해커를 꿈꾸는 개발자

정보보안기사 실기 / 3. IPSec (IP Security) - 애플리케이션 보안

IPSEC(IP Security)

보안에 취약한 인터넷에서 안전한 통신을 실현하는 통신 규약입니다. 인터넷상에서 전용 회선과 같이 가상 전용 회선을 구축하여 데이터를 도청당하는 등의 행위를 방지합니다. 

OSI 모델에서 3계층(네트워크 계층) 보안 프로토콜이며, VPN에서 많이 사용됩니다.

IPSEC 전송 방법

1) 터널 모드

VPN과 같은 구성으로 패킷의 출발지에서 일반 패킷이 보내지면 중간에서 IPSec을 탑재한 중계 장비가 패킷 전체를 암호화하고 중계 장비의 IP 주소를 붙여 전송합니다. 

원본 IP 패킷 전체를 암호화하므로 트래픽 경로도 노출되지 않습니다.

2) 전송 모드

패킷의 출발지에서 암호화를 하고 목적지에서 복호화가 이루어지므로 End-to-End 보안을 제공합니다. 

IP 페이로드만 암호화하여, 트래픽 경로는 노출됩니다.

IPSec 구성요소

1) AH

메시지 인증 코드(MAC)를 이용하여 무결성과 인증 기능을 제공하지만 암호화는 제공하지 않는 IP 확장 헤더입니다.

2)ESP

새로운 IP 패킷을 만드로 기존 패킷은 Payload에 넣어 감싸는 방식으로 암호화를 제공하는 방식이며, 암호화를 통해 기밀성을 유지하기 위해 사용됩니다.

3) IKE(Internet Key Exchange)

IPSec에서 키 교환을 위해 사용되는 프로토콜로, UDP 500포트를 사용합니다.

4) ISAKMP(Internet Security Association and Key Management Protocol)

Security Association 설정, 협상, 변경, 삭제 등 SA 관리와 키 교환을 정의합니다.

관련 문제

14회 다음에서 설명하는 IPSec의 구성요소를 적으시오.
1) 메시지 인증 코드(MAC)를 이용하여 무결성과 인증 기능을 제공하지만 암호화는 제공하지 않는 IP 확장 헤더
2) 새로운 IP 패킷을 만드로 기존 패킷은 Payload에 넣어 감싸는 방식으로 암호화를 제공하는 방식
3) IPSec에서 키 교환을 위해 사용되는 프로토콜로, UDP 500포트 사용

답 : 1) AH , 2) ESP , 3) IKE

12회 가상사설망(VPN)에서 사용되는 IPSec과 관련하여 아래 괄호안에 들어갈 말을 적으시오.
ㅇ IPSec은 OSI 모델에서 (  A  ) 계층에 속한다.
ㅇ IPSec에서 (  B  )는 무결성 보장, 메시지 인증을 위해 사용된다.
ㅇ IPSec에서 (  C  )는 암호화를 통해 기밀성을 유지하기 위해 사용된다.

답 : A: 3(네트워크), B: AH, C: ESP

11회 가상사설망(VPN)에서 사용되는 보안 프로토콜과 관련하여 아래 설명에 해당하는 프로토콜을 적으시오.
1) 3계층 보안 프로토콜로, 가장 많이 사용되는 프로토콜
2) 상기 프로토콜에서 무결성 보장, 메시지 인증을 위한 세부 프로토콜
3) 상기 프로토콜에서 암호화를 통해 기밀성을 유지하기 위한 세부 프로토콜

답 : 1) IPSec, 2) AH, 3) ESP

8회 IPSec 프로토콜은 전송모드와 터널모드 2가지를 가진다. ESP를 사용한 암호화 범위를 중심으로 전송모드와 터널모드의 차이를 설명하시오.

답 : 전송모드는 IP 페이로드만 암호화하여, 트래픽 경로는 노출된다.

터널 모드는 원본 IP 패킷 전체를 암호화하므로 트래픽 경로도 노출되지 않는다.

정보보안기사 필기 독학 / 애플리케이션 보안 / 6. 전자상거래, IPSec

이중서명 

고객의 결제정보가 판매자를 통하여 해당 지급정보중계기관(PG)으로 전송됨에따라 고객의 결제정보가 판매자에게 노출될 가능성과 판매자에 의한 결제 정보의 위·변조의 가능성이 있으므로, 판매자에게 결제정보를 노출시키지 않으면서도 판매자가 해당 고객의 정당성 및 구매내용의 정당성을 확인 할 수 있고 PG는 판매자가 전송한 결제요청이 실제고객이 의뢰한 전문인지를 확인할 수 있도록 하였습니다.

