Posts [보안] 정보보안 개요
Post
Cancel

[보안] 정보보안 개요

jeonyoungho Jun 30, 2021 2021-06-30T00:00:00+09:00
Apr 22, 2023 2023-04-22T16:01:20+09:00 6 min

정보보안 개요

  • ※OWASP(sw의 보안성을 개선하기 위해 노력하는 비영리재단) 에서 제안한 10개의 웹 취약점 분석을 통해 웹에 안전하단걸 검증하고 웹 서비스를 배포해야함

1) 보안에서 중요한 3가지 측면(CIA)

  • alice:은행 설립자
  • bob:은행 고객
  • trudy:침입자

  • AOB(Alice open Bank)

  • ① Confidentiality(기밀성)
    • 정보를 허가 받지 않는 사람이 읽는 걸 막아야함
    • 아예 접근을 하지 못하게하는방법 + 암호를 하여 읽더라도 해석을 못하게 하는방법
    • trudy가 bob의 계좌정보를 함부로 조회(reading)해선 안됨
  • ② Integrity(무결성)
    • 허가받지 않은 사람이 정보를 쓰는 걸 막아야함
    • trudy가 bob의 잔고를 함부로 변경해선 안됨
    • bob이 자기자신의 잔고를 수정,변조(writing)해선 안됨
    • 해쉬함수를 통해서 원본을 저장하여 만약에 변경이 되었을 경우엔 최소한 발견할 수 있어야함
  • ③ Availability(가용성)
    • 항상 서비스가 필요할때 마다 항상 이용가능해야함
    • 거래를 해야하는데 증명서가 계속 다운 되면 안됨
    • 새로운 security concern
    • Dos(denial of service)공격 같은 걸 막아야함

2) 그외 보안과 관련된 측면

① Acess Controll(접근 제어)

①-1 Authentication(인증)

  • 네트워크가 수반되지 않는 경우
    • Bob의 컴퓨터에서 Bob인지 Trudy인지 구분
    • 암호학을 사용해서 password를 사용해야함
    • password가 보안적측면에서 그렇게 안전하지만은 않음
    • password의 대안 -> 스마트폰 패턴, 지문인식과 같은 다양한 생체인식통한 인증
  • 네트워크가 수반되는 경우
    • AOB입장에서 어떻게 Bob이 접근한게 맞는지 어떻게 구분을 하는가?
    • -> 예전엔 password방식을 많이 사용하지만 이경우엔 network security issuse가 발생
    • -> 프로토콜이 굉장히 중요
    • -> 프로토콜에서도 암호학은 굉장히 중요하다

①-2 Authorization(인가)

  • Bob이 AOB에 인증햇을때 밥의 행동들을 제한해야함
  • Bob은 Charile’s의 잔고를 볼수 없어야함
  • Bob은 새로운 sw를 설치할 수 없어야함

  • 이런 제한을 두는게 Authorization이다

  • ※ Access Control은 authentication과 authorization 둘 다 포함한다.

② non-repudiation(부인봉쇄)

  • Bob이 Charile에게 자동이체를 했는데 언제 자동이체를 했냐고 발뺌을 하는것을 방지
  • 나중에 계약을 발뺌하는 것을 방지
  • offline에선 인감을 통해 부인봉쇄함
  • ★online에선 전자서명을 통해 부인봉쇄야해줘야함

3) SoftWare Issue

① secure coding

  • 위의 보안관련된 측면들은 소프트웨어 속에서 구현됨
  • 대부분 소프트웨어는 복잡해지고 버그가 많아지고 있음
  • 그럴 경우 소프트웨어 상의 결함은 보안상 결함으로 발전하게 됨
  • 어떻게 소프트웨어 상의 결함을 줄이느냐가 관건

② malware

  • 몇몇 소프트웨어들은 인위적으로 사악한 소프트웨어가 있을 수 있음(Malware: viruses, worms 등등)
  • aclice와 bob입장에선 어떻게 malware로 부터 보호해야하는가?
  • trudy입장에선 어떻게 malware를 효과적으로 사용할 수 있는가?

③ OS

  • OS도 점차 복잡해지는 이에 대한 보안을 강화해줘야함

정보보안의 전반적인 구성요소

1) Cryptography(암호학)

  • “secret codes”

    • ① symmetric key crytograhphy(대칭키암호)
      AES 암호알고리즘

    • ② public key crytograhphy(공개키암호)
      RSA 암호알고리즘

    • ③ hash function(해쉬암호)
      SHA1 hash function

2) Access control

① Authentication

  • passwords
  • biometrices

② Authorization

  • Access Control List 자원(file)을 중심으로 해서 누가 접근할 수 있느냐
    사람이 중심으로 해서 누가 접근할 수 있느냐
  • Firewall

3) Protocols

  • 인증과 관련된 부분에서 다양한 프로토콜사용
  • 프로토콜의 특성으로 조금만 변경만해도 security 측면에선 치명적효과를 가져올 수 있음(butterfly effect)
  • 프로토콜에서 암호학이 사용됨
  • ★SSL, IPSec, Kerberos, GSM security

4) Software

  • security-critical flaws : 소프트웨어의 결함이 보안적측면에서 치명적일지
    • ex) Buffer overflow
  • Malware : viruses 나 worms들을 어떻게 방지하고 탐지해낼 것 인가 -SRE(soft ware reverse engineering) : binary -> source -DRM(digital rights management) :mp3 , e-book , 완벽하게는 어려움이 있음 mp3를 틀고 핸드폰으로 녹음할수 있기에 -OS
Security
security
This post is licensed under CC BY 4.0 by the author.
Recent Update
Contents

[보안] 암호 기초

[TDD] Junit