보안 서비스

보안 서비스 또는 시큐리티 서비스(security service)는 ITU-T X.800 권고에 정의된 대로 통신 개방형 시스템 계층에서 제공하는 서비스로, 시스템 또는 데이터 전송의 적절한 보안을 보장한다.^[1]
X.800과 ISO 7498-2(정보 처리 시스템 – 개방형 시스템 상호 연결 – 기본 참조 모델 – 2부: 보안 아키텍처)^[2]는 기술적으로 일치한다. 이 모델은 널리 인정받고 있다.^[3] ^[4]

2010년 4월 26일 미국 국가보안 시스템 위원회의 CNSS 지시 4009호에는 더 일반적인 정의가 있다.^[5]

보안 요구 사항(기밀성, 무결성, 가용성) 중 하나 이상을 지원하는 기능. 보안 서비스의 예로는 키 관리, 접근 제어, 인증이 있다.

다른 권위 있는 정의는 NIST SP 800-95에서 채택한 W3C 웹 서비스 용어집에 있다.^[6]^[7]

시스템이 리소스에 특정 종류의 보호를 제공하기 위해 제공하는 처리 또는 통신 서비스이며, 해당 리소스는 해당 시스템에 있거나 다른 시스템에 있을 수 있다. 예를 들어, 인증 서비스 또는 PKI 기반 문서 속성 및 인증 서비스가 있다. 보안 서비스는 AAA 서비스의 상위 집합이다. 보안 서비스는 일반적으로 보안 정책의 일부를 구현하며 보안 메커니즘을 통해 구현된다.

기본 보안 용어

정보 보안과 컴퓨터 보안은 각각 조직(회사 또는 기관)의 정보 자산 또는 컴퓨터로 관리되는 정보의 기밀성, 무결성, 가용성, 즉 CIA 트라이어드의 요구 사항을 다루는 분야이다.

하나 이상의 취약점을 (악용하여) 리소스(정보 또는 이를 관리하는 장치)를 공격할 수 있는 위협이 존재한다. 리소스는 하나 이상의 보안 대책 또는 보안 제어로 보호될 수 있다.^[8]

따라서 보안 서비스는 조직의 보안 요구 사항을 달성하기 위해 보안 대책의 일부를 구현한다.^[3]^[9]

기본 OSI 용어

다른 장치(컴퓨터, 라우터, 휴대전화)가 표준화된 방식으로 데이터를 통신할 수 있도록 통신 프로토콜이 정의되었다.

ITU-T 조직은 많은 수의 프로토콜을 발행했다. 이 프로토콜의 일반적인 아키텍처는 권고 X.200에 정의되어 있다.^[10]

데이터를 통신하는 다양한 수단(공기, 케이블)과 방법(프로토콜 및 프로토콜 스택)을 통신망이라고 부른다.

보안 요구 사항은 네트워크를 통해 전송되는 정보에 적용될 수 있다. 네트워크를 통한 보안을 다루는 분야를 네트워크 보안이라고 부른다.^[11]

X.800 권고는^[1]

참조 모델이 제공할 수 있는 보안 서비스 및 관련 메커니즘에 대한 일반적인 설명을 제공하고
참조 모델 내에서 서비스와 메커니즘이 제공될 수 있는 위치를 정의한다.

이 권고는 개방형 시스템 간의 보안 통신을 다루기 위해 권고 X.200의 적용 분야를 확장한다.

X.200 권고에 따르면, 소위 OSI 참조 모델에는 7개의 계층이 있으며, 각 계층은 일반적으로 N 계층이라고 불린다. N+1 엔티티는 N 엔티티에 전송 서비스를 요청한다.^[10]

각 계층에서 두 엔티티(N-엔티티)는 프로토콜 데이터 단위(PDU)를 전송하여 (N) 프로토콜을 통해 상호 작용한다. 서비스 데이터 단위(SDU)는 OSI 계층에서 하위 계층으로 전달되었지만, 하위 계층에 의해 아직 PDU로 캡슐화되지 않은 특정 데이터 단위이다. 특정 계층 서비스 사용자가 보내는 데이터 집합이며, 피어 서비스 사용자에게 의미론적으로 변경되지 않고 전송된다. 어떤 주어진 계층, 즉 'n' 계층의 PDU는 그 아래 계층, 즉 'n-1' 계층의 SDU이다. 실제로 SDU는 주어진 PDU의 '페이로드'이다. 즉, SDU를 PDU로 변경하는 과정은 하위 계층이 수행하는 캡슐화 과정으로 구성된다. SDU에 포함된 모든 데이터는 PDU 내에 캡슐화된다. 계층 n-1은 SDU에 헤더 또는 푸터 또는 둘 다를 추가하여 이를 계층 n-1의 PDU로 변환한다. 추가된 헤더 또는 푸터는 소스에서 대상으로 데이터를 가져올 수 있도록 하는 데 사용되는 프로세스의 일부이다.^[10]

OSI 보안 서비스 설명

다음은 OSI 참조 모델의 틀 내에서 선택적으로 제공될 수 있는 보안 서비스이다. 인증 서비스는 로컬에 저장된 정보와 인증을 용이하게 하기 위해 전송되는 데이터(자격 증명)를 포함하는 인증 정보를 필요로 한다.^[1]^[4]

인증

이 서비스는 아래에 설명된 대로 통신하는 피어 엔티티 및 데이터 출처의 인증을 제공한다.

