정보보안기사 필기 1-1. 정보보호 개념

정보보안기사 필기 1-1. 정보보호 개념

목 차
1. 정보보호
2. 정보의 안정성과 가용성
3. 정보보호의 목표
4. 정보보호 관리
5. 소극적 공격과 적극적 공격
6. 보안 용어
7. 시점별 통제(Control)

 

1. 정보보호

• 정보의 수집, 가공, 저장, 송/수신 중에 발생하는 정보의 훼손, 변조, 유출 등을 막기 위한 관리적, 기술적 수단으로 정보를 지키는 행위
• 정보보호는 정보의 기밀성, 무결성, 가용성, 인증성 및 부인방지를 보장하기 위해 관리적, 기술적, 물리적 보호대책을 강구하는 것

인증성(인증)은 시스템에 진입 시 사용자에 대해 합법적인 사용자인지 체크하는 사용자 인증과, 메시지의 출처를 검증하는 메시지 인증으로 구분된다.

 

2. 정보의 안정성과 가용성

• 정보보호를 하기위해 강구되는 보호대책을 통제와 활용 사이에서 균형 있게 적용시켜야 한다.
• 사용자가 원하는 정보를 쉽고 빠르게 얻을 수 있으면서도(가용성, 사용자) 정보를 얻는 과정안에서는 위협이 될 만한 요소를 최소화(안정성, 보안관리자)시키는 균형점(정보보안 전문가)을 찾는 것이다.
• 위험은 제거대상이 아닌 관리대상이며, 탐지되거나 감소될 수 있지만 제거될 수 없다.

 

3. 정보보호의 목표

1) 기밀성(Confidentiality)

• 오직 인가된 사람, 프로세스, 시스템만이 알 필요성(최소권한)에 근거하여 정보에 접근해야 한다는 특성
• 정보의 소유자가 원하는대로 정보의 비밀이 보관 중이든 전송 중이든 어느 시점에서도 유지되어야 한다는 원칙이다.
• 보호대책 → 접근제어, 암호화
• 위협공격 → 스푸핑, 트래픽 분석

 

2) 무결성(Integrity)

• 정보는 정해진 절차 그리고 주어진 권한에 의해서만 변경되어야 한다는 특성
• 정보는 항상 정확성을 유지해야 하며, 의도적이든, 우발적이든 권한이 있는 사용자에 의해서만 변경되어야 한다.
• 보호대책 → 정보 변경 전은 접근제어, 메시지 인증, 정보 변경 후는 침입탐지, 백업
• 위협 공격 → 변경, 가장, 재전송, 부인

 

3) 가용성(Availability)

• 권한이 있는 사용자에 대해 정보 서비스를 거부해서는 안된다는 특성
• 보호대책 → 백업, 중복성(BCP/DRP) 유지
• 위협 공격 → 서비스 거부 공격

 

4) 인증성(Authentication)

• 시스템에 도착한 정보가 신뢰할 수 있는 출처에서부터 온 것인지(메시지 인증)와 정말 그 사용자가 보낸 정보가 맞는지(사용자 인증)를 확인 할 수 있는 특성
• 제3자에게 자신이 적법한 사용자라는 것을 증명할 수 있도록 하는 기능

 

4. 정보보호 관리

1) 정보보호

• 정보의 수집, 가공, 저장, 송/수신 중에 발생하는 정보의 훼손, 변조, 유출 등을 막기 위한 관리적, 기술적 수단으로 정보를 지키는 행위

 

2) 정보보호 관리 시스템

• 정보통신망의 안정성 및 신뢰성을 확보하여 정보자산의 기밀성, 무결성, 가용성을 실현하기 위한 관리적, 기술적 수단과 절차 및 과정을 체계적으로 관리, 운영하는 체계
• 2010년부터 행정기관은 정보보호관리 시스템(ISMS) 인증을 의무적으로 받아야 한다.

