[컴퓨터 보안] 컴퓨터 보안의 개요
정보보호와 컴퓨터 보안
- 정보를 여러가지 위협으로부터 보호하기 위한 정책 및 기법
- 정보의 상태 : 저장, 전달
-
위협의 종류 : 허락되지 않는 접근, 수정, 훼손, 유출 등
- 컴퓨터 보안의 개념
- 컴퓨팅 환경이 관여된 모든 상황에 대한 정보 보호
- 컴퓨팅 환경에 저장되거나 처리되는 정보를 다양한 위협으로부터 보호하기 위한 정책 및 기법
- 컴퓨팅 환경이 관여된 모든 상황에 대한 정보 보호
정보보호의 목표
핵심 목표
- 기밀성(Confidentiality)
- 허락되지 않은 자가 정보의 내용을 알 수 없도록 하는 것
- ex) 은행에서 고객의 개인정보나 계좌정보 같은 기밀정보가 제 3자에게 알려지는 것을 방지하기 위해 이를 보호
- 기밀성을 지키는 방법
- 허락되지 않은 자가 정보에 접근을 아예 못하도록 함
- 정보에 접근하더라도 무의미한 내용만 보이도록 함
- 허락되지 않은 자가 정보에 접근을 아예 못하도록 함
- 허락되지 않은 자가 정보의 내용을 알 수 없도록 하는 것
- 무결성(Integrity)
- 허락되지 않은 자가 정보를 임의로 수정할 수 없도록 하는 것
- ex) DB 내 고객의 개인정보가 임의로 수정되지 않도록 보호 고객 본인이 조회할 때 DB에서 고객까지 전달 과정에서 위변조되지 않도록 보호
- 만약 허락되지 않은 자에 인해 수정이 발생했다면 이를 확인할 수 있는 것
- 허락되지 않은 자가 정보를 임의로 수정할 수 없도록 하는 것
- 가용성(Availability)
- 허락된 자가 정보에 접근하고자 할 떄 이것이 방해받지 않도록 하는 것
- 정보에 대한 접근권한이 있는 자는 필요할 때 언제든지 정보를 사용할 수 있어야 함
- ex) 고객이 본인의 개인정보를 확인하고자 할 때 즉시 조회가 가능하게 하는 것
- 정해진 시간 내에 정보를 볼 수 있음을 보장
- 허락된 자가 정보에 접근하고자 할 떄 이것이 방해받지 않도록 하는 것
그 외의 목표
- 부인방지(non-repudiation)
- 정보에 관여한 자가 이를 부인하지 못하도록 하는 것
- 발신 부인 방지 : 정보를 보낸 사람이 나중에 정보 발송을 부인 하지 못하게 함
- 수신 부인 방지 : 정보를 받은 사람이 나중에 정보 수신을 부인 하지 못하게 함
- 정보에 관여한 자가 이를 부인하지 못하도록 하는 것
- 인증(authentication)
- 어떤 실체가 정말 주장하는 실체가 맞는지 확인할 수 있고 신뢰할 수 있는 것
- 실체 : 정보 자체, 정보를 이용하는 사용자 등
- 어떤 실체가 정말 주장하는 실체가 맞는지 확인할 수 있고 신뢰할 수 있는 것
- 접근 제어(access control)
- 정보에 대한 허락된 접근만 허용하고 그 외의 접근은 허용하지 않는 것
- 즉, 접근권한이 있는 자와 없는 자를 구분하여 제어
- 접근권한은 정보에 따라, 사용자에 따라 다양하게 부여될 수 있음
- 정보에 대한 허락된 접근만 허용하고 그 외의 접근은 허용하지 않는 것
정보화 환경과 역기능
- 정보화 사회의 선진화
- 과거에는 정보의 전파가 굉장히 느렸으나 통신회선 설치 이후 빨라짐
- 인터넷을 통해 지구 반대편에서 일어나는 일도 실시간으로 알 수 있음
- 과거에는 정보의 전파가 굉장히 느렸으나 통신회선 설치 이후 빨라짐
- 정보화 사회의 역기능 증가
- 악성 댓글, 스팸 메일, 피싱이나 파밍, 스미싱에 따른 개인정보 유출 등 개인적인 피해 증가
- 불건전 정보유통, 사생활 침해 등과 같은 부작용
- 악성 댓글, 스팸 메일, 피싱이나 파밍, 스미싱에 따른 개인정보 유출 등 개인적인 피해 증가
- 새로운 수법의 지속적인 등장
- 과거 이메일을 이용하던 피싱은 보이스 피싱과 스미싱 등으로 다양화
- 안전한 암호 알고리즘을 악용하여 금전을 요구하는 랜섬웨어 같은 수법도 등장
