Ch00-정보보호개론[3].
Download
Report
Transcript Ch00-정보보호개론[3].
정보보호 개론
정보보호 분야에 대한 전반적인 개념 이해
이 장에서 다룰 내용
1
1
정보보호의 의미와 용어 이해
2
2
정보보안의 위협 요소 이해
3
3
정보보안의 목표 이해
정보사회
정보사회란?
• 정보통신기술을 통해 인간이 보편적으로 사용하던 생활의 기본적 요소를 혁신적으로
변화시켜 정보의 처리, 가공, 축적, 활용을 통해 정보와 지식이 중요 재화로 인식되는
사회
정보사회의 현상
• 전통 산업에 IT가 접목되어 생산성 향상, 고부가가치산업 구조로 변환
• 사회, 문화적으로 정보교환 및 의사소통이 활발
• 수평적 쌍방향 커뮤니케이션 활성화로 권위주의가 약화되고 다양성, 개방성은 증대
• 온라인 쇼핑, 원격교육, 온라인 미디어 등의 급속한 확산으로 생활의 변화
• 인터넷의 정치적 영향력 증가
정보통신에 대한 의존도 증가
• 이미 정치, 경제, 사회, 문화 등 국민생활 전반에 신경계로서 자리잡고 있다.
• 국가발전을 촉진하는 새로운 원동력으로 자리매김하고 있다.
정보보호 배경
IT에 대한 의존도 증가
• 통신시스템, 교통통제시스템, 금융결재시스템, 방송시스템 등
인터넷의 급속한 확산에 따른 사이버 공간의 폐해
• 인터넷의 익명성, 비 대면성, 빠른 전파성, 시공간의 비 제약성
인터넷을 통한 위협(threat) 증가
• 자동화, 에이전트화, 광역화, 다형화, 전파력 증가
유비쿼터스 기술에 의한 다양한 기반 및 접근기술 증가
• 취약점 증가 (SW 버그가 SW 사이즈 만큼 증가하는 것 처럼)
Off-line과 on-line의 경계 모호
• Off-line 영역의 on-line화 증가와 공존
사이버 윤리 및 법적 규제와 대응의 필요
• 내부자 공격의 위협
정보보호의 필요성
유비쿼터스 컴퓨팅 시대에 과도한 개인정보 노출
• 가입 사이트별 개인신상 및 사용실적 보유 (쇼핑몰, 병원 등)
• 개인 식별을 위한 주민등록번호 의존도 증가
공격 기술의 다양화, 악성화
• 시스템 마비, 네트워크 마비, 서비스 방해, 크래킹
• 바이러스, 웜, 스파이웨어 등
• 악성루머 유포, 스팸메일 등
• 피싱 등 금융 관련 악성 피해
공격기술 일반화
• 인터넷을 통한 빠른 공격 기술 전파
대책의 한계
• 예방기술의 한계에 의한 사후약방문
유비쿼터스 컴퓨팅 시대에 대비한 보안 대책 필요
• 개인의 사생활 정보보호 필요성 증대
정보보호 정의
보안(Security)
• 자산의 본래 가치가 손상되지 못하도록 위협으로부터 자산을 적절한 방법으로
보호하는 것.
정보보호
• 각종 정보데이터 및 전산망에서의 자원들을 고의적으로 또는 실수에 의한 불법적인
노출, 변조, 파괴, 서비스지체로부터 보호하는 것.
정보보안의 목표 (보안의 3요소)
Confidentiality
• 기밀성(Confidentiality)
• 무결성(Integrity)
• 가용성(Availability)
Integrity
Availability
보안 요소 (1)
위협(Threat)
• 정보시스템이나 통신망에 피해를 입힐 수 있는 잠재적 가능성을 갖고 있는 이벤트나 활동
- 자연적 또는 물리적: 화재, 홍수, 지진, 정전
- 부주의: 사전 지식이 없는 사용자에 의한 사고
- 고의: 공격자, 테러리스트, 산업스파이, 악성코드
취약성(Vulnerability)
• 안전 장치의 부재 또는 미비
― 물리적, 자연적: 잠그지 않은 문, 고장 난 시스템
― 하드웨어/소프트웨어: 업데이트 되지 않은 바이러스 백신 소프트웨어
― 통신: 암호화 되지 않는 프로토콜
위험(Risk)
• 정보시스템이나 통신망의 피해나 손실에 대한 잠재적 가능성
보안 요소 (2)
기밀성(Confidentiality)
• 정보의 소유자가 원하는 대로 비밀이 유지되어야 한다는 원칙
• 허가받지 않은 비인가자나 프로세스에게 정보가 노출되지 않도록 하는 것을 보장
• 비밀성을 보장하기 위한 수단에는 접근통제, 암호화 등이 있음.
