1. 정보보호의 목표
정보 보호는 왜 하는 것일까? 다음과 같은 크게 5가지의 목표를 가지고 있다.
1) 기밀성(Confidentiality)
기밀성이란 허가된 사람만이 정보에 접근할 수 있도록 허락하는 것이다. 기밀성을 보장하기 위해서는 암호, 접근 제어 와 같은 기법을 활용한다.
2) 무결성(Integrity)
접근 데이터가 정확한 것을 의미한다. 무결성을 보장하기 위해서 접근 제어, 메시지 인증, 백업, 침입 탐지 기법을 활용할 수 있다.
3) 가용성(Availability)
가용성이란 적시에 데이터에 접근 가능해야함을 의미한다. 가용성 확보를 위해서는 백업, 중복성 유지와 같은 기법을 활용한다.
4) 인증성 (Authentication)
데이터가 진짜라는 것을 확인, 신뢰할 수 있다는 것을 의미한다. 전송 메시지와 그 출처에 대한 유효성을 확인하는 것이다.
5) 책임추적성(Accountability)
개체가 한 행위를 추적할 수 있도록 하는 것을 의미한다. 책임 부인 하지 못하는 부인 방지, 억제, 결함 분리, 침입 탐지 예방 등이 포함된다.
위 5가지 원칙 중 기밀성(C), 무결성(I), 가용성(A)의 3가지를 묶어 CIA Triad 라고 부른다.
2. 정보보호 관리 대책
정보보호를 하기 위해서는 대책이 필요하다. 대책의 종류에 따라서 3가지로 구분해볼 수 있다.
1) 기술적 대책 : 시스템에 적용되는 기술 관련 대책, 암호 기술 , 백업 체제 등
2) 물리적 대책 : 화재, 지진 등 물리적 피해에 대한 대책
3) 관리적 대책 : 교육, 법규 등 제도관련 대책
3. OSI 보안 구조
Open systems Interconnection 보안구조는 관리자가 조직 내에서 보안 도전 과제에 대응할 수 있는 구조적인 방법을 제공한다.
OSI 보안 구조는 1) 보안 공격 2) 보안 메커니즘 3) 보안 서비스로 이루어져 있다.
1) 보안 공격
- 기밀성을 위협하는 공격: Snooping, Traffic analysis (소극적)
- 무결성을 위협하는 공격:변경, 가장, 재연, 부인 (적극적)
- 가용성을 위협하는 공격: DoS (적극적)
2) 보안 메커니즘: 보안 공격을 탐지, 예방, 공격으로 인한 침해를 복구하는 절차
3) 보안 서비스: 보안을 강화하기 위한 서비스, 이때 보안 메커니즘이 활용된다.
4. 소극적 공격 vs 적극적 공격
- 소극적 공격: 데이터를 수집하나 시스템에는 해를 직접적으로 끼치지 않는 공격을 의미한다.
- 적극적 공격: 데이터를 변경하거나 시스템에 해를 끼치는 공격이다.
5. 보안 용어
- 위협의 4가지 종류
- 1) 가로채기: 비인가된 자가 자산 접근을 획득한 것-> 기밀성
- 2) 가로막기: 시스템 사용 불가하게 되는 것. -> 가용성
- 3) 변조: 데이터를 수정하는것 -> 무결성
- 4) 위조: 거짓 정보를 생성하는 것 -> 무결성
- 위험 : 자산 x 위협 x 취약점 (vat)
'보안' 카테고리의 다른 글
| [암호학] 암호학 기법, 암호 해독, 암호 알고리즘 안전성 평가 (0) | 2024.12.22 |
|---|