방통대/컴퓨터 보안

컴퓨터 보안의 개요

study_recode 2025. 2. 22. 00:47

컴퓨터 보안의 개념

  • 정보를 여러 가지 위협으로부터 보호하기 위한 정책 및 기법
    • 정보의 상태 : 저장, 전달
    • 위협의 종류 : 허락되지 않는 접근, 수정, 훼손, 유출 등
  • 컴퓨터 보안은 정보보호의 한 영역
  • 컴퓨팅 환경이 관여된 모든 상황에 대한 정보보호
  • 컴퓨팅 환겡에 저장되거나 처리되는 정보를 다양한 위협으로부터 보호하기 위한 정책 및 기법

정보보호의 목표

https://www.idstrong.com/sentinel/what-is-cia-triad/

 

What is the CIA Triad and Why is it Important?

The CIA Triad is a key concept in cybersecurity that includes three key principles that help protect information: confidentiality, integrity, and availability.

www.idstrong.com

  • 기밀성 : 허락되지 않은 자가 정보의 내용을 알 수 없도록 하는 것
    • 허락되지 않은 자란 정보에 대해 "접근권한이 없는 자"를 의미
    • 은행에서 고객의 개인정보나 계좌정보 같은 기밀정보가 제3자에게 알려지는 것을 방지하기 위해 이를 보호하는 것
    • 기밀성을 지키는 방법
      • 자물쇠의 키가 없는 사람이 접근하지 못하는 방식
      • 개인정보를 암호화하여 어떤 의미인지 알 수 없도록 하는 방식
  • 무결성 : 허락되지 않은 자가 정보를 임의로 수정할 수 없도록 하는 것 
    • DB내 고객의 개인정보가 "임의로 수정되지 않도록 보호
    • 고객 본인이 조회할 때 DB에서 고객까지 전달과정에서 위변조되지 않도록 보호
    • 만약 허락되지 않은 자에 의한 수정이 발생했다면 이를 확인할 수 있는 것 
  • 가용성 : 허락된 자가 정보에 접근하고자 할 때 이것이 방해받지 않도록 하는 것
    • 정보에 대한 접근권한이 있는 자는 필요할 때 언제든지 정보를 사용할 수 있어야 한다
    • 은행의 고객이 연락처를 변경하기 위해 본인의 개인정보를 확인하고자 할 때 즉시 조회가 가능해야 한다
    • 정해진 시간 내에 정보를 볼 수 있음을 보장
    • 이러한 가용성 공격 중 대표적인 것이 DoS, DDoS이 있다. 

  • 그 외의 목표
    • 부인방지 : 정보에 관여한 자가 이를 부인하지 못하도록 하는 것
      • 발신 부인장지
      • 수신 부인방지 
    • 인증 : 어떤 실체가 정말 주장하는 실체가 맞는지 확인할 수 있고 신뢰할 수 있는 것
      • 실체 : 정보 자체, 정보를 이용하는 사용자 등 
    • 접근제어 : 정보에 대해 허락된 접근만 허용하고 그 외의 접근은 허용하지 않는 것 

정보화 환경과 역기능

  • 불건전 정보유통, 사생활 침해 등과 같은 부작용
  • 과거 이메일을 이용하던 피싱은 보이스 피싱과 스미싱 등으로 다양화
  • 안전한 암호 알고리즘을 악용하여 금전을 요구하는 랜섬웨어 같은 수법도 등장
  • 주요 기반시설 위협에 따른 국가안보적인 측면의 위협

컴퓨터 보안의 역사

앨런 튜링

  • 컴퓨터의 이론적인 개념을 정립
  • 제2차 세계대전 당시 암호분석가로 활동, 에니그마 암호문을 해독할 수 있는 일반적인 방법을 고안

1950년대와 1960년대

  • 메인프레임 형태의 컴퓨터들이 개발되어 기관이나 학교 등에서 이용
  • MIT의 TMRC학생들이 해커라는 용어를 처음 사용 
    • 해커 : 컴퓨터의 세세한 부분까지 적극적으로 탐구하고 활용성을 확대하기 위해 연구하는 것을 즐기는 사람
    • 크래커 : 컴퓨터 보안에 위해를 가하는 악의적인 사람 

