보안 - 정보 보호.

* 정보?
: 정보(Information)은 다른 중요한 Biz 자산과 같이 가치를 가진 자산이며, 적절하게 보호되어야 한다.

* 정보 보호의 정의 및 목적
- 일반적인 정의: 시스템이나 전자적인 형태의 정보를 처리, 저장, 전송하는 모든 단계에 걸쳐, 고의적 혹은 실수에 의한 불법적인 노출, 변조, 파괴로부터 보호하고 정당한 사용자가 쉽고 빠르게 원하는 정보에 접근할 수 있도록 하는 것.
- 법적인 정의: 정보화 촉진 기본법 제 2조 "정보 보안을 정보의 수집, 가공, 저장, 검색, 송-수신 중에 벙보의 훼손, 변조, 유출 등을 방지하기 위한 관리적, 기술적 수단을 강구하는 것"이다.
- 학술적인 정의: 정보 시스템 내부에 보관되거나 통신망을 통해 전송되는 정보를 시스템 내, 외부의 각 종 위협으로부터 안전하게 보호하여 정보 시스템의 기밀성(Confidentiaility), 무결성(Integrity), 가용성(Availability)를 보장하는 것.

* 정보 보안의 3요소 1. 기밀성(Confidentiality) <-> 노출(Disclosure) <= 보안 : 컴퓨터 관련 자산이 인가된 당사자에 의해서만 접근 가능 것을 보장. 2. 무결성(Integrity) <-> 변경(Alteration) : 자산이 인가된 당사자에 의해서만 또는 인가된 방법으로만 변경 될 수 있다.(자산의 정확성, 완전성, 일관성) - 무결성 통제를 위한 세가지 기본적인 원칙: 직무 분리, 최소  권한, 직무 순환. 3. 가용성(Availability) <-> 파괴(Destruction) <= 성능. : 자산이 적절한 시간에 인가된 당사자에게 접근 가능해야 하는 것을 의미. * 피해를 감수할 수 있는 수준으로 낮춘다. Balancing Security and Access(통제를 강력하게 할 수록 보안이 반드시 잘 지켜진다고 할 후는 없다. * 보안 요소 위협 1. 기밀성 위협 요소 1) Data Leakage: 디스크 정보의 종이 덤프, 보고서와 테이프 절취 등으로 정보를 밖으로 누출. 2) Wire-trapping(회선 도청): 통신회선을 통해 전송되는 정보를 도청. 3) War-Driving : 노트북으로 부터 무선 데이터를 수신하거나 접근을 획득하기 위해 암호 통제를 해독하거나 무선 통신 회선상에 전송되는 정보를 도청 - war-driving / war-walking / war-flying / war-sleeping: 걸어 다니거나 / 차를 타고 이동하면서, 무선 인터넷을 도청. 2. 무결성 위협 요소 1) Rounding Down(소수점 절사, 반내림): $1,235,954.39 => $1,235,954.35 2) Salami Attack: 데이터를 잘게 잘라, 잘라 결국 하나로 합치는 공격. ex)  $1,235,954.39 => $1,235,954.30 or $1,235,954.00 3) Trojan Horse: 파일 삭제, 프로그램 실행, 환경설정 변경, 마우스 및 키보드 제어. 3, 가용성 위협 요소. 1) computer shutdown: 상급의 시스템 로그온 ID를 알고 있는 개인에 의해 발생, 시스템 과부하에 의해 발생 2) 서비스 거부(DOS: Denial-of-Service) 공격: 관리자 구너한 없이도 특정 서버에 처리할 수 없을 정도의 대량 접속 신호를 한꺼번에 보내 해당 서버가 마비되도록 하는 해킹 기법.

* 보안 요구사항
1) 인증성: 메시지의 내용이 전송 중에 변경되지 않았음을 제 3자가 검증할 수 있어야 함.
2) 부인봉쇄: 특정 메시지 원천 또는 수신 여부는 제 3자가 검증 할 수 있어야 함.
3) 책임 추적성: 특정 실체의 행위는 그 실체에 유일하게 추적할 수 있어야 함.
4) 네트워크 가용성: 해당 자원이 의도된 목적을 위해서만 사용되는 것을 보장하는 것을 포함.

* 정보 보안 관리의 핵심 요소
1) 최고 경영진의 참여와 지원: Top-Down approach
- 보안 정책이 성공하려면, 경영진의 지원과 참여가 필요하다.
2) 보안 정책(회사의 보안 철학 Policy != Guidline)
- 경영진에 의해 생성된 high level statement로서 사내의 중요한 정보를 보호/관리하고 배포하기 위한 방법을 규정(문서화)
* 정책 수립의 중요성
- 정책은 조직 문화의 방향 설정을 제시한다.
- 정책은 무엇을 보호하고 왜 보호하는가가 기술되어 있다.
- 정책은 무엇을 우선적으로 보호해야 하며, 비용은 얼마나 투자해야 하는가에 대한 우선 순위를 정한다.
- 법적 책임으로 부터 보호해 준다.
3) 조직의 역할과 책임.

