Presentation is loading. Please wait.

Presentation is loading. Please wait.

정보 보안의 세계 정보 보안 개론 1장.

Similar presentations


Presentation on theme: "정보 보안의 세계 정보 보안 개론 1장."— Presentation transcript:

1 정보 보안의 세계 정보 보안 개론 1장

2 1 1 2 2 3 3 정보 보안의 필요성을 알아본다. 정보 보안이 미래 사회에 가지는 의미를 이해한다.
정보화 사회의 발전 과정과 보안의 관계를 알아본다. 3

3 Section 01 정보화 사회에서 보안의 의미 유비쿼터스(Ubiquitous)
제록스 팔로알토 연구센터의 마크 와이저 U-컴퓨팅(Ubiquitous Computing) 용어 처음 사용 모든 기기에 컴퓨터 칩을 내장하여 상호작용이 가능하도록 하는 인간중심의 컴퓨팅 환경 IBM의 Pervasive Computing(기업 컴퓨터 시스템의 변화)이나 필립스의 Ambient Intelligence(홈 컴퓨팅과 엔터테인먼트를 위한 새로운 패러다임)의 의미 유비쿼터스 시대에 통제(Control)의 부재로 발생할 수 있는 일 유비쿼터스 시대에는 인간이 컴퓨터에 대한 의존도가 높아져 문제발생 요인 증가 출입통제 시스템이 누군가를 방에 감금 살인을 위해 자동운전 시스템이나 의료 시스템 해킹 경쟁사를 망하게 하기 위해 전기 공급 중단 시스템이 수집하는 개인정보가 차별화 서비스 제공을 위한 정보로 이용되어 새로운 형태의 디지털 양극화로 귀결

4 Section 01 정보화 사회에서 보안의 의미 군사적 목적의 해킹
미국의 Net Force가 1997년 이후 수차례에 걸쳐 대규모 연례 훈련을 실시 → 정보전을 수행할 젊은이들에 대한 훈련에 역점을 두고 있음. EU가 독자적인 GPS용 위성을 올리는 이유 1997년 6월 미국이 국가안보국(National Security Agency) 컴퓨터 전문가들에게 미 태평양 사령부에 대한 사이버 공격 훈련 실시 인터넷 해커 사이트에서 획득한 소프트웨어에 의해 ‘태평양 사령부 지휘통제체제(C4I)’는 단 며칠 만에 치명적인 손상을 입었다. 미국내 전선망에도 공격을 실시해 일부 지역을 정전 상태로 만들었다. 워싱턴 주재 중국 대사관의 한 무관은 공식적으로 “우리는 네트 부대를 보유하고 있지 않으며 이에 관해 들어본 적도 없다”고 부인하면서도 “우리도 여기 군처럼 정보전에 많은 관심을 갖고 있다”고 말해 그러한 노력에 우선순위를 두고 있음을 인정했다.

5 Section 02 해킹과 보안의 역사 해킹(hacking)이란 크래킹(cracking)이란
국어사전 컴퓨터 시스템에 침입하여 장난이나 범죄를 저지르는 일 영어사전 컴퓨터 조작을 즐기기, 해킹; 무엇이나 숙고하지 않고 실행하기 영영사전 Hacking is about finding inventive solutions using the properties and laws of a system in ways not intended by its designer 크래킹(cracking)이란 국어사전 컴퓨터 시스템의 불법침입 혹은 파괴행위를 저지르는 범죄행위 크래커(cracker): 컴퓨터 시스템을 파괴할 목적으로 시스템에 불법적으로 접근하는 사람

6 1950년대 이전(1) 1918년 폴란드의 암호 보안 전문가들이 이니그마(Enigma) 개발
이니그마는 평문 메시지를 암호화된 메시지로 변환하는 기능을 하는 전기/기계 장치 처음에는 은행에서 통신 보안 강화를 위해 개발되었지만, 독일군에 의해 제2차 세계대전에 군사통신 보안용으로 사용 알파벳이 새겨진 원판 3개와 문자판으로 구성, 문자판 위의 문자키 하나를 누르면 나란히 놓인 3개의 원판이 회전하면서 매우 복잡한 체계에 의해 암호를 만들고, 그 경우의 수는 인간이 계산할 수 없을 만큼 많아짐. [그림 1-1] 이니그마

