Download presentation
Presentation is loading. Please wait.
1
제13장 정보 보안
2
단원 목표 정보 보안의 중요성과 목표를 이해한다. 정보 보안의 생활화를 위한 정보 보호 수칙을 알아본다.
컴퓨터 바이러스를 이해하고 예방과 제거 방법을 알아본다. 악성 프로그램의 종류와 해킹에 대하여 알아본다. 암호화 기술의 개념을 이해한다. 암호화 기법 중, 비밀키 암호화와 공개키 암호화를 알아보고 차이점을 이해한다. 암호화 기법을 이용한 인증과 전자서명을 알아본다. 인터넷 이용 시 필요한 보안 기술을 알아본다.
3
01. 정보보안 개념
4
정보 보안 개요 문제 발생 장소에 따른 구분 네트워크 상에서의 정상적인 정보 전송
정보보안은 유형, 무형의 정보 생성과 가공, 유통, 배포, 그리고 정보를 사용하는 과정에서 발생하는 여러 부작용에 대처하기 위한 모든 정보 보호 활동을 포괄하는 광의의 개념 문제 발생 장소에 따른 구분 컴퓨터 보안 컴퓨터 자체의 정보를 보호하기 위한 도구들의 모임 네트워크 보안 컴퓨터 사이의 정보 전송의 보안을 위한 도구들의 모임 네트워크 상에서의 정상적인 정보 전송
5
정보 보안 위협의 예: 전송방해, 가로채기 정보 전송 방해(차단) 정보 가로채기(interception)
만일 사용자 A가 발신자로서 목적지에 있는 사용자 B에게 정보를 전송하려 한다고 가정 정보 전송 방해(차단) 사용자 A가 사용자 B에게 정보를 전송할 때 사용자 C가 B와 연결할 수 없도록 하는 데이터 전송 차단(interruption) A와 B 사이에 위치하는 C가 정보를 전송할 수 없다는 메시지를 만들어 A에게 전송하는 경우 정보 가로채기(interception) 사용자 A가 사용자 B와 정보를 주고받고 있는 사이에 사용자 C가 도청하는 경우 이 경우 A와 B에게 중요한 정보가 유출되는 심각한 문제가 발생
6
정보 보안 위협의 예: 정보변조, 정보위조 정보 변조 정보 위조
정보를 전달받는 목적지에 원래의 정보가 전달되지 않는 정보변조와 정보위조 정보 변조 사용자 A가 사용자 B에게 전송할 정보를 사용자 C가 중간에 가로채서 정보의 일부 또는 전부를 변경하여 잘못된 정보를 B에게 전송하는 경우 정보 변조(modification)라 하며, B는 잘못된 정보를 A가 전송한 것으로 오인 가능 정보 위조 사용자 A도 모르게 사용자 C가 사용자 B에게 A가 정보를 전송한 것처럼 위조(fabrication)한 후 B에게 전송하는 경우 위의 정보 변조와 다르게 A가 만들지 않은 정보가 본인도 모르게 B에게 전달
7
정보보안 목표 기본적인 목표 정보보안 요구사항
정보 보호에 대한 요구 사항은 크게 비밀성(confidentiality), 무결성(integrity), 가용성(availability)의 3가지로 구분 기본적인 목표 내부 또는 외부의 침입자에 의해 행해지는 각종 정보의 파괴, 변조 및 유출 등과 같은 정보 범죄로부터 중요한 정보를 보호 정보보안 요구사항 비밀성 비밀성(confidentiality)은 정보의 소유자가 원하는 대로 정보의 비밀이 유지되어야 한다는 원칙 무결성 무결성(integrity)이란 비인가된 자에 의한 정보의 변경, 삭제, 생성 등으로부터 보호하여 정보의 정확성, 완전성을 보장되어야 한다는 원칙 가용성 정보 시스템은 적절한 방법으로 작동되어야 하며, 정당한 방법으로 권한이 주어진 사용자에게 정보 서비스를 거부하여서는 안된다는 것
8
비밀성 정보는 소유자의 인가를 받은 사람만이 접근 가능 접근 통제와 암호화
비밀성(confidentiality)은 정보의 소유자가 원하는 대로 정보의 비밀이 유지되어야 한다는 원칙 정보는 소유자의 인가를 받은 사람만이 접근 가능 인가되지 않은 정보의 공개는 반드시 금지 접근 통제와 암호화 비밀성을 보장하기 위한 메커니즘
9
무결성 무결성을 보장하기 위한 정책 무결성을 통제하기 위한 메커니즘
무결성(integrity)이란 비인가된 자에 의한 정보의 변경, 삭제, 생성 등으로부터 정보의 정확성, 완전성이 보장되어야 한다는 원칙 무결성을 보장하기 위한 정책 정보 변경에 대한 통제뿐만 아니라 오류나 태만 등으로부터의 예방도 포함 무결성을 통제하기 위한 메커니즘 물리적인 통제와 접근 제어 정보가 이미 변경되었거나 변경 위험이 있을 경우 이러한 변경을 탐지하여 복구할 수 있는 메커니즘이 필요
10
정보 보안 서비스 부인방지(nonrepudiation) 접근제어
정보 보안을 위한 서비스로는 기밀성, 인증, 무결성, 부인 방지, 접근제어, 가용성 등 부인방지(nonrepudiation) 송신자와 수신자 두 사람 각각 전송하지 않았다고 주장하거나, 수신하지 않았다고 주장하는 것을 막는 방법 부인 방지 서비스 메시지를 받은 사람은 해당 메시지를 보낸 사람이 누구인지 확인 가능 메시지를 보낸 사람은 자신이 보낸 메시지를 수신자가 받았다는 것을 확인 가능 접근제어 네트워크상에서 호스트 시스템이나 통신 링크에 연결된 응용 프로그램으로의 접근을 제한하거나 조절하는 능력
