정보통신공학과 통신학과, 정보처리기사 등 정보통신시스템 요약정리 101. 인터넷 보안 시스템

101. 인터넷 보안 시스템

 

가. 방화벽(Firewall) 시스템
네트워크와 외부 세계 사이에 위치한 장벽으로서 허가받지 않은 불법적인 접근이나
해커의 공격 등의 네트워크 침입으로 인한 잠재적 손실을 보호하기 위한 장치이며,
[그림 8-37]과 같이 내부 네트워크와 외부 네트워크의 경계에 위치하여 기본적으로
돌어오고 나가는 모든 패킷들을 필터링하는 역할을 한다.

방화벽 시스템의 개념도

방화벽 시스템은 OSI 참조모델과 관련하여 동작하는 프로토콜 계층에 따라, 계층3
과 계층4에서 패킷 필터링 기능을 수행하는 스크리닝(screening) 라우터와 응용계층
에서 패킷 필터링 기능과 인증 기능을 수행하는 게이트웨이로 분류된다.
스크리닝 라우터는 IP, TCP 및 UDP 프로토콜의 헤더에 포함된 내용을 분석해서
패킷 필터링 기능을 수행하며, 필터링 속도가 빠르고 비용이 적게 든다. 특히, 네트워
크 계층에서 동작하기 때문에 클라이언트/서버에 변화가 없고, 사용자에 투명성을 보
장하며 네트워크 전체를 보호할 수 있다. 그러나, 네트워크 계층과 전송계층에 관련된
트래픽만을 방어할 수 있어, 패킷 필터링 규칙만으로 복잡한 보안 정책의 구현이 어렵
다. 그리고 패킷 내의 데이터에 대한 공격을 차단하지 못하여, 스크리닝 라우터를 통
과 또는 거절당한 패킷에 대한 기록은 관리하기가 어렵다.
프록시(proxy) 서버를 이용한 게이트웨이 방어벽 시스템은 일반적으로 응용 계층에
서의 트래픽 분석 소프트웨어이다. 프록시 서버는 클라이언트가 자신을 통해서 다른
네트워크 서비스에 간접적으로 접속할 수 있게 해 주는 컴퓨터나 응용 프로그램을 가
리키며, 서버와 클라이언트 사이에서 중계기로서 대리로 통신을 수행하여 외부 트래픽
을 줄일 수 있다.
프록시 서버 응용 게이트웨이는 사용자 단체와 응용 프로토콜 단계에서의 접근 제
어와 사용에 대한 기록 유지 및 감시 추적 기능을 제공한다. 이러한 시스템은 응용 서
비스마다 각각 다른 응용 게이크웨이를 구현하므로 보다 안전하게 보호할 수 있고, 정
보 보호 서비스를 응용 게트웨이에서 구현 가능하다. 하지만, 응용 서비스마다 제각기
다른 응용 게이트웨이가 필요하고, 사용되는 응용 서비스가 증가할수록 구축 비용이
증가하는 단점이 있다.

나. 무선 인터넷 보안 시스템
무선 인터넷상에서의 인터넷 뱅킹, 사이버 주식 거래 및 전자상거래를 할 경우, 외
부 침입이나 정보 누출로부터 보호받을 수 있도록 하는 무선 인터넷 공개키 기반 구조
(PKI : Public Key Infrastructure) 기술의 핵심인 비밀성, 무결성 및 신원 확인과
부인 방지 같은 서비스를 무선 환경에서 구현함으로써 무선 보안을 가능하게 한다. 대
표적인 무선 인터넷 프로토콜은 WAP과 ME 등이 있으며, 무선 인터넷의 보안 기능으
로서 [그림 8-38]과 같이 WAP에서는 WTLS((Wireless Transport Layer
Security) 및 WML 스크립트(script)가 사용되며, ME에서는 SSL(Secure Socket
Layer)과 TLS(Transport Layer Security)가 사용되고 있다.

 

WAP와 ME의 보안 기술

SSL은 응용 프로그램 프로토콜과 TCP/IP 사이에 위치하여 인증, 암호화, 메시지
무결성 기능을 웹(web) 보안을 위해 가장 널리 사용되고 있는 보안 프로토콜 중 하나
이다. 일반적으로 웹 프로그램이 상주하는 응용 계층에서 메시지를 암호화하여 불안전
한 채널로 전송하는 대신에, 응용 계층은 안전한 채널을 설정하도록 하는 특수한 소켓
루틴만을 이용하고, 어떠한 데이터라도 안전한 채널을 통해서 전송하도록 하는 데에
있다. SSL은 웹 제품뿐만 아니라 FTP 등 다른 TCP/IP 애플리케이션에 적용할 수 있
으며, 인증 암호화 기능이 있다. TLS는 현재 널리 사용되고 있는 SSL(Secure
Sockets Layer)을 대신하는 차세대 보안 프로토콜로서, SSL에 비해 강력한 암호화를
실현할 수 있고 다양한 통신망 환경에 적용할 수 있다.

다. 정보통신 시스템의 보안기술 동향
네트워크 환경이 점차적으로 유비쿼터스 환경으로 전환되고 있는 시대흐름에 따라,
기존의 사람 위주로 수행하던 암호, 인증 및 권한 관리 기술이 CCTV와 홈가전 등 다
양한 디바이스로 예상되고 있어 이에 대한 기술의 개발과 표준화가 추진되고 있다. 특
히, 불법 게시물과 불법 댓글 중 최근 사회적으로 문제가 되고 있는 온라인 게시문화
를 개선하기 위한 익명인증 기술이 연구되고 있고, 또한 정보시스템에 대한 접근권한
부여 방식이 단순 패스워드에서 일회용 패스워드와 바이오 인식 등 다양한 하드웨어 기반의 인증 및 접근제어 수단이 혼용되고 있다.
암호와 인증 및 권한 관리에 대한 주요 서비스별 연관 기술을 정리하면 [그림 8-39]
와 같다. RFID(Radio Frequency IDentification)인 경우 RFID 태그의 접근을 제어
할 수 있는 인증 및 키 관리 기술이 요구되고, IPTV는 유료 콘텐츠의 불법 시청 및 복
제를 방지하기 위한 기술이 필요하다.

 

홈 네트워크에서는 안전한 홈 네트워크 서비스를 제공하기 위해 홈 내부 및 원격 사
용자에게 보안 서비스를 제공해야 하며, VoIP는 송수신 데이터에 대한 보호 기술이 요
구된다. 또한 와이브로에서는 단말 및 사용자에 대한 인증기술과 제어기·기지국의 접
근을 제어할 수 있는 기술이 요구되고, 바이오 인식은 얼굴, 지문, 홍채 등 사람의 고
유한 특성인 바이오 정보를 사용하여 서비스 이용자의 신원 확인과 인증을 위한 기술
이 필요하다.
이와 같은 암호, 인증 및 권한 관리는 정보 보호 기반 기술이므로 정보 보호 시스템
의 상호 호환성과 안전성 및 신뢰성을 보장하기 위해 표준화의 필수 요소이다. 따라서
유비쿼터스 사회의 정보 보호 시스템을 준비하기 위해서는 암호 알고리즘들에 대한 원
천기술은 물론 암호 응용기술, 익명 인증, 디바이스 인증 및 하드웨어 기반 접근제어
기술 등에 대한 표준화가 필요하다.