[네트워크 보안] Chapter 01. 정보보호 일반 이론
【정보보호 개념】
정보[Information]
1. 정보의 특성
- 정보에 대한 법률적 의미는 “특정 목적을 위하여 광 또는 전자적 방식으로 처리되어 부호, 문자, 음성, 음향 및 영상 등으로 표현된 모든 종류의 자료 또는 지식을 말한다”고 되어 있으며, 사전적 의미는 “관찰이나 측정을 통하여 수집한 자료를 실제 문제에 도움이 될 수 있도록 정리한 지식 또는 그 자료”로 정의
- 보안 측면에서 ‘정보’란 “자료를 일정한 처리 과정을 통하여 의사결정 과정에 유용하게 이용될 수 있도록 변환한 것으로 생산 또는 입수를 통해 컴퓨터 정보저장 매체 등에 전자문서 형태로 기록되어 있는 것을 말한다”고 정의
-
정보란 일정한 의도를 가지고 정리해 놓은 자료의 집합
이며, 정보가 되기 위해서는 이용자, 즉 어떤 목적을 갖는 사람이 있어야 하고 자료가 처리되어야 함
2. 정보보호의 대상
- 정보시스템은 조직의 필요에 따라 데이터를 생성하고, 저장하고 분배하는데 사용되는 정보통신 시스템으로 컴퓨터 하드웨어, 운영체제와 응용 소프트웨어 그리고 통신과 네트워크 등을 포함
- 정보보호의 대상(정보자산)은 정보시스템과 데이터(정보), 인적 요소, 문서 등
- 정보자산(Assets)은 데이터(정보), 문서, 소프트웨어, 하드웨어, 시설이나 장비 등의 물리적 자산, 인적 자산 등으로 구분이 되며 그 외에 회사의 이미지 또는 평판, 직원들의 사기 등을 무형 자산으로 평가
- 직접 공격은 컴퓨터에 대한 직접적인 위협이지만 간접 공격은 한 번 공격받은 시스템에 의해 이루어진다는 점이 다르다. 따라서 정보시스템은 공격의 주체가 되기도 하고 공격의 대상이 되기도 한다.
3. 정보보호(Information Security)의 정의
- 정보보호의 법률적 의미 - 정보의 수집, 가공, 저장, 검생, 송신, 수신 중 발생할 수 있는 정보의 훼손, 변조, 유출 등을 방지하기 위한 관리적·기술적 수단을 마련하는 것
-
정보보안이라고도 하며,
컴퓨터 등 정보처리 능력을 가진 장치를 이용하여 수집, 가공, 저장, 검색, 송신 또는 수신되는 정보의 유출, 위·변조, 훼손 등을 방지하기 위하여 기술적, 물리적, 관리적 수단을 강구하는 일체의 행위를 말한다.
4. 정보보호의 기본 목표
- 기밀성, 무결성, 가용성. 앞 글자를 따서 CIA라고도 부름
- 3대 목표 이외에도 6대 목표로는 책임추적성(Accountability), 인증(Authenication), 신뢰성(Realiability)이 있음
- 기밀성(confidentiality)
- 기밀성은 정보의 소유자가 원하는 대로 정보의 비밀이 유지되어야 한다는 원칙
-
정보는 소유자의 인가를 받은 사람만이 접근할 수 있어야 하며,
인가되지 않은 정보의 공개는 반드시 금지
- 기밀성을 보장하기 위하여 접근 통제(물리적 운영체제, 네트워크 등)와 암호화 등 이용
- 무결성(Integrity)
- 무결성이란 비인가 된 자에 의한 정보의 변경, 삭제, 생성 등으로부터 보호되어야 한다
- 가용성(availability)
- 정보시스템은 적절한 방법으로 작동되어야 하며, 정당한 방법으로 권한이 주어진 사용자에게 정보서비스를 거부하여서는 안 된다는 원칙이다.
- 책임추적성(Accountability)
- 각 개체의 행위를 유일하게 추적할 수 있음을 보장하는 것으로 정보나 정보시스템의 사용에 대해서 누가 언제 어떤 목적으로 어떤 방법을 통하여 그들을 사용했는지를 추적할 수 있어야 한다.
