정보 보안 거버넌스 4. Access Control Systems &Methodology(접근 제어 시스템)

목차

1. 접근 통제의 목적

1-1. 접근 통제의 목적

2. 통제

2-1. 통제

2-2. 접근 통제 모델

2-3. 예방과 탐지

3. 통제 응용 기술

3-1. 식별과 인증(Identification & Authentication)

3-2. 역할과 책임

3-3. 생체 인식

3-4. SSO(Single Sign On)

4. 통제 방법

4-1. 접근 권한 통제 목록(ACL)

4-2. 분산형 접근 통제

5. 침입과 공격

5-1. 침입과 공격의 각종 유형

 

1. 접근 통제 목적

1-1. 접근 통제의 목적
- 기밀성, 가용성, 무결성 보존 (C.I.A)
- 추가적인 목적은 신뢰성과 효용성

- 기밀성, 가용성, 무결성과 조직의 보안 정책에 의해서 결정.

- 접근 통제 메커니즘은 반드시 위험, 위협, 취약성에 대한 고려가 필요

 

기밀성(Confidentiality)
- 오직 인가된 사람게만 정보가 공개 되는 것

- 통신, 저장매체 등에 해킹이나 비인가자의 접근이 있어도 정보의 내용을 보호하는 방법.

- 가장 오래된 기밀성 유지 수단으로는 암호화가 있다.

 

가용성(Availability)
- 필요한 시점에 시스템이나 정보를 사용할 수 있도록 하는 것.

- 정보 시스템을 다중화(컴퓨터를 여러대 배치), 분산 처리하는 등의 방법을 이용해서 높일 수 있음

- 기밀성과는 trade off 관계.

 

무결성(Integrity)
- 정보가 사상하는(가리키는) 대상과 일치성을 유지하는 것

- 암호, 해쉬등의 방법이 무결성을 보장하는 기술로 이용 

 

무결성을 위한 세가지 하부 목표

- 비인가자로부터 정보 변경 방지
- 허가된 인원으로 부터 승인되지 않았거나 실수에 의한 변경 방지
- 일관성
  -> 내부 일관성 : 데이터간 일관성
  -> 외부 일관성 : 데이터와 실체간 일관성

위험
- 어떤 위협이 자산의 취약성을 이용하여 손실이나 손상을 야기 할 수 있는 잠재성을 의미.
- 위험의 파급효과나 상대적 심각성은 손상 또는 손실된 비즈니스적 가치와 위협의 예상 발생 빈도에 의해서 비례적으로 결정.  

- 위험의 요소
  -> 프로세스 및 자산에 대한 위협과 취약성
  -> 이로 인한 영향
  -> 발생 확률(정량적 측정) 
- 위험 분석의 사전 작업 : 정보 자산 및 업무 프로세스에 대한 식별
- 대안 평가 (비용 효익 분석)
  -> 경영진이 감수할 수 있는 위험의 수준
  -> 위험 감소 방법 (제거, 발생 억제, 영향 최소화, 보험등의 전가)

 

위협
-> 시스템이나 정보가 피해를 입을 수 있는 잠재적 가능성

 

취약성
-> 보안 정책이나 기능의 미비나 부재로 인해 위협이 나타날 가능성

 

2. 통제

2-1. 통제

일반적인 정보 자산 보호 프로세스
- 자산 및 프로세스 식별 – 위험 식별 – 통제 – 평가

- 통제는 반드시 책임 추적성을 제공하며 이것은 감사기능, 신원확인, 인가 등의 통제 프로세스에 의해 구현.

