학습목표
제9장 정보시스템의 보안과 통제
사업에 정보기술을 이용할 때 나타나는 다양한 법적, 윤리적 문제들을 파악한다.
실제 기업이 사용하는 보안 전략에 대해 알아본다.
정보기술 사용에 따른 이익을 최대화하고 그 부작용을 최소화하는 방안 을 제시해본다.
목 차 _ 제 9장
9-1 e비즈니스 시대의 보안 문제 9-2 정보시스템과 보안
9-3 정보시스템과 개인정보보호
웹 해킹의 현황
Firewall / IDS, 암복호화 솔루션을 구축한 400개의 기관을Application Scanning Tool로 테스트한 결과 98% 이상의 사이트가 취약성을 가지고 있었다.
Business website의 75% 이상이 해킹에 취약성을 가지고 있다 (Gartner)
CSI/FBI 2001 Report
조사기관 중 90%이상이 Firewall, IDS 및 백신 솔루션을 구축하고 있다.
그 중 91% 이상이 해킹을 당한 경험이 있다.
조사기관 중 70% 이상이 해킹 경유지로 이용 당한 경험이 있다.
조사기관 중 64% 이상이 경제적인 손실을 입은 경험이 있다.
현재 해킹의 70% 이상이 어플리케이션 취약성을 이용한 공격 이다. (Gartner)
사례1. 대형 건설회사의 전자입찰시스템 해킹
• 대형 건설 회사의 전자입찰 시스템을 해킹하여 공사 입찰을 따낸 사건
• 공격과정
– 경쟁 업체의 사업자 번호를 입력하여 경쟁 업체가 입력한 입찰 가격을 확인
• 취약점
– 취약한 접근 통제 : URL 강제 접근을 통해
로그인 없이 관련 정보 획득 – 취약한 세션 관리 : URL에서 특정 인자를
수정할 경우 관련 정보를 획득
• 공격탐지 – 불가능
• 발생원인
사례2. 대형 온라인 게임업체 해킹
• 대형 온라인 게임업체를 해킹하여 시가 164억 원의 사이버 머니를 빼돌린 사건
• 공격과정
– 이용대금 결재 화면 소스 파일을 수정하여 사이버 머니를 자동 충전
• 취약점
– 입력 값 검증 부재 :
사용자가 입력한 값에 대해 검증을 실시하지 않음
• 공격탐지 – 불가능
• 발생원인
– 취약한 웹 어플리케이션
사례3. 결혼정보 회사 해킹
• 결혼 정보 회사를 해킹하여 고객 정보 DB를
• 빼내간 사건
• 공격과정
– 시스템 명령어를 실행하여 DB 백업 파일을 다운로드
• 취약점
– 입력 값 검증 부재(SQL injection) : 인자 값에 대한 검증을 실시하지 않음 – 불필요한 파일(백업 DB) 존재 :
고객 정보 DB 백업 파일을 웹 서버에 방치
• 공격탐지 – 불가능
• 발생원인
해커의 목표 비즈니스에의 영향
중단 접근 거부
어플리케이션의 흐름 방해
비즈니스 중단 고객 및 매출 감소 경쟁사로 고객 유출
변조 데이터 변형 어플리케이션 변형
매출 감소 부정 거래 금전 절취
침입 DB 덤핑 인증 우회
법률 문제 야기
사생활 보호 위반에 따른 페널티 정보 절취
컴퓨터 범죄와 보안
컴퓨터의 편리함과 약점을 이용할 줄 아는 몇몇 사람들이 저지르는 컴 퓨터 범죄는 최근 사회에 커다란 위협 요인으로 작용하고 있음
특히 이는 인터넷과 각종 전산망을 통해 짧은 시간에 대량으로 유포되 고 있어 그 위험이 커지고 있으며 정보기술 사용에 있어서의 법적 , 윤 리적 문제에 대해 많은 관심을 불러일으키고 있음
컴퓨터 범죄는 정보시스템에 있어서의 무결성, 보안, 그리고 생존에 직 결되는 문제임
따라서 효과적인 보안대책을 수립하는 것은 모든 기업에서의 최우선 과제로 인식되고 있음
9-1 e비즈니스 시대의 보안 문제
해커와 해킹
