2015년 3월 26일 목요일

D5 Access Control System & Methodology

ㅇ ㅂㅇ

접근 통제와 방법

1. 접근 통제 목적

 접근 통제의 목적
기밀성, 가용성, 무결성 보존 (C.I.A)
• 추가적인 목적은 신뢰성과 효용성

 기밀성(Confidentiality)
오직 인가된 사람에 에게만 정보가 공개 되는 것으로 통신, 저장매체 등에 해킹이나 비인가
자의 접근이 있어도 정보의 내용을 보호하는 방법이다. 가장 오래된 기밀성 유지 수단으로는 암호화가 있다.

 가용성(Availability)
필요한 시점에 시스템이나 정보를 사용할 수 있도록 하는 것, 정보 시스템을 다중화 한거나
분산 처리하는 등의 방법을 이용해서 가용성을 높일 수 있으며 기밀성과는 trade off 관계
에 있다.

 무결성(Integrity)
정보가 사상하는 대상과 일치성을 유지하는 것이다. 이를 위해서 세 가지 하부 목표가 달성
되어야 한다. 암호, 해쉬등의 방법이 무결성을 보장하는 기술로 이용된다.
  - 비인가자로 부터의 정보 변경 방지
  - 허가된 인원으로 부터 승인되지 않았거나 실수에 의한 변경 방지
 - 일관성
  . 내부 일관성 : 데이터들간에 일관성
  . 외부 일관성 : 데이터와 실체간에 일관성

 이외의 보안과 관련된 여러 목표들은 조직의 보안 정책에 의해서 결정된다.

 접근통제 메커니즘은 반드시 위험, 위협, 취약성에 대한 고려가 필요하다.
 위험
 • 어떤 위협이 자산의 취약성을 이용하여 손실이나 손상을 야기 할 수 있는 잠재성을 말한다.
 위험의 파급효과나 상대적 심각성은 손상 또는 손실된 비즈니스적 가치와 위협의 예상 발생 빈도에 의해서 비례적으로 결정된다.
 • 위험의 요소
  - 프로세스 및 자산에 대한 위협과 취약성
  - 이로 인한 영향
  - 발생 확률
 • 위험 분석의 사전 작업 : 정보 자산 및 업무 프로세스에 대한 식별
 • 대안 평가 (비용 효익 분석)
  - 경영진이 감수할 수 있는 위험의 수준
  - 위험 감소 방법 (제거, 발생 억제, 영향 최소화, 보험등의 전가)

 위협
 • 시스템이나 정보가 피해를 입을 수 있는 잠재적 가능성
 취약성
 • 보안 정책이나 기능의 미비나 부재로 인해 위협이 나타날 가능성

2. 통제

 일반적인 정보 자산 보호 프로세스
 : 자산 및 프로세스 식별 – 위험 식별 – 통제 – 평가
 통제의 분류
 • 예방 통제 –발생 전에 위험 가능성을 탐지 하고 최소화 하는 통제
  : 고용, 직무 분리, 접근 통제, 트랜잭션 승인 절차 ……
 • 적발 통제 – 악의적인 행위를 탐지하고 보고하는 절차
  : 해시합계, 모든 check 알고리즘, 성과 보고 …… (도구 : 파일의 변화를 탐지하는 tripwire)

> tripwire 
 - 바이러스 check 기능을 함
 - 파일 전체의 hash를 가지고 있으며, hash의 변동사항이 있을 시 바이러스가 있는 것으로 확인함

 • 교정 통제
  : 위협의 영향을 최소화 하기 위해 문제의 원인을 파악하고 발생된 문제에 대해서 교정하고 재발을 방지하는 절차
  : 백업 계획 및 절차, 재실행 절차 ……
 통제 구현 ( 개발 + 구현 )
 • 관리 통제 : 통제 정책, 보안의식 훈련, 신원 확인, … 프로세스 운영 측면에서 통제
 • 논리적 통제 : 암호, 접근통제 목록 등의 기술을 이용한 시스템에 대한 접근제한이나 정보 보호 - 로그 남기기, 접근 권한(퍼미션) 설정
 • 물리적 통제 : 잠금 장치(열쇠 등), 정기 백업, 보안 가드 등을 이용한 물리적인 보안 구성
  - 논리적 통제나 물리적 통제는 운영 보안 도메인에서 에서 컴퓨터 운영 통제로 구분되었다. >> 논리적 통제와 물리적 통제는 통합하여 운영하여야 함



 통제는 반드시 책임 추적성을 제공하며 이것은 감사기능, 신원확인, 인가 등의 통제
프로세스에 의해 구현된다.

