16. 번역자의 덧붙이는 말

16. 번역자의 덧붙이는 말

16.1 원문에 대한 설명

이 보안 하우투 v1.1.0의 원문은 작년에 번역을 올렸던 v1.0.8의 원문과 전혀 다르지 않습니다. 문장을 좀 더 매끄럽게 고치고, 철자와 문법을 수정해 놓고, URL 등의 부분적인 수정을 한 것을 제외하면 말입니다.

16.2 읽으실 때에

원문에 참조하라고 적혀 있는 문서들은 모두 영어로 되어 있고, 주소도 바뀐 경우도 많습니다. 번역을 하면서 원문에 나와 있는 주소를 그대로 사용했기 때문에, 본문에 URL로 나와 있는 문서들은 모두 영문으로 되어 있습니다. 한글로 되어 있는 문서도 이미 많이 있으니 원하시면 한글 검색 엔진을 사용해서 찾아보십시오. 또한 이 글에 나와 있는 대부분의 하우투와 미니-하우투 문서들은 KLDP에서 한글로 번역된 것을 구하실 수 있습니다. http://kldp.org

중요하거나 의미가 여럿인 단어의 번역에 대한 설명을 아래에 써 놓았습니다.

16.3 메일링 리스트

16.4 번역 단어

• Implementation: 6.3의 IPSEC "Implementation"을 "구성"이라고 번역했으며, 구성된 풀그림은 "구성본"이라고 번역했습니다.

• Cleartext: 암호화되기 전의 파일이나 문서를 뜻하는 Cleartext는 "보통 문장"이라는 뜻으로 평문이라고 번역했습니다. 반대말로는 "암호문"을 썼습니다.

• Encryption: 일반적으로 인크립션 (Encryption) 작업을 암호화라고 썼습니다만, 경우에 따라서는 "패스워드를 만드는 일"도 "암호화"라고 썼습니다.

• Decryption: 인크립션된 파일을 푸는 디크립션 (Decryption) 작업을 "복호화"라고 번역했습니다.

• Secure: "보안", "통신 보안", "안전"으로 등으로 문맥에 따라서 번역했습니다.

16.5 번역자 색인

• 2 핵커 하우투: http://kldp.org/~kabin/doc/hacker-howto.htm에 안창선 님이 번역한 한글판이 있음.

• 3 콜백 모뎀: 모뎀 접속 시에 사용하는 경우의 서버 보안법의 하나.

  • 방법의 예: 사용자는 자신이 사용하고 있는 모뎀의 전화번호를 로그인 값과 함께 서버로 보내 주고 일단 일차 접속을 끝낸다.. 서버는 그 전화번호를 사용자의 계정 정보에 있는 전화번호와 대조를 한 후에, 일치하면 그 전화번호로 (가능하면 발신 전용 모뎀과 발신 전용선 등을 사용해서) 전화를 되 걸어서 (= 콜백을 해서) 이차적 접속을 한다. 위의 예처럼 콜백 모뎀 서버는 사용자의 전화번호를 고정시켜서 처리할 수도 있고, 사용자가 아무 장소에서나 연결할 수 있도록 자유롭게 콜백 수신 번호를 풀어놓을 수도 있는 옵션 등을 지정해서 편의에 어울리게 구성할 수 있다.
  • 장점: 사용자가 전화비를 절감함과 동시에 사용자 인증의 기초적인 부분으로 쓸 수 있다.
  • 단점: 서버가 접속 전화 비용을 부담한다. 그리고 콜백 모뎀 방법에도 제한적이나마 침탈법이 존재한다.
    • 영문 링크: 리눅스용 콜백 셋업: http://www.icce.rug.nl/docs/programs/callback/callback.html
    • 영문 링크: 모뎀 하우투 v.0.10 http://ftp.dei.uc.pt/LDP/HOWTO/Modem-HOWTO.html

• 4 www.internic.net: 원래 이러한 문서를 저장 관리해 오던 인 터닉.넷은 네트워크 솔루션스로 본격 상업화 된 얼마 후부터 더 이상 RFC, ID, FYI 문서를 다루 지 않기로 했다. http://www.isi.edu/in-notes/rfc2196.txt에서도 구할 수 있다.

