1. 정보보호개요
(1) 정보보호목표
- 정보보호의 목표는 기밀성, 무결성, 가용성을 보장하는 것
- 기밀성 : 인가된 사람, 시스템, 프로세스만 시스템에 접근가능
- 무결성 : 불법 변조가 없어야 함
- 가용성 : 합법적인 사용자가 지체없이 사용가능
(2) 정보보호관리
- 기업과 조직의 목적을 충족시키면서 위험을 수용가능한 수준(DoA)으로 낮추는 것
- 기술적 보호대책, 물리적 보호대책, 관리적 보호대책이 있다.
- 기술적 보호대책 : 정보시스템,통신망,정보를 보호하기 위한 가장 기본적인 대책
- 물리적 보호대책 : 화재,수해,지진 등 자연재해로부터 정보시스템이 위치한 정보처리시설을 보호하기 위한 대책
- 관리적 보호대책 : 법,제도,규정,교육 등을 확립하고 보안계획을 수립하고 운영하는 대책
(3) 보안공격
- 보안공격은 소극적 공격과 적극적 공격으로 구분
- 소극적 공격 : 기밀성을 공격하며 자원의 상태를 변경하지 않고 정보만 수집(도청, 스니핑)
- 적극적 공격 : 무결성, 가용성을 공격해 자원의 상태를 변경(변경, 가장, 재전송, 부인, 서비스 부인)
(4) 기본 보안용어
- 자산(Assets) : 조직이 보호해야 할 대상
- 취약점(Vulnerability) : 위협의 이용대상으로 기술적, 물리적, 관리적 약점
- 위협(Theats) : 손실이나 손상의 원인을 제공하는 집합
- 위험(Risk) : 실제 가해진 결과 또는 비정상 상황 발생시 손실의 기대치, 위험의 4가지 구성요소(자산,위협,취약점,정보보호대책)
- 잔여위험 : 보안대책 구현 후 남은 위험
- 노출 : 위협이 취약점을 이용해 위험이 발생한 경우
- 위협은 취약점을 이용해 위험을 야기한다.
- 위협이 있어도 취약점이 없으면 위험하지 않다.
- 취약점 및 위협을 찾는 이유는 위험을 식별하기 위함
- 취약점 및 위협으로 인해 발생할 수 있는 조직의 피해와 현재 구현된 통제의 실패 가능성 및 영향평가시 위험수용수준(DoA)를 포함하여야 한다.
- 자산의 중요도 평가 위해서 먼저 자산목록을 만든다. 이때 자산분석을 실시한다.
(5) 통제(주요 정보보호대책)
- 통제 : 취약점을 감소시키거나 억제하기 위해 사용되는 메커니즘 전체를 뜻함
- 일반통제 : 정보시스템의 SDLC 환경에 대한 통제로서 모든 응용시스템에 공통으로 적용가능한 것
- 출력통제 : 응용통제 중 정보시스템의 출력 시 부적절한 보고서의 배포,지연,유실,오류 등을 방지하기 위한 통제
- 시점별 통제 분류 : 예방통제, 탐지통제, 교정통제
- 예방통제 : 사전에 위협과 취약점을 대처하는 통제, 물리적 접근통제와 논리적 접근통제로 구분된다.