해커들의 주요한 불법행위는 타인의 전자메일을 훔쳐보거나 웹서버에 침입하여 시스템암호와 같은 중요한 파일들을 자신의 컴퓨터로 전송하는 것임
또한 해당 시스템이 자신의 침입을 알아채지 못하도록 중요 파일을 삭제하거나 반대로 자신의 데이터를 심어놓기도 함
네트워크에 접속할 수 있는 암호를 획득하기 위해 원격으로 네트워크 상의 다른 컴퓨터에 접속하여 필요한 프로그램을 실행하는 방법도 있음
이는 텔넷(telnet)에 의해 가능한 것으로 해커들이 침입을 구상할 때 다양한 정 보를 찾는데 많은 도움을 주게 됨
예를 들어, 해커들은 텔넷전용 프로그램을 이용하여 특정 컴퓨터의 전자메일 포 트에 접속할 수 있는데 이때 오고 가는 전자메일 메시지를 감시하는 방법으로 사용자의 암호와 개인 정보를 가져올 수 있음
9-1 e비즈니스 시대의 보안 문제
해커와 해킹
9-1 e비즈니스 시대의 보안 문제
<표 9-1> 일반적인 해킹 기법들
네트워크를 이용한 절도행위
많은 컴퓨터관련 범죄는 금전적 절취와 관련되는 것이 많음
그러한 범죄들의 대부분은 내부인들의 소행이거나 그들의 긴밀한 협조 하에 이 루어짐
따라서 범죄의 마지막 단계에서는 대개 데이터베이스 안에 있는 그 내부인의 데이터를 변경하게 됨
이와 같은 컴퓨터 범죄로 인해 발생한 재무적 손실은 일반적으로 보도된 것보 다 훨씬 큼
왜냐하면 피해를 입은 회사들은 도둑맞은 금액의 규모보다는 이러한 사실이 대 중에게 알려짐으로써 훼손될 명예를 더욱 중요하게 여기기 때문임
즉 컴퓨터 범죄의 대상이 되었다는 사실 때문에 고객들이 투자를 축소하거나 주주들이 기업의 보안에 대해 불만을 터뜨리는 것이 두려운 것임
9-1 e비즈니스 시대의 보안 문제
직장에서의 컴퓨터 사용
비록 인가된 사람이라 하더라도 컴퓨터 시스템과 네트워크를 본래의 용도 이외 로 사용하는 것은 시간과 자원의 절도행위라 할 수 있음
‘스니퍼(sniffer)’라 불리는 네트워크 감시 소프트웨어를 이용하면 회사 내부 네 트워크의 트래픽을 조사할 수 있으므로 직원들의 부적절한 컴퓨터 사용 현황을 알 수 있음
9-1 e비즈니스 시대의 보안 문제
<표 9-2> 인터넷의 업무 이외 용도 사용 현황
소프트웨어와 지적재산권
소프트웨어는 저작권과 사용자 라이센스에 의해 보호 받는 지적 재산 이기 때문에 허가 받지 않은 복제는 당연히 불법임
일반적으로 상용 소프트웨어 패키지를 구입한다는 것은 최종 사용자가 반드시 정해진 용도로만 사용하겠다는 법률적인 동의를 뜻함
따라서 사용자가 많은 기업에서 상용 소프트웨어를 사용하기 위해서는 많은 비용이 수반되므로 여러 기업에서는 개별구입보다 저렴한 사이트 라이센스 (site license)를 체결하여 내부 직원들이 합법적으로 약정된 숫자의 복사본을 사용하도록 함
9-1 e비즈니스 시대의 보안 문제
소프트웨어와 지적재산권
셰어웨어(shareware): 이는 타인에게 복사해 주어도 불법이 아닌 소프트웨어 – 대부분의 셰어웨어는 시험판인 경우가 많으므로 정해진 기간이 지나면 사
용할 수가 없다. 이때는 정해진 가격을 지불하여야만 계속해서 사용할 수 있음
공용 소프트웨어(public domain software):저작권과 무관한 공공의 소프트웨 어
– 음악, 비디오, 그림, 각종 문헌 등과 같은 매체도 역시 쉽게 저작권 침해를 받을 수 있는 지적 재산에 속함
– 이들 중에서 디지털화되어 있는 것들은 컴퓨터를 이용하여 쉽게 복제되거 나 변형이 가능하므로 전자메일과 같은 인터넷 서비스를 이용하여 유포될 가능성이 높음
