[정보보안기사] 1강 정리 : 정보보호관리의 개념

* 개인적인 공부 내용을 기록한 글입니다.

---

PART 01 정보보호 개요 : 단원 개관

 

 

Ⅰ. 정보보호의 목표

  기밀성(C), 무결성(I), 가용성(A), 인증, 부인방지, 책임추적성(Log)

  * 인증 : 사용자 인증, 메시지 인증

 

Ⅱ. 소극적 공격 vs 적극적 공격

  소극적 공격 : Eve

  적극적 공격 : Malory

 

Ⅲ. 정보보호대책

  관리적 보호대책 : 정책

  물리적 보호대책 : 담장, 열쇠

  기술적 보호대책 : 암호화

 

Ⅳ. 시점별 통제

  * 시간순서 : 예방 → 탐지 → 교정

---

1강 정리 : 정보보호관리의 개념

 

 

정보사회의 특성

미래전쟁의 양상 = 정보전쟁

사이버 전쟁 : 북한 해커 7000명 육성

stuxnet : 원자력 발전소 등 제어 시스템 침투

재택근무↑ ⇒ 비대면성↑ ⇒ VPN 중요해짐

VPN (= Virtual Private Network) : 사용자의 데이터를 암호화하여 인터넷을 안전하게 사용할 수 있도록 하는 가상사설망

 

 

정보화 역기능

스마트폰 사용의 급속한 확산 ⇒ 모바일 환경에서의 정보보호가 중요해짐 (무선보안)

 

 

정보보호의 정의

정보보호 = 정보보안

정보보호의 사전적 의미는 TTA에 의해 정의되었다.

 

* 보안에서 자주 나오는 기관

[1] TTA : 한국정보통신기술협회

[2] KISA : 한국인터넷진흥원

[3] NIST : 미국 국립표준기술연구소

 

정보 cf) 자산 : 유형 + 무형자산 (지적재산권 등)

인증성 = 인증 (사용자인증, 메시지인증)

 

 

정보의 가용성과 안정성 (보안성)

[1] 가용성 : 사용자가 추구

[2] 안정성 : 보안관리자가 추구

[3] 균형점 : 보안전문가가 추구

 

보안전문가는 가용성과 안정성의 균형점을 찾는 역할을 한다.

정보의 활용은 정보의 가용성을 극대화하자는 것이고,

정보의 통제는 위협 요소를 줄이고 안정성을 확보하기 위해 최대한 통제를 하자는 것이다.

 

* 가장 쉬운 침투방법 선택 원리 (Principle of Easiest Penetration)

침입자는 이용 가능한 모든 침투수단을 이용할 것이다.

⇒ 보안은 창과 방패의 싸움이다.

 

 

정보보호의 목표 ★★★★★ ★★★★★

[1] 기밀성(C)

[2] 무결성(I)

[3] 가용성(A)

[4] 인증성

[5] 책임추적성

 

[1] 기밀성(Confidentiality)

알 필요성 (Need-to-know) = 최소 권한

비밀이 유지되어야한다는 원칙 = 노출X 유출X (보관중/전송중에 모두 유지되어야함)

* 기밀성을 보장하기 위한 보안 기술 : 접근제어 (= 접근통제), 암호화

 

[2] 무결성(Integrity)

정확성, 신뢰성

정해진 절차에 따라 주어진 권한에 의해서만 변경/삭제

항상 정확성을 일정하게 유지

오류나 태만 : 의도X

cf) 해킹 : 의도O

정보는 의도적이든 그렇지 않든 간에 허가 없이 변경되어서는 안된다.

* 무결성을 보장하기 위한 보안 기술 : 접근제어, 메시지인증

* 정보가 이미 변경되었거나 변경 위험이 있을 시 : 실시간으로 탐지하여 복구할 수 있는 침입탐지 (= IDS), 백업 등의 기술이 필요하다.

 

[3] 가용성 (Availability)

정보 서비스를 거부하여서는 안 된다는 것

적시 = 즉시 = 필요시 = 지체없이 = 시기적절한 접근

* 가용성을 확보하기 위한 보안 기술 : 데이터의 백업, 중복성의 유지, 물리적 위협요소로부터의 보호

* 데이터의 백업, 중복성의 유지 : BCP, DRP

* 물리적 위협요소 : 화재, 수해, 지진

 

[4] 인증성 (Authenticity, Authentication)

'진짜'

메시지 출처 유효성 = 메시지인증

시스템에 도착한 자료가 정말로 신뢰할 수 있는 출처에서부터 온 것인지 = 메시지인증

사용자가 정말 그 사용자인지 = 사용자인증

 

[5] 책임추적성 (Accountability)

'Log'

개체의 행동을 유일하게 추적해서 찾아낼 수 있어야 한다.

부인봉쇄, 억제, 결함분리, 침입탐지예방, 사후복구, 법적인조치 등

부인봉쇄 = 부인방지

결함분리 = Fault tolerance (실패지점찾기)

법적인조치 = 포렌식

 

 

C.I.A 예시

정보보호의 3대 목표인 기밀성(C), 무결성(I), 가용성(A)에 대해 과거를 예시로 들어 설명한다.

부산 ↔ 한양 간 정보를 주고 받는 상황이라고 가정해본다.

 

부산에서 한양으로 파발을 보냈을 때,

이 파발을 누군가 훔쳐보았다면 기밀성(C)이 침해된 것이고,

중간에 다른 파발로 바꿔치기를 했다면 무결성(I)이 침해된 것이다.

 

한편, 한양에서 부산으로 왕명을 전달해야한다면,

보낸 사람이 왕임을 증명하기 위해 옥새를 사용한다.

이 때 이 옥새는 인증 및 부인방지 (= 오리발방지) 의 기능을 한다. 오늘날의 도장과 같다.

 

 

Scytale

직경이 D인 원통에 송신자가 메시지를 새긴 후 문자의 위치를 바꿔 전달했을 때,

수신자가 같은 직경의 원통을 갖고 있어야 해당 메시지를 원래 위치로 풀어낼 수 있는 정보 암호화 방식이다.

이 것은 최초의 전치* 암호로, Scytale이라 불린다.

* 전치 : 위치를 바꿈

 

 

DiD

왕이 중심에 위치하고 그 외곽에 수비1, 그 외곽에 다시 수비2, 그 외곽에 다시 수비3...

마치 원과 같은 형태로 둘러쌓아 보호하는 것을

DiD (= Defense in Depth), 즉 단계적 방어라고 부른다.