한국정보보호센터는 국가차원의 정보보호체계를 조속히 수립하고 정보보호의필요성을 널리 알리기위해 「정보보호심포지엄 96」 행사를 2일 인터콘티넨탈호텔에서 개최한다.국가안전기획부가 주관하고 정보통신부가 후원하는이번 행사는 정보보호체계의 현황및 정책방향,정보보호 대책수립과 운영관리,전산망정보보호 기술및 동향,인터넷 발전과 보안,해킹수법 현황및 방지대책에대한 주제논문이 발표될 예정이다.이날 행사에는 주제 발표에 이어 각계전문가들이 패널토론에 참여,전산망 종합보호대책 방향에대해 폭넓게 논의할예정이다.오늘 세미나에서 발표될 주제발표 내용을 요약 소개한다.
<편집자주>
<> 전산망 정보보호 기술 및 연구동향 (최양희교수,서울대)
오늘날 네트워크는 매우 다양한 종류의 컴퓨터 시스템과 다양한 종류의 통신 채널로 이뤄져 있다.
네트워크 환경에서 얻을 수 있는 자원들이 크게 증가하고 있으나 보유하고있는 자료들의 보안이 유지되지 못할 가능성도 커졌다.
네트워크 보안을 위해 기밀성(confidentiality)의 유지,무결성(integrity),데이터근원 인증(data-origin authentication),통신사실의 부인방지(non-repudiation),사용자 인증(user authentication),접근 통제(access control)등 방법이 소개되고 있다.
접근 통제의 구체적인 방법으로는 방호벽(firewall)과 전자우편 서비스의보안성 유지기법인 PEM(Privacy Enhanced Mail)등이 있다.
네트워크 상에서 보안을 유지하는 방법에는 여러가지가 있으며 그 목적도다양하다.특히 디지탈 서명등 기본적인 기법들을 합쳐서 좀 더 강화된 기법을 만들수도 있다.
따라서 이러한 보안 메커니즘들은 보안을 유지하고자 하는 네트워크에서수행되는 작업들과 자료들의 성질에 맞게 적절히 선택,사용해야 할것이다.
그러나 아무리 보안 시스템을 구축하더라도 완벽할수는 없다.따라서 네트워크 시스템 관리자들은 해커의 침입 여부르 24시간 관찰하고 만약의 경우에대비,자료들의 백업 등을 통해 피해를 최소화하려는 노력이 필요하다.
<> 정보보호 체계현황 및 정책방향 (남길현교수,국방대학원)
정보사회에서는 정보가 재화로서의 가치를 인정받고 있다.그러나 정보의개념을 「송신자와 수신자 사이에 전달되는 의미를 갖고 있는 기호」라고 정의할 때,정보는 기존의 물질재화와는 다른 여러 가지 특성을 갖고 있다.
최근의 첨단 과학기술은 컴퓨터와 통신기술의 비약적인 발전과 함께 전산망을 통하여 빠르고 정확한 정보를 대량으로 전송할수 있게 했으며 정보사회에서의 국민생활과 국가 경제,사회발전의 중추적 역할을 담당하고 있다. 특히 최근 급속도로 확산되고 있는 인터넷은 전세계를 한 울타리안으로 포용하면서 정보검색뿐아니라 광고,판매영역으로까지 기능을 확대하고 있다. 그러나 정보시스템이 확산되면서 필요한 정보를 여러사람이 공유할수 있고정확한정보를 적시에 활용할 수 있는 정보사회의 순기능적 역할이 증대되는 반면에중요정보의 노출이나 변경,개인의 프라이버시 침해,불법 침입자들에의한 위협 등의 역기능적인 측면도 증가하고 있다.
따라서 이러한 역기능적인 피해를 최소화시키고 정보시스템의 효율성을 극대화하여 정보사회에서 진정한 선진국 진입을 도모하기 위해서는 국가적 차원에서 정보보호체계를 구축하여 대비책을 마련할 수 있도록해야 한다. 여기에서 정보보호체계라고 하는 것은 정보뿐만 아니라 하드웨어와 소프트웨어를포함하는 정보시스템에 대한 오남용과 재해를 방지하여 안전성과 신뢰성을확보하기 위한 법, 제도 및 조직과 기능, 그리고 보호대책 수단과 절차를 포함하는 광범위한 의미를 갖고 있다.
