한 동작 과정의 반복으로 이루어진DES 16 ,
다 복호화는 암호화 과정과 동일하나 사용되는 키만 역순으로 작용하면 된다. .
나. Triple-DES
는 알고리즘을 세 번 적용한 알고리즘으로 보다 안전하다는 평가를Triple-DES DES DES
받아 의 안으로 제시되고 있는 알고리즘들 중 하나이다DES .
표 의 특성[ 15-1] Triple-DES
사용된 키 표기 특성
서로 다른 두 개의키DES (K1,K2)
DES-EDE2EK1(DK2EK1(M)) :개의 다른 키로 암호 복호 암호2 DES " - - “
〃 DES-EDE2EK1(EK2EK1(M)) :개의 다른 키로 암호 암호 암호2 DES " - - “
서로 다른 세 개의키DES (K1,K2,K3)
DES-EDE3EK1(DK2EK3(M)) :개의 다른 키로 암호 복호 암호3 DES " - - “
〃 DES-EDE3EK1(EK2EK3(M)) :개의 다른 키로 암호 암호 암호3 DES " - - “
는 변형 방법에 따라 표 과 같은 다양한 방식이 제안되었고 표준Triple-DES [ 15-1] , ANSI
에서는 그 중 방식을 로 정의하고 있다 의 기본구X9.17 DES-EDE2 Triple-DES . Triple-DES
조는 그림 과 같다 본 알고리즘은 비 정보가 아닌 비트 초기값 개의 비( 15-3) . 64 ( ), 3Ⅳ
비트 키64 (K1, K2, K3 평문을 비트의 크기로 쪼개어 놓은 개의 비트 평문 블록), 64 n 64 (X1,
X2,..., Xn) 개의 비트 암호문 블록, n 64 (Y1, Y2,..., Yn)으로 구성된다.
그림 의 기본 구조( 15-3) DES-EDE3
알고리즈에서 키 세 개가 모두 같으면DES-EDE3 (K1=K2=K3 는), DES-EDE3 DES-CBC
모드와 같게 된다 그러므로 를 하드웨어로 수행할 때 모드를 수정하지 않. DES-EDE3 DES
고 사용할 수 있으므로 기존에 를 사용하고 있는 시스템에 사용하기에 적합하다는 장DES
점을 가지고 있다.
다. Skipjack
가 클리퍼 칩과 캡스톤 칩을 위해 개발한 암호 알고리즘으로 알고리즘 자체는 비공개NSA ,
인데 그 이유는 안전성을 고려해서라기보다는 사용자로 하여금 클리퍼 키 위탁 메커니즘을
사용하게 하기 위해서이다.
년 가 디자인하기 시작하여 년 평가 완료되었고1985 NSA 1990 , EES(Escrowed Encryption
에서 암호 알고리즘으로 선택되었다 알고리즘은 비트 블록 비트의Standard) . Skipjack 64 , 80
키 라운드를 사용한다, 32 .
라. IDEA(International Data Encryption Algorithm)
년에 의 와 는1990 ETH(Eidgenossische Techinsche Hochschule) Lai Massey
에서 수적 구조가 다른 세 가지 연산을 사용한 암호 알고리즘을EURO-CRYPT'90
라는 이름으로 발표하 다 에서 입출력 변PES(Proposed Encryption Standard) . CRYPTO'90
화 공격법이 발표되자 와 는 에서 개념을 제시, Lai Massey EURO-CRYPT'91 Markov cipher
하고 위의 공격법에 응하여 를 개량한 를 발표하 다 년PES IPES(Improved PES) . 1992
를 로 개명하 고 년 월IPES IDEA(International Data Encryption Algorithm) , 1994 5 idea-tm
이라는 이름으로 에 등록하 다 현재 는 안전성에서 인정을 받아 에 사용되ISO . IDEA PGP
고 있고 유럽 표준으로도 등록되어 있다 알고리즘은 세 가지 연산. IDEA (XOR(⊕ 법), 216
덧셈 도형( P368M) 법, (216 곱셈1) (+ ⊙ 비트 블록 비트의 키 라운드를 사용한다)), 64 , 128 , 8 .
는 비트 단위의 연산을 사용하여 비트 프로세서에 구현이 용이하도록 설계되었IDEA 16 16
고 서로 다른 연산과는 배분법칙 결합법칙이 성립하지 않고 하나의 연산으로 다른 연산을, , ,
표현할 수 없도록 설계되었다.
마. FEAL(Fast Encipherment ALgotithm)
년 일본의 는 고속 동작이 가능하도록 설1987 NTT(Nippon Telecommunication Technology)
계한 암호 알고리즘을 이라는 이름으로 발표하 다FEAL [11].
발표 당시의 은 라운드로 제안하 으나 발표 즉시 개의 선택평문을 이용한 해FEAL 4 , 1,000
독 방식 이 알려져 는 보완책으로 라운드 수를 에서 로 증가시킨 로 개량[5] NTT 4 8 FEAL-8
하 다 그러나 년 과 가 에서 의 기지 평문 공격. , 1989 Biham Shamir SECURICOM FEAL-8
방식을 발표한 것을 계기로 으로 확장되었다 알고리즘은FEAL-N(N=4,8,12,16,32) . FEAL 64
비트 블록 비트의 키를 사용하고 비트 프로세서에 구현이 적합하도록 을 법으로 하, 64 8 256
는 정수 덧셈과 비트 쉬프트 연산을 기본으로 설계되었다 은 를 사용하지 않. FEAL S-Box
고 산술 연산을 이용하여 고속 실현을 목표로 하는 것이 특징이다.
바. MISTY
는 일본 미쯔비시 전기 주 에서 입출력 변화공격과 선형근사 공격 관점에서 안전성MISTY ( )
을 증명할 수 있는 블록 암호 알고리즘으로 발표한 알고리즘의 예이다 라는 이름[9]. MISTY
은 개발자 의 첫 자를 따서 만든 이름이다Matsui, Ichigawa, Sorimachi, Tokita, Yamagishi .
의 구현 속도는 으로 정도이며MISTY Workstation(HP9735, PA7150-125MHz) 30Mbps
는 하드웨어로 구현할 때 병렬처리가 가능하므로 에 비해 약 배 정MISTY , MISTY 2Ⅱ Ⅰ
도의 속도를 향상시킬 수 있다 은 암 복호화 속도가 같지만 는 복화. MISTY MISTYⅠ Ⅱ・화 속도가 암호화의 경우보다 느리기 때문에 나 방식의 동작보다는ECB CBC CFB, OFB
방식의 동작이 권장되고 있다 알고리즘은 비트 블록 비트 키 를 사용. MISTY 64 , 128 , S-Box
한다 설계의 특징은 크기가 다른 를 사용하여 수적 공격에 강하고 병렬. MISTY S-Box ,
구현이 가능하다는 점이다.
사 기타 블록 암호 알고리즘.
다음에서는 위의 알고리즘 이외에 사용되고 있는 여러 가지 블록 암호 알고리즘에 해 간
단히 소개하려고 한다.
에 의해 개발되어 년 발표된 알고리즘으로 특허나 로BLOWFISH : Bruce Schneier 1994○
얄티 문제가 없다 본 알고리즘은 키 크기가 비트에서 비트에 이르기까지 다양하고. 36 448 , 32
비트 프로세서를 위해 개발되었기 때문에 보다 속도면에서 월등하다는 특성을 가지고DES
있다.
사의 요구에 의해 년 가 개발한 알고리즘으로 지적재SAFER K-64 : Cylink 1993 Massey○
산권 사용에 제한이 없고 모든 사용자가 무료로 사용 가능하다 본 알고리즘은 키 스케쥴, .
부분을 제외한 모든 부분이 바이트 단위로 구성되어 소프트웨어 구현이 용이하며 특히 스,
마트 카드 응용에 적합한 것으로 알려져 있다.
류의 알고리즘에서 사용하는 구조를ICE(Information Concealment Engine) : DES Feistel○
이용한 알고리즘으로 안전성의 수준에 따라 다양한 키 크기를 유지한다 블록 크기와 디폴.
트로 주어지는 키 크기는 비트인데 이때 평문 또는 암호문을 키로 사용할 수 있다64 . ICE
알고리즘은 취약키가 없고 공격에 안전하다meet-in-the-middle .
와 캐나다에서 개발한 알고리즘으로 키 길이CAST(Carlisle Adams Stafford Travares) :○
와 라운드 수가 다양하다는 것과 알고리즘의 강도가 키에 의존하는 것이 아니라 에S-Box
의존하다는 것이 특징이다 블록 크기는 와 같은 비트이다 캐나다에서 새로운 암호. DES 64 .
표준으로 평가 중에 있다.
사에서 를 체할 목적으로 의해 개발한 알고R2C : RSA Data Security DES Ron Rivest○
리즘으로 에 년 등록된 알고리즘이다 본 알고ISO(International Standard Organization) 1994 .
리즘은 를 사용하지 않고 와 라는 두 연산을 가지고 있어 각 라운드에서 사S-Box , mix mash
용자가 그 중 하나를 선택하도록 설계되었다는 것이 특징이다.
년까지 한시적으로 표준으로 인정받고 있는AES(Advanced Encryption Standard) : 1998○
의 안전성 문제 때문에 현재 미국 에서는 를 체할 만한 알고리즘인 를DES NIST DES AES
개발 중에 있다 에서는 정부와 상업계에서 사용할 수 있는 강력한 블록 암호 알고리. NIST
즘 개발을 목적으로 하고 최소한의 수용 요구 사항과 평가 기준을 정해 놓고 있다.
스트림 암호 시스템2.
암호화하려는 평문 문자길이가 키길이가 동일한 암호 시스템이 이론적으로one-time pad
절 안전하다는 사실이 에 의해 수학적으로 증명되었다 그러나 방Shannon . one-time pad
식은 키 관리의 어려움으로 인하여 경비가 많이 들고 기술적인 면에서도 운용이 어렵다는,
단점을 지니고 있다 이러한 이유로 방식은 특정 통신 시스템에 한정하여 이. one-time pad
용되고 있다.
방식과 같이 안전성을 보장하며 일반적인 통신망에도 적용 가능한 시스템을One-time pad
설계하기 위해 스트림 암호 시스템의 개념이 도출되었다 스트림 암호 시스템은 키를 알고.
리즘에 주입하여 발생되는 무한 수열로 평문을 암호화하는 시스템이다 스트림 암호 알고리.
즘의 비도는 이진수열 발생기의 비도와 같다 그래서 이진수열 발생기가 갖추어야 할 조건.
으로 다음을 고려해 볼 수 있다.
이진수열의 주기 주기가 클수록 좋다: .○
이진수열의 랜덤성 이진수열이 랜덤하게 보여야 한다: .○
비선형성 이진수열이 키와 선형 관계가 아니어야 한다: .○
스트림 암호 시스템은 이동 통신 환경에서 구현이 용이하고 안전성을 수학적으로 엄 하게,
분석할 수 있으며 블록 암호 방식과는 달리 한 비트의 통신에 따라 수십 비트의 오류로 확,
장되는 오류전파현상이 발생하지 않는 장점이 있으므로 이동 통신 등의 무선 통신 데이터,
보호에 적합하다.
제 절 비 칭키 암호 시스템3
와 은 암호화키와 복호화키가 서로 같은 기존의 암호 알고리즘 블록 암호 알Diffie Hellman (
고리즘 스트림 암호 알고리즘 과는 조적으로 암호화키와 복호화키가 서로 다른 비 칭키, )
암호 알고리즘 즉 공개키 암호 알고리즘 개념을 소개하 다 그림 는 공개키 암호 시, . ( 15-4)
스템 과정을 보여주고 있다.
그림 공개키 암호 시스템의 구조( 15-4)
공개키 암호 시스템에서는 모든 사용자들이 공개키와 비공개키 한 쌍을 소지(private key)
하고 공개키는 일반에게 공개하고 비공개키는 비 로 유지한다 키를 공개한다는 점에서 공, .
개키 암호 알고리즘은 당시로서는 혁신적인 개념이었다 이후 많은 공개키 암호 알고리즘이.
제안되었으며 그 중에서 인수분해 문제에 기반을 둔 공개키 암호 알고리즘과 이산, RSA
수 문제에 기반을 둔 공개키 암호 알고리즘이 표적인 암호 알고리즘이다 공개ElGamal .
키 암호 시스템은 각종 정보보호 메커니즘의 중추적인 역할을 하고 있으며 앞서 살펴본,
칭키 암호 알고리즘과 서로 보완하며 많은 응용 분야에서 활용되고 있다.
칭키 암호 시스템에서는 송신자가 정보를 암호화하여 수신자에게 보내는 경우 미리 암호
화키를 공유할 수 있도록 키 분배 방법을 설정해야 한다 명이 가입된 통신망에서 상호 비. n
통신을 할 경우 개의 키가 필요하다 이러한 키관리의 어려움 외에도 칭키 암n(n-1)/2 .
호 시스템에서는 전자문서의 내용에 한 전자서명을 검증할 수 없다는 문제가 있다 표[4]. [
는 칭키 암호 시스템과 공개키 암호 시스템의 비교표이다15-2] .
표 칭키 암호 시스템과 공개키 암호 시스템의 비교[ 15-2]
구분 칭키 암호 시스템 공개키 암호 시스템
장점암호화 복호화 속도가 빠름・키 길이가 짧음・
키 분배가 용이함・사용자가 증가함에 따라 관리해야 할・키의 개수가 상 적으로 적어짐키 변화의 빈도가 적음・여러 가지 분야에 응용 가능・
단점
키 분배의 어려움・사용자가 증가함에 따라 관리해야 할・
키의 개수가 상 적으로 많아짐키 변화의 빈도가 많음・응용 분야의 제약・
암호화 복호화 속도가 느림・키 길이가 길음・
이산 수 문제를 이용한 알고리즘1.
와 은 년 공개된 채널 상에서의 비 키의 교환에 관한 개념을 제안하 고Diffie Hellman 1976 ,
트랩도어 개념의 필요성을 역설하 다 이러한 동일한 비 키를 얻게 되면 송신자와 수신자.
는 이 키를 공유하여 각기 자신의 평문을 암호화하거나 암호문을 해독할 수 있게 된다[7].
이때 와 이 이용한 방식이 이산 수 문제의 어려움에 근거를 둔 방식인데 이Diffie Hellman ,
산 수 문제란 다음과 같다.
소수 가 주어지고p y=gx 인 경우 역으로mod p , x=logg 인 를 계산하는 문제 여기y mod p x .
서 를 법 상의 의 이산 수라 한다x p y .
단 의 위수 는, g k gk 를 만족하는 최소의 양의 정수=1 mod p
이산 수의 어려움에 근거를 둔 공개키 암호 알고리즘의 표적인 예로 의 공개키ElGamal
암호 시스템을 들 수 있는데 이 시스템은 암호화 및 복호화와 서명 알고리즘으로 구성되며
암호화 알고리즘은 의 키 분배 시스템과 유사하다 의 공개키 암호Diffie-Hellman . ElGamal
시스템은 먼저 키 생성 과정을 수행하고 생성된 키를 이용하여 암호화 및 복호화를 수행한
다[23].
년 와 는 타원곡선 이산 수 문제에 기반을 둔 타원 곡선 암호 시스템1985 Koblitz Miller
을 개발하 고 년 와 는 특(Elliptic Curve Cryptosystem) , 1992 Menezes, Okamoto Vanstone
정한 타원곡선에서의 이산 수 문제가 유한체에서의 이산 수 문제로 전이될 수 있음을 보
여 안전도 비교에 획기적 전기를 마련하 다 그 이후 타원 곡선 암호 시스템에 관한 많은.