11
정보 보안의 생활화 우리나라의 「개인정보 보호법」 제2조의 개인정보 개인정보의 구체적인 예
개인정보는 과거의 단순한 신분정보에서 오늘날에는 전자상거래, 고객관리, 금융거래 등 사회의 구성, 유지, 발전을 위한 필수적인 요소로서 기능 우리나라의 「개인정보 보호법」 제2조의 개인정보 ‘살아 있는 개인에 관한 정보로서 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보(해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있다면 이것도 개인정보라 할 수 있다)를 말한다’라고 규정 개인정보는 개인의 신체, 재산, 사회적 지위, 신분 등에 관한 사실, 판단, 평가 등을 나타내는 일체의 모든 정보를 총칭 개인정보의 구체적인 예
12
개인정보 보호 개인정보침해신고센터(privacy.kisa.or.kr)
개인정보는 생활에 편리함을 주고 우리 사회의 경쟁력을 높이는 데 기여하고 있지만 만일 누군가에 의해 악의적으로 오용될 경우, 개인의 안전과 재산에 중대한 손실을 초래 개인정보침해신고센터(privacy.kisa.or.kr) 개인정보민원실, 개인정보분쟁조정 위원회를 소개하며 개인정보 유출통지 절차, 유출 신고 안내 및 기업·공공기관 개인정보 보호 오남용 피해예방 10계명
13
개인정보 보호 수칙 개인정보 보호 실천수칙 암호는 가능한 한 8자리 이상의 영문과 숫자로 만들고, 3개월마다 수정
암호는 늦어도 3개월마다 1회 이상 변경하여 타인이 암호를 알 수 없도록 특히 쉽게 예측되거나 유출될 수 있는 암호 사용은 자제
14
02. 컴퓨터 바이러스
15
컴퓨터 바이러스 개요 컴퓨터 바이러스 정의 컴퓨터 바이러스 감염 증상
컴퓨터 바이러스는 보조 저장장치, 네트워크 공유 등을 통해 전파되거나 전자메일, 다운로드 또는 메신저 프로그램 등을 통해 감염 컴퓨터 바이러스 정의 사용자 몰래 컴퓨터에 들어와 자기 자신 또는 자기 자신의 변형을 복사하는 등의 작업을 통하여 프로그램이나 실행 가능한 부분을 변형하여 컴퓨터의 운영을 방해하는 악성 프로그램 컴퓨터 바이러스 감염 증상 시스템을 부팅할 때 시스템 관련 파일을 찾을 수 없다고 에러메시지가 나오는 경우 윈도우가 실행되지 않는 경우 이유 없이 프로그램 실행속도가 저하되고 시스템이 자주 멈출 경우 PC 사용 중 비정상적인 그림, 메시지, 소리 등이 나타날 경우 사용자 의사와 관계없이 프로그램이 실행되거나 주변장치가 스스로 움직일 경우 특정 폴더(특히 공유 폴더)에 알 수 없는 파일이 생길 경우
16
컴퓨터 바이러스 분류 감염 기종에 따라 분류 IBM-PC 바이러스를 분류하는 방법
디스크의 가장 처음 부분인 부트 섹터(boot sector)에 감염되는 부트 바이러스(boot virus), 일반 프로그램에 감염되는 파일 바이러스(file virus), 부트/파일 바이러스(boot/file virus) 등으로 분류 감염 기종에 따라 분류 애플(Apple) II 바이러스 IBM-PC 바이러스 매킨토시(Macintosh) 바이러스 IBM-PC 바이러스를 분류하는 방법 감염되는 부위에 따라 분류 부트 바이러스(boot virus) 디스크의 가장 처음 부분인 부트 섹터(boot sector)에 감염 파일 바이러스(file virus) 일반 프로그램에 감염 부트/파일 바이러스(boot/file virus) 부트 섹터와 프로그램 모두에 감염
17
컴퓨터 바이러스 예방 다음 사항을 준수 가장 중요한 것은 감염 후 퇴치가 아니라, 바이러스에 감염되지 않도록 미리 예방하는 것
컴퓨터의 보안 업데이트가 자동으로 실행될 수 있도록 설정한다. 백신 프로그램 또는 개인 방화벽 등 보안 프로그램을 설치 운영한다. 불법 복사를 하지 않고 정품만을 사용한다. 중요한 프로그램이나 자료는 수시로 백업(backup)한다. 새로운 프로그램 사용시 항상 1∼2개 정도의 최신 버전 백신 프로그램으로 검사하고, 정기적으로 모든 디스크를 검사한다. 쉐어웨어나 공개 프로그램을 사용할 경우 컴퓨터를 잘 아는 사람이 오랫동안 잘 사용하고 있는 것을 복사하여 사용한다. 새로운 프로그램을 사용할 때는 항상 복수의 최신 버전 백신 프로그램을 사용하여 검사하고, 정기적으로 모든 디스크를 검사한다. 눈에 뛰는 제목의 전자메일을 경계해야 한다. 악성 워드 매크로 바이러스에는 'The most important Thing' 등의 제목이나 자극적인 설명이 따른다. 이런 파일은 바이러스가 감염되어 있을 가능성이 높다.
