1-1. 해킹과 보안의 역사

목표

1. 정보 보안의 필요성 확인

2. 정보 보안의 의미 이해

3. 해킹과 보안의 역사

4. 시대별 정보보안의 주요 이슈 이해

5. 시대별 정보보안의 특징 이해

 

정보화 사회에서의 보안

유비쿼터스 : 언제 어디서든, 원하는 정보를 주고 받을 수 있는 새로운 환경 패러다임

 

제어(통제)로 인한 문제 발생

이슈 예시 : 출입 통제 시스템으로 인한 감금, 의료 시스템 해킹으로 인한 동작 오류에서 비롯되는 환자 피해

    자동차 혹은 기차의 시스템 해킹으로 인한 동작 경로 조작, 발전 시설에 대한 공격으로 인한 전기 공급 중단 등 사고 유발

 

군사적 목적 해킹

북한으로부터의 APT 공격

 

해킹과 보안의 역사 (~ 2000년대)

해킹 : 정상화 되어있는 컴퓨터 시스템에 악의적 목적으로 접근하여 정상적으로 사용하지 못하도록 하거나 정보를 얻는 일련의 과정을 의미

- 국어사전 : 컴퓨터 시스템에 침입하여 장난이나 범죄를 저지를는 일

- 한영사전 : 컴퓨터 조작을 즐기는 것, 무엇이든지 숙고하지 않고 실행하는 것

- 영영사전 : Hacking is abkout finding inventive solutions using the properties and laws of a system in ways not intended by its designer

 

1960년대 이전

이니그마(1918) : 평문 메시지를 암호화된 메시지로 변환하는 기능을 하는 전기/기계 장치

- 문자키를 누르면 3개의 원판이 회전하면서 복잡한 체계로 암호를 생성

 

콜로서스(1943) : 엘런 튜닝이 이니그마 해독을 위해 개발 (최초의 컴퓨터)

- 초당 5000자의 암호문이 종이 테이프를 타고 들어가면서 암호와 일치할 때까지 비교

- 수를 세거나 비교, 산술 연산을 하는 전자부속 포함

- 한 차례에 17000여개의 조합을 체크함

 

1960년대

해킹 용어의 등장 (1960년대) : MIT에서 처음 사용

- 모형 기차제작 동아리 TMRC에서 기차, 트랙, 스위치들을 보다 빠르게 조작한다는 의미에서 유래

 

ARPA 프로젝트(1967) : 관련 기관간의 정보 공유를 위한 컴퓨터 연동망 개발

 

마우스(1968) : 더글러스 잉글버트 박사가 최초의 마우스 개발

 

UNIX(1969) : 켄 톰슨과 데니스 리치가 개발한 운영체제

- 다수의 사용자의 접속, 다수의 기능 제공

 

Telnet(1969) : ARPA Net의 상용버전 개발

 

무료 전화 방법 발견(1969) : 조 인그레이아가 2600Hz 휘파람으로 무료 장거리 전화 사용법 발견 

 

1970년대

무료통화 발견(1971) : 드레이퍼가 2600MHz 주파수의 호루라기로 무료통화가 가능하다는 사실 발견

 

이메일(1971) : 레이 토밀슨이 최초의 이메일 프로그램 개발. ARPA Net에서 @를 사용하여 이메일 발송

 

솔 개발(1975) : 리 펠젠스파인이 최초의 데스크탑을 개발

마이크로소프트 설립 (1975) : 빌 게이츠와 폴 앨런이 설립

 

C(1979) : 브라이언 커닝험과 데니스 리치가 개발

애플(1979) : 스티브 워즈니악과 스티브 잡스가 개발

 

1980년대

Basic,DOS(1980) : 마이크로소프트에서 개발

 

PC(1981) : IBM에서 CPU, 소프트웨어, 메모리, 유틸리티, 저장장치가 장착되어 단독 작동이 가능한 PC 개발

 

전화요즘 조작(1981) : 이안 머피가 AT&T의 컴퓨터 시스템에 침입해 시계를 바꿔서 심야 요금이 낮에 적용되도록 조작

 

CCC결성(1981) : 독일 해커 그룹 카오스 컴퓨터 클럽 결성

 

네트워크 해커 개념 등장(80년대 초) : 미국 밀워키의 로날드 마크 오스틴을 포함한 414 Private의 일원들이 암센터 등 60개 컴퓨터 시스템에 침입

 

GNU 프로젝트(1983) : 리처드 스톨만에 의해 알려짐.

- 기본적인 보안에 대한 개념이 정립되기 시작한 때

- 자유 소프트웨어에 대한 내용

- 0 : 프로그램을 어떠한 목적을 위해서라도 실행할 수 있는 자유

- 1 : 프로그램의 작동 원리를 연구하고, 이를 필요에 맞게 변경시킬 수 있는 자유. 소스 코드에 대한 접근이 선행되어야 함

- 2 : 이웃을 돕기 위해서 프로그램을 복제하고 배포할 수 있는 자유

- 3 : 프로그램을 향상시키고, 이를 공동체 전체의 이익을 위해서 다시 환원시킬 수 있는 자유. 소스코드에 대한 접근이 선행되어야 함.

