네트워크 보안
케이디정보기술은 네트워크에 접속된 전체 시스템의 성능을 안정적으로 유지하고,
전체 시스템의 이용 효율은 극대화 할 수 있는 서비스를 제공합니다.
네트워크 보안 필요성
정보통신 기술 발전에 힘입어 현대 사회는 정보 사회로 급속하게 진전 되었고. 그 결과 과거에는 상상조차 할 수 없었던 정보 서비스의 편리함과 효율성, 그리고 신속성을 컴퓨터 네트워크를 통하여 전달할 수 있게 됨으로써 모든 사람이 정보 문명의 혜택을 공유할 수 있게 되었습니다.
이렇듯 컴퓨터 네트워크는 컴퓨터 시스템 간의 상호 접속 및 정보 교환의 편리한 창구 역할을 하지만, 반면에 시스템에 대한 불특정 다수의 접근을 가능하게 하여 시스템 침입자에 의한 보안 사고의 위험을 내포하고 있습니다.
네트워크 보안 요구사항
네트워크 시스템에서 제공되어야 하는 기본적인 정보 보안 서비스로는 비밀성 유지 및 보장, 무결성 유지 및 보장, 데이터 발신처 확인, 가용성 확인 등을 들 수 있습니다.
- 비밀성 유지 및 보장
- 네트워크를 통해 전송되는 데이터가 확인되지 않고 인가되지 않은 상대방에게 노출되지 않도록 하는 것으로, 네트워크 보안 기술이 추구하는 가장 기본적인 목표이며, 네트워크를 이용해 통신하는 사용자 간에 교환되는 정보는 비밀이 보장되어야 하고, 인가된 사용자 이외에는 해당 정보의 접근이 원칙적으로 차단되어야 합니다.
- 무결성 유지 및 보장
- 네트워크를 통해 송·수신되는 정보의 내용이 불법적으로 생성 또는 변경되거나 삭제되지 않도록 보호해야 하고, 정보가 변조된 경우에는 이를 탐지해 내고, 정당한 사용자에게 경고해 주는 것도 정보의 무결성을 유지하기 위한 중요한 수단입니다.
- 데이터 발신처 확인
- 원격지로부터 전송받은 데이터가 원하는 곳에서 올바르게 전송되었는지 확인하는 것으로서, 네트워크를 통하여 송·수신되는 정보는 반드시 확인된 발신처로부터 정확하게 전송되어야 합니다.
- 가용성 보장
- 네트워크에 접속된 전체 시스템의 성능을 안정적으로 유지하는 한편, 전체 시스템의 이용 효율은 이상이 없도록 해야 합니다.
네트워크 보안을 위한 메커니즘
이와 같은 네트워크 보안 요구사항들을 만족시키기 위해서는 다음과 같은 보안 메커니즘들을 사용할 수 있습니다.
링크 암호화
링크 암호화(link encryption)는 물리적인 통신 회선으로 전달되기 바로 직전에 데이터를 암호화 합니다.
즉 링크 암호화는 OSI 참조 모델의 제1계층(물리계층) 혹은 제2계층(데이터 링크 계층)에서 이루어지며,
복호화는 통신 데이터가 수신 컴퓨터에 들어가는 시점에서 이루어 집니다. 따라서 데이터는 두 개의 컴퓨터 간에 전송되는 동안에는 암호화에 의해 보호되지만, 호스트에서는 평문으로 존재한다. 링크 암호화는 사용자에게 투명하며, 특히 통신 회선이 취약할 때 적합 합니다.
단대단 암호화
단대단 암호화(end-to-end encryption)는 OSI 참조 모델의 가장 높은 계층, 즉 제7계층(응용계층)이나 제6계층(표현계층)에서 사용자에 의해 수행되며, 사용자와 호스트 간에서 하드웨어에 의해 이루어질 수도 있고, 호스트 컴퓨터에서 수행되는 소프트웨어에 의해서도 이루어질 수 있습니다.
단대단 암호화는 모든 라우팅과 전송 처리에 앞서 암호화가 이루어지기 때문에 메시지는 암호 형태로서 네트워크를 통해 전달 됩니다. 만약 네트워크에서 보안 유지에 실패하여 데이터가 노출된다 해도 데이터의 비밀성은 위협받지 않습니다.
전자서명
전자서명은 데이터에 대한 서명과 서명된 데이터의 검증절차로서 정의 됩니다. 서명은 서명자의 비밀정보인 공개키 암호 알고리즘의 비밀키를 사용함으로써 데이터의 검사값을 생성하는 과정이며, 검증은 서명자의 공개 정보를 사용하여 정보를 보낸 사람이 누구인지를 알아내는 과정입니다.
전자서명 메커니즘의 본질적인 특성은 비밀키의 소유자가 아니면 어느 누구도 서명된 데이터를 생성할 수 없어야 하고, 서명자는 그 데이터에 서명하고 송신했음을 부인할 수 없어야 하며, 데이터를 받은 사람은 서명된 데이터를 변조 및 위조할 수 없어야 합니다.
접근제어
접근제어는 사용자의 접근권한을 결정하거나 사용자에게 접근권한을 부여하기 위해 사용자의 고유성, 사용자의 정보 또는 자격 등을 이용합니다. 만약 사용자가 비 인가된 자원에 대하여 접근을 시도하거나, 인가된 자원일지라도 불법적인 방법으로 접근하고자 한다면 접근통제 기능은 그러한 접근시도를 거부합니다.
접근통제 메커니즘은 통신의 종단이나 중간 지점에서 적용될 수 있고, 통신의 발신이나 중간 지점에서 적용된 접근통제는 송신자가 수신자와 통신 또는 요구된 통신 자원 사용을 위하여 인증되어야 하는지를 결정합니다.
데이터 무결성
데이터 무결성은 네트워크상에서 데이터의 정확성을 점검하는 메커니즘으로 송신자와 수신자가 각각 무결성을 결정한다. 송신자는 데이터 자체의 특정값을 계산하여 무결성 기능을 제공하는데, 이에는 주로 DES를 이용한 메시지 인증코드와 조작 점검코드(MDC : Manipulation Detection Code) 등이 사용된다. 수신자는 수신한 데이터와 관계가 있는 무결성 정보를 발생시켜 수신한 무결성 정보와 비교하여 데이터의 변경 여부를 결정한다.
그러나 이러한 방식으로는 데이터의 재사용을 방지할 수 없다. 접속형 데이터 전송은 데이터의 순서 무결성을 제공하기 위하여 데이터 단위의 순서번호와 타임스탬프 등과 같은 부가적 기능을 사용할 수 있으며, 비접속형 데이터 전송은 각 데이터의 재사용을 막기 위하여 타임스탬프를 사용할 수 있다.
문의사항이 있으신가요?
궁금하신 내용을 등록해 주세요.
최대한 빠른 시간안에 정성껏 답변해 드리겠습니다.