[Security] 보안의 정의 및 보안 특성

보안(Security)

위협에 대한 보호조치를 수립 및 유지하기 위해 만족시켜야 하는 조건

보호조치는 위험 관리 접근법(Risk Management Approach) 기반의 일부로써 제지, 회피, 예방, 탐지, 복구, 수정 등을 포함할 수 있다.

 

사이버 보안(Cybersecurity)

사이버 영역(또는 사이버 공간)에서 보안과 관련된 모든 것을 포함

사이버 영역은 컴퓨터, 전자 통신 시스템 및 서비스, 유선 통신, 정보 등을 포함

 

Security Characteristics (보안 특성)

https://www.techtarget.com/whatis/definition/Confidentiality-integrity-and-availability-CIA

 

기밀성(Confidentiality)

기밀성이란, 권한(authorization)이 없는 엑세스 또는 공개로부터 정보를 보호하는 것을 말한다.

기밀성을 보장한다는 것은, 정보 접근 권한이 있는 사람은 정보에 접근할 수 있도록, 정보 접근 권한이 없는 사람은 정보에 접근할 수 없도록 보장하는 것

예) 계좌 소유자만 알고 있는 은행 계좌 상태

대표적 공격 방법

네트워크 상에서 자신이 아닌 다른 상대방들의 패킷 교환을 훔쳐보는 행위

• 정보 유출(Information Disclosure)
• 스니핑(도청)

예) A의 은행 잔고를 B가 볼 수 있도록 시스템 조작

예) 로그인 실패 시 더 짧은 지연시간에 따라 B가 은행 C에 계좌를 가지고 있다고 한다.

정보 보안 정책/매커니즘

• 암호화 인증, 접근 제어 등

기밀성 vs 익명성

• 기밀성(Confidentiality): 사용자가 보유하고 있는 중요 정보를 보호
• 익명성(Anonymity): 사용자의 신원과 관련된 정보를 보호
  • 비 계좌 소유자는 추적되지 않고 은행 정보 사이트를 탐색할 수 있어야 한다.

 

무결성(Integrity)

무결성이란, 정보를 비인가된 조작(무단 수정 또는 파기)으로부터 보호하는 것을 말한다.

무결성을 보장한다는 것은, 정보 및 정보 시스템이 정확하고 완전하고 손상되지 않았음을 보장하는 것

비인가 조작을 감지하여 보호하고자 하는 대상에 영향이 없게 함

예) 계정 소유자만 자신의 계정에서 인출을 승인할 수 있다.

대표적 공격 방법

네트워크 상에서 거짓된 패킷을 발송하는 행위

• 변조(Tampering): 시스템, 의도된 동작 또는 데이터를 수정하는 의도적인 이벤트

※ Tampering을 막는 다는 것은 공격자에 의해 변조라는 의도적인 이벤트가 발생했지만, 결국에는 의도적인 이벤트가 내 제품에 영향을 미치지 않도록 보장하는 것

• 스푸핑(신분위장)

사전 예방 기술

• 접근제어, 인증 등 

사후 검증 기술

• MAC(Message Authentication Code), 전자 서명 등

 

가용성(Availability)

가용성이란, 정보 및 정보 시스템을 무단 중단으로부터 보호하는 것을 말한다.

가용성을 보장한다는 것은, 정보 및 정보 시스템에 대한 시기 적절하고 신뢰할 수 있는 접근과 사용을 보장하는 것

즉, 권한이 있는 사용자에게 어떤 대상의 지속적인 사용을 보장하고, 정보는 사용자가 필요로 하는 시점에 접근가능해야 함

예) 사용자는 잔액 조회 또는 인출을 위해 항상 자신의 계정에 접근할 수 있다. 즉, 해커가 은행사이트를 공격해도 서비스 장애 없이 인터넷 뱅킹을 이용할 수 있다.

대표적 공격 방법

서비스를 느리게 만들거나 완전히 차단

• 랜섬웨어
• DoS(Denial of Service, 서비스 거부 공격)

적용 기술

AWS, CISCO, Azure 등에서는 다양한 이상 징후 탐지 서비스를 제공하고 있음

• Filtering(패킷 분석 도구 사용)
• FT(Fault Tolerance, 결함 허용 시스템) 등

---

References

• https://www.techtarget.com/whatis/definition/Confidentiality-integrity-and-availability-CIA