본문 바로가기
학교 CS/정보보호이론(4-1학기)

01.1 Introduction to Information Security

by 우중충 2025. 9. 8.
반응형

이글은 중앙대학교 4-2 '정보보호이론' 강의내용과 자료를 요약한 내용입니다

📌 1. 정보보호 소개 (Introduction to Information Security)

✅ 컴퓨터 보안 [NIST95 정의]

자동화된 정보 시스템에 대해 무결성(Integrity), 가용성(Availability), 기밀성(Confidentiality)을 보장하기 위한 보호 조치.

대상에는 하드웨어, 소프트웨어, 펌웨어, 정보/데이터, 통신 자원이 포함됨.

✅ CIA 삼원칙 (CIA Triad)

  1. 기밀성 (Confidentiality)
    • 데이터의 비공개성 유지
    • 개인 정보 보호
  2. 무결성 (Integrity)
    • 데이터가 위조/변조되지 않도록 보장
    • 시스템 무결성 포함
  3. 가용성 (Availability)
    • 정당한 사용자가 시스템 및 데이터를 이용할 수 있도록 보장

💡 추가 고려사항: 진정성(Authenticity), 책임추적성(Accountability)

📌 2. 보안 용어 정리 (Security Terminology) – RFC 2828 기준

  • Adversary (위협 행위자): 시스템을 공격하려는 주체
  • Attack (공격): 지능적인 위협에서 유래한 보안 시스템에 대한 공격
  • Countermeasure (대책): 위협이나 취약점, 공격을 줄이는 행동 또는 기술
  • Risk (위험): 특정 위협이 특정 취약점을 악용해 손해를 발생시킬 가능성
  • Security Policy (보안 정책): 민감 자산 보호를 위한 규칙 및 절차의 집합
  • System Resource (자산): 시스템이 제공하는 데이터, 서비스, 기능, 설비 등
  • Threat (위협): 보안 위반 가능성이 있는 상태 또는 사건
  • Vulnerability (취약점): 시스템 설계/구현/운영의 결함으로 인해 보안 위협에 노출될 수 있는 약점

📌 3. 보안 개념 간 관계 (Security Concept and Relations)

상세 그림은 생략되어 있으나, 일반적으로 아래의 관계로 설명됩니다:

  • *위협(Threat)**은 **취약점(Vulnerability)**을 통해 시스템에 **공격(Attack)**을 가하며,
  • 이를 줄이기 위해 **대책(Countermeasure)**이 적용됩니다.
  • 보안은 **자산 보호(Security Goals)**를 달성하는 것이 최종 목표입니다.

📌 4. 취약점·공격·대책 유형 (Types of Vulnerability, Attacks, and Countermeasures)

📍 취약점 (Vulnerability)

  • 무결성 손실 (Corrupted)
  • 기밀성 손실 (Leaky)
  • 가용성 손실 (Unavailable/느림)

📍 공격 (Attack)

  • 수동(Passive) vs. 능동(Active)
  • 내부자(Insider) vs. 외부자(Outsider)

📍 대책 (Countermeasure)

  • 예방(Prevent), 탐지(Detect), 복구(Recover)

📌 5. 컴퓨터 보안의 범위 (Scope of Computer Security)

시스템 자산을 보호하기 위한 정책, 절차, 기술 등이 모두 포함됨.

물리적 보안, 운영 보안, 네트워크 보안, 애플리케이션 보안 등으로 구분 가능.

📌 6. 보안 설계의 기본 원칙 (Fundamental Security Design Principles)

  • 간결한 메커니즘 (Economy of mechanism)
  • 실패 시 안전 기본값 (Fail-safe defaults)
  • 완전한 중재 (Complete mediation)
  • 설계의 개방성 (Open design)
  • 권한의 분리 (Separation of privilege)
  • 최소 권한 (Least privilege)
  • 최소 공통 메커니즘 (Least common mechanism)
  • 심리적 수용성 (Psychological acceptability)
  • 격리 (Isolation), 캡슐화 (Encapsulation), 모듈화 (Modularity), 계층화 (Layering)
  • 예상 가능성 (Least astonishment)

📌 7. 공격 면 (Attack Surfaces)

공격자가 시스템에 접근할 수 있는 취약 지점들

  • 네트워크 기반: 통신망 및 프로토콜 상의 취약점 (예: DoS)
  • 소프트웨어 기반: 애플리케이션, 유틸리티, OS 코드의 취약점
  • 인간 기반: 소셜 엔지니어링, 인적 오류, 내부자의 악의적 행동

📌 8. 컴퓨터 보안 전략 (Computer Security Strategy)

  1. 보안 정책(Security Policy)
    • 시스템/조직의 보안 서비스 제공 방식 명시
  2. 보안 구현(Security Implementation)
    • 예방, 탐지, 대응, 복구 등 기술적 실행
  3. 보안 보증(Security Assurance)
    • 보안 조치가 제대로 작동한다는 확신
  4. 보안 평가(Security Evaluation)
    • 기준에 따라 시스템 또는 제품을 평가

 

'학교 CS > 정보보호이론(4-1학기)' 카테고리의 다른 글

01.3 Classical Encryption  (0) 2025.09.08
01.2 Introduction to Cryptography  (0) 2025.09.08
RSA Padding: PSS 서명 생성 절차  (0) 2025.06.09

관련글

티스토리툴바