[암호학] 정보 보안

1.1 정보 보안의 기본 원칙들

1.1.1 기밀성 / Confidentiality

허락되지 않은 사용자 또는 객체가 정보의 내용을 알 수 없도록 하는 것입니다. 원치 않는 정보의 공개를 막는다는 의미에서 프라이버시 보호와 밀접한 관계가 있습니다. 적법자(authorized parties)만이 비밀정보를 접근할 수 있는 것을 의미합니다.

방법

• 인증 (Authentication): 정체가 거짓이 아니라는 확신을 가지고, 메시지의 출처를 확인하거나전자 문서를 정확하게 식별하는 것이다.

1.1.2 무결성 / Integrity

허락 되지 않은 사용자 또는 객체가 정보를 함부로 수정할 수 없도록 하는 것입니다. 수신자가 정보를 수신했을 때, 또는 보관되어 있던 정보를 꺼냈을 때, 중간에 수정되지 않았음을 확인할 수 있도록하는 것입니다.

방법

• 부인 봉쇄 (Non-Repudiation): 사전에 했던 행위나 동작에 대해 부인을 못하게 하는 방법
• 접근 제어 (Access control): 권한이 있는 사람만이 자원에 접근 할 수 있게 하는 방법

1.1.3 가용성 / Availability

허락된 사용자 또는 객체가 정보에 접근할 때, 이 과정이 언제나 방해받지 않도록 하는 것입니다. 서비스 거부(DDoS, Denial of Service) 공격이 이러한 가용성을 해치는 공격입니다.

1.2 정보 보안에 대한 공격

1.2.1 기밀성에 대한 공격

스누핑 / Snooping

허락되지 않는 접근이나 데이터를 중간에 가로채는 것을 의미합니다.

트래픽 분석 / Traffic Analysis

송신 수신 데이터를 확인하는 대신 온라인 트래픽을 확인하여 송, 수신자의 주소와 성향 등을 분석하는 것을 의미합니다.

1.2.2 무결성에 대한 공격

수정 / Modification

공격자가 메시지를 가로채서 수정하는 것을 의미합니다.

가장, 스푸핑 / Masquerading, Spoofing

공격자가 인가된 사용자인 척 행세를 하는 것을 의미합니다.

재연 / Replying

공격자가 획득한 데이터를 보관하고 있다가 시간이 지난 후에 다시 전송하는 것을 의미합니다.

부인 / Repudiation

송신자가 자신이 데이터를 보낸 것을 부인하거나 수신자가 자신의 데이터를 받은 것을 부인하는 것을 의미합니다.

1.2.3 가용성에 대한 공격

서비스 거부 공격 / Denial of Service

서비스 거부는 공격자가 시스템에게 대량의 가짜 요청을 보냄으로써 시스템의 속도를 저하시키거나 심할 경우 시스템이 다운까지 시키는 공격입니다. 서비스 거부는 시스템 속도를 저하시키거나 시스템을 다운시킴으로써 서비스를 사용하려는 인가된 사용자가 정상적으로 시스템을 이용하지 못하게 하는 것을 의미합니다.

1.2.4 소극적 공격과 적극적 공격 / Passive Versus Active Attacks

보안 공격은 보안의 3가지 원칙에 따라 크게 3가지로 구분할 수 있지만, OSI 보안 구조(X.800)와 RFC 2828에 따라 분류하면 소극적 공격과 적극적 공격으로 나눌 수 있습니다.

소극적 공격 / Passive Attack

소극적 공격은 스누핑과 같이 시스템에 영향을 미치지 않는 데이터의 탈취, 분석 등. 즉, 기밀성을 위협하는 공격들을 소극적 공격이라고 할 수 있습니다.

적극적 공격 / Active Attack

적즉적 공격은 직접적으로 시스템에 영향을 미치는 공격입니다. 데이터를 변조하여 시스템에 영향을 미치는 무결성을 위협하는 공격들이나 시스템을 공격하여 인가된 사용자의 시스템 사용을 방해하는 가용성을 위협하는 공격들을 적극적 공격이라 할 수 있습니다.

1.3 서비스와 메커니즘

ITU-T(International Telecommunication Union-Telecommunication Standardization Sector)는 보안 서비스나 이런 서비스들을 구현할 메커니즘을 제공합니다.

• 데이터 기밀성
• 데이터 무결성
• 인증
• 부인봉쇄
• 접근 제어

1.4 테크닉

보안을 구현하기 위한 메커니즘은 이론적일 뿐입니다. 메커니즘의 실질적인 구현은 구체적인 테크닉을 요합니다. 가장 널리 퍼진 두가지 테크닉이 Cryptography과 Steganography입니다.

1.4.1 암호학 / Cryptography

그리스어에서 유래된 단어로 "비밀 글쓰기"를 의미합니다. 메시지를 보호하고 공격으로 부터 면역이 되게하기 위해 변형하는 것을 의미합니다. 메시지의 Encryption과 Decryption를 위해서는 비밀 키를 이용합니다.

1.4.2 스테가노그래피 / Steganography

그리스어에서 유래된 단어로 "감춰서 글쓰기"를 의미합니다. crpytograpy와 달리 정보를 변형하지 않고 단지 감춰둡니다.

텍스트 커버

텍스트에 데이터를 감춰둘 수 있습니다. 띄어쓰기에 space가 1번 사용되면 0에 space가 2번 사용되면 1에 해당하는 식으로 2진 데이터를 문장에 감춰둘 수 있습니다.

이미지 커버

이미지에도 데이터를 감춰둘 수 있습니다. RGB에 해당하는 24bits 색상값에 마지막 값에 2진 데이터를 삽입하여 감춰둘 수 있습니다.

다른 커버들

비슷한 방식으로 음악이나 영상에도 데이터를 감춰둘 수 있습니다.