– 피어투피어(peer-to-peer, P2P) 기술은 인터넷을 통해 각종 디지털화된 저 작물의 공유를 더욱 용이하게 만들었음
9-1 e비즈니스 시대의 보안 문제
컴퓨터 바이러스
바이러스: 스스로의 힘으로는 작동할 수 없고 오로지 다른 프로그램의 내부에 코드 형태로 첨가되어야만 동작할 수 있는 프로그램 코드
웜: 다른 프로그램의 도움 없이 독자적으로 기능할 수 있는 프로그램
어느 경우든 네트워크를 통해서 이미 이들에 의해 감염된 컴퓨터에 접속하거나 혹은 감염된 자기디스크 복사본을 사용하는 컴퓨터는 대개 똑같이 감염되고 컴 퓨터 시스템의 내부는 파괴됨
컴퓨터 바이러스는 주로 전자메일이나 인터넷을 통한 파일 전송 혹은 기타의 온라인 서비스를 이용할 때 첨부파일로 함께 사용자의 컴퓨터 시스템으로 유입 되거나 불법 복제된 소프트웨어 등에서 전염될 수도 있음
바이러스는 보통 자기 자신을 대상 컴퓨터의 운영체제의 파일 속으로 복사하여 바이러스는 주 메모리로 퍼지고 다음엔 각종 하드디스크와 본체에 삽입되어 있 는 플로피 디스크에까지 번지게 됨
9-1 e비즈니스 시대의 보안 문제
컴퓨터 바이러스
9-1 e비즈니스 시대의 보안 문제
<표 9-3> 대표적인 컴퓨터 바이러스들
악의에 의해 바이러스 생성
저장매체 통해 이동
통신네트워크 따라 이동 (예: 파일전송)
제3자의 컴퓨터에 바이러스 감염
바이러스의 감염 경로
스팸 메일의 폐해
사생활 보호와 대비되는 의견 – 정보의 자유
– 발전의 자유 – 출판의 대우
스팸 메일(spam mail)
– 수신자의 의사와는 관계없이 특정 목적을 위해 무차별하게 전송되는 대량의 메일을 말함
– 이는 주로 광고나 단순히 쓰레기메일(junk mail)을 보내려는 목적을 가진 사람들이 애용하는 방법임
플래밍(flamming)
– 임의의 대상에게 극단적으로 모욕적이거나 비난하는 내용을 담은 메일을 보내거나 인터넷 뉴스그룹에 그런 내용의 글을 게시하는 것을 의미함
또한 인터넷상으로 인종차별적이거나 명예훼손성인 내용의 메시지를 유포해서 발생한 각종 소송과 함께 음란물과 관련된 문제 역시 끊이지 않고 나타나고 있음
9-1 e비즈니스 시대의 보안 문제
기타의 문제들
정보기술의 영향으로 직업의 종류와 수요는 다양해지고 생산성 역시 눈에 띄게 향상됨
새로운 업무와 위치에 어울리도록 적절히 재교육이 필요로 해짐
새로운 일자리 창출 (인터넷 웹 마스터, 전자상거래 책임자, 시장분석가 등)
기존에는 불가능해 보이던 복잡한 제품과 서비스의 생산이 가능해짐에 따라 부수적인 직종 역시 발생함 (우주탐험, 미세전자기술, 원격통신 등)
반대로 데이터입력과 같은 반복적이고 단순한 작업 역시 여전히 남아있음
또한 컴퓨터를 사용하여 자동화한 여러 산업에서 숙련된 사람들이 그 능력을 발휘하지 못하고 단지 컴퓨터를 보조하도록 강요 받고 있음
장시간의 정보기술의 사용으로 인한 건강의 손상
9-1 e비즈니스 시대의 보안 문제
정보시스템과 보안관리
보안관리의 목적은 모든 비즈니스 프로세스와 자원의 정확성(accuracy)과 무결성 (integrity) 그리고 안전성(safety)을 유지하는데 있음
따라서 효과적인 보안관리는 오늘날의 기업들을 묶어주는 정보기술의 네트워크 속에서 오류와 사기 같은 가치손실의 위험을 최소화 해주는 것임
9-2 정보시스템과 보안
취약점 식별
안전 장치
안전 장치 위협
위협
위협 취약점
기업 내부네트워크 인터넷
IT 자산
• 데이터
• 하드웨어
• 소프트웨어
• 시설물
취약점 유형
하드웨어 취약점
