간편하게 알아보는 시스템 관리 보안 6가지 보안 요소

 

목차

 

시스템 관리 보안  6가지 보안요소

계정과 패스워드 관리

사용자 계정과 패스워드 -> 가장 기본적인 인증 수단

적절한 권한을 가진 사용자를 식별하기 위한 가장 기본적인 인증 수단이며,  시스템의 모든 자원은 사용자 계정으로 
접근이 가능하다. 

패스워드 보안의 4가지 인증 방법

1. 알고 있는 것 (Something You Know)
   1. 알고 있는 정보를 이용하여 인증하는 방법 (EX: 패스워드, PIN 번호 등)
2. 가지고 있는 것 (Something You Have)
   1. 신분증이나 OTP(One Time Password) 장치를 통한 인증방법 (EX: 출입카드, 사원카드 등)
3. 자신의 모습 (Something You Are)
   1. 생체 정보를 통해 인증하는 방법 (EX: 지문인식, 홍채인식 등)
4. 위치하는 곳 (Something You Are
   1. 현재 접속을 시도하는 위치의 적절성 (EX: 콜백(Call Back))  

 

윈도우 계정별 특징 Characteristics of each Windows account.

그룹	특징
Administrators	대표적인 관리자 그룹으로 윈도우 시스템의 모든 권한을 가지고 있다. 사용자 계정을 만들거나 없앨 수 있고 디렉터리와 프린터를 공유하는 명령을 내릴 수 있다. 사용 가능한 자원에 대한 권한을 설정할 수 있다.
Power Users	Administrators 그룹이 가진 권한을 대부분 가지지만 로컬 컴퓨터에서만 관리할 능력도 가지고 있다. 해당 컴퓨터의 밖의 네트워크에서는 일반 사용자로 존재한다.
Backup Operators	윈도우 시스템에서 시스템 파일을 백업하는 권한을 가지고 있다. 로컬 컴퓨터에 로그인하고 시스템을 종료할 수 있다.
Users	대부분의 사용자가 기본으로 속하는 그룹으로, 여기에 속한 사용자는 네트워크를 통해 서버나 다른 도메인 구성 요소에 로그인할 수 있다. 관리 계정에 비해 한정된 권한을 가지고 있다.
Guests	윈도우 시스템에서 Users 그룹과 같은 권한을 가지고 있다. 두 그룹 모두 네트워크를 통해 서버에 로그인할 수 있으며 서버로의 로컬 로그인은 금지된다.

 

안전한 패스워드를 설정하기 위해 지켜야할 사항

• 부적절한 패스워드
  • 길이가 너무 짧거나 널(Null)인 패스워드
  • 사전에 나오는 단어나 그 조합 또는 변형
  • 키보드 자판의 일련 나열
  • 사용자 계정 정보로 유추할 수 있는 단어(사회공학)
• 적절한 패스워드
  • 기억하기 쉽지만 크래킹하기 어려운 패스워드 (각 사이트 마다 다르게 해야 한다)
• 패스워드 정책
  • 패스워드 길이는 8자 이상
  • 복잡도는 연속된 숫자나 알파벳을 사용하지 못하고 숫자와 알파벳, 특수문자를 조합하여 설정션 관리
  • 잘못된 패스워드 입력시 계정 잠금
    • 잘못된 패스워드를 반복 입력할 경우에 패스워드 크래킹 공격(무작위, 사전, 사회공학, 레인보우 테이블) 또는 비 인가자의 접근 시도 로 판단하여 해당 계정을 사용하지 못하게 설정

세션 관리

세션의 의미

사용자와 시스템 사이 또는 두 시스템 사이의 활성화 된 접속을 의미한다.

예시)어떤 사용자가 인증 절차를 거쳐 시스템에 접근에 성공하였 때 얼마 후 같은 아이디로 시스템에 접근하는 사용자가 처음 인증에 성공한 그 사용자인지 확인하기 위해 지속적으로 재인증을 수행해야 한다.

 

Kerberos란
Kerberos는 네트워크 인증 Protocol이au, "티켓"(ticket)을 기반으로 동작하는 컴퓨터 네트워크 인증 암호화 프로토콜로서 비보안 네트워크에서 통신하는 노드가 보안 방식으로 다른 노드에 대해 식별할 수 있게 허용한다.
네트워크 보안에서 Username(사용자명)과 Password(비밀번호)를 계속해서 보낸다는 것은 매번 password를 가로챌 수 있는 기회를 제공하는 것과 동일하다. 이러한 보안상 문제점을 해결하기 위해서 Kerberos에서는 이러한 Username과 Password의 전송을 최소화로 만들도록 지원한다.

