PART1. 정보보안 - SECTION2. 정보보호 대책 + 문제 풀이

1. 개요

1)

2) 관물기 -> 뒤에서 배움

기술적: 방화벽, IDS, IPS, 암호화, VPN, 망분리

관리적: 요즘은 다 ISMS

물리적: 가장 효과적임. 가방 뒤지기, USB 검사 등

 

2. 기술적 보안

1) 개념

2) 방화벽, 암호화 -> 파트 4에서 배움

 

클라우드로 표현하는게 인터넷임 TCP, IP, 공중망, 인터넷.

회사는 방화벽과 IPS도 같이 둠 DMZ, 허니팟, ESM 등 -> 뒤에서 배움

 

지금은 걍 있구나~하고 넘어가세요. 지금 다 알 필요는 없음.

3. 관리적 보안

1) 개요

관리적이 나온 이유가 이게 시간이고, 이게 강도(보안 수준) 임.

회사 초기에는 고객이 100명도 안됨. 근데 회사에서 강도가 낮음. 그러다가 감사(컨설팅)를 받음. 그럼 IDS니 IPS를 듣겠지. 그럼 보안 수준이 높아짐. 보안 장비는 지속적인 업데이트와 패치 및 관리가 필요함. 근데 한 번 장비를 사면 그다음부터 안 건드림, 그럼 시간이 지나면서 보안이 점점 떨어짐. 사장눈에는 보안팀이 노는 거 같아서, 영업팀 지원 등으로 보냄. 그러다 보면 점점점 보안 수준이 떨어짐. 그에 반해 회사 초기에는 고객 100명 근데 그 고객이 늘어남 -> 어느 순간에는 보안 위협이 증가하다가 보안 수준과 위협이 크로스가 되는 지점이 있음. 이때가 보안사고 발생 위험임. 이걸 해결하는 게 3년마다 정보보호 컨설팅이나 감사를 해서 보안 수준을 높임. 이게 관리적 보안임.  

 

1) 이걸 kisa에 의해 주기적으로 인증을 받자고 하게 된 거임.

 2) 주기적으로 관리받는 것임.

 

전에는 인증기관이 ISMS, PIMS, PIPL이 있었는데, 다 합쳐짐.

 

2) ISMS 

가) 개요

인증을 부여하는 제도임.

보안 서류 달라고 해서 하나씩 심사함. 

이제 이거 따려면 몇 년간 공부해야....

 

나) 특징

1) 강제로 해야 함. 

3) ISMS-P 인증을 받아야 함

5) 3년마다

 

다) ISMS 수행절차

 

라) ISMS 인증 의무 대상자(정보통신망법 제47조 2항)

매출액 100억은 정보통신 서비스망이 100억. 아니면 1500억 이상 버는 곳은 법적 의무적으로 해야 함.

 

마) 인증심사의 종류

 

바) 기대효과

1) 

2) 준거성: 법을 지키는 것

5) 2. 몇 점 줌

 

3) PIMS - 사라짐.. 그래서 빼도 됨.

가) 개요

니) 특징

다) PIMS 인증절차

라) 인증대상

마) 기대효과

 

4) PIPL - 사라짐.. 그래서 빼도 됨.

가) 개요

 

5) PIA - 사라짐.. 그래서 빼도 됨.

가) 개요

나) 설명

다) 개인정보 영향평가 시 고려사항

 

6) 주기적인 보안교육

 

7) 비교

 

4. 물리적 보안

1) 개념

가장 적은 비용으로 가장 즉각적인 효과를 낼 수 있음. 

 

2) 종류

1) 아무나 함부로 왔다 갔다 못함. 

3) 직접 가방 뒤지기, 효과가 즉각적임.

 

3) 물리적 보안 시스템 적용체계 및 주요 장치 

---

기출문제

1. 

ㄱ. 무결성

ㄴ. 가용성

ㄷ. 정답

ㄹ. 정답 -> 녹취, 싸인, 도장, 송신자의 개인키로 암호화 -> 송신자의 공개키로 복호화

ㅁ. 기밀성, 접근제어

 

2. 

 

3. 서비스 거부 공격(Dos)

중국집에 어떤 미친놈이 1초마다 장난전화하는 것. 얘가 공격하는 건 뭐임? -> 가용성임 (정상적인 서비스를 못하게 하는 것)

해킹은 정보를 빼내오는 거고, Dos는 정상적인 서비스를 못 받게 하는 것임.

