정보보호총론
정보보호 개론
정보보호총론
Chapter 01
정보보호 일반 이론
정보보호총론
목 차
1.1 정보보호의 개념
1.2 보안 취약점, 위협, 정보보호대책 1.3 사이버 공격 유형
1.4 접근통제
1.5 최신 ICT 서비스 보안 위협
정보보호총론
1. 모바일 보안 위협 1) 스마트폰 보안 위협
현재까지 알려진 모바일 악성코드의 주요 특징은 통화 기록이나 전화번호, 사진 등의 개인정보 탈취, 비정상 트래픽을 유발하여 과다요금을 유도하거나 배터리를 소진시키 는 것이 대부분이다.
.
1.5 최신 신규 ICT 서비스 보안 위협
정보보호총론
악성코드뿐 아니라 휴대용 단말이 가지는 특성 등으로 인한 스마트폰의 보안 위협은 크게 네 가지로 구분
첫째, 사용자/단말기 보안 이슈이다. 스마트폰 단말기의 도난·분실로 인한 개인정보 또는 업무 정보의 유출, 업무용 서버에 불법 접속하여 업무정보 유출, 스마트폰 소유자 가 악의적으로 업무 정보의 외부유출 가능성 존재 등이다.
둘째, 네트워크 보안 이슈이다. 스마트폰을 와이파이 등의 무선 인터넷에 접속하여 사 용함에 따라 무선 구간에서 패킷 스니핑(Sniffing), 상용인터넷 망을 통한 해킹, 스마트 폰을 경유하여 인트라넷 서버에 접속, 모바일 DDoS 등의 보안 위협이 발생하게 된다.
셋째, 응용서비스 보안 이슈이다. 스마트폰의 악성코드 감염이나 악의적 목적의 앱으로 인해 위치·개인정보 유출, 장치이용 제한, 부정과금 유발, 플랫폼 또는 펌웨어
(Firmware)변조에 따라 보안 기능을 약화시킬 가능성 존재이다.
넷째, 모바일 콘텐츠 이슈이다. 뉴스, 방송, 음악, 라디오, 영화 등 콘텐츠 DRM 해킹, 모 바일 스팸, 불법·유해 콘텐츠 유통 등이 문제가 될 수 있다.
1.5 최신 신규 ICT 서비스 보안 위협
정보보호총론
2) 스마트폰 전자금융서비스 보안 위협
스마트폰 전자금융서비스는 앱을 기반으로 서비스가 제공되기 때문에 앱을 배포하는 경로로 활용될 수 있는 앱 스토어, 블랙마켓, 웹사이트, 문자메시지, 메신저 등을 이용 한 공격과 단말기 자체 특성에 기인하여 PC 등 주변기기와 연동 시 발생할 수 있는 취 약점을 이용한 공격 등이 이루어질 수 있다.
① 입력: 보안카드나 이체 비밀번호 등 금융 앱이 실행된 상태에서 입력하는 중요 정보의 유출
② 출력: 금융 관련 주요정보가 화면에 출력 될 때 화면캡처 및 원격제어를 통한 중요정보 의 유출
③ 저장: 악성코드 감염이나 단말기 분실 등의 상황에서 기기 내부에 저장된 중요 정보의 유출
④ 전송: 유·무선 통신 기능 이용 시 전송될 수 있는 중요 정보의 유출
.
1.5 최신 신규 ICT 서비스 보안 위협
정보보호총론
3) 소셜 네트워킹 환경의 보안 위협
스마트 기기의 보급 확대와 함께 소셜 네트워크 서비스(SNS)는 참여하는 구성원 개개 인의 다양성을 존중하며 개인과 기업의 새로운 소통의 도구로 자리매김하고 있다.
유럽의 정보보호 전문기관인 ENISA(European Network and Information Society Agency)는 SNS 관련 보안위협을 다음과 같이 분류하였다.
① 프라이버시 보안 위협: 개인 프로파일 수집, 2차 데이터 수집, 안면 인식과 개인정보 연 계로 인한 초상권 침해와 익명성 약화, 콘텐츠 기반 이미지 검색, 이미지 메타 데이터와 개 인정보의 연계, 완전한 계정 삭제의 어려움이 있다.
