200301

[정보보안기사 PART 01]  정보보호 개요

---

Section 01 정보보호관리의 개념

 

1. 정보화 사회의 정보보호

 

(1) 정보사회의 특성과 정보화 역기능

1) 정보사회의 특성

 정보사회는 인터넷의 확산과 전자상거래를 통해 시, 분, 초를 다투는 단일 생활권으로 압축되고 있다. 즉, 전자메일 및 인터넷을 통해 신속하게 정보교환이 이루어짐으로써 재택근무 증가, 홈뱅킹이나 사이버 주식 거래를 나가서 할 필요가 없어졌다.

 

사이버 환경의 특징

-> 비대면성

-> 익명성

-> 시간 및 공간적 운영의 무제한성

-> 무제한적인 정보 및 신속한 전송

-> 미래의 범죄 및 전쟁 공간

 

2) 정보화 역기능

 정보화의 순기능은 편리하고 풍요로운 삶 보장하지만, 역기능은 심각한 사회문제 및 국가 안위까지 위협을 준다.

- 개인의 프라이버시 침해

- 해커와 바이러스의 기승

- 불법적인 위,변조를 통한 각종 컴퓨터 범죄행위

- 정보시스템의 파괴에 의한 사회 마비

 

(2) 정보보호(Information Security)

1) 정의

사전적 의미는 "정보의 수집, 가공, 저장, 검색, 송시, 수신 중에 발생하는 정보의 훼손, 변조, 유출 등을 방지하기 위한 관리적, 기술적 수단, 또는 그러한 수단을 이루어지는 행위"

다른 말로 하면 "기밀성, 무결성, 가용성, 인증성 및 부인방지를 보장하기 위하여 기술적, 물리적, 관리적 보호대책을 강구하는 것"

 

2) 정보의 가용성과 안정성(보안성)

 정보의 활용(가용성을 의미)과 정보의 통제(안정성을 의미) 사이에서 균형감각을 갖는 행위

 

3) 정보보호의 목표

(가) 기밀성(Confidentiality)

오직 인가된 사람, 인가된 프로세스, 인가된 시스템만이 알 필요성에 근거하여 시스템에 접근해야 한다는 원칙

보안 기술 : 접근제어, 암호화 등

 

(나) 무결성(Integrity)

네트워크를 통하여 송수신되는 정보의 내용이 불법적으로 생성 또는 변경되거나 삭제 되지 않도록 보호되어야 하는 성질

보안 기술 : 접근 제어, 메시지 인증     // 무결성 보장 기술

                 침임 탐지, 백업              // 정보가 변경되었거나 복구할때

 

(다) 가용성(Availability)

시스템이 지체 없이 동작하도록 하고, 합법적 사용자가 서비스 사용을 거절당하지 않도록 하는 것

보안 기술 : 데이터의 백업, 중복성의 유지, 물리적 위협요소로부터의 보호

 

(라) 인증성(인증, Authenticity)

진짜라는 성질을 확인할 수 있고, 확인 및 신뢰할 수 있다는 것

즉, 정보의 출처를 확인할 수 있는 의미

 

(마) 책임추적성(책임성, Accountability)

정보의 사용 출처를 찾아낼 수 있는 것

-> 개체의 행동을 유일하게 추적해서 찾아낼 수 있어야 한다는 보안 목적이 있다.

보안 기술 : 부인 봉쇄, 억제, 결함 분리, 침입 탐지 예방, 사후 복구, 법적인 조치

 

 

2. 정보보호관리

 

1) 정보보호 관리(Information Security Management)의 개념

 정보는 기업이나 공공기관의 중요한 자산!

 정보가 의도하지 않은 비인가자에게 노출되거나 갈취당하게 되면 위험 초래되기 때문에 관리해야 한다.

 

2) 정보보호 관리와 정보보호 대책

(가) 개요

 정보보호관리는 기술적 보호대책, 물리적 보호대책, 관리적 보호대책으로 구분

 

(나) 기술적 보호대책

- 정보 시스템, 통신망, 정보(데이터)를 보호하기 위한 가장 기본적인 대책

- 보안 대책 : 접근통제, 암호기술, 백업 체제, 정보시스템 자체에 보안성이 강화된 시스템 소프트웨어를 사용하

 

(다) 물리적 보호대책

- 화재, 수해, 지진, 태풍 등과 같은 자연재해로부터 보호하기 위한 대책

- 보안 대책 : 출입통제, 시간 장치

 

(라) 관리적 보호대책

- 법·제도·규정·교육 등을 확립하고, 보안계획 수립하여 이를 운영하며, 위험분석 및 보안감사를 시행해 정보시스템의 안정성과 신뢰성을 확보 위한 대책

