[정보보호] 정보보호 개요

* 보안 기법, 암호, 네트워크 보안, 관리방법, 서비스 구조, 매커니즘 등은 표준 대상이며, 표준화된 사례가 많음

* NIST, ISOC, ITU-T, ISO 등 기관

* 표준화는 매우 중요, 국제적 호환성 

 

※1장 : 개요

#컴퓨터 보안 개요

- 정의(NIST - 가장 영향력있는 표준화기관): 정보 시스템 자원에 대한 무결성(Integrity)과 가용성(Availability), 기밀성(Secrecy, Confidentiality) 유지와 같은 목적 달성을 위해 자동화된 정보 시스템에 적용되는 보호

    ▶ 1. 무결성: 정보와 프로그램이 오직 특정인가된 방법에 의해서만 변경되는것(데이터 무결성), 시스템이 원하는 기능을 손상되지 않은 형태로 수행되거나, 비인가 조작이 수행되거나 하지 않도록 보장(시스템 무결성) 

        ▶ ECC(Error Correcting Code로 해결)

    ▶ 2. ★기밀성: 권한 없는 자에게 숨기는것(데이터 기밀성), 개인의 정보가 누구에게 노출되는지, 수집되는지 통제하는 것(프라이버시) -> 보안에서 중요한 것

    ▶ 3. 가용성: 시스템이 적절한 시점에 동작할 수 있도록 하며, 인가된 사용자에게 잘 제공되도록 보장

↑ 이 세가지는 '보안의 3요소'

- 그러나 CIA triad에 추가 필요성 제기 -> Authenticity, Accountability, Non-repudiation

    ▶ Non-repuditaion(부인 방지): 송신, 송달, 수신 부인 방지. 본인이 한 일에 대해 확실히 했다고 증명하는 것. 본인이 하지 않았다고 거짓 주장할 수 없게 하는 것

    ▶ Authenticity(진위성): 정보의 변조나 위조 방지, 허위 신원을 감지 - 디지털 서명, 인증서 등

    ▶ Accountability(책임 추적 가능성): 행동의 주체를 식별, 추적하는 능력  → 불법적 활동 개인 식별

- 보안 위반으로 인한 영향을 Low, Moderate, High로 분류

 

#OSI 보안 구조

- 보안 요구사항에 대한 정의와 요구 사항을 만족하기 위한 체계적인 접근 방법(ITU-T X.800에서 정의)

1. 보안 공격(security attack)

    ▶ 조직이 소유한 정보의 안정성을 손상시키는 행위

2. 보안 기법(security mechanism)

    ▶ 보안 공격을 탐지, 예방하고 그로부터 복구하귀 위한 제반 기법

3. 보안 서비스(security service)

    ▶ 조직의 데이터 처리 시스템 및 정보 전송에 대한 보안을 강화하기 위한 서비스

 

#보안 공격

- X.800, RFC(request for connect -> 표준화 결정 문서) 2828에 의한 분류

1. 소극적 공격(passive attack)

    ▶ 전송 정보 도청, 감시

    ▶ 전송중인 정보를 취득

    ▶ 공격 유형: 메시지 내용 공개, 트래픽 분석(누가 누구랑 통신하고 있다의 정보, 내용은 모름) 등

2. 적극적 공격(active attack)

    ▶ 데이터 스트림의 불법 수정, 거짓 데이터 스트림 생성

    ▶ 신분 위장(masquerade - 자신이 다른 사람 인 것 처럼 직접 통신), 재전송(replay - 가로 채서 늦게 재전송), 메시지 불법 수정(modification of message - 가로채서 수정 후 재전송), 서비스 거부 공격(denial of service - 서버 다운) 등

 

#보안 서비스

- X.800 - 5개 영역, 14개 세부 서비스로 분류

 