- 인증(Authentication)
- 어떤 주체나 객체가 틀림없음을 보장할 수 있는 것이며 정보시스템 상에서 이루어지는 어떤 활동이 정상적이고 합법적으로 이루어진 것을 보장하는 것이다.
- 신뢰성(Reliability)
- 의도된 행위에 대한 결과의 일관성을 유지하는 것으로 정보나 정보시스템을 사용함에 있어서 일관되게 오류의 발생 없이 계획된 활동을 수행하여 결과를 얻을 수 있도록 하는 환경을 유지하는 것이다.
- 기밀성(confidentiality)
【보안 취약점, 위협, 정보보호대책】
1. 보안 취약점(Vulnerability)의 정의
- 정보시스템의 결함이나 체계 설계상의 허점으로 인해 사용자의 허용된 권한 이상의 동작이나 허용된 범위 이상의 정보 열람을 가능하게 하는 것
2. 보안 위협
- 보안 위협(Threats)은 자산에 손실을 초래할 수 있는, 원치 않는 사건의 잠재적 원인이나 행위자로 정의된다. 위협은 일반적으로 위협원천에 따라, 크게 자연재해나 장비 고장 등의 환경적 요인에 의한 것과 인간에 의한 것으로 나눌 수 있다.
- 일반적인 보안 위협
- 내부에 의한 중요 기밀정보 유출 위협
- 사회공학적 공격 위협
- TCP/IP 프로토콜의 취약점 이용 위협
- 서비스거부 공격
- 스파이웨어 등 악성코드
- 정보도청 위협
- 접근통제 위협
- 정보보호 정책 수립 및 이행 등 관리적 위협
- 일반적인 보안 위협
3. 정보보호대책
- 정보보호대책(Safeguard Countermeasure)이란 위협에 대응하여 정보자산을 보호하기 위한 관리적, 물리적, 기술적 대책으로 정의된다.
- 이러한 대책에는 방화벽, 침입탐지시스템 등의 정보보호시스템 뿐만 아니라 정책, 지침, 절차 등의 모든 통제사항들이 포함된다.
- 보호대책을 선택할 때는 위험분석을 통해 조직의 환경과 문화에 맞는 것을 선택하는 것이 중요하며, 그 비용을 산정할 때는 구축비용뿐만 아니라 운영에 따른 관리비용을 반드시 고려해야 한다.
【사이버 공격 유형】
사이버 공격 유형의 대표적인 것으로는 해킹(hacking), DoS 공격, 홈페이지 변조, 피싱(phishing), 스팸(spam) 등이 있다.
1. 해킹
- 초기 정의 : 개인의 호기심이나 지적 욕구의 바탕 위에 컴퓨터와 컴퓨터 간의 네트워크를 탐험하는 행위
- 현재 : 의도에 상관없이 다른 컴퓨터에 침입하는 모든 행위
- 크래킹(craking) : 전산망을 통하여 타인의 정보시스템에 접근 권한 없이 무단 침입하여 불법적인 시스템 사용, 불법적인 자료 열람, 유출 및 변조하는 행위
- 합법적이며 윤리적인 해커나 보안 연구자를 화이트햇(white-hat) 해커로, 불법적이며 비윤리적인 해커를 블랙햇(black-hat) 해커 또는 크래커로 부른다.
- 최근에는 선의의 해커를 의미하는 화이트 해커(white hacker)를 사용하며 민·관에서 활동하는 보안 전문가들을 통칭한다. 고의적으로 인터넷 시스템을 파괴하는 해커인 ‘블랙 해커’나 ‘크래커’와 대비되는 개념이다.
- 악성 프로그램(malicious program)
- 정당한 사유 없이 정보통신 시스템, 데이터 또는 프로그램 등을 훼손, 파괴, 변경, 위조 또는 그 운용을 방해할 수 있는 프로그램
- 맬웨어(malware, malicious software), 악성코드(malicious code)라고도 하며 컴퓨터에 악영향을 줄 수 있는 모든 소프트웨어의 총칭
- 웜(worm)
- 다른 프로그램의 감염 없이 자신 혹은 변형된 자신을 복사하는 명령어들의 조합
- 기억장소에 코드 형태로 존재하거나 혹은 실행파일로 존재하며 실행되면 파일이나 코드 자체를 다른 시스템으로 복사한다.
