일하는 ai

21-보안-기초-개념

7 min read

-

IT Knowledge/Security/images/21-보안-기초-개념-venn.svg

보안 기초 개념 (Security Fundamentals)

정보 보안의 기본 개념과 CIA triad를 이해합니다.

📌 학습 목표

  • 정보 보안의 정의와 중요성 이해
  • CIA triad 기본 원칙 이해
  • 보안 위협과 공격 유형 식별
  • 보안 통제 기법 이해

1. 정보 보안이란?

정의

정보 보안은 정보의 기밀성, 무결성, 가용성을 유지하고, 위협으로부터 보호하는 활동입니다.

정보 보안의 목적

  1. 자산 보호: 데이터, 시스템, 네트워크 보호
  2. 비즈니스 연속성: 서비스 중단 방지
  3. 법적 준수: 법규, 규정 준수
  4. 신뢰 구축: 고객, 파트너 신뢰 유지

2. CIA Triad

정보 보안의 3대 기본 원칙입니다.

기밀성 (Confidentiality)

오직 권한이 있는 사용자만 정보에 접근할 수 있도록 보장

graph LR
    A[정보] -->|암호화| B[보호된 정보]
    B -->|인증된 사용자만| C[접근]
    B -->|인증되지 않은 사용자| D[접근 거부]

구현 방법:

  • 암호화 (AES, RSA)
  • 접근 제어 (ACL, RBAC)
  • 인증 (비밀번호, 다중 인증)

공격 유형:

  • 스니핑 (Sniffing)
  • 도청 (Eavesdropping)
  • 사회공학 (Social Engineering)

무결성 (Integrity)

정보가 권한 없이 변경되지 않았음을 보장

graph TD
    A[원본 정보] --> B[해시 생성]
    B --> C{해시 비교}
    C -->|일치| D[무결성 유지]
    C -->|불일치| E[위변조 탐지]

구현 방법:

  • 해시 함수 (SHA-256, MD5)
  • 디지털 서명
  • 버전 관리
  • 감사 로그

공격 유형:

  • 데이터 위변조 (Tampering)
  • 인젝션 (Injection)
  • 중간자 공격 (MITM)

가용성 (Availability)

권한이 있는 사용자가 필요할 때 정보/서비스에 접근 가능

graph LR
    A[서비스] -->|정상 상태| B[사용 가능]
    B --> C[DDoS 공격]
    C --> D[서비스 중단]
    D -->|복구| E[가용성 회복]

구현 방법:

  • 백업 및 복구
  • 부하 분산 (Load Balancing)
  • 고가용성 (HA) 구성
  • DDoS 방어

공격 유형:

  • DoS/DDoS 공격
  • 랜섬웨어 (Ransomware)
  • 하드웨어 고장

3. 확장 보안 모델

AAA (Authentication, Authorization, Accounting)

1. 인증 (Authentication)

사용자가 누구인지 확인

인증 방식설명예시
지식 기반 (Knowledge)아는 것비밀번호, PIN
소유 기반 (Ownership)가지고 있는 것스마트카드, 토큰
특성 기반 (Inherence)본인의 특성지문, 얼굴 인식

다중 인증 (MFA)

  • 두 가지 이상의 인증 방법 결합
  • 예: 비밀번호 + SMS 인증

2. 인가 (Authorization)

인증된 사용자의 권한 확인

모델설명장점단점
RBAC (Role-Based)역할 기반 권한 부여관리 용이정교한 제한 어려움
ABAC (Attribute-Based)속성 기반 권한 부여유연함복잡
DAC (Discretionary)소유자가 권한 부여유연함보안 약함
MAC (Mandatory)시스템이 권한 부여보안 강함유연성 떨어짐

3. 회계 (Accounting)

사용자 활동 기록 및 추적

  • 로그 기록
  • 감사 트레일
  • 법적 증거 확보

4. 보안 위협 유형

위협 모델 (STRIDE)

위협설명예시
Spoofing가장피싱 사이트
Tampering위변조데이터 수정
Repudiation부인거래 내역 삭제
Information Disclosure정보 노출데이터 유출
Denial of Service서비스 거부DDoS
Elevation of Privilege권한 상승관리자 권한 탈취

공격 벡터

graph TD
    A[사회공학] --> B[피싱]
    A --> C[베이싱]
    A --> D[스미싱]

    E[시스템 취약점] --> F[SQL 인젝션]
    E --> G[XSS]
    E --> H[CSRF]

    I[네트워크] --> J[스니핑]
    I --> K[패킷 조작]
    I --> L[MITM]

    M[물리적] --> N[도난]
    M --> O[파괴]

5. 보안 통제

물리적 통제

  • 출입 통제 시스템
  • 비디오 감시 (CCTV)
  • 화재/침입 경보 시스템

기술적 통제

  • 방화벽
  • IDS/IPS
  • 암호화
  • 앤티바이러스
  • 접근 제어 시스템

관리적 통제

  • 보안 정책
  • 보안 교육
  • 절차/지침
  • 감사 및 검토

통제 계층

방어 계층 (Defense in Depth)
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
1. 정책 및 절차
2. 물리적 보안
3. 네트워크 보안
4. 호스트 보안
5. 애플리케이션 보안
6. 데이터 보안
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

6. 보안 사고 대응

NIST 사고 대응 단계

  1. 준비 (Preparation)

    • 보안 정책 수립
    • 툴/팀 준비
    • 정기 훈련

  2. 탐지 (Detection)

    • 로그 모니터링
    • 보안 경보 분석
    • 사고 확인

  3. 억제 (Containment)

    • 공격 차단
    • 영향 제한
    • 단절/격리

  4. 제거 (Eradication)

    • 악성코드 제거
    • 취약점 패치
    • 근본 원인 분석

  5. 복구 (Recovery)

    • 시스템 복원
    • 서비스 재개
    • 데이터 복구

  6. 사후 활동 (Post-Incident Activity)

    • 사고 보고서 작성
    • 교훈 도출
    • 대응 절차 개선

🎯 실습 과제

  1. 기밀성 테스트

    # 파일 암호화
gpg -c secret.txt

# 암호화된 파일 복호화
gpg -d secret.txt.gpg

  2. 무결성 확인

    # 해시 생성
sha256sum file.txt > file.sha256

# 무결성 검증
sha256sum -c file.sha256

  3. 포트 스캔

    # 네트워크 연결 확인
netstat -an | grep LISTEN

# nmap 스캔
nmap -sV localhost

✅ 학습 체크리스트

  • 정보 보안 정의와 목적 이해
  • CIA triad 기본 원칙 설명
  • AAA 모델 이해
  • 보안 위협 유형 식별
  • 보안 통제 기법 적용
  • 사고 대응 단계 이해

🔗 관련 노트

📚 참고 자료

다음 학습: 암호학 기초

그래프 뷰

백링크