네트워크 보안 기본 사항이란?
네트워크 보안 기본 사항은 네트워크 보안 또는 사이버 보안의 핵심 요소입니다. 가정, 기업 및 인터넷을 포함한 모든 네트워크 내에서 구현되어야 합니다. 효과적인 네트워크 보안을 위해서는 방화벽, 멀웨어 방지 소프트웨어, 침입 탐지 시스템, 액세스 제어 등을 통해 유선 및 무선 네트워크를 보호해야 합니다.
네트워크 보안 기본 사항
네트워크 보안은 때때로 복잡한 구성과 더불어 다양한 기술을 포함하는 복잡한 주제입니다.
해결해야 할 보안 문제는 네트워크에 있는 것과 연결된 엔드포인트 또는 호스트 시스템 간의 분리입니다. 네트워크와 엔드포인트에 대한 기술에는 액세스 제어 및 암호화가 포함되지만 네트워크에는 분할 및 경계 보안도 있습니다.
네트워크 보안 vs 엔드포인트 보안
네트워크 보안은 보안 방정식의 일부일 뿐이며 일반적으로 네트워크 자체를 보호하는 장치에 적용되는 것으로 간주됩니다. 방화벽은 라우터나 스위치와 같은 네트워킹 장비 옆에 있는 독립 실행형 장치이거나 라우팅 및/또는 스위치도 함께 사용하는 동일한 물리적 상자 내의 소프트웨어일 수 있습니다. 네트워크에는 방화벽, 침입 탐지 시스템(IDS), 침입 방지 시스템(IPS), 가상 사설망(VPN) 어플라이언스, 데이터 누출 방지(DLP) 시스템 등이 있습니다.
네트워크는 시스템을 서로 연결하기 위해 존재합니다. 네트워크 덕분에 Amazon을 둘러보거나 지역 식료품점에서 온라인 쇼핑을 할 수 있는 것입니다. 그러나 최종 시스템도 보호되어야 하는데, 이를 엔드포인트 보안이라고 부릅니다. 이러한 장치에는 노트북, 태블릿, 전화뿐 아니라 사물 인터넷(IoT) 장치도 포함됩니다.
IoT에는 연결된 온도 조절기, 카메라, 냉장고, 현관문 잠금 장치, 전구, 수영장 펌프, 스마트 이불 등과 같은 장치가 포함됩니다. 이러한 장치에도 보안 제어가 필요하지만 모든 장치가 호스트 기반 방화벽이나 멀웨어 방지 에이전트와 같은 것을 포함할 만큼 정교하지는 않습니다. 엔드포인트가 전구라면 보호를 위해 네트워크 보안에 의존하게 될 것입니다.
액세스 제어
가장 먼저 시작할 곳은 액세스 제어입니다. 기업에서는 이를 일반적으로 ID 및 액세스 관리(IAM)라고 합니다. 액세스 제어는 새로운 것이 아닙니다. 6,000년 전 문에 처음 자물쇠가 설치된 이후로 사람들은 건물에 대한 접근을 통제해 왔습니다. 이제는 네트워크, 컴퓨터, 전화, 응용 프로그램, 웹 사이트 및 파일에 대한 접근을 제어하고 있습니다.
기본적으로 액세스 제어는 IAAA로 세분화됩니다.
- 식별(Identification)은 사용자 ID 또는 이메일 주소와 같은 사용자의 이름 또는 신원을 확인하는 과정입니다.
- 인증(Authentication)은 사용자임을 증명하는 증거를 제공합니다. 이 과정에서는 여전히 암호가 가장 일반적으로 사용됩니다.
- 권한 부여(Authorization)는 사용자에게 사용 권한을 부여하거나 부여하지 않는 것입니다. 사용자는 권한을 부여받지 못해서 권한이 없을 수도 있고, 읽기, 쓰기, 모두 제어 등의 권한을 부여받을 수도 있습니다.
- 책임추적성(Accountability)은 무슨 일이 일어났는지 추적하는 것입니다. 로그는 사용자가 액세스를 시도했거나 액세스 권한을 획득했음을 보여줍니다. 로그에는 사용자가 수행하는 모든 동작이 포함될 수도 있습니다.
인증 유형
IAAA 내에서 인증은 오늘날 가장 중요한 주제일 수 있습니다. 암호는 여전히 대부분의 시스템에서 가장 일반적으로 사용되는 인증 방법입니다. 그러나 대개는 그다지 안전하지 않습니다.
암호가 짧으면 해커가 알아내기 쉽습니다. 해커는 모든 가능한 조합을 시도하여 암호 추측을 시도합니다. 아니면 공격자가 암호 크래킹 공격을 사용할 수도 있습니다. 이 공격에는 동일한 값으로 해시되는 암호를 재생성하는 프로그램이 수반됩니다.
