열 한 번째 강의안 정보시스템 보안 열 한 번째 강의안 정보시스템 보안 1. 정보보안의 개요 2. 암호화 3. 인증 1. 정보보안의 개요 2. 암호화 3. 인증
Welcome message from author
This document is posted to help you gain knowledge. Please leave a comment to let me know what you think about it! Share it to your friends and learn new things together.
Transcript
열 한 번째 강의안
정보시스템 보안열 한 번째 강의안
정보시스템 보안
1. 정보보안의 개요
2. 암호화
3. 인증
1. 정보보안의 개요
2. 암호화
3. 인증
1. 정보보안의 개요1. 정보보안의 개요
정보보안의 의미정보보안의 의미
물리적 보안 physical security
컴퓨터실이나 중요한 정보를 보관하는 공간에 대하여 물리적으로 접근이나 출입을통제하는 방식
관리적 보안 administrative security
보안정책 security policy) 수립, 보안절차 security procedure 관리, 보안인원security personnel의 관리, 복구절차 recovery procedure 수립 등
컴퓨터 보안 computer security
기본 서버시스템, 응용시스템, 데이터베이스 등으로 구성되는 컴퓨터 시스템이 여러보안위협으로부터 정보보안 사고를 당하지 않도록 하는 것
네트워크 보안 network security
근거리통신망(LAN), 광역통신망(WAN), 공중전화망(PSTN), 인터넷(Internet) 등과 같은 네트워크를 통한 컴퓨터 통신상에 발생하는 보안위협을 막자는 것
3
정보보안 기술 분류 및 응용분야정보보안 기술 분류 및 응용분야
암호화 encryption
비대칭형 방식과 대칭형 방식 그리고 해쉬 알고리즘을 기본으로 한 전자서명또는 전자봉투의 방법으로 정보를 전달
응용분야 전자지불, 인터넷상의 응용시스템에서 전송문서의 보안(S/MIME), 네트워크상에서 사용자나 코드(code)의 인증, 데이터의 보호, 가상사설망 등
4
정보보안 기술 분류 및 응용분야 -계속-정보보안 기술 분류 및 응용분야 -계속-
방화벽 firewall
외부로부터의 내부망에 대한 불법침입이나 하부망의 정보보호를 위해사용되는 기술
주로 내부망과 인터넷이 연결되는 위치 gateway에 방화벽이 설치
5
악성코드와 백신 프로그램악성코드와 백신 프로그램
악성코드 컴퓨터 바이러스라고 일컬어지는 악성코드 malicious code는활동가능시기, 감염능력에 따라 바이러스, 트로이목마 및웜으로 분류 바이러스 virus
숙주가 되는 컴퓨터 파일이 실행되는 경우에만 다른 파일을 감염시켜증식하거나 바이러스 자신의 보안 침해행위(정보의 삭제, 훼손, 백도어등)가 가능
트로이목마 Trojan horse
바이러스처럼 숙주가 되는 컴퓨터 파일이 실행되는 경우에 보안침해행위를할 수 있으나, 다른 파일을 감염시키지는 않음.
웜 worm
숙주 파일의 실행에 관계없이 독립적으로 실행가능할 뿐만 아니라자기증식이 가능한 경우
6
악성코드와 백신 프로그램 -계속-악성코드와 백신 프로그램 -계속-
악성코드를 막는 방법: 백신 Vaccine 프로그램 악성코드의 정보 패턴 pattern을 확인하고 제거 (코드 스캐닝
code scanning) 이미 알려진 악성코드의 패턴에 대해서만 확인이나 치료가가능하며, 신종의 악성코드에 대해서는 효과가 가지기 어려운한계
7
2. 암호화2. 암호화
암호화의 목적암호화의 목적
암호화의 목적 기밀성(비밀성)
허가된 사용자 이외에는 암호문을 해독하여 원문을 확인할 수 없도록 하는 것
(상호)인증 authentication
원문의 작성자 또는 작성원 source을 파악할 수 있어야 한다는 것
완전성(무결성) integrity
보관정보 또는 전송정보가 작성시점 이후 사용자(또는 수신자)가 내용을 보거나전달받는 과정까지 훼손되거나 불법으로 변경되는 것을 방지
부인방지(부인봉쇄) non-repudiation
정보의 작성자나 수신자가 작성·전달과정 또는 수신과정을 거쳤는데도 불구하고작성이나 수신을 부인하는 것을 방지
9
암호화 관련 용어암호화 관련 용어
10
용어 정의
평문 암호화를 하지 않은 일반 문서
암호화 평문을 암호화 알고리즘을 이용해 암호문으로 변환하는 작업
암호화 알고리즘 평문을 암호문으로 만들기 위해서 쓰이는 규칙
암호문 암호화 알고리즘을 통해 암호화되어서 나온 문서
복호화 암호문을 다시 원래의 평문으로 변환하는 작업
복호화 알고리즘 복호화할 때 쓰이는 규칙으로 암호화 알고리즘과 같음
키(key) ID나 패스워드와 달리 암호화 알고리즘에 의해 만들어지는 비트(bit)들의집합으로 암호화나 복호화를 할 때 쓰이는 도구
암호화 방법: 비밀키 vs. 공개키 -계속-암호화 방법: 비밀키 vs. 공개키 -계속-
비밀키(대칭키 또는 단일키) 암호 방식 송신자의 암호화 과정과 수신자의 복호화 과정에서 동일한 키가 사용되는
