Computer/Computer Security

네트워크 보안

curious week 2025. 3. 28. 15:01

01. 네트워크 보안의 개요

■ 컴퓨터 네트워크

  • 컴퓨터 간의 상호 접속 및 정보교환 수단
  • 다양한 사용자 접근 가능
  • 침입자에 의한 보안사고 가능성 존재

■ 네트워크 보안의 목적

  • 가정: 통신회선상의 정보는 항상 노출 가능
  • 목표: 통신회선상의 정보 보호

■ 보안 위협 요소

  • 물리적 위협:네트워크 시스템에 대한 직접적인 파괴나 손상을 입히는 행위
    • 장비 파괴, 도난 등
  • 기술적 위협:
    • 수동적 공격: 정보 도청(정보를 무단으로 취득)
    • 능동적 공격: 정보 변조, 위조

■ 네트워크 보안

수동적 공격과 능동적 공격에 대한 대응을 총칭

  • 수동적 공격 방어:
    • 통신 회선 접근 차단
    • 데이터 암호화
  • 능동적 공격 방어:
    • 데이터 암호화
    • 수신 측 무결성 검증

02. 네트워크 보안의 목표

  • 기밀성: 정보 노출 방지
  • 무결성: 데이터 위조 및 변조 방지
  • 가용성: 합법 사용자 접근 가능 보장
  • 부인방지: 송수신자 모두 행위 부인 불가
  • 인증: 사용자 및 데이터 발신처 확인
  • 접근제어: 권한 있는 사용자만 접근 가능

03. 네트워크 보안 모델

■ 보안 서비스 & 메커니즘

  • 보안 서비스: 인증, 기밀성, 무결성, 부인방지 등 제공 -네트워크 보안을 강화하기 위한 제반 서비스
  • 보안 메커니즘: 암호화, 전자서명, 무결성 점검 등 보안 서비스를 구성하는 기술

■ OSI 7계층 보안 서비스

  • 1~2계층: 물리 / 데이터링크 계층
    • 보안 목적: 실제 하드웨어 장치와 통신 매체에 대한 접근 차단
    • 주요 보안 서비스
      • 접근제어: 인가되지 않은 장비 접속 차단 (예: 포트 보안)
      • 트래픽 흐름 기밀성: 누가 누구에게 데이터를 보내는지 숨김 (ex. 패딩, 위장 신호)
    • 사용 예시: 스위치 MAC 포트 보안, VLAN 분리
  • 3~4계층: 네트워크 / 전송 계층
    • 보안 목적: 패킷 전송 시 경로 및 연결의 신뢰성 확보
    • 주요 보안 서비스
      • 대등개체 인증: 상대 호스트 검증 (ex. IPsec AH)
      • 무결성: 데이터 변조 여부 검출 (ex. IPsec, TCP Checksum)
      • 기밀성: 암호화를 통한 내용 보호 (ex. IPsec ESP, TLS)
    • 사용 예시: VPN(IPsec), TLS, TCP 인증 옵션
  • 5~7계층: 세션 / 표현 / 응용 계층
    • 보안 목적: 사용자, 응용 데이터 보호 및 신뢰성 제공
    • 주요 보안 서비스
      • 데이터 발신처 인증: 이메일/메시지의 실제 발신자 확인 (ex. S/MIME)
      • 부인방지: 데이터 수발신자가 자신의 행위 부정 못하게 함 (ex. 전자서명)
      • 고급 접근제어: API, 클라우드 리소스 접근 제한
    • 사용 예시: HTTPS, OAuth 인증, 전자서명된 PDF/이메일
  • 인증, 접근제어, 기밀성, 무결성, 부인방지 등 각 계층에서 제공

■ 주요 보안 서비스 설명

  • 인증(수신된 데이터의 실체가 원하는 실체라는 것을 확인) 
    • 대등개체 인증: 상대방 신원 검증,패스워드 및 암호화 기법
    • 데이터 발신처 인증: 이메일 등 비대면 서비스에서 발신자 확인,데이터 수정 등에 대한 보안은 제공 못함
  • 접근제어(비인가된 사용자의 위협으로부터 정보자원을 보호)
    • 인가된 사용자만 정보자원에 접근 가능
  • 기밀성(네트워크를 통해 전달되는 정보의 내용이노출되는 것을 방지)
  • 네트워크를 통해 전달되는 정보의 내용 보호
  • 유형: 접속/비접속/선택영역/트래픽 흐름 기밀성
  • 무결성(데이터의 내용이 인가되지 않은 방식에 의해 변경 또는 삭제되는 것을 방지)
    • 비인가된 변경/삭제 방지
    • 유형: 접속 무결성, 비접속 무결성 등 (5가지 형태로 구분)
  • 부인방지
    • 발신/수신자가 행위 부인 불가하도록 방지

■ 주요 보안 메커니즘

  • 암호화: 인증, 기밀성, 무결성 제공 (링크/단대단 암호화)
  • 전자서명: 송신자 인증 + 무결성 보장 (공개키 기반)
  • 접근제어: 사용자 권한 검증 및 보장
  • 데이터 무결성: MAC(메시지 인증코드), MDC(조작 점검코드) 등을 이용해 데이터 위조 검출, 재사용을 막기위해 타임스탬프 사용
  • 인증교환: 핸드셰이크, 타임스탬프 등 다양한 신분확인 정보이용과 암호화 기법 등 활용
  • 트래픽 패딩: 실제 데이터가 아닌 정보를 고의로 흐림으로 데이터 흐름 위장, 트래픽 흐름의 해석을 방지하기 위해 다양한 수준의 보안을 제공하는 메커니즘
  • 라우팅 제어: 네트워크로 전달되는 데이터에 대한 보안요구를 충족시키기위해 물리적·논리적 전송경로를 선택하는 메커니즘, 안전한 경로를 통해 데이터 전송
  • 공증: 신뢰 기관이 통신 중인 데이터의 무결성, 발신지, 목적지 등과 같은 데이터 전송의 진위 보증
  • 기타 보안 메커니즘
    • 보안 레이블
    • 보안감사 추적
    • 보안복구
    • 이벤트 감지
    • 신뢰기능

04. TCP/IP 보안

■ 개요

  • TCP/IP, UDP, ICMP는 인터넷 핵심 프로토콜
  • 보안 미흡하므로 강력한 보호 필요

주요 기술: IPsec, SSL/TLS

IPsec (IP Security)

■ 개요

  • IP 계층의 보안 제공
  • 두 가지 프로토콜
    • AH (Authentication Header, 인증 헤더): 무결성 + 출처 인증
    • ESP (Encapsulating Security Payload, 캡슐화 보안 페이로드): 기밀성 + 무결성 + 출처 인증

■ AH 구조

  • IP 헤더 + AH + 데이터 + 무결성 확인값(ICV)

■ ESP 구조

  • Transport Mode: IP 헤더는 암호화 안함
  • Tunnel Mode: IP 헤더도 암호화 (보안 강화)

■ 특징

  • IP 자체 변경 없이 사용 가능
  • 모든 상위 계층 프로토콜 보호 가능
  • 암호 연산 필요 → 오버헤드 발생

SSL / TLS

■ 개요

  • SSL: 넷스케이프 개발, 브라우저-서버 트래픽 보호
  • TLS: SSL 3.0 기반 국제 표준 (IETF)

위치: 애플리케이션 계층과 TCP 사이

■ 구성

  • 핸드셰이크 프로토콜: 인증, 키 교환, 보안 파라미터 설정
  • 레코드 프로토콜: 메시지를 블록 단위 암호화/복호화
저작자표시 동일조건 (새창열림)