the World of TheNine

주위에 보면 무선랜을 많이 사용하는것을 알수 있다.
특히, 아파트 단지나 사무실들이 많이 몰려 있는 곳을 가보면,
검색되는 무선랜이 꽤 많다.
문제는 검색되는 많은 무선랜에 보안이 적용되어 있지 않다는 점이다.
디폴트 SSID, WEP 미적용...

이런 보안이 적용되지 않은 AP(Access Point)를 검색하여,
연결해서 무단으로 인터넷을 사용하는 것이 War-driving이라고 한다.
약한 무선랜 신호를 증폭하기 위해서 먹고 남은 프링글스 포장을 사용한다고 한다.
http://www.pctoptips.co.uk/toptips/cantenna.jpg

집에 있는 AP에 보안을 적용하는 방법
(세부 절차는 제조사 메뉴얼을 참조)

1. 디폴트 SSID를 변경
  - 제조사의 디폴트 SSID와 비밀번호를 사용하는 것은 집 문을 열어두고 다니는것과 같다.
2. MAC filtering 기능을 활성화
  - 사용하고자 하는 단말의 MAC 주소를 AP에 기록(White list)
  *. MAC 주소도 위조(위장)이 가능함으로 완벽한 방법은 아니다.
4. WEP 기능, 인증 기능 사용
  - 64bits, 128bits 사용
  - 주기적 변경하는 것이 권장 
  *. 보안 취약점이 있으므로 완벽한 방법은 아니다.
5. 사용하지 않을때는 AP의 전원을 OFF
6. AP의 출력을 작게 설정
  - Traffic에 영향을 미치지 않을 정도의 레벨로 작게 설정
7. 댁내의 중앙에 설정
  - AP의 출력과도 연관있는 부분으로 불필요한 무선랜 신호가 댁외로 나가지 않게 함.
8. SSID 숨김 기능
  - SSID 브로드캐스팅 방지Suppress SSID, SSID 숨김 기능)

이 정도만 하더라도,
다른 사람(공격자)이 쉽게 무선랜 사용하는 것을 막을 수 있다.

보안이 과연 뭘까요?

네이트 사전을 보면, 아래와 같이 나와있습니다.
'안전을 유지함'
보안1(保安) [명사]  발음 〔보ː-〕 
[명사]
1. 안전을 유지함.
비밀 정보의 보안
보안을 유지하다
이것은 우리 회사의 극비 서류이니, 특히 보안에 철저하기를 바랍니다.
수사상 보안이 필요하여 비공개로 진행했다.
2. 사회의 안녕과 질서를 유지함.
보안 사범.

보안하면 자주 떠오르는 단어를 나열하면, confidential&integrity&authentication, password, hacking, virus 등을 볼수 있습니다.
그리고, 간혹 trade off 라는 단어도 사용되곤 합니다.
보안을 하게되면, 느려지고, 불편하다 등으로 회자되곤 합니다.
최근의 여러가지 웜 피해, 개인정보 침해사고 등으로 인해,
보안의 중요성이 많이 강조되고 있지만,
우리나라 국민 특유의 냄비 근성으로 쉽게 잊혀져 가는거 같습니다.
계속적인 빈곤의 악순환을 계속하고 있는건 아닌지 싶습니다.

자료를 찾다가 발견한 문구입니다.
Nothing’s possible without Security.

