반응형

보안 11

전자서명 쉽게 이해하기

이제 우리는 생활속에서 전자서명이라는 행위를 일상적으로 사용하고 있다. 하지만 아직도 많은 대다수의 사람들은 전자서명의 정확한 의미와 중요성을 인식하지 못하고 쉽게 사용하고 있기도 하다. 지난글에서는 우리의 일상생활 속에서 흔히 하고 있는 전자서명의 행위를 오프라인에서의 인감증명의 사용과 비교하면서 현재 우리나리의 공인인증체계를 간단하게 이야기 했다. 오늘은 기술적인 측면에서 전자서명의 개념을 최대한 풀어서 이야기해 보고자 한다. 전자서명이 제공하는 보안서비스 - 인증, 무결성, 부인봉쇄 전자서명을 통해 인증과 무결성, 부인봉쇄라는 중요한 보안서비스를 제공한다고 지난글에서 마지막에 언급하였다. 즉, 전자서명 행위를 통해서 내가 송신하고자 하는 메시지(문서)의 근원이 나 자신 이라는 것과 수신측에서는 내가..

공인인증체계 쉽게 이해하기

공인인증서라는 용어는 이제 우리에게 흔한 용어다. 그리고 이것이 있어야 인터넷 상에서 금융거래가 가능하다는 것 정도로 알고 있다. 공인인증서를 가장 쉽게 이해하는 방법은 오랜동안 우리가 사용해왔던 인감증명과 비교하면 가장 이해하기 쉽다. 부동산 거래를 위해 계약서를 작성할 때, 거래 당사자들은 인감도장을 사용하고 동사무소에서 발급받은 인감증명을 첨부한다. 그리고 공인중개사의 직인이 사용된다. 즉, 이런 과정을 통해 계약이 당사자 본인들에 의해서 작성되었음을 공인받게 된다. 이제 온라인 상에서의 활동과 비교해보자. 출처, http://blog.dbguide.net/lensman 현재 우리나라에서는 인터넷이나 인트라넷 상의 사용자들에게 보안서비스를 제공하는 체계로 국가 공개키 기반구조(NPKI, Nation..

무선통신보안기술

○ 무선통신보안기술 무선인터넷 WTLS 개념 ° 클라이언트와 서버사이에 형성된 채널의 안정성을 보장하는 전송계층 보안 프로토콜 특징 ° Handshake protocol - Record protocol에서 사용할 보안정보를 협상에 의해 결정하는 프로토콜 ° Alert Protocol - 비밀통신의 종료 또는 비밀통신중의 클라이언트/서버의 오류발생시 오류발생의 원인을 알리기위한 메시지를 정의한 프로토콜 ° Change cipher spec protocol - 비밀통신에 사용되는 정보가 변경되었음을 알리는 프로토콜 ° Record protocol - 전송데이터의 압축, 인증코드 추가, 암호화, 복호화, 검증 및 압축해제를 수행하는 프로토콜 WAP 1.x 개념 ° 무선 단말기와 인터넷 웹서버 사이에 WAP G..

Privacy/Data Protection : APEC Privacy Framework

○ Privacy/Data Protection : APEC Privacy Framework · APEC 회원국 간의 전자 상거래 촉진을 위해 제반 활동을 하는 고위관료회의의 산하 특별그룹인 ECSG(Electronic Commerce Steering Group)이 APF(APEC Privacy Framework) 개발, 채택함 · 개인정보보호 원칙 9가지 피해예방 개인정보가 요용되지 않도록 개인정보를 보호하기 위한 조치를 취해야 한다. 고지 개인정보와 관련된 관행 및 정책을 해당 개인들에게 명료하고 알기 쉽게 설명해야 한다. 수집제한 정해진 목적에 맞게 합법적이고 공정한 방법으로 개인정보는 수집되어야 하고, 필요할 경우 개인에게 고지하거나 사전동의를 받아야 한다. 개인정보 활용 수집된 개인정보는 당초의 ..

국제기구의 개인정보보호 가이드라인(Guideline)

○ 국제기구의 개인정보보호 가이드라인(Guideline) OECD ISTPA IPC APF P3P 정보수집 수집제한 수집제한 수집제한/동의 수집제한 개인정보를 수집하는 자 정보관리 데이터 정확성 검증 정확성 무결성 수집되는 개인정보항목 정보수집목적 목적 명확화 적절성 목적확인 목적고지 수집목적 정보활용 이용제한 사용제한 제한된 사용/동의 개인정보 활용 제3자와 공유하는 개인정보 정보저장및 보안 안전보호 보안 보호책 보안조치 개인정보 수령인 정보공개 활용정책 공개 공개 개방성/동의 열람 및 수정 인간이 판독할 수 있는 형식 감사 개인참가 참여 개인접근/도전적인 참여의식(권리부여) 선택 개인정보 정정 가능 여부 책임 책임 책임 책임/피해예방 자료를 유지하기 위한 정책 [관련 포스트] 2008/11/14 - ..