 

X 윈도우 시스템(1984) : 로버트 쉬라이플러 발표

 

프랙(1985) : 나이트 라이트닝과 타란 킹이 창간한 온라인 해킹 잡지

 

군사 데이터 해킹(1985) : 미 국방부 컴퓨터에 침입하여 통신 위성 위치 변경 코드를 포함한 군사 통신 데이터 해킹

 

2600(1986) : 해커 잡지 출판

 

컴퓨터 범죄 관련 최초 처벌 규정(1986) : 미 의회에서 '컴퓨터 사기와 오용에 관한 조항' 통과

 

서독 해커들의 군사 기밀 탈취(1986) : 전 세계 300여 기관에 불법적인 접근으로 군사 기밀 탈취

 

웜(1988) : 로버트 타판 모리스가 만든 웜에 의한 인터넷 마비. 네트워크로 연결된 6000여 대의 컴퓨터를 감염시켜 정부 및 대학 시스템 마비. 이에 미 국방부는 카네기 멜론 대학에 컴퓨터 비상 대응팀(CERT) 설립. 웜의 개념은 1982년 처음 등장.

- 침해 사고가 발생하면 조직을 통해 대응하기 시작함. 우리나라에서는 한국 인터넷 진흥원에서 담당하고 있음

 

1990년대

포르쉐 상품 변조(1990) : 해커 케빈 폴슨 등이 25개의 라디오 방송국 전화망에 침입하여 점령한 뒤 당첨 전화 직전에 다른 전화선을 모두 정지시키는 방식으로 상품과 상금을 탈취

 

리눅스(1991) : 리누스 토발즈가 PC에서 돌릴 수 있는 유닉스 운영체제 개발

 

윈도우 NT 3.1(1993) : 마이크로소프트에서 발표. CUI에서 GUI 기반으로 바뀌는 전환점

 

FreeBSD 1.0(1993) : 리눅스 버전

 

넷스케이프 개발(1994) : 웹 정보 접근이 가능해짐

- 다양한 해킹 정보와 툴들이 웹을 통해 공개(ex- 스니퍼)

- 개인정보 탈취, 계좌 정보 변조. 더 이상 해커라는 용어가 순수한 목적으로 컴퓨터를 연구하는 사람을 칭하지 않게 됨.

 

레드햇 설립(1994)

 

시티은행 자금 인출(1994) : 러시아 갱단이 시티은행의 자금 탈취

 

케빈 미트닉 체포(1995) : 미 항공 우주 방위 사령부(NORAD) 등 침입

 

AOHell(1997) : 무료 해킹 툴 공개. 대용량 이메일 폭탄 공격

 

Back Orifice(1998) : Cult of the Dead Cow 해킹 그룹에서 트로이 목마 프로그램 발표. 시스템에 침입한 이후 백도어를 통해 쉽게 시스템을 제어할 수 있도록 하는 툴.

 

MS 윈도우 98(1999) : 윈도우 및 기타 상용 프로그램에서 새롭게 발견되는 수많은 버그에 대한 패치 프로그램 발표. 보안 회사들은 다양한 해킹 방지 프로그램 발매.

 

2000년대

DDos(2000) : 분산 서비스 거부 공격. 새로운 공격 방식 출현

 

Smurf(2000) : ICMP 패킷을 이용한 공격으로 몇 시간 가량 마비

 

해킹 및 바이러스 피해 증가(2001) : 네트워크 및 웹이 활성화되면서 사용자가 증가되고, 그에 대한 악의적 행위 증가

 

공공기관 해킹(2002) : 공공기관 해킹 및 홈페이지 취약점을 이용한 데이터베이스 정보 유출 등의 사이버 테러 발생

 

MS SQL 2000 공격(2003) : 슬래머 웜이 MS SQL 2000 공격. 네트워크 마비

 

웜 피해(2004) : 베이글 웜, 마이둠 웜, 넷스카이 웜

 

주민등록번호 유출(2005) : 개인정보 무단 도용

 

은행 피싱사이트(2005) : 피싱 사이트로 유도하여 개인정보 탈취

 

정보 검색 순위 조작(2006) : 클릭 수 자동 증가

 

 국민은행 농협 고객 정보 대량 유출 / 공인인증서 유출(2007) : 금전적 이익을 노린 해킹 급증

 

정보화 사회와 보안

- 주변의 많은 것들이 시스템/네트워크화 될 것이며, 안정적으로 성장하고 발전하기 위해서 보안은 필수 불가결한 요소