1. Surface Web
표층웹으로 일반적인 구글, 네이버에 해당하며 검색으로 접근이 가능하다.
2. Deep Web
일반적인 검색으로는 조회되지 않으며, 비공개 인터넷 영역으로 개인 이메일, 회사 내부망, 유로 DB 등이 있다.
3. Dark Web
딥웹의 일종으로 Tor, I2P 등 특수한 브라우저 소프트웨어로만 접속이 가능한 웹으로 익명성 보장은 물론 IP 주소 추적이 불가능하도록 고안된 인터넷 영역이다. 이 때문에 불법적인 거래가 이루어진다.
4. Anonymous Network 익명 네트워크
인터넷에서 개인을 식별하거나 추적하는 것을 회피할 수 있도록 보장하는 네트워크를 말한다. TOR, VPN, Proxy 등이 있다.
5. Tor 토르
인터넷을 익명으로 검색할 수 있도록 개발된 분산 네트워크 시스템이며 전용 토르 소프트웨어가 필요하다. 최종 목적지까지 여러 중간 노드를 거쳐서 가므로 추적이 어렵다.
6. VPN
VPN 서버를 통해 최종 목적지에 도달하므로 마찬가지로 추적이 어렵다.
7. Proxy
사용자의 요청이 중간 노드인 프록시를 한 번 거치므로 추적이 어렵다.
8. 현실 세계에서는 특정한 개인의 신분을 확인하는 도구가 서명 날인이라면 디지털 세계는 공개키 암호화 방식의 개인키가 그 역할을 한다. Private Key
9. PKI 기반 Digital Signature 검증 성공 시 수신자가 확인할 수 있는 사항
- Integrity: 메시지가 위변조 되지 않았음을 보장
- Authentication: 올바른 서명자가 보낸 것을 보장
- Non-repudiation: 부인 방지
10. 디지털 서명의 메시지를 서명자 개인키로 암호화한 후 수신자는 서명자의 공개키로 복호화하여 검증한다. 두 가지의 방법:
- 메시지 복원형: 전체 메시지를 암복호화하여 인증하는 방식
- 메시지 부가형: 메시지의 해시값을 서명하여 검증하는 방식
11. 전자서명 요구 기능
- 위조불가 (Unforgeable): 서명자 외에는 서명값을 생성할 수 없으며 정당한 서명자만이 서명값을 생성할 수 있다.
- 변경 불가 (Unalterable): 서명한 메시지의 내용을 변경할 수 없어야 한다.
- 서명자 인증 (User Authentication): 오직 서명값을 통해서만 서명자를 확인할 수 있어야 한다.
- 부인 방지 (Non-repudiation): 서명자가 나중에 서명한 사실을 부인할 수 없어야 한다.
- 재사용 불가 (Not Reusable): 생성한 서명값을 다른 메시지의 서명값으로 사용할 수 없어야 한다.
12. Smart OTP
일회용 비밀번호 생성기로 추가 인증이 필요 없는 장점이 있다.
13. PKI (Public Key Infrastructure)
공개키 기반 구조 암호화 방식에서 사용하는 공개키 인증을 위한 환경 및 구조를 말한다. 인증서 생성, 관리, 배포, 저장, 폐지 등에 필요한 구성 요소들의 집합으로 PKI의 구성 요소로는 인증기관 CA (Certificate Authority), 등록기관 RA (Registration Authority), 저장소 (Repository) 등이 있다.
14. 인증서 (Certificate)
공개키 인증서는 공개키와 함께 공개키 인증에 필요한 정보(주체차, 발급자 등) 인증기관 CA이 서명한 전자문서로 CA가 발급한다. 인증서 표준형식 X.509이며 X.509v3 3버전을 가장 많이 활용한다. 구문 표기 형식은 ASN.1이다.
15. 인증기관 CA (Certificate Authority)
인증서 정책 수립 및 인증서의 발급/재발급/갱신/효력 정지, 회복, 폐지 등을 수행하는 기관으로 최상위에는 Root CA가 위치하고 계층적으로 CA가 위치하는 Tree 형태로 이루어져 있다. 하위 기관은 상위 기관의 인증서 정책에 영향을 받는다. 인증서 폐지목록 CRL과 OCSP 서비스를 제공한다.
16. 인증서 폐지 목록 (CRL)
인증서 유효기간 만료 전 폐지나 효력이 정지된 인증서 목록으로 일정 주기로 배포되며 실시간 확인을 위해서는 OCSP 서비스를 이용해야 한다. CA가 배포한다.
