보안 시스템 정보 보안 개론 10장.

Presentation on theme: "보안 시스템 정보 보안 개론 10장."— Presentation transcript:

1 보안 시스템 정보 보안 개론 10장

2 1 1 2 2 3 3 4 2 5 3 6 2 7 생체 인식의 종류와 방법을 알아본다 방화벽의 기능과 목적을 이해한다
침입탐지 시스템과 침입차단 시스템의 기능과 목적을 이해한다 3 4 VPN 의 기능과 목적을 이해한다 2 5 출입통제 및 모니터링 시스템의 종류와 그 기능을 살펴본다 3 6 백신 및 DRM, ESM 등의 보안 솔루션의 기능을 알아본다 2 7 보안 솔루션을 이해하고, 이를 구성할 수 있다

3 Section 01 인증 시스템 Something You Are 인증 시스템 지문
인증을 하고자 하는 주체(Subject)에 대해 식별(Identification)을 수행하고, 이 에 대한 인증(Authentication & Authorization) 서비스를 제공하는 시스템 Something You Are 생체조직을 통한 인증 지문, 손 모양, 망막, 홍채, 서명, 키보드 타이핑, 목소리, 얼굴 등 지문 가장 흔히 쓰이는 생체인식 수단 지문 인식 시스템은 가격이 싸고 효율성도 좋으며, 사용하는 데 거부감도 거의 없는 편 손에 땀이 많거나 허물이 잘 벗겨지는 사람은 오탐률이 높다는 단점

4 Something You Are 망막 홍채 망막 인증은 눈 뒷부분에 있는 모세혈관의 모습을 이용하 여 인증을 수행
눈병에 걸리거나 하면 인식률이 떨어지고, 심장이 멎거나 죽으면 피의 흐름이 멎어 인식이 불가능해지며, 인식 장치 에 눈을 대고 눈의 초점을 맞춰야만 하기 때문에 인증을 받으려는 의지가 없으면 인증이 불가능함 홍채 홍채는 눈의 색깔을 결정하는 부분 홍채 인증은 망막 인증보다도 정확도가 높다. [그림 10-3] 망막의 모습 [그림 10-4] 홍채의 모습

5 Something You Are 서명 외국에서 서명의 힘은 무척 커 서명을 이용한 인증 장치도 생김
장비를 이용해 서명의 진위를 확인하는 것은 그다지 높은 보안 수준을 가지지 못함 목소리 고유한 목소리를 이용한 인증 방법은 원격지에서 전화를 이용할 수도 있고, 사용 방법을 따로 익히지 않아도 되는 편리함이 있음 음성은 환경이나 감정에 따라 변할 수 있고, 다른 이가 흉내낼 수도 있 어 높은 보안 수준을 가지지는 못함 얼굴 얼굴의 윤곽을 통해 인증을 수행, 현재의 기술이 다양한 표정의 얼굴을 정확히 인증하기에는 무리가 있음

6 Something You Have Something You Have 사용자가 인증 수단을 소유해 인증을 수행
다른 사람이 쉽게 도용할 수 있기 때문에 단독으로 쓰이지 않고, 일반 적으로 Something You Know나 Something You Are와 함께 쓰임 스마트 키/카드, 신분증, 인터넷 뱅킹 카드와 OTP, 공인인증서 등 스마트 키 또는 카드 카드 키는 출입자가 카드를 소유해 출입을 허가 받았음을 인증

7 Something You Have 신분증 인터넷 뱅킹 카드와 OTP(One Time Password) 공인인증서
학생증, 주민등록증, 운전면허증 등이 모두 신분증임 본인임을 확인하기 위해 얼굴을 대조하므로 신분증은 Something You Have와 Something You Are 둘 다를 인증 수단으로 이용 인터넷 뱅킹 카드와 OTP(One Time Password) 공인인증서 공인인증서는 인터넷 뱅킹이나 온라인을 통한 신용카드 거래에서 많이 사용 [그림 10-6] 인터넷뱅킹에 사용되는 OTP

8 SSO SSO(Single Sign On)
모든 인증을 하나의 시스템에서 ’즉, 시스템이 몇 대가 되어도 하나의 시스템 에서 인증에 성공하면 다른 시스템에 대한 접근 권한도 모두 얻는 방식 처음에 클라이언트가 서버에 연결을 요청하면(➊), 서버는 클라이언트로 하 여금 SSO 서버로부터 인증을 받은 후 접속하도록 요청(➋) 클라이언트가 SSO 서버로부터 인증을 받으면(➌, ➍) SSO 서버와 연결된 서버 1, 2, 3에 도 별도의 인증 과정 없이 접속할 수 있게 됨(➎) 이러한 접속 형태의 대표적인 인증 방법으로는 커버로스 (Kerberos)를 이용한 윈도우의 액티브 디렉토리

