자격증

정보보호활용능력 1급 실기 정리

kula 2019. 8. 14. 17:35

■ 정보보호의 목적 
정보보호의 3요소인 기밀성, 무결성, 가용성은 서로 안정적인 균형을 이루어야 한다.

구분

목적

정보보호 기술

기밀성

정당한 권한이 부여된 사용자만 접근 가능

암호화

무결성

정보의 불법적인 변경, 삭제방지

접근통제, 해쉬함수

가용성

정보가 필요할 때 언제든지 사용 보장

백업, 이중화

인증

정당한 사용자인지 검증

일회용 패스워드 
(One Time Password, OTP)등

부인방지

송, 수신자의 송, 수신 사실 거부 방지

전자서명

기밀성(Confidentiality)
기밀성이란 비밀이 유지되어야 하는 것을 뜻한다.

무결성(Integrity)
무결성이란 정보가 정확해야 한다는 것을 말한다.

가용성(Availability)
허락된 사용자가 정보에 접근하려 하고자 할 때 이것이 방해받지 않도록 하는 것이다.

인증(Authentication)
인증이란 사용자의 신분을 확인하는 것으로 접근하는 대상이 자신이 주장하는 신분이 맞는지 증명하는 것이다.

부인방지(Non-repudiation)
본인이 전자서명을 하고 나중에 서명하지 않았다고 말 할 수 없도록 조치를 하는 것이다.

■ 개인정보의 정의 
 - 개인정보는 '살아 있는' 개인에 관한 정보여야 한다.
 - 개인정보는 '개인에 관한' 정보이어야 한다.
 - 개인정보는 개인을 '알아볼 수 있는' 정보이어야 한다. '처리하는 자'의 입장에서 합리적으로 활용될 가능성이 있는 수단을 고려하여 개인을 알아볼수 있다면 개인정보에 해당한다.
 - 개인정보는 다른 정보와 '쉽게 결합하여' 개인을 알아볼 수 있는 정보도 포함된다.

■ 고유식별정보 
개인에게 부여된 고유한 번호와 같은 것으로 절대 동일한 번호가 있을 수 없다.
개인 고유식별정보로 주민등록번호, 여권번호, 운전면허번호, 외국인 등록번호 총 4개가 있다.


■ OECD 프라이버시 8원칙과 개인정보보호 원칙의 비교 

OECD 프라이버시 8원칙

개인정보보호 원칙

수집제한의 원칙(1원칙)

- 목적에 필요한 최소정보의 수집(제1항)
- 사생활 침해를 최소화하는 방법으로 처리(제6항)
- 익명처리의 원칙(제7항)

정보 정확성의 원칙(2원칙)

- 처리목적 내에서 정확성,완전성,최신성 보장(제3항)

목적 명확화의 원칙(3원칙)

- 처리목적의 명확화(제1항)

이용제한의 원칙(4원칙)

- 목적 범위 내에서 적법하게 처리, 목적 외 활용 금지(제2항)

안전성 확보의 원칙(5원칙)

- 권리침해 가능성 등을 고려하여 안전하게 관리(제4항)

처리방침 공개의 원칙(6원칙)

- 개인정보 처리방침 등 공개(제5항)

정보주체 참여의 원칙(7원칙)

- 열람청구권 등 정보주체의 권리보장(제5항)

책임의 원칙(8원칙)

- 개인정보처리자의 책임준수, 신뢰확보 노력(제8항)

■ 무선랜 보안기술 

구분

WEP
(Wired Equivalent Privacy)

WPA
(Wi-Fi Protected Access)

WPA2
(Wi-Fi Protected Access2)

인증

사전 공유된 비밀키 사용
(64bit, 128bit)

사전에 공유된 비밀키를 사용하거나 별도의 인증서버를 이용

사전에 공유된 비밀키를 사용하거나 별도의 인증서버를 이용

암호화

고정 암호키 사용
(인증키와 동일)
RC4 알고리즘 사용

암호키 동적 변경(TKIP)
RC4 알고리즘 사용

암호키 동적 변경
AES 등 강력한 블록 암호 알고리즘 사용

보안성

64bit WEP키는 수분내 노출, 취약하여 널리 쓰이지 않음

WEP 방식보다 안전하나 불완전한 RC4 알고리즘 사용

가장 강력한 보안기능 제공

■ 클라우드 컴퓨팅의 서비스별 분류 ■ 
클라우드는 서버, 스토리지, SW 등 IT 자원들을 구매하여 소유하지 않고, 필요 시 인터넷을 통하여 On-Demand서비스 형태로 이용하는 방식이다.

