보안 운영체제 보안커널

보안 운영체제 보안커널

보안 기능

사용자 식별 및 인증

• 접근통제가 사용자의 신분 증명으로 이루어질 때 정확한 신분 증명을 위해 보안 운영체제는 개별 사용자의 안전한 식별을 요구하며, 각 사용자는 고유하게 식별될 수 있어야 함

임의적/강제적 접근 통제

• 임의적 접근통제(DAC, Discretionary Access Control)는 신분 기반 정책(Identity Based Policy)이라고도 하는데, 주체나 소속 그룹의 신분(Identity)에 근거하여 객체에 대한 접근을 제한하는 방법
• 강제적 접근통제(MAC, Mandatory Access Control)는 규칙 기반 정책이라고도 하는데, 객체의 비밀 등급과 주체가 갖는 권한에 근거하여 객체에 대한 접근을 제한하는 방법

객체 재사용(Object Reuse) 보호

• 사용자가 새로운 파일을 작성할 때, 이를 위한 기억장치 공간이 할당됨
• 할당되는 기억공간에는 이전의 데이터가 삭제되지 않고 존재하는 경우가 많은데, 이를 통해 비밀 데이터가 노출될 수도 있음
• 메모리, 레지스터, 자기매체 및 기타 재사용 가능한 저장매체에서 발생할 수 있어 재할당되는 모든 기억장치 공간을 깨끗하게 지워야 함

완전한 조정

• 임의적/강제적 접근통제가 효과적으로 되기 위해서는 모든 접근을 통제해야 함. 모든 접근을 통제하는 완전한 조정을 수행해야 함

신뢰 경로(Trusted Path)

• 패스워드의 설정 및 접근 허용의 변경 등과 같은 보안 관련 작업을 수행할 때 사용자는 안전한 경로라고 불리는 안전한 통신을 원하는데 이러한 안전한 경로를 제공할 수 있어야 함

감사와 감사 기록 축소

• 모든 보안 관련 사건은 감사 기록부(Audit Log)에 반드시 기록되어야 하고 감사 기록부는 명백하게 보호돼야 함

보안커널(Security Kernel)

보안 커널은 신뢰 컴퓨팅 기반(TCB, Trusted Computing Base) 내에 있는 하드웨어, 소프트웨어, 펌웨어로 구성되며, 참조 모니터 개념을 구현하고 집행함. 주체와 객체 사이의 모든 접근과 기능을 중재함

TCB의 핵심이고 신뢰할 수 있는 컴퓨터 시스템의 구축하기 위해 가장 보편적으로 사용됨

주요 요구사항

• 참조 모니터 개념을 수행하는 프로세스를 위해 분리가 제공되고, 프로세서는 변조를 방지할 수 있어야 함
• 모든 접근 시도에 대해 실행되어야 하고, 이것을 우회하는 것이 불가능해야 함. 완전하고 오류가 발생하지 않는 방식으로 구현되어야만 함
• 완전하고 포괄적인 방식으로 충분히 시험 되고 확인되어야 함

신뢰 컴퓨팅 기반

하나의 컴퓨터 시스템(HW, SW, FW) 내의 모든 보호 메커니즘의 총체로서, 시스템과의 조화를 통해 보안 정책을 적용할 책임을 가짐

신뢰 경로는 사용자, 프로그램, 커널과의 통신 채널을 말함. TCB는 이 통신 채널이 어떤 상황에서도 손상되지 않도록 보호 기능을 제공함

보안 경계(Security Perimeter)는 시스템의 구성요소 중 신뢰/비신뢰 구성요소의 경계로 물리적 실체가 아닌 가상의 경계선, 신뢰 및 비신뢰 구성요소 사이에 선을 긋기 위해 운영시스템에 의해 사용되는 개념적인 부분임

설계 시 고려 사항

참조 모니터(Reference Monitor)

주체의 객체에 대한 모든 접근 통제를 담당하는 추상머신으로, 승인되지 않은 접근이나 변경으로부터 객체를 보호하기 위해 객체에 대한 주체의 모든 접근통제를 중재하는 개념임

참조 모니터 규칙

• 반드시 부정 조작이 없어야 함(Must be tamper proof)
• 항상 무시되지 않고 호출되어야 함(Always invoked)
• 모든 동작을 항상 분석과 테스트를 통해 확인할 수 있어야 함(Must be Verifiable)

참조 모니터의 개념을 위반하는 경우는 주체가 참조 모니터를 거치지 않고 객체에 직접 접근하는 경우임

참조 모니터는 보안 커널 데이터베이스(SKDB, Security Kernel Data Base)를 참조하여 객체에 대한 접근허가 여부를 결정해야 함