컴퓨터와 정보통신 기술의 발달로 탄생한 5대 국가기간전산망을 비롯, 각 종정보시스템이 사회 각 분야에서 수많은 정보를 유통시키고 있다. 민간 분야에서도 컴퓨터 통신의 사용 증가로 정보 교환이 활발히 이루어지고 있다.
이와함께 개인의 정보에 대한 이용도도 높아져 사기, 절도, 개인의 프라이버 시침해 등 각종 컴퓨터의 역기능이 증가되고 있는 추세여서 정보 보안이 심각한 사회문제로 대두되고 있다. 만약 보안이 필요한 주요 정보에 대해 비밀 이누출되거나 가용성 등이 손상을 입게 될 때는 관련 조직이나 개인에 심각한악영향을 미쳐 통신 정보에 대한 보안관리가 절실히 요구된다. 각종 정보 의 불법 이용을 방지하고 불법 유출이나 불법 침입자로부터 정보를보호하고, 정보 자체의 위험 요소를 최소화하기 위해서는 무엇보다 사용자에대한 정보 보안의 중요성을 인식시키고 정보보호 기법 연구에 많은 투자를 해야 한다.
정보 보안이란 비밀 유지가 필요한 주요 정보에 대해 제반 사고로부터 보호하는 것이다. 통신망을 통해 유통되는 정보나 컴퓨터에 보관되어 있는 정보가 사용자의 과실이나 제3자의 부정 행위 및 자연재해 등에 의해 손상되는 것을 방지하기 위한 여러 가지 대책을 말한다. 그리고 최근에는 정보 전송형태가 복잡 다양화되면서 통신 당사자간의 부정행위에 대해서도 정보와 정당 한 사용자를 보호할 수 있는 수단이 요구되고 있다.
경쟁에서 승리하기 위해서는 상대방의 정확한 정보를 입수하고 자기의 비밀정보는 항상 보호해야 한다. 최근 전국적인 전산망이 구축돼 시간과 거리의개념을 뛰어 넘는 정보교환이 이루어지고 있어 신속하면서도 정확한 정보 의입수가 필요하다. 이같은 생존경쟁에서 자기 자신의 비밀 보호도 필수적인 요소로 등장하고 있다.
정보통신망의 확대로 통신망을 이용한 불법적인 정보의 이용.유출.파괴 등 의정보보안 관련 범죄는 날로 증가되고 있고, 그 피해액도 가공할 만큼 늘어나고 있다. 그러나 컴퓨터 지식의 보편화, 정보통신망의 구축 및 컴퓨터 보급의 확대에 따라 범죄 실행 기회는 증가하고 또 범죄의 다양화와 증거 인멸 의용이성 및 전문 수사요원의 부족 등으로 이러한 범죄의 발견이나 예방이 매우 어려운 실정이다.
어떤 컴퓨터 사용자가 패스워드를 도용해 정보시스템에 불법 침입, 주요데이터를 탈취했을 경우 탈취된 데이터의 보안을 유지할 수 있는 방안은 데이터 자체에 대해 암호화시키는 것밖에 없다. 정보를 불법 유출했다하더라도암호를 해독하기 전에 그 정보의 내용을 파악할 수 없게 만드는 것이다. 이것이 바로 암호화 기법이다.
이러한 암호 기법은 종래 군사나 외교 등 특수 분야에서만 사용되어 왔으나현재는 정보를 취급하는 각 분야에서 다양하게 응용되고 있다. 특히 컴퓨터통신망을 통한 정보의 송수신시 발생하는 범죄의 예방을 위해 반드시 필요 한기법이다. 컴퓨터 통신망을 이용한 정보의 송수신 과정에서의 보안문제는 정보 외적인 위험요소와 정보 자체에서 발생되는 위험 요소로 구분할 수 있는데 이 문제가 최근 중요 사안으로 대두되고 있다. 현재 사용되는 암호화 기법에는 비밀키 암호기법과 공개키 암호기법 등이 있다.
비밀키 암호기법은 암호화나 복호화시 하나의 비밀키를 이용하므로 단일키 시스템 혹은 대칭형(Symmetric)시스템이라고도 하며, 안전한 정보 전송을 위해 반드시 비밀키의 교환이 선행돼야 한다. 그 대표적인 예는 77년 미국 상 무성 표준국(NBS)에서 정부표준 암호시스템으로 확정한 DES(Data Encryption Standard)알고리듬이다. DES알고리듬은 원문 64비트가 초기 배열 과정을 거쳐서 좌우 32비트씩 분리돼 16회의 암호계산을 마친 후 다시 64비트로 모아 지도록 설계되어 있다. 이러한 재배열 과정을 끝내면 64비트의 암호문이 생성되는데 암호 계산때마다 각각 다른 48비트의 키를 사용하게 되어 있다.
