정보보호의 목표
CIA Triad
1. 기밀성(Confidentiality):시스템에는 인가된 사람, 시스템만이 접근 해야 한다.(접근제어, 암호화 등)
2. 무결성(Integrity): 정보는 절차에 따라, 권한에 따라서만 변경되어야 한다.(접근제어, 메시지 인증 등)
3. 가용성(Availability): 정보 시스템은 적절한 방법으로 작동 되어야 하고 정당한 방법으로 권한을 가진 자에게 정보 서비스를 거부해서는 안된다.(백업, 중복성 유지 등)
4. 인증성(Authenticity): 진짜라는 성질을 확인 및 신뢰할 수 있다.
5. 책임추적성(Accountability): 개체의 행동을 유일하게 추적해서 찾아낼 수 있어야 한다.(부인 봉쇄. 억제, 법적인 조치 등)
정보보호 관리
기술적 보호대책 - 접근통제, 암호기술, 백업체제 등
물리적 보호대책 - 자연재해로부터의 대책과(지진, 태풍 등) 적의 파괴로부터 정보시스템을 보호하기 위한 대책(출입통제 등)
관리적 보호대책 - 법, 제도, 규정 등을 확립하고 운영, 위험분석 등을 시행하여 시스템의 안정성과 신뢰성을 확보.
OSI 보안 구조
●ITU-T 권고안, X.800, OSI 보안 구조는 관리자가 효과적으로 보안 문제를 조직화 할 수 있도록 함.
●국제적으로 표준화 되어 있음
1. 보안 공격(Security Attack): 기관이 소유한 정보의 안전성을 침해
2. 보안 매커니즘(Security Mechanism): 보안 공격을 탐지, 예방 or 공격으로 안한 침해 복구
3. 보안 서비스(Security Service): 조직의 정보 전송 등의 보안을 강화하기 위한 통신 서비스, 하나 이상의 보안 매커니즘 사용.
보안 공격(Security Attack)
기밀성에 관한 공격
●스누핑(Snooping) - 데이터에 대한 비인가 접근 또는 탈취
●트래픽 분석(Traffic Analysis) - 데이터가 암호화 되어 있어도 온라인 트래픽을 분석함으로서 다른 형태의 정보를 얻을 수 있다.
무격성에 관한 공격
● 메시지 수정(Modification) - 적법한 메시지의 일부를 불법으로 수정, 메시지 정송 지연 등으로 인가되지 않은 효과를 노림.
●신분위장(Masquerading) - 한 개체가 다른 개체의 행세를 하는 것.
●재전송(Replaying) - 획득한 데이터 단위를 보관하다가 시간이 지난 후에 재전송하여 인가되지 않은 사항에 접근.
●부인(Repudiation) - 메시지 송신자와 수신자는 차후에 자신이 메시지를 보냈단 것과 받았단 것을 부인할 수 있음.
가용성에 관한 공격
●서비스 거부(Denial Of Service) - 일반적인 공격으로 시스템의 서비스를 느리게 하거나 차단함.
이중에서 스누핑, 트래픽 분석을 소극적 공격(수동적, Passive Attack)이라 하고 나머지 공격들은 적극적 공격(능동적, Active Attack)이라 한다.
소극적 공격 - 시스템으로부터 정보를 획득하려는 시도이나 시스템 자원에는 영향을 끼치지 않음.
적극적 공격 - 시스템 자원을 변경하거나 작동에 영향을 기침.
보안의 기본 용어
● 자산(Asset)
- 조직이 보호해야 할 대상, 데이터 혹은 자산 소유자가 가치를 부여한 실체
● 취약점(Vulnerability)
- 소프트웨어, 하드웨어, 절차 또는 인력상의 약점
●위협(Threat)
- 손실이나 손상의 원인이 될 가능성을 제공하는 환경, 보안에 해를 끼치는 행동, 임의의 위협은 네 가지로 구분됨
- 가로채기(Interception): 비인가된 당사자가 자산으로의 접근을 획득(기밀성에 영향)
- 가로막음(Interruption): 시스템 자산이 손실/접근 불가/사용 불가됨(가용성에 영향)
- 변조(Modification): 비인가된 당사자가 접근하여 내용을 변경(무결성에 영향)
- 위조(Fabrication): 비인가된 당사자가 컴퓨팅 시스템상에 불법 위조 정보 생성(무결성, 인증에 영향)
●위협
● 인간에 의한 위협 ● 자연에 의한 위협
비의도적 위협 의도적 위협
●위험(Risk)
- 위협 주체가 취약점을 활용할 수 있는 가능성과 그와 관련된 비즈니스 영향을 가리킨다.
- 위협 주체가 취약점을 이용하여 자산에 악영향을 미치는 결과를 가져올 가능성
- 위험은 자산x위협x취약점 으로 표현한다.
●노출(Exposure)
- 위협 주체로 인해 손실이 발생할 수 있는 경우. (패스워드 유출 등)
●대책/안전장치(Countermeasure/Safeguard)
- 잠재적 위험을 완화시키기 위해 패치.
- 대책은 취약점 제거 도는 취약점 사용 가능성을 줄이기 위한 소프트웨어 설정, 하드웨어 장비 혹은 절차.
●사회공학(Social Engineering)
- 인간 상호 작용의 싶은 신뢰를 바탕으로 사람들을 속여 정상적인 보안 절차를 깨트림.
●시점별 통제(Control)
1. 예방통제(Preventive Control): 사전에 위협과 취약점에 대처하는 통제.
2. 탐지통제(Detective Control): 위협을 탐지하는 통제, 빠르게 탐지할수록 대처에 용이.
3. 교정통제(Corrective Control): 이미 탐지된 위협이나 취약점에 대처, 감소시키는 통제.