정보보호를 위한 여러 장치1. 공개키 암호화 방식에서 기밀성, 인증, 무결성, 부인방지가 어떻게 이루어지는가?먼저 기밀성이란 수신자 이외에는 데이터를 보지 못해야 한다는 것이다. 인증이란 송신자와 수신자의 진위를 파악할 수 있어야 한다는 것을 의미한다. 무결성이란 데이터가 중간에 변조되지 않고 그대로 건달이 되어야 한다는 것이고, 부인방지란 송신자나 수신자가 거래를 부인하지 못하는 것을 의미한다.공개키 암호화 방식이란 암호화키와 복호화키를 서로 다르게 만들어서 사용해 불특정 다수와 암호문을 주고 받을 수 있게 하는 방식이다. 즉, 여러 사람에게 공개하는 공개키와 자신만이 알고있는 비밀키를 이용하는 방법으로, 공개키로 암호화 하면 비밀키로 풀어야 하며, 비밀키로 암호화하면 공개키로 풀어야한다.어떠한 방법으로 공개키 암호화 방식에서 기밀성, 인증, 무결성, 부인방지가 이루어질까? 먼저, 송신자가 평문을 해쉬하여 숫자를 생성한다. 그리고 송신자의 비밀키를 이용하여 암호문을 만드는 데 이때, 사용자 인증이 이루어지게 된다. 그 암호문을 다시 수신자의 공개키로 암호화 하는데 이때 메시지의 기밀성이 이루어진다. 이 암호문은 수신자에게 전해지고, 수신자는 수신자의 비밀키를 이용하여 암호문을 푼다. 이때, 메시지의 기밀성이 한 번 더 이루어지고, 이 풀린 암호문을 송신자의 공개키로 한번 더 풀어서 원래의 숫자로 만들어 준다. 이때, 사용자 인증이 이루어진다. 이 숫자를 해쉬기능을 이용하여 평문으로 만들어 줄 수 있다. 이때, 메시지의 무결성이 이루어진다. 이 자료들은 모두 부인방지를 위해 사용될 수 있다.2. VPN(Virtual Private Network)를 구성하는데 있어, IPsec과 SSL을 사용 하였을 경우의 차이점SSL은 인터넷에서 구현될 수 있는 전송 계층의 표준 보안 기술로 모든 TCP 데이터를 암호화하는 역할을 한다. 또한, 암호화된 데이터를 전송함으로써 전송 도중 발생되는 데이터 유출을 막고 클라이언트와 서버를 인증하는 방법으로 보안 기능을 제공한다.IPsec란 통신 세션의 각 IP패킷을 암호화하고 인증하는 안전한 인터넷 프로토콜(IP) 통신을 위한 인터넷 프로토콜 스위트이다. 이 보안은 통신 세션의 개별 IP 패킷을 인증하고 암호화함으로써 처리된다.SSL과 IPsec는 단지 데이터의 암호화를 구현하는 방식의 차이이다. SSL VPN의 경우, 접속 관리면에 있어 시간과 장소의 제약이 없고 다양한 사용자 환경을 수용할 수 있는 반면, IPSec VPN은 정확히 규정된 사용자만 접속할 수 있도록 제한돼 있으며, IP 네트워크 전체 접속에 대한 정교한 접속 관리가 어렵다는 문제가 있다. 따라서 IPSec VPN은 통신 당사자가 충분히 신뢰할 수 있는 환경에서는 적합한 솔루션이지만, 원격지 이동 사용자와 같이 접속 위치나 접속 단말에 대해 완벽히 신뢰할 수 없는 상황에서는 SSL VPN이 더욱 유용하다. 또한, 확장성에 있어서도 SSL VPN이 사용자 추가가 매우 용이한 반면, IPSec VPN은 사용자를 추가할 때마다 관리자의 관여가 필요하다.다시 말해, IPSec VPN은 상호 신뢰할 수 있는 양쪽 사이트의 네트워크와 네트워크를 연결할 목적인 경우에는 매우 최적화된 솔루션이다. 하지만 언제 어디서 어떤 단말을 통해 기업의 중요 애플리케이션과 데이터에 접속해 이들을 활용해야 할지 모르는 상황에서는 SSL VPN의 장점이 더욱 두드러진다.3-1. 전자서명 생성-인증-확인 절차전자서명은 생성-인증-확인 절차를 거친다.먼저, 전자서명을 생성 해야한다. 전자서명을 만들기 위해서는 공개키와 비밀키(개인키)가 필요하다. 두 키는 한 쌍의 열쇠와 같은 것으로 공개키는 인증기관을 통해 공개돼 있고, 비밀키는 이용자 자신만이 갖고 있는 유일한 키를 말한다.이렇게 전자서명을 생성한 후 사용할 때, 인증-확인 절차를 거친다. 만약, A가 자신만이 가지고 있는 비밀키를 이용해 B에게 전자우편이나 각종 전자문서를 전달할 때 전자서명을 첨부해 보내면, B는 인증기관에 보관돼 있는 A의 공개키를 읽어 들여 A의 전자서명을 검증하는 방식이다. 