IPC(Information and Privacy Commissioner)

○ IPC(Information and Privacy Commissioner) · 개인정보보호에 대한 10가지 원칙 책임 적절한 책임은 개인정보보호의 효과적인 실행, 정책발전, 평가, 개선을 보장한다. 목적확인 개인정보수집의 중요한 첫 번째 단계이며 비즈니스 환경에서 정당성을 가져야 한다. 동의 제한된 환경을 제외하고는 개인정보 수집/사용/공개를 위해 개인들로부터 동의를 얻기 위한 명백한 의무를 명시한다. 수집제한 확인된 목적을 충족하기 위한 개인정보만을 수집하기를 요구한다. 제한된 사용, 공개, 유지기간 목적 확인이 된 개인정보만을 사용하거나 공개해야 한다. 새로운 사용이나 공개는 개인의 허가나 합법적인 경우에만 허용된다. 이 원칙은 최소의 유지기간 동안 개인정보를 지키기 위한 책임을 부과한다. 정확성..

ISTPA(The international security, Trust, and Privacy Alliance)

○ ISTPA(The international security, Trust, and Privacy Alliance) · 개인 정보의 표준, 도구, 기술을 연구 및 평가하고 개인정보보호 프레임워크를 정의하기 위해 구성된 전 세계 기업과 기술 공급자들의 연합 · 개인정보보호 원칙 책임(Accountability) 개인정보의 부적절한 운용에 대해 처리할 수 있는 능력 수집제한(Collection Limitation) 수집된 정보의 종류를 제한하는 것 접근(Disclosure) 수집된 데이터의 주체를 분별하는 것 참여(Participation) 주체가 무엇을 수집하고 분배할 지 선택할 수 있게 하는 것 적절성(Relevance) 응용에 적절한 개인 정보만을 수집하는 것 보안(Security) 허용되지 않은 접근..

OECD의 개인정보보호 가이드라인

○ OECD의 개인정보보호 가이드라인 · 정보시스템과 네트워크의 보호를 위한 가이드라인과 개인정보보호를 위한 가이드라인으로 구분 · 개인정보보호 가이드라인 8원칙 수집제한의 원칙 개인데이터 수집에 제한을 두어야 하며 경우에 따라서는 정보주체에 알리거나 동의를 구하여야 한다 정보내용의 원칙 개인데이터는 그 이용 목적에 따라 필요한 범위내에서 정확, 안전 그리고 최신의 것을 가져야 한다. 목적명확화의 원칙 개인 데이터의 수집 목적은 명확해야 하며 그 후의 데이터의 이용은 해당 수집 목적의 달성 또는 수집 목적에 모순되지 않도록 하며 목적변경 시에 명확한 다른 목적의 달성에 한정되어야 한다. 이용제한의 원칙 주체의 동의나 법률의 규정에 의한 경우를 제외하고는 이용이 금지되어야 한다. 안전보호의 원칙 데이터의 ..

스위칭기법(switching)

○ 스위칭기법(Switching) 회선교환 ° 정보전송이 종료될 때까지 배타적 연결 설정 패킷교환 ° 대역폭의 효율적 이용 ° 전송지연을 허용 ° 가상회선/데이터그램 방식 셀교환 ° 셀 이라는 작은 고정 크기의 패킷에 메시지와 제어정보를 추가하여 전송 장점 단점 ° 여러 가지 네트워크를 종합적으로 지원 ° Multicast에 적합 ° Multiplexing 용이 ° 셀이 작을수록 오버헤드 증가 ° 셀이 클수록 낭비되는 부분 증가 ° 실시간 대화형 서비스에서는 셀이 클수 록 직렬화에 따른 지연으로 불리함 메시지 교환 ° 축적교환방식(store and forward)으로 논리적 단위인 메시지를 교환하는 방식 장점 단점 ° 비동기전송 가능 ° 연결설정 불필요 ° 메시지의 우선순위에 따른 전송 가능 ° 데이터 ..

유선통신보안기술

○ 유선통신보안기술 SSH(Secure Shell) 정의 ° 네트워크의 다른 컴퓨터에 로그인, 원격실행, 파일전송 서비스를 안전하게 통신하도록 하는 기능 제공 특징 ° rlogin, rsh와 같은 보안에 취약한 서비스를 대체 ° 패킷을 암호화 하므로 Spoofing, Session Hijacking등에 안전 ° 다양한 인증방식 및 강력한 암호화 사용(3DES, Blowfish, TWOFISH), MD5/SHA1 해시 알고리즘 ° X11, TCP/IP 포워딩 SSL(Secure Socket Layer)/TLS ※ HTTPs 정 의 ° 인터넷 정보보안을 위한 전자상거래 표준 보안 프로토콜(전형적인 하이브리드 암호 프로토콜) 특 징 ° 상호인증, 기밀성, 무결성을 제공하지만 데이터에 대한 전자서명 기능은 제공..

반응형