[정보보안기사] 정보보호 개요

정보보호 개요

정보보호의 정의, 목표 및 기본용어 정리는 정보보안기사 시험에서 출제빈도가 높은 중요한 부분으로 꼽힙니다. 정보보호는 현대 사회에서 점점 더 중요성을 갖는 주제로, 기밀성, 무결성, 가용성을 유지하며 정보 자산을 보호하는 활동입니다. 이를 통해 조직은 정보에 대한 불법적인 액세스, 변경, 파괴 또는 중단으로부터 보호될 수 있습니다.

 

-목차-

1. 정보보호 목표
2. 정보보호 대책
3. OSI 보안 구조
4. 기본 보안용어 정의

---

1. 정보보호 목표

 

정보보호 목표는 기존 CIA(기밀성, 무결성, 가용성) 세 가지에 요즘은 인증성, 책임추적성이 추가된 5가지로 구분합니다. 

이러한 목표를 달성하기 위해 다양한 보안 메커니즘과 정책, 절차, 기술을 적용합니다. 이를 통해 조직은 정보 자산을 안전하게 보호하고, 비즈니스 연속성을 유지하며, 이용자들에게 신뢰와 안정성을 제공할 수 있습니다

 

 

기밀성(Confidentiality)

기밀성은 정보에 대한 액세스가 적절한 권한을 가진 사람에게만 허용되는 것을 의미합니다. 기밀성의 목표는 민감한 정보의 공개나 유출을 방지하여 외부의 불법적인 접근으로부터 보호하는 것입니다. 이를 위해 암호화, 접근 제어, 데이터 마스킹 등의 보안 메커니즘을 사용합니다. 기밀성은 개인정보, 비즈니스 계획, 기술적인 정보 등 중요한 데이터의 보호에 중요한 역할을 합니다.

 

무결성(Integrity)

무결성은 정보가 무단으로 변경되거나 변조되지 않도록 보호하는 것을 의미합니다. 정보의 무결성을 유지하기 위해서는 데이터의 정확성, 완전성, 일관성을 보장해야 합니다. 데이터의 무결성이 깨진다면 정보의 신뢰성과 신속한 의사결정에 영향을 미칠 수 있습니다. 데이터 검증, 디지털 서명, 암호화 기술 등을 활용하여 정보의 무결성을 보호합니다.

 

가용성(Availability)

가용성은 정보 및 정보 시스템이 필요한 사용자가 필요한 시간에 항상 사용 가능한 상태를 유지하는 것을 의미합니다. 정보의 가용성을 유지하기 위해서는 서비스 거부 공격(DDoS), 장애 복구 계획, 백업 및 복구 전략 등을 수립하여 시스템의 지속적인 운영과 중요한 서비스의 제공을 보장해야 합니다. 가용성은 비즈니스 연속성과 고객 만족도에 영향을 미치는 중요한 요소입니다.

 

인증성(Authentication)

인증성은 사용자나 시스템의 신원을 확인하는 과정을 의미합니다. 인증은 불법적인 접근을 차단하고, 정보 자산에 대한 적절한 접근 권한을 부여함으로써 기밀성과 무결성을 보장합니다. 패스워드, 생체 인식, 공개키 인프라(PKI) 등의 인증 메커니즘을 사용하여 사용자의 신원을 확인합니다.

 

책임추적성(Accountability)

시스템 또는 사용자의 행동을 모니터링하고, 행동의 추적 가능성을 제공하여 불법적인 활동이나 위반 사항이 발생한 경우 책임을 추적하고 조치를 취할 수 있도록 합니다. 로그 기록, 감사 추적 기능, 권한 부여 및 감사(AAA) 시스템 등을 통해 책임추적성을 강화할 수 있습니다.

 

---

 2.  정보보호 관리

정보보호 관리는 기업과 조직의 비즈니스 목적을 충족하면서 수용 가능 수준으로 위험을 낮추는 것이며, 위험은 제거대상이 아닌 관리대상 입니다. 식별하거나 감소될 수는 있지만 제거될 수는 없으며, 그 대책으로는 기술적, 물리적, 관리적 보호 대책이 있습니다.각각의 대책은 정보 자산을 보호하고 위협으로부터 조직을 방어하기 위한 다른 측면을 다룹니다. 다음은 각 보호 대책에 대한 자세한 설명입니다

 

기술적 보호 대책

기술적 보호 대책은 기술과 기술 도구를 활용하여 정보 자산을 보호하고 보안 위협으로부터 조직을 방어하는 방법입니다. 

세부 기술은 다음과 같습니다. 