18
컴퓨터 바이러스 제거 바이러스 제거를 위한 특정 도구 없이 바이러스 제거 프로그램 활용
컴퓨터를 업데이트하고 많은 기업에서 제공하는 무료 평가판 또는 비용이 저렴한 바이러스 백신 도구를 사용하면 바이러스와 같은 원치 않는 소프트웨어 제거 가능 바이러스 제거를 위한 특정 도구 없이 감염된 바이러스를 컴퓨터에서 완전히 제거하는 것은 전문가에게도 어려운 작업 바이러스 제거 프로그램 활용
19
03. 악성 프로그램과 해킹
20
악성 프로그램 악성 프로그램 분류 악성 프로그램은 일반적으로 제작자가 의도적으로 사용자에게 피해를 주고자 만든
프로그램으로 컴퓨터 시스템을 파괴하거나 작업을 지연 또는 방해하는 프로그램 악성 프로그램 분류 웜 실행코드 자체로 번식하는 유형을 말하며 주로 PC상에서 실행 웜과 바이러스는 감염대상을 가지고 있는가와 자체 번식 능력이 있는가에 따라 분류 바이러스의 예방법 자신이 잘 알지 못하는 사람이 보낸 전자메일의 첨부파일은 되도록 열어보지 말고 바로 삭제할 것을 권장 백신프로그램 등으로 컴퓨터 바이러스를 미리 차단하는 것이 중요 트로이목마 해킹 기능을 가지고 있어 인터넷을 통해 감염된 컴퓨터의 정보를 외부로 유출하는 악성 프로그램 이름은 트로이 전쟁 당시 목마 속에 숨어있던 그리스 병사가 트로이를 멸망시킨 것을 비유하여 악성 프로그램이 사용자가 눈치채지 못하게 몰래 숨어든다는 의미 프로그램은 자기 복사 능력이 없음 한 프로그램 내에서만 존재하기 때문에 해당 프로그램만 지워버리면 문제가 간단히 해결
21
해킹 해커 크래커(cracker) 스니핑(sniffing) 스푸핑(spoofing)
해킹(hacking)이란 컴퓨터 통신망을 통하여 사용이 허락되지 않은 다른 컴퓨터에 불법으로 접속하여 정보 또는 파일을 빼내거나, 심지어는 컴퓨터 운영체제나 정상적인 프로그램을 손상시키는 행위 해커 다른 사람의 컴퓨터에 불법으로 침입하여 정보를 빼내서 이익을 취하거나 파일을 없애버리거나 전산망을 마비시키는 악의적 행위를 하는 사람 원래의 의미는 “컴퓨터 시스템 내부구조와 동작 따위에 심취하여 이를 알고자 노력하는 사람으로서 대부분 뛰어난 컴퓨터 및 통신 실력을 가진 사람들" 크래커(cracker) 다른 사람의 컴퓨터에 침입하여 악의적 행위를 하는 사람 스니핑(sniffing) 특수 소프트웨어를 이용해 상대방의 ID, 비밀번호, 메일 등을 가로채는 수법 스푸핑(spoofing) 자기자신의 식별 정보를 속여 다른 대상 시스템을 해킹하는 기법 네트워크상의 공격자는 TCP/IP 프로토콜 상의 취약성을 기반으로 해킹을 시도 자신의 IP주소, DNS 이름, Mac 주소 등의 시스템 정보를 위장하여 감춤으로써 역추적을 어렵게 함
22
ITStory 어나니머스 어나니머스 의미: ‘익명’ 어나니머스(Anonymous)는 전 세계를 무대로 활동하는 해커 집단
그 조직의 구성원은 알려져 있지 않으며, 전 세계적으로 약 3,000명 정도로 추정 사이버 검열과 감시를 반대하는 사회 운동 단체 이러한 행위에 반하는 정부와 단체 또는 기업을 대상으로 인터넷 해킹 공격 비슷한 성격의 고발 전문 사이트인 위키리크스(WikiLeaks)를 지지하는 모임 북한과 사이버전쟁을 벌이겠다고 선포 북한의 정보매체 사이트인 ‘우리민족끼리’ 사이트를 공격한 것으로도 유명 어나니머스 활동 평가는 다양 개인정보를 빼내가는 사례 인터넷상에서 어느 국가에도 편향되지 않고 나름 선의의 인터넷 경찰(?) 표어와 로고 ‘우리는 이름이 없다. 우리는 군단이다. 우리는 용서하지 않는다. 우리는 잊지 않는다. 우리를 맞이하라.’라는 표어를 사용 단체의 익명성을 나타내는 머리가 없는 사람을 표식으로 사용
23
피싱 피싱 다음 요령으로 대처 피싱(phishing)은 개인정보(private data)와 낚시(fishing)의 합성어
은행 또는 전자상거래 업체의 홈페이지와 동일하게 보이는 위장 홈페이지를 만든 후 인터넷 이용자들에게 유명 회사를 사칭하는 전자메일을 보내, 위장 홈페이지에 접속하게 하여 계좌번호, 주민등록번호 등의 개인정보를 입력하도록 유도하고 이를 이용해 금융사기를 일으키는 신종 사기 수법 다음 요령으로 대처 은행, 카드사 등에 직접 전화를 걸어 이메일이 안내하는 사항이 사실인지를 확인 이메일에 링크된 주소를 바로 클릭하지 말고, 해당은행, 카드사 등의 홈페이지 주소를 인터넷 주소창에 직접 입력하여 접속 출처가 의심스러운 사이트에서 경품에 당첨되었음을 알리는 경우 직접 전화를 걸어 사실인지를 확인 사실인 경우에도 가급적이면 중요한 개인정보는 제공하지 않음 의심되는 메일을 받았을 경우 해당 은행, 카드사, 쇼핑몰 및 은행, 신용카드, 현금카드 등의 내역이 정확한지 정기적으로 확인
24
스파이웨어 스파이웨어 정의 컴퓨터에 다음과 같은 증상이 나타난다면 스파이웨어가 있는지 점검
스파이와 악성 프로그램인 소프트웨어의 합성어 스파이웨어 정의 컴퓨터 이용자 모르게 또는 동의 없이 설치되어 컴퓨터 사용에 불편을 끼치거나 정보를 가로채가는 악성 프로그램 컴퓨터에 다음과 같은 증상이 나타난다면 스파이웨어가 있는지 점검 웹 브라우저의 홈페이지 설정이나 즐겨찾기 등이 변경되는 경우 원하지 않는 광고창이 뜨거나 성인사이트로 접속되는 경우 이용자가 프로그램을 삭제하거나 종료할 수 없는 경우