 -- 접근 통제 모델

강제적 접근 통제 (MAC : Mandatory Access Control) - 등급에 따른 권한이 필요
 • 관리자가 정책에 근거해 접근 내용을 결정
 • 보안 대상의 민감도와 응용 및 사용자의 보안 취급 권한을 비교함으로써 접근제어를 구성
 • 규칙기반의 접근 통제 (Role-base access control)
 • 임의적 접근 통제를 포함해서 최소권한의 규칙을 구현한다.

임의적 접근 통제 (DAC : Discretionary Access Control) - 우리가 일반적으로 쓰는 방식
 • 데이터의 소유자가 접근 권한을 결정
 • 강제적 접근 통제에 우선 할 수 없다.
 • 강제적 접근 통제의 추가적인 검정 도구로 사용한다.
 • 신원, 사용자 중심 접근 통제

 비임의적 접근 통제 (Non-Discretionary Access Control)
 • 역할(Role)이나 역할(Task) 중심의 접근 통제 (직무단위)
 • 신원기반 접근통제
 • 빠른 직무 순환이나 변화되는 조직에 적합
 • 격자기반 접근통제(Lattice base access control)
  - 하한값과 상한 값을 갖는 주체와 객체로 이루어진 쌍에서 주체는 가장 낮은 범위를 객체는 가장 높은 범위의 접근 권한을 갖는 방식

 * 제한된 사용자 인터페이스(Constrained User Interface)
  • 특정 부분을 사용할 수 없도록 disable하는 방법
  • Public area에서 특권 있는 접근을 통제하는데 유용하다.

강제적 접근 제어 ⊃ 임의적 접근 제어 가 무조건 

 -- 예방과 탐지

 세 쌍의 통제 메커니즘
관리적 예방과 탐지 - 직무, 신원 등을 파악
논리적 예방과 탐지(기술적 예방과 탐지) - 컴퓨터, 네트워크, OS 등을 파악
물리적 예방과 탐지 - 경비를 세우거나 하는 물리적 보안

 관리적 예방과 탐지
• 예방 : 조직적인 정책과 절차, 채용 관행, 직원의 배경 조사, 퇴직 절차, 보안 의식 훈련…
• 탐지 : 직무 순환, 직무 분리, 민감 개체에 대한 레이블, 휴가 스케쥴링…

> 직무 순환 : 해당 직무의 부정을 확인 하기 위한 방법 중 하나, 직무 순환 외에도 강제 휴가를 통해 직무자의 자리를 비워, 자리를 비운 동안 직무의 부정을 확인

 논리적 예방과 탐지
• 예방 : 접근 통제 프로그램, 콜백 시스템, 제한된 사용자 인터페이스 …
• 탐지 : IDS …

> 콜벡 시스템 : 내가 인증을 하고 요청을 하면 요청을 수락한 상대방이 네트워크 연결함
  -> 감사 로그를 남기기 좋은 방법, 미국에서 주로 사용

 물리적 예방과 탐지
• 예방 : 담장, 인식표, 다중 출입문, 경비원, 출입 통제 설비, 백업 사이트 …
• 탐지 : 동작, 온도 감지 센서, CCTV…

 * 클리핑 레벨 (Clipping Level): 문제 보고 및 감사 검토 허용 범위, 감사 및 분석 정보의 량을 줄여준다.
 (ex. 3회의 접속 실패는 침입으로 간주, 두 번 실패는 일상적인 행동으로 인식)

3. 통제 응용 기술

 -- 식별과 인증(Identification & Authenticatication) <- b="">

 식별 : 본인을 구별하는 행위(ID)
 • 이름, 카드, 지문 …
 > 식별은 증거의 제공 없이 신원의 주장에 기초함으로 인증보다는 약하다.
 인증 : 제기한 신원이 맞는지 확인하는 행위(Password)
 • 응답토큰, 암호 …
 > 인증 : 승인된 사용자임을 검증하는 과정
접근 통제책임 소재를 수립하는 기반
 일반적인 I&A의 취약성
 • 취약한 인증 방식
 • 인증 우회
 • 인증 정보의 기밀성과 무결성 부족
 • 네트워크상에서 취약한 암호
 • 인증 요소 소유에 대한 사용자의 인식부족 (공유. 분실…)
 I&A의 분류
 • Type 1 : 지식기반 : 패스워드, PIN번호
 • Type 2 : 소유기반 : 스마트 카드, USB 토큰, ATM 카드
 • Type 3 : 존재기반 : 지문, 망막
 이중인증 기법 (two-factor authentication), 존재기반 인증 기법 등 둘 이상의 인증방법을 혼합한 안전한 인증에 사용.
 • 지식과 소유 (PIN번호, 지문)
 행동 중심 I&A : 서명, 음성
 – 선진국에서는 범죄 증거로 인정함. – 행동역학을 선행 및 숙달되야 할 것