② 네트워크상의 보안 위협: SNS를 이용한 스팸 증가, 크로스사이트 스크립팅, 웜·바이러 스 등에 대한 취약성 증가. 다양하게 통합되는 SNS 포털들이 정보수집기로 이용되어 보안 취약성이 증가될 수 있다.
③ ID 관련 위협: SNS를 이용한 특정이용자 그룹에 대한 스피어 피싱, 침입을 통한 ID정보 유출, ID 도용을 통한 허위정보 생산 또는 명예훼손 등 각종 범죄가 증가할 수 있다.
④ 사회적 위협: 사이버 스토킹, 사이버 괴롭힘, 산업 스파이 등에 관한 위협 등이 있다.
1.5 최신 신규 ICT 서비스 보안 위협
정보보호총론
2. 클라우드(Cloud) 서비스 보안 위협 1) 클라우드 컴퓨팅
클라우드 컴퓨팅은 인터넷 기술을 활용하여 ‘IT 자원을 서비스’로 제공하는 것으로 IT 자원(소프트웨어, 스토리지, 서버, 네트워크 등)을 필요한 만큼 사용하고 서비스 부하 에 따라서 실시간 확장이 가능하며 사용한 만큼 비용을 지불하는 서비스이다.
NIST(National Institute of Standards and Technology)는 클라우드 컴퓨팅을 ‘이용 자는 IT 자원(소프트웨어, 스토리지, 서버, 네트워크)을 필요한 만큼 빌려서 사용하고, 서비스 부하에 따라서 실시간 확장성을 지원 받으며, 사용한 만큼 비용을 지불하는 컴 퓨팅’이라고 정의하고 있다.
1.5 최신 신규 ICT 서비스 보안 위협
정보보호총론
2. 클라우드(Cloud) 서비스 보안 위협 2) 클라우드 서비스의 보안 위협
클라우드 서비스는 기존 IT 환경의 보안 위협과 클라우드 특성에 따른 가상화, 다중 임 차(Multi-tenancy), 원격지에 정보 위탁·사업자 종속, 모바일 기기 접속, 데이터 국외 이전, 침해사고 대형화, 데이터센터 안전성 등 신규 공격 위협이 존재하게 된다.
.
1.5 최신 신규 ICT 서비스 보안 위협
정보보호총론
3. 빅 데이터(big data) 보안 1) 개념
빅 데이터(big data)란 기존 데이터베이스 관리도구로 데이터를 수집, 저장, 관리, 분석 할 수 있는 역량을 넘어서는 대량의 정형 또는 비정형 데이터 집합 및 이러한 데이터로 부터 가치를 추출하고 결과를 분석하는 기술을 의미한다.
2) 빅 데이터 분석 기술
대부분의 빅 데이터 분석 기술과 방법들은 기존 통계학과 전산학에서 사용되던 데이터 마이닝(Data Mining), 기계 학습(Machine Learning), 자연 언어 처리, 패턴 인식 (Pattern Recognition) 등이 해당된다.
① 텍스트 마이닝: 비/반정형 텍스트 데이터에서 자연 언어 처리 기술에 기반을 두어 유용 한 정보를 추출, 가공
② 오피니언 마이닝: 소셜 미디어 등의 정형/비정형 텍스트의 긍정, 부정, 중립의 선호도를 판별
③ 소셜 네트워크 분석: 소셜 네트워크의 연결 구조 및 강도 등을 바탕으로 사용자의 명성 및 영향력을 측정
④ 군집 분석: 비슷한 특성을 가진 개체를 합쳐가면서 최종적으로 유사 특성의 군집을 발굴
1.5 최신 신규 ICT 서비스 보안 위협
정보보호총론
3. 빅 데이터(big data) 보안
3) 빅 데이터 비즈니스 모델 개발에 활용되는 기본적인 테크닉
① 연관 규칙 학습(Association rule learning)
② 유전 알고리즘(Genetic algonithms)
③ 회귀 분석(Regression analysis)
④ 소셜 네트워크 분석(Social network analysis)
⑤ 유형 분석(Classification tree analysis)
⑥ 기계 학습(Machine learning)
⑦ 감정 분석(Sentiment analysis)
1.5 최신 신규 ICT 서비스 보안 위협
정보보호총론
3. 빅 데이터(big data) 보안
4) 빅 데이터 보안 및 프라이버시 이슈
빅 데이터와 관련하여 가장 쟁점이 되고 있는 이슈가 프라이버시와 보안 문제이다. 개 인정보 유출뿐만 아니라 이용자의 실시간 서비스 이용행태 및 위치정보 데이터의 유출 논란이 핵심이다.
