정보 통신망 - [제8장] 네트워크 보안

정보 통신망 - [제8장] 네트워크 보안

개요

오프라인에서 수행되던 많은 일들이 온라인에서 수행이 가능해지고 인터넷의 보편화로 언제

어디에서든 자신이 필요로 하는 정보를 검색, 접근, 그리고 활용하기 쉬워지면서 정보의 도

용, 위·변조, 원치 않는 불순한 침입 등과 같은 정보화의 역기능 문제가 사회 문제화되고 있

다. 이 장에서는 먼저 정보통신망에서 보안을 위협할 수 있는 여러 유형들을 살펴본 후 통

신망의 취약점을 이용한 침입 행위를 탐지하고 대응하기 위해 개발된 정보 보안 기술들을

설명한다. 네트워크 보안을 위협하는 요소들과 이들의 위협에 대응하기 위한 방법들을 이해

하면 실제 정보통신망에서 사용되고 있는 네트워크 보안 관련 기법들을 파악하는 데 도움이

될 것이다.

8.1 네트워크 보안의 개요

■ 보안의 필요성

- 많은 일들이 온라인을 통해 수행 가능해지고 인터넷이 보편화되면서 정보화의 역기능 문

제가 발생

- 정보 도용이나 위조 등의 불법, 원치 않는 불순한 침입을 막기 위한 제반 행위를 의미하

는 보안 개념과 보안 문제를 해결하기 위한 방법들이 등장하고, 이들에 대한 이해가 필요하

게 됨.

- 보안을 통한 달성하려는 정보 보호의 목표

① 기밀성(confidentiality) : 정보가 허가되지 않은 사용자에게 노출되지 않는 것을 보장

② 무결성(integrity) : 정보가 권한이 없는 사용자의 악의적 또는 비 악의적인 접근에 의해

변경되지 않는 것을 보장

③ 가용성(availability) : 인가된 사용자가 정보 시스템의 데이터 또는 자원을 필요로 할 때

부당한 지체 없이 원하는 객체 또는 자원을 접근하고 사용할 수 있도록 보장

■ 보안의 종류

- 시스템 보안

① 권한이 없는(허가받지 않은) 사용자에 의한 파일 및 장치 등의 사용을 제한하여 시스템

을 보호하는 방법

② 시스템 보안 방법으로 권한이 있는 사용자들에게의 접근을 제한하도록 고안된 접근통제

와 시스템에서의 활동을 감시하도록 고안된 감시통제를 많이 사용

- 네트워크 보안

① 권한이 없는 사람의 접근이나 정상 운용 시 우연 또는 의도적인 방해나 파괴로부터 네트

워크를 보호하기 위한 방법으로, 하드웨어나 소프트웨어, 인위적인 보안 조치를 총칭

② 네트워크의 규모가 점점 커지고 조직 내부의 네트워크가 인터넷과 같은 외부의 네트워크

와 연결되면서 내부 조직의 네트워크 보안이 날로 중요해지고 있음.

■ 네트워크 보안의 요구 사항

- 실체 인증 : 통신에 참여한 실체에 대한 진위 검증이 이루어져야 한다.

- 데이터 무결성 : 데이터가 악의적인 사용자로부터 파괴되거나 변경되지 않도록 보호하여

야 한다.

- 데이터 보안성 : 네트워크를 통해 교환되는 정보는 비밀이 보장되어야 하며 권한에 따른

사용자 접근이 보호되어야 한다.

- 데이터 인증 : 네트워크 상에서 신뢰할 만한 발신처에서 정확히 전송된 것인지 확인되어

야 한다.

- 부인 방지 : 데이터의 수신이나 전송 사실에 대한 확인 여부가 가능해 후에 전송자가 데

이터 전송을 부인하거나 수신자가 데이터의 수신을 부정하지 못하도록 해야 한다.