 -- Password

 종류
 • 고정 패스워드(static password)
 • 변경 패스워드(dynamic password)
 • Passphrase
   하나의 단어 대신 외우기 쉽거나 연상하기 쉬운 문장으로 구성된 암호. 암호는 글자와 기호들이 조합된 한 단어인 반면에 문장암호는 중간에 띄어쓰기가 있는 단어들의 조합으로 일반 문장과 다를 바가 없다. 다만, 길이가 길수록 크랙하기 어렵기 때문에 기억하기 쉬우면서도 길이가 긴 문장을 택하는 것이 좋다. (한국정보통신기술협회 : 정보통신표준용어사전)

 토큰을 이용한 일회용 패스워드(OTP : One Time Passwd)
 • 동기 변경 패스워드 토큰
  - 일정 시간 간격으로 유일한 패스워드 생성
  - 유효한 시간 범위 이내에만 사용가능

 . 초기 password의 경우 시스템이 자동으로 생성하거나 관리자에 의해서 할당된다.
 . 시스템이 생성한 password는 난수 형태로 전수공격이나 사전공격에 강하다.

 • 비동기 변경 패스워드 토큰
  - 시간 범위가 없는 점을 제외하면 동기 변경 패스워드와 동일
 • 질의 응답 토큰
  - 시스템의 질의 따라 다른 패스워드가 필요
  - Ex. 금융거래에 이용되는 보안카드

. Jone the Ripper – 유닉스용 password 해독기 – 어떤 기법을 이용할까요??
인터넷에서 무료로 다운 가능

 -- 생체 인식
 생체인식
 • Type-1오류 (FRR, False Rejection Rate) : 잘못된 거부율 - 시스템이 민감할 수록 높음
 • Type-2 오류 (FAR, False Acceptance Rate) : 잘못된 승인률 : Type 1보다 중요!! - 시스템이 둔감할 수록 높음
 • 식별 시스템의 민감도는 FRR에 비례하고 FAR에 반비례한다.
 • 동일 오류율 (EER, Equal Error Rate) : FRR=FAR (반비례관계)
 • 동일 오류율 = 교차에러비율(CER, Cross Error Rate)
 • 빠른 응답시간과 낮은 EER
   손바닥 > 손모양(손등 정맥혈) > 홍채 > 망막 > 지문 > 얼굴


 -- SSO(Single Sign On)

 일차 도메인(SSO 서버)에서 자격증명을 처리하고 이 정보를 이차 도메인(정보 자원,
응용 플랫폼)에 제공

 장점
 • 더욱 강력한 암호 사용 가능
 • 관리 능력 향상
 • 암호 재생성에 대한 관리경비 절감
 • 여러 플랫폼으로의 로긴 시간 절약

 단점
 • 모든 시스템을 통합하는 것이 어려움
 • 개발 유지보수와 관련된 경비 증가
 • SSO의 안정성의 문제(셧다운, 유출, 파괴…)

 커버로스, 세사미, 크립토나이트 등의 기술을 이용 구현된다.
• 암호에서 자세히 설명..(이들은 모두 키교환 알고리즘이다.)
• IBM의 NetSP는 크립토나이트를 기반으로한 제품.

 * 커버로스 인증은 service granted item을 ‘ticket’ 이라 부른다.

 4. 통제 방법

 접근 권한은 유형에 따라 ‘알 필요, 할 필요’ 에 근거하여 문서화 되어야 한다.
 접근 권한 통제 목록 (Access control list, ACL), 접근 통제 테이블
 • 특정시스템의 자원을 사용하도록 권한을 부여 받은 사용자정보와 허용된 접근 시스템이나소스의 종류를 포함한다.
 • 정책 입안자나 개별 사용자에 의해 결정되지만 반드시 보안관리자에 의해 구현되어야 한다.

 ACL 를 작성하기 위한 작업
1. IS 자원 목록 작성
-------------------------------
2. IS 자원 분류
3. IS 자원 labeling 작업 -> 이름을 부여 하는 작업
------------------------------- > 분류를 통해 관리도 쉽고 Access 하는 비용도 줄이기 위해
4. ACL 작성

 -- 분산형 접근 통제

 I&A 및 권한 프로세스의 분산 환경의 장점
 • 각 사이트에서 관리가 이루어진다.
 • 보안 현안이 적시에 해결 될 수 있다.
 • 보안통제가 더 빈번히 모니터링 된다.

 I&A 및 권한 프로세스의 분산 환경의 위험
 • 조직이 요구하는 표준이 준수 되지 않을 수 있다.
 • 관리수준이 중앙집중식보다 낮을 가능성이 있다.
 • 표준준수 보장과 관련된 관리적인 감사나 검사가 어렵다.

