. 네트워크 설비 또는 장비를 허가되지 않은 물리적 접근으로부터 보호하기 위하여 잠금 장치가 되어 있는 장소에 설치를 한다. 외부 사람이 이들 보호 장소에서 작업을 할 경우 내부 관계자의 동행 및 관찰이 필요하다. 또한 네트워크상의 모든 케이블은 접근이 통제되어야 하며 케이블에서 방출되는 전자파를 이용하여 통신 정보를 빼낼 수 있으므로 케이블은 차폐된(Shielded) 케이블이나 광섬유, 태핑이 어려운 케이블을 사용하여야 한다.
2. 논리적 보안
허가되지 않은 사용자의 물리적 접속의 성공 후 네트워크 노드에의 접속 또는 응용 및 네트워크 자원에의 접근을 막기 위한 논리적인 접근통제가 필요하다. 또한 논리적인 접근통제는 허가된 자만이 허가된 시스템과 자원에 접근할 수 있도록 한다. 적절한 논리적 접근통제를 구현하기 위하여 네트워크 관리자는 보호되어야할 자원과 자원별 허가된 사용자를 파악하여야 한다. 논리적 접근통제 구현 시 다음의 원칙을 고려해야 한다.
- 허가된 자만이 네트워크에 접근할 수 있다.
- 네트워크에 접근한 사용자는 사용자에게 허가된 네트워크 자원에만 접근 가능해야 한다.
- 네트워크 자원에 접근한 사용자는 허가된 사용만 할 수 있다.
- 네트워크에의 접근 시간을 제한할 수 있다.
- 사용자가 고정된 위치에서 네트워크에 접근을 한다면 사용자의 위치를 이용하여 접근을 통제할 수 있다.
- 네트워크 자원의 변경 및 추가는 6.5.4의 변경관리에 따라 수행이 되어야 한다.
위와 같은 원칙에 따라 네트워크 자원 및 응용을 보호하기 위해서 다단계 접근통제 즉, 일반적으로 네트워크 차원에서의 접근통제와 호스트차원에서 접근통제, 응용 및 데이터 차원의 접근통제가 고려될 수 있다. 접근통제 방법으로는 다음과 같은 방법들이 있다.
1) 사용자 인증
가장 일반적인 사용자 인증 방법은 로그-인시 사용자 식별자와 패스워드의 사용이다. 사용자 식별자와 패스워드 체계는 다음의 사항을 충족해야 한다.
- 패스워드 조합의 가능성을 최대로 할 것
- 몇번의 정확치 않은 패스워드 시도가 있는 단말기는 자동으로 접속을 차단할 것
- 불법 접근 시도 및 다른 보안 관련사항에 대해 기록할 것
그러나 사용자 식별자와 패스워드가 외부에 노출이 될 위험이 있으므로 좀더 엄격한 접근통제 기법으로는 챌린지-리스폰스(Challenge-Response) 인증방법이 있다. 이것은 사전에 네트워크 관리자에 의해 네트워크 서버와 사용자 간에 유일한 키를 정의하고, 사용자가 로그-인을 시도할 때마다 서버가 임의의 수를 산출하여 사전에 정의된 키로 암호화하여 접근을 시도하는 자에게 주면(챌린지) 허가된 사용자만이 약속된 키를 이용하여 챌린지를 풀어 이것을 일회용 패스워드로 사용하고(리스폰스) 서버는 입력된 패스워드가 예상치 인지를 비교하여 인증을 하는 것이다. 사용자 인증은 네트워크 환경이 중앙집중환경인 경우와 분산환경인 경우에 따라 다르게 구현될 수 있는데 중앙집중환경에서는 네트워크에서 네트워크 사용자를 결정하는 로그인 서비스를 제공해야 하며 분산환경에서는투명한 네트워크 링크로 인해 위협을 받을 수 있으므로 수신 측에서 로그인 절차를 수행하는 것이 바람직하다. 또한 일단 네트워크 상에서 인증된 사용자에게도 네트워크 상의 자원에 따라 접근통제를 하여야 한다.
2) 비활동 접속 자동 차단
네트워크 사용자가 네트워크에 접속한 후 터미날을 방치한 상태로 이탈할 경우 제3자가 부재중인 사용자에게 주어진 네트워크 자원을 이용할 수 있다. 네트워크 소프트웨어는 허가되지 않은 자의 접근을 막기 위하여 일정한 시간 동안 활동없이 접속한 상태를 그대로 유지하는 사용자의 접속을 강제로 끊을 수 있어야 한다. 자동 접속차단 보다 좀더 발달한 보안 방법은 허가된 사용자 또는 프로세스가 네트워크에서 부작용없이 운영중인 프로세서의 진행을 완료할 수 있도록 하기 위하여 자동 접속차단 전에, 사용자에게 접속을 재입증할 것을 요구하는 것이다.
3) 네트워크 데이터베이스에의 접근통제
대부분의 네트워크 소프트웨어는 모든 네트워크 자원을 식별하기 위해 네트워크가 설치될 때 데이터베이스를 만든다. 데이터베이스는 응용 또는 다른 장치에 접속이 허가된 장치에 관한 정보를 포함한다. 네트워크 데이터베이스의 허가되지 않은 접근 및 부적절한 변조는 네트워크 자원의 허가되지 않은 접근을 제공할 수 있고 네트워크 유용성과 신뢰성을 저하시킬 수 있다. 따라서 네트워크 데이터베이스에의 접근은 통제되어야 한다. 또한 네트워크 상에서 발생하는 변경은 데이터베이스를 사용하여 체계화된 방식으로 저장이 되어 허가되지 않은 변조를 쉽게 감지할 수 있어야 한다.
Ⅶ. 결론
사이버보안의 분야는 정보통신기술 및 과학기술의 발전과 매우 밀접한 관계에 있다. 기술은 지속적으로 발전하고 있고 이에 맞춰 사이버보안도 철저한 대응이 요구된다. 네트워크와 시스템의 보호는 새로운 취약성이 지속적으로 나타나고 있기 때문에 이에 대한 전략 및 대응방법도 연속된 과정 속에서 이루어져야 한다는 것이다. 미래상황을 예측하여 장기적인 관점에서 대응책을 마련했다고 하더라도 구체적인 방법이 변화에 적절히 대응하지 못하는 경우가 발생하게 되어 한순간의 대응계획 발표와 이에 대한 집행에 머물 것이 아니라 지속적인 수정·보완을 통해 철저한 대비가 필요하다. 국내에서도 지난 8월 정보통신부와 한국정보보호진흥원을 중심으로 중장기 정보보호 기본계획을 수립하여 발표하였으나 이에 대한 지속적인 수정·보완이 이루어지지 않으면 안 될 것이다. 이를 위해서는 정부정책에 대한 의견수렴 창구를 마련하여 각계의 의견수렴이 지속적으로 이루어져야 하며, 이에 대한 반영이 즉각적으로 이루어질 수 있도록 탄력적인 대응이 필요하다.
참고문헌
○ 김거수(2000), 철벽 보안을 위한 역공격 해킹, 베스트북
○ 송석언(1995), 영업비밀보호제도, 제주대법과정책
○ 이철(1995), 컴퓨터범죄와 소프트웨어보호, 박문각
○ 황의창(1992), 영업비밀, 육법사
○ Eric Maiwald 저, 황주희·조명희 역(2002), 네트워크 보안 핸드북, 인포북
○ Matthew strebe 외(1999), NT 네트워크보안, 삼각형프레스