현재 사용되는 인증 유형 또는 요소는 세 가지가 있습니다. 이들은 다음과 같습니다.
- 알고 있는 것 – 여러분의 뇌에 저장된 일련의 문자, 숫자 또는 이들의 조합을 말합니다. 오늘날에는 비밀번호 관리자에 저장되어 있을 가능성이 큽니다.
- 가지고 있는 것 – 인증해야 하는 장치 또는 장치의 소프트웨어를 말합니다. 여기에는 스마트폰의 RSA 토큰 또는 Google 인증자와 같은 장치가 포함됩니다.
- 자신의 모습 - 개인의 모습을 말합니다. 이것은 지문과 같은 생리적 또는 음성 지문과 같은 행동적 생체 측정입니다.
가장 좋은 방법은 2단계 인증(2FA), 때로는 MFA(다단계 인증)입니다. Amazon이나 Facebook에서 사용하는 개인 계정에 추천하는 방법입니다.
Google Authenticator와 같은 애플리케이션은 무료로 사용할 수 있으며 휴대폰으로 문자나 SMS 메시지를 받는 것보다 효과적입니다. 미국 국립표준기술연구소(NIST)는 SMS를 사용하지 말 것을 권장합니다.
또한 사무실에서는 2FA를 사용할 것을 권장하지만 정책 또는 관리 수준에서 필요 여부를 따져야 합니다. 자산, 데이터 분류, 위험 및 취약성과 같은 여러 요소에 따라 결정은 달라집니다.
네트워크 세분화
네트워크 세분화는 서로 다른 네트워크 간의 데이터 흐름을 제어하여 보안을 강화합니다. 이는 VLAN(Virtual Local Area Network)을 통해 가장 일반적으로 수행됩니다. 이 테마에는 PVLAN(Private Virtual LAN), VXLAN(Virtual Extensible LAN) 등과 같은 다양한 유형이 있습니다. VLAN은 개방형 시스템 상호 연결(OSI) 모델의 2계층인 데이터 링크 계층에 있습니다. 대부분의 네트워크 관리자는 인터넷 프로토콜(IP) 서브넷을 VLAN에 매핑합니다.
라우터는 구성에 따라 트래픽을 VLAN 간에 전달할 수 있도록 합니다. 제어를 원한다면 라우터 구성이 중요합니다.
클라우드에서 사용할 수 있는 또 다른 옵션은 VPC(Virtual Private Cloud)입니다. VPC로 들어오고 나가는 트래픽은 구성을 통해서도 제어됩니다.
VLAN 및 VPC에 대한 액세스를 구성 및 제어하려면 워크로드에 대한 비즈니스 요구 사항을 이해해야 합니다.
경계 보안
경계 보안은 내부/신뢰할 수 있는 네트워크와 외부/신뢰할 수 없는 네트워크 사이에 정의된 논리를 기반으로 합니다. 이는 과거에 네트워크와 데이터센터가 한 빌딩 내에 존재하던 시기에 사용되던 전통적인 네트워크 설계입니다. 이 구성에서는 라우터가 내부 네트워크와 외부 네트워크를 연결합니다. 라우터 내 ACL(액세스 제어 목록)의 기본 구성은 통과할 수 있는 트래픽을 제어합니다.
방화벽, IDS 및 IPS를 사용하여 경계에 보안을 추가할 수 있습니다. 자세한 내용은 네트워크 보안 조치 페이지를 참조하십시오.
암호화
암호화는 민감한 데이터 및 통신에 필수적입니다. 암호화는 컴퓨터 하드드라이브의 파일, 뱅킹 세션, 클라우드에 저장된 데이터, 중요한 이메일 및 기타 응용 프로그램 목록을 보호합니다. 또한 데이터 무결성에 대한 검증과 데이터 소스의 인증도 제공합니다.
암호화는 대칭과 비대칭의 두 가지 기본 암호화 유형으로 나뉩니다.
- 대칭 암호화에는 암호화 및 암호 해독을 위한 단일 키가 있습니다. 따라서 암호화된 통신을 완료하려면 다른 사용자와 공유해야 합니다. 일반적인 알고리즘으로는 AES(Advanced Encryption Standard), Blowfish, Triple-DES(데이터 암호화 표준) 등이 있습니다.
- 비대칭 암호화에는 일치하는 세트로 작동하는 공용 키와 개인 키 두 개가 있습니다. 키 집합은 한 사용자 또는 한 서비스(예: 웹 서버)에 속합니다. 하나는 암호화를 위한 키이고 다른 하나는 암호 해독을 위한 키입니다.
- 공용 키가 데이터를 암호화하면 데이터가 기밀로 유지됩니다. 이는 개인 키의 소유자만 개인 키의 암호를 해독할 수 있기 때문입니다.
