정보보호개론

   
Raymond R. Panko(역자 : 홍만표)
ǻ
한티미디어
   
25000
2006�� 02��



■ 책 소개
정보통신학 기초 전공서. 이책은 정보보호를 처음으로 접하는 학생이나 정보보호 관련 현장에 있는 독자의 경우 현재의 정보통신 환경이 어떤 위협을 받고 있고, 이를 해결하기위한 정보보호기술의 자세한 부분을 설명하기보다는 현재까지 개발된 정보보호 기술들이 어떻게 활용되고, 기술과 환경이 어떻게 관리되어야 하는 지를이해하려는 독자에게 도움이 될 수 있는 방향으로 번역되었다.

 


■ 저자 레이몬드 R. 판코(Raymond R.Panko)


■ 역자 홍만표
서울대학교 계산통계학과 박사
현 아주대학교 정보통신대학 교수 재직
e-mail : mphong@ajou.co.kr

차례
chapter 1프레임 워크 
chapter 1a 보안 사건의 예 
chapter 2 접근제어와 사이트 보안 
chapter 3 TCP/IP 인터네트워킹에 대한 리뷰 
chapter 4 공격 방법 
chapter 5방화벽 
chapter 6 호스트 보안 
chapter 7 암호화 요소 
chapter 8 암호화 시스템 
chapter9 응용 프로그램 보안 
chapter 10 보안 사건과 재앙 대응 
chapter 11 보안 기능 관리 
chapter 12광의의 보안 


정보보호개론


프레임워크
기업이 처한 위험
오늘날 우리 사회가 얼마나 Security의 위협을 받고 있는 지를 알아볼 필요가 있다. 미국에서는 CSI와 FBI가 공동으로 매년 Security를 위협한 사건의 통계치를 미국내 전문가 500여 명의 설문조사를 통하여 발표한다. 우리나라에서는 정보보호진흥원에서 이와 유사한 작업의 결과를 매달 그리고 매년 발표한다.


전문가 500여 명에게 자신의 회사나 조직에서 일 년 동안 해당 항목의 사건의 발생 유무만을 조사할 뿐이므로 한 회사에서 일어난 공격의 횟수는 고려되지 못하고 있다. 또한, 피해액의 평가액에서도 20명 미만의 소수 의견인 경우에도 그 피해액의 산출에서 제외하였다. 2002년 90%의 사람들이 적어도 하나 이상의 공격이나 Security 위협의 사건을 경험했다는 점에서 그 위험도는 아주 일상화되어 있고, 앞으로도 더욱 악화될 것으로 예견된다. 또한 기업들은 다양한 종류의 위협에 직면해 있다. 위협 환경은 독과 같아서 이중 일부는 기업을 심각하게 위협할 수 있다.


- 바이러스 공격(Virus Attack)
먼저 위협의 확산이 매우 큰 것은 무엇보다 바이러스에 의한 피해였다. 2002년의 경우 85%의 기업이 피해를 입었다고 답하고 있다. 더욱 놀라운 것은 CSI 조사에 따르면 대답을 한 기업의 90%가 Anti-virus 소프트웨어, 소위 백신 프로그램이 설치되어 있었다는 점이다. 즉 기존 백신 프로그램이 얼마나 새로운 바이러스에 대하여 무력한 지를 보여주는 예이다.


- 노트북 도난
다음으로 노트북의 도난이다. 바이러스에 비하여 그 피해 건수는 적지만, 많은 기업에서 노트북의 도난은 여전히 Security를 위협하는 비중이 큰 항목이다. 더욱이 65%라는 결과는 오히려 축소되었을 공산이 크다.


- 해킹(시스템 침투)
이 공격은 해킹이라고 불리는 시스템 침입 공격이다. 이런 형태의 공격은 5년간 건수와 피해액에서 두 배가 증가하였다. 또한 답변자들 중 89%의 기업에는 침입 방지 시스템인 방화벽이 설치되어 있음에도 불구하고 나온 수치이다.


