1. [정보 보호] 정보 보호

정보 보호의 정의

- 정보의 수집, 가공, 저장, 검색, 송신 또는 수신 중 발생할 수 있는 정보의 훼손, 변조, 유출 등을 방지하기

위한 관리적,기술적 수단을 마련하는 것을 말함 

 

기밀성, 무결성, 가용성, 인증성, 부인 방지를 보장하기 위해

기술적, 물리적 관리적 보호대책을 강구하는 것

 

정보 시스템의 안전한 의존에 의해 얻어지는 이익을 보호하는 것

 

데이터: 수집된 자료
정보: 데이터를 가공한 가공물
지식: 정보로부터 얻어지는 대상 자체나 행위에 대한 이해나 모델 

데이터 > 정보 > 지식  

 

보안 등급

미국(NCSC): 보안의 중요성과 보안 강도에 따라  A1,B3,B2,B1,C2,C1,D로 나뉨

한국: 정보 통신망 침입 차단 시스템의 보안 등급 인증제도를 실시 [K1~K7]  

 

정보 보호의 속성

일반적인 속성

 - 정보 보호 대상의 확대(기업 ~ 개인까지 보호 대상)

 - 정보 시스템을 소유, 운영, 이용하는 모든 사람이 함께 노력해야 할 문제 

 - 성공적인 정보보호  = 기술적, 관리적 대책 마련 + 법적 뒷받침을 말함

 

기술적 속성

 - 기술적 대책만으로는 성공적인 수행이 힘듬

 - 절대적이고 영속적인 대책은 없음

 

정보 보호의 필요성

요즘 다들 온라인이 실생활되면서 효율성 증가 및 삶의 질이 높아졌지만 개인정보 노출,악용 등 침해 사건이 

증가하게 되었다. 이를 막기 위해 정보의 보호가 필요하다고 다들 느겼을 것이다.

 

정보 보호 위협과 공격

1. 보안 위협 동향 : 모바일 결제 및 인터넷 뱅킹 공격 심화, 악성 코드 유포, 정보 유출 등

아래 5 종류가 특히 많이 발생한 것 같음 

 

- 모바일 결제 및 인터넷 뱅킹 공격 심화

- 공격 대상별 맞춤형 악성코드 유포와 동작 방식의 진화

- POS 시스템 보안 위협 본격화

- 오픈 소스 취약점 공격 및 타깃 공격을 통한 정보 유출 가속화

- loT 보안 위협 증가 

 

2. 소극적/적극적 공격

 

- 소극적 공격: 정보만 획득

[ 데이터 변경 X, 시스템 피해 X]

 

대표적으로 가로채기, 트래픽 분석, 도청 등 

 

변화가 없어 검출이 곤란함 - 검출보다 예방이 더 필요

 

- 적극적 공격: 데이터 변경 및 시스템 피해

방어보다는 탐지하는 것이 쉬움

 

방해, 불법적 수정, 서비스 거부 공격 등 

 

정보 보호의 목표

기밀성, 가용성, 무결성  = 정보의 3요소[정보 보호의 기본 목표]

 

- 기밀성: 인가된 사용자[접근 권한을 가진 사람]만이 접근할 수 있도록 함

  비인간된 사용자는 접근 불가

기밀성 유지 되려면 해결해야 하는 문제점
 1. 기밀성 유지할 정보의 기준 필요
 2. 기밀성 유지할 정보와 정보 시스템에 접근을 인가하는 정책 필요
 3. 보는 최소의 단위가 무언인지를 규정[등급을 나눠서 공개 - 1,2,3,4급 권한 등] 

기밀성 유지 방법: 접근 통제 , 암호화

기밀성 위협요소: 도청, 사회공학 등이 존재  

 

- 가용성: 사용을 인가 받은 사람은 언제든지 사용할 수 있다. 

 

장애가 발생하거나 과부하가 걸려서 사용하고자 할때 사용할 수 없게 되거나 장시간 기다리게 해서는 안됨

 

가용성 유지방법: 백업, 위협 요소 제거, 중복성 등

가용성 위협요소: DoS, DDoS, 천재지변, 화재 등

 

- 무결성: 완전성과 정확성을 보호하는 것 - 인가된 사용자만이 정보를 변경 가능

 

무결성 유지방법: 

 - 정밀, 정확성

- 변경, 변조되지 않아야 한다

- 인가된 방법만으로 변경

- 인가된 사용자는 인가된 절차에 의해서만 변경

- 일관성

 

정보 기술 보호의 목표

적용 범위의 확대(비즈니스,교육,행정 등)로 정보 보안 목표보다 필요 요구가 늘어남

 

추가되어진 보안 목표는 책임 추적성, 인증성, 신뢰성

 

책임추적성:

 - 누가 언제 어떤 목적으로 어떤 방법을 통하여 사용했는지 추적할 수 있어야 함  

 

인증서:

 - 어떤 활동이 정상적이고 합법적으로 이루어진 것을 보장함 

 - 정보에 접근할 수 있는 객체의 자격이나 객체의 내용을 검증하는데 사용함

 - 정당한 사용자인지를 판별

[인증이라는 말 그대로 인증한다는 의미]

 

신뢰성:

 - 일관되게 오류의 발생 없이 계획된 활동을 수행

 

내가 이 프로그램을 사용할 때 내 정보가 유출되는지에 대한 걱정을 하지 않고 믿고 사용

할 수 있는지에 관한 사항