- 탐지통제 : 위협을 탐지하는 통제
- 교정통제 : 탐지된 위협이나 취약점에 대처하거나 위협을 줄이거나 취약점을 감소시키는 통제
(6) 기타
- 감사 : 개발된 컴퓨터 시스템의 작동을 평가하는 작업, 정보시스템 내에 기록, 저장되어 있는 사용자 행위에 대한 다양한 실제 내역을 조사하고 분석하는 과정
- 보안 감사 : 보안시스템이 안전하게 운영되고 있는지를 조사하고 분석하는 행위
- 정보보호 학술적인 정의 : 시스템이나 전자적인 형태의 정보를 처리,저장,전송하는 모든 단계에 걸쳐 고의적,실수에 의한 불법적인 노출,변조,파괴로부터 보호하고 정당한 사용자가 쉽고 빠르게 원하는 정보에 접근할 수 있도록 하는 것
- 정보보호 법적인 정의 : 정보화 촉진 기본법 2조 정보보안을 정보의 수집,가공,저장,검색,송수신 중에 정보의 훼손,변조,유출 등을 방지하기 위한 기술적,관리적 수단을 강구하는 것
- 정보보호 일반적인 정의 : 정보시스템 내부에 보관되거나 통신망을 통하여 전송되는 정보를 시스템 내외부의 각종 위협으로부터 안전하게 보호하여 정보시스템의 기밀성,무결성,가용성을 보장하는 것
- IaaS : 이용자에게 서버,스토리지,네트워크 등 하드웨어 인프라 자원만을 제공하는 서비스
- PaaS : 이용자에게 애플리케이션을 개발,테스트,실행하는데 필요한 OS,플랫폼,개발언어프레임워크 제공하는 서비스
- SaaS : 이용자에게 클라우드 환경에서 동작하는 애플리케이션/소프트웨어 제공하는 서비스
2. 정보보호관리
(1) 정보보호정책 및 요건
- 조직의 정보보호에 대한 방향과 전략근거를 제시하는 중요한 문서
- 조직의 정보자산에 접근할 모든 사람이 따를 규칙 등을 기술한 지침과 규약
- 임직원의 가치판단 기준으로 경영진의 승인이 필요
- 포괄적, 일반적, 개괄적으로 기술된 문서
- 목적 : 최소한 중요한 정보자산이 무엇인지 식별하고 정보의 어떤 특성이 만족되어야 하는지 선언
- 적용범위 : 조직에 미치는 영향을 고려하여 중요한 업무, 서비스, 조직, 사람, 자산들을 포함
- 내용 : 누구든지 쉽게 숙지할 수 있도록 중요한 사항만을 간단하고 명료하게 작성
- 책임 : 정보보호정책 수행에 필요한 경영진, 정보보호조직, 일반직원등의 책임 명확히 정의
- 승인 : 조직의 최고 경양자의 의지를 확인할 수 있도록 문서로 승인
(2) 정보보호정책 구현요소
- 표준 : 구체적인 요구사항을 정의한 것, 강제성 있다.
- 기준선 : 일관된 참조 포인트로 최소보호수준을 정의하는데 사용
- 지침 : 계획 수립, 구현 등에 대한 권고사항, 시스템이 지속적으로 변할 경우 새로운 표준의 준비가 어려운 경우에 사용자들이 정보보호에 관한 중요사항을 간과하는 것을 막아주는 기능을 제공
- 절차 : 정책이 어떻게 구현되고 누가 무엇을 하는지 기술한 가이드라인, 밟아 나가야 하는 세부단계를 담고 있다.
3. 위험관리(Risk Management)
(1) 개요
- 정보보호관리 활동의 핵심으로 위험을 수용가능한 수준으로 유지하기 위해 자산 및 시스템의 위험을 평가하고 비용효과적인 대응책을 수립하는 일련의 과정
- 절차 : 자산식별(가장 먼저 실시) -> 위험분석 및 평가 -> 정보보호 대책수립 -> 정보보호 계획수립 -> 주기적 검토
- 절차2 : 위험관리 전략 및 계획 수립 -> 위험 분석 및 평가 -> 정보보호 대책수립 및 계획수립 -> 대책 설정
- 위험관리계획 : 프로젝트에 대한 위험관리 활동을 어떻게 접근하고 계획할 것인지를 결정하는 프로세스, 선택된 통제 목적과 통제방안이 무엇인지와 선택한 이유 등을 문서로 정리한 것 / 사업영향평가(BIA)를 통해 업무의 우선순위 선정 및 보호대책 수준 도출
(2) 위험분석
1) 개요