피어 엔티티 인증: 이 서비스는 (N)-계층에 의해 제공될 때, 피어 엔티티가 주장하는 (N + 1)-엔티티임을 (N + 1)-엔티티에게 입증한다.
데이터 출처 인증: 이 서비스는 (N)-계층에 의해 제공될 때, 데이터의 출처가 주장하는 피어 (N + 1)-엔티티임을 (N + 1)-엔티티에게 입증한다.

접근 제어

이 서비스는 OSI를 통해 접근 가능한 리소스의 무단 사용으로부터 보호를 제공한다. 이는 OSI 프로토콜을 통해 접근하는 OSI 또는 비 OSI 리소스일 수 있다. 이 보호 서비스는 리소스에 대한 다양한 유형의 접근(예: 통신 리소스 사용; 정보 리소스 읽기, 쓰기 또는 삭제; 처리 리소스 실행) 또는 리소스에 대한 모든 접근에 적용될 수 있다.

데이터 기밀성

이 서비스는 아래에 설명된 대로 데이터의 무단 공개로부터 보호를 제공한다.

연결 기밀성: 이 서비스는 (N)-연결상의 모든 (N)-사용자 데이터의 기밀성을 제공한다.

연결 없는 기밀성

이 서비스는 단일 연결 없는 (N)-SDU의 모든 (N)-사용자 데이터의 기밀성을 제공한다.
선택 필드 기밀성: 이 서비스는 (N)-연결상의 (N)-사용자 데이터 또는 단일 연결 없는 (N)-SDU 내에서 선택된 필드의 기밀성을 제공한다.
트래픽 흐름 기밀성: 이 서비스는 트래픽 흐름 관찰에서 파생될 수 있는 정보의 보호를 제공한다.

데이터 무결성

이 서비스는 능동적인 위협에 대응하며, 아래에 설명된 형태 중 하나를 취할 수 있다.

복구 기능이 있는 연결 무결성: 이 서비스는 (N)-연결상의 모든 (N)-사용자 데이터의 무결성을 제공하고 전체 SDU 시퀀스 내의 모든 데이터의 수정, 삽입, 삭제 또는 재전송을 감지한다(복구 시도 포함).
복구 기능이 없는 연결 무결성: 이전과 동일하지만 복구 시도는 없다.
선택 필드 연결 무결성: 이 서비스는 연결을 통해 전송되는 (N)-SDU의 (N)-사용자 데이터 내에서 선택된 필드의 무결성을 제공하며, 선택된 필드가 수정, 삽입, 삭제 또는 재전송되었는지 여부를 판단하는 형태로 제공된다.
연결 없는 무결성: 이 서비스는 (N)-계층에 의해 제공될 때, 요청하는 (N + 1)-엔티티에게 무결성 보장을 제공한다. 이 서비스는 단일 연결 없는 SDU의 무결성을 제공하며, 수신된 SDU가 수정되었는지 여부를 판단하는 형태로 제공될 수 있다. 또한, 제한된 형태의 재전송 감지가 제공될 수 있다.
선택 필드 연결 없는 무결성: 이 서비스는 단일 연결 없는 SDU 내에서 선택된 필드의 무결성을 제공하며, 선택된 필드가 수정되었는지 여부를 판단하는 형태로 제공된다.

부인 방지

이 서비스는 두 가지 형태 중 하나 또는 둘 다를 취할 수 있다.

출처 증명 부인 방지: 데이터 수신자는 데이터 출처에 대한 증명을 제공받는다. 이는 발신자가 데이터를 보내거나 내용에 대해 거짓으로 부인하려는 모든 시도로부터 보호한다.
전달 증명 부인 방지: 데이터 발신자는 데이터 전달에 대한 증명을 제공받는다. 이는 수신자가 데이터를 받거나 내용에 대해 거짓으로 부인하려는 후속 시도로부터 보호한다.

특정 보안 메커니즘

보안 서비스는 보안 메커니즘을 통해 제공될 수 있다.^[1]^[3]^[4]

표 1/X.800은 서비스와 메커니즘 간의 관계를 보여준다.

