[정보보안기사] Section01. 정보보호 관리의 개념

SECTION 01 정보보호관리의 개념

1. 정보화 사회의 정보보호

■정보보호(Information security)의 정의

○정보의 수집, 저장, 가공, 검색, 송수신 중에 발생하는 정보의 위변조, 훼손 등을 방지하기 위한 물리적, 기술적, 관리적 수단과 그러한 수단으로 이루어지는 행위

○정보보호의 5대 목표(기밀성, 무결성, 가용성, 인증, 부인방지)를 보장하기 위해 물리적, 기술적, 관리적 보호대책을 강구하는 것

■정보보호의 5대 목표(보안의 3대 요소(C.I.A) 포함)

○기밀성(Confidentiality)

-오직 인가된 사용자, 프로세스, 시스템만이 데이터를 알 수 있다는 원칙. 즉, 데이터의 비밀보장

-예: 내가 친구한테 메일을 보낼 때 이 메일을 나와 내 친구 외에는 아무도 볼 수 없어야 함

-관련기술 : 접근제어, 암호화 등

• ㅇㅁㄴㄹㄴㄻㅇ
• ㅁㅇㄴㄹ
• ㅁㄴㅇㄹ
• ㅁㄴㅇㄹ
• ㅁㄴㅇㄹ
• ㅁㄴㅇㄹ
• 
  

○무결성(Integrity)

-전송되는 데이터의 내용이 위변조되거나 삭제되지 않아야 한다는 원칙

-예 : 내가 A에게 1,000원을 계좌이체하였는데, 중간에 공격자가 받는 사람을 B로 또는 금액을 10,000원으로 변경하지 못하도록 해야함

-관련기술 : 보호를 위한 기술(접근제어, 메시지 인증 등), 변경을 탐지하여 복구하는 기술(침입탐지, 백업 등)

○가용성(Availability)

-인가된 자에게 서비스가 중단되지 않고 지속적으로 이루어져 한다는 것을 보장한다는 원칙

-예 : 사용자가 갑자기 몰려서 서버가 죽는 경우, 가용성이 침해 당한걸로 봄)

-관련기술 : 데이터 백업, 중복성의 유지, 물리적 보호조치 등

○인증(Authentication)

-서비스 요청, 데이터 전송 등의 행위를 하는 대상(개체)이나, 메시지에 대한 유효성이 진짜라는 확인 및 신뢰를 할 수 있도록 보장해주는 것.

-예 : 로그인하는 행위

○부인방지(책임추적성, Accuntability)

-개체의 행동을 유일하게 추적해서 찾아낼 수 있어야 한다는 것

-예 : 내가 A에게 돈을 이체해 놓고 내가 보낸 적이 없다며 행위를 부인하며 은행에다가 보상을 요구하지 못하도록 이를 추적해서 분쟁을 해결할 수 있도록 해야함.

-관련기술 : 메시지의 디지털 서명 등

2. 정보보호 관리

■정보보호 관리의 개념

○계층적 표현: <<<<정보> 기술적 보호대책 > 물리적 보호대책 > 관리적 보호대책(법, 제도, 교육 포함>

■기술적 보호대책

○접근통제, 암호, 백업, 백신 등 정보시스템 자체에 보안성이 강화된 시스템 소프트웨어를 사용하는 등의 대책

■물리적 보호대책

○정보시스템의 물리적인 장치(건물, 서버 등)을 보호하기 위한 수단

○화재, 수해, 지진, 태풍 등 자연재해로 대책과, 불순 세력이나 적의 파괴로부터 보호하기 위한 출입통제, 시건장치 등

■관리적 보호 대책

○정보보호에 관련된 법, 제도, 규정, 교육 등을 확립하고 보안계획(기술적 보호대책 및 관리적 제도, 정책, 정치, 내부자 교육 등)을 수립하여 이를 운영하는 것

○위험(취약점) 분석 및 보안감사를 시행하는 것 포함

3. OSI 보안 구조

■보안공격(Security Attack)

○정의 : 보안의 3대 요소(C.I.A – 기밀성, 무결성, 가용성)이 공격에 의해 위협 받을 수 있다.

