주요 토픽 정리 151~180 [보안]

 

토픽	키워드	두음신공	주요 내용
방화벽			(기능) 접근제어(패킷 필터링), 사용자 인증, 감사 및 로그, 주소변환(NAT), 암호화(VPN) (한계) 침입 알람 기능 없음, DDoS 공격 취약, 정상적 포트 사용 공격 차단 불가, 내부 사용자 보안 침해에 취약
FALCON(Firewall selection ALgorithm for policy CONtrol)	방화벽 정책 분배 알고리즘		(정의) 통합보안관리시스템(ISMS)의 방화벽 정책 분배를 위한 알고리즘, 출발지/목적지 주소 정보 바탕으로 FWset에 정책 분배 (구성요소) . ISM 서버 : 방화벽 구성정보 / 방화벽 인접행렬 : 방화벽간 연결관계 테이블 . FWsrc : 출발지 호스트/ 네트워크를 제어하는 방화벽 / FWdst : 목적지 호스트/네트워크를 제어하는 방화벽 . FWset : FALCON에 의해 선택된 출발지에서 목적지로의 경로상 위치한 방화벽 집합
웹 방화벽(WAF)	요청 검사, 응답 확인, 클로킹	요응클	(정의) L7 계층 분석 기술을 바탕으로 특화된 검사 엔진을 탑재해 IDS나 IPS가 탐지할 수 없는 웹 관련 공격을 방어하는 방화벽 (기존 솔루션 한계) 방화벽 : 웹 프로토콜 제어 불가, IDS/IPS : SSL통신 검사 불가 (기능) 클라이언트 요청 검사(SQL injection, XSS 차단), 웹 서버 응답 확인(웹 변조, 정보 유출 차단), 클로킹(서버존 가상화로 서버 위치 및 정보 숨김) (도입 고려 사항) Throughput, TPS(Transaction per sec), Latency, Bypass, Health check, 안정성
IDS(Intrusion Detect System)	실시간 침입 탐지, 오용/이상		(정의) 실시간 침입 탐지 시스템 (탐지 방법) 시그니처 기반 오용(misuse) 탐지, 프로파일/행위/통계 기반 이상(anomaly) 탐지 (유형) NIDS(네트워크 기반), HIDS(호스트 기반)
IPS(Intrusion Protection System)	침입 차단		(정의) 공격 탐지 후 자동 차단하는 침입 차단 시스템 (유형) NIPS(네트워크 기반), HIPS(호스트 기반)
DPI(Data Packet Inspection)	심층 패킷 검사		(정의) 네트워크 트래픽을 통제, 모니터링하기 위한 심층 패킷 검사 기술 (주요 이용 목적) 네트워크 보안/관리, 콘텐츠 규제, 저작권 보호, 맞춤형 광고 제공, 악용 가능성 존재 (DPI 이용한 보안) . 세션 관리(7계층 내용 분석하여 세션 관리), 모든 계층 프로토콜 검사(IDS 우회 공격 탐지), 패킷 재조합(공격자가 우회를 위해 임의 분할) * FPGA나 ASIC 이용하여 DPI 구현 * SPI(Shallow Packet Inspection) : 1~4계층 분석, 방화벽
NBA(Network Behavior Analysis)	IPS 핵심 모듈		(정의) 시그니처 기반 분석의 GAP을 메우기 위한 솔루션, IPS 핵심 모듈 (요소 기술) 통계적 기법(Threshold에 의한 판단), 규칙 기반(관리자 지식), 트래픽 행위 패턴 기반(baseline 패턴 비교), 서비스 스푸핑 기반(미사용 IP로 향하는 트래픽) * 제로데이 공격 대응
NAC(Network Access Control)	단말 보안	인정격치강	(정의) 접속 단말 보안에 대한 모니터링 및 적용 솔루션 (기능) 인증(IEEE 802.1x, DHCP), 정책 점검(OS 패치, Anti-virus), 격리(접근제한), 치료(SW 삭제, 패치 적용), 강제(우회경로차단)
DLP(Data Loss Prevention)	데이터 유출 방지 솔루션	관데네엔, 접암필활	(정의) 데이터 유출 방지 솔루션 (구성요소) DLP 관리자, DLP 데이터센터, DLP 네트워크, DLP 엔드포인트 (기술요소) 접근제어(RBAC), 암호화(3DES, AES, RSA), 필터링(트래픽, 콘텐츠), 활동감시(사전, 사후)
