[정처기 필기] 「5」 | 시스템 보안 구축 - (4.2) 서버 인증, 보안 아키텍처 / 프레임워크, 보안 설루션

[정처기 필기] 「5」 | 시스템 보안 구축 - (4.2) 서버 인증, 보안 아키텍처 / 프레임워크, 보안 설루션

「1」 소프트웨어 설계

「2」 소프트웨어 개발

「3」 데이터베이스 구축

「4」  프로그래밍 언어 활용

> 「5」  정보시스템 구축 관리

- 소프트웨어 개발 방법론 활용, IT프로젝트 정보 시스템 구축 관리, 소프트웨어 개발 보안 구축, > 시스템 보안 구축

 

1 서비스 공격 유형

> 2 서버 인증

> 3 보안 아키텍처 / 프레임워크

> 4 로그 분석

> 5 보안 설루션

2. 서버 인증

보안 서버의 개념

 

개인정보를 암호화하여 송 / 수신하는 기능을 갖춘 서버

 

- 보안 서버가 갖춘 기능

  : 서버에 SSL(Secure Socket Layer) 인증서 설치하여 전송정보 암호화하여 송 / 수신

  : 서버에 암호화 응용 프로그램 설치하여 전송상태 암호화하여 송 / 수신

- 스니핑(Sniffing)을 이용한 정보 유출, 피싱(Phishing)을 이용한 위조 사이트 등 대비

 

인증(Authentication)의 개념

 

다중 사용자 컴퓨터 시스템, 네트워크 시스템에서 로그인 요청한 사용자 정보를 확인하는 보안 절차

 

- 인가(Authorization)란 인증된 사용자에게 권한 여부 확인 후 부여하는 보안 절차

- 사용자의 등록 여부 확인, 전송된 메시지 위 / 변조 여부 확인

- 인증의 주요 유형

  : 지식 기반 인증(Something You Know)

  : 소유 기반 인증(Something You Have)

  : 생체 기반 인증(Something You Are)

  : 행위 기반 인증(Something You Do)

  : 위치 기반 인증(Somewhere You Are)

 

지식 기반 인증(Something You Know)

 

사용자가 기억하는 정보를 기반으로 인증 수행

 

- 관리 비용 저렴, 기억하지 못하면 인증 불가

- 고정된 패스워드(Password) : 사용자가 알고 있는 비밀번호를 접속 때마다 반복하여 입력

- 패스 프레이즈(Passphrase) : 일반 패스워드보다 길이 길고, 기억 쉬운 문장으로 비밀번호 구성하는 방법

- 아이핀(i-PIN) : 사이버 주민등록번호, 신원확인 완료 후 본인확인기관에서 온라인으로 발행

 

소유 기반 인증(Something You Have)

 

사용자가 소유하고 있는 것을 기반으로 인증 수행

 

- 소유물 도용 문제로 지식 기반 인증방식, 생체 기반 인증 방식과 함께 사용

- 신분증 : 사용자 사진이 포함된 주민등록증, 운전면허증, 여권 등 사용하여 신분확인

- 메모리 카드(토큰) : 마그네틱 선에 보안 코드 저장하여 사용, 카드 리더기를 통해서만 읽을 수 있음

- OTP(One Time Password) : 사용자가 패스워드 요청할 때마다 암호 알고리즘을 통해 새로 생성된 패스워드 사용, 일회성

 

생체 기반 인증(Something You Are)

 

사용자의 고유한 생체 정보를 기반으로 인증 수행

 

- 사용 쉽고, 도난 위험 적음, 위조 어려움

- 지문, 홍채 / 망막, 얼굴, 정맥 등

 

기타 인증 방법

 

행위 기반 인증(Something You Do) : 사용자 행동 정보를 이용하여 인증 수행, 서명, 동작, 음성

위치 기반 인증(Somewhere You Are) : 인증 시도하는 위치 적절성 확인, 콜백, GPS / IP 주소 이용한 위치 기반 인증

3. 보안 아키텍처 / 프레임워크

보안 아키텍처(Security Architecture)

 

정보 시스템의 무결성, 가용성, 기밀성을 확보하기 위해 보안 요소 / 보안 체계 식별, 관계를 정의한 구조

 

- 관리적 / 물리적 / 기술적 보안 개념의 수립, 보안 관리 능력의 향상, 일관된 보안 수준 유지

- 보안 수준에 변화 생겨도 수정 없이 지원 가능

- 보안 요구사항의 변화, 추가 수용 가능

- 대표적인 표준 : ITU-T X.805

 

