[IT도서리뷰📗]포텐의정보보안카페(2/3)/양자암호통신

양자암호통신이란 양자역학의 원리를 기반으로 절대로 도청이 불가능한 궁극의 통신 기술이다.

이전에 설명한 대로 비대칭키 알고리즘을 이용하면 키를 안전하게 분배할 수 있다.

하지만 비대칭키 알고리즘은 구조가 대단히 복잡하고 속도 측면에서도 다소 느린 문제점이 있다.

 

양자중첩, 불확정성, 비가역성, 양자얽힘이 양자역학의 4대 원리라고 할 수 있다.

 

먼저 양자중첩에 대해 설명하자면 둘 이상의 상태가 동시에 중첩되는 것이 가능하다는 원리이다.

컴퓨터 분야로 한정해서 말하자면 전통적인 컴퓨팅 체계에서는 0과 1밖에 존재하지 않지만 양자역학에 의하면 0이자 동시에 1인 상태가 가능하다. 이러한 상태를 양자컴퓨팅에서는 큐비트라고 표현한다.

 

불확정성은 어떤 입자의 위치와 운동량을 동시에 측정할 수 없다는 원리이다.

비가역성은 양자로 구성된 정보를 관측하는 순간 붕괴되어 버린다는 이론이다. (도청 불가능한 성질)

양자얽힘은 한 쌍의 양자는 서로 우주 끝에 떨어뜨려 놓더라도 동시에 상호 통신할 수 있다는 이론이다.

 

암호화를 전혀 하지 않아도 송신자와 수신자 사이에 안전하게 키를 분배할 수 있다. -> 양자 키 분배

(SK텔레콤이 양자암호통신을 선도하고 있지만, 이번에 유심 해킹 사건으로 어떻게 되었는지는 모른다...)

 

 

해시 알고리즘이란 어떠한 입력값이 들어오더라도 일정한 길이의 출력값으로 축약해서 값을 만들어 내는 알고리즘

입력값이 조금만 다르면 출력값은 항상 다르게 출력된다. 하지만 출력의 범위는 한정되어 있다.

-> 근본적으로 충돌의 위험성을 항상 내포하고 있다.

 

서버에 비밀번호가 평문 그대로 저장되는 건 말이 안 된다. 그렇다고 대칭키로 암호화해서 저장하자니 이것도 관리자가 마음만 먹으면 풀 수 있으므로 영 꺼림칙하다. 그래서 SHA-2 등과 같은 아직까지 충돌 없는 해시 알고리즘으로 저장한다.

 

 

 

책임추적성

정보 흐름 통제 : 사용자가 특정 자원에 접근하려고 할 때 과연 이 사용자가 합당한 권한이 있는 사용자인지 체크하는 일련의 과정이라고 할 수 있다.

 

식별, 인증, 인가라는 복잡한 과정을 통해 주체는 비로소 객체에 접근할 수 있다. 그리고 이러한 중요한 과정을 대충 주먹구구식으로 진행할 수는 없으므로 명확한 로그 등의 흔적 등을 남겨서 책임추적성을 확보해야만 한다.

MAC : 중앙 집중적 정책 관리 -> 서로 간에 공유된 비밀키

DAC : 사용자 스스로 정책 관리

RBAC : 역할 기반 정책 관리

 

사회공학

피싱 : 사용자가 악성 사이트로 접속하도록 유도하는 공격

파밍 : 사용자가 정상적인 사이트에 접근하더라도 악성 사이트로 접속이 돼 버리는 공격 기법

스미싱 : SMS를 통해 수행된다.

 

시큐어 코딩

1. SQL 인젝션 : 외부 데이터 입력으로 SQL 입력이 되어 있으면 치환하거나 차단하는 방식

2. 보안 기능 : 비밀번호 하드코딩 XX

3. 에러 처리

4. API 오용 : 개발자가 사용할 수 있도록 구성된 인터페이스 오용하지 않도록 조심

5. 캡슐화 : 객체지향 개발 방법론 중 정보 은닉

6. 시간 및 상태 제어

7. 코드 오류 방지

 

OTP != 휴대폰 문자 인증

OTP 토큰은 자체적으로 숫자를 만들어 내는 것이지 외부의 어떤 주체와도 절대 통신을 하지 않는다.

-> 서버랑 특정한 키를 사전에 공유하고 있어서 가능

-> 키값을 기반으로 동일한 알고리즘을 통해 숫자를 만들어 낸 뒤 서로 결과값을 비교하기만 하면 됌.

 

 

보안은 결국 기본에 충실하는 것이 가장 중요하다.

 

SIEM 은 여러 보안 장비의 로그들을 한 군데로 수집하여 통합 관리하는 솔루션을 의미한다.

APT 공격에 대응하기 위해.

 

 SOAR : SIEM에서 발전하여 보안사고 발생 시 자동 대응까지 지원

 

 

 

 

 

로그들을 한 군데로 수집하여 통합 관리하는 것이 신기한 것 같다.

양자의 특징도 신기한 것 같다.