[CS BASIC] 콘텐츠 보안 기술과, 기업 보안 전략

개요

오늘은 콘텐츠 보안 기술과 기업 보안 전략에 대해서 알아보도록 하겠습니다.

웹브라우저를 통해 탐색할 수 있는 인터넷 공간에서 우리는 다양한 정보를 얻을 수 있습니다.

그리고 이러한 정보는 때로는 무단으로 복제 및 도용되어 사용되기도 하는데요.

그중에서도 특히 기업의 영업 비밀이나 혹은 저작권자에 의해 창작된 게시글 또는 저작물에 대해서는

함부로 복제 및 도용되는 것만으로도 당사자 및 기업에 큰 피해를 줄 수 있습니다.

따라서, 이러한 정보의 무단 복제 및 도용을 막고 사용을 허가한 사용자에게 제한적으로 편집 권한을 주는 등

정보를 보호하기 위해 다양한 콘텐츠 보안 기술과 기업 보안 전략이 설계되었습니다.

 

---

콘텐츠 유출 방지 솔루션

유형	설명
보안 USB	- 정보 유출방지 등 보안 기능을 갖춘 USB 메모리 - 사용자 식별/인증, 데이터 암-복호화, 임의복제 방지, 분실 시 데이터 삭제 기능
DLP (Data Loss Prevention)	- 조직 내부의 중요 자료가 외부로 빠져나가는 것을 탐지하고 차단하는 솔루션 - 정보 유출방지를 위해 정보의 흐름에 대한 모니터링과 실시간 차단 기능을 제공
DRM (Data Right Management)	- MP3, E-Book과 같은 디지털 저작물에 대한 보호와 관리를 위한 솔루션 - 파일 자체에 암호를 걸어 권한 없는 사용자는 사용하지 못함 - 문서 보안 솔루션으로도 사용할 수 있고 문서를 저장할 때 암호화해서 저장하여 권한이 없는 사용자는 문서를 읽지 못하도록 함 - 디지털 콘텐츠에 대한 권리정보를 지정하고 암호화 기술을 이용하여 허가된 사용자의 허가된 권한 범위 내에서 콘텐츠의 이용이 가능하도록 통제하는 기술 및 시스템

기업 정보 보안을 위한 솔루션

보안 솔루션	설명
SECaaS (Security as a Service)	- 기업의 비용과 시간, 인력에 대한 리소스 투자를 최소화하기 위해 클라우드 인프라를 통해 전문화된 보안 기능을 클라우드 형태로 제공하는 서비스
CASB (Cloud Access Security Broker)	- 클라우드 서비스 이용 시 접근 통제, 암호화, 로깅 등 사용자와 클라우드 사이에서 보안 기능을 수행하는 중개 시스템

 

 

정보 보안 평가 및 접근 통제

기업에서 사용되는 다양한 정보의 보안을 점검하고, 인가된 사용자에게만 정보를 허용하기 위해 아래와 같은 평가 모델과 통제 기법이 활용되고 있습니다.

 

 

Secure SLDC 모델 및 방법론

방법론	설명
BSIMM (Building Security In Maturity Model)	- 미국 국토안보국의 지원을 받아 수행된 소프트웨어 보증(SwA, Software Assurance) 프로젝트 결과물 중 하나 - 보안 활동의 성숙도 수준을 영역별로 측정함으로써 소프트웨어 개발에 필요한 보안 능력 향상을 목표로 하는 개발 프레임 워크
Open SAMM (Software Assurance Maturity Model)	- OWAPSP에서 개발한 개방형 보안 프레임 워크 -  개방을 원칙으로 소규모, 중규모, 대규모로 점진적인 확대가 가능한 융통성 있는 프레임 워크 -  BSIMM과 달리 설계의 리뷰와 코드리뷰, 그리고 보안 테스팅을 3개의 중요한 검증 활동으로 정의함으로써 이들 활동 간의 연계성 강조
Seven TouchPoints	-  실무적으로 검증된 개발 보안 방법론 중 하나로써 SW 보안의 모범 사례를 SDLC(Software Development Life Cycle)에 통합한 소프트웨어 개발 보안 생명주기 방법론
MS SDL (Security Development Lifecycle)	-  마이크로 소프트사가 2004년 이후 자사의 소프트웨어 개발에 의무적으로 적용하도록 고안한 보안 강화 프레임 워크 -  SDL은 개발 중인 제품이 보안 위협에 대해 얼마나 강인한가를 측정하기 위해 동일한 제품에 대해 ‘pre-SDL’괴 ‘post-SDL’의 두 개의 버전으로 테스트
OWASP CLASP	-  개념 관점, 역할 기반 관점, 활동 평가 관점, 활동 구현 관점, 취약성 관점 등의 활동 중심, 역할기반의 프로세스로 구성된 보안 프레임워크로 이미 운영 중인 시스템에 적용하기 쉬운 보안 개발방법론 -  프로그램 설계나 코딩 오류를 찾아내어 개선하기 위해 개발팀에 취약점 목록을 제공