25
DOS와 DDOS 도스(DOS) 디도스(DDOS) DOS와 DDOS 차이
Denial of Service인 서비스 거부의 약자 디도스(DDOS) Distribute Denial of Service인 분산서비스 거부의 약자로 디도스라고 부름 좀비 PC의 공격으로 서버의 네트워크 성능을 저하시키거나 시스템을 마비시켜 서버의 서비스를 거부시키는 공격 DOS와 DDOS 차이 결국 Dos와 DDos는 하나의 악의적인 시스템이 직접 서버를 공격하느냐, 아니면 분산되어 있는 여러 시스템을 좀비로 만들어 공격하게 하느냐에 따라 구분
26
DDOS와 좀비 PC 좀비(zombi) PC 악성 프로그램인 봇(bot)
서버에 장애를 일으키도록 하는 행위 악성 프로그램인 봇(bot) PC의 사용자도 모르게 악성코드나 이메일 등을 통해 봇에 감염되어 일명 좀비 PC가 됨
27
랜섬웨어 개요 랜섬웨어(ransomware) 컴퓨터나 파일의 접근이 제한되기 때문에 암호를 풀어 제한을 없애려면
해당 악성 프로그램을 개발한 자에게 비트코인 등의 가상화폐로 지불을 강요 받음 랜섬웨어(ransomware) 몸값(ransom)과 소프트웨어(software)의 합성어 사용자의 동의 없이 시스템을 잠그거나 데이터를 암호화시켜 컴퓨터나 파일을 사용할 수 없도록 한 후 암호화를 풀어주는 대가로 금전(몸값)을 요구하는 악성 프로그램 금전을 요구하니 바이러스계의 강도인 셈
28
랜섬웨어 증상과 예방 평소 문제없이 열렸던 문서, 사진, 그림, 음악, 동영상 파일들 중 일부 혹은 전체가 읽을 수 없게 되거나 열리지 않는 현상이 발생 증상 파일의 이름과 확장자가 바뀌거나 파일 확장자 뒤에 특정 확장자가 추가 확장자가 사라지는 경우 운영체제로 부팅이 되지 않고 랜섬웨어 감염 사실 및 금전 요구 화면 랜섬웨어 방지하 ① 사용하는 PC의 운영체제 및 각종 SW의 보안 패치를 항상 최신으로 업데이트 ② 백신을 설치하고, 항상 최선 버전으로 업데이트 ③ 출처가 불명확한 이 메일은 확인하지 말고 URL 링크는 접속하지 않음 ④ 파일 공유 사이트 등에서 다운로드하지 말고 ⑤ 파일을 정기적으로 백업해두는 것이 랜섬웨어를 예방할 수 있는 가장 최선의 방법
29
랜섬웨어 감염 조치 경찰청 사이버 안전국(cyberbureau.police.go.kr) 권고
금전을 지불하는 선택은 가급적 피하도록, 한번 금전을 지불한 피해자는 공격자에게 손쉬운 대상으로 인식되어 복호화 키를 제공받더라도 또 다른 범죄행위를 위한 대상이 될 수 있기 때문 경찰청 사이버 안전국(cyberbureau.police.go.kr) 권고 외장하드나 공유폴더도 함께 암호화 되므로 신속히 연결 차단 인터넷선과 PC 전원 차단 PC의 하드디스크를 분리하여 암호화가 되지 않은 파일은 백업 증거 보존 상태에서 신속하게 경찰에 신고 증거조사 후 하드디스크는 분리하여 전문 보안업체를 통해 치료 요청 감염된 PC는 포맷 후 백신 등 주요 프로그램 최신버전 설치 후 사용 평소 해킹 상담이나 피해 신고, 원격 점검 등은 한국인터넷진흥원(인터넷침해대응 센터, 및 전화 118)에서 서비스 제공 랜섬웨어에 감염되어 금전 요구를 받게 되면 당황하게 되고, 암호화된 시스템에 급한 파일이 있다면 난감 한국인터넷진흥원뿐만 아니라 전 세계적으로도 랜섬웨어 감염 시 공 격자에게 복호화 비용을 지불하지 않도록 권장 현실적으로 복구가 어려우며, 극히 일부의 랜섬웨어만 복구가 가능 참고 사이트 인터넷진흥원의 보호나라의 랜섬웨어 복구도구 노모어랜섬(
30
스미싱 정의 스미싱을 예방 스미싱(smishing)은 문자메시지(SMS)와 피싱(Phishing)의 합성어
‘무료쿠폰 제공’, ‘돌잔치 초대장’ 등을 내용으로 하는 문자메시지 내에 링크된 인터넷주소를 클릭하면 악성코드가 설치 피해자가 모르는 사이에 소액결제가 되는 피해가 발생하거나 스마트폰에 저장된 주소록 연락처, 사진(주민등록증·보안카드 사본), 공인인증서와 같은 중요한 개인정보 등이 빠져나가는 신종 수법 스미싱을 예방 출처가 확인되지 않은 문자메시지의 인터넷주소를 연결하지 말고 스마트폰에 미확인 앱이 설치되지 않도록 보안설정을 강화
31
파밍 파밍(pharming)은 이용자 PC를 악성코드에 감염시켜 금융회사 등의 정상 홈페이지 주소로 접속해도 이용자 모르게 가짜 사이트로 유도하여 개인 금융정보 등을 몰래 탈취해가는 수법 파밍을 예방 일회용 비밀번호생성기인 OTP(One Time Password)를 사용하고 컴퓨터나 이메일에 공인인증서, 보안카드 사진, 비밀번호를 저장하지 말기 접속한 사이트 주소의 정상 여부를 항상 확인하며, 요구하더라도 보안카드 번호 전부를 입력하는 일은 절대 하지 말도록 파밍으로 피해금이 발생 경찰서(신고전화 112)나 금융감독원(민원상담 1332)을 통해 지급정지 요청을 한 후, 파밍 피해 내용을 신고하여 ‘사건사고 사실확인원’을 발급 받아 해당 은행에 제출하여 피해금 환급 신청
32
04. 암호화 기술
