정보보호 개요

정보보호관리의 개념

1. 정보보호

목표

• 기밀성 (Confidentiality)
• 무결성 (Integrity)
• 가용성 (Availability)
• 인증 (Authentication)
• 책임추적성 (Accountability)

2. 정보보호 관리

정보보호 관리와 정보보호 대책

• 관리적 보호대책 : 법•제도•규정•교육 확립, 보안계획 수립 및 운영
• 물리적 보호대책 : 자연재해나 적으로부터 보호하기 위한 출입통제, 시건장치 등
• 기술적 보호대책 : 접근통제, 암호, 백업, 보안SW 등

3. OSI 보안 구조

개요

ITU-T 권고안 X.800 : 관리자가 보안 문제를 조직화 할 수 있는 방법 제공.

구조 핵심 : 보안 공격, 보안 매커니즘, 보안 서비스

보안 공격 (security attack)

• 기밀성 위협 : 스누핑, 트래픽 분석
• 무결성 위협 : 변조(Modificattion), 위장(Masquerading), 재전송(Replaying), 부인(Repudiation)
• 가용성 위협 : DoS, TCP Flooding, Death of Ping
• 소극적 공격과 적극적 공격 (X.800, RFC 2828)
  • 소극적 공격 : 정보 획득 목적, 기밀성 위협
  • 적극적 공격 : 파괴•장애 등 목적, 방어보단 탐지가 쉬움, 무결성•가용성 위협

4. 기본 보안용어 정의

자산(Asset)

조직이 보호해야할 대상으로 데이터 혹은 자산 소유자가 가치를 부여한 실체

취약점(Vulnerability)

비허가 접근을 허용하게 하는 약점으로 위협의 이용 대상

위협(Threat)

손실이나 손상의 원인이 될 가능성을 제공하는 환경의 집합

• 가로채기(interception) → 기밀성 영향
• 가로막음(interruption) → 가용성 영향
• 변조(Modification) → 무결성 영향
• 위조(Fabrication) → 무결성, 인증 영향

위험(Risk)

위협 주체가 취약점을 활용할 수 있는 가능성과 관련된 비즈니스 영향

“자산x위협x취약점”

노출(Exposure)

위험 주체로 인해 손실이 발생할 수 있는 경우

대책/안전장치(Countermeasure/Safeguard)

취약점 제거 혹은 이용 가능성을 감소시키기 위한 SW, HW, 절차

사회공학(Social Engineering)

인간의 신뢰를 기반으로 정상적인 보안 절차를 무력화 하기 위한 침입 수단

시점별 통제(Control)

• 예방통제(Preventive Control)
• 탐지통제(Detective Control)
• 교정통제(Corrective Control)

---

정보보호 관리 및 법규