💡 TCP/IP가 보이는 그림책을 정리한 내용입니다.

시작 전에

네트워크에 접속하면 다른 컴퓨터와 데이터의 주고받기가 쉬워져서 사용 용도가 넓어진다. 하지만 바깥 세상으로 가는 출입구를 만듦으로써 컴퓨터나 사용자에게 위해를 가하는 초대받지 않은 손님이 들어올 위험도 높아진다.

통신에 따르는 위험은 주로 ‘도청’, ‘내용 변경’, ‘부정 액세스’, ‘DoS 공격’. ‘컴퓨터 바이러스 침입’ 등이 있다. 이 중 DoS(Denial of Service)는 특정 컴퓨터에 대량의 데이터를 보내서 그 컴퓨터의 처리 기능을 저하시키거나 정지시켜버리는 악질 범죄를 말한다. 이 공격을 받은 메일 서버는 메일을 모두 처리할 수 없게 되어 결과적으로 그 메일 서버를 이용하는 많은 사람에게 피해를 입히게 된다.

TCP/IP와 벗어난 이야기도 나오지만, 통신에서 보안은 빼놓을 수 없다. 지식을 넓힌다는 생각으로 읽어야한다.

용어 설명

ID 도용
다른 사람의 ID와 비밀번호를 해킹하여 나쁜 목적으로 사용하는 것

내용 변경
통신중 패킷을 가로채서 데이터의 내용을 변경하고 원래 수신인에게 보내는 것을 말한다. 수신인은 데이터의 내용을 신뢰할 수 없게된다.

부정 액세스
다른 사람의 컴퓨터에 허가 없이 불법으로 침입하여 그 컴퓨터를 제어하는 것을 말한다.

DoS(Denial of Service) 공격
한 사용자가 시스템의 리소스를 독점하거나 모두 사용, 또는 파괴함으로써 다른 사용자들이 이 시스템의 서비스를 올바르게 사용할 수 없도록 만드는 것을 말한다.

1. 통신에 숨어있는 위험

네트워크에 접속해서 다른 컴퓨터와 통신할 수 있다는 것은 무척 편리하다. 하지만 외부와 연결되어 있는 환경에서는 악의를 갖고 있는 제3자로부터 다음과 같은 피해를 받을 위험이 도사리고 있다.

패킷을 도둑맞는다

도청 : 통신 중 패킷을 부정한 방법으로 복사되어서 개인 정보를 도둑맞는 것을 말한다.
내용 변경 : 통신 중 패킷의 내용을 도둑 맞아서 정보가 부정한 방법으로 변경되는 것을 말한다.

외부로부터 공격받는다

부정 액세스 : 다른 사람의 컴퓨터에 허가 없이 침입하는 것을 말한다.
DoS 공격 : 서버 등에 모두 처리할 수 없는 양의 패킷을 보내서 기능을 마비시키는 것을 말한다. 수신측의 사정을 고려하지 않고 일방적으로 보내는 스팸 메일을 사용한 공격도 그 중 하나이다.

그 외에도

컴퓨터 바이러스의 침입 : 컴퓨터에 위해를 가하는 것을 목적으로 만들어진 프로그램을 컴퓨터 바이러스라고 한다.

2. 패킷을 보호하는 기술

암호화

정보를 보호하기 위한 가장 기본적인 장치이다. 데이터를 어떤 규칙을 근거로 해서 가공하고, 제3자가 쉽게 읽을 수 없도록 하는 것을 암호화, 원래대로 되돌리는 것을 복호화라고 한다.

송신측 : 키라고 부르는 값을 사용하여 암호화한다.
수신측 : 키를 사용하여 복호화한다.

전자 서명

데이터가 변경되지 않았는지를 판단하는 장치이다. 데이터를 특수한 방법으로 수치화하고, 이것을 암호화한 것을 전자 서명이라고 한다.

송신측
1. 데이터를 특수한 방법으로 수치화한다.
2. 산출한 수치를 암호화한다.
👇🏻 암호화한 수치와 데이터를 보낸다.
수신측
1. 암호화된 수치를 복호화한다.
2. 송신측과 같은 방법으로 데이터를 수치화하고, 1에서 얻은 수치와 똑같으면 데이터가 변경되지 않았다고 판단한다.

인증국에 의한 보증

통신 상대의 신분을 보증하는 기능으로 인증국(CA국)이 있다. 통신자 사이에서 제3자의 입장에 서서 통신을 보증한다.

송신측 : 인증국에 인증서 발행을 신청한다.
👇🏻
인증국 : 신청자의 신분 확인이나 신원을 보증하는 증명서의 발행 및 관리를 수행한다.
👇🏻
수신측 : 인증국에게 증명서와 유효성을 확인한다.