– 컴퓨터 주변의 습도, 먼지 또는 부적정 온도
소프트웨어 취약점
– OS 혹은 애플리케이션 소프트웨어의 결함
– Web취약점 스캐너를 이용하면 취약점을 쉽게 발견가능(e.g., Acunetix)
네트워크 취약점
– 보안미흡 통신회선, 네트워크 병목현상, DoS/DDoS, 비암호화 메시지 – 네트워크 취약점이 존재할 경우, 네트워크 성능저하 혹은 마비 가능
백도어(backdoor)
– 정상적인 인증절차를 건너뛰며 탐지되지 않고도 컴퓨터에 접속해 시스템을 침해하는 방법
– 백도어: 시스템 설계자에 의해 고의로 남겨진 시스템의 보안 취약점으로서 응용프로
웹취약점 스캐너 소프트웨어를 이용하면 웹서버 프로그램의 코딩관련 취약점을 자 동으로 빠르게 찾아낼 수 있어, 취약점의 효율적인 관리에 도움이 된다.
웹취약점 스캐너
대표적인 웹취약 점 스캐너인 Acunetix Scanner 에 의해 생성된 결과 리포트의 예 시 화면
정보시스템 주요위협 요인
지진, 폭우, 대홍수, 회오리바 람, 정전사고, 화재 등의 자연 재해 사고
컴퓨터를 주요 수단으로 하여 불법적으로 정보자 원을 접속하는 행위
정보시스템 보안사고의 상당 수가 인간의 오류에 의해 발 생
프로그램 설계, 프로그래밍, 데이터 입력, 프로그램 오작 동, 컴퓨터 조작 등 다양한 부분에서 발생 가능
천재지변 및 인재사고
비의도적 행위 의도적 행위
천재지변
– 인간의 힘으로 막을 수 없는 자연재해 – 지진, 폭우, 대홍수, 회오리바람
인재사고
– 보안대책의 부재로 사전예방에 실패해 발생한 침해 사고
– 화재, 9.11 테러공격, 정전사고, 냉방장치 불량, 하드웨어 결함 등
2011년 뉴질랜드 남섬 크라이스트처치에 발생한 지진의
피해현장. 2001년 9월 1일 테러 공격에 의해 건물전체가 파괴된
뉴욕의 쌍동이 빌딩.
비의도적 위협
인간의 오류
– 인간의 착오가 침해사고 발생의 직접적인 원인이 될 수 있음
– 프로그램 설계, 프로그래밍, 데이터 입력, 프로그램 오작동, 컴퓨터 조작 등
제3자 침입행위의 비의도적 방조
– 사회공학(social engineering)이라고도 불리는 이 행위는 사람과 사람 사이 에 존재하는 기본적인 신뢰를 역이용해 특정행위를 하도록 만들거나 민감 한 정보를 취득하는 행위를 뜻함
– 예) 시스템 접근 권한이 있는 은행직원에게 접근해 자신을 속이고 사용자명 과 비밀번호를 빼냄 – 이 경우, 직원은 정보유출이 된 사실조차 모를 수 있 음
의도적 위협행위
주 어 진 권 한 을 벗 어 나 정보를 열람, 복제, 변 경 가능하게 하는 행위
컴퓨터 운영의 중단, 민 감한 정보의 수집, 혹은 컴퓨터시스템에의 비승 인된 접근을 하도록 만 들어진 소프트웨어
공격자가 의도적으로 자 신을 다른 개인의 신분 으로 가장해 시스템 접 근을 획득하는 행위
해킹 행위
악의적 소프트웨어
신분 도용
정보시스템과 보안관리
암호화
– 암호화란 특별한 수학적 알고리듬이나 키를 이용하여 디지털 데이터를 일 반인들이 알아볼 수 없는 형태로 변형하는 것을 말함
– 인터넷, 인트라넷 그리고 엑스트라넷에서 데이터와 다른 네트워크 자원을 효과적으로 보호하는 중요한 수단임
– 현재 가장 널리 사용되는 암호화 기법은 한 쌍의 공개키(public key)와 개인 키(private key)를 사용하는 방법임
• 예를 들면, 송신자는 수신자의 공개키를 이용하여 전자메일을 암호화해 서 전송한다. 메일이 도착하면 수신자는 오직 본인만이 알고 있는 개인 키를 이용하여 암호를 해독하고 내용을 확인함.