9 SSO 커버로스 커버로스는 고대 그리스 신화에 나오는 지옥문을 지키는 머리 세 개 달린 개
SSO의 가장 큰 약점은 최초 인증 과정을 일단 통과하면 모든 서버나 사이트 에 접속이 가능해진다는 것 이를 Single Point of Failure라 한다. 이러한 약점을 보완하기 위해 중요 정보에 대한 접근 및 동작시 지속적인 인 증(Continuous Authentication)을 하도록 되어 있음

10 Section 02 방화벽 방화벽의 개념 네트워크에서 방화벽은 보안의 가장 일차적인 것으로, 신뢰하지 않는 외부 네트 워크와 신뢰하는 내부 네트워크 사이를 지나는 패킷을 미리 정한 규칙에 따라 차단하거나 보내주는 기능을 하는 하드웨어나 소프트웨어를 말함

11 방화벽의 주요 기능 접근제어 관리자는 방화벽에 통과시킬 접근과 그렇지 않은 접근을 명시
방화벽의 가장 기본적인 기능인 접근 제어는 룰셋(Rule Set)을 통해서 수행되는데, 룰셋은 방화벽을 기준으로 보호하고자 하는 네트워크의 외부와 내부에 존재하는 시 스템들의 IP와 포트 단위로 이루어짐

12 방화벽의 주요 기능 로깅과 감사추적 인증 데이터의 암호화 방화벽은 허가나 거부된 접근에 대한 기록을 유지하고 있음
방화벽은 메시지 인증, 사용자 인증, 클라이언트 인증을 할 수 있음 메시지 인증: VPN(Vitual Private Network)과 같은 신뢰되는 통신선을 통해 전송되 는 메시지에 대한 신뢰성을 보장하는 것 사용자 인증: 패스워드를 통한 단순한 인증부터 OTP(One Time Password), 토큰 기반(Token Base) 인증 등 높은 수준의 인증까지 가능 클라이언트 인증: 모바일 사용자처럼 특수한 경우에 접속을 요구하는 호스트 자체 를 정당한 접속 호스트인지 확인 데이터의 암호화 방화벽에서 다른 방화벽으로 전송되는 데이터를 암호화해서 보냄

13 Section 03 침입탐지 시스템-주요 기능 침입탐지 시스템(IDS, Intrusion Detection System)
설치 위치와 목적에 따라 호스트 기반의 침입탐지 시스템(HIDS, Host-Based Intrusion Detection System) 네트워크 기반의 침입탐지 시스템(NIDS, Network-Based Intrusion Detection System) 데이터의 필터링과 축약 보지 않을 거면 모으지도 말라 매우 방대한 데이터는 감시자를 지치게 하여 효과적인 대응을 막음 따라서 침입탐지 시스템은 데이터의 효과적인 필터링과 축약이 꼭 필요 공격 의 지를 가졌다고 생각되는 숫자만큼을 Clipping Level로 설정

14 침입탐지 시스템의 주요 기능 침입탐지 오용 탐지(Misuse Detection) 기법
이미 발견되고 정립된 공격 패턴을 미리 입력해두었다가 이에 해당하는 패턴을 탐지 알려진 공격 이외에는 탐지할 수 없으며 대량의 데이터를 분석하는 데는 부적합 상태 전이(State Transition) 기법 각각의 공격 상황에 대한 시나리오를 작성해두고 각각의 상태에 따른 공격을 분석 결과가 매우 직관적이나 세밀한 시나리오를 만드는 것이 매우 어려우며, 추론 엔진이 들어가기 때문에 시스템에 부하를 줄 수 있음 이상 탐지 기법(Anomaly Detection) Behavior나 Statistical Detection이라고도 불림 상대적으로 급격한 변화를 일으키거나 확률이 낮은 일이 발생하면 침입탐지를 알림 책임 추적성과 대응 침입탐지 시스템은 공격을 발견하면 관리자에게 알람이나 기타 방법으로 알림 능동적인 대응을 하는 시스템은 침입차단시스템이라고 칭함