33
암호화 개요 용어 암호화 과정 정보 보호 서비스를 위한 기본적인 방법이 암호 기법이며, 현재 정보 사회에서
상업적으로 이용되면서 인터넷 뱅킹 등 인터넷 상에서의 비즈니스 업무에 적극 이용 용어 암호(cryptography) 평문을 해독 불가능한 형태로 변형하거나 암호화된 통신문을 해독 가능한 형태로 변환하기 위한 원리, 수단, 방법 등을 취급하는 기술 암호학(cryptology) 암호와 암호 해독을 연구하는 학문 평문(plain text) 암호화의 입력이 되는 원문 메시지 암호문(cipher text) 평문을 읽을 수 없는 메시지로 암호화(encryption) 복호화(decryption) 반대로, 암호문에서 평문으로 변환 암호화 과정 키 키는 평문과는 무관한 값이고 알고리즘은 사용된 키에 따라 다른 출력 암호화의 한 예 원문의 각 문자에 임의의 숫자 13을 더하는 것 키: 13
34
암호화 기법 분류 첫째 둘째 셋째 암호화 기법은 일반적으로 세 가지 형태로 분류
첫째 암호화 알고리즘은 두 개의 일반적인 원리, 즉 평문의 각 원소를 다른 원소에 대응시키는 대체(substitution)와 평문의 원소들을 재배열하는 치환(transposition)을 기본 둘째 사용된 키의 개수에 따라 분류 송신자와 수신자가 같은 키를 사용하면 대칭키(symmetric-key), 혹은 비밀키(secret-key) 암호화라 하고, 다른 키를 사용하면 비대칭키(asymmetric), 혹은 공개키(public-key) 암호화 셋째 암호화하는 방법으로 스트림(stream) 암호와 블록(block) 암호로 구별 스트림 암호란 연속적으로 글자를 입력해서 연속적으로 출력하는 방법 블록 암호란 한 블록씩 동시에 암호화하여 입력 블록에 대하여 출력 블록을 만드는 것 보통 사용되는 블록의 크기는 64비트 블록 암호는 스트림 암호와 같은 정도의 효과
35
비밀키 암호화 대칭키 암호화, 혹은 비밀키 암호화 단점
암호화 시스템은 처음 생긴 이래로 주로 허가 받지 않은 제삼자가 메시지를 읽는 것을 막기 위해 메시지를 암호화하거나 복호화하는 데에 사용 대칭키 암호화, 혹은 비밀키 암호화 보내는 사람과 받는 사람이 같은 키를 가지고 있는 경우 단점 통신하는 두 당사자가 서로 같은 키를 가지고 있어야 하므로 n 명의 상대방이 있는 경우 n 개의 비밀키가 있어야 함. 만약 여러 상대방에게 같은 키를 사용한다면 그들은 서로의 메시지를 읽을 수 있게 됨 부인방지를 막을 수 없음 송신자와 수신자를 증명할 수 있는 인증을 할 수 없음 A와 B가 같은 키를 가지고 있을 때 그 두 사람이 메시지를 만들고 암호화한 다음, 서로 다른 사람이 그 메시지를 보냈다고 주장할 수 있음
36
DES 알고리즘 DES(DATA Encryption Standard) 컴퓨터의 발달에 따라 DES의 안전성이 불충분
DES(Data Encryption Standard)는 원래 루시퍼(Lucifer)로 알려진 IBM에서 개발된 것을 암호 알고리즘으로 수정한 것으로서 전 세계적으로 가장 잘 알려져서 널리 이용 DES(DATA Encryption Standard) 1973년 미국국립표준국 NBS(National Bureau of Standards)가 국가암호표준을 위한 방법을 공모했을 때 IBM이 이 연구결과를 제출하여 가장 좋은 알고리즘으로 인정을 받아 1977년에 암호 표준으로 채택 DES 알고리즘은 비밀키 암호화 알고리즘 중 가장 널리 사용되고 있는 알고리즘 DES에서는 56비트의 키를 사용하여 64비트 자료를 블록 암호화 DES 알고리즘은 64비트의 입력을 64비트의 출력으로 변환 컴퓨터의 발달에 따라 DES의 안전성이 불충분 미국국립표준기술연구소(NIST: National Institute of Standards and Technology)가 차세대 표준 암호 방식으로 개발한 것이 AES(Advanced Encryption Standard) AES 요구 규격은 데이터 블록 길이가 128비트이고, 키의 길이는 128비트, 192비트, 256비트의 3종류
37
공개키 암호화 1976년 디피(Diffie)와 헬만(Hellman)에 의해 제안된 공개키 암호기법의 개념을 이용하면, 키에 관한 정보를 공개함으로써 키 관리의 어려움을 해결하고자 하는 방식 개념 두 개의 분리된 키를 사용하는 비대칭적 암호화 공개키는 공개하고 비공개키만 안전하게 유지하는 방식 공개키(public key) 암호화할 때 사용하는 키 비공개키(private key) 복호화할 때 사용하는 키 공개키 암호화 과정 비밀 메시지를 전달하기 위해 A는 먼저 D의 공개키를 얻음 그러면 A는 D의 공개키를 사용하여 메시지를 암호화하여 D에게 보냄 그 메시지는 D의 공개키로 암호화되었기 때문에 단지 D의 비공개키를 가지고 있는 사람인 D만이 메시지를 복호화 가능
38
디지털 서명 디지털 서명(Digital Signature) 기밀서류인 경우 다음 방법으로 메시지를 전달
