* 보안 : 위험의 총량을 줄이는 방법
- 보안 : 자산을 위험으로부터 '보호하는 방법'
- 안전 : 위험에서 벗어난 자유로운 '상태'
- 보호 : '안전을 유지'하기 위해 사용하는 방법
* 보안의 구성 요소
1) 위험(Risk) : 외부의 행위에 대해 '자산에 발생할 손실'
2) 취약점(Vulnerability) : 자산이 가지는 '공격 가능한 성질'
3) 자산(Asset) : 개인/법인이 소유하는 '유/무형의 가치'
4) 위협(Threat) : 자산에 '손실을 발생시키는 행위'
5) 보호대책(Countermeasure) : 자산의 '위험을 줄이기 위한 방안'
R = (V * A * T) - C
* 보안의 연결 공격 : 약점으로부터 공격이 발생하여 대응하는 과정
- "약점 -> 취약점 -> 위협 -> 공격 기술 -> 실제 대응" 의 과정이 연결되지 않는다면 침해사고 발생 불가능
비교 | 약점 | 취약점 |
개념 | 소프트웨어 결함/오류 등으로 인한 '공격을 유발할 가능성이 있는 잠재적 보안 취약점' | 해커 공격의 '직접적인 대상이 되는 보안 허점' |
보안 위협 | 주로 개발 환경에서 발생 | 주로 운영 환경에서 발생 |
탐지 방법 | 진단 도구(정적), 개발자 소스코드 테스트 | 웹 스캔, 모의 해킹, 취약점 진단 |
원인 관계 | 취약점의 근본 원인 | 보안 사고의 실제 원인 |
사례 | 버그, 에러, 결함 등 | SQL 인젝션, XSS 등 |
목록화 | CWE (Common Weakness Enumeration) | CVE (Common Vulnerabilities and Exposures) |
- PoC (Proof of Concept) : '약점에서 취약점으로 발전시'키기 위해 Concept가 '공격 가능한지 증명하는 것'
* 보안의 목표 : 기밀성, 무결성, 가용성, 책임 추적성, 보증
1) 기밀성(Confidentiality) : 인가된 사람에게만 시스템이 제공되어 '정보 내용을 알 수 없도록' 하는 성질
2) 무결성(Integrity) : 시스템이 비인가 변경에서 보호되도록 '정보를 함부로 수정할 수 없도록' 하는 성질
3) 가용성(Availability) : 인가된 사용자에게 서비스를 보장하여 '접근 시 방해받지 않도록' 하는 성질
4) 책임 추적성(Accountability) : '누가/어떻게 보안 사고를 일으키는지 파악' 하는 것
5) 보증(Assuarance) : '위 요소들이 충족됨을 보장' 하는 것
* 보안의 분류
1) 관리적 보안 : 조직의 '관리 절차, 규정, 대책을 세우는 방법'
- 보안 정책/절차관리, 보안조직 구성 및 운영, 감사, 사고 조사 등
2) 기술적 보안 : 정보 시스템에 '적용된 기술에 특화하여 보호하는 방법'
- 네트워크, 시스템, 애플리케이션, 데이터베이스 보안 등
3) 물리적 보안 : 설비/시설에 대한 '물리적 위협으로부터 보호하는 방법'
- 출입 관리, 주요 시설 관리, 데이터 백업, 자산 반/출입 관리 등
* 위험 관리(Risk Management) : 발생 가능한 위험을 사전에 관리, 프로젝트를 성공시키는 관리 기법
- 식별된 위험을 수용 가능한 수준(DoA - Degree of Assurance)으로 유지하기 위해 자산 및 시스템의 위험을 평가, 비용 효과적인 대응책을 수립하는 일련의 과정
절차 | 설명 |
위험 계획 수립 | 위험에 대한 접근 계획 및 방법을 결정 |
위험 식별 | 위험 요인을 식별, 문서화 |
위험 분석 | 정성적/정량적으로 상세 분석 |
위험 대응 | 긍정적 위험은 최대화, 부정적 위험은 최소화 |
위험 감시 | 위험 감소 계획을 수행/평가 |
* 위험 분석
1) 정성적 위험 분석(델파이 기법, 확률 영향 평가) : 전문가의 관점에서 경험을 기반으로 분석
2) 정량적 위험 분석(민감도 분석, 의사결정 분석) : 정확한 숫자에 따라서 객관적으로 분석
* 위험 대응
1) 긍정적 위험 대응(기회) : 직접적 사업의 기회로 이용되는 위험 대응
2) 부정적 위험 대응(위협) : 사업의 위기를 해결하기 위한 위험 대응
분류 | 유형 | 설명 |
긍정적 위험 대응(기회) | 공유(Share) | 제 3자와의 협력을 기회로 이용 |
활용(Exploit) | 불확실성을 줄여 기회를 실현 | |
향상(Enhance) | 영향력을 키워 사업 규모를 확장 | |
수용(Accept) | 대응 불가한 위험 발생 시 무시 | |
부정적 위험 대응(위협) | 회피(Avoid) | 사업 자체를 포기 |
전이(Transfer) | 보험 등, 타인이 대응 | |
완화(Mitigate) | 위험을 수용 가능한 수준까지 낮추기 | |
수용(Accept) | 합리적인 위험을 받아들이기 |
3) 공통 - 에스컬레이션(Escalation) : 본인의 권한을 벗어난 위험에 대해 '상위 관리자에게 넘기는 방법'
'Information Security' 카테고리의 다른 글
난독화 (Obfuscation) (0) | 2021.02.09 |
---|---|
CC 인증 (Common Criteria, ISO15408) (0) | 2021.02.09 |
CVE (Common Vulnerabilities and Exposure) / CWE (Common Weakness Enumeration) (0) | 2021.02.09 |
CPO (Chief Privacy Officer) / CISO (Chief Information Security Officer) (0) | 2021.02.08 |
망 분리 (Network Segmentation) / 망 연계 (Network Connection) (0) | 2021.02.08 |