 > I&A의 분산이란 ?
  - 과거에는 서버가 중앙에 하나(메인 프레인시스템)로 운영 됬던 것을 각 지사 별로 분산하여 각각 개인의 서버를 두는 것 -> 다운 사이징 이라 함

 -- 원거리 접속자를 위한 중앙 집중식 접근 통제

 원격 접속 회선
 • 모뎀(point-to-point), ISDN : 콜백 시스템 (감사증적을 제공)
 • 전용회선 (프레임릴레이, DSL)
 • 케이블모뎀

 원격 접속의 위협
 • 서비스 거부
 • S/W나 프로토콜의 취약점을 이용한 제3자의 데이터 접근
 • 잘못 구성된 네트워크 장비
 • 호스트에 대한 침입
 • 허가된 원격 시스템(주로 Client)에 대한 물리적 보안

 AAA(Authentication, Authorization, Accounting) Server
 자원의 접근을 지능적으로 제어하고, 정책을 수행하며, Auditing 기능을 제공하고 서비스 사용에 대한 billing을 하기 위한 기본 구조이며, RADIUS, TACACS, DIAMETER와 같은 AAA Server가 있다. AAA Server의 초기 목적은 기업 내부 네트워크 및 Audit의 수행에 있다.
 RADIUS(Remote Access Dial-In User Server)
 • Dial-In Server, VPAN server, Wireless AP 등의 접속 환경에서 외부 사용자의 인증에 이용한다. – RADIUS client
 • PAP, CHAP, EAP 등 어떤 프로토콜도 사용 가능하다.
 • RADIUS 서버의 기밀 정보(사용자)는 DB, txt 파일에 저장 가능하다.
 • Password만 암호화 (계정, 인가 서비스 내역등은 평문으로 전송)
 • 계정/암호 기능을 이용 간단히 허용 여부만을 결정하는 곳에 적합(ISP)
 • RFC 2138, 2139

 TACACS(Terminal Access controller Access Control Service)
 • TACACS+, XTACACS 등으로 개선됨
 • 고정 암호 사용, TCP를 이용 (RADIUS는 UDP를 사용 : 무겁다(?))
 • 인증과 허가 과정을 통합

 XTACACS
 • 감사 기능을 별도 기능으로 추가함

 TACACS+
 • 동적 password (OTP) 기능 추가
 • 데이터의 모든 부분을 암호화
 • 기존에 구축된 kerberos 인증 시스템등과 계정 기능의 분리 운영이 가능
 • 사용자 프로파일을 별도로 정의할 수 있다.
 • 기업 네트워크와 같이 복잡한 인가 과정과 엄격한 통제가 필요한 곳에 적합

 DIAMETER
 • VoIP, 스마트 폰, 무선 인프라와 같은 새로운 환경에서 상호 운영이 가능하도록 프로토콜의 기본만을 제공한다.
 • RADIUS와 호환(UDP) 가능하고 에러 탐지, 교정 기능, 장애 복구 등의 개선된 기능을 제공한다.
 • 새로운 규격(Ipsec, TLS)등을 이용 End-To-End 보안 기능을 제공한다.
 • RFC3588

 PAP(Password Authentication Protocol)
 • 접속요청의 유효성을 확인하기 위해 PPP 서버에 의해 사용된다.
 • 원격사용자들에 대한 식별과 인증을 자동으로 제공
 • credentials(신임장)을 평문으로 보냄(보안성 취약)
 • 낮은 수준의 보안 제공
 • network와 network access server에 의해 지원
 • static(정적) 패스워드에 의한 인증

 CHAP(Challenge Handshake AP)
 • PAP보다 높은 수준의 보안 제공
 • challenge/response(질의/응답) 방식을 사용하여 인증
 • 인증을 제공하기 위해서 연결 전에 원격사용자, Router, NAS에 의해 사용

 EAP(Extensible Authentication Protocol)
 • EAP-TLS, MD5-Challenge, EAP-RADIUS
 • EAP-TLS : 인증서 기반의 보안 환경에 이용
 • MD5-Challenge : 이름와 암호 기반의 원격 클라이언트의 인증에 이용

5. 시스템에 대한 평가 기준

 평가 기준
• TCSEC
• ITSEC
• CC
 신뢰 시스템과 보증
• Trust level : 시스템 보호 정책의 정도
• Trusted system : 보호 정책에 대한 준거성과 적합성이 확인된 시스템
• Assurance(보장) : 보안 통제가 기대한 대로 기능한다는 확신