공개키 암호기법은 암호키와 복호키가 각각 달라 비대칭형 시스템이라고도 하는데 일반적으로 암호키는 공개된다. 이 시스템은 합법적인 이용자라 하더라도 이용자의 특정 비밀 정보없이는 비공개된 복호키를 계산하기 어려워 사용이 불가능하다는 특성을 가지고 있다.
예전의 종이 서류에 의한 문서교환이 컴퓨터 통신망을 통한 교환 방식으로 대체되면서 정보의 전달과정에는 상대방의 신분 확인, 전달 메시지의 무결 성, 사용자의 정당성 및 송수신자간의 분쟁 조정기능 등이 필요하게 됐다.
전자문서교환상에서 이러한 기능을 전자적으로 구현하는 것이 디지털서명이다. 즉, 전송 메시지가 변형되지 않고 전달되었음을 나타내는 전송 메시지의 무결성과 정보의 생성.처리.전송 등에 관여한 사용자를 보증하는 인증 등 양 기능을 복합한 것이 디지털서명이다.
송수신 데이터의 메시지 인증이나 사용자 인증에 사용되는 디지털서명 과정에는 우선 서명이나 검증 과정에서 사용할 서명키나 검증키를 생성하는 과정 디지털서명 키로 서명자가 비밀 정보를 이용하여 메시지를 암호화시키는 서명 과정, 공개 정보를 이용해 서명된 메시지가 원래 메시지인지를 확인하는 검증 과정 등 3가지가 필요하다. 이러한 디지털서명에는 신뢰할 수 있는제3자의 중재를 통해 서명을 생성하고 검증하는 "중재자를 통한 서명방식"과 중재자를 통하지 않고 송신자가 직접 서명하는 "직접 서명 방식"이 있다.
컴퓨터 통신망에서의 정보보안 서비스 구현에 필수기술인 디지털서명은 메시지처리시스템 MHS 전자자료교환(EDI), 전자자금이체(EFT), 파일전송시스템 FTS 전자결재, 바이러스 체크, 전자선거, 사용자 인증서비스, 데이터 무결성 서비스, 전자화폐 등에 활용할 수 있다.
주요 정보의 불법 이용 및 유출을 방지하고, 불법침입자의 위협으로부터 보호하기 위해 물리적 혹은 논리적인 액세스제어 보안기법이 사용되고 있다.
이보안기술은 비인가자에 대한 액세스를 통제하고, 인가된 사용자에게만 액 세스할 수 있는 권한을 부여하는 두 가지 기능을 갖고 있다.
컴퓨터 시스템에서의 액세스제어란 어떤 이용자가 컴퓨터의 활용이 가능한지를 분별하여 결정하는 기법을 말한다. 액세스를 원하는 이용자가 합법적인 이용자임을 증명할 수 있는 방법으로 시스템에 인증시키고, 인증된 이용자가 액세스할 수 있는 권한을 확인하는 등의 과정이 액세스제어다. 이 액세스제 어로 시스템내의 데이터 보안성을 유지하고 각종 정보의 불법 변조를 막는것이 가능하다.
액세스 제어를 위해 이용자의 신원을 인증하는 방법에는 이용자의 패스워드나 ID번호 등을 이용하는 방법과 이용자가 가지고 있는 물건(자기카드, IC카드 등)을 확인하여 액세스 가능 여부를 판단하는 기법이 있다. 이밖에 지문 손의 형태, 망막의 실핏줄 모양, 얼굴의 형태 등 신체 일부분의 특징을 사용하는 생체 측정 방법과 목소리의 주파수 비교, 서명의 형태, 키보드 사 용시의 강도나 리듬 등 특정 행위의 습관적인 특징을 이용하는 방법이 있다.
또 보안이 필요한 정보의 중요도에 따라 비밀 등급을 설정하여 그 이용자의비밀 취급인가 수준에 따라 액세스를 제어할 수 있게 하는 방법도 있다.