17. 인증서 폐지 사유
- 주체자의 개인키 유출 또는 손상
- 주체자의 요청 또는 인증기관의 직권으로 폐지
- CA의 개인키 유출 또는 손상 → 이때는 해당 인증기관이 서명한 모든 인증서를 폐지한다.
- CA가 더 이상 인증 직무를 수행하지 않을 경우 폐지
18. OCSP (Online Certificate Status Protocol) Service
사용자가 온라인으로 실시간 인증서 상태를 확인할 수 있도록 인증기관 CA가 제공하는 서비스이다.
19. 등록기관 RA (Registration Authority)
인증기관을 대신해서 인증서 발급, 재발급, 갱신 등의 업무를 대행하는 기관으로 은행, 증권사 등이 있다.
20. 저장소 (Repository)
인증기관에서 사용하는 사용자 인증서 (Certificate), 인증서 폐지목록 (CRL) 등을 저장하는 데이터베이스로 정보 저장을 위해 DAP/LDAP를 주로 활용한다.
21. PKI X.509v3 항목
- 일련번호 (Serial Number): 인증기관별로 인증서 식별 일련번호
- 서명 알고리즘 식별자 (Signature Algorithm ID): 인증 기관이 인증서 서명 시 사용한 알고리즘 ID
- 주체 (Subject Name): 인증서 소유자에 대한 DN (Distinguished Name) 상세 정보
- 발급자 (Issuer): 인증서를 발급한 CA
- 서명 (Signature): 인증기관이 서명한 서명값
22. 정보보호 정책
조직의 정보보호에 대한 방향과 전략을 제시하고 조직이 수행하는 모든 정보보호 활동의 근거가 되는 것으로써 정보보호 목적과 활동에 관한 사항을 정의한 최상위 문서이다.
23. 정보보호 정책
목적이 제시되어야 하고 범위를 설정해야 한다. 또한 책임을 명확히 정의해야 하며 문서로 승인되어야 한다.
24. 정보보호 정책
최상위 문서이지만 포괄적이므로 구체적인 목표를 달성할 수 있도록 표준, 지침, 절차를 구현해야 한다.
- 표준 (Standards): 강제성을 가진 규정
- 지침 (Guidelines): 권고적인 선택사항 규정
- 절차 (Procedure): 순서에 기반한 수행 절차를 단계적으로 설명한 문서
25. 위험관리
조직의 위험을 감수할 수 있는 수준으로 낮추거나 유지하는 일련의 과정
26. 위험 분석
위협의 종류, 영향, 발생 가능성 등을 평가하는 과정
27. 위험 관리
적절한 비용 내에서 통제 방안을 선택하고 통제하는 과정
28. 정보보호대책 명세서
정보보호대책 범위, 대상, 사유 및 근거가 명시된 문서
29. 위험관리 절차
- 전략 및 계획 수립
- 위험 분석
- 위험 평가 (DOA 설정)
- 정보보호대책 선정
- 정보보호대책 수립
30. 위험 관리를 위한 계획 수립 시
위험 평가를 통해 업무의 우선순위를 선정 및 보호대책 수준을 도출합니다.
31. 정보보호대책
조직의 자산을 위험으로부터 보호하기 위한 관리적, 기술적, 물리적 대책
32. 정보보호정책
조직의 정보보호 최상위 문서로 표준, 지침, 절차를 구현한다.
33. 위험 (RISK) 구성 요소 3가지
- Asset
- Threat
- Vulnerability
34. 위험 (RISK) 구성 요소 4가지
- Asset
- Threat
- Vulnerability
- Safeguard (정보보호대책)
35. 위험 평가 (Risk Assessment)
잠재적으로 알려진 위협과 취약점으로 인해 발생할 수 있는 영향을 평가하고 DOA를 포함해야 한다.
36. 자산 평가
위험관리를 위해서는 가장 우선 보호해야 할 자산을 식별하고 가치를 평가해야 한다. 평가 시 그 영향을 기밀성, 무결성, 가용성 측면에서 파악하며 정보자산의 중요도를 평가한다.
37. 자산에 대한 중요도를 평가하기 위해서는
- 우선
자산 목록을 만든다. - 쉽게 재분류할 수 있도록 `자
산 그룹핑`을 실시한다.
