[정리] 정보 보호 개요

정보 보호의 목표

기밀성(Confidentiality)

개념 : 오직 인가된 사람, 인가된 프로세스, 인가된 시스템만이 알 필요성(최소 권한)에 근거하여 시스템에 접근해야 한다는 방식

위협 요소 : 도청, 사회 공학 공격

 

무결성(Integrity)    // 무결성 = 정확성 = 신뢰성

개념 : 정보의 내용이 불법적으로 생성 또는 변경되거나 삭제되지 않도록 보호해야 하는 성질

위협 요소 : 논리 폭탄, 백도어, 바이러스

 

가용성(Availability)

개념 : 정당한 사용자가 정보 시스템의 데이터 또는 자원을 필요할 때 지체 없이(즉시) 원하는 객체 또는 자원에 접근하여 사용할 수 있는 성질

위협 요소 : DoS, DDoS, 지진, 홍수, 화재 등의 물리적 위협 요소

 

인증성(Authentication)

개념 : 임의 정보에 접근할 수 있는 객체의 자격이나 객체의 내용을 검증하는데 사용하는 성질

특징 : 메시지 인증과 사용자 인증으로 나뉨

    └ 메시지 인증 : 메시지 불법 변조 여부를 확인

    └ 사용자 인증 : 시스템 보안에서 사용자를 확인

 

책임 추적성(Accountability)

개념 : 보안 목적에는 개체의 행동을 유일하게 추적해서 찾아낼 수 있어야 한다는 성질

예시 : Log의 감시 추적

 

부인 방지(Non-Repudiation)    // 부인 방지 = 부인 봉쇄

개념 : 행위나 이벤트의 발생을 증명하여 나중에 그런 행위나 이벤트를 부인할 수 없도록 하는 성질

 

// X.800의 6가지 정보 보호의 목표 : 기밀성, 무결성, 가용성, 인증성, 접근 제어, 부인 방지

 

정보 보호 관리와 정보 보호 대책

기술적 보호 대책

설명 : 정보 시스템, 통신망, 정보(데이터)를 보호하기 위한 가장 기본적인 대책

예시 : 백업, 접근 통제, 암호화 기술

 

물리적 보호 대책

설명 : 화재, 수해, 지진, 태풍 등과 같은 자연재해로부터 정보 시스템이 위치한 정보처리시설을 보호하기 위한 자연재해 대책

예시 : CCTV, 담장, 열쇠

 

관리적 보호 대책

설명 : 법ㆍ제도ㆍ규정ㆍ교육 등을 확립하고, 보안 계획을 수립하여 이를 운영(보안등급, 액세스 권한 등)하며, 위험 분석 및 보안 감사를 시행하여 정보 시스템의 안전성과 신뢰성을 확보하기 위한 대책

예시 : 정책, 표준, 지침, 절차

 

보안 목표와 관련된 공격의 분류

기밀성(Threat to Confidentiality)

ㆍ Snooping

ㆍ Traffic Analysis

 

무결성(Threat to Integrity)

ㆍ Modification

ㆍ Masquerading

ㆍ Replaying

ㆍ Repudiation

 

가용성(Threat to Availability)

ㆍ Denial of Service

 

소극적 공격과 적극적 공격

소극적 공격

설명 : 시스템으로부터 정보를 획득하거나 사용하려는 시도를 말하고, 시스템 자원에는 영향을 끼치지 않는 공격 형태

특징 : 탐지가 어려움, 암호화를 통해 예방 가능

 

적극적 공격

설명 : 시스템 자원을 변경하거나 시스템 작동에 영향을 끼치는 공격 형태

특징 : 탐지가 쉬움

 

수동적 공격과 능동적 공격의 분류

Attack	Passive/Active	Threatening
Snooping, Traffic Analysis	Passive	Condientiality
Modification, Masquerading, Replaying, Repudiation	Active	Integrity
Denial of Service	Active	Availability

 

시점별 통제(Control)

예방 통제(Preventive)

설명 : 사전에 위협과 취약점을 대처하는 통제

예시 :  정책, 경보 베너, 울타리

 

탐지 통제(Detective)

설명 : 위협을 탐지하는 통제

예시 : IDS, 접근 위반 로그(log)

 

교정 통제(Corrective)

설명 : 탐지된 위협이나 취약점에 대처하거나 위협을 줄이거나 취약점을 감소시키는 통제

예시 : BCP/DRP, 백업/복구, 트랜젝션 로그(log)

 

기본 보안 용어 정리

공격자

ㆍ시스템을 공격하거나 위협하는 존재

 

공격(Attack)

ㆍ시스템의 보안 서비스를 회피하여 보안 정책을 위반하려는 의도된 시도

 

대응

ㆍ피해의 최소화 및 적절한 대응을 위해 탐지, 보고하여 위험, 노출, 공격을 제거하거나 방지하는 행위, 장비, 기법

 

위험(Risk)

ㆍ특정 위협이 가져올 피해가 확률적으로 표현되는 예상 손실

ㆍ Risk = f(V, A, T)

 

보안 정책

ㆍ시스템이나 기관이 민감하고 중요한 시스템 자원들에 보안 서비스를 제공하기 위해 명시한 규정과 업무

 

자산(Assets)

ㆍ정보 시스템 내의 데이터, 시스템의 서비스, 처리 기능, 통신 대역폭, 시스템 장비(하드웨어, 펌웨어, 소프트웨어, 문서) 시스템 장비 설비

 

위협(Threat)

ㆍ보안을 침해하고 손해를 가져올 수 있는 상황, 행위, 이벤트가 존재할 때의 잠재적 보안 위반

 

취약점(Vulnerability)

ㆍ시스템 보안 정책을 위반할 수 있는 시스템 설계, 구현, 혹은 운영, 관리상의 오류 및 약점