연구가 수행되었고 현재 으로 표준 작업 중에 있으며 실용화 단계에 있다, IEEE P1363 , .
소인수분해 문제를 이용한 알고리즘2.
와 은 자신의 논문에서 암호학의 새로운 논리와 요구 사항들을 제시하 다 그Diffie Hellman .
들의 논리에 근거하여 년 의 그리고 은 소1977 MIT Ron Rivest, Adi Shamir Len Adleman
인수분해의 어려움을 이용한 공개키 암호 알고리즘을 개발하 고 년 공포하 다, 1978 . RSA
공개키 암호 시스템은 현재 세계적으로 가장 널리 사용되고 있으며 실질적인 세계 사업표,
준으로 자리 잡고 있다.
공개키 암호 시스템 은 약 자리 정수의 소인수분해 어려움에 그 안전성을 근거하RSA [9] 200
고 있는 방식으로 인수분해 문제는 다음과 같다, .
주어진 합성수 의 소인수를 찾는 문제로 의 자릿수가 매우 큰 경우n n (10150 이상 에는 의) n
소인수를 다항식 시간 내에 찾는 효율적인 알고리즘이 존재하지 않는다.
공개키 암호 시스템은 공개키 과 를 가지고 비공개키 를 구할 수만 있다면 무용지RSA n e d
물이 된다 를 찾기 위해서. d 을 계산할 수 있어야 하는데 이를 위해서는 의 소인수분(n) , n
해가 필요하다 와 가 자리의 소수이고 따라서 이 자리의 합성수라면 현재의 알. p q 100 n 200
고리즘과 전자 기술로 을 소인수분해하는 것은 거의 불가능하다고 알려지고 있다n .
공개키 암호알고리즘의 개발 이후로 소인수분해의 어려움에 근거하는 여러 가지 암호RSA
시스템들이 제안되었다 년 의 암호 시스템 년. 1979 Michael O. Rabin [12], 1980 Hugh William
의 암호 시스템 등이 있다 또한 년 초에 공개키 암호 시스템이 상의 구현[13] . , 1993 RSA PC
이 어렵고 전자서명상의 취약성이 발견됨에 따라 공개키 암호 시스템이 제안되기도LUC
하 다 이는 의 수열 등을 이용하여 제안된 공개키 암호 시스템. Edouard Lucas(1842 1891)~
으로 뉴질랜드의 컨소시엄에 의해 특허로 보호받으며 구현되고 있다.
의 소인수분해 전용 기계 년에 자리 정수를 인수분해 할 수 있는 기계Pomerance - 1 150 -
의 가격이 약 천만 달러로 견적되지만 라면 이 정도의 자금과 시간을 투자할1 , Big Brother
수 있다고 본다 소수 판정법의 연구가 안전한 비 키의 생성을 위해서라면 소인수분해에. ,
한 연구는 공개키 암호 시스템을 깨뜨리기 위한 연구가 될 것이다RSA .
제 절 해쉬 함수4
해쉬 함수는 임의의 길이의 비트스트링을 고정된 길이의 출력값인 해쉬 코드로 압축시키는
함수로서 다음의 성질을 만족한다. :
주어진 출력에 하여 입력값을 구하는 것이 계산상 불가능하다1. .
주어진 입력에 하여 같은 출력값을 내는 것이 계산상 불가능하다2. .
암호학적 응용에 사용되는 부분의 해쉬 함수는 위의 두 성질뿐만 아니라 이보다 강한 충
돌 저항성을 지닐 것이 요구된다 즉.
같은 출력을 내는 임의의 서로 다른 두 입력 메시지를 찾는 것이 계산상 불가능하다3. .
암호학적 해쉬 함수의 충돌 저항성은 전자서명에서 송신자 외의 제 자에 의한 문서위조를3
방지하는 부인봉쇄 서비스를 제공하기 위한 필수적인 요구조건이다.
국제 표준화 과정을 보면 해쉬 함수는 블록 암호 알고리즘에 기초한 해쉬 함수 전용 해쉬,
함수와 모듈러 연산을 이용한 해쉬함수 세 가지로 나눌 수 있다 블록암호를 이용한 해쉬함.
수는 이미 구현되어 사용되고 있는 블록암호를 이용할 수 있다는 이점이 있으나 블록 암호,
를 기본함수로 이용하므로 블록암호보다도 훨씬 더 속도가 떨어지는 단점을 가지고 있고,
모듈러 연산을 이용한 해쉬함수는 속도가 느려 사용 역에 제한이 있어 현재는 부분의 응
용에서 전용 해쉬함수가 주로 이용된다.
전용 해쉬함수 가운데 년 가 발표한 는 부분의 전용 해1990 Rivest MD4(Message Digest4)
쉬함수 등 의 기본 모델이(MD5, RIPEMD, RIPEMD-128/RIPEMD-160, HAVAL, SHA-1 )
되고 있다.
표 해쉬 함수의 특성[ 15-3]
해쉬 함수 해쉬 값의 크기 입력값 라운드 수
MD4 비트128 비트512 라운드3
MD5 비트128 비트512 라운드4
RIPEMD-128 비트128 비트512 라운드4
RIPEMD-160 비트160 비트512 라운드5
HAVAL 비트128 258~ 비트1024 라운드3 5~
SHA-1 비트160 비트512 라운드4
현재 의 부록에 예로 제시되고 있는 과 그리고ISO/IEC 10118 RIPEMD-160 SHA-1,
은 기존의 공격에 비교적 안전하다고 알려져 있다 은 가 년 발표HAVAL . SHA-1 NSA 1993
하 던 를 자체 보완하여 년에 발표한 알고리즘으로 현SHA(Secure Hash Algorithm) 1995
재 미국 연방정부의 표준 해쉬 함수로서 공인되었고 은 해쉬값을 비트에서, HAVAL 128 256
비트까지 비트 단위로 가변되도록 하고 라운드 수 역시 에서 사이를 선택할 수 있도32 , 3 5
록 하는 등 새로운 방식을 도입한 것으로 아직은 알려진 공격법이 없다.
해쉬 알로리즘은 칭키 암호 시스템 비 칭키 암호 시스템과 함께 현 암호 시스템에 꼭,
필요한 요소기술로 자리 잡고 있다.
제 절 암호 프로토콜5
정보사회에서는 종이문서에 기반을 둔 기존의 모든 업무가 고도로 발달된 통신처리 및 정보
처리 기술에 의해 전자문서에 기반들 둔 새로운 형태의 업무 전자적인 방식 로 변화된다 그( ) (
림 15-5).
그림 업무의 전산화( 15-5)
그러나 현재의 업무가 정보사회에 알맞은 전자적인 방법을 이용한 업무로 변환되기 위해서
는 해결해야 할 몇 가지 문제가 있다 예를 들어 현재의 부동산 계약이 정보사회에서의 전.
자계약으로 변환되는 과정을 분석하여 본다 그림( 15-6).
현 사회의 계약 관계를 자세히 고찰해보면 다음과 같은 안전성에 관련된 중요한 특성을 내
포하고 있다.
계약 당사자간의 상 방의 신분 인증 주민등록증 주민등록등본 등( , )○
계약문서의 확인 문서 인증( )○
계약 도장의 인증 인감증명( )○
동시성 동일장소에서 동시에 계약서에 인감을 날인( )○
그림 전자계약에서의 안전성 문제( 15-6)
물론 정보사회에서의 전자계약도 위의 특성을 만족해야 한다 계약 당사자간의 상 방의 신.
분을 확인하는 것이 개인식별 문제 계약문서의 내용을 확인하는 것이 인증 문제 인감도장, ,
을 전자적으로 실현하는 것이 전자서명 문제이다 특히 통신망을 통하여 전자적으로 동시성.
특성을 해결하는 문제는 매우 어려운 문제로 현실적으로 불가능해 보이기도 한다 이렇게.
안전성에 관련된 많은 문제들을 해결해주는 분야가 암호기술 분야의 암호 프로토콜이다.
제 절 키관리 및 인증6
키관리1.
암호 시스템의 안전성과 신뢰성은 주어진 보안 매개 변수들에 한 관리와 보호에 기반을
두고 있다 가장 견고한 암호 시스템이라 할지라도 만약 키관리가 소홀하다면 그 시스템은.
무용지물이 되어버리는 것이다.
키관리의 목적은 칭키 또는 비 칭키 암호 시스템에 사용되는 암호학적 키들을 안전하게
다루기 위한 키의 생성 등록 확인 분배 설치 저장 파생 보관 취소 말소 폐기 등 일련, , , , , , , , , ,
의 절차들을 제공하는 것이다 다음 표 는 키관리 서비스에 한 간단한 설명이다. [ 15-4] .
표 키관리 서비스[ 15-4]
키관리 서비스 내 용
키 생성- 강한 비도를 가진 키를 안전하게 생성할 수 있는 절차 제공
키 등록- 키와 사용자를 연결시키는 서비스로 등록기관에 의해 제공
키확인서 생성-
공개키와 사용자의 연관성을 보장하는 것이며 인증기관에 의해 제공
키 분배-인가된 사용자들에게 키관리 정보 객체들을 안전하게 제공해 주는 일련의 절차
키 설치-키를 사용하기 전에 늘 필요한 절차로 키 관리 설비 내에서 키가 위태롭지 않은 방식으로 배치하는 것
키 저장-미래에 사용하거나 백업 을 위해 생성된 키들을 안전하게 저장(backup)해 주는 서비스
키 파생-파생키라고 불리는 비 근원키를 이용하여 다시 새로운 세션키들을생성하는 작업
키 보관- 일반적인 사용 후에 키들의 안전한 보관을 위해 제공되는 일련의 절차
키 취소-키의 노출 확인서 사용기간의 만료와 같은 경우에 사용자에 의해 사,용키 취소 가능
키 말소-키와 사용자의 연결을 단결시켜 주는 서비스로 키 폐기 서비스의 일부분이 됨
키 폐기- 더 이상 사용될 필요가 없는 키들의 안전한 폐기를 위한 절차 제공
비 칭키 암호 시스템과 인증서2.
비 칭키 암호 시스템에서 비공개키는 그 소유자만이 알고 있고 공개키는 공개된다 공개키.
를 공개하는 문제는 실제 구현시 공개키를 공개하는 데에 사용되는 메커니즘 공개키 디렉토(
리 게시판 등 이 자체적으로 안전하지 않아 누구나 쉽게 접근하여 정보를 변경할 수 있으, )
므로 공개키의 위 변조 문제를 야기시킨다 이렇게 공개된 공개키가 위 변조되지 않았음.・ ・을 보장하는 보장하는 문제 즉 공개키의 무결성을 보장하기 위해 등장한 것이 공개키 인증,
서 개념이다.
인증서 란 개인 또는 단체의 공개키를 인증하는 전자 증명 문서이다 인증서에는(Certificate) .
만기일 인증서를 발행한 인증기관의 이름 일련번호 등의 정보가 포함되어 있다 가장 중요, , .
한 것은 인증서에 인증서 발행자의 전자서명이 들어 있다는 것이다 가장 널리 인정되는 인.
증서의 형식은 국제 표준에 의해 정의된다 다음의 표 는 의 버전ITU-T X.509 . [ 15-5] X.509
인증서 형식이다3 .
그림 계층적 구성( 15-7)
표 인증서 형식[ 15-5] X.509v3
버전 버전으로 은 버전 은 버전 는 버전 을 의미함X.509 0 1, 1 2, 2 3
일련번호 발행자가 생성한 각각의 확인서에 한 유일 식별자
서명 알고리즘식별자
발행자가 확인서를 서명하는 데에 사용한 알고리즘을 기입
발행자 이름 확인서를 서명하고 생성한 발행자의 로 명명 방식을 따름id X.500
유효기간확인서가 사용될 수 있는 시작 시간과 끝 시간을 기입하는 것으로 시간과 날짜 형식 로 표현됨(UTCT )
공개키 사용자이름
확인서를 받는 공개키 소유주의 로 명명 방식을 따름id X.500
사용자의공개키 정보
사용자의 공개키와 공개키에 한 정보 알고리즘과 파라미터 를 기입( )
발행자의유일한 식별자
선택 버전 이상에서 사용되는 것으로 발행자의 부가적인 정보를 포( ) 2함함
사용자의유일한 식별자
선택 버전 이상에서 사용되는 것으로 객체의 부가적인 정보를 포함( ) 2함
부연 설명 선택 인증 정책 등 여러 가지 사항을 포함함( )
서명 앞의 목록들에 한 서명값
인증서는 인증기관 이 발생하는데 인증서 요구자의 신원 키 이들의 관계를 보증할 수(CA) , , ,
있는 신뢰성 있는 중앙기관이 인증기관이 될 수 있다 인증서 위조를 방지하기 위해서 인증.
기관의 공개키는 반드시 신뢰할 수 있어야 한다 인증기관은 그의 공개키를 공개하거나 공.
개키의 유효성을 입증할 수 있는 상위급 인증기관이 발행한 인증서를 제공해야만 한다.
그림 은 인증기관 간의 계층구조의 예이다(15-7) .
인증기관들은 하위 인증기관들에게 인증서들을 발행한다 최상위 인증기관의 공개키는 모든.
사람에게 알려져 있어 사용자들의 인증서는 최상위 인증기관에서 자신의 신뢰하는 인증기관
까지의 인증 경로를 검증함으로써 상 방의 인증서를 검증한다 그림 에서 갑이 을의. ( 15-7)
전자서명을 검증한다고 하자 우선 갑은 을의 공개키를 획득해야 한다 갑은 과 를. . CA1 CA3
신뢰하고 을은 과 를 신뢰한다 을은 갑에게 서명문과 함께 인증기관 에서CA1 CA4 . CA1
까지의 인증경로를 전송한다 갑은 을이 자신과 같은 도메인에 있음을 확인한 후 자신CA4 .
이 알고 있는 의 공개키를 이용해 에서 까지의 인증경로를 검증하여 을의 공개CA1 CA1 CA4
키를 획득한 후 서명문을 검증한다.
제 절 암호 시스템 응용 분야7
전자서명1.
종이문서에 기반을 둔 업무는 주로 날인 도장 이나 사인을 사용하여 업무의 안전성을 보장( )
한다 전자문서에 기반을 둔 업무에서도 안전성을 보장하기 위하여 날인이나 사인에 응하.
는 전자적인 기능을 가져야 한다 종이문서에 기반을 둔 업무에서의 날인이나 사인과 같은.
기능을 갖도록 전자적으로 구현한 것을 전자서명이라 한다.
전자결재시스템 야 전자화폐 전자상거래 전자선거 등은 데이터의 무결성과, E , CALS, , EFT, ,
사용자 인증이 필수적이며 이를 해결할 수 있는 기술이 전자서명 기술이다, .
가 전자서명 기술이 제공하는 서비스.
위조 불가 서명자만이 서명문을 생성 가능(Unforgeable) :○
서명자 인증 서명문의 서명자를 확인 가능(Authentic) :○
재사용 불가 서명문의 서명은 다른 문서의 서명으로 사용 불가능(Not reusable) :○
문서 변경 불가 서명된 문서의 내용을 변조 불가능(Unalterable) :○
부인봉쇄 서명자는 서명한 후에 서명한 사실을 부인 불가능(Non-repudiation) :○
나 전자사명의 서명 형태에 따른 분류.
