13장
컴퓨팅 보안과 윤리
침략자
• 해커는 컴퓨터 시스템을 침입하는 기술적으로 숙련 된 사람을 의미
• 크래커는 악의적인 의도를 가지고 있는 환영 받지
못하는 시스템 침입자
침략방법
•
시스템의 구멍
• 인터넷과 네트워크의 열린 성질, 백도어,조잡한 프로그래밍
•
악의적인 소프트웨어 프로그램 (악성 코드)
• 바이러스: 사용자 몰래 스스로 복제하여 다른 프로그램을 감염시 켜 정상적인 프로그램이나 다른 데이터 파일 등을 파괴하는 악성 프로그램
• 웜: 네트워크를 통해서 자신을 활발히 복제하는 프로그램, 일종의 보트
• 트로이 목마: 무해한 프로그램인체 자신을 위장하는 프로그램
공격의 종류
•
접근 공격(access attacks)
• 첩보활동
• 스누핑, 도청
•
변경 공격(modification attacks)
• 정보를 불법적으로 수정하는 공격
•
서비스 거부 공격(demial-of service attacks)
• 합법적인 사용자가 자원을 사용하는 것을 거부하는 것
• 이메일 메시지로 특정 주소를 넘쳐나게 하는 것
•
부인 공격(refutation attacks)
• 거짓 결과를 생성하는 것
• 서명이나 E-메일을 다른 사람이 작성한 것처럼 위조
시스템 보안의 목표
•
비밀성
• 정보를 접근하도록 권한을 부여 받은 사람들만이 정보를 보 거나 수정하는 것
• 대중적인 정보 대 제한적인 정보
•
무결성
• 정보가 옳은 것임을 보장하는 것
• 은행 계좌의 트랜잭션 기록
•
가용성
• 정보나 서비스에 항상 접근 가능하게 만드는 것
• 문서의 백업, 재해 복구 계획
•
책임추적성
• 침입이 일어났을 경우에 상황을 재현할 수 있는 기록들이 확실하게 남는 것
보안관리 : 대책
•
보안 정책을 가져라
•
물리적 보호 수단을 가져라
•
모든 것을 보호하기 위해 암호를 사용하라
•
민감한 자료의 오래된 사본을 파기하라
•
가치 있는 모든 것을 백업하라
•
시스템 고장에 대비해 보호하라
•
당신의 회사를 위한 이용 약관(AUP)을 만들어라
•
바이러스로부터 보호하라
•
재난 복구 계획(DRP)을 수립하라
보안관리 : 대책
•
암호: 498쪽 표 13-1 참고
•
항바이러스 소프트웨어
•
데이터의 암호화
• 암호키(encryption key)를 이용하여 전송되는 정보를 변형
• 비밀키(대칭 암호화)와 공개키(비대칭 암호화)
•
방화벽
• 외부 네트워크와 내부 컴퓨터 시스템 사이에 보호 필터 역 할을 하는 소프트웨어 또는 하드웨어
• 오직 허용된 요청들만 통과시킴
•
라우터를 이용한 방어
• 라우터에 있는 필터링 소프트웨어 이용
•
DMZ
• 방화벽의 외부(또는 방화벽의 사이)의 위치로서 외부로부터 의 공격을 받기 쉬운 곳
컴퓨터배움터
8
컴퓨터 범죄
• 지적재산권 보호
•
저작권
• 아이디어를 보호하는 것이 아니라 아이디어의 표현을 보 호
•
특허권
• 정부가 부여한 권리로서 정해진 기간 동안 발명품을 독 점적으로 만들고 사용하고 판매할 수 있는 권리
•
영업비밀
• 회사의 비밀로서 방법론, 공식, 장치, 또는 일종의 정보로 서 회사를 경쟁에서 유리하게 해주는 것
금융사기
• 보이스피싱
• 전화로 공공기관이나 금융회사 직원을 사칭하며 피해자를 속 여 자금이체 등을 유도하는 수법
• 파밍
• PC를 악성코드로 감염시켜 네이버 검색 등을 이용시 피싱사이 트로 유도,금융거래정보를 입력토록 하여 자금을 가로챔
• 메신저 피싱
• 카카오톡, 네이트온 등의 ID 도용·무작위 접속 등의 방법을 통 해 피해자의 지인인 것처럼 행동하면서 ‘급전을 요구’ 하여 금 전을 가로채는 수법
• 스미싱
• 무료쿠폰 등의 문자메세지를 누르면 악성 앱을 설치, 소액결제 용 SMS 인증번호를 탈취하여 휴대전화 소액결제 피해
• 대출빙자사기
• 금융회사 직원을 사칭하여 대출을 주선하면서 보증보험료, 전 산비용 등 명목으로 수수료 송금을 요구