정보보안 기초 지식

OSI 7 Layers (open systems interconnection)

- OSI 7 계층은 어떻게 응용 프로그램이 네트워크를 통하여 통식할 수 있는 방법에 대한 참조 모델이다.

- 상호 다른 네트워크 간의 연결에 어려움이 많기에 이러한 호환성의 결여를 막기 위해 ISO에서는 OSI를 참조 모델로 제시했다.

- 실제 인터넷에서 사용되는 TCP/IP는 OSI 참조 모델을 기반으로 상업적이고 실무적으로 이용될 수 있도록 단순화된 현실화의 과정에서 채택하여 사용하고 있다.

 

OSI 7 Layers (open systems interconnection) 동작 원리

- OSI 7 계층에서 데이터를 전송할 때는 각각의 층에서 인식할 수 있는 헤더를 붙이게 되는데 이를 캡슐화라고 한다.

- 컴퓨터에서 소켓을 통해 인터넷으로 데이터를 전송할 때 컴퓨터들 사이에서 이를 이해할 수 있는 공통의 포맷을 만들어 두었다.

 

 

메시지를 네트워크로 전송할 때에는 OSI의 각 계층을 따라 내려가면서 헤더를 추가한다 (오른쪽 이미지)

그리고 네트워크로부터 메시지를 전송 받을 시에는 OSI의 하위 계층부터 위로 올라오면서 차례대로 Header를 분석해서 최종적인 Message를 받는다.

 

---

1계층 물리계층

- 주로 전기적 기계적 기능적인 특성을 이용해서 통신 케이블로 데이터를 전송하게 된다.

- 이 계층에서 사용하고 있는 통신 단위는 비트이며 이것은 1과 0으로 나타내어진다 (즉 전기의 ON OFF이다)

- 단지 데이터를 전달만 할 뿐 전송하고자 또는 받으려는 데이터가 무엇인지 어떤 에러가 있는지에는 신경을 쓰지 않는다.

- 단지 데이터를 전기적인 신호로 변환해서 주고받는 기능만 한다.

- 이 계층에 속하는 대표적인 장비는 통신 케이블, 리피터, 허브 등이 있다.

 

2계층 데이터링크 계층

- 물리계층을 통해 송수신되는 정보의 오류와 흐름을 관리하여 안전한 정보의 전달을 수행할 수 있도록 도와준다.

- 통신에서의 오류를 찾고 재전송을 하는 기능도 가지고 있다.

- 이 계층에서는 MAC 주소를 가지고 통신하게 된다.

- 이 계층에서 전송되는 단위를 프레임이라고 하고 대표적인 장비로는 브리지, 스위치 등이 있다.

- 데이터 링크계층은 포인트 투 포인트(point to point)간 신뢰성 있는 전송을 보장하기 위한 계층으로 CRC 기반의 오류 제어와 흐름 제어가 필요하다.

- 네트워크 위의 개체들 간 데이터를 전달하고 물리 계층에서 발생할 수 있는 오류를 찾아 수정하는 데 필요한 기능적, 절차적 수단을 제공한다.

 

3계층 네트워크 계층

- 이 계층은 경로를 선택하고 주소를 정하고 경로에 따라 패킷을 전달해주는 것이 이 계층의 역할이다.

- 이 계층의 대표적인 장비는 라우터이며 요즘은 2계층의 장비 중 스위치라는 장비에 라우팅 기능을 추가한 Layer 3스위치도 있다.(여기서는 IP주소를 사용한다)

- 네트워크 계층은 여러 개의 노드를 거칠 때마다 경로를 찾아주는 역할을 하는 계층으로 다양한 길이의 데이터를 네트워크들을 통해 전달하고 그 과정에서 전송 계층이 요구하는 서비스 품질(QOS)을 제공하기 위한 기능적, 절차적 수단을 제공함

- 데이터를 연결하는 다른 네트워크를 통해 전달함으로써 인터넷이 가능하게 만드는 계층이다.

