10-1. 보안 시스템 : 인증 시스템 및 방화벽과 침입 탐지 시스템

목표

1. 생체 인식의 종류와 방법을 알아봄

2. 방화벽의 기능과 목적을 이해함

3. 침입탐지 시스템의 기능과 목적을 이해함

 

인증 시스템

: 인증을 하고자 하는 주체(Subject)에 대해 식별(Identification)을 수행하고, 이에 대한 인증(Authentication & Authorization) 서비스를 제공하는 시스템

 

Something You Are

: 생체 조직을 통한 인증

ex) 지문, 손모양, 망막, 홍채, 서명, 키보드, 목소리, 얼굴 등

 

지문

- 가장 흔히 쓰이는 생체 인식 수단

- 가격이 싸고 효율성이 좋으면서 사용에 거부감이 거의 없음

- 손에 땀이 많거나 피부가 잘 벗겨지는 사람에게는 오탐률이 높음

 

- 인증을 수행하는데 걸리는 시간은 약 3초

 

손모양

- 손가락의 길이와 굵기 등을 이용함.

- 아주 간편하고, 인증 데이터의 크기가 작은 편이기 때문에 빠른 인증을 수행할 수 있음 (약 3초 미만)

- 사람들의 손 모양이 높은 인증 수준을 가질만큼 완벽하게 다른 것은 아니라는 단점이 존재

 

- 적외선을 이용하여 표피 가까이에 있는 정맥의 모양을 이용하는 것도 있음

- 손 모양을 이용한 장비보다 보안 수준은 높으나, 가격이 비싸고 장비가 크다는 단점이 있음.

 

망막

: 안구 뒷 부분의 망막에 흐르는 모세혈관의 굵기와 흐름을 통해 신분을 확인함.

 

 눈 뒷부분에 있는 모세혈관을 이용하여 인증을 수행함.

- 정확도가 아주 높으나 눈을 기계에 오래 대고 초점을 맞춰야 해서 거부감을 일으킬 수 있음

- 인증에 약 10~ 15초 정도 걸림

- 안경을 쓴 상태에서는 인증을 수행할 수 없음.

- 높은 인증 수준이 요구될 때 사용함

 

- 눈병에 걸리는 등의 상황에는 인식률이 떨어지고, 심장이 멎거나 죽으면 혈류가 멎어 인식이 불가능

- 인식 장치에 눈을 대고 특정한 곳에 초점을 맞춰야하므로 인증 의지가 없어도 인증이 불가능함

 

홍채

- 홍채는 눈의 색을 결정하는 부분

- 망막 인증보다 정확도가 높고, 인증을 수행하는 장치에 따라 약 50cm 정도의 거리에서도 인증 가능

 

서명

- 외국에서는 서명의 힘이 커서 이를 이용한 인증 장치도 생김

- 장비를 이용하여 서명의 진위를 확인하는 것은 높은 보안 수준을 가지지 못함.

  (매 서명마다 약간의 차이가 발생함)

 

키보드

- 키보드를 누를 때 특정한 리듬을 타는데, 이런 리듬을 이용하여 신분을 확인하는 방법

- 오탐률이 높고 효율적이지 못함

 

목소리

- 원격지에서 전화를 이용할 수도 있고, 사용 방법을 따로 익히지 않아도 되는 편리함이 있으며 저렴함.

- 환경이나 감정에 따라 변할 수 있고, 다른 이가 흉내낼 수도 있어서 높은 보안 수준을 가지지는 못함

 

얼굴

- 얼굴  윤곽을 통해 인증 수행

- 현재(2013년 기준)의 기술이 다양한 표정의 얼굴을 정확히 인증하기에는 무리가 있음

  (기술과 알고리즘이 발전하면서 정확도가 올라가고 있음)

 

Something You Have

: 사용자가 인증 수단을 소유하여 인증을 수행함.

- 다른 사람이 쉽게 도용할 수 있기 때문에 단독으로 쓰이지 않고, 일반벅으로 Something You Know 나 Something You Are와 함께 쓰임

 

ex) 스마트 키/카드, 신분증, 인터넷뱅킹 카드, OTP, 공인 인증서 등

 

스마트 키 / 카드

: 출입자가 카드를 소유하여 출입을 허가 받았음을 인증

 

신분증

- 학생증, 주민등록증, 운전면허증 등

- 본인임을 확인하기 위해 얼굴을 대조하기 때문에 Something You Are에서도 인증 수단이 됨

 

인터넷 뱅킹 카드 / OTP

- 인터넷 뱅킹을 하기 위해 개인이 보유하고 있는 시크릿 카드

- One Time Password로 본인에게만 보이는 인증 번호

 

공인 인증서

- 인터넷뱅킹이나 온라인을 통한 신용카드 거래에서 많이 사용

- 공인 인증서 사용에 대한 위험 요소가 제기됨.

