보안과 암호학
개요
보안과 암호학(Security and Cryptography)은 정보의 기밀성(Confidentiality), 무결성(Integrity), 가용성(Availability)을 보장하기 위한 이론, 알고리즘, 프로토콜 및 시스템을 연구하는 분야이다.
이 분야는 컴퓨터 과학, 수학, 정보 이론, 네트워크를 기반으로 하며, 디지털 시대의 데이터 보호와 신뢰성 확보의 핵심 역할을 담당한다.
보안(Security)은 시스템, 네트워크, 데이터를 보호하는 개념적·기술적 체계이며, 암호학(Cryptography)은 보안 목표를 수학적으로 달성하기 위한 도구이다.
보안의 세 핵심 목표(CIA Triad)는 다음과 같다:
- 기밀성(Confidentiality) – 인가된 사용자만 정보에 접근 가능
- 무결성(Integrity) – 데이터가 위·변조되지 않음을 보장
- 가용성(Availability) – 필요 시 시스템이 정상 작동해야 함
역사
암호학의 분류
| 구분 | 설명 | 예시 |
|---|---|---|
| 대칭키 암호 | 하나의 키로 암·복호화 수행 | AES, DES, ChaCha20 |
| 공개키 암호 | 서로 다른 공개키·개인키 사용 | RSA, ECC, ElGamal |
| 해시 함수 | 데이터의 고유 지문 생성 | SHA-2, SHA-3, BLAKE3, MD5 |
| 키 교환 | 안전한 세션 키 공유 | Diffie–Hellman, ECDH |
| 전자서명 | 인증 및 위조 방지 | RSA-Signature, Ed25519, DSA |
| 난수 생성 | 암호화 강도 유지용 난수 | CTR_DRBG, ChaCha RNG, /dev/random |
보안의 주요 분야
| 분야 | 설명 | 관련 기술 |
|---|---|---|
| 네트워크 보안 | 데이터 전송 중 공격 방지 | TLS, VPN, IPsec, Firewall |
| 시스템 보안 | 운영체제·커널 보호 | SELinux, AppArmor, Sandboxing |
| 웹 보안 | 웹 서비스 취약점 방어 | HTTPS, CSP, XSS, CSRF 대응 |
| 응용 보안 | 소프트웨어·API 보안 | OAuth2, JWT, Input Validation |
| 인증 및 접근 제어 | 사용자 식별 및 권한 부여 | MFA, LDAP, Kerberos |
| 데이터 보안 | 저장 데이터 보호 | Disk Encryption, BitLocker, LUKS |
| 물리적 보안 | 하드웨어·시설 보호 | TPM, 보안 부팅, HSM |
| 클라우드 보안 | 가상화·멀티테넌트 환경 보호 | IAM, KMS, Zero Trust, CloudTrail |
| 모바일 보안 | 스마트폰 OS·앱 보호 | Android Keystore, iOS Secure Enclave |
암호 알고리즘
| 알고리즘 | 유형 | 특징 |
|---|---|---|
| AES | 대칭키 | 현대 표준, 128/192/256비트 키 |
| RSA | 공개키 | 큰 소수의 인수분해 어려움 기반 |
| ECC | 공개키 | 타원곡선 기반, 짧은 키로 높은 보안성 |
| ChaCha20-Poly1305 | 대칭키 + 인증 | 고속 스트림 암호, TLS 1.3 표준 |
| SHA-256 | 해시 | 블록체인 및 디지털 서명에 사용 |
| Argon2 | 키 유도 함수 | 암호 해시용 메모리 강화 알고리즘 |
| Blowfish, Twofish | 대칭키 | AES 이전 세대의 강력 암호 |
| Post-Quantum Cryptography | 차세대 | 양자 컴퓨팅 대응 알고리즘 |
공격 기법
보안은 “공격과 방어의 균형”이다. 일반적인 공격 유형은 다음과 같다:
| 공격 유형 | 설명 | 예시 |
|---|---|---|
| 피싱(Phishing) | 사용자 정보 탈취 | 가짜 로그인 페이지 |
| SQL 인젝션 | 데이터베이스 조작 | 인증 우회 |
| XSS | 스크립트 삽입 | 웹 세션 탈취 |
| DDoS | 서비스 마비 | 봇넷 트래픽 유발 |
| 버퍼 오버플로우 | 메모리 침범 | 악성 코드 실행 |
| 중간자 공격(MITM) | 통신 도청 및 변조 | HTTPS 미사용 통신 |
| 랜섬웨어 | 암호화 후 금전 요구 | 파일 접근 차단 |
| 제로데이 공격 | 미공개 취약점 이용 | 패치 이전 시스템 침입 |
| 사이드 채널 공격 | 하드웨어 전력·시간 분석 | Spectre, Meltdown |
보안 아키텍처
보안 시스템은 계층적으로 설계된다.
| 계층 | 구성 요소 | 예시 |
|---|---|---|
| 물리 계층 | 하드웨어 보안, 전원, 접근 통제 | TPM, HSM, 보안 칩 |
| 네트워크 계층 | 패킷 필터링, 라우터 보안 | VPN, IPsec, Firewall |
| 시스템 계층 | OS 커널, 권한 관리 | SELinux, Sudo, Sandbox |
| 응용 계층 | 프로세스, API, 인증 관리 | OAuth2, TLS, JWT |
| 사용자 계층 | 계정 보안, 교육, 정책 | MFA, 보안 인식 훈련 |
현대 보안 트렌드
- Zero Trust Architecture – 네트워크 내부도 신뢰하지 않는 구조
- Post-Quantum Cryptography – 양자 컴퓨팅에 대비한 암호 연구
- Homomorphic Encryption – 암호화된 데이터 상태로 연산
- Confidential Computing – CPU 내 데이터 보호 (Intel SGX 등)
- Blockchain Security – 스마트 컨트랙트 검증, 합의 알고리즘 보안
- AI 보안 – 적대적 학습(Adversarial ML) 방어
- 보안 자동화 – SIEM, SOAR 기반 탐지 및 대응 자동화
- Secure by Design – 설계 단계부터 보안 고려
관련 표준
| 표준 | 발행 기관 | 설명 |
|---|---|---|
| ISO/IEC 27001 | ISO | 정보보안 관리 시스템(ISMS) 표준 |
| NIST SP 800 시리즈 | NIST | 암호, 인증, 클라우드 보안 가이드 |
| FIPS 140-3 | NIST | 암호 모듈 보안 인증 |
| GDPR | EU | 개인정보 보호법 (2018) |
| CC (Common Criteria) | ISO/IEC 15408 | 보안 평가 공통 기준 |
| OWASP Top 10 | OWASP | 웹 취약점 분류 및 대응 가이드 |
실무 예시
같이 보기
참고 문헌
- Bruce Schneier, Applied Cryptography (1996)
- William Stallings, Cryptography and Network Security, 8th Ed.
- NIST FIPS 140-3, 2020
- ISO/IEC 27001:2022 – Information Security Management Systems
- OWASP Top 10 (2021)
- “The Code Book”, Simon Singh, 1999
- “Post-Quantum Cryptography: State of the Art”, IEEE Security, 2023