 

4계층 전송 계층
- 통신을 활성화하기 위한 계층이다. (보통 TCP 프로토콜을 이용하며 포트를 열어 응용프로그램들이 전송을 할 수 있게 한다)

- 만약 데이터가 왔다면 4계층에서 해당 데이터를 하나로 합쳐서 5계층에 던진다.

- 전송계층은 양 끝단 (end to end)의 사용자들이 신뢰성 있는 데이터를 주고 받을 수 있도록 해 주어 상위 계층들이 데이터 전달의 유효성이나 효율성을 생각하지 않도록 해준다.

- 시퀀스 넘버 기반의 오류 제어 방식을 사용한다.

- 종단간 통신을 다루는 최하위 계층으로 종단간 신뢰성 있고 효율적인 데이터를 전송하며 기능은 오류 검출 및 복구와 흐름제어 중복검사 등을 수행한다.

 

5계층 세션계층

- 데이터가 통신하기 위한 논리적인 연결을 말한다.

- 세션 설정 유지 종료 전송 중단 시 복구 등의 기능이 있다.

- 세션 계층은 양 끝단의 응용 프로세스가 통신을 관리하기 위한 방법을 제공한다.

- 동시 송수신 방식(duplex) 반이중 방식(half-duplex) 전이중 방식(full duplex)의 통신과 함께 체크 포인팅과 유휴 종료 다시시작 과정 등을 수행한다.

 

6계층 표현계층
- 데이터 표현이 상이한 응용 프로세스의 독립성을 제공하고 암호화한다.

- 표현계층은 코드 간의 번역을 담당하여 사용자 시스템에서 데이터의 형식상 차이를 다루는 부담을 응용 계층으로부터 덜어준다. MIME 인코딩이나 암호화 등의 동작이 이 계층에서 이루어진다.

- 예를 들면 EBCDIC로 인코딩 된 문서 파일을 ASCII로 인코딩 된 파일로 변환해주는 것, 해당 데이터가 TEXT인지 그림인지 GIF인지 JPG 인지의 구분 등이 표현 계층의 몫이다.

 

7계층 응용계층
- 최종 목적지로서 HTTP FTP SMTP POP3 IMAP TELNET 등과 같은 프로토콜이 있다.

- 일반적인 응용 서비스는 관련된 응용 프로세스들 사이의 전환을 제공한다.

- 응용 계층은 응용 프로세스와 직접 관계하여 일반적인 응용 서비스를 수행한다.

- 모든 통신의 양 끝단은 HTTP와 같은 프로토콜이다.

---

 

VPN이란?
- 가상 사설망이며 이는 인터넷 트래픽을 암호화하고 온라인 상의 정보를 보호해준다.

- 일반적으로 인터넷에서 웹사이트에 액세스하려고 하면 ISP가 요청을 수신하고 목적지로 리다이렉션한다.

- 인터넷 트래픽이 ISP를 통과하면 ISP는 온라인에서 사용자가 하는 모든 것을 볼 수 있으며 심지어 사용자의 행동을 추적하고 때로는 광고주 정부 기관 및 기타 제 3자에게 검색 기록을 넘겨줄 수도 있다.

- 이를 방지하기 위해 VPN을 사용하고 VPN은 특별히 구성된 VPN 서버를 통해 사용자의 인터넷 트래픽을 리다이렉션하고 IP 주소를 숨기고 또한 보내거나 받는 모든 데이터를 암호화한다.

- 이렇게 암호화된 데이터는 그것을 가로채는 자에게는 무의미하게 나타나기 때문에 읽을 수 없으며 사용자의 정보를 보호할 수 있게 된다.

 

 

VPN은 인터넷 상에서 암호화된 터널을 생성하여 온라인 뱅킹 계좌에서 동영상 공유 웹사이트 검색 엔진에 이르기까지 사용자와 사용자의 인터넷 목적지 사이에 이동하는 모든 데이터를 보호한다.

