보안은 공학에서 항상 중요한 분야이다.
프로그램을 만들 때나, 서버, 혹은 심지어 디바이스를 만들때에도 항상 염두에 두어야 한다.
무언가를 만들고, 사용자가 사용하게끔 만드는 것은 각종 악용의 위험을 항상 내포하게 된다.
컴퓨터 보안에는 크게 4가지 목표가 있다.
Confidentiality(기밀성) : 인가받은 사용자만 정보에 접근할 수 있다. 우리가 흔히 말하는 보안의 개념이다. 인가받지 않은 사용자, 즉 악용하고자 하는 크래커의 접근을 차단하는 것을 말한다.
Integrity(무결성): 권한을 가진 사용자가 인가받은 방식으로만 정보를 수정할 수 있다.
Availability(가용성): 언제든지 정당한 사용자가 정보를 사용할 수 있다.
위의 3가지가 흔히 말하는 보안의 3요소이며, 추가적으로
Non-Repudiation(부인방지): 정보를 송신 후, 송신한 사실을 부인하지 못하게 하는 장치.
를 추가하기도 한다.
이 4대 요소를 쉽게 외우기 위하여
Security is PAIN(P:Privacy(Confidentiality), A:Availability, I:Integrity, N:Non-Repudiation)라고 하기도 한다.
이런 보안을 뚫기 위한 공격 방식에는 크게 두 분류가 있다.
Passive Attack : 시스템에 영향을 끼치지 않고 정보를 취득하는 방식
ex) Bob이 Alice에게 보낸 메일을 Darth가 빼돌려서 읽는것
- 시스템에 변화가 없기 때문에, Detect하기가 어렵다.
따라서 Detect에 목적을 두는것이 아니라 Prevent(예방)에 목적을 두어야 한다.
Active Attack : 공격을 위하여 해당 시스템을 바꾸는 등의 방식
ex)Bob이 Alice에게 메일을 보낸 것을 Darth가 받아서, 그 메일을 Replay하는것.(다시 Bob이 Alice에게 보내게 만듬)
- Masquerade(보낸 사람을 속임), Replay(시간을 다르게 또 보냄), Modification of messages(내용을 바꿈)
Repudiation(보내놓고 안보낸 것으로 만듬) 등의 방식이 있다.
- 예방하기가 어렵다. 따라서 공격이 발생하면 최대한 빨리 Detect하고 Recover하는 것이 목표가 되어야 한다.
이런 식으로 패시브, 액티브 공격 방식이 있는데 그 내부에서도 또 수많은 종류의 세부적인 방식들이 존재한다.