• 5 주인 없는 기계 (rogue machine): 관리자가 아예 없거나 관리가 전혀 안되어 있으면서도 네트워크에 연결되어 있는 기계. (홀로 서기?)

• 6 linux single: 만약 리눅스가 부팅할 때 부트 프롬프트에서 "lilo: single"로 부팅을 하면 1인용 싱글 유저 환경으로 들어가게 된다. 이 상황에서의 보안상의 문제는 컴퓨터가 패스워드를 안 물어 보면서 부팅이 된다는 것이다. 비록 이 싱글 유저 환경에서는 파일시스템들이 "읽기 전용"으로 마운트되지만, 일단 침입자가 여기까지 들어왔으면 읽기 전용의 파일시스템들을 "쓰기 OK"로 고쳐서 다시 마운트하는 것은 단순한 실력 문제일 것이다. 이러한 상황을 막으려면 다음과 같은 방법을 쓴다.

  • Password: 예로서, /etc/lilo.conf 문서에 password=newpass라고 쓴 후에 릴로를 다시 설치하면, 부트를 할 때마다 항시 릴로에서 newpass라는 암호를 넣어 주어야 만 된다. 물론 이 패스워드는 여러분이 원하는 것으로 정하도록 한다.
  • 만약 부트 때마다 패스워드를 넣어야 하는 것이 싫다면, 위의 방법 대신에 릴로의 막고자 하는 부트 옵션의 라벨 (Label) 앞에 restricted라고 써 놓으면 된다.
  • 덧붙여서, 패스워드가 적혀 있게 되는 lilo.conf 문서를 절대로 "모두 볼 수 있도록 (world readable)" 설정하면 안된다는 것일 것이다. 만약 모두 볼 수 있도록 한다면 애써 적어 놓은 패스워드를 아무나 볼 수 있을 것이므로.

• 7 로그 파일: log file: 日誌 文書.

• 8 cleartext: 평문: 암호화되기 전의 보통 문장. x

• 9 비파괴적 명령어와 에일리어스의 구성: 본인의 경우에는 rm에 대한 에일리어스를 "alias rm='rm -i'로 만들어 놓았다. 물론 사용자가 일부러 "rm -f"를 쓰는 경우를 막을 수는 없겠지만 말이다.
  • 사용자들이 파괴적이면서도 복잡한 명령어를 쓸 때, 비파괴적인 (non-destructive) 명령어를 먼저 사용할 수 있도록 컴퓨터를 구성할 수 있을 것이다. 이것은 특히 별표를 써서 쓰는 명령어를 쓸 때의 실수를 방지하기 위한 방법이 될 수 있다. 예를 들면, "rm foo*.bak:을 쓰기에 앞서서 "ls foo*.bak"의 디렉토리 목록을 프롬프트 하도록 만듦으로서 사용자가 지우고자 하는 문서만을 지우게 되는 것인가를 확인하도록 만드는 것 따위이다. echo 명령어를 파괴적 명령어의 앞부분에 써서 확인을 하는 것도 도움이 된다.

• 10 트로이의 목마: 만약 누군가가 현재의 디렉토리 "."에 "su"나 "ls"라는 이름을 가진 트로이의 목마를 심어 놓는다면?

• 11 umask와 십진 전수 (Octal complement): 유닉스 파일에는 "소유자(user), 그룹(group), 그 외(other)"라는 세 종류의 사용자가 항시 존재한다. 각 사용자 유형에는 다시 "읽기 허가권, 쓰기 허가권, 실행 허가권" 의 세 가지 허가권이 항시 정의되어 있다. ( 파일 허가권 참조). 각 사용자 유형의 세 가지 허가권은 이진수로 표현되어 있는데, 최소 값인 이진수 000 (읽기, 쓰기, 실행권 없음)에서부터 최대 값인 이진수 111 (세 가지 모두 있음)까지다. (최고 값인 이진수 111은 십진수로 7이므로 어떤 파일에 대한 허가권이 "111.111.111" 이라면 이것은 일반적으로 십진수 "777"로 부른다).

  umask는 새로 만들어질 파일과 디렉토리들의 디폴트 소유권 값을 정할 때 사용한다. umask에는 새로 만들어지는 모든 파일의 기준 값에 반한 십진 전수 (十進 全數)를 사용한다. 예로서 한 사용자의 umask 값을 022에서 077로 바꿔 주면, 이 순간부터 앞으로 이 사용자가 만드는 파일과 디렉토리는 111.000.000의 가장 제한적인 허가권을 자동으로 가지게 된다.