8.2 네트워크 보안 위협 유형

■ 제3자에 의한 불법적인 공격 유형

공격 유형 설 명

변조

(modification)

비인가된 사용자 또는 공격자가 시스템에 불법적으로 접근하여 데이터

를 조작하여 원래의 데이터를 다른 내용으로 바꾸는 행위, 정보의 무결

성 보장 위협

가로채기

(interception)

비인가된 사용자 또는 공격자가 전송되고 있는 정보를 몰래 열람 또는

도청(Eavesdropping)하는 행위, 정보의 기밀성 보장 위협

방해

(interruption)

송신자와 수신자 간의 정보 송수신이 원활하게 이루어지지 못하도록 시

스템의 일부를 파괴하거나 사용할 수 없게 하는 행위, 정보의 가용성

보장 위협

위조

(fabrication)

비인가된 사용자 또는 공격자가 거짓 정보나 잘못된 정보를 삽입하여

수신자에게 전송하여 수신자가 정당한 송신자로부터 정보를 수신한 것

처럼 착각하도록 만들어 이를 통해 이득을 보려는 행위

- 서비스 거부 공격(Denial of Service Attack, DoS) : 한 사용자가 서버 등의 정보 시스

템에 처리 용량을 넘는 엄청난 양의 데이터를 전송하여 과도한 부하를 일으킴으로써 기능을

마비시키고 정보 시스템의 데이터나 자원을 정당한 사용자가 적절한 대기시간 내에 사용하

는 것을 방해하는 행위

- 분산 서비스 거부 공격(Distributed Denial of Service, DDoS) : 많은 수의 정보기기에

DoS(Denial of Service) 공격용 프로그램을 분산 설치하여 이들이 서로 통합된 형태로 특

정 대상 시스템을 집중적으로 공격하여 성능 저하 및 시스템 마비를 일으키는 기법

■ 통신 당사자들 간의 부정 유형

- 부정(fraud) : 정보를 송수신하는 통신 당사자들 간의 부정한 행위를 의미

- 송신자가 자신이 보낸 정보가 자신에게 불리한 결과를 초래할 것으로 생각되어 자신의

송신 사실 자체를 부인하는 경우와 반대로 수신자가 수신한 정보의 수신 사실이 자신에게

불리하게 작용할 것으로 생각되어 수신 사실 자체를 부인하는 경우가 있음.

- 이 경우를 예방하기 위해 사용할 수 있는 네트워크 보안기법으로 부인 방지 기능이 있

음.

■ 악성 프로그램의 감염 유형

- 컴퓨터 바이러스(computer virus)

① 의미 : 파일에 바이러스 코드를 붙이거나 겹쳐 쓰기를 하며, 사용자 몰래 자신을 다른

곳에 복사하는 명령어들을 포함하여 컴퓨터가 본래 목적 이외의 처리작업을 진행하도록 하

는 악의적인 코드

② 감염 대상 : 컴퓨터 프로그램이나 데이터 파일

③ 주요 감염 증상 : 컴퓨터 부팅 시간이나 프로그램 실행시간이 길어지거나 동작이 안 되

거나 프로그램의 오동작, 저장된 데이터가 삭제 또는 변조되는 증상

④ 감염 예방 방법 : 정품 소프트웨어의 사용, 외부에서 복사한 프로그램은 최신 바이러스

백신 프로그램으로 감염 여부 확인 후 사용

- 웜(worm)

① 의미 : 네트워크를 통하여 자기 자신을 복제하며 전파할 수 있는 프로그램

② 바이러스와 웜의 차이 : 컴퓨터 바이러스는 다른 프로그램을 이용해서 자신을 복제하고

감염시키지만, 웜은 다른 프로그램을 감염시키지 않고도 자기 자신을 복제하면서 네트워크

를 통해 널리 퍼질 수 있음.

③ 주요 감염경로 : 전자 우편을 이용한 감염, 메신저를 통한 감염, P2P(Peer-to-Peer)를

이용한 감염

④ 주요 피해 유형 : 침입자가 시스템에 쉽게 접근할 수 있는 통로를 만들어 개인정보 유

출, 특정 시스템에 대한 DDoS 공격

- 트로이 목마

① 의미 : 컴퓨터 사용자의 정보를 빼내 가려는 악의적인 목적으로 제작된 악성 프로그램

② 바이러스와 달리 자기복제능력이 없으며 악의적인 기능을 가지는 코드를 유틸리티 프로

그램에 내장하여 배포하거나 그 자체를 유틸리티 프로그램으로 위장해 배포됨.

