반응형
정보보안기사 필기 1-1. 정보보호 개념
목 차
1. 정보보호
2. 정보의 안정성과 가용성
3. 정보보호의 목표
4. 정보보호 관리
5. 소극적 공격과 적극적 공격
6. 보안 용어
7. 시점별 통제(Control)
1. 정보보호
- 정보의 수집, 가공, 저장, 송/수신 중에 발생하는 정보의 훼손, 변조, 유출 등을 막기 위한 관리적, 기술적 수단으로 정보를 지키는 행위
- 정보보호는 정보의 기밀성, 무결성, 가용성, 인증성 및 부인방지를 보장하기 위해 관리적, 기술적, 물리적 보호대책을 강구하는 것
인증성(인증)은 시스템에 진입 시 사용자에 대해 합법적인 사용자인지 체크하는 사용자 인증과, 메시지의 출처를 검증하는 메시지 인증으로 구분된다.
2. 정보의 안정성과 가용성
- 정보보호를 하기위해 강구되는 보호대책을 통제와 활용 사이에서 균형 있게 적용시켜야 한다.
- 사용자가 원하는 정보를 쉽고 빠르게 얻을 수 있으면서도(가용성, 사용자) 정보를 얻는 과정안에서는 위협이 될 만한 요소를 최소화(안정성, 보안관리자)시키는 균형점(정보보안 전문가)을 찾는 것이다.
- 위험은 제거대상이 아닌 관리대상이며, 탐지되거나 감소될 수 있지만 제거될 수 없다.
3. 정보보호의 목표
1) 기밀성(Confidentiality)
- 오직 인가된 사람, 프로세스, 시스템만이 알 필요성(최소권한)에 근거하여 정보에 접근해야 한다는 특성
- 정보의 소유자가 원하는대로 정보의 비밀이 보관 중이든 전송 중이든 어느 시점에서도 유지되어야 한다는 원칙이다.
- 보호대책 → 접근제어, 암호화
- 위협공격 → 스푸핑, 트래픽 분석
2) 무결성(Integrity)
- 정보는 정해진 절차 그리고 주어진 권한에 의해서만 변경되어야 한다는 특성
- 정보는 항상 정확성을 유지해야 하며, 의도적이든, 우발적이든 권한이 있는 사용자에 의해서만 변경되어야 한다.
- 보호대책 → 정보 변경 전은 접근제어, 메시지 인증, 정보 변경 후는 침입탐지, 백업
- 위협 공격 → 변경, 가장, 재전송, 부인
3) 가용성(Availability)
- 권한이 있는 사용자에 대해 정보 서비스를 거부해서는 안된다는 특성
- 보호대책 → 백업, 중복성(BCP/DRP) 유지
- 위협 공격 → 서비스 거부 공격
4) 인증성(Authentication)
- 시스템에 도착한 정보가 신뢰할 수 있는 출처에서부터 온 것인지(메시지 인증)와 정말 그 사용자가 보낸 정보가 맞는지(사용자 인증)를 확인 할 수 있는 특성
- 제3자에게 자신이 적법한 사용자라는 것을 증명할 수 있도록 하는 기능
4. 정보보호 관리
1) 정보보호
- 정보의 수집, 가공, 저장, 송/수신 중에 발생하는 정보의 훼손, 변조, 유출 등을 막기 위한 관리적, 기술적 수단으로 정보를 지키는 행위
2) 정보보호 관리 시스템
- 정보통신망의 안정성 및 신뢰성을 확보하여 정보자산의 기밀성, 무결성, 가용성을 실현하기 위한 관리적, 기술적 수단과 절차 및 과정을 체계적으로 관리, 운영하는 체계
- 2010년부터 행정기관은 정보보호관리 시스템(ISMS) 인증을 의무적으로 받아야 한다.
3) 정보보호 관리와 대책
- "관리적 보호대책 > 물리적 보호대책 > 기술적 보호대책"의 계층적인 구조로 되어있다.
① 기술적 보호대책 : 정보(데이터)를 보호하기 위한 가장 기본적인 대책으로, 접근통제, 암호화, 백업 등 보안성이 강화된 시스템 소프트웨어를 사용하는 등의 대책이 포함된다.
