PART1. 정보보안 - SECTION1. 정보보호관리

기무가+부인

보안의 3대 원칙 

1. 기밀성 = 비밀성

2. 무결성

3. 가용성

 

1. 결국에는 암호화시키는 거임. 해커가 있다. 해커가 암호화된 데이터를 탈취했다. 그래도 암호화가 되어 있으면 내용이 뭔지 모르겠지. 사용자 정보를 암호화하여 탈취해도 모르게 한다. = 암호화

암호화의 개념 중에 하나가 오직 인가된 사용자만이 데이터에 접급할 수 있도록 제한하는 것도 넓은 의미로 기밀성임.

암호화가 기본이고 접근통제가 얹어져서 기밀성을 보장하기 위한 방법임.

접근통제란? 변조나 위조가 되지 못하게 하는거임. 

변조: 이미 이루어진 물체를 다른 모양으로 바꿈

위조: 어떤 물건을 꾸며서 진짜처럼 만듦

 

2. 무결성

내가 지금 마트에서 만원을 카드로 결제함. 요즘은 결제하면 문자가 옴. 근데 10만원 결제되었다고 뜸. 이건 중간에 데이터가 바뀐거임 = 무결성이 파괴되었다. 

-> 정보가 의도하지 않은 방법으로 변경되거나 파괴된 것을 무결성이 파괴되었다. 

내 컴퓨터에는 파일이 100개가 있어야하는데, 엥 파일이 101개네? 뭔가 파일 하나가 엉뚱한게 들어왔음 = 무결성이 파괴되었다.

 

데이터가 위조나 변조가 되지 않아야 함.

3) 시험 지문임 

4) 주기적인 바이러스 검사 = 내 컴퓨터에 바이러스가 하나 들어 온 것도 무결성 침해(?)임. 공개키 암호화 방식은 뒤에서 나옴.

대칭키 암호화 방식과 공개키 암호화 방식이 있음.  

 

3. 가용성

내가 원하는 자원을 원하는 시간에 다양한 네트워크를 이용해서 계속 쓸 수 있다.

2) 

3) 그러면 가용성을 보장하기 위한 방법 중 하나 데이터 백업(중요), 이중화, 데이터 복원

    -> 백업 중요해서 매주 토요일은 백업 데이 이런식으로 관리함.

4) 나중에 배움. 도스는 해킹과 다름. 해킹은 뭔가 정보를 빼내오는거고(유심사태), 도스는 서비스를 못하게 하는거임.

   -> 중국집을 차림(북경 백반집) 어떤 미친놈이 1초에 한번씩 장난 전화함. 정상적인 고객이 전화를 시도하면 연결이 안되겠지. 이게 도스 공격임. 서비스 거부 공격

 

나. 기타

참고하슈

1.

2.

3.

4.

5.

 

1. 부인방지

오리발을 못내밀게 함. CJ오쇼핑ㅇ에서 봉안 관제 했었음. 사당역 아래에 있음. 자기가 주문한 다음에 주문 안 했다고 오리발 내미는 경우가 많음 -> 녹취 틀어줘서 부인 방지

송신자의 개인키로 암호화하고, 송신자의 공개키로 복호화하는게 부인방지임. -> 나중에 배움.

 

부인 방지 = 오리발을 내밀지 못하게 하는 것

 

2. 인증

1) 인증이 뭐임? 식별, 인증, 인가 

식별: ID, 회원가입시 중복체크함. 유일해야함. 유일한게 식별임

인증: 패스워드, 그 사람이 진짜 맞는지 확인함.

인가: 권한 부여, 내가 카페의 관리자다. 그럼 관리자에 맞는 권한을 주겠지. 게스트면 게스트에 맞는 권한을 주겠지. 

 

인증은 내가 맞다.는걸 증명하는것

 

1) 패스워드로 본인인지 확인, 내가 가짜 아니고 진짜임을 증명

명품백에는 제품 인증서가 있음. 이 백은 진짜당! 

근데 요즘은 가품사도 인증서 줌; 제조사도 그거 모름, 구분 못함; 

??

 

3. 책임추적성

1) 책임을 추적할 수 있어서

3) 책임소재 확인 가능

6)

 

4. 신뢰성

1) 감리할 때 보면 카메라가 CCTV가 있음. 이 카메라가 중국산이 있고, 한화 등 국산꺼가 있음. 중국산은 보증기간 2년임. 2년 딱 지나면 고장남(쨔쟌), 시간적인 개념을 가지고 있는게 신뢰성임. 보증기간엔 고장이 안나, 근데 그 기간 지나면 고장남

 

5. 접근권한

나는 읽기권한만 있고, 수정 권한이 없어 -> 읽기권한만 있는게 접근권한

 

3. 위험도 산정 시 고려할 구성요소

 

1. 위협

1) 협박

5) 가로채기, 가로막음, 변조, 위조

6) 의도된게 있고 의도되지 않은게 있음. 

