보안 서비스에는 기밀성, 무결성, 가용성, 인증, 부인방지, 접근제어가 있다.
기밀성은 송신자와 수신자만 메시지 내용을 볼 수 있어야 한다, 즉 이 외의 다른 사람이 보면 기밀성이 저해된다. 기밀성과 관련된 공격은 가로채기가 있다. 가로채기는 허가받지 않은 자가 메시지를 가로채는 행위를 말하는데 이에 대한 해결책은 암호가 있다. 암호는 가로채더라도 내용을 볼 수 없게 내용을 암호화 하는 방법이다. 암호의 대표적인 예시로는 가장 오래된 암호 방식인 시저암호가 있다. 시저 암호는 평문의 내용을 키 값만큼 전치시켜 암호문으로 암호화하는 방식이다. 복호화 할 때는 키 값만큼 반대로 전치시켜주면 된다. 또 다른 예시들로는 비밀키 암호기법과 공개키 암호 기법이 있다. 비밀키 암호기법은 대칭키 암호 기법, 공개키 암호 기법은 비대칭키 암호 기법이라고도 한다. 비밀키 암호기법은 암호화키가 복호화키와 동일한 키를 사용하기 때문이다. 공개키 암호화 기법의 암호화키는 공개되어 있고 복호화키는 개인만 가지고 있는 키를 사용한다.
무결성은 허가되지 않은 사람은 전송되는 정보를 볼 수 없고 수정하면 안된다는 것이다. 무결성을 저해하는 공격은 수정이 있다. 수정은 허가받지 않은 자가 메시지를 획득한 후 수정하는 행위인데 이에 대한 해결책으로는 해시 함수를 이용하는 것이다. 해시 함수는 송신자가 보내려는 서류를 해시 함수에 넣으면 Messsage digest가 생성되는 데 이를 보내려는 서류와 같이 송신한다. 수신자는 받은 서류를 송신자가 사용했던 동일한 해시 함수에 넣어 Messsage digest를 생성하고 송신자로부터 받은 Messsage digest와 비교하여 수정이 되지 않았는지 확인한다.
가용성은 허가된 자들은 언제든지 시스템 자산이 이용 가능해야 한다는 것이다. 가용성과 관련된 공격은 가로막기가 있다. 가로막기는 시스템 자산을 이용 불가능하게 하거나 사용할 수 없도록 하는 행위인데 이에 대한 해결책은 방화벽, IDS, IPS를 이용하는 것이다. IDS는 여러 종류의 악의적 네트워크 트래픽을 탐지하여 남겨진 로그를 바탕으로 보안대책을 세우는 침입 탐지에 초점을 둔 시스템이다. IPS는 미리 정의된 공격들을 관리자가 차단시키거나 통과 시키는 식으로 공격이 들어온다면 설정 한대로 트래픽을 처리하는 침입 방지에 초점을 둔 시스템이다.
인증은 메시지의 출처 또는 사용자가 정확히 식별됨을 확인하는 것으로 이와 관련된 공격에는 위조가 있다. 위조는 허가 받지 않은 자들이 위조된 문서를 전달하는 행위로 해결책으로는 사용자 인증 기술이 있다. 사용자 인증 기술은 3가지로 나뉘는 데 사용자가 가진 것, 아는 것, 사용자 자체가 있다. 가진 것은 사용자가 가지고 있는 ID 카드 등이 있고 아는 것은 패스워드, 보안 숫자 등이 있고 사용자 자체는 홍채 등 생체 정보 등이 있다.
부인 방지는 송신자가 송신했음에도 불구하고 송신하지 않았다, 수신자가 수신했음해도 불구하고 받지 않았다고 부인하는 것이다. 이에 대한 해결책으로는 전자서명이 있다.
접근 제어는 시스템 자산에 접근할 때 등급 별로 접근 범위를 제한하는 등 접근 범위를 제어하는 것이다. 접근 등급이 안 되는 사람이 기밀 문서에 접근하는 문제가 발생할 수도 있는데 이에 대한 해결책은 RBAC를 이용하는 것이다. RBAC를 이용하면 역할에 맞게끔 접근 제어 규칙을 가지고 접근하도록 만들 수 있다.
* 위의 글은 www.kocw.net/home/search/kemView.do?kemId=1320013 1주차 강의를 보고 제가 작성한 내용입니다.