개념 정리

보안의 기본 원칙과 개념

 

정보 보안의 3대 요소 : 기밀성 무결성 가용성

 

기밀성 : 허가된 사용자만 정보에 접근할 수 있도록 보장하는 원칙

 

무결성 : 데이터가 인가되지 않은 변경 없이 유지됨을 보장하는 원칙

 

가용성 : 정보와 시스템이 정당한 사용자가 언제든 접근할 수 있도록 보장하는 원칙

 

대칭키 vs 비대칭키

대칭키                                                      비대칭키 

하나의 키 (공유)                                       공개키 & 개인키 2개

속도 빠름                                                  느림

키 관리가 어려움                                      키 관리 용이

EX) AES,DES                                           Ex) RSA ,ECC 

 

 

방화벽

네트워크 외부와 내부 네트워크 간의 트래픽을 모니터링하고 허용/차단하는 역할

허가된 트래픽만 허용하고 비정상적인 트래픽은 차단한다

 

방화벽의 주요 방식 

 

1. 패킷 필터링

네트워크 패킷의 출발지/목적지 IP, 포트, 프로토콜을 기준으로 허용/차단

OSI 7계층 중 3계층(IP) 및 4계층(TCP/UDP) 수준에서 동작

 

장점 : 속도가 빠르고 설정이 간단하다

단점 : 세부적인 분석이 불가능, 응용 계층 공격 방어 불가능

 

💡 예시:

출발지 IP목적지 IP포트프로토콜액션

192.168.1.10	192.168.1.100	80	TCP	허용
192.168.1.50	192.168.1.200	22	TCP	차단

 

2. 상태 기반 필터링 

 

이전 트래픽의 상태를 저장하여 분석

 

장점 : 허용된 세션의 응답 패킷만 허용하여 보안성이 향상

단점 : 많은 메모리 사용, 높은 부하 발생

 

💡 예시:
✅ 사용자가 **HTTP 요청(80번 포트, TCP)**을 보냄
✅ 방화벽이 요청을 기록 (세션 저장)
✅ 웹 서버에서 응답 시, 해당 세션에 대한 응답만 허용

 

3. 프록시 방화벽

 

사용자와 외부서버 사이에 중간 역할 수행

내부 사용자의 요청을 대신 수행하고 응답을 내부로 전달

 

OSI 7계층 중 7계층에서 동작

 

장점 : 익명성, 콘텐츠 검사 가능

단점 : 속도가 느리고 설정이 복잡

 

💡 예시:
✅ 사용자가 https://example.com 요청
✅ 프록시 방화벽이 해당 요청을 대신 수행
✅ 외부 웹 서버에서 응답 후, 내부 사용자에게 전달

(중개인 느낌)

 

 

방화벽의 종류 

 

하드웨어 방화벽 : 물리적 장비로 네트워크 게이트웨이에 설치

 

소프트웨어 방화벽 : 서버나 PC에 설치되는 프로그램

 

 

방화벽과 IDS/IPS의 차이

 

                           구분방화벽(Firewall)                             IDS (침입 탐지 시스템)                    IPS (침입 방지 시스템)

역할	트래픽 필터링 및 차단	공격 탐지 및 경고	공격 탐지 후 차단
동작 방식	사전 정의된 규칙 기반	시그니처 및 이상 징후 분석	실시간 트래픽 차단
위치	네트워크 경계 (게이트웨이)	네트워크 내부	네트워크 내부
예시	Cisco ASA, Palo Alto	Snort, Suricata	Cisco IPS, FortiGate

 

• 방화벽: "이 트래픽을 통과시킬까? 막을까?"
• IDS: "이상한 활동이 감지됐어!" (탐지만 수행)
• IPS: "이상한 트래픽이야! 차단해야겠어!" (탐지 후 차단)

 

 

IDS/IPS(침입 탐지 및 방지 시스템)

 

                                      IDS (Intrusion Detection System)                         IPS (Intrusion Prevention System)

역할	침입 감지 후 경고	침입 감지 후 차단
동작 방식	모니터링 (탐지만 수행)	액티브 방어 (자동 차단)
예시	Snort, Suricata	Cisco IPS, FortiGate

 

 

 (2) 탐지 방식에 따른 분류

탐지 방식                                     설명                                               장점                   단점

시그니처 기반 (Signature-based)	알려진 공격 패턴(시그니처)과 비교하여 탐지	정확도가 높음	새로운 공격 탐지 어려움
행위 기반 (Behavior-based)	정상 트래픽과 비교하여 이상 행동 탐지	새로운 공격 탐지 가능	오탐(정상 트래픽을 공격으로 잘못 인식) 발생 가능
AI/머신러닝 기반	AI가 트래픽 패턴을 학습하여 이상 탐지	지속적인 학습 가능	초기 학습 데이터가 중요

✅ 예제 상황

• 시그니처 기반: "이 IP는 과거에 DDoS 공격을 했어! 차단!"
• 행위 기반: "이 사용자가 갑자기 수천 개의 로그인 시도를 하네? 의심스러워!"

 

 

일반적인 네트워크 배포 구조

[인터넷] 
   ↓
[방화벽]
   ↓
[IPS]  ← 공격 트래픽 실시간 차단
   ↓
[스위치]
   ↓
[IDS]  ← 내부 네트워크 트래픽 모니터링
   ↓
[서버/PC]

 

 

💡 설치 위치 요약

• IPS는 방화벽 뒤에 배치 → 외부 공격 차단
• IDS는 내부 네트워크에서 모니터링 → 내부 이상 행위 탐지