I. 정보보호 개요
인터넷보안(황승연) 2주차 강의내용
1. 정보보호의 목적
1) 정보의 의미
법률적 의미
특정 목적을 위하여 광 또는 전자적 방식으로 처리되어 부호, 문자, 음성, 음향 및 영상 등으로 표현된 모든 종류의 자료 또는 지식
사전적 의미
관찰이나 측정을 통하여 수집한 자료를 실제 문제에 도움이 될 수 있도록 정리한 지식 또는 그 자료
자료 : 단순히 수집된 사실이나 값.
정보 : 자료를 가공하여 의미를 부여한 결과.
일정한 의도를 가지고 정리해 놓은 자료의 집합이며, 정보가 되기 위해서는 어떤 목적을 갖는 사람이 있어야 하고 자료가 처리되어야 함.
이용자를 위하여 일정한 규칙에 따라서 재배열, 요약, 삭제하는 행위를 거쳐야 함.
정보보호 : 정보처리 과정(수집, 가공, 저장, 검색, 송신, 수신)에서 발생할 수 있는 정보의 유출, 위변조, 훼손 등을 방지하기 위해 기술적·관리적·물리적 보호조치를 마련하는 것.
기업의 중요한 정보를 안전하게 보호하기 위해 정보의 기밀성, 무결성, 가용성을 만족할 수 있도록 기술적, 관리적, 물리적 보호조치를 강구하는 것.
우연히 혹은 의도적으로 허가 받지 않은 정보의 누출, 전송, 수정, 파괴 등으로부터 보호 하는 것.
또는 사업 지속성을 보장, 사업 위험을 최소화, 투자회수와 사업기회를 최대화
하기 위하여 다양한 위협으로부터 정보를 보호하는 것.
2) 정보보호의 3원칙
기밀성(Confidentiality)
적절한 권한이 있는 사람만 정보에 접근할 수 있도록 허용(접근통제 및 암호화).
▲ 변조, 파괴 (트로이목마, 바이러스, 해킹)
무결성(Integrity)
정보가 허가 없이 변경되거나 훼손되지 않도록 보호하는 것.
▲ 공개, 노출 (도청, 스니핑, 사회공격)
가용성(Availability)
필요할 때 정보나 시스템을 사용할 수 있어야 하는 것(백업, 중복성 유지 등).
▲ 지체, 재난 (DDoS 공격)
+) 정보보호의 6원칙
책임추적성
정보나 정보시스템의 사용에 대해서 누가 언제 어떤 목적으로, 어떤 방법을 통하여 그들을 사용했는지를 추적(로그 등) 할 수 있어야 한다.
인증성
정보시스템에 접근하는 사용자의 신원을 확인하는 것.
인증(Authentication, 누구인지) vs 인가(Authorization, 권한이 있는지)
신뢰성
정보나 정보시스템을 사용함에 있어서 일관되게 오류의 발생 없이 계획된 활동을 수행하여 결과를 얻을 수 있도록 하는 환경을 유지하는 것.
3) 정보보호의 특성
- 100% 정보보호는 달성될 수 없다.
- 사용자의 편의성을 제한한다.
- 가시적인 이익을 얻을 수 없다.
- 다단계의 복합 대책 구현 시 위험이 크게 감소한다.
4) 정보보호의 필요성
사회 전반에 ICT 의존도 증가
-> 사이버 위협의 영향 증가
IT 발전에 따른 새로운 응용 기술의 등장
-> 사회 전분야로의 IT 위험성 확대
정보통신 환경의 급속 변화
- 사이버 공간상의 생활 : E-business/E-commerce/E-government
- 대고객 서비스 : 분산된 정보 시스템들의 통합
• 고객에게 하나의 서비스처럼 보이지만 실제로는 여러 시스템이 함께 작동하는 구조 - 폐쇄적인 네트웍 환경(사내망 등)에서 오픈적인 네트웍 환경으로의 변화
해킹/바이러스 등 새로운 위협요소 증가
- 끊임없이 발견되는 새로운 취약점들….
- 모바일 환경 등 다양한 접속방법에 따른 새로운 위협 요소들의 증가
공격유형 진화
- 네트워크 -> 시스템 -> APPL -> IT+물리적 보안 -> 비즈니스 프로세스와 연계
보안 조직 발전
- CIO -> CSO(CISO) -> CS&PO -> CRO
5) 정보보호 관리 대상 및 관계
자산(Assets)
조직이 보호해야 할 대상으로써 데이터, 문서, 소프트웨어, 하드웨어, 시설이나 장비 등의 물리적 자산, 인적 자산 등으로 구분이 되며 그 외에 회사의 이미지 또는 평판, 직원들의 사기 등을 무형 자산으로 구분.