UTMS(Unified Threat Mgmt System)	각 보안 솔루션 통합		(정의) 방화벽, IPS, VPN, Anti-virus, Anti-Spam, 콘텐츠 필터링 등 각 모듈을 유기적으로 통합한 통합보안관리시스템 (단점) SPOF, 회사 전체 보안 위험 발생 (UTM2. 0) 가상화, 내용 기반, 실시간/지속적 개선, 변화 대응 유연
ESM(Enterprise Security Mgmt)	일관된 보안 정책하게 통합 관리	MAL콘	(정의) 방화벽, IDS, IPS, VPN 등 기업 내 보안 시스템을 일관된 보안 정책하에 통합 관리하기 위한 솔루션 (구성요소) ESM Manager, ESM Agent, ESM Log Repository, ESM 관리 콘솔(일관된 사용자 인터페이스)
RMS(Risk Mgmt System)	ESM+관리적 보안(위험관리)		(정의) 기업 경영/전략 및 정보시스템의 위험요소를 분석/관리하는 전사 보안 솔루션, 기존 ESM 기능을 위험관리영역으로 확대 (구성요소) 정책 관리, 자산 위험식별, 모니터링/자원 Rule 관리, 실시간 모니터링
SIEM(Security Information and Event Mgmt)	지능적 위협 조기 경고, 로그 관리/분석, 상관분석/포렌식		(정의) 단순한 로그 수집/분석이 아닌 상관분석과 포렌식 기능을 제공해주는 지능적 위협에 대한 조기 경고 모니터링 체계, 기존 ESM 역할을 보안 영역에서 기업 전반으로 확대 (배경) 매일 생성되는 빅데이터급 로그 증가로 인해 효율적인 로그 관리 및 분석 필요 (주요 기능) . 로그관리 : 이벤트 수집(여러 시스템 이벤트 수집), 무결성 관리 . 로그분석 : 상관분석(규칙기반 상관 분석), 포렌식 지원(포렌식 및 워크플로우 툴 제공) . 보안 : 외부공격탐지, 내부위협탐지
VPN	터널링		(정의) 터널링 기술을 이용한 가상 사설망 (종류) 2계층(PPTP, L2TP), 2~3계층(MPLS VPN) 3계층(IPSEC), 4~7계층(SSL VPN), 5계층(SOCKET V5)
IPSec(Internet Protocol Security)	AH/ESP, Transport/Tunnel 모드		(정의) IP계층에서 AH(인증헤더)와 ESP(보안 페이로드 캡슐화)를 이용한 보안 프로토콜 (동작모드) Transport 모드(페이로드만 암호화), Tunnel 모드(IP패킷 전체 암호화, 새로운 IP헤더) (프로토콜) AH(무결성, 인증), ESP(무결성, 인증, 끼밀성) (정책) SPD(Security Policy DB, 패킷에 보안 정책 적용, 폐기/통과/적용), SAD(Security Authentication DB, SA 매개 변수 정의) (키 관리) IKE(Internet Key Exchange, 보안 파라미터 협상, ISAKMP 주로 사용), Diffie-Hellman(비밀키 분배) (과정) IKE Phase1(IKE SA 설정, 응용계층)→IKE Phase2(IPSEC SA 설정, IP계층)→IPSec 데이터 송수신 * SA : Security Association
SSL(Secure Socket Layer)		핸싸얼레	(정의) 전송 계층과 응용 계층 사이에서 클라이언트-서버간 안전한 채널 형성으로 End-to-End 보안 서비스 제공 프로토콜 (특징) 공개키 기반, 3가지 인증모드(AN(Anonymous, 익명인증), SA(서버인증), MA(Mutual, 클라이언트-서버인증) (프로토콜 구조) Handshake(세션 및 비밀키 공유), Change Cipher Spec(암호화 규격 및 형식), Alert Protocol(문제 발생시 경고), Record Layer(암호화, 단편화, 압축)
S-HTTP	HTTP에 보안 기능 추가		(정의) HTTP에 보안 기능을 포함하여 문서 암호화 및 전자 서명을 지원하는 프로토콜 (특징) 끼밀성/무결성/인증/부인방지, 서버/클라이언트 상호인증, 메시지 단위 암호화, shttp://