보안 프로토콜

암호화나 인증을 수행하는 보안 프로토콜을 사용하면, TCP/IP 통신의 안정성을 강화할 수 있다. 보안 프로토콜에는 계층 사이에 삽입해서 사용하는 것도 있고, 어떤 계층에 포함시켜 사용하는 것도 있다.

한편 기존의 포로토콜과 조합하여 사용하는 것도 있다.

SSH(Secure Shell)
원격 로그인시 통신을 암호화하는 프로토콜

SSL(Secure Socket Layer)
데이터를 암호화하는 프로토콜

IPsec(IP Security)
IP 데이터그램의 인증이나 암호화를 수행하는 프로토콜의 총칭

3. SSH와 SSL

SSH(Secure Shell)

다른 컴퓨터에 로그인할 때 통신을 암호화하기 위한 프로토콜이다. 원격 로그인으로 유명한 Telnet에는 암호화 장치가 없기 대문에 도청될 위험이 있다.
Telnet의 경우 명령을 그대로 보내므로 통신의 내용이 새어나간다.
SSH의 경우 명령을 암호화하여 보내므로 가령 제3자가 패킷을 훔쳐가도 통신 내용을 쉽게 해독할 수 없다.

SSL(Secure Socket Layer)

브라우저를 사이에 두고 주고받는 상대를 인증하고, 데이터를 암호화하기 위한 프로토콜이다. SSL을 적용하고 있는 웹 페이지의 URL은 https로 시작하고, HTTP와는 다른 포트를 사용한다. (보통 443)
WWW 브라우저가 SSL을 처리 가능해야 한다.
쇼핑 사이트 등에서 많이 사용되고 있는 SSL의 구조를 살펴보자. 통신자끼리 어떻게 동일한 키를 안전하게 공유하는지가 포인트이다.

WWW 클라이언트가 SSL을 적용한 웹 페이지를 WWW서버에게 요청 →
WWW 서버는 증명서를 보내오게 해서 공개키와 비밀키를 준비한다. (키와 증명서 관리는 인증국(CA)이 수행한다) 공개키는 로그인 전용이고, 비밀키는 해제 전용이다. 공개키로 로그인한 것은 비밀키로 해제할 수 있다. 공개키와 인증서를 발행해서 WWW 클라이언트에게 보낸다. →
WWW 클라이언트는 증명서가 신뢰할 수 있는지를 확인한다. 열고 닫기가 가능한 공통키를 만든다. 데이터를 공통키로 암호화한다. 공통키를 공개키로 암호화한다. →
암호화한 키와 데이터를 WWW 서버에 송신한다. →
WWW 서버는 암호화된 공통키를 비밀키로 해제한다. 암호화된 데이터를 공통키로 해지한다.
⇒ 이 후부터는 공통키로 암호화하고 주고받기를 한다.

4. 방화벽

💡 방화벽은 외부 공격으로부터 컴퓨터를 보호하는 장치이다.

보내져오는 패킷을 무조건적으로 받아들이면 컴퓨터의 안전은 보장할 수 없다. 그래서 패킷을 제어하는 기능을 갖고 있는 소프트웨어나 하드웨어를 사용한다. 이것을 총칭해서 방화벽이라고 한다.
패킷을 제어하고 싶은 곳에 설치한다. 여기부터는 확인이 완료된 패킷만 통과할 수 있다. LAN 입구에 설치하면 LAN 전체를 보호할 수 있다. 각각의 컴퓨터에 설치할수도 있다.
방화벽은 각 계층마다 헤더의 내용에 따른 확인 항목을 만들고, 그것을 클리어한 데이터만을 상위 계층으로 전달하는 방법으로 수상한 데이터를 체로 걸러간다. 어떤 계층에 어떤 제어를 설치할 지는 관리자가 결정한다.

5. 프록시 서버

💡 프록시(proxy)는 대리라는 뜻이다. 우리를 대신해서 외부와의 주고받기를 수행하는 프록시 서버는 보안 대책으로 사용되고 있다.

클라이언트를 대신하여 인터넷에 접속하고, 요청에 맞는 통신 서비스를 받아서 그 결과를 클라이언트에게 제공하는 서버를 프록시 서버(proxy server)라고 한다.

프록시 서버

• 클라이언트의 의뢰에 따라 외부 서버에 서비스를 요청한다.
• 외부 서버로부터 데이터를 받고 클라이언트에게 전달한다.

HTTP나 SMTP, POP 등 프로토콜마다 해당 프록시 서버가 있다. 하지만 일반적으로 프록시 서버라고 하면 WWW 서비스를 대행하는 HTTP 프록시 서버를 가리킨다.

이 외에 FTP나 Telnet의 프록시 서버도 있다.