- 정보시스템을 파괴하거나 작업을 지연·방해하는 악성 프로그램의 일종으로 바이러스와는 달리 감염 대상을 갖고 있지 않으며, 독립적인 프로그램으로 번식력을 가지고 있다.
- 컴퓨터 바이러스
- 실행 가능한 프로그램 일부분 혹은 데이터에 자기 자신 혹은 변형된 자신을 복사하는 명령어들의 조합
- 부트 바이러스(Boot Virus)
- 시스템이 부팅되는 과정을 이용하여 플로피와 하드 디스크의 부트 영역을 감염시키며, 대부분의 초기 바이러스들이 여기에 속한다.
- 파일 바이러스(File Virus)
- 파일 자체가 실행되는 과정을 이용하여 COM, EXE, SYS 파일 등에 감염되며, 전체 바이러스의 90% 이상이 파일 바이러스로 구분된다.
- 부트/파일 바이러스(Boot/File Virus)
- 부트와 파일 동시에 감염하는 형태로 바이러스 크기가 매우 커지고 복잡하다.
- 매크로 바이러스(Macro Virus)
- 1995년 여름에 처음으로 발견된 매크로 바이러스는 감염 대상이 실행 파일이 아니라 마이크로소프트사의 엑셀과 워드 프로그램에서 사용하는 문서 파일이다.
- 트로이 목마
-
감춰진 코드를 갖고 있는 프로그램
으로 작동이 되면 원하지 않거나 해가 되는 기능을 수행한다.
- 자기 복제 능력이 없다
-
감춰진 코드를 갖고 있는 프로그램
- 다양한 악성 프로그램
- 악성코드 침해사고 사례
- 모리스 웜(Morris Worm)
- 인터넷을 통해 전파된 최초의 웜이다. 1988년 11월 2일, 미국 코넬 대학교 학생인 로버트 터팬 모리스(Robert Tappen Morris, JR)에 의해 제작되었다. 모리스의 원래 제작 의도는 인터넷의 크기를 측정하기 위한 것이라고 한다.
- 슬래머 웜(Slammer Worm)
- 2003년 1월 25일 오전 5시 30분, 376바이트 크기 밖에 안 되는 웜이 전 세계 인터넷을 마비시켰다. 슬래머(Slammer)웜은 마이크로소프트사 SQL 서버 2000 제품에 내재된 취약점을 공격하여 전파하였는데 10분만에 전 세계 호스트 약 7만 5천 대를 감염시킬 정도로 그 확산 속도가 매우 빨랐다.
- 3.20 사이버 공격
- ‘3.20 사이버 공격’은 2013년 방송·금융 등 6개사 대상 사이버 공격으로 48,700여 대의 PC·서버·ATM이 손상을 입은 국내 최초의 복수기관 대상 지능형지속위협(APT) 공격이었다.
- 모리스 웜(Morris Worm)
- APT(Advanced Persistent Threats) 공격
- ATP 개념 및 특징
- APT 공격은 특정 기업 또는 기관의 핵심정보통신 설비에 대한 중단 또는 핵심정보의 획득을 목적으로 공격자는 장기간 동안 공격 대상에 대해 IT인프라, 업무환경, 임직원 정보 등 다양한 정보를 수집하고, 이를 바탕으로 제로데이 공격, 시회공학적 기법 등을 이용하여 공격대상이 보유한 취약점을 수집·악용해 공격을 실행하는 것을 말한다.
- APT 공격 기법
- APT는 제로데이 취약점이나 루트킷 기법과 같은 지능적인 공격기법을 동시다발적으로 이용해 표적으로 삼은 대상에 은밀히 침투한다.
- 제로데이 취약점: 프로그램의 취약점이 알려지고 난 후 보안패치가 나올 때까지 시간차를 이용해 공격하는 기법
- 사전조사
- 공격자는 공격 목표의 홈페이지, 외부 공개자료, 조직도, 주요 임직원 정보, 협력업체, 정보시스템 유형 및 버전, 어플리케이션의 종류 및 버전 등 공격 목표에 대해 전방위적으로 정보를 수집하고 공격에 활용할 수 있는 취약점을 식별한다.
