달력

092016  이전 다음

  •  
  •  
  •  
  •  
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11
  • 12
  • 13
  • 14
  • 15
  • 16
  • 17
  • 18
  • 19
  • 20
  • 21
  • 22
  • 23
  • 24
  • 25
  • 26
  • 27
  • 28
  • 29
  • 30
  •  
출처:정보보호관리체계 인증제도연구 - 최종보고서 - 한국정보보호학회

ISO27000시리즈는 정보보호를 단순히 기술적 이슈로 보는 것이 아니라 기술,물리,관리적 통제들을 포함하는 전사적 차원의 정보보호를 구현하기 위한 체계화된 일종의 경영시스템으로 보는 것이다. 즉 IS900시리즈(품질경영시스템)나 14000시리즈(환경경영시스템)와 같이 하나의 경영시스템으로서 정보보호를 계획, 구현, 유지보수 및 검토, 지속적 개선 등과 같은 일련의 프로세스로서의 활동을 중요시 하는 점이 기존의 기술적 솔루션 중심의 정보보호 노력과 차이를 보이는 것이다.

1단계 : 국내외 사례 조사
KISA, ISO, 일본, 대만, 미국, 영국

output : 인증기준, 제도 운영

2단계 : 정부기관 현황분석
국내 법, 규제 보안 요구사항 분석
행정기관 방문 설문/면담, 문서조사, 현장 실태조사 등

output : 행정기관 보안요구사항, 최적실무 도출

3단계 : 인증기준(안) 마련
정보보호관리체계 인증기준(안)
관리과정 요구사항
문서화 요구사항
보안대책 요구사항

output : 적합성 검증

4단계 : 인증규정 및 제도 운영방안
정보보호관리체계 인증규정(안)
정보보호관리체게 운영방안(인증서 관리방안, 단계별 대상선정, 단계별 심사방안)
저작자 표시 비영리 변경 금지
신고

'IT' 카테고리의 다른 글

[도로상] ISMS 연구 방법론  (0) 2010.06.09
[도로상] 정보보호, 정보보안의 차이  (0) 2010.06.09
[도로상] Windows 2003 IPsec구성하기  (0) 2009.11.24
Posted by 도로상

출처 : 한국 정보보호 학회

역시 무엇보다도 공부를 시작하기 전엔 완벽한 개념정리가 필요하다.

정보보호 : 정보를 보호하는 포괄적인 개념
정보보안 : 기밀성을 중심으로 하는 기술적, 관리적 보호를 강조

정보보호 개념이 정보보안 개념보다 더 큰 범위를 커버하고 있다.
저작자 표시 비영리 변경 금지
신고

'IT' 카테고리의 다른 글

[도로상] ISMS 연구 방법론  (0) 2010.06.09
[도로상] 정보보호, 정보보안의 차이  (0) 2010.06.09
[도로상] Windows 2003 IPsec구성하기  (0) 2009.11.24
Posted by 도로상

Hacker:해커윤리를 따르며 컴퓨터를 즐기는 사람들

White Hacker(윤리적 해커): 악의적인 해커를 차단하고 시스템과 네트워크를 보호하는 사람들

Gray Hacker(범죄자 해커): 악의적인 목적보다는 호기심이나 자신의 컴퓨터 활용 능력을 과시하는 사람들

Blacker Hacker(컴퓨터 범죄자,크래커): 금전을 취득하려는 목적으로 악의를 갖고 상대방의 시스템을 파괴하거나 다른 사람의 개인정보를 얻으려는 사람들

 

해커윤리

  1. 컴퓨터 접근은 누구에 의해 방해 받아선 안된다.
  2. 모든 정보는 개방되고 공유되어야 한다.
  3. 연령, 지위, 재산이 아니라 능력에 의해 평가 받아야 한다.

해커들은 자본주의와 권력에 대한 저항, 능력중심의 사회를 원하였고 해커윤리를 바탕으로 발전하였지만 자신들의 소신에 따라 3가지 종류의 해커로 나뉘게 되었다. 이렇게 됨으로써 사람들의 해커에 대한 인식이 혼란을 가지게 된다. 그래서 우리는 확실한 해커의 인식과 원인과 동기를 알아보고 사회적 문제로 떠오르는 해커들의 사이버태러에 대비하는데 그 목적이 있다.

 

해커의 역사

1960년대

해킹(Hacking) 용어를 MIT에서 처음 사용.