메시지 회복형 서명 확인과정에서 서명(Digital Signature giving Message Recovery) :○
으로부터 메시지가 복구되는 형태로 등이 있다RSA, Rabin, Nyberg-Rueppel .
부가형 서명 확인과정에서 메시지와 메시지의 서명(Digital Signature with Appendix) :○
이 입력의 일부분이 되는 방식으로 등이 있다DSA, ElGamal, Schnorr .
다 전자서명 기술의 현황.
선진각국은 이미 전자서명 기술의 중요성을 인식하여 미국의 경우 독자적으로 개발한,
를 연방 정부 표준으로 제정하 고 유럽에서는 프랑스 독DSS(Digital Signature Standard) , ,
일을 중심으로 방식을 국제표준으로 제정하기 위한 노력을 경주하고 있다G-Q .
그림 전자서명의 구조( 15-8)
일회용 패스워드 시스템2.
사용자의 와 패스워드를 인증 기반으로 하고 있는 시스템의 패스워드 누출은 많은ID UNIX
위험성을 내포하고 있다 최근 네트워크를 감청하거나 와 패스워드를 도용하기 위하여 스. ID
니퍼나 스푸핑 등을 이용한 해킹 방법이 많이 사용되고 있다 또한 국내에서 발생한 해IP .
킹 사례의 많은 부분들이 타인의 와 패스워드를 도용하거나 이를 이용한 해킹 사례들이ID
다.
일회용 패스워드 시스템이란 로그인할 때마다 네트워크를 도청하고 있던 제 자가 유추할3
수 없도록 다른 패스워드를 생성하는 시스템을 말한다.
이러한 시스템은 매번 다른 패스워드를 생성하므로 불안전한 네트워크 상에서 가능한 도「
청 재시도 공격 에 안전하다/ .」
일회용 패스워드 시스템은 블록 암호 알고리즘 공개키 암호 알고리즘 해쉬 알고리즘 등을, ,
이용하여 구현할 수 있다 기존의 방식은 블록 암호 알고리즘 를 이용한 시도 응. DES DES /
답 방식을 사용하 으나 서버에 사용자의 비 키를 저장함으로써 사용자들의 패스워드가 노
출될 위험이 있고 사전 공격법 과 같은 네트워크 상의 가능한 공격에 취, (Dictionary attack)
약하다 이와 같은 취약점을 보완하기 위하여 해쉬 알고리즘을 이용한 방식과 공개. S/KEY
키 암호 알고리즘을 이용하는 방식이 등장하게 되었다 방식의 특징은 서버에 비. S/KEY
번호를 저장하지 않고 방식 자체가 간단한 반면 사용횟수에 제한이 있고 사전 공격법 스푸,
핑 공격법 에 취약하다는 단점이 있다 공개키 암호 알고리즘 이용 방식은 앞에, race attack .
서 언급한 두 가지 방식에 비해 안전성에서 인정을 받고 있고 멱승 계산의 속도를 증가시,
켜 실시간에 서명 생성과 검증을 처리할 수 있는 속도를 유지하고 있다 사용자의 비 키.
보관에 관한 문제가 있었으나 비 키 저장 매체로 사용하고 있는 스마트 카드 기술의 발전
으로 설치상의 어려움을 극복하고 있다.
가 시도 응답 스킴. DES / (Challenge/Response)
사용자가 인증 요구와 함께 사용자 식별 번호를 인증 서버에게 전달하면 인증 서버는 난수,
를 생성하여 사용자에게 전달한다 사용자는 를 이용하여 난수를 자신의 패스워드로 암. DES
호화한 후 인증 서버에 응답한다 사용자로부터 응답을 받은 인증 서버는 계산한 값과 수신, .
된 응답값을 비교하여 일치하는 경우에 사용자를 정당한 사용자로 인증하게 된다.
나 공개키 암호 알고리즘 이용 방식.
시도 응답 스킴과 유사하나 사용하는 알고리즘이 공개키 암호 알고리즘이라는 점이 다DES /
르다 서버는 사용자에게 난수. Rb를 보낸다 사용자는 보내온 난수를 자신의 비공개키로 암.
호화하여 보낸다 서버는 사용자의 공개키로 복호화하여 복호화한 정보가 자신의 난수와 같.
은지 검증한다 공개키 암호 알고리즘 이용 방식을 그림으로 나타내면 다음 그림. ( 15-10)
과 같다.
그림 공개키 암호 알고리즘을 이용한 일회용 패스워드 시스템( 15-9)
다 방식. S/KEY
인증 시스템은 에 해 사용자의 패스워드를 보호하기 위하여 단방향S/KEY passive attack
해쉬 함수를 사용하는 시스템이다 먼저 사용자의 비 패스워드와 서버의 로 이루어진. seed
정보를 정해진 특정 수 만큼 단방향 해쉬 함수를 수행하여 첫 번째 일방향 패스워드를 생N
성한다 두 번째 일방향 패스워드는 사용자의 패스워드와 서버에서 보내온 로 이루어진. seed
정보를 단방향 해쉬 함수로 번 수행함으로써 생성한다N-1 .
처음에 호스트 컴퓨터는 수신한 일방향 패스워드의 복사본을 저장하고 그것을 단방향 함수,
에 적용한다 만약 그들이 일치하면 시스템은 사용자를 인증하고 시스템 패스워드 파일 안. , ,
에 있는 사용자의 엔트리는 단방향 함수의 마지막 실행 전에 저장되어 있던 일방향 패스워
드의 복사본으로 갱신되어진다 다음 그림 은 방식의 구조를 나타내고 있다. ( 5-10) S/KEY .
Initial setup
서버 일련번호 첫 번째 를 저장: login id, , seed, one time password
사용자 일련번호 저장: secret pass-phrase,
그림 방식( 5-10) S/KEY
제 절 요약8
현재 암호 기술은 통신선로를 도청하거나 컴퓨터에 저장되어 있는 파일 해킹 등의 방법으,
로 상 방의 중요 비 정보를 가로채는 범죄 행위를 방지할 수 있는 가장 경제적이고 효과
적인 수단으로 제시되고 있다.
암호란 평문을 해독 불가능한 형태로 변형하거나 또는 생성된 암호로부터 키 또는 해독 가
능한 형태로 변환하기 위한 원리 수단 방법 등을 취급하는 기술 또는 학문이다, , .
본 장에서는 현 암호 기술을 암호화 기술과 암호 프로토콜 기술로 나누어 전개하 고 암,
호화 기술을 칭키 암호 알고리즘과 비 칭키 암호 알고리즘으로 암호 프로토콜 기술은,
전자서명과 개인식별 및 인증분야를 포함하는 기본 프로토콜에 해서 살펴보았다 그리고.
실제 응용과 관련하여 키관리 및 인증에 해서도 알아보았다 또한 위에서 언급한 암호 알.
고리즘들이 전자서명 일회용 패스워드 시스템 등과 같은 응용분야에 어떻게 적용되는지를,
고찰하 다.
참고 문헌
[1] M. Blum, "Coin flipping by telephone. A protocol for solving impossible problems",
SIGACT News, pp. 23-27, 1982
[2] A. Fiat and A Shamir, "How to prove yourself : Practical solutions to identification
and signature problems", Lecture Notes in Computer Science 263, pp. 186-194, Berlin :
Springer-verlag, 1987
[3] M. Blum, "How to prove a theorem so one else claim it", Proc. of the international
congress of Mathematics, pp. 1444-1451, 1987
가[4] H. Bu and A. Pfitzmann, "Digital payment systems enabling security and
unobservability" Computers and Security (9), 399-416, 1989
[5] A. M. Odlyzko, "Cryptanalytic attacks on the multiplicative knapsack cryptosystem
and on Shamir's fast signature scheme", IEEE Trans. Inform. Theory, vol. IT-30, no. 4,
pp. 594-601, July 1984
[6] Whitefield Diffie and Martin E. Hellman, "New Directions in Cryptography", IEEE
Transactions on Information Theory, pp 644-454 Nov. 1976
[7] Whitefield Diffie and Martin E. Hellman, "Multiuser Cryptographic techniques", in
proceedings of AFIPS National Computer Conference, N.Y., pp. 106-112 June 7-10, 1976
[8] R. C Merkle and M.E. Hellman, "Hiding information and signatures in trapdoor
knapsacks", IEEE Trans. Infor Th, vol. IT-24, pp. 525-530, Sep. 1978
[9] R. L. Rivest, A. Shamir and L. Adleman, "A method for obtaining digital signatures
and public key cryptosystems.' Communication of the Association of Computer
Manufactures, vol. 21, no. 2, pp. 120-153, Feb. 1978
[10] C. Pomerance, J. W. Smith and R. Tuler, "A pipe-line architecture for factoring
large integers with the quadratic sieve algorithm", SIAM J. Comp, vol. 17, pp. 387-403,
1988.
[11] Peter J. Denning, "Report of the Public Cryptography Study Group,
"Communications of the ACM, vol IT-24, no. 7pp. 434-450, July 1981
[12] M. O. Rabin, "Digitalixed signatures and public - key functions as factorization",
MIT Laboratory for Computer Science, MIT/LCS/TR- 212, Jan. 1979
[13] H. C. Williams, "A modification of the RSA public - key cryptosystem", IEEE
Trans. Inform. Theory, vol. IT-26, no. 6, pp.726-729, Nov. 1980
[14] Peter Smith, "LUC Public key Encryption", Dr. Dobb's Journal, pp37-42 Jan. 1993
[15] J. H. Moore, "Protocol Failures in Cryptosystem", Proceedings of IEEE, vol. 76, no.
5, pp. 594-602, 1988
[16] Button S. Kaliski, "Public key cryptography standard", RSA La. Tech. Note, Nov.
1993
[17] Charlie Kaufman, Radia Perlman, Mike Speciner, Network Security: Private
Communication in a PUBLIC World, Prentice-Hall Inc., Englewood Cliffs, New Jersey,
1995
현 암호학 한국전자통신연구소[18] , , 1991
[19] Gustavus J. Simmons, Contemporary Cryptology: The Science of Information
Integrity, IEEE, 1991
[20] William Stallings, Network and Internetwork Security: Principles and Information
Integrity, IEEE, 1991
[21] Marshall D. Abrams, Sushil Jajodia, Harold J. Podell, Information Security: An
Integrated Collection of Essays, IEEE, Los Alamitos, CA, 1995
안전성 기술 동향 한국전자통신연구소[22] , , 1996
[23] Alfred J. Menezes, Paul C. van Oorschot, Scott A. Vanstone, Handbook of Applied
Cryptography: CRC Press, 1996
제 장 전자상거래 보안16
제 절 개요1
정보사회에서 접할 수 있는 표적인 서비스로 전자상거래 서비스를 들 수 있으며 기존의,
서비스 및 인터넷 웹의 온라인 거래 서비스와 연계하여 기존의 유통구조 가격형성 과EDI ,
정 세금 부과의 법적 근거 자금회전 양상 구매 형태 및 마케팅 전략 등에 급격한 변화가, , ,
예상된다 또한 이러한 변화를 수용하기 위하여 금융기관의 기능과 역할 면에서 근본적인.
변화가 있을 것으로 예상된다[1].
전자상거래란 기업간에 또는 기업과 고객 간에 전자정보를 통해 이루어지는 상거래 전반을,
의미한다 협의로는 인터넷을 사용한 비즈니스를 지칭하지만 광의적으로는 네트워크를 활용. ,
하여 행하는 광고 수 발주 개발 구입 결제 등 모든 경제활동을 포함한다, , , , [9].・전자상거래 서비스를 사용자들이 신뢰하며 사용하기 위하여는 전자거래 시스템의 보안성이
최우선적으로 보장되어야 한다 이러한 전자상거래의 보안 서비스를 위하여 다양한 상용 제.
품들이 등장하고 있고 현재 몇 가지 제품군이 시험적인 단계에 있으나 그 수준은 보안 서,
비스를 상용화하기에는 불완전한 상태이다.
본고에서는 전자 상거래의 시범 환경을 인터넷 환경으로 설정하 으며 이는 현재 여러 측,
면에서 분석해 볼 때 향후 전자상거래의 사용 환경이 인터넷에서 실현될 가능성이 높기 때,
문이다 예를 들어 전 세계적으로 이용할 수 있는 인터넷 접속 호스트 수는 년 월 기준. ‘96 1
으로 약 여 만 개나 되며 년 기준으로 만 명이 인터넷을 사용 중인 것으로 추950 , 1995 5,600
정되며 현재 인터넷을 통하여 처리되는 전자상거래는 년 미국의 경우 전체 국민 총 생, 1995
산량의 약 가 전자 처리되고 있으며 이러한 거래 형태는 매년 폭발적인 증가 추세에1.7%
있다고 한다 전 세계적으로 인터넷의 웹을 통한 전자상거래가 일반화되어 있으며 이러한.
거래에는 기본적인 보안 서비스가 필수로 포함되어 있다.
이러한 예에서 알 수 있듯이 전자상거래는 신속성 편이성 및 안전성으로 인한 량 업무,
처리 능력의 장점 때문에 향후 확산 가능성이 매우 높은 서비스 중 하나이다[1,2].
단 현재의 인터넷이 전자상거래를 실현하기 위하여 몇 가지 취약한 점으로 인지되는 속도,
와 보안 측면에서 상당히 보강이 필요하며 고품질의 종단간 보안 시스템을 신속하게 구축,
하는 것이 관건이다 또한 초기 사용자 집단은 기업간의 거래를 상으로 추진될 것으로 전.
망하고 있다 위의 문제가 해결되어 이상적으로 전 세계가 전자상거래 서비스를 사용하게.
되는 시점에 이르면 지구촌 화폐 단위 가 등장할 것으로 예측(Global Currency Unit : GCU)
되며 이러한 사례로서 유럽의 단일 통화인 를 들 수 있다European Currency Unit(ECU) [1].
전자상거래의 정의는 사용자에게 일상적인 유형무형의 상품 구매를 일괄적으로 제공하는 통
합된 형태의 전산망 서비스라고 할 수 있다.
전자상거래 시스템의 구성은 전자상거래 상품 정보 안내 상품 구매 상품 배달 서비스 및, ,
서비스의 보안성을 보장해주는 각종 보안 기능으로 이루어진다 또한 전자상거래 시스템의.
하부 통신 구조의 보안을 위하여 하부 계층의 전용 보안 프로토콜이 다수 제시되고 있으며,
이 부분에 한 표준화 작업을 에서 추진 중에IETF(International Engineering Task Force)
있다.
한편 관련 업계의 국제 동향으로 이 분야의 선두 국가는 년부터 이 분야를 연구 개발하1989
고 있는 미국이며 그 중 표적인 선두 그룹은 이 이끄는 사이다David Chaum DigiCash [31].
특히 요즘의 추세는 전자상거래 보안 서비스 시스템을 분산 환경 모델을 근간으로 설계하,
여 분산망 하부 계층에서 상단의 응용 서비스 계층에 이르는 전자상거래 보안 모델을 제시
하고 있으며 현재 시제품이 출현하는 단계에 있다[1].