• 즉, 공개키는 타인에게 공개되어 있지만 개인키는 오직 본인만이 알고 있는 것임
9-2 정보시스템과 보안
방화벽의 개념도 (네트워크 보안)
인터넷
(40,000여 네트워크)
방화벽
네트웍 서버 기업 LAN/WAN
STOP
방화벽 이외에는 접속이 전혀 불가능함
정보시스템과 보안관리
9-2 정보시스템과 보안
정보시스템과 보안관리
방화벽
– 방화벽(firewall) 소프트웨어는 인터넷을 포함한 네트워크의 보안과 통제를 위한 중요한 요소임
– 네트워크 방화벽은 라우터(router)라 불리는 통신 프로세서가 될 수도 있고 혹은 방화벽 소프트웨어가 설치되어 있는 전용 서버가 될 수도 있음
– 방화벽은 필터와 함께 접속 지점의 안전성을 제공함으로써 기업의 인트라 넷과 같은 내부 네트워크를 외부의 침입으로부터 보호하는 ‘문지기 (gatekeeper)’ 역할을 함
– 즉 모든 네트워크 트래픽을 필터링하여 정확한 암호와 보안 코드를 가지고 있는 허가된 프로세스만을 통과시킴
9-2 정보시스템과 보안
정보시스템과 보안관리
서비스 거부 공격
– 서비스 거부 공격은 ‘DoS(Denial of Service)’라 불림
– 인터넷을 통한 서비스거부 공격은 크게 세 단계의 네트워크 계층과 연결 되어 있음
• 공격 대상이 되는 웹사이트,
• 그 웹사이트가 이용 중인 인터넷 서비스 제공업체
• 해커가 공격을 위해 가상의 진지로 이용하는 ‘좀비혹은 ‘노예컴퓨터
– 예를 들면, 공격자는 먼저 대학의 서버들처럼 비교적 관리가 소홀한 컴퓨터 에 잠입하여 트로이 목마 프로그램을 심어 놓음. 그러면 이 프로그램은 좀 비 컴퓨터의 자원을 이용하여 야후나 e베이 같은 대형 기업의 서버로 엄청 난 양의 서비스요청 신호를 보냄
– 서비스거부 공격에 대처하기 위해서는 세 단계의 모든 컴퓨터에서 예방책 과 보안대책이 수립되고 실행되어야 함
9-2 정보시스템과 보안
DDoS(분산서비스거부)의 개념도
공격자
. . . . . .
. . . . . .