1) CEO/Management(경영진) - 정보 자산의 보호에 대한 전반적인, 궁극적인, 근본적인, 최종적인 책임(보안정책의 개발 책임) - 보안 정책을 변경하기 위한 (최종)결정 <- 보안 관리자의 건의를 받음. - 공식적인 보안 의식 프로그램 및 훈련을 승인하고 지원 2) IS Security Steering Committee(정보보안 운영 위원회) - 전체 조직에 적용되는 보안지침, 정책, 절차 협의 및 수립(Coordinator 역할, Priority 결정) - 현업사용자, 경영진, 보안관리자, 법률 고문 등으로 구성 - > 보안 업무 현안 및 업부 수행 방법 개발. - 공식적으로 구성되어야 하며, 정기적인 회의록 보유. - 회사의 정보보호 상태를 검토: 회사 내의 안전사고를 감독하고 검토, 정보보호 프로젝트를 인준하고 검토, 신규 정보보호 정책의 인준 혹은 수정. * 정책 수립 / 통제 구현 / 부서간 마찰 및 이해관계 충돌 <- 운영 위원회에서 조율. 3) 보안 전문가/자문가(Security Specialist / advisor) - 조직의 보안정책/표준/절차 설계 구현, 관리, 검토 과정을 지원, 접근보안 시스템을 모니터링(감시) - 보안정책의 변경이 필요할 경우 경영진에게 건의 -> 결정되면 반영하고 관리하는 책임을 맡음. - 접근 권한 승인에 대해 정기적으로 검토. 4) 업무 담당부서의 관리자(해당사업 관리자): 보안 정책 개발을 감독.  5) Data Owner(데이터 소유자) - 사업 프로세스에 관련된 데이터 등급 결정 및 분류(보안 관리자가 제시한 분류에 따라) - 접근 권한(승인)을 부여 -> 접근 권한(승인)에 대한 책임. - 접근 권한을 문서로써 승인 -> 승인된 문서를 보안관리자에게 직접 전달. - 접근 규칙이 갱신되도록 접근 규칙을 정기적으로 조사. - 시스템에 사용자의 접근(user's access)를 주기적으로 검토(review)할 책임 => authorization의 유효성/valid를 확인하기 위해 - 데이터 관리(유지 및 보안, 백업)에 대한 권한을 정보관리인에게 위임. 6) Data Custodian(정보 혹은 데이터 보관인/관리인) - 데이터를 저장하고 보하하는 책임: 예) 전산 요원 - 데이터의 기밀성, 무결성, 그리고 가용성을 보존하고 보호하는 방법으로 데이터를 유지, 보호 - 데이터 소유자로부터 위임 받은 데이터에 대한 관리(유지 및 보안, 백업 등)을 책임. - 보안 정책에 의거 실질적인 절차를 수행. 7) 사용자(일반 User) - 보안 정책 숙지, 로그온 ID/PW의 기밀성 유지 - 의심되는 보안 위반 사건 보고: CERT(컴퓨터 침해 대응 Team) =>사법 기관에 알려야 할 책임은 누구? (경영진이 유일함) - 기밀 정보(의료, 법률)에 관련된 프라이버시 규정 및 기타 적용 법규 준수. - 문을 잠그고, 접근 열쇠를 보호하고, 출입구의 비밀 번호를 유출하지 않고, 낯선 사람에게 용건과 담당자를 확인하는 등 물리적 보안을 유지. 8) CSO: 회사가 정보자산을 보호하는데 사용하는 정책, 절차 등의 프로그램을 수립하고 강제. 9) IS 감사안: 정보보안 목적 및 통제제도의 적절성/효과성에 대해 경영진에게 독립적인 보증 제공. 10) CPO(Chief privacy officer) - 최고 프라이버시 관리자. : 회사는 그들의 고객 및 직원의 프라이버시 현안을 보호하기 위해 사용하느 정책을 수립하고 강제. - 조직의 관리, 법적 자문과 관련한 프라이버시 정책과 절차의 구축, 관리 - 주기적으로 프라이버시 위험 평가를 수행. - 조직이 적절한 프라이버시 정책을 유지하도록 법적 자문을 수행. - 개인 정보 생명주기에서의 위험을 평가. - 개인정보의 수집을 알리는 방법을 개발, 배포. * 모든 책임은 정의되고 문서화되어야 하며, 조직의 모든 인력과 관리자들에게 전파.

4) 보안인식 교육

* Security Awareness 목적: 정보보호의 목표, 전략, 정책, 필요성, 관련된 책임, 역할 등을 직원, 파트너, 공급자에게 설명하기 위함. => 배부자의 실수에 의한 보안 사고 방지를 목적. 1) 보안 인식 교육의 장점 - 직원의 태도 개선 -> 자신의 행동에 대한 accountability의 인식 증가. - 부정 감소, 비 인가된 행동 감소, 회사 자원의 개인적 사용 감소 - 직원의 70% 이상이 고의, 우연, 실수로 사고를 일으킴. 2) 보안인식을 전달하는 기술 -> 전직원 대상으로 웹기반의 training(WBT) = webinar(웹 세미나) 3) 보안인식 향상 방안. <- 의심스런 사건을 보고하는 직원에 대한 보상. 4) 보안 인식 교육의 효과 측정법 - 질문지 혹은 설문지 배포 / Asking / 보안 위반 사고 건수 체크 / Quiz * Piggybacking(피키백킹): 1) 인가자의 뒤를 비인가자가 따라 들어감. 2) 인증 우회 3) 도난 원인. - PDA의 가장 큰 위협은 "도난: * Dumpster Diving(쓰레기통 뒤지기) 예방책 - 1) 분쇄기 사용 2) 분서 파기에 대한 정책 3) 쓰레기통을 밝은 곳에 비치.

