'23. 2. 3.(금) <sk뉴스쿨 예비과정 7일차 정보보안개론>
일주일이라는 시간이 왜이리 빨리가는지 모르겠다.. 분명 전보다 하루에 자는 시간이 대폭 줄었음에도 불구하고 하루와 일주일이 너무 짧게 느껴진다. 직업군인 시절엔 하루는 길고 일주일은 빨랐다면 지금은 하루도 짧고 일주일도 너무 짧다. 정말 황당하다 다음주면 예비과정이 끝난다는게 믿기지가 않는다. 일단 마지막까지 최선을 다해 출발!!📖
- 개인정보보호법 위반
- 과태료: 해야하는 것을 하지 않은 경우
- 실무에서 사용되는 보안 용어들
- 자산의 관점에서의 보안 요소
- 보안의 주요요소
1) 기밀성(Confidentiality)
2) 가용성(Availability)
3) 무결성(Integrity)
+ 자산(Asset): 회사가 보유한 가치를 지닌 것
위협(Threat): 버그, 오류, 결함 등으로 피해를 받을 수 있는 모든 경우
영향(Impact): 보안사고로 발생할 수 있는 정보자산에 대한 위험 및 비용
위험(Risk): 주어진 위협이 자산의 취약점을 이용하여 자산의 손실과 손상을 유발시킬 수 있는 잠재력(측정될 수 있어야함)- 보안 관리 관점에서의 보안 용어들
1) 접근 통제(Access Control): 서버나 응용시스템, 네트워크의 기능 및 서비스 사용 등을 위한 사용자의 권한에 대한 제한- 정보시스템 관리 관점에서의 보안 용어들
1) 침입 차단 시스템(방화벽): 내부의 컴퓨터 시스템 혹은 내부 네트워크와 공중 인터넷 사이에서 트래픽을 통제하기 위해 사용되는 전용 시스템을 의미
2) 터널링: 개방된 인터넷 망을 안전한 네트워크의 일부로 사용하게 하는 방법으로 특정 사용자들만의 유효한 통신 채녈을 형성하여 논리적인 터널을 만드는 것을 의미
3) 패치(Patch): 운영체제 또는 소프트웨어 등의 결함을 제거하기 위해 보완하는 행위
- 정보보호의 목적
- 기밀성(Confidentiality): 허가 받은 자 외 누구에게도 정보 접근을 허용하지 않는 것
Ex) 아이디와 비밀번호 사용- 무결성(Integrity): 정당한 권한을 갖지 않은 자에 의한 정보의 변경, 삭제, 생성 등으로부터 정보보호
- 가용성(Availability): 사고 및 재앙이 발생하더라도 신속하고 완전하게 복구될 수 있는 특성
- 부인방지(Non-repudiation): 데이터의 수신자에게 그 데이터의 기원이 누구인지를 증명하는 증거 제공
- 정보보안의 목표
- 정보의 가용성 확보: 승인된 사용자의 요구하는 정보, 시스템 및 자원의 접근이 적시에 제공
- 책임 추적성(Accuracy, to the individual level)
- 보안사고 발생 시 누구에 의해 어떤 방법으로 발생한 것인지 추측할 수 있어야 함
- 주체의 신원을 증명하고 그들의 활동을 추적(trance)하는 능력
- 식별, 인증, 권한부여, 접근통제, 감사가 중요 개념 기본
- 접근제어(Access Control)
1) 시스템에서 자원의 사용 가능 여부를 결정하는 과정
2) 통신 시스템과 관련된 허가되지 않은 동작들의 위협으로부터 자원을 보호
3) 주체와 객체, 논리적 접근통제는 식별 - 인증 - 승인 - 권한부여(인가)
- 정보보호의 위협과 위험
- 자산(Asset): 조직의 업무에 사용되는 가치가 있는 것 중에서 서버, 통신 장비, 어플리케이션 그리고 DB 등 정보 시스템과 정보를 포함한 유형의 설비
- 위협(Threat): 손실이나 손상의 원이이 될 가능성을 제공하는 환경
Ex) 해커의 존재, 공격코드, 자연재해- 취약점(Vulnerablility): 자산의 잠재적인 속성으로서 위협의 이용 대상이 되는 것
* 취약점 - 약점(Weakness)는 상황에 따라 취약점이 될수도, 안될수도 있다.- 위험(Risk)
1) Risk(위험) = Vulnerability(취약성), Asset(자산), Threat(위협)
2) 위협에 따라 생길 수 있는 손실에 대한 가능성
- 잔여 위험(Residual Risk): 정보보호대책을 구현한 후에 남아있는 위험
- STRIDE위협모델
1) Spoofing: 신분위장