무결성(Integrity)
• 비인가자에 의한 정보의 변경, 삭제, 생성을 보호하여 정보의 정확성과 완전성 보장
• 무결성을 통제하기 위한 수단에는 물리적 통제, 접근통제, 인증 등이 있음.
가용성(Availability)
• 정보시스템은 적절한 방법으로 작동되어야 하며, 정당한 방법으로 권한이 주어진
사용자에게 정보서비스를 거부해서는 안 된다는 원칙
• 가용성확보를 위한 통제 수단에는 데이터백업, 중복 유지, 물리적 위협으로부터 보호 등이
있음.
정보보호의 위협 요소
불법 접근(Illegal Access)
데이터 도청(Interception)
데이터 가로막기(Interruption)
데이터 변조(Modification)
데이터 위조(Fabrication)
데이터 송수신 부인(Non-Repudiation)
서비스 방해
정보보호의 위협 유형 (1)
비인가자의 접근
접근이 정상적으로 허락되지 않은 사용자가 접근
요구되는 보안 요소: 인가
인가(Authorization)
컴퓨터 자원에 대해서 정당한 접근권한을 부여하고 관리하는 절차
정보보호의 위협 유형 (2)
데이터 도청(Interception)
네트워크 장비나 응용 프로그램을 이용하여 원치 않는 제3자가 중간에 정보를
조회하여 비밀성을 침해하는 수법
요구되는 보안 요소: 비밀성(암호화)
*Sniffing: 네트워크 상에 흘러 다니는 패킷을 엿듣는 행위
정보보호의 위협 유형 (3)
데이터 가로막기(Interruption)
출발지로부터의 정보가 특정한 이유로 분실되거나 목적지에 도착하지 못하는
경우
요구되는 보안 요소: 가용성
정보보호의 위협 유형 (4)
데이터 변조(Modification)
정보의 일관성(integrity)을 침해할 수 있는 위협
요구되는 보안 요소: 무결성
정보보호의 위협 유형 (5)
데이터 위조(Fabrication)
허가되지 않은 사용자가 허위정보를 삽입하거나 시스템에 위장된 자료를
보내는 경우
요구되는 보안 요소: 인증
*Spoofing: 송신자 신분을 위조하는 공격
인증(Authentication)
전송 주체가 되는 송.수신자간에 상대방이 실제로 신고된 바로 그 대상인지를 판단하는 과정
정보보호의 위협 유형 (6)
데이터 송수신 부인봉쇄(Non-Repudiation)
데이터를 송신하거나 수신하였을 때, 송수신 사실 부인
• 전자상거래나 전자문서 송수신 경우
요구되는 보안 요소: 부인방지
온라인주문
(딸기 한상자 보내주세요)
보냈습니다.
수신 거부*반송
(주문한적 없습니다)
부인방지(Non-repudiation)
전송 주체가 되는 송.수신자가 송.수신 사실을 부인하지 못하게 하는 절차
정보보호의 위협 유형 (7)
서비스 방해
의미 없는 서비스 요구를 필요 이상으로 빈번히 발생시켜 서버가 정상적인
서비스를 수행하지 못하도록 방해
요구되는 보안 요소: 가용성
보안 및 해킹의 최신 경향
다양성
• 보안 입문 연령층(10~50대)
• 피해 분야: PC나 서버 시스템, 네트워크 시스템, 휴대폰, 기타 전자기기 등
• 특정 호스트에서 네트워크나 도메인 전체 또는 불특정 다수를 대상
분산화
• 여러 개의 중계 PC를 이용한 DDoS(Distributed Denial of Service) 공격
• 직접 공격이 아닌 우회 공격
사회공학(Social Engineering)
• 기술이 아닌 사람의 심리, 느낌, 감정 등 인간이 가지고 있는 취약점을 이용한 공격
예) Voice Phishing 공격
• 내부자에 의한 피해 증가
최근 보안 핫 이슈
키보드 보안
• 사용자의 키보드 입력 정보를 도청
• 주로 주민등록번호, 계좌번호, ID, 비밀번호 등을 도청
피싱(Phishing)
• 전자메일에 첨부된 인터넷 주소를 클릭하면 실제 사이트와 동일해 보이는 위장 사이트로
접속되게 하여 사용자 개인 정보를 획득함.