정리하자면 클라이언트 서버 모델을 목적으로 개발되었으며 사용자와 서버가 서로 식별할 수 있는 상호 인증(양방향 인증)을 제공한다. 
커버로스 프로토콜의 메시지는 도청과 재전송 공격으로부터 보호된다.

 

컴퓨터에서 세션을 유지하기 위한 두 가지 보안사항

• 세션 하이재킹(Session Hijacking)^[각주:1]이나 네트워크 패킷 스니핑(Sniffing)^[각주:2]에 대응하기 위해 암호화 해야 한다.
• 세션에 대한 지속적인 인증(Continuous Authentication)을 해야 한다.

 

접근 관리

시스템 또는 서비스가 공격자로 부터 적절히 보호될수 있도록 네트워크 관점에서 접근 통제한다.
접근 제어(Access Control)는 적절한 권한을 가진 인가자만 특정 시스템이나 정보에 접근하도록 통제 하는 것을 말한다.
시스템의 보안 수준을 갖추기 위한 가장 기본적 수단이다.

(ACL/ACM, MAC, DAC, RBAC, ABAC)

• 접근제어목록 (Access-Control List)
  • ACL은 객체에 대한 액세스 권한이 부여 된 사용자 또는 시스템 프로세스와 지정된 객체에 대해 허용되는 작업을 지정한다.
• 강제적 접근 제어 모델 (Mandatory Access Control)
  • 비밀성을 갖는 객체에 대하여 주체가 갖는 권한에 근거하여 객체에 대한 접근을 제어하는 방법이다.
• 임의 접근 통제(Discretionary Access Control)
  • 시스템 객체에 대한 접근을 사용자나 또는 그룹의 신분을 기준으로 제한하는 방법이다.
• 역할-기반 접근 제어(Role-Based Access Control)
  • 컴퓨터 시스템 보안에서 권한이 있는 사용자들에게 시스템 접근을 통제하는 한 방법이다.
• 속성-기반 접근 제어(Attribute-Based Access Control) 
  •  보안 주체(Subject), 대상(Object) 혹은 액션(Action)의 속성(Attribute)을 사용해서 접근 제어하는 방법이다.

 

권한 관리

시스템의 각 사용자가 적절한 권한으로 적절한 정보 자산을 접근할 수 있도록 통제하는 것을 말한다.

 

로그 관리

시스템 또는 네트워크를 통한 외부에서 시스템에 영향을 미칠 경우 해당 사항을 기록하는 것을 말한다.

• Authentication(인증)
  • 자신의 신원(Identity)을 시스템에 증명하는 것으로 아이디와 패스워드를 입력하는 과정이다.
• Authorization(인가)
  • 지문이나 패스워드 등을 통해 로그인이 허락된 사용자로 판명되어 로그인하는 과정이다.
• Accounting(로그)
  • 로그인을 했을 때 시스템이 이에 대한 기록을 남기는 활동이다.

* AAA에 대한 로그(Log) 정보는 해커나 시스템에 접근한 악의적 사용자를 추적에 사용된다.

 

• 책임 추적성(Accountability)
  • 추적에 대한 기록의 충실도로 책임 추적성이 높은 시스템일수록 로그가 명확히 남는다.
• 감사 추적(Audit Trail)
  • 보안과 관련하여 시간대별 이벤트를 기록한 로그이다.

취약점 관리

시스템 자체의 결함을 체계적으로 관리하는 것이 매우 중요하다.

 

• 보안취약점이란?
  • 정보시스템에 불법적인 사용자의 접근을 허용할 수 있는 위협 등
  • 정보시스템의 정상적인 서비스를 방해하는 위협 등
  • 정보시스템에서 관리하는 중요 데이터의 유출, 변조, 삭제에 대한 위협 등

1. 공격자가 인증 작업 등이 완료되어 정상적으로 통신을 하고있는 다른 사용자의 세션을 가로채서 별도의 인증 작업 없이 가로챈 세션으로 통신을 계속하는 행위이며, 인증 작업이 완료된 세션을 공격하기 때문에 OTP : One Time Password(일회용 비밀번호), Challenge/Response 기법을 사용하는 사용자 인증을 무력화시킨다. [본문으로]
2. 스니핑(Sniffing)이란 ‘코를 킁킁거리다’, ‘냄새를 맡다’ 등의 뜻이 있다. 사전적인 의미와 같이 해킹 기법으로서 스니핑은 네트워크 상에서 자신이 아닌 다른 상대방들의 패킷 교환을 엿듣는 것을 의미한다. [본문으로]