1. 암호화(Encryption): 암호화는 데이터를 암호화하여 불법적인 액세스로부터 보호하는 기술적 보호 대책입니다. 암호화는 데이터를 암호화된 형태로 변환하여 인가된 사용자만 복호화할 수 있도록 합니다. 이를 통해 데이터의 기밀성을 보호할 수 있습니다. 대표적인 암호화 기술로는 대칭키 암호화와 공개키 암호화가 있습니다.
2. 방화벽(Firewall): 방화벽은 네트워크에서 외부로부터의 불법적인 액세스와 공격을 차단하는 기술적 보호 대책입니다. 방화벽은 네트워크 트래픽을 모니터링하고, 허용된 트래픽만 허용하고 나머지는 차단함으로써 네트워크 보안을 강화합니다.
3. 침입 탐지 시스템(Intrusion Detection System, IDS): 침입 탐지 시스템은 네트워크나 시스템에서의 이상 행위나 악성 활동을 탐지하고 신속하게 대응하는 기술적 보호 대책입니다. IDS는 네트워크 트래픽을 모니터링하여 알려진 공격 패턴이나 이상 행위를 탐지하고 관리자에게 경고를 보내어 침입으로부터 네트워크를 보호합니다.
4. 악성 소프트웨어 방지(Malware Prevention): 악성 소프트웨어 방지는 악성 소프트웨어(바이러스, 웜, 트로이 목마 등)의 침입을 방지하고 제거하는 기술적 보호 대책입니다. 이를 위해 안티바이러스 소프트웨어, 스파이웨어 탐지 및 차단 도구, 패치 관리 등의 방법을 사용하여 시스템을 보호합니다.
5. 접근 제어(Access Control): 접근 제어는 인가된 사용자만이 시스템이나 네트워크에 액세스할 수 있도록 하는 기술적 보호 대책입니다. 

 

물리적 보호 대책

물리적 보호 대책은 자연재해와 파괴, 불법적인 액세스로부터 정보 처리 시설을 보호하기 위해 사용되는 다양한 방법을 포함합니다. 물리적 보호 대책은 크게 두 가지로 분류됩니다. 

1. 자연재해 대책: 자연재해(화재, 수해, 지진, 태풍 등)로부터 정보 처리 시설을 보호하기 위해 다음과 같은 대책이 사용될 수 있습니다.
2. 출입 통제와 시건장치: 불법적인 액세스와 파괴로부터 시스템을 보호하기 위해 다음과 같은 대책이 사용될 수 있습니다.

 

 

관리적 보호 대책

관리적 보호 대책은 조직의 정보보호 정책, 절차, 규정, 교육 등을 통해 조직 내에서 정보보호를 관리하는 방법을 말합니다. 이러한 대책은 조직의 인적 자원과 프로세스를 통해 보안 위험을 관리하고 조직 전체의 정보보호 수준을 유지하고 개선하는데 중요한 역할을 합니다. 다음은 관리적 보호 대책의 몇 가지 예시입니다:

1. 정보보안 정책: 조직 내에서 정보보호에 대한 원칙과 가이드라인을 제시하는 문서입니다. 정보보안 정책은 조직의 정보 자산에 대한 접근 권한, 암호화 정책, 이메일 사용 규정 등을 명시하여 정보보호를 지원합니다.
2. 접근 제어 및 권한 관리: 사용자의 접근 권한을 관리하고 제어하기 위한 절차와 정책입니다. 이를 통해 인가된 사용자만이 필요한 정보에 액세스할 수 있으며, 불법적인 접근으로부터 정보를 보호합니다.
3. 교육 및 인식 활동: 조직 내에서 직원들에게 정보보호에 대한 교육과 인식 활동을 제공합니다. 직원들에게 보안 정책 및 절차에 대한 이해를 높이고, 사회 공학 공격이나 악성 소프트웨어에 대한 경각심을 갖도록 지원합니다.
4. 위험 평가 및 관리: 조직 내에서 보안 위험을 평가하고, 적절한 대응 및 관리 방안을 수립하는 프로세스입니다. 위험 평가는 보안 취약점을 식별하고, 그에 따른 조치를 계획하며, 위험 요인을 모니터링하여 조직의 정보보호 수준을 유지합니다.
5. 인사 관리 및 인식 제고: 직원들의 책임과 업무 수행에 대한 인식을 높이기 위해 인사 관리와 인식 제고 활동이 수행됩니다. 이를 통해 직원들이 정보보호에 대한 중요성을 이해하고, 보안 정책 및 절차를 준수할 수 있습니다.

 

---

 

3.  OSI 보안 구조

ITU-T(International Telecommunication Union - Telecommunication Standardization Sector) 권고안 X.800은 OSI(Open Systems Interconnection) 모델에 기반한 보안 구조를 제공하는 표준 문서입니다. 이 권고안은 네트워크 보안의 기본 원칙과 구성 요소에 대한 지침을 제공하여 전 세계적인 통신 시스템에서 보안을 유지하고 강화하는 데 도움을 줍니다. 이 구조는 네트워크 통신의 기밀성, 무결성, 가용성 등의 보안 요구 사항을 충족하기 위해 다음과 같은 세 가지 핵심 요소로 구성됩니다:

 

보안 공격 (Security Attack)

보안 공격은 시스템이나 네트워크의 보안을 위협하는 행위를 의미합니다.보안 공격은 다양한 방식으로 분류될 수 있으며, 주요 위협 요소로는 기밀성, 무결성, 가용성이 있습니다.