○기밀성을 위협하는 공격

-스누핑(Snooping) : 비인가된 개체가 데이터에 접근하여 보거나 탈취하는 것

-트래픽 분석(Traffic Analysis) : 트래픽분석을 통해 송수신자의 전자메일 주소 등을 알 수 있고 , 사용자가 자주가는 사이트를 알아내서 성향을 추측할 수 있음

○무결성을 위협하는 공격

-메시지 변경(Modification) : 메시지의 일부를 불법으로 수정하거나, 순서를 뒤바꾸는 것

-가장(Masquerading) : 불법 개체가 다른 개체 행세를 하는 것. (사기꾼들의 신분 위장으로 생각함)

-재연, 재전송(Replaying) : 데이터를 획득하여 보관하고 있다가 일정 시간이 지난 후 재전송하여 접근하는 것. 대상이 로그인할 때 전송 데이터를 획득 후, 재전송하여 로그인하여 시스템 접근

-부인(Repudiation) : 메시지를 보내거나 받았다는 사실을 부인하는 것.

○ 가용성을 위협하는 공격

-서비스 거부 공격(Denial of Service) : 시스템이나 네트워크 자원을 소모시켜 서비스를 느리게 하거나 완전히 차단할 수 있는 공격

-랜섬웨어도 요즘은 가용성을 위협하는 공격 중 하나임

■소극적 공격과 적극적 공격

○소극적 공격, 수동적 공격(Passive Attack)

-정보 획득이 목적으로 정보만 유출될 뿐, 데이터 위변조나 시스템 자원에는 영향을 끼치지 않은 공격

-기밀성을 위협하는 공격(스푸핑, 트래픽분석)이 해당

○적극적 공격(Active Attack

-데이터를 바꾸거나 시스템에 해를 입히는 공격

-무결성과 가용성을 위협하는 공격이 해당함

4. 기본 보안용어 정의

○자산(Asset) : 조직이 보호해야할 대상(데이터, 혹은 사람 등)

○취약점(Vulnerability) : 컴퓨터나 네트워크에 침입할 수 있도록 문을 제공하는 소프트웨어, 하드웨어, 절차, 인적 취약점

○위협(Threat) : 보안에 해를 끼칠 수 있는 가능성을 제공하는 환경의 집합(행동, 사건)

-가로채기(Interception) : 비인가된 자가 자산의 접근을 획득한 것(불법 복사, 도청 등 기밀성위협)

-가로막음(Interruption) : 자신의 손실되거나, 손에 넣을 수 없거나, 사용이 불가능(파괴, 파일삭제, 서비스 거부 등-> 가용성 위협)

-변조(Modification) : 비인가된 자가 내용을 변경(->무결성)

-위조(Fabrication) : 가짜 정보를 만들어서 전송(-> 무결성)

-자연 재해에 의한 위협 : 화재, 홍수, 지진, 전력차단 등

ㆍ화재경보기, 온도계, 무정전 시스템 등으로 피해 최소화

-인적 오류 : 바이러스 파일 다운로드, 패스워드 공유, 데이터에 대한 백업의 부재 등

○위협 주체(Threat agents) : 취약점을 이용하는 존재로 해커가 될 수 도 있지만 태풍, 어떤 프로세스, 의도치 않은 실수로 기밀정보를 누설한 직원 등이 될 수 있다.

○위험(Risk) : 위협주체가 취약성을 활용할 수 있는 가능성과 그로 인한 영향

-자산 * 위협 * 취약점 으로 표현

개인적으로 시험 대비 공부한걸 정리하기 위한 목적입니다.  틀린 부분이 있다면 언제든 지적 부탁드립니다.   책 내용이 주 이지만 책 내용만으로 작성한 것이 아닙니다.  그래도 저작권에 위반된다면 언제든 내릴 수 있습니다.