[보안프로토콜] 1주차 - 1강

보안 프로토콜은 우리말로 보안 통신을 의미한다. 정보 보호 관점에서 보안 프로토콜을 바라보며 여러 정보 보호 서비스를 제공하는 기술적인 측면인 암호 기술을 학습해보고자 한다.

정보 보호는 스마트 환경(iOT 사물 인터넷 환경)에서 많이 사용된다.

스마트 환경
시간 장소에 구애됨 없이 저비용 고성능 컴퓨팅 기능을 사용해 인간의 삶을 편리하게 하고 즐겁게 영위하도록 만드는 환경이다. 

스마트 환경은 어떤 특징을 지늬고 있는가? -> 사람들을 편리하게 만들어주는 특징을 지늬고 있다.

• 수월한 원격 장치 제어
• 원활한 네트워크
• 원활한 정보수집 및 배분
• 편리한 서비스 제공
• 정확한 예측 및 의사결정이 가능한 시스템

스마트 환경의 대표적인 시스템: 스마트 워크

스마트 워크
사무실 개념을 탈피하여, 언제 어디서나 편리하게 네트워크 상에서 근무환경을 조성하여 업무처리를 할 수 있는 환경

코로나-19 시국이 되면서 재택근무가 증가되었으며 이후에도 지속적으로 증가할 것으로 예상된다. 재택근무는 다음과 같은 장점이 존재한다.

• 사무공간 불필요
• 교통비 감소
• 근무형태 유연화

스마트 워크에는 단점도 존재한다.

• 자료 전송의 빈번화로 인하여 정보 보안 기술의 필요성이 증가되고 있다.
• 화상 회의 플랫폼 (예: Zoom) 에 대한 보안 이슈도 존재한다.
• 재택근무로 인해 공용으로 사용되는 클라우스 공간에 대한 사이버 범죄가 증가되고 있다.

네트워크 보안이라는 분야도 존재한다. 많은 사람들이 각종 업무를 볼 때 네트워크를 사용한다.

• 인터넷 쇼핑
• 인터넷 뱅킹
• 이메일 사용
• 개인정보 제공
• 생물학적 정보 제공 (지문인식, FaceID)
• 유틸리티 활용
• 프로그램 설치
• 첨부된 파일 실행

일반적인 네트워킹도 있지만 디지털 화폐를 다루는 인터넷 쇼핑이나 인터넷 뱅킹 분야에서는 최고의 정보 보호 기술이 적용되어야 한다.

그렇다면 정보 보호 위협이 발생될 수 있는 환경은 어떤 것이 존재하는가?

• 정보 노출
• 정보 변경
• 위장
• 정보 전달의 지연
• 송/수신 부정
• Dos 공격
• 신원 정보
• 신용카드 사용
• 온라인 송금
• 전자상거래
• 이동전화 통신

개인정보(주민번호, 성별, 나이, 지역, 계정)가 노출 되거나 변조되는 경우가 존재한다. 

위장하는 경우도 있다. 대표적으로 피싱사이트가 존재하는데 예를 들어 정당한 은행인 것처럼 위장하는 사이트에 개인정보를 입력하도록 하여 정보가 유출되기도 하고 이메일의 첨부파일을 통해 랜섬웨어에 감염되기도 한다. 

정보를 보냈는데 받은 사람이 없거나 정보를 보내지 않았는데 받은 사람이 있는 부정의 경우가 있다.

최근에는 dos 공격의 유행이 지났지만 '13년 경에는 dos 공격이 유행했다. 서버의 대역폭이 있을 때 서버가 수용할 수 있는 양보다 더 많은 요청을 보낸다. 그러면 서버는 요청에 대응하는 response 를 보내지 못하고 마비되게 된다.

iT세상에는 다양한 위협이 존재한다. 그렇다면 정보 보호란 어떤 분야인가?

정보보호
정보의 수집, 가공, 저장, 검색, 송/수신 중에 정보의 훼손, 변조, 유출 등을 방지하기 위한 관리적, 기술적 수단 또는 그러한 수단으로 이루어지는 행위

위와 같은 정의에 따라 정보 보호는 내부 또는 외부의 공격자로부터 데이터의 파괴, 변조, 유출 등과 같은 침해 사고로 부터 보호하는 것이라는 기본 목표를 갖고 있다. 

정보 보호에 대한 아래와 같은 두가지 측면에 집중해보자!

• 관리적 측면: 개인정보보호법 전자상거래법과 같은 관리적 측면으로 법을 제정하여 정보를 보호한다.
• 기술적 측면: 정보 보호를 제공해주는 제공해주는 기술 중 가장 보편적으로 사용되는 것이 암호 기술이다.

브라우저를 사용하다보면 HTTPS 프로토콜을 사용한다는 키워드를 본적이 있을 것이다 여기서 사용된 S 철자가 바로 Security의 약자이다. 이 프로토콜 아래서 계정 정보를 입력하거나 이메일을 보내는 등의 작업을 하면 모두 암호화 되어서 동작하게 된다.

이처럼 정보 보호 분야는 아주 중요한 분야이다.

이런 정보 보호를 강화하다보면 분명 다른 측면에서의 문제점이 발생하기 마련이다. 대표적으로 어느 사이트나 계정을 생성할 때 패스워드를 길고 특수문자를 포함하여 복잡하게 만들도록 이용자에게 요구하고 있다. 다시말해 정보 보호를 강화할 수록 가용성(편리성)이 저해되기 때문에 균형잡힌 기술 적용이 필요하다.

조금 예상 외의 내용이지만 정보 보호에 있어서 인적인 측면이 존재한다. 정보 보호에 관련된 사건의 90% 이상은 인적 요소 때문에 발생된다. 조직의 정보 보호 프로그램 링크 중 가장 취약한 링크가 바로 사람이며 이런 경로를 활용한 공격을 사회 공학적 공격(Social Engineering Attack) 이라고 부른다. 

사회 공학적 공격은 사람의 심리적 취약점을 활용하여 정보를 취득하거나 컴퓨터 접근 권한을 얻거나 정보 제공을 재정적 이득과 연관지어 시스템을 공격하는 방법을 사용한다.

주로 악성코드 메일, 모바일 피싱, 보이스 피싱, 물리적 접근 방법을 사용하기 때문에 출처가 불분명한 첨부파일을 함부로 여는 행위는 아주 위험한 행위가 될 수 있다. 실제로 랜섬웨어의 주요 유포 링크가 이메일 첨부파일인 경우가 많았다고 한다.

위에서 언급된 위협으로 부터 정보를 지켜줄 수 있는 서비스는 뭐가 있나요?

정보 보호는 가용성, 기밀성, 무결성, 인증, 부인 방지, 소유권, 정확성, 활용성의 서비스를 제공하고 있다. 보안 프로토콜에서는 이중 4가지 경우를 집중하여 다루게 된다. 왜냐하면 암호 기술이 위 4가지 분야를 타깃으로 암호 기술이 적용되기 때문이다.