[정보보안기사] 1. 정보보호 관리의 개념

 

 

1. 정보 사회의 특성과 정보화 역기능

정보화는 편리하고 풍요로운 삶을 제공하기도 하지만 해커, 바이러스, 위변조를 통한 역기능도 제공한다.

2. 정보보호

1) 정보보호 개념

정보의 가용성은 극대화해야 하고 위협요소와 안전성을 확보하기 위해서 최대한 통제 해야하기 때문에 정보보호가 필요하다.

정보보호의 사전적 의미는 정보의 수집, 가공, 저장, 검색, 송신, 수신 중에 발생하는 정보의 훼손 변조, 유출 등을 방지하기 위한 관리적, 기술적 수단 또는 그러한 수단으로 이루어지는 행위이다.

기밀성, 무결성, 가용성, 인증성 및 부인방지를 보장하기 위하여 기술적, 관리적, 물리적 보호대책을 강구하는 것이다.

 

3) 정보보호의 목표

기밀성, 무결성, 가용성, 인증성, 책임추적성

 

3.1) 기밀성 (Confidentialilty)

오직 인가(Authorized)된 사람, 프로세스, 시스템만이 알 필요성(Need-to-know)에 근거하여 시스템에 접근해야 한다.

허가받지 않은 정보 유출을 예방해야 한다.

기밀성을 보장하기 위한 보안 기술에는 접근제어, 암호화(ESP) 통신, 보안 인식 교육(관리적 보안) 등이 있다.

기밀성 공격 방식에는 Snooping, 트래픽 분석 등이 있다.

 

3.2) 무결성 (Integrity)

데이터가 불법적으로 생성, 변경, 삭제되지 않도록 보호해야 한다. (정확, 안전)

무결성을 보장하기 위한 보안 기술에는 접근제어, 메시지 인증, 디지털 서명(PKI), Hash 등이 있음

무결성 공격 방식에는 MITM(Men In The Middle) Attack, phishing, Farming, 과도한 권한 집중 등이 있음

공격을 통해서 메시지를 변경, 가장, 재생, 부인 공격을 진행

 

3.3) 가용성 (Availability)

시스템이 지체 없이 동작하도록 하고, 모든 서비스 사용자가 서비스를 거절당하지 않고 사용하는 것이다.

승인 또는 허가받은 사람의 경우 언제든지 접근과 이용을 보장 받는다.

가용성을 보장하기 위한 보안 기술에는 데이터 백업, 이중화 구성, 물리적 위험 요소로부터 보호 등이 있다.

가용성 공격 방식에는 DoS(Denial of Service), DDoS 공격 존재한다.

 

3.4) 인증성 (Authentication)

송신자가 보낸 메시지의 출처, 데이터 정보가 신뢰할 수 있는 정보인지 확인할 수 있는 것

 

3.5) 책임 추적성 (Accountability)

주체의 행동을 추적해서 찾아낼 수 있어야 한다.

주체가 잘못을 한 이후에 부인 방지를 할 수 없도록 한다.

디지털 서명, 포렌식, 디지털 워터마킹, 핑거 프린팅, 인증서 등을 활용하여 부인방지가 가능하다.

3. 정보보호 관리 (접근 관리)

1) 정보보호 관리 개념

정보가 의도치 않은 비 인가자에게 노출되면 위험을 초래할 수 있으므로 정보는 관리되어야 한다.

관리적 > 물리적 > 기술적 정보보호 대책

1) 기술적 보호 대책

데이터를 보호하기 위한 가장 기본적인 대책이다.

접근통제, 암호기술, 백업, 보안성이 강화된 소프트웨어 사용 등의 대책이 사용된다.

 

2) 물리적 보호 대책

자연재해로 부터 정보시스템을 보호하기 위한 자연재해 대책이 있다.

외부 또는 내부 사용자로부터의 보호를 위해 출입통제, CCTV, 잠금장치, 생체인증 등의 대책이 사용된다.

 

3) 관리적 보호대책

위험 분석 및 보안감사를 시행하여 정보시스템의 안정성과 신뢰성을 확보하기 위한 대책이다.

보안 인식 교육, 직무 분리, 감사 증적 등의 대책이 사용된다.

 

4. OSI 보안 구조

1) OSI 보안구조 개념

보안 공격에 대비하기 위해 보안메커니즘을 적용한 보안 서비스를 제공한다.

 

보안 공격: 기관이 소유한 정보의 안전성을 침해하는 제반 행위이다.

보안 메커니즘: 보안 공격에 대한 예방통제, 탐지 통제를 수행하는 절차이다.

보안 서비스: 보안 공격에 대응하기 위한 것이며 하나 이상의 보안 메커니즘을 사용하여 서비스 제공한다.

5. 소극적 공격과 적극적 공격

1) 소극적 공격(Passive Attack)

시스템 자원에는 영향을 끼치지 않는 공격이다. (스누핑, 트래픽 분석)

공격자의 목표는 단지 정보를 얻는 것이다.

탐지보다는 예방에 더욱더 신경을 써야 한다.

 

2) 적극적 공격(Active Attack)

시스템 자원에 영향을 끼치는 공격이다. (수정, 삭제, 삽입)

대부분의 적극적 공격은 수동적 공격을 통해 수집된 정보를 통해서 이루어진다.

예방보다는 탐지에 더욱더 신경을 써야 한다.

6. 시점별 통제

시점은 예방 통제, 탐지 통제, 교정 통제 순서이다.

 

1) 예방 통제

사전에 위협과 취약점에 대처하는 통제이다. (방화벽, 보안 인식 교육)

 

2) 탐지 통제

위협을 탐지하는 통제이다. (CCTV, 감사 로그, 침입탐지 시스템)

 

3) 교정 통제

이미 탐지된 위협이나 취약점에 대처하거나 위협이나 취약점을 감소시키는 통제 (데이터 복구, 백업, BCP/DRP)

7. 기본적인 보안 용어 정리

자산: 조직이 보호해야 할 대상이다.

취약점: 정보시스템 또는 정보보호 시스템의 결함 또는 손실이다. (위협의 위험대상)

위협: 결함 또는 손상의 원인이 될 가능성을 제공하는 환경의 집합이다. (변조, 위조)

위협 주체: 취약점을 이용하는 존재이다

위험: 위협 주체가 취약점을 활용할 수 있는 가능성이다. 만약 취약점을 알고 있다면 위협을 통해 자산에 악영향을 가져올 수 있는 위험한 상황이 발생한다.(자산x위협x취약점)

노출: 위협 주체로 인해서 손실이 발생할 수 있는 경우이다.

대책, 안전장치: 잠재적 위험을 완화시키기 위해 배치된다.

다계층 보안/심층 방어(Defanse In Depth): 여러 계층의 보안대책이나 대응 수단을 구축하는 것이다.

Due Care: 충분한 주의 (막아야만 하는 것, 강제성)

Due Diligent: 충분한 노력 (막으면 좋고 안 막아도 상관없는 것)

사회 공학: 인간 상호 작용의 깊은 신뢰를 바탕으로 사람을 속여 정상적인 보안 절차를 깨뜨림

가장 약한 링크 (Principle of weakness Link): 보안은 아무리 잘 구성되어 있다고 하더라고 가장 약한 링크보다 더 강할 수 없다.