정보 보안 기초 & 심화(ver.2012)

* 기초

 

1. 정보보안?

 

공인인증서 → 인감증명서

 

보안의 3요소

1) 기밀성 : 못알아보게, '망분리' 이슈

2) 무결성 : 훼손되지 않고 그대로 유지되게, 해쉬함수(알고리즘 씌워 원래 상태로 갈 수 없게)

3) 가용성 : 서비스가 계속 유지되도록

 

NAT : 기업자 내 IP를 공인 IP와 매칭시켜 주는 것

 

트래픽 분석툴 : TCP 덤프, 이더리얼, Wireshark

 

DoS : '버퍼'를 차도록 공격함

DDoS : 전세계에 좀비 PC 있어 공격

 

2. 개인정보 : 개인을 알아 볼 수 있는, 생존하는 개인에 관한 정보

                 ex) 서명, 주민등록번호, i-pin, 신용카드번호, 휴대폰, 공인인증서

 

3. 공인인증서 구조 이해

 

   PKI - 주요 기능 : 부인방지

 

4. VPN(가상사설망)

- SSL VPN

- IPSEC VPN

- L2TP VPN

 

* 심화

1. 기업의 보안 이슈

1) 보안 사고 사례

 

① 농협 - IBM 서버, 사내 PC 외부 출입으로 발생 → 악성코드감염 → Shell  → default 값 그대로 유지

    운용상 문제점 : 시스템 관리용 노트북 통제없이 반출입

                         백신프로그램 default 값 비번 그대로 유지, 협력사 직원과 공유하여 사용

 

② 싸이월드 - SK 컴즈  → 공개용 알툴즈 SW 업데이트 시 악성코드 감염  → 해커가 DB 관리자 계정 입수

 

 

※ APT : 특정 기업이나 조직을 겨냥하여 공격

 

 →  클라우드에도 동일한 보안정책, 솔루션 적용

 

2. 개인정보 보호 침해 동향

1) 대형, 지능, 다양화

2) 최근 해킹 통한 개인 정보 유출 사고 발생

 

3. 개인정보 침해사고 문제점

1) 과도한 개인 정보 수집

2) 기업의 보호 조치 미흡

3) 이용자의 권리 행사 부족

 

4. 개인정보

1) 생존하고 있는 개인에 관한 정보

2) 개인을 알아볼 수 있는 (성명, 주민번호)

3) 다른 정보와 용이하게 결합하여 식별하는 것도 포함(이메일, 휴대전화)

예외) 고인의 채무가 자식에게 영향 미칠 때, 법인의 정보는 아님(사업자 번호)

 

5. 개인 정보의 범위

1) 확대됨 - 위치 정보, 생체 정보(지문, 홍채), 사상 등 모두 포함

 

6. 개인 정보 보호법 제정 배경 ( 2012. 3. 30 본격 실시)

 

7. 개인정보 관련 법률 ( law.go.kr)

 

정보통신망법	>	개인정보보호법
온라인상 데이터만 보호		온/오프 데이터 보호
정보통신 이용고객만 이용 대상		고객 외 직업 및 협력사 직원도 보호 대상
주민, 계좌, 신용카드번호		여권, 운전면허번호, 외국인 등록번호 포함
인터넷 가입시 주민등록 번호		민중 대체로 I-PIN, 휴대폰 인증
방송통신위원회 소속		행안부 소속

 

 

* 망분리 : 업무용은 업무용으로 / 외부 인터넷은 별도 PC 두고 분리

 

 - 물리적

 - 논리적 망분리 : ex) VDI

 

8. 개인정보의 기술적, 관리적 보호 조치 개요 - 28조

 

1) 개인정보 관리, 책임자, 개인정보 취급자(이용자의 개인 정보를 수집, 보호, 처리, 이용, 제공, 관리 또는 파기 등의 업무)

 

2) 개인정보처리시스템 : 개인정보처리할 수 있는 DB 시스템

 

3) 접속기록 : 개인정보 취급자 등이 한 일을 식별자, 접속일시, 접속지를 알 수 있는 정보, 수행업무 등을 전자적으로 기록한 것

 

4) 접근 통제 : 최소한으로 제한, 개인정보취급자 변경 및 내역 기록 보관 최소 5년

 

5) 암호화 대상 : 일방향 암호화(비밀번호), 양방향 암호화(계좌, 카드, 외국인등록증, 민증)

 

* 요즘 사용자 PC : Https ( SSL통신, Security)

 

* 개인정보 암호화

1) 비밀번호, 바이오정보는 일방향 암호화 저장

2) 중요 개인 정보 암호화 저장

3) 개인정보 및 인증 정보 송수신 암호화 전송

4) 개인정보 PC 저장시

 

* 개인정보의 보호 조치 - 개인정보는 Life-cycle 가짐

- 수집이용 : 개인정보 수집은 필수통의 그외는 선택동의

- 제공위탁 : 제공(서비스) / 위탁(서비스 상의 연장선상에 있을 경우)

- 파기 : privacy.go.kr

 

* 네트워크 기반 공격 이해 : sniffing / switch jamming = MAC Flooding / ARP spoofing

 

* 백도어 : 유지보수를 위해 인증없이 접속할 수 있는 우회경로