Offcanvas

������

강은성의 보안 아키텍트 | 무결성과 접속기록 위·변조 방지

전통적으로 디지털 데이터의 전송과 저장에서 무결성을 검사하기 위해 패리티 비트나 체크섬을 사용했다. 보안에서는 더욱 강력한 방법으로 메시지 인증코드(MAC)나 암호학적 해쉬를 이용한다. 내가 읽으려고 하거나 받은 데이터가 위·변조되었는지 검증하는 방법이다. 모바일 앱의 위·변조 여부를 검사하는 것 역시 무결성의 영역이다.  일반적으로 정보보안에서 위·변조 방지는 접근 통제와 인증, 권한 관리를 통해 구현된다. 이러한 보호 대책은 계정정보의 도용, 권한 상승 등 보안 공격을 통해 무력화되기도 한다. 무결성 검증을 이용해 위·변조 여부를 탐지하고, 데이터의 재수신 또는 백업해 놓은 데이터의 복구 등을 통해 원본을 복원함으로써 결과적으로 위·변조 방지를 구현할 수도 있다. 개인정보 보호 법규에도 위·변조 방지에 관한 내용이 있다.  제5조(접속기록의 위·변조방지) ③ 정보통신서비스 제공자 등은 개인정보취급자의 접속기록이 위·변조되지 않도록 별도의 물리적인 저장 장치에 보관하여야 하며 정기적인 백업을 수행하여야 한다. (‘개인정보의 기술적·관리적 보호조치 기준’(방송통신위원회 고시, 2015.5.19)) 이 조항의 취지는 해킹 등으로 개인정보 사고가 발생했을 때 이를 분석, 대응하기 위한 증거를 확보하는 것이다. 증거가 있어야 범인의 행위, 경로, 피해 규모 등의 분석과 범인 추적이 가능한데, 범인이 자신의 범죄 행위가 기록된 로그를 삭제하고 도망가는 경우가 많기 때문이다. 실세계로 치면 범죄자가 자신이 찍힌 CCTV 영상을 지운다는 얘기다. 해킹 사건 분석을 담당하는 보안전문가들의 주요 애로사항 중 하나이다.  「개인정보의 기술적·관리적 보호조치 기준 해설서」에서는 제5조 제3항의 구현을 위한 구체적인 방법으로 다음 몇 가지를 예로 들고 있다.  ● 정보통신서비스 제공자 등은 개인정보취급자가 개인정보처리시스템에 접속한 기록이 위‧변조되지 않도록 다음과 같은 보호조치 등을 취하여야 한다.   (1) 정...

CIO 무결성 메시지 인증코드 개인정보 보호 법규 WORM MAC DVD-R CD-ROM 영상 변조 강은성 위조 암호 CISO 개인정보 보호 CSO 컴플라이언스 해쉬

2019.08.07

전통적으로 디지털 데이터의 전송과 저장에서 무결성을 검사하기 위해 패리티 비트나 체크섬을 사용했다. 보안에서는 더욱 강력한 방법으로 메시지 인증코드(MAC)나 암호학적 해쉬를 이용한다. 내가 읽으려고 하거나 받은 데이터가 위·변조되었는지 검증하는 방법이다. 모바일 앱의 위·변조 여부를 검사하는 것 역시 무결성의 영역이다.  일반적으로 정보보안에서 위·변조 방지는 접근 통제와 인증, 권한 관리를 통해 구현된다. 이러한 보호 대책은 계정정보의 도용, 권한 상승 등 보안 공격을 통해 무력화되기도 한다. 무결성 검증을 이용해 위·변조 여부를 탐지하고, 데이터의 재수신 또는 백업해 놓은 데이터의 복구 등을 통해 원본을 복원함으로써 결과적으로 위·변조 방지를 구현할 수도 있다. 개인정보 보호 법규에도 위·변조 방지에 관한 내용이 있다.  제5조(접속기록의 위·변조방지) ③ 정보통신서비스 제공자 등은 개인정보취급자의 접속기록이 위·변조되지 않도록 별도의 물리적인 저장 장치에 보관하여야 하며 정기적인 백업을 수행하여야 한다. (‘개인정보의 기술적·관리적 보호조치 기준’(방송통신위원회 고시, 2015.5.19)) 이 조항의 취지는 해킹 등으로 개인정보 사고가 발생했을 때 이를 분석, 대응하기 위한 증거를 확보하는 것이다. 증거가 있어야 범인의 행위, 경로, 피해 규모 등의 분석과 범인 추적이 가능한데, 범인이 자신의 범죄 행위가 기록된 로그를 삭제하고 도망가는 경우가 많기 때문이다. 실세계로 치면 범죄자가 자신이 찍힌 CCTV 영상을 지운다는 얘기다. 해킹 사건 분석을 담당하는 보안전문가들의 주요 애로사항 중 하나이다.  「개인정보의 기술적·관리적 보호조치 기준 해설서」에서는 제5조 제3항의 구현을 위한 구체적인 방법으로 다음 몇 가지를 예로 들고 있다.  ● 정보통신서비스 제공자 등은 개인정보취급자가 개인정보처리시스템에 접속한 기록이 위‧변조되지 않도록 다음과 같은 보호조치 등을 취하여야 한다.   (1) 정...

2019.08.07

IDG 설문조사

회사명:한국IDG 제호: ITWorld 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 편집인 : 박재곤 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.

10.4.0.31