- Dos공격(Denial-of-service Attacks)
또 다른 전통적인 공격인 Dos 공격은 서비스 거부 공격이라고 한다. 이 공격은 해커가 직접 시스템에 침입하지 않고, 대상 시스템에 과도한 트래픽을 보내거나, 야기하도록 유도함으로써 정상적인 운영이나 서비스가 될 수 없게 하는 공격이다.


- 내부자 공격
이 경우에는 내부 사용자이지만, 접근이 허용된 범위를 초과하여 접근하려는 경우를 의미한다. 즉, 기업에서 임원이 보아야할 정보를 말단의 종업원이 몰래 보려고 한 경우라고 생각할 수 있다. 이런 형태의 공격도 5년간 건수에서는 크게 증가되지 않았지만, 기업의 이미지 측면에서 보고되지 않는 경우를 포함한다면 많은 수의 누락이 있었을 것으로 추측된다.


- 금융사기
금융사기가 발생하면 그 피해는 매우 클 수 있다. 예를 들어 시스코 시스템의 두 회계원은 컴퓨터 접속을 이용해 8백만 달러 정도의 시스코 주식을 자신들에게 발행하도록 한 적이 있다.


- 지적 재산권에 대한 도난
먼저 지적재산권에 대한 도난이나 도용의 문제는 등록된 특허 등을 도용하는 경우와 기업의 거래 내역을 포함하는 기업 정보를 훔치는 것 등을 포함하고 있다.


- 사보타지(Sabotage)
전 직장의 컴퓨터 시스템에 침입하여 데이터베이스와 중요한 파일들을 파괴한 후에, 이를 그 기업의 고객들에게 이메일로 알려 회사의 신뢰도를 실추시킨 사건을 들 수 있다.


해킹과 크래킹을 혼용하여 사용하는데, 이를 분리하여 정의할 필요가 있다. 해킹은 실제로 시스템에 접근하기 위하여 상당히 전문적인 지식을 동원하는 노력과 수고가 필요한 작업인 반면에 크래킹은 그 작업을 통한 불법적인 접근 행위로 정의할 수 있다. 따라서 패스워드를 훔쳐내는 소프트웨어를 이용한 패스워드 추정은 패스워드 크래킹이라고 한다.


해커들은 성향에 따라 White Hat 해커와 Black Hat 해커 그리고 Gray Hat 해커로 구분할 수 있다. 흰색 모자의 해커는 시스템에 침입하는 해킹을 자행하지만 악성 행위를 하지는 않고, 해킹 이후에 자신들이 침입했던 네트워크 관리자나 보안 시스템의 Vendor들에게 그 취약점과 방어책을 알려주는 등 오히려 선행을 하는 해커들이라고 볼 수 있다. 반면에 검은 모자의 해커는 결코 그들의 행동을 알리지 않으며, 시스템의 취약점을 발견하여도 알리지 않는 나쁜 성향의 해커들을 이른다. 이들 검은 모자와 흰 모자를 번갈아 T는 행위를 하는 해커들을 회색 모자 해커라 부른다.


보안의 주된 테마는 위험 관리이다. 위험은 결코 완전히 제거되지 않기 때문에 기업은 주의 깊게 다양한 위험의 잠재적인 가능성과 이런 위험을 관리하는데 드는 비용의 균형을 맞춰야 한다. 여기에는 대응 기술들을 구매하고 설치하고 관리하는 비용과 그에 따른 업무상의 손해 비용을 포함한다.


보안의 또 다른 테마는 보안이 기술적 이슈가 아니라 관리적 이슈라는 점이다. 앞으로 보안의 다양한 기술에 대해 살펴보겠지만, 보안은 전략적인 관리에서 방화벽을 비롯한 다른 장비를 설정하는 좋은 프로세스에 이르기까지 관리에 대한 것이다. 기업의 보안 절차와 보안 문화에 대한 기본적인 변화가 없다면 설령 최고의 기술을 사용한다고 해도 실패하게 될 것이다.



