컴퓨터 보안

컴퓨터 보안(-保安, 영어: computer security), 사이버 보안(cybersecurity)^[1] 또는 정보 기술 보안(Information Technology Security, IT Security)은 하드웨어, 소프트웨어 또는 데이터의 도난이나 손상, 컴퓨터가 제공하는 서비스의 중단 또는 오용으로부터 컴퓨터 시스템을 보호하는 것을 이르는 말이다.

이 분야는 컴퓨터 시스템과 인터넷^[2], 무선 네트워크에 대한 의존도 증가와 스마트 폰, 사물 인터넷 (IoT) 장치의 보급과 맞물려 점차 그 중요성이 대두되고 있지만, 기술적인 복잡성과 함께 (빅 브라더 문제와 같은) 정치적인 문제까지 얽혀있기 때문에, 현대 사회에서 손꼽히는 어려운 분야 중 하나로 거론되기도 한다.^[3]

취약점 및 공격

보안 취약점 (또는 간단하게 취약점)은 컴퓨터 시스템의 설계, 구현, 운영 또는 내부 로직상에 존재하는 약점으로, 대부분의 취약점들은 발견이 되는 대로 CVE(Common Vulnerabilities and Exposures) 데이터베이스상에 정리된다. 특히 적어도 하나의 실제 적용이 가능한 공격, 즉 "악용" 사례가 존재하는 취약점을 특별히 악용 가능한 취약점이라고 하는데,^[4] 이러한 공격들은 보통 공격자들에 의해 수동으로 발견되거나 자동화 툴에 의해 자동으로 발견되기도 한다.

컴퓨터 시스템을 보호하기 위해선 사전에 반드시 보호하고자 하는 시스템에 어떤 종류의 공격이 가해질 수 있는가를 숙지해야 하는데, 일반적인 보안 위협들은 통상 아래의 카테고리 내에서 분류가 된다.

백도어

컴퓨터 시스템, 암호 시스템 또는 알고리즘에서 백도어는 일반적인 인증 절차 또는 보안 통제를 우회하는 공개되지 않은 방법 혹은 통로이다. 백도어는 조악한 시스템 설정으로 인해 의도치 않게 만들어지거나 공격자에 의해 악의적으로 설치될 수도 있지만, (기밀 유출 방지와 같은) 합리적인 목적에 의해 백도어가 의도적으로 시스템 디자인 상에 포함되기도 한다; 하지만 이유 여하를 막론하고, 백도어의 존재는 대개 취약점을 발생시킨다.

서비스 거부 공격

서비스 거부 공격 (DoS)은 적법한 사용자가 기계 또는 네트워크 리소스 (즉 서비스)를 사용할 수 없도록 만드는 공격이다.^[5] 공격자는 특정 개인에 대한 서비스를 마비시키기 위해 (가령) 잘못된 비밀번호를 마구 입력하여 특정인의 계정을 비활성화 시킬 수도 있으며, 기계 혹은 네트워크에 과부하를 일으켜 모든 사용자가 서비스를 사용할 수 없게 만들 수도 있다. 서비스 거부 공격은 공격이 일정 IP를 통해서만 이루어질 경우에는 네트워크 방화벽에 새 룰을 추가하는 식으로 쉽게 방어될 수 있지만, 이를 우회하기 위해서는 여러 가지 형태의 분산 서비스 거부 공격 (Distributed DoS, DDos)도 가능하다. 분산 서비스 거부 공격에서는 공격자가 여러 접속 지점 (예: 복수의 IP)을 통해 공격을 수행하므로, 단순 서비스 거부 공격에 비해 방어가 쉽지 않다. 분산 서비스 거부 공격은 주로 좀비 컴퓨터나 봇넷 등을 통해 대리로 이루어지지만, 다른 시스템들로 하여금 공격할 시스템으로의 트래픽을 일으키도록 속이는 공격 방식(리플렉션/앰플리케이션 공격) 등을 취할 수도 있다^[6].