 -- TCSEC

 미국의 신뢰성 있는 컴퓨터 시스템 평가기준 (TCSEC : Trusted computer System Evaluation Criteria)
 • 1983년 국방성(DoD) 내 NCSC 주도하에 오렌지 북이라 불리는 신뢰성 있는 컴퓨터 시스템 평가 기준인 TCSEC 초안 제정
 • Bell-LaPadula Model 기반의 기밀성을 다룬다. (가용성과 무결성은 다루지 않는다.)
 • 통제 목적은 보안 정책, 보증, 책임 추적성이다.
 • 기능성(Functionality)와 보증(Assurance)를 분리하지 않음
 • 1985년 미 국방성 표준(DoD STD 5200.28)으로 채택
 • 보안 클래스
  - D : 최소보호
  - C : 재량적(임의적) 보호 : 알아야할 필요성(임의적 접근제어)
  - B : 강제적 보호 : 보안 레이블(강제적 접근제어)
  - A : 검증된 정형화된 보호

 기본적 보안 요구사항
 • 보안정책 : 명백하고 잘 정의된 보안정책 존재
 • 보안등급 : 접근통제 위한 보안 레이블 주체, 객체에 결합
 • 신분확인 : 각 주체 신분 확인
 • 감사•기록 : 감사기록 정보 안전하게 유지, 보호
 • 보증 : 독립적인 하드웨어, 소프트웨어 메커니즘 존재
 • 지속적인 보호 : 외부 공격 및 불법 변경으로부터 지속적 보호

 - A1 등급은 실제 과정도 검토함
- B, C 등급을 구분할 때 보게 되는 것은 강제적 접근 정책의 유무 임


 TCSEC의 문제점
 • 운영 시스템에만 중점을 둠
 • 무결성과 가용성을 다루지 않음
 • 단순한 분류로 다양한 보안 측면을 평가하기 힘듦

> 오렌지북(Orange book)으로 보유

 TNI(Trusted Network Interpretation)
 • 미국 국방부에서 제공
 • 기밀성과 무결성을 다룬다.
 • 레드북이라 불린다.
 • 등급
  - Non, C1(최소), C2(fair), B2(good)

 TDI(Trusted Database Management Interpretation)
 • 안전한 DB관리 시스템에 대한 평가 기준

미국 - 기밀성 모델링 기반 TCSEC
유럽 - 기밀성, 가용성, 무결성 모두를 확인 ITSEC

 유럽의 ITSEC (Information Technology Security Evaluation Criteria) -> CC를 개발
 • 1980년대 후반 영국, 프랑스, 독일, 네델란드 주축으로 고유의 보안성 평가 기준서 개발
 • 1991년 ITSEC 버전 1.2 개발, 2년 간의 시험 적용 후 유럽 표준 지정
 • 기밀성, 무결성, 가용성을 다룬다.
 • 보안을 강제하는 메커니즘과 보안 정책을 포함한다.
 • 평가되는 제품이나 시스템을 평가 대상(Target of Evaluation:TOE)로 정의한다.
 • 기능성과 보증을 분리해서 평가
  - Functionality : F1 → F10 : 기능 클래스
  - Assurance : E0 → E6 : 보증 수준
 • 단일 기준으로 모든 정보보호 제품 평가(보증 부분)
 • 보안기능 요구사항
  - F-C1, F-C2, F-B1, F-B2, F-B3, F-IN(무결성), F-AV(가용성), F-DI(전송 데이터 무결성), FDC(비밀성), F-DX(전송 데이터 비밀성) 등 10가지 보안기능 제공
 • 보증 요구사항 : 효용성, 정확성 보증 기준
 • 등급
  - E1(최저), E2, E3, E4, E5, E6(최고)의 6등급으로 구분
  - E0 : 부적합  효용성 보증 하나라도 만족 못하는 경우

 -- CC

 1998년 버전 2.0 개발
 버전 2.1 국제표준(ISO/IEC 15408)으로 제정
 ISO에서 제공
• TCSEC나 ITSEC의 단점을 보안
• PP (Protection Profile) : 보안 요구 사항이나 평가할 제품의 보호 항목을 명시.
• ST(Security Target :보호목표명세) : 벤더나 개발자가 작성한 제품의 명세
• EAL(Evaluation Assurance Level) : EAL0 ~ EAL7 <- i="">

