애플리케이션 보안 - 핑거프린팅 (Digital Finger Printing)
다음 중 디지털 핑거프린팅 기술에 대한 설명으로 옮지 않은 것은? 3
- 디지털 핑거프린팅 기술은 콘텐츠 내에 소유자 정보와 구매자 정보를 함께 포함하는 핑거프린트 경보를 사입하여 후에 불법으로 배포된 콘텐츠로부터 배포자가 누구인지를 역추적 할 수 있도록 해 주는 기술이다.
- 핑거프린팅된 콘텐츠는 서로 다른 구매자 정보를 삽입하기 때문에 구매자에 따라 콘텐츠가 조금씩 다르다.
- 공모공격 (collusion attack)이란 여러 개의 콘텐츠를 서로 비교하여 워터마킹된 정보를 제거하거나 혹은 유추하여 다른 워터마크 정보를 삽입할 수 있는 것을 의미하는 데, 이처럼 워터마킹은 공모공격에 취약하지만 디지털 핑거프린팅 기술은 이 공격에 매우 안전하다.
- 디지털 핑거프린팅 기술은 워터마킹 기술과 같이 삽입과 추출기술로 분류하는데 삽입기술은 삽입하는 정보만 다 를 뿐 워터마킹 기술과 동일하다.
디지털 핑거프린팅
Digital Finger Printing이란
- 삽입된 마크들의 집합
- 디지털 데이터가 불법적으로 무단 복제된 경우, 데이터의 판매자로 하여금 복제된 복사본의 원구매자를 식별할 수 있도록 하는 사후 검출기능을 제공함으로써, 구매자가 디지털 데이터를 불법적으로 배포하지 못하도록 보호하는 기술
- 동일 데이터에 대해 저작권자만이 인지할 수 있는 일련번호를 비밀리에 부여하고, 문제 발생시에 삽입된 일련번호를 제 3자에게 검증할 수 있는 기능을 제공하는 것
워터마킹과의 비교
- 유사점
- 디지털 데이터의 불법 복제를 방지하기 위하여 데이터에 2진 마크를 삽입한다는 점
- 차이점
- 핑거프린팅은 기본적으로 워터마킹과 유사하지만, 데이터에 대해 삽입되는 마크의 내용이 모두 다르기 때문에 동일한 데이터 각각을 식별할 수 있는 추가적인 기능이 제공
- 워터마킹 기술은 불법 복제 콘텐츠로부터 소유자의 워터마크를 추출함으로써 소유권을 명확히 해주는 기능을 하지만 불법 행위자를 가려낼 수는 없음
핑거프린팅 기술은 콘텐츠 내의 소유자 정보와 구매자 정보를 함께 포함하는 핑거프린팅 정보를 삽입하여 후에 불법으로 배포된 핑거프린팅 콘텐츠로부터 배포자가 누구인지를 역추적할 수 있도록 해주는 기술
- 불법 배포자를 추적할 수 있다는 관점에서 핑거프린팅 기술은 부정자 추적(traitor tracing) 기술이라고도 함
핑거프린팅 기술의 특징
- 핑거프린팅 콘텐츠가 서로 다르기 때문에 공모(collusion)의 위협이 존재
- 여러 명의 악의적인 구매자들이 콘텐츠간의 상이성을 이용하여 핑거프린팅 정보를 지우거나 공모자 이외의 다른 구매자의 핑거프린팅 정보를 포함한 새로운 콘텐츠를 생성할 수 있음
- 불법 복제에 대한 방지 기술이라기보다는 불법 복제에 대한 검출과 증명 과정을 통한 수동적인 불법 복제 억제기술
불법배포자 추적기술(기술적 요구사항)
◆ 공모 허용 오차(Collusion Tolerance)
- 핑거프린팅 된 콘텐츠는 삽입되는 내용이 구매자마다 다르므로 다수의 구매자들이 자신의 콘텐츠를 비교하여 삽입정보를 삭제하거나 다른 사용자의 정보를 삽입한 콘텐츠로 위조하여 배포할 수 있음
- 따라서 이와 같은 공격에 견고하게 하기 위하여 아무리 많은 콘텐츠가 주어지더라도 구매자들이 핑거프린트(삽입정보)를 찾거나 삭제할 수 없어야 하고 새로운 핑거프린트를 생성할 수 없어야 함
◆ 콘텐츠 품질 보장성(Object Quality Tolerance)