물리적 공격

허가받지 않은 사용자라 하더라도, 공격자가 컴퓨터에 물리적으로 접근할 수 있는 경우에는 데이터를 복사해갈 수 있는 가능성이 굉장히 높아진다. 뿐만 아니라 시스템 운영체제 (OS)를 조작한다거나, 웜 바이러스, 키로거, 도청 장치, 심지어 원격 조종이 가능한 무선 마우스를 설치할 수도 있으며,^[7] CD-ROM 또는 다른 부팅 가능한 미디어를 통해 다른 운영체제로 부팅하여 일반적인 보안 장치들을 우회하는 것도 가능하다. 디스크 암호화 및 신뢰할 수 있는 플랫폼 모듈은 이러한 극단적인 공격 형태를 방어하기 위해 설계된 보안 장치들이다.

도청

도청은 사적인 대화를 은밀하게 엿듣는 행위로, 컴퓨터 보안에서의 일반적인 도청 대상은 주로 네트워크 호스트 사이의 트래픽이다. 가령 FBI와 NSA와 같은 미국의 정보기관들은 인터넷 서비스 제공자 시스템에서 사용자(호스트)간 트래픽을 엿듣기 위해 Carnivore나 NarusInSight와 같은 프로그램들은 사용하기도 하였다. 도청은 심지어 외부와 전혀 접점이 없는 닫힌 시스템에 대해서도 수행될 수 있는데, 이 경우는 하드웨어에서 발생되는 미세한 전자기파가 수단이 되기도 한다. NSA는 이러한 종류의 공격과 방어 방법을 정리한 규격(Specification)을 마련하기도 하였다. (TEMPEST)

멀티벡터, 다형성 공격

2017년에는 여러 종류의 공격을 조합하거나(멀티벡터 공격^[8]) 확산 과정에서 보안 장치들을 회피하도록 설계된(다형성 공격^[9]) 신종 공격 방식들이 새롭게 대두되었다. 이러한 보안 위협들은 사이버 공격의 5세대로 분류되었다.^[10]

피싱

피싱 공격은 사용자의 이름이나 아이디, 비밀번호, 카드 번호와 같은 민감한 개인 정보를 사용자에게서 직접 얻어내고자 하는 공격 시도들이다. 피싱은 흔히 사기 메일이나 메신저 서비스 등을 통해 이루어지며, 대개 사용자에게 진짜처럼 꾸며진 웹사이트에 접속하여 민감한 정보를 입력할 것을 지시한다. 이 공격은 본질적으로 피해자의 신뢰를 이용하는 것이므로, 사회 공학적 공격 기법 중 하나로 분류된다.

권한 확대

권한 확대 혹은 권한 상승은 제한된 권한 만을 갖고 있던 공격자가 모종의 방법을 통해 인증 절차 없이 권한이나 접근 급수를 확대(상승)시키는 상황을 이르는 말이다. 간단한 예로, 일반적인 PC 유저들은 누구나 시스템을 속여 제한된 데이터에 대한 접근 권한을 따낼 수 있고, 심지어 직접 슈퍼유저(루트, root)가 되어 시스템에 대한 전권을 가질 수도 있다.

사회 공학

사회 공학은 사용자로 하여금 비밀번호나 카드 번호와 같은 비밀 정보를 공개하도록 설득하는 것을 목표로 하는 공격 방식이다. 대표적인 설득 방법은 사용자에게서 신뢰를 얻을 수 있는 은행이나 계약자, 고객을 사칭하는 것으로, 실세계의 사기에 준한다.^[11]

흔한 사기 사례의 하나로 기업의 CEO로 가장하여 회계/재정 부서로 메일을 보내는 방법이 알려져 있다. 2016년 초 발표된 FBI의 보고에 의하면, 이러한 종류의 사기로 인해 미국 경제 시장에서 약 2년만에 20억 달러가 넘는 손해가 발생하였다고 한다.^[12]

2016년 5월에는 미국의 NBA 팀 밀워키 벅스가 구단의 단장을 사칭한 사기꾼에게 이 공격을 당해 구단 직원 전체의 세금 서류를 넘겨주었다고 한다.^[13]

스푸핑

스푸핑은 원래 권한이 없는 공격자가 어떤 정보나 리소스를 얻어내기 위해, (IP나 사용자 이름과 같은) 데이터를 위조하여 권한이 있는 개인을 사칭하는 행위이다.^[14][15] 스푸핑은 다양한 형태로 이루어지는데,