접근 제어와 사이트 보안
접근 제어(Access Control)
접근 제어를 다시 정의하여 보자. 이는 시스템이나 데이터에 접근하거나, 시스템과 시스템 혹은 사람과 시스템, 프로세스와 프로세스 간의 교신 정보를 보거나 알아낼 수 있는 권한을 정책에 의거하여 제한하는 방법이다. 즉 공격 가능성이 있는 사람이나, 시스템으로 하여금 민감한 자원에 접근하는 것을 막아버리자는 것이다.


결정된 접근 제어 정책에 어떻게 시스템에 구현해 내는가의 문제이다. 먼저 각 자원들에 대하여 결정된 정책에 따라 어떻게 접근을 방지하려는 지에 대한 계획을 수립하는 것이 필요하다. 즉, 중요한 서버에 있는 파일에 대하여서는 작은 일부 그룹들에게만 접근 권한을 부여한다든지 공격에 대비하여 서버를 물리적으로 견고하게 한다거나, 외부의 공격자들을 방해하기 위해 방화벽을 설치하는 등으로 구현 계획을 수립한다.


정책을 수립할 때, 각 자원을 중심으로 접근 권한을 명시하고, 방화벽을 비롯한 방어도구들의 설정과 선택을 명시하기도 하고, 방어 계획에 대한 테스트와 감사를 주기적으로 점검하는 등의 정책이 같이 제시된다.


기업에 대한 대부분의 공격은 인터넷을 통해 이루어진다. 그러나 막대한 피해를 야기하는 공격 중 일부는 사이트 내부에서 이루어진다. 공격자들은 그들의 공격 목표 컴퓨터나 해당 사이트의 LAN선이나 스위치에 공격을 가할 수 있다. 무선 LAN을 통해 회사의 주요 사항을 밖으로 빼내 공격에 이용할 수도 있다.


시스템의 접근을 통제하기 위한 간단하고 쉬운 방법은 패스워드를 이용하는 방법이다. 시스템에 로그인하기 위하여 ID와 패스워드를 입력하는데, 이 패스워드는 계속하여 사용할 수 있다는 점에서 재사용 가능한 패스워드라고 부른다. 반면에 매번 새로운 패스워드를 다르게 사용해야 되는 경우를 일회용 패스워드라 부른다. 물론 요즈음 시스템에서는 재사용 가능한 패스워드의 경우에도 일정 시간이 지나면 새로운 패스워드로 갱신하게 하는 시스템이 일반화되어 있다. 이는 패스워드가 노출되는 것을 막기 위한 방법이다.


- 좋은 패스워드
① 최소한 패스워드의 길이가 6자 이상 8자 이내는 되어야 한다.
② 대소문자를 적어도 한 번 바꾸어서 만드는 것이 좋다. 다만, 처음에 바꾸는 것을 지양해야 한다. 왜냐하면 처음에 바꾸는 경우 대소문자를 섞어서 사용한다는 사실이 노출되기 때문이다.
③ 마지막에 숫자로 끝나지 않게 하는 것이 좋다.
④ 특수문자로 끝나는 것도 지양해야 한다.


- 패스워드 테스트와 강화(Testing and Enforcing)
이렇게 결정된 패스워드 시스템의 패스워드 정책을 테스트하려면, 먼저 패스워드 크래킹 프로그램을 수행시켜 본다.


- 패스워드 주기 정책(Password Duration Policies)
패스워드를 주기적으로 혹은 자주 갱신해 주어야 한다. 흔히 90일 이하로 갱신하는 것을 권장한다. 물론 패스워드 노출이 우려되면 될수록 더 빨리 갱신하는 것이 필요하다.


- 공유된 패스워드 정책(Shared Password Policies)
패스워드를 공유하는 것은 가능한 한 금지시켜야 한다. 왜냐하면 첫째, 여러 사람들이 공유하는 패스워드는 갱신을 자주할 수 없다. 모든 사람들이 개입되어야만 가능하기 때문이다.


- 유효하지 않은 계정의 무효화
다음으로는 사용하지 않는 계정에 대해서는 패스워드를 무효화하여야 한다. 종업원이 회사를 퇴직하거나, 혹은 출장 등과 같이 계정을 사용하지 않는 경우가 발생하자마자 무효화가 이루어져야 한다.