5) 사고 처리 및 대응.
- 보안 사고로부터 피해를 최소화하고 보안 사고를 통한 학습을 위해 공식적인 사고 대응 능력을 갖추어야 한다.
- 사고에 적절하게 대응하기 위해서는 사고 발생 후 가능한 신속하게 증거를 수집하는 것이 필요하다.
: 로그의 유지 => 적절한 담당자에게 통보 => 정보의 공개 => 결과 붙석
: 로그는 정확하고 완벽해야 하며, 허가되지 않은 사람에 의해 변경되어서는 안됨.

* CSIRT(Cumputer Security Incident Response Team) / CERT(Computer Emergency Response Team) - 해킹과 바이러스에 대항하는 보안 기술을 개발하고 서비스하는 컴퓨터 응급대응 센터. - 예방(보안인식 프로개램, 훈련, 워크숍에 참여하고 관여), 탐지, 교정 통제 제공 => 정보보안에 관련된 모든 사고와 현안에 대한 Single Contact Point => IS 감사인은 조직 내 CERT가 보안 실패로부터 발생하는 위험을 완화하고 보안 사고를 예방하도록 사용자들을 지원하기 위하여 활동적으로 관여하는지 확인하여야 한다.

* 정보보호 관리 체계 모델(Information Security Management System) - 정의: ISMS는 정보보호의 목적인 정보 자산의 기밀성, 무결성, 가용성을 실현하기 위한 절차와 과정을 체계적으로 수립 / 문서화 하고 지속적으로 관리/운영하는 시스템이다. : 조직에 적합한 정보 보호를 위해 1) 정책 및 조직 수립 2) 위험 관리 3) 대책 구현 4) 사후 관리 등의 정보 보호 관리 과정을 정리하고 이를 통해 구현된 여러 정보 보호 대책들이 유기적으로 통합된 체계를 갖추었는지 제 3의 인증기관을 통해 객관적이고 독립적으로 평가하여 인증기준에 대한 적합 여부를 보증해 주는 제도. * 인증 심사의 종류는 인증심사, 갱신 심사, 재심사, 사후 관리 심사로 구분됨. 기본적으로 인증 유효기간은 3년이며, 인증 취득 후, 1년에 1회 이상 사후 관리 심사를 받아야 함. 1. 인증 심사: 최초로 인증을 받는 경우의 심사. 2. 갱신 심사: 인증 유효기간(3년) 만료 이전에 유효기간의 연장을 목적으로 실시하는 심사. 3. 재심사: 인증을 받은 ISMS 범위 내에 중대한 변화가 발생하는 경우 실시하는 심사. (인증 유효기간 / 인증번호는 승계됨) 4. 사후 관리 심사: 인증 받은 기관이 ISMS를 지속적으로 유지하고 있는지를 점검하는 심사. * 인증 심사 기준 ISMS 인증을 받기 위해서는 1. 5단계 정보보호 관리 과정에 따라 ISMS를 수립하고 운영해야 하며, 2. ISMS 수립과 운영에 관련된 사항을 관련자들이 쉽게 이해하고 이용할 수 있도록 문서화 해야 하며, 3. 위험 분석을 통해 필요한 통제 사항을 선정하고 이에 해당하는 정보보호대책을 구현하고 운영해야 함. * 5단계 정보보호 관리 과정. [1단계] 정보보호정책 수립 : 정보보호 정책 수립 단계에서는 조직 전반에 걸친 상위 수준의 정보보호 정책을 수립하고 정보보호를 수행하기 위한 조직 내 각 부분의 책임을 설정. [2단계] 관리체계범위 설정 : 정보보호 관리 체계 범위를 설정하고 범위 내의 정보 자산을 식별하여 범위를 명확히 함. [3단계] 위험 관리 : 조직 문화와 정보 자산에 적절한 위험 관리 전략과 기획을 수립. 이에 따라 위험을 분석하고 평가하여 대응에 필요한 위험과 우선 순위를 결정. 위험을 수용가능한 수준으로 감소시키기 위해 필요한 정보보호 대책을 택하고 이들을 구현할 계획을 수립. [4단계] 구현 : 위험관리 단계에서 수립된 정보 계획에 따라 정보보호 대책을 효과적으로 구현하고 필요한 교육과 훈련을 진행 함. [5단계] 사후 관리 : 정보보호 관리체계를 운영하는 과정에서 상시적인 모니터링을 수행하고 또한 정기적인 내부감사를 통해 정책 준수 상황을 확인. 이러한 결과를 기초로 정보보호 관리 체계를 재검토하고 관리 체계를 개선. * 정보 보호 관리(Information Security Management) - 정보 보호는 비즈니스 연속성과 함께 지속적인 관리 활동이 요구됨. - 비즈니스의 변화에도 불구하고 정보 보호는 그 수준이 떨어지지 않도록 관리가 요구됨. - 정보 보호의 관리는 더 이상 IT 조직만의 책임이 아닌 비즈니스를 책임지는 경영층의 관심과 책임으로 인식된다. - 지속적인 관리를 위해 ISMS를 수립하고 전담 조직 및 전담 인력을 통해 ISMS를 유지할 수 있어야 한다. * 정보 보호 관리 이행을 위한 6단계 활동 1) 정보보호정책 및 조직 수립: 신청기관에 적합한 정보보호정책의 수립, 조직의 구성/운영, 책임성의 명확한 설정 여부. 2) 정보보호 범위 설정: 정보보호 관리체계 수립/운영을 위한 관리 범위 설정. 3) 정보자산의 식별:정보자산의 현황 조사 여부. 4) 위험관리(Risk Management): 위험관리 전략 및 계획 수립, 위험 분석/평가, 정보보호대책 선택의 적절성 여부. 5) 구현(Implementation): 정보보호대책의 구현 및 정보보호 교육/훈련의 효과성 여부. 6) 사후관리활동: 정보보호 관리 체계의 재검토, 모니터링 및 개선, 내부감사 활동의 적절성 여부.  * 정보 시스템 인증 평가: 정보 시스템 평가 기준을 제시하여 업체에 기술 개발 가이드 라인을 제시하고 평가를 통하여 제품을 보완하도록 함으로 국내 정보보호 제품의 정보보호 기술 경쟁력 향상유도. 1. 정보 보호 시스템 평가 기준(ISMS) Part 2 * 보안 기능 요구사항 : 정보시스템이 정의할 수 있는 모든 보안 기능을 11개의 클래스로 정의 1) 보안감사(FAU: Security Audit) - 보안 활동에 관련되는 정보를 인식, 기록, 저장 및 분석 할 수 있도록 6개의 패밀리로 구성되어 있으며 보안 관련 사건 발생 시 감사 대상사건에 부합하는 시스템 활동을 감사 레코드에 기록 저장하여 관리자나 인가된 사용자가 필요시에 감사 관련 자료를 검토할 수 있게 함. 2) 통신(FCO: Communication) - 데이터 교환 시, 송수신자의 신원을 보증 및 확인 할 수 있는 요구사항을 정의하는 2개의 패밀리로 구성. 3) 암호지원(FCS: Cryptographic Support) - TSF(TOE Security Function)가 우 FCS 클래스의 요구사항이 포함되어야 함. - FCS는 함호키 관련 생성 및 파괴 등 암호 기능에 대한 요구사항을 정의하며 2개의 패밀리로 구성. 4) 사용자 데이터 보호(FDP: User Data Protection) - 사용자 데이터 보호 보안 