• 이메일 스푸핑에서는 공격자가 이메일의 보낸 주소를 위조한다.
• IP 주소 스푸핑에서는 공격자가 네트워트 패킷의 출처 IP 주소를 위조하여 자신의 정체를 숨기거나 다른 컴퓨터 시스템을 사칭한다.
• MAC 스푸핑에서는 공격자가 자신의 MAC 주소를 변조시켜 자신을 네트워크 상의 적법한 사용자로 가장한다.
• 생물측정학적 스푸핑에서는 공격자가 가짜로 위조한 생체 샘플을 이용하여 다른 사용자를 사칭한다.^[16]

탬퍼링

탬퍼링은 제품을 악의적인 목적으로 변조하는 것을 가리키는 말이다. 소위 "사악한 가정부" 공격 (Evil maid attack)이나 네트워크 라우터를 감시할 수 있도록 설계된 보안 서비스 등이 탬퍼링의 주요한 예이다.

응용 분야

컴퓨터 보안은 컴퓨터 시스템에서 실행되는 테크놀로지 기반의 대부분의 산업에서 매우 중요하게 여겨지고 있다. 컴퓨터 보안은 컴퓨터의 안전과 직결되며 컴퓨터를 기반으로 하는 시스템들의 취약점들을 파악하는 것은 가동 산업을 유지시키는 데 중요한 역할을 한다

클라우드 컴퓨팅 보안

클라우드 컴퓨팅에서 가장 중요한 점은 보안 이슈라고 해도 과언이 아니다. 클라우드 컴퓨팅에서는 입출력을 제외한 모든 장치가 OS에 해당되고 환경 내에 속한 모든 사용자들에 access가 허용되기 때문에 해킹의 위험이 있을 수 있으므로 컴퓨터 보안이 더욱 중요한 문제로 부각된다.
보안기술 플랫폼에 사용되는 보안기술로는 접근제어와 사용자 인증 기술이 가장 대표적이다. 접근제어 방식으로는 DAC, MAC, RBAC가 대표적인데, DAC는 사용자가 자신이 소유한 자원에 대한 접근 권한을 임의로 설정하는 것을 말한다. MAC은 자원에 대한 보안 등급과 영역을 기준으로 수직과 수평적 접근규칙을 시스템 차원에서 설정하여 사용하는 것이며, RBAC는 사용자의 조직상에서의 역할을 기반으로 해당 역할을 가진 사용자 그룹에 부여하는 방식이다.
대표적인 스토리지 보안기술은 검색 가능 암호시스템과 데이터 마이닝기술이 있다. 검색 가능 암호시스템은 기존의 암호 기술과 같이 암호화된 정보에 대한 기밀성을 보장하는 동시에 특정 키워드를 포함하는 정보를 검색할 수 있도록 고안된 암호 기술이며, 데이터 마이닝은 많은 양의 데이터에 함축적으로 들어있는 지식과 패턴을 찾아내는 기술이다.

컴퓨터 보안 관련사건

최근의 컴퓨터 보안에 관련된 큰 사건들의 예로는 2011년 4월 12일에 발생한 농협 전산망 마비 사태와 네이트 개인정보 유출 사건을 들 수 있다. 농협 전산망 마비 사태의 경우 서버 유지보수를 맡은 외주업체 직원의 PC로 악성코드가 감염되어 최고위 관리자의 비밀번호 등 전산망 관리를 위한 각종 정보가 해커들에게 넘어갔고, 좀비 컴퓨터가 된 노트북에서 원격제어를 통해 서버 운영 시스템을 파괴시키는 공격명령 프로그램을 실행하여 사태가 일어났다. 네이트 개인정보 유출 사건도 또한 돈을 노린 중국발 해커가 SK커뮤니케이션즈의 내부 개발자 PC를 해킹해 벌어진 사고이다.

