정보처리기사/정보 시스템 구축 관리

시스템 보안 구축 4

RangA 2023. 6. 2. 04:03

03. 시스템 보안 설계와 구현

01. 시스템 보안 설계

1) 시스템 보안 설계

  1. 시스템 보안 설계 개념
    • 악성 코드, 개인정보 유출, 중요 정보 노출 및 비밀 데이터 손실 등의 비즈니스 문제를 방지하고 해결하기 위해 안전한 정보 시스템 환경을 구축함
    • 관리적, 기술적, 물리적 보안 차원에서 정보 시스템의 보안 구축 계획을 수립하고 정보 시스템 보안 설계서를 작성하는 것을 의미함
  2. 비즈니스 문제와 정보 시스템 보안 설계 개념도
    • 비즈니스 문제 : 악성 소프트웨어, 개인정보 유출, 중요 정보 노출, 비밀 데이터 손실이 발생함
    • 정보 시스템 보안 설계 : 관리적, 기술적, 물리적 보안 설계
    • 정보 시스템 : 악성 코드 식별, 중요 데이터 보호, 비밀 데이터 암호화
    • 비즈니스 해결책 : 악성 코드 감소, 중요 정보보호, 비밀 데이터 보호

2) 시스템 보안 설계 원칙

  1. 원칙 1
    • 자원에 적용되는 보안 수준은 적절해야 함
    • 보안에 소요되는 비용은 충분히 합리적이어야 함
  2. 원칙 2
    • 보안 아키텍처는 변화하는 보안의 필요와 요구사항을 수용할 수 있어야 함
    • 보호의 레벨이 변화할 때도 기본 보안 아키텍처를 수정하지 않고 지원할 수 있어야
    • 보안의 서비스가 여러 가지 보호 레벨을 수용하고 미래의 확장되는 필요성을 수용할 수 있도록 충분히 확장성이 있어야 함
  3. 원칙 3
    • 보안 아키텍처는 조직으로 하여금 안전한 업무를 전자적으로 수행할 수 있도록 통합된 보안 서비스를 제공해야 함
  4. 원칙 4
    • 모든 컴퓨터 플랫폼에 걸쳐 일관성 있는 프레임워크를 제공해야 함


02. 시스템 보안 구현

1) 시스템 보안 구현 환경

  • 시스템 보안 구현 환경이란 기밀성, 무결성, 가용성이 보장된 안전하고 신뢰성 있는 시스템 보안을 구현하기 위한 조건, 장소, 기타 여러 가지 여건을 의미함
  • 시스템 보안 구현 환경의 유형에는 관리적, 기술적, 물리적 시스템 보안 구현 환경이 있음

2) 관리적 시스템 보안 구현 환경

  1. 기업의 시스템 보안 정책
    • 시스템 보안 구현을 위해서는 기업의 규모 및 특성에 맞는 시스템 보안 정책을 입수하여 준비함
    • 시스템 보안 정책은 기업의 정보보안 책임자 혹은 정보보안 부서장에게 요청하여 확보함
  2. 시스템 보안 규정 및 절차서
    • 기업의 시스템 보안 정책에 맞는 시스템 보안 규정 및 가이드가 필요함
    • 시스템 보안 규정 및 가이드 등은 기업의 정보보안 책임자 혹은 부서장에게 요청하여 확보함
  3. 시스템 보안 조직 및 인원
    • 시스템 보안 구현을 위해서는 시스템 보안 조직 및 담당자의 지정이 필요함
    • 시스템 보안 구현을 위한 조직과 역할 및 책임 등은 정보보안 책임자 혹은 부서장에게 요청함

3) 기술적 시스템 보안 구현 환경

  1. 아키텍처 및 설계서
    • 안전하고 신뢰성 있는 시스템 보안 구현을 위해 시스템 보안 아키텍처 및 설계서를 준비함
  2. 솔루션 및 S/W 등을 준비
    • 시스템 보안 구현을 위해 하드웨어, 소프트웨어, 솔루션 등을 확보함
    • 시스템 보안 구현을 위해 확보한 하드웨어, 소프트웨어, 솔루션 등은 사전에 관련 부서와의 협력을 통해 기능 및 수량, 규격 등이 맞는지 확인함
  3. S/W의 세부 구현 절차서
    • 시스템 보안 구현을 위한 하드웨어, 소프트웨어, 솔루션에 대해서 각각 세부적인 구현 절차서 및 매뉴얼 등을 준비함

