보안상의 위협 및 공격으로부터 시스템을 보호하기 위해 ISO 7498-2에서는 신분확인 (Authentication), 접근제어(Access Control), 비밀보장(Data Congidentiality), 무결성(Data Integrity), 그리고 부인 봉쇄(Non-repudiation) 기능을 제시하여야 한다. 인터넷 보안을 위한 기본적 요소로는 다음과 같이 나눌 수 있다.
인증(Authentication)
인증은 자신의 신분과 행위를 증명하는 행위를 의미한다. 인증서비스는 자신이 합법적이고 정 당한 실체임을 나타내는 실체 인증과 문서나 전자우편이 특정인에게 온 것임을 증명하는 송신 자 인증이 있다. 정보시스템 사용 시 신분확인을 위한 서비스인 인증 서비스는 통신을 하는 대등 실체 사이의 실체확인 및 데이터 발송처에 대한 실체확인을 한다.
쉽게 말해 경고나 경보 신호와 같은 단 일 메시지의 경우 인증 서비스의 기능은 메시지가 자기라고 주장하는 실제의 출처로부터 전송 돼 왔음을 수신자에게 확인시키는 것이다. 터미널과 호스트 컴퓨터간의 연결과 같이 진행중인 상호 교신의 경우에는 두 가지 사항이 연 관된다. 첫째, 연결이 개시될 때 인증 서비스는 연결될 두 실체가 각각 믿을 수 있는 실체임을 확인한다. 둘째, 인증 서비스는 제 3자가 비 인가된 송수신을 목적으로 연결 당사자중의 하나로 위장하는 방식으로 개입되지 않았음을 확인한다.
접근 제어(Access Control)
접근제어는 비인가된 사용자의 위협으로부터 정보자원을 보호하는 것을 말한다. 사용자의 신 분이 확인된 이후에는 해당 사용자가 정보자원에 대하여 어느 수준의 접근 자격을 갖고 있는 지를 결정한다. 사용자 신분이 확인된 후에 그 사용자가 명시된 자원(Resource)에 대하여 접근할 자격이 있는 가를 점검하고, 다음에는 어떤 유형의 접근 동작을 수행할 수 있는가에 대한 허락을 받도록 하여야 한다. 이렇게 함으로써 모안이 필요한 자원에 대해 부당한 사용자가 접근하지 못하도록 하는 것을 접근제어라고 한다.
비밀보장(Data Confidentiality)
비밀보장은 네트워크를 통하여 전달되는 정보가 비인가된 사용자, 주체, 그리고 여러가지의 불 법적인 행위 및 처리등으로 인하여 그 내용이 노출되는 것을 방지하는 서비스이다. 이를 기밀 성이라 정의하기도 하는데, 이는 부당한 데이터의 노출로부터 데이터를 보호하기 위하여 제공 된다. 메시지 내용공개에 관한 여러 단계의 보호를 구분할 수 있다. 가장 개괄적인 서비스는 두 사용자 사이의 모든 전송자료를 일정기간 보호하는 것이다.
예를 들어 두 시스템 사이에 가상 회로가 개설됐다면 이 개괄적 보호 서비스는 그 가상 회로상에 전송된 모든 사용자 자료를 공개되지 않도록 보호하는 것이다. 이 서비스의 좀 더 제한된 형태가 정의될 수 있는데 단일 메시지 또는 한 메시지내의 특정 필드에 대한 보호등이 있다. 이들 세밀한 서비스는 개괄적인 방법보다 덜 유용하며 적용하기가 더 복잡하고 비쌀 수 있다. 비밀보장 및 기밀성의 또 다른 면은 트래픽 흐름분석에 대한 보호로서 전송자료의 출처와 목 적지, 횟수, 길이, 또는 통신선로상의 트래픽 특성에 대하여 공격자가 알지 못하게 하는 것이다.
데이터 무결성(Data Integrity)
데이터 무결성은 데이터의 내용이 정당하지 않은 방법에 의하여 변경 또는 삭제되는 것을 방지하는 서비스로 복구 기능을 갖는 접속 무결성, 복구 기능이 없는 접속 무결성, 선택영역 접속 무결성, 비접속 무결성, 선택영역 비접속 무결성 등과 같이 다섯 가지 형태로 구분된다.
이 서비스는 능동적 위협(Active Threat)을 방지하며, 아래와 같은 방법 중의 하나를 택할 수 있 다. 한 접속에 대하여, 접속의 설정 시에 대등한 실체 인증과 그 접속의 유지 기간 동안에 데이터 무결성 서비스를 함께 사용하는 것은 그 접속에 전송되는 모든 데이터의 무결성을 제공 받을 수 있게 된다. 또한 순서 번호에 전송되는 모든 데이터의 무결성을 제공받을 수 있게 된다. 또한 순서 번호의 사용을 통하여 데이터의 중복을 탐지할 수 있다.
부인봉쇄(Non-repudiation)
부인 봉쇄란 송신자나 수신자가 전송 메시지를 부인하지 못하도록 막는 것을 의미한다. 따라서 메시지가 송신됐을 때 수신자는 그 메시지가 실제로 송신자에 의해서 송신됐음을 확인할 수 있게 된다. 마찬가지로 메시지가 수신됐을 때 송신자는 그 메시지가 실제로 수신자에 의해서 수신되었을 확인할 수 있다.
흔히 이러한 목적을 위해서 해당 당사자들이 모두 안심하고 신뢰할 수 있는, 독립적이고 중립적인 제 3자로 하여금, 그 당사자들간의 행위를 감독하도록 하던가, 발생된 행위를 기록하여 차후를 대비한 근거 자료로 삼기위한 로깅, 및 감사 추적이 있다.
[ IT/인터넷 정보 관리] - 인터넷정보화 | 인터넷의 기본 개념
[ IT/인터넷 정보 관리] - 인터넷정보화 | 인터넷 보안의 개요 - 인터넷 보안 영역 및 기능
[ IT/인터넷 정보 관리] - 인터넷정보화 | 웹과 웹 프로그래밍 언어 - 웹의 개요
[ IT/인터넷 정보 관리] - 인터넷정보화 | 웹의 구성과 작동 원리
[ IT/인터넷 정보 관리] - 인터넷정보화 | 웹 브라우저의 개요
[ IT/인터넷 정보 관리] - 인터넷정보화 | 정보검색의 기본 개념
[ IT/인터넷 정보 관리] - 인터넷정보화 | 인터넷 최신 기술 - 인터넷 최신 서비스와 기술
댓글