38. 자산 중요도 평가
- 자산 식별 (자산 목록)
- 기밀성, 무결성, 가용성 측면에서 중요도 및 가치 평가
- 자산 그룹핑
39. Detailed Risk Approach
상세 위험 분석 절차:
- 자산 식별
- 자산 가치 및 중요도 평가
- 위협 평가
- 취약성 평가
- 기존 보안대책 평가
- 위험 평가
40. 위험처리 전략
https://webstone.tistory.com/139
41. 위험평가 (Risk Assessment) 절차
- 위험 식별
- 위험 분석
- 위험 평가
42. 정보보호대책 종류
- 기술적 보호대책
- 관리적 보호대책
- 물리적 보호대책
43. 예방통제 (Preventive Control)
발생할 수 있는 위험을 사전에 능동적으로 대처하는 것으로 물리적 접근통제와 논리적 접근통제로 나뉜다.
44. 물리적 접근통제
비인가자가 물리적 시설이나 설비에 접근할 수 없도록 하는 통제
45. 논리적 접근통제
비인가자가 정보통신망을 통해 자산에 접근할 수 없도록 하는 통제
46. 탐지 통제 (Detective Control)
예방 통제를 우회하여 발생하는 위험을 탐지하는 통제
47. 교정통제 (Corrective Control)
탐지된 위험에 대처하거나 감소시키는 통제
48. 예방통제 → 탐지통제 → 교정통제
49. BCP (Business Continuity Planning)
업무 연속성 계획으로 모든 업무 영역에 해당한다.
50. DRP (Disaster Recovery Planning)
재난 복구 계획으로 정보기술 (IT)에만 해당한다.
51. BIA (Business Impact Analysis)
BCP의 핵심 절차로 사업에 존재하는 주요 업무를 파악하여 우선순위를 결정하는 과정으로 업무에 영향을 미치는 정도를 기준으로 한다.
52. 업무연속성계획 절차
- 프로젝트 범위 설정
- BIA
- 복구 전략 개발
- 복구 계획 수립
- 수행 테스트 및 유지보수
53. DR
IT 서비스를 재개하는 것을 의미한다.
54. DRP
정보기술 서비스에 기반하여 재해가 발생한 경우 영향을 최소화하기 위한 계획
55. DRS
재해 복구를 위해 평상시에 확보해두는 인적, 물적, 자원 관리체계
56. RTO (Recovery Time Objective)
복구 목표 시간으로 서비스 복구까지 걸리는 데에 최대 허용하는 시간
57. RPO (Recovery Point Objective)
복구 목표 지점으로 데이터 손실 허용 시점
58. RAID
여러 대의 저가 하드디스크를 중복해서 저장하는 방법
59. CERT
침해사고 대응팀으로 대응 절차:
- 사고 전 준비
- 사고 탐지
- 초기 대응
- 대응 전략 체계화
- 사고 조사
- 보고서 작성
- 해결
60. 디지털 포렌식 5대 원칙
- 정당성: 적법한 과정에 따라 데이터 수집
- 재현성: 항상 동일한 결과가 나와야 한다
- 무결성: 보관 과정에서 위변도 되지 않아야 한다
- 신속성: 내외부 영향에 쉽게 사라질 수 있으므로 신속하게 진행해야 한다
- 연계 보관성: 수집, 이동, 보관, 분석, 법정 제출 각 일련의 과정에서 책임자를 정하고 디지털 증거가 최초 수집한 상태에서 어떠한 변화도 이루어지지 않았음을 입증해야 한다
61. 사회공학공격 (Social Engineering)
사람들 사이의 신뢰를 바탕으로 정보를 탈취하는 행위로 Human Based, Computer Based로 나뉜다.
62. Phishing
신뢰할 만한 발신자 이메일로 위장한 공격
63. Pharming
도메인을 위조하여 가짜 사이트로 접속하도록 유도
64. 공통평가기준 (CC - Common Criteria)
정보 시스템 미국 대표 인증 TCSEC, 유럽 대표 ITSEC 등이 통합된 보안 인증
65. CC 구성요소
- TOE (Target of Evaluation): 평가 대상 → 평가 범위
- PP (Protection Profile): 보호 프로파일 → 보안 기능 요구사항
- ST (Security Target): 보안 명세서 → 요구사항과 구현 내용을 기술한 문서로 평가의 근거로 사용된다
- EAL (Evaluation Assurance Level): 평가 보증 등급 → 총 7단계로 이루어져 있어서 7단계가 최고 등급이다.
