보안(Security)
위협에 대한 보호조치를 수립 및 유지하기 위해 만족시켜야 하는 조건
보호조치는 위험 관리 접근법(Risk Management Approach) 기반의 일부로써 제지, 회피, 예방, 탐지, 복구, 수정 등을 포함할 수 있다.
사이버 보안(Cybersecurity)
사이버 영역(또는 사이버 공간)에서 보안과 관련된 모든 것을 포함
사이버 영역은 컴퓨터, 전자 통신 시스템 및 서비스, 유선 통신, 정보 등을 포함
Security Characteristics (보안 특성)
기밀성(Confidentiality)
기밀성이란, 권한(authorization)이 없는 엑세스 또는 공개로부터 정보를 보호하는 것을 말한다.
기밀성을 보장한다는 것은, 정보 접근 권한이 있는 사람은 정보에 접근할 수 있도록, 정보 접근 권한이 없는 사람은 정보에 접근할 수 없도록 보장하는 것
예) 계좌 소유자만 알고 있는 은행 계좌 상태
대표적 공격 방법
네트워크 상에서 자신이 아닌 다른 상대방들의 패킷 교환을 훔쳐보는 행위
- 정보 유출(Information Disclosure)
- 스니핑(도청)
예) A의 은행 잔고를 B가 볼 수 있도록 시스템 조작
예) 로그인 실패 시 더 짧은 지연시간에 따라 B가 은행 C에 계좌를 가지고 있다고 한다.
정보 보안 정책/매커니즘
- 암호화 인증, 접근 제어 등
기밀성 vs 익명성
- 기밀성(Confidentiality): 사용자가 보유하고 있는 중요 정보를 보호
- 익명성(Anonymity): 사용자의 신원과 관련된 정보를 보호
- 비 계좌 소유자는 추적되지 않고 은행 정보 사이트를 탐색할 수 있어야 한다.
무결성(Integrity)
무결성이란, 정보를 비인가된 조작(무단 수정 또는 파기)으로부터 보호하는 것을 말한다.
무결성을 보장한다는 것은, 정보 및 정보 시스템이 정확하고 완전하고 손상되지 않았음을 보장하는 것
비인가 조작을 감지하여 보호하고자 하는 대상에 영향이 없게 함
예) 계정 소유자만 자신의 계정에서 인출을 승인할 수 있다.
대표적 공격 방법
네트워크 상에서 거짓된 패킷을 발송하는 행위
- 변조(Tampering): 시스템, 의도된 동작 또는 데이터를 수정하는 의도적인 이벤트
※ Tampering을 막는 다는 것은 공격자에 의해 변조라는 의도적인 이벤트가 발생했지만, 결국에는 의도적인 이벤트가 내 제품에 영향을 미치지 않도록 보장하는 것
- 스푸핑(신분위장)
사전 예방 기술
- 접근제어, 인증 등
사후 검증 기술
- MAC(Message Authentication Code), 전자 서명 등
가용성(Availability)
가용성이란, 정보 및 정보 시스템을 무단 중단으로부터 보호하는 것을 말한다.
가용성을 보장한다는 것은, 정보 및 정보 시스템에 대한 시기 적절하고 신뢰할 수 있는 접근과 사용을 보장하는 것
즉, 권한이 있는 사용자에게 어떤 대상의 지속적인 사용을 보장하고, 정보는 사용자가 필요로 하는 시점에 접근가능해야 함
예) 사용자는 잔액 조회 또는 인출을 위해 항상 자신의 계정에 접근할 수 있다. 즉, 해커가 은행사이트를 공격해도 서비스 장애 없이 인터넷 뱅킹을 이용할 수 있다.
대표적 공격 방법
서비스를 느리게 만들거나 완전히 차단
- 랜섬웨어
- DoS(Denial of Service, 서비스 거부 공격)
적용 기술
AWS, CISCO, Azure 등에서는 다양한 이상 징후 탐지 서비스를 제공하고 있음
- Filtering(패킷 분석 도구 사용)
- FT(Fault Tolerance, 결함 허용 시스템) 등
References
'IT 기초 > Security' 카테고리의 다른 글
[Security] [보안 매커니즘] 암호화(Cryptography) (0) | 2022.05.02 |
---|---|
[Security] 스푸핑(Spoofing), 스니핑(Sniffing), 스누핑(Snooping) (0) | 2022.05.02 |
[Security] Cybersecurity 중요성 (0) | 2022.05.02 |
[Security] DDoS-Flooding (0) | 2021.12.27 |
[Security] DDoS-SYN Flooding (0) | 2021.12.27 |