🚀 94sssh
Published on

2024.10.16

[네트워크 원리] - 07. 네트워크 보안 기술

네트워크 보안 기술

접속하는 사용자와 기기를 제한하는 3가지 방법

인증을 통해 정식 사용자 외에는 네트워크나 시스템에 접근할 수 없게 한다.

  • 패스워드 인증
  • 물건으로 인증(IC 카드 등)
  • 바이오메트릭스 인증(생체 인증 등)

데이터 도청을 방지하는 기술

  • 데이터 암호화
    평문(암호화 전 데이터)을 암호화하기 위해 암호키를 이용해 암호문을 생성

  • 데이터 복호
    암호문을 평문으로 되돌리는 것을 복호라고 한다.

암호화 및 복호화 시 연산을 암호화 알고리즘이라 한다.

키 하나로 데이터를 관리한다

  • 공통키 암호 방식
    암호화와 복호화에 같은 암호키를 이용하는 방식
    대칭키 암호방식비밀키 암호방식 등으로 불림
    처리 부하가 작다는 장점이 있지만, 암호키의 공유가 어렵다는 단점이 있음, 데이터송수신자 사이에 미리 암호키가 공유되어야 함

키 배송 문제
같은 암호키를 사용하면 규칙성을 통해 해독될 위험이 커짐. 송신자와 수신자 간 암호키 공유 및 갱신 방법 등을 키 배송 문제라 함

주요 공통키 암호 방식의 알고리즘으로는 3DES와 AES가 있으며, 현재는 AES가 주로 이용됨

2개의 키로 데이터를 관리한다

공통키 암호 방식의 큰 문제인 키 배송을 해결하는 방식이 공개키 암호 방식
공개키비밀키라는 수학적 연관성이 있는 암호키 쌍을 만들어 사용
공개키는 공개되어도 상관 없고, 비밀키는 공개되지 않도록 관리해야 함

공개키로 데이터를 암호화해서 전송하면, 수신자가 비밀키로 데이터를 복호
특징은 누구나 공개키로 암호화할 수 있지만, 복호할 수 있는 것은 비밀키를 가진 사용자뿐

암호화된 데이터로 암호화한 상대를 특정한다

비밀키로 암호화하고 공개키로 복호화할 수도 있다.

공개키 암호 방식의 알고리즘으로는 RSA 암호타원곡선 암호 두 가지가 자주 이용됨

  • RSA 암호
    매우 큰 수의 소인수 분해가 어렵다는 점에 바탕을 둔, 공개키와 비밀키 쌍을 생성해 암호 데이터를 연산하는 알고리즘
  • 타원곡선 암호
    타원곡선 상의 이산대수 문제가 어렵다는 점에 바탕을 둔, 공개키와 비밀키 쌍을 생성해 암호 데이터를 연산하는 알고리즘

데이터를 만든 상대방을 특정한다

디지털 서명: 서명용 데이터를 추가해서 전송해 데이터를 보낸 곳과 데이터가 변조되지 않았음을 확인할 수 있음
구체적인 디지털 서명의 내용은 데이터의 해시값을 비밀키로 암호화한 것

디지털 서명의 원리

  1. 송신자가 보낼 데이터에서 해시값 생성
  2. 생성한 해시값을 송신자의 비밀키로 암호화해 서명 데이터 작성
  3. 송신자는 데이터와 서명 데이터를 함께 수신자에게 전송
  4. 수신자는 송신자의 공개키를 이용해 서명 데이터를 복호, 송신자의 공개키로 서명을 복호할 수 있다는 점에서 비밀키를 가지고 있음을 알 수 있음
  5. 수신사는 수신한 데이터로부터 해시값을 생성
  6. 수신자가 생성한 해시값과 서명의 해시값을 비교, 해시값이 같으면 데이터가 변조되지 않았음을 알 수 있음

암호화에 사용할 공개키는 진짜인가?

PKI: 악의적인 제3자가 공개키를 공개할 가능성이 있으므로, 방지를 위한 인프라
PKI에서는 인증기관(CA)에서 발행한 디지털 인증서로 공개키 암호를 안전하게 이용할 수 있도록 함
많은 CA들이 서로를 신뢰하며 디지털 인증서를 발행하거나 설치해 이용
디지털 인증서의 규격은 X.509가 일반적으로 이용됨

온라인 쇼핑의 안전성을 확보한다

SSL: 디지털 인증서로 통신 상대방이 진짜라는 것을 확인
SSL로 암호화한 웹사이트는 주소창에 자물쇠 아이콘이 표시됨
SSL 암호화는 공개키 암호 방식과 공통키 암호 방식을 조합한 하이브리드 암호 방식을 사용
SSL 통신은 서버의 디지털 인증서를 가져온 뒤 체크해 진짜 서버가 맞는지 확인하는데 디지털 인증서에 포함된 공개키를 이용해 공통키를 안전하게 배송
데이터는 공통키 암호 방식으로 암호화

거점 간 통신을 저비용으로 안전하게 수행한다

WAN을 통해 자사의 거점 LAN끼리만 통신 가능한 사설 네트워크를 만들 수 있음

WAN인터넷
비용높다높지 않다
보안통신사업자가 보안 확보도청 등 위험 있음

인터넷 VPN을 통해서 인터넷을 경유해 거점 간 통신을 안전하게 할 수 있음

  • 거점 LAN의 라우터 사이를 가상으로 연결(터널링)
  • 거점 LAN 간의 통신은 터널을 경유하도록 라우팅
  • 터널을 경유하는 데이터를 암호화

일반 인터넷으로 보내는 데이터는 암호화하지 않은 채 그대로 전송