[정보보안기사] SECTION 14 보안 운영체제

SECTION 14 보안 운영체제

1. 보안 운영체제 개요

■기본개념

○운영체제에서의 보안 : 시스템의 자원을 외부 침입으로부터 보호하는 것

○보안 운영체제 : 기존의 운영체재 내에 보안 기능을 통합시킨 보안커널을 추가로 이식한 운영체제

2. 보안 운영체제의 주요 제공 기능

■보호대상

○메모리와 메모리상에 실행 중인 프로그램,

○보조기억장치 상의 파일 또는 데이터의 집합, 파일들의 디렉터리

○하드웨어 장치

○스택과 같은 자료구조

○명령어, 특히 특권 명령어

○패스워드와 사용자 인증 메커니즘

○보호 메커니즘 자체

■보호방법

○물리적 분리 : 사용자 별로 별도의 장비만 사용하도록 제한 하는 방법

○시간적 분리 : 프로세스가 동일 시간에 하나씩만 실행되도록 하는 방법

○논리적 분리 : 각 프로세스에 논리적인 구역을 지정하는 방법. 각 프로세스는 자신의 구역 안에서는 어떤 일을 하든지 자유지만 할당된 구역 밖에서는 제한됨

○암호적 분리 : 내부에서 사용되는 정보를 외부에서 알지 못하도록 암호화

3. 보안 운영체제에서 제공하는 보안 기능

■파일 시스템 보호

○개요

-파일에 무자격 사용자나 프로그램의 무단 접근을 막기 위해 파일 소유자가 보호 장치를 만들어 놓는 것

-파일의 공용문제와 병행해서 고려되야함

○파일을 보호하는 방법

-파일의 이름 명명(namig) : 다른 사용자가 파일의 이름을 알 수 있는 방법이 없고, 이름도 추측하기 힘들다는 가정에 근거

-패스워드 : 각 사용자마다 서로 다른 패스워드를 제공하고 그 패스워드를 알아야만 이용할 수 있는 방법

-암호화 : 파일 내용 자체를 암호화 하여 누구나 공유할 수 있지만, 인가된 사용자만 그 내용을 파악할 수 있도록 하는 방법

ㆍ장점 : 파일시스템 자체 내에 기록하여 관리할 필요가 없다????

ㆍ단점 : 암복호화 시간 문제

■사용자 식별 및 인증

○정확한 신분 증명을 위해 사용자의 안전한 식별을 요구하며, 각각의 사용자는 고유하게 식별되야함

■임의적/강제적 접근통제

○임의적 접근통제(DAC, Discretionary) : 신분기반 정책, 주체나 소속 그룹의 신분에 근거하여 객체에 대한 접근을 제한

-Ex) 인사팀의 A는 인사팀 소속의 문서를 모두 볼 수 있다.

○강제적 접근통제(MAC, Mandatory) : 규칙기반정책, 객체의 비밀등급과 주체가 갖는 권한에 근거하여 접근을 제한하는 방법

-Ex) 보안등급 3등급인 일반 사원은 보안등급 1등급 문서에 접근할 수 없음.

■객체 재사용(Object Reuse) 보호

○객체 재사용 : 사용자가 새로운 파일을 작성할 때 기억장치 공간이 할당되며, 이 공간에는 이전의 데이터가 삭제되지 않고 존재하는 경우

○재할당 되는 모든 기억장치 공간을 깨끗하게 지움

■완전한 조정

○임의적/강제적 접근 통제를 효과적이게 하기 위해 모든 접근을 통제해야함

■신뢰 경로

○패스워드 설정 및 접근 허용의 변경 등 보안관련 작업을 수행할 때 안전한 경로를 제공해야함

■감사 및 감사 기록 축소

○모든 보안관련 사건은 감사기록 부에 기록되야 하고, 감사기록부는 명백하게 보호되야함

4. 보안커널

■기본개념

○참조모니터 개념을 실제로 하드웨어, 소프트웨어, 펌웨어로 구성하여 구현한 것

-참조 모니터 개념 : 승인되지 않은 주체로부터 객체를 보호하기 위해 모든 주체의 접근을 통제하는 추상적인 개념

■주요 요구사항

○참조 모니터 개념을 수행하는 프로세스를 위해 분리가 제공되고, 프로세서는 변조를 방지할 수 있어야함

○모든 접근 시도에 대해서 실행되야 하고, 우회하는 것이 불가능 해야 함

○완전하고 포괄적이며, 충분히 시험되고 확인되어 오류가 발생하지 않는 방식으로 구현되야 함.

