네트워크 기초 7~8

 

 

메일의 전송 과정

네임서버↔메일서버ㅡSMTP(MTA Mail Transfer Agent)ㅡ인터넷ㅡSMTPㅡ메일서버↔네임서버
                       ↑                                                                                                     ↓
                   SMTP                                                                                 POP3 또는 IMAP (MAA) + MDA
                       ↑                                                                                                     ↓
        MUA(Mail User Agent)                                                                  MUA(Mail User Agent)

 

MDA Mail Delivery Agent
: MTA로부터 메일사서함에 저장할 때 사용됨

 

* SMTP는 암호화 기능이 없음

PEM, PGP, S/MIME : 암호화 기능이 있는 프로토콜

 

SMTP
- 실행 파일이나 2인 데이터를 텍스트 형태로 변환하여 전송하다.
- SMTP 서버는 특정 크기 이상의 메일 메시지를 처리하지 못하고 거부한다.
- 주로 TCP 포트 25번을 사용

 

PEM                                 PGP                                S/MIME
IETF                      Phil Zimmermann             RSA Data Security Inc
중앙집중화             분산화된 키 인증          MME 기반(전자서명)
구현 어려움                구현 용이성                 다양한 상용 툴킷
높은 보안(군사용)    일반용도 보안성                  X509 지원
이론 중심                 실세계 사용중심

 

개념적 구분
- 공개키
- 전자서명 (꼬리표)
- 인증서 (공개키에 꼬리표(전자서명)를 붙임)
- X509 : 인증서 표준형식
- PKI Public Key Infrastructure공개키 인프라 중간자 공격을 막기 위해 인증기관(CA)의 등장

 

Layer별 보안 적용 현황

데이터링크 레벨 (2계층)

- L2TP

 

네트워크 레벨 (3계층)
- IP/IPSec(VPN)

전송 레벨 (4계층)
- SSL or TLS

응용 레벨 (7계층)
- S/MIME(Secure MIME) 또는 Kerberos(대칭키 기반 티켓 기반 인증)

 

SQL Injection 공격
- 조작된 Request 값으로 서버에서 DB를 열람하거나 조작함

XSS
=> 저장형 : 해커가 script를 포함한 글을 서버에 등록, 사용자가 열람하였을 때 script가 실행되며 사용자 정보가 탈취됨 (쿠키전송등)
=> 그외 반사형, Dom based 도 있음

=> javascript, VBScript, html 등...

CSRF
=> 해커가 script를 포함한 글을 서버에 등록, 사용자가 열람하였을 때, script가 실행되며,
사용자의 권한으로 서버에 의도된 행위를 하게 함 (ex 회원정보 수정, 삭제 등록)

 

공통점 : 입력값 검증 부실
=> SQL Injection, XSS, CSRF

 

 

용어
자산 : 정보
위험 : 가로채기, 가로막기, 위조, 변조, 기밀성 침해 가능...
취약점 : 암호화 조치 미흡

위험에 대한 대책
- 위험 수용 Risk Acceptance : 잠재적 손실 비용을 감수
- 위험 감소 Risk reduction, mitigation : 대책을 채택하여 구현
- 위험 회피 Risk avoidance : 위험한 프로세스나 사업을 회피
- 위험 전가 Risk Transition, Transfer : 보험, 외주등으로 잠재적 비용을 제3자에게 이전/할당

 

정량적 분석
- 장점 : 객관적인 평가기준
            정보의 가치, 위험 평가 결과가 금전적 가치, 백분율 등으로 표현되어 이해 용이
- 단점 : 계산이 복잡하여 시간, 노력, 비용 ↑
            자동화 도구를 사용할 시, 신뢰도가 도구에 의존됨

정성적 분석 (주관적)
- 장점 : 계산에 대한 노력이 적음
            가치 평가 필요성이 없음
- 단점 : 위험평가과정, 기준이 주관적이고, 성능을 추적할 수 없음

 

BCP Business Continuity Planning
- 사업활동, 프로세스 중단 대비

DRP Disaster Recovery Planning
- 핵심 정보 시스템 보완(백업 등). BCP보다 범위가 적다(전산에 국한)

 

2차 사이트 종류
1) Mirror Site : Active-Active 운영-운영 동시 서비스 제공
2) Hot Site : Active-Standby 운영-대기 상태 (비동기적 실시간 미러링)
3) Warm Site : 중요한 정보기술 자원만 재해복구센터에 보유
4) Cold Site : 데이터만 원격지에 보관, 정보자원은 최소한으로 확보.

* 구축 난이도와 비용 : 미러 > 핫 > 웜 > 콜드
* 재해 복구 시간 : 콜드 > 웜 > 핫 > 미러 

 

인증제도
TESEC  ITSEC   CC
   미국     유럽   국제표준IEC15408

셋 다 명칭은 달라도 7등급으로 분류

인증제도의 분류
-물리적 측면(보안제품): vpn, 방화벽 등. TCSEC(미국), ITSEC(유럽), CC(전세계)
-보안 관리적 측면:
1. BS7799(영국) Part 1(ISO17799 → ISO27002 실행지침)
                         Part 2(ISO27001 보안요구사항)
2. ISO 27000 시리즈 ISO27014 - IT 거버넌스
3. ISMS-P(국내)

 

***개인정보보호법
법제처 : law.go.kr
* 시험날짜가 시행일 이후일 경우 새 법안도 공부를 해야 함

행안부 : 총괄(주관)부서, 시책마련

정보주체
개인정보처리자
개인정보책임자 (개인정보생명주기 관리. 개인정보 제공,파기, 처리 등)
공공기관 : 개인정보영향평가, 개인정보파일등록
개인정보분쟁조정위원회 : 20~30명으로 구성, 분쟁조정부 설치/운영(5명)
개인정보보호위원회 : 국무총리소속, 정책심의의결

 

정보통신망법
방통위 과기부 : 주관부서, 시책마련
이용자
정보통신서비스제공자
└정보보호최고책임자 : 안정성 확보
KISA(인터넷 진흥원) : ISMS-P, 침해사고 대응

 

정보통신기반보호법

과기부: 보호대책이행여부확인, 주요 정보통신 기반 시설 지정 권고
국가정보원 : 과기부 감시(?)
(관계)중앙행정기관(갑) : 시설 지정, 시설 보호 계획 수립, 보호조치 명령
관리기관(을) : 보호 대책 수립, 기술적 지원 요청, 취약점 분석 평가, 침해사고 통지
정보공유분석센터ISAC : 정보제공, 침해사고 분석
정보통신기반보호위원회 : 국무총리소속(25명), 정책조정, 제도개선

* 중앙행정기관의 장은 소관분야의 정보통신기반시설 중 업무의 국가사회적 중요성, 업무의 정보통신기반시설에 대한 의존도, 국가안전보장과 경제사회에 미치는 피해규모 및 범위를 고려하여 정보통신기반시설을 주요정보통신기반시설로 지정할 수 있다 (O) 지정해야 한다일 경우 (X)
* 주요정보통신기반시설 보호계획에는 주요정보통신기반시설의 취약점 분석/평가, 침해사고에 대한 예방, 백업, 복구대책, 보호에 관하여 필요한 사항을 포함해야 한다.
* (관계)중앙행정기관은 주요정보통신기반시설에 대하여 보호지침을 제정하고 해당 분야 관리기관의 장에게 이를 지키도록 권고 할 수 있다
* 정보통신기반시설이라 함은 국가안전보장, 행정, 국방, 치안, 금융, 통신, 운성, 에너지 등의 업무와 관련된 전자적 제어,관리시스템 및 정보통신망을 말한다.