- 패스워드 분실
다음으로 패스워드를 잊어버린 경우의 문제이다. 도우미 창구에서의 업무 중 4분의 1에서 3분의 1은 패스워드 분실에 따른 갱신 요구라고 한다.


- 건물 보안(BUILDING SECURITY)
문제는 일반적으로 대부분의 기업에서 빌딩을 물리적으로 보안하는 부서와 정보 보안, 나아가 네트워크와 시스템 보안을 담당하는 부서가 따로 있다는 것이다. 향후 이 부분은 하나의 부서로 통합되는 것이 일반화되겠지만, 그 전에 정보 보안을 담당하는 사람들의 물리적인 보안에 대한 이해가 전제되어야 한다.


- 건물 보안의 기본들
① 건물 접근 제어 : 하나의 입구
② 건물의 다른 입구
③ 보안관제 센터(Security Centers)
④ 내부 문
⑤ 편승(Piggybacking)
⑥ 강력한 정책
⑦ 보안 교육
⑧ 전 직원 교육
⑨ 전화 스티커
⑩ 편승(Piggybacking)좌절시키기
⑪ 세단기(Dumster Dividing)


- 생물측정 방법(Biometric Method)
1) 지문 인식(Fingerprint Recognition)
2) 홍채 인식(Iris Recognition)
3) 얼굴 인식(Face Recognition)
4) 손 인식(Hand Geometry)
5) 음성 인식(Voice Recognition)
6) 자판 입력 인식(Keystroke Recognition)
7) 사인 인식(Signature Recognition)



TCP/IP 인터네트워킹에 대한 리뷰
TCP/IP 표준
하나의 메시지가 송신 호스트에서 수신 호스트로 전달될 때, 여러 계층을 거치면서 전달된다. 각 계층을 통과하기 위해서는 계층에서 정의하는 방식으로 포장을 하게 되는데, 데이터 연결 계층에서의 메시지 포장 방식을 프레임이라 부르고, 인터넷 계층에서의 포장 방식을 패킷이라 부른다.


결국 하나의 패킷이 인터넷을 통해 보내진다. 그러나 경로를 따라 각 네트워크마다 다른 프레임에 포장되어 전송된다. 경로 상 다섯 개의 네트워크를 통과한다면 하나의 패킷에 다섯 개의 다른 프레임이 존재하게 될 것이다. 송신 호스트에서 수신 호스트로 보내는 패킷은 한 번에 한 개씩 보낸다. 이 패킷은 각 네트워크에서 별도의 프레임에 의하여 전달된다.


- IP와 인터넷 계층
인터넷 계층에서 TCP/IP는 Internet Protocol을 사용한다. IP는 호스트와 호스트의 연결에 관여하지 않고 오직 흡과 흡 사이의 메시지 전달에만 관여한다. IP는 연속적인 IP패킷이 순서대로 도착된다고 보장하지 못하며, 라우터와 목적지 호스트가 들어온 IP패킷을 순서화하는 어떤 방법도 제공해주지 않는다.

- TCP


IP의 비신뢰적인 문제에 의해 발생되는 문제를 해결하기 위해 IETF는 트랜스포트 계층에 신뢰성 있는 프로토콜을 만들어냈다. TCP와 IP는 두 호스트 간에 효율성과 신뢰성 있는 메시지 전송을 위해 서로 연동해서 작업한다.


- UDP
네트워크 관리 프로그램은 매 수 초 동안 각 관리 장치에 상태 정보를 요청한다. 신뢰할 수 없는 서비스는 처리 비용과 네트워크 트래픽을 상당수 줄이고, 분실된 패킷은 단지 네트워크의 한 장치에 대한 지나간 몇 초간의 정보를 의미하게 될 것이다.


- TCP/IP와 경계 보안(Border Security)
일반적으로 방화벽은 자신의 네트워크의 데이터 링크 계층의 접점인 부분에 설치한다. 즉 자신의 인터넷 서비스를 관장하는 Internet Service Provider-ISP업체와 데이터 링크 계층으로 연동되어 있음을 의미하고, 그 중간에 방화벽이 설치된다.