- 보안 대책 : 다양한 기술적 보호대책, 계획, 설계, 관리하기 위한 제도·정책·절차 등의 관리적 보호대책, 내부자들 교육

  

3. OSI 보안 구조

(1) 개요

- ITU-T 권고안 X.800, OSI 보안 구조는 관리자가 효과적으로 보안 문제를 조직화할 수 있는 유용한 방법 제공

- OSI 보안 구조 핵심은 보안 공격, 보안 메커니즘, 보안 서비스

   보안 공격(Security attack) : 정보의 안정성 침해하는 제반 행위

   보안 메커니즘(Security mechanism) : 보안 공격 탐지, 예방, 침해 복구하는 절차

   보안 서비스(Security service) : 보안을 강화하기 위한 처리 또는 통신 서비스

 

(2) 보안 공격(Security attack)

(가) 기밀성 위협하는 공격

- 스누핑(Snooping) : 데이터에 대한 비인가 접근 또는 탈취

- 트래픽분석(Traffic Analysis) : 암호화된 데이터를 공격자가 트래픽을 분석함으로써 다른 형태의 정보 얻는 것 

 

(나) 무결성 위협하는 공격

- 변경(메시지 수정, Modification) : 메시지의 일부를 불법으로 수정하거나 전송을 지연

- 가장(Masquerading) : 한 개체가 다른 개체의 행세를 하는 것

- 재연(재전송, Replaying) : 획득한 데이터 단위를 보관하고 있다가 시간이 경과한 후에 재전송

- 부인(Repudiation) : 메시지 송신자는 차후 자신이 메시지를 보냈다는 것을 부인할 수 있고, 메시지의 수신자는 차후에 메시지를 받았다는 것을 부인할 수 있다.

부인에 대한 보안대책 : 부인방지(부인 봉쇄, Nonrepudiation)

 

(다) 가용성을 위협하는 공격

- 서비스 거부(Denial of Service) 

 

(라) 소극적 공격과 적극적 공격

소극적 공격이란?

수동적 공격이라고도 하고, Passive Attack이라고 불린다.
단지 정보를 획득하는 것이다. 데이터를 변경하거나 시스템에 해를 끼치지 않는다.
탐지보다는 예방에 더 많은 신경을 써야 한다.

 

적극적 공격이란?

능동적 공격이라고도 하고, Active Attack이라고 불린다.
데이터를 바꾸거나 시스템에 해를 입힐 수 있다.
방지보다는 탐지가 더 쉽다.

 

Attack	Passive/Active	Threatening
Snooping, Traffic analysis	Passive	Confidentiality
Modification, Masquerading, Replaying, Repudiation	Active	Integrity
Denial of Service	Active	Availability

 

4. 기본 보안 용어 정의

1) 자산(Asset)

 조직이 보호해야 할 대상으로 데어터 혹은 자산 소유자가 가지를 부여한 실체

 

2) 취약점(취약성, Vulnerability)

 위협의 이용대상으로 관리적, 물리적, 기술적 약점

컴퓨터나 네트워크에 침입하여 화경 내의 리소스에 대한 허가되지 않은 접근을 시도하려는 공격자에게 열린 문을 제공할 수 있는 소프트웨어, 하드웨어, 절차 혹은 인력상의 약점

 

3) 위협(Threat)

 손실이나 손상의 원인이 될 가능성을 제공하는 환경의 집합

 보안에 해를 끼치는 행동이나 사건

 

임의의 위험 4가지

가로채기(interception) : 비인가자가 자산에 접근                 // 기밀성 영향

가로막음(interruption) : 자산 손실, 사용 불가능                  // 가용성 영향

변조(modification) : 비인가가 내용 변경                           // 무결성 영향

위조(fabrication) : 비인가자가 불법 객체의 위조 정보 생성   // 무결성 영향

 

4) 위협 주체(위협원, Threat agents)

 취약점을 이용하는 존재

 

5) 위험(Risk)

 위협 주체가 취약점을 이용하여 위협이라는 행동을 통해 자산에 악영향을 미치는 결과를 가져올 가능성

 

6) 노출(Exposure)

 위협 주체로 인해서 손실이 발생할 수 있는 경우

 

7) 대책/안전장치 (Countermeasure / Safeguard)

 잠재적 위험을 완화시키기 위해 존재

 

8) 다계층 보안/심층 방어(Defense in Depth)

 여러 계층의 보안대책이나 대응수단을 구성

 

 

 

 

 

*출처: [알기사] 2019 정보보안기사&산업기사 

*해당 블로그는 개인적인 공부와 정보 공유를 위해 만들었습니다.