계층적 분류 방식에 의한 외국의 정부나 군 시스템에서 흔히 쓰이는 보안 레벨은 보안이 필요한 정보를 "Top secret" "Secret" "Confidential"등의 3가지 레벨로 중요도에 따라 분류된다. NATO 국가들과 캐나다에서는 일반에게공개되지 않은 정보를 "Restricted"라는 보안이 필요한 레벨로 지정하였으며 미국에서는 "Unclassified but sensitive"라고도 한다. 그리고 일반회사 나단체에서는 "Special control" "Company confidential" "Private" "Intern al use only" "Information for release" "Need to know"등으로 보안레벨 의강도순을 정하기도 한다.
정보 보안은 군에서의 정보 송수신은 물론 국가간의 외교문제에서도 커다 란비중을 차지하고 있다. 특히 동서 냉전이 종식되고 자국의 이익을 위해 우 방국끼리도 치열한 외교전 혹은 정보전이 전개되고 있는 실정에서는 더욱 그렇다. 단순한 외교문서의 교환이나 통신망을 이용한 본국과의 업무용 교신에 서도 자국의 주요 정보가 경쟁국에 의해 탈취당할 수 있다는 가능성은 항상 잠재되어 있다. 그러므로 통신망을 통한 정보 교환시에는 반드시 암호화된 상태로 정보를 주고받아야 한다.
기업에서도 국제 경쟁력과 동종 기업간의 경쟁에서 우위를 확보하기 위해 보안유지가 필요하다. 기업의 투자정보, 사업계획, 영업비밀 등이 그것이다.
그러나기업내에서 발생하는 정보보안 관련 범죄는 기업의 대외신용도에 직접적이고 커다란 영향을 미치기 때문에 대부분 외부에 공표되지 않는 것이특징이다. 정보보호 문제는 정보가 기억 매체에 보관중인 경우와 정보가 장소 이동을 위해 전송중인 2가지 경우로 나누어 생각할 수 있다. 어느 경우든 정보보호 를 위해 우선 정보에 물리적으로 접근하는 것을 차단하는 것이 가장 중요하다. 통신 정보의 보안을 위해 물리적인 접근통제 방법만으로는 만족할 만한 보호 결과를 얻을 수 없고 정보가 장소 이동이라는 요소를 포함하게 되면 문제가 훨씬 복잡하고 다양해진다. 이런 경우에는 물리적 접근 제어가 거의 불가능해지므로 암호화 기법을 정보보안 수단으로 사용해야 한다.
컴퓨터를 이용한 데이터 처리기술과 통신기술의 발전으로 언제 어디서나 여러 형태의 정보를 손쉽게 이용할 수 있게 됐다. 이러한 환경에서 정보보호 기술은 최근 개인이나 상업적인 측면에서 더 많은 관심을 갖는 연구분야가 됐다. 불법적인 컴퓨터의 사용이나 주요 정보의 변조 및 갈취 등 전산망 보안문제가 정보사회의 역작용으로 심각하게 대두되고 있기 때문이다.
데이터의 암호화와 액세스제어가 보안상의 피해를 모두 근절시킬 수는 없으나 통신망에서의 정보 범죄를 예방하고 피해를 최소화한다든지 혹은 범죄 의시도를 억제시킬 수 있는 가장 근본적인 방법인 것만은 틀림없다. 그런만 큼기술적 보완 대책과 함께 컴퓨터범죄동기 유발요인을 억제하는 제도적 보안대책이 병행되어 수립돼야 한다.
너무 포괄적인 개념만을 규정하고 있는 각종 정보보안 기법 활용에 대한 해당 법규 사항도 재정비돼야 한다. 과거 각종 보안상의 문제로 규제 위주로 만들어져 있는 정보 보안시스템 관련 법규정의 개정이 필요하다. 그리고 나아가서 국내 보안관련 산업의 육성을 위해 보안 제품 및 시스템의 생산이나 활용 범위 등에 대한 법적인 조치가 취해져야 하고, 이러한 사항과 보안제품 의 인증, 연구, 정책개발 등을 전담할 국가정보보안센터(가칭)의 설립이 절실한 실정이다.
이 력 서 성 명:이 경 석 생년월일:1954년 1월 5일 학 력 1978. 2 숭실대 전산학 조 (학사) 1981. 8 성균관대 전산학 (석사) 1986.12 UNIV. PARIS 7 전산학 (박사 : 암호 알고리즘 전공)경 력 1978. 3 1983. 6 산업연구원 전산실 1983.10 1986.12 ITODYS(France Paris 7 대학 연구소) 연구원1987. 1현재 산업연구원 전산실 (전산실장)