보안 기초
CIA 3요소, 공격 분류, 