#보안 메커니즘

- 특정 프로토콜에 구현되는 메커니즘

    >> 암호화, 디지털 서명, 접근 제어, 데이터 무결성, 인증 교환, 트래픽 패딩, 라우팅 제어, 공증

- 특정 프로토콜 계층이나 보안 서비스에 관련 없는 메커니즘

    >> 신뢰할 수 있는 기능, 보안 레이블, 이벤트 탐지, 보안 감사 추적, 보안 복구

#네트워크 보안 모델

* trusted third party = 믿을만 한 제 3자

* 전송 -> 메시지 보안화 -> 서버(third party) -> 복호화 -> 수신

* 최근에는 탈 중앙화를 지향함(블록체인 등)

 

※2장: 고전 암호 기법

#핵심

- 대칭 암호: 암호화, 복호화 과정에 동일한 키를 사용하는 시스템, 관용암호

    > 평문 -> 암호문 -> 평문

- 암호 알고리즘의 두가지 공격

    > 암호 알고리즘 특성에 기반을 둔 암호 해독학(추정)

    > 모든 가능한 키 값을 사용하는 전사적 공격

- 회전자 기계: 치환 기법을 사용하는 정교하게 미리 계산된 하드웨어 장치

- 스테가노 그래피: 어떤 규모가 큰 대상에 비밀  메시지를 숨기는 기법

 

#대칭 암호 모델

- 구성: 평문(plaintext), 암호 알고리즘(encryption), 비밀키(secret key), 암호문(ciphertext), 복호 알고리즘(decryption)

 

* 암호, 복호화에 같은 키를 사용한다면 -> 대칭 키 암호

    > 문제: 책임 소재 문제(non-repuditation) -> 누가 만든 암호인지 모른다. -> 암호화, 복호화 키를 분리하여 해결(누구는 잠그기만, 누구는 풀기만 할 수 있게) 

* 비밀 채널로 키를 몰래 전송

 

#대칭 암호 모델(cont)

- 암호 시스템 특징

1. 평문 -> 암호문 변환 동작: 치환(substitution), 전치(transposition)

2. 사용한 키의 수: single key(대칭키/비밀키 암호, 관용 암호), two-key(비대칭키/공개키 암호)

3. 평문 처리 방법: 블록 암호, 스트림 암호

 

- 암호 해독 및 전사적 공격

1. 암호 해독: 알고리즘 본질에 대한 공격, 평문-암호 쌍에 대한 지식 등을 활요한 추론 공격

2. 전사적 공격: 평문이 될때까지 모든 키 시도(brute force)

 

- 절대 안전성 vs 계산상 안전성

1. 절대 안전성(unconditionally secure) -> 현실적으로 불가, 개념적: 해당 기법으로 생성된암호문을아무리 많이 사용해도 평문을 알아낼 충분한 정보를 폼하지 않을 경우, One-time pad

2. 계산 안전성(computationally secure) -> 대부분 이거: 아래 두가지 조건을 만족

    > 암호 해독 비용이 암호화된 정보의 가치 초과

    > 암호 해독 시간이 정보의 유효 기간 초과

 

#치환 기법(Substitution Techniques)

- 치환, 전치는 모든 암호의 기초

- 치환 암호 방식: 평문의 문자를 다른 문자, 숫자 혹은 심벌로 변경 / Caesar 암호가 대표적

* (어떤 알파벳 + k) % 26 하면 해독 가능

- 가능한 키가 25개 뿐이므로 전사적 공격에 취약

 *but 키가 늘어나면 전사적 공격은 비실용적, 평문의 언어나 유형을 알지 못하면 더 어려움(영어를 모르면 풀어도 뭔소린지 모른다)

 

#단일 문자 치환 암호 기법

- 각 평문 문자를 임의의 문자로 치환하는 경우

- 총 가능한 키 수 : 26! 개

 

#단일 문자 치환 암호 기법에 대한 공격

- 평문의 특성을 사용한 공격(ex. 영어에서는 'E'가 가장 자주 쓰인다)

- 암호문에서 각 문자에 대한 상대 빈도 계산 -> 암호문에서 각 문자의 상대 빈도를 영문자의 상대 문자 빈도와 비교