>관리적 / 물리적 / 기술적 보안<

 

관리적 보안 : 정보보호 정책, 정보보호 조직, 정보자산 분류, 정보보호 교육 / 훈련, 인적 보안, 업무 연속성 관리 등 정의

물리적 보안 : 건물 / 사무실 출입 통제 지침, 전산실 관리 지침, 정보 시스템 보호 설치 / 관리 지침, 재해 복구 센터 운영 등 정의

기술적 보안 : 사용자 인증, 접근 제어, PC, 서버, 네트워크, 응용 프로그램, 데이터 등 보안지침 정의

 

보안 프레임워크(Security Framework)

 

안전한 정보 시스템 환경 유지, 보안 수준 향상을 위한 체계

 

- ISO 27001

: 정보보안 관리를 위한 국제 표준, 일종의 보안 인증이자 가장 대표적 보안 프레임워크

: 영국의 BSI(British Standards Institute)가 제정한 BS 7799를 기반으로 구성

: 조직에 대한 정보보안 관리 규격이 정의, 실제 심사 / 인증용으로 사용

4. 로그 분석

로그(Log)의 개념

 

시스템 사용에 대한 모든 내역 기록해 놓은 것, 시스템 침해 사고 발생 시 해킹 흔적 / 공격 기법 파악 가능

 

- 정기적으로 분석하여 시스템 침입 흔적, 취약점 확인 가능

 

리눅스(LINUX) 로그

 

모든 로그를 var/log 디렉터리에서 기록, 관리

 

syslogd 데몬

: 로그 파일 관리, etc/syslog.conf 파일 읽어 로그 관련 파일의 위치 파악 후 로그 작업 시작

: syslog.conf 파일 수정하여 로그 관련 파일들의 저장 위치, 파일명 변경

 

리눅스의 주요 로그 파일

 

로그	데몬	파일명	내용
커널 로그	kernel	/dev/console	커널 관련 내용을 관리자에게 알리기 위해 파일로 저장하지 않고 지정된 장치에 표시
		var/log/wtmp	성공한 로그인 / 아웃 시스템 시작 / 종료 시간
		var/run/utmp	현재 로그인한 사용자 상태
		var/log/btmp	실패한 로그인
		var/log/lastlog	마지막으로 성공한 로그인
부팅 로그	boot	/var/log/boot	부팅 시 나타나는 메시지
크론 로그	crond	/var/log/cron	작업 스케줄러인 crond의 작업 내역
시스템 로그	syslogd	/var/log/messages	커널에서 실시간으로 보내진 메시지들
보안 로그	xinetd	/var/log/secure	시스템 접속
FTP 로그	ftpd	/var/log/xferlog	FTP로 접속하는 사용자

 

 

윈도우(Windows) 로그

 

이벤트 로그 형식으로 관리

 

- 이벤트 뷰어 이용하여 확인 가능

 

 

로그	내용
응용 프로그램	응용 프로그램에서 발생하는 이벤트 기록되는 이벤트는 응용 프로그램 개발자에 의해 결정
보안	로그온 시도, 파일 / 객체 생성, 조회, 제거 등 리소스 사용과 관련된 이벤트
시스템	Windows 시스템 구성 요소에 의해 발생하는 이벤트
Setup	프로그램 설치와 관련된 이벤트
Forwarded Events	다른 컴퓨터와 상호작용으로 발생하는 이벤트

5. 보안 설루션

보안 설루션의 개념

 

접근 통제, 침입 차단 / 탐지 수행하여 불법적인 침입 막는 기술 / 시스템

 

- 방화벽, 침입 탐지 시스템(IDS), 침입 방지 시스템(IPS), 데이터 유출 방지(DLP), 웹 방화벽, VPN, NAC 등

 

방화벽(Firewall)

 

기업, 조직 내부의 네트워크와 인터넷 간 전송되는 정보를 선별하여 수용 / 거부 / 수정하는 기능 가진 침입 차단 시스템

 

- 나가는 패킷은 그대로 통과, 들어오는 패킷은 인증된 패킷만 통과

- 해킹 등 외부로의 정보 유출 막기 위해 사용

 

침입 차단 시스템(IDS; Intrusion Detection System)

 

