정보사회의 특성과 역기능
특성 : 정보사회가 도래하고 인터넷을 이용한 정보교환이 가능해짐 → 재택근무 증가, 방문의 필요없이 자금이체 주식매매등 거래 가능
역기능 : 개인의 프라이버시 침해 , 해커와 바이러스의 기승, 불법적인 위. 변조를 통한 각종 컴퓨터 범죄행위, 정보시스템의 파괴에 의한 사회마비 등
사이버환경의 특징
- 비대면성
- 익명성
- 시간 및 공격적 운영의 무제한성
- 무제한적인 정보 및 신속한 전송
- 미래의 범죄 및 전쟁공간
- 공격기술의 지능화
- 사이버 공격 전파경로의 다원화
- 초고속화 및 초단기화
- 분산화 및 에이전트화
정보보호(Information Security)
1) 정의
: 기밀성 , 무결성, 가용성, 인증성 및 부인방지를 보장하기 위하여 기술적, 물리적, 관리적 보호대책을 강구하는 것
2) 정보의 가용성과 안정성(보안성)
: 가용성과 보안측면에서 정보보호란 정보의 활용과 정보의 통제 사이에서 균형감각을 갖는 행위 이다.
정보의 활용(가용성 극대화) 과 정보의 통제(위협요소 감소와 안정성추구) 의 적절한 균형을 위해 최대한 통제해야 하자는 의미.
3) 정보보호의 목표 ( 기밀성 ,무결성 , 가용성) ★
3)-1 기밀성 (Confidentiality)
: 인가된 요소(사람, 프로세스, 시스템) 만이 알 필요성에 근거하여 시스템에 접근해야 한다는 원칙.
본래 사용함이 마땅한 사용자만이 그에 허락된 시스템을 활용 할 수 있다는 말. 나만 알고있는 내용이 다른사람에게 노출됫을때 기밀성이 침해됫다고 할 수 있다. 가령 비밀일기를 쓰는데 친구가 내 일기를 훔쳐보면 기밀성이 침해된것이다.
데이터 기밀성 : 개인정보나 기밀정보를 원치않느 사용자가 이용하거나 그들에게 노출됨을 방지.
프라이버시 : 개인과 관련된 정보에 대해 통제력을 갖는것, 수집 저장의 행위가 있는가? 누구에게 공개되는가 ? 누가 공개 하는가 ? 통제가 가능해야함.
기밀성 보장의 기술에는 암호화, 접근제어가 있다.
3)-2 무결성 (Integrity)
: 데이터와 프로그램에 대해 오직 인가된 방법으로만 변경이 가능해야한다.
정보의 내용이 불법적으로 생성 또는 변경되거나 삭제되어 원래 내용과 다름을 무결성이 침해되었다 한다. 그 내용이 악의적으로 변경됨은 당연한 것이지만 혹 예상치 못한 시스템의 결함이나 환경요소로인해 데이터가 변한것 역시 무결성에 손상을 입는다고 할 수 있다.
무결성 보장의 기술에는 접근제어, 메세지 인증 등이 있으며, 사후조치로는 침입탐지, 백업등의 기술이 요구된다.
3)-3 가용성(Availability)
: 사용자가 원하는 시기에 원하는 프로그램을 사용할 수 있어야 한다.
가용성의 침해는 기업의 입장에서는 돈과 직결되는 문제이다. 당장 몇시간만 가용성을 침해당한다고 하면 상당한 금전적 피해와 기회비용을 날리게 될 것이기 때문이다.
실제로 DDoS 공격 등으로 이용해 상대방의 가용성을 공격하는 의뢰가 있다고도 함 ...
가용성 보장의 기술에는 백업, 중복성유지, 물리접 위협요소로부터 보호하는 등의 기술을 적용해야한다. 홈페이지에 대해 가용성을 확보해야 하는경우 서버를 여러개 두고 문제 발생시 예비서버를 운용하는 방법등이 있다.
정보보호 관리
1) 정보보호 관리(Information Security Management) 의 개념
: 정보에는 자산의 가치가 있다. → 비인가자에 의한 노출이나 갈취는 위험을 초래함 → 관리 되어야 마땅하다.
2) 정보보호 관리와 정보보호 대책
: 정보보호 관리는 기술적 보호대책, 물리적 보호대책, 관리적 보호대책으로 구분하여 계층적으로 표현
2)-1 기술적 보호대책
: 접근통제, 암호기술, 백업체제 등의 기술적 대책
2)-2 물리적 보호대책
: 정보처리시설을 보호하기 위한 자연재해 대책, 정보시스템을 보호하기 위한 출입통제, 시건 등 물리적 보안대책
2)-3 관리적 보호대책
: 법, 제도, 규정, 교육 등의 운영적 측면의 보호대책
정보보호 관리는 기업과 조직의 비즈니스 목적을 충족시키며 수용 가능한 수준으로 위험을 낮추는것.
