[지상중계] 전산망 보안기술 워크숍

「제2회 한국전산망보안기술 워크숍」이 한국통신정보보호학회와 한국정보처리학회가 공동 주최하고 시스템공학연구소가 주관한 가운데 28, 29일 양일간 과학기술회관에서 열리고 있다.

올해로 2회째를 맞이한 이번 워크숍에는 국내 전산망 보안기술의 수준 향상을 위해 국내 산, 학, 연 관련기관의 전문가들로 부터 전산망 보안기술교육, 보안기술의 확산 및 발전을 위한 논의가 활발히 이루어졌다.

또한 29일에는 인터넷보안·시스템보안·정보통신망보안 등 3개분야별로관련 세미나를 개최하는데 주요 내용을 간추려 소개한다.

<편집자주>

<컴퓨터바이러스 현황과 대책>

전세계적으로 발견된 PC바이러스는 6천여종이 넘는 것으로 보고되고 있다.

그러나 한 나라 또는 한 지역에서 짧은 기간 존재했다 사라진 컴퓨터바이러스는 컴퓨터바이러스 연구자나 백신프로그램 제작자에게 알려지지 않은 경우도 많을 것이다. 따라서 전세계에 존재하는 바이러스의 정확한 숫자는 파악하기 힘들다.

국내에서는 지난 88년 처음 브레인바이러스(Brain Virus)가 발견된 뒤로 90년 27종을 고비로 점점 감소하다가 93년 35종으로 다시 늘어났고 이후로 매년 2배 이상 급증하고 있다.

94년에는 매주 1종 이상, 95년에는 매주 2, 3종씩 새로운 컴퓨터바이러스가 발견되고 있다.

이처럼 국내에서 바이러스가 급증하는 것은 한국산 바이러스 증가와 외국산 바이러스의 수입이 다시 늘고 있기 때문이다.

컴퓨터바이러스의 종류는 컴퓨터 종류에 따라 구분할 수 있는데 애플바이러스, IBM-PC바이러스, 매킨토시바이러스, 아미가(Amiga)바이러스, 아타리(Atari)바이러스 등으로 나눌 수 있다.

국내에서 가장 문제가 되는 것은 IBM-PC바이러스로, 감염되는 부위에 따라 부트섹터에 감염되는 부트(boot)바이러스, 일반 프로그램에 감염되는 파일(file)바이러스, 부트섹터와 프로그램 모두에 감염되는 부트/파일바이러스등 세가지로 나눌 수 있다.

바이러스에 대해 1백% 안전한 방법은 없다. 다만 불법SW를 사용하지 않고정품을 사용하며, 셰어웨어(shareware)나 공개 소프트웨어(freeware)는 컴퓨터 전문가가 오랫동안 문제없이 사용하고 있는 것을 복사해오거나 통신을 통해 받는 경우에는 등록된 지 1주일 이상 경과했고 다른 사람들이 문제없이사용하고 있는 것만을 받아 사용해야 한다.

그리고 항상 감염되지 않은 시스템에서 감염되지 않은 것이 확인된 DOS디스켓에 쓰기 방지탭을 붙여 준비해 둬야 한다.

오재준 안바이러스연구소 연구원

<시스템보안 평가기술>

정보화촉진법은 「정보보호센터」를 설립토록 하는 등 국내 정보보안과 관련해 여러가지 중요한 영향을 끼쳤다.

이 기관의 중요한 역할은 국내 보안시스템의 기능을 평가하기 위한 평가기준 및 절차의 제정에 있다고 보아야 한다.

이는 정보사회에서 무시할 수 없는 중요한 관건으로 인식되고 있다. 따라서 대부분의 기업이나 연구소에서도 보안에 대한 대책마련에 나서고 있고 각기업에서는 미국 등에서 개발된 방화벽과 같은 보안제품을 설치하거나 수입판매를 서두르고 있기도 하다.

이러한 추세는 앞으로 점점 더 확장될 전망이며 보안문제는 남에게 전적으로 의존할 수 없다는 속성으로 인해 보안관련 제품의 사용과 개발이 증가할것으로 예측된다.

이러한 경우 각종 제품이 제공하는 보안기능을 객관적으로 평가하고 인증하는 제도 및 절차가 필요하게 되는데 미국·유럽 등에서는 이의 필요성을일찍 발견해 고유의 보안기능 평가기준 및 인증절차를 운영해 왔다.

미국에서는 83년 흔히 오랭 북(Orang Book)이라고 불리는 평가기준을 마련하고 TPEP라 불리는 평가제도를 실행중이다.

국방성에서 후원하고 NSA에서 주관하는 이 프로그램에 따라 수십개의 운용체계, 데이터베이스시스템 등이 평가됐으며 이러한 제품은 주로 국방성에서발주하는 시스템이 쓰이고 있다.

유럽 및 캐나다에서도 이와 비슷한 제도를 운영하고 있다.

