'security through abscurity'란 무엇인가?
로빈아빠
본문
STO(불투명함에 의한 보안)는 사용자그룹의 외부에 있는 어느 누구라도 내부
메카니즘에 대하여 아무것도 발견할 수 없는 한, 시스템이 안전하다는 믿음을
말한다. "누구라도 영원히 발견하지 못할 것이다"라는 가정을 가지고,password를
이진파일에 숨기는 것은 STO의 대표적 예이다.
STO는 많은 관료주의자들(군인,공무원....)이 좋아하는 철학이며, 시스템에
'pseudosecurity'를 제공하는 중요한 한 방법이다. 개방화된 시스템, 네트워킹, 프
로그램 기술에 대한 이해의 증가, 그리고 일반인이 사용할 수 있는 강력한 컴퓨
터의 등장으로 인하여 STO의 유용함은 점점 약해졌다.
STO의 기본은 '알 필요'에 의해서 시스템을 사용하는 것이다. 어떤 사람이 시스
템 보안에 영향을 미치는 방법을 모른다면 그것은 위험하지 않다.
모두가 인정하듯이, STO는 믿을 만한 이론을 가지고 있지만, 어쩔 수 없는 예외
의 경우도 있다. 그것은 바로 시스템의 운영자들로, 만일 유능한 직원이 더 나은
보수를 받고 다른 직장으로 간다면, 그가 알고 있는 지식도 함께 가버린다. 일단
그런 비밀이 노출되면 시스템의 보안도 더 이상 안전하지 않다.
최근에는 평범한 사용자들도 시스템이 돌아가는 방법에 대하여 자세하게 알 필
요가 있으므로 그 결과 STO의 효과는 많이 약해졌다. 오늘날 많은 사용자들이
전에는 알 필요가 없었던 시스템에 대해 상당히 많은 지식을 가지게 되었기 대
문에, 보안에 상당히 많은 문제가 생기기 시작했다.
따라서 지금 필요한 것은 철학적으로 안전하기 보다는 실제적으로 안전한 시스
템(Kerberos,Secure RPC)을 만드는 것이다.
'Shadow Passwords'는 종종 STO와 같이 무시당하지만, 이것은 옳지 않다.
왜냐하면 STO는 알고리즘이나 테크닉에 대한 접근을 제한하지만 쉐도우패스워
드는 실질적인 자료에 대한 접근을 제한하기 때문이다.
메카니즘에 대하여 아무것도 발견할 수 없는 한, 시스템이 안전하다는 믿음을
말한다. "누구라도 영원히 발견하지 못할 것이다"라는 가정을 가지고,password를
이진파일에 숨기는 것은 STO의 대표적 예이다.
STO는 많은 관료주의자들(군인,공무원....)이 좋아하는 철학이며, 시스템에
'pseudosecurity'를 제공하는 중요한 한 방법이다. 개방화된 시스템, 네트워킹, 프
로그램 기술에 대한 이해의 증가, 그리고 일반인이 사용할 수 있는 강력한 컴퓨
터의 등장으로 인하여 STO의 유용함은 점점 약해졌다.
STO의 기본은 '알 필요'에 의해서 시스템을 사용하는 것이다. 어떤 사람이 시스
템 보안에 영향을 미치는 방법을 모른다면 그것은 위험하지 않다.
모두가 인정하듯이, STO는 믿을 만한 이론을 가지고 있지만, 어쩔 수 없는 예외
의 경우도 있다. 그것은 바로 시스템의 운영자들로, 만일 유능한 직원이 더 나은
보수를 받고 다른 직장으로 간다면, 그가 알고 있는 지식도 함께 가버린다. 일단
그런 비밀이 노출되면 시스템의 보안도 더 이상 안전하지 않다.
최근에는 평범한 사용자들도 시스템이 돌아가는 방법에 대하여 자세하게 알 필
요가 있으므로 그 결과 STO의 효과는 많이 약해졌다. 오늘날 많은 사용자들이
전에는 알 필요가 없었던 시스템에 대해 상당히 많은 지식을 가지게 되었기 대
문에, 보안에 상당히 많은 문제가 생기기 시작했다.
따라서 지금 필요한 것은 철학적으로 안전하기 보다는 실제적으로 안전한 시스
템(Kerberos,Secure RPC)을 만드는 것이다.
'Shadow Passwords'는 종종 STO와 같이 무시당하지만, 이것은 옳지 않다.
왜냐하면 STO는 알고리즘이나 테크닉에 대한 접근을 제한하지만 쉐도우패스워
드는 실질적인 자료에 대한 접근을 제한하기 때문이다.
관련링크
댓글목록
등록된 댓글이 없습니다.