이런 경우에 데이터 링크 계층은 PPP프로토콜이 이용된다. 이렇게 구성된 연결에서는 공격자가 공격을 성공시키기가 매우 어렵다. 결론적으로 방화벽은 IP 계층을 포함한 상위의 패킷 정보를 읽고 필터링 작업을 한다는 것을 알 수 있다. 이런 이유는 방화벽의 처리 부담이 커지면, 통신의 성능을 저하시키는 역작용이 생기기 때문이다.


인터넷 프로토콜(IP)
처음 IP를 설계한 사람들은 이 프로토콜이 탑재되고 운영될 하부 네트워크에 대한 부분을 거의 고려하지 않았다. 즉, 하부 구조와 무관한 프로토콜을 설계함으로써 복잡도를 줄이려는 생각이었다. 그 결과 IP는 거의 모든 네트워크에서 사용이 가능한 프로토콜이면서 앞으로 나올 미래의 네트워크에서도 그 생명을 이어나갈 것으로 예견된다. 인터넷의 선구자로 불리는 Vint Cerf 스탠포트 교수는 일찍이 모든 것에 IP가 부여될 것이라고 하였다. 앞으로 접하게 될 Ubiquitous(유비쿼터스) 환경을 이미 염두에 두었다는 것이다.


IP는 신뢰할 수 없는 프로토콜이다. 송신 측에서는 수신 측이 IP패킷을 받았는지 알 수 있는 방법이 없다. 그래서 재전송해야 하는지도 알 수 없다. 또한 에러를 체크하기는 하지만 이를 수정하지는 않는다. 나아가 패킷의 전송에서 호스트에서 보내는 일련의 패킷을 보내지는 순서대로 전달되는 것조차도 보장하지 않는다. 즉, 최종 수신측의 호스트가 전달받은 패킷을 순서대로 정렬하는 부담을 지게 된다. 물론 이 작업은 IP 계층에서가 아니라, 상위의 계층인 TCP 계층 이상에서 일어난다.



공격 방법
목표 지정 해킹 공격(시스템 침투/침입)
공격자가 targeted attack을 하는 것은 그 컴퓨터를 해킹하려는 것이다. 이런 해킹을 위하여 공격자는 시스템에 침입하게 되는데, 이를 break-in이라 부른다. 침입에 성공하면 정보를 몰래 읽어오거나 변경하기도 하고, 인가되지 않은 소프트웨어를 장착하는 등의 공격을 시행한다.


- 은밀한 정보 수집
공격 패킷을 보내는 것은 침입 감지 알람을 작동시키기 쉬운 시끄러운 작업이다. 결국 공격자는 네트워크에 패킷을 보내기 전에 먼저 은밀히 정보를 수집하는 과정을 거친다.


- 사회공학적인(Social Engineering) 방법으로 정보 수집
공격의 패킷을 보내기 전에 사회공학적인 방법으로 대상 시스템에 침입할 수 있는 정보를 획득하는 방법을 취한다. 예를 들어 기업의 웹 사이트는 이런 정보를 획득하기 쉬운 곳이다. 일반적으로 기업의 웹 사이트는 기업을 홍보하려는 목적이 크므로 기업의 많은 정보를 담고 있다.


- 기업 동향 보고서(Trade Tress)
웹 사이트는 기업의 부정적인 부분은 잘 나오지 않는 반면 기업의 동향에 대한 보고서에는 기업의 재정 전망에 대한 중요한 정보와 개발 중에 있는 제품에 대한 정보를 흘리기 쉽다. 이런 보고서 등을 통하여 그 기업의 약점에 해당하는 정보를 모을 수도 있다. 따라서 공격자가 공격 목표 회사에 대한 정보를 쉽게 찾을 수 있도록 도울 수 있다.


- SECs Edgar 시스템
미국의 모든 공공 기업은 SEC에 정보를 제공해야 하는데, 이 문서에는 각 기업의 활동과 재정 상태에 대한 상당한 정보가 담겨 있다.

