본 포스팅은 강의를 들은 것을 토대로 공부하기 위해 작성했습니다.
http://www.kmooc.kr/courses/course-v1:SejonguniversityK+SJKMOOC02_01k+2022_01SJ2_R/about
보안
가치가 손상되지 않도록 자산을 적절하게 보호하는 것
정보보호
의도적, 비의도적인 노출로부터 정보를 보호하는 것
정보보안의 기본 3대 요소
기밀성 / 무결성 / 가용성
- 기밀성 : 인가된 사용자만 정보 자산에 접근을 허용 (도청, 도난)
- 무결성 : 데이터의 악의적으로 변경되지 않는 것 (메신저의 대화명을 바꿈)
- 가용성 : 원하는 시간에 어떤 데이터에 접근이 가능하도록 하는 것 (디도스, 화재, 정전)
3대 요소를 위해 필요로 추가해야하는 기능
책임의 추적성 / 인증 / 접근권한
- 인증 : 데이터나 서비스를 이용을위해 신분을 식별하는 행위 (아이디/패스워드, 망막인식, 홍채인식 등)
- 책임추적성 : 모든 행동에 대한 기록과 추적을 제공
- 접근제어 : 데이터나 서비스 이용에 대한 허가 또는 거부를 할 수 있는 기능 (접근제어기능)
보안 위협
위협 발생 시에 자산에 손상을 발생시키거나 잠재적인 가능성을 가진 사건이나 행동(테러리스트, 산업 스파이)
보안 위협은 보안에 취약점이 있기에 발생. 이는 안전장치의 부재 또는 미비를 의미
정보통신 과정에서 생기는 보안 위협
가로막기 / 가로채기 / 정보의 수정 / 정보의 위협
- 가로막기 : 출발지로부터 정보가 특정 이유로 분실 혹은 목적지에 도달하지 못 하는 경우
- 가로채기 : 특수 장비 등을 이용해 중간에 정보를 가로채서 기밀성을 침해
- 수정 : 송신된 정보를 변조 후 전송하여 정보의 일관성을 침해
- 정보위조 :허가받지 않은 사용자가 올바르지 못 한 정보를 전송하거나 위조된 정보를 시스템에 전송(송신자인 것처럼 위장)
최신의 정보 위협
- 분산화 : 하나 이상의 여러 개의 PC로 공격 (예 : 소셜 공학 : 소셜 네트워크의 정보로 인간의 취약점을 이용한 공격)
- 스마트폰을 이용한 공격 : 악성앱들의 개인정보 유출
보안 분야
- 시스템 보안 : 운영체제를 포함하여 컴퓨터 시스템의 취약점을 공격하는 것으로부터 자산을 보호하는 것 (계정관리, 세션관리, 권한 관리)
- 네트워크 보안 : 네트워크 프로토콜의 취약성을 이용한 공격으로부터 정보를 보호하는 것 (분산공격, 세션 하이재킹, 디도스, 스푸핑)
- 물리적 보안 : 컴퓨터 및 정보 시스템을 물리적 위험으로부터 보호(CCTV 보안교육 시설관리)
- 모바일 보안 : 모바일 운영체제에 여러가지 불안전성 존재로부터 개인 정보 보호(버퍼 오버플로우, 악성 앱 탐지)
보안에 실패하는 이유
- 복잡한 시스템 : 보안의 가장 큰 위험 요소. 모든 시스템에 내제된 버그와 오류가 취약점. 시스템의 복잡도가 증가할 수록 버그가 더욱 더 내재되기 때문에 위협적이다.
- 공격자의 존재 : 다양한 목적의 해커들이 존재. (장난, 사기 감시, 테러)
- 인적 요인 : 많은 보안 문제는 사람의 책임에 의해 생긴다.(퇴사자의 아이디와 패스워드가 시스템에 남아있는 경우 등)
- 투자 : 보안에 대한 투자의 순위가 상대적으로 낮다. 심지어 보안적인 취약점이 있다고 하더라도 기기나 디바이스들을 시장에 내놓거나, 소프트웨어를 배포하기도 한다.
'조열심 카테고리 > 잡담' 카테고리의 다른 글
| [공부] 네트워크 관련 윈도우 커맨드 (0) | 2022.09.26 |
|---|---|
| [공부] 정보보호와 보안의 기초 3주차 (0) | 2022.09.26 |
| [공부] 정보보호와 보안의 기초 2주차 (0) | 2022.09.10 |
| [Python] pir센서 감지 후 사진을 찍어 boto3를 이용해 aws s3에 파일 보내기 (0) | 2022.05.27 |
| [Python] Django로 AWS S3에 파일 넣기 (0) | 2022.05.26 |