• 12 파일 허가권의 십진수 사용: 예를 들어서, 이진수 "110.100.000"은 십진수 "640"으로 표시된다. (이것은 "rw-.r--.---"이다). 이진수인 파일 허가권을 "640" 등의 십진수로 부르는 것은 초보자로서는 헷갈리는 것이겠지만, "110.100.000" 등으로 부르는 것보다 "640"으로 부르는 것이 훨씬 편하지 않은가.

• 13 국제판 PGP: 원문의 URL은 죽어 있었다. 어차피 미국의 수출 제한 조치 때문에 미국판 PGP를 쓰지 못하므로, 국제판인 PGPi의 FAQ를 적어 놓았다. http://www.pgpi.org/doc/faq/. 미국판 PGP는 http://www.pgp.com/에서 정보를 구할 수 있다,

• 14 PGP의 국제판: 미국 밖에서 사용을 하려면 인터내셔널 버전을 쓰면 된다. 최신의 버전은 http://www.pgpi.com이나 http://www.pgpi.org/에서 구할 수 있다.

• 15 Dead URL: 원문의 URL인 http://home.netscape.com/assist/security/smime/overview.html은 죽어 있어서, 대신 http://www.rsasecurity.com/standards/smime/을 넣었다.

• 16 최신판: 1999/10/15일에 1.1판이 나와 있었다. ftp://ftp.xs4all.nl/pub/crypto/freeswan/freeswan-1.1.tar.gz

• 17 Session Hijacking의 예: 중계인 공격 (man-in-the middle attach): A가 B로 보내는 정보를 M이 눈에 보이지 않게 중간인 역할을 해서 정보를 가로채는 방법. A는 B로 정보를 보낸다고 생각하고, B는 A가 정보를 보낸다고 생각하지만, 실제로는 M이 중간에서 A에게는 B인척 위장을 하고, B에게는 A인 척 위장을 하는 방법으로 데이터를 가로챈다.

• 18 psst: psst 풀그림은 우리말로 조용히 하라고 할 때 쓰는 "쉬!"에 해당하는 의성어 "Psst!"에서 이름을 따온 듯하다. 현재에는 lsh라고 다시 이름이 지어져 서 개발되고 있다.

• 19 URL: ( http://www.consensus.com/faqs/tls_ssl_faq.txt)을 보면 알겠지만, 유럽판을 구해서 쓸 수 있다.

• 20 흡사한 작동을 하는 풀그림과 프로토콜:
  • NT 사용자: 여러분이 네트워크 시스템 관리자이며 NT 기계도 같이 관리하고 있다면, 새로운 윈도우스 2000의 EFS (Encrypting File System)를 참조하기 바란다. EFS의 내부 작동 방법은 CFS와 TCFS의 방법과 매우 흡사하다. 비록 영문이지만 EFS에 대한 좋은 정보는 http://www.ntmag.com/Articles/에서 EFS를 키워드로 검색을 하거나, EFS의 전문가인 주베어 아메드 (Ahmed)나 마크 러시노비치 (Russinovich) 등을 Author에서 골라서 검색을 하면 얻을 수 있다. 앞으로 쓰게 될 (윈도우스 2000의) EFS의 기술적인 내용은 위에서 얻을 수 있을 것이며, NT 3.51과 NT 4.0 (sp3 이상)을 쓰는 경우에는 제 3의 장소에서 파일과 디렉토리 암호화 풀그림을 따로 구입해서 (돈주고... -_-;) 써야 한다. (비록 www.winfiles.com 등에서 무료로 사용할 수 있는 NT용 암호화 풀그림을 구할 수 있겠지만, 그 것이 XOR 등을 쓰는 황당한 것인지는 여러분이 책임을 져야 할 문제일 것이다).