인터넷 상에서 정보를 전송할 때 비공개키로 디지털 서명을 사용하는 것은 종이서류에 서명하는 것과 유사 디지털 서명(Digital Signature) A가 B에게 메시지를 보낼 때 A의 비공개키로 암호화하면 B는 A의 공개키로 이를 해독 A의 공개키로 해독이 가능하다면, 이 암호문은 A의 비공개키로 암호화한 것임이 틀림없으므로, A가 보낸 것임을 확신 기밀성이 보장되지 않음 기밀서류인 경우 다음 방법으로 메시지를 전달 송신자의 비공개키로 암호화하고 디지털 서명을 보장하고, 수신자의 공개키로 다시 암호화 이 메시지가 수신자에게 전달 이 마지막 암호문은 수신자만이 수신자의 비공개키로 해독하고, 다시 송신자의 공개키로 해독할 수 있으므로 수신자의 메시지를 확인 가능 그러므로 기밀성이 보장 이 방법은 복잡한 공개키 알고리즘에서 네 번의 단계를 거쳐야 하는 단점
39
공개키 암호 기법의 특징 공개키 암호기법의 장점 공개키 암호기법의 단점 RSA
공개키 암호기법의 주요 장점으로 안전성은 물론 편의성이 대폭 개선되었다는 점과 메시지 내용 또는 발신원에 대한 부인을 방지할 수 있는 전자 서명(digital signature) 기능을 제공 공개키 암호기법의 장점 공개키 암호기법의 단점 암호화의 처리속도가 비밀키 기법에 비하여 비교적 느리다는 것 비록 사용자의 비공개키 자체를 이용할 수 없다 할지라도 위장(impersonate) 공격에 취약 RSA 1977년 미국 매사추세츠 공과 대학(MIT)의 리베스트(R. Rivest), 샤미르(A. Shamir), 아델먼(L. Adelman)이 만든 공개키 암호 방식의 암호화 기법 세 사람 성의 머리글자를 따서 이름
40
인증 인증(authentication) 사용자 인증 메시지 인증
암호 시스템을 이용한 인증은 정보 보안의 중요한 역할을 하며, 인터넷상에서 행해지는 전자상거래에 있어서 보안 문제의 해결을 위해서는 암호기술을 이용한 인증이 매우 중요한 역할을 담당 인증(authentication) 정보의 교류 속에서 전송 받은 정보의 내용이 변조 또는 삭제되지 않았는지와 주체가 되는 송/수신자가 정당한지를 확인하는 방법 단방향/쌍방향 인증 인증의 유형은 통신 상대방 한쪽에 대해서만 인증을 하는 단방향 인증 통신 상대방 서로에 대하여 쌍방향으로 인증을 행하는 상호인증으로 분류 사용자 인증 사용자가 터미널을 통해 컴퓨터 시스템에 들어가기를 원하거나 또는 정보의 전송에서 필요한 송/수신자, 이용자, 관리자들이 자신이 신분을 증명하기 위한 방법 메시지 인증 전송되는 메시지의 내용이 변경이나 수정이 되지 않고 본래의 정보를 그대로 가지고 있다는 것을 확인하는 과정
41
전자 서명 전자서명 개요 전자서명 특징 전자서명은 사이버 세상에서 거래를 증명하거나 신원확인이 필요할 때,
사용자 인증, 메시지 인증에 사용되고, 데이터 무결성을 제공 전자서명 개요 현재 사용되고 있는 도장이나 사인을 전자정보로 구현한 것으로 업무의 안전성을 보증하기 위하여 전자문서에 전자식 방식으로 서명 인터넷 상에서 신원을 확인하는 방법 전자서명 특징 전자서명은 유일. 전자서명은 전자문서 자체에 첨부되어 있기 때문에 절취하여 다른 문서에 첨부 할 수 없음. 자필로 하는 서명은 시간이 흐름에 따라 변할 수 있지만 비공개키가 같은 전자서명은 항상 변하지 않음.
42
공인 인증 한국의 공인인증기관 전자서명을 안전하고 신뢰성 있게 이용할 수 있는 환경을 조성하고 공인인증기관을 효율적으로
관리하기 위하여 전자서명인증관리센터를 설치 운영 한국의 공인인증기관 현재 미래창조과학부가 지정 한국정보인증·코스콤·금융결제원·한국전자인증·한국무역정보통신 등 5곳
43
공인인증서 공인인증서 개요 사용 방법 공인인증서에는 인증서 버전, 인증서 일련번호, 인증서 유효 기간, 발급기관 이름,
가입자의 전자서명 검증정보, 가입자 이름 및 신원 확인정보, 전자서명 방식 등이 포함 공인인증서 개요 인터넷 상에서 여러 활동을 할 때 신원을 확인하고 문서의 위조와 변조, 거래 사실의 부인 방지 등을 목적으로 공인인증기관(CA : Certificate Authority)이 발행하는 전자적 정보로서 일종의 사이버 거래용 인감증명서 사용 방법 인터넷 뱅킹이나 인터넷 쇼핑을 할 때 비밀키를 암호화한 패스워드만 입력하면 자동으로 전자서명이 생성되어 공인인증서와 함께 첨부되어 인증이 가능
44
05. 인터넷 보안
45
전자메일 보안 필요성 전자메일 보안 기능 전자우편이 전자상거래 등 개인의 중요 정보를 전송하는 시스템에 응용될 것을
감안한다면 이러한 전자우편의 보안상의 문제는 더 이상 간과할 수 없음 필요성 컴퓨터의 사용자가 만약 불순한 의도를 가진다면 전자우편의 내용을 도청할 수 있고, 심지어는 내용을 변경하여 전송하거나 전송 자체를 가로막을 수 있음. 수신자가 이러한 공격 즉, 도청, 내용의 변경, 전송 방해 등을 감지할 수 없다는 것 전자메일 보안 기능 기밀성(confidentiality): 수신자로 지정된 사용자만이 전자우편의 내용을 읽을 수 있게 함으로써 네트워크상의 공격자가 내용을 도청하지 못하도록 하는 기능 사용자 인증(user authentication): 전자우편의 송신자로 되어 있는 사용자가 실제로 보낸 것인지를확인해 주는 기능으로 공격자가 신원을 위장하여 전자우편을 보낼 수 없게 하는 기능 메시지 인증(message authentication): 송신자가 송신할 때의 전자우편의 내용과 수신자가 수신할 때의 내용이 일치하는지를 확인해주는 기능 송신 부인 방지(non-repudiation of origin): 송신자가 전자우편을 송신한 후, 송신 사실을 부인하지 못하도록 하는 기능 수신 부인 방지 (non-repudiation of receipt): 수신자가 전자우편을 수신한 후, 수신 사실을 부인하지 못하게 하는 기능 재전송 공격방지(replay attack prevention): 송신자와 수신자 사이에서 제3자가 전자우편을 가로채어 똑같은 메시지를 계속 수신자에게 전송하는 행위를 막는 기능