■ 피싱(phishing)

- 의미 : 인터넷에서 스팸메일을 이용한 범죄 수법으로 송신자의 신원을 알리지 않는 메일

로 수신자의 개인정보를 빼낸 뒤 이를 불법적으로 이용하는 범죄행위

- 주요 유형

① 불특정 다수의 이메일 사용자에게 신용카드나 통장계좌에 문제가 있다는 구실로 거짓 이

메일을 발송해 가짜 웹사이트로 유인하여 관련 금융기관의 신용카드 정보나 계좌정보 등을

빼내어 불법적으로 이용

② 이벤트, 설문조사 등을 빙자해서 선물을 주겠다고 하며 신상정보나 연락처, 신용정보를

요청하는 것

■ 파밍(pharming)

- 의미 : 합법적으로 소유하고 있던 사용자의 도메인을 탈취하거나 도메인 네임 시스템

(DNS) 이름을 속여 사용자들이 진짜 사이트로 오인하도록 유도하여 개인정보를 훔치는 신

종 인터넷 사기 수법

- 공식적으로 운영하고 있던 해당 사이트의 도메인 자체를 탈취하는 등의 방법을 이용하기

때문에 사용자가 아무리 도메인 주소나 URL 주소를 주의깊게 살펴본다 하더라도 쉽게 속

을 수 있음.

8.3 네트워크 보안 강화 방법

■ 암호화 복호화의 개념

- 암호화 : 누구나 읽을 수 있는 평문(plain text)을 권한이 없는 제3자가 알아볼 수 없는

형태(암호문)로 재구성하는 과정

- 복호화 : 암호화의 역과정으로 암호문을 평문으로 복원하는 과정

■ 암호화의 주요 기능(교재 8.3.1 그림 8.1 참조)

- 전달과정의 기밀성 보장

- 정보의 무결성 보장

- 송신자와 수신자의 정당성 보장

■ 암호화의 동작 형태에 의한 암호화 기술

■ 평문을 처리하는 방법에 의한 암호화 기술

- 스트림 암호화(stream encryption) : 평문과 같은 길이의 키 스트림을 생성하여 평문과

키를 비트 단위로 합하여 암호문을 얻는 방법

- 블록 암호화(block encryption) : 평문을 일정한 단위로 나누어서 각 단위마다 암호화 과

정을 수행하여 블록 단위로 암호문을 얻는 방법

■ 암호화와 복호화에 사용되는 키의 종류에 의한 암호화 기술

- 대칭키(symmetric key) 암호화 방식, 공개키(public key) 암호화 방식

■ 대칭키(symmetric key) 암호화 방식

- 암호화에 사용하는 키(암호화 키)와 복호화에 사용하는 키(복호화 키)가 서로 동일한 암

호화 방식(교재 8.3.1 그림 8.2 참조)

- 관용키 암호화(conventional encryption) 또는 비밀키 암호화(secrete key encryption)

방식이라고도 불림.

- 이 방식을 사용하기 위해서 송신자와 수신자는 사전에 암·복호화에 사용하는 키를 제3자

에게 노출되지 않게 공유 및 보유하고 있어야 하며, 해당 대칭키의 안전한 분배 및 관리 방

법이 매우 중요함.

- 대칭키 암호 알고리즘 : RC2, RC4, RC5, IDEA, DES, Triple DES

- 장점 : 비교적 쉬운 구현, 빠른 실행속도

- 단점 : 키 분배와 관리의 어려움, 인증 및 송수신 부인 방지가 보장되지 않음.

■ DES(Data Encryption Standard)

- IBM에서 개발하여 1977년 미국 표준기구인 NBS에서 확정된 미국 정부의 표준암호방법

으로, 블록 암호 알고리즘을 사용하는 대칭키 암호기법

- 평문을 적당히 변환하여 비트열로 바꾼 다음 64비트 단위로 나누어 블록으로 만들고 각

64비트의 블록을 56비트의 대칭키를 이용해 64비트의 암호문을 만들어 내는 알고리즘으로

암호화와 복호화에 같은 키를 사용하는 대칭키 암호방식(교재 8.3.1 그림 8.3 참조)

- 64비트의 평문은 대칭키로 전치, 대치 및 XOR 연산을 16번 반복(16라운드)하는 과정을

거쳐 같은 크기 비트의 암호문이 됨.