인터넷의 모체 등장

  • ARPANET
    • 1960년대 후반, 미국 국방부에서는 각 지역에 위치한 기관들의 컴퓨터를 연결하는 네트워크를 개발
    • 1970년대를 거치며 상당히 복잡한 형태로 발전

개인용 컴퓨터의 등장

  • 1970년대
    • 애플컴퓨터에서 개인용 컴퓨터 판매 시작
    • 연구자 뿐만 아니라 일반인도 컴퓨터를 접할 수 있게 됨
  • 1980년대
    • IBM에서 저가 PC판매를 시작하며 컴퓨터가 대중화
    • TCP/IP가 개발되며 누구나 PC와 인터넷으로 다양한 정보를 접할 수 있는 환경이 만들어짐
    • 악의적인 사람들도 역시 컴퓨터와 인터넷을 사용하게 되어 컴퓨터 보안의 필요성 증가 

다양한 위협 발생

  • 1980년대
    • 모리스 웜 : 인터넷으로 연결된 수천 대의 UNIX 컴퓨터를 감염
    • 이를 계기로 침해대응센터인 CERT 만들어짐
  • 1990년대
    • 시티뱅크 시스템에 침입하여 자금 탈취
    • 여러 회사 시스템에 침입하여 각종 정보 탈취
    • 정부 시스템에 침입하여 걸프전 정보 탈취
  • 2000년대
    • 야후, CNN, 아마존 등 접속사가 많은 몇 개의 사이트에 분산 서비스 거부(DDoS) 공격 발생
      • 네트워크 상의 취약한 서버를 찾아 미리 감염시킨 후 이 서버들이 정해진 시간에 목표 사이트에 수많은 패킷을 전송하도록 함
  • 2010년대 중반부터 랜섬웨어 유행
    • 컴퓨터에 저장되어 있는 문서나 그림 파일 등을 암호화하여 사용자가 사용할 수 없게 만듦
    • 암호를 풀기 위해서는 비트코인 등을 송금하도록 유도

다양한 법률 등장

  • 미국
    • 1974년 개인정보 보호법 제정
    • 1986년 컴퓨터 사기 및 악용금지법
    • 2015년, 사이버보안법 제정
  • 유럽
    • 2016년, 개인정보 보호법(GDRP) 제정
  • 국내
    • 2001년, 정보통신망 이용촉진 및 정보보호 등에 관한 법률 제정
    • 2011년, 개인정보 보호법 제정
    • 2015년, 정보보호산업의 진흥에 관한 법률 제정
    • 2018년, 정보보호 및 개인정보보호 관리체계 인증 등에 관한 고시 제정
    • 2020년, 데이터 3법 개정
      • 정보통신망법, 개인정보 보호법, 신용정보법
      • 데이터 이용 활성화를 위한 가명정보 개념 도입 등 
  1. 컴퓨터 보안은 정보를 여러 가지 위협으로부터 보호하는 것을 말하는 정보보호의 한 영역으로, 컴퓨팅 환경이 관여된 모든 상황에 대한 정보보호를 의미한다.
  2. 정보보호는 저장되어 있거나 전달 중인 정보를 허락되지 않은 접근, 수정, 훼손, 유출 등의 위협으로부터 보호하기 위한 정책 및 기법을 의미한다.
  3. 정보보호의 세 가지 핵심목표는 기밀성, 무결성, 가용성이다.
  4. 기밀성은 허락되지 않은 자가 정보의 내용을 알 수 없도록 하는 것이다.
  5. 무결성은 허락되지 않은 자가 정보를 임의로 수정할 수 없도록 하는 것이다.
  6. 가용성은 허락된 자가 정보에 접근하고자 할 때 이것이 방해받지 않도록 하는 것이다.
  7. 정보화 사회가 선진화됨에 따라 그 역기능도 점차 증가하고 있다.