 

통제의 분류
- 예방 통제

  ->발생 전에 위험 가능성을 탐지 하고 최소화 하는 통제
  -> 고용, 직무 분리, 접근 통제, 업무 승인 절차 등등
- 적발 통제

  -> 악의적인 행위를 탐지하고 보고하는 절차
  -> 해시합계, 모든 check 알고리즘, 성과 보고, tripwire(파일의 변화를 탐지) 
- 교정 통제
  -> 위협의 영향을 최소화 하기 위해 문제의 원인을 파악하고 발생된 문제에 대해서 재발을 방지하는 절차
  -> 백업 계획 및 절차, 재실행 절차

 

통제 구현
- 관리 통제

  -> 통제 정책, 보안의식 훈련, 신원 확인등 프로세스 운영 측면에서 통제
- 논리적 통제

  -> 암호, 접근통제 목록 등의 기술을 이용한 시스템에 대한 접근제한이나 정보 보호
- 물리적 통제

  -> 잠금 장치, 정기 백업, 보안 가드 등을 이용한 물리적인 보안 구성
  -> 논리적 통제나 물리적 통제는 운영 보안 도메인에서 컴퓨터 운영 통제로 구분.

 

2-2. 접근 통제 모델

강제적 접근 통제 (MAC : Mandatory Access Control)

- 관리자가 정책(등급)에 근거해 접근 내용을 결정
- 보안 대상의 민감도와 응용 및 사용자의 보안 취급 권한을 비교함으로써 접근 제어를 구성
- 규칙 기반의 접근 통제 (Role-base access control)
- 임의적 접근 통제를 포함해서 최소권한의 규칙을 구현.

- 강제적 접근 통제만 쓰는 시스템은 없음

 

임의적 접근 통제 (DAC : Discretionary Access Control)
- 데이터의 소유자가 접근 권한을 결정
- 강제적 접근 통제(MAC)와 같이 사용시 MAC에 우선 할 수 없다.
- 강제적 접근 통제의 추가적인 검정 도구로 사용.
- 신원, 사용자 중심 접근 통제

- 유닉스, 윈도우 등등

비임의적 접근 통제 (Non-Discretionary Access Control)
- 여러가지 통제중 역할(Role)이나 역할(Task) 중심의 접근 통제를 주로 사용 
- 신원 기반 접근 통제
- 빠른 직무 순환이나 변화되는 조직에 적합
- 격자기반 접근 통제(Lattice base access control)
  -> 하한값과 상한값을 갖는 주체와 객체로 이루어진 쌍에서 주체는 가장 낮은 범위를, 객체는 가장 높은 범위의 접근 권한을 갖는 방식

 

2-3. 예방과 탐지

세 쌍의 통제 메커니즘

- 논리적 예방과 탐지(기술적 예방과 탐지)

  -> 운영 보안에 해당

  -> IS 시스템과 관련되어 있음.

- 관리적 예방과 탐지
- 물리적 예방과 탐지

  -> 관리적 예방, 물리적 예방을 합쳐서 관리 보안에 해당

 

논리적 예방과 탐지 
- 예방 : 접근 통제 프로그램, 콜백 시스템, 제한된 사용자 인터페이스 등등

  -> 콜백 시스템은 PSTN과 ISDN에서 많이 사용. 우리나라에서는 쓰지 않음

  -> 네트워크 인증시 전화번호를 사용

- 탐지 : IDS 

 

관리적 예방과 탐지
- 예방 : 조직적인 정책과 절차, 채용 관행, 직원의 배경 조사, 퇴직 절차, 보안 의식 훈련 등등
- 탐지 : 직무 순환, 직무 분리, 민감 개체에 대한 레이블, 휴가 스케쥴링 등등

 

물리적 예방과 탐지
- 예방 : 담장, 인식표, 다중 출입문, 경비원, 출입 통제 설비, 백업 사이트 등등
- 탐지 : 동작, 온도 감지 센서, CCTV 등등

 

3. 통제 응용 기술

3-1. 식별과 인증(Identification & Authentication)

식별(identification)

- 본인을 구별하는 행위(ID)
- 이름, 카드, 지문 등등

 

인증(authentication)

- 신원이 맞는지 확인하는 행위(Password)
- 응답토큰, 암호 등등

 

일반적인 I&A(식별과 인증)의 취약성

- 취약한 인증 방식
- 인증 우회
- 인증 정보의 기밀성과 무결성 부족

- 네트워크상에서 취약한 암호
- 인증 요소 소유에 대한 사용자의 인식부족 (공유. 분실…)

 

I&A의 분류
- Type 1 : 지식기반 : 패스워드, PIN번호 등등 
- Type 2 : 소유기반 : 스마트 카드, USB 토큰, ATM 카드 등등 
- Type 3 : 존재기반 : 지문, 망막 등등

 

이중인증 기법(two-factor authentication), 존재기반 인증 기법등 둘 이상의 인증방법을 혼합한 안전한 인증에 사용.
- 지식과 소유 (PIN번호, 지문)

 

행동 중심 I&A

 -> 서명, 음성

 -> 선진국에서는 범죄 증거로 인정함.