암호화 알고리즘	대칭키, 공개키		(분류) . 대칭키 알고리즘 : 블록 암호화(블록 단위, DES, AES, SEED), 스트림 암호화(비트 단위, RC4, LFSR) . 공개키 알고리즘 : RSA(소인수 분해), ECC(타원) (종류) 대체(Substitution, 문자 대체), 치환(Transposition, Permutation, 위치 바꿈), 확장(Expansion, 무의미 문자 삽입), 압축(Compaction), 블록화(Blocking, 블록 구성),
블록 암호화	혼돈, 확산, Feistel, SPN		(블록 암호화 원리) . 혼돈(Confusion) : 암호문(C)과 암호키(K) 관계 은닉, 대체형(Substitution), S-BOX . 확산(Diffusion) : 암호문(C)과 평문(P) 관계 은닉, 치환형(Trnasposition), P-BOX (블록 암호화 구조) . Feistel 구조 : 별도 복호화기 필요 없음, 블록 분할, XOR 연산, 연산 비교적 복잡 DES, SEED, Blowfish . SPN 구조 : 별도 복호화기 필요, 블록 분할 안함, 연산 비교적 간단, AES, ARIA, IDEA (블록암호화 운영 방식) ECB, CBC, CFB, OFB * SPN : Substitution-Permutation Network
대칭키 블록 암호화	DES, SEED, AES		(대칭키 블록 암호화) 평문/키/블록 길이, 라운드수, 구조, 장/단점, 국/내외 표로 정리 . DES : 58bit 키, 64bit 평문, 2-DES, 3-DES(키 168, 블록 64) . SEED : 국내, 128/256 평문, 블록 8/16/24, 라운드 16/24, Feistel 구조, Email 암호화/IPSEC/SSL/DB암호화/DRM/CAS 적용 . AES : 가변길이 블록/키(128/192/256), 키 128, 블록 128, SPN 구조, 메모리 적게 차지, 특허 없음 . ARIA : 경량 환경, iSPN(Involutional) 구조(SPN 구조지만 별도 복호화기 필요 없음, 홀/짝수 라운드의 치환 계층이 Inverse, 확산 계층 Matrix의 Inverse가 자기 자신), 블록 128, 키 128/192/256, 평문 128, 라운드 수 12/14/16, 라운드 키 128 . HIGHT : 저전력/경량화 환경(모바일 기기와 무선환경), 64비트 블록, 라운드키(화이트닝키→LFSR→서브키→암/복호화키)
공개키 암호화	RSA, ECC		(공개키 암호화) . RSA : 소인수분해, PKI, 수행시간 상대적 김 . ECC : 모바일 환경, 타원 기반, 안정성 대비 키 짧음, 구현 용이
PKI(Public Key Infrastructure)	CA, RA, 디렉토리(LDAP), 공인인증서(X.509)		(정의) 인증기관(CA)에서 공개키와 개인키를 포함하는 인증서를 발급받아 안전하게 비밀통신을 가능하게 하는 기반 구조 (구성요소) 인증기관(CA, 인증서 발행), 등록대행기관(RA, 등록 대행), 디렉토리(목록 저장, LDAP), 공인인증서(X.509 v3) (인증서 검증 방법) CRL(인증서 폐기 목록, CA보유), OCSP(실시간 유효성 검증, OCSP 서버), SCVP(인증서 및 체인 유효성, SCVP 서버) * OCSP : Online Certificate Status Protocol, * SCVP : Simple Certificate Validation Protocol
PMI(Priviliege Mgmt Infrastructure)	권한 인증 체계, SOA/AA/AC/PH/PV		(정의) 사용자별 서비스 제공을 위해 단순 신원 확인 중심인 PKI를 보완한 사용자 속성을 정의하고 관리(권한 차등 부여)하는 권한 인증 체계 (구성요소) SOA(Source of Authority, 인증서 발급), AA(Attribute Authority, 권한 위임), AC(Attribute Certificate), 권한 소유자(PH, Holder), 권한 입증자(PV, Verifier) * AC : 사용자의 권한, 지위, 임무 등 사용자 속성을 정의한 사용자 속성 인증서