□ DES에서 취약키(4+6+48) 선택 확률

  2^-50 = 8.88 * 10^-16

□ 4개의 취약키(Weak keys) : 생성된 라운드 키들은 모두 암호 키와 동일한 패턴을 가짐

00000000 00000000
00000000 FFFFFFFF
E0E0E0E0 F1F1F1F1
1F1F1F1F 0E0E0E0E

□ 6개의 준 취약키(Semi-weak Keys) : 오직 두 가지 다른 형태의 라운드 키만을 생성

011F011F010E010E and 1F011F010E010E01
01E001E001F101F1 and E001E001F101F101
01FE01FE01FE01FE and FE01FE01FE01FE01
1FE01FE00EF10EF1 and E01FE01FF10EF10E
1FFE1FFE0EFE0EFE and FE1FFE1FFE0EFE0E
E0FEE0FEF1FEF1FE and FEE0FEE0FEF1FEF1

□ 48개의 가능한 취약키(Possible Weak Keys) : 4개의 다른 라운드 키만을 생성

01011F1F01010E0E 1F1F01010E0E0101 E0E01F1FF1F10E0E
0101E0E00101F1F1 1F1FE0E00E0EF1F1 E0E0FEFEF1F1FEFE
0101FEFE0101FEFE 1F1FFEFE0E0EFEFE E0FE011FF1FE010E
011F1F01010E0E01 1FE001FE0EF101FE E0FE1F01F1FE0E01
011FE0FE010EF1FE 1FE0E01F0EF1F10E E0FEFEE0F1FEFEF1
011FFEE0010EFEF1 1FE0FE010EF1FE01 FE0101FEFE0101FE
01E01FFE01F10EFE 1FFE01E00EFE01F1 FE011FE0FE010EF1
01E01FFE01F1F10E 1FFEE0010EFEF001 FE1F01E0FE0E01F1
01E0E00101F1F101 1FFEFE1F0EFEFE0E FE1FE001FE0EF101
01E0FE1F01F1FE0E E00101E0F10101F1 FE1F1FFEFE0E0EFE
01FE1FE001FE0EF1 E0011FFEF1010EFE FEE0011FFEF1010E
01FEE01F01FEF10E E001FE1FF101FE0E FEE01F01FEF10E01
01FEFE0101FEFE01 E01F01FEF10E01FE FEE0E0FEFEF1F1FE
1F01011F0E01010E E01F1FE0F10E0EF1 FEFE0101FEFE0101
1F01E0FE0E01F1FE E01FFE01F10EFE01 FEFE1F1FFEFE0E0E
1F01FEE00E01FEF1 E0E00101F1F10101 FEFEE0E0FEFEF1F1

출처 : NIST Special Publication 800-67, McGrawHill Cryptography and Network Security

정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행령[시행 2009.1.28] [대통령령 제21278호, 2009.1.28, 일부개정]

제44조 (정보보호 기술인력의 자격기준) 법 제46조의3제1항 및 제7항에 따른 정보보호 기술인력의 자격기준은 별표 2와 같다.

[별표 2] 정보보호 기술인력의 자격 기준(제44조 관련)
1. 유관자격이나 유관학력을 보유한 자로서 다음 각 목의 어느 하나에 해당하는 자
  가. 학사 이상의 학위를 취득한 후 2년 이상의 정보보호 유관경력이 있거나 3년 이상의 정보통신 유관경력이 있는 자
  나. 기사 또는 기술사 자격을 취득한 후 2년 이상의 정보보호 유관경력이 있거나 3년 이상의 정보통신 유관경력이 있는 자
  다. 전문학사 학위를 취득한 후 4년 이상의 정보보호 유관경력이 있거나 5년 이상의 정보통신 유관경력이 있는 자
  라. 산업기사의 자격을 취득한 후 4년 이상의 정보보호 유관경력이 있거나 5년 이상의 정보통신 유관경력이 있는 자
2. 다음 각 목의 어느 하나에 해당하는 자
  가. 학사 이상의 학위를 취득한 후 4년 이상의 정보보호 유관경력이 있거나 5년 이상의 정보통신 유관경력이 있는 자
  나. 전문학사 학위를 취득한 후 6년 이상의 정보보호 유관경력이 있거나 7년 이상의 정보통신 유관경력이 있는 자
  다. 한국정보보호진흥원의 정보보호관리체계 인증 심사원 또는 정보보호전문가(SIS), 한국정보사회진흥원의 정보시스템감리사, 국제정보시스템감사통제협회(Information Systems Audit and Control Association)의 공인정보시스템감사사(CISA) 또는 국제정보시스템보안자격협회(International Information System Security Certification Consortium)의 공인정보시스템보호전문가(CISSP)의 자격을 취득한 자
  라. 변호사나 공인회계사로서 1년 이상의 정보보호 유관경력이나 2년 이상의 정보통신 유관경력이 있는 자

