[SK쉴더스 루키즈 24기] 네트워크 보안(2)

이론 설명

1. 오픈소스 사용의 확산

연구 개발을 위한 목적으로 오픈소스의 사용이 증가함

• 코로나로 인한 재택근무, 원격, 모바일, 스마트 오피스, BYOD / 개발자 → 오픈소스
• 2022년 11월부터 ChatGPT 생성형 AI 본격화 → 오픈소스
• 보안의 관점에서 오픈소스 -> 조직적 성격 X, 보안성 심의/검토 X, 출처 불분명, 무료 X (라이센스 기반)
• 리스크: 망분리 입장 고수 -> 오픈소스를 사용해야 회사 생산성이 높아짐 -> 망분리 완화해달라

2. 클라우드 전환과 고려사항

1) 개발

• 워터폴: 순서대로 | 문제 -> 문제 정의 -> 요구사항 도출 -> 계획 -> 개발 -> 테스트 -> 배포 -> 운영 -> 유지보수
• 애자일: 빨리빨리 | 2주, 문제정의 + 요구사항 + 시제품 + 테스트 + 의사결정
  ㄴ> 문제 - 개발자, 운영자, 기획자, 디자이너, 예산, 보안, 개인정보보호 (분업, Silo)
• DevOps: 개발자 + 운영자, 요구사항 변경/추가(일관성, 표준화), Silo 완화, IaC(인프라 관리 코드), Cloud - 풀스택

2) 아키텍처

• 모놀로틱: 그룹웨어(예산, 회계, 재무, 인사, 게시판, 채팅), 더존(유지보수 비효율, 변화에 폐쇄적)
• N-Tier: 분리, WEB-WAS-DB(=3-Tier), 정적-동적-정보(부하분산, 데이터 처리 속도 증가), 분할(수직, 수평), 재해복구, 백업 아키텍처
• MSA: 예산, 회계, 재무, 인사, 게시판(따로따로 API, VM, 클라우드) 느슨한 연계(API, IP) in Cloud (Why? 고객 변덕, 요구사항 변경, 경기, 경쟁력 강화(서비스 추가), 운영 유지보수 효율) -> 단, 관리포인트 많아짐(도커, 쿠버네티스)

** 클라우드는 모든게 API로 되어있음 -> Amazon Web Services

3. 망분리 완화

• 무조건 좋은 것은 아님
• 생성형 AI 보안, 클라우드 보안 강화 -> 제로 트러스트 보안
• 규제(법) 개정되면 인프라 영향(변경)

=> 망분리의 개념과 망분리 완화(보안 에이전트 영향) 알아야 함
+) 방화벽 정책 설정, 운영(기준, 부가, 네트워크 아키텍처, 보안 아키텍처)

---

기타 설명

네트워크 기반 악성코드 탐지 솔루션

1) 정적 분석: 패턴(Rule) 매칭O, 소스코드 접근 가능(=투명성 O) -> White-Box Test

• 취약점 DB, 공급망 보안 SBOM, CVE/CCE 취약점, Snort, Yara - API 제공
• 알려진 공격 탐지 시 사용

2) 동적 분석: 패턴(Rule) 매칭X, 소스코드 접근 불가 -> Block-Box Test

• 샌드박스, 가상환경(VM)에서 실제 입력(실행) 후 남은 흔적(파일 생성, 프로세스/스레드, 삭제, 감염 등)
• 알려져 있지 않은 공격 탐지 시 사용

정보보안의 3요소

1) 기밀성
노출되지 않도록 보증하는 속성 <-> 노출
ex. 암호화, 접근통제, 은닉, 가명/익명(마스킹)

2) 무결성
중단되지 않도록 보증하는 속성 <-> 중단
ex. 백업, 2차 사이트, DR, 복제

3) 가용성
위변조, 훼손되지 않도록 보증하는 속성 <-> 위변조, 훼손
ex. 일방향 암호화(Hash), 진본(Object)

클라우드 네이티브

• DevOps, Container, CI/CD, Agile, MSA, 사업형 조직 구조

전자서명과 보안

Al-ls: 공인 인증서만 가능 (NPKI > cert) -> 인증 사고(다크웹)
To-Be: 공동 인증서, 생체 인증, 간편 인증, 브라우저 인증, DID 인증, 블록체인

---

Q&A

Q1. 이용자 vs 사용자

• 이용자(Customer): 남이 만들어서 타인이 쓰는 것 -> 외부 이용자와 고객 (1순위)
  대국민 서비스, 대고객 서비스, 은행 시스템, 정부 전산망
  암호화: 일방향 암호화