7 1950년대 이전(2) 1943년 12월 알란 튜닝이 이니그마 암호문 해독을 위해 최초의 컴퓨터 콜로서스 개발
콜로서스는 2천 4백 개의 진공관을 이용해 만들어짐. 높이 3m. 초당 5천자의 암호문이 종이 테이프를 타고 들어가면서 에니그마의 암호와 일치할 때까지 비교하는 방식. 수를 세거나 비교, 간단한 산술 연산을 하는 전자 부속들을 갖추고 있음. 계산 결과는 전기타자기를 경유하도록 설계되었으며, 프로그램은 플러그판의 스위치를 조작함으로써 가능. 각 세트는 한 차례에 1만7,576개의 조합을 점검 [그림 1-4] 알란 튜닝 [그림 1-3] 콜로서스

8 1960년대(1) 해킹(Hacking) 용어를 MIT에서 처음 사용. 1967년
모형 기차 제작 동아리 TMRC에서 사용한 ‘전기 기차, 트랙, 스위치들을 보다 빠르게 조작하다’는 말에서 유래 DEC라는 회사가 MIT 에 VAX 컴퓨터의 전신인 PDP-1(최초의 미니 컴퓨터)을 기증 TMRC의 해커들은 PDP-1을 광적으로 좋아하게 됨. 1967년 미 국방부에서 연구기관과 국방 관련 사업체 등 관련 기관간의 정보 공유를 지원하기 위해 추진한 ARPA 프로젝트를 통해 컴퓨터 연동망 개발 [그림 1-5] PDP-1 본체와 모니터, 입력기

9 1960년대(2) 1968년 1969년 더글러스 잉글버트 박사가 최초로 마우스 개발
켄 톰프슨와 데니스 리치가 유닉스(UNIX) 운영체제 개발 프리킹의 아버지로 불리는 조 인그레시아가 2,600Hz의 휘파람을 불면 장거리 전화를 무료로 쓸 수 있다는 사실 발견. 미 국방부 산하 컴퓨터 연구와 개발 기업인‘Bolt, Beranet, and Newman’에서 ARPANet의 상용 버전인 Telnet 프로토콜 개발 [그림 1-6] 켄 톰프슨과 데니스 리치

10 1970년대(1) 1971년 드레이퍼는 군용 식량인 캡틴 크런치 시리얼에서 나온 장난감 호루라기를 불면 2,600MHz의 주파수가 발생하고, 이를 전화기에 이용하면 무료통화가 가능하다는 사실을 발견. 이후 에스콰이어 잡지에서 ‘파란 상자(blue box)의 비밀’이라는 이름으로 제작법 공개 [그림 1-7] 존 드레이퍼 [그림 1-8] 캡틴 크런치 시리얼의 경품 호루라기

11 1970년대(2) 1971년 레이 토밀슨: 최초의 이메일 프로그램을 개발해, 64 노드의 ARPANet에서 흔히 골뱅이라고 사용하여 최초의 이메일 발송 1975년 리 펠젠스파인: 인류 최초의 데스크탑 컴퓨터인 ’솔’ 개발 빌 게이츠와 폴 앨런이 마이크로소프트 설립 1979년 브라이언 커닝험과 데니스 리치가 C 언어 개발 스티브 워즈니악과 스티브 잡스가 애플 컴퓨터 개발 [그림 1-10] 빌 게이츠

12 1980년대(1) 1980년 1981년 마이크로소프트에서 베이직(Basic)과 도스(DOS)를 개발
IBM에서 CPU, 소프트웨어, 메모리, 유틸리티, 저장 장치가 완전 장착되어 단독으로 작동이 가능한 컴퓨터(PC) 개발. 이안 머피가 AT&T의 컴퓨터 시스템에 침입해 전화요금과 관련된 시계를 바꾸어 심야 요금이 대낮에 적용되도록 조작 독일의 전설적인 해커 그룹인 카오스 컴퓨터 클럽(CCC)이 결성. 소식지 창간호를 통해 다음의 설립 목표 규정 정보 사회로 발전하기 위해서는 전 세계와 자유로운 커뮤니케이션을 가능케 하는 새로운 인권이 필요하다. 인간 사회 및 개인에게 기술적 영향을 미치는 정보 교류에서 국경은 사라져야 한다. 우리들은 지식과 정보의 창조에 기여할 것이다.

