[TCP/IP가 보이는 그림책] 8. 보안

통신에 숨어있는 위험

'다른 컴퓨터와 연결된다'는 것은 편리한 반면, 다양한 위험도 따른다는 것을 잊어서는 안 됩니다.

편리와 위험은 이웃사촌

네트워크에 접속해서 다른 컴퓨터와 통신할 수 있다는 것은 무척 편리합니다. 하지만 외부와 연결되어 있는 환경에서는 악의를 갖고 있는 제3자로부터 다음과 같은 피해를 받을 위험이 도사리고 있습니다.

• 패킷을 도둑맞는다
  • 도청 : 통신 중 패킷이 부정한 방법으로 복사되어서 개인 정보를 도둑맞는 것을 말합니다.
  • 변조 : 통신 중 패킷을 도둑 맞아서 정보가 부정한 방법으로 변조되는 것을 말합니다.
• 외부로부터 공격받는다
  • 부정 액세스 : 다른 사람의 컴퓨터에 허가 없이 침입하는 것을 말합니다.
  • DOS/DDOS 공격 : 서버 등에 모두 처리할 수 없는 양의 패킷을 보내서 기능을 마비시키는 것을 말합니다.
• 그 외
  
  • 컴퓨터 바이러스의 침입 : 컴퓨터에 위해를 가하는 것을 목적으로 만들어진 프로그램을 '컴퓨터 바이러스'라고 합니다.

 

패킷을 보호하는 기술

만일 통신 중에 패킷을 도둑맞는다면, 그런 겨우에 대비해서 패킷에 한 가지 장치를 추가합니다.

패킷 도난 대책

• 암호화 : 정보를 보호하기 위한 가장 기본적인 장치입니다. 데이터를 어떤 규칙을 근거로 해서 가공하고, 제3자가 쉽게 읽을 수 없도록 하는 것을 암호화, 원래대로 되돌리는 것을 복호화라고 합니다.
• 전자 서명 : 데이터가 변경되지 않았는지를 판단하는 장치입니다. 데이터를 특수한 방법으로 수치화하고, 이것을 암호화한 것을 전자 서명이라고 합니다.
• 인증 기관에 의한 보증 : 통신 상대의 신분을 보증하는 기관으로 인증기관(CA)이 있습니다. 통신자 사이에서 제3자의 입장에 서서 통신을 보증합니다.

보안 프로토콜

암호화나 인증을 수행하는 보안 프로토콜을 사용하면, TCP/IP 통신의 안정성을 강화할 수 있습니다. 보안 프로토콜에는 계층 사이에 삽입해서 사용하는 것도 있고, 어떤 계층에 포함시켜 사용하는 것도 있습니다. 한편 기존의 프로토콜과 조합하여 사용하는 것도 있습니다.

 

방화벽

방화벽은 외부 공격으로부터 컴퓨터를 보호하는 장치입니다.

그 패킷은 안전해?

보내 오는 패킷을 무조건 받아들이면 컴퓨터의 안전은 보장할 수 없습니다. 그래서 패킷을 제어하는 기능을 갖고 있는 소프트웨어나 하드웨어를 사용합니다. 이것을 총칭해서 방화벽이라고 합니다.

방화벽의 구조

각 계층마다 헤더의 내용에 따른 확인 항목을 만들고, 그것을 클리어한 데이터만을 상위 계층으로 전달하는 방법으로 수상한 데이터를 체로 걸러 갑니다. 어떤 계층에 어떤 제어를 설치할 지는 관리자가 결정합니다.

• 애플리케이션 계층
  • 바이러스의 침입을 피하기 위해 정해진 형식으로 된 파일 이외는 받지 않는다.
• 트랜스포트 계층
  • 정해진 포트앞으로 온 패킷 이외는 받지 않는다.
  • 통신을 확립하지 않은 상대로부터 온 패킷은 받지 않는다.
• 네트워크 계층
  • 허가된 IP 주소로부터 온 패킷 이외는 받지 않는다.

 

프록시 서버

'프록시'는 대리라는 뜻입니다. 우리를 대신해서 외부와의 주고받기를 수행하는 프록시 서버는 보안 대책으로 사용되고 있습니다.

프록시 서버

클라이언트를 대신하여 인터넷에 접속하고, 요청에 맞는 통신 서비스를 받아서 그 결과를 클라이언트에게 제공하는 서버를 프록시 서버라고 합니다.

 

HTTP나 STMP, POP 등 프로토콜마다 해당 프록시 서버가 있습니다. 하지만 일반적으로 프록시 서버라고 하면 WWW 서비스를 대행하는 HTTP 프록시 서버를 가리킵니다.

프록시 서버의 장점

프록시 서버를 사용하면 주로 다음과 같은 장점이 있습니다.

• 안전성 : 사용자 인증 기능이나 서비스 이용 제한을 설정해 두면 클라이언트의 안전을 일괄해서 보호할 수 있습니다.
• 익명성 : 외부 서버와 액세스하는 것은 어디까지나 프록시 서버이므로 클라이언트 고유의 정보가 외부에 샐 염려가 없습니다.
• 편리성 : 프록시 서버는 모든 사용자가 열람한 웹 사이트의 정보를 일시적으로 보관합니다. 프록시 서버 내에 보관중인 웹 사이트가 요청되면 외부 서버와의 주고받기를 하지 않고 보관된 웹 페이지를 클라이언트에게 반환합니다.