■ 공개키(Public Key) 암호화 방식

- 암호화할 때 사용하는 키(암호화 키)와 복호화할 때 사용하는 키(복호화 키)를 별도로

사용하는 방식

- 비대칭키 암호화 방식이라고도 불림.

- 이 방식을 이용하기 위해서 사용자는 상대방에게 공개하는 공개키와 자신만이 비밀로 보

유하는 개인키를 가짐.

- 상대방이 공개키로 암호화하여 전송한 암호문은 자신이 비밀로 유지하고 있는 개인키로

만 해독이 가능하며 개인키로 암호화한 암호문은 공개키로만 해독하도록 구현함으로써 대칭

키 방식의 키 분배 문제를 해결함(교재 8.3.1 그림 8.4 참조)

- 대표적인 암호 알고리즘 : RSA

- 장점 : 키 분배 용이, 대칭키 방식에 비해 적은 수의 키 관리, 디지털 서명 기능 제공

- 단점 : 대칭키 방식에 비해 구현이 어려움, 암호화와 복호화의 실행속도가 느림.

■ RSA

- 1978년에 MIT의 리베스트(Rivest), 샤미르(Shamir), 그리고 애들만(Adleman)이라는 세

명의 수학자들에 의해 개발된 암호방식으로, 현재 가장 많이 사용되고 있는 공개키 암호 기

법

- 이 암호방식은 시스템에서 2개의 큰 소수 p, q에서 곱 n을 구해 사용하는데, 이 시스템

의 안전도는 p, q의 비밀성이 가정될 때 n의 소인수분해 난이도에 달려 있음.

■ 키 관리

- 목적 : 대칭키 암호 시스템 또는 공개키 암호 시스템에서 사용되는 암호키들을 안전하게

다루기 위해 키의 생성, 등록, 확인, 분배, 설치, 저장, 파생, 보관, 취소, 말소, 그리고 폐기

등과 같은 일련의 절차를 제공하는 것

- 공개키 암호 시스템에서는 공개키의 무결성을 보장하기 위해 공개키 인증서 개념을 사용

- 인증서(certificate)는 개인 또는 단체의 공개키를 인증하는 전자적인 증명문서

- 인증서에는 만기일, 인증서를 발행한 인증기관의 이름, 그리고 일련번호 등의 정보 및 인

증서 발행자(인증기관)의 디지털 서명이 포함됨.

- 인증서를 발행, 관리해 주는 인증기관은 인증서 요구자의 신원과 공개키를 보증할 수 있

는 신뢰성 있는 중앙기관임.

- 인증기관의 공개키를 신뢰할 수 있도록 인증기관은 공개키를 공개하거나 공개키의 유효

성을 입증할 수 있는 상위 인증기관이 발행한 인증서를 제공하여야 함.

- 인증기관들은 하위 인증기관들에게 인증서를 발행

- 최상위 인증기관의 공개키는 모든 사람들에게 알려져 있어 사용자들의 인증서는 최상위

인증기관에서 신뢰하는 인증기관까지의 인증경로를 검증함으로써 상대방의 인증서를 검증

(교재 8.3.1 그림 8.5 참조)

■ 공개키 기반구조(Public Key Infrastructure, PKI)

- 정부나 특정 기관에서 모든 일반 사람들이 공개키 암호화 기법을 믿고 사용할 수 있도록

공개키 인증서를 발행하고, 그에 대한 접근을 제공하는 인증서 관리 기반 구조

- PKI를 구축하기 위해서는 일반 사람들에게 개인키와 공개키를 만들어 주고 인증서를 통

해서 상대방의 공개키를 모든 사람들이 믿고 사용할 수 있도록 서비스를 제공해 주는 인증

기관(Certificate Authority, CA)이 필요

- 인증기관이 발급해 주는 인증서는 인증서에 기재된 특정 개인(또는 회사, 컴퓨터)의 신

분 내용을 인증서를 발급한 인증기관에서 보증해 주는 신분증임.