제 절 전자상거래의 발전 모델 및 운 환경2
현재 전자상거래에 하여 제정된 표준안은 전무한 상태이며 향후 이 부분에 한 활동이,
예상된다 참고로 에서는 과. IETF Web Transaction Security Working Group ISSP(Internet
가 보안 분야에서 그리고Secure Payment Protocol) BOF(Bird-Of-Feather) ,
이 응용분야에서 표준화를 진행 중이HTTP(Hypertext Transfer Protocol) Working Group
며 와 사가 연합하여 년 월 일 개정판을 제시한 신용카드 근간의VISA Master Card 1996 6 28
전자 지불 시스템의 보안 사양으로 에 한 도출시SET(Secure Electronic Transaction)
가 조정 역할을 하 다IETF .
표 전자상거래의 단계 발전 형태[ 16-1] 3
단계 신용카드 지원 개념의 전자상거래 시스템1 :●
현재 보편화되어 있는 신용카드를 기반으로 하는 전자상거래 시스템이 현실적으로 널리사용될 것으로 보이며 이 형태의 전자상거래 시스템은 결국 신용카드 사용을 지원하는 기반 구조로 활용될 것으로 보인다.
단계 신용카드 지원 개념과 전자 화폐 개념을 모두 수용한 전자상거래 시스템2 :●
이상적인 전자화폐 개념이 도입되어 상용화 단계에 이르는 시점이면 기존 단계에서 사용1한 전자상거래 시스템과 전자화폐환경을 모두 수용한 변종 형태의 전자상거래 시스템이전자상거래 서비스를 기반으로 하여 발전될 것으로 예측된다.
단계 전산망 시스템의 서비스에 전적으로 의존적인 전자상거래 시스템3 :●
신용카드의 소지 의무 등의 불편함으로 인하여 전산망 시스템 서비스에 전적으로 의존하는 형태의 전자상거래 시스템이 전자 화폐를 근간으로 하여 인터넷 환경에서 안정적인 서비스를 할 것으로 예상된다.
현 시점에서 전자상거래의 예상되는 발전 방향으로는 표 과 같이 단계 전자상거래[ 16-1] 3
서비스 형태의 변천이 예상되며 궁극적으로 가장 실현 가능성이 높은 전자상거래 형태인 인
터넷 근간의 서비스를 활용한 전자상거래가 최종적인 형태로 될 것이 예측된다WWW [1].
현재 다양한 형태의 단계 및 단계 전자상거래 모델과 시제품이 제시되고 있으며 단계 전1 3 1
자상거래의 발전 모델인 신용카드 지불시스템에 기반을 둔 다양한 형태의 전자쇼핑몰이 구
현 활성화되고 있다 신용카드 지불시스템에 기반을 둔 보안 프로토콜로 현재 비자와 마스.
터 카드사의 주도하에 마이크로소프트 넷스케이프 베리사인 등 개 컴퓨터 및IBM, , , , GTE 7
정보보호 관련 업체가 참여하여 을 개발 년 월에 버전 이 발표되었다 을 이SET 97 5 1.0 . SET
용한 전자상거래 거래에 참여하는 구성원은 고객인 카드 소지자와 상인 외에 다음과 같이
정의되어 있다.
지불게이트웨이 매입사 또는 매입사를 신하는 제 자가 상인과의(Payment Gateway) : 3○
결제 처리를 위해 사용하는 시스템 신용카드사 또는 제 자에 의해서 운 되는 지불게이트. 3
웨이는 금융기관 네트워크를 통하여 은행과 연결된다.
발행사 신용카드를 발행한 회사(issuer) :○
매입사 상인이 요구한 신용카드 결제를 승인하고 그 금의 지불을 처리하는(acquirer) :○
회사
상표 신용카드의 상표권을 갖고 있는 카드회사(brand) :○
단계 전자상거래의 개발 모델에서 공통적으로 사용하는 전자상거래의 기본 구성은 다음과3
같다.
전자화폐 현금과 동일한 가치를 가지고 있으면서 시스템 환경에서 전(Electronic Cash) :○
자사명 내용은닉 서명 메커니즘을 이용하여 구현되며 시스템 내에서는 파일 형태로 존재하, ,
게 된다.
전자화폐 시스템 전자거래가 처리되는 시스템으로서 다음의 세부 구성 요소를 분산 시:○
스템 환경에서 보유하고 있다.
은행 가상의 은행 역할을 수행하는 부분으로 화폐 발행 화폐 보증 및 교환 기능을 수- : ,
행하며 화폐 발행시 고객의 전자 화폐에 은행의 비 키로 전자서명 메커니즘을 이용하여 서
명한다.
고객 전자상거래 시스템에서 구매를 요청하는 실체로서 은행에 계좌를 소유하고 자신- : ,
의 계좌에서 입출금이 가능하다 고객은 자신의 은행 구좌에 서명하고 자신의 비 키로 서.
명함으로써 전자 화폐를 인출하며 은행은 출금시 고객의 공개키를 사용하여 고객의 서명을,
확인한다.
거래처 거래처는 자신의 상품과 고객의 전자 화폐를 교환하는 역할을 수행한다 거래처- : .
는 고객으로부터 받은 전자 화폐를 해당 은행에 조회함으로써 고객의 주문과 지불에 한
검증을 거친 후 자신의 상품을 고객에게 전달한다 이때 거래처는 고객의 전자 화폐를 고객. ,
이 거래하는 은행의 거래키를 사용하여 인증 요청을 한다.
제 절 보안서비스3 SET
에서의 암호 활용1. SET
은 인터넷과 같은 공개된 망에서 안전한 상거래를 보장SET(Secure Electronic Transaction)
해주는 신용카드 및 지불카드에 기반을 둔 프로토콜이다 은 우리가 일상생활에서 이용. SET
하는 신용카드 거래체계를 인터넷을 통한 전자상거래에서도 유사하게 이용할 수 있도록 하
고 있다.
년 월 비자와 마스터 카드사의 주도하에 마이크로소프트 네트스케이프 베리사1996 2 IBM, , ,
인 등 개 컴퓨터 및 정보보호 관련 업체가 참여하여 년 월에 버전 이 발표되, GTE 7 97 5 1.0
었다 은 암호를 사용하여 다음의 가지 정보보호 서비스를 제공한다. SET 3 .
정보의 기 성 제공○
지불정보의 무결성 확보○
상인과 고객 상호간의 인증○
이와 같은 목적을 달성하기 위해서 다음의 세 가지 정보보호 요소기술을 사용한다.
암호화 알고리즘 메시지 암호화를 통하여 카드 소지자의 계좌번호 신용카드 번호 지: , ,○
불 정보 등 민감한 정보의 노출을 방지.
전자서명 및 해쉬 함수 메시지 내용의 무결성을 보장: .○
전자 인증서 를 기반으로 한 인증서 방식을 이용하여 거래 행위의 실질적인 주체: X.509○
인 카드소지자와 상인 간에 상호 인증을 제공.
프로토콜 명세는 다양한 하드웨어 및 소프트웨어 플랫폼 간에 동작할 수 있도록 하기SET
위하여 미국 표준 표현 기법인 을 이용하여 기술되어 있으며 기본적인 암호화 과정은ASN.1
그림 과 같이 정의되어 있다 그림은 갑이 을에게 문서에 서명을 한 다음 암호화하여( 16-1) .
전송하는 상황을 보여준다 암호화의 과정 다음과 같은 단계를 가진다. .
그림 의 기본적인 암호화 과정( 16-1) SET
갑은 일방향 해쉬 함수를 실행시켜 문서의 무결성을 보증하는데 사용할 해쉬값을 구한①
다.
갑은 자신의 비공개키로 단계에서 얻은 해쉬값을 암호화하여 전자서명을 얻는다1 .②
갑은 칭키를 생성하여 문서와 단계에서 얻은 전자서명 그리고 자신의 공개키가 담긴2 ,③
인증서를 암호화한다.
을과 안전한 통신을 시작하기 전에 갑은 을의 인증서를 얻어 인증서에 포함되어 있는 을④
의 암호화 공개키로 이 칭키를 암호화한다.
최종적으로 갑은 칭키로 암호화된 문서 전자서명 인증서와 암호화 공개키로 암호화된, ,⑤
칭키가 담긴 메시지를 을에게 전송한다 복호화 과정은 다음과 같은 단계를 가진다. .
을은 갑의 메시지를 수신한 후 암호화된 칭키를 자신의 암호화 비공개키로 복호화한,⑥
다.
을은 단계에서 얻은 칭키로 문서와 전자서명 그리고 갑의 인증서를 복호화한다6 , .⑦
을은 갑의 인증서에 있는 전자서명 공개키로 문서의 해쉬값을 복원한다.⑧
을은 문서에 하여 일방향 해쉬 함수를 실행하여 복호화된 문서의 새로운 해쉬값을 얻⑨
는다.
최종적으로 을은 단계에서 자신이 얻은 새로운 해쉬값과 갑의 디지털 서명에서 얻은 해9⑩
쉬값을 비교한다 만약 해쉬값이 일치한다면 메시지 내용이 변용되지 않았음과 메시지가 갑.
의 전자서명 비공개키로 서명되었음을 확인할 수 있다.
전자상거래에서의 의 운 환경2. SET
기본적으로 에서의 전자상거래 운용은 일반적인SET MOTO(Mail Order/Telephone Order)
환경에서의 상거래와 유사하다 그림 에서와 같이 환경에서의 상거래는 주문. ( 16-2) MOTO
및 지불 관련 정보는 상점에서 구매자가 크레디트카드를 제시하는 것과는 달리 전화나 우편
을 통하여 상인에게 전달된다.
그림 오늘날의 신용카드 결재 방법( 16-2)
는 위에 기술된 의 일반적인 상거래의 름에 지불카드를 이용한 안전한 전자SET MOTO GM
상거래를 보장하는 보안 프로토콜로서 다음과 같은 특징을 소유하고 있다.
암호를 사용한 데이터 정보의 기 성○
전자서명을 사용한 데이터의 무결성○
전자사명 알고리즘과 카드소지자의 인증서에 의한 카드소지자의 은행구좌에 한 인증○
전자사명 알고리즘과 상인의 인증서에 의한 상인에 한 인증○
특정 프로토콜과 메시지 형식에 의한 상호운 성○
그림 프로토콜 상에서의 신용 결재 방법( 16-3) SET
제 절 전자화폐를 사용한 전자상거래 보안서비스 절차4
전자상거래 보안 서비스의 주된 목적은 다음과 같다.
개인의 전자상거래 정보보호○
전자화폐의 이중 사용 방지○
거래 부인 봉쇄○
이를 위해 각종 전자상거래 보안서비스 시스템들이 제안 또는 개발되고 있고 정상적인 전,
자상거래의 기본 절차는 다음의 단계로 진행된다7 .
단계 전자화폐 발행1 :○
고객이 은행으로부터 자신의 구좌에서 일정 액수에 한 전자 화폐의 인출 요구시 은행은
고객의 구좌에서 고객이 원하는 일정 액수만큼을 인출한 후 내용은닉서명 방식을 이용하여
전자화폐화한 후 메시지 형태로 고객의 시스템에 전송한다.
고객은 자신의 시스템으로 전송되어 온 메시지 형태로 된 전자화폐에 하여 내용은닉 서명
으로 확인한 후 이를 다시 암호 처리하여 전자지갑 안에 보관한다 전자지갑은 일종의 보안.
성 있는 파일 관리 소프트웨어 형태로서 일반적인 경우 고객의 시스템 내부에 존재하도록
구현한다 일반적으로 전자화폐에는 발행일 만기일 일련번호 발행처 및 화폐 액면가에. , , ,
한 정보가 들어 있으며 이를 암호 처리하여 고객 시스템의 전자지갑 내에 보관한다.
단계 구매 요구2 :○
고객은 전산망에서 제공하는 전자 거래 서비스를 통하여 자신이 원하는 유형 또는 무형의
상품을 구매하고자 요청하게 된다 이 과정에서 다양한 형태로 소비자의 구매 욕구를 만족.
시켜주는 서비스가 등장하게 될 것으로 보이며 그 표적인 서비스 예로는 고객이 원하는,
상품에 한 검색 및 상담 서비스를 들 수 있다.
단계 지불 요구3 :○
거래처 즉 상인의 입장에서 고객으로부터 구매 요청을 받으면 원하는 상품에 한 정확한,
가격 및 사양 정보를 고객의 정보 검색 소프트웨어에 제공하여 고객이 상품에 한 정보를
재확인하게 하며 정식 구매 요청시 고객이 지불할 수 있도록 고객의 전자 지갑 소프트웨어,
에 지불 요구 메시지를 전송한다.
그림 전자상거래 절차( 16-4) [6]
단계 지불4 :○
고객 시스템 내의 전자지갑은 거래처에서 해당 상품에 한 지불요구가 있으면 전자 지갑,
에서 해당되는 액수만큼의 전자화폐를 암호화 처리하여 거래처에 메시지 형식으로 송신한
다.
단계 인증 요청 및 입금 교환5 : /○
거래처에서는 고객의 전자 화폐 액수를 확인하고 이를 자신이 거래하는 은행에 인증 요청을
하여 전자화폐의 유효성을 확인한 후 거래처 자신의 구좌에 입금 또는 새로운 전자화폐로
교환 요청을 한다 이 과정에서 거래처의 은행은 고객의 전자화폐의 유효성을 확인하는 일.
련의 절차로서 고객의 거래 은행 즉 전자화폐를 발행한 은행에 문의함으로써 전자화폐의,
유효성을 확인하며 동시에 거래처의 구좌에 입금 또는 새로운 전자화폐로 교환하는 과정을,
거친다 역시 이 과정에서 수행하는 일반적인 암호 처리는 공개키 전자서명 방식이 주로 사.
용된다.
특히 전자화폐의 유효성을 판정하는 과정인 이 과정은 은행이 발행하 던 전자화폐에 한,
데이터베이스를 관리함으로써 가능하며 전자화폐의 이중 사용을 방지하기 위한 유효성 판,
정은 데이터베이스 관리 방식에 따라 전체 시스템의 확장성에 많은 향을 준다.
단계 입금 교환 확인6 : /○
거래처의 구좌를 관리하는 은행은 정상적인 거래의 경우 고객의 전자화폐에 한 유효성을
확인 후 거래처의 요구에 따라 해당 구좌에 입금한 사실을 통지 또는 새로운 전자화폐로 교
환하여 거래처 시스템의 전자지갑에 암호 처리하여 전송한다 이 과정에서 일반적인 암호.
처리는 공개키 전자서명 방식이 주로 사용된다.
단계 수증 및 상품 배달7 :○
거래처는 고객에게 고객이 전자화폐로 지불한 결과에 한 수증 발급과 고객이 원하는 상
품의 배달을 고객의 전자지갑과 고객의 시스템에 각각 전달함으로써 정상적인 절차의 전자
상거래 과정을 종료한다.
위의 단계 중 보안서비스가 필요한 단계는 화폐 발행 지불 인증요청 및 입금 교환 입금7 , , / , /
교환 확인 수증 및 상품 배달이 해당된다, .
제 절 전자화폐5
정보화의 높은 물결로 전자화폐가 서서히 새로운 통화수단으로 등장하고 있다 전자화폐는.
현금을 신하는 결재수단으로 전자현금 전자지갑 사이버화폐 디지털현금 스마트화폐 가, , , , ,
상현실화폐 등 많은 관심만큼이나 다양하게 불리고 있다.
