Home > 전체기사
[CBK특집] 정보보안의 ABC, CBK를 이해하자-④암호학
  |  입력 : 2010-01-13 09:54
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

‘암호학’...CISSP라면 꼭 알아두어야 할 분야


<게재순서>

①CBK의 개요

②Domain 1  Information Security and Management(정보보안과 위험관리)

③Domain 2  Access Control (접근통제)

④Domain 3  Cryptography (암호학)

⑤Domain 4  Physical (Environmental) Security(물리적(환경적) 보안)

⑥Domain 5  Security Architecture and Design(보안 아키텍처와 설계)

⑦Domain 6  Business Continuity and Disaster Recovery Planning(기업연속 및 재난복구계획)

⑧Domain 7  Telecommunications and Network Security(통신 및 네트워크 보안)

⑨Domain 8  Application Security(응용프로그램 보안)

⑩Domain 9  Operations Security(운영보안)

⑪Domain 10  Legal, Regulations, Compliance and Investigations(법, 규정, 준수 및 조사)


머리말

사람들은 살면서 많은 비밀을 안고 산다. 비밀은 혼자만 알고 있어야 하고 혼자만 간직해야 한다. 하지만 인간사의 역사를 보면 이러한 비밀은 몇 사람이 공유하게 됨으로써 특정 목적을 달성하거나 공유한 사람들만의 집단적 이익이 추구된다. 얼마 전 광고에서 등장했던 ‘며느리도 안 가르쳐 준다’라는 요리 비법도 결국은 요리를 전수해야 하는 시점이 온다면 비법 전수를 하게 될 것이다. 요리의 달인인 시어머니는 다른 사람들은 모르게 본인만이 아는 방법으로 비법을 써 놓게 되고, 본인만이 아는 방법을 며느리에게 알려주게 될 것이다. 본인만이 아는 방법이라고 하는 것이 암호학의 출발이 된다.


과거 지식사회의 태동이전에 전쟁과 영토확장이 국가의 대과제이던 시절 멀리 떨어진 아군의 장군에게 알려야 할 중요한 메시지가 있었다. 일반전화나 휴대폰도 없고 인터넷도 없던 시절, 결국은 누군가를 시켜서 글로 적은 것을 전달해야 하는데 전달하기 위해 며칠을 걸어가야 하고 중간에 적군에게 들킬 확률도 생각해야 했었다. 편지나 글을 전달하는 병사도 몰라야 하고 적군도 모르려면 본국의 왕과 원격지의 장군만이 아는 암호가 필요했었다. 기밀성이 무척 필요했던 시기였던 것이다. 정보보안의 기본 요소 중에 하나인 기밀성은 암호학에 의해서 출발하고 완성되는 이유도 여기에 있다.

     

CBK(Common Body of Knowledge: (정보보안)지식체계)를 이해하는 시간, 그 세 번 주제(도메인이라고 표현해도 될 것 같다)를 살펴보자. 암호학은 기밀성을 지키기 위해서 시작된다. 정보보안에서 얘기하는 인가된 자들만이 서로를 알 수 있는 의사소통의 수단이 암호학이다. 과거의 암호는 특별한 문자나 언어로 암호를 구사하여 그들만이 서로 알고 이해하고 하였다. 시간은 흘러서 기계화되고 전자화된 암호학이 나오게 된다. 암호학을 연구하다 보니 규칙성과 배열이 필요하게 되어 수학에 근거를 두게 되었다.


CISSP (Certified Information System Security Professional: 국제공인 정보시스템 보안 전문가) 자격증을 소지하고 정보보안 분야에서 활발히 활동을 하는 독자나 혹은 CISSP를 지금 도전하는 있는 독자, 또한 CISSP를 처음 들어보는 독자이건 간에 암호학이라고 하면 왠지 어렵고 또한 정보보안의 고전이고 지금은 중요치 않다고 생각할 수 도 있다. 하지만 사실은 수학을 기초로 한 암호학은 계속 발전되고 있고 오늘날의 인터넷과 같은 개방형 의사소통체계에서는 OS, 응용프로그램, 프로토콜의 기초가 암호학이다.  CISSP라면 꼭 알아두어야 할 분야이다.