• 사용자(User): 자신이 만들어서 자신이 쓰는 것 -> 내부 임직원, 사용자 (2순위)
  자체 그룹웨어 개발
  암호화: 양방향 암호화

Q2. 일반 산업 vs 보안 산업

• 비즈니스 위에 만들어지는 것이 보안 (ex. 게임 보안, 제조 보안, 마케팅 보안 등)
• 일반 산업: 금융, 공공, 민간, 국방, 안보 (+ 보안)
• 보안 산업: 제품(솔루션), 지식정보보호전문(컨설팅), 보안관제 (+ 포렌식, 감사)

기타 사전 질문

Q1. 보안 분야에서 취득하면 좋은 자격증과 정보보안기사, 정보처리기사의 이점

• 자격증 -> 취업 준비 과정에서는 필요하다고 봄 (필수 X)
• 채용 공고에는 필수 조건, 우대 조건이 있음 -> 자격증은 우대조건에 포함
  ㄴ> 절대적인 필수 조건은 아니라는 의미

=> 자격증에만 시간을 투자하기 보다는 공고를 많이 보고 내가 갈 수 있는 곳과 가고 싶은 곳을 분리하여 찾아볼 것
(채용 사이트: 사람인, 인크루트, 잡코리아, 원티드, 리멤버, 인디드 등)

• 프로젝트: 고객사 파견, 구축, 운영, 관제, 컨설팅 -> 간혹 필요(자격증), 정보보안기사/정보처리기사(택1)
• 정보보안기사를 준비하는 태도: 자격증 취득 vs 공부 -> 우선 자격증 취득을 목표로 하고, 붙었다면 공부

Q2. 보안하는데 프로젝트 관리 능력이 필요한지

• 초급(1~3년차, 100): 서버, DB, 네트워크, 인프라 전반에 취약점 진단, 배치 스크립트 작성, 실제 자산식별(재고조사)
• 중급(4~6년차, 300): 취약점 통합, 통계, 보고서 작성, 규정 매핑, 대응방안 구상, 실제 시나리오 기반 대응방안
• 고급(7~10년차, 500): 최종 보고서 작성, 대응 방안 구체적으로 완료, 예산/정책개정/보안솔루션 구축, 고도화, 프로젝트 관리(PL)
• 특급(11년차 이상, 1000): 고객사 보고(브리핑, 프레젠테이션), 협의, 조율, 특이사항 대응, 보안 로드맵 설계(PM)

=> 소프트웨어 대가 산정 가이드라인(공수 산정) 초급 * 1.0 M/M (160h)

---

토론 내용

1. 오전 토론

인프라에 대해 알아보고 설명해보기

• 코로케이션(Colocation)의 정의 및 개념, 특징, 실제 사례(솔루션/벤더), 인프라 구축/기술 적용 시 보안 요구사항(보안 대응 방안) 작성하고 발표

• 모두 물리적 보안 -> 보안 공부를 하다보면 물리적 보안도 중요함

1) On-Premise

회사 자산, 부동산, 환경 <-> Off-Premise

• 직접 관리하며 모든 책임을 수반함
• 보통 5년 사용 -> 5년 이상이 되면 노후 자산(EOS, EOL)
• 물리적(데이터, 서버실) 먼지, 방화벽, 이중창

2) Hosting(Web, Server, Container)

• Web Hosting: 하나의 서버를 다중 사업자 공동 점유 -> Multi Tenancy
• Server Hosting: 하나의 서버를 단독 사업자가 단독 점유 -> Single Tenancy
• Container Hosting: 하나의 컨테이너만 단독 점유 -> Single Tenancy

3) Colocation

• 공간, 상면, 설비를 임대하는 방식
• 설비에 대한 서비스로 제공 -> 서비스 제공자
• 설비 자체에 대한 관리 책임(서버, OS, 코드, 빌드, 개발, 서비스) -> 고객

4) IDC, CDC

• IDC 기후영향 사례: 실내기, 실외기(동파), 습도(공조, 설비, 항온, 항습), 발열, 노후화 등

5) 가상화

OS 위에 OS가 올라가는 형태로, 무거운 방식의 가상화 -> 독립적

• 하이퍼바이저, 스케일업(수직적 확장, CPU/Memory/Disk)
• 하나의 OS에서 여러가지 작업 가능

6) Container

OS 위에 Process가 올라가는 형태로, 가벼운 방식의 가상화 -> 이식

• 컨테이너 엔진, 스케일 아웃(수평적 확장, 여러 개의 서버를 묶어서 사용 -> 클러스터링)
• 부하 분산, 레이어드(중복 가상화 최소화), 버스팅 이벤트(갑작스런 폭증) 대응, 자동 확장(오토 스케일링) 복구

