사악미소의 발길향하는 공간
스윙댄스 및 영화, 일상다반사에대해 떠들어 대는 블로그
[비즈니스] 정보 보안 개요

■ 정보 보안 개요




01. 보안의 정의


 보안이란 컴퓨터 시스템 및 컴퓨터에 저장된 정보들을 외부의 불법적인 침입으로부터 보호하는 것을 의미한다.




02. 보안 요건


 시스템 및 정보의 보안에는 다음과 같이 기본적으로 충족해야 할 요건들이 있다.


요  건

의   미

 기밀성(Confidentiality, 비밀성)

 · 시스템 의 정보와 자원은 인가된 사용자에게만 접근이 허용된다.

 · 정보가 전송 중에 노출되더라도 데이터를 읽을 수 있다.

 무결성((Integrity)

 · 시스템 내의 정보는 인가된 사용자만 수정할 수 있다.

 · 정보의 내용이 전송 중에 수정되지 않고 전달되는 것을 의미한다.

 가용성(Availability)

 · 인가받은 사용자는 언제라도 사용할 수 있다.

 인증(Authentication)

 · 정보를 보내오는 사람의 신원을 확인한다.

 · 사용자를 식별하고, 사용자의 접근 권한을 검증한다.

 부인방지(Non Repudiation)

 · 데이터를 송 · 수신한 자가 송 · 수신 사실을 부인할 수 없도록 송 · 수신 증거를 제공한다.





03. 보안 위협의 유형


유   형

의    미

위협 보안 요건

 가로막기
 (Interruption)

 · 데이터의 정상적인 전달을 가로막아서 흐름을 방해하는 행위

가용성 저해

 가로채기
 (Interception)

 · 송신된 데이터가 수신지까지 가는 도중에 몰래 보거나 도청하여 정보를 유출하는 행위

기밀성 저해

 수정
 (Modification)

 · 전송된 데이터를 원래 데이터가 아닌 다른 내용으로 바꾸는 행위

무결성 저해

 위조
 (Fabrication)

 · 마치 다른 송신자로부터 데이터가 송신된 것처럼 꾸미는 행위

무결성 저해





04. 위협의 구체적인 형태



 보안 요건을 위협하는 구체적인 형태에는 다음과 같은 것이 있다.


형 태

의   미

 웜(Worm)

 · 네트워크를 통해 연속적으로 자신을 복제하여 시스템의 부하를 높여 결국 시스템을 다운시키는

  바이러스의 일종

 · 분산 서비스 거부 공격, 버퍼 오버플로 공격, 슬래머 등의 웜의 한 형태이다.

 해킹(Hacking)

 · 컴퓨터 시스템에 불법적으로 접근, 침투하여 시스템과 데이털르 파괴하는 행위

 트로익 목마
 (Trojan Horse)

 · 정상적인 기능을 하는 프로그램으로 가장하여 프로그램 내에 숨어 있다가 해당 프로그램이 동작할 때

  활성화되어 부작용을 일으키는 것으로, 자기 복제 능력은 없다.

 백도어

 (Back Door, Trap Door)

 · 서비스 기술자나 유지보수 프로그래머들의 액세스 편의를 위해 만든 보안이 제거된 비밀통로를

  이르는 말로, 시스템에 무단 접근하기 위한 일종의 비상구로 사용한다.

 눈속임(Spoof)

 · 어떤 프로그램이 정상적으로 실행되는 것처럼 속임수를 사용하는 행위

 스니핑(Spoofing)

 · 네트워크 주변을 지나다니는 패킷을 엿보면서 계정과 패스워드를 알아내는 행위

 분산 서비스 거부 공격

  (DDOS, Distributed

   Denial of Ser-vice)

 · 여러 대의 장비를 이용하여 대량의 데이터를 한 곳의 서버에 집중적으로 전송함으로써,
  특정 서버의 정상적인 기능을 방해하는 것

 버퍼 오버플로 공격

 · 버퍼의 크기보다 많은 데이터를 입력하여 프로그램이 비정상적으로 동작하도록 만드는 것

 슬래머

 · SQL 서버를 공격하여 서버를 다운시키며, 다른 취약점이 있는 서버에 패킷을 발송하여 버퍼

  오버플로를 발생시키는 것으로, 2003년 1월 25일 전세계의 인터넷을 마비시키기도 했다.

 피싱(Phishing)

 · 거짓 메일을 발송하여 특정 금융기관 등의 가짜 웹 사이트로 유인한 후 관련 금융 기관의 정보 등을

  빼내는 기법

 키로커(Key Logger)

 · 키보드상의 키 입력 캐치 프로그램을 이용하여 ID나 암호와 같은 개인 정보를 빼내어 악용하는 기법

 혹스(Hoax)

 · 실제로는 악성 코드로 행동하지 않으면서 겉으로는 악성 코드인 것처럼 가장하여 행동하는

   소프트웨어

 드롭퍼(Dropper)

 · 정상적인 파일 등에 트로이 목마나 웜, 바이러스가 숨겨진 형태를 일컫는 말

 스파이웨어(Spyware)

 · 적절한 사용자 동의 없이 사용자 정보를 수집하는 프로그램 또는 적절한 사용자 동의 없이 설치되어

  불편을 야기하거나 사생활을 침해할 수 있는 프로그램




05. 보안등급



 보안 등급은 외부의 침입으로부터 시스템 및 데이터를 보호하기 위해 사용되는 보안의 수준을 평가한다. 보안 등급은 NCSC(National Computer Security Center, 전미컴퓨터보안센터)에서 제안한 것으로, 최상위 A1 등급에서 최하위 D 등급까지 모두 7단계로 구성되어 있다.


보안등급

특징

A1

 · B3 수준의 보안이지만 안전성이 수학적으로 증명 가능한 시스템

B3

 · 시스템 전반에 대하여 보안 분서과 모니터링이 가능한 시스템

B2

 · 소프트웨어 및 하드웨어적인 보안이 동시에 적용되는 시스템

B1

 · 각각의 데이터에 보안 레벨을 설정하여, 하위 보안 레벨을 지닌 사용자는 상위 레벨의 정보에

  접근할 수 없는 시스템

C2

 · 사용자의 로그인을 통해 보안 감사가 가능한 Windows NT, Windows 2000과 같은 시스템

C1

 · 사용자마다 ID와 Password가 있어 사용자 단위로 접근을 제한하는 UNIX와 같은 시스템

D1

 · 외부에 완전히 공개되어 있는 일반 시스템


저작자 표시
신고
0  Comments,   0  Trackbacks
댓글 쓰기

티스토리 툴바