- 제로데이(Zero-Day) 공격
- 사전 조사된 정보를 바탕으로 정보시스템, 웹, 어플리케이션 등의 알려지지 않은 취약점 및 보안시스템에서 탐지되지 않는 악성코드 등을 감염시키는 것이다.
- 제로데이 취약점은 보안시스템 등에서 탐지되 않으므로 해당 취약점에 의해 악성코드에 감염됨 PC는 동일한 취약점을 보유하고 있는 PC를 스캔하여 감염시킨다.
- 사회공학(Social Engineering)
- 공격목표의 중요 임직원 및 외부 유명인사 등을 가장하여 악성코드, 프로그램 등을 이메일, SNS, App 등을 통해 전송한다.
- 은닉
- 트로이목마 등 악성. 프로그램을 설치하고 정상적인 이용자로 가장하여 시스템 접속정보 등에 대한 정보수집과 서비스 이용패턴, 방법 등에 대한 모니터링을 수행하는 것으로, 관리자 계정의 확보를 시도하여 관리자 권한으로 상승 후 정보를 수집한다.
- 적응
- 권한상승을 통해 목표로 한 정보를 획득한 이후 공격대상의 내부 서버에 암호화하여 저장하거나 압축파일로 저장하여 비정기적으로 공격자의 단말기로 유출하는 등 공격이 탐지되지 않도록 하는 활동, 공격이 탐지되었는지를 지속적으로 모니터링하는 활동, 공격이 탐지된 경우 대응을 하는 활동 등을 포함한다.
- 지속
- 공격자가 핵심정보를 지속적으로 유출시키기 위해 백도어 등의 프로그램을 설치하여 표적대상에 지속적으로 접근할 수 있도록 한다.
- 사전조사
- APT 공격 대상
- APT는 기존 해킹과 달리 불특정 다수가 아닌 특정 대상을 지정해 공격한다. 오랜 시간 동안 잠복하면서 들키지 않게 정보를 빼내는 것이 특징이다.
- 그런 탓에 공격 당하는 대상은 자신이 APT 공격을 당하고 있는지도 모르는 경우가 대부분이다. APT 공격은 특정 기업이나 조직을 주로 노린다.
- APT 공격 방어 대책
- APT 공격을 막는 방법은 기존의 악성코드 공격을 막는 방법과 크게 다르지 않다.
- APT 공격은 특정 목표를 정하고 이를 집중 공략하기 때문에 준비 기간이 길고 공격 수준이 높아 웬만해서는 막아내기가 힘들다. APT 공격으로부터 시스템을 보호하려면 네트워크와 시스템에 대한 의심스러운 행위를 탐지하고 기업에 맞는 보안 시스템을 구축해야 한다.
- ATP 개념 및 특징
2. DoS/DDoS 공격
- DoS(Denial of Service) / DDoS(Distributed DoS) 공격 정의
- DoS 공격은 시스템을 악의적으로 공격해 해당 시스템의 자원을 부족하게 하여 원래 의도된 용도로 사용하지 못하게 하는 공격이다.
- 특정 서버에게 수많은 접속 시도를 만들어 다른 이용자가 정상적으로 서비스 이용을 하지 못하게 하는 공격이다.
- DoS/DDoS 증상
① 비정상적인 네트워크 성능 저하
② 특정 웹사이트의 접근 불가
③ 모든 웹사이트에 접근 불가
④ 특정 전자 우편의 급속한 증가 - DoS/DDoS 공격 유형
- 서비스 거부 공격은 라우터, 웹, 전자 우편, DNS 서버 등 모든 네트워크 장비를 대상으로 이루어질 수 있다.
-
서버의 전산자원이나 네트워크 대역폭을 고갈시켜
원활한 서비스 제공이 이루어지지 않게 할 수 있다.
3. 홈페이지 변조
- 개요
- 홈페이지 화면을 변조시켜 다른 이미지가 보이도록 하는 침해사고 유형으로 특정 기업이나 조직의 이미지, 신뢰성 등을 실추하려는 목적으로 많이 발생
- 이러한 홈페이지 변조는 피해기관에게 금전적인 손실을 야기시킬 수 있을 뿐만 아니라 국가 위상까지 저하
- 웹 어플리케이션 취약점을 이용한 사고의 주요 원인은 국내 공개 게시판인 제로보드 등 PHP 기반 어플리케이션의 보안 취약점과 Window IIS 환경 하에 개발된 홈페이지에 존재하는 SQL Injection 취약점을 이용한 것으로 확인
- 안전한 홈페이지 구축
- 홈페이지 보호대책 방법으로 일반적으로 추가(Add-on) 방식과 내장(embedded) 방식의 두가지 방법이 있다.