암호학 (Cryptography)

접근통제를 지난 시간에 살펴보았듯이 접근통제의 기본은 Identity와 Password이다. ‘나’라고 주체를 알리고 나만이 가지고 있는 비밀번호로 접근하는 것도 또한  암호학의 일부분이다. Password는 암호화 되어 저장되는 것은 기본이 된다.

암호학은 일반인들이 보통 사용하는 평문의 형태를 수학적 기법인 알고리즘(수학적 방식의 조합)을 통하여 암호화 하여 암호문으로 만들어 낸다. 키(특정한 값)와 키 스페이스(알고리즘의 특정한 값)에 따라 다양한 암호문이 형성되고 이것은 알아볼 수 없는 형태를 지니게 된다. 다시 이것을 평문으로 보기 위해서는 복호화 과정을 거쳐서 평문으로 만들어 내는 데 또한 알고리즘을 통하여 키가 사용된다.

자전거는 휴대성이 훌륭한 교통수단이다. 목적지인 가까운 곳을 가서 근처에 세워놓고 일을 보면 되는데 자전거의 분실을 막기 위해 번호패드가 붙어있는 잠금 장치를 사용한다. 번호패드는 잠금 장치를 만든 회사의 제품이라는 똑 같은 조합을 가지고 있지만 번호패드의 비밀번호는 ‘나’만 가지고 있는 ‘키’값인 것이다.

암호학의 기본 흐름을 표현하면 아래와 같다.




CBK 제 3 도메인의 주제들

암호학의 주제들을 보도록 하자.


 

이 연재로는 4번째 시간이면서 CBK의 주제로는 3번째 주제인 암호학에 대해서 알아 보았다. 이미 CISSP를 보유하고 정보보호 업무를 하고 있는 독자들은 과거 어느 날엔가 CISSP 자격증 공부를 하면서 암호학을 재미있게 아니면 어렵게 공부했던 기억이 날 것이다.

 

독자들이 편리하게 인터넷을 사용하고 안전하게 이용하는 바탕에는 암호학의 숨은 공로가 있다. 자칫 눈에 보이는 결과만을 중요시 하는 사회에 살다 보니 그럴 수도 있겠지만 학교나 학계에서 암호학과 수학과 같은 (상대적인)순수학문을 공부하거나 연구하는 인력에 대한 관심이 지속적으로 필요하다고 생각한다. 암호학은 기밀성뿐 아니라 무결성을 결정 짓는 해시함수에도 영향을 끼치게 되는 것은 알고 있을 것이다. 작금의 공인인증서를 통한 은행거래 및 개인신용과 개인정보의 인터넷 사용은 PKI 기반의 전자서명이며 이 또한 암호학이 기본을 만들어 준 것이다.


필자와 함께 CBK를 둘러보면서 독자들이 속한 기업이나 공공기관에서 정보보안은암호학처럼 기업이나 공공기관의 목적달성에 근간이 되고 바탕이 되는 역할을 하였으면 한다. 바탕이나 베이스라인은 전면에 잘 나타나지 않을 수 있겠지만 기업을 지탱하는 원천 중의 하나임을 상기하며 정보보안 전문가로서 또 다른 면을 생각하는 계기가 되었으면 한다.


보다 자세한 내용은 www.isc2.org 혹은 www.cisspkorea.or.kr에서 찾아볼 수 있다.