- Whois 데이터베이스를 통한 정보 수집


또 다른 정보의 수집처로 Whois 데이터베이스가 있다. 이 데이터베이스에는 특정 도메인을 책임지는 사람의 정보를 담고 있다. 또한 그 도메인과 연계된 DNS의 IP주소와 그 기업이 쓰고 있는 IP주소의 범위도 알아낼 수 있다.


- IP 주소 블록화(IP Address Block)
기업의 경우 자체의 네트워크에 연결된 서버들의 수에 맞추어서 적절한 IP 주소 대역을 할당받는다. 일반적으로 기업에서 DNS 서버의 IP 주소는 그 대역의 마지막 IP 주소를 권역으로 하는 경우가 많다. 그 결과 공격자는 DNS의 IP 주소로부터 그 기업이 사용하는 IP주소의 대역을 유추하기도 한다.


호스트 보안
서버를 구입하여 설치하면, 즉 운영체제 설치 매체를 이용하여 표준 설치를 하고, 아무런 보호 기능 없이 인터넷에 연결하게 되면, 해커는 이 서버를 하루 또는 이틀 내에 장악할 수 있게 된다. 방화벽이 이 문제를 부분적으로 해결할 수는 있으나 그야말로 부분적이다. 따라서 서버에 대한 보안은 선택이 아니라 필수이다.


- 호스트 보안 강화 요소들
① 물리적 보안을 강화한다.
② 운영체제를 안전한 구성 옵션에 따라 설치한다.
③ 알려진 취약성에 대해 패치를 다운로드받아 설치한다.
④ 불필요한 서비스를 사용하지 않는다.
⑤ 모든 응용 프로그램에 대한 보안을 강화한다.
⑥ 사용자와 그룹을 관리한다.
⑦ 접근 권한을 관리한다. 개인 소유의 파일이나 디렉토리에 대하여 특별하게 지정된 사용자나 그룹에게 권한을 부여한다.
⑧ 서버에 대해 정기적인 백업을 수행한다.
⑨ 고급 보안 기능을 도입한다.
⑩ 취약성을 검사한다.


호스트는 공격을 막을 수 있는 마지막 방어선이다. 그래서 호스트를 강화시키는 것은 중요하다. 이는 서버와 라우터뿐만 아니라 클라이언트 PC에서도 마찬가지다. 왜냐하면 공격자가 방화벽과 다른 방어를 피할 수 있는 클라이언트 PC를 이용할 수도 있기 때문이다.

호스트 강화에서 주요한 개념은 시스템 관리자에게 무엇을 해야 하는지 알릴 수 있는 보안의 기본 라인을 가질 필요가 있다는 것이다. 비공식적인 계획과 구현 때문에 호스트 보안은 많은 복잡성을 가진다.



응용 프로그램 보안
일반적인 응용 프로그램 보안 문제
호스트에서 실행되는 안정된 응용 프로그램의 보안 역시 중요하다. 일반적으로 공격자가 어떤 응용 프로그램을 장악한 후에는 그 응용 프로그램에 대한 접근 권한으로 명령을 실행할 수 있게 된다. 많은 응용 프로그램이 루트, 즉 슈퍼 유저권한으로 실행된다. 따라서 응용 프로그램을 장악하는 것은 공격자에게 호스트 전체의 제어권을 주게 되는 것이다.


비록 공격자가 아직도 운영체제에 대한 공격을 시도하고는 있지만, 응용 프로그램을 파괴하려는 시도가 훨씬 일반적이다.


- 버퍼(Buffer)와 오버플로우(Overflow)
응용 프로그램의 취약성 중 가장 널리 퍼져 있는 것은 버퍼 오버플로우 취약성이다. 프로그램은 실행 중에 발생되는 정보를 버퍼라고 부르는 RAM의 특정 영역에 임시로 저장한다. 만약 공격자가 프로그래머에 의해 할당된 버퍼의 크기를 넘는 메시지를 응용 프로그램에 보내면, 버퍼의 크기를 넘는 메시지는 RAM의 다른 영역 상에 저장된다. 이것이 버퍼 오버플로우이다.