- 추가 방식은 정보시스템의 설계 또는 구축 이후에 웹 방화벽과 같은 추가적인 보안장비를 도입할 수 있다.
- 둘째, 내장 방식은 정보시스템 계획 단계에서부터 정보보호 요구사항을 파악하여 정보 시스템 분석 및 설계에 정보보호 기능을 구현하는 방식으로, 초기에는 정보보호 요구사항 파악 및 기능 구현을 위한 시간과 노력이 요구되나 다른 정보시스템 기능과 원활한 상호운용성을 제공할 수 있어 결과적으로 비용-효과적인 방식이라 할 수 있다.
4. 피싱(Phishing)
- 피싱의 정의
- 피싱은 이메일, 문자 메시지 등을 사용해서 신뢰할 수 있는 사람 또는 기업이 보낸 메시지인 것처럼 가장함으로써 비밀번호 및 신용카드 정보와 같이 기밀을 요하는 정보를 부정하게 얻으려는 사회공학기법의 한 종류이다.
- 피싱이란 용어는 ‘낚시(fishing)’에서 유래하였으며 개인정보(private data)와 낚시(fishing)의 합성어이다.
- 피싱 종류
- 스미싱(Smishing) 개요
- 신뢰할 수 있는 사람 또는 기업이 보낸 것처럼 가장하여 개인비밀정보를 요구하거나 휴대폰 소액 결제를 유도
- 신뢰할 수 있는 사람 또는 기업이 보낸 것처럼 가장하여 개인비밀정보를 요구하거나 휴대폰 소액 결제를 유도
5. 스팸
- 스팸의 정의
- 스팸(Spam)은 전자 우편, 게시판, 문자 메시지, 전화, 인터넷 포털 사이트의 쪽지 기능 등을 통해 불특정 다수의 사람들에게 보내는 광고성 편지 또는 메시지를 말한다.
- 스팸(Spam)은 전자 우편, 게시판, 문자 메시지, 전화, 인터넷 포털 사이트의 쪽지 기능 등을 통해 불특정 다수의 사람들에게 보내는 광고성 편지 또는 메시지를 말한다.
- 스팸 유형
【접근통제】
1. 접근 통제 모델(Access Control Model)
- 강제적 접근 통제(MAC, Mandatory Access Control)
- 각 주체가 각 개체에 접근할 때마다 사전에 규정된 규칙과 비교하여 그 규칙을 만족하는 주체에게만 접근 권한을 부여하는 강제적인 보안정책이다.
- 즉, 기밀성을 갖는 객체에 대하여 주체가 갖는 권한에 근거하여 객체에 대한 접근을 통제하는 방법이다.
- 주로 군 시스템에 사용된다. - 임의적 접근 통제(DAC, Discretionary Access Control)
- 주체나 그것이 속해 있는 그룹의 신원에 근거하여 객체에 대한 접근을 제한하는 방법
- 자원의 소유자 혹은 관리자가 보안 관리자의 개입 없이 자율적 판단에 따라 접근 권한을 다른 사용자에게 부여하는 기법이다.
- ACL(Access Control List)을 통해서 구현하는 것이 가장 일반적이다. - 역할기반 접근 통제(RAC, Role-based Access Control)
- 비임의적 접근 제어라고도 한다. 사용자의 역할에 기반을 둔 접근 제어 방식
- 중앙 관리자가 관리하며, 조직 내에서 사용자가 가진 역할을 근거로 객체에 대한 접근 권한을 지정 및 허용한다.
2. 접근 통제 보안 모델(Security Models)
-
보안이 구현되는 방법으로 정보시스템에 대한 접근 통제 규칙을 기술한 정형화한 것
으로 시스템 보안을 위한 규칙과 주체의 객체 접근 혀용 범위를 규정하고 있다.