 CC(Common Criteria : 국제 공통 평기 기준)의 구성
• 1부 : 소개 및 일반 모델
- IT보안성 평가의 원칙과 일반개념을 정의하고 평가의 일반적인 모델을 설명하는 공통평가기준의 소
개부분
- IT 보안목적을 표현하고 IT 보안요구사항을 선택 • 정의하며, 제품 및 시스템의 상위수준 명세를 작성
하기 위한 구조를 소개
- 공통평가기준 각 부의 유용성을 각 활용주체 측면에서 서술
• 2부 : 보안기능요구사항
- TOE의 기능요구사항을 표준화된 방법으로 표현
- 기능 컴포넌트들의 집합으로 구성
- 기능클래스. 기능패밀리, 기능컴포넌트의 집합으로 분류
• 3부 : 보증요구사항
- TOE의 보증요구사항을 표준화된 방법으로 표현
- 보증컴포넌트들의 집합으로 구성
- 보증클래스, 보증패밀리, 보증컴포넌트의 집합으로 분류
- 보호프로파일 및 보안목표 명세서에 대한 평가기준을 정의
- TOE의 보증수준을 정의하기 위한 공통평가기준에서 미리 정의된 척도를 소개(평가보증등급)
• 4부 : PP 구조(기술 내용)
• 5부 : PP 등록 방법


 보호프로파일(Protection Profile : PP)
 • CC(Common Criteria, ISO 15408)의 기능과 보증 요구사항을 이용하여 특정 제품(Target of Evaluation : TOE)의 구현과 상관없이 보안요구사항을 정의한 문서
 • 보안 요구사항에 대한 이론적 근거, 보안 목적 등이 기술된다.
 • 사용자, 정보보호 시스템 개발자, 이외 여러 단체나 집단에 의해서 개발 가능
 • 보안 필요성을 설명하는 수단을 제공, 보안 필요성에 대한 평가를 쉽게 한다.

 보안목표명세서(Security Target : ST) -> TOE를 만든 회사에서 그 기능에 대해 서술한 것
 • PP를 기초로 보안 기능을 서술한 문서
 • 시스템 사용 환경, 보안 환경, 보안 기능 명세 서 등을 포함한다.

>> 두 문서를 비교하여 보안 등급을 매김

보호 프로 파일 (PP) ⊃ 보안목표명세서(ST)
보호 프로 파일은 요구조건이라면 보안목표명세서는 그 요구 조건에서 실행된 실행서를 의미


 -- CC(PP)

1. 보호프로파일 소개(PP Introduction)
  ① 보호프로파일 식별(PP Identification)
  ② 보호프로파일 개요(PP Overview)
2. TOE 설명(TOE Description)
3. TOE 보안환경(TOE Security Environment)
  ① 위협(Threats)
  ② 가정사항(Assumptions)
  ③ 조직의 보안정책(Organisational Security Policy)
4. 보안목적(Security Objectives)
  ① TOE 보안목적(Security Objectives for the TOE)
  ② 환경에 대한 보안목적(Security Objectives for the Environment)
5. IT 보안요구사항(IT Security Requirements)
  ① TOE 보안기능요구사항(TOE Security Functional Requirements)
  ② TOE 보증요구사항(TOE Security Assurance Requirements)
  ③ IT 환경에 대한 보안요구사항(Security Requirements for the IT Environments)
6. 보호프로파일 응용 시 주의사항(PP Application Notes)
7. 이론적 근거(Rationale)
  ① 보안목적의 이론적 근거(Security Objectives Rationale)
  ② 보안요구사항의 이론적 근거(Security Requirements Rationale)

 -- CC(ST)

1. 보안목표명세서 소개(ST Introduction)
  ① 보안목표명세서 식별(ST Identification)
  ② 보안목표명세서 개요(ST Overview)
  ③ 공통평가기준 적합성(CC Conformance)
2. TOE 설명(TOE Description)
3. TOE 보안환경(TOE Security Environment)
  ① 가정사항(Assumptions)
  ② 위협(Threats)
  ③ 조직의 보안정책 (Organisational Security Policy)
4. 보안목적(Security Objectives)
  ① TOE 보안목적 (Security Objectives for the TOE)
  ② 환경에 대한 보안목적 (Security Objectives for the Environment)
5. IT 보안요구사항(IT Security Requirements)
  ① TOE 보안기능요구사항 (TOE Security Functional Requirements)
  ② TOE 보증요구사항(TOE Security Assurance Requirements)
  ③ IT 환경에 대한 보안요구사항 (Security Requirements for the IT Environments)
6. TOE 요약명세(TOE Summary Specification)
  ① TOE 보안기능(TOE Security Functions)
  ② 보증수단(Assurance Measures)
7. 보호프로파일 수용(PP Claims)
  ① 7.1 보호프로파일 참조(PP Reference)
  ② 7.2 보호프로파일 재정립(PP Tailoring)
  ③ 7.3 보호프로파일 추가사항(PP Additions)
8. 이론적 근거(Rationale)
  ① 보안목적의 이론적 근거 (Security Objectives Rationale)
  ② 보안요구사항의 이론적 근거 (Security Requirements Rationale)
  ③ TOE 요약명세의 이론적 근거 (TOE Summary Specification Rationale)
  ④ 보호프로파일 수용의 이론적 근거 (PP Claims Rationale)

