정보화사회의 정보보호

정보사회의 특성과 정보화 역기능

정보사회의 특성

• 인터넷 확산과 전자상거래로 단일 생활권으로 압축
• 전자메일 및 인터넷을 통해 직접 방문없이 이체, 주식매매 등을 할 수 있음
• 기존의 전쟁개념에서 자동화된 지휘통제시스템과 바이러스를 사용한 사이버 전쟁 개념이 복합된 모습으로 변화

정보화의 역기능

• 개인의 프라이버시 침해, 각종 컴퓨터 범죄 행위의 기승, 정보시스템의 파괴에 의한 사회마비 등

사이버 환경의 특징

• 비대면성
• 익명성
• 시간 및 공간 운영의 무제한성
• 무제한적인 정보 및 신속한 전송
• 미래의 범죄 및 전쟁 공간

최근 사이버 공격의 특징

• 공격 기술의 지능화 및 고도화
• 사이버 공격 전파 경로의 다원화
• 사이버 공격의 초고속화 및 초단기화
• 사이버 공격의 분산화 및 에이션트화

정보보호

정의

• 정보보호(Information Security)의 사전적 의미
  • 정보의 수집, 가공, 저장, 검색, 송신, 수신 중에 발생하는 정보의 훼손, 변조, 유출 등을 방지하기 위한 관리적, 기술적 수단, 또는 그러한 수단으로 이루어지는 행위
• 정보보호는 기밀성, 무결성, 가용성, 인증성 및 부인방지를 보장하기 위해 기술적, 물리적, 관리적 보호대책을 간구하는 것

정보의 가용성과 안정성

• 정보의 가용성과 보안 측면에서 보면, 정보보호란 정보의 활용과 정보의 통제 사이에서 균형감각을 갖는 행위
• 필요로 하는 사용 가능한 자원을 쉽게 얻을 수 있으면서도 정보에 위협이 되는 요소를 최소화하는 균형점을 찾는 것

가장 쉬운 침투 방법 선택 원리( prinaiple of penetration)

• 침입자는 가능한 모든 침투 수단을 이용할 것이다. 침투는 가장 분명한 수단을 이용해서 일어나는 것이 아니다. 따라서 침투에 대한 강력한 대비책이 있다면 일반적으로 쉽게 이루어지지 않을 것이다.

NIST의 컴퓨터 보안 정의

• 정보시스템 지원 ( 하드웨어, 소프트웨어, 펌웨어, 정보/데이터, 통신 )의 무결성, 가용성, 기밀성을 보전하고자 하는 목표 달성을 위해 자동화된 정보시스템에 제공하는 보호 ( 컴퓨터 보안에 있어서 가장 핵심이 되는 3가지 주요 목표 제시 )

정보보호의 목표

• 기밀성(Confidential)

  • 오직 인가된 사람, 인가된 프로세스, 인가된 시스템만이 알 필요성(Need-to-know)에 근거하여 시스템에 접근해야 한다는 원칙
  • 기밀성은 데이터 처리의 모든 접속점에서 필요한 수준의 비밀 엄수가 강제되도록 하고, 허가받지 않은 정보 유출을 예방하는 것을 보장한다. 이러한 수준의 기밀성은 데이터가 네트워크 내의 시스템과 장비에 보관되어 있을 때, 데이터가 전송될 때, 데이터가 목적지에 도달한 이후에도 유지가 되어야 한다.
  • 기밀성을 보장하기 위한 보안 기술에는 접근 제어, 암호화 등이 있다.

• 무결성(Integrity)

  • 네트워크를 통하여 송수신되는 정보의 내용이 불법적으로 생성 또는 변경되거나 삭제 되지 않도록 보호되어야 하는 성질
  • 무결성 왜곡이 항상 악의적인 행동의 결과로 나타나는 것은 아니다. 전력차단과 같은 시스템 중단이 정보에 예상치 못한 변형을 일으킬 수 있다.
  • 무결성을 보장하기 위한 보안 기술에는 접근 제어, 메시지 인증 등이 있으며, 정보가 이미 변경되었거나 변경 위험이 있을 때에는 이러한 변경을 탐지하여 복구할 수 있는 침입 탐지, 백업 등의 기술이 필요하다.

• 가용성(Availability)

  • 시스템이 지체 없이 동작하도록 하고, 합법적 사용자가 서비스 사용을 거절당하지 않도록 하는 것
  • 정보는 지속적으로 변화하며, 이는 인가된 자가 접근할 수 있어야 함을 의미 정보의 비가용성은 조직에 있어 기밀성이나 무결성의 부족만큼이나 해롭다.
  • 가용성을 확보하기 위해서는 데이터의 백업, 중복성의 유지, 물리적 위협요소로부터의 보호 등의 보안 기술을 적용

CIA Triad => 보안의 3요소

• 기밀성(Confidential)
• 무결성(Integrity)
• 가용성(Availability)

정보를 안전하게 보호하기 위해서는 비인가된 접근으로부터 안전하고 [기밀성], 비인가된 변경으로부터 보호되어야 하며[무결성], 필요할 때 권한이 있는 사용자가 이용할 수 있어야 한다.[가용성]

• 인증성(인증, Authenticity, Authentication)
  • 진짜라는 성질을 확인할 수 있고, 확인 및 신뢰할 수 있다는 것을 의미 그리고 전송 메시지, 메시지 출처 유효성의 확신을 의미한다.
  • 사용자가 정말 그 사용자인지 시스템에 도착한 자료가 정말로 신뢰할 수 있는 출처에서 온 것인지를 확인 할 수 있는 것을 말한다.
• 책임추정성(책임성, Accountability)
  • 보안 목적에는 개체의 행동을 유일하게 추적해서 찾아낼 수 있어야 한다는 사항이 포함되어야 한다. 부인 봉쇄, 억제, 결함 분리, 침입 탐지 예방, 사후 복구와 법적인 조치 등이 포함된다.
  • 진정으로 안전한 시스템을 만드는 것은 불가능하기 떄문에, 보안 침해에 대한 책임이 있는 곳까지 추적할 수 있어야만 한다.
  • 시스테은 반드시 이들의 활동 상황을 기록하고, 나중에 포렌식 분석을 하여 보안 침해를 추적할 수 있거나 전송과 관련된 분쟁을 해결할 수 있도록 해야한다.

추가 정보보호 목표

• CIA Triad를 통해 보안 목절을 잘 정의했지만, 보안 목적을 완성되게 표현하려면 보안 실무 필드에서 필요한 개념을 추가해야만 한다. 그 중에서 가장 많이 언급되는 개념은 인증성, 책임추적성이다.