정보하기
1. 정보보안의 목표는 기밀성, 무결성, 가용성이다.
2. 정보보안은 허가받지 않은 사용자에 대한 파일 및 장치 등의 사용을 제한하는 시스템 보안과, 권한이 없는 사람의 접근이나 정상 운용 시 우연 또는 의도적인 방해나 파괴로부터 네트워크를 보호하기 위한 네트워크 보안으로 구분할 수 있다.
3. 네트워크 보안 요구사항은 실체 인증, 데이터 무결성, 데이터 보안성, 데이터 인증, 부인 방지이다.
4. 해킹(hacking)은 컴퓨터 네트워크의 보안 취약점을 찾아내어 그 문제를 해결하고 이를 악의적으로 이용하는 것을 방지하는 행위에서 다른 컴퓨터 시스템을 침입할 때 파괴적인 계획을 갖고 침입하는 행위로 변질되었다.
5. 대표적인 해킹 방법으로는 백도어, 스니핑, 스푸핑, 서비스 거부공격 등이 있다.
6. 악성 프로그램은 사용자 시스템에 침투해 정보를 유출하거나 정상적인 동작을 지연 또는 방해하는 프로그램으로 컴퓨터 바이러스 외에도 웜, 트로이 목마 등이 있다.
7. 인터넷에서 많이 발생하는 악성 프로그램의 감염 유형으로는 피싱과 파밍이 있다.
8. 암호화란 누구나 읽을 수 있는 평문을 권한이 없는 제3자가 알아볼 수 없는 형태(암호문)로 재구성하는 과정을 말하며, 암호화의 역과정으로 암호문을 평문으로 복원하는 것을 복호화라 한다.
9. 키의 종류에 따른 암호화 방식으로는 DES로 대표되는 대칭키 암호화 방식과 RSA로 대표되는 공개키 암호화 방식이 있다.
10. 전자서명은 네트워크상에서 문서나 메시지를 송수신할 때 디지털 문서에 서명자 인증, 문서의 위·변조 방지, 송신 부인 방지 등의 기능을 제공하는 암호화 기술을 사용하여 서명하는 방법이다.
11. 방화벽은 네트워크와 네트워크 사이에서 송수신되는 데이터를 검사하여 조건에 맞는 데이터만 통과시키는 소프트웨어나 하드웨어를 총칭한다.
용어정리
- 정보보안 (Information security) :
정보 보안은 유형, 무형의 정보를 수집, 가공, 저장, 검색, 송신, 수신 등 정보를 사용하는 과정에서 발생하는 여러 부작용에 대처하기 위한 모든 정보 보호 활동을 말한다.
여기서 정보보호(情報保護, information protection)란 정보를 제공하는 공급자 측면과 사용자 측면에서 논리적이고 물리적인 장치를 통해 미연에 방지를 하는 것에 목적을 두고 있다. - 해킹 (Hacking) :
해킹은 원래 컴퓨터 전문가들이 순수하게 작업과정 자체의 즐거움을 찾는 행위에서 컴퓨터가 대중화 되면서 점차 나쁜 의미로 변질되어 ‘어떠한 의도에 상관없이 다른 컴퓨터 침입하는 모든 행위’로 전산망을 통하여 타인의 컴퓨터 시스템에 접근 권한 없이 무단 침입하여 범죄행위를 저지르는 것을 말한다. - 서비스 거부 공격[Denial of Service (DoS)] :
서버가 처리할 수 있는 능력 이상의 것을 요구하여, 그 요구만 처리하게 만듦으로써 다른 서비스를 정지시키거나 시스템을 다운시키는 것으로 보통 한꺼번에 수많은 컴퓨터가 특정 웹사이트에 접속함으로써 비정상적으로 트래픽을 늘려 해당 사이트의 서버를 마비시키는 해킹 방법이다. - 컴퓨터 바이러스(Computer virus) :
컴퓨터에서 실행되는 일종의 명령어들의 집합으로 감염 대상이 컴퓨터 프로그램이나 데이터 파일이다. - 웜(Worm) :
