[정보보안기사 실기] 정보보호 관리

[정보보안기사 실기] 정보보호 관리

정보 보호

정보 보호 목표

1. 기밀성(Confidentially)

- 인가된 사람, 시스템, 프로세스만이 정보 자산에 접근할 수 있게함

- 접근 제어, 암호화

2. 무결성(Integrity)

- 비인가 사용자에 의한 불법 변조가 없어야함

- 메시지 인증

3. 가용성(Availability)

- 합법적인 사용자는 필요로 할 때 언제든지 자산에 접근할 수 있어야함

정보 보호 관리

- 조직의 목적을 충족시키며 위험을 수용 가능한 수준으로 낮추는 목적

1. 보호 대책

1)기술적 보호 대책

- 정보 시스템, 정보 등을 보호하기 위한 기본적인 대책

- 접근 통제, 암호화, 백업 등 정보 시스템 자체에 보안성이 강화된 시스템 소프트웨어 사용

2) 물리적 보호 대책

- 정보 시스템이 위치한 정보 처리 시설을 보호하기 위한 대책

- 출입 통제, 시건 장치 필요

3) 관리적 보호 대책

- 법, 규정, 제도 등을 확립, 보안 계획 수립/운영을 통해 정보 시스템 보호

2. 정보보호관리 단계

- 정보보호 정책 및 조직 수립 -> 정보보호 범위 설정 -> 정보자산 식별 -> 위험관리 -> 구현 -> 사후관리

보안 공격

1. 소극적 공격

- 트래픽 분석, 도청 -> 기밀성 위협

2. 적극적 공격

1) 무결성 위협

- 변경, 위장, 재전송, 부인

2) 가용성 위협

- DDoS, 물리적 공격

위험 관리

위험 요소

1. 자산

- 조직이 보호해야할 대상

2. 취약점

- 위협의 이용 대상(약점)

3. 위협

1) 가로채기(Interception)

- 기밀성 위협

2) 가로막음(Interruption)

- DDoS 등 가용성 위협

3) 변조(Modification), 위조(Fabrication)

- 무결성 위협

4. 위험

- 공격, 비정상 상황에 발생할 수 있는 손실의 기대치

5. 잔여 위험

- 보안 대책 구현 후 남은 위협

위험 분석

- 위험 관리의 핵심 부분으로 정보시스템과 조직의 위험을 측정하고 허용 여부의 판단 근거를 마련하는 과정

1. 방법

1) 기준 접근법

- 보안 정책을 참고해 통제 사항을 작성한 체크리스트 형태로 분석

- 소규모 조직에 적합

- 체크리스트의 적절한 수준 조정이 필요

2) 상세 위험 분석(Detailed Risk Analysis)

- 정형화되고 구조화된 프로세스를 사용해 상세하게 위험 분석

- 모든 윟머 식별

- 많은 시간과 비용 필요

- 자산 분석 -> 위협 평가 -> 취약성 평가 -> 정보보호 대책 평가 -> 잔여위협 평가

3) 복합 접근법(Combined Approach)

- 고위험 영역은 상세 위험분석, 나머지는 기준 접근법을 이용하여 분석

- 비용, 자원 효율적

4) 비정형 접근법(Informal Approach)

- 개인의 전문성, 전문가의 지식과 경험으로 위험 분석

- 빠르고 비용 절약을 할 수 있으나 주관적일 수 있음

위험 평가

- 보안대책 수립을 위해 시스템, 자원의 노출 위험을 평가하고 식별

1. 정량정 분석

- 위험을 금액, 비용으로 선정 가능 시 사용

- 성능 평가가 용이하고 객관적 평가 가능

1) 수학 공식법

- 과거 자료 획득이 어려울 경우 수학 식을 이용해 위험 평가

2) 과거 자료 분석법

- 과거 자료를 통해 위험 발생 가능성을 예측하는 방법

3) 확률 분포법

- 위험에 대해 확률적 편차를 이용해 평가

4) 연간예상손실

- 단일예상손실(SLE) = 자산가치 X 노출 계수

- 연간예상손실(ALE) = 단일예상손실 X 연간 발생률

2. 정성적 분석

- 자산의 화폐가치 식별이 어려운 경우 사용

- 경험, 판단 등을 이용해 평가

- 노력이 적게 드나 주관적일 수 있음

1) 델파이법

- 전문가 그룹을 이용해 위험 평가

2) 순위 결정법

- 비교우위 순위 결정표에 위험 항목들의 순위를 결정

3) 시나리오법

- 어떤 사건도 기대대로 발생하지 않는다는 점에 근거

- 특정 시나리오로 발생할 수 있는 위험을 추정

대책 구현

1. 예방 통제

- 오류, 부정의 예방을 위한 통제

- 물리적 접근 통제 : 출입통제

- 논리적 접근 통제 : 방화벽, 암호화 등

2. 탐지 통제

- 예방 통제를 우회하여 생기는 문제점들을 탐지하기 위한 통제

- IDS, 로그 등

3. 교정 통제

- 탐지 통제로 탐지한 문제들을 해결하기 위한 통제

- 트랜잭션 로그 등

위험 처리 전략

1. 위험 회피(Avoidance)