- 개인 키가 데이터를 암호화하는 경우 원본의 신뢰성을 증명합니다. 공용 키로 데이터의 암호를 성공적으로 해독하면 개인 키만 데이터를 암호화할 수 있음을 의미합니다. 공개 키는 누구나 액세스할 수 있는 진정한 공개 키입니다.
세 번째 주제는 해싱입니다. 암호화는 아니지만 현 시점에서 보안에 대해 논의할 때 포함시켜야 하는 개념입니다. 해싱은 메시지의 비트를 기준으로 결과 응답(해시라고 함)을 계산하는 메시지에 대해 알고리즘을 실행합니다. 비트는 데이터, 음성 또는 비디오일 수 있습니다. 해싱은 어떤 식으로든 데이터 값을 변경하지 않습니다. 반대로 암호화는 데이터를 읽을 수 없는 상태로 변경합니다.
해싱은 메시지의 비트가 변경되지 않았음을 증명합니다. 데이터의 무결성과 원래 형식을 보장합니다. 해싱만이 우발적인 변경으로부터 데이터를 보호합니다.
해시가 비대칭 개인 키로 암호화된 경우 해커가 데이터를 악의적으로 변조하지 않았음을 나타냅니다. 개인 키를 손상하지 않는 한 악의적인 변경이 발생할 수 없습니다.
키가 손상되지 않은 경우 개인 키를 가진 사람이 해시를 계산한 사람이어야 합니다. 이 키는 개인 키라고도 하는 대칭 키 또는 비대칭 개인 키일 수 있습니다.
무선 보안
무선 네트워크를 통해 전송되는 데이터, 음성 또는 비디오를 보호하는 것은 어렵습니다. 무선 전송은 신호를 전송하기 위한 것이며, 이는 해커가 전송을 더 쉽게 가로챌 수 있게 만듭니다. 무선에 대한 암호화 표준이 있지만 대부분은 어떤 식으로든 사용이 어렵습니다.
암호화 표준에는 WEP, WPA, WPA2 및 현재 WPA3이 포함됩니다.
- WEP(Wired Equivalent Privacy)는 RC4 대칭 알고리즘을 사용하여 무선 전송을 암호화합니다. 해커들은 빠르게 그것을 깨뜨렸고 이제 그 목적을 위한 WEP 크랙이라는 편리한 해킹 도구가 있습니다.
- WPA(Wi-Fi Protected Access)는 WEP를 대체했지만 여전히 RC4를 사용했습니다. 해커는 WPA를 깨기 위해 WEP 크랙을 수정했습니다.
- WPA의 두 번째 버전인 WPA2에는 두 가지 옵션이 있습니다.
- WPA2-개인은 보안 키로 사전 공유 키를 사용합니다. 기본적으로 노트북이나 전화와 같은 무선 장치와 WAP(무선 액세스 지점)에 입력하는 암호입니다. 해커는 2017년에 첫 번째 결함을 발견했습니다. Key Reinstallation AttaCK (KRACK).
- WPA2-엔터프라이즈는 중앙 집중식 원격 인증 전화 접속 사용자 서비스(RADIUS) 서버에서 사용자를 인증하여 추가 보안 계층을 사용합니다. 또한 EAP(확장 가능한 인증 프로토콜)를 사용하여 로컬 무선 연결에 대한 인증 정보를 전달합니다. RADIUS와 EAP를 보안 프로토콜로 결합한 것을 IEEE 802.1x라고 합니다.
- WPA3에도 두 가지 옵션이 있습니다.
- WPA3-personal은 128비트 암호화 키를 사용하여 사용자에게 더 높은 수준의 보호를 제공합니다. 이는 사용자 암호가 너무 단순해 보안에 취약하더라도 강력한 암호 인증을 제공합니다. WPA3-personal은 WPA2-personal의 사전 공유 키 대신 SAE(동시 인증)를 사용하여 이를 달성합니다.
- WPA3-enterprise[SM2] [TA(3] [SM4] 는 보안 강화를 위해 192비트 암호화 키를 사용합니다. 조직의 네트워크 전체에 보안 프로토콜을 일관되게 적용하는 WPA2의 향상된 기능입니다.
보안 인증
네트워크 보안은 복잡합니다. 해커와의 끊임없는 싸움입니다. 자세한 내용은 네트워크 보안 조치 페이지를 참조하십시오.
보안 인증을 추구하는 것은 바람직한 일입니다. CompTIA Security+ 인증 또는 System Security Certified Practitioner((ISC)2® SSCP) 인증은 좋은 출발점입니다. 약간의 기술 지식이 포함된 고급 관리자 수준 인증은 Certified Information System Security Professional((ISC)2® CISSP) 인증입니다. AWS, GCP 또는 Azure에 대한 클라우드 기반 시험과 같은 공급업체별 테스트에 응시할 수도 있습니다.