* 해당 포스트는 PC환경에 최적화 되어있습니다.
* 참고 교재는 없으며 학교에서 배운 내용과 강의자료 그리고 인터넷 자료들을 섞어서 정리한 포스트입니다.
* 저작권 문제는 hjl3066@gmail.com으로 연락주시면 빠르게 조치하겠습니다.
네트워크 보안의 5대 요소
- 정보 보안의 3대 요소
- 기밀성(Confidentiality)
- 무결성(Integrity)
- 가용성(Availability) - 추가 요소
- 서버 인증(Server Authentication)
- 클라이언트 인증(Client Authentication)
기밀성(Confidentiality)
인가된 사용자만 정보 자산에 접근할 수 있는 것. 보안 관련 시스템과 소프트웨어, 방화벽, 암호 등이 그 예이다.
네트워크 보안에서는 서버 - 클라이언트, 서버 - 서버, 클라이언트 - 클라이언트 간의 통신에서 허가되지 않은 사용자 또는 객체가 정보의 내용을 알 수 없도록 하는 것. 이를 해치는 공격은 스니핑(Sniffing)이라 한다.
무결성(Integrity)
권한을 가진 사용자가 인가한 방법으로만 정보를 변경할 수 있도록 하는 것이다.
네트워크 보안에서는 클라이언트 - 서버 간의 데이터가 변조되지 않고 전송하는 것. 무결성을 해치는 공격에는 세션 하이재킹(session hijacking)이 있다.
가용성(Availability)
필요한 시점에 정보 자산에 대한 접근이 가능하도록 하는 것이다.
네트워크 보안에서는 허락된 사용자 또는 객체가 네트워크를 통해 정보에 접근하려고 할 때 방해 받지 않도록 하는 것. 이를 해치는 공격이 서비스 거부 공격(Denial of Service)이다.
서버 인증(Server Authentication)
클라이언트가 올바른 서버로 접속하는지, 클라이언트가 서버 접근 시 해당 서버가 올바른 서버임을 확인하기 위한 것. SSL(HTTPS)을 통해 서버 인증을 하지만 현재는 경고를 보여주고 사용자에게 선택을 하게 하는 것이 일반적이다.
- HTTPS : 개인 정보 암호화 통신
- HTTP : ID/Password 무방비 노출
클라이언트 인증(Client Authentication)
올바른 클라이언트가 접속을 시도하는지 확인하는 것. 웹 사이트에 접근할 때 사용하는 아이디와 패스워드, 공인인증서가 대표적인 예이다. 관련 공격은 스푸핑, 세션 하이재킹, 피싱 등이 있다.
책임 추적성(Accountability)
시스템 내의 각 개인은 유일하게 식별되어야 하는 것. 시스템은 누가, 언제, 어떠한 행동을 하였는지 기록하여 그 행위자를 추적할 수 있어야 하며, 각 개인은 자신의 행위에 대해 책임을 진다.
* 강의 자료에서는 기밀성, 무결성, 가용성, 서버 인증, 클라이언트 인증으로 5개의 네트워크 보안 요소를 이야기했지만, 보안 5대 요소 중 하나인 책임 추적성을 작성자가 임의로 넣었음.
* 책임 주적성은 정보통신용어사전을 참고 하였음.