각국의 보안제품 평가경험이 축적되면서 여러가지 개선책이 제안됐는데 이중 하나가 보안평가에 관한 국제표준의 마련이다. 기업체 입장에서 본다면결과를 상호 인정하는 근거를 마련할 수 있다는 점에서 이러한 움직임이 시작됐던 것이다.

93년부터 시작된 미국·캐나다, 그리고 유럽 공동노력의 결과로 올 2월에는 Common Crietria(CC)라고 불리는 잠정적인 국제표준의 초안이 발표됐다.

이를 토대로 각국에서는 시험평가를 실시할 계획으로 알려져 있으며, 또한초안상태인 기준을 확정하고 수정하기 위한 노력도 계속되고 있다.

보안의 핵심은 사람 즉 우리자신 (We have met the enemy and he is us)

차성덕 한국과학기술원 전산학과 교수

<보안 문제의 핵심>

정보화시대로의 진입과 더불어 보안에 관한 많은 기술적인 연구가 진행되는 현실에서 보안의 궁극적인 그리고 본질적인 문제는 무엇인가라는 질문을하게 된다.

이의 대답은 「사람」 즉 「우리자신」으로, 전문가가 아닌 사람에게는 약간은 의외로 들릴 수 있다. 따라서 최근의 각종 기술동향과 보안의 관계를살펴보면 이같은 결론에 이를 수밖에 없음을 알게 된다. 정보기술의 발달로예전에는 상상도 할 수 없었던 여러가지 엄청난 양의 정보를 처리할 수 있게되었는데 보안과 이러한 기술의 발달은 항상 조화를 이루는 것이 아니라는데 문제가 있다.

CMW(Compartmented Mode Workstation)는 미국 보안평가기준인 TCSEC의 B1급에 해당하는 X터미널 또는 워크스테이션을 지칭하는데, X프로토콜은 여러가지 보안상 결점이 있음에도 아직까지 만족할 만한 기술적인 해결방법이 없는 실정이다.

다양한 계층의 시큐리티기능을 제공하는 병렬컴퓨터가 지니는 보안의 취약점 또한 예로 들 수 있다.

몇해전 이러한 병렬컴퓨터의 캐시메모리나 주메모리를 여러개의 프로세서가 공유하는 과정에서 보안에 위협을 줄 수 있는 엄청난 용량의 커벗(Covert)채널이 존재할 수 있음이 입증됐다.

이러한 경우 전산학 또는 컴퓨터 구조학상으로 볼 때는 기술의 발전임에분명하지만 보안측면에서는 여러가지 문제점을 안고 있다.

기술의 발전이 보안상의 위협요소로 등장한 경우가 있는데 그것은 바로 이미지 다운그레이딩에 관한 문제다.

최근 선풍적인 인기를 끌고있는 WWW도 마찬가지이다. 인터넷 검색에 제일많이 쓰이는 넷스케이프 프로그램이 다양한 요구에 부응하기 위해 자바 인터프리터기능까지 제공하는데 이를 악용하면 해킹에도 사용할 수 있다.

따라서 기술적인 발전이 보안측면에서 반드시 득이 되지는 않으며 일부는오히려 심각한 위협요소가 될 수도 있다는 것이다. 결국 보안에서의 근본적인 문제는 기술부족이 아닌 「사람」 즉 「우리자신」에게 문제의 핵심이 있음을 알 수 있다.

존 맥휴지(Jon McHugh) 미국 포틀랜드주립대학교 전산학과

<전자거래 보안기술>

오늘날 컴퓨터를 의사소통의 도구로 사용하는 데서 한걸음 더 나아가 편리한 거래의 도구로 활용하려고 한다.

바로 전자거래를 일컫는 것으로 이는 컴퓨터를 근간으로 한다.

또 이같은 거래는 디지털데이터를 근간으로 하고 있다. 컴퓨터가 디지털데이터만 처리하기 때문이다.

문제는 여기에 있다. 디지털데이터는 완벽하게 복제가 가능하다는 데서 문제는 발생한다.

따라서 전자상거래를 활용할 때 복제한 디지털데이터는 원본과 구별할 수가 없다. 또한 디지털데이터는 시간의 경과를 반영하지 않는다. 바로 이러한특성을 지니는 디지털데이터는 사실 컴퓨터를 이용한 행위의 경제적이고 법적인 위치를 부여하는 데 어려움을 주고 있다.

전자적인 상거래의 또다른 큰 특징은 바로 네트워크를 이용한다는 점이다.

네트워크는 누군가가 도청할 수 있다는 가능성이 있으며 서로 얼굴을 보지않기 때문에 상대편의 존재에 대해 확신하기가 어렵고 주변의 다른 환경에대한 보호를 하기가 쉽지 않다.

마지막으로 전자거래의 특징으로 들 수 있는 것이 바로 사용자들의 범세계성과 익명성이다. 이는 바로 네트워크라는 특성으로부터 비롯된다고 볼 수있다.