네트워크를 통하여 자기 자신을 복제하며 전파할 수 있는 프로그램이다. 컴퓨터 바이러스와 다른 점은 바이러스는 다른 프로그램을 이용하여 자신을 복제하고 감염시키지만, 웜은 다른 프로그램을 감염시키지 않고도 자기 자신을 복제하면서 네트워크를 통해 널리 퍼질 수 있다. - 피싱(Phishing) :
피싱은 인터넷에서 송신자의 신원을 알리지 않는 메일로 수신자의 개인 정보를 빼낸 뒤 이를 불법적으로 이용하는 범죄를 뜻한다. 피싱은 개인 정보(private data)와 낚시(fishing)의 합성어이며 낚시를 뜻하는 fishing에서 발음이 같도록 변형한 것으로서, 인터넷에서 스팸메일을 미끼로 사용자를 '낚는' 것을 비유한 표현이다. - 파밍(Pharming) :
파밍은 합법적으로 소유하고 있던 사용자의 도메인을 탈취하거나 도메인 네임 시스템(DNS) 이름을 속여 사용자들이 진짜 사이트로 오인하도록 유도하여 개인 정보를 훔치는 신종 인터넷 사기 수법이다. 넓은 의미에서는 피싱의 한 유형으로서 피싱보다 한 단계 진화한 형태라고 할 수 있다. - 암호화 (Encryption) :
암호화는 누구나 읽을 수 있는 평문(plain text)을 권한이 없는 제 3자가 알아볼 수 없는 형태(암호문)로 재구성하는 과정을 말한다. 참고로 암호화의 역 과정으로 암호문을 평문으로 복원하는 것을 복호화(decryption)라 말한다. - 방화벽 (Firewall) :
방화벽은 누구나 연결할 수 있는 인터넷의 개방성으로 인해서 발생되는 보안상의 취약점을 해결하기 위한 네트워크 보안 방법으로서 네트워크에서 송수신되는 패킷을 검사하여 조건에 맞는 패킷들만 통과시키는 소프트웨어나 하드웨어를 총칭한다.
연습문제
Q1. 정보보안의 목표로서 부적절한 것은?
1. 기밀성(confidentiality)
2. 확장성(expandability)
3. 가용성(availability)
4. 무결성(integrity)
Q2. “파괴적인 계획을 가지고 다른 컴퓨터에 침입하는 행위”를 가리키는 용어는?
1. 백도어(backdoor)
2. 스니핑(sniffing)
3. 스푸핑(sppofing)
4. 크래킹(cracking)
Q3. 다음 빈칸에 가장 적절한 용어는?
( ) 공격은 공격자가 정보 시스템에 처리용량을 넘는 많은 양의 데이터를 전송하여 과도한 부하를 일으킴으로써 정보 시스템의 기능을 마비시키는 해킹 방법을 말한다.
1. 피싱(phishing)
2. 백도어(backdoor)
3. 트로이 목마(Trojan horse)
4. 서비스 거부(Denial of Service)
Q4. 다음은 어떤 용어에 관한 설명인가?
인터넷에서 도메인을 탈취하거나 DNS 이름을 속여 사용자들에게 가짜 웹사이트로 유인한 다음 유인된 사용자의 개인 정보를 빼내 불법적으로 사용한다.
1. 파밍(pharming)
2. 컴퓨터 바이러스
3. 스니핑(sniffing)
4. 트로이 목마
Q5. 다음 중 암호화에 관련된 설명으로 옳은 것은?
1. 암호화는 암호화된 문장을 평문으로 변환하는 과정이다.
2. 복호화는 평문을 암호문으로 변환하는 과정이다.
3. 대칭키 암호화 방식은 암호화 키와 복호화 키가 서로 같은 암호화 방식이다.
4. 공통키 암호화 방식은 암호화 키와 복호화 키가 서로 다른 암호화 방식이다.
Q6. 다음 중 정보보안 강화 방법으로 부적절한 것은?
1. 전자서명
2. 분산 서비스 거부
3. 방화벽
4. 백신 프로그램