구분

내용

SaaS
(Software as a Service)

클라우드에서 제공하는 어플리케이션을 서비스하는 형태의 클라우드
(예: Salesforce.com, Google Apps, MS Office365 등)
보안위협 : 정보훼손 및 유출, 웹 공격, 버전 통제 문제

PaaS
(Platform as a Service)

클라우드에서 제공하는 프로그래밍 언어, 라이브러리, 서비스, 개발 툴 등을 이용하여 어플리케이션을 개발하거나 이용할 수 있는 서비스를 제공하는 클라우드
(예: Microsoft Azure, IBM Bluemix 등)
보안위협 : Buffer Overflow, 표준화 부재, 인증 문제, 플랫폼 종속

IaaS
(Infrastructure as a Service)

서버, 스토리지, 네트워크 등 컴퓨팅 자원을 사용자에게 서비스 형태로 제공하는 클라우드
(예: Amazon EC2/S3, Microsoft Azure 등)
보안위협 : 가상화 취약점, 서버 관리 문제, 데이터 손실 문제

■ 비식별 조치방법 

처리기법

예 시

가명처리
(Pseudonymization)

유가나, 35세, 서울거주, 한국대 재학
-> 홍길동, 30대, 서울거주, 국제대 재학

총계처리
(Aggregation)

유가나 173cm 홍길동 170cm, 박보검 175cm, 
-> 영어학과 학생키 합 : 518cm, 평균키 172.2cm

데이터삭제
(Data Reduction)

주민등록번호 881111-2345678
-> 80년대생, 여자
개인과 관련된 날짜정보(합격일 등)는 연단위로 처리

데이터 범주화
(Data Suppression)

유가나, 30세 
-> 유씨, 30~40세

데이터 마스킹
(Data Masking)

유가나, 30세 서울거주, 한국대 재학
-> 유XX, 30세, 서울거주, XX대학 재학

■ 인공지능 구현기술 
전문가 시스템(Expert System)
전문가 시스템은 방대한 지식 체계를 규칙으로 표현하여, 데이터를 입력하면 컴퓨터가 정해진 규칙에 따라 판단을 내리도록 한다.

퍼지 이론(Fuzzy Theory)
자연 상의 모호한 상태, 사람이 '시원하다' 라고 느낄 때 그 온도가 얼마인지를 정해 사용하는 것이다.

기계학습(Machine Learning)
"독감에 걸린 사람은 대부분 열이 많이 나고 오한이 있고 구토증상이 있었다" 라는 통계에 기반하여 독감을 진단하는 것이다.

인공신경망(Artificial Neuron Network)
기계학습 분야에서 연구되고 있는 학습 알고리즘들 중 하나이다. 주로 패턴인식에 쓰이는 기술로, 인간의 뇌의 뉴런과 시냅스의 연결을 프로그램으로 재현하는 것이다.

유전 알고리즘(Genetic Algorithm)
자연의 진화 과정, 즉 어떤 세대를 구성하는 개체군의 교배(CrossOver)와 돌연변이(Mutation)과정을 통해 세대를 반복시켜 특정한 문제의 적절한 답을 찾는 것.

BDI 아키텍처(BDI Architecture)
인간이 생각하고 행동하는 과정을 Belief(믿음), Desire(목표), Intention(의도)의 세가지 영역으로 나누어 이를 모방하는 소프트웨어 시스템의 구성방법을 말한다.

인공생명(Artificial Life)
말 그대로 프로그램에 단순한 인공지능이 아닌 실제 살아있는 유기체처럼 스스로 움직이고 생활하기 위한 능력을 부여하는 것.