그림 화폐기능의 변화( 16-5) [3]
이러한 전자화폐의 관심은 지폐가 중심이 된 기존화폐가 가지고 있는 여러 가지 문제점들이
그 출현 배경이 되고 있다 그 중 하나로는 기존 화폐는 통화발행이 인가된 기관 우리나라. , (
의 경우는 한국은행 외에는 화폐 제작을 할 수 없다는 사실과 물리적인 안전 책에만 안)
전성과 신용을 의존하고 있다는 점이다 또한 인터넷과 같은 정보화의 거 한 물결이 닥쳐. ,
오고 있는 정보화 사회에서는 기존의 지폐로는 정보화에 쉽게 처할 수 없다는 사실도 전
자화폐에 한 관심과 경쟁을 고조시키는 요인이 되고 있다 기존 화폐제도의 문제점이자.
전자화폐의 출현 배경을 요약하여 보면 다음과 같다.
화폐의 제작 관리 파기에 막 한 예산과 인력 소요로 특히 소액관리에 따른 관리가 심, ,○
각하다 우리나라의 경우 원짜리 동전 생산에 드는 비용이 원 정도로 소요되고 있음. 10 27 .
컬러복사기와 고해상도 레이저 프린트의 등장 등으로 인한 화폐 위조 기술의 급격한 발○
달
카드의 보편화로 인한 카드 복제와 위조 급증○
금융 인 와EDI SWIFT(Society for Worldwide Interbank Financial Telecommunication)○
사이버쇼핑 등 컴퓨터 통신망을 통한 금융 거래의 활발
이러한 출현 배경으로 등장한 각종 전자화폐는 각국의 지 한 관심으로 개발과 보급이 시작
되고 있다 네트스케이프 사이버캐쉬 퍼스트버츄얼 오픈 마켓 디지 캐쉬 등의 전자화폐. , , , ,
관련 회사들이 인터넷의 급속한 보급과 멀티미디어 산업과 맞물려 전자화폐 개발 경쟁에 박
차를 가하고 있다 스마트카드 기술이 앞선 유럽의 전자화폐 개발 프로젝트인.
국의 내셔널 웨스트민스트 은행 미드랜드 은행CAFE(Conditional Access for Europe), , ,
사의 연합 벤처기업이 개발하여 실험 운용중인 몬덱스 전자화폐British Telecommunication
시스템은 세계의 주목을 받고 있으며 일본의 장성과 그리고 민간 기업도 연합하여, NTT
전자화폐 개발에 박차를 가하고 있다[4].
전자화폐란1. ?
기본적으로 전자화폐는 그림 과 같이 은행 상점 그리고 구매자( 16-6) (Bank), (Shop)
로 구성되어 구매자와 은행 간에 이루어지는 발행 단계 발(Cunsumer) (Withdrawal phase),
행 단계에서 받은 전자화폐로 물건을 사고 상점에 전자화폐를 지불하는 지불 단계(Payment
그리고 구매자로부터 받은 전자화폐를 은행에 제출하여 상점의 계좌로 자금이체를phase)
시켜주는 결재단계 로 구성되어 있다(Deposit phase) .
구매자가 은행으로부터 만원권 전자화폐를 자신의 계좌로부터 받아 상점에서 물건을 산다고
가정해보자 이때 은행과 상점이 결탁을 하게 되면 구매자의 구매에 관한 정보인 언제 어디. ,
서 무엇을 샀는지에 한 개인의 프라이버시 관련 정보가 쉽게 노출되게 된다, [4].
그림 전자화폐( 16-6) [6]
마법종이를 이용한 전자화폐2.
개인의 프라이버시를 유지하면서 전자화폐를 사용할 수 있는 방안은 한번 부치기만 하면,
부치 사람 외에는 누구도 떼어낼 수 없는 마법종이가 이 세상에 있다면 간단하게 만들 수가
있다 전자화폐에서의 각 단계를 마법종이를 이용하여 구현한 개념적인 내용은 다음과 같.
다.
발행단계○
단계 구매자는 보통 종이 위에 난수 을 써넣는다- 1 : r .
단계 그 종이 위에 난수 만이 보이지 않도록 마법종이를 붙인 후 은행에 제출한다- 2 : r .
단계 은행은 구매자의 계좌로부터 만원을 빼낸 후 구매자가 제출한 종이 위에 은행의- 3 :
만원용 도장을 찍어 구매자에게 되돌려 준다.
지불단계○
단계 구매자는 마법종이를 떼어낸 후 만원권 전자 화폐로써 사용한다 즉 구매자는 원- 1 : . ,
하는 물건을 사기 위해 상점에 전자화폐를 지불한다.
단계 전자화폐를 확인한 후 구매자가 요구한 물건을 제공한다- 2 : .
결재단계○
단계 상점은 구매자로부터 받은 전자화폐를 은행에 제시한다- 1 : .
단계 은행은 상점의 계좌에 만원을 넣어준다- 2 : .
마법종이를 이용한 이 방법에서는 은행과 상점이 결탁할 지라도 마법종이로 숨긴 난수 을r
알 수 없으므로 구매자의 구매에 관한 정보를 전혀 알 수 없게 된다 즉 구매자의 프라이버.
시를 만족하는 전자화폐를 실현할 수가 있게 된 것이다 그러나 문제는 이러한 마법종이가.
실제로 존재할 것인가가 문제이다 다행히도 이러한 마법종이는 암호를 이용하면 쉽게 만들.
수가 있다 내용은닉서명 이라는 암호 도구를 이용하면 된다. (Blind signature) [15].
암호를 이용한 마법종이의 구현3.
프라이버시를 제공할 수 있는 이러한 마법종이는 공개키 암호를 이용한 내용은닉서명을 사
용하여 구현할 수 있다 공개키 암호인 암호 를 이용하여 구현한 마법종이 전자. RSA [14,18]
화폐는 다음과 같다 은행의 공개키를 라고 하고 비공개키를 라고 하자. (N,e) d .
구매자는 먼저 난수 를 선택하여(step 1) r, a Z=r○ e 을 계산한 후 를 은행으로a mod N Z
전송한다.
은행은 비공개키 를 이용하여(step 2) d Z○ d=rad 을 계산한 후 구매자에게 돌려준mod N
다.
구매자는 자신만이 알고 있는 난수 을 이용하여(step 3) r Z○ d/r=ad 을 계산하여mod N ad
를 구하고 은행의 공개키 를 이용하여e ade 를 계산하여 를 구할 수 있다mod N=a a . (a,ad)
가 은행으로부터 발행받은 전자화폐가 된다.
를 이용하여 발행단계뿐만 아니라 지불 결재단계도 쉽게 구현할 수 있다 그러나 위의RSA , .
방식에서는 구매자가 개의 전자화폐로부터 은행의 승인 없이 제 의 전자화폐를 만들 수 있2 3
는 부정이 가능하게 된다 즉 예를 들면 구매자가. , (a,ad),(b,bd 와 같이 개의 전자화폐를 발) 2
행받았다면 구매자는 제 의 전자화폐3 (ab,(ab)d 를 생성할 수 있다 이러한 문제점은 출력과) .
함수가 주어졌을 때 입력을 구하기가 계산상 어려운 일방향 함수 를 도입하여 마법종이를f
만들면 즉 전자화폐가, (a,f(a)d 가 되도록 하면 쉽게 해결할 수 있다) .
그러나 위와 같은 마법종이를 사용한 전자화폐는 구매자의 프라이버시는 보호할 수 있지만,
구매자가 동일한 전자화폐를 반복해서 사용하는 것은 막을 수 없다 이중사용. (Double
은 은행에 있어서 막 한 손실을 초래하는 문제로 전자화폐가 갖추어야 할 가장spending)
기본적인 요구 조건이다[4,16,17].
전자화폐의 요구조건4.
전자화폐의 요구 사항 즉 전자화폐 시스템에서 제공해야 할 사항은 다음과 같이 요약할 수,
있다[4,12,15,16,17,19,20].
안전성 전자화폐의 복사 위조 등에 의한 이용 불가: ,○
프라이버시 은행 또는 상점에 의한 구매 관련 내용의 추적이 불가능해야 한다: .○
이중사용 금지 전자화폐의 이중 사용이 방지되어야 한다: .○
양도성 현금과 같이 타인에게도 양도가 가능해야 한다: .○
상점과 은행 간의 처리는 이어야 한다Off-Line : Off-Line .○
분할성 적은 금액으로 전자화폐가 분할 사용되어야 한다: .○
위의 요구 사항은 일반적인 사항이며 시스템의 특성에 따라 달라질 수 있다.
전자화폐 관련 주요 용어들5.
가 이중사용.
전자화폐와 현행 화폐제도 중의 하나인 지폐 사이에 일어날 수 있는 부정행위를 살펴보면
지폐에 있어서는 위조가 있으며 전자화폐에 있어서는 이중사용이 있다 지폐에서의 위조는.
은행 또는 정당한 발행 기관의 허가 없이 돈을 만들거나 기존의 돈으로부터 새로운 돈을 만
드는 행위를 말한다 한편 전자화폐는 전자정보로 이루어져 쉽게 복사가 가능한 점을 이용. ,
하여 회 사용 후 다시 다른 곳에 동일한 전자화폐를 사용하는 것을 말한다 지폐에 한1 .
위조를 방지하기 위해서 복사하기가 어려운 특수 잉크 특수 용지 특수 문안이나 도안 등이, ,
사용되고 있다 전자화폐에 한 이중사용 방지는 사용된 전자화폐의 정보로부터 컴퓨터가.
동일한 전자화폐를 조사하여 이중사용자의 계좌번호와 사용자의 신분을 알아내는 방식을 주
로 취하고 있다.
의 경우는 전자화폐 사용전 거래 중지가 곤란하여 추후 부정사용자 블랙리스트에Off-line
공개하거나 신용거래를 중지하는 방안을 취하고 있다[4,5,19].
나 프라이버시 불추적성. /
전자화폐에 있어서 안전성이나 효율성 외에 가장 중요한 관심사가 되고 있는 것이 프라이버
시다 특히 미국보다는 유럽을 중심으로 활발히 거론되고 있는 것으로 네덜란드의 암호학자.
인 은 프라이버시를 만족하지 않는 전자화폐는 실질적인 전자화폐로 고려하기는D. Chaum
곤란하다고 주장하고 있다.
전자화폐에 있어서의 프라이버시는 구매자가 돈을 지불하거나 상점이 돈을 받거나 할 경우
의 돈의 액수를 다른 사람이 알 수 없게 하는 것이 아니라 어디에 전자화폐를 사용하 거나
어디서 전자화폐를 가져왔는가에 한 개인의 비 정보를 다른 사람이 알 수 없게 하는 것
이다.
전자화폐에서 고려될 수 있는 프라이버시는 크게 두 종류의 지불자 외의 다른 모든 사람들
이 결탁하더라도 지불자가 구매한 정보에 해서 알 수 없는 지불자 불추적성, (Payer
과 수취인 외의 다른 모든 사람들이 결탁하더라도 수취인이 어디로부터 받은Untraceability)
전자화폐인지에 해서 알 수 없는 수취인 불추적성 이 있다(Payee Untraceability) .
지불자 불추적은 자신의 계좌번호와 연결되어 있는 발행단계와 지불단계가 서로 연결될 수
없음을 의미하며 수취인 불추적성은 결재단계와 지불단계가 연결될 수 없음을 의미한다, .
그러나 이러한 프라이버시는 돈 세탁이나 탈세 그리고 통화 통제 불가능 등의 부정적인 면
이나 전자화폐 시스템의 효율을 떨어뜨리거나 시스템을 복잡하게 하는 요인이 될 수 있다.
또한 프라이버시에 한 사회적인 관념이 아직 성숙되어 있지 않는 상황에서 과연 전자화폐
에 이러한 기능을 제공하여야 할지의 여부는 많은 논란의 여지가 있다[4,12,15,19].
다 양도성 불양도성. /
양도블가능 전자화폐는 회 사용 후에는 바로 상점과 은행 간의 결재단(Non-transferable) 1
계가 이루어져야 하는 것을 말하며 이에 반해 양도가능 전자화폐는 발행단계, (Transferable)
이후의 지불단계가 여러 번 이루어지는 즉 지불자와 지불자간이나 지불자와 상점 간의 단,
계가 복수회 이루어진 후에 결재단계로 향하는 것을 말한다 상점에서 수령한 전자화폐를.
바로 은행에 제출하지 않고 상점에 지불할 수가 있는 것을 의미한다 현재 통용되고 있는.
화폐제도는 양도 가능하므로 전자화폐도 양도 가능한 것이 바람직하나 양도 가능한 전자화
폐를 구현할 경우 전자화폐를 위한 정보량은 증가하게 된다[4,21].
라. On-Line/Off-Line
은 고객 관리 및 전자화폐 관련 정보를 수록한 거 한 데이터베이스를 유지하여 매On-Line
지불단계시마다 허가를 해주는 중앙 허가기관 즉 은행과 직접 모든 참가자가 접촉하는 것을
말한다 다시 말해서 지불단계와 결재단계가 거의 동시에 행하여지는 것을 말하며 이중사용.
을 지불단계에서 사전에 방지할 수가 있으나 많은 통신비용이 증가하게 되는 문제점이 생기
게 된다.
은 지불단계와 결재단계가 동시에 이루어지지 않는 형태이며 일정시간 경과 후 수Off-Line
신된 전자화폐를 일괄 처리하여 은행에 결재 요구하는 것으로 모든 단계가 완료된 후에 그,
리고 이중 사용이 이루어지고 난 이후 은행에서 이중사용자에 한 신분 검출이 가능한 점
이 문제점으로 생각할 수 있다 즉 이중사용 후 해외도피를 하거나 외국인이 사용 후 귀국.
해버리는 등의 사건이 발생할 소지가 있다 그러나 통신량의 집중화 방지와 거래에 따른 통.
신비용은 적게 소요된다 두 방식의 응용 면에서 고려해보면 은 고액거래로 높은. , On-Line
안전성을 요구하면서 운용비에 한 부담이 크게 중요하지 않는 현금 시장에 적합하다.
은 많은 양의 소액거래가 이루어지는 곳으로 이중사용으로 인한 부정 가능 금액이Off-Line
소규모인 그리고 운용비 부담이 문제가 되는 곳에 적합하다, .
미국을 중심으로 한 전자화폐는 형태를 이루고 있는 반면 유럽을 중심으로 한 전On-Line
자화폐는 스마트카드의 발달 및 보급으로 인하여 형태로 많이 검토되어 지고 있다Off-Line
[4,19,20].
전자화폐 현황6.
가 개발현황.
전자화폐에 한 각국의 관심과 개발 추진은 나날이 고조되고 있다 미국은 정보통신에.
한 네트워크 기반이 잘 구축되어 있는 관계로 이나 인터넷을 이용한 전자화폐 개발On-Line
의 중심이 되고 있으며 스마트카드 기술이 앞선 유럽에서는 형 전자화폐가 주류를, Off-Line
이루고 있다[4].
미국○
사 개발 호주 시범 운용- VISA Stored Value Card ,
마스터카드사 개발- SEPP(Security Electronic Payment Protocol)
사 사 인터넷상에서 서비스 실시- First Virtual /Cyber Cash
국 내셔널 웨스트민스트 미들랜드 은행 의 몬덱스 카드 시범 운: / /BT○
네덜란드 사 시범 운: Digicash e-Cash○
핀란드 사의 카드 시스템을 이용한 시범 운용: Avant○
포르투갈 및 네트워크 운 자인: ATM POS SIBS(the Sociedade Interbancariade○
가 라는 전자지갑을 개발하여 년 월 가동Servicos) MEP(Multibanco Electronic Purse) 1995 2
에 들어감.