따라서 우리의 정보보호체계는 미국과 영국 등 선진국의 정보보호체계를살펴보고 한국정보보호센터를 중심으로 하는 정보보호체계 구성방안과 함께국가적인 차원에서의 정보보호체계를 수립해 나가는 것이 바람직하다.
<> 정보보호 대책수립과 운영관리 (김세헌교수,한국과학기술원)
정보보안의 주요 목적은 인가되지 않은 사람이 정보에 접근하거나 인가 없이 정보를 사용하는 것을 방지하는 것이다.
이를 위해서는 먼저 정보를 기밀정도에따라 분류하고 보호정도를 차별화할수있도록 정보의 기밀등급을 분류해야한다.
이것이 이루어지게 되면 각각의 식별된 중요정보를 어떤 방법으로 유지,관리 및 이용할 것인지를 규정할수 있다. 일반적으로 정보시스템에서 정보보안을 위한 조직체계 설계의 근본 개념은 직원들간에 담당업무를 적절히 분리함으로써 직원들간의 상호견제효과를 유지하는 것이다.
이는 오류나 부정의 예방과 그것들의 신속한 발견을 위해서 필요한 조치이다.
직무를 적절히 분리하면 정보자산의 보호가 향상되며 전문화로 인한 작업능률의 향상,크로스 체크에 의한 정확성의 향상,관리통제시스템의 강화등 효과를 기대할수 있다.
특히 「직무 수행상 알 필요에 따른 기준(Need-to-know)」에따라 각 직원들의 기능이 분화되어 업무수행에 무관한 정보를 직원들이 습득하는 것을 제한할 수 있도록 조직체계를 설계해야한다.이어 조직관리를 위한 조직설계의기본원리를 알아보고 전산망 조직관리의 주요 대상인 정보처리 부문,시큐리티 관리부문의 조직설계와 전체 정보시스템 조직에서의 위치를 설정한다.
전산망 보안을 위한 조직설계는 조직내 정보처리부서와 시큐리티담당부서의기능과 책임을 전산망 보안의 관점에서 결정하고,명시적으로 분할된 책임과권한을 통해 전체조직과 통합하고,나아가서는 전체조직의 시큐리티에 관한기능및 책임을 결정하고 이의 효과적인 관리를 위한 조직통제를 설정해야한다.
전산망 조직 내에서의 책임은 다음과 같은 구성요소로 분배될 수 있다.각구성요소의 구분은 해당 전산망의 규모와 기능 등에 의해서 달라질 수 있으며 그 책임이 중복될 수도 있고, 각종 정보 자산에 대한 액세스는 허가 받은사람에 한하여 부과하여야 하는데 이 권한은 need-to-know 의 원칙에 기초하여, 사용자에게 부과된 권한으로서 이러한 권한의 부여와 자격관리가 어떻게이루어 져야 하는지를 살펴보아야 한다.
<> 인터넷의 발전과 보안 (홍기융팀장,한국정보보호센터)
국내외를 막론하고 국가의 중요 정보나 기업체의 중요 연구 결과를 불법적으로 유출시키거나 배포하는 행위는 국가의 안전 보장을 침해하고 국가 경쟁력을 저해시키는 매우 심각한 문제다. 또한 정보보안침해로 인한 금융사고를유발케 하는 행위는 국민 생활의 질적 저하를 가져옴은 물론 국가경제 기반을 위협하는 것이 아닐 수 없다.
이러한 시점에서 선진 각국은 급속하고 역동적으로 변화하고 있는 인터넷및 사이버스페이스에서의 보안침해사고에 효율적으로 대처하기 위하여 범정부차원의 대책 수립에 총력을 기울이고 있다.
이제는 전산망 보안을 어느 한 측면에서 바라보는 시각에서 벗어나 다각적이고 총체적인 측면에서 분석하고 실질적인 정보보호 효과를 얻을 수 있는방향으로 나아가야 한다.