 

4. 

소극적 공격은 수동이고, 적극적 공격은 능동임.

소극적: 도청/감시

적극적: 위조(가장, 신분위장), 서비스 거부

 

5. 

4) 내가 지금 정상적인 서비스를 못하게 하면 그 트래픽을 끊으면 됨. 중국집 장난전화는 전화 차단함 ㅎㅅㅎ

관공서도 하루 몇 백건의 Dos공격을 받고 있긴 함.

 

6. 

 

7.

1) 옆 사람이 우리의 대화를 엿들어도 대화가 끊기진 않음.

2) 소극적 공격임. 적극적으로 공격하려면 우리 테이블로 와서 깽판 쳐야 함.

3) 메시지 내용 공개도 소극적 공격으로 친다 -> 서비스에 영향을 주진 않았잖아.

 

8. ★

1) 기밀성: 암호화, 접근제어

2)

3) 무결성: 데이터의 내용이 함부로 바뀌지 않음.

4) 책임성, 책임추적성

 

9.

4) 책임추적성 보장이 맞음

 

10.

어떠한 정보기관이야. 기관 건물이 있고, 기관 내부에 중요한 데이터가 있고, 이걸 외부로 전송하는 행위가 걸렸을 때  

로그 파일에 로그 기록이 있음. 얘가 인터셉터해서 키는 장면이 발견됨. 그럼 걸려요. 2년마다 감사함. 너 1년 전에 이거 검색 왜 했냐~  나한테 부여된 활동만 해야 함 

 

11. 인증 ID, 식별 패스워드, 인가 권한 부여 

1) 기밀성, 암호화

2) 무결성

3) 인증

4) 가용성

 

12. 

ㄱ. 기밀성, 암호화

ㄴ. 무결성

ㄷ. 인증 -> 내 가방 찐이야 ㅠ 짜 아니야 ㅠ 인증서 있오 ㅠ

ㄹ. 가용성

 

13. ★

ㄱ. 무결성: 만원 결제 했으면 만원 문자 와야지

ㄴ. 접근통제 -> 접근 권한 부여하니까 접근 통제하는 거임

ㄷ. 부인방지

 

14. ★

ㄱ. 협박: 위협

ㄴ. 위험

ㄷ. 취약점

 

15. 

1) 소극적 공격: 수동적 공격 -> 엿듣기는 문제가 안됨.

2) 적극적 공격은 뭔가 변경하고 만짐. 이건 수동적 공격인

3) 

---

기출문제 

 

16. 

가) 인증

나) 접근통제도 기밀성임

다) 책임 추적성, 무결성은 정보가 의도하지 않은 방법으로 변경되거나 파괴되지 않게 하는 것

라) 인증은 내가 찐이야, 제품 인증서, 패스워드임,

 

17. 

기무가부인

1) 수동적 공격

2) 인증 위협

3) 가용성: 버퍼오버플로우

4) 무결성 위협

 

18. 

기밀성(비밀성) 암호화

 

19. ★

부인방지 -> 나중에 할 거고, 이게 공인인증서임

 

20.

기밀성: 접근 통제 및 암호화

백업은 가용성

바이러스는 가용성/무결성

 

21.

(가) 객체(사람, 사물)가 정보의 내용을 모르게 한다? -> 암호화

(나) 가용성

(다) 데이터가 함부로 바뀌지 않게 하는 것 = 무결성

 

22. 

 

23. 

확실한 증거 -> 부인방지

 

24. 

변경 -> 무결성

 

25. 

정보를 암호화해서 가로채도 알 수 없게 해야 함. -> 기밀성

 

26. 

가. 가용성

나. 기밀성 침해임. 내가 데이터를 암호화했음. 근데 통계적 방법으로 대충 내용을 분석해서 내용을 알아내 것, 이걸 사머시기 공격이라고 함 (뒤에서 배움)

다. 무결성 파괴 추가된 한 개는 악성 프로그램일 거다.

라. 메시지 내용이 바뀌면 무결성

 

27. 

내가 원하는 시간에 나의 자원을 쓸 수 있게 하는 것

 

28.

기무가부인 

가. 무결성

나. 책임 추적성

다. 가용성

라. 인증성

마. 암호화하여 정보를 탈취해도 모르게 하는 것

 

29. 