[참고자료 및 출처]

www.isc2.org

www.cisspkorea.or.kr

Official (ISC)2 Guide to the CISSP CBK, Auerbach Publications, 2007~2008

Information Security Governance, ITGI, 2008

InfoSecurity Professional Magazine, ISC2, 2008~2009


[글 · 조 희 준 / josephc@chol.com]

 

 

CISSP, CCFP, CSSLP, ISO 27001(P.A), CISM, CGEIT, CISA, COBIT, ITIL, CIA, IT-PMP, PMP, ISO 20000(P.A), (ISC)2 CISSP 공인강사, 정보시스템감리원

 

[필자 약력]

·IT컨설팅 및 IT감리법인 수석컨설턴트

·(사)한국정보시스템 감사통제협회 ISACA Korea 임원

·한국 CISSP 협회 (ISC)2 Korea 임원

·한국 포렌식조사 전문가 협회 임원

·감사행정학과 석사과정

[정리: 길민권 기자(reporter21@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>

  •  
  • 2
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지/7월25일 수정모니터랩 파워비즈 5월 31일까지파워비즈배너 시작 11월6일 20181105-20200131
설문조사
최근 디지털 도어록이 등록되지 않은 스마트워치로 무방비로 열리는 취약점이 발견돼 이슈가 되고 있는데요. 현재 귀하의 집에 설치된 디지털 도어록의 경우 비밀번호와 함께 주로 사용하고 있는 개폐 수단은 무엇인가요?
생체인식
카드키
교통카드(티머니)
스마트워치
스마트폰
기타(댓글로)
      

코오롱베니트
CCTV

인콘
통합관제 / 소방방재

현대틸스
팬틸트 / 카메라

동양유니텍
Sevurity Camera / CCTV

시큐인포
CCTV / NVR

한화테크윈
CCTV 카메라 / 영상감시

보쉬시큐리티시스템즈
CCTV / 영상보안

대명코퍼레이션
DVR / IP카메라

티제이원
영상 보안 / 출입 통제

하이크비전 코리아
CCTV / IP / NVR

원우이엔지
줌카메라

비전정보통신
IP카메라 / VMS / 폴

다후아 코리아
CCTV / DVR

씨앤비텍
통합보안솔루션

지케이테코
출입통제 / 얼굴인식

아이디스
DVR / IP / VMS

한국하니웰
CCTV / DVR

테크어헤드
얼굴인식 소프트웨어

경인씨엔에스
CCTV / 자동복구장치

테크스피어
손혈관 / 차량하부 검색기

트루엔
IP 카메라

슈프리마
출입통제 / 얼굴인식

에스카
CCTV / 영상개선

디비시스
CCTV토탈솔루션

다민정보산업
기업형 스토리지

구네보코리아
보안게이트

엔토스정보통신
DVR / NVR / CCTV

옵티언스
IR 투광기

씨오피코리아
CCTV 영상 전송장비

DK솔루션
메트릭스 / 망전송시스템

티에스아이솔루션
출입 통제 솔루션

진명아이앤씨
CCTV / 카메라

신우테크
팬틸드 / 하우징

에프에스네트웍스
스피드 돔 카메라

엔클라우드
VMS / 스위치

케이제이테크
지문 / 얼굴 출입 통제기

사라다
지능형 객체 인식 시스템

알에프코리아
무선 브릿지 / AP

일산정밀
CCTV / 부품 / 윈도우

두레옵트로닉스
카메라 렌즈

브이유텍
플랫폼 기반 통합 NVR

이노뎁
VMS

새눈
CCTV 상태관리 솔루션

아이엔아이
울타리 침입 감지 시스템

케이티앤씨
CCTV / 모듈 / 도어락

창우
폴대

엘림광통신
광전송링크

퍼시픽솔루션
IP 카메라 / DVR

CCTV프랜즈
CCTV

지에스티엔지니어링
게이트 / 스피드게이트

아이유플러스
레이더 / 카메라

대산시큐리티
CCTV 폴 / 함체 / 랙

더케이
투광기 / 차량번호인식

유진시스템코리아
팬틸트 / 하우징

포커스에이치앤에스
지능형 / 카메라

휴컴스
PTZ 카메라 / 줌카메라

카티스
출입통제 / 외곽경비

세환엠에스
시큐리티 게이트

글로넥스
카드리더 / 데드볼트

유니온커뮤니티
생체인식 / 출입통제

화인박스
콘트롤박스 / 배전향