벨지움 라는 지급결재기관의 회원 은행이 중심이 되어 이라는 카드를: BANKSYS Proton○
이용하여 실험 중에 있음.
덴마크 은행 통신회사가 중심으로 카드를 이용하여 년 월 가동하 음: , Dammont 1993 3 .○
유럽 프로젝트에 수행 중: CAFE(Conditional Access for Europe)○
표 외국의 전자화폐 개발 현황[ 16-2] [6]
전자화폐명 중심국 사업주체 관련단체,
Cyber Cash 미국 MIT
E-Cash 네덜란드 디지캐시사
FirstVirtual 미국 RSA
Mondex 국 내셔널 웨스트민스트 은행
NetBill 미국 카네기 멜론 학
NetCheque 미국 남캘리포니아 학
MEP 포르투갈 가입은행SIBS
Avant 핀란드 조폐공사 중앙은행( )
Proton 벨지움 회원은행BANKSYS
Danmont 덴마크 은행 통신회사,
SVC 미국 VISA, USA
일본○
일본 장성 년부터 전자화폐 실용화를 발표- 1998
일본 전자현금시스템 개발- NTT
몬덱스 카드 년부터 사용- 1997
한국○
동남은행과 광주은행 개발 및 시범 운용 년- (1995 )
한국은행 금융결재원 등을 중심으로 카드 표준 제정 완료- , IC
표 국내 전자화폐 개발 현황[ 16-3] [6]
기관 형태 내용
동남은행전자지갑 만장 실용화 접촉식 카드3 ( )
카드RF/IC 월 부산 중 교통카드 비 만장10 (10 )
서울시버스운송조합 카드RF/IC월 버스카드제 만장 선불카드 방식7 - 20 ( )인텍크 산업 프 젬플러스사에서 수입( , )
철도청 카드RF/IC내년부터 실용화 신용카드 방식( )
엔터프라이즈 국민카드C & C ,
구은행 강원은행/ 전자지갑 경북 강원 학생 및 교직원 만명/ (2 )
조흥은행 전자지갑 월 자행 직원 상 천명10 (5 )
금융결재원 전자지갑 표준안
업체 삼성전자 현 전자 정보통신: , , LG전자화폐 형식 전자지갑:사용한도 만원 이하 소액 결재: 10자금 이체 불가발급 주체 예금은행:년 실용화‘98
년 월 일 전자신문 면(1996 9 17 12 )
나 연구 현황.
전자화폐와 관련한 연구 방향은 에서 으로 그리고 에서 시도On-Line Off-Line Cut & Choose
와 응답으로 바뀌어 진행되고 있다 을 중심으로 한 추적불가능한 전자화폐의 연. D. Chaum
구가 가장 활발하며 이 분야의 토 가 되고 있는 실정이다 연도별 연구현황은 다음과 같다.
[4].
년1981○
네덜란드 암호학자인 에 의한 전자화폐 기초 기술인 추적불가능성 연구- D. Chaum
년1982○
에 의한 방식의 추적불가능 전자화폐를 위한 내용은닉서명 연구- D. Chaum On-Line
년1983○
이스라엘 암호학자들인 등이 방식으로 암호와- S. Even Off-Line RSA
를 이용한 전자지갑을 구현Tamper-proof-device
년1985○
에 의한 추적불가능 서명법인 구체적인 내용은닉서명 제안- D. Chaum
년1988○
등에 의한 최초의 이론적인 전자화폐 방식인 추적불가능 전- D. Chaum, A. Fiat, M. Naor
자화폐 방식을 제안CFN
전자화폐를 가 제안- On-Line I.B.Damgard
년1989○
전자화폐를 도 제안- On-Line D. Chaum
일본 의 와 에 의한 와 추적불가능을 연계시켜 양도성을- NTT T. Okamoto K. Ohta ZKIP
제공하는 전자화폐 제안
방식의 효율을 개선한 방식을 등이 제안- CFN D. Chaum
년1990○
미국의 는 회용 추적불가능 서명을 이용한 전자화폐 제안- B. Heyes 1
방식을 보다 개선한 효율적인 전자화폐를 이 제안- CFN Off-Line H. V. Antwerpen
년1991○
일본의 와 는 분할 사용이 가능한 전자화폐 제안- T. Okamoto K. Ohta
가 제안한 전자화폐의 추적 가능함을 보이고 개선안 제안- I. B. Damgard On-Line
방식의 문제점을 지적하고 개선한 방식을 미국의 가 제안- Antwerpen R. Hirschfeld
년1993○
를 이용한 전자지갑이 제안됨- Tamper-proof-device [19,29]
양도 가능한 전자화폐는 정보량이 증가하지 않고서는 구현할 수 없음을 과- D. Chaum T.
이 증명P. Pedersen [22]
방식을 이용하여 분할 가능하며 효율적인 전자화폐 제안- Schnorr
이전 전자지갑의 프라이버시를 개선한 방식을 와 이 제안- R. J. F. Cramer T. P. Pedersen
지불단계에 의 인증 방식을 이용한 전자화폐 방식과 필요시 추적 가능한 전자화- Schnorr
폐 방식이 제암됨
년1994○
의 전자화폐에 분할성을 추가한 전자화폐 제안- S. Brands
서명 방식을 이용한 전자화폐를 제안하여 방식의 효율을 개선- EIGamal S. Brands
에 안전성을 두어 구성된 추적불가능 전자화폐를- NIZK(Non-Interactive Zero-Knowledge)
와 가 제안하여 양도 가능할지라도 정보량이 증가하지 않음을S.D'Amiano G.Di. Crescenzo
보임
은행이 관리해야 할 거 한 데이터베이스의 양을 줄이는 방안을 제안-
년1985○
를 이용한 전자화폐가 추적 가능함을 등이 보임- NIZK B. Pfitzmann
전자화폐에서의 추적불가능성이 돈 세탁 등의 범죄에 악용될 수 있다 이러한 문제를 해- .
결하고자 하는 공정한 내용은닉서명 제안
전자화폐의 지불단계에서부터 구매자 와 상점 사이의 공정한 거래를 제공하- (Payer) (Payee)
는 방안 제안
내용은닉서명이 아닌 라는 개념을 이용하여 보다 효율적인 전자화- Secret-Key Certificates
폐 방식 제안
전자화폐의 분류7.
전자화폐의 분류는 분류 방법에 따라 여러 가지로 나눌 수 있다 예금 인출 여부 및 결재.
종료성에 따른 분류 결재 방식에 따른 분류 결재액의 규모에 의한 분류 방법으로 분류할, ,
수 있다.
가 예금의 인출여부에 의한 분류.
전자지갑에의 가치 저장시 예금의 인출 여부 및 결재 종료성 등에 따라 범용 선불형 전자화
폐 직불형 전자화폐와 형 전자화폐로 나누고 있다 범용 선불형 전자화폐, Off-Line Mondex .
는 비 번호를 사용해서 자신의 은행계좌로부터 예금을 인출하여 전자지갑에 저장한 후 지
불단계에서 단말기를 이용하여 비 번호의 확인 없이 익명으로 거래할 수 있는 것Off-Line
으로 기존의 단일용도 선불카드와 자기 띠를 이용한 선불카드를 보완한 전자화폐이다.
직불형 전자화폐는 지불단계에서 단말기에 의해 비 번호의 확인 후 익Off-Line Off-Line
명으로 거래하는 것을 말하며 형 전자화폐는 전자화폐 공급자가 회원은행을 통하여Mondex
사용자에게 공급하며 은행계정을 통하지 않고 카드사용자 가맹점 가맹 은행 간에 자유로이, ,
이체될 수 있다 각각의 기능과 특징은 표 와 같다. [ 16-4] [3].
표 전자화폐의 유형별 분류[ 16-4] [3]
나 결제방식에 의한 분류.
표 결재방식에 의한 분류[ 16-5] [4]
현금이나 신용카드로 지불하는 기존의 결제 방법 거래 액수가 중간 정도인 결제가 중심이,
될 인터넷상의 지불 방법과 소액 결제가 중심이 될 스마트카드에 의한 지불 방법으로 분류
될 수 있다 전자화폐에서 요구되는 사항별 결제 방식의 비교와 이론형으로 분류되는 표.
적인 두 방식에 한 비교는 표 와 같다[ 16-5] [4].
전자화폐 시스템8.
1) First Virtual
은 미리 신용카드나 은행 계좌번호 전자메일 주소 등의 정보를 전화나 팩시First Virtual ,
리로 등록해 두고 번호를 이용자에게 발행하는 방식이다 인터넷상에서 상품을 사고자ID .
하는 경우 번호를 이용하여 구입의사를 나타낸다 은 이 번호를 받아서 등ID . First Virtual
록되어 있는 개인정보를 탐색하여 전자메일로 본인에게 확인을 받는다.
그림 전자화폐( 16-7) First Virtual [6]
번호나 전자메일의 송수신시에는 암호나 특수한 소프트웨어를 사용하지 않기 때문에 소ID
요 경비를 줄일 수 있다 전자화폐의 구조는 그림 과 같다. First Virtual ( 16-7) [29].
2) Cyber Cash
은 인터넷에서 암호 소프트웨어를 사용하여 신용카드 회사나 금융기관과 신용카Cyber Cash
드 등의 정보를 안전하게 교환한 후 이용자가 전용 소프트웨어를 사용해서 자신의 카드번호
를 입력하면 와 신용카드 회사간의 거래 이후 자동적으로 물품 구매가 이루어지Cyber Cash
는 방식이다 비트의 암호에 의한 인증이 이루어지며 고객이 보낸 신용카드 번호. 768 RSA ,
는 상점에서는 볼 수 없고 사가 신용카드 번호를 복호하여 카드 심사가 이루어, Cyber Cash
진다 전자화폐의 구조는 그림 과 같다. Cyber Cash ( 16-8) [30].
그림 전자화폐( 16-8) Cyber Cash [6]
3) e-Cash
엄 한 의미에 있어서 전자화폐는 형을 의미한다 해도 과언이 아닐 것이다e-Cash .
과 프라이버시 등의 전자화폐로서의 요구 조건을 갖춘 네덜란드 사의 시Off-Line DigiCash
스템으로 현재 미국의 마크드웨인 뱅크에서 상품 구매와 자금 이체로 년 월부터 사용1995 11
되고 있다 형 전자화폐의 구조는 그림 와 같다. e-Cash ( 16-9) [31].
그림 전자화폐( 16-9) e-Cash [6]
문제점9.
현재 문제가 되고 있거나 앞으로 해결해야 할 과제들로는 다음과 같은 것들을 예상할 수 있
다 이들은 이미 어느 정도의 문제점들이 해결된 것도 있으며 이외의 많은 문제점도 발생. ,
할 소지가 있다[4,6,10].
완전 범죄 가능 추적불가능성( )○
돈 세탁이나 탈세 등의 악용 여부와 통화 통제의 곤란○
개인의 프라이버시 제공 여부○
새로운 화폐 통용을 위한 기반 구축○
수출 입 통제 및 관세 문제○ ・법 규정 등 정비 문제,○
전자화폐의 표준화 확립 등○
제 절 요약6
전자상거래의 정의는 사용자에게 일상적인 유형무형의 상품 구매를 일괄적으로 제공하는 통
합된 형태의 전산망 서비스라고 할 수 있다 전자상거래 시스템의 구성은 전자상거래 상품.
정보 안내 상품 구매 상품 배달 서비스 및 서비스의 보안성을 보장해주는 각종 보안 기능, ,
으로 이루어진다 전자상거래 서비스를 사용자들이 신뢰하며 사용하기 위하여는 전자 거래.
시스템의 보안성이 최우선적으로 보장되어야 한다 이러한 전자상거래의 보안 서비스를 위.
하여 다양한 상용 제품들이 등장하고 있다 전자상거래 보안 서비스의 주된 목적은 개인의.
전자상거래 정보보호 전자화폐의 이중 사용 방지 거래 부인 봉쇄이다, , .
각종 전자화폐가 각국의 지 한 관심으로 개발과 보급이 시작되고 있다 넷스케이프 사이버. ,
캐쉬 퍼스트버츄얼 오픈 마켓 디지 캐쉬 등의 전자화폐 관련 회사들이 인터넷의 급속한, , ,
보급과 멀티미디어 산업과 맞물려 전자화폐 개발 경쟁에 박차를 가하고 있다 스마트카드.
기술이 앞선 유럽의 전자화폐 개발 프로젝트인 CAFE(Conditional Access for Europe),
국의 내셔널 웨스트민스트 은행 미드랜드 은행 사의 연합 벤처, , British Telecommunication
기업이 개발하여 실험 운용중인 몬덱스 전자화폐 시스템은 세계의 주목을 받고 있으며 일,
본의 장성과 그리고 민간 기업도 연합하여 전자화폐 개발에 박차를 가하고 있다NTT .
전자화폐 시스템은 안전성 프라이버시 이중사용방지 양도성 분할성 등의 특성, , , , Off-Line,
을 제공해야 한다.
참고 문헌
임신 임찬순 변옥환 전자상거래 보안 시스템 및 암호화 기술의 적용 제 회 정보[1] , , , “ ”, 8
보호와 암호에 관한 학술 회 논문집, pp293-317, 1996.
강희일 전자상거래의 탐색적 조사 분석 주간기술동향 한국전자통신연구소[2] , “ ”, 96-27, ,
pp1-15, 1996.
탁승호 전자화폐와 결제 시스템 더뱅커사[3] , “ ” , 1996.
박춘식 이 기 전자화폐가 세계를 바꾼다 통신정보보호학회지[4] , , “ ”, , Vol.6, No.2, pp53-70,
1996.
박승안 신형용 을 위한 전자화폐 통신정보보호학회지[5] , , “Internet ”, , Vol.5, No.3,
년 월pp122-126, 1995 9 .
홍기융 제 회 국제금융자동화세미나[6] , “Security in Cyberbanking", 3 BANKING KOREA
'96, 1996.
전자상거래 활성화시킨다 전자신문 년 월 일자[7] " “, , 1996 9 18
김중인 김석우 의 단계별 구현을 위한 보안기술 정보보호와 암호에 관한 학술[8] , , CALS ,
회 자료집, pp318-342, 1996.
쓰키지 다스오 전자상거래 중앙일보사[9] , , , 1995.
이와사키 가즈오 사토 모토노리 전자화폐 전쟁 전자신문사[10] , , , , 1996.
박승안 신형용 전자화폐의 연구현황 통신정보보호학회지[11] , , “ ”, , Vol.4, No.4, pp29-34,
1994.
[12] D. Chaum, "Untraceble Electronic Mail, Return Addresses, and Digital Pseudonyms",
Communications of the ACM, Vol.24, No.2, pp84-88, 1981.
[13] D. Chaum, "Security without Identification : Transaction Systems to Make Big
Brother Obsolete", Communications of the ACM, Vol.28, No.10, pp1030-1044, 1985.
[14] R. L. Rivest, A. Shamir, and L. Adleman, "A Method for Obtaining Digital
Signatures and Public-Key Cryptosystems". Communications of the Association for
Computing Machinery, Vol.21, No.2, pp120-126, 1978.
[15] D. Chaum, "Blind Signatures for Untraceable Payments", Proc. of Crypto '82,
pp199-203, 1983.
[16] Yacov Yacobi, "Efficient electronic money", ASIACRYPT, pp153-163, 1994.
[17] M. Stadler, J. M. Piveteau, J. Camenisch, "Fair Blind Signature", EUROCRYPT,
pp209-219, 1995.