모형 기차 제작 동아리에서 사용한 '전기 기차, 트랙, 스위치들을 보다 빠르게 조작하다'는 말에서 유래

ARPA 프로젝트를 통해 컴퓨터 연동 망 개발(네트워크의 시초)

1970년대

드레이퍼는 호루라기를 이용한 전화기 무료사용이 가능하다는 것을 발견

1980년대

1.이안 머피가 AT&T의 컴퓨터 시스템에 침입해 전화요금과 관련된 시계를 바꾸어 심야 요금이 대낮에 적용되도록 조작

2.BBS의 일원들이 만든 해커 그룹인 414 Gang이 암센터와 로스 알라모스 국립 연구소를 포함해 60개의 컴퓨터 시스템 침입.

3.고등학생 매튜 브로데릭은 모뎀에 연결된 컴퓨터를 이용해 비디오 게임 프로그램을 훔치려다 미 방공 사령부 컴퓨터에 침입, 핵 미사일을 제어하는 프로그램을 게임으로 오인하고 동작시켜, 미국과 러시아 간에 핵전쟁이 일어날 뻔한 위기 상황이 발생 (그레이, 블랙해커의 등장)

1990년대

1.수배 중인 해커 케빈 폴슨 등이 라디오 방송국 전화망에 침입해 포르쉐 911과 여행 상품, 2만 달러의 상금에 당첨

2.일부 사용자들은 패스워드 스니퍼 같은 툴을 사용해 개인정보를 캐기도 하고 은행 컴퓨터의 계좌정보 변조. 언론이 이들을 해커라 불렀고, 해커라는 용어가 더 이상 순수한 목적으로 시스템의 내부를 연구하는 컴퓨터 광을 지칭하는 데 쓰이지 않게 됨.

2000년대

해킹과 바이러스로 인한 피해의 양이 폭발적으로 증가

해킹 툴 등으로 인해 더 이상 하이테크 기술을 가지고 있는 사람만이 소유하는 것이 아니라 일반사람들도 손쉽게 해킹기술을 접할 수 있고 사이버 시위의 가능성이 해킹 기술과 결합하면서 사이버 테러의 양상을 보이고 있다.

2010년대

다가올 미래의 유비쿼터스 시대는 어디서든 언제든지 어떤 장비를 사용하더라도 더 많은 권한을 가지고 우리 일상에 밀접하게 스며 있을 것입니다. 그에 따라 해킹에 대한 피해가 더 커질 것입니다. (예:국가:발전소 해킹, 핵발전소 해킹 집:가스 벨브, 집문 단속 시스템)

 

 

악성프로그램 (Malicious Program)? 사용자에게 피해를 입히거나 악의적인 동작을 하는 코드를 말한다.

악성프로그램의 종류

바이러스(Virus)

컴퓨터 프로그램이나 메모리에 자신 또는 자신의 변형을 복사해 넣는 악의적인 명령어들로 조합하여 불특정 다수에게 피해를 주기 위한 목적으로 제작된 모든 컴퓨터 프로그램 또는 실행 가능한 코드

웜(Worm)

독립적으로 자기복제를 실행하여 번식하는 빠른 전파력을 가진 컴퓨터 프로그램 또는 실행 가능한 코드

백도어(Back Door)

컴퓨터 시스템의 일반적인 인증을 불법적으로 통과하여 원격 접속을 보장하고 행동을 들키지 않고 행하는 방법을 일컫는다.

트로이잔(Trojan)

자기복제 능력은 없으나 정상기능의 프로그램으로 가장하여 프로그램내에 숨어있는 코드조각으로 의도하지 않은 기능을 수행하는 컴퓨터 프로그램 또는 실행 가능한 코드

애드웨어(Adware)

사용자의 컴퓨터에 광고성 팝업 창을 띄우거나, 초기화면을 특정사이트로 고정시키는 등의 사용자가 의도하지

않는 행위를 수행하게 하는 프로그램 또는 실행 가능한 코드

스파이웨어(Spyware)

웹 브라우저의 홈페이지 설정이나 검색 설정을 변경, 정상 프로그램의 운영을 방해·중지 또는 삭제, 컴퓨터 키보드 입력 내용이나 화면 표시 내용을 수집·전송하는 등의 행위를 하는 프로그램

 

 

해킹 공격 유형 분류

 

1.정보보안의 3원칙(기밀성(비밀성), 무결성, 가용성)에 대한 유형 분류

기밀(비밀성)

정보가 비인가된 개인, 프로그램 및 프로세스에 공개되지 않음을 보장하는

무결성

정보가 변경되지 않음을 보장하는 것으로 정보의 정확성 및 완전성을 보호하는

가용성

인가된 사용자가 요구하는 정보, 시스템 및 자원의 접근이 적시에 제공되는 것

 

