본문 바로가기

Information Security

보안의 개념과 용어들

반응형

쉽고 간략하게 필요한 부분만 알 수 있도록 정리하며, 필요시 내용이 업데이트 될 예정입니다

* 보안 : 위험의 총량을 줄이는 방법

- 보안 : 자산을 위험으로부터 '보호하는 방법'

- 안전 : 위험에서 벗어난 자유로운 '상태'

- 보호 : '안전을 유지'하기 위해 사용하는 방법

 

 

 

* 보안의 구성 요소

1) 위험(Risk) : 외부의 행위에 대해 '자산에 발생할 손실'

2) 취약점(Vulnerability) : 자산이 가지는 '공격 가능한 성질'

3) 자산(Asset) : 개인/법인이 소유하는 '유/무형의 가치'

4) 위협(Threat) : 자산에 '손실을 발생시키는 행위'

5) 보호대책(Countermeasure) : 자산의 '위험을 줄이기 위한 방안'

R = (V * A * T) - C

 

 

 

* 보안의 연결 공격 : 약점으로부터 공격이 발생하여 대응하는 과정

- "약점 -> 취약점 -> 위협 -> 공격 기술 -> 실제 대응"과정이 연결되지 않는다면 침해사고 발생 불가능

비교 약점 취약점
개념 소프트웨어 결함/오류 등으로 인한 '공격을 유발할 가능성이 있는 잠재적 보안 취약점' 해커 공격의 '직접적인 대상이 되는 보안 허점'
보안 위협 주로 개발 환경에서 발생 주로 운영 환경에서 발생
탐지 방법 진단 도구(정적), 개발자 소스코드 테스트 웹 스캔, 모의 해킹, 취약점 진단
원인 관계 취약점의 근본 원인 보안 사고의 실제 원인
사례 버그, 에러, 결함 등 SQL 인젝션, XSS 등
목록화 CWE (Common Weakness Enumeration) CVE (Common Vulnerabilities and Exposures)

- PoC (Proof of Concept) : '약점에서 취약점으로 발전시'키기 위해 Concept가 '공격 가능한지 증명하는 것'

 

 

 

* 보안의 목표 : 기밀성, 무결성, 가용성, 책임 추적성, 보증

1) 기밀성(Confidentiality) : 인가된 사람에게만 시스템이 제공되어 '정보 내용을 알 수 없도록' 하는 성질

2) 무결성(Integrity) : 시스템이 비인가 변경에서 보호되도록 '정보를 함부로 수정할 수 없도록' 하는 성질

3) 가용성(Availability) : 인가된 사용자에게 서비스를 보장하여 '접근 시 방해받지 않도록' 하는 성질

4) 책임 추적성(Accountability) : '누가/어떻게 보안 사고를 일으키는지 파악' 하는 것

5) 보증(Assuarance) : '위 요소들이 충족됨을 보장' 하는 것

 

 

 

 

* 보안의 분류

1) 관리적 보안 : 조직의 '관리 절차, 규정, 대책을 세우는 방법'

- 보안 정책/절차관리, 보안조직 구성 및 운영, 감사, 사고 조사 등

2) 기술적 보안 : 정보 시스템에 '적용된 기술에 특화하여 보호하는 방법'

- 네트워크, 시스템, 애플리케이션, 데이터베이스 보안 등

3) 물리적 보안 : 설비/시설에 대한 '물리적 위협으로부터 보호하는 방법'

- 출입 관리, 주요 시설 관리, 데이터 백업, 자산 반/출입 관리 등

 

 

 

 

* 위험 관리(Risk Management) : 발생 가능한 위험을 사전에 관리, 프로젝트를 성공시키는 관리 기법

- 식별된 위험을 수용 가능한 수준(DoA - Degree of Assurance)으로 유지하기 위해 자산 및 시스템의 위험을 평가, 비용 효과적인 대응책을 수립하는 일련의 과정

절차 설명
위험 계획 수립 위험에 대한 접근 계획 및 방법을 결정
위험 식별 위험 요인을 식별, 문서화
위험 분석 정성적/정량적으로 상세 분석
위험 대응 긍정적 위험은 최대화, 부정적 위험은 최소화
위험 감시 위험 감소 계획을 수행/평가

* 위험 분석

1) 정성적 위험 분석(델파이 기법, 확률 영향 평가) : 전문가의 관점에서 경험을 기반으로 분석

2) 정량적 위험 분석(민감도 분석, 의사결정 분석) : 정확한 숫자에 따라서 객관적으로 분석

* 위험 대응

1) 긍정적 위험 대응(기회) : 직접적 사업의 기회로 이용되는 위험 대응

2) 부정적 위험 대응(위협) : 사업의 위기를 해결하기 위한 위험 대응

분류 유형 설명
긍정적 위험 대응(기회) 공유(Share) 제 3자와의 협력을 기회로 이용
활용(Exploit) 불확실성을 줄여 기회를 실현
향상(Enhance) 영향력을 키워 사업 규모를 확장
수용(Accept) 대응 불가한 위험 발생 시 무시
부정적 위험 대응(위협) 회피(Avoid) 사업 자체를 포기
전이(Transfer) 보험 등, 타인이 대응
완화(Mitigate) 위험을 수용 가능한 수준까지 낮추기
수용(Accept) 합리적인 위험을 받아들이기

3) 공통 - 에스컬레이션(Escalation) : 본인의 권한을 벗어난 위험에 대해 '상위 관리자에게 넘기는 방법'

반응형