4) 물리적 시스템 보안 구현 환경

  1. 물리적 장소 확보
    • 시스템 보안 구현을 위해서는 안전하고 신뢰성 있는 물리적인 장소 확보가 중요함
    • IDC(Internet Data Center) 혹은 별도 통제된 전산실 등의 공간 확보를 함
  2. 출입 통제, 시건 장비, 캐비닛
    • 시스템 보안 구현을 위한 물리적 구현 환경으로는 확보된 물리적 장소에 출입 통제, 보안 통제 공간, 시건 장치, 잠금 장치, 보안 서류를 보관할 캐비닛 등의 시설을 준비함

5) 시스템 보안 구현 계획

  1. 시스템 보안 구현 계획
    • 시스템의 보안 설계 내용대로 실제 현장에서 구현하기 위한 세부 범위, 일정, 장소, 인원, 도구, 매뉴얼 및 절차서를 포함하여 실행 방안을 구체화하는 작업을 의미함
  2. 시스템 보안 구현 계획에 포함될 사항
    • 범위 : 기간 및 자원을 고려하여 추진 범위 및 세부 업무 추진 내용을 정함
    • 일정 : 전체 일정을 포함하여 월간, 주간, 일 등을 포함하여 세부 일정을 포함함
    • 장소 : 설계, 구현 및 테스트 장소를 포함함
    • 인원 : 추진 범위 및 일정별로 누가 작업할지 인원을 포함함
    • 매뉴얼 및 도구 : 보안 관련 매뉴얼 및 절차서, 기타 필요한 도구 등을 포함함

6) 시스템 보안 구현 도구

  1. 시스템 보안 구현 도구
    • 시스템의 기밀성, 무결성, 가용성을 보장하기 위해 시스템 취약점으로부터 노출되지 않도록 시스템 보안을 구현하기 위해 필요한 수단, 방법, 프로그램 등을 의미함
  2. 시스템 보안 구현 도구의 종류
    • MBSA : 일반적으로 Windows 시스템에서 틀리기 쉬운 보안 관련 설정을 간단히 확인하는 기능을 갖추고 있음
    • nmap : 서버 관리자의 입장에서 자체 시스템 스캔을 통해 자신이 운영하는 서버가 자신이 알지 못하는 사이에 다른 포트가 열려 있는지 등을 확인하는 도구
    • NBTScan : NetBIOS name 정보를 얻기 위해 네트워크를 점검하는 프로그램


03. 시스템 인증

1) 시스템 인증 개념

  1. 시스템 인증 개념
    • 참이라는 근거가 있는 무언가를 확인하거나 확증하는 행위
    • 어떤 대상을 인증하는 것은 이에 대한 출처를 확인하는 것을 뜻하지만, 사람을 인증하는 것은 사람들의 신분을 구성하는 것을 말함
    • 인증은 하나 이상의 인증 요인에 따라 달라질 수 있음
    • 컴퓨터 시스템 보안에서 인증은 로그인 요청 등을 통해 통신 상에서 보내는 사람의 디지털 정체성을 확인하는 시도의 과정
  2. 사용자 인증(User Authentication)
    • 여러 사용자가 공유하고 있는 컴퓨터 시스템을 사용자나 응용 프로그램의 신분을 확인하여 비정상적인 사용자가 들어올 수 없도록 하는 기법
    • 컴퓨터 시스템의 중요한 정보를 허가되지 않은 사용자가 접근할 수 없도록 사용자 ID와 패스워드를 확인하는 절차
    • 컴퓨터 시스템에서 이미 정해진 규칙이나 기록에 따라 컴퓨터 시스템에 접근하는 사용자의 접근 자격을 확인하는 절차
  3. 사용자 인증의 종류
    • 단순 사용자 인증(Simple User Authentication)
      • 가장 일반적으로 사용하는 방식으로 하나의 패스워드를 사용하여 인증을 받는 기법으로 사용자는 정기적인 패스워드로 변경해야 보안의 위험이 없음
      • 사용자가 직접 다양한 패스워드를 관리하므로 패스워드를 잃어버리거나 노출되는 우려가 있음
    • 단일 사용자 인증(Unique User Authentication)
      • 하나의 인증 요소만 사용하는 방법으로 보안에 매우 취약함
    • 이중 사용자 인증(Two-factor User Authentication)
      • 단일 사용자 인증 요소 중에 2개 이상을 조합하여 사용하는 인증 기법