=> 가상화 보안과 컨테이너 보안은 다름

7) Cloud(Public, Private, Multi, Hybrid)

8) Serverless(API 호출)

• API(함수)를 호출 -> 서버가 생성, API 호출 끝 -> 서버 삭제(CPU, Memory)
  ㄴ> 1/1000 단위로 돈을 내는 것
  ex. AWS(Vercel, Netlify), SaaS

9) IaC(Terraform, Ansible)

• 구조화된 코드 -> 인프라, 보안, 생성/삭제, 교육, 취약점 진단(휴먼 에러 최소화)
  
  

2. 오후 토론

저장 시 보안, 전송 시 보안, 일방향 암호 등의 암호 알고리즘에 대해 학습
+) K-CMVP(국정원 암호 알고리즘 인증필)이 무엇인지도 함께

암호 알고리즘

• 데이터를 보호하기 위해 다양한 방식으로 설계
• 주로 대칭키 암호 알고리즘, 비대칭키(공개키) 암호 알고리즘, 해시함수 3가지로 구분
  
  

1) 대칭키 암호 알고리즘

암호화와 복호화 시에 모두 동일한 키(대칭키)를 사용하는 알고리즘

• 빠르고 효율적이며 대량의 데이터를 암호화할 때 적합
• 암/복호화 시 동일한 키를 사용하기 때문에 상대방과 키를 공유해야 하므로 이를 안전하게 보관해야 함

[대표 알고리즘]

• AES: 현재 가장 널리 사용되는 대칭키 암호화 알고리즘, 강력한 보안성과 성능으로 금융/공공기관에서 널리 사용
  키 길이에 따라 128, 192, 256비트를 지원하며, 길이가 길수록 보안성이 높아짐
• DES: 56비트의 키를 사용하는 암호화 방식이며, 구조가 간단하여 현재는 보안 상의 문제로 인해 사용을 중단함
• 3DES: DES를 세 번 적용하여 보안성을 강화한 방식이며, AES가 나온 이후에는 사용량이 감소
  
  

2) 비대칭키(=공개키) 암호 알고리즘

암호화와 복호화 시에 각각 다른 키(공개키, 개인키)를 사용하는 알고리즘

• 개인키는 비밀로 유지되어야 하지만 공개키는 자유롭게 배포 가능
• 상대방과 사전에 키를 공유할 필요 X -> 안전한 키 교환에 적합
• 연산 속도가 대칭키보다 느리기 때문에 소규모 데이터에 적합

[대표 알고리즘]

• RSA: 가장 널리 사용되는 비대칭키 암호화 방식으로, 큰 소수의 곱셈을 기반으로 보안성을 유지
• Diffie-Hellan(DH): 키 교환 프로토콜, 자체적인 암호화 기능은 없으나 대칭키를 안전하게 공유 가능
  
  

3) 해시 함수

임의의 길이를 가진 입력 데이터를 고정 길이의 해시 값으로 변환하는 일방향 함수

• 일방향 함수: 한 번 암호화한 후에는 다시 복호화가 불가능
• 눈사태 효과: 입력 데이터가 조금만 바뀌어도 해시 값이 완전히 달라짐 -> 데이터의 무결성 검증 시 사용

[대표 알고리즘]

• SHA-2: SHA-256, SHA-512 등의 다양한 버전이 있으며 강력한 보안성과 충돌 저항성을 제공하여 현재 가장 널리 사용되는 알고리즘
• MD5: 해시 충돌 가능성으로 인해 더 이상 권장되지 않는 알고리즘
  
  

4) K-CMVP

국정원에서 운영하는 암호 모듈 검증 제도로, 한국 정보나 공공기관에서 사용되는 암호 알고리즘, 키 관리 등의 안전성과 구현 적합성을 검증하기 위한 프로그램

• 목적: 공공 데이터의 보호를 위해 암호 기술이 적합하게 구현되었는지 검증하며, 국제 표준과 유사한 수준의 보안을 보장하는지 확인하기 위해 사용

• 검증 절차
  ① 개발자가 국장원이 지정한 시험기관에서 평가를 받고, 인증 신청
  ② 시험기관은 개발자가 만든 모듈이 요구사항에 충족되는지 테스트
  ③ 결과를 국정원이 다시 검토하고 조건에 충족한 경우, 인증서 발급

---

참고자료

🔗 한국인터넷진흥원 | 정보보호 진로 가이드북
https://academy.kisa.or.kr/docs/kisa_academy_security_guide_book.pdf

🔗 Microsoft | Windows 방화벽 규칙
https://learn.microsoft.com/ko-kr/windows/security/operating-system-security/network-security/windows-firewall/rules