  • 윈도우스 95/98 사용자: 하드 드라이브의 일부를 파티션 파일로 만들어서 암호화해 주는 스크램디스크 (Scramdisk)를 권장하고 싶다. RSA의 IDEA를 쓰기 때문에 상업용 사용은 금지되어 있지만, 개인적 사용의 경우에는 무료로 쓸 수 있다. 불로우피쉬 등의 일곱 가지 암호법으로 암호화할 수 있으며 암호 기법에 관심이 있는 사람들은 소스도 같이 구할 수 있다. http://www.scramdisk.clara.net

• 21 KLDP: 아이피 마스커레이딩 하우투 문서를 참조할 것.

• 22 KLDP: 마스커레이딩 하우투를 참조할 것.

• 23 디렉토리: 레드 햇 6.0 디폴트 인스톨레이션의 경우에는 /usr/src/linux-2.2.5/Documentation/Configure.help을 보면 된다. http://kldp.org/HOWTO/html/Kernel/Kernel-HOWTO.html도 참조하기 바란다. http://math-www.uni-paderborn.de/~axel/config_help.html에 2.2의 Configuration.help 최신판이 있다

• 24 디렉토리: 레드 햇 6.0에서는 /usr/src/linux-2.2.5/Documentation/Configure.help/Networking/filter.txt이다.

• 25 SIGHUP: SIGHUP을 좀 더 심도 있게 쓰고 싶으면 영문이지만 FSF에서 관리하는 배쉬 레퍼런스 매뉴얼 http://www.fsf.org/manual/bash-2.02/bashref.html을 보라.

• 26 GTK: Gimp ToolKit. http://www.gtk.org

• 27 네서스: 네서스 플러그인 중에 보면, 이러한 스텔드 포트 스캔을 해주는 스크립트가 이미 구성되어 있다. 방비를 철저히... TCP FIN을 쓰면 서비스를 탐지하는 것이 가능하다.

• 28 슬렉웨어나 FreeBSD 사용자: 슬렉웨어나 FreeBSD를 쓰는 사용자는 http://www.telepath.com/support/unix/security.html (영문)을 읽어보기 바란다.

  29 센드메일과 큐메일의 장단점: 센드메일은 1999/2/4에 8.9.3 버전이 나와 있고, 작동이 불안정하다는 과거의 평과는 달리, 현재 버전은 비교적 안정적인 작동을 하고 있다. 1999/10/30 현재에는 8.10.0.beta6을 테스트하고 있었다.

  • 센드메일의 특징은 그 규모가 크다는 것일 것이다. 스펨 차단과 지우기 등의 많은 기능을 지원해 주는 등의 장점이 있지만, 규모가 크기 때문에 설치와 관리가 매우 복잡하다. 그렇기 때문에, 도사가 아니라면 소스로 설치하는 것은 거의 불가능하다고 생각한다. 설령 설치 후에도, 모든 옵션을 다 알아서 쓴다는 것도 불가능한 일이라고 생각하기도 한다. 큰 규모 탓에 옵션을 설정하는 "올바른 방법"이라는 것을 알기가 힘들며, 보안 개구멍이 자주 발견되는 것의 주된 이유는 이 큰 규모와 "자칫 잘못 구성하기 쉬운" 많은 옵션의 존재에 있다고 개인적으로 생각한다. (이런 저런 이유로, 센드메일 잘 쓰는 사람들은 책을 써서 돈도 많이 벌었다)

  • 반면에 qmail은 보안이 중요한 경우에 권장을 할 수 있는 "보안상 안전"한 풀그림이지만, MTA의 중요한 기능 중의 하나인 스펨 컨트롤이 센드메일보다 힘들다. (스펨을 보내는 사람의 주소를 기준으로 메일을 차단하는 기능은 패치로 나와 있지만, 키워드로 스팸을 필터 하는 기능 은 센드메일을 따라잡지 못하고 있다) 반면에, qmail은 풀그림의 크기가 작고, 느린 컴퓨터 (486/16mb 정도)에서도 큰 규모와 많은 수의 메일을 잘 받아 준다.