- PKI는 인증서를 통한 상대방 인증, 인증기관의 인증서에 디지털 서명을 추가하여 무결성

보장 제공

■ 디지털 서명(digital signature)

- 네트워크 상에서 디지털 문서에 서명자 인증, 문서의 위·변조 방지, 송신 부인 방지 등의

기능을 제공하는 암호화 기술을 사용하여 서명하는 방법

- 공개키 암호화 방식에서 개인키를 이용한 메시지 암호화는 서명 당사자밖에 할 수 없다

는 점을 이용하여 구현

- 서명 알고리즘(signing algorithm)과 증명 알고리즘(verification algorithm)으로 구성

- 송신자는 보내고자 하는 문서를 서명 알고리즘을 이용하여 문서에 서명하여 전송하고,

수신자는 이 서명된 문서에 공개된 증명 알고리즘을 이용하여 송신자의 서명을 확인(교재

8.3.2 그림 8.6 참조)

- 송신자가 디지털 문서를 전송하고도 송신하지 않았다고 부인할 때 부인 방지를 막기 위

해 사용될 수 있음.

■ 이메일 보안

- PGP(Pretty Good Privacy) : 이메일의 기밀성과 메시지 인증, 사용자 인증, 송신자 부인

방지 등의 강력한 암호화 기능 및 사용의 편의성을 지원하는 이메일 보안 프로그램

- PEM(Privacy Enhanced Mail) : 프라이버시 개선 메일의 약어로, 안전한 이메일 교환을

위한 IETF 표준

- S/MIME(Secure/Multipurpose Internet Mail Extension)

① MIME으로 캡슐화된 이메일의 공개키 암호와 서명을 위한 표준으로 MIME에 보안 기능

을 추가한 인터넷 메일 보안 프로토콜

② RSA 암호화 시스템을 사용하며 인증, 메시지 무결성, 송신자 부인 봉쇄, 기밀성, 데이터

보안 등의 암호 보안 서비스를 전자 메일 응용 프로그램에게 제공하여 대부분의 이메일 소

프트웨어에서 사용되고 있음.

■ SSL

- 웹브라우저와 웹서버 간에 서로 상대의 신원을 확인하는 인증 기능과 둘 사이의 모든 데

이터가 암호화되는 기능을 제공하며, 거의 대부분의 웹브라우저에서 이 기능을 제공함.

■ TLS

- 응용 프로토콜에 독립적이며 전송 계층을 기반으로 개발되었으며 2개의 통신 프로그램

사이에서 개인의 정보 보호와 데이터의 무결성을 제공

■ IPSec

- OSI 모델의 3계층인 네트워크 계층에서 동작하며 보안에 취약한 인터넷에서 인증이나

암호화를 수행하여 안전한 통신을 실현하기 위한 통신규약

- IP 계층에서 데이터 기밀성, 데이터 무결성, 데이터 인증의 보안 서비스를 제공

■ 방화벽(firewall)

- 네트워크와 네트워크 사이에서 송수신되는 패킷을 검사하여 조건에 맞는 패킷들만 통과

시키는 소프트웨어나 하드웨어를 총칭(교재 8.3.4 그림 8.8 참조)

- 방화벽의 종류

▸베스천 호스트(bastion host)

① 인터넷 사용자가 내부 네트워크로의 접근을 하려할 때 베스천 호스트를 통과해야만 내부

네트워크의 자원과 정보를 이용할 수 있도록 해 주기 때문에 방화벽 시스템이 갖는 기능 중

가장 중요한 기능을 제공

② 내부 네트워크로의 접근에 대한 기록, 감사 추적을 위한 기록 및 모니터링 기능을 가지

고 있음.

③ 사용자 계정 정보나 라우팅 정보 등 해킹의 대상이 될 어떠한 조건도 두지 않는 가장 완

벽한 시스템으로 운영되어야 함.

▸스크리닝 라우터(screening router)

① IP, TCP 혹은 UDP의 헤더에 포함된 내용을 분석해서 외부 네트워크에서 내부 네트워크

로 진입하는 패킷들의 진입 허가 및 거절을 행하거나 내부 네트워크에서 외부 네트워크로

나가는 패킷들의 진입 허가 및 거절을 수행하는 라우터(교재 8.3.4 그림 8.9 참조)

② 보통 스크리닝 라우터와 베스천 호스트를 같이 운영함.