 

3) 정보보호 관리와 대책

• "관리적 보호대책 > 물리적 보호대책 > 기술적 보호대책"의 계층적인 구조로 되어있다.

① 기술적 보호대책 : 정보(데이터)를 보호하기 위한 가장 기본적인 대책으로, 접근통제, 암호화, 백업 등 보안성이 강화된 시스템 소프트웨어를 사용하는 등의 대책이 포함된다.
② 물리적 보호대책 : 화재, 수해, 지진 등과 같은 자연재해로부터 정보(데이터)를 보호하기 위한 대책이 포함된다.
③ 관리적 보호대책 : 법, 제도, 규정, 교육 등을 확립하고, 보안계획을 수립하여 이를 운영하며, 위험분석 및 보안감사를 시행하여 정보시스템의 안전성과 신뢰성을 확보하기 위한 대책이 포함된다.

• 이러한 정보보호 관리는 위험을 100% 차단하는 것은 불가능하기 때문에 수용가능한 위험 수준을 설정하여 지속적인 관리가 필요하다.
• 정보보호 관리 실패시 기업의 명성, 금전적 손실 등의 손해가 발생하게 된다.

 

5. 소극적 공격과 적극적 공격

1) 소극적 공격(수동적 공격, Passive Attack)

• 공격자가 데이터를 변경하거나 시스템에 영향을 미치지 않는 선에서 단순하게 정보를 획득하기 위한 공격
• 소극적인 공격에 대해서는 탐지보다 예방에 더 신경을 써야한다.

 

2) 적극적 공격(능동적 공격, Active Attack)

• 공격자가 데이터를 변경하여 시스템에 영향을 미치게 하여 무결성과 가용성을 위협하는 공격
• 적극적인 공격은 다양한 방법을 사용하기 때문에 예방보다는 탐지에 신경을 써야 한다.
• 적극적인 공격은 오랜 시간 수동적인 공격을 통해 얻은 정보를 바탕으로 이루어진다.

 

6. 보안 용어

1) 자산(Asset)

• 조직이 보호해야 할 대상으로서 데이터 혹은 자산 소유자가 가치를 부여한 실체

 

2) 취약점(Vulnerability)

• 네트워크나 시스템 내에 위협이 발생할 수 있는 가능성이 있는 약점
• 시스템 보안 정책을 위반할 수 있는 관리상의 오류 및 약점
• 정보시스템 또는 정보보호 시스템의 결함 또는 손실에 의하여 발생되는 약점

 

3) 위협(Threat)

• 취약점을 이용하여 네트워크나 시스템에 악영향을 줄 수 있는 원인의 집합
• 가로채기, 가로막음, 변조, 위조 등의 보안에 해를 끼치는 행동이나 사건
• 보안을 침해하고 손해를 가져올 수 있는 이벤트 및 잠재적 보안 위반

 

4) 위험(Risk)

• 취약점을 이용하여 발생하는 위협이라는 행동이나 사건이 네트워크나 시스템 내에 악영향을 미치는 결과
• 특정 위협이 가지고 올 수 있는 예상 손실
• 위험 = 자산 X 위협 X 취약점

"사용자의 컴퓨터(자산)에 백신은 설치되어 있지만 업데이트를 하지 않는다면(취약점), 해당 사용자의 컴퓨터는 랜섬웨어에 대하여 취약할 것이며, 랜섬웨어(위협)에 감염된다면 사용자는 손해(위험)를 보게 될 것이다."

 

7. 시점별 통제(Control)

• 예방통제(Preventive Control) : 사전에 위협과 취약점에 대처하는 통제
• 탐지통제(Detective Control) : 위협을 탐지하는 통제, 빠르게 탐지할수록 대처가 용이, 예방통제를 우회한 문제점을 찾아내는 통제
• 교정통제(Corrective Control) : 이미 탐지된 위협이나 취약점에 대처하거나, 위협이나 취약점을 감소시키는 통제

 

[그림 1. 시점별 통제]