 

3-2. 패스워드

- 고정 패스워드(static password)
- 변경 패스워드(dynamic password)
- Passphrase

  -> 하나의 단어 대신 외우기 쉽거나 연상하기 쉬운 문장으로 구성된 암호.

 

토큰을 이용한 일회용 패스워드(OTP : One Time Passwd)
- 동기 변경 패스워드 토큰
  -> 일정 시간 간격으로 유일한 패스워드 생성
  -> 유효한 시간 범위 이내에만 사용가능(핸드폰 문자 인증 등등) 

 

- 비동기 변경 패스워드 토큰
  -> 시간 범위가 없는 점을 제외하면 동기 변경 패스워드와 동일

 

- 질의 응답 토큰
  -> 시스템의 질의 따라 다른 패스워드가 필요
  -> ex) 보안카드

 

3-3. 생체인식

- Type-1 오류(FRR, False Rejection Rate)

  -> 잘못된 거부율(정상적인 인식을 거부)

- Type-2 오류(FAR, False Acceptance Rate)

  -> 잘못된 승인률(비정상적인 인식을 승인)

  -> Type 1보다 중요 
- 식별 시스템의 민감도는 FRR에 비례하고 FAR에 반비례.
- 동일 오류율(교차에러비율)(CER, Cross Error Rate)

  -> 시스템 성능의 적절한 측정하기 위해 사용

  -> 반비례인 FRR과 FAR이 같은 지점

  -> EER과 같은 의미

  -> 그래프의 y축, 즉 오류율이 낮을수록 좋음 

- 응답시간이 빠르고 EER이 낮은 인증 수단 
  ->손바닥 > 손모양 > 홍채 > 망막 > 지문 > 얼굴

 

3-4. SSO(Single Sign on)
- 1차 도메인(SSO 서버)에서 자격증명을 처리하고 이 정보를 2차 도메인(정보 자원, 응용 플랫폼)에 제공

- 세션키를 나눠가지기 위해 커버로스, 세사미, 크립토나이트 등의 기술을 이용해 구현.

 

장점
- 사람이 더욱 강력한 암호를 사용하도록 할 수 있음
- 관리 능력 향상
- 암호 재생성에 대한 관리경비 절감
- 여러 플랫폼의 로그인 시간 절약

 

단점
- 모든 시스템을 통합하는 것이 어려움
- 개발 유지보수와 관련된 경비 증가
- SSO의 안정성의 문제(셧다운(1차 도메인이 작동 불능이면 2차 도메인도 작동 불능), 유출, 파괴 등등)

4. 통제 방법
- 접근 권한은 유형에 따라 ‘알 필요, 할 필요’ 에 근거하여 문서화 되어야 한다.

4-1. 접근 권한 통제 목록(=접근 통제 테이블)(Access control list)
- 특정시스템의 자원을 사용하도록 권한을 부여 받은 사용자정보와 허용된 접근 시스템이나 소스의 종류를 포함.
- 정책 입안자나 개별 사용자에 의해 결정되지만 반드시 보안관리자에 의해 구현.
- ACL 를 작성하기 위한 작업
  -> IS 자원 목록 작성 -> IS 자원 분류 -> IS 자원 labeling 작업 -> ACL 작성

4-2. 분산형 접근 통제
I&A 및 권한 프로세스의 분산 환경의 장점
- 각 사이트에서 관리가 이루어진다.(다운사이징 시스템)
- 보안 현안이 적시에 해결 될 수 있다.
- 보안 통제에 대한 모니터링을 더 자주 수행

I&A 및 권한 프로세스의 분산 환경의 단점

- 조직이 요구하는 표준이 준수되지 않을 수 있음.
- 관리 수준이 중앙 집중식보다 낮을 가능성이 존재.
- 표준 준수 보장과 관련된 관리적인 감사, 검사가 어려움

5. 침입과 공격
- 침입과 공격은 모두 형법상의 용어로 분리, 이해 되어야 함.