<비고>
  1. “유관자격”이란 「국가기술자격법 시행규칙」 별표 7에 따라 지식경제부장관 또는 방송통신위원회 검정의 소관으로 하는 전자계산기, 정보통신, 통신설비, 통신기기, 통신선로, 정보기기운용, 전파통신, 전파전자, 무선설비, 방송통신, 정보관리, 정보처리, 사무자동화 및 전자계산조직응용 종목의 기술자격을 말한다.
  2. “유관학력”이란 「고등교육법」에 따른 해당 학교에서 다음 각 목에 해당하는 학과에서 소정의 과정을 이수하고 졸업하거나 그 밖의 관계법령에 따라 국내 또는 외국에서 이와 같은 수준 이상으로 인정되는 학력을 말한다.
    가. 전자 관련 학과: 정보전자, 전자, 전자계산, 전기전자제어, 전자정보, 전자제어, 전기전자, 전자전기정보, 전자컴퓨터전기제어, 컴퓨터과학, 전기전자정보, 전자컴퓨터, 메카트로닉스, 전자재료, 제어계측, 반도체
    나. 정보통신 관련 학과: 전기통신설비, 국제정보통신, 방송설비, 방송통신, 이동통신, 전자통신, 컴퓨터네트워크, 통신, 컴퓨터정보기술, 전파통신, 전기전자통신, 전기전자정보통신, 전자정보통신, 전자제어통신, 전자통신, 전파, 전파통신, 정보통신, 컴퓨터통신, 항공통신정보, 전자정보통신반도체, 전기전자전파, 통신컴퓨터, 무선통신
    다. 정보처리기술 관련 학과: 시스템, 전산, 정보전산, 컴퓨터제어, 컴퓨터응용제어, 컴퓨터응용, 컴퓨터응용설계, 구조시스템, 컴퓨터정보, 멀티미디어, 정보시스템, 전산통계, 정보처리
    라. 그 밖에 교육과학기술부장관이나 해당 교육기관의 장으로부터 전자․통신 및 정보처리기술․정보보호 관련 학과로 인정받은 학과
  3. “정보통신 유관경력”이란 공공기관, 민간기업, 교육기관 등에서 정보통신서비스(기간통신, 별정통신, 부가통신, 방송서비스 등을 말한다), 정보통신기기(정보기기, 방송기기, 부품 등을 말한다) 또는 소프트웨어 및 컴퓨터 관련 서비스(패키지 소프트웨어, 컴퓨터 관련 서비스, 디지털콘텐츠, 데이터베이스 제작 및 검색 등을 말한다)에 해당되는 분야에서 계획․분석․설계․개발․운영․유지보수․컨설팅․감리 또는 연구개발 업무 등을 수행한 기간을 말한다.
  4. “정보보호 유관경력”이란 공공기관, 민간기업, 교육기관 등에서 정보보호를 위한 공통기반기술(암호 기술, 인증 기술 등을 말한다), 시스템․네트워크 보호(시스템 보호, 해킹․바이러스 대응, 네트워크 보호 등을 말한다) 또는 응용서비스 보호(전자거래 보호, 응용서비스 보호, 정보보호 표준화 등을 말한다)에 해당되는 분야에서 계획․분석․설계․개발․운영․유지보수․컨설팅 또는 연구개발 업무 등을 수행한 기간을 말한다.

 

http://www.imaso.co.kr/?doc=bbs/gnuboard_pdf.php&bo_table=article&page=3&wr_id=970&publishdate=20030301