OTP(One Time Password)	Seed, Secret, 비동기, 동기		(정의) 패스워드 재사용 공격을 방지하기 위해 일회성 패스워드를 생성하는 장치 (특징) 이중요소 인증, 동적 비밀번호, 재사용 불가, Temper Proofing (생성 방식 : Seed/Secret→해시함수→OTP) . 비동기 방식 : Challenge-Response 방식(DES(난수, 비밀키)), S-Key(사용자 입력값에 해시 n번 적용, n-1부터 사용) . 동기 방식 : 시간 동기화(F(시간, 비밀키)), 이벤트 동기화(F(인증 횟수, 비밀키))
HSM(Hardware Security Module)	HW기반 인증서		(정의) 공인인증서 복사방지를 위해 키와 전자서명을 하드웨어 내부에서 생성하는 장치, HW기반 인증서
I-PIN(Internet Personal Identification Number)	사이버 신원확인번호, 통합ID관리, CI		(정의) 민간 인터넷상에서 주민번호 사용의 부작용 해결을 위한 사이버 신원확인번호(유출 시 즉시 신고 및 폐지) (I-PIN 2.0) 통합ID관리, 사이트간 연계(CI 활용), 절차 간소화(불필요 동의과정 간소화), I-PIN과 주민번호의 온오프라인 연계(CI 활용) (G-PIN) 행정기관 인터넷 사이트 가입 시 사용하는 사이버 신원 확인번호, 행정망용 I-PIN * CI (Connection Information) : 서비스연계를 위한 본인확인기관 제공 개인식별 정보, 2.0에서 사용 * DI (Duplication Information) : 중복가입 확인정보, 1.0에서 사용
OpenID	단일ID, Open ID URL		(정의) 단일 ID로 여러 웹사이트를 이용할 수 있는 분산형 ID 관리 기술 (특징) 중앙집중식 통합인증, 인증 기능만 (구성요소) 이용자, ID Provider, Relying Party, Open ID URL
OAuth	하나의 웹 사이트 ID 공유, token		(정의) 하나의 웹 사이트의 개인정보로 다른 사이트와 공유 할 수 있는 OpenAPI로 개발된 표준 인증 방식(ex. 네이버 ID로 여러 웹 사이트 이용) (특징) 다양한 어플리케이션의 통합 사용, 인증+권한(허가) (구성요소) Consumer, Service Provider, Request token, Access Token (OAuth1.0→2.0) 간단, 더 많은 인증 방법, 확장성 지원
AAA(Authentication, Authorization, Accounting)	인증, 권한, 과금		(정의) 불법적 서비스 사용 방지를 위해 사용자 인증, 권한 검증, 과금 기능을 제공하는 프레임워크 및 기술 기반 구조 (프로토콜 종류) RADIUS(비밀번호만 암호화, UDP, 인증/권한 결합), TACACS+(전체 암호화, TCP, 인증/권한 분리), Diameter(로밍과 Mobile IP 지원 목적, 전체 암호화, TLS/SCTP, 인증/권한 분리)
접근통제	DAC/MAC/RBAC, BLP/Biba		(정의) 사용자의 신원을 식별/인증하여 객체의 접근/사용 수준을 인가하는 절차 혹은 매커니즘 (정책) . DAC(Discretionary Access Control, 임의적 접근 통제) : ID기반, CL(행 중심, 주체에 대해), ACL(열 중심, 객체에 대해) . MAC(Mandatory AC, 강제적 접근 통제) : 보안레벨(보안등급, 인가등급) . RBAC(Role Based AC, 역할 기반 접근 통제) : 사용자에게 역할 할당, 역할에 접근 권한 부여, 최소권한정책, 직무의 분리 (모델) . BLP(Bell-Lapadula) : 끼밀성, 비밀 등급, no read up, no write down . Biba : 무결성, 무결성 등급, no read down, no write up, 인가된 사용자에 의한 변조 미고려(단점) . Clark Wilson Model : 직무 분리, 인가된 사용자에 의한 변조 방지