13 1980년대(2) 1980년대 초 1983년 네트워크 해커라는 개념이 처음 생겨남.
미국 밀워키의 로날드 마크 오스틴을 포함해 6명이 운영했던 ‘414 Private’라는 BBS의 일원들이 만든 해커 그룹인 414 Gang이 암센터와 로스 알라모스 국립 연구소를 포함해 60개의 컴퓨터 시스템 침입. 1983년 9월 27일 리처드 스톨만에 의해 GNU(Gnu’s Not Unix) 계획이 세상에 알려짐. 소프트웨어의 저작권 개념에 처음부터 함정이 있었으며 Copyright가 아니라 Copyleft가 되어야 한다고 주장, 1985년에는 FSF(Free Software Foundation)를 만들었고, 이곳에서 리눅스 탄생의 배경이 된 GNU 프로젝트가 시작됨. GNU 사이트에서는 자유 소프트웨어(Free Software)에 대한 4가지 자유 확인 가능 [그림 1-12] 리처드 스톨만

14 1980년대(3) 자유 소프트웨어(Free Software)에 대한 4가지 자유
자유 0 : 프로그램을 어떠한 목적을 위해서도 실행할 수 있는 자유 자유 1 : 프로그램의 작동 원리를 연구하고 이를 자신의 필요에 맞게 변경시킬 수 있는 자유. 이러한 자유를 위해서는 소스 코드에 대한 접근이 선행되어야 합니다. 자유 2 : 이웃을 돕기 위해서 프로그램을 복제하고 배포할 수 있는 자유 자유 3 : 프로그램을 향상시키고 이를 공동체 전체의 이익을 위해서 다시 환원시킬 수 있는 자유. 이러한 자유를 위해서는 소스 코드에 대한 접근이 선행되어야 합니다.

15 1980년대(4) 1983년 1984년 워게임즈(WarGames) 영화 상영
고등학생 매튜 브로데릭은 모뎀에 연결된 컴퓨터를 이용해 비디오 게임 프로그램을 훔치려다 미 방공 사령부 컴퓨터에 침입, 핵 미사일을 제어하는 프로그램을 게임으로 오인하고 동작시켜, 미국과 러시아 간에 핵전쟁이 일어날 뻔한 위기 상황이 발생 1984년 윌리엄 깁슨이 공상과학소설 뉴로맨서(Neuromancer) 발간 사이버스페이스 용어 처음 사용. 인공지능(AI), 가상세계, 유전자 공학, 국가의 제약을 뛰어넘는 다국적기업 등에 대한 개념 등장. 사이버 스페이스를 떠돌며 필요한 정보를 모으는 카우보이인 주인공이 어느 날 능력 상실, 한 남자와 여자가 나타나 능력을 되찾아주고 새로운 일거리를 줌. 주인공이 새 일거리를 해결하기 위해서 다시 사이버 스페이스로 들어가는 줄거리. [그림 1-13] 워게임즈 영화의 포스터 [그림 1-14] 윌리엄 깁슨의 뉴로맨서

16 1980년대(5) 1984년 1985년 1986년 1987년 로버트 쉬라이플러가 X 윈도우 시스템을 발표
나이트 라이트닝와 타란 킹이 온라인 해킹 잡지인 프랙 창간 7명의 미국 소년이 뉴저지 소재 미 국방부 컴퓨터에 침입해 통신위성 위치를 변경하는 코드를 포함한 극비 군사통신 데이터를 빼낸 사건이 발생 1986년 해커 잡지 2600 정기 출판 미 의회에서 컴퓨터 범죄 관련 최초의 처벌 규정인 ’컴퓨터 사기와 오용에 관한 조항’ 통과 1987년 케빈 미트닉 등장 산타 크루즈 오퍼레이션 시스템에 침입 [그림 1-16] 케빈 미트닉