- 스택(Stack)
프로그램은 종종 서브 프로그램을 이용한다. 프로그램이 다른 서브 프로그램을 실행하기 위해 현재 실행 중인 프로그램의 정보를 저장해야 할 때 스택(Stack)이라고 불리는 영역에 현재 정보를 저장한다. 스택 오버플로우는 공격자에게 임의의 명령어를 실행할 수 있게 한다.


- 버퍼와 버퍼 오버플로우
프로그램이 return address 영역을 채운 후에는 서브 프로그램을 위한 데이터를 데이터 버퍼 영역에 채운다. 만약 너무 많은 정보가 버퍼에 쓰여지면 return address에 덮어써지는 데이터가 발생하게 되고, 버퍼오버플로우가 일어난다.


- 공격 코드 실행
버퍼 오버플로우가 일어났을 때 return address 영역이 팝되면 공격자가 의도적으로 삽입한 곳으로 프로그램 실행권이 이동될 수 있다. 공격자는 return address의 값을 버퍼상의 데이터 중 한 곳을 가리키도록 할 수 있다. 만약 이 데이터가 프로그램 코드라면 이 영역이 원래 실행되어야 할 영역 대신 실행된다.


광의의 보안
컴퓨터 범죄 적용 법률
컴퓨터와 네트워크는 법률이 느리게 변한다는 것을 감안할 때 상대적으로 새로운 분야이다. 전 세계의 정부들이 컴퓨터와 네트워크의 공격에 대한 법률을 제정하기 위해 노력하고 있지만, 실제 상황에 적용하기에는 아직 먼 상태이다. 실제로 최근의 CIH나 러브 버그 바이러스의 제작자들은 법의 빈틈으로 인해 실질적인 형을 선고받지 않았다.


- 미국 연방법
미국에서 해킹과 관련한 연방법은 미 연방 법률 1장 18번째 주제의 섹션 1030이다. 이 섹션에서 해킹, 바이러스, 서비스 거부 공격과 같은 용어를 사용하지는 않지만, 이 섹션은 이러한 것을 다루고 있다. 이 섹션은 1986년의 컴퓨터 도용과 오용법, 1996년의 국가적 정보 기반 보호법, 2002년의 국가 보안법 등에 의한 결과이다.


- 전 세계의 법률
전 세계의 컴퓨터 범죄와 관련한 법은 천차만별이다. 최근 전 세계의 컴퓨터 범죄에 관한 법률을 조사한 두 가지 연구가 있었다. 스콜버그는 2001년에 42개 국가의 법률에 관해 조사했다. 2000년에는 맥코널사에서 국제적인 컴퓨터 법률에 관해 조사했다. 두 연구는 모두 몇몇 국가에서는 빠른 속도로 법률이 제정되고 있지만 다른 국가들은 그렇지 않다는 것을 발견했다. 맥코널사는 2000년 기준으로 10개 국가가 거의 또는 완전히 법률을 수정하고 있으며, 9개 국가는 부분적으로 수정하고, 33개 국가는 법률을 수정하지 않고 있다고 밝혔다.


일반적으로 컴퓨터 범죄는 국가간 협력을 필요로 한다. 가장 주요한 국제회의는 Cybercrime Treaty 2001이었다. 이 회의는 유럽 의회에 의해 만들어진 것이다. 이 회의에 참가한 국가들은 복제 방지와 같은 컴퓨터의 오용에 대한 법을 만들기로 동의했다. 또한 이 국가들은 다른 국가의 공격자를 기소하기 쉽도록 협력하는 방안을 만들었다.

?

- 법률의 한계
법률에서의 미묘하고 중요한 사항은 그것의 목적이 단순히 공격을 막는데 있지 않다는 것이다. 오히려 사건 이후의 처벌에 있다는 것이다. 좋은 법은 처벌에 엄격하다. 그러나 그것은 공격에 대비해 좋은 기술과 절차적 방어를 만들어야 한다는 기업의 부담을 덜어주지는 못한다.

(본 정보는 도서의 일부 내용으로만 구성되어 있으며, 보다 많은 정보와 지식은 반드시 책을 참조하셔야 합니다.)