방식
속도가 빠르고 효율적
개별 시스템의 상황에 적합한 알고리즘의 개발 수월
유지 관리의 어려움
공개키(비대칭키)암호방식 암호화에 사용되는 키와 복호화에 사용되는 키가 서로 다름
자신의 비밀키만 보관하면 됨
전자서명에서도 상대적으로 간단하고 효율적인 시스템구축 가능
데이터 처리 속도가 느림
11
비밀키(대칭키) 암호화 방식비밀키(대칭키) 암호화 방식
12
평문 암호문
비밀키(암호화)
평문암호문
인터넷
비밀키(복호화)
공개키(비대칭키) 암호화 방식공개키(비대칭키) 암호화 방식
13
암호문
평문해쉬 함수
010011001101…010011001101…
(128bit)
평문해쉬 함수=메시지의 무결성
010011001101…010011001101…
(128bit)
송신자의비밀키=사용자인증 암호문
수신자의공개키=메시지기밀성
암호문
송신자의공개키=사용자인증 암호문
수신자의비밀키=메시지기밀성
송신자
수신자
3. 인증3. 인증
인증의 개요인증의 개요
인증 authentication
한 실체를 개인으로 혹은 개인이 속한 그룹의 한 일원으로식별해 주는 처리 과정
공개키 암호방식에서 공개키의 무결성을 보장하기 위해인증기관이 발행하는 인증서 certificate를 의미
전자서명 검증키 digital key 또는 digital ID와 사용자가 소유한전자서명 생성키가 일치한다는 사실을 공신력 및 전문성을 갖춘인증기관 certificate authority: CA을 통해 확인ㆍ증명하는 것
15
암호화와 응용암호화와 응용
전자서명 digital signature
수기서명
Electronic signature 재사용 가능하며 이로 인해 위변조 등이 가능하다는 문제점 발생
Digital signature 문서를 파일형태로 저장한 후 전자서명 생성키를 이용
개인키로 암호화한 암호문 대개 원문의 해쉬 함수 결과(메시지 다이제스트)를 작성자의 개인키로암호화한 결과를 말함.
16
인증서인증서
인증서 Certificate
사용자의 신분과 공개키를 연결해 주는 문서로 인증기관의비밀키로 전자 서명하여 생성
사용자의 공개키가 실제로 사용자의 것임을 증명
인증서의 발행 대상 인증기관과 사용자, 서버 등
인증기관에게는 상위 인증기관이 인증기관의 적법성을 증명하기위해 발행
사용자와 서버에게는 사용자의 신원, 서버 등의 적법성을증명하기 위해 인증기관에서 발행
17
인증기관의 분류인증기관의 분류
공인인증기관 Certificate Authority: CA
전자서명법에 따라 거래사실을 공정하게 관리ㆍ보증할 수 있는 공신력과인증시스템을 안전하게 구축ㆍ관리할 수 있는 인력, 기술력, 자금력을 갖춘기관
최상위인증기관 Root CA, 인증기관 CA
전자서명 생성키 소유자 지원, 전자서명 검증키 위탁, 전자서명 검증키 제공
등록기관 Registration Authority: RA
인증기관과 멀리 떨어져 있는 사용자들을 위해 인증기관과 사용자 사이에등록기관을 두어 인증기관 대신 사용자들의 인증서 신청 시 그들의 신분과소속을 확인하는 기능 수행
사용자 사람 뿐만 아니라 사람이 이용하는 시스템 모두를 의미
18
인증기관의 필요성ᆞ임무 ᆞ역할인증기관의 필요성ᆞ임무 ᆞ역할
공인 인증기관의 필요성 비대칭형 암호화 방식에 의하여 특정 전자상거래 서비스의 보안을 위해서는
인증기관 certificate authority이라는 별도의 기능이 필요
인증기관의 주요 임무 전자인증서 digital certificate를 적법한 사용자에게 제공(등록, 발급, 폐기,
재발급 등) 전자인증서는 사용자의 공개키와 공개키에 대한 인증기관의 전자서명을 포함
인증기관의 역할 판매자, 구매자, 지불자, 피지불자, 지불게이트웨이 등 다수의 전자상거래
참여자에 대하여 전자인증서를 발급하는 공공성을 띠는 임무를 수행
정부나 공공기관 등에서 인증기관 서비스를 제공하는 기관을 공적으로 인증
19
인증서 발급 절차인증서 발급 절차
20
고객
등록기관(RA)
공인인증기관(CA)
2. 신원확인
3. 사용자 등록
6. 인증서 발급 요청
9. 인증서 수신
7. 인증서 발급
디렉터의서버
5. 인증서 관리S/W 설치 및
한쌍의 서명용키 생성
8. 인증서 개시
온라인
오프라인
인증체계 (전자서명인증관리센터 , http://www.rootca.or.kr/)인증체계 (전자서명인증관리센터 , http://www.rootca.or.kr/)
21
공인인증업무공인인증업무
22
공인인증서 적용가능분야공인인증서 적용가능분야
23
공공분야– 민원업무– 전자국세, 지방세 납부– 각종 공과금 수납– 전자 조달– 전자 입찰– 수출입 통관
금융분야– 인터넷 뱅킹– 사이버 증권– 사이버 보험– 전자자금 거래/이체– 전자화폐
(Time Stamping)
기타분야– 의료(EMR, 의사처방전 등)– 내용증명, 전자공증– 사이버 대학– 가상사설망(VPN) 인증– 출퇴근 관리(Time Stamping)
일반 e-비즈니스– 인터넷 쇼핑– 전자상거래– 각종 예약ㆍ발권– 온라인 고지서(billing)– 기업간 전자상거래
공인인증서
Related Documents