    • 센드메일의 기초 사용 (영문): http://ist.uwaterloo.ca/~reggers/sendmail/
    • 센드메일의 제거 (영문): http://www.qmail.org/man/misc/REMOVE.sendmail.txt
    • 센드메일 도움말: http://trade.chonbuk.ac.kr/~leesl/mail/
    • KLDP 센드메일 도움말: http://kldp.org/KoreanDoc/html/Sendmail-KLDP/Sendmail-KLDP.html
    • 큐메일 하우투: http://kldp.org/Translations/Qmail-KLDP

• 30 윗세 뵈이니마 홈 페이지: http://www.porcupine.org/wietse/ 와 포스트픽스 및 MTA 리뷰 기사 (영문): http://www.sunworld.com/swol-03-1999/swol-03-mailtools.html

• 31 IP Firewalling Chians: "IP Firewalling Chians"를 어떤 말로 번역을 해주어야 할까 하다가 "방화벽 사슬"이란 용어를 이 만용 님의 IPchains-HOWTO 번역본(KLDP_URL)에서 따왔다.

  • 참조했던 이 만용 님의 번역본은 당연히 KLDP_URL에서 쉽게 구할 수 있었지만, 한가지 아쉬웠던 것은 이 문서가 98년 3월에 나온 v0.6의 번역인지라, 2.2.x 커널을 다루고 있지는 않다는 것이었다. 이 문서보다 좀 새로운 정보를 원한다면 1999년 3월에 V1.0.7 판으로 발표된 새로운 버전의 영문 문서를 http://www.rustcorp.com/linux/ipchains에서 구할 수 있겠지만, 이 원문도 나온지가 오래되어서 (?) 아직 2.2.x를 다루고 있지는 않다.
  • 여러분 중에서 2.2.x에서의 방화벽 사슬 구성에 대한 특별한 성격을 아시는 분이 있으면 연락 주시기를 바란다.

• 32 VPN: 한글로 된 VPN 기술 정보는 그리 많지 않았다. 많이 부족하지만, 우선 한국 인터넷 정보 센터에서 만들어 놓은 색인을 보기 바란다. http://www.nic.or.kr/data/report/Inds/inds-1.2.4.html

  • 한글 알타비스타와 한글 야후 등을 써서 VPN에 대한 정보를 얻으려 했지만, 별 소득이 없었다. 전자 신문의 기사 검색을 쓰는 것이 훨씬 생산적이었다. http://www.etnews.co.kr
  • 원문 문서 링크: ftp://ftp.rubyriver.com/pub/jhardin/masquerade/ip_masq_vpn.html 와 http://www.wolfenet.com/~jhardin/ip_masq_vpn.html

• 33 테이프 백업의 스케줄 관리: 원문은 일주일에 5일을 근무하는 미국의 경우에 맞게 설명이 되어 있다. 6일을 근무하는 회사가 많은 우리 나라의 경우에는 7 개의 백업 테이프를 쓰는 것이 알맞을 것이다. 또한 설명되어 있는 예는 (일주일 짜리의) 짧은 기간의 백업만을 고려하고 있다. 실제의 경우에는 장기간의 백업도 스케줄에 넣어 놓는 것이 좋다. 백업 스케줄의 테크닉에 관한 문서는 웹에서 쉽게 구할 수 있다.

  • 백업 스케줄의 관리 예제: http://electron.lbl.gov/ychen/tapeback.html 위의 경우에는 미국 버클리 대학의 로렌스 연구실의 한 분야에서 쓰는 컴퓨터 백업 스케줄을 보여준다. 시스템 관리자가 백업 스케줄을 공표하고 이에 철저히 따르는 것을 볼 수 있으며 백업도 1년, 반 년, 한 달, 각 주 간격으로 정기적으로 실행하고 있는 것을 볼 수 있다.
  • 백업에 앞서서 읽을 만한 문서: http://kldp.org/KoreanDoc/html/Basic-KLDP/Basic-KLDP-2.html

• 34 벅트랙: 벅트랙은 http://www.securityfocus.com/로 자리를 옮겼다. 메인 페이지에서 Forum으로 들어가면 벅트랙이 보일 것이고, 그 아래에서 아카이브를 찾을 수 있다.

• 35 새 버전: ftp://ftp.ox.ac.uk/pub/crypto/SSL 이미 업데이트가 나와 있었고, 사이트의 디렉토리 구조도 좀 바꿔져서 있었다.

• 36 SSL과 헤더: SSL 등의 보안 프로토콜을 쓰는 웹 사이트는 "https://..."로 URL이 시작된다. 참조로, SSL은 통신 연결망의 보안에 사용되고 s-http는 메시지의 보안에 사용된다. "s-http"와 "https://"를 구분해서 보시기 바란다.