46
PGP와 S/MIME PGP S/MIME 전자우편의 보안 방법으로 PGP와 S/MIME 방법
Pretty Good Privacy 필 짐머만(Phil Zimmermann)이 제작한 전자우편을 위한 암호 도구 PGP가 제공해 주는 보안 기능 기밀성, 사용자 인증, 메시지 인증 및 송신부인 방지 PGP를 다른 암호화 도구와 구별해 주는 가장 큰 특징 공개키 인증으로서 공개키인증에 대한 권한이 모든 사용자에게 주어져 있다는 것 S/MIME Secure Multipurpose Internet Mail extension RSA 데이터 보안 회사(RSA Data Security, Inc.)에서 제작한 도구 현재 익스플로러(Explorer) 등의 메일 프로그램에서 지원 S/MIME에서 지원하는 보안 요구사항 기밀성, 메시지 인증, 송신 부인 방지 및 사용자 인증 등
47
웹 보안 WWW는 기본적으로 안전하지 않다는 개념에서 출발 S-HTTP(Secure HTTP)
인터넷을 통해 전송되는 사용자의 중요한 정보의 양이 급격히 증가 WWW는 기본적으로 안전하지 않다는 개념에서 출발 WWW 서비스를 지원하는 인터넷 자체가 개방성을 바탕으로 설계된 TCP/IP를 사용 웹은 기본적으로 인터넷과 TCP/IP 인트라넷상에서의 클라이언트/서버 응용 프로그램 웹은 컴퓨터와 네트워크보안에서 다루지 않은 새로운 보안의 위협에 직면 인터넷과 TCP/IP 인트라넷상에서의 클라이언트/서버 응용 프로그램이므로 S-HTTP(Secure HTTP) 1994년 미국의 EIT(Enterprise Integration Technologies) 사에서 HTTP 보안 요소를 첨가한 웹 보안 프로토콜로서 범용으로 사용될 수 있도록 설계 SSL(Secure Socket Layer) 넷스케이프사에서 개발한 웹 보안 프로토콜로서 응용 계층과 TCP/IP 사이에 위치
48
방화벽 침입차단시스템 장점 방화벽 시스템을 사용하는 일반적인 이유 초크(choke) 점 방화벽의 취약점
방화벽(firewall)이란 외부 네트워크에 연결된 내부 네트워크를 외부의 불법적인 사용자의 침입으로부터 안전하게 보호하기 위한 정책 및 이를 지원하는 하드웨어 및 소프트웨어를 총칭 침입차단시스템 장점 호스트의 전체적인 정보 보호를 동시에 강화 정보 보호 정책을 효율적으로 시행 가능 정보 보호 및 통제가 한 곳에서 가능 방화벽 시스템을 사용하는 일반적인 이유 내부망은 정보 보호상 안전하지 못한 서비스에 노출 NFS(Network File System)나 NIS(Network Information Service) 등 네트워크 상의 다른 호스트로부터 공격당 할 가능성이 높기 때문 초크(choke) 점 IP를 속이는 여러 형태의 공격으로부터 보호하는 부분 하나의 초크 점의 사용은 보안 관리를 간단하게 방화벽의 취약점 네트워크의 자원이나 정보들을 완벽하게 불법 침입자로부터 보호할 수는 없으며 외부 네트워크에서 내부 네트워크로의 진입을 1차로 방어해 주는 기능만을 수행
49
방화벽 동작 원리 초크 점 네트워크 계층과 전송 계층에서도 동작 종류
방화벽의 주요 목적은 네트워크를 보호하는 것, 즉 네트워크를 보호하는 것은 중요한 데이터에 정당하지 않은 사용자가 접근하는 것을 막고, 정당한 사용자가 네트워크 자원에 방해 없이 접근 초크 점 응용 레벨의 네트워크 트래픽을 검사하여 거절하는 초크 점(choke point)으로서 동작 네트워크 계층과 전송 계층에서도 동작 들어오고 나가는 패킷의 IP와 TCP 헤더를 검사하여 프로그램된 패킷 필터 규칙에 따라 패킷을 통과시키거나 거절 종류 패킷 필터링(packet filtering) 기법 응용 게이트웨이(application gateway) 방식
50
06. 정보 윤리
51
정보 윤리 개념 ICT(Information Communication and Technology)의 발달
정보 윤리란 ‘지식정보사회를 살아가는 구성원으로서 갖추어야 할 바람직한 가치관과 행동양식을 심어주는 윤리적 원리와 도덕규범’ ICT(Information Communication and Technology)의 발달 순기능 정치, 경제, 사회, 문화 등 사회 전체에 영향을 끼쳐 하루가 다르게 우리 삶의 모습을 변화 정보화의 역기능 개인정보침해, 저작권 위반, 사이버폭력, 사이버 성매매, 인터넷 중독, 유해 정보 유통, 인터넷 사기, 계층갈등, 사이버 파괴 등의 문제점들이 등장 이러한 문제점을 해결하기 위해서는 법과 제도도 필요하지만 사회를 구성하는 구성원 개개인이 정보화의 역기능을 치유하고 그 문제점을 예방하려는 노력도 필요 정보 윤리 함양의 필요 정보화 발달에 따라 기존의 윤리만으로는 날로 다양해지고 복잡해지는 사이버 공간에서의 문제들을 해결하는 데 많은 한계점 기존 윤리 이론들을 정보화의 특성을 고려하여 신중하게 적용하는 정보 윤리의 함양이 절실히 필요
