정보 보안

Ray·2023년 10월 16일
security
0

정보보안 Information Security

목록 보기
1/4
post-thumbnail

🔒 보안이란 무엇인가?

정보에 대한 승인받지 않은 접근, 이용, 노출, 중단, 변조, 파괴로부터 보호하는 것
-U.S. Government, Legal Information Institute, Title 44, Chapter 35, Subchapter 111

  • 정보 보안은 데이터와 시스템을 악용하는 사람들로부터 자산을 보호하는 것을 의미한다.

  • 보안에서의 자산(Asset)은 잠재적인 자산까지 포함한다. 물리적 자산(하드웨어), 논리적 자산(소프트웨어)을 생각할 수 있다. 또한, 인적 자산이 가장 중요하다. 이들이 없으면 업무를 할 수 없다.

진정한 보안 시스템은 전원을 끈 시스템이 보관된 콘크리트와 납으로 밀봉된 방을 무장된 경비원이 지키는 것 - 설령 이렇게 하더라도 의심해야 한다.
-E. Spafford. Quotable spaf, Gene Spafford's personal pages

  • 보통 보안 수준이 증가하면, 생산성과 가용성은 떨어진다.

  • 보안에 드는 비용은 보호하는 가치를 넘어서는 안 된다. 엄마의 초코칩 쿠키 요리법을 보호하기 위해 레이저 와이어 울타리, 무장 경비원, 사나운 전투견이 순찰하는 시설을 만들 필요는 없다.

✅ 보안 이슈 논의를 위한 모형

정보 보안의 3요소(CIA)

  • 기밀성(Confidentiality) : 인증되지 않은 사용자의 데이터 조회를 보호하는 능력
  • 무결성(Integrity) : 승인되지 않거나 원하지 않는 방식에 의한 데이터 변경을 보호하는 능력
  • 가용성(Availability) : 필요할 때 데이터에 접근하는 능력

파커리안 6요소

-D. Parker, Fighting Computer Crime, Wiley, 1998

  • 기밀성(Confidentiality)
  • 무결성(Integrity) : 데이터 자체의 완전성 - 부정확한 데이터, 변조된 데이터 등 데이터의 상태에 집중
  • 가용성(Availability)
  • 소유/통제(Possession/Control) : 데이터를 저장하는 매체의 물리적 처리
  • 인증(Authenticity) : 데이터 소유자나 창작자에게 적절하게 권한이 주어지는 것
  • 유용성(Utility) : 데이터를 사용하는 방법

💥 공격(Attack)

공격을 구성하는 것들을 자세히 살펴보면 공격의 종류, 공격이 가져오는 위험을 알 수 있다. 통제에 따라서 공격을 완화시킬 수 있다.

공격의 종류

  • 도청(Interception) 공격 : 승인받지 않은 사용자가 데이터, 응용프로그램과 같은 환경에 접근하는 것 (기밀성에 영향)
  • 방해(Interruption) 공격 : 자산을 일시적 또는 영구적으로 사용할 수 없게 만드는 것 (가용성, 무결성에 영향)
  • 변조(Modification) 공격 : 승인받지 않은 방법으로 파일에 접근하는 등 자산의 부당한 변경에 관련된 것 (무결성, 가용성에 영향)
  • 위조(Fabrication) 공격 : 만들어내는 데이터, 프로세스, 통신, 다른 비슷한 시스템과 관련된 행위 (무결성, 가용성에 영향)

위협, 취약점, 위험

  • 위협(Threat) : 잠재적으로 자산에 해를 입힐 수 있는 가능성
  • 취약점(Vulnerability) : 해를 입힌 적이 있는 약점
  • 위험(Risk) : 어떤 나쁜 일이 일어날 가능성 (위험 = 위협 + 취약점)
  • +영향(Impact) : 공격으로부터 위협받고 있는 자산의 가치를 고려해보고 위험으로 여길지 말지 결정

통제

통제(Control) : 위험을 완화하기 위해 주어진 위협을 다룰 수 있는 수단

  • 물리적 통제 : 물리적 환경 안팎에서 접근을 통제하는 보호-어디에 시스템이 놓일지, 어디에 데이터를 저장할지
  • 논리적 통제 : 시스템, 네트워크, 데이터를 처리, 전송, 저장하는 환경을 보호하는 것
  • 관리적 통제 : 환경의 사용자들이 어떻게 행동해야 하는지에 대한 규칙 제시하고 강제적으로 준수해야 함. 권한 등급을 나타낼 수 있음. 사실상 문서와 관련된 항목-규칙, 법, 정책, 절차, 지침

🛡️ 계층 방어(Defense in depth, DiD)

  • 군사 훈련과 정보 보안의 공통적 전략
  • 하나 이상의 방어책이 실패해도, 여전히 성공적 방어가 가능한 다층 방어
  • 목표 : 공격의 진행을 인지, 계속되는 공격으로부터 보호하기 위한 방어책을 생각할 시간 충분히 확보하는 것
  • 외부 네트워크 : DMZ, VPN, 로깅, 감사, 침투 테스트, 취약점 분석
  • 네트워크 경계 : 방화벽, 프록시, 로깅, 상태기반 패킷 검사 방식, 감사, 침투 테스트, 취약점 분석
  • 내부 네트워크 : 침입탐지시스템, 침입방지시스템, 로깅, 감사, 침투 테스트, 취약점 분석
  • 호스트 : 인증, 백신, 방화벽, 침입탐지시스템, 침입방지시스템, 비밀번호 해싱, 로깅, 감사, 침투 테스트, 취약점 분석
  • 응용 프로그램 : 싱글싸인온(SSO), 콘텐츠 필터링, 데이터 검증, 감사, 침투 테스트, 취약점 분석
  • 데이터 : 암호화, 접근통제, 백업, 침투 테스트, 취약점 분석
profile
Ray
iOS Developer
다음 포스트

식별과 인증

0개의 댓글