네트워크 보안

“보안(Security)”이란 ?

- 컴퓨터에 저장된 데이터가 유출되거나 손실되지 않도록 보호하는 컴퓨터 보안

- 내부 정보의 외부 유출과 외부로부터의 악의적인 공격을 감지하거나 차단하는 활동,

컴퓨터 간에 안전하게 데이터를 전송하는 네트워크 보안

 보안 위협

-  컴퓨터 간 안전한 데이터 전송

1) 전송 차단 : 데이터를 전송할 수 없도록 송신 측과 수신 측이 연결되지 않도록 차단

2) 가로채기 : 송신 측과 수신 측 사이에 주고받는 데이터를 가로채는(sniffing)는 행위

3) 변조 : 송신 측에서 전송한 데이터를 가로채어 데이터의 일부 또는 전부를 변경하여 수신 측에 전달

4) 위조 : 제3자(공격자)가 송신 측이 데이터를 전송한 것처럼 위조(fabrication)하여 수신 측에 전달

-  내부 정보의 유출

1) 다양한 서비스 등장 : SNS, P2P, 클라우드, 메신저, 웹하드, 웹메일 등

2) 서비스 갱신 주기 단축 : 지속적인 패턴 갱신, 서버 풀 및 이동

3) BYOD(Bring Your Own Device)로 인한 모바일 기기의 확산 : 스마트폰, USB 메모리, 외장하드 등

-  외부로부터의 침입 또는 공격

1) 해킹

2) APT(Advanced Per Threat)

3) 바이러스

보안 요구 사항

 비밀성

1) “기밀성”으로도 불리며, 네트워크 상으로 전송되는 데이터를 읽지 못하도록 하거나 읽더라도 내용을 알

수 없도록 보호

 무결성

1) 네트워크 상에 전송된 원본 데이터를 위조하거나 변조하지 못하도록 보호

2) 전송중 데이터가 위조 또는 변조 되더라도 수신측에서 원문의 위조 또는 변조를 감지할 수 있도록 하는 것

 가용성

1) 네트워크 자원이 사용 허가를 받은 사용자에게 사용자가 요청한 시점에 제공되어야 함

2) 서비스 거부 공격(DoS)등에 대한 대응

 인증

1) 메시지 또는 데이터의 송신자 또는 작성자를 특정하고 보장하는 장치

 부인방지

1) 작성자 또는 송신자가 메시지 또는 데이터를 보낸 사실을 부인하지 못하도록 하는 장치

망분리

 기업 또는 조직의 내부 업무망과 외부 인터넷 망을 분리하여 중요 정보들이 있는 업

무망을 안전하게 보호

 논리적 망분리 : 하나의 망만 직접 연결하고 다른 망은 가상으로 연결하는 방식

 물리적 망분리 : 물리적으로 망을 2개로 구성하여 분리하는 방식

 VLAN (Virtual LAN)

 논리적 망분리의 대표적인 기술 : IEEE 802.1Q

 하나의 물리적인 망(Local Area Network)을 여러 개의 구별되는 가상의 Broadcast

Domain으로 Layer 2 계층으로 분할

 패킷 들은 VLAN 내부에만 전달되고 VLAN간의 패킷 이동은 라우터를 통해서만 가능

 장점 및 특징

1) 네트워크 구성에 대한 지리적 제한을 최소화하면서 사용자가 원하는 논리적인 네트워크 구성 가능 : 공간

이라는 지리적 위치가 아닌 접속 포트나 MAC 주소, 프로토콜 단위등으로 가상 LAN 구성 가능

 조직/부서 단위의 VLAN 구성으로 보안성 강화 가능

1) 사용자가 이동하거나 바뀔 경우에도 동적인 작업 그룹 구성 가능

2) Broadcast 패킷에 대한 효율적인 제어로 네트워크 사용 효율 향상

 종류

1) Port-based VLAN : Tagged / Untagged VLAN (0x8100)

2) Protocol-based VLAN : 프로토콜(Ethernet Payload type)에 따른 패킷 forwarding 설정

3) IP-based VLAN, MAC-based VLAN 등등

방화벽 (Firewall)

 외부 네트워크와 내부 네트워크 간의 유일한 경로로 네트워크간 통신 트래픽은 반

드시 방화벽을 통과하도록 하여 내부 네트워크의 자원 및 정보를 보호하는 장비

 외부에서 내부 네트워크로 허가되지 않은 접근을 차단하고, 내부 사용자의 허용되지

않은 외부 서비스에 대한 접근을 차단하여 내부 네트워크을 보호하는 역할

 기본 구성 요소

1) 네트워크 정책(policy) : 로깅(Logging)과 감사(Auditing)

