무명화를 통한 보안

Security through obscurity

무명을 통한 보안(또는 무명에 의한 보안)은 시스템 또는 컴포넌트에 보안을 제공하는 주요 방법으로서 설계 또는 구현 비밀에 대한 보안 엔지니어링에 의존합니다.

역사

무명을 통한 보안의 초기 반대자는 자물쇠 장인 알프레드 찰스 홉스였는데, 그는 1851년에 어떻게 최첨단 자물쇠를 열 수 있는지를 대중에게 시연했다.자물쇠 디자인의 보안 결함을 드러내는 것이 범죄자들에게 더 취약해질 수 있다는 우려에 대해, 그는 말했다: "악당들은 그들의 직업에 매우 민감하며,[1] 우리가 그들에게 가르칠 수 있는 것보다 더 많은 것을 이미 알고 있다."

무명을 통한 안보 문제에 관한 공식적인 문헌은 거의 없다.보안공학 관련 서적들케르크호프스의 1883년 독트린을 인용하고 있다.예를 들어, 핵지휘 및 제어의 비밀성과 개방성에 대한 논의에서:

우발적인 전쟁의 가능성을 줄임으로써 얻을 수 있는 이점은 비밀주의의 가능한 이점보다 더 크다고 여겨졌다.이것은 19세기에 처음 제시된 Kerckhoffs의 교의의 현대적인 환생으로, 시스템의 안전은 그 설계가 [2]모호하게 유지되는 것이 아니라 그 열쇠에 달려 있어야 한다는 것이다.

법률학계에서 피터 스와이어는 "무명을 통한 안전은 환상"이라는 개념과 "허술한 입술이 가라앉는 배"[3]라는 군사적 개념 사이의 균형과 경쟁이 [4]공개 동기에 어떻게 영향을 미치는지에 대해 썼다.

이 용어의 유래에 대해서는 상반된 이야기가 있다.MIT의 호환성이 없는 타임셰어링 시스템(ITS)의 팬들은 ITS보다 보안이 훨씬 더 큰 문제가 되고 있는 Multics 사용자들을 반대하기 위해 만들어진 것이라고 말한다.ITS 문화에서 이 용어는 자기 농담처럼 많은 명령의 문서와 불명확한 내용을 담고 있습니다.관광객들이 문제를 일으키는 방법을 알게 되었을 때쯤이면 그는 지역사회의 일부라고 느꼈기 때문에 일반적으로 문제를 일으키고 싶은 충동을 극복했습니다.ITS에서 무명화를 통한 의도적인 보안의 한 가지 사례가 있습니다.실행 중인 ITS 시스템(altmode altmode control-R)에 패치를 허용하는 명령어는 다음과 같이 반영됩니다.$^DAlt Alt Control-D를 입력하면 나중에 사용자가 올바르게 [5]인식하더라도 시스템에 패치를 적용하지 않도록 플래그가 설정됩니다.

2020년 1월, NPR은 아이오와주의 민주당 당직자들이 코커스 앱의 보안에 관한 정보 공유를 거부했다고 보도했다.사이버 보안 전문가들은 "앱의 기술적인 세부 사항을 보류하는 것은 시스템을 보호하는 데 큰 도움이 되지 않는다"고 답했다."[6]

비판

무명에 의한 보안은 권장되지 않으며 표준 기구에 의해 권장되지 않습니다.미국 국립표준기술연구소(NIST)는 때때로 이 관행에 반대하도록 권고한다. "시스템 보안은 구현 또는 구성 [7]요소의 비밀에 의존해서는 안 된다."

많은 실제 프로젝트에는 모든 전략의 요소가 포함되어 있지만, 이 기술은 설계 및 개방형 보안에 있어 보안과 대조적입니다.

아키텍처와 테크닉의 혼재

시스템 구축 방법에 대한 지식은 은폐 및 위장과는 다릅니다.운영 보안에서 무명화의 효과는 무명화가 다른 우수한 보안 관행을 기반으로 하는지 또는 [8]무명화가 단독으로 사용되는지에 따라 달라집니다.독립 계층으로 사용되는 경우, 무명은 유효한 보안 [9]도구로 간주됩니다.

최근 몇 년 동안 무명을 통한 보안은 Moving Target Defense와 사이버 [10]기만을 통해 사이버 보안의 방법론으로서 지지를 얻고 있다.NIST의 사이버 복원 프레임워크인 800-160 Volume 2에서는 탄력적이고 안전한 컴퓨팅 [11]환경의 보완 요소로서 무명을 통한 보안 사용을 권장합니다.

「 」를 참조해 주세요.

레퍼런스

  1. ^ Stross, Randall (17 December 2006). "Theater of the Absurd at the T.S.A." The New York Times. Retrieved 5 May 2015.
  2. ^ Anderson, Ross (2001). Security Engineering: A Guide to Building Dependable Distributed Systems. New York, NY: John Wiley & Sons, Inc. p. 240. ISBN 0-471-38922-6.
  3. ^ Swire, Peter P. (2004). "A Model for When Disclosure Helps Security: What is Different About Computer and Network Security?". Journal on Telecommunications and High Technology Law. 2. SSRN 531782.
  4. ^ Swire, Peter P. (January 2006). "A Theory of Disclosure for Security and Competitive Reasons: Open Source, Proprietary Software, and Government Agencies". Houston Law Review. 42. SSRN 842228.
  5. ^ "security through obscurity". The Jargon File.
  6. ^ "Despite Election Security Fears, Iowa Caucuses Will Use New Smartphone App". NPR.org.
  7. ^ "Guide to General Server Security" (PDF). National Institute of Standards and Technology. July 2008. Retrieved 2 October 2011.
  8. ^ "Obscurity is a Valid Security Layer - Daniel Miessler". Daniel Miessler. Retrieved 2018-06-20.
  9. ^ "Cyber Deception CSIAC". www.csiac.org. Retrieved 2018-06-20.
  10. ^ "CSD-MTD". Department of Homeland Security. 2013-06-25. Retrieved 2018-06-20.
  11. ^ (NIST), Author: Ron Ross; (MITRE), Author: Richard Graubart; (MITRE), Author: Deborah Bodeau; (MITRE), Author: Rosalie McQuaid (21 March 2018). "SP 800-160 Vol. 2 (DRAFT), Systems Security Engineering: Cyber Resiliency Considerations for the Engineering of Trustworthy Secure Systems". csrc.nist.gov. Retrieved 2018-06-20. {{cite journal}}: first1=범용명(도움말)이 있습니다.

외부 링크