위협(Threats)
자산에 손실을 초래할 수 있거나 원치 않는 사건의 잠재적 원인이나 행위자.
취약점(Vulnerability)
자산의 잠재적 속성으로서 위협의 이용 대상으로 정의하나, 때로는 정보보호대책의 미비로 정의.
위험(Risk)
원하지 않는 사건이 발생하여 손실 또는 부정적인 영향을 미칠 가능성을 의미.
정보보호대책(Countermeasure)
위협에 대응하여 자산을 보호하기 위한 관리적(교육, 정책 등), 물리적(도어락, CCTV 등), 기술적(백신, 방화벽 등) 대책으로 정의.
6) 정보보호의 중요성
사이버 공격, 정보유출, 침해사고 등 정보화 역기능의 발생 가능성도 어느 때 보다 증가.
사이버 위협은 우리의 삶에 직접적인 피해를 가져오고 이는 개인과 기업 뿐만 아니라 국가 전체에 영향을 미칠 수 있는 공격으로 국가 안보까지 위협.
지속적인 사이버 공격 기술의 발전과 지능화로 인해 단순한 호기심이나 정보 유출 사고를 넘어서 국가 통제의 무력화, 사회 질서의 혼란을 통한 국가 재난과 위기를 가중.
2. 정보보호 관리 요소
1) 정보보호 정책(Security Policy)
조직의 정보보호 목적을 달성하기 위해 최고 경영진이 수립하는 공식적인 보안 지침이자 방향 제시 문서.
정보보호의 목적과 방향을 명확히 정의
- 무엇을 보호할 것인가? (자산 식별)
- 왜 보호하는가? (목적 설정)
- 어느 수준까지 보호할 것인가? (보호 수준)
- 어떤 위험을 수용할 것인가? (위험 허용 범위)
정책의 예시 : 모든 개인정보는 암호화하여 저장한다.
표준(Standard)
정보보호 정책의 하위의 개념으로 정책 목적을 달성하기 위하여 세부적인 사항을 사규 또는 내규 등으로 정형화하여 조직 내에서 일률적으로 준수하도록 하는 강제성이 있는 규정.
예시 : 개인정보는 AES-256 알고리즘으로 암호화한다.
지침(Guidelines)
정보보호 정책 또는 표준처럼 강제적이지는 않지만, 정보보호의 정책을 달성하기 위해 도움이 될 수 있는 구체적인 사항을 설명한 권고 사항.
예시 : 비밀번호는 8자 이상으로 설정하는 것을 권장한다.
절차(Procedures)
정책을 달성하기 위한 단계적 방안을 구체적으로 기술한 것으로, 누가 무엇을 어떻게 해야 하는지 세부적으로 규정하며 정책, 표준과 마찬가지로 필수적으로 준수해야 하는 사항.
예시 : ① 암호화 모듈 설치 → ② 키 생성 → ③ DB 적용 → ④ 테스트
2) 정보보호 전략
정보보호 정책을 이행하기 위한 마스터플랜.
① 체계적인 정보보호 프로세스를 정립한다.
② 비용효과적인 방법을 염두에 둔 전략을 수립한다.
③ 사람에 대한 보안에 관심을 가진다.
④ 정보공유와 정보보호 사이의 균형을 맞춘다.
⑤ 정보보호 활동을 조직 문화로 정착시킨다.
⑥ 정보보호 관리 전략은 조직의 비즈니스 목표를 지원하고 경영활동의 일부로서 경영 및 조직에 유용한 도구로 제공되어야 한다.
3) 정보보호 조직
정보보호는 개인이 아니라 조직 차원에서 체계적으로 운영해야 한다.
경영진과 정보보호 위험에 관한 의사소통이 필요.
4) 인적 보안
- 직무기술서
직무의 책임, 직무에 필요한 교육, 직무수행에 대한 평가 기준, 정보보호 책임에 관한 사항을 포함. - 고용계약서
직원이 재직 및 퇴직 시 비윤리적 행동으로 인한 소송으로부터 조직을 보호하고 기밀유지협약을 통해 조직의 영업비밀, 지적 재산권 보호내용을 포함. - 평판 조회(Reference Check)
평판조회는 채용하는 기업 또는 기관이 후보자의 업무 능력과 리더십, 커뮤니케이션 능력 등을 주변 인물을 통해 확인하는 절차. - 배경 조사(Background Check)
이력서 내용이 잘못된 것일 수도 있다는 가정하에 배경조사. - 퇴직
퇴직에는 우호적인 퇴직과 적대적인 퇴직으로 구분.
