정보 보안 개론 | 보안 기초

보안의 중요성

유비쿼터스 (Ubiquitous) : 언제, 어디서나 네트워크를 통해 컴퓨터 시스템에 접근하여 원하는 정보를 얻고 원하는 서비스를 사용할 수 있는 컴퓨팅 환경

IOT (Internet of Things) : 모든 사물이 인터넷으로 연결되어 자동으로 동작하며 능동적으로 제어할 수 있는 환경 

 

이러한 시대에 통제의 부재로 인해 위험한 일이 발생할 수 있음

 

해킹

Definition | 정의

Hacking is about finding inventive solutions using the properties and laws of a system in ways not intended by its designer

디자이너가 의도하지 않았던 방법으로 시스템의 특성이나 규칙을 이용한 창조적인 사용법을 찾는 것

 

Type | 유형

• 침입 (Intrusion) : 불법적으로 시스템 자원을 사용하거나 또 다른 해킹을 위한 경로로 사용하는 행위
• 서비스 거부 (DoS) : 특정 호스트나 네트워크가 제 기능을 수행하지 못하도록 각종 서비스를 정지시키는 행위
• 정보 유출 : 경쟁 기업의 정보를 훔치거나 훔쳐낸 기밀을 외부에 유포하는 행위

시스템 & 서비스 설정 취약점

• 파일 시스템의 쓰기 권한 취약점을 이용 (nx bit)
• SUID 프로그램의 문제를 이용 (LPE)
• 기타 환경 변수를 이용

프로그램의 취약점을 이용한 공격

• CGI/자바스크립트의 취약점을 이용한 공격
• ASP / PHP 스크립트의 취약점을 이용한 공격
• 버퍼 오버플로우 공격
• 포맷 스트링 공격

프로토콜의 취약점을 이용한 공격

• DoS
• 스니핑 (Sniffing)
• 세션 하이재킹 (Session Hijacking)
• 스푸핑 (Spoofing)

악성코드

• 바이러스
• 트로이
• 백도어
• 웜

 

정보 보안 요소

인증(AAA)

• 인증 (Authentication) : 사용자가 등록된 그 사용자가 맞는가
• 인가 (Authorization) : 사용자가 서비스 권한이 있는가
• 책임 (Accountability) : 상요자가 사용한 서비스에 대한 감사 추적

기밀성 (Confidentiality)

• 정보의 기밀성 보장 : 인가된 사용자만이 정보에 접근 가능
• 암호화를 활용해서 보호할 수 있음

무결성 (Integrity) 

• 정보가 수정 또는 변경되어서는 안됨 : 적절한 권한을 가진 사람만이 정보 변경 가능
• 이 변조가 변조된 정보가 아니라는 것을 보장해줌

가용성 (Availability)

• 어떤 위협에도 언제나 사용 가능한 상태 유지