5) 빅 데이터를 활용한 보안 분석 기술
빅 데이터를 활용한 보안 분석(big data security analytics)은 데이터 분석 기술의 고 도화 측면에서 기존에 해결하지 못한 공격위협 분석을 가능하게 할 것으로 예측되고 있다.
① 실시간 모니터링(real-time monitoring)
② 위협에 대한 지능(threat intelligence)
③ 행위 프로파일링(behavior profiling)
④ 데이터 및 사용자 모니터링(data & user monitoring)
⑤ 응용 모니터링(application monitoring)
⑥ 분석(analytics)
1.5 최신 신규 ICT 서비스 보안 위협
정보보호총론
4. 사물인터넷(IoT, Internet of Things) 보안 위협 1) 사물인터넷 개념
사물인터넷(Internet of Things)은 사람, 사물, 공간 등 모든 것들(Things)이 인터넷 (Internet)으로 서로 연결되어, 모든 것들에 대한 정보가 생성․수집 되고 공유․활용되 는 것을 말한다.
최근 사물인터넷의 개념은 M2M(Machine to Machine), IoT(Internet of Things)를 거 쳐 IoE(Internet of Everything)로 까지 확장되고 있으며, 사물인터넷을 통해 기존 산업 의 생산성이 향상되고 새로운 시장이 창출될 것으로 기대되고 있다.
ITU(2005)에 따르면 “언제나, 어디서나, 어느 것과도 연결될 수 있는 것이 사물인터넷 시대의 새로운 통신 환경, 모바일 인터넷의 활성화는 인간이 정보 접속에 대해 가지고 있던 ‘시간의 제약’과 ‘공간의 제약’의 문제를 해결해 주었으며, 사물인터넷의 핵 심은 PC와 PC, 인간과 인간, 인간과 사물, 사물과 사물을 연결하는 ‘객체의 제약’을 해결하는 것에 있다”라고 정의하고 있다.
1.5 최신 신규 ICT 서비스 보안 위협
정보보호총론
4. 사물인터넷(IoT, Internet of Things) 보안 위협 2) 사물인터넷 기술 요소
① 센싱 기술은 필요한 사물이나 장소에 전자태그를 부착하여 주변 상황 정보를 획득하고, 실시간으로 정보를 전달하는 사물 인터넷의 핵심 기술
② 유·무선 통신 및 네트워크 기술은 사물이 인터넷에 연결되도록 지원하는 기술로, IP를 제공하거나, 무선통신 모듈을 탑재하는 방식이 대표적인 예
③ 사물 인터넷 서비스 인터페이스는 사물 인터넷을 구성하는 요소들을 서비스 및 애플리 케이션과 연동하는 역할을 수행
④ 보안 기술은 네트워크, 단말 및 센서, 대량의 데이터 등 적용 분야별로 기능·애플리케 이션·인터페이스 등이 상이하기 때문에 개별적으로 적합한 보안 기술 적용이 요구
1.5 최신 신규 ICT 서비스 보안 위협
정보보호총론
4. 사물인터넷(IoT, Internet of Things) 보안 위협 3) 사물인터넷 보안 위협
스마트 홈, 스마트 의료, 스마트 카 등 IoT 서비스가 일상생활로 확산되면서 기존 사이 버세계의 위험이 현실세계로 전이(轉移)·확대되었다. 따라서 기존 PC, 모바일기기 중 심의 사이버 환경과 달리 IoT 환경은 보호대상, 주체, 방법 등에 있어 <표 1-10>와 같이 새로운 정보보호 패러다임으로 접근이 필요
구 분 As-Is To-Be
보호 대상 PC, 모바일 기기 가전, 자동차, 의료기기 등 우리 주변 모든 사물(Things) 대상의 특성 고성능, 고가용성 운영환경 고성능, 고가용성 + 초경량, 저전력
보안 주체 ISP, 보안 전문 업체, 이용자 ISP, 보안 전문 업체, 이용자 + 제조사, 서비스제공자
보호 방법 별도의 보안장비, S/W 구현 및 연동 별도의 보안장비, S/W 구현 및 연동 + 설계단계부터 보안 내재화
피해 범위 정보유출, 금전피해 정보유출, 금전피해 + 시스템 정지, 생명위협
1.5 최신 신규 ICT 서비스 보안 위협
정보보호총론
4. 사물인터넷(IoT, Internet of Things) 보안 위협
사물인터넷의 계층별 보안 위협
1.5 최신 신규 ICT 서비스 보안 위협
정보보호총론