1. 기밀성 위협 (Confidentiality Threat):
   기밀성 위협은 공격자가 데이터나 정보에 접근하여 불법적으로 탈취하거나 도청하는 행위입니다. 기밀성 위협은 소극적 공격에 해당하며, 데이터의 기밀성을 침해하는 것이 목적입니다. 공격자는 암호 해독, 패킷 스니핑 등을 사용하여 데이터를 읽거나 탈취할 수 있습니다.
   
   
2. 무결성 위협 (Integrity Threat):
   무결성 위협은 공격자가 데이터를 불법적으로 변경, 변조하거나 위조하는 행위입니다. 무결성 위협은 적극적 공격에 해당하며, 데이터의 무결성을 침해하는 것이 목적입니다. 공격자는 데이터 변조, 위조, 중간자 공격 등을 사용하여 데이터의 무결성을 침해할 수 있습니다.
3. 가용성 위협 (Availability Threat):
   가용성 위협은 공격자가 시스템이나 서비스의 가용성을 방해하거나 중단시키는 행위입니다. 가용성 위협은 적극적 공격에 해당하며, 시스템의 가용성을 침해하는 것이 목적입니다. 공격자는 서비스 거부 공격(Denial-of-Service Attack), 분산 서비스 거부 공격(Distributed Denial-of-Service Attack) 등을 사용하여 시스템이나 서비스의 가용성을 방해할 수 있습니다.

보안 공격은 일반적으로 소극적 공격과 적극적 공격으로 분류됩니다.

• 소극적 공격 (Passive Attack): 소극적 공격은 공격자가 네트워크 통신을 감청하거나 모니터링하여 데이터의 기밀성을 침해하는 것입니다. 이는 데이터의 도청이나 탈취를 포함합니다.
• 적극적 공격 (Active Attack): 적극적 공격은 공격자가 통신을 변경하거나 조작하여 데이터의 무결성이나 가용성을 침해하는 것입니다. 이는 데이터의 위조, 중단, 변조, 서비스 거부 등을 포함합니다.

 

보안 메커니즘 (Security Mechanisms):

 

보안 메커니즘은 OSI 모델의 각 계층에서 보안을 제공하기 위해 사용되는 기술적인 메커니즘입니다. 보안 메커니즘은 보안 서비스를 구현하고 보안 공격에 대한 방어 기능을 제공합니다. 예를 들어, 암호화, 인증, 접근 제어, 안전한 키 분배 등이 보안 메커니즘의 예입니다.

 

보안 서비스 (Security Services):

 

보안 서비스는 OSI 모델의 상위 계층에서 제공되는 보안 기능입니다. 보안 서비스는 통신의 각 단계에서 필요한 보안 요구 사항을 충족시키는 역할을 합니다. 예를 들어, 데이터의 기밀성, 무결성, 인증, 부인 방지, 접근 제어 등이 보안 서비스의 예입니다. 보안 서비스는 보안 메커니즘을 활용하여 구현됩니다.

 

---

 

4. 기본 보안용어 정의

 

자산 (Asset): 자산은 조직이 가치가 있는 것으로 인식하고 보호해야 하는 모든 것을 말합니다. 예를 들어 시스템, 데이터, 소프트웨어, 하드웨어, 인프라 등이 자산에 해당합니다.

 

취약점 (Vulnerability): 취약점은 시스템, 네트워크 또는 애플리케이션에서 발견된 약점이나 보안 결함을 의미합니다. 취약점은 공격자가 시스템에 침입하거나 악용할 수 있는 가능성을 높입니다.

 

위협 (Threat): 위협은 시스템, 네트워크 또는 데이터에 대해 실제로 발생할 수 있는 잠재적인 해롭고 악의적인 행위입니다. 예를 들어 악성 코드, 해커, 자연재해 등이 시스템에 대한 위협 요소가 될 수 있습니다.

 

위험 (Risk): 위험은 자산에 대한 피해 가능성과 피해의 심각성을 평가하는 프로세스입니다. 위험은 취약점과 위협의 조합으로 정의되며, 보안 결정과 관련된 중요한 요소입니다.

 

노출 (Exposure): 노출은 자산이 취약점에 의해 위협에 직접적으로 노출되어 있는 상태를 나타냅니다. 노출된 자산은 공격자에게 쉽게 공격당할 수 있으며, 보안 조치가 필요합니다.

 

대책/안전장치 (Countermeasure): 대책 또는 안전장치는 위협을 완화하거나 예방하기 위해 적용되는 보안 조치를 말합니다. 예를 들어 방화벽, 침입 탐지 시스템, 암호화 등이 대책의 예입니다.

 

다계층 보안/심층 방어 (Defense-in-depth): 다계층 보안 또는 심층 방어는 여러 개의 보안 레이어와 메커니즘을 결합하여 시스템을 보호하는 접근 방식입니다. 단일 보안 메커니즘의 실패나 우회를 방지하기 위해 다양한 보안 방어 메커니즘을 구현하는 것을 목표로 합니다.

 

---

궁금한거 있으시면 댓글 남겨주세요 ^^