XML(Extensible Markup Language)

데이터의 저장 및 교환을 위한 대표적 문서교환 표준인 SGM (Standard Generalized Markup Language)과 HIM (Hyper Tel Merkup Largage)의 장점을 모두 가지고 있습니다. 1996년 W3C에서 제안하였으며, 웹상에서 구조화된 문서를 전송 가능하도 록 설계된 웹표준이며, 최근 전자거래 및 각종 업무에서 표준으로 폭넓게 채택되어 사용되고 있습니다.

IPSec(IP Security)

보안에 취약한 인터넷에서 안전한 통신을 실현하는 통신 규약입니다. IPSEC에는 전송 모드와 터널 모드가 있는데, 터널 모드는 VPN과 같은 구성으로 패킷의 출발지에서 일반 패킷이 보내지면 중간에서 IPSec을 탑재한 중계 장비가 패킷 전체를 암호화(인증)하고 중계 장비의 IP 주소를 붙여 전송합니다. 전송 모드는 패킷의 출발지에서 암호화(인증)를 하고 목적지에서 복호화가 이루어지므로 End-to-End 보안을 제공합니다. 

AH 프로토콜은 단말과 라우터 간의 IP 패킷에 대한 송신 인증 및 무결성 서비스를 제공합니다.

ESP 프로토콜은 메시지 출처 인증, 메시지 무결성, 메시지 기밀성 서비스를 제공합니다.

SSO(Single Sign on)

사용자가 네트워크에 한 번의 로그인만으로 허가한 자원에 대해 접근하는 것입니다. 한번 인증을 받으면 다양안 서비스에 재인증 절차 없이 접근할 수 있고, SSO 서버가 단일 실패 지점이 됩니다. 사용자는 다수의 서비스를 이용하기 위해 여러 개의 계정을 관리하지 않아도 됩니다. 

OTP(One-Time Password) 토큰

 OTP 자체 생성할 수 있는 연산기능과 암호 알고리즘 등을 내장한 별도의 단말기입니다. 외형은 USB 메모리와 비슷하고, 토큰은 별도로 구매해야 합니다. 

Heartbleed

암호화를 위해 대중적으로 사용되는 OpenSSL 라이브 러리에서 서버 메모리 중 64KB의 데이터에 대해 공격자가 덤프를 뜰 수 있게 하는 취약점입니다. 해당 취약점을 이용하여 시스템 메모리에 저장되어 있는 무의미한 작은 정보들을 지속적으로 유출시키면, 이러한 무의미한 정보들이 모여 하나의 완전한 유의미한 정보가 될 수 있습니다. 특히 개인키의 경우 암 호화하여 전달되는 데이터를 모두 열람할 수 있는 핵심정보 이기 때문에 매우 심각한 취약성이라 할 수 있습니다.

관련 문제

11회 다음의 지문에서 설명하고 있는 기술들은 전자상거래의 안 전성을 지원할 목적으로 이용되는 보안 프로토콜이다. 빈 칸 에 들어가야 할 적합한 단어는?1
[보기]
전자상거래의 안전성을 지원할 목적으로 IPSec(Intemet Protoooo Security), SSL (Secure Socket Layer). OTP(One Time Password) 등이 사용된다. 이 중 IPSec은 (㉠ ) 계층에서 SSL은 (㉡) 계 층에서, OTP는 (㉢) 계층에서 각각 동작된다.
① ㉠네트워크 ㉡ 전송 ㉢ 응용
② ㉠네트워크 ㉡응용 ㉢전송
③ ㉠응용 ㉡네트워크 ㉢전송
④ ㉠응용 ㉡응용 ㉢전송

14회 다음은 SET에서 사용하는 보안 메커니즘을 설명한 것이다. 다음의 내용에 해당하는 것은 무엇인가?2
고객의 결제정보가 판매자를 통하여 해당 지급정보중계기관(PG)으로 전송됨에따라 고객의 결제정보가 판매자에게 노출될 가능성과 판매자에 의한 결제 정보의 위·변조의 가능성이 있으므로, 판매자에게 결제정보를 노출시키지 않으면서도 판매자가 해당 고객의 정당성 및 구매내용의 정당성을 확인 할 수 있고 PG는 판매자가 전송한 결제요청이 실제고객이 의뢰한 전문인지를 확인할 수 있도록 하였다.
①전자서명
②이중서명
③은닉서명
④비밀서명

13회 다음 지문이 설명하는 전자 거래 문서의 유형으로 알맞은 것은?4
[보기]
데이터의 저장 및 교환을 위한 대표적 문서교환 표준인 SGM (Standard Generalized Markup Language)과 HIM (Hyper Tel Merkup Largage)의 장점을 모두 가지고 있다.
1996년 W3C에서 제안하였으며, 웹상에서 구조화된 문서를 전송 가능하도 록 설계된 웹표준이며, 최근 전자거래 및 각종 업무에서 표준으로 폭넓게 채택되어 사용되고 있다.
① SWIFT
② ebXML
③ EDI(Electronic Data Interchange)
④ XML(Extensible Markup Language)

10회 다음중 전자 지불 시스템의 위험 요소와 가장 거리가 먼 것은?2
① 이중사용
② 접근성
③ 위조
④ 거래부인

9회 다음 OTP 토큰에 대한 설명으로 적절하지 않은 것은?4
① OTP 자체 생성할 수 있는 연산기능과 암호 알고리즘 등을 내장한 별도의 단말기이다.
② 외형은 USB 메모리와 비슷하다.
③ 토큰은 별도로 구매해야 한다.
④ 서버가 OTP 정보를 SMS로 전송하고 사용자는 이 정보를 이용한다.

