1. 용어 정의
- 자산(Asset): 조직이 보호해야 할 유·무형의 대상
- 위협(Threat): 자산에 손실을 끼칠 수 있는 사건이나 행동
- 취약점(Vulnerability): 위협의 이용대상으로 기술적, 물리적, 관리적 약점. 취약점은 자산을 노출시킴.
- 위험(Risk): 자산의 취약점을 이용한 위협에 의해 자산에 손실을 끼칠 가능성. 위험은 [자산x위협x취약점]으로 표현하기도 한다.
- 보호대책: 조직의 자산을 위험으로부터 보호하기 위한 조치
| 유형 | 설명 |
| 기술적 보호대책 | 보안 솔루션 도입 및 운영 관점 - 정보시스템, 통신망, 정보를 보호하기 위한 가장 기본적인 대책 |
| 물리적 보호대책 | 시설물 및 장비 보호 관점 - 화재, 수해, 지진 등 자연재해로부터 정보시스템이 위치한 정보처리시설을 보호하기 위한 대책 |
| 관리적 보호대책 | 보안 정책의 수립 및 시행 관점 - 법, 제도, 규정, 교육 등을 확립하고 보안계획을 수립하고 운영하는 대책 |
- 통제: 취약점을 감소시키거나 억제하기 위해 사용되는 메커니즘 전체를 의미
| 시점 | 설명 |
| 예방통제 | 사전에 위협과 취약점을 대처하는 통제 보안사고가 발생하지 않도록 방지하는 것 |
| 탐지통제 | 이미 발생한 보안사고 또는 이벤트를 식별하고 탐지하는 통제 |
| 교정통제 | 탐지된 위협이나 취약점에 대처하거나 감소시키는 통제 사고로 인한 피해를 제한하고 시스템과 데이터 복구하여 정상 작동을 복원하는 것 |
- 접근통제(Access Control): 적절한 권한을 가진 인가된 주체만이 특정 시스템이나 정보에 접근할 수 있도록 통제하는 것
2. 정보보호 정의
- 조직의 정보자산이 내·외부 위협으로부터 기밀성, 무결성, 가용성 등이 보장될 수 있도록 기술적, 물리적, 관리적 보호조치를 마련하는 것
- 법률적 정의: 정보의 수집, 가공, 저장, 검색, 송신, 수신 중에 발생하는 정보의 훼손, 변조, 유출 등을 방지하기 위한 기술적, 관리적 수단 등을 마련하는 것
3. 정보보호 목표
1) 목표
- 기밀성, 무결성, 가용성, 인증, 책임성 등
2) 기밀성(Confidentiality)
- 인가된 주체(사용자, 프로세스, 시스템 등)만이 알 필요성에 근거하여 정보자산에 접근하도록 보장하는 것
- 방법: 접근제어, 암호화 등
3) 무결성(Integrity)
- 권한 있는 자만이 정보자산에 접근하여 그 내용을 생성, 변경, 삭제할 수 있도록 보장하는 것
- 방법: 접근제어, 해시함수, 메시지 인증 코드(MAC), 전자서명 등
4) 가용성(Availability)
- 권한 있는 자의 정보자산 접근 필요시 언제든지 접근할 수 있도록 보장하는 것
- 방법: 데이터 백업, 장비 이중화 구성, 재해복구센터 구축 등
5) 인증(Authentication)
5-1) 사용자 인증
- 정보자산에 접근하는 자의 신원이 주장된 실체와 일치함을 보장하는 것
- 방법: 지식 기반 인증, 소유 기반 인증, 존재 기반 인증 등
5-2) 메시지 인증
- 수신한 메시지가 올바른 상대방이 보낸 메시지임을 보장하는 것
- 방법: 메시지 인증 코드(MAC), 전자서명 등
6) 책임성(Accountability)
6-1) 책임추적성
- 주체를 고유하게 식별하여 그 행위를 추적할 수 있도록 보장하는 것
- 방법: 행위에 대한 감시, 로깅 등
6-2) 부인방지
- 주체가 한 행위를 나중에 부인하지 못하도록 보장하는 것
- 방법: 전자서명 등
4. 정보보호 공격
1) 공격 대상
- 기밀성, 무결성, 가용성이 공격 대상이 된다.
2) 공격 유형
- 소극적(Passive) 공격: 시스템에 직접적인 영향을 끼치지 않는 공격 형태
- 적극적(Active) 공격: 시스템 자원을 변경하거나 시스템 작동에 영향을 끼치는 공격 형태
| 공격 | 유형 | 대상 |
| 스니핑(Sniffing), 스누핑(Snooping), 트래픽 분석 |
Passive | 기밀성 |
| 변조(Modification), 가장(Masquerading), 재전송(Replaying), 부인(Repudiation) |
Active | 무결성 |
| 서비스 거부(DoS) | Active | 가용성 |
※ 스니핑(Sniffing)과 스누핑(Snooping)의 차이: 스니핑은 특정 네트워크 패킷을 수집하는 것. 스누핑은 특정 대상을 엿보는 것으로 이해하기