- 자산, 위협, 취약점, 기존 보호대책 등을 분석하여 위험의 종류와 규모를 결정
- 위험의 허용 여부 판단의 근거를 마련
2) 방법(요구성격에 따른 분류)
| 구분 | 설명 |
| 기준선 접근법 (Baseline Approach) |
소규모 조직에 적합, 시간 및 비용 절약 보안정책 등을 참고해서 작성한 통제사항 체크리스트 |
| 비정형화 접근법 (Informal Approach) |
개인의 전문성 활용하여 신속, 저렴 주관적일 수 있음 |
| 상세 위험분석 (Detailed risk analysis) |
모든 위험이 식별되고 시스템에 꼭 필요한 대책 구현 가능 많은 시간과 비용이 필요 |
| 통합된 접근법 (Combined Approach) |
고위험영역은 상세위험분석, 나머지는 기준접근법 이용 비용과 자원 효과적 사용 고위험영역 잘못 식별한 경우, 불필요한 비용 낭비 |
3) 방법(결과성격에 따른 분류)
| 정량적 분석 | 위험을 금액으로 산정가능시 사용 성능평가가 용이하며 객관적 평가기준 제공 계산이 복잡, 비용이 많이 들며, 신뢰도는 벤더에 의존 - 자산에 가치 부여 - 각각의 위협에 대한 잠재적 손실 계산 : 노출계수(%) 계산, SLE(단일예상손실액, =자산*노출계수) 계산 - 위협분석 수행 : ARO(연간 발생률) 계산 - 개별 위협마다 전체 손실 예상액 도출 : ALE(=ARO*SLE) 계산 - 위험 수용, 위험 감소, 위험 전가 |
과거자료 분석법 : 과거자료를 통해 위험발생 가능성 예측, 과거자료 많을수록 정확도 높음, 발생빈도 낮은 자료에 대해서는 적용이 어려움 |
| 수학공식법 : 위험 정량화하여 간결하게 표현가능, 기대손실을 추정하는 자료의 양이 적다는 단점 | ||
| 확률분포법 : 미지의 사건 추정시 확률적 편차를 이용하여 최저, 보통, 최고 위험평가 예측, 정확성 낮음 | ||
| 점수법 : 위험발생 요인에 가중치를 두어 위험 추정, 소요 시간 적고 분석해야 할 자원 양 적음, 정확도 낮음 | ||
| 정성적 분석 | 자산의 화폐가치 식별이 어려운 경우 경험이나 판단 등을 이용해 위험도를 가중치로 표현 노력이 적게 드나 주관적일 수 있음 |
델파이법 : 전문가 집단이 위험 분석 및 평가, 정확도 낮음 |
| 시나리오법 : 어떤 사건도 기대대로 발생하지 않는다는 사실에 근거, 적은 정보를 가지고 전반적인 가능성 추론, 이론적 추측에 불과하고 정확도 등이 낮음 | ||
| 순위결정법 : 비교우위 순위결정표에 위험항목들의 서술적 순위 결정(우선순위 도출) 소요시간 및 분석 자원 양 적다는 장점, 정확도 낮음 |
||
| 퍼지 행렬법 : 정성적인 언어로 표현된 값을 사용하여 기대손실을 평가 |
(3) 위험평가
- 위험분석 결과를 바탕으로 위험의 대응여부와 우선순위를 결정하는 것
- 임의의 시스템,네트워크,조직 등에서 발생할 수 있는 손실에 대비한 보안대책에 드는 비용효과분석을 통해 적은 비용으로 가장 효과적인 위험관리를 수행하는 것
- 정보나 정보처리기기에 대한 위협의 종류, 위협의 영향, 위협의 발생가능성 등을 평가하는 과정
(4) 위험처리 전략
- 조직이 수용할 수 없는 수준의 위험에 대한 처리방법을 결정
- 위험수용 : 잠재적 손실비용을 감수하고 수행
- 위험감소 : 대책을 구현해 위험을 감소시킴
- 위험전가 : 제3자에게 잠재비용을 이전하거나 할당
- 위험회피 : 위험이 존재하는 사업이나 프로세스 포기
cf) DoA(Degree of Assurance) : 정보보호 최고책임자, 개인정보보호 책임자 등 경영진의 의사결정에 의하여 결정
(5) 업무연속성계획(BCP)
- 각종 재해, 장애, 재난으로부터 위기관리를 기반으로 업무 연속성을 보장하는 계획