2) Tampering: 데이터 변조
3) Repudiation: 부인
4) Information Disclosure(정보 유출)
5) Denial Of Service(서비스 거부)
6) Elevation Of Privilege(권한 상승)
- 인증
- 인증은 크게 4가지 정보를 기반으로 수행
1) 사용자가 알고 있는 것(Knowledge of something)
Ex) 패스워드, 개인 식별 번호(PIN), 자물쇠 번호 등
2) 사용자가 소유하고 있는 것(Possession of something)
Ex) 열쇠(카드 키), 티켓, 여권, 토큰, 스마트 카드, 액세스 카드 등
3) 사용자만의 고유한 특징(Immutable character)
Ex) 지문 인식, 얼굴 인식, 홍채 인식, 정맥 인식 등
4) 추가로 사용자의 위치정보를 인증 수단으로 사용
5) 생체인식 기술만으로는 엄격한 인증을 수행할 수 없음, 따라서 세가지 방법들 중 두 ㄱ지 이상의 방법을 병행하여 사용
- 패스워드 보안 개념
- 일회용 패스워드(One-Time-Password)
1) 사용자에게 고정된 패스워드를 부여하는 대신, 어떤 함수를 부여받고, 사용자는 로그인 시 시스템이 준 값을 자신에게 부여된 함수에 대입하여 그 결과 값을 시스템에 제시
2) 일회용 패스워드의 단점은 함수 계산을 위한 장비 혹은 소프트웨어가 필요- 보안토큰(HSM : Hardware Security Module): 사용자를 인증하기 위해 송수신되는 하드웨어 또는 소프트웨어
- 권한부여(Authorization)
- 1단계 - 식별 / 2단계 - 인증 / 3단계 - 인가 / 4단계 책임추적성
- 권한부여 기술
- 접근 기준(Access Criteria):
1) 접근 통제 허가(Access Control Permission)가 전체 통제나 접근 금지로만 되어있다면 권한부여에서의 쓸모 없는 기준
2) 다양한 주체들은 접근기준으로 식별되고 종합되어야 할 필요가 있음- 기본적인 접근금지(Default to No Access)
1) 개인과 그룹에 할당이 가능하고 운영 시스템을 보호할 수 있는 광범위한 영역의 접근 수준들이 존재
2) 사용자는 읽기, 쓰기, 실행 등의 권한을 가질 수 있으며, 사용자가 어떠한 권한도 설정되지 않았다면 그 사용자가 자원에 접근할 수 있어서는 안된다는 것을 의미- 최소 권한(Least Privilege)원칙
1) 관리자가 사용자에게 업무 수행을 위한 권한을 그 이상으로 부여하는 것은 생산성을 확보하기에는 충분하지만, 사용자들에게 부여된 권한을 남용할 가능성이 있음
2) 기본적인 권한 그룹
a. 읽기전용(Read Only)
b. 읽기와 쓰기(Read & Write)
c. 접근 변경(Access Change)
- 단일 사용 승인(Single Sign On)
단 한번의 로그인 만으로 각종 시스템 및 서비스에 접속
- 운영모드에서 단일 사용 승인을 채택한 인증서버 시스템
1) 커버로스(Kerberos)
2) 유럽식 보안 시스템(SESAME)
3) 크립토 나이트(Kriptonight)- 커버로스(Kerberos)
1) MIT 아테네 프로젝트에서 개발된 신뢰할 수 있는 제 3자 인증 프로토콜
a. 인증(Authentication)과 메시지 보호를 제공하는 보안 시스템
b. 사용자가 요구하는 통신망의 다른 사용들에게 그 사용자를 인증
2) 대칭키(일반키) 암호 체계를 사용하며, 단 대 단(End-to-End) 보안을 제공
3) 기밀성과 무결성에 관하여 안정성을 제공하지만 가용성이나 빈도수 분석과 같은 공격의 직접적인 관여를 하지 않음- 크립토나이트(Kriptonight): IBM에서 제공하는 서비스이며 인증, SSO, 키 분배 서비스를 제공
"한 주동안 많은 것을 배웠다. sk뉴스쿨을 하면서 다시 생각하고 느끼는 점이 많아졌다. 자신감, 책임감, 정보 공유 등의 동료애 등등 나중에 사람들에게 좋은 영향을 끼치는 정보보안계의 인플루언서가 되고 싶다. 꿈을 정한 만큼 그 꿈을 이룰때까지 한번 열심히 달려보도록 하겠다.🙂
오오.. 벨로그에 정리라니 멋지네요 ㅎㅎ
화이팅!_!