▸이중 홈 게이트웨이(dual-homed gateway) : 라우팅 기능이 없으며, 하나의 네트워크

인터페이스는 인터넷 등 외부 네트워크에 연결되고, 다른 하나의 네트워크 인터페이스는 보

호할 내부 네트워크에 연결되어 양쪽 네트워크 간의 직접적인 접근을 허용하지 않음(교재

8.3.4 그림 8.10 참조).

▸스크린 호스트 게이트웨이(screened host gateway)

① 스크린 호스트와 스크리닝 라우터를 혼합한 방화벽 시스템(교재 8.3.4 그림 8.11 참조)

② 이 시스템을 내부 네트워크에 두어 스크리닝 라우터가 내부로 들어가는 모든 트래픽을

전부 스크린 호스트에게만 전달되도록 함.

③ 스크린 라우터는 내부에서 외부로 가는 모든 트래픽에 대해서도 스크린 호스트에서 출발

한 트래픽만 허용하고 나머지는 거부

▸스크린 서브넷(screened subnet)

① 외부 네트워크와 내부 네트워크 사이에 놓이는 일명 DMZ(DeMiliterization Zone)의 역

할을 수행하는 완충지역 개념의 서브넷(교재 8.3.4 그림 8.12 참조)

② 인터넷과 스크린 서브넷 사이, 내부 네트워크와 스크린 서브넷 사이에 각각 놓이며, 입

출력되는 패킷들을 패킷 필터 규칙을 이용하여 필터링

③ 인터넷과 스크린 서브넷 사이에 놓이는 스크리닝 라우터가 외부 방화벽의 역할을, 내부

네트워크와 스크린 서브넷 사이에 놓이는 스크리닝 라우터가 내부 방화벽의 역할을 수행

■ 프락시 서버(proxy server)

- 내부 네트워크에 있는 클라이언트를 대신하여 인터넷에 접속하고 클라이언트가 요청한

통신 서비스의 결과를 클라이언트에게 제공하는 서버

- 장점

① 사용자 인증 기능이나 서비스 이용 제한을 프락시 서버에 설정해 두면 클라이언트의 안

전을 일괄해서 보호 가능하도록 해 주는 안정성 제공

② 외부 서버에 접근하는 것은 프락시 서버이므로 클라이언트의 고유정보가 외부에 노출될

위험이 감소하는 익명성 제공

③ 프락시 서버 내에 보관 중인 웹사이트의 웹페이지 정보가 클라이언트에 의해 요청되면

보관하고 있던 웹페이지를 클라이언트에게 바로 전송하여 줄 수 있는 서비스의 신속성 제공

객관식 문제

1. 정보 보호의 목표가 아닌 것은?

① 정당성(vaildity)

② 가용성(availability)

③ 무결성(integrity)

④ 기밀성(confidentiality)

2. 네트워크 보안 요구 사항으로 부적절한 것은?

① 데이터 보안성 ② 데이터 무결성 ③데이터 인증 ④ 데이터 암호화

3. 다음은 어떤 공격 유형을 설명하는 것인가?

한 사용자가 서버 등의 정보 시스템에 처리용량을 넘는 엄청난 양의 데이터를 전송하여 과

도한 부하를 일으킴으로써 기능을 마비시키고 정보 시스템의 데이터나 자원을 정당한 사용

자가 적절한 대기 시간 내에 사용하는 것을 방해하는 행위

① Dos(Denial of Service) 공격 ② 변조(modification)

③ 위조(fabrication) ④ DDoS(Distributed Denial of Service) 공격

4. 다음은 무엇을 설명하는 것인가?

네트워크를 통하여 자기 자신을 복제하며 전파할 수 있는 프로그램이다. 다른 프로그램을

감염시키지 않고도 자기 자신을 복제하면서 네트워크를 통해 널리 퍼질 수 있으며 주요 감

염경로로는 전자우편, 메신저, P2P 등이 있다. 침입자가 시스템에 쉽게 접근할 수 있는 통

로를 만드는 역할을 하며 개인정보 유출, 특정 시스템에 대한 DDoS 공격의 통로가 된다.