 
벨-라파둘라 모델(BLP, Bell-LaPadula Policy)

미 국방부 지원 보안 모델로 보안요소 중 기밀성을 강조하여 강제적 정책에 의해 접근 통제하는 모델

속성	설명
No Read Up	- 보안 수준이 낮은 주체는 보안 수준이 높은 객체를 읽어서는 안 됨 - 주체는 객체와 동일한 등급이거나 객체가 낮은 등급일 때 읽음
No Write Down	- 보안 수준이 높은 주체는 보안 수준이 낮은 객체에 기록하면 안 됨 - 주체의 등급이 객체와 동일하거나 객체보다 낮아야 기록 가능

 
비바 모델(Biba Model)

벨-라파둘라 모델의 단점을 보완한 무결성을 보장하는 최초의 모델

속성	설명
No Read Down	높은 등급의 주체는 낮은 등급의 객체를 읽을 수 없음
No Write Up	낮은 등급의 주체는 상위 등급의 객체를 수정할 수 없음

 

---

정보의 접근 통제

정보에 대한 접근 권한을 통제하는 과정에는 다음과 같은 주요한 개념이 있습니다.

개념	설명
식별 (Identification)	- 자신이 누구라고 시스템에 밝히는 행위 - 객체에게 주체가 자신의 정보를 제공하는 활동
인증 (Authentication)	- 주체의 신원을 검증하기 위한 활동 - 주체의 신원을 객체가 인정해주는 행위
인가 (Authorization)	- 인증된 주체에게 접근을 허용하는 활동 - 특정 업무를 수행할 권리를 부여

  
접근 통제의 유형

기업 내에서 중요한 정보에 접근 하는 과정에는 다음과 같은 통제 유형을 적용할 수 있습니다.

유형	설명
임의적 접근 통제 (DAC, Discretionary Access Control)	- 시스템에 대한 접근을 사용자/그룹의 신분을 기반으로 제한하는 방법 - DAC에서 사용하는 자원과 관련된 ACL(Access Control List)이 수정됨으로써 자원이 대한 권한을 부여
강제적 접근 통제 (MAC, Mandatory Access Control)	- 시스템 정보의 허용 등급을 기준으로 사용자가 갖는 접근 허가 권한에 근거하여 시스템에 대한 접근을 제한하는 방법 - MAC에서 사용자들은 자원에 대한 권한을 관리자로부터 부여받음 - 관리자만이 시스템 자원에 대한 권한을 할당할 수 있음
역할기반 접근 통제 (RBAC, Role Based Access Control)	- 중앙 관리자가 사용자와 시스템의 상호 관계를 통제하여 조직 내 맡은 역할(Role)에 기초하여 자원에 대한 접근을 제한하는 방법 - RBAC에서 자원에 대한 접근은 사용자에게 할당된 역할에 기반 - 관리자는 사용자에게 특정한 권리와 권한이 정의된 역할을 할당

 

정보 보안 분석 도구

기업에 적용된 정보 보안의 수준에 대해 분석하고 취약점을 점검하기 위해 아래와 같은 분석 도구를 사용할 수 있습니다.

도구	설명
Tripwire	크래커가 침입하여 시스템에 백도어를 만들어 놓거나 설정 파일을 변경해 놓았을 때 이러한 사실을 알 수 있게 분석하는 도구로 시스템 내의 지정한 중요한 디렉토리와 파일에 대한 데이터베이스를 생성한 후에 Tripwire를 실행할 때 새로 생성된 데이터베이스와 비교하여 그 차이점을 체크함으로써 시스템 관리자가 시스템 내에서 어떠한 변화가 있는지 감지할 수 있게 해주는 도구
Tcpdump	네트워크 인터페이스를 거치는 패킷의 내용을 출력해주는 프로그램으로 스니핑 도구의 일종으로 자신의 컴퓨터로 들어오는 모든 패킷의 내용을 도청할 수 있으며, 공격자에 대한 추적 및 공격유형 분석을 위한 패킷 분석 시 활용할 수 있는 도구