- 콘텐츠 내에 핑거프린팅 정보를 삽입하게 되면 콘텐츠에 노이즈(noise)가 삽입되어 있는 것과 같은 효과
- 어떻게 얼마나 많은 양을 삽입하느냐에 따라 콘텐츠의 품질에 차이
- 콘텐츠의 품질을 보장하기 위해서는 콘텐츠의 품질에는 영향을 미치지 않으면서 가능한 한 많은 양의 부가정보를 삽입할 수 있어야 함
◆ 데이터 조작 허용 오차(Object Manipulation Tolerance)
- 공격자가 데이터를 변경한다 할지라도, 너무 많은 잡음이 데이터를 사용할 수 없도록 만들지 말아야 한다는 사항
- 공격자가 변형 공격을 가한다고 하더라도 핑거프린트를 데이터에 남아 있게 함으로써, 변형 후에도 데이터로부터
핑거프린트를 통하여 불법 복사자를 추적하기 위함
◆ 견고성(Robustness)
- 콘텐츠를 불법으로 재분배하려는 공격자는 삽입된 핑거프린팅 정보에 손상을 가하기 위하여 여러 가지 조작을 하게 됨
- 견고성은 정보가 삽입된 콘텐츠의 변환, 재샘플링, 재양자화, 압축 등과 같은 일반적인 신호 처리뿐만 아니라 회전, 이동 등 기하학적 영상 변환에도 삽입정보가 유지되도록 해야 함
◆ 비대칭성(Asymmetry)
- 핑거프린팅 된 콘텐츠는 판매자는 알지 못하고 구매자만이 알아야 한다는 것
- 핑거프린팅 된 콘텐츠를 판매자도 알 수 있다면 불법 재분배자 식별에 있어서 모호함이 발생할 수 있음
- 단지 구매자만이 핑거프린팅 된 콘텐츠를 소유할 수 있어야만 재분배했을 경우에 확실한 불법의 증거가 됨
◆ 익명성(Anonymity)
- 인터넷을 통한 전자상거래와 연관하여 본 조건은 구매자에 대한 익명성을 보장해야 한다는 조건
- 실제로 상거래의 특징은 익명으로 상품을 구매할 수 있다는 점
- 구매자의 프라이버시를 존중하면서 핑거프린팅 된 콘텐츠를 판매할 수 있어야 함
◆ 비감지성(Imperceptibility)
- 콘텐츠의 가치를 그대로 유지함과 동시에 삽입 정보가 인간의 시각이나 감각에 의해 감지될 수
없어야 함
◆ 유일성(Uniqueness)
- 검출된 삽입정보는 저작자/구매자를 명확하게 구분할 수 있어야 함
◆ 조건부 추적성(Conditional Traceability)
- 정직한 구매는 익명으로 유지되는 반면, 불법 배포한 부정자는 반드시 추적할 수 있어야 함
공모공격 Collusion Attack
- 워터마킹과는 달리 핑거프린팅이 삽입된 콘텐츠는 삽입되는 내용이 구매자마다 모두 다름
- 다수의 구매자들이 서로 공모하여 핑거프린팅이 삽입된 콘텐츠를 서로 비교하여 핑거프린팅 위치가 파악되면 핑거프린팅 비트를 지우거나, 전혀 상관없는 핑거프린팅 비트를 만들어 삽입하고 콘텐츠를 재구성하여 이를 재분배할 수 있게 됨
- 공격자가 여러 개의 콘텐츠를 서로 비교하여 핑거프린팅 정보를 제거하거나 혹은 유추하여 다른 핑거프린팅 정보를 삽입할 수 있는 공격
'IT > 정보보안' 카테고리의 다른 글
애플리케이션 보안 - 스테가노그래피(Steganography), DOI(Digital Object Identifier) (0) | 2019.08.22 |
---|---|
애플리케이션 보안 - VSFTP 설정 파일 vsftpd.conf (0) | 2019.08.22 |
애플리케이션 보안 - HTTP 요청 메소드 (0) | 2019.08.22 |
애플리케이션 보안 - DRM (Digital Rights Management) (0) | 2019.08.22 |
애플리케이션 보안 - WPA, WPA2 (Wi-Fi Protected Access) (0) | 2019.08.22 |
댓글