■ 해킹의 증가 전망 
해킹툴의 간편화, 사물인터넷이 가지는 취약점, 해킹 대상의 확대, 청소년 해킹의 증가 가능성

■ 정보보호 윤리의식 
책임감과 자부심을 가지며 지속적으로 역량을 개발한다.(Professional)
합법적이고 공정해야 한다.(Fairness)
합리성과 객관성을 유지하여야 한다.(Objectivity)
직무상 알게 된 정보에 대하여 비밀을 유지한다.(Confidentiality)
보안과 관련된 사회적 의무를 다한다.(Obligation)

■ 운영체제의 기능&목적 
 운영체제의 기능은 크게 메모리 관리, 프로세스 관리, 장치 및 파일 관리의 3가지로 볼 수 있다.
운영체제의 목적은 처리능력 향상, 응답시간 단축, 신뢰도 향상, 사용가능도 향상

■ IoT 환경에서의 보안 위협 

IoT환경

디바이스

네트워크

플랫폼/서비스

IoT보안위험

불법 디바이스
불법접근
악성코드 삽입
오작동, 센싱 정보 유출
미승인 센서 사용 등

트래픽 분석
도청 및 변조
데이터 유출
불법 접근
서비스 거부 공격 등

불법 접근
정보 유출
프라이버시 침해
펌웨어 조작
서비스 거부 공격 등

■ IoT 보안 7대 원칙 
IoT 공통 보안 7대 원칙은 IoT 장치 및 서비스의 제공자(개발자)와 사용자가 IoT 장치의 전주기 세부 단계에서 고려해야 하는 고통의 보안 요구 사항이다.
1. IoT 장치의 설계, 개발 단계의 보안 요구사항
2. 안전한 소프트웨어 및 하드웨어 개발 기술 적용 및 검증
3. 안전한 초기 보안 설정정 방안 제공
4. 보안 프로토콜 준수 및 안전한 파라미터 설정
5. IoT 제품, 서비스의 취약점 보안패치 및 업데이트 지속 이행
6. 안전한 운영, 관리를 위한 정보보호 및 프라이버시 관리체계 마련
7. IoT 침해사고 대응체계 및 책임추적성 확보 방안 마련

■ 클라이두 컴퓨팅의 7대 보안 위협 

구분

내용

클라우드 서비스 오남용
(Abuse and Nefarious Use of Cloud Computing)

악의적인 의도를 가진 사람들이 클라우드를 사용하게 되면, 모든 정보가 클라우드에 저장되어 기존의 봇넷보다 더 찾아내기 힘들고 위험한 존재가 될수 있어 클라우드는 해커들에게도 유용한 자원을 제공함.

안전하지 않은 어플리케이션 프로그래밍 인터페이스
(Insecue Application Programing Interfaces)

안전하지 않은 API의 취약점을 통해서 사용자의 인증을 우회한다거나 정상적인 경로로는 접근할 수 없는 데이터에 대해서 접근
애플리케이션 구축을 위해 기존의 코드를 재사용하거나 합성해서 사용하면 보안에 취약

악의적인 내부 관계자
(Malicious Insiders)

퇴사한 직원의 계정이 즉시 삭제되지 않았거나, 직무의 조정으로 인해 접근 할 수 없어야 하는 권한이 아직 유효한 것을 악용

공유기술의 취약점
(Shared Technology Vulnerabilities)

클라우드는 다양한 기술의 조합으로 구현됨. 가상 머신을 적절히 관리하지 못하면, 하나의 보안 취약점이 클라우드 전체로 확산될 수 있음

데이터 유실 및 유출
(Data Loss and Leakage)

클라우드는 네트워크를 통해 다양한 공격 경로가 열려 있으며, 데이터의 중앙집중화로 사고 발생 시 데이터 유시 우려가 존재
기존 데이터보호 기술은 새로운 클라우드 환경에서 적합하지 않을 수 있음. 감시가 어려움

계정, 서비스 하이제킹
(Account, Service & Traffic Hijacking)

클라우드 사용자 계정 탈취 및 각종 악성 사이트로 유도(redirected)하는데 사용된 많은 하이재킹 기법에 취약할 수 있음

알려지지 않은 위협 프로파일
(Unknown Risk Profile)

클라우드 환경에 대한 이해 부족은 전체 클라우드에 대한 신뢰성을 저하시킴. 서비스 제공업체의 투명성이 떨어져 고객사가 시스템의 구성이나 소프트웨어 패치 지연
저작자표시