- 사업 연속성을 유지하기 위하여 장애시 핵심 시스템의 가용성과 신뢰성 회복
- 단계 : 프로젝트 범위설정 및 기획 -> 사업영향평가 -> 복구전략 개발 -> 복구계획 수립 -> 프로젝트 수행테스트 및 유지보수
- 사업영향평가(BIA) : 재난시 신속한 복구를 위해 업무중단시 미치는 영향을 분석하고 잠재손실을 추정해 재난을 분류하고 우선순위를 부여, 컴퓨터나 통신 서비스의 심각한 중단 사태에 따라 각 사업 단위가 받게 될 재정적 손실의 영향도를 파악하여 실행 가능한 대안을 개발하는 것
(6) 재난복구계획(DRP)
- 재해, 재난 발생시 취할 행동절차를 미리 준비
- 정보 시스템의 기밀성, 무결성, 가용성 등을 확보하기 위함
- 재난복수서비스 종류
| 미러사이트 | 전산센터 중복운영으로 최신데이터 즉시 가동, 높은 비용 발생 미러사이트와 핫사이트는 주센터와 동일한 수준의 정보기술자원을 원격지에 구축한다는 점은 같지만, 미러사이트는 액티브상태로 실시간 동시서비스 제공하여 즉시 복구가능, 핫사이트는 대기상태로 실시간 미러링을 통해 수시간내로 복구한다는 점에서 차이 있다. |
| 핫사이트 | 전산센터와 동일한 설비와 자원을 보유, 수시간 내 가동, 데이터를 최신으로 유지 (미러사이트는 실시간 동시서비스) |
| 웜사이트 | 디스크, 주변기기 등 부분적 설비만 보유, 수일~수주 내 가동 |
| 콜드사이트 | 데이터만 원격지에 보관, 장소만 준비, 비용 가장 저렴하나 데이터 손실 가능 |
- RAID(Redundancy array of inexpensive disks)
1) 정의
몇 개의 물리적인 디스크를 묶고 이것들을 논리적 array로 정의하지만, 실제 데이터는 여러 개의 물리적 디스크에 저장
여러 대의 하드디스크가 있을 때 동일한 데이터를 다른 위치에 중복해서 저장하는 방법
2) 목적
저용량, 저성능, 저가용성인 디스크를 array구조로 중복하여 구성함으로써, 고용량, 고성능, 고가용성 디스크를 대체
데이터의 중복 저장 및 오류 검증을 통해 결함 허용도는 향상
3) 종류
- Level 0 : Striping, 하나의 데이터를 여러 드라이브에 분산 저장함으로써 빠른 입출력 가능
- Level 1 : Mirroring, 동일한 데이터가 두 개 이상의 디스크에 동시저장, 하나의 디스크에 오류발생해도 괜찮음
- Level 2 : 데이터 스트라이핑이 모든 드라이브에서 일어나고, 패리티 데이터는 오류 식별을 위한 해밍코드와 함께 생성
- Level 3 : Level 0과 1을 보완한 방식, Byte 단위로 데이터를 분산 저장, 패리티는 별도 디스크에 저장
- Level 4 : Level 3과 동일한 구조이나 Block 단위로 분산 저장, 패리티는 별도 디스크에 저장
- Level 5 : Level 3과 4를 보완한 방식, 데이터와 패리티가 모든 드라이브의 디스크 섹터 단위에 저장(패리티 저장하는 디스크 따로 필요하지 않음)
(7) 침해사고대응 7단계
- 사고 전 준비 : 보안시스템 및 CERT 구성 등 조직적 대응준비
- 사고탐지 : 이상징후 탐지 및 식별
- 초기대응 : 확산 방지 중점, 정밀조사를 위한 자료수집
- 대응전략 체계화 : 내부처리 또는 수시기관 공조여부 판단
- 사고조사 : 데이터 수집 및 분석, 피해확산 및 재발방지 방법 결정
- 보고서 작성 : 의사결정자를 위한 보고서 작성
- 해결 : 차후 예방을 위한 정책 적용
(8) 악성코드 분석(소스코드 포렌식)
(9) 포렌식 기본 원칙
- 연계보관성 : 증거획득 -> 이송 -> 분석 -> 보관 -> 법정제출
(10) 포렌식 기술
(11) 데이터 복구 및 완전삭제
(12) 휘발성 데이터
(13) 사회공학
(14) CC 보안제품 평가기준
1) 개요