기능 정책, 사용자 데이터 보호 형태, 데이터 유출/데이터 유입, TSF간 통신의 4그룹으로 나뉠 수 있으며, 13개 패밀로로 구성. 5) 식별 및 인증(FIA: Identification and Authentication) - 사용자의 신원 확인을 요청할 경우를 위하여 사용자의 신원을 확인하고 이를 검증할 수 있도록 요구 사항을 제공. - 사용자가 가지는 권한이 TOE와의 상호 작용을 허용하는 것인지를 판단하기 위하여 인가된 사용자의 명확한 신분을 보증하고 보안속성과 사용자간의 정확한 연결을 보증하도록 해줌. 6) 보안 관리(FMT: Security Management) - TSF(TOE Security Function)평가 대상 제품의 보안 기능에 관한 관리, TSF 데이터 관리, 보안속성의 관리로 나누어 컴포넌트를 설명. - TSF 기능 관리에서는 기능 자체의 활동 상태에 관한 관리를 다루며, 보안 속성관리는 TOE의 자원에 대한 접슨시 이에 관련되는 보안 속성에 관한 관리와 더불어 보안속성의 제한을 정의하는 컴포넌트에서는 보안속성의 유효기간에 대해 설명. - TSF 데이터 관리는 보안속성을 제외한 TSF가 다루는 데이터에 관한 관리를 정의 7) 프라이버시(FPR: Privacy) - 다른 사용자가 인가된 사용자의 ID를 도용하는 것을 막도록 요구사항을 정의 - 익명성(Anonmity), 가명성(Pseudonymity), 연계 불가성(Unlinkability), 관찰 불가성(Unobservability)를 중점적으로 다루고 있음. 8) TSF 보호(FPT: Protection of the TSF) - TSF(TOE Security Functions) - 보안 기능에 관련된 데이터를 보호하기 위한 요구사항으로 이루어짐 - TSF를 실제 구현하는 메커니즘의 유지보수를 다루도록 컴포넌트를 정의하며 TSF를 위해 사용되는 데이터에 대한 무결성과 관련 하여 컴포넌트 정의 9) 자원 활용(FRU: Resource Utilisation) - TOE 자원의 가용성 즉, 처리 능력과 저장용량 등의 가용성을 지원하기 위한 패밀리들을 가지고 있고 이들 패밀리들은 오류에 대한 내성, 자원 사용 우선순위, 자원 할당의 관점으로 구성. 10) TOE 접근(FTA: TOE Access: FTA) - TOE(Target of Evaluation: 평가 대상 제품/시스템의 일부 혹은 전체) - 원격지에 있는 사용자가 TOE를 이용할 경우 TOE로 접근하기 위하여 세션을 설정하여야 하는데 이 과정에서 요구되는 신분확인과 인증을 위한 요구사항을 서술. - TOE 접근 클래스에서 정의되는 요구사항은 사용자 세션수와 세션의 범위를 제한하고 접근 내역과 접근 매개변수의 수정 내역을 화면으로 출력할 수 있도록 하는 것. 11) 안전한 경로/채널(FTP: Trusted Paths/Channels) - 사용자-TSF간 안전한 채녈, TSF-TSF간의 경로를 이요한 안전한 통신을 보장하기 위한 요구 사항으로 구성. - FTP 클래스에서 정의되는 컴포넌트들로 안전하지 않은 응용계층에 의한 수정을 막는지 보증할 수 있어야 함. Part 3 * 보증 요구 사항 : TOE가 정의한 보안기능을 정확하고 완전하게 구현하였는지 여부와 안전한 운영 및 배달, 보안 기능이 정상적으로 동작하는지 여부 그리고 취약성을 제거되었는지 여부등을 정의. 10개의 보증 class로 구성 1) 보호프로파일 평가(APE: Protection Profile Evaluation) - 보호 프로파일의 구성이 완전성과 일치성을 가지고 안전한 기술로 개발되어 있음을 증명할 수 있도록 요구 사항 정의 - 보호 프로파일은 TOE를 평가할 수 있는 요구 사항을 가지고 있어야 하므로 이 클래스의 패밀리에서는 보안 환경, 보안 목적 및 TOE 보안 요구 사항에 대하여 정의 * 보호 프로파일(Protection Profile): 제품별 보안 요구사항을 기능과 독립적으로 공통 평가 기준의 보안 기능 요구사항과 보증 요구사항에서 선택하여 정의한 사용자 또는 개발자가 작성한 문서. 2) 보안 목표 명세서 평가(ASE: SEcurity Target Evaluation) - 보안 환경, 보안 목적, 보호 프로파일 수용, TOE 보안 요구 사항, TOE 요약 명세서들과 관계하여 정의. - 보안 목표 명세서가 TOE를 평가하는 기초자료로서 적합한지 증명하고자 하는 것이 ASE의 목적. * 보안목표 명세서: 평가의 기초가 되며 제품의 기능에 종속적으로 제품의 보안 기능과 보증 요구사항을 정의한 개발자가 작성한 문서. 3) 형상관리(ACM: Configuration Management) - 정보보호시스템의 개발과정에서 시스템에 관련된 모든 변경사항을 추적하여 시스템의 현재 상태를 항상 알 수 있도록 관리. - 형상 관리 문서에는 형상 관리 자동화, 형상 관리 능력 및 형상 관리 범위가 포함됨. 4) 배포 및 운영(ADO: Delivery and Operation) - TOE의 배포, 생성, 설치, 시동에 대한 요구 사항을 제공하며 TOE 개발자가 의도한 안전한 방식으로 설치, 생성, 시동됨을 보증. - 정확한 delivery 절차를 확인 할 수 있도록 인수 절차 요구 5) 개발(ADV: Development) - 정의한 보안 기능이 구체화되어 기능 명세, 기본 설계, 상세 설계, 구현의 표현 등으로 일관성있고 정확하게 제품에 구현됨을 보증. 6) 지침서(AGD: Guideline Documents) - 사용자와 관리자에게 TOE를 안전하게 운영할 수 있도록 지침서를 제공하도록 요구. 7) 생명주기 지원(ALC: Life Cycle Support) - 생명 주기를 정의하여 도구와 기술에 대한 유지 보수를 요구사항으로 제공하며 개발 환경 보안 등을 요구. 8) 시험(ATE: Test) - 정의한 보안 기능을 모두 시험하여, 기능이 정상적으로 정확하게 동작됨을 보증. - 시험의 범위, 상세수준, 기능 시험 및 독립 시험 등을 다루고 있음. 9) 취약성 평가(AVA: Vulnerability Assessment) - 오용, 보안 기능 강도, 취약성 분석의 4개의 패밀리로 구성. - TOE의 오용이나 부정확한 구성, 직접 공격에 견디는 보안 매커니즘의 강도, TOE 개발 및 운영 중에 나타나는 취약성을 이용한 침투 시험 등에 대한 내용 요구. 10) 보증 유지 클래스(AMA: Maintenance of Assurance) - TOE나 환경에 변경이 일어나더라도 TOE가 계속하여 보안 목적을 만족한다는 보증을 정한한 수준으로 유지할 것을 요구.