52
정보 윤리 원칙 존중 책임 자율 정의 정보 윤리 원칙을 살펴보면 존중, 책임, 자율, 정의 등을 들 수 있음
사이버 상에서 자신 및 타인을 존중하는 것 자신 및 타인의 개인 정보를 소중히 여기고 함부로 다루지 않는 것 타인의 명예를 훼손하거나 이유 없이 타인을 비방하는 행동을 하지 말아야 책임 사이버 상에서 이루어지는 자신의 행동에 책임의식을 가지는 것 프로그램 불법 복제 및 유통을 하지 않으며, 저작권을 보호하고 음란물 및 허위 정보를 유통하지 않으며 인터넷 사용자로서 정직한 자세를 가지는 것을 의미 자율 건전한 네티즌의 자세를 갖는 것을 의미 정보통신 기술의 노예로 전락하게 되는 인터넷, 음란물, 쇼핑, 도박 중독에 빠지지 않고 건전한 인터넷 언어를 사용하며, 민주적인 의사표현과 사회 참여 정의 인터넷을 통해 공정하고, 타인을 배려하는 행동을 하는 것 차별이나 소외 없는 평등한 정보사회를 건설하고, 정보 소외계층을 배려하고 이들의 권익을 위 해 적극적으로 행동하는 것을 의미
53
정보화의 역기능: 개인정보 유출 개인 정보의 유출의 문제
유출된 개인정보인 이름·전화번호·이메일주소·아이디·비밀번호·주민등록번호·신용카드번호 등은 스팸메일 등에 이용되거나 최악의 경우, 각종 피싱과 보이스 피싱 등에 악용될 수 있는 상황 개인 정보의 유출의 문제 해당 개인에게 생명 및 신체의 위협뿐만 아니라 재산상의 손실을 비롯한 개인에 대한 편견과 명예훼손 등을 초래할 수 있고 이로 인해 신용 저하 등 다양한 불이익을 받을 수 있으며 범죄에 악용
54
정보화의 역기능: 사이버 폭력 정의 사이버 폭력 유형
인터넷이나 SNS 공간에서 발생하는 각종 사이버 범죄의 일종으로 블로그, 트위터 등의 가상 공간에서 다른 사람에게 피해를 입히는 모든 행위를 사이버 폭력 정의 특정인을 대상으로 악의적 목적으로 정보기술을 이용하거나 가상공간을 활용하여 고의적, 반복적으로 수행하는 적대적인 행위 보다 폭력적이 되는 경향 특히 익명성이 보장되는 인터넷 사이트에서는 자신의 행위에 대한 죄책감이 사라져 일반인들도 군중 심리에 싸여 사이버 폭력을 자행하는 경우가 많으며, 그런 행동이 범죄임을 의식하지 못함 사이버 공간의 특수성 사이버 폭력은 쉽게 확산되며, 거의 영구적으로 기록이 남아서 피해자에게 지울 수 없는 아픔을 줌 사이버 폭력 유형 사이버 언어폭력, 사이버 명예훼손 사이버 스토킹, 사이버 성폭력, 신산정보 유출, 사이버 왕따 등
55
사이버 폭력 유형과 원인 네티즌 개개인 스스로가 인격적 존재로서 주인의식과 함께 상대를 배려하는 자세를 가지고 밝고 아름다운 사이버 공간을 함께 만들어 가는 것
56
정보화의 역기능: 저작물의 무단 배포 저작물 무단 배포의 문제 2014년에 미국 유명 드라마의 한글 자막 번역 저작권법은 복잡
저작물의 사용과 저장, 관리 또는 배포는 좀 더 엄격하게 정보 윤리를 적용하여 저작물 관리에 주의할 필요 저작물 무단 배포의 문제 한류의 주류를 이끄는 가요나 드라마와 같은 콘텐츠에서 발생하는 실제 수익은 콘텐츠의 불법 유통으로 그 열기만큼 크지 않다고 함 미국 드라마를 비롯한 영국이나 일본 등에서 제작된 영화나 드라마가 토렌트와 같은 다양한 배포 방법으로 국내에서 무단으로 배포되고 있는 것이 현실 2014년에 미국 유명 드라마의 한글 자막 번역 자막을 한글로 번역해 불법 배포한 혐의로 네티즌을 집단 고소하는 일이 발생 영상저작물인 원저작물의 제작자 허가 없이 드라마의 자막인 특수저작물을 무단 배포하는 일은 분명 저작권법에 위배 저작권법은 복잡 상황에 따라서 위법인 사실을 모를 수 있음 매우 어려운 법리적 해석
57
ITStory 저작권법에서의 저작물(2014년 7월 1일 시행)
저작권법은 저작자의 권리와 이에 인접하는 권리를 보호하고 저작물의 공정한 이용을 도모함으로써 문화 및 관련 산업의 향상발전에 이바지함을 목적으로 하는 법 다양한 저작물 종류 어문저작물: 소설·시·논문·강연·연설·각본 연극저작물: 연극 및 무용·무언극 등 미술저작물: 회화·서예·조각·판화·공예·응용미술저작물 등 건축저작물: 건축물·건축을 위한 모형 및 설계도서 등 도형저작물: 지도·도표·설계도·약도·모형 등 컴퓨터프로그램저작물, 음악저작물, 사진저작물, 영상저작물 2차 및 편집 저작물 2차적 저작물 원저작물을 번역·편곡·변형·각색·영상제작 그 밖의 방법으로 작성한 창작물을 말하여 독자적인 저작물로서 보호 편집 저작물 저작물이나 부호·문자·음·영상 그 밖의 형태를 띤 자료의 집합물을 말하며, 그 소재의 선택·배열 또는 구성에 창작성이 있는 것
58
Thank you
Similar presentations