정보보안의 3요소 기밀성, 가용성, 무결성

기밀성이란 인가된 사람, 프로세스, 시스템만이 해당 시스템에 접근 가능하다는 개념입니다. 

 

예를 들어 구글에 접속하게 될때 해당 아이디와 비밀번호가 필요합니다. 이 정보를 알고 있는 사람은 나 혼자뿐이기 때문에 다른 사람에게 아이디와 비밀번호를 알려주지 않는 한 다른 사람들은 제 아이디로 로그인할 권한이 없습니다. 이것이 기밀성의 개념입니다. 이 기밀성을 위협하는 행위란 무엇일까요? 인가받지 않은 사람이 무단으로 제 계정에 로그인을 하는 행위라고 할 수 있겠습니다. 계정뿐 아니라 내가 소유하고 있는 자산(Asset)을 나와 내가 허락한 유저만 접근할수 있는가가 기밀성입니다.

 

기밀성을 위협하는 해킹공격은 무엇이 있을까요? 스누핑(Snooping)과 트래픽 분석(Traffic Analysis) 이 있습니다. 

 

스누핑(Snooping)

염탐하다, 몰래 엿보다라는 의미로 데이터에 대한 비인가 접근 또는 탈취라는  사전적 의미를 가지고 있습니다.  위 그림과 같이 옆에서 다른 사람이 패턴이나 비밀번호 입력하는 것을 슬쩍 훔쳐보는 행위를 넓게 이해하면 되겠습니다. 도어록 비밀번호를 몰래 훔쳐보고 것도 스니핑이라고 할 수 있습니다. 컴퓨터에서는 인터넷으로 전송되는 파일이나 메시지를 몰래 갈취해 그 내용을 훔쳐보는 것이 되겠습니다. 

 

트래픽 분석(Traffic Analysis) 은 갈취된 데이터를 분석하는 행위입니다. 아무리 암호화되어 도청자가 내용을 이해할 수 없다고 해도 암호화된 패턴을 분석해 다른 형태의 정보를 얻는 것입니다. 만약에 어떤 암호화된 메시지를 갈취하였는데 이전에 갈취된 암호문과 패턴이 같다면 이전과 동일한 내용의 메시지를 보냈구나라고 이해할 수 있고 더 나아가 이전의 메시지가 전송되었을 때 메시지의 전송자와 수신자가 어떤 행동을 했는지를 통해 이번에 어떤 행동을 할지 예측할 수도 있습니다. 

 

가용성이란 시스템이 지체없이 동작하도록 하고, 합법적으로 사용자가 서비스 사용을 거절당하지 않도록 하는 것이라는 사전적 의미를 가지고 있습니다. 조금 쉽게 풀어보자면 언제 어디서든 내가 원할 때 해당 서비스의 사용이 가능해야 합니다. 예를 들어 선거관리위원회 홈페이지가 있습니다. 이 홈페이지에는 투표소 위치, 투표 마감시간, 투표 시 유의사항 등의 정보를 제공합니다. 저는 투표하려고 하는데 투표장이 어딘지 잘 모르겠고 마감시간이 몇 시인지 헷갈리네요. 그래서 선관위 홈페이지에서 정보를 찾아보려고 접속을 하는데 갑자기 접속이 안 되는 것입니다. 이것이 가용성의 위협입니다. 저는 투표장이 어딘지 마감시간이 언젠지를 몰라 그냥 투표를 안 해버렸습니다. 아마도 이 공격으로 이득을 얻을 사람은 투표율이 낮을수록 유리하는 후보이지 않을까 싶네요. 

 

서비스 거부 공격(Denial of Service) 

위 사례는 실제로 2011년 하반기 재보궐선거에서 이른바 DDoS(Distributed Denial of Service)라고 불리우는 공격을 통해 선관위 홈페이지등 일부 서비스가 마비되었던 사건입니다. 수많은 좀비 피시들이 서버가 감당할수 없는 양의 트래픽을 유발해 서버를 마비시키는 공격입니다. 다음에 해킹 공격에 대해 설명할 때 좀 더 자세히 언급하겠습니다.

 

무결성(Integrity)이란  네트워크를 통해 송/수신되는 정보가 변조/변경/추가/삭제되지 않도록 보호되어야 하는 사전적 의미로서 내가 이미 알고 있는 정보가 불법적으로 생성, 변경, 삭제되지 않아야 한다는 개념입니다. 현실세계 또는 인터넷 에서 우리가 접하는 모든 것들은 문자, 그림, 영상으로 구성되어 있습니다. 내가 보고 있는 이 문서가, 이 사진이 이 영상이 조작되지 않은 순수한 원본인지 아닌지에 대한 개념입니다.  

 

 

 

무결성을 위협하는 공격들에는 무엇이 있는지 알아보도록 합시다.

 

변경(Modification)이란 말 그대로 어떠한 정보, 데이터등을 무단으로 변경해버리는 공격입니다. 인가받지 않은 공격자가 몰래 바꿔버렸기 때문에 이 정보에 사용자들은 이 변경된 데이터, 정보가 진짜라고 믿어버리게 되는거죠. 예를들어 아버지로부터 은행계좌번호로 백만 원을 보내라고 메시지를 받았습니다. 하지만 이 메시지는 누군가에 의해 갈취되고 변경되어 아버지의 계좌가 아닌 다른 사람의 계좌로 바뀌어 아들에게 수신되었습니다. 이 메세지가 변경된 것을 모르는 아들은 이 메시지대로 돈을 다른 계죄로 입금하게 되겠죠.

 

위장(Masquerading) 이란 자신의 신분을 속이고 다른 사람인척 위장하는 것입니다. IP나 MAC 정보 테이블을 임의로 변경해 해당 Lan 에 속하는 척 위장하게 됩니다. 영화 신세계를 보면 이자성은 실제 경찰이지만 자신의 신분을 위장해 정청의 동료가 됩니다. 현실세계에서 개인의 신상정보를 몰래 조작했습니다. 데이터나 정보를 조작해 타인을 속여 여러가지 이득을 얻기 위한 행위을 위장이라고 합니다.

 

재연 공격(Replaying) 이란 송수신자 간의 데이터 교환 과정에서 송신자의 메시지를 갈취해 다시 재전송하는 행위라고 합니다. 항목에 대한 중복 주문과 같은 잘못된 결과의 범위에 있게 됩니다. 예를 들어 송수신자들은 기업의 상사와 직원입니다. 상사가 직원에게 A기업으로 10억을 송금하라고 지시했습니다. 수신자인 직원은 이 메시지에 따라 10억을 송금했습니다. 하지만 공격자가 이 메시지를 갈취했다가 다시 수신자에게 전송합니다. 'A기업에 10억을 송금하라' 이 메시지를 받은 직원은 아 10억을 또 송금하란 말이구나 라고 이해하고 그대로 이행했습니다.