정보보호(Information Security)

  • 정보의 수집, 가공, 저장, 송수신 중에 발생하는 정보의 훼손, 변조, 유출 등을 방지하기 위한 관리적, 기술적 수단 또는 그러한 수단으로 이루어지는 행위
  • 기밀성, 무결성, 가용성, 인증성 및 부인방지를 보장하기 위한 기술적, 물리적, 관리적 보호대책을 강구하는 것

목표

  1. 기밀성(Confidentiality)
    • 오직 인가된 사람, 프로세스, 시스템만이 알 필요성에 근거하여 시스템에 접근가능해야 한다.
    • 보안 기술
      • 접근 제어
      • 암호화
  2. 무결성(Integrity)
    • 정보의 내용이 무단으로 생성 또는 변경되거나 삭제되지 않도록 보호되어야 한다.
    • 보안 기술
      • 접근 제어
      • 메시지 인증
      • 침입 탐지
      • 백업
  3. 가용성(Availability)
    • 시스템이 지체 없이 동작하고, 자원이 필요할 때 권한이 있는 사용자가 이용할 수 있어야 한다.
    • 보안 기술
      • 백업 기술
      • 중복 운영 기술

기밀성, 무결성, 가용성의 앞 글자를 따서 CIA라 부르기도 한다.

정보보호 관리(Information Security Management)

  • 조직의 정보를 위험으로부터 보호하기 위한 활동
  • 정보보호 관리에는 기술적, 물리적, 관리적 보호대책들이 존재

보호대책

  • 기술적 보호대책
    • 가장 기본적인 대책
    • 접근통제, 암호기술, 보안성 높은 SW 사용 등
  • 물리적 보호대책
    • 자연재해나 적으로부터 정보들을 보호
    • 정보처리 시설의 출입 통제, 잠금장치 등
  • 관리적 보호대책
    • 제도를 만들고 보안 계획을 세워 운영

용어

  • 자산(Asset)
    • 조직이 보호해야할 대상
    • 정보, 하드웨어, 소프트웨어, 시설 등
  • 취약점(Vulnerability)
    • 정보시스템의 결함
    • 관리적, 물리적, 기술적 약점들을 의미
    • 위협의 이용 대상
  • 위협(Threat)
    • 정보시스템에 해를 끼칠 수 있는 사건 및 행동
    • 위험의 원인
  • 위험(Risk)
    • 정보시스템에 존재하는 위협에 의해 자산에 손실이 발생할 가능성
    • 자산×위협×취약점

보안 공격(Security Attack)

보안의 목표 CIA를 위협

  • 적극적 공격
    • 무결성과 가용성을 공격
    • 데이터를 변경하거나 재전송
      • 신분 위장
      • 메시지의 송수신 부인
      • DDos 공격
  • 소극적 공격
    • 기밀성 공격
    • 원치 않는 대상에게 데이터 노출
      • 스누핑
      • 도청
      • 트래픽 분석

통제(Control)

취약점을 감소시키기 위한 메커니즘

  • 예방통제
    • 사전에 위협과 취약점에 대처하는 통제
  • 탐지통제
    • 위협을 탐지하는 통제
  • 교정통제
    • 탐지된 위협이나 취약점을 대처하거나 감소시키는 통제