2) 단일 사용자 인증의 종류

  1. Something you know(자신이 알고 있는 것) - 지식 기반
    • 패스워드나 PIN(개인 식별 번호) 등을 이용하여 인증을 받는 기법으로 사용자가 직접 다양한 패스워드를 관리하므로 패스워드를 잃어버리거나 노출되는 우려가 있음
    • 군대의 암호처럼 머릿속에 기억하고 있는 정보를 이용해 인증을 수행하는 방법
  2. Something you have(자신이 소유한 것) - 소지 기반
    • 스마트폰, 인증키, 인증 카드, OTP 등을 이용하여 인증을 받는 기법으로 분실하였을 경우 습득한 사람이 사용할 수 있다는 문제가 있음
  3. Something you aer(자신 그 자체) - 생체 기반, 바이오 인식
    • 정적인 신체적 특성 또는 동적인 행위적 특성을 이용할 수 있음
    • 지문, 망막, 음성 등의 생체 정보 등을 이용하여 인증을 받는 기법으로 공격자의 강제적 신체 훼손과 인증 시설 비용 증가의 문제가 있음
    • 인증 시스템 구축 비용이 비교적 많이 듦
    • 인증 정보를 망각하거나 분실할 우려가 거의 없음
    • 바이오 인식 기반 인증의 가장 큰 문제는 오인식률(FAR), 오거부율(FRR)
    • 지식 기반이나 소유 기반의 인증 기법에 비해 일반적으로 인식 에러 발생 가능성이 높기 때문에 많은 기술 개발이 필요함
    • 지문 인식은 지문이 노동으로 닳아 없어지거나 이물질이 묻으면 인식이 어려움
    • 음성 인식은 주변에 큰 소음이 있을 경우 취약함
    • 얼굴 인식은 사진이나 동영상을 도용하여도 인식될 수 있음
  4. Somewhere you are(자신이 위치하는 곳)
    • 현재 접속을 시도하는 위치의 적절성을 확인하는 방법
    • 콜백, 위치, GPS 등을 이용함

3) OTP(One Time Password)

  • 1회용 패스워드를 사용하는 방식으로 동일한 패스워드를 반복해서 사용 시 발생하는 보안의 취약점을 극복하기 위해 도입된 사용자 인증 기법
  • OTP는 주로 금융권에서 사용하며, 사용자는 OTP 생성기를 가지고 있어야 하는 불편함이 있는 방식

4) 토큰 기반 인증(Token-Based Authentication)

  • 하드웨어 토큰 장치와 소프트웨어 토큰 장치를 사용하는 인증 기법
  • 하드웨어 토큰 장치에는 패스워드를 암호화한 스마트카드를 사용하고, 소프트웨어 토큰 장치에는 개인 식별 번호인 PIN을 입력하여 인증 패스워드를 받아 사용함
  • 2가지 인증 요소를 사용하므로 보안성이 좋고 가장 강력한 인증 방법
  • 비동기 방식 : 한쪽에서 인증을 요청하면 허가를 받는 형식
  • 동기 방식 : 동시에 인증을 받는 방식

5) SSO(Single Sign On) 인증

  • 시스템이 몇 대가 되어도 하나의 시스템에서 인증에 성공하면 다른 시스템에 대한 접근 권한도 모두 얻는 방식
  • SSO 접속 형태의 대표적인 인증 방법에는 커버로스를 이용한 Windows 액티브 디렉터리가 있음
    • 커버로스(Kerberos)
      • 분산 환경에서 사용할 수 있도록 만들어진 네트워크 인증 서비스
      • 공개키 암호 방식은 전혀 사용하지 않고 대칭키 암호 방식만을 사용함
저작자표시 비영리 변경금지 (새창열림)