2) 사용자 인증(Authentication)

3) 패킷 필터링 : 접근 제어(Access Control) – White List / Black List

4) 응용 계층(L7) Gateway

 제어 방식

1) 패킷 필터링 : 패킷의 5Tuple(L3 and L4)을 기반으로 패킷 필터링하는 라우터. 고속처리와 낮은 유지보수

비용 장점이 있으나 정책 범위가 제한적이고 터널링 등에 대한 대응 어려움

2) 응용 계층 Gateway : 지정된 서비스별 프록시를 이용한 네트워크 접근 제어

3) 하이브리드 방식 : 여러 유형을 복합적으로 구성

IDS/IPS/UTM

 Intrusion Detection/Prevention System : 침입 탐지/방지 시스템

 침입 탐지 시스템

 네트워크와 시스템의 사용을 실시간으로 모니터링하고 외부로부터의 공격이나 침입을 탐지하는 시스템

 컴퓨터에 탑재되는 H-IDS와 네트워크에 설치되는 N-IDS로 구분

 국내에서는 흔히 네트워크 IDS로 IDS로 통칭함

 특정 호스트 또는 여러 호스트에서 수집된 자료나 네트워크 전체에서 수집된 패킷 자료를 기반으로 침입

탐지 자료로 활용하거나 사전에 정의된 정상적인 사용자 행위에 대한 프로파일 기반으로 비정상적인 시스

템 또는 네트워크 접근을 탐지하거나 알려진 취약점 공격 행위의 프로파일을 기반으로 공격을 탐지하는 방

식

 침입 방지 시스템

 네트워크에 상주하며 트래픽을 모니터링하여 악성코드나 해킹과 관련된 유해 트래픽을 탐지 및 차단하고,

명확히 정의되지는 않았지만 의심스러운 접근을 차단하는등 적극적으로 네트워크를 보호하는 시스템

 방화벽과의 차이

 방화벽 : OSI 3계층 IP와 4계층의 포트 기반의 패킷 필터링

 IDS/IPS : L3, L4에 추가하여 Payload 데이터까지 분석하는 DPI(Deep Packet Inspection) 기술 활용

 일반적으로 방화벽 안쪽에 IDS/IPS를 설치하여 방화벽이 처리하지 못하는 트래픽을

차단하는 형태로 활용

 Unified Threat Management : 통합 위협 관리

메일 보안 시스템

 메일서버 앞 단에 위치하여 기밀정보, 개인정보, 인사정보 등 회사의 규정에 따라 사

전에 정의한 유출금지 정보들(핵심 기술정보, 인사정보, 설계도면, 견적서, 고객정보

등)이 발신 메일에 포함되어 있는지를 스캔/검출하여 외부로 발송되는 것을 사전에

차단

 업무 상 해당 정보의 외부 반출이 필요할 때에는 내부 승인절차를 통해 외부로 발송

하는 메일승인, 발송제어 기능으로 내부정보 유출을 원천 차단

 소만사 ‘Mail-I’, 지란지교 ‘메일 스크린’

 DLP (Data Loss Prevention)

 PC 분야에 대한 개인정보 실시간 검색, 암호화, 완전 삭제, 보유 등록, 전사 현황 관

리, 개인정보 유출 전 사전 통제 기능 등을 제공하는 데이터 유출 방지 장비

 N-DLP : 네트워크 DLP. 인터넷과 연결된 네트워크 단에서 DLP 기능 수행

 DB 접근 제어

 DB/시스템 접근제어는 내부자가 데이터가 저장되어 있는 DB서버 또는 시스템에 액

세스할 때 등급 또는 계정별로 내부자를 분류하여 접근할 수 있는 데이터에 차등을

둠으로써, 데이터 이용을 위한 접근 이력을 관리하는 솔루션

MDM

 Mobile Device Management

 스마트폰이나 태블릿, 휴대용컴퓨터와 같은 모바일 기기를보호, 관리, 감시, 지원하는일련의 과정

 안전한 패스워드 설정, 모바일애플리케이션 배포, 도난 및분실시 원격 자료삭제 등

 인증

 인증은 여러 사람이 이용할 수 있는 컴퓨터 혹은 통신망에서 사용자의 신원을 확인하여 인가되지 않은 사용자가 이용하는 것을 막기 위한 보안 방식

 클라우드 업무 환경 및 BYOD의 확산으로 인해 모바일 기기를 활용한 스마트 워크업무 환경이 구축되면서 이를 이용할 수 있는 사람과 없는 사람을 구별하기 위한 무선 인증의 중요성 대두

 생체 인식 : 개인의 독특한 생체 정보(지문, 목소리, 홍채, 얼굴 등 개인의 특징)를 활용하는 인증 방식