-
상태 머신 모델(State Machine Model)
- 시스템 내의 활동에 관계 없이 시스템이 스스로를 보호하고 불안정한 상태가 되지 않도록 시스템 상태를 감시하도록 하는 관념적인 모델로서 모든 보안 모델에 기본적으로 적용된다. -
벨-라파듈라 모델(Bell-LaPadula Model)
- 허가되지 않은 방식의 접근을 방지하는 모델로 MAC 방식으로 접근을 제어하며 시스템 내부에 있는 정보의 기밀성을 보호한다.
- 주체는 보다 높은 보안 수준의 데이터를 읽을 수 없다(no read up)
- 주체는 데이터를 보다 낮은 보안 수준의 객체에 기록할 수 업다(no write down) -
비바 모델(Biba Model)
- 데이터 무결성에 초점을 둔 상업용 모델이다. 비인가자들의 데이터 변형 방지만 취급
- 주체는 보다 낮은 무결성의 정보를 읽을 수 없다(no read down)
- 주체는 보다 높은 무결성 수준의 객체를 수정할 수 없다(no write up) -
클락-윌슨 모델(Clark-Wilson Model)
- Biba 이후에 개발된 무결성 모델의 하나이다. 허가 받은 사용자가 허가 받지 않고 데이터를 수정하는 것을 방지한다. 주체는 허가된 프로그램을 통해서만 객체에 접근할 수 있다.
【최신 ICT 서비스 보안 위협】
1. 모바일 보안 위협
- 스마트폰 보안 위협
- 현재까지 알려진 모바일 악성코드의 주요 특징은 통화 기록이나 전화번호, 사진, 금융정보 등의 개인정보를 탈취하는 것이 대부분이다.
-
사용자/단말기 보안 이슈
- 스마트폰 단말기의 도난·분실로 인한 개인정보 또는 엄부 정보의 유출, 엄부용 서버에 불법 접속하여 업무정보 유출, 스마트폰 소유자가 악의적으로 업무 정보의 외부유출 가능성 존재
-
네트워크 보안 이슈
- 스마트폰을 와이파이 등의 무선 인터넷에 접속하여 사용함에 따라 무선 구간에서 패킷 스니핑(Sniffing), 상용인터넷 망을 통한 해킹, 스마트폰을 경유하여 인트라넷 서버에 접속, 모바일 DDoS 등의 보안 위협이 발생하게 된다.
-
응용서비스 보안 이슈
- 스마트폰의 악성코드 감염이나 악의적 목적의 앱으로 인해 위치·개인정보 유출, 장치이용 제한, 부정과금 유발, 플랫폼 또는 펌웨어 변조에 따라 보안 기능을 약화시킬 가능성 존재
-
모바일 콘텐츠 이슈
- 뉴스, 방송, 음악, 라디오, 영화 등 콘텐츠 DRM 해킹, 모바일 스팸, 불법·유해 콘텐츠 유통 등이 문제가 될 수 있다.
- 현재까지 알려진 모바일 악성코드의 주요 특징은 통화 기록이나 전화번호, 사진, 금융정보 등의 개인정보를 탈취하는 것이 대부분이다.
- 스마트폰 전자금융서비스 보안 위협
- 모바일이 전자금융거래 시 거래 정보의 입력, 출력, 저장, 전송 등의 과정에서 정보 유출이 발생할 수 있다.
① 입력: 보안카드나 이체 비밀번호 등 금융 앱이 실행된 상태에서 입력하는 중요 정보의 유출
② 출력: 금융 관련 주요정보가 화면에 출력 될 때 화면캡처 및 원격제어를 통한 중요 정보의 유출
③ 저장: 악성코드 감염이나 단말기 분실 등의 상황에서 기기 내부에 저장된 중요 정보의 유출
④ 전송: 유·무선 통신 기능 이용시 전송될 수 있는 중요 정보의 유출
- 모바일이 전자금융거래 시 거래 정보의 입력, 출력, 저장, 전송 등의 과정에서 정보 유출이 발생할 수 있다.
- 소셜 네트워킹 환경의 보안 위협
-
유럽의 정보보호 전문기관인 ENISA(European Network and Information Society Agency)는 SNS 관련 보안위협을 다음과 같이 분류하였다.