4. 사물인터넷(IoT, Internet of Things) 보안 위협
① 저사양 디바이스에 대한 해킹 증가: 디바이스들이 다양화되고 종류가 늘어나면서 저사 양 기기 사용이 늘어나면서 현 기술로는 저사양 기기에 보안 기능을 적용하기 곤란하다.
② 디바이스 관리 취약점 증가: 디바이스 수가 증가하여 보안 패치가 곤란하며, 모니터링 에 어려움이 있다.
③ 무선 네트워크의 취약점: 이종 무선 네트워크간 상호 연동이 되면서 일정한 보안 수준 을 유지하기 어렵고 디바이스간 통신이 지원되면서 디바이스 인증이 제한적으로 지원된 다.
④ 네트워크 트래픽 공격량 급증: 클라우드 가상화 서비스를 통한 좀비 PC 대량 생산, 냉 장고, 청소 로봇 등 대규모 디바이스에 악성코드를 감염시켜 트래픽을 폭증시키는 공격이 이루어진다.
⑤ 공개 플랫폼의 취약점: 공개 플랫폼을 통한 기기-서비스간 허위 데이터 전송 및 오작동 등의 공격이 이루어진다.
⑥ 사용자 신원정보 유출/추적: IoT 디바이스가 수집한 단편 정보의 중앙 집중 및 조합으 로 사용자 신원정보가 유출된다.
1.5 최신 신규 ICT 서비스 보안 위협
정보보호총론
5. OWASP Top 10 RISK
OWASP(Open Web Application Security Project)에서는 매년 각 분야별 프로젝트에 서 가장 심각한 보안 위험 10가지에 대해 발표
NO OWASP Application Top
10 Risk OWASP Cloud Top 10 Risk OWASP Mobile Top 10 Risk OWASP Internet of Things Top 10 Risk
1 Injection Accountability & Data Risk Insecure Data Storage Insecure Web Interface
2 Cross Site
Scripting(XSS) User Identity Federation Weak Server Side Controls Insufficient
Authentication/Authorization
3
Broken Authentication and Session Management
Regulatory Compliance Insufficient Transport Layer
Protection Insecure Network Services
4 Insecure Direct Object References
Business Continuity &
Resiliency Client Side Injection Lack of Transport Encryption
5 Cross Site Request forgery(CSRF)
User Privacy & Secondary Usage of Data
Poor Authorization and
Authentication Privacy Concerns
6 Security
Misconfiguration Service & Data Integration Improper Session Handling Insecure Cloud Interface
7 Failure to Restrict URL Access
Multi-tenancy & Physical Security
security decisions via
untrusted inputs Insecure Mobile Interface
8 Unvalidated Redirects and Forwards
Incidence Analysis &
Forensics Side Channel Data Leakage Insufficient Security Configurability
9 Insecure Cryptography
Storage Infrastructure Security Broken Cryptography Insecure Software/Firmware
10 Insufficient Transport Layer Protection
Non-Production Environment Exposure
Sensitive Information
Disclosure Poor Physical Security