[18] W. Diffie and M. E. Hellman, "New directions in cryptography", IEEE Trans. on
Inform. Theory, vol. IT-22, pp644-654, Nov. 1976.
[19] S.Brands, "Ubtraceable Off-Line Cash in Wallet with Observers", Proceedings of
Crypto 93, pp302-317, 1993.
[20] D. Chaum, A. Fiat, and M. Naor, "Ubtraceable Electronic Cash", Proceedings of
Crypto 88, pp319-327, 1988.
[21] D. Chaum, T. P. Pedersen, "Transferred Cash Grows in Size", Proceedings of
EUROCRYPT '92, pp390-407, 1992.
[22] http://madang.dacom.co.kr/~dgguen/
[23] ftp://ietf.cnri.reston.va.us/
[24] http://www.cs.tcd.ie/www/mepeirce/
[25] http://www.eit.com/project/s-http/
[26] http://xent.w3.org/FoRK-archive/spring96/
[27] http://www.novel.mag.keio.ip/~qaz/vsi/
[28] http://www.commerce.net/
[29] http://www.mondex.com/
[30] http://www.fv.com/
[31] http://www.cybercash.com/
[32] http://www.digicash.com/
제 장 정보전 사이버 테러리즘17 ( )
제 절 개요1
우리는 위기상황을 표현할 때 곧잘 전쟁 상황에 비유한다 그 동안 우리는 핵전쟁이나 전격.
전 게릴라전 등 실제 전쟁 상황을 표현하는 말 이외에도 경제전쟁 무역전, (Economic War),
쟁 통신전쟁 등 전쟁 상황에 비유하는 표현을 많이 사용(Trade War), (Communication War)
한다 심지어는 취업전쟁 입시전쟁이라는 말까지 만들어 쓰고 있다 그런데 근간에는 정보. , .
전 기반구조 보호전 및 전자전(Information Warfare), (Infrastructural Warfare) (Electronic
이라는 새로운 용어가 등장하고 있다 또한 컴퓨터 범죄수단을 폭탄에 비유하는 표Warfare) .
현도 많이 쓰고 있다 즉 소프트웨어적 공격수단을 논리폭탄 메일폭탄. (Logic Bomb), (Mail
전자파폭탄 등으로 표현하는 말들이다 정보화 사회에서 벌어지고Bomb), (EMP/T Bomb) .
있는 정보시스템에 한 공격을 정보전이라고 부르는 것은 정보전과 컴퓨터 범죄가 그만큼
위험하고 심각한 문제임을 나타내려는 함축된 표현이다.
정보전이라는 말이 우리사회에 등장한 연유를 잠시 살펴보면 다음과 같다 첫째 정보시스템. ,
이 행정 금융 산업 교통 군사 분야 등 국가 사회전반에 보급되어 활용됨에 따라 그 정보, , , ,
시스템을 교란시키거나 파괴 무력화시키는 것이 군사적인 공격수단이 될 가능성이 증 되,
고 있기 때문이다 정보화 사회에 접어들면서 컴퓨터 시스템과 정보통신은 정보전의 중요한.
목표가 되고 있는 반면 또한 강력한 무기도 되고 있다 이는 지난 년에 있었던 걸프전의. 90
교훈에서 족히 엿볼 수 있다 당시 이라크 방공망에 컴퓨터 바이러스를 유포시켜 이라크의.
방공시스템을 교란시킴으로써 일시에 전세를 유리하게 장악했던 것이다 그 반면에 미국도.
해커의 공격을 받은 바 있다 네덜란드로부터 침투한 해커에게 미국의 개 군사기지 시스. 34
템에 저장되어 있던 걸프전의 병력 상황과 무기의 성능자료를 유실 당했다.
그러나 해커가 그 정보를 이라크에 판매코자 협상하는 과정에서 이라크가 속임수라 하여 거
절함으로써 결국 군사적 위험을 면한 사실이 있다 그 이후 걸프전을 중심으로 한 정보전을.
역사상 최초의 사이버 전쟁으로 기록하고 있다.
둘째 정보범죄가 날이 갈수록 지능화되고 악성화 됨으로써 그 피해가 이제는 정보자체의,
절도 변조 삭제 등의 단순한 손상에 국한되는 것이 아니라 시스템 자체의 기능을 마비시, , ,
키거나 파괴함으로써 개인이나 기업에 큰 피해를 주고 궁극적으로는 국가의 안위까지도 위
협하는 상황에 이르렀기 때문이다.
셋째 오늘날 세계 각국은 나라마다 각기 국가정보화 기반구조 구축에 많은 투자와 노, NII
력을 기울이고 있으며 인터넷 등 국제정보화 기반구조 구축에도 심혈을 기울이고 있다GII .
그런데 그 국제정보화사회 즉 의 기본철학이 개방화 민주화GIS(Global Information Society)
에 기조를 두고 있기 때문에 각 나라는 자국의 중요 정보를 보호해야할 문제가 야기되고 있
다 바로 이러한 문제점을 해결하기 위한 응상황을 그 중요성과 심각성에 비추어 정보전.
즉 사이버 전쟁 으로 표현하고 있는 것이다(Cyber War) .
정보전의 응은 미국의 경우 통령령에 따라 종합적인 보호계획이 추진되고 있으며 러시,
아에서도 걸프전 이후에 그 중요성을 인식하고 본격적인 연구를 추진하고 있다 또한 중국.
에서도 컴퓨터 바이러스 부 를 창설하여 정보전에 응하고 있는 등 각국이 앞 다투어 적
극적인 처를 해 나가고 있는 실정이다.
일찍이 정보전이라는 표현을 쓴 표적인 인물로는 의 저자“Information Warfare" Winn
를 들 수 있다 그 이외에도 의 저자Schwartau[8] . ”War by other Means" John J. Fialka[9]
및 미 의 등이 있다 또 정보전은 미 국방성에서도 전략적 차원NCSA Michel E. Kabay[10] .
에서 연구를 추진하고 있으며 년에는 국방과학위원회에서 정보전 방어1996
책에 관한 보고서를 발간한 바 있다(IW-D:Information Warfare Defence) .
또 같은 해에 연구소에서도 전략적 정보전 이라는 보RAND (Strategic Information Warfare)
고서 를 발간하 다 따라서 우리도 그와 같은 세계적 추세를 직시하고 선행적 연구와[11] .
응을 할 필요가 있을 것으로 판단되기에 본 장에서는 그 내용과 실태를 간략히 소개한다.
제 절 정보전의 의미2
정보전이란 무엇인가 만일 여 년 전에 정보전이 무엇이냐고 물었다면 많은 군사 정보전? 20
문가나 통신전문가 또는 암호전문가들이 오히려 그 질문의 뜻을 반문했거나 혹은 재래식 지
휘통제체제에 한 위협이나 전자전을 의미하는 정도로 답했을 것이다 그러나 오늘날에.
와서는 정보전은 정보시 에 등장한 새로운 전쟁 개념으로 보편화되어 가고 있다.
정보전이란 한 마디로 말해서 전자공간세계로 연장된 새로운 형태의 전쟁이다 또는 정보화.
시 의 사이버 테러리즘이라고도 한다 이는 정보전이 주요정보의 무결성 비 성 가용성이. , ,
나 시스템의 안전성 신뢰성 및 업무의 지속성 등을 송두리째 파괴하, (Business Continuity)
거나 일시에 마비시킬 수 있기 때문이다.
정보전에 한 또 다른 표현의 정의는 다음과 같다 즉 정보전이란 시스템 위협세력의 사. “
이버 공격으로부터 자기의 정보시스템을 보호하고 필요에 따라 적의 정보시스템을 교란 마,
비 파괴시키는 수단 또는 행위 이다 즉 정보전이란 자국의 정보와 정보시스템을 보호하고, ” .
그 능력을 최 로 활용하는 한편 적의 정보와 정보시스템에는 많은 피해를 주어 국가의 군
사전략을 지원하기 위한 정보의 우세 를 확보하는 활동을 말한다(Information Superiority) .
따라서 정보전이란 사이버스페이스라는 전장 속에 있는 실제적인 적과 잠재적인 적 그리고
가상의 적을 포함하는 총체적인 적과의 전쟁이다.
정보전은 주로 컴퓨터와 정보통신 네트워크를 통해 이루어지는 전쟁이기 때문에 스파이 행
위나 사진촬 통신감청 등으로 이루어지는 재래식 정보전 과는 당연, (Intelligence Warfare)
히 구별된다.
정보전에는 공세적 정보전 방어적 정보전 정보활용적(Offensive) , (Defensive) , (Exploitative)
정보전이 있다 여기에서 공세적이라는 의미는 적의 정보를 오염 파괴 거부 또는 탐지하여. , ,
공격에 활용하거나 적에게 피해를 주는 활동을 말하며 방어적이란 적으로부터 자국의 정보,
시스템이나 중요정보를 보호하는 활동을 말한다 또한 정보활용적이란 아측의 의사결정이나.
응싸이클을 강화하고 적의 싸이클을 붕괴하기 위해 가용한 정보를 적시 적절하게 동원・활용하거나 적에게 향을 주는 활동을 의미한다.
그러나 정보전에 전쟁이라는 말이 들어있다 해서 곧 군사적인 전쟁 만을(Military Warfare)
의미하지는 않는다 이는 마치 경제 전쟁이나 입시전쟁이라는 말을 쓴다 해서 그것이 바로.
군사적 전쟁을 의미하지 않는 이치와도 같은 맥락이다.
정보전은 개인과 기업의 국가사회 전반의 시스템에 한 사이버 테러리즘을 망라하는 것으
로 군 시스템이나 민간시스템을 공히 목표로 삼으나 군사적 의미의 정보전과 구분하기 위해
서 민간 시스템의 공격을 중요기반 구조 정보전 이라고 부르기도(Infrastructural Warfare)
한다.
또 정보전이 가지고 있는 몇 가지의 특성을 이해하면 그 뜻을 더욱 분명히 알 수 있다 재.
래전의 경우 전력이나 위협의 크기를 평가할 때 주로 병력의 수나 장비의 수량 등 실체를
파악할 수 있는 가시적인 규모로 평가하 으나 사이버스페이스 내의 위협의 실체란 비가시,
적이기 때문에 적의 규모나 위치 능력 등을 쉽게 알 수 없을 뿐만 아니라 거리에 관계없이, ,
원격 공격 이 가능하기 때문에 정보전은 그 방어와 응이 더욱 어려운 특(Remote Attack)
성을 가지고 있다 또한 정보전은 특정한 경계가 없고 목표물의 공격 기회가 너무나 많으며.
적의 정체와 활동의 반응도 불분명한 특성을 가지고 있다.
비근한 예로 해킹만 하더라도 시스템 침해자의 위치나 규모를 쉽게 알기가 어려울 뿐 아니
라 결코 그 해커의 능력이 국가의 크기나 그 국가가 가지고 있는 시스템의 규모에 비례하는
것이 아니기 때문에 시스템에 가해지고 있는 위협의 크기를 정확하게 평가하기가 어렵고 또
그 정체의 탐색 식별 공격 제거 등이 매우 어려워 더욱 심각한 위협이 되고 있다, , , .
그림 공격도구에 따른 가용성과 비용의 비교( 17-1) P431U
그림 의 그래프는 컴퓨터를 통한 공격력이 재래식 무기에 비해 비용은 적게 들고 적( 17-1)
에게 피해는 더 크게 줄 수 있음을 나타내고 있다 아울러 컴퓨터를 이용한 사이버 공격이.
앞으로 더 증가될 것임을 시사하고 있다.
제 절 사이버 위협의 증가3
국가사회의 전반적인 시스템이 자동화되고 거 화되고 국내외적으로 네트워크화 됨에 따라
사이버 테러에 노출되는 위협은 더욱 증가하고 있다 또한 보호해야 할 상과 역이 점점.
넓어지고 시스템의 복잡성이나 상호의존성이 커짐에 따라 정보보호 환경은 더욱 어려워지고
시스템에 가해지는 위협은 점점 증가하고 있다.
정보범죄의 질도 점차 악성화 되어가고 있으며 새로운 수법도 계속 출현하고 있다 해킹을.
포함한 정보범죄도 전 세계적으로 해마다 늘어나고 있다 그림 에서 보는 바와 같이. ( 17-2)
해킹도구는 해마다 지능화되고 발전되고 있는 반면에 해커들이 공격을 하기 위해 요구되는,
지식은 해마다 오히려 감소되고 있음을 나타내고 있다 그만큼 해킹은 쉬워지고 방어는 더.
욱 어려워지고 있음을 의미한다.
또한 정보범행자들이 정보보호 기술을 오히려 역이용하여 범행수단으로 악용함으로써 위협
은 증가하고 있으며 개방화된 인터넷을 정보범행의 주무 로 삼고 있어 정보범죄는 더욱 복
잡한 국제 문제가 되어가고 있다.
또 다른 위협증가의 이유는 상 적 정보보호 기술의 열세에 있다 즉 정보보호 기술이 낙후.
된 국가는 타국제품의 보안 장비를 사용할 수밖에 없기 때문에 결국 그 장비의 생산국이나
그 장비에 익숙한 범행자의 침입수단에는 완전히 노출되어 국제적 위협을 더 받게 되는 것
이다.
그림 해킹도구의 발전과 해킹에 필요한 지식의 비교( 17-2)
그림 과 그림 는 우리가 이미 잘 알고 있는 재래식 위협 이외에 사이버 세계에( 17-3) ( 17-4)
서 새로이 출현한 신종 위협을 나타내고 있으며 물리적 공격과 정보전 공격으로 받게 되는,
위협상황을 보여주고 있다.
그림 위협의 증가( 17-3)
그림 새로운 위협과 취약성( 17-4)
제 절 정보전의 특성별 구분4
앞에서 언급하 듯이 정보전은 그 특성상 군사적 정보전과 민간차원의 정보전으로 별할
수 있다 그 중 국가사회의 주요 정보기반구조를 방어함을 목표로 하는 민간차원의 정보전.
은 개인차원 기업차원 국제차원의 정보전으로도 분류할 수 있으며 그 특성은 다음과 같다, , , .
개인 차원의 정보전Class 1 : (Personal Information Warfare)○
이것은 일명 개인간의 공격 이라고도 하며 개인적 자산의 손실과 프라(Interpersonal Attack) ,
이버시의 피해를 주는 정보전을 말한다 즉 금융정보나 신용카드 자료 보험자료 납세자료. , , ,
자동차 등록자료 등 개인정보에 관한 절도 변조 파괴 유출 삭제 등을 통한 프라이버시의, , , ,
침해를 의미한다 또한 다른 사람을 위장 하거나 남의 이름을 도용하여 범행. (Impersonation)
을 저지르거나 상 를 괴롭히는 수법도 사용된다 예를 들면 정체불명의 전화를 자동화시켜.
지속적으로 걸도록 하거나 불명예스러운 허위사실을 인터넷에 계속 유포시켜 괴롭히는 수법
을 말한다.
기업차원의 정보전Class 2 : (Corporate Information Warfare)○
이것은 기업을 상 로 한 정보전을 의미한다 기업이 운 하고 있는 정보시(Intercorporate) .
스템의 파괴나 기능마비를 통하여 기업이 가지고 있는 업정보 기술정보 회계정보 등에, ,
피해를 주는 것을 말한다.
이 정보전의 수단은 물리적 공격과 논리적 공격을 망라한다 구체적인 공격수법으로는 스파.
