암호학의 3가지 보안 목표(SECURITY GOALS)
- 기밀성
- 무결성
- 가용성
1. 기밀성
- 기밀 정보는 보호되어야 함
- 조직은 기밀성을 위협하는 악의적인 행동에 대응해야 함
- etc
2. 무결성
- 정보는 지속적으로 변경되어야 함
- 이 변경이, 변경이 인가된 자에 의해 인가된 매커니즘을 통해서만 이루어져야 한다는 것이 무결성.
- 무결성 왜곡이 항상 악의적인 행동의 결과는 아님.
3. 가용성
- 정보를 인가된 자가 사용할 수 있어야 함 (가용해야 함)
- 정보가 지속적으로 변경되어야 함 → 인가된 자가 접근할 수 있어야 함
공격(Attack)
보안의 3가지 목표는 보안 공격에 의해 위협받음.
1. 기밀성을 위협하는 공격
스누핑(Snooping)
데이터에 대한 비인가 접근, 탈취
트래픽 분석(Traffic analysis)
도청자가 온라인 트래픽을 분석하여 다른 형태의 정보를 얻을 수 있음
2. 무결성을 위협하는 공격
수정(Modification)
공격자가 정보를 가로채거나 획득. 이후 그 정보를 조작.
가장(Masquerading / Spoofing)
공격자가 다른 사람으로 위장/가장 하여 공격.
재연(Replaying)
사용자가 보낸 메시지를 공격자가 획득하여 나중에 다시 사용(재연).
거부(Repudiation)
송신자가 차후에 메시지를 보낸 것을 부인하거나 / 수신자가 받은 것을 부인.
3. 가용성을 위협하는 공격
서비스 거부(Denial of Service; DoS)
인가된 유저가 접근하지 못하도록 막는 것.
시스템의 서비스를 느리게 혹은 완전히 차단 가능.
4. 소극적 공격 / 적극적 공격
소극적 공격(Passive Attacks)
공격자의 목표가 정보를 획득하는 것 뿐.
데이터 수정이나, 시스템에 해를 끼치지 않음.
기밀성을 위협하는 공격 : Passive Attack
적극적 공격(Active Attacks)
데이터 변경 / 시스템에 해를 끼침.
무결성, 가용성을 위협하는 공격 : Active Attack
보안 서비스와 매커니즘
생략.
기술(Techniques)
- 보안 목표를 실질적으로 수행하기 위해서는 몇몇 기술이 필요. 오늘날 2가지 기술이 널리 알려져 있음.
- 암호(Cryptography)는 매우 일반적 / 스테가노그래피는 매우 제한적.
스테가노그래피
데이터 자체를 다른 것에 감추는 기법.
Ex) 띄어쓰기의 개수 → 2진법으로 숨기기
01001 → Hello, my name is Kim Bap.
띄어쓰기 1칸, 2칸, 1칸, 1칸, 2칸 → 0 1 0 0 1