5) 정보보호 인식(Awareness)
조직 차원에서 정보보호 인식을 어떻게 높이고 정착시킬 것인가?
정량적인 정보보호 측정 지표를 마련.
효과적인 정보보호 인식 프로그램을 개발.
6) 정보보호 관리 체계
정보보호 관리체계(ISMS, Information Security Management System)는 정보보호 관리 활동을 보다 체계적이고 전략적으로 수행하기 위해 만드는 방법론 또는 구조적인 체계.
정보보호의 기술적인 활동을 체계적으로 수행하고 지속적으로 개선하기 위한 것.
운영 방식
- PDCA 사이클 기반으로 운영
- Plan : 정보보호 정책 수립, 위험 분석 및 계획 수립
- Do : 정보보호 대책 구현 및 운영
- Check : 정보보호 활동 점검 및 평가
- Act : 개선 및 보완
7) 위험 관리
위험 관리(Risk Management)는 조직의 정보자산에 발생할 수 있는 위협과 취약점을 분석하여 위험 수준을 파악하고 이를 허용 가능한 수준으로 관리하는 과정.
위험을 완전히 제거하는 것이 아니라 조직이 감당할 수 있는 수준으로 위험을 통제하는 것이 목적. 모든 시스템에 동일한 수준의 분석을 적용하기보다는 위험도에 따라 차등적으로 수행.
8) 위험 분석‧평가 방법
정성적 위험 분석(Qualitative Risk Analysis)
정확한 수치나 금전적 가치 대신 등급이나 순위를 이용하여 위험을 평가하는 방법.
위험을 높음(High), 중간(Medium), 낮음(Low) 등의 수준으로 평가.
분석이 비교적 간단하고 시간과 비용이 적게 소요.
정량적 위험 분석(Quantiative Risk Analysis)
정량적 위험 분석은 위험을 실제 숫자나 금전적 가치로 계산하여 평가하는 방법.
정확한 분석이 가능하지만 시간과 비용이 많이 소요.
베이스라인 접근법(Baseline approach)
기준 문서나 보안 표준을 기반으로 기본적인 보안 통제를 적용하는 방법.
최소한의 보안 수준 확보.
분석 절차가 비교적 단순.
일반적인 보안 요구사항 적용.
비정형 접근법(Informal approach)
구조적인 방법론에 기반하지 않고, 전문가의 지식과 경험에 따라 위험을 분석‧평가를 수행.
상세한 위험 분석(Detailed risk analysis)
정형화되고 구조화된 프로세스를 사용하여 모든 정보 자산에 대해 자산, 위협, 취약점 분석‧평가의 각 단계를 수행하여 위험을 분석‧평가하는 방법.
시간과 비용이 많이 필요.
통합된 접근법(Combined Approach)
여러 위험 분석 방법을 함께 사용하는 방식.
고위험 영역 - 상세 위험 분석 수행.
저위험 영역 - 베이스라인 접근법 적용.
효율성과 정확성을 동시에 확보.
컴플라이언스(감사팀)
조직이 법률, 규정, 표준, 정책 등 외부 규제와 내부 규정을 준수하는 활동을 의미.
단순히 규정을 따르는 것 뿐만 아니라 지속적인 점검과 개선을 통해 준수 여부를 관리하는 활동.
정보보호 컴플라이언스
조직의 임직원이 정보보호 관련 법률, 규정, 정책을 준수하도록 관리하고 감독하는 활동.
조직은 국내 정보보호 관련 법률과 규정을 지속적으로 파악하고 준수.
준법 리스크 관리(Compliance Risk Management)
접근 기록 관리, 로그 기록 관리, 승인 절차 관리, 감사 및 모니터링
사람 + 프로세스 + 기술이 함께 작동해야 효과적인 정보보호가 가능.
정보보호 거버넌스(Information Security Governance, 경영진)
조직의 정보 자산을 보호하고 정보보호 활동을 전략적으로 관리하기 위한 관리 체계.
기업의 경영 전략과 정보보호 전략을 연계하여 정보보호 활동을 효과적으로 수행하도록 하는 관리 구조.
- 리더십 - 경영진의 정보보호에 대한 의지와 책임
- 조직 구조 - 정보보호 담당 조직 구성
- 프로세스 - 정보보호 정책 및 절차
1장 연습문제 답안
4 3 1 3 4 3 2 3 3 2