차곡차곡

1. 컴퓨터 보안 개념 본문

HUFS/22-2 정보보안

1. 컴퓨터 보안 개념

sohy 2022. 10. 13. 21:17

컴퓨터 보안이란?

컴퓨터 시스템 자산을 보호하는 것

  •  대체 가능 : 하드웨어(컴퓨터, 디스크, 메모리, 네트워크), 소프트웨어
  •  대체 불가능 : 데이터(사진, 문서, 이메일 등 중요 자료)
    # 대체가 불가능하기 때문에 한 번 유출되면 복구할 수 없다. 더 큰 피해를 입게 되는 것.

 

 

 

물 = 위협 (자연 발생할 수도 있고, 특정 대상 없이 생길 수도 있다. 자연스러운 상황. 항상 존재하는 것)

벽의 틈 = 취약점

항상 존재하는 위협 속에서 해커가 취약점을 뚫고 공격하여 들어온다.

 

 

해킹이란?

  • 사전적 의미
    • 남의 컴퓨터 시스템에 침입하여 장난이나 범죄를 저지르는 일
    • 컴퓨터 조작을 즐기기, 무엇이나 숙고하지 않고 실행하기
    • 디자이너가 의도하지 않았던 방법으로 시스템의 특성이나 규칙을 이용한 창조적인 사용법을 찾는 것
  • 통상적 의미
    • 전자 회로나 컴퓨터의 하드웨어, 소프트웨어, 네트워크, 웹사이트 등 각종 정보 체계가 본래의 설계자나 관리자, 운영자가 의도하지 않은 동작을 일으키도록 하거나 체계 내에서 주어진 권한 이상으로 정보를 열람, 복제, 변경 가능하게 하는 행위

해커

  • 화이트 해커 (정의로운 목적) : 해킹으로부터 보호, 취약점 분석, 실시간 해킹 전쟁에서 방어측
  • 블랙 해커 (악의적 목적) : 해킹공격, 탈취, 바이러스 배포, 실시간 해킹 전쟁에서 공격측. Cracker라고도 한다.
  • 그레이 해커 (중립적 목적) : 정의로운 목적을 위해서 악의적인 행위를 한다.

해킹과 보안의 역사

  • 1918년
    • 폴란드의 암호 보안 전문가들이 에니그마(Enigma) 개발
    • 제2차 세계대전에 독일군에 의해 통신 보안 강화용으로 사용
  • 1950년대
    • 알란 튜링의 최초의 컴퓨터 콜로서스 : 에그니마의 암호를 찾기 위한 목적
  • 1960년대
    • 최초의 미니컴퓨터 PDP-1, 최초의 네트워크 ARPA
    • 전화망 침입 : 휘파람(2600Hz) 또는 호루라기로 장거리 전화 무료 이용
      # 2600㎐ 소리는 AT&T의 통신망에서 연결을 끊는 신호로 사용됐다. 이 소리를 내면 전화국의 시스템은 전화가 끊어졌다고 인식하고 요금 부과를 멈추지만 실제로는 전화가 연결돼 있기 때문에 공짜로 전화를 걸 수 있었던 것
  • 1970년대
    • UNIX, 이메일, 마이크로소프트사, 최초의 데스크톱, 애플컴퓨터
  • 1980년대
    • BASIC 언어, DOS
    • IBM의 PC (개인 컴퓨터)
    • 네트워크 해커 414 Gang 암센터, 국립연구소 해킹
    • AT&T 컴퓨터 시스템 침입
    • 정체불명의 바이러스 확산 → Worm에 의한 컴퓨터 6000여대 감염, 인터넷 마비
    • 미국방부가 CERT(컴퓨터 대상 대응팀) 설립
    • 해커의 등장
  • 1980년대 : 정보 권리 논쟁
    • 카오스컴퓨터클럽 : 독일 해커 그룹
    • GNU
      • 리저트 스톨만, Copyleft(저작권 소유자가 모든 사람들에게 무상으로 자신의 창작물을 쓸 수 있도록 허용하는 것) , FSF(Free Software Foundation)
      • Linux의 시초
      • 운영 체제의 하나이자 컴퓨터 소프트웨어의 모음집으로, 온전히 자유 소프트웨어로 이루어져 있으며, 그 중 대부분이 GNU 프로젝트의 GPL로 라이선스된다.
        * GPL : 자유 소프트웨어 재단에서 만든 자유 소프트웨어 라이선스
    • 해킹은 네트워크 발전과 함께 성장
  • 1990년대
    • 최초의 해킹 대회 데프콘 개최
    • 리눅스 공개 (리누스 토발즈)
    • 넷브라우저 넷스케이프  # 세계 최초 브라우저
    • AOL 해킹, 백오리피스 발표
  • 2000년대
    • DDOS 공격의 시작
      • ICMP 패킷을 이용한 스머프 공격
    • 웜과 바이러스의 피해
      • 러브 버그 바이러스 : 87억 달러의 경제적 손실
      • 슬래머(웜) : MS SQLServer 공격, 2일 동안 네트워크 마비
      • 지속적인 웜 발생
  • 2000년대 국내
    • 개인 정보 유출 - 주민등록번호를 비롯한 개인 정보 무단 도용
    • 은행 피싱 사이트
    • 안심클릭의 해킹 사기 사건
    • 대형 포털의 검색 순위 조작 - 업무 조작
    • 공인인증서 유출, 은행 해킹
  • 2010년대 국내
    • 농협 사이버테러
    • APT(Advanced Persistent Threat, 지능적 지속 위협) 공격   # 특정 대상 노리는 해킹 ↑
    • 스마트폰 해킹