17 1980년대(6) 1988년 11월 22일 미 전역의 컴퓨터가 정체불명의 바이러스에 감염되어 멎고 겁먹은 사용자들이 인터넷 연결을 끊는 사건이 발생 → 22세의 로버트 타판 모리스가 만든 웜(Worm)에 의한 인터넷의 마비로, 네트워크로 연결된 6,000여 대의 컴퓨터를 감염시켜 정부 및 대학의 시스템을 마비시킴. 미 국방부가 1988년 11월 카네기 멜론 대학에 컴퓨터 비상 대응팀(CERT) 설립 1982년 제록스 팔로알토 연구소의 과학자 존 쇼크와 존 허프가 작성한 논문에서 웜의 개념 처음 등장 [그림 1-17] 로버트 타판 모리스

18 1980년대(7) 1986년 클리프 스톨은 캘리포니아에 있는 로렌스 버클리 연구소의 컴퓨터 계좌에서 컴퓨터 사용 요금이 75센트의 오차가 생기는 이유를 알아보던 중 서독 해커들이 전 세계 3백여 기관에 불법적인 접근을 시도하고 군사 기밀정보를 탈취한다는 사실을 알게 됨. NSA, CIA 등에서 이 해커들이 구소련KGB의 자금 지원을 받는 서독 해커임을 밝혀 서독에서 기소됨. 이러한 공적은 1989년 10월 뻐꾸기 알(The Cuckoo’s Egg)이라는 제목의 책으로 출간되었고 순식간에 베스트셀러가 됨. 1989년 ‘해커 선언문(The Conscience of a Hacker)’의 저자로 유명한 로이드 블렌켄쉽이 체포됨. 해커 선언문은 교재 41-43페이지 참고

19 1990년대(1) 1990년 수배 중인 해커 케빈 폴슨 등이 라디오 방송국 전화망에 침입해 포르쉐 911과 여행 상품, 2만 달러의 상금에 당첨 102번째 전화를 건 이에게 주어는 포르쉐를 케빈 폴슨이 25개의 방송국 전화선을 점령한뒤, 102번째 전화 직전에 다른 전화선을 모두 정지시키는 방식으로 얻어냄. 1991년에 체포되어 5년간 복역 비밀 첩보 기관이 5월 7일~9일 미국 14개 도시에서 해커 체포(썬데블 작전) 1991년 리누스 토발즈가 앤드류 타넨바움의 미닉스(Minix) 데모 버전을 접하고, PC에서 돌릴 수 있는 유닉스 운영체제로서 리눅스 0.01 버전을 개발. [그림 1-18] 리누스 토발즈

20 1990년대(2) 1993년 1994년 마이크로소프트가 윈도우 NT 3.1을 1993년 7월 27일 발표
리눅스의 유명한 버전인 FreeBSD 1.0이 발표 1994년 넷스케이프 개발되고 웹 정보 접근이 가능해짐. 다양한 해킹 정보와 사용이 편리한 해킹 툴들이 웹을 통해 본격적으로 공개 일부 사용자들은 패스워드 스니퍼 같은 툴을 사용해 개인정보를 캐기도 하고 은행 컴퓨터의 계좌정보 변조. 언론이 이들을 해커라 불렀고, 해커라는 용어가 더이상 순수한 목적으로 시스템의 내부를 연구하는 컴퓨터광을 지칭하는 데 쓰이지 않게 됨. 레드햇 설립 러시아 해커 갱단이 시티은행의 컴퓨터에 침입해 천만 달러를 인출해 전 세계 은행으로 이체시키는 사건 발생 리눅스 0.01 버전 개발

21 1990년대(3) 1995년 1997년 1998년 케빈 미트닉이 1995년 2월 15일 FBI에 의해 체포
미국의 항공 핵 방위 시스템인북미 항공 우주 방위 사령부(NORAD) 등 보안이 가장 철저한 몇 개의 시스템에 침투한 혐의로 기소. 5년간의 복역. 2003년 1월 21일 자정까지 3년간 컴퓨터 사용이 금지. 1997년 아메리카온라인(AOL) 침입만을 목적으로 초보 해커와 스크립트 키드들이 사용할 수 있도록고안된 무료 해킹 툴인 AOHell이 공개. 이후 며칠간 수백만 미국 온라인 사용자들의 이메일함이 대용량 메일 폭탄으로부터 공격을 받음. 1998년 Cult of the Dead Cow라는 해킹 그룹이 데프콘 회의에서 강력한 해킹 툴로 사용할 수 있는 트로이 목마 프로그램인 백 오리피스(Back Orifice)를 발표.