공개키(Public Key)를 활용했다는 점에서 이와 같은 방식을 공개키기반구조(PKI)라고 부른다. 비밀키를 전자서명 생성키라고 하며, 공개키를 전자서명 검증키라고도 한다. 이렇게 전자서명을 인증하고, 확인한다.3-2. 전자서명 및 인증제도의 필요성전자서명 및 인증제도는 정보사회에서 여러 가지 용도로 사용된다.첫째, 전자적 커뮤니케이션 상대방의 신원 확인이 가능하다. 전자서명은 서명한 메시지의 송신자 인증 및 서명된 문서의 무결성을 입증할 수 있기때문에 증가된 익명성에 대응하는 효과적인 기술적 수단이다. 특히 전자상거래가 본격화되어 당사자의 신원확인의 용도로 디지털 서명의 필요성이 높아지고 있다.둘째, 전자서명이 된 문서의 무결성을 보장해준다. 전자서명 및 인증제도는 전자문서의 생성, 유통, 보관과정 등에서 발생할 수 있는 변조가 일어나지 않았음을 입증하는 기능을 지닌다. 이를 바탕으로 전자서명 및 인증제도는 이러한 신뢰기반의 중요한 요소로서 사용될 것이다.셋째, 법적 분쟁 시 증거로 사용할 수 있다. 현재 이루어지고 있는 전자거래와 관련된 분쟁이 발생했을 때, 인증기관의 인증서를 법원에 제출해 거래 상대방을 증명할 수 있다. 즉, 디지털서명의 부인봉쇄의 기능을 통해 증거 자료화할 수 있다.3-3. 전자서명의 주요 사용 분야전자서명은 인터넷을 이용한 은행업무, 증권업무, 쇼핑, 민원서비스 등 일상생활의 대부분의 업무에 이용하고 있다.먼저, 인터넷뱅킹에서 전자서명이 사용되고 있다. 이용자가 전사서명을 이용해 로그인을 한 후 거래선택을 통해 거래 신청서를 작성한다. 이후 은행에 계좌이체 신청을 하게 되고, 은행은 공인인증기관에 전자서명을 검증한 후 계좌이체를 실행한다.두 번째로, 온라인 증권거래에서 사용되고 있다. 투자자가 전자서명을 이용해 로그인 한 후 자신이 하고자 할 거래를 선택해 주문신청 접수를 한다. 이 주문 데이터가 증권사로 넘어가게 되고 증권사는 공인인증기관에 전자서명을 검증한 후 증권사가 거래를 처리한다.세 번째로, 전자정부 행정 민원서비스에 사용되고 있다. 민원업무를 선택한 후 전자서명을 이용해 사용자 인증 후 사용자가 신청서를 작성한다. 신청서를 관할 구청에 넘기게 되고 관할 구청은 전자서명을 공인인증기관에 검증 요청한 후에 서류를 발급해준다.3-4. 전자서명의 인증기관과 관련 국내외 동향우리나라의 경우 전자서명의 한 종류로 공인인증서를 사용하고 있다. 공인인증서는 한국에서만 정의되는 것으로 파일에 대한 전자서명(공개키기반의)을 파일형태(NPKI)로 관리하여 전자 신분증 형태로 관리하는 것이다. 공인인증서를 생성하고 사용하기 위해서는 공인인증서의 인증기관이 필요하다. 제정된 법을 바탕으로 현재 우리나라의 공인인증서 인증기관은 한국정보인증㈜, ㈜코스콤, 금융결제원, 한국전자인증㈜, 한국무역정보통신, 이니텍 등 6개 기관이다. 인증기관별로 전문서비스 영역이 특화돼 있는데, 금융권의 경우 은행 인터넷 뱅킹은 금융결제원이, 증권 홈트레이딩시스템(HTS)은 코스콤이 서비스를 제공하고 있다.해외의 경우 전자상거래를 할 때 전자서명을 사용하고 있지 않다. 대신에 사용자의 행위 패턴을 분석하는 방식을 사용하기 때문에 간소화된 인증 절차의 놓치는 부분을 채워준다. 사용자의 이용 패턴을 기록하고 그 내용들을 분석하며 해당 사용자가 어떤 PC나 단말기를 이용해서 은행 거래를 많이 했는지 어느 지역에서 거래 이용을 많이 했는지에 대한 기록을 모두 분석한다. 기록된 내용을 다방면으로 분석하여 행위 패턴을 찾아내는 것이다. 만약 평소 패턴과 다른 송금 행위가 일어났을 때 바로 송금이 되지 않고 2차 확인 절차를 더 거치게 한다. BoA의 경우 사용자가 미리 지정해놓은 이미지(SiteKey)에 대한 답변이나 SMS 보안코드로 2차 인증 방식을 택했다. 이미지 답변의 경우 사용자가 가입 시 등록해놓은 것이기 때문에 2차 인증과 더불어 BoA에서 보낸 것인지 가짜 웹 사이트에서 보낸 것인지 확인하는 피싱(Phising)방지의 기능도 수행한다.
