정보보안 이론과 실제 - PowerPoint PPT Presentation

dolan
slide1 n.
Skip this Video
Loading SlideShow in 5 Seconds..
정보보안 이론과 실제 PowerPoint Presentation
Download Presentation
정보보안 이론과 실제

play fullscreen
1 / 25
Download Presentation
1119 Views
Download Presentation

정보보안 이론과 실제

- - - - - - - - - - - - - - - - - - - - - - - - - - - E N D - - - - - - - - - - - - - - - - - - - - - - - - - - -
Presentation Transcript

  1. 정보보안 이론과 실제 암호, 접근제어, 프로토콜, 소프트웨어

  2. 1장 개요

  3. 등장 인물 • 엘리스,밥: 선한 사람 • 트루디: 악한 사람 • 트루디의 어원: “intruder”

  4. 엘리스의 온라인 은행 • 엘리스 온라인 은행 개설(AOB) • 엘리스의 보안 관심 사항은 무엇인가? • 만약 밥이 AOB의 고객이면, 그의 보안 관심 사항은 무엇인가? • 엘리스와 밥의 공동 관심사항과 다른 관심 사항은 무엇인가? • 트루디는 이 상황을 어떻게 보는가?

  5. 보안성,무결성,가용성 • 비밀성, 무결성, 가용성 • CIA (Confidentiality, Integrity, Availability) • AOB는 트루디가 밥의 계좌 잔액을 아는 것을 방지해야 한다. • 비밀성: 허가되지 않은 자가 정보를 읽는 것을 방지하는 것


  6. 보안성,무결성,가용성 • 트루디는 밥의 계좌 잔액을 변경할 수 없어야 한다. • 밥은 그 자신의 계좌 잔액을 정당하지 않게 변경할 수 없어야 한다. • 무결성: 인가되지 않은 정보의 쓰기를 방지 하는 것

  7. 보안성,무결성,가용성 • AOB의 정보는 필요할 때 가용해야만 한다. • 엘리스는 거래를 할 수 있어야만 한다. • 만약 할 수가 없으면, 다른 곳으로 사업을 변경 할 것임. • 가용성: 자료는 필요할 때 적절하게 가용하게 하는 것 • 가용성은 “새로운”보안 관심 사항 • 서비스(DoS) 거부에 대한 반응

  8. CIA 이상의 주제 • 밥의 컴퓨터가 “밥”이 트루디가 아니고 진짜 밥인지 아는 방법은? • 밥의 패스워드는 확인되어야만 한다. • 암호체계를 사용 • 패스워드의 보안 관심사항은 무엇인가? • 패스워드의 다른 대안은 있는가?

  9. CIA 이상의 주제 • 밥이 AOB에 로그인 했을 때, AOB가 “밥”이 진짜 밥이 어떻게 알 수 있는가? • 이전처럼 밥의 패스워드 확인필요 • 스탠드어론 컴퓨터와 달리 네트워크는 보안 문제가 발생 • 네트워크 보안 관심 사항은? • 프로토콜은 매우 중요한 이슈 • 암호도 프로토콜에서 중요

  10. CIA 이상의 주제 • 밥이 AOB에 의해 인증되었으면, AOB는 밥의 행동을 통제해야 함. • 밥은 챨리의 계좌 정보를 볼 수 없어야 함. • 밥은 새로운 소프트웨어를 설치할 수없어야 함. • 이러한 제약을 가하는 것이 인가 • 접근제어는 인증과 인가 모두를 포함

  11. CIA 이상의 주제 • 암호, 프로토콜, 접근제어는 S/W로 구축된다. • S/W의 보안 이슈는 무엇인가? • 대부분의 S/W는 복잡하고 버그가 있다. • S/W의 문제는 보안의 문제로 연결된다. • S/W 개발에 있어 결함을 어떻게 줄일 수 있는가?

  12. CIA 이상의 주제 • 일부 S/W는 나쁜 의도로 작성되었다. • 멀웨어: 컴퓨터 바이러스, 웜 등 • 엘리스와 밥이 멀웨어로부터 자신들을 보호하는 방법은? • 트루디가 더욱 효과적으로 멀웨어를 만드는 방법은?