* 정보 보호 정책(Information Security Policy)
- 정보보호를 위한 관리 방향과 최고 경영자의 지지를 제공하기 위한 정책.
- 어떤 조직의 기술과 정보자산에 접근하려는 사람이 따라야 하는 규칙의 형식적인 진술
- 조직의 정보보호에 대한 방향, 전략 그리고 정보보호 프로개름을 제시하는 매우 중요한 기반 문서
- 정보보호 정책 문서는 조직 내의 모든 정보보호 관련 문서들 중 최상위 등급에 위치해야 함.
- 정보 보호 정책 특징
1. 수용 가능한 지침 또는 다른 적절한 방법을 수립하고 시스템 관리 절차를 통해 구현이 가능해야 함.
2. 예방이 기술적으로 불가능한 곳에서 인가에 의해 적절한 경우에 보안도구가 실행 가능해야 함.
3. 사용자, 관리자, 기술 요원에 대한 책임 영역이 명확하게 정의되어야 함.
- 정보보호 정책의 포함 내용
1. 정보보호의 정의, 전체적인 목적과 범위, 정보보호의 중요성
2. 정보보호의 목표와 원칙을 지원하는 관리자(최고경영자)의 의지
3. 조직에 있어 특별히 중요한 사항을 위한 정책, 원칙, 기준, 요구 사항에 대한 간략한 설명
4. 정보보호 관리에 대한 일반적 및 세부적인 책임의 정의
5. 정보보호 정책을 지원하는 참고 자료
- 좋은 정책?
1. 정책은 간결하과 명확해야 함. -> 모든 대상이 이해가능하도록 난해한 기술적인 표현들은 삼가해야 함.
2. 정보보호의 목표와 방침을 포함해야 함.
3. 정책에 영향을 받는 인력들에게 해당 정책에 대해 충분한 설명이 필요. 즉, 정책의 의도를 이해할 수 있도록 관련 교육 및 훈련 필요.