 -- 평가 절차



 -- CC(국제 동향)

 상호인정 합의(Mutual Recognition)
 • 1998년 10월 5일 미국, 영국, 캐나다, 프랑스, 독일 등 5개국의 6개 기관
 • 국제공통평가기준(Common Criteria) 평가인증서에 대한 상호인증
 • 정보보호시스템에 대한 평가결과를 상호인정
 • 국제공통평가기준(CC) 버전 2.0 과 국제공통평가방법을 사용하여 정보보호시스템을 평가
 • EAL 4등급(TCSEC : B1 등급) 이하만을 상호인정
 연 혁
 • 캐나다, 프랑스, 독일, 영국, 미국, 네덜란드 6개국에 의한 CC 프로젝트 결성
  - 각국의 보안평가기준을 CC로 통일
  - 1997년 12월 CC Version 2.0 공개
  - 1998년 5월 CC Version 2.1 공개(1999년 6월 ISO 표준화 : ISO/IEC 15408)
 • 6개국의 CC 국내 제도화 시작
 • 6개국에 의한 MRA의 기반구축
  - 1998년 3월 : Draft 작성
  - 1998년 10월 : MRA 공개(캐나다, 프랑스, 독일, 영국, 미국 5개국 참가)
  - 1999년 10월 : 호주, 뉴질랜드 참가(합계 7개국)
 * MRA(Mutual Recognition Agreement)
  - 국가간에 적합성 평가의 절차나 결과를 상호 인정하는 협정

 -- CCRA

 Common Criteria Mutual Recognition Arrangement(CCRA)
 • 2002년에 13개국 협정 체결
 • 가입국간 CC 인증결과 상호인정
 • 인증서발행국과 인증서수용국으로 이원화
 • 인증서 발행국 (8개국 : 2005년 기준)
  - 미국, 캐나다, 영국, 프랑스, 독일, 호주, 뉴질랜드, 일본, 한국(2006,5,9)
 • 인증서 수용국(13개국 : 2005년 기준)
  - 네델란드, 이탈리아, 그리스, 핀란드, 노르웨이, 스페인, 이스라엘, 스웨덴, 오스트리아, 헝가리, 터키, 체코, 싱가폴
 • 신규심사 대상국
  - 네델란드, 스웨덴, 스페인, 한국, 이탈리아

K4(E) 레벨 이상은 국외로 가면 범법행위로 간주됨


 -- 인증과 인가

 인증과 인가
 • 인증(certification)
  - 보안 특성의 포괄적인 평가를 통해 보안 요구사항의 집합에 부합되는 범위를 확립
  - 보안 요구사항 집합과 대조하여 보안 요소나 환경에 대한 기술적인 평가
 • 인가(Accreditation)
  - 경영진의 보안 적절성에 대한 공식적인 승인 선언이나 과정

 인증과 인가 표준(미국)
 • DITSCAP(Defense Information Technology Security Certification and Accreditation Process : 국방 정보 기술 보안 은증과 인가 프로세스)
  - IT시스템을 인증하고 인가하는 표준 프로세스와 설명 관리구조의 집합
  - 1단계(정의) – 2단계(입증) – 3단계(유효성검증) – 4단계 (인가 후속조치)
 • NIACAP(National Information Assurance Certification and Accreditation Process : 미 국립 정보 보증 인증과 인가 프로세스)
  - 단계는 DITSCAP와 동일
  - 인가의 세가지 유형
    . 사이트 인가(Site Accreditation) : 독립적인 위치의 APP와 시스템 평가
    . 유형(Type) 인가 : 분산된 APP와 시스템 평가
    . 시스템(System) 인가 : 주요 app나 일반적인 지원 시스템 평가
 • NIACAP를 근간으로 CIAP(Commercial Information Analysis Process)가 개발
  - 상용 시스템 평가를 위한 정보보안 분석 프로세스

 6. 침입과 공격

 침입과 공격은 모두 형법상의 용어로 분리 이해되어야 한다.
 종류
 • 직접 공격, 분산 공격
 • 자동 공격
 • 사고에 의한 공격
 • 의도적인 내부 공격
 • 인가 되지 않은 외부 침입

 유형
 • 포트스캔
 • 스푸핑
 • 패스워드크래킹
 • 익스플로잇
 • 트로이
 • 웜
 • 바이러스
 • DOS
 • …

 포트스캔
 • TCP나 UDP가 사용하는 프로세스를 구별하기 위한 주소 중에 대기중인 주소를 검사하는 것
 • 여러 집을 돌아다니며 벨을 눌러 거주자가 있는지 확인하는 행위와 비슷
 • 사전 공격행위로 인식

 스푸핑(spoofing)
 • 주소를 조작하여 인가된 시스템으로부터 접속했다고 기만하는 행위
 • IP, ARP, DNS 스푸핑이 있다.