소극적 공격

(스니핑, Sniffing)

시스템 또는 시스템 사용자의 정보를 도청하는 것

기밀성(비밀성) 공격

적극적 공격

(스푸핑, Spoofing)

시스템 또는 사용자의 정보를 수정 및 지연 시키는 것

무결성 공격

서비스 거부 공격

(DoS, Denial of Service)

(DDos, Distribute)

네트워크에서 허용하는 대역폭을 모두 소모시키거나, 시스템의 자원(CPU, 메모리 등)을 고갈시키거나, 시스템 상에서 동작하는 응용프로그램의 오류에 대한 공격으로 서비스를 못하도록 만드는 공격

가용성 공격

 

2. 해킹의 대상에 대한 유형 분류

 

대상

설명

주요 공격 기법

사회공학방법

시스템이 아닌 사람의 취약점을 공략하여 원하는 정보를 얻는 공격기법을 통칭

특별한 기술 없이도 손쉽게 정보를 얻어내는 비기술적 침입 방법

인간 상호작용의 신뢰를 바탕으로 사람들을 속여 정상 보안절차를 무력화시킴

피싱(Phshing)

스팸 메일

Whaling

네트워크 해킹

권한 밖의 네트워크 또는 네트워크로 접속 가능한 자원을 접근하려는 행동

TCP Syn Flooding

시스템 해킹

시스템의 프로그램 취약점을 이용한 해킹 기법 이용하여 취약한 시스템을 공격하여 해당 시스템에 접속, 관리자 권한을 획득하는 것이 주목적이다.

Buffer Overflow

Back Door

인터넷(,DB)

해킹

인터넷에 대한 어플리케이션이나 서버의 취약점을 이용하여 개인과 기업의 정보를 획득하거나 관리자 권한을 획득함

Web Shell

SQL Injection

물리 보안

물리 보안이란 물리적으로 정보, 인명, 시설을 보호하는 것을 의미한다. 시설보호, 방범관리 모든 물리적 위협에 대해 보안을 지키는 것을 의미한다.

은행 강도

CCTV

3.사이버 테러 대응센터의 유형 분류

 

해킹, 바이러스 유포와 같이 고도의 기술적인 요소가 포함되어 정보통신망 자체에 대한 공격해위를 통해 이루어지는 것은 사이버 테러형 범죄이고 전자상거래 사기, 프로그램 불법복제, 불법사이트 운영, 개인정보침해 등과 같이 사이버공간이 범죄의 수단으로 사용된 유형은 일반사이버범죄로 구분된다.

그리고 사이버 태러 범죄는 해킹과 악성프로그램으로 나누어진다. 우리는 해킹에 대한 유형만 알아보자.

해킹 유형

설명

단순침입

정당한 접근권한 없이 또는 허용된 접근권한을 초과하여 정보통신망에 침입 하는

사용자 도용

정보통신망에 침입하기 위해서 타인에게 부여된 사용자계정과 비밀번호를 권한자의 동의 없이 사용하는

파일 삭제와 자료 유출

정보통신망에 침입한 자가 행한 2차적 행위의 결과로, 일반적으로 정보통신망에 대한 침입행위가 이루어진 뒤에 가능함

폭탄 메일

메일서버가 감당할 있는 한계를 넘는 많은 양의 메일을 일시에 보내 장애가 발생하게 하거나 메일내부에 메일 수신자의 컴퓨터에 과부하를 일으킬 있는 실행코드 등을 넣어 보내는 .

 

해킹 사고 피해 분류

 

자료1: 해킹 피해사고 기관별 분류 (한국인터넷진흥원 인터넷침해대응센터)

 

2003년

2004년

2005년

2006년

2007년

2008년

2009년10월까지

기업

2,416 

266 

11,166 

3,689 

3,039 

3,344

3,486 

대학

705 

114 

714 

1,094 

1,121 

1,603

494 

비영리

126 

58 

1,932 

714 

273 

173

205 

개인

9,068 

5,838 

7,283 

20,988

17,161 

11,818

14,888 

총합

12,351 

6,258 

23,019 

26,808

21,732 

15,940

19,075 

 

자료2: 사이버 테러(해킹,악성코드) 신고 건수자료(사이버테러 대응센터)

연도

사이버 테러형 범죄 발생 건수

사이버 테러형 범죄 검거 건수

2003

14,241

8,891

2004

15,390

10,339

2005

21,389

15,874

2006

20,186

15,979

2007

17,671

14,037

2008

20,077

16,953

 

신고
Posted by 도로상

티스토리 툴바