정보보안기사 필기 - 1(정보보호관리의 개념)

안녕하세요. 제가 공부하는 정보보안기사에서 요점들을 정리하려합니다.

 

- 정보보호의 목표

• 기밀성(Confidentiality) : 오직 인가된 사람, 인가된 프로세스, 인가된 시스템만이 알 필요성에 근거하여 시스템에 접근해야한다는 원칙
• 무결성(Integrity) : 네트워크를 통하여 송수신되는 정보의 내용이 불법적으로 생성,변경,삭제 되지않도록 보호되어되어야한다는 원칙
• 가용성(Availability) : 시스템이 지체 없이 동작하도록 하고, 합법적인 사용자가 서비스 사용을 거절당하지 않도록 해야한다는 원칙
• 인증성(Authenticity) : 진짜라는 성질을 확인할수 있고 확인 및 신뢰할 수 있어야한다는 원칙
• 책임추적성(Accountability) : 개체의 행동을 유일하게 추적해서 찾아낼수 있어야한다는 원칙

 

- 기밀성을 위협하는 공격

• 스누핑(snooping) : 데이터에 대한 비인가 접근 또는 탈취하는 행위
• 트래픽 분석(traffic analysis) : 데이터를 암호화하여 도청자가 그 데이터를 이해할 수 없게해도 도청자는 트래픽을 분석함으로 전송 성향등을 추측하는데 도움이 되는 정보를 얻어내는 행위

 

- 무결성을 위협하는 공격

• 변경(Modification) : 메시지의 일부를 불법으로 수정하거나 지연시키기 순서를 뒤바꾸는 행위
• 가장(Masquerading) : 한 개체가 다른 개체의 행세를 하는 행위, 이 행위는 변경과 같은 다른 형태의 공격과 병행해서 수행된다.
• 재연(재전송, Replying) : 획득한 데이터를 보관하고있다가 시간이 경과한 후에 재전송하는 행위 -> 불법적인 생성
• 부인(Repudiation) : 메시지 송신자는 차후에 자신이 메시지를 보냈다는 것을 부인하는 행위 -> 불법적인 생성을 한 사람이 있다는 의미

- 가용성을 위협하는 공격

• 서비스 거부(Denial of Service) : 시스템의 서비스를 느리게하거나 완전히 차단하는 행위

 

- 소극적 공격과 적극적 공격

보안 공격을 X.800(보안메커니즘)과 RFC 2828(인터넷 보안 용어사전)에 따라 분류하면 소극적 공격과 적극적 공격으로 나눌 수 있다.

• 소극적 공격 : 공격자의 목표는 단지 정보를 획득하는 것으로 하는 공격 ex) 스누핑, 트래픽 분석
• 적극적 공격 : 공격자의 목표는 데이터를 바꾸거나 시스템에 해를 입히는 것으로 하는 공격 ex) 변경, 가장, 재연, 부인, 서비스거부

- 위협과 위험

위협 : 손실이나 손상의 원인이 될 가능성을 제공하는 환경의 집합

위험 : 위협을 통해 자산에 악영향을 미치는 결과를 가져올 가능성으로 자산*위협*취약점 으로 표현된다.

 

- 시점별 통제

예방 통제(Preventation Control) : 사전에 위협과 취약점에 대처하는 통제

탐지 통제(Detective Control) : 위협을 탐지하는 통제

교정 통제(Corrective Control) : 이미 탐지된 위협이나 취약점에 대처하거나 위험이나 취약점을 감소시키는 통제