* 정보보안 영역의 분류

1. 관리적 보안
1) 보안 정책: 보안 관리를 위한 관리 방향을 제시하고 정보에 대한 보호를 지원하기 위해서 절대적으로 필요한 요소.
2) 보안 지침: 보안 정책에 근거하여 각 부서별, 담당자별로 지켜야 할 준수사항.
3) 보안 절차: 보안 지침에 의거한 보안의 적용에 대한 표준화된 순서.
4) 보안 조직: 보안 정책에 의해서 보안을 관리할 조직을 구성하고 보안 사고가 발생할 경우, 신속하게 대응.

2. 물리적 보안
1) 출입 통제: 정보처리 시설이 위치하는 건물 자체와 건물의 출입구, 출입구 이외의 접근 경로 등을 모두 고려.
2) 작업 통제: 내부자나 출입 통제를 통과한 외부인으로 부터 시스템 및 정보를 보호.
3) 전원 대책: 예기치 못한 정전이나 화재 등으로 전원이 끊겨 일어날 수 있는 네트워크의 마비나 정보의 손실 등에 대비.
4) 장비 보안: 전력선 및 전화선 구분 정보의 이동 통로인 네트워크선의 안정성을 유지

3. 기술적 보안
1) 네트워크 보안: 비밀성과 무결성이 보장되고 유지되는 가운데 가용성이 극대화되도록 고려.
2) 서버 보안: 정보시스템의 기본이 되는 시스템 소프트웨어의 손상이나 침해 사고 방지.
3) PC 보안: 내부자의 의도적 또는 실수로 인한 정보의 유출 및 시스템 손상 방지.
4) 통합 관리: 네트워크 시스템의 증가 및 사용자의 증가로 인한 취약점을 고려하여 적절한 보안 대책 수립.


* 프라이버시 관리 및 정보보호: 프라이버시 이슈
1) 스파이웨어: 무료로 배포되는 공개 S/W에 들어 있는 일종의 프로개램으로 자신이 설치된 시스템의 정보를 원격지의 특정한 서버에 주기적으로 보내는 프로그램. 즉, 광고효과 모니터링을 위해 컴퓨터 이용자의 이름이나, IP 주소, 방문한 웹사이트 목록, 클릭한 배너 광고등의 개인 정보를 미리 설정된 특정 서버로 보냄으로써 외부에서 인터넷을 통해 특정 이용자의 개인 정보를 확인 할 수 있음.
* 스파이웨어 종류
- 사용자의 정보를 수집하는 Program
- 사용자의 인터넷 연결을 가로채는 PG.
- 사용자의 컴퓨터에 광고를 전송하는 PG.
2) 쿠키: 웹 어프리케이션이 클라이언트 컴퓨터의 하드 디스크에 저장하는 작은 텍스트. HTTP의 stateless의 한계 극복을 위해 사용. 사용자가 web site방문시 생성되는 4KB이하의 파일은 쿠키 만료일이 지나면 삭제되며, 쿠키에는 사용자 이름, 암호, 주민등록번호, 신용카드 번호 등이 저장됨.
* cookie의 용도
- 사용자의 id와 PW외에도 사용자의 성향 파악.
- 쇼핑몰의 장바구니 시스템.
- 웹사이트 이용 방식 추적 가능.
- 타겟 마케팅: 대형 포털 사이트에서 광고주가 광고 공간을 사들여 광고를 사용자에게 보여주는 것.

* 프라이버시 관리 및 정보보호: 프라이버시 영향평가(PIA)
: 신규 개발되는 정보 시스템 등이 기본적인 프라이버시 요구를 만족시킬 수 있도록 도와 주는 프로세스.

* PIA(Privacy Impact Assessment:프라이버시 영양 평가)의 목표 - 경영층이 프라이버시에 대한 위험과 해당 위험에 대한 대응계획 수립을 위한 의사결정을 하도록 지원. - 프로젝트 관리자나 프로젝트 스폰서의 역할 내에 프라이버시에 대한 책임성(accountability)를 명확히 포함되도록 함. - 신규 시스템이 프라이버시 관련 정부의 법규에 기술적 / 법적으로 순응하며, 일관성있고 구조화된 프로세스가 있음을 확신 시켜줌<- 국제 법규가 고려될 때 특히 중요 함. - 개인정보의 흐름에 대해서 문서화를 제시하여 향후 확인, 주기적인 점검, 새로운 프라이버시 보호 요건의 반영이 용이하도록 함. -> 프라이버시 준수를 위한 정보 시스템의 수정 및 갱신 감소. - 업무 프로세스와 관련된 개인 신상 정보의 성격 식별. * PIA의 필요 시기 - 개발 초기단계에서 고려 - 시스템 구매 또는 시스템 개발 작업의 승인을 위한 funding의 요청 승인시. * PIA 실시 이유 1. 불필요한 개인 정보 수집을 막고 더 이상 필요치 않는 개인정보를 삭제함으로써 수집 및 관리하는 개인 정보의 양을 감소시킴. 2. 새로운 정보 시스템 도입이나 개인 정보 수집에 앞서 시스템의 구축, 운영이 고객 및 국민의 파라이버시에 미치는 영향을 평가하는 체계적인 절차 <- 시스템 도입 시 PIA를 실시하여 정보자산 중 개인 정보의 범위를 알아내고 정보의 흐름을 분석하여 적절한 해결 방안을 제시. 프라이버시 영향 평가(PIA)는 각종 전자 정부 사업을 추진함에 있어 당해 사업이 프라이버시에 미치는 영향을 사전에 조사함으로써 전자정부 사업에 따른 국가 기관에 의한 프라이버시 침해를 최소화하는 데 그 의의가 있다.