마스터 좀비
노예 좀비
정보시스템과 보안관리
9-2 정보시스템과 보안
<표 9-4> 서비스 거부 공격에 대한 계층별 방어 대책
정보시스템과 보안관리
전자메일 감시
– 인터넷, 특히 그 중에서도 전자메일 시스템은 컴퓨터 바이러스를 퍼 뜨리거나 네트워크로 침입하기 위해 해커들이 가장 즐겨 이용하는 수단임
– 최근에는 전자메일 시스템을 통한 직원들의 불법적인 내부정보 유 출을 우려하는 회사의 자체 검열과 그에 대해 반대하는 직원들의 항 의가 이어지기도 함
컴퓨터 바이러스
– 기업들의 지속적인 백신 소프트웨어의 업그레이드 및 개발을 통한 방어 대책 수립은 일반적인 현상이 되어 버림
– 그 이유 중에는 네트워크 버전의 백신을 인터넷 서비스 제공업체나 다른 서비스 업체에 판매할 경우 그 업체들 역시 각자의 고객들에게
9-2 정보시스템과 보안
기타 보안대책
비밀번호 관리
– 일반적인 보안관리를 위해서는 다중레벨의 암호 시스템을 사용
– 비밀번호는 가급적 자주 바꾸고 남들이 쉽게 알아채지 못하도록 대 문자 , 소문자 및 숫자를 이용한 다양한 조합을 이용하는 것이 바람 직함
백업파일
– 백업파일이란 각종 데이터나 프로그램의 복사본을 의미하는 것으 로 그 자체로 중요한 보안 대책이 됨
– 현재 사용 중인 파일이 손상된 경우 가장 최근의 백업파일로부터 복구하고 만약 그 파일마저 손상되어 있다면 계속해서 그 이전의 백업파일로 옮겨가면서 복구하는 방식임
9-2 정보시스템과 보안
기타 보안대책
보안 감시기
– ‘시스템 보안감시기(system security monitor)’라고 알려진 특수한 소프 트웨어 시스템을 이용해서 네트워크의 보안을 유지할 수도 있음
– 시스템 보안감시기란 네트워크와 컴퓨터 시스템의 모든 사용 내역을 실시 간으로 감시하고 허가 받지 않은 사용자와 각종 파괴행위 등으로부터 시스 템을 보호하는 프로그램을 말함
– 즉 허가된 사용자라 할지라도 특정 장치나 프로그램 및 데이터 파일의 사 용에 제한을 받을 수 있음
– 마지막으로 네트워크에 불법적이거나 허가되지 않은 방식으로 침입하려는 시도가 있을 때 보안감시기는 각각의 경우에 대해 통계자료를 수집하여 관 리자에게 제공하는 보고서 기능도 가지고 있음
9-2 정보시스템과 보안
기타 보안대책
생체보안
– 생체보안이란 각 개인에게서 고유하게 나타나는 신체, 생리적 특징들을 첨 단의 정보기술을 이용하여 인식하고 구분하여 시스템 접근가능 여부를 판 단해주는 것으로서 현재 가장 빠르게 성장하고 있는 보안 분야 중의 하나 임
– 생체인식 시스템에 사용되는 장치들은 특수한 센서를 이용하여 지문이나 음성 같은 신체적 특징을 모두 디지털화하고 최종적으로 개인의 생체 프로 필을 작성함
– 이렇게 작성된 디지털 프로필은 기존의 자기디스크에 저장되어 있던 개인 의 신상기록과 비교하여 그 적합성 여부를 판단하게 됨
– 만일 두 개의 기록이 일치하면 그 사람은 해당 시스템에 접근할 수 있고 원 하는 자원을 이용할 수 있음
9-2 정보시스템과 보안
기타 보안대책
컴퓨터고장 통제
– 컴퓨터 시스템의 고장은 대표적인 몇 가지 원인에 의해 일어나는 경우가 많음
• 그 대표적인 원인으로는 정전, 전자회로 기능장애, 통신네트워크 상의 문제, 알려지지 않은 프로그래밍 오류, 컴퓨터 바이러스, 관리자의 운영 미숙, 고의파괴 등 임
– 이러한 문제를 사전에 막기 위해서는 하드웨어의 감시 및 관리, 소프트웨어 의 정기적인 업데이트 등이 필수적임
– 대규모의 하드웨어 및 소프트웨어 교체 시에는 반드시 발생 가능한 문제점 들을 미리 파악하고 대책을 모색한 후에 실시하여야 함
9-2 정보시스템과 보안
기타 보안대책
내고장성 시스템
– 많은 기업들은 컴퓨터 시스템이 정지되는 최악의 사태에 대해 우 려하고 그런 사태에 유연하게 대처하기 위한 다양한 방안들을 강구 하고 있음
– ‘내고장성 시스템(fault tolerant system)’은 그 중 대표적인 것으 로 프로세서와 주변장치 및 관련 소프트웨어 등을 중복 보유함으로 써 혹시 있을지 모르는 시스템의 고장에도 안전하게 작동하게 하는 것을 목적으로 하고 있음
9-2 정보시스템과 보안
정보시스템의 통제
정보시스템 통제란 정보시스템 활동에 있어서의 정확성과 유효성 및 타당성을 보장하기 위해 이루어지는 다양한 방법론과 제반 기술을 의미함
정보시스템 통제의 목적은 반드시 데이터 입력과 그 처리 및 저장 방법 그리고 정보 출력까지의 모든 과정이 정확하게 이루어질 수 있도록 개발되어야 한다는 것임
즉 정보시스템의 입력, 처리, 출력 및 저장 같은 주요 활동에 있어서의 품질과 보안을 유지하기 위해 적절히 감시하고 관리하도록 설계되어야 하는 것임
정보시스템 통제는 정보시스템으로 입력되는 데이터를 관리하여 잘못 입력된 데이터가 가공되어 결국 쓸모 없는 정보로 나오는 GIGO(garbage in, garbage out) 현상을 피하도록 도와줌
9-2 정보시스템과 보안
정보시스템의 통제
9-2 정보시스템과 보안
<그림 9-2> 정보시스템 통제의 구조
정보시스템 통제의 유형
– 일반 통제(general control)- 조직이나 절차와 관련되는 것, 전산운영 통제, 시스템개발 통제 등.