실제로 최근 몇 년 동안에 전세계적으로 월드와이드웹(WWW)사이트의 증가는 폭발적인 것으로 96년 1월 기준 10만개 사이트로 추정되고 있으며 정보검색을 위한 접속은 기하급수적인 증가 추세를 보이고 있다. 또한 인터넷에접속된 호스트는 95년 7월경 6백64만2천개에서 96년 1월 현재 9백47만2천개로 거의 1천만대에 이르고 있다.
따라서 이제는 컴퓨터나 전산망을 사용하는 사용자가 특정인에 국한되거나특정의 나라에 한정적이던 시대를 벗어나 인터넷을 통한 국내외 시스템을 시간과 장소에 제약을 받지 않고 접근할 수 있는 사이버스페이스 환경에 직면해 있다.
따라서 각종의 정보시스템의 개발, 컴퓨터 시스템 및 전산망의 운용, 그리고 급변하고 있는 정보시스템의 사용자 환경 측면에서 정보보호를 구축해 나아가야 한다.
따라서 이러한 인터넷에 대한 발전상과 국내외 전산망 보안 및 해킹 실태,SDNS(Secure Data Network System), Firewall, JAVA, Secure Web, SecurityAPI, COPS,ISS,SATAN,상거래 등 인터넷과 사이버스페이스에서의 정보보호 현황을 살펴보고 이에대한 대책을 검토해야한다.
<> 해킹수법 현황 및 방지대책 (임채호팀장,한국정보보호센터)
최근 인터넷에서의 해킹 문제는 우리나라 뿐 아니라 전세계적인 공통적인문제로 대두되고 있다.미국의 CERT나 미국방성에서의 해킹 공격보고서는심각한 수준에 이르고 있음을 보여주고 있다.
한국에서도 인터넷상의 해킹 공격이 날로 늘어나고 있는 실정이다.
특히 단순 호기심 차원의 해킹이 아닌 범죄적 양상을 띤 해킹이 매우 우려되고 있다.
해커들을 분류하면 학구형,침입형,암호형,파괴형,스파이형 등으로 나눌 수있으며 그중 범죄적 형태를 가진 공격 수법들을 분류하면 사회 공학적 방법·개인ID도용·호스트위장·해킹프로그램 공격등으로 분류해 볼 수 있다. 해커들을 이러한 여러 방법들을 동원해 불법 침입·관리자 계정뺏기·스니퍼설치·불법프로그램 설치·로그 지우기등의 행위를 저지른다.
이러한 해커들의 침입을 방지하고 기관의 내부 전산망을 보호하기 위한 전산망 보호모델을 살펴보면 우선 개별 호스트 각각의 보호 모델을 고려해볼수있으나 각 시스템마다 보호 기술을 모두 구현 관리해야함으로 불편하며 효율적인 중앙집중식 관리가 어렵다고 볼 수 있다.
이에 따라 전산망보안방화벽시스템 방식으로 대표되는전산망경계보호모델을 고려할수 있다.이 모델은 효율적이며 중앙집중식 보호 방법으로 관리가손쉬운 모델이지만 관리상의 문제나 잘못된 구성 및 운영에 의해 문제가 있을 수 있으므로 두 가지 모델을 복합화한 권고 모델로서 외부 인터넷 연동지점으로부터 내부의 시스템까지 각 단계별로 보안환경을 구현하는 것이바람직하다.
이같은 모델을 이해하고 이를 구현하는데 있어 우선 해커들이 사용하는 침입 수법들에 대한 대처방안들을 각 수법별로 이해하고 구현할수 있는 방법들이 제시되고 있다.또한 내분 전산망 전반적인 보안 구현의 절차로서,먼저 방화벽 환경의 구축이 요구되는데,이의 이해와 구성요소,구현 방법 및 사례 분석들을 제시한다.
이후 내부 망의 시스템 차원에서의 보안은, 1)시스템 패치, 2)개정및 패스워드 관리, 3)시스템 점검 및 모니터링, 4)감사기록, 5)시스템 공격을 통한안전 점검,6) 침해사고시 처리 지침 마련 및 운영 등이 요구된다고 하겠다.
<정리=구근우기자>