- 미국의 TCSEC(기밀성 강조)과 유럽의 ITSEC(기밀성, 무결성, 가용성 고려)이 통합된 ISO 표준 국제 공통평가기준
- 우리나라도 준용중이며, 평가기관은 KISA, 인증서발행은 국가정보원이 수행
- 보안성 낮은 EAL1부터 EAL7까지 있으며, EAL0은 부적합
2) 대표요소
- 보호프로파일(PP, Protection Profile) : 보안솔루션의 기능 및 보증과 관련된 공통요구사항
- 보안목표명세서(ST, Security Target) : PP에서 정의된 요구사항이 실제제품으로 평가되기 위한 기능명세서
- 평가대상(TOE, Target of Evaluation) : 평가대상이 되는 제품 또는 시스템
- 평가보증등급(EAL) : 보증요구와 관련된 컴포넌트의 집합으로 구성된 패키지의 일종
3) 예시 - (주)강아지에서 강IDS의 CC 인증을 받을 경우
PP : IDS제품군
ST : (주)강아지는 IDS제품군 PP의 요구사항 만족을 위해 기능과 특징, 동작구조를 기술한 강IDS에 대한 ST 작성
TOE : 강IDS
(15) 정보보호 및 개인정보보호 관리체계(ISMS-P)
1) 개요
- 정보보호 및 개인정보보호를 위한 일련의 조치와 활동이 인증기준에 적합함을 한국인터넷진흥원 또는 인증기관이 증명하는 제도 (ISMS는 정보보호 관리체계이고 ISMS 인증은 말그대로 인증, 자격증을 말한다)
| 정책기관 | 과학기술정보통신부, 방송통신위원회, 행정안전부 |
| 인증기관 | 한국인터넷진흥원, 금융보안원 (인증위원회) |
| 심사기관 | 정보통신진흥협회, 정보통신기술협회, 개인정보보호협회 |
- 정보통신망법 47조 및 개인정보보호법 32조의2에 근거를 두고 있다.
- 유효기간은 3년이며 유효기간 끝나기 6개월 전부터 끝나는 날까지 재지정 신청할 수 있다.
- ISMS 인증 신청기관이 클라우드 서비스를 이용하여 정보통신서비스 제공하는 경우, IaaS, PaaS, SaaS
- 정보통신망법 47조(정보보호 관리체계 인증) - ISMS 인증 의무대상자
서울특별시 및 모든 광역시에서 정보통신망서비스 제공자/집적정보통신시설 사업자/연간 매출액 또는 세입 등이 1500억원 이상(상급종합병원, 재학생 수 1만명 이상 학교)이거나 정보통신서비스 부문 전년도 매출액이 100억원 이상 또는 3개월간 일일평균 이용자수 100만명이상인 곳
cf) ISMS 인증 의무대상자가 국제표준 정보보호 인증을 받거나 정보보호 조치를 취한 경우에는 인증심사 일부 생략가능
cf) 인증 의무대상자가 인증받지 않으면 과태료 3천만원이 부과된다.
cf) 인증범위 : 신청기관이 제공하는 정보통신서비스를 기준으로, 해당 서비스에 포함되거나 관련 있는 자산, 조직 등을 포함/ 해당 서비스와 관련 없더라도 서비스의 핵심정보자산에 접근 가능하다면 포함
2) 관리체계 수립 및 운영(16개)
- PDCA 모델 : ISO에서 제시하는 정보보호관리체계 라이프 사이클 모델, Plan(정보보호관리체계 수립), Do(이 체계를 운영), Check(운영되고 있는 체계를 점검), Act(이 체계를 향상)
- 1.1 관리체계 기반 마련(정보보호정책 수립 및 범위설정, 경영진 책임 및 조직구성), 1.2 위험 관리, 1.3 관리체계 운영(정보보호대책 구현), 1.4 관리체계 점검 및 개선(사후관리)
| 1.1.1 경영진의 참여 | 최고경영자는 정보보호 및 개인정보보호 관리체계의 수립과 운영활동 전반에 경영진의 참여가 이루어질 수 있도록 보고 및 의사결정체계를 수립하고 운영해야 한다. |
| 1.1.2 최고책임자의 지정 | 최고경영자는 정보보호 업무를 총괄하는 정보보호 최고책임자와 개인정보보호 업무를 총괄하는 개인정보보호 책임자를 예산, 인력 등 자원 할당 가능한 임원급으로 지정해야 한다. |