* 위험 관리: Risk Management
- 위험관리: 위험 식별, 평가, 수용가능한 수준으로 위험을 감소시키는 것.
- 위험 분석: 위험을 식별하고, 발생 가능한 피해를 평가해서 보안 안전 장치를 구현하기 위해 필요.
- 위험 분석의 4가지 목표
1. 자신과 그것의 가치를 확인
2. 취약성과 위협을 식별.
3. 잠재적인 위협이 사업에 미치는 영향력과 가능성을 정량화.
4. 위협의 충격과 대응을 위한 비용간의 경제적인 균형 제공.
<= 경영진이 분석의 범위를 정의하고 제안하면, 분석 팀이 평가 후 보고서를 작성하고, 최고 경영진이 이를 컴토 분석 후 적절한 대안을 취함. 즉, 최고 경영진 참여가 필수적.

* 용어 정의 1. 자산(Assets): 조직의 업무에 사용되는 가치가 있는 것 중에서 서버, 통신 장비, 어플리케이션 그리고 Database 등 정보 시스템과 정보를 포함한 유형의 설비. 2. 위험(Risk): 비정상적인 일이 발생할 수 있는 가능성(잠재적인 손실액) - 위험 = 위협이 성공할 가능성 * 위험 성공시의 손실 크기. 3. 위협(Threat): 위험 분석의 요소에서 "자연 재해" 처럼 손실을 발생시키는 원인이나 행위자. 4. 취약성(Vulnerabilities): 위협이 없으면 손실로 이어지지 않지만, 위협 요소들이 침입할 수 있는 그거가 된다. - 위협이 있다고 해도 시스템에 취약성이 없다면, 그 위협은 손실을 발생시키지 않는다. 5. 보호대책: 취약성을 위협으로부터 보호하기 위해 수립하는 것. 6. 위험 분석(Risk Analysis): 위험을 분석하고 해석하는 과정으로 조직 자산의 취약성을 식별하고, 위협 분석을 통해 발생 가능한 위험의 내용과 정도를 결정하는 과정. - 정보시스템과 그 자산의 기밀성, 무결성, 가용성에 미칠 수 있는 다양한 위협에 대해서 정보시스템의 취약성을 인식하고 이로 인해 인식할 수 있는 예상 손실을 분석. 7. 위험 평가(Risk Assesment): 조직이 보호해야할 자산을 파악하고 그 가치를 평가하여 자산에 대한 위협의 종류와 영향을 평가하며, 조직이 지니는 취약점을 분석함으로써 위협이 주는 위험의 정도를 평가하는 과정. 8. 위험 관리(Risk Management): 측정 및 평가된 위험을 줄이거나 제거하기 위한 과정으로 위험을 일정 수준까지 유지, 관리하는 것으로써, 종종 위험 평가가 위험 관리 개념 내에 퍼함되기도 함. - 주요 목적은 위험을 수용가능한 수준으로 감소시키는데 있다. - 위험 관리 = 위험 분석/평가 + 위험 완화. * 위험을 처리 방법. 1. 회피(Avoidance): 위험이 존재하는 프로세스나 사업을 수행하지 않는 것. 2. 이전(Transfer): 잠재적 비용을 제 3자에게 이전하거나 할당 하는 것. 3. 감소(Reduction/Mitigation): 위험을 감소시킬 수 있는 대책을 채택하여 구현 한 것. 4. 수용(Acceptance): 위험을 받아 들이고 비용을 감수하는 것.

* 위험분석의 단계
+ 분석 단계
1. 정보와 자산에 가치 부여.
2. 위험에 대한 잠재적 손실 평가.
3. 위협 분석 수행
4. 위험에 대한 총체적인 잠재 손실 추록.
5. 위험을 줄이고 분담하고 혹은 수용.

1. 정량적 위험 분석 : 수학적 기법을 활용하여 자산에 대한 해당 위험도를 분석. 화폐 가치로 산정될 수 있어 예산 수립에 유용하다. 1). ALE(Annual Loss Expectancy: 연간 예상 / 기대 손실) - ARO: Annualized Rate of Occurrence: 연간 발생 비율, ARO는 1년 동안 위협의 발생 가능성의 추정치. 예) 홍수 발생률이 100년에 1번이라면 ARO는 0.01 - 연간 예상 손실(ALE) = 단일 예상 손실(SLE) * 연갈 발생율(ARO) +SLE: Single Loss Expectance: 단일 기대 손실: 특정 위협이 발생한 경우 잠재적 손실액. => SLE=자산 가치 * 영향계수(exposure factor, EF = 노출 계수) + 영향 계수, EF는 휘협이 특정 자산에 끼칠 수 있는 손실 퍼센트. 2) 과거 자료 분석법: 과거 자료가 많을 수록 분석의 정확도는 높아지며, 과거에 일어났던 사건이 미래에도 일어난다는 가정이 필요하며, 과거의 사건 중 발생 빈도가 낮은 자료에 대해서는 적용이 어렵다. 3) 수학 공식 접근법: 위협의 발생 빈도를 계산하는 식을 이용하여 위험을 계량하는 방법. 과거 자료의 획득이 어려울 경우 위험 발생 빈도를 추정하여 분석하는데 유용하다. 4) 확률 분포법: 미지의 사건을 추정하는데 사용된다. 확률적 편차를 이용하여 위험 평가를 예측하기 때문에 정확성이 낮다.

