정보보호(Information Security)의 목표
기밀성(Confidentiality): 오직 인가된 사람, 프로세스, 시스템만이 시스템에 접근해야한다는 원칙이다. 정보의 소유자가 원하는 대로 정보의 비밀이 유지되어야한다. 기밀성을 보장하기 위한 기술에는 접근제어, 암호화 등이 있다.
+ 수신자의 공개키로 암호화하고 수신자의 사설키로 복호화하는 것은 암호 모드로 기밀성 서비스이다.
무결성(Integrity)
가용성(Availability)
인증성(Authenticity)
책임추적성(Accountability): 개체의 행동을 유일하게 추적해서 찾아낼 수 있어야한다는 원칙이다. 부인 봉쇄, 억제, 결함 분리, 침입 탐지 예방, 사후 복구와 법적인 조치 등이 포함된다. 시스템은 반드시 활동 상황을 기록하고, 나중에 포렌식 분석을 하여 보안 침해를 추적할 수 있거나 전송과 관련된 분쟁을 해결할 수 있어야한다.
+ 컴퓨터 포렌식(forensic): 컴퓨터 법의학으로, 전자적 증거물 등을 사법기관에 제출하기 위해 데이터를 수집, 분석, 보고서를 작성하는 일련의 작업이다.
+ 발신자의 사설키로 암호화하고 발신자의 공개키로 복호화하는 것은 인증모드로, 인증과 부인방지 서비스이다.
정보보호 관리(Inforamtion Security Management)
기술적 보호대책
물리적 보호대책
관리적 보호대책
OSI 보안 구조
OSI 보안 구조 핵심: 보안 공격, 보안 메커니즘, 보안 서비스
보안 공격(security attack)
기밀성을 위협하는 공격
- 스누핑(Snooping): 데이터에 대한 비인가 접근 또는 탈취이다. 불법적인 공격자가 전송되는 메시지를 도중에 가로채어 그 내용을 외부로 노출시키는 공격이다.
- 트래픽 분석(Traffic Analysis): 비록 데이터를 암호화하여 이해할 수 없다 할지라도 트래픽을 분석하여 다른 형태의 정보를 얻는다. 수신자・송신자의 전자 주소같은 정보가 이에 해당한다.
무결성을 위협하는 공격
- 변경(Modification)
- 가장(Masqueranding)
- 재연(재전송, Replaying)
- 부인(Repudiation)
가용성을 위협하는 공격
- 서비스 거부(Denial of Service, DoS)
소극적 공격(passive attack)
적극적 공격(active attack)
기본 보안용어 정의
자산(Asset)
취약점(Vulnerability)
위협(Threat)
- 가로채기(interception)
- 가로막음(interruption)
- 변조(modification)
- 위조(fabrication)
위험(Risk): 위협 주체가 취약점을 이용하여 위협이라는 행동을 통해 자산에 악영향을 미치는 결과를 가져올 가능성으로, '자산 × 위협 × 취약점'으로 표현한다. 특정 위협이 가져올 피해가 확률적으로 표현되는 예상 손실이며, 비정상적인 일이 발생할 수 있는 가능성이다.
노출(Exposure)
대책/안전장치(Countermeasure/Safeguard)
다계층 보안/심층 방어(Defense in Depth)
직무상의 신의성실, 노력
- Due
- Due care
- Due Diligence
사회공학(Social Engineering)
시점별 통제(Control)
- 예방통제(Preventive Control)
- 탐지통제(Detective Control)
- 교정통제(Corrective Control)