Open in app

Sign in

Write

Sign in

그림설명으로 한번에 이해할 수 있는 보안의 기본 제 1장 — 보안의 기본

Ssysjy0302
Quantum Ant
Published in
4 min readJul 8, 2019

공부를 할 주제 : 정보보안의 기초

이 책을 선정하게 된 이유 : 할 수 있는 언어가 간단한 C언어와 파이썬 에서 그치다보니 어려운 코드가 있는 전문서적을 택 할 수 없기도 했고, 어려운 책을 골라 제대로 이해도 못하기 보다는 기초적인 책을 골라 확실하게 이해하자는 마음으로 책을 찾아보다가 그림설명으로 보다 쉽게 보안의 개념에 대해서 설명해주는 책을 찾게되었습니다. 주제를 보안으로 찾고 정한 이유는 1학기 때 보안 기초 트랙을 듣고 흥미를 느끼고 좋은 성적을 받기도했고, 고등학교 때의 진로도 계속 보안과 관련있었기 때문입니다.

1주일에 1장씩 작성하게 되면 책을 끝낼 예상날짜는 8월 11일 입니다. 중간에 1장이 너무 긴 경우도 있어서 분할해서 하게되면 8월 18일 — 25일 에 끝날 것 같습니다.

(1) 보안의 필요성

보안을 생각할 때의 중요관점으로 크게 ‘기밀성’ , ‘무결성’ , ‘ 가용성’ 이라는 세가지 요소를 생각하는 것이 상당히 유용하다.

기밀성은 ‘외부에 보여주고 싶지않다’ 라는 개념과 관련이있고, 무결성은 ‘수정할 수 없도록 하고 싶다’ , 가용성은 ‘멈추면 곤란하다’ 라는 개념과 관련이있다.

(2) 보안의 3대요소

보안의 3대요소는 위에서 언급했떤 기밀성, 무결성, 가용성이다.

기밀성은 ‘허가받은 사람만 정보에 액세스할 수 있다’ 라는 뜻이다.

무결성은 ‘정보가 본래 상태에서 변조되지 않았고 신뢰할 만한 상태’ 이다.

가용성은 ‘정보에 액세스할 수 있는 사람은 언제든지 그 정보에 액세스 할 수 있다’ 라는 뜻이다.

개인정보 및 기밀정보의 유출사고는 기밀성이 침해된 경우에 해당하고, 웹사이트의 변조사건등은 무결성 침해의 전형적인 예이다. 또한, 공격대상에게 의도적으로 액세스를 집중시켜 과부하상태에 빠지게 하는 디도스 공격은 가용성 침해의 예시이다.

(3) 보안의 추가 요소

보안의 추가 요소로 ‘진정성’,‘책임성’,‘부인방지’,‘신뢰성’ 이 있다.

진정성이란 ‘서명이나 인증 등을 사용해 이용자가 맞다는 것과 데이터가 변조되지 않았다’ 는 것을 가리킨다.

책임성이란 ‘시스템에 남아있는 로그와 같은 증거를 사용하여 적절히 추적 및 추구할 수 있다는 것과 로그가 변조되지 않고 시스템의 움직임을 추적하기 위한 장치가 갖춰져 있다’ 는 것을 가리킨다.

부인방지란 ‘발생현상이나 작성된 데이터를 나중에 없었던 일로 하지 않도록 하는 것’을 가리킨다.

신뢰성이란 ‘정보 시스템의 처리가 적절하며 모순 없이 작동할 수 있는 구성이라는 것’을 가리킨다.

(4) 정보 유출, 변조, 서비스 방해

정보유출은 주로 기밀성이 침해받음으로써 나오는 보안상의 문제이다.

변조는 주로 무결성이 침해받음으로써 나오는 보안상의 문제이다.

서비스방해는 주로 가용성이 침해받을 때 나오는 보안상의 문제이다. 서비스방해에 이르는 과정은 ‘취약성이 뚫린다’ , ‘외부로부터 설계 성능 이상의 요청을 받는다’ 등 다양하다.

(5) 보안을 확보해야 하는 것

보안을 확보해야하는 이유는 첫번째, 법으로 정해져있다. 두번째, 계약사항에 들어있기 때문에 이행해야 할 필요가있다. 세번째, 경제적 손해나 브랜드 이미지 훼손이 일어나지 않기 위해 이뤄져야할 필요가 있다. 넷째, 자신을 보호하기 위해 보안이 확볻보되어야한다.

보안이 확보되어야할 대상은 개인정보, 기밀정보, 시스템, 인증정보 등 다양하다.

실제 비즈니스나 생활에 악영향을 끼치지 않도록 보안확보를 하는 것 또한 중요하다.(보안을 확보함으로써 본래 시스템이 불편해지지 않도록 주의한다)

(6) 개인정보

개인정보란 개인을 식별할 수 있는 정보를 말한다. 부분적인 정보라도 그 외 입수 가능한 정보와 대조하여 개인을 식별할 수 있는 정보도 개인정보라고 할 수 있다.

개정된 개인정보보호법에는 개인정보 외에도 ‘민감정보’ 라는 것이 있다. 민감정보는 ‘사회적신분’,’병력’,’범죄력’ 과 같이 본인에게 불이익이 발생지 않록 취급에 특별한 주의를 기울여야하는 정보이다. 정보 취득시 본인의 동의가 반드시 필요하며 제삼자 제공 또한 본인 동의가 있어야한다.

더불어, 개인정보는 본인이 아닌 다른 곳에 제공되어 질 때 개인을 식별 할 수 없도록 가공할 필요가 있다.

(7) 특정 개인정보

특정 개인정보는 개인정보 + 주민등록록번호 이므로 보통의 개인정보보다 더욱 주의를 기울여야 한다.

특정개인정보는 용도와 취급자가 한정된다. 용도는 세금, 사회보장, 재해대책 으로 한정되며 취급자는 국가,지방자치단체, 사업주 로 한정된다.

특정개인정보는 본인의 동의가 있어도 제삼자 제공이 불가능하다. (일부 예외 경우 제외)

특정개인정보의 부적절한 이용은 형사처벌 대상이 된다. (3년이하의 징역 또는 3천만원 이하의 벌금)

Security

--

--

Ssysjy0302
Quantum Ant

Written by Ssysjy0302

0 Followers
Editor for

Help

Status

About

Careers

Press

Blog

Privacy

Terms

Text to speech

Teams