- 이 터널은 클라이언트와 VPN 서버간의 인증절차를 통해서 생성된다.

- 그런다음 해당 서버는 여러 암호화 프로토콜 중 하나를 사용하여 아무도 사용자와 온라인 목적지 사이에 이동하는 정보를 모니터링 할 수 없도록 한다.

- 인터넷을 통해 데이터를 보내고 받기 전에 먼저 패킷으로 분할하게 되는데 각 데이터의 패킷의 보안을 유지하기 위해 VPN서비스는 패킷을 외부 패킷으로 감싼 다음 캡슐화라는 절차를 통해 암호화 하게 된다.

- 이 외장 패킷은 전송 중에 데이터 보안을 유지하고 데이터가 VPN 서버에 도착하면 외부 패킷이 제거되어 내부의 데이터에 액세스하는데 이를 위해서는 해독 절차가 필요하다.

 

 

즉 VPN 프로토콜은 두 장치 간의 암호화된 보안 연결을 생성하는 데 사용되는 암호화 표준 및 전송 프로토콜의 집합이다.

---

NAT이란?

 

- 네트워크 주소 변환(network address translation)은 내부망의 사설 IP 주소를 외부망의 공인 IP 주소로 바꿔주는 기술을 의미한다.

- NAT 를 이용하는 가장 큰 이유는 사설 네트워크에 존재하는 여러 개의 호스트가 하나의 공인 IP주소를 사용하여 인터넷에 접속하기 위함이다.

- 인터넷의 공인 IP주소는 한정되어 있기 때문에 가급적 이를 공유할 수 있도록 하는 것이 필요한데 NAT를 이용하면 사설 IP주소를 사용하면서 이를 공인 IP주소와 상호 변환할 수 있도록 하여 공인 IP주소를 다수가 함께 사용할 수 있도록 함으로써 이를 절약할 수 있는 방식인 것이다.

- 이 외에 외부 공격으로부터 내부 네트워크망을 보호하기 위해서 공개된 인터넷과 사설망 사이에 방화벽(firewall)을 설치하여 활용할 수 있다.

- 이때 외부 통신망 즉 인터넷망과 연결하는 장비인 라우터에 NAT를 설정할 경우 라우터는 자신에게 할당된 공인 IP주소만 외부로 알려지게 하고 내부에서는 사설 IP주소만 사용하도록 하여 필요시에 이를 서로 변환시켜준다.

- 따라서 외부 침입자가 공격하기 위해서는 사설망의 내부 사설 IP주소를 알아야 하기 때문에 공격이 불가능 혹은 어렵게 되어 내부 네트워크를 보호할 수 있게 된다.

---

DMZ(demilitarized zone)

- 많은 종류의 하드웨어 방화벽 장비들은 DMZ라 불리우는 기능을 가지고 있는데 사전적 의미의 DMZ는 국가 사이에 선언되는 지대를 의미한다.

- 이에 반해 방화벽에서 사용되는 DMZ라는 용어가 기술적으로 정의되어 있지는 않지만 대개 라우팅 방화벽의 인터페이스로 방화벽에서 보호되고 있는 쪽의 인터페이스와 유사하다.

- 가장 큰 차이점은 DMZ와 보호되고 있는 쪽에 위치한 다른 인터페이스 간에 오고 가는 트래픽도 역시 방화벽을 지나기 때문에 방화벽 정책이 적용될 수 있다는 점이다.

- 인터넷에서 들어온 트래픽은 기본적으로 방화벽으로 향하며 이 트래픽은 방화벽으로 보호되고 있는 쪽 혹은 DMZ에 위치한 시스템들로 라우팅된다.

- DMZ의 시스템들과 보호되고 있는 쪽의 시스템들은 방화벽을 지나며 선택적으로 방화벽 정책이 적용될 수 있다.