정보보호의 목표와 보안 공격 유형

이선아·2021년 8월 23일
정보보안정보보호
2

📌 정보보호의 목표

  • 기밀성(비밀성, Confidentiality)
    정보의 소유자가 원하는 대로 정보의 비밀이 유지되어야 합니다.
    오직 인가된 사람이나 프로세스, 시스템만이 알 필요성에 근거하여 시스템에 접근해야한다는 원칙으로, 기밀성 보장을 위한 보안 기술은 접근 제어와 암호화 등이 있습니다.

  • 무결성(Integrity)
    정보는 정해진 절차에 따라, 주어진 권한에 의해서만 변경될 수 있어야 한다는 것이 무결성입니다. 특히 무결성을 보장하기 위해서는 오류나 태만과 같이 인간의 실수로부터의 예방이 필요합니다.
    접근 제어, 메시지 인증과 같은 보안 기술로 무결성을 보장할 수 있고 정보가 변경되었거나 변경을 탐지할 수 있게 하기 위해 복구가 가능한 침입 탐지와 백업 등의 기술이 필요합니다.

  • 가용성(Availability)
    정보 시스템은 적절한 방법으로 작동되어야 하며, 정당한 방법으로 권한이 주어진 사용자에게 정보 서비스를 거부해서는 안되며 인가된 자만이 접근할 수 있어야 한다는 것을 가용성이라고 합니다. 가용성을 확보하기 위해서는 데이터의 백업, 중복성의 유지, 물리적 위협요소로부터의 보호와 같은 보안 기술이 적용되어야 합니다.

🔹 여기까지가 CIA Triad의 보안 목적입니다. 더 완벽한 보안 목적을 위해서는 두 가지의 개념을 더 추가할 수 있습니다.


  • 인증성(인증, Authenticity, Authentication)
    전송 메시지와 메시지 출처 유효성에 대한 확신으로, 정보가 진짜라는 성질을 확인할 수 있고 신뢰할 수 있다는 것을 말합니다. 도착한 자료가 신뢰할 수 있는 출처로부터 온 것인지 확인할 수 있습니다.

  • 책임추적성(책임성, Accountability)
    개체의 행동을 유일하게 추적해서 찾아낼 수 있어야 한다는 내용이 포함되어야 합니다. 시스템은 반드시 이들의 활동 상황을 기록하고 포렌식 분석을 하여 보안 침해를 추적할 수 있어야 합니다. 여기에는 부인 봉쇄(부인 방지) 가 포함됩니다.

    🔹부인 봉쇄(부인 방지) : 메시지의 송수신 후 이 사실을 이후에 증명함으로써 사실 자체의 부인을 방지하는 보안 기술





📌 정보보호의 목표에 따른 공격 유형

🔸 소극적 공격과 적극적 공격

  • 소극적 공격(수동적 공격, Passive Attack) : 공격자의 목표는 정보를 획득하는 것으로 시스템의 데이터를 변경하거나 해를 끼치 않는 공격 형태입니다. 송수신자에게 해를 끼칠 수는 있지만 시스템을 영향을 받지 않습니다. 이런 소극적 공격은 탐지하는 것보다 예방을 더 중요하게 생각합니다.
  • 적극적 공격(능동적 공격, Active Attack) : 공격자는 데이터를 바꾸거나 시스템에 해를 입힐 수 있습니다. 공격자가 다양한 방법을 시도하기 때문에 일반적으로 방어보다 탐지하는 것이 더 쉬운 편입니다.

🔸 공격 유형

  • 기밀성을 위협하는 공격
    1. 스누핑(Snooping) : 스누핑은 데이터에 대한 비인가 접근 또는 탈취를 의미합니다. 비인가자는 전송하는 메시지를 가로채 자신의 이익을 위해 사용할 수 있습니다.
    스누핑을 방지하기 위해서는 암호화 기법을 사용하여 도청자가 데이터를 이해할 수 없도록 만듭니다.
    2. 트래픽 분석(Traffic Analysis) : 암호화 기법을 사용하여 도청자가 데이터를 이해할 수 없도록 만들어도 온라인 트래픽을 분석함으로써 다른 형태의 정보를 얻을 수 있습니다. 예를 들면 전자 주소를 알아내 전송 성향을 추측하는데 도움이 되는 질의와 응답의 쌍을 수집할 수 있습니다.

🔹 기밀성을 위협하는 공격은 소극적(수동적) 공격입니다.



  • 무결성을 위협하는 공격
    1. 변경(메시지 수정, Modification) : 메시지의 일부를 불법으로 수정하거나 메시지 전송을 지연시키거나 순서를 뒤바꾸어 인가되지 않은 효과를 노리는 것입니다.
    2. 가장(Masquerading) : 한 개체가 다른 개체처럼 행동하는 것입니다.
    3. 재연(재전송, Replaying) : 획득한 데이터 단위를 보관하고 있다가 시간이 경과한 후에 재전송함으로써 인가되지 않은 사항에 접근하는 효과를 노리는 것입니다.
    4. 부인(Requdiation) : 메시지를 보냈다는 것을 부인할 수 있고, 메시지를 받았다는 것도 부인할 수 있습니다. 이를 방지하기 위해 부인 방지(부인 봉쇄) 가 있습니다.

🔹 무결성을 위협하는 공격은 적극적(능동적) 공격입니다.



  • 가용성을 위협하는 공격
    1. 서비스 거부(Denial of Service, DoS) : 시스템의 서비스를 느리게 하거나 완전히 차단합니다.

🔹 가용성을 위협하는 공격은 적극적(능동적) 공격입니다.

profile
이선아
깃허브 놀러오세용 -> Tistory로 블로그 이전합니다.
이전 포스트

array, vector, forward_list 함수

다음 포스트

OWASP ZAP-Metasploitable2 연동

0개의 댓글