10회 OTP에 대한 다음 설명 중 잘못된 것은?3
① 비밀번호 재사용이 불가능
② 비밀번호 유추 불가능
③ 의미 있는 숫자 패턴을 활용
④ 오프라인 추측공격에 안전

10회 다음 SSO에 설명으로 옳지 않은 것은?1
① 개별 응용 레벨의 권한 제어
② 인증 정책과 권한 설정 용이
③ 자원별 권한 관리 약함
④ 중앙집중식 ID 관리

9회 다음 중 SSO에 대한 설명 중 적절하지 않은 것은?4
① 한번 인증을 받으면 다양안 서비스에 재인증 절차 없이 접근할 수 있다.
② SSO 서버가 단일 실패 지점이 된다.
③ 사용사는 다수의 서비스를 이용하기 위해 여러 개의 계정을 관리하지 않아도 된다.
④ 사용 편의성은 증가하지만 운영비용도 증가한다.

11회 IPSec 보안 프로토콜에서 메시지 출처 인증, 메시지 무결성, 메시지 기밀성 서비스를 지원하는 프로토콜과 새로운 IP 헤더가 추가되는 동작모드가 잘 묶여진 것은?2
① ESP 프로토콜, Transport 동작모드
② ESP 프로토콜, Tunnel 동작모드
③ AH 프로토콜, Transport 동작모드
④ AH 프로토콜, Tunnel 동작모드

8회 다음은 IPSec의 AH 프로토콜이 하는 역할에 대한 설명이다. 맞는 것은?3
① 라우터와 라우터 간의 IP 패킷을 암호화한다.
② 단말과 단말 간의 IP 패킷을 암호화한다
③ 단말과 라우터 간의 IP 패킷에 대한 송신 인증 및 무결성 서비스를 계공한다.
④ 단말과 라우터 간의 IP 패킷에 대한 송신 인증, 무결성 그 리고 암호화 서비스를 계공한다.

13회 전자입찰시스템 및 프로토콜의 특징에 대한 설명 중 틀린 것은?2
① 전자 입찰 도구로는 자바, 디지털서명, XML 등이 이용될 수 있다.
② 입찰 기간 마감은 여러 개의 입찰 서버가 있을 경우 단계적으로 마감된다.
③ 전자 입찰은 입찰자, 입찰 공고자, 전자입찰시스템으로 구성된다.
④ 전자 입찰 시 독립성, 비밀성, 무결성 등이 요구된다.

13회 다음 지문에서 설명한 프로토콜을 올바르게 나열한 것은?1
[보기]
가: 사용자와 은행 사이에서 수행되는 프로토콜로서 은행이 사용자에게 전자 화폐를 발급해 주는 절차를 명세한 프로토콜이다.
나: 사용자와 상점 사이에서 수행되는 프로토콜로서 사용자가 구매 대금으로 자신의 전자 화폐를 상점에 지불하는 과정을 명세한 프로토콜이다.
다: 상점과 은행 사이에서 수행되는 프로토콜로서 상점이 사용자로부터 받은 전자 화를 은행이 결제해 주는 프로토콜이다.

① 가:인출 프로토콜 나:지불 프로토콜 다:예치 프로토콜
② 가:인출 프로토콜 나:예치 프로토콜 다:지불 프로토콜
③ 가:지불 프로토콜 나:인출 프로토콜 다:예치 프로토콜
④ 가:예치 프로토콜 나:지불 프로토콜 다:인출 프로토콜

13회 다음 보기가 설명하는 취약성은?4
[보기]
이것은 암호화를 위해 대중적으로 사용되는 OpenSSL 라이브 러리에서 서버 메모리 중 64KB의 데이터에 대해 공격자가 덤프를 뜰 수 있게 하는 취약점이다. 해당 취약점을 이용하여 시스템 메모리에 저장되어 있는 무의미한 작은 정보들을 지속적으로 유출시키면, 이러한 무의미한 정보들이 모여 하나의 완전한 유의미한 정보가 될 수 있다. 특히 개인키의 경우 암 호화하여 전달되는 데이터를 모두 열람할 수 있는 핵심정보 이기 때문에 매우 심각한 취약성이라 할 수 있다.
① Poodle
② Ghost
③ Shellshock
④ Heartbleed