① 프라이버시 보안 위협: 개인 프로파일 수집, 2차 데이터 수집, 안면 인식과 개인정보 연계로 인한 초상권 침해와 익명성 약, 콘텐츠 기반 이미지 검색, 이미지 메타 데이터와 개인정보의 연계, 완전한 계정 삭제의 어려움이 있다.
② 네트워크상의 보안 위협: SNS를 이용한 스팸 증가, 크로스사이트 스크립팅, 웜·바이러스 등에 대한 취약성 증가, 다양하게 통합되는 SNS 포털들이 정보수집기로 이용되어 보안 취약성이 증가될 수 있다.
③ ID 관련 위협: SNS를 이용한 특정이용자나 그룹에 대한 스피어(spear) 피싱, 침입을 통한 ID정보 유출, ID 도용을 통한 허위정보 생산 또는 명예훼손 등 각종 범죄가 증가할 수 있다.
④ 사회적 위협: 사이버 스토킹, 사이버 괴롭힘, 산업 스파이 등에 관한 위협 등이 있다.
-
2. 클라우드(Cloud) 서비스 보안 위협
- 클라우드 컴퓨팅
-
클라우드 컴퓨팅은 인터넷 기술을 활용하여 'IT 자원을 서비스'로 제공하는 것으로 IT 자원(소프트웨어, 스토리지, 서버, 네트워크 등)을 필요한 만큼 사용하고 서비스 부하에 따라서 실시간 확장이 가능하며 사용한 만큼 비용을 지불하는 서비스이다.
-
SaaS(Service as a Service)
Cloud 환경에서 동작하는 응용프로그램을 서비스 형태로 제공하는 것
-
PaaS(Platform as a Service)
서비스를 개발할 수 있는 안정적인 환경(Platform)과 그 환경을 이용하는 응용 프로그램을 개발할 수 있는 API까지 제공
-
IaaS(Infrastructure as a Service)
서버를 운영하기 위해서는 서버 자원, IP, Network, Storage, 전력 등등 인프라를 가상의 환경에서 쉽고 편하게 이용할 수 있게 서비스 형태로 제공
-
- 클라우드 서비스의 보안 위협
- 클라우드 서비스는 기존 IT 환경의 보안 위협과 클라우드 특성에 따른 가상화, 다중 임차(Multi-tenancy), 원격지에 정보 위탁·사업자 종속, 모바일 기기 접속, 데이터 국외 이전, 침해사고 대형화, 데이터센터 안전성 등 신규 공격 위협이 존재하게 된다.
- 클라우드 서비스는 기존 IT 환경의 보안 위협과 클라우드 특성에 따른 가상화, 다중 임차(Multi-tenancy), 원격지에 정보 위탁·사업자 종속, 모바일 기기 접속, 데이터 국외 이전, 침해사고 대형화, 데이터센터 안전성 등 신규 공격 위협이 존재하게 된다.
3. 빅 데이터(big data) 보안
- 개념
- 빅 데이터(big data)란 기존 데이터베이스 관리도구로 데이터를 수집, 저장, 관리, 분석할 수 있는 역량을 넘어서는 대량의 정형 또는 비정형 데이터 집합 및 이러한 데이터로부터 가치를 추출하고 결과를 분석하는 기술을 의미한다.
- 3V(Volume, Velocity, Variety)
- 빅 데이터 분석 기술
① 텍스트 마이닝: 비/반정형 텍스트 데이터에서 지연 언어 처리 기술에 기반을 두어 유용한 정보를 추출, 가공
② 오피니언 마이닝: 소셜 미디어 등의 정형/비정형 텍스트의 긍정, 부정, 중립의 선호도를 판별
③ 소셜 네트워크 분석: 소셜 네트워크의 연결 구조 및 강도 등을 바탕으로 사용자의 명성 및 영향력을 측정
④ 군집 분석: 비슷한 특성을 가진 개체를 합쳐가면서 최종적으로 유사 특성의 군집을 발굴 - 빅 데이터 보안 위협
① 데이터 생성 단계: 다양한 경로를 통해 생성, 수집되는 많은 양의 데이터는 다양한 경로의 보안 위협에 노출
② 데이터 저장·운영 단계: 다양한 사용자를 수용하는 클라우드 컴퓨팅을 활용하는 내외부의 다양한 공격자에게 노출
③ 서비스 단계: 데이터 분석 및 제공 단계에서도 프라이버시 침해 및 데이터의 기밀성이 노출될 수 있음
4. 사물인터넷(IoT, Internet of Things) 보안 위협
- 사물인터넷 개념
-
사람, 사물, 공간 등 모든 것들(Things)이 인터넷(Internet)으로 서로 연결되어, 모든 것들에 대한 정보가 생성·수집되고 공유·활용되는 것
을 말한다.