- 과거 이메일을 이용하던 피싱은 보이스 피싱과 스미싱 등으로 다양화
- 주요 기반시설 위협에 따른 국가안보적인 측면의 위협
- 네트워크에 의해 관리, 통제되며 사이버 공격의 목표가 됨
- 2014년 한국수력원자력에 대한 공격, 2021년 미국 송유관 업체에 대한 공격 등
- 네트워크에 의해 관리, 통제되며 사이버 공격의 목표가 됨
컴퓨터 보안의 역사
컴퓨터의 등장
- 앨런 튜닝
- 컴퓨터의 이론적인 개념을 정립
- 제2차 세계대전 당시 암호분석가로 활동하며 애니그마 암호문을 해독할 수 있는 일반적인 방법을 고안
- 컴퓨터의 이론적인 개념을 정립
- 1950년대와 1960년대
- 메인프레임 형태의 컴퓨터들이 개발되어 기관이나 학교 등에서 이용
- MIT의 TMRC 학생들이 해커하는 용어를 처음 사용
- 해커 : 컴퓨터의 세세한 부분까지 적극 탐구하고 활용성을 확대하기 위해 연구하는 것을 즐기는 사람
- 크래커 : 컴퓨터 보안에 위해를 가하는 악의적인 사람
- 메인프레임 형태의 컴퓨터들이 개발되어 기관이나 학교 등에서 이용
- ARPANET
- 1960년대 후반 미국 국방부에서는 각 지역에 위치한 기관들의 컴퓨터를 연결하는 네트워크를 개발
- 1970년대를 거치며 상당히 복잡한 형태로 발전
- 1960년대 후반 미국 국방부에서는 각 지역에 위치한 기관들의 컴퓨터를 연결하는 네트워크를 개발
- 1970년대
- 애플컴퓨터에서 개인용 컴퓨터(PC) 판매 시작
- 연구자 뿐만 아니라 일반인도 컴퓨터를 접할 수 있게 됨
- 애플컴퓨터에서 개인용 컴퓨터(PC) 판매 시작
- 1980년대
- IBM에서 저가 PC판매를 시작하며 컴퓨터가 대중화
- TCP/IP가 개발되며 누구나 PC와 인터넷으로 다양한 정보를 접할 수 있는 환경이 만들어짐
- 악의적인 사람들도 역시 컴퓨터와 인터넷을 사용하게 되어 컴퓨터 보안의 필요성 증가
- 모리스 웜 : 인터넷으로 연결된 수천 대의 UNIX 컴퓨터를 감열
- 이를 계기로 침해대응센터인 CERT 만들어짐
- IBM에서 저가 PC판매를 시작하며 컴퓨터가 대중화
- 1990년대
- 시티뱅크 시스템에 침입하여 자금 탈튀
- 여러 회사 시스템에 침입하여 각종 정보 탈취
- 정부 시스템에 침입하여 걸프전 정보 탈취
- 시티뱅크 시스템에 침입하여 자금 탈튀
- 2000년대
- 야후, CNN 아마존 등 접속자가 많은 몇 개의 사이트에 분산 서비스 거부(DDos) 공격 발생
- 네트워크 상의 취약한 서버를 찾아 미리 감염시킨 후 이 서버들이 정해진 시간에 목표 사이트에 수많은 패킷을 전송하도록 함
- 야후, CNN 아마존 등 접속자가 많은 몇 개의 사이트에 분산 서비스 거부(DDos) 공격 발생
- 2010년대 중반부터 랜섬웨어 유행
- 컴퓨터에 저장되어 있는 문서나 그림 파일 등을 암호화하여 사용자가 사용할 수 없게 만듦
- 암호를 풀기 위해서는 비트코인 등을 송금하도록 유도
- 컴퓨터에 저장되어 있는 문서나 그림 파일 등을 암호화하여 사용자가 사용할 수 없게 만듦
다양한 법률 등장
- 미국
- 1974년, 개인정보 보호법 제정
- 1986년, 컴퓨터 사기 및 악용금지 법
- 2015년, 사이버보안법 제정
- 1974년, 개인정보 보호법 제정
- 유럽
- 2016년, 개인정보 보호법(GDPR) 제정
- 2018년부터 시행중인 GDPR은 EU에 서비스를 제공하는 전 세계 기업에 모두 적용됨
- 2016년, 개인정보 보호법(GDPR) 제정
- 국내
- 2001년, 정보통신망 이용촉진 및 정보보호 등에 관한 법률 제정
- 2011년, 개인정보 보호법 제정
- 2015년, 정보보호산업의 진흥에 관한 법률 제정
- 2018년, 정보보호 및 개인정보보호 관리체계 인증 등에 관한 고시 제정
- 2020년, 데이터 3법 개정
- 2001년, 정보통신망 이용촉진 및 정보보호 등에 관한 법률 제정