위험은 제거대상이 아닌 관리대상
위험은 식별되거나 감소될 수 있지만 제거는 될 수 없다.
정보보호 관리를 위해서는 최고 경영진의 관심이 반드시 필요!
OSI 보안구조
1) 기본 개념 (보안공격, 보안 메커니즘, 보안 서비스)
1)-1 보안공격 : 기관이 소유한 정보의 안전성을 침해하는 제반행위
1)-2 보안 메커니즘 : 보안 공격을 탐지, 예방하거나 침해를 복구하는 절차.
1)-3 보안 서비스 : 데이터 전송과 처리 시스템에 관한 보안 강화 제반 서비스
1)-1 보안공격(Security Attack)
- 기밀성, 무결성, 가용성에 대한 공격
기밀성
- 스누핑(Snooping)
- 트래픽 분석(Traffic Analysis)
무결성
- 변경(Modification)
- 가장(Masquerading)
- 재연(Replaying)
- 부인(Repudiation)
가용성
- 서비스 거부(Denial of Service)
- 공격자에 따른 분류
내부 공격 : 보안 경계 내부의 존재에서 시작된 공격, 허용된 권한 이상으로 사용 할 때 발생
외부 공격 : 보안 경계 외부에서 허가되지않은 불법적 사용자 공격, 네트워크를 통한 외부자의 공격
- 시스템에 미치는 영향에 따른 공격분류
적극적 공격 : 데이터를 바꾸거나 시스템에 해를 입힐 수 있다. 무결성과 가용성을 위협
소극적 공격 : 단지 정보를 획득하는것이 목표로 시스템에 해를 입히지 않는다. 기밀성을 위협
1)-3 보안 서비스(Security Service)
- 보안 서비스는 보안 정책을 구현하고 보안메커니즘에 의해서 구현된다
|
설명 | 서비스 |
기밀성 |
소극적 공격으로부터 데이터 보호 | 특정 기간동안 두 사용자에 전송된 데이터를 모두 보호 |
무결성 |
기밀성 서비스처럼 선별된 필드에 적용 | 스트림 전체를 보호 |
가용성 |
자원이 필요할 때 지체없이 원하는 객체 접근 사용 |
|
인증 |
연결지향 : 송,수신자의 인증 비연결지향 : 데이터의 출처 인증 | 대등개체 인증 데이터 출처 인증 |
부인방지 |
송, 수신자 중 메세지를 전송했거나 수신한 사실을 부인하는 경우 |
|
접근제어 |
통신 링크를 통한 호스트시스템과 응용간의 접근을 제한하고 통제할 수 있는 능력 | 각 개체에 대한 신원 확인, 인증후 개체에 적합한 접근권한 부여 |
기본 보안용어 정의
용어 |
설명 |
|||||||||||
자산(Asset) |
조직이 보호해야할 대상, 데이터 혹은 자산 소유자가 가치를부여한 실체 |
|||||||||||
취약점(Vulnerablity) |
위협의 이용대상, 관리적/물리적/기술적 약점 |
|||||||||||
위협(Threat) |
손실이나 손상의 원인이 될 가능성을 제공하는 환경, 보안에 해를 끼치는 행동이나 사건 임의의 위협 : 가로채기(기밀성), 가로막기(가용성), 변조(무결성), 위조(무결성)
|
|||||||||||
위험(Risk) |
위협에 의해 자산에 발생할 가능성이 있는 손실의 기대치 위험 = 자산*위협*취약점 |
|||||||||||
노출(Exposure) |
위협 주체에게 손실을 드러내 보이는 경우. |
|||||||||||
안전장치 / 보안대책 |
자산을 보호하는 기술, 정책, 절차 위험을 완화하기 위한 예방적 수단 |
|||||||||||
잔여 위험 |
정보보호대책을 구현 한 후 남아있는 위험 |
|||||||||||
다계층 보안 심층방어 |
여러 계층의 보안대책이나 수단 침입에 대한 시도를 외부 예방, 내부예방 등의 여러계층의 보안대책을 사용하여 대응
|
|||||||||||
직무상의 신의성실,노력 | Due : 특정 목적을 위하여 필요하거나 요구되는 적절하고 충분한 의무 신의성실 ( Due Care 의무) : 특정 목적을 위하여 필요하거나 요구되는 충분한 주의 노력(Due Diligence 실시) : 특정 목적을 위하여 필요하거나 요구되는 충분한 노력 | |||||||||||
사회공학 (Social Engineering) | 인간 상호작용의 약점을 이용한 비 기술적 침입 수단 | |||||||||||
시점별 통제 | 취약점을 감소시키거나 억제하기 위해 사용되는 메커니즘을 통틀어 일컫는말. 예방통제 : 사전에 위협과 취약점에 대처하는 통제 탐지통제 : 위협을 탐지하는 통제 교정통제 : 이미 탐지된 위협이나 취약점에 대처하거나, 위협이나 취약점을 감소시키는 통제 | |||||||||||
