정보보안개론

 

1. 정보를 지키는 기술, 암호학(Cryptography)

 

암호학은 정보를 보호하기 위해 언어학적, 수학적 방법론을 다루는 학문입니다. 수학을 중심으로 컴퓨터, 통신 등 여러 분야에 걸쳐 연구되고 있습니다.

 

암호학에서 가장 중요한 개념은 **평문(Plain text)**과 **암호문(Cipher text)**입니다.

• 평문은 누구나 읽을 수 있는 암호화되지 않은 원본 데이터입니다.

• 암호문은 평문을 암호화 알고리즘과 암호화 키를 이용하여 암호화한 결과 데이터입니다.

평문 / 암호문

 

대칭 암호화 vs 비대칭 암호화

암호화 방식은 크게 두 가지로 나뉩니다.

• 대칭 암호화 알고리즘: 암호화 키와 복호화 키가 동일합니다. 보통 128비트 길이의 짧은 키를 사용하며, 비트 조작 연산을 기반으로 합니다. 성능이 상대적으로 우수합니다.
  
  • 스트림 암호화: 의사난수를 생성하여 암호화하고자 하는 데이터와 결합하는 구조를 가집니다. 일반적으로 의사난수를 1비트 단위로 생성하고, 암호화하려는 값과 XOR 연산을 수행하여 암호화된 데이터를 얻습니다. 하드웨어로 구현 시 블록 암호화보다 연산 속도가 빠르고 구조가 단순합니다.
• 비대칭 암호화 알고리즘:  암호화 키와 복호화 키가 서로 다릅니다. 보통 1024비트 길이의 긴 키를 사용하며, 수학 연산을 기반으로 합니다. 성능은 대칭 암호화에 비해 상대적으로 떨어집니다. RSA, El Gamal, ECC 등이 대표적인 알고리즘입니다.
  
  • 블록 암호화: 평문을 N비트 단위로 나눈 블록 단위로 암호화를 수행하는 방식입니다. 알고리즘에 따라 Feistel 구조, SPN 구조 등으로 나눌 수 있습니다

(위) 대칭키 (아래) 비대칭키

---

2. 당신은 누구인가요? 사용자 인증과 접근 제어

인증(Authentication)은 사용자의 신원을 확인하는 과정입니다. 인가(Authorization)는 인증된 사용자에게 접근할 권한이 있는지 확인하는 과정입니다.

다양한 인증 수단

인증 수단은 크게 세 가지로 나눌 수 있습니다.

• Something You Know: 내가 알고 있는 지식을 통해 인증하는 방법으로, 패스워드나 PIN이 있습니다.

• Something You Have: 내가 가지고 있는 것을 통해 인증하는 방법으로, 신분증, 출입 카드, OTP가 있습니다.

• Something You Are: 나 자신을 통한 인증(바이오 인증)으로, 지문, 홍채, 안면, 정맥 등이 있습니다.

 

접근 제어(Access Control)는 적절한 권한을 가진 인가자만 특정 시스템에 접근할 수 있도록 통제하는 것입니다.

이때 최소 권한의 원칙(Least Privilege)은 필요한 최소한의 권한만 부여해야 한다는 중요한 원칙입니다. 이 원칙은 사용자가 자신의 업무 수행에 필요한 최소한의 권한만을 갖도록 하여, 불필요한 정보 접근이나 시스템 변경을 막아 보안 위험을 줄이는 데 큰 역할을 합니다.

예를 들어, 웹사이트 관리자라 하더라도 모든 개인정보를 열람할 권한은 갖지 않는 경우가 이에 해당합니다. .

---

3. 안전한 시스템을 위한 관리

시스템 보안은 계정, 세션, 접근 제어, 권한, 로그, 취약점 관리 등 다양한 주제를 포함합니다.

 

계정 및 세션 관리

• 계정 관리: 시스템을 사용하는 사용자를 고유하게 식별하는 **사용자 계정(User Account)**을 관리하는 것입니다. 이를 통해 누가 시스템을 사용했는지 식별하고 인증할 수 있습니다.
• 세션 관리: 활성화된 연결 단위인 세션을 보호하는 것입니다. 세션 타임아웃은 유휴 상태인 세션을 만료시켜 보호하는 방법이고, 지속적인 세션 인증은 세션을 계속 보호하기 위한 방법입니다.

로그 관리

시스템에서 발생하는 모든 활동을 기록하는

로그는 시스템 운영의 전반적인 상태 정보를 기록하는 중요한 자료입니다.

 

• Unix/Linux: 시스템 로그는 /var/adm (유닉스) 또는/var/log (리눅스) 경로에 저장됩니다.
  • btmp는 실패한 로그인 정보를 기록하며 , history는 사용자가 Shell에서 실행한 명령어를 기록합니다.

 

• Windows: Event Log라는 이름으로 로그가 기록되며 , **이벤트 뷰어(Event Viewer)**를 통해 관리할 수 있습니다.

로그를 통합 관리하고 위변조를 차단하기 위해  로그 서버를 도입하여 운영하기도 합니다.

---

4. 정보보안 기술과 인증 제도

 

• S/MIME: 이메일 메시지 데이터를 저장하는 포맷인 MIME 데이터를 공개키 기반으로 암호화하고 전자서명을 지원하는 표준입니다.

• 보안 인증 제도:
  
  • ISMS: 정보보호 관리체계 인증입니다.
  • ISMS-P: 정보보호 및 개인정보보호 관리체계 인증으로, ISMS와 개인정보보호가 결합된 것입니다.
  • CSAP: 클라우드 보안 인증제입니다.