보안 관련 용어

아래의 용어는 공학 보안 시스템에서 사용된다:

• 방화벽
• 암호학
• 인증
• 접근 제어

아래의 용어는 컴퓨터 보안과 관련된다:

• 백업
• 바이러스 검사 소프트웨어
• 암호
• 침입 탐지 시스템
• 사회 공학

같이 보기

• 인증
• 인가
• 자료 보안
• 방화벽
• 네트워크 보안, 인터넷 보안
• 사이버스톰 훈련
• DoS 공격
• 백도어
• 인터넷 프라이버시

각주

1. Schatz, Daniel; Bashroush, Rabih; Wall, Julie (2017). “Towards a More Representative Definition of Cyber Security”. 《Journal of Digital Forensics, Security and Law》 (영어) 12 (2). ISSN 1558-7215. 
2. "Reliance는 ICT 아마추어를위한 길 끝" , 2013년 5월 7일, The Australian
3. Stevens, Tim (2018년 6월 11일). “Global Cybersecurity: New Directions in Theory and Methods”. 《Politics and Governance》 6 (2): 1–4. doi:10.17645/pag.v6i2.1569. 
4. “Computer Security and Mobile Security Challenges”. 《researchgate.net》. 2015년 12월 3일. 2016년 10월 12일에 원본 문서에서 보존된 문서. 2016년 8월 4일에 확인함. 
5. “Distributed Denial of Service Attack”. 《csa.gov.sg》. 2016년 8월 6일에 원본 문서에서 보존된 문서. 2014년 11월 12일에 확인함. 
6. [codelivly.com/what-is-ddos-exploring-the-world-of-ddos-attacks “What is DDoS: Exploring the World of DDoS Attacks”] |url= 값 확인 필요 (도움말). 2023년 4월 22일.  이름 목록에서 |이름1=이(가) 있지만 |성1=이(가) 없음 (도움말); 다음 날짜 값 확인 필요: |date= (도움말)
7. “Wireless mouse leave billions at risk of computer hack: cyber security firm”. 2018년 12월 14일에 원본 문서에서 보존된 문서. 2019년 1월 18일에 확인함. 
8. “Multi-Vector Attacks Demand Multi-Vector Protection”. 《MSSP Alert》. 2018년 7월 24일. 
9. Millman, Renee (2017년 12월 15일). “New polymorphic malware evades three quarters of AV scanners”. 《SC Magazine UK》. 2018년 6월 14일에 원본 문서에서 보존된 문서. 2019년 1월 18일에 확인함. 
10. Turner, Rik (2018년 5월 22일). “Thinking about cyberattacks in generations can help focus enterprise security plans”. 《Informa PLC》 (Ovum). 2018년 5월 25일에 원본 문서에서 보존된 문서. 2019년 1월 18일에 확인함. 
11. Arcos Sergio. “Social Engineering” (PDF). 3 December 2013에 원본 문서 (PDF)에서 보존된 문서. 
12. Scannell, Kara (24 February 2016). “CEO email scam costs companies $2bn”. 《Financial Times》 (25 Feb 2016). 23 June 2016에 원본 문서에서 보존된 문서. 7 May 2016에 확인함. 
13. “Bucks leak tax info of players, employees as result of email scam”. Associated Press. 20 May 2016. 20 May 2016에 원본 문서에서 보존된 문서. 20 May 2016에 확인함. 
14. “What is Spoofing? – Definition from Techopedia”. 30 June 2016에 원본 문서에서 보존된 문서. 
15. 《spoofing》. 《Oxford Reference》 (Oxford University Press). 2016년 1월 21일. doi:10.1093/acref/9780199688975.001.0001. ISBN 9780199688975. 2017년 10월 8일에 확인함. 
16. Marcel, Sébastien; Nixon, Mark; Li, Stan, 편집. (2014). 《Handbook of Biometric Anti-Spoofing: Trusted Biometrics under Spoofing Attacks》 (PDF). Advances in Computer Vision and Pattern Recognition (영어). London: Springer. doi:10.1007/978-1-4471-6524-8. ISBN 978-1-4471-6524-8. ISSN 2191-6594. LCCN 2014942635. 2017년 10월 8일에 확인함 – Penn State University Libraries 경유. 

외부 링크

• (영어) 컴퓨터 권고 보안 - Curlie