■신뢰 컴퓨팅 기반(TCB, Trusted Computing Base)

○운영체제(OS)와 하드웨어, 펌웨어, 소프트웨어 등이 포함된 컴퓨터 시스템 내의 총체적 보호 메커니즘

○시스템과의 조화를 통해 보안 정책을 적용할 책임을 갖음???

○신뢰된 경로(Trusted path)

-사용자, 프로그램, 커널과의 통신채널

-어떠한 경우에도 손상되지 않도록 보호해야함

○보안 경계(Security Perimeter)

-물리적 실재가 아닌 가상의 경계선

-시스템 개발자들이 신뢰할 수 있는 구성요소와 비신뢰할 수 있는 구성요소를 설명하기 위해 사용되는 개념

○TCB의 4가지 모니터 기능

-프로세스 활성화

-실행 도메인 변경

-메모리 보호

-입출력 연산

■보안커널 설계시 고려사항 – 참조모니터링

○참조 모니터링 개념

-승인되지 않은 주체로부터 객체를 보호하기 위해 모든 주체의 접근을 통제하는 추상적인 개념

○참조 모니터링의 3가지 규칙

-반드시 부정조작이 없어야 함

-항상 무시되지 않고 호출되야 함

-모든 동작을 항상 분석과 테스트를 통해 확인 할 수 있어야함

○참조 모니터링의 개념을 위반하는 경우 : 주체가 참조 모니터를 거치지 않고 객체에 직접 접근하는 경우

○참조모니터는 보안 커널 데이터 베이스를 참조하여 객체에 대한 접근 허가 여부를 결정함

■참조모니터링과 보안 커널의 공통된 3가지 특징

○격리성 : 분리되고 부정조작이 방지해야함

○검증 가능성 : 크기가 작아야 함

○완전성 : 우회 불가능 해야 함

5. 신뢰 플랫폼 모듈(TPM)

■ 기본 개념

○신뢰 컴퓨팅을 위한 하드웨어/소프트웨어 방법에서 핵심이 되는 하드웨어 모듈

■특징

○신뢰 컴퓨팅의 가장 하위에 위치

○훼손 방지가 필수 -> 일반적으로 하드웨어 칩으로 구현하지만, 소프트웨어로 구현하기도 함

○장점 : 소프트웨어 방식의 공격과 물리적인 도난의 경우에도 정보의 노출이 용이하지 않음

○관련 연산

-암호화키 생성과 저장

-패스워드 저장

-무결성 검증을 위한 측정값 저장

-디지털 인증서 관련 신뢰 연산 등을 포함

■기본 서비스

○인증된 부트 서비스

-전체 운영체제를 단계적으로 부팅하고, 운영체제가 적재될 때 운영체제의 각 부분이 사용을 위해 승인된 버전임을 보장함

○인증 서비스

-TPM이 완성되고 나면, TPM은 다른 부분의 설정을 인증 함

-TPM의 사설키(Private Key)를 사용하여 설정 정보에 서명함으로써 디지털 인증을 만듬

○암호화 서비스

-특정 기계가 특정 설정으로 되어 있을 때 그 기계에서 복호화를 수행하는 방식으로 데이터의 암호화 지원

■TPM 구성요소(함수)

○I/O : 모든 입출력을 제어, 구성요소와의 통신을 제공

○암호화 보조 프로세서 : 암호화 및 관련 처리

○키 생성 : RSA 공개/개인 키 쌍을 생성

○HMAC 엔진 : 다양한 디지털 인증 프로토콜에 사용

○난수 발생기 : 키 생성, 전자서명 값, 임시수(비표, nones)를 생성

○SHA-1 엔진 : 전자서명과 HMAC 알고리즘에 사용되는 SHA 알고리즘 구현

○전원탐지 : TPM 전원 상태와 플랫폼 전원 상태를 관리

○Opt-in : TPM을 활성화/비활성화 할 수 있는 매커니즘

○실행엔진 : I/O 포트로부터 받은 TPM 명령어를 수행할 프로그램 코드를 실행

○비휘발성 메모리 : TPM을 위한 신원과 상태 인자를 저장

○휘발성 메모리 : 임시저장 장치. 현재 TPM상태, 암호하 키, 세션 정보와 같은 임시 인자를 저장