• 37 휴면 계정: 보안 수칙과 사용자 수칙에 오랜동안 사용되지 않는 계정에 대한 행동 조치 사항을 두어서 관리를 한다. 휴면 계정이 만들어지지 않도록 미리 조치를 취하는 것이 좋다. 예를 들면 일정한 시간이 지나면 패스워드가 자동으로 만기되도록 계정을 꾸미고, 필요 이상으로 오랜 시간 동안 사용이 안된 계정은 일단 잠정 폐쇄해 버린다. 사용자가 이런 계정을 다시 사용하려 한다면 반드시 관리자를 접촉하도록 해서 패스워드를 다시 받도록 할 수도 있을 것이다.

• 38 단방향식 암호: 단방향식 암호 (One-way password)는 일방 통행로처럼 생각을 하면 된다. (패스워드의 원래 값을 패스워드 기능으로 처리를 한) 처리 값을 가지고 원래의 패스워드를 역산해 내거나 심지어 패스워드의 처리 기능 까지도 역산해 내는 것이 가능하다면 안될 것이다. 유닉스용의 DES는 단방향식이라 하였는데, "단방향" 이라는 뜻은 한 번 처리가 된 처리값을 다시 패스워드 기능으로 처리를 했을 경우 원래의 기본값이 나오지 않는 경우를 말한다.

• 39 넷스케이프사의 암호 관련 기법 정보: 99년 10월에 번역을 하면서 원문에 나와 있는 URL에 가보니 URL이 죽어 있었다. 넷스케이프사가 얼마 전 웹 사이 트를 단장하면서 주소가 바뀐 것 정도로 생각을 했는데, 알고 보니 그 뿐 아니라 대부분의 암호에 관한 정보를 아예 웹 사이트에서 전부 내려 버린 것이었다. 넷스케이프의 암호 정보와 기술법을 구하려면 다른 제 3의 장소에서 구하거나, 넷스케이프의 사업 동반자가 되는 등으로 소스를 사서 쓰는 수밖에는 없을 것 같다. 참고로 -- 비록 넷스케이프 브라우저의 소스가 리눅스용으로 공개되어 있기는 하지만 -- 암호 기술법에 관한 문서는 관련법과 지적 소유권 등의 이유 때문에 공개를 못하게 되어 있으니ㅡ 혹시 여러분 중에 암호 코드와 기술법에 대한 자세한 자료를 가진 사람이 있더라도 함부로 웹에 올리지 않도록 주의하시기를 바란다. (관계 기관에 여러분의 컴퓨터를 압수 당하거나, 더 무섭게는 관계 회사의 변호사에게서 오는 무서운 편지를 받는 일이 없도록 하자 ^_^; ).

• 책1 한글 번역판: "인터넷 방화벽 구축하기, D. Brent Chapman 와 Elizabeth D. Zwicky 작, 한빛 미디어 출판, ISBN 89-79140-22-3". 알라딘에서 2만 3천원정도에 판매한다는 정보를 볼 수 있었다. 원서 정보는 오렐리 웹 사이트에서 구할 수 있었다. http://www.oreilly.com/catalog/fire/index.html.

• 기타: 번역을 하다 보니 다른 문서를 참조할 때가 있었고, 이 문서 중에는 "번역이 되어 있었다면 좋았을 것"이라는 생각이 들던 쓸 만한 문서들이 있었습니다. 여러분 중에서 KLDP의 번역 작업에 관심이 있는 분이 있으시면 한 번 이 들 문서의 번역을 고려해 볼 만하다고 생각합니다. 일부 문서는 하우투 문서가 아니므로, 번역에 앞서서 저자의 허가를 꼭 받으시도록.

  • 좋은 패스워드를 고르는 방법: http://consult.cern.ch/writeup/security/security_3.html
  • VPN: http://www.wolfenet.com/~jhardin/ip_masq_vpn.html
  • IP-masq-vpn HOWTO
  • VPN: ftp://ftp.rubyriver.com/pub/jhardin/masquerade/ip_masq_vpn.html
    
    

16.6 감사의 글 (Acknowledgements)