– 응용 통제(application control)- 특정 응용시스템의 완전하고 정확한 처리를 위한 것, 입력, 처리, 출력 통제 등.
– 논리적 통제(logical control)- 통제위치의 변화가능 하나 그 기능은 변하지 않는 기능상의 통제, 검토와 승인.
– 기술적 통제(technical control)- 새로이 채택된 통제, 패리티 통제 – 예방 통제(preventive control)- 위험을 사전에 방지 위한 통제,
직무분장(separation of duty), 교차훈련(cross-training), 표준 개발 방법론의 적용 등.
– 검출 통제(detective control)-시스템 처리 중에 문제점 발견 위한 통 제, 배치합계 비교, 한계치 체크 등.
– 교정 통제(corrective control)-발견된 문제점을 조치 위한 통제, 감사 추적, 하드웨어, 소프트웨어, 데이터 백업 및 복구 절차.
정보시스템의 감사
정보시스템은 내부감사인 또는 전문회계법인의 외부 감사인에 의해 정기 적으로 감사를 받아야 함
적합한 보안대책이나 관리규정이 수립되어 있는지, 만약 수립되어 있다 면 정확하게 지켜지고 있는지를 평가하는 것
평가에서는 주로 사용 중인 소프트웨어와 입, 출력 데이터의 정확성 및 무결성을 검사함
정보시스템 감사의 또 다른 목적은 감사 증적의 무결성을 파악하는 것임
감사 증적이란 임의의 트랜잭션이 정보로 처리되어 가는 과정에서의 모 든 단계를 추적 가능하게 해주는 문서나 설명서의 존재여부를 의미함
9-2 정보시스템과 보안
프라이버시 문제
신용카드 회사나 정부기관 혹은 개인 회사에 이르기까지 다양한 조직의 중앙 데 이터베이스에 저장된 고객 정보의 누출로 인해 많은 사람들이 사생활 침해를 호 소하고 있고 심지어 사기 같은 불법 행위의 대상이 됨
웹과 이메일, 채팅 그리고 뉴스그룹에 이르기까지 대부분의 인터넷 서비스는 아 직 개인정보와 사생활 보호를 위한 확실한 대책을 가지고 있지 않으며 이로 인 해 무수한 개인정보가 쉽게 외부에 노출되고 있음
매번 웹사이트나 뉴스그룹을 방문할 때 개인정보는 ‘쿠키’라고 불리는 조그만 파 일로 만들어져 각자의 하드디스크에 저장됨
쿠키파일은 보안성이 높지 않아 해커가 아니더라도 이 파일을 이용하여 비교적 쉽게 타인의 개인정보를 수중에 넣을 수 있음
9-3 정보시스템과 개인정보보호
프라이버시 문제
전자메일을 주고받는 쌍방이 서로 호환 가능한 암호화 소프트웨어를 사용하고 있다면 이 프로그램을 사용하여 송수신하는 전자메일을 암호화할 수 있음
또한 본인이 사용 중인 인터넷 서비스 제공업체(Internet Service Provider, ISP)에게 이름과 전자메일 주소 같은 개인정보를 여타의 메일링 리스트나 기타 마케팅 업체에 제공하지 말 것을 요청할 수도 있음
9-3 정보시스템과 개인정보보호
<그림 9-3> 쿠키 파일의 예
