실기 기출 정리 (05. 정보보안 일반)

접근통제 ★

3('14), 14('19), 20('22)

임의적 접근통제(DAC)

: 주체의 신원과 주체가 무엇을 할 수 있는지를 설명하는 접근규치(Access Rule)에 근거하여 객체에 대한 접근을 제어하는 방식으로 객체의 소유자가 자신의 의지로 해당 객체에 대한 접근규칙을 결정

강제적 접근통제(MAC)

: 객체의 보안 수준(Security Level)과 주체의 보안 취급인가(Security Clearance)를 비교하여 접근을 통제하는 방식으로 관리자만이 객체의 보안 수준을 설정하고 주체에게 보안 취급인가를 허용

BLP(Bell-LaPadula) 모델

14('19)

: 주체와 객체의 보안 수준(Security Level)을 비교하여 접근통제를 수행하는 모델로 최초의 수학적 접근통제 모델(수학적 검증을 거친 모델)

: 기밀성(Confidentiality)을 보장하기 위해 정보의 흐름을 통제하는 모델

• No Read Up 속성(SS-Property): 주체(사용자)보다 보안 수준(Security Level)이 높은 객체(Ex, 문서 등)의 정보를 읽을 수 없는 속성
• No Write Down 속성(*-Property): 주체(사용자)보다 보안 수준(Security Level)이 낮은 객체(Ex, 문서 등)에 정보를 쓸 수 없는 속성

Biba 모델

14('19)

: 주체와 객체의 무결성 수준(Integrity Level)을 비교하여 접근통제를 수행하는 모델

: 무결성(Integrity)을 보장하기 위해 정보의 흐름을 통제하는 모델(무결성의 3가지 목표 중 '비안가자에 의한 정보의 위변조 방지'만 해결)

• No Read Donw 속성(SI Axiom): 주체(사용자)보다 무결성 수준(Integrity Level)이 낮은 객체(Ex, 문서 등)의 정보를 읽을 수 없는 속성
• No Write Up 속성(*-Property): 주체(사용자)보다 무결성 수준(Integrity Level)이 높은 객체(Ex, 문서 등)에 정보를 쓸 수 없는 속성

역할 기반 접근통제(RBAC)

: 주체가 가지는 역할(Role)과 주어진 역할이 객체에 대한 어떤 접근이 허용되는 규칙에 근거하여 접근을 통제

Diffie-Hellman 키 교환 방식

3('15)

1) 사용자 A와 사용자 B가 사용할 소수 $p$ 와 원시근 $q$ 를 결정한다.
2) 사용자 A는 $a$ 를 선택하고, $q^a \mod p$ 를 계산하여 공개하고 사용자 B는 $b$ 를 선택하고, $q^b \mod p$ 를 계산하여 공개한다.
3) 사용자 A는 사용자 B의 공개키 $q^b \mod p$ 와 자신의 개인키 $a$ 를 이용하여 $q^{ba} \mod p$ 를 계산하고 사용자 B는 사용자 A의 공개키 $q^a \mod p$ 와 자신의 개인키 $b$ 를 이용하여 $q^{ab} \mod p$ 를 계산하여 공통 비밀키로 사용한다.
4) Diffie-Hellman 키 교환 기법은 유하넻의 이산대수 문제의 어려움에 근거하기 때문에 p로부터 $a, b$ 를 얻을 수 없으므로, 개인키를 구할 수 없으므로 안전하다.

정보보호의 목표

2('13), 8('16)

1. 기밀성(Confidentiality): 권한 있는 자(인가된 주체, 정당한 자)만이 정보자산(객체)에 접근하여 그 내용을 알 수 있도로 보장하는 것
2. 무결성(Integrity): 권한 있는 자(인가된 주체, 정당한 자)만이 정보자산(객체)에 접근하여 그 내용을 생성하거나 변경하거나 삭제할 수 있도록 보장하는 것
3. 가용성(Availability): 권한 있는 자(인가된 주체, 정당한 자)의 정보자산 접근 필요시 언제든지(즉시, 지체없이) 접근할 수 있도록 보장하는 것
4. 인증성(Authenticity) 또는 인증(Authentication): 인증성(인증)은 '사용자 인증'과 '메시지 인증'으로 구분해볼 수 있음
   • 사용자 인증: 정보자산에 접근하는 자(주체)의 시누언(ID)이 주자오딘 실체와 일치함을 보장하는 것(즉, 사용자의 신원이 올바르다는 것을 보장하는 것)
   • 메시지 인증: 수신한 메시지가 올바른 상대방이 보낸 메시지임을 보장하는 것
5. 책임성(Accountability): 정보자산에 접근하는 자(주체)가 접근 결과에 대해 책임지도록 보장하는 것
   • 책임 추적성: 주체를 식별해서 그 행위를 추적할 수 있도록 보장하는 것으로 이를 위해서는 주체가 유일하게 식별되어야 하고 주체의 행위를 감시하고 로깅하는 것이 필요
   • 부인방지(부인봉쇄): 주체가 한 행위를 나중에 부인하지 못하도록 보장하는 것

블록체인(Block Chain)

20('22)

: 분산 데이터 처리 기술로 네트워크에 참여한 모든 사용자가 거래 내역 등의 데이터를 분산하여 저장하는 기술

: 각 블록은 개인과 개인 간의(P2P) 거래 내역 장부

: '공공 거래 장부' 또는 '분산 거래 장부(원장)'라고도 함

: 탈중앙화된 시스템

비트코인(Bitcoin)

: 2009년 '사토시 나카모토(Satoshi Nakamoto)'라는 가명의 개발자에 의해 개발된 가상화폐로 거래 데이터를 중앙 집중적인 방법이 아닌 분산 기록 및 저장하는 데이터베이스로 블록체인을 이용한다. 해시 연산을 수행하여 가상화폐 블록을 생성하는 대가로 비트코인을 획득하는 행위를 마이닝이라 한다.