보안

정보보호(Information Security)¶

• 정보의 수집, 가공, 저장, 송수신 중에 발생하는 정보의 훼손, 변조, 유출 등을 방지하기 위한 관리적, 기술적 수단 또는 그러한 수단으로 이루어지는 행위
• 기밀성, 무결성, 가용성, 인증성 및 부인방지를 보장하기 위한 기술적, 물리적, 관리적 보호대책을 강구하는 것

목표¶

1. 기밀성(Confidentiality)
   • 오직 인가된 사람, 프로세스, 시스템만이 알 필요성에 근거하여 시스템에 접근가능해야 한다.
   • 보안 기술
     • 접근 제어
     • 암호화
2. 무결성(Integrity)
   • 정보의 내용이 무단으로 생성 또는 변경되거나 삭제되지 않도록 보호되어야 한다.
   • 보안 기술
     • 접근 제어
     • 메시지 인증
     • 침입 탐지
     • 백업
3. 가용성(Availability)
   • 시스템이 지체 없이 동작하고, 자원이 필요할 때 권한이 있는 사용자가 이용할 수 있어야 한다.
   • 보안 기술
     • 백업 기술
     • 중복 운영 기술

기밀성, 무결성, 가용성의 앞 글자를 따서 CIA라 부르기도 한다.

정보보호 관리(Information Security Management)¶

• 조직의 정보를 위험으로부터 보호하기 위한 활동
• 정보보호 관리에는 기술적, 물리적, 관리적 보호대책들이 존재

보호대책¶

• 기술적 보호대책
• 가장 기본적인 대책
• 접근통제, 암호기술, 보안성 높은 SW 사용 등
• 물리적 보호대책
• 자연재해나 적으로부터 정보들을 보호
• 정보처리 시설의 출입 통제, 잠금장치 등
• 관리적 보호대책
• 제도를 만들고 보안 계획을 세워 운영

용어¶

• 자산(Asset)
• 조직이 보호해야할 대상
• 정보, 하드웨어, 소프트웨어, 시설 등
• 취약점(Vulnerability)
• 정보시스템의 결함
• 관리적, 물리적, 기술적 약점들을 의미
• 위협의 이용 대상
• 위협(Threat)
• 정보시스템에 해를 끼칠 수 있는 사건 및 행동
• 위험의 원인
• 위험(Risk)
• 정보시스템에 존재하는 위협에 의해 자산에 손실이 발생할 가능성
• 자산×위협×취약점

보안 공격(Security Attack)¶

보안의 목표 CIA를 위협

• 적극적 공격
• 무결성과 가용성을 공격
• 데이터를 변경하거나 재전송
  • 신분 위장
  • 메시지의 송수신 부인
  • DDos 공격
• 소극적 공격
• 기밀성 공격
• 원치 않는 대상에게 데이터 노출
  • 스누핑
  • 도청
  • 트래픽 분석

통제(Control)¶

취약점을 감소시키기 위한 메커니즘

• 예방통제
• 사전에 위협과 취약점에 대처하는 통제
• 탐지통제
• 위협을 탐지하는 통제
• 교정통제
• 탐지된 위협이나 취약점을 대처하거나 감소시키는 통제