 

SSO (Single Sign On)

: 모든 인증을 하나의 시스템에서 하는 것.

  시스템이 몇 대가 되어도 하나의 시스템에서 인증에 성공하면 다른 시스템에 대한 접근 권한도 모두 얻음.

 

1. 클라이언트가 서버(1번)에 연결 요청

2. 서버는 클라이언트에게 SSO 서버로 인증 후 접속할 것을 요청

3. 클라이언트가 SSO 서버에 인증 요청

4. 인증

5. SSO 서버와 연결된 서버(1, 2, 3번)에 별도의 인증 과정 없이 접속 가능

 

- 대표적인 인증 방법으로는 커버로스(Kerberos)를 이용한 윈도우의 액티브 디렉토리가 있음.

 

커버로스/케르베로스(Kerberos) 

- 윈도우 서버에 이용되며(버전5), (2013년 기준) 10여년 전에 MIT의 Athena 프로젝트 중에 개발됨

- 고대 그리스 신화에 나오는 지옥문을 지키는 머리 세 개 달린 개(케르베로스)

  (클라이언트 / 서버 / SSO)

 

- Single Point of Failure : 최초 인증 과정을 통과하면 모든 서버나 사이트에 접속이 가능해진다는 가장 큰 약점

- 중요 정보에 대한 접근 및 동작 시 지속적인 인증(Continuous Authentication)을 하도록 되어 있음

 

방화벽

: 신뢰하지 않는 외부 네트워크와 신뢰하는 내부 네트워크 사이를 지나는 패킷을 미리 정한 규칙에 따라 차단하거나 보내주는 기능을 하는 하드웨어나 소프트웨어

 

- 보안을 높이기 위한 가장 1차적인 것

- 신뢰할 수 없는 외부의 무차별적인 공격으로부터 내부를 보호한다는 점에서 불길을 막는 방화벽과 유사하며, 가장 기본적인 보안 솔루션

 

주요 기능

접근 제어

- 관리자는 방화벽에 통과시킬 접근과 그렇지 않은 접근을 명시함

- 구현 방법에 따라 패킷 필터링(Packet Filtering)과 프록시(Proxy) 방식으로 구분함

 

- 가장 기본적인 기능으로 룰셋(Rule Set)을 통해서 수행되는데, 룰셋은 방화벽을 기준으로 보호하고자 하는 네트워크 내외부에 존재하는 시스템들의 IP와 포트 단위로 이루어짐.

 

예시)

 

- 첫 번째 룰셋은 외부(External)에서 접근하는 모든 시스템에게 내부의 192.168.100.100 시스템의 80번 포트에 대한 접근을 허용함

- 두 번째 룰셋은 '명백히 허용하지 않은 서비스에 대한 거부'를 적용하기 위한 것으로, 룰셋을 통해 명시적으로 허용하지 않으면 모두 차단

 

룰셋 적용 방법

1. 허용할 서비스 확인

2. 제공하고자 하는 서비스가 보안상 문제점이 없는지, 허용이 타당한지 검토

3. 서비스가 이루어지는 형태를 확인하고, 어떤 룰을 적용할지 구체적으로 결정함

4. 방화벽에 실제로 적용하고, 적용된 룰을 검사함

 

로깅과 감사 추적

: 허가나 거부된 접근에 대한 기록을 유지함

 

인증

: 메시지 인증, 사용자 인증, 클라이언트 인증이 가능

 

- 메시지 인증 : VPN(Virtual Private Network)와 같은 산뢰할 수 있는 통신선을 통해 전송되는 메시지에 대한 신뢰성을 보장

- 사용자 인증 : 패스워드를 통한 단순한 인증부터 OTP(One Time Password), 토큰 기반(Token Base) 인증 등 높은 수준의 인증까지 가능

- 클라이언트 인증 : 모바일 사용자처럼 특수한 경우 접속을 요구하는 호스트 자체가 정당한 호스트인지 확인함.

 

데이터의 암호화

: 방화벽에서 다른 방화벽으로 전송되는 데이터를 암호화해서 보냄

 

침입탐지 시스템 (IDS, Intrusion Detection System)

: 설치 위치와 목적에 따라 호스트 기반의 침입탐지 시스템(HIDS, Host-based Intrusion Detection System)과 네트워크 기반의 침입탐지 시스템(NIDS, Network-based Intrusion Detection System)으로 나눔

 

HIDS

- 윈도우나 유닉스 등의 운영체제에 부가적으로 설치되어 운용되거나 일반 클라이언트에 설치함.

- 운영체제에 설정된 사용자 계쩡에 따라 어떤 사용자가 어떤 접근을 시도하고 어떤 작업ㅇ르 했는지에 대한 기록을 남기고 추적.