① 트로이 목마 ② 파밍 ③ 웜 ④ 피싱

5. 평문의 글자를 재배열하는 방식(문자의 위치를 바꿔 암호문을 작성하는 방식)으로 원문

과 키를 가지고 있는 정보를 암호문 전체에 분산하는 방식의 암호화 기술은?

① 혼합 암호 ② 대수화 암호 ③ 전치 암호 ④ 대치 암호

6. 다음은 무엇을 설명하는 것인가?

⦁1978년에 MIT의 리베스트(Rivest), 샤미르(Shamir), 그리고 애들만(Adleman)이라는 세

명의 수학자들에 의해 개발된 암호방식으로, 이 알고리즘은 현재 공개키 암호 기법들 중에

서 가장 널리 사용되고 있는 공개키 암호기법

⦁이 암호방식은 시스템에서 2개의 큰 소수 p, q에서 곱 n을 구해 사용하는데, 이 시스템의

안전도는 p, q의 비밀성이 가정될 때 n의 소인수분해 난이도에 달려 있다.

① RC2 ② RSA ③ IDEA ④ DES

7.디지털 서명(digital signatu)에 대한 설명이 아닌 것은?

① 서명 알고리즘(signing algorithm)과 혼합 알고리즘(product algorithm)으로 구성되어 있

다.

② 송신자가 디지털 문서를 전송하고도 송신하지 않았다고 부인할 때 부인 방지를 막기 위

해 사용될 수 있다.

③ 공개키 암호화 방식에서 개인키를 이용한 메시지 암호화는 서명 당사자밖에 할 수 없다

는 점을 이용한다.

④ 네트워크 상에서 디지털 문서에 서명자 인증, 문서의 위⦁변조 방지 등의 기능을 제공하

는 암호화 기술을 사용하여 서명하는 방법이다.

8. 메일 보안을 위해 사용되는 도구로 가장 부적절한 것은?

① S/MIME ② PGP ③ IPSec ④ PEM

9. 네트워크와 네트워크 사이에서 송수신되는 패킷을 검사하여 조건에 맞는 패킷들만 통과

시키는 소프트웨어나 하드웨어를 총칭하는 말은?

① 공개키 암호방식 ② 인증서 ③ 방화벽 ④ 디지털 서명

10. 다음은 무엇을 설명한 것인가?

라우팅 기능이 없으며, 하나의 네트워크 인터페이스는 인터넷 등 외부 네트워크에 연결되

고, 다른 하나의 네트워크 인터페이스는 보호할 내부 네트워크에 연결되어 양쪽 네트워크

간의 직접적인 접근을 허용하지 않는다.

① 이중 홈 게이트웨이 ② 스크리닝 라우터

③ 스크린 호스트 게이트웨이 ④ 베스천 호스트

심화학습문제

11. 송신자 A가 수신자 B의 공개키로 암호화하여 전송하면 수신자 B는 자신의 비밀키로

복호화하는 기법을 사용하는 기술은?

① 디지털 서명 ② 방화벽 ③ PKI ④ 공개키 암호화

12. 송신자 A가 자신의 비밀키를 이용하여 암호화하여 전송하면 수신자 B는 A의 공개키를

이용하여 복호화하는 기법을 사용하는 기술은?

① PKI ② 공개키 암호화 ③ 방화벽 ④ 디지털 서명

해설 및 정답

1. 정보가 허가되지 않은 사용자에게 노출되지 않는 것을 보장하는 기밀성, 정보가 권한이

없는 사용자의 악의적 또는 비 악의적인 접근에 의해 변경되지 않는 것을 보장하는 무결성,

인가된 사용자가 정보 시스템의 데이터 또는 자원을 필요로 할 때 부당한 지체 없이 원하는

객체 또는 자원을 접근하고 사용할 수 있도록 보장하는 가용성이 정보 보호의 목표임[교재

8.1.1 참조].

정답 ①

2. 실체 인증, 데이터 무결성, 데이터 보안성, 데이터 인증, 부인 방지가 네트워크 보안 요

구 사항임[교재 8.1.3 참조].