기무가부인

 

30. 

 

31. 

 

32. 

기무가부인

가. 기밀성의 가장 기본은 암호화 + 접근통제

나. 가용성은 필요할 때 데이터에 접근해서 내가 원하는 서비스를 다양한 디바이스를 통해 이용할 수 있는 거

다. 무결성은 데이터가 함부로 바뀌지 않는 것. 

 

33.

 

34.

식별 ID, 인증 패스워드

가. 기밀성 

나. 내용이 함부로 바뀌지 않음 -> 무결성

다. 보낸 사람이 가짜인지 -> 인증성

라. 가용성

 

35. 

ㄱ. 기밀성

ㄴ. 무결성

ㄷ. 인증성

ㄹ. 가용성

 

36. 

ㄱ. 무결성, 내가 만원 결제했을 때 만원 결제되었다고 연락 와야지

ㄴ. 접근통제 -> 기밀성

ㄷ. 인증

 

37. 

ㄱ. 위협 -> 자산의 손실을 초래할 수 있는 원하지 않는 사건의 잠재적인 원인이나 행위자

ㄴ. 위험 -> 사고가 날 가능성

ㄷ. 취약점 -> 자산의 잠재적인 속성으로서 위협의 이용 대상이 되는 것

 

38. 

일반적인 위협: 협박

비의도적 -> 실수

의도적 -> 고의

 

39. 

뒤에 할 건데 방화벽 IDS, IPS 등이 있음.

ㄱ. 기밀성: 암호화, 접근통제 / 무결성

ㄴ. 무결성: 데이터 함부로 바뀌지 않음 / 가용성이

ㄷ. 인증: 인증

ㄹ. 부인방지: 오리발 못 내밀게 -> 거새 사실 부인 x

ㅁ. 가용성: 원하는 때에 서비스를 이용해야 함. / 기밀성

 

40. 

사회공학 -> 사기꾼: 인간의 심리를 악용

 

41. 

수동적(소극적) 공격  <--> 능동적(적극적) 공

ㄱ. 가면 쓰고 위장 (능동)

ㄴ. 메시지 변경 (능동)

ㄷ. 도청 (수동) = 가로채기

ㄹ. 트래픽 분석 (수동)

ㅂ. 서비스 거부는 액션이 있음. (능동)

 

42. 

수동적 공격 

송신자 - 인터넷 - 수신자

 

43. 누가 주고받는지 알기 -> 트래픽 분석

 

44. ★

위험요소 - 보안 서비스 - 보안 서비스 구현을 위함 암호학 메커니즘

가. 도청(위험 요소) - 기밀성 - 암호화

나. 서비스거부 - 가용성 - 백업 및 이중화

다. 변조 - 무결성 - 해시함

 -> 내가 지금 워드 작업을 하고 닫기 버튼을 누르고 그냥 닫아버림. 근데 워드 파일이 1천 장짜리야. 이전에 데이터로 만든 해쉬값과 내가 지금 만든 값의 해쉬값이 같으면 그냥 닫힘. 근데 뭔가 하면 해쉬값이 바뀌어서 저장할 거냐고 물어봄

라. 위조 - 인증 - 전자서명 -> 나중에 배움

 

45. 

미국에서 전쟁이 날지 안 날지 알아내는 방법 중 하나가 미국 펜타곤 근처의 피자집에서 주문이 늘어남. 이걸 피자지수라고 부름. 

실제로 예멘 공습할 때 햄버거 매출이 늘어남.

 

46. 

가. 능동 / 나. 능동 / 다. 능동 / 라. 수동

 

47. 

가.

나. 정상 사용자가 서버에 보내는 암호화된 메시지 자료를 해커가 낚아챔. 나중에 해커가 웹서버에 보내면 인증됨. 그래서 자료를 보낼 때 타임 스탬프를 같이 보냄.

다.

라.

 

48. 

 

49. 

ㄱ. 소극적

ㄴ. 소극적

ㄷ. 능동적

ㄹ. 능동적

 

50. 

라. 수동적

 

51. 

나. 소극적 공격

 

52. 

2가 답인데 신경 쓰지 마슈

 

53. 

예방 (Prevent) : "미리 차단"

방지 (Stop/Check) : "확산 저지"