[정보보안기사] 2강 정리 : 정보보호관리의 개념

* 개인적인 공부 내용을 기록한 글입니다.

---

2강 정리 : 정보보호관리의 개념

 

 

C.I.A Triad

[1] 기밀성(C)

[2] 무결성(I)

[3] 가용성(A)

 

 

2010년부터 행정기관은 정보보호관리 시스템(ISMS) 인증을 의무적으로 받아야 한다.

망법 제 27조, 개보법 제 32조 2에 근거

ISMS-P = ISMS(정보보호관리) + 개인정보보호 ⇒ 2018년 11월 7일부터 시행

 

 

정보보호 관리와 정보보호 대책 ★★★★★

0계층 : 데이터

1계층 : 기술적 보호대책

2계층 : 물리적 보호대책

3계층 : 관리적 보호대책

 

기술적 보호대책 : 암호화, 접근통제, 백업체제

물리적 보호대책 : 자연재해 대책(화재, 수해, 지진, 태풍), 물리적 보안대책(출입통제, 시건장치)

관리적 보호대책 : 정책, 표준, 지침(가이드라인), 절차, 법, 제도, 규정, 교육

 

정보보호관리 실패 시 : 명성, 생산성, 금전적 손실 (∵ 비용/효익)

100% 완벽한 보안통제는 불가능하다 ⇒ 수용가능한 위험수준 설정

 

 

OSI 보안 구조

X.800

보안 구조의 핵심 : 보안 공격, 보안 메커니즘, 보안 서비스

 

보안 공격 : 정보의 안전성을 침해하는 행위

보안 메커니즘 : 기술 (ex. 전자서명, 암호화)

보안 서비스 : 보안을 강화하기 위한 서비스 (6가지 : C, I, A, 인증, 부인방지, 접근제어)

 

 

보안 공격 ★★★★★

[1] 기밀성 위협 : Snooping(=Sniffing), Traffic Analysis ⇒ 소극적 공격

[2] 무결성 위협 : Modification, Masquerading, Replaying, Repudiation ⇒ 적극적 공격

[3] 가용성 위협 : Denial of Service ⇒ 적극적 공격

 

[1] 기밀성 위협

Snooping(=Sniffing) : 가로채기, 암호화 기법 사용

Traffic Analysis : 내용은 모름, 질의와 응답의 쌍 수집 → 전송 성향 추측

 

[2] 무결성 위협

변경 : 불법으로 수정하기, 메시지 전송 지연시키기, 순서 뒤바꾸기

가장 : 한 개체가 다른 개체의 행세를 함(일반사용자가 특권사용자로 가장=행세), 다른 공격과 병행해서 수행됨

재연 : 보관(Keeping) 후 재전송

부인 : 송신부인방지 + 수신부인방지, 부인방지=오리발방지

 

[3] 가용성 위협

서비스 거부 : 서비스를 느리게 (ex. Slowloris=Slow HTTP Header DoS), 서비스를 완전히 차단

 

 

소극적 공격 vs 적극적 공격 ★★★★★

X.800과 RFC(=Request For Comments) 2828에 따라 분류

소극적 공격 : 수동적 공격, 시스템에 영향 X

적극적 공격 : 능동적 공격, 시스템에 영향 O

 

[1] 소극적 공격 : 시스템에 해 X, 정보의 노출로 2차 피해 가능(개인정보유출 시), 탐지(힘듦)보다 예방(암호화)

↓

[2] 적극적 공격 : 시스템에 해 O, 탐지가 더 쉬움, 상당 기간 수동적 공격을 통해 수집된 정보를 바탕으로 수행됨

 

 

기본 보안용어 ★★★

요약)

정보 = 자산

가로채기, 가로막기, 위조, 변조 = 위협

암호화 조치 미흡 = 취약점

침해가능성/결과 = 위험

 

자산(Asset) : 자산 소유자가 가치를 부여한 실체 (무형자산 포함)

취약점(Vulnerability) : 위협의 이용대상, 약점

위협(Threat) : 환경의 집합, 행동, 사건, 네가지 종류로 구분(가로채기=C, 가로막음=A, 변조=I, 위조=I+인증)

└ 자연에 의한 위협 + 인간에 의한 위협

                              └ 의도적인 위협 + 비의도적인 위협

[1] 의도적인 위협 : 컴퓨터 바이러스, 해커 → 기술적 대책

[2] 비의도적인 위협 : 인간의 실수와 태만 → 철저한 보안정책수립, 사전점검(예방)

위험(Risk) : 가능성, 영향(=결과), 「자산×위협×취약점」(=V×A×T)

 

노출(Exposure)

대책/안전장치(Countermeasure/Safeguard) : 강력한 패스워드 관리, 교육

다계층 보안/심층 방어(Defense in Depth=DiD) : Multi Layered(Level) Security, 여러 계층의 보안대책이나 대응수단을 구성하는 것

 

직무상의 신의성실, 노력(Due...)

[1] Due : 의무

[2] Due care : 주의, 처벌 O

[3] Due Diligence : 노력, 처벌 X

 

사회공학(Social Engineering) ★★★

인간 상호 작용의 깊은 신뢰(평균 20.5일 잠복)를 바탕으로 보안을 깨트리기 위한 침입 수단

과거 : 비기술적

현재 : ICT 기반+비기술적 (=기술+인간)

 

가장 약한 링크 원칙(Principle of weakness link) : 가장 약한 부분=사람

 

시점별 통제(Control) : 예방(사전)→탐지(현재)→교정(사후) ★★★★★

[1] 예방(사전) : 정책, 경고배너, 울타리

[2] 탐지(빨리) : IDS, 접근위반로그

[3] 교정(감소) : BCP/DRP, 백업/복구, 트랜잭션로그

 

보안은 불공정한 게임 : 비대칭성, Never-ending game

전세계 기업 = 공격을 당한 기업+공격 당한 것을 모르는 기업 ⇒ 모두가 공격을 당함

 

 

변조 vs 위조

A → (메시지) → B

변조 : A가 보낸 메시지의 내용을 공격자가 변경하는 것

위조 : A는 모르는 메시지를 공격자가 B에게 A인척 가장하여 보내는 것 (ex. 위조지폐), B측 인증 대책 필요