이 행위 정보의 절도 사보타지 테러 서비스 거부 및 사기 등이 있다, , , , .
국제차원의 정보전Class 3 : (Global Information Warfare)○
이것은 국제적인 정보전 이라고도 한다 국가간 또는 국제차원의 정보(International Infowar) .
전을 말하는 것이다 국제차원의 인터넷 등 개방화된 글로벌 네트워크로 인하여 국경도 없.
고 자료의 검증도 없고 조직화된 통제도 없는 열린 사이버스페이스 속에서 이루어지는 전쟁
이기 때문에 국제간의 심각한 분쟁으로 등장하고 있다.
이것은 정보기술에 의한 지배 나 국제간의 문화적 차이 정치 경제(Technological Anarchy) , ・적 환경의 차이로 인한 국제 분쟁의 소지가 크기 때문이다 국제 정보전의 수단은 재래식.
물리적 공격이나 논리적 공격수단 이외에도 전파탐지 스푸핑 부인방지 서비스, (Spoofing),
거부 등 새로운 수법이 끊임없이 동원되고 있다 또한 국제 정보브로커. (Information
자료 매 데이터 뱅커 국제 스파이 또는 국제 범죄조직의 암약도Broker), (Data Banker),
개재되고 있다.
제 절 정보전의 수단과 행위자5
다양한 정보전의 수단1.
정보전의 공격형태는 크게 다음과 같은 네 가지로 구분한다 즉 침투 자. (Penetration)① ②
료의 파괴 프로그램을 이용한 공격 물리적 방해(Disruption) (Programmatic Attack)③ ④
등이다(Physical Interference) .
침투수단에는 기술적으로 기능한 많은 수법들이 있으나 특히 유념해야 할 수단에는 사회 공
학적 수법이 있다 그 수법에는 스카벤징 타인위장(Social Engineering) . (Scavenging),
도청 침입 등이 있으며 유혹 강탈 공갈 등도(Impersonation), (Eavesdropping), (Intrusion) , ,
포함된다 그 중 스카벤징은 패스워드나 중요정보를 취득하기 위한 가장 기초적인 수법으로.
써 휴지통의 폐지수집 자료를 지운 공디스크 마그네틱 미디어 등이 이용되며 타인 위장 수, ,
법에는 스푸핑이 표적으로 이용된다.
침입수단에는 개방된 구형모뎀 취약한 패스워드 또는 전사 공격 기법, (Brute-Force Attack)
등이 사용되며 프로그램을 이용한 공격에는 트로이 목마 프로그램 논리폭탄 웜 바이러스, , ,
등이 사용된다 더 구체적이고 새로운 수법들을 살펴보면 다음과 같다. .
가 하드웨어의 취약성을 이용하는 방법.
전자기파 수집에 의한 정보분석(TEMPEST:Transient Electro Magnetic Pulse○
Emanation Standardizing)
정보시스템에서 방사되는 전자기파를 수집 분석하여 해당 시스템의 주요 정보를 입수하는,
수단을 말한다 예를 들면 상 방 컴퓨터 모니터의 정보처리 과정에서 나오는 전자기파를.
감지하면 자기의 컴퓨터 모니터에 그와 똑같은 화면을 동시에 재현시킬 수 있다 전파탐지.
거리는 출력의 차이에 따라 다르나 현재까지 약 까지 가능한 것으로 알려져 있다500m .
전자기파 충격(Electromagnetic Pulse Attack)○
외부에서 강한 전자기적 신호를 발생시켜 정보시스템의 오동작 마비 고장 등을 야기시키는, ,
수단을 말한다 구체적인 무기를 예를 들면. HERF Guns(High Energy Radio Frequency
이나 등이 있다Guns) EMP/T Bomb(Electro Magnetic Pulse Transformer Bomb) .
전자기파 방해(Electromagnetic Jamming)○
전자기파로 무선통신을 방해하여 정보의 일부를 손실시키거나 허위 정보를 삽입하여 통신망
을 교란시키는 수단을 말한다.
트로이 목마 칩(Trojan Horse Chipping)○
정보시스템 하드웨어 설계시 칩속에 특정 코드를 삽입시켜 의도하는 목적의 시스템 동작을
야기시키는 수단을 말한다.
나 소프트웨어 및 네트워크의 취약성을 이용하는 방법.
해킹○
목표시스템의 프로그램과 네트워크가 가지고 있는 취약성을 최 한 이용하여 남의 시스템에
비인가 침투하여 범행을 자행하는 행위를 말한다 이와 같은 범행자를 따로 크래커라고 부.
르기도 한다.
컴퓨터 바이러스○
정보시스템에 바이러스를 침투시켜 시스템의 정상적인 동작을 방해 마비 또는 파괴하는 수,
단을 말한다.
논리 폭탄○
정보시스템의 프로그램에 비 코드를 삽입시켜 놓은 후 지시된 조건이 이루어지면 자동적으
로 작동하여 정상적인 시스템 동작을 방해하는 수단을 말한다.
비 문(Trap Door)○
목표 프로그램에 특정 코드를 삽입시켜 비 문을 만들어 놓은 후 시스템 침투 및 공격시 사
용하는 수단을 말한다.
트로이 목마○
트로이 목마의 신화처럼 목표 프로그램 내에 비 코드를 삽입시켜 통로를 만들어 놓은 후
필요시 시스템 침투 및 공격수단으로 사용하는 것을 말한다.
메일 폭탄(Mail Bomb)○
목표 정보시스템에 집중적인 메일을 보내 그 시스템의 수용한계를 초과시킴으로써 시스템을
마비시키는 공격수단을 말한다.
스팸 공격(Spam Attack)○
사용자의 의지와 무관하게 목표 정보시스템에 광고 등 사용자가 원하지 않은 다량의 불필,
요한 자료를 보내 그 시스템의 수용한계를 초과시켜 시스템을 마비시키는 공격수단을 말한
다.
다 사이버스페이스를 이용한 공격 방법.
사이버 병사(Cyber Soldier)○
해킹 기법 등을 이용하여 사이버스페이스에서의 공격을 사전에 방어하고 상 방 시스템을
공격하는 요원의 운용을 말한다.
사이버 은신자(Cyber Refugee)○
사이버스페이스에서 은신 활동하면서 상 국 시스템의 취약성 파악 및 비 자료의 파괴 유, ,
출 등의 행위를 하는 요원의 운용을 말한다.
레드 팀(Red Team)○
위협 국가의 정보시스템 활동을 주시하고 침투자를 감시하여 위협요소를 분석하고 긴급
응을 하는 팀의 운용을 말한다.
정보전의 전사들2. (Warriros)
위의 정보전 수단들을 음양으로 수행하는 전사들을 말한다 표적인 정보전의 전사는 해커. ,
크래커 프리커 조직적인 범행자 스파이 파괴공작원(Cracker), (Phreaker) (Organized Crime), ,
테러리스트 마약 매자 정보착취자 사이버 문(Saboteurs), , (Narcoterrosist), (Extortionists),
화의 불복자 내부 불만자 국제 정보 브로커 자료 매를 위한(Cyber-Civil Disobedience), , ,
데이터 뱅커 또는 외국정보기관 등이 있다(Foreign Governments Intelligence) .
위의 전사들 중 해커는 어느 경우에는 범죄적 해커 와 흥미 위주의 해커(Criminal Hacker)
로 구분하기도 하나 그들로 인한 많은 범행 피해로 인하여 통상 악의(Recreational Hacker)
적 해커 시스템 공격자 또는 침투자 로 총칭하며 정(Malicious Hacker), (Attacker) (Intruder)
보전에 있어 매우 위험한 행위자의 하나로 주목받고 있다.
제 절 정보전의 응6
정보전의 응은 그 응수단보다 공격기술이 더욱 빨리 발전하기 때문에 일정한 책을
응수단으로 제시하기란 그리 쉽지 않다 따라서 그 응수단과 공격 수단은 재래식 전파전.
에 있어서의 처럼ECM ECCM ICM(Information Counter Measure) ICCM(Information
의 게임이라고도 말한다 미국의 경우 사이버스페이스의 위협은Counter Counter Measure) .
수년 전부터 Information Crisis, Cyber Terrorism, Cyber Crime Wave, Cyber Attack,
등 각종 형태로 경고되며 사회적인 문제로 부각되어 왔다 특히 년 월Cyber Murder . 1991 7
일에는 이 문제가 미 의회에서도 제기되어 사이버 위협을 방치할 경우 제 의 전자 진주27 “ 2
만 공격 을 당할 수 있다고까지 비화되며 뜨거운 논쟁이 일어난(Electronic Pearl Harbor)"
바 있다.
그와 같은 상황이 거국적으로 부각되고 국가적 위협으로 인식되면서 클린턴 통령은 1996
년 월 일에 통령령 을 발령하여 국가정보화 주요기반 구조 보호위원회7 15 13010 (PCCIP :
를 조직하고 정보전에 관한Presidential Commission on Critical Infrastructure Protection)
연구를 적극 추진해 나가고 있다 이미 그 위원회의 차 연구 보고서가 년 월 일에. 1 1997 10 13
통령에게 보고된 바 있다 그것이 바로 미국의 국가정보화 기반구조 보호를 위한 긴요계.
획 이며 맨해턴 사이버 프로젝트이다(“Critical Foundation") (Manhattan) .
가 말하고 있는 중요기반 구조 란 다음과 같다 은행 및 금PCCIP (Critical Infrastructure) . ①
융시스템 가스 오일 분배저장 시스템 정보통신 시스템 교통운송 시스템 전력발/② ③ ④ ⑤
전 시스템 수자원 시스템 정부업무 지속 시스템 비상 책 서비스 시스템 등이다.⑥ ⑦ ⑧
또 미 국방성에서는 개방화된 네트워크 상에서 국방정보나 국가사회의 주요정보를 성공적으
로 보호하기 위하여 라는 특수 프MISSI(Multilevel Information System Security Initiative)
로젝트를 추진하고 있다 그 시스템에서는 등 여. Firewall, Fortezza, Fortezza Plus, Guard
러 등급의 다중 정보보호 도구를 사용하고 있는 것이 특징이다.
또한 유럽 각국에서도 정보전에 비한 응책의 일환으로 중요정보 시스템의 분리운 주,
요정보의 암호화 시스템 접근 이중인가체제 운 시큐어 개발 등을 추진하고 있다 우, , OS .
리나라에서도 정보전에 한 선행적 연구와 방어기술이 개발되고 있으며 필요한 사항에
한 관계기관간의 적극적인 협의가 추진되고 있는 중이다.
제 절 결언7
위에서 살펴본 바와 같이 정보전은 정보화 사회를 위협하는 중 한 테러리즘이며 또 다른
형태의 사이버 전쟁이다 정보전의 위협은 이미 한두 나라의 국가차원을 초월하고 있으며.
세계적인 위협이 되고 있다 따라서 앞으로 국제화된 정보사회가 되면 될 수록 정보전의.
응은 더욱 필수화될 것이다 정보전은 이제는 먼 나라의 이야기가 아니다 그 위협이 이미. .
우리 앞에 다가와 있기 때문이다.
우리는 수년 전에 전화회선의 화재로 서울 일원의 정보유통이 상당시간 두절되어 업무상 큰
피해를 입었고 갑작스런 전기의 단전으로 정보시스템의 기능이 마비되어 중요한 업무가 오,
래도록 중단된 바 있다 또 수년 전에는 국가의 주요 에너지 연구소가 해킹을 당하여 큰 우.
려를 했는가 하면 수개월 전에는 국가 유사시에 지하철을 마비시킬 목적으로 시스템의 정보
자료를 비 리에 유출시킨 간첩행위가 보도된 바 있다 또한 수개의 정보통신업체 시스템이.
스팸메일 공격으로 마비되기도 하 다 더욱이 우리에게 경각심을 불러일으키고 있는 위협.
은 세계 각지에 우리의 시스템을 노리고 있는 많은 적성사이트가 개설되어 있다는 사실이
다.
그동안 미국에서도 사이버 테러분자들로부터 송유시스템 송전시스템 수자원시스템 등의 기, ,
반구조를 공격받은 바 있으며 정보통신 기반구조도 수차 침해당하여 상당한 피해를 입은바
있다.
따라서 미국은 이미 정보전에 응하는 거국적 프로젝트를 가동시키고 있는 중이다.
이와 같은 현실을 타산지석으로 삼아 우리도 정보전에 한 응을 결코 소홀히 해서는 안
될 것이다 하루속히 효율적으로 처하는 슬기를 발휘해야 한다 그리고 첨단화된 우리 고. .
유의 정보보호 기술을 신속히 확보하여 처하여야 한다 나날이 급변하는 정보기술의 발전.
과 정보범죄의 수법들은 결코 우리에게 시간적 여유를 주고 있지 않기 때문이다.
참고 문헌
한국정보보호센터 정보전 내부보고서 년 월[1] , , , 1997 6 .
한국정보보호센터 국가정보기반구조보호 책연구 연구보고서 년 월[2] , , , 1997 10 .
국방정보체계 연구소 미래정보전 비방향 및 정보보호 세미나 자료 년 월[3] , , , 1997 4 .
송주석 정보전 비 전문인력 양성 세계일보 논단 년 월[4] , , , 1997 9 .
한국정보보호센터 미국방 정보시스템에 한 보안위협과 책 연구보고서 년 월[5] , , , 1997 3 .
한국정보보호센터 정보시스템 해킹현황 및 응 연구보고서 년 월[6] , , , 1997 12 .
[7] Winn Schwartau, Information Warfare, Thunder's Mouth Press, 1996.
[8] Matthew Devost, National Security in the Information Age, Master thesis, University
of Vermont, 1995.
[9] John J. Fialka, War by Other Means, W. W. Norton & Company, 1997.
[10] Michel E. Kabay, Enterprise Security-Protecting Information Assets, McGraw-Hill,
1996.
[11] Roger C. Molander, Andrew S. Riddile, Peter A. Wilson, Strategic Information
Warfare, National Defense Research Institute RAND, 1996.
[12] Alan D. Campen, Doughlas H. Dearth, R. T. Godden, Cyber War:Security, Strategy
and Conflict in the information Age, AFCEA International Press, 1996.
[13] Eliot A. Cohen, A Revolution in Warfare, Foreign Affairs, Vol. 75, No.2, 1996.
[14] B. C. Collin, "The Future of Cyberterrorism:Were the Physical and Virtual World
Converge", Proc. on the 11th Symposium on Criminal Justice, 1995.
[15] E. A. Eriksson, Peter Wallstrom, Information Warfare-A Swedish Perspective, Proc.
on the Info-War-Con, 5 September, 1996.
[16] Malin Johansson, Cyber Wars-rethinking national security in the information age,
research paper, University of Newcastle upon Tyne, 1997.
[17] Neil Munro, A Look at the on-line Frontier-The Pentagon's nightmare:An
Electronic Pearl Harbour, Washington Post, 16 July, 1995.
[18] Alan D. Campen, The First Information War, AFCEA International Press, 1992.
[19] M. J. Warren, The use of the Internet by Terrorists and its impact upon Business,
Proc. on the Info-War-Con, 8 May, 1997.
[20] David S. Alberts, Defensive Information warfare, National Defense University,
Institute for National Strategic Studies, Washington, DC, August, 1996.
[21] Robert T. Marsh, Critical Foundations-Protecting America's Infrastructures, The
Report of the President's Commission on Critical Infrastructure Protection, October, 1997.