일단 사용자들은 서로 만나지 않고 거래를 이룬다. 그리고 지역적으로도전세계에 흩어져 있다. 이런 사람들이 서로 거래를 쉽게 이룰 수 있다는 점은 바로 전자적인 거래의 장점이기도 하지만 반대로 상호간의 신분에 대한인증이 쉽지 않다는 점이다.

특히 사용자들은 자신을 쉽게 다른 사람인 것처럼 변장할 수도 있다. 이런점이 바로 전자적인 거래에서 염두에 두어야 할 한가지 요소가 된다.

보안기술이란 사실 필요하지 않은 기술이다. 왜냐하면 모든 사람이 공평무사하며 정직하고 아무도 속이지 않는다면 보안이나 증명 등은 필요하지 않게된다.

그러나 현실은 그렇지 않기 때문에 보안기술이 필요한 것이다. 즉 규정위반(attack)이 있기 때문에 보안이 필요한 것이다.

즉 보안기술이란 독립적인 목표가 있는 것이 아니라 규정위반이라는 공격을 방어하는 방어적 기술이다.

권도균 데이콤연구소 전자지불프로토콜연구팀



글로벌 네트워크인 인터넷을 실제로 추진하는 조직인 IETF(Internet Engineering Task Force)는 인터넷에 관한 모든 부분의 관련기술과 문제에 대한적절한 해결책을 기술의 표준개발 및 선정과 새로운 프로토콜의 개발로 조정하는 역할을 통해 제공하고 있다.

IETF 보안분야의 구성은 위원장으로 제프 실러가 담당하고 있으며 주요임무는 인터넷상에서 보안지향적인 프로토콜의 개발, RFC내의 보안부문 검토,지원자의 보안정책 개발 그리고 현재 운영되는 보안사항에 대한 검토를 수행한다.

또한 이 보안분야는 「시큐리티 디렉터리트(Security Directorate)」를 두어 표준정립과 무관한 세력으로 구성된 자문조직으로 보안분야 위원장을 지원한다.

그리고 SAAG(Security Area Advisong Group)는 개방된 그룹으로 IETF 회기중 최소한 1회 모임을 갖고 그외에는 「saag@2tis.com」이라는 메일링 리스트를 통해 전자우편을 교환하면서 운영되는데 SAAG회의에는 보안분야 활동사항에 대해 보고 및 토론을 진행하며 보안문제를 제기하고 열린 토론의 장을제공하고 있다.

또 여기에는 AFT를 비롯한 8개의 워킹그룹이 있고 ISPP(Internet Secure Payment Protocol) BOF가 있다.

이러한 IETF 보안분야에 참여하려면 이 분야에 대한 기술적인 지식을 축적한 후 관심있는 분야에 가입해야 한다. 가입은 전용 메일링 리스트에 가입신청메일을 보내 가입한 후 내용토의에 참여함으로써 가입이 자동적으로 이루어진다.

또한 가입과 탈퇴는 이 메일링 리스트의 가입과 탈퇴에 따라 자유롭게 이루어진다.

인터넷 관련기술, 특히 인터넷 보안기술의 연구개발이 국내산업에 비춰볼때 불가피한 시점에 와있다. 따라서 국내 대학·연구소 및 기업에서 이 분야에 관심을 가지고 주도적인 참여가 뒤따라야 할 것으로 보인다.

임신영 시스템공학연구소 연구원



최근 폭발적으로 증가하고 잇는 인터넷 열풍의 주역으로는 단연 하이퍼미디어형태의 정보검색서비스를 제공하는 WWW를 꼽을 수 있다.

이제 WWW는 단순히 인터넷에서 멀티미디어 정보를 검색하는 서비스뿐만 아니라 인터넷에서의 전자상거래 등 각종 사용자 응용서비스로 광범위하게 확대될 전망이다.

특히 향후 가장 시장잠재력이 큰 전자상거래 응용 등에 WWW를 적용하기 위해서는 무엇보다도 먼저 전자거래 서비스 제공자 및 이용자들이 안심하고 사용할 수 있도록 보안문제가 해결돼야 한다.

따라서 먼저 WWW 응용에서의 정보보안 쟁점과 요구사항 그리고 지금까지발표된 다양한 형태의 WWW 보안방안에 대한 점검이 필요하다.

현재 사용되고 있거나 논의되는 대표적인 WWW 보안방식으로는 사용자 이름및 비밀정보를 이용한 기본인증, 사용자의 망주소를 이용한 인증 및 접근제어, 메시지 다이제스트 함수를 이용한 인증, 넷스케이프가 제안한 SSL(Secure Socket Layer)방식, ETT가 제안한 S(Secure)-HTTP방식 등이 있다.

이밖에도 전자메일 보안프로토콜로 널리 사용되고 있는 PGP(Pretty Good Protocol)를 웹응용에 적용한 PGP-Web 보안방식이 제안되고 있으며, WWW 컨소시엄에서는 웹응용에 정보보호기능의 구현 및 확장성이 용이하도록 하는새로운 웹보안방식인 SEA(Security Extension Architecture)를 개발중이다.

강신각 ETRI 정보통신표준연구센터 선임연구원