22 1990년대(4) 1999년 MS 윈도우 98의 발매 윈도우 및 기타 상용 프로그램에서 새롭게 발견되는 수많은 버그들에 대한 패치 프로그램이 발표되고, 보안 회사들은 다양한 해킹 방지 프로그램 발매

23 2000년대(1) 2000년 2월 인터넷에서 가장 소통량이 많은 몇 개의 사이트에 분산 서비스 거부 공격 (DDoS)이 가해짐. 야후, CNN, 아마존 등의 사이트가 ICMP 패킷을 이용한 스머프(Smurf) 공격으로 몇 시간 동안 마비 2001년 해킹과 바이러스로 인한 피해의 양이 폭발적으로 증가 2002년 3월 강릉시청 등 168개 공공기관이 해킹을 당함, 9월 재정경제부 홈페이지가 취약점을 이용한 해커에게 데이터베이스 접근 정보 유출 등 공공기관에 대한 사이버 테러가 심각한 문제가 됨. 2003년 2003년 1월 25일 오후 2시 30분경, 마이크로소프트의 MS SQL 2000을 공격하는 슬래머라는 웜이 약 2일간 전국의 네트워크 마비

24 2000년대(2) 2004년 2005년 베이글 웜, 마이둠 웜, 넷스카이라는 웜 삼총사가 많은 피해를 입힘.
1월 27일 아침부터 급속히 전파된 마이둠 웜(Win32/MyDoom.worm.22528) 은 기존의 소빅.C 웜(Win32/Sobig.worm.C)이 가지고 있던 가장 널리 확산된 웜의 기록을 깸. 2005년 2005년 10월부터 2006년 2월 사이 주민등록번호 수십만 개가 유출돼 인터넷 게임 사이트 가입에 사용되는 등 개인정보가 무단 도용됨. 국내 모 은행의 피싱(Phishing) 사이트를 만들어 놓고 인터넷 카페 등에 대출 광고를 한 후, 연락해 온 피해자들을 피싱 사이트에 접속하도록 유도해 이들이 입력한 금융정보를 이용해 계좌에서 잔고를 인출하는 방법으로 총 12명으로부터 1억 2천만원 상당을 가로채는 사건 발생

25 2000년대(3) 2006년 2007년 2009년 7월 안심클릭의 허점을 이용한 해킹 사기단 등장.
3월 클릭 수를 자동 증가시키는 방법으로 국내 대형 포털 사이트의 정보 검색 순위를 조작한 인터넷 광고 대행업체 대표 이모씨가 업무 방해 등의 혐의로 불구속 입건 2007년 1월 국민은행과 농협의 고객 정보가 대량으로 유출되는 피싱(Phishing) 사건이 발생 2월 8일 공인인증서 유출로 인한 시중 은행 불법 인출 사건이 발생, 2월 11일 한국 시티은행 해킹 사건 등이 발생하는 등 금전적 이익을 노린 해킹이 급증 2009년 7월 7일, 국내 및 미국 주요 사이트에 대한 대량 트레픽을 유발하는 공격이 발생 공격 목표가 다수 (1차 21개, 2차 26개, 3차 14개, 4차 7개 사이트) 국가기관이 공격 대상에 포함 공격에 동원된 좀비 PC가 최소 3~18만대로 추정 과도한 UDP 또는 TCP Syn을 유도하는 공격 유형에서, 좀비 수자를 늘리고 정상접속으로 보이는 슬로우 공격을 감행


Download ppt "정보 보안의 세계 정보 보안 개론 1장."

Similar presentations


Ads by Google