- 네트워크에 대한 침입탐지는 불가능하며, 스스로가 공격 대상이 되었을때만 탐지가 가능함.

 

NIDS

- 네트워크에서 하나의 독립된 시스템으로 운용됨.

- 감사와 로깅을 할 때 네트워크 자원이 손실되거나 데이터가 변조되지 않음.

- 네트워크 전반에 대한 감시를 할 수 있으며, 그 감시 영역이 상대적으로 매우 큼

 

데이터 필터링과 축약

- 방대한 데이터는 감시자를 지치게하여 효과적인 대응을 막기 때문에 데이터의 효과적인 필터링과 축약이 필요함.

- 공격 의지를 가졌다고 생각되는 숫자만큼 Clipping Level로 설정.

 

침입탐지 기법

오용 탐지(Misuse Detection) 기법

: 이미 발견되고 정립된 공격 패턴을 미리 입력해 두었다가 이에 해당하는 패턴을 탐지함

 

- 탐지 오판률이 낮고 비교적 효율적임

 

- 알려진 공격 이외에는 탐지할 수 없음

- 대량의 데이터를 분석하는 데는 부적합함.

- 공격을 어떤 순서로 실시했는지에 대한 정보를 얻기 어려움

 

- 전문가 시스템(Expert System)을 이용한 침입탐지 시스템도 이를 기반으로 함

- Signature Base나 Knowledge Base라고도 불림

 

상태 전이(State Transition) 기법

: 각각의 공격 상황에 대한 시나리오를 작성해두고 각각의 상태에 따른 공격을 분석.

 

- 결과가 아주 직관적이나 세밀한 시나리오를 만드는 것이 아주 어려움

- 추론 엔진이 들어가기 때문에 시스템에 부하를 줄 수 있음

 

이상 탐지(Anomaly Detection) 기법

: 정상적이고 평균적인 상태를 기준으로, 상대적으로 급격한 변화를 일으키거나 확률이 낮은 일이 발생하면 탐지를 알림

 

- 기법으로는 정량적인 분석, 통계적인 분석, 비특성 통계 분석 등이 있음.

- 인공지능과 면역 시스템이 특이한 점

 

- 인공지능 침입탐지 시스템은 공격에 대해 스스로 판단하고 결정을 내려 알려주나, 그 판단의 근거가 불확실하고 오판률도 높음

- 면역 시스템은 새로운 공격을당하면 그에 대해 스스로 학습하여 해당 공격이 다시 일어날 때 이에 대응하지만, 재설치를 하면 최초 상태로 돌아가는 큰 단점이 있음

 

- 이 두 시스템은 아직 많은 상품이 개발중이며, 일부가 공개되었으나 다른 침입탐지 시스템과 공존하는 형태로만 운용되고 있음

 

책임 추적성과 대응

: 침입탐지 시스템은 공격을 발견하면 관리자에게 알람이나 기타 방법을 통해 전달.

 

- 이 중에 능동적인 대응을 하는 시스템을 침입차단 시스템이라고 칭함

 

침입탐지 시스템의 설치 위치

 

1. 패킷이 라우터로 들어오기 전

: 네트워크에 실행되는 모든 공격을 탐지할 수 있으므로 공격 의도를 가진 이들을 사전에 파악할 수 있음.

 

- 공격에 대한 데이터를 너무 많이 수집하며, 내부 네트워크로 침입한 공격과 그렇지 않은 공격을 구분하기 어려워서 공격에 효율적으로 대응하는 것이 어려움

 

2. 라우터 뒤

: 라우터의 패킷 필터링을 거친 뒤의 패킷을 검사함.

 

- 라우터로 들어오기 전에 검사하는 것보다 적은 수의 공격을 탐지하며, 좀 더 강력한 의지를 가진 공격자를 탐지함.

 

3. 방화벽 뒤

: 네트워크에 직접 영향을 주는 공격을 탐지하며, 때문에 공격에 대한 정책과 방화벽과의 연동이 가장 중요한 부분임.

 

- 내부에서 외부로 향하는 공격도 탐지할 수 있는 곳이므로, 내부의 공격자도 어느 정도는 탐지할 수 있음

 

4. 내부 네트워크

: 내부의 클라이언트를 신뢰할 수 없어서 이들에 대한 내부 네트워크 해킹을 감시할 때 설치함.

 

- 방화벽은 외부 침입을 1차적으로 차단하지만 내부에 대해서는 거의 무방비 상태.

 

5. DMZ(Demilitarized Zone)

: 능력이 아주 뛰어난 외부 공격자와 내부 공격자에 의한 중요 데이터의 손실이나 서비스의 중단을 막기 위함.

 

- 중요데이터와 자원을 보호하기 위해 침입탐지 시스템을 별도로 운영하기도 함