- 언제나, 어디서나, 어느 것과도 연결될 수 있다.
- 인간이 정보 접속에 대해 가지고 있는 ‘시간의 제약’과 ‘공간의 제약’의 문제를 해결한다.
- 컴퓨터와 컴퓨터, 인간과 인간, 인간과 사물, 사물과 사물을 연결하는 ‘객체의 제약’을 해결한다.
-
사람, 사물, 공간 등 모든 것들(Things)이 인터넷(Internet)으로 서로 연결되어, 모든 것들에 대한 정보가 생성·수집되고 공유·활용되는 것
-
사물인터넷 기술 요소
① 센싱 기술은 필요한 사물이나 장소에 센서나 전자태그를 부착하여 주변 상황 정보를 획득하고, 실시간으로 정보를 전달할는 사물 인터넷의 핵심 기술
② 유·무선 통신 기술은 사물이 인터넷에 연결되도록 지원하는 기술로, IP를 제공하거나 무선통신 모듈을 탑재하는 것
③ 사물 인터넷 서비스 인터페이스는 사물 인터넷을 구성하는 요소들을 서비스 및 어플리케이션과 연동하는 역할을 수행
④ 보안 기술은 네트워크, 단말 및 센서, 대량의 데이터 등 적용 분야별로 기능·어플리케이션·인터페이스 등이 상이하기 때문에 개별적으로 적합한 보안 기술 적용이 요구 - 사물인터네 보안 위협
- 스마트 홈, 스마트 의료, 스마트 카 등 IoT 서비스가 일상생활로 확산되면서 기존 사이버세계의 위험이 현실세계로 전이·확대되었다. 따라서 기존 PC, 모바일 기기 중심의 사이버 환경과 달리 IoT 환경은 보호대상, 주체, 방법 등에 있어 새로운 정보보호 패러다임으로 접근이 필요
- 스마트 홈, 스마트 의료, 스마트 카 등 IoT 서비스가 일상생활로 확산되면서 기존 사이버세계의 위험이 현실세계로 전이·확대되었다. 따라서 기존 PC, 모바일 기기 중심의 사이버 환경과 달리 IoT 환경은 보호대상, 주체, 방법 등에 있어 새로운 정보보호 패러다임으로 접근이 필요
- 사물인터넷(IoT, Internet of Things) 보안 위협
- 사물인터넷의 보안 위협 개념도
- 사물인터넷의 보안 위협 개념도
-
핀테크(Fintech) 보안
Financial + Technology → 신기술을 활용한 금융서비스 제공
핀테크 보안 요소 기술
① 금융 빅데이터 분석- 금융정보의 내외부 정보 유출과 함께 침해사고에 대한 사전 탐지 및 사후 대응 등 금융사고 위협을 예측하고 사전에 대응
② 이상거래탐지- 전자거래에 사용되는 단말기 정보, 접속 정보, 위치 정보, 거래내용 등을 종합적으로 분석하여 의심 거래를 탐지하고 이상 거래를 차단
③ 핀테크 보안 - 간편 결제, 사용자 인증, 암호기술, 앱 위변조 방지 등
④ 금융정보보호 거버넌스 체계 구축- 전사적인 위험관리체계 구축, 전담 조직의 구성 등 보안사고에 효과적으로 대응 - OWASP Top 10 RISK
- OWASP(Open Web Application Security Project)에서는 매년 각 분야별 프로젝트에서 가장 심각한 보안 위험 10가지에 대해 발표
- OWASP(Open Web Application Security Project)에서는 매년 각 분야별 프로젝트에서 가장 심각한 보안 위험 10가지에 대해 발표
댓글남기기