2. 정성적 위험 분석 : 자산에 대한 화폐 가치 식별이 어려운 경우, 자ㅎ산의 위험도를 가중치로 부여하여 우선순위 선정. 1) 델파이 법: 시스템에 관한 전문적인 지식을 가진 전문가 집단이 위험 분석 / 평가하여 다양한 위협과 취약성을 분석. 짧은 기간내에 위험을 도출할 수 있지만, 정확도가 낮다. 2) 시나리오 법: 여러 변수중 하나의 변수가 변경되어 전체에 미치는 영향도를 평가. 3) 순위 결정법: 비교우위 순위 결정표에 위험 항목들의 서술적 순위를 결정하는 방법. 가 위협을 상호 비교하여 최종 위협 요인의 우선 순위를 도출하는 방법.

가. ALE(연간 예상 손실)


=================================================================================================================
[Q1 - 2010] 위험 관리(Risk Management)에서 자산 가치가 100억원, 노출계수가 60%, 연간 발생율이 3/10, 보안관리 인원수가 10명이라고 하면 연간 예상 손실(ALE)를 계산하면? 4)
1) 1.8억원 2) 3억원
3) 6억원   4) 18억원  5) 180억원 

[Q2 - 2008] "정보보호관리 체계 인증 등에 관한 고시(방송통신위원회, 제 2008호-11호)"에서 정하고 있는 정보보호관리체계(ISMS)의 정보보호관리과정 5단계 활동으로 올바른것은? 1)
1) 정보보호정책 수립 - 정보보호관리체계 범위 설정 - 위험관리 - 구현 - 사후관리
2) 정보보호관리체계 범위 설정 - 정보보호정책 수립 - 구현 - 위험관리 - 사후관리
3) 정보보호관리체계 범위 설정 - 정보보호정책 수립 -위험관리 - 구현 - 사후관리
4) 정보보호정책 수립 - 정보보호관리체계 범위 설정 - 구현 - 위험관리 - 사후관리

[Q3 - 2008] 다음 정보자산 관리에 대한 설명 중 틀린 것은 ? 4)
① 조사된 정보자산은 소유자, 관리자, 사용자가 확인되어야 한다.
② 정보자산의 적절한 통제 유지를 위해 책임 소재를 명확히 하여야 한다.
③ 정보자산의 가치와 회사에 미치는 영향을 고려하여 분류하여야 한다.
④ 중요도가 높은 정보자산은 별도의 식별표시를 하고, 중요도가 낮은 것은 식별표시 없이 관리한다.

[Q4 - 2008] 93. 일반적으로 정보 보안관리 지침에서 필수적으로 포함되어야 할 내용들을 선택하시오. (2개 선택) 2-3
① 사회공학적 침입 수법 ② 보안관리 영역 및 책임 명시
③ 보안사고 대응 및 처리 방법 ④ 최근에 공격된 주요 포트 목록

[Q5 - 2008] 92. A사의 100억원 짜리 자산(AV: Asset Value)에 대하여 20년에 1번 정도의 사고가 발생(ARO: Annualized Rate of Occurrence) 한다고 가정하고, 위험손실 노출지수(EF: Exposure Factor)는 0.2로 가정할 때 연간 예상 손실액(ALE: Annualized Loss Expectancy)은 얼마인가 ? 1)
① 1 억원 ② 2 억원 ③ 4 억원 ④ 5 억원

[Q6 - 2007] 93. 위험관리의 절차로 맞는 것은? 3)
① 위험분석 및 평가 → 대책의 선정 → 위험 식별 → 운영절차/책임
② 위험분석 및 평가 → 위험 식별 → 대책의 선정 → 운영절차/책임
③ 위험 식별 → 위험분석 및 평가 → 대책의 선정 → 운영절차/책임
④ 위험 식별 → 대책의 선정 → 위험분석 및 평가 → 운영절차/책임

[Q7 - 2007] 91. 다음은 무엇에 대한 설명인가? 3)
데이터가 송신된 그대로 수신자에게 도착해야 한다는 것을 의미하고, 전송 중 데이터에 대한 고의적 또는 악의적인 변경이
없었다는 것을 의미한다.
① 기밀성(Confidentiality)
② 인증(Authentication)
③ 무결성(Integrity)
④ 부인방지(Non-Repudiation)

[Q8 - 2007] 92. 정보보호 정책, 표준, 지침, 절차에 대한 설명 중 맞는 것은? 3
① 정책(Policy) : 정보보호를 위해 반드시 준수해야 할 구체적인 사항이나 양식을 규정
② 표준(Standard) : 정보보호에 대한 상위 수준의 목표 및 방향제시
③ 지침(Guidelines) : 선택 가능하거나 권고적인 내용이며, 융통성 있게 적용할 수 있는 사항 설명
④ 절차(Procedures) : 정보보호 정책에 따라 특정시스템에 필요하거나 도움이 되는 세부 정보 설명

[Q9 - 2010] - 118. 공통 평가 기준(Common Criteria)에서 정보보호 제품에 필요한 보안 기능 및 보증 요구사항을 서술한 문서를 무엇이라 부르는가? 1)
1) 보호프로파일(Protection Profile)
2) 보안목표명세서(Security Target)
3) TOE(Target Of Evaluation)
4) 패키지