프록시 서버의 장점

1. 안전성
   사용자 인증 기능이나 서비스 이용 제한을 설정해두면 클라이언트의 안전을 일괄해서 보호할 수 있다.
   개별 관리가 어려운 대규모 네트워크에서 특히 효과적이다.
2. 익명성
   외부 서버와 액세스하는 것은 어디까지나 프록시 서버이므로 클라이언트 고유의 정보가 외부에 샐 염려가 없다.
   IP 주소나 컴퓨터 이름 등이 알려질 염려가 없다.
3. 편리성
   프록시 서버는 모든 사용자가 열람한 웹 사이트의 정보를 일시적으로 보관(캐시)한다. 프록시 서버 내에 보관중인 웹 사이트가 요청되면 외부 서버와의 주고받기를 하지 않고 보관된 웹 페이지를 클라이언트에게 반환한다.
   웹 페이지를 빨리 표시할 수 있다.
   보관되어 있지 않은 경우는 WWW 서버로부터 받는다.

---

문제 풀이

1. 통신을 사용하면 편리하지만 통신에는 여러 가지 위험이 따릅니다. 통신에 따른 위험들을 아는 대로 쓰세요.
   ID 도용, 내용 변경, 부정 액세스, DoS 공격, 컴퓨터 바이러스 침입 등
   ID 도용 : 통신 중 패킷이 부정한 방법으로 복사되어서 개인 정보를 도둑맞는 것을 말한다.
   내용 변경 : 통신 중 패킷이 도둑맞아서 정보가 부정한 방법으로 변경되는 것을 말한다.
   부정 액세스 : 다른 사람의 컴퓨터에 허가 없이 침입하는 것을 말한다.
   DoS 공격 : 서버 등에 다 처리할 수 없는 양의 패킷을 보내서 기능을 마비시키는 것이다.
   컴퓨터에 위해를 가하는 것을 목적으로 만들어진 프로그램을 컴퓨터 바이러스라고 하는데, 최근에는 메일의 첨부 파일을 이용한 바이러스가 확산되고 있다.

2. 통신 중 패킷을 보호하는 기술에는 어떤 것이 있는지 아는 대로 쓰세요.
   암호화, 전자 서명, 인증국에 의한 보증 등
   암호화는 정보를 보호하기 위한 가장 기본적인 장치로, 데이터를 어떤 규칙을 근거로 해서 가공하고, 제 3자가 쉽게 읽을 수 없도록 하는 것을 말한다. 원래대로 되돌리는 것을 복호화라고 한다.
   전자 서명은 데이터가 변경되지 않았는지를 판단하는 장치로, 데이터를 특수한 방법으로 수치화하고, 이것을 암호화한 것이다.
   인증국은 통신 상대의 신분을 보증하는 것으로, 통신자 사이에 서서 제 3자의 입장에서 통신을 보증한다.

3. 보안 프로토콜에는 어떤 것이 있는지 아는 대로 쓰세요
   SSH, SSL, IPsec 등
   SSH : 원격 로그인시 통신을 암호화하는 프로토콜
   SSL : 데이터를 암호화하는 프로토콜
   IPsec : IP 데이터그램의 인증이나 암호화를 수행하는 프로토콜 총칭

4. 외부 공격으로부터 컴퓨터를 보호하기 위해 패킷을 제어하는 기능을 갖고 있는 소프트웨어나 하드웨어를 총칭해서 무엇이라고 합니까?
   방화벽(firewall)
   방화벽은 외부로부터 컴퓨터를 보호하기 위한 장치로, 각 계층마다 헤더의 내용에 따른 확인 항목을 만들고, 그것을 클리어한 데이터만을 상위 계층으로 전달하는 방법을 사용하여 수상한 데이터를 체로 걸러간다.

5. 클라이언트를 대신하여 인터넷에 접속하고, 요청에 맞는 통신 서비스를 받아서 그 결과를 클라이언트에게 제공하는 서버를 무엇이라고 합니까?
   프록시(proxy) 서버
   프록시 서버는 사용자를 대신해서 외부와의 주고받기를 수행하는 것으로, 보안 대책으로 사용되고 있다. 프로토콜 마다 해당 프록시 서버가 있지만, 일반적으로 프록시 서버라고 하면 WWW 서비스를 대행하는 HTTP 프로시 서버를 가리킨다.

6. 프록시 서버의 장점은 무엇입니까?
   안정성, 익명성, 편리성
   프록시 서버로 사용자 인증 기능이나 서비스 이용 제한을 설정해두면 클라이언트의 안전을 일괄적으로 보호할 수 있다. 또 외부 서버와 액세스하는 것은 어디까지나 프록시 서버이므로 클라이언트 고유의 정보가 외부에 샐 염려가 없다. 마지막으로 캐시를 사용하여 웹 페이지를 빨리 열 수 있다는 편리함이 있다.