5-1. 침입과 공격의 각종 유형
포트스캔
- TCP나 UDP가 사용하는 프로세스를 구별하기 위한 주소중에 대기중인 주소를 검사. 즉, port가 열려있는지 확인
- 여러 집을 돌아다니며 벨을 눌러 거주자가 있는지 확인하는 행위와 비슷
- 사전 공격 행위로 인식

스푸핑(spoofing)
- 주소를 조작하여 인가된 시스템으로부터 접속했다고 기만하는 행위
- IP, ARP, DNS 스푸핑 등등

스니핑(sniffing)
- 도청 행위
- 자신을 목적지로 하지 않은 네트워크 상의 패킷을 읽어서 공격하는 행위
- 정상적으로 통신이 되도록 반드시 릴레이 해줘야 함.
- Shoulder surfing (어깨넘어보기)
  -> 시스템에 의존하지 않고 접근 권한을 획득 가능.

TCP 일련 번호(Sequence number) 공격
- Sequence number를 가로채서 세션에 끼어 드는 공격
- Sequence number : Segment의 첫번째 byte의 stream에서의 byte 순서 번호

버퍼 오버플로우 공격(Buffer overflow attack)
- 죽음의 핑(Ping of Death), 초과 길이 파일명이나 사용자 이름을 이용한 메일 공격(65,537 byte 이상)
- 적절한 parameter 설정으로 일부 방지가 가능.
- OS 업데이트후 불가능한 공격

SYN flooding 공격
- TCP의 초기 핸드쉐이크 중의 버퍼 공간을 이용한 공격

조각 공격(teardrop attack)
- IP의 offset field와 중복된 fragmentation 필드를 이용한 공격
- 시스템을 리부팅하거나 크래쉬 되도록 유발.
- 지금은 잘못된 오프셋 번호를 보내면 전부 지워버림

스머프 공격(Smurf)
- ICMP를 이용해 IP 스푸핑을 이용해 목표 시스템을 여러 시스템으로 공격(라우터가 대상이면 인터넷 불능)

패스워드 크래킹
- 전수공격(brute force)
  -> 키의 길이를 늘린다.
- 저장된 암호 파일이용
  -> shadow file이용
- 패스워드 가로채기
  -> 암호 인증 프로토콜(PAP)을 이용
- 사전공격
  -> 패스워드에 친숙한 단어를 입력해보는 공격
- 무차별 공격
  -> 아무 패스워드나 무작위로 입력해 보는 것 (전수 공격의 형태)

익스플로잇(exploit)
- DOS, DDOS 공격
- SYN/ Land 공격(잘못된 IP를 가진 SNY를 서버에 보내 서비스를 방해)
- Ping of Death (사이즈가 큰 IP패킷을 전송)
- Ping flood(많은 량의 ping 패킷을 전송)
- Fraggle (공격 대상 IP를 출발지로 네트워크에 ping 패킷을 전송, UDP기반)
- UDP 폭탄
  -> 시스템 사이에 지속적인 UDP 패킷을 전송
  -> TCP는 혼잡제어 하기때문에 불가능
- 웹 스푸핑
  -> 하이퍼링크 스푸핑

트로이 목마
- 인가된 것처럼 속이는 악성 부정 코드

웜
- 데이터를 파괴하거나 자원을 소모하는 파괴적인 프로그램 (복제하지 않는다.)

논리 폭탄
- 특정시간이나 조건에 구동되는 파괴적인 프로그램

바이러스
- 자신을 복제하는 불법적인 공격 프로그램

트랩 도어
- 시스템의 보안규정을 우회하도록 구성된 시스템의 출구

워 드라이빙
- 공개된 망(을 조사

소수점 절사, 살라미
-> 소액의 돈을 절사(소수점 이하 버리는 금액에 대한 회계 부정 등등)