 스니핑(sniffing)
 • 도청행위
 • 자신을 목적지로 하지 않은 네트워크 상의 패킷을 읽어서 공격하는 행위
 • Shoulder surfing (어깨넘어보기) – 시스템에 의존하지 않고 접근 권한을 획득 가능.

 TCP 일련 번호(Sequence number) 공격
 • Sequence number를 가로채서 세션에 끼어 드는 공격
 • Sequence number : Segment의 첫번째 byte의 stream에서의 byte 순서 번호

 버퍼 오버플로우 공격 (Buffer overflow At.)
 • 죽음의 핑(Ping of Death), 초과 길이 파일명이나 사용자 이름을 이용한 메일 동격(65,537 byte 이상)
 • 적절한 parameter 설정으로 일부 방지가 가능하다.

 SYN flooding공격
 • TCP의 초기 핸드쉐이크 중의 버퍼 공간을 이용한 공격

 조각 공격(Trardrop At.)
 • IP의 오프셋 필드와 중복된 패킷 프래그멘테이션(fragmentation) 필드를 이용한 공격
 • 시스템을 리부팅하거나 크래쉬되도록 유발한다.

 스머프 공격(Smurf)
 • IP 스푸핑을 이용 목표 시스템을 여러 시스템이 다구리 치도록 함 (라우터가 대상이면 인터넷 불능)
 • ICMP를 이용

 패스워드 크래킹
 • 전수공격(brute force) – 키의 길이를 늘린다.
 • 저장된 암호 파일이용 – shadow file이용
 • 패스워드 가로채기 – 암호 인증 프로토콜(PAP)을 이용
 • 사전공격 : 패스워드에 친숙한 단어를 입력해보는 공격
 • 무차별 공격 : 아무 패스워드나 무작위로 입력해 보는 것 (전수 공격의 형태)

 * 접근통제 시스템에 대한 공격 (인증과 관련된 공격) : 사전공격, 버퍼오버플로우공격, 무차별공격 (DOS 공격 : 가용성 관련 공격)

 익스플로잇(exploit)
 • DOS, DDOS 공격
 • SYN/ Land 공격(잘못된 IP를 가진 SNY를 서버에 보내 서비스를 방해)
 • Ping of Death (사이즈가 큰 IP패킷을 전송)
 • Ping flood(많은 량의 ping 패킷을 전송)
 • Fraggle (공격 대상 IP를 출발지로 네트워크에 ping 패킷을 전송, UDP기반)
 • UDP 폭탄 (시스템 사이에 지속적인 UDP 패킷을 전송:TCP를 이용하지 않는이유??)
 • 웹스푸핑(하이퍼링크 스푸핑)

 트로이 목마
 • 인가된 것처럼 속이는 악성 부정 코드

 웜
 • 데이터를 파괴하거나 자원을 소모하는 파괴적인 프로그램 (복제하지 않는다.)

 논리 폭탄
 • 특정시간이나 조건에 구동되는 파괴적인 프로그램

 바이러스
 • 자신을 복제하는 불법적인 공격 프로그램

 트랩도어
 • 시스템의 보안규정을 우회하도록 구성된 시스템의 출구
 워드라이빙
 소수점 절사, 살라미
 • 소액의 돈을 절사하는 방법

 > 살라미 : 특정 자릿수 ( 100원 자리 수 미만)의 돈, 신경쓰지 않거나 감안되어 계산되 나오는 소액의 돈 들을 다수를 상대로 인출하여 자신이 이득을 챙기는 것 ( 감사에 걸리지도 않음 )

 스마트 카트, 마이크로 칩에 대한 공격
 • Microprobing : 물리적인 포장을 열어서 내용을 보거나 변경하는 행위(USB등에 이용)
 • Fault generation :
 • Eavesdropping : 도청

 참조모니터의 조건
 • 격리성, 완전성,검증가능
 > 보안 커널을 만들 때, 보안 커널에 대해 정의된 문서를 말함

 제로데이공격 – Decoy IDS(유인 IDS)
 Tripwire – 보안솔루션, John the Ripper – 암호해독기
 내부 공격
 • 자원에 대한 권한을 부여 받은 사용자가 승인되지 않은 방법으로 자원에 접근하는것














댓글 없음:

댓글 쓰기