- 위험이 존재하는 프로세스/사업 포기

2. 위험 전가(Transfer)

- 제 3자에게 잠재 비용을 이전/할당

3. 위험 수용(Acceptance)

- 잠재적 손실 비용을 감수하고 수행

4. 위험 감소(Reduction)

- 대책을 구현해 위험을 감소시킴

BCP/DRP

BCP(Business Continuity Plan)

- 재난/장애 발생 시 비즈니스 연속성을 유지

- 상업 활동, 비즈니스 프로세스가 중단되는 것에 대항

1. 4단계 방법론

1) 프로젝트 범위 설정/기획

- 프로젝트 범위, 조직, 시간, 인원 정의

2) 사업 영향 평가(BIA : Business Impact Assessment)

- 업무 중단 시 발생하는 영향도 파악(정량적, 정성적)

3) BCP 개발

4) 계획 승인 및 실행

2. 5단계 방법론

1) 프로젝트 범위 설정/기획

2) 사업 영향 평가(BIA)

3) 복구 전략 개발

- BIA로 수집한 정보를 활용해 복구 전략 개발

4) 복구 전략 수립

- 사업 지속을 위한 실제 복구 계획 수립, 문서화

5) 프로젝트 수행 테스트/유지보수

3. 6단계 방법론

1) 사업 중대 업무 규정

2) 자원의 중요도 규정

3) 발생 가능 재난 예상

4) 재난 대책 수립

5) 재난 대책 수행

6) 대책 테스트, 수정

DRP(Disaster Recovery Plan)

- 재난 발생 시 취할 행동 절차를 준비

- 사고 발생 시 의사결정 시간을 최소화해 복구 시간 단축

- 정보시스템, 데이터가 중단되는 것에 대응

1. 용어

1) RPO(Recovery Point Objective)

- 복구 시 감내할 수 잇는 데이터 손실의 허용 시점

2) RTO(Recovery Time Objective)

- 반드시 복구가 완료되어야 하는 시간

3) RP(Recovery Period)

- 실제 업무 복구까지 걸린 시간

4) MTD(Maximum Tolerable Downtime)

- 치명적 손실없이 운영을 중단하고 견딜 수 있는 최대 시간

침해 대응

CERT(Computer Emergency Response Team)

- 해킹, 바이러스에 대항하는 보안 기술을 개발하고 서비스하는 대항 센터

1. 역할

- 침해사고 예방, 대응 기술 연구, 전파

- 취약점 진단, 조치, 모니터링, 교육 등 예방 활동 시행

- 침해사고 접수, 분석, 복구

2. 침해 대응 단계

1) 사고 전 준비

2) 사고 탐지

3) 초기 대응

4) 대응 전략 체계화

5) 사고 조사

6) 보고서 작성

7) 해결

포렌식(Forensic)

- 사이버 범죄 수사를 윟나 증거 수집 등의 활동

1. 기본 원칙

1) 무결성

- 증거 이동 간 변조없이 무결성이 유지되어야함

2) 정당성

- 적법한 절차로 획득한 증거여야함

3) 신속성

- 신속하게 증거를 확보해야함

4) 재현

- 제출 증거는 동일 환경과 결과로 재현 가능해야함

5) 연계 보관성

- 증거 이송 과정이 명확하고 훼손이 방지되어야함

2. 수행 절차

1) 수사 준비

2) 증거 수집

3) 보관 및 이송

4) 조사 및 분석

5) 보고서 작성

보안 제품 평가/인증

TCSEC(Trusted Computer System Evaluation Criteria)

- 미국에서 만든 정보보호 제품 평가 기준(오렌지북이라 불림)

- 정보 보호 제품에 요구사항 만족 수준에 따라 보안 등급을 매김

- 기밀성 중심

ITSEC

- TCSEC을 참조해 만든 유럽 공통 평가 기준

- 기밀성, 무결성, 가용성 

CC(Common Criteria, ISO/IEC 15408)

- 정보 기술과 보안 평가를 위해 보안 요구 조건을 명세화하고 평가 기준을 정의한 ISO 표준

- EAL1 ~ EAL7까지의 등급이 있음(낮음~높음)

정보보호 관리체계 인증

1. BS7799(ISO/IEC 17799)

- 영국에서 제정한 효율적인 정보보호관리체계 구축에 대한 국제 표준

2. ISMS(Information Security Management System)

- ISMS 기술, 물리, 관리적 정보보호 대책이 인증 심사 기준에 적합한지 KISA가 객관적으로 평가하고 인증

- BS7799에서 국내 사정을 고려하여 적합하게 변형

1) 구성요소

- 정보보호 관리 과정

-> 정책 보호 정책 수립 및 범위 설정 -> 경영진 책임 및 조직 구성 -> 위험 관리 -> 정보보호 대책 구현 -> 사후관리

- 정보 보호 대책