**보안 서비스와 메커니즘의 관계도**
서비스	메커니즘
	암호화	디지털 서명	접근 제어	데이터 무결성	인증 교환	트래픽 패딩	라우팅 제어	공증
피어 엔티티 인증	Y	Y	·	·	Y	·	·	·
데이터 출처 인증	Y	Y	·	·	·	·	·	·
접근 제어 서비스	·	·	Y	·	·	·	·	·
연결 기밀성	Y	.	·	·	·	·	Y	·
연결 없는 기밀성	Y	·	·	·	·	·	Y	·
선택 필드 기밀성	Y	·	·	·	·	·	·	·
트래픽 흐름 기밀성	Y	·	·	·	·	Y	Y	·
복구 기능이 있는 연결 무결성	Y	·	·	Y	·	·	·	·
복구 기능이 없는 연결 무결성	Y	·	·	Y	·	·	·	·
선택 필드 연결 무결성	Y	·	·	Y	·	·	·	·
연결 없는 무결성	Y	Y	·	Y	·	·	·	·
선택 필드 연결 없는 무결성	Y	Y	·	Y	·	·	·	·
부인 방지. 출처	·	Y	·	Y	·	·	·	Y
부인 방지. 전달		Y	·	Y	·	·	·	Y

그중 일부는 연결 지향 프로토콜에 적용될 수 있고, 다른 일부는 연결 없는 프로토콜 또는 둘 다에 적용될 수 있다.

표 2/X.800은 보안 서비스와 계층의 관계를 보여준다.^[4]

**보안 서비스와 계층의 관계도**
서비스	계층
	1	2	3	4	5	6	7*
피어 엔티티 인증	·	·	Y	Y	·	·	Y
데이터 출처 인증	·	·	Y	Y	·	·	Y
접근 제어 서비스	·	·	Y	Y	·	·	Y
연결 기밀성	Y	Y	Y	Y	·	Y	Y
연결 없는 기밀성	·	Y	Y	Y	·	Y	Y
선택 필드 기밀성	·	·	·	·	·	Y	Y
트래픽 흐름 기밀성	Y	·	Y	·	·	·	Y
복구 기능이 있는 연결 무결성	·	·	·	Y	·	·	Y
복구 기능이 없는 연결 무결성	·	·	Y	Y	·	·	Y
선택 필드 연결 무결성	·	·	·	·	·	·	Y
연결 없는 무결성	·	·	Y	Y	·	·	Y
선택 필드 연결 없는 무결성	·	·	·	·	·	·	Y
부인 방지 출처	·	·	·	·	·	·	Y
부인 방지. 전달	·	·	·	·	·	·	Y

기타 관련 의미

보안 관리 서비스

보안 관리 서비스 (MSS)는 서비스 제공업체에 아웃소싱된 네트워크 보안 서비스이다.

각주

1 2 3 4 X.800 : Security architecture for Open Systems Interconnection for CCITT applications
↑ ISO 7498-2 (Information processing systems – Open systems interconnection – Basic Reference Model – Part 2: Security architecture)
1 2 3 William Stallings Crittografia e sicurezza delle reti Seconda edizione ISBN 88-386-6377-7 Traduzione Italiana a cura di Luca Salgarelli di Cryptography and Network security 4 edition Pearson 2006
1 2 3 4 Securing information and communications systems: principles, technologies, and applications Steven Furnell, Sokratis Katsikas, Javier Lopez, Artech House, 2008 - 362 pages
↑ CNSS Instruction No. 4009 보관됨 2013-06-28 - 웨이백 머신 dated 26 April 2010
↑ W3C Web Services Glossary
↑ NIST Special Publication 800-95 Guide to Secure Web Services
↑ Internet Engineering Task Force RFC 2828 Internet Security Glossary
↑ Network security essentials: applications and standards, William Stallings, Prentice Hall, 2007 - 413 pages
1 2 3 X.200 : Information technology - Open Systems Interconnection - Basic Reference Model: The basic model
↑ Simmonds, A; Sandilands, P; van Ekert, L (2004). "An Ontology for Network Security Attacks". Lecture Notes in Computer Science 3285: 317–323

외부 링크

[x800-1] 1 2 3 4 X.800 : Security architecture for Open Systems Interconnection for CCITT applications

[2] ISO 7498-2 (Information processing systems – Open systems interconnection – Basic Reference Model – Part 2: Security architecture)

[Stal-3] 1 2 3 William Stallings Crittografia e sicurezza delle reti Seconda edizione ISBN 88-386-6377-7 Traduzione Italiana a cura di Luca Salgarelli di Cryptography and Network security 4 edition Pearson 2006

[FURNELL-4] 1 2 3 4 Securing information and communications systems: principles, technologies, and applications Steven Furnell, Sokratis Katsikas, Javier Lopez, Artech House, 2008 - 362 pages

[CNSSI4009-5] CNSS Instruction No. 4009 보관됨 2013-06-28 - 웨이백 머신 dated 26 April 2010

[6] W3C Web Services Glossary

[7] NIST Special Publication 800-95 Guide to Secure Web Services

[8] Internet Engineering Task Force RFC 2828 Internet Security Glossary

[9] Network security essentials: applications and standards, William Stallings, Prentice Hall, 2007 - 413 pages

[x200-10] 1 2 3 X.200 : Information technology - Open Systems Interconnection - Basic Reference Model: The basic model

[11] Simmonds, A; Sandilands, P; van Ekert, L (2004). "An Ontology for Network Security Attacks". Lecture Notes in Computer Science 3285: 317–323

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]