1) 자산 (Asset)
2) 취약점 (취약성, Vulnerability)
3) 위협 (Threat)
① 손실이나 손상의 원인이 될 가능성을 제공하는 환경의 집합이다.
② 보안에 해를 끼치는 행동이나 사건이다.
③ 임의의 위협*은 네 가지 종류로 구분된다.
⊙ 가로채기 (interception) : 비인가된 당사자가 자산으로의 접근을 획득한 것을 의미함. (불법 복사, 도청 등) → 기밀성에 영향.
⊙ 가로막음 (interruption) : 시스템 자산이 손실되거나 손에 넣을 수 없거나 사용 불가능하게 됨. (하드웨어 장치의 악의적 파괴, 파일 삭제, 서비스 거부 등) → 가용성에 영향
⊙ 변조 (modification) : 비인가된 당사자가 접근하여 그 내용을 변경함. (데이터베이스 특정 값 변경, 특정 프로그램 변경 등) → 무결성에 영향
⊙ 위조 (fabrication) : 비인가된 당사자가 컴퓨팅 시스템 상에 불법 객체의 위조 정보를 생성함. (네트워크 통신에 가짜 거래 정보를 만듦 등) → 무결성, 인증에 영향
④ 위협은 자연에 의한 위협과 인간에 의한 위협으로 나누어지고, 인간에 의한 위협은 다시 의도적인 위협과 비의도적인 위협으로 나누어진다.
* 위협 : 위협은 취약점 제어 수단에 의하여 차단된다.
| 분류 | 내용 | |
| 자연에 의한 위협 | 화재, 홍수, 지진, 전력 차단 등이 자연에 의한 대표적인 위협으로, 이로부터 발생하는 재난을 항상 예방할 수는 없지만, 화재 경보기, 온도계, 무정전 시스템 등을 설치하여 피해를 최소화할 수 있다. | |
| 인간에 의한 위협 | 비의도적 위협 | 정보 시스템의 보안 사고를 일으키는 가장 큰 위협으로 인간의 실수와 태만이 주된 원인이다. 패스워드의 공유, 데이터에 대한 백업의 부재 등이 대표적인 부주의와 태만으로 간주되며, 이러한 위협은 언론 매체에서 크게 다루어지지는 않지만 실제로는 정보 보호 문제를 일으키는 가장 중요한 요인이다. |
| 의도적 위협 | 컴퓨터 바이러스, 해커, 사이버 테러리스트 등으로부터 발생하며 도청, 신분 위장에 의한 불법 접근, 정당한 정보에 대한 부인, 악의적인 시스템 장애 유발 등이 있다. | |
4) 위험 (Risk)
① 위협 주체가 취약점을 활용할 수 있는 가능성과 그와 관련된 비즈니스 영향을 가리킨다. 만약 침입 차단 시스템이 다수 개방된 포트를 가지고 있다면, 침입자가 허가 되지 않은 방법으로 네트워크에 접근할 가능성이 높다.
② 위협 주체가 취약점을 이용하여 위협이라는 행동을 통해 자산에 악영향을 미치는 결과를 가져올 가능성으로, 위험은 「자산×위협×취약점」으로 표현한다.
5) 노출 (Exposure)
6) 대책 / 안전장치 (Countermeasure / Safeguard)
7) 다계층 보안 / 심층 방어 (Defense in Depth)
8) 직무 상의 신의 성실, 노력 (Due Care, Due Diligence)
① Due : 특정 목적을 위하여 필요하거나 요구되는 적절하고 충분한 의무이다.
② Due care : 특정 목적을 위하여 필요하거나 요구되는 충분한 주의이다.
③ Due Diligence : 특정 목적을 위하여 필요하거나 요구되는 충분한 노력이다.
9) 사회 공학 (Social Engineering)
① 컴퓨터 보안에서 인간 상호 작용의 깊은 신뢰를 바탕으로 사람들을 속여 정상적인 보안 절차를 깨트리기 위한 침입 수단이다.
② 우선 통신망 보안 정보에 접근 권한이 있는 담당자와 신뢰를 쌓아 전화나 이메일을 통해 도움을 받고, 약점을 이용한다.
10) 시점 별 통제 (Control)
① 예방 통제 (Preventive Control) : 사전에 위협과 취약점에 대처하는 통제이다.
② 탐지 통제 (Detective Control) : 위협을 탐지하는 통제로, 빠르게 탐지할수록 대처하기에 용이하다.
③ 교정 통제 (Corrective Control) : 이미 탐지된 위협이나 취약점에 대처하거나 위협이나 취약점을 감소시키는 통제이다.
| 구분 | 설명 |
| 공격자 | 시스템을 공격하거나 위협하는 존재 |
| 공격 | 시스템의 보안 서비스를 회피하여 보안 정책을 위반하려는 의도된 시도 |
| 대응 | 피해의 최소화 및 적절한 대응을 위해 탐지, 보고 하여 위험, 노출, 공격을 제거하거나 방지하는 행위, 정비, 기법 |
| 위험 | 특정 위협이 가져올 피해가 확률적으로 표현되는 예상 손실 |
| 보안 정책 | 시스템이나 기관이 민감하고 중요한 시스템 자원에 서비스를 제공하기 위해 명시한 규정과 업무 |
| 자산 | 정보 시스템 내의 데이터, 시스템의 서비스, 처리 기능, 통신 대역폭, 시스템 장비 (하드웨어, 펌웨어, 소프트웨어, 문서), 시스템 장비 설비 |
| 위협 | 보안을 침해하고 손해를 가져올 수 있는 상황, 행위, 이벤트가 존재할 때의 잠재적 보안 위반 |
| 취약점 | 시스템 보안 정책을 위반할 수 있는 시스템 설계, 구현, 혹은 운영, 관리 상의 오류 및 약점 |
'정보기 정리 > PART 01' 카테고리의 다른 글
| SE 01) 3. OSI 보안 구조 (0) | 2023.05.31 |
|---|---|
| SE 01) 2. 정보 보호 관리 (0) | 2023.05.31 |
| SE 01) 1. 정보화 사회화의 정보 보호 (0) | 2023.05.31 |