컴퓨터 시스템의 비정상적 사용, 오용, 남용 등 실시간으로 탐지

 

- 방화벽으로는 내부 사용자의 불법적 행동, 외부 해킹에 완벽한 대처 불가

- 문제 발생 시 모든 내 / 외부 정보 흐름을 실시간으로 차단하기 위해 해커 침입 패턴의 추적, 유해 정보 감시 필요

- 오용 탐지(Misuse Detection) : 미리 입력해 둔 공격 패턴 감지 시 알려줌

- 이상 탐지(Anomaly Detection) : 평균적인 시스템 상태를 기준으로 비정상적 행위, 자원 사용 감지 시 알림

- 종류

  : HIDS(Host-Based Intrucsion Detection)

    > 시스템 내부 감시, 분석에 중점

    > 내부 시스템 변화를 실시간 감시하여 기록, 추적

    > OSSEC, md5deep, AIDE, Samhain 등

  : NIDS(Network-Based Intrusion Detection System)

    > 외부로의 침입 감시, 분석에 중점

    > 네트워크 트래픽 감시하여 서비스 거부 공격, 포토 스캔 등 악의적 시도 탐지

    > Snort, Zeek 등

- 위치

  : 패킷이 라우터로 들어오기 전 - 네트워크에 시도되는 모든 공격 탐지

  : 라우터 뒤 - 패킷 필터링에 통과한 공격 탐지

  : 방화벽 뒤 - 내부에서 외부로 향하는 공격 탐지

  : 내부 네트워크 - 내부에서 내부 네트워크의 해킹 공격 탐지

  : DMZ - DMZ는 외부 인터넷에 서비스를 제공하는 서버가 위치하는 네트워크, 강력한 외 / 내부 공격으로 중요 데이터 보호, 서버의 서비스 중단 방지

 

침입 방지 시스템(IPS, Intrusion Prevention System)

 

방화벽, 침입 탐지 시스템 결합

 

- 비정상적 트래픽을 능동적으로 차단, 격리 등 방어 조치 취함

- 침입 탐지 기능으로 각 패킷 검사 후, 비정상적 패킷 탐지 시 방화벽 기능으로 차단

 

데이터 유출 방지(DLP; Data Lekage / Loss Prevention)

 

내부 정보의 외부 유출을 방지

 

- PC, 네트워크 상 모든 정보를 검색하고, 메일, 메신저, 웹 하드, 네트워크 프린터 등 사용자 행위를 탐지 / 통제하여 외부 유출을 사전에 막음

 

웹 방화벽(Web Firewall)

 

일반 방화벽이 탐지하지 못하는 SQL 삽입 공격, Cross-Site Scripting(XSS) 등 웹 기반 공격을 방어할 목적

 

- 웹 관련 공격 감시, 공격이 웹 서버에 도달하기 전 차단

 

VPN(Virtual Private Network, 가상 사설 통신망)

 

가상 사설 네트워크로 인터넷 등 통신 사업자의 공중 네트워크, 암호화 기술 이용하여 자신의 전용 회선을 사용하는 것처럼 해줌

 

- 암호화된 규격으로 전용선의 사설망 구축하여 비용 부담 줄임, 원격지의 지사, 영업소, 이동 근무자가 지역적 제한 없이 업무 수행 가능

 

NAC(Network Access Control)

 

네트워크에 접속하는 내부 PC의 MAC 주소를 IP 관리 시스템에 등록 후 일관된 보안 관리 기능 제공

 

- 내부 PC의 소프트웨어 사용 현황을 관리하여 불법적 소프트웨어 설치 방지

- 일괄적인 배포 관리 기능으로 백신, 보안 패치 등 설치 / 업그레이드 수행

- 비인가된 시스템을 자동 검출하여 자산 관리

 

SSH(Secure SHell, 시큐어 셸)

 

다른 컴퓨터에 로그인, 원격 명령 실행, 파일 복사 등 수행하도록 다양한 기능 지원하는 프로토콜 / 응용 프로그램

 

- 데이터 암호화, 강력한 인증 방법으로 보안성 낮은 네트워크에서도 안전하게 통신 가능

- 키를 통한 인증 방법 사용 시 사전에 클라이언트 공개키를 서버에 등록해야 함

- 22번 포트 사용

 

 

 

 

 

 

출처 | <시나공> 정보처리기사 필기 2024 기본서 (길벗알앤디)