정답 ④

3. DDoS(Distributed Denial of Service) 공격은 많은 수의 정보기기에 Dos(Denial of

Service) 공격용 프로그램을 분산 설치하여 이들이 서로 통합된 형태로 특정 대상 시스템을

집중적으로 공격하여 성능 저하 및 시스템 마비를 일으키는 기법을 뜻함[교재 8.2.1 참조].

정답 ①

4. 웜(worm)은 네트워크를 통하여 자기 자신을 복제하며 전파할 수 있는 프로그램임. 컴퓨

터 바이러스는 자기 자신을 복제할 수는 있지만 복제에 한계를 가지고 있고 다른 프로그램

을 이용해서 자신을 복제하고 감염시키지만 웜은 바이러스와 달리 다른 프로그램을 감염시

키지 않고도 자기 자신을 복제하면서 네트워크를 통해 널리 퍼질 수 있음. 웜의 주요 감염

경로는 전자우편을 이용한 감염과 P2P를 이용한 감염, 그리고 메신저 등을 이용한 감염이

있음[교재 8.2.3 (2) 참조].

정답 ③

5. 대치암호(substitution cipher)는 메시지의 각 글자를 다른 글자로 대치하는 방식(문자를

다른 문자로 바꾸어 암호문을 작성하는 방식)으로 전통적으로 많이 사용하던 방식임. 전치

암호(transposition cipher)는 평문의 글자를 재배열하는 방식(문자의 위치를 바꿔 암호문을

작성하는 방식)으로 원문과 키를 가지고 있는 정보를 암호문 전체에 분산하는 방식임. 혼합

암호(product cipher)는 대치와 전치 두 방법 모두를 사용하는 방식임. 대수화 암호

(algebraic cipher)는 평문의 각 글자를 숫자로 바꾸어 수학적으로 처리하는 방식임[교재

8.3.1 표 8.2 참조].

정답 ③

6. RSA 공개키 암호화 알고리즘은 1978년에 MIT의 리베스트(Rivest), 샤미르(Shamir), 그

리고 애들만(Adleman)이라는 세 명의 수학자들에 의해 개발된 암호방식으로, 이 알고리즘

은 현재 공개키 암호 기법들 중에서 가장 널리 사용되고 있음. 이 암호방식은 시스템에서 2

개의 큰 소수 p, q에서 곱 n을 구해 사용하는데, 이 시스템의 안전도는 p, q의 비밀성이 가

정될 때 n의 소인수분해 난이도에 달려 있음[교재 8.3.1 참조].

정답 ②

7. 서명 알고리즘(signing algorithm)과 증명 알고리즘(verification algorithm)으로 구성되어

있음[교재 8.3.2 참조].

정답 ①

8. IPSec은 OSI 모델의 3계층인 네트워크 계층에서 동작하며, 보안에 취약한 인터넷에서

인증이나 암호화를 수행하여 안전한 통신을 실현하기 위한 통신 규약으로 데이터 기밀성,

데이터 무결성, 데이터 인증의 보안 서비스를 제공하고, 메일 보안과는 관련이 적음[교재

8.3.3 참조].

정답 ③

9. 방화벽(firewall)은 네트워크와 네트워크 사이에서 송수신되는 패킷을 검사하여 조건에

맞는 패킷들만 통과시키는 소프트웨어나 하드웨어를 총칭함[교재 8.3.4 참조].

정답 ③

10. 이중 홈 게이트웨이(dual-homed gateway)는 2개 이상의 네트워크에 동시에 접속된

베스천 호스트를 말하며 보통 게이트웨이 호스트라 불림[교재 8.3.4 참조].

정답 ①

11. 상대방이 공개키로 암호화하여 전송한 암호문은 자신이 비밀로 유지하고 있는 개인키로

만 해독이 가능하며 개인키로 암호화한 암호문은 공개키로만 해독하도록 구현함으로써 대칭

키 방식의 키 분배 문제를 해결함[교재 8.3.1 그림 8.4 참조].

정답 ④

12. 송신자 A는 디지털 서명을 위해 자신의 비밀키로 암호화를 수행하여 전송하며 중간에

서 다른 사람이 문서를 볼 수 없도록 수신자 B의 공개키로 다시 암호화를 수행하여 전송함

[교재 8.3.2 그림 8.6 참조].

정답 ④