15 침입탐지 시스템의 설치 위치

16 침입차단 시스템 침입차단 시스템 침입탐지 시스템과 방화벽의 조합으로 생각할 수 있음
침입탐지 시스템과 방화벽의 조합으로 생각할 수 있음 침입탐지 기능을 수행하는 모듈이 패킷 하나하나를 검사하여 그 패턴을 분석한 뒤, 정상적인 패킷이 아니면 방화벽 기 능을 가진 모듈로 이를 차단 일반적으로 오른쪽과 같이 방화벽 다음 에 설치 방화벽이 네트워크의 앞부분에서 불필 요한 외부 패킷을 한 번 걸러주어 침입 차단 시스템이 더 효율적으로 패킷을 검 사할 수 있음

17 Section 05 VPN VPN(Virtual Private Network) VPN의 사용 예
암호화를 이용한 기밀성 확보를 통해 인터넷 회선을 임대 회선과 비슷하게 사용 할 수 있도록 해주는 솔루션 VPN의 사용 예 해외여행을 가서도 국내 온라인 게임을 할 수 있다 회사내의 서버를 집에서도 보안된 상태로 접근할 수 있다

18 Section 05 VPN 원격의 두 지점간을 내부 네트워크처럼 이용할 수 있다

19 Section 06 출입 통제 및 모니터링 장비 감시 카메라 엑스레이 검사기
CCTV(Closed-Circuit TeleVision )라고 불림 감시 카메라를 설치할 때 확인할 사항 카메라가 포착하지 못하는 사각 확인 감시 카메라에 찍힌 것을 보관하는 방법 엑스레이 검사기 반도체나 LCD와 같은 첨단 산업을 영위하는 회사의 출입구에서는 엑스레이 검 사기를 흔히 볼 수 있음 [그림 10-17] 엑스레이 투사 결과 [그림 10-16] 엑스레이 검사 장비 [그림 10-15] 감시 카메라

20 Section 06 출입 통제 및 모니터링 장비 금속 탐지기 보안 스티커
출입자가 몸에 전자 장비를 지니고 출입하는 것을 통제하기 위해 많이 사용 보안 스티커 스티커를 한번 붙였다가 떼면 다시 원래 상태로 붙일 수 없게 한 것 휴대폰 카메라 부분에 붙여서 건물 내부로 들어온 사람이 휴대폰 카메라를 이용 해 사진을 찍지 않았음을 확인하거나, 노트북의 모니터와 본체 사이에 붙여서 노트북을 내부로 가져가 어떤 작업을 하지 않았다는 확신을 얻기 위해 사용 [그림 10-19] 보안 스티커 [그림 10-18] 금속 탐지기

21 Section 07 기타 보안 솔루션-IP 관리 시스템
네트워크의 보안을 위한 것으로 임의의 사용자가 접속할 수 없게 함 회사의 네트워크에 최초로 접속하기 원하는 사용자는 네트워크 접속에 사용할 시스 템의 MAC 주소를 IP 관리 시스템의 관리자에게 알려주어야 함 관리자가 해당 MAC 주소를 IP 관리 시스템에 등록해야 비로소 해당 네트워크를 사 용할 수 있는 권한을 가짐

22 Section 07 기타 보안 솔루션 보안 운영체제(Secure OS)
운영체제에 내재된 결함으로 인해 발 생할 수 있는 각종 해킹으로부터 보호 하기 위해, 보안 기능이 통합된 보안 커널을 추가로 이식한 운영체제

23 Section 07 기타 보안 솔루션 백신 PC 방화벽
백신 프로그램은 시스템에 항상 상주하며 바이러스나 웜이 구동하면 이를 실시 간으로 제거하는 형태로 운영 백신은 바이러스나 웜, 그리고 최근에는 인터넷으 로 유포되는 악성 코드까지 탐지하고 제거하는 기능이 있음 PC 방화벽 PC 방화벽은 네트워크상의 웜이나 공격자로부터 PC를 보호하기 위해서 설치 되는데, 일반적으로 보안 운영체제도 이러한 기능을 가지고 있음

24 Section 07 기타 보안 솔루션 스팸 필터 솔루션
스팸 필터 솔루션은 메일 서버 앞단에 위치하여, 프록시 메일 서버로서 동작하 며 SMTP 프로토콜을 이용한 DoS 공격이나 폭탄 메일, 스팸 메일을 차단 전송되는 메일의 바이러스까지 체크할 뿐만 아니라 내부에서 밖으로 보내지는 메일에 대한 본문 검색 기능을 통해 내부 정보 유출도 방지

25 Section 07 기타 보안 솔루션 DRM DRM(Digital Right Management) 은 문서 보안에 초점을 맞춘 기술 로, 문서 열람/편집/인쇄까지의 접근 권한을 설정하여 통제