사이버 전쟁(cyber warfare)

  • 에스토니아 : 2007년 4월부터 다양한 에스토니아 정부 부처의 웹사이트는 러시아와의 정치적 논쟁 직후 여러 차례의 DDOS 공격으로 폐쇄되었다.
  • 캐나다 : 2011년 1월, 캐나다 정부는 국가 부처 중 일부가 중국의 서버로 추적되는 사이버 공격의 피해자임을 밝혔다.
  • 러시아 : 러시아 해커가 여러 국가 정부, NATO 및 우크라이나의 컴퓨터에 침투했다.
  • 북한 : 미국, 캐나다, 일본 에너지 기업 공격했다.

# 모두 추측으로 누가 공격했는지 정확히 알 수 없다.

6대 사이버 공격 (2018년)

  • 멀웨어 (malware) : 악성 소프트웨어
  • 피싱 (phishing) : 전자우편 또는 메시지를 통해 신뢰할 수 있는 사람으로 가장하여 기밀 정보를 빼돌리는 것
  • 무차별 대입 공격 (brute force password attacks) : 특정한 암호를 풀기 위해 가능한 모든 값을 대입하는 것
  • 서비스 거부 공격 (denial of service attack) : 시스템을 악의적으로 공격해 해당 시스템의 리소스를 부족하게 하여 원래 의도된 용도로 사용하지 못하게 하는 것
  • 도청 (man in the middle attack)
  • 불량 소프트웨어 (rogue software)

최근의 보안

  • IoT
    • 인터넷에 연결된 소형 장치
    • 잠재적 위험 : 사생활 침해, 데이터 통제력 상실, 잘못된 식별, 통제되지 않은 액세스
  • 스마트폰
    • 수많은 malware, 승인 없는 앱 설치

보안의 3대 요소

  • 기밀성(Confidentiality) : 인가(authorization)된 사용자만 정보 자산에 접근할 수 있는 것
  • 무결성(Integrity) : 적절한 권한을 가진 사용자에 의해 인가된 방법으로만 정보를 변경할 수 있도록 하는 것
  • 가용성(Availability) : 정보 자산에 대해 적절한 시간에 접근 가능한 것을 의미

 

 

사이버 범죄

  • 사이버테러형 범죄 : 정보통신망 자체를 공격 대상(특정 대상 X)으로 하는 불법 행위로, 해킹, 바이러스 유표, 메일 폭탄, 서비스 거부 공격 등 전자기기적 침해 장비를 이용해 컴퓨터 시스템과 정보 통신망을 공격하는 행위
  • 일반 사이버 범죄 : 사이버 공간을 이용한 일반적인 불법 행위로 사이버 도박, 스토킹, 성폭력, 명예 훼손, 협박. 전자상거래 사기, 개인 정보 유출 등의 행위

보안 관련 법

  • 정보통신망 이용촉진 및 정보보호 등에 관한 법률 : 정보통신과 관련된 가장 광범위한 법률로 안전한 정보통신망 환경을 조성하는 것이 목적
  • 정보통신 기반 보호법 : ISP나 주요 통신사와 같은 주요 정보통신 기반 시설에 대한 보호법
  • 개인정보 보호법
  • 클라우드컴퓨팅법
  • 전자정부법
  • 저작권법
Comments