② 물리적 보호대책 : 화재, 수해, 지진 등과 같은 자연재해로부터 정보(데이터)를 보호하기 위한 대책이 포함된다.
③ 관리적 보호대책 : 법, 제도, 규정, 교육 등을 확립하고, 보안계획을 수립하여 이를 운영하며, 위험분석 및 보안감사를 시행하여 정보시스템의 안전성과 신뢰성을 확보하기 위한 대책이 포함된다.
- 이러한 정보보호 관리는 위험을 100% 차단하는 것은 불가능하기 때문에 수용가능한 위험 수준을 설정하여 지속적인 관리가 필요하다.
- 정보보호 관리 실패시 기업의 명성, 금전적 손실 등의 손해가 발생하게 된다.
5. 소극적 공격과 적극적 공격
1) 소극적 공격(수동적 공격, Passive Attack)
- 공격자가 데이터를 변경하거나 시스템에 영향을 미치지 않는 선에서 단순하게 정보를 획득하기 위한 공격
- 소극적인 공격에 대해서는 탐지보다 예방에 더 신경을 써야한다.
2) 적극적 공격(능동적 공격, Active Attack)
- 공격자가 데이터를 변경하여 시스템에 영향을 미치게 하여 무결성과 가용성을 위협하는 공격
- 적극적인 공격은 다양한 방법을 사용하기 때문에 예방보다는 탐지에 신경을 써야 한다.
- 적극적인 공격은 오랜 시간 수동적인 공격을 통해 얻은 정보를 바탕으로 이루어진다.
6. 보안 용어
1) 자산(Asset)
- 조직이 보호해야 할 대상으로서 데이터 혹은 자산 소유자가 가치를 부여한 실체
2) 취약점(Vulnerability)
- 네트워크나 시스템 내에 위협이 발생할 수 있는 가능성이 있는 약점
- 시스템 보안 정책을 위반할 수 있는 관리상의 오류 및 약점
- 정보시스템 또는 정보보호 시스템의 결함 또는 손실에 의하여 발생되는 약점
3) 위협(Threat)
- 취약점을 이용하여 네트워크나 시스템에 악영향을 줄 수 있는 원인의 집합
- 가로채기, 가로막음, 변조, 위조 등의 보안에 해를 끼치는 행동이나 사건
- 보안을 침해하고 손해를 가져올 수 있는 이벤트 및 잠재적 보안 위반
4) 위험(Risk)
- 취약점을 이용하여 발생하는 위협이라는 행동이나 사건이 네트워크나 시스템 내에 악영향을 미치는 결과
- 특정 위협이 가지고 올 수 있는 예상 손실
- 위험 = 자산 X 위협 X 취약점
"사용자의 컴퓨터(자산)에 백신은 설치되어 있지만 업데이트를 하지 않는다면(취약점), 해당 사용자의 컴퓨터는 랜섬웨어에 대하여 취약할 것이며, 랜섬웨어(위협)에 감염된다면 사용자는 손해(위험)를 보게 될 것이다."
7. 시점별 통제(Control)
- 예방통제(Preventive Control) : 사전에 위협과 취약점에 대처하는 통제
- 탐지통제(Detective Control) : 위협을 탐지하는 통제, 빠르게 탐지할수록 대처가 용이, 예방통제를 우회한 문제점을 찾아내는 통제
- 교정통제(Corrective Control) : 이미 탐지된 위협이나 취약점에 대처하거나, 위협이나 취약점을 감소시키는 통제
반응형
'정보보안기사 필기 > 1. 정보보안 일반' 카테고리의 다른 글
정보보안기사 필기 1-6. 정보보호 일반 요점 정리(2) (0) | 2022.04.19 |
---|---|
정보보안기사 필기 1-5. 정보보호 일반 요점 정리(1) (0) | 2022.04.19 |
정보보안기사 필기 1-4. 대칭키 암호(DES, AES) (0) | 2021.01.05 |
정보보안기사 필기 1-3. 대칭키 암호(블록암호, 스트림 암호) (0) | 2021.01.03 |
정보보안기사 필기 1-2. 암호학 (0) | 2021.01.01 |