- 의도: 외부인은 막을 수 있는데, 내붕인이 돌아다니는 건 막을 수 없음. 암튼 이들이 작성하고 덤비는 것

- 비의도: 조작 실수나 미숙, 지진/화재, 정전 등 

 

2) 위험(리스크)

사고가 날 가능성

2) 자산이 크면 위험이 커짐, 협박이 많으면 위험이 커짐, 약점이 많으면 위험이 커짐. 정보보호 대책으로 위험을 줄여야함.

 

3. 취약점

외우셈: 관물기(관리적, 물리적, 기술적) -> 뒤에 또 나오긴 함

암튼 얘네가 약점임.

 

의외로 의도하지 않은 약점이 있음. 데이터의 집중이나 컴퓨터 센터의 지리적 집중: 의도하지 않은 취약점임.

여기 불나면 난리나지. 근데 의도하지 않은 약점임.

여기 불나봐, 지진나봐. 그럼 싹다 날라감 = 디스토피아세곙임.

 

디스토ㅠㅣ아는 ENP 비슷한게 터져서 데이터가 싹 날아감, 그럼 빚이 있는 사람은 신남. 근데 자산이 있는 사람들은 큰일이지;

 

4. 자산

 

4. 보안 용어 통과

 

2) 사회공학 

사람의 심리적인 취약점 이용

예: 해커가 사장 목소리 잘 냄. 비서에서 전화해서 야 김비서 내꺼 패스워드가 머더라? 그럼 비서가 말해주겠지. 

예2: 내가 직원인데 사장한테 메일이 옴. "김대리 이거 확인해" 근데 이게 해커가 보낸거였고, 파일에 바이러스 넣어놓음.

 

3) 정보보호에 대한 위협 요소

1) 엿듣기: 암호화하면 들어도 모름

2) 도스: 이중화 백업

3) 해시함수로 무결성 체크 

4) 위조: 내가 만원 결제했는데 10만원으로 나오네? -> 전자 서명

 

5. 보안공격

1) 수동적 공격:

내가 친구랑 카페에 앉아서 대화중임. 근데 옆테이블에 앉은 사람이 우리의 대화를 엿듣는거 같음. 그래서 왜 엿듣냐고 물으면 "증거 있어요?"함. 증거 없음. 가만히 앉아서 듣고만 있어서 증거는 없음. 수동적 공격은 액션이 없음. 가만히 있음.

1) 네트워크 상에서 전송된 데이트를 엿듣고 분석하는 것

보통 네트워크를, 인터넷을 클라우드라고 부름. 그럼 이제 여기에 모니터에 송신자가 있고 반대편에 수신자가 있고 서로 통신하겠지. 이건 데이터를 분석하는 거임. 그래서 이 하나하나 패킷은 보통 암호화가 되어있음. 이 패킷을 낚아채서 내용을 보려고 해도 이미 암호화가 되어서 몰라, 근데 이 왓다갓다 패턴이 있음. 이 패턴을 분석해서 1월 1일부터 1월 2일까지 패킷이 오고가네? 를 분석하는 거, 듣는걸 막을 수는 없음. 그래서 암호화를 함.

위 예에서 그럼 프랑스어로 대화하자~ 하는 식으로 암호화

이런 수동적 공격인 스니핑, 트래릭 분석, 가로채기(애매)가 있음.

4) 메시지 내용 공개(애매)도 해당함, 그냥 그러기로 합의함.

 

2) 능동적 공격

액션을 취해서 잡기 쉬움

직접적으로 기밀성, 무결성, 가용성을 위협하는 공격임.

2) 마스커레이드(가면), 재사용, 서비스거부 등 외우셈.

서비스 거부가 능동적 공격: 중국집에 계속하는 장난 전화임.

 

다음중 소극적 공격은?

나. 비교

스니핑은 수동, 스푸핑은 능동

수동은 직접적 피해 없음. 옆 테이블에서 대화 듣는다고 직접적 피해는 없지만, 대화 내용이 털림. 그리고 탐지가 어려움. 증거가 없거든. 그래서 탐지보다는 예방이 필요 -> 자리를 옮기거나 프랑스어로 말하거나

 

미친놈이 우리집에 계속 장난 전화해. 그건 예방이 안되지;