| 1.1.3 조직 구성 | 최고경영자는 정보보호와 개인정보보호의 효과적 구현을 위한 실무조직, 조직 전반의 정보보호와 개인정보보호 관련 주요사항을 검토 및 의결할 수 있는 의원회, 전사적 보호활동을 위한 부서별 정보보호와 개인정보보호 담당자로 구성된 협의체를 구성하여 운영해야 한다. |
| 1.1.4 범위 설정 | 조직의 핵심 서비스와 개인정보 처리현황 등을 고려하여 관리체계 범위를 설정하고 관련 서비스를 비롯하여 개인정보 처리업무와 조직, 자산, 물리적 위치 등을 문서화 해야 한다. |
| 1.1.5 정책 수립 | 정보보호와 개인정보보호 정책 및 시행문서를 수립, 작성하며, 이때 조직의 정보보호와 개인정보보호 방침 및 방향을 명확하게 제시해야 한다. 또한 정책과 시행문서는 경영진의 승인을 받고, 임직원 및 관련자에게 이해하기 쉬운 형태로 전달되어야 한다. |
| 1.1.6 자원 할당 | 최고경영자는 정보보호와 개인정보보호 분야별 전문성을 갖춘 인력을 확보하고, 관리체계 효과적 구현과 지속적 운영을 위한 예산 및 자원을 할당해야 한다. |
| 1.2.1 정보자산 식별 | 조직의 업무특성에 따라 정보자산 분류기준을 수립하여 관리체계 범위 내 모든 정보자산을 식별, 분류하고 중요도를 산정한 후 그 목록을 최신으로 관리해야 한다. |
| 1.2.2 현황 및 흐름분석 | 관리체계 전 영역에 대한 정보서비스 및 개인정보 처리현황을 분석하고 업무절차와 흐름을 파악하여 문서화하며, 이를 주기적으로 검토하여 최신성을 유지해야 한다. |
| 1.2.3 위험 평가 | 조직의 대내외 환경분석을 통해 유형별 위협정보를 수집하고 조직에 적합한 위험평가 방법을 선정하여 관리체계 전 영역에 대하여 연 1회 이상 위험평가하며, 수용할 수 있는 위험은 경영진의 승인을 받아 관리해야 한다. |
| 1.2.4 보호대책 선정 | 위험평가 결과에 따라 식별된 위험을 처리하기 위하여 조직에 적합한 보호대책을 선정하고, 보호대책의 우선순위, 일정, 담당자, 예산 등을 포함한 이행계획을 수립하여 경영진의 승인을 받아야 한다. |
| 1.3.1 보호대책 구현 | 선정된 보호대책은 이행계획에 따라 효과적으로 구현하고, 경영진은 이행결과의 정확성과 효과성 여부를 확인해야 한다. |
| 1.3.2 보호대책 공유 | 보호대책의 실제 운영 또는 시행할 부서 및 담당자를 파악하여 관련 내용 공유하고 교육하여 지속적으로 운영되게 한다. |
| 1.3.3 운영현황 관리 | 조직이 수립한 관리체계에 따라 상시적 또는 주기적으로 수행해야 하는 운영활동 및 수행내역은 식별 및 추적 가능하도록 기록하여 관리하고, 경영진은 주기적으로 운영활동의 효과성을 확인하여 관리해야 한다. |
| 1.4.1 법적 요구사항 준수 검토 | 조직이 준수해야 할 정보보호 및 개인정보보호 관련 법적 요구사항을 주기적으로 파악하여 규정에 반영, 준수여부를 지속적으로 검토 |
| 1.4.2 관리체계 점검 | 관리체계가 내부 정책 및법적 요구사항에 따라 효과적으로 운영되고 있는지 독립성과 전문성을 갖춘 인력이 연 1회 이상 점검하고, 발견된 문제점은 경영진에게 보고한다. |
| 1.4.3 관리체계 개선 | 식별된 문제점에 대한 원인을 분석하고 재발방지 대책을 수립, 이행하며, 경영진은 개선 결과의 정확성과 효과성 여부를 확인해야 한다. |
3) 보호대책 요구사항(64개)
- 선택적 적용을 할 수 있는 가이드
- 정책,조직,자산 관리/인적 보안/외부자 보안/물리 보안/인증 및 권한관리/접근통제/암호화 적용/정보시스템 도입 및 개발보안/시스템 및 서비스 운영관리/시스템 및 서비스 보안관리/사고 예방 및 대응
4) 개인정보 처리단계별 요구사항(22개)