DRM(Digital Right Management)
• 디지털 콘텐츠의 지적 자산에 대한 권리를 지속적으로 관리 및 보호하는 기술
DDos(Distributed Denial of Service) 공격
• 서비스를 제공하는 서버에 불필요한 서비스 요구를 지속적으로 증가시켜 정상적인
서비스를 제공하지 못하도록 방해하는 공격 방법인 DoS공격을 여러 대의 분산된 PC를
이용해 수행하는 공격
7.7 디도스 인터넷 대란
특징
• 2009년 7월 7일, 국내 및 미국 주요 사이트에 대한 대량 트레픽을 유발하는 공격이 발생
• 공격 목표가 다수 (1차 21개, 2차 26개, 3차 14개, 4차 7개 사이트)
• 국가기관이 공격 대상에 포함
• 공격에 동원된 좀비 PC가 최소 3~18만대로 추정
• 과도한 UDP 또는 TCP Syn을 유도하는 공격 유형에서, 좀비 수자를 늘리고 정상접속으로
보이는 슬로우 공격을 감행
• HTTP Get 플러딩 공격 및 CC(cache control) 공격이 핵심 공격 유형
• 대부분 좀비 PC는 한국에 위치
• 스케줄에 따른 순차 공격 (대상 공격 사이트 다변화)
공격 대상 사이트
• 2차(7.7 18:00-7.8 18:00): 국내 12개(청와대, 국방부, 국회, 외교통산부, MSN, 농협,
외환은행, 신한은행, 조선일보, 한나라당, 주한미군), 미국 14개 사이트 공격
• 3차(7.8 18:00-7.9 18:00): 국내 13개(청와대, 국방부, 국정원, 전자민원, MSN, 다음, 하나/
우리/국민은행, 조선일보, 안철수연구소, 주한미군), 미국 1개 사이트 공격
보안 분야 (1)
시스템 보안
• 정의: 운영체제의 취약성을 이용한 공격
• 기업 업무의 온라인화로 기업 외부 사용자들의 접근이 용이하여 공격에 노출
• 계정에 의한 접근제어, 권한 관리, 로그, 네트워크 제한, 호스트기반 침입탐지에 의한 보호
네트워크 보안
• 네트워크 프로토콜의 취약성을 이용한 공격
• 서비스 거부 공격(Denial of Service), 분산 서비스 거부 공격(Distributed DoS),
Spoofing 공격, Sniffing 공격, Session Hijacking 공격
• 방화벽, 침입탐지시스템을 설치하여 보호
보안 분야 (2)
어플리케이션 보안
• 어플리케이션 코드의 불완전성(bug), 웹서버, DBMS서버의 취약성을 이용한 공격
• 버퍼 오버플로우, 인증 우회, SQL코드 삽입, 쿠키 조작 공격 등
• 어플리케이션에 의한 사용자 인증, 권한관리, 암호화, 로그 기록 등을 통한 보호
데이터 보안
• 시스템 결함 또는 고의적인 공격에 의한 데이터의 변경, 삭제, 삽입, 유출로부터 보호
• 접근제어, 권한관리, 데이터 암호화, 데이터 백업, 데이터 이중 유지, 감사 활동으로 보호
물리적 보안
• 정보 시스템 자산을 절도, 파괴, 화재 등과 같은 갇종 물리적인 위협으로부터 보호하는 방법
• 관리적 통제: 시설 관리, 인적 관리, 교육, 비상 훈련 등에 의한 보호
• 기술적 통제: 접근통제, 침입탐지(센서, CCTV), 화재탐지 및 진압, 백업, 항온항습 장치
• 물리적 통제: 담장, 잠금 장치, 시설
정보보호 개념의 변화
정보보호 개념 변화
• 통신보안(Communication Security)
• 컴퓨터보안(computer Security)
• 네트워크보안 (Network Security)
• 정보보안(Information Security)
• 정보전(Information Warfare)
• 정보보증(Information Assurance)
변화
• 정보전(Information Warfare) 정보보증(Information Assurance)
• 암호기술 및 서비스 중심에서 정보의 가용성을 중시
정보전이란 “우리 자신의 정보, 정보체계는 방어하는 한편 적의 정보, 정보체계에 영향을
미쳐 정보우위를 달성하기 위해 취하는 행위”
정보보증이란 “정보 및 정보체계의 가용성, 무결성, 기밀성, 인증 및 부인방지를 포함해 정보
및 정보체계를 보호하고 방어하는 정보작전으로 보호, 탐지 및 대응능력을 동원 함으로서
정보의 복구능력을 제공한다”
정보보안 정책
관리적 보안 정책
• 보안정책, 인원관리
• 절차관리
• 사고대책관리
기술적 보안 정책
• 서버(시스템 보안), 데이터베이스 보안
• 네트워크 보안
• 응용시스템 보안
물리적 보안 정책
• 전산실 출입통제 및 콘솔 접근통제
정보보호관리체계 인증제도
법적근거
• 정보통신망 이용촉진 및 정보보호 등에 관한 법률
– 제47조: 정보보호관리체계의 인증
인증제도
• 기관: 한국정보보호진흥원(KISA: Korea Information Security Agency)
• 보안전문가들에 의한 인증 심사 후 등급 부여
– 등급: K0, K1, K2, K3, K4, K5, K6, K7
인증대상
• 정보체계 시스템