  13. CIA 이상의 주제 • 운영체제(OS)가 보안을 통제 • 예: 인가 • 운영체제: 거대하고 복잡한 S/W • Win XP: 40,000,000라인의 코드! • 다른 S/W처럼 버그와 결함은 문제 • 운영체제에 관련된 많은 보안 이슈 상존 • 운영체제를 신뢰할 수 있는가?

  14. 과목 구성 • 크게 4개의 분야로 구성 • 암호 • 접근제어 • 프로토콜 • 소프트웨어

  15. 암호 • “비밀 코드” • 다루는 암호분야는 • 고전 암호 • 대칭 암호 • 공개 암호 • 해시 함수 • 고급 암호 분석

  16. 접근제어 • 인증 • 패스워드 • 생체인식과 기타 • 인가 • 접근제어목록과 권한목록 • 다단계 보안(MLS), 보안모델링, 은닉통로, 추론제어 • 방화벽과 침입탐지체계

  17. 프로토콜 • 단순 인증 프로토콜 • “나비효과”-작은 변경이 보안에는 엄청난 결과를 초래 • 암호가 사용됨. • 실제 보안 프로토콜 • SSL, IPSec, 커베로스 • GSM 보안

  18. 소프트웨어 • S/W 보안-심각한 오류 • 버퍼 오버플로우 • 기타 공통 결함 • 멀웨어 • 특정한 바이러스와 웜 • 방지와 탐지 • 미래의 멀웨어

  19. 소프트웨어 • 소프트웨어 역공학 (SRE) • 해커가 S/W를 “분석”하는 방법 • 디지털 권한관리 (DRM) • S/W 보안의 난해성 • 운영체제 보안 문제 • 테스트의 제한성 • 공개 소스와 비공개 소스

  20. 소프트웨어 • 운영체제(OS) • 기초적인 운영체제 보안 이슈들 • “신뢰성 있는” 운영체제 요구사항들 • 차세대 보안 컴퓨팅(NGSCB) • PC에서 마이크로소프트의 신뢰성 있는 OS • S/W는 거대한 보안 주제 • 관련되는 엄청난 자료 • 고려해야 하는 많은 보안 문제

  21. 적과 같이 생각하라! • 과거에는“해킹”에 관해 상세히 설명하는 좋은 자료들 전무 • 그러한 자료들은 오히려 해커들을 도와 주게 된다고 생각 • 최근에, 이러한 현상은 변화 • 네트워크 해킹, 악의적인 S/W 작성법, 해커 S/W 작성법 등에 관한 서적의 다수 출현

  22. 적과 같이 생각하라! • 선한 사람도 나쁜 사람이 생각하는 것처럼 생각해보아야 함! • 경찰과 같이 … • 범죄자들을 이해하고 연구해야 하듯이… • 정보보안에서도 • 트루디의 분위기를 이해하고, • 트루디의 방법을 알아야만, • 트루디가 하는 일을 방지할 수 있음

  23. 적과 같이 생각하라! • 이러한 정보보안에 대한 아이디어가 관연 괜찮은 것인가? • “악인들이 이미 알고 있는 사실들을 선한 자들에게 교육하기 위한 책을 누군가가 집필할 때가 되었다.”Bruce Schneier

  24. 적과 같이 생각하라! • 트루디같이 생각하려고 노력해야 한다. • 트루디의 방법을 연구해야만 한다. • 트루디의 교묘함에 놀랄 수 있다. • 가끔 앨리스와 밥의 어리석음에 실소를 하게 될 것이다. • 그러나 트루디 같이 행동하면 안 된다.

  25. 이 과목에서는… • 항상 악인처럼 생각한다. • 항상 문제점을 찾으려고 노력한다. • 약한 연결점을 찾으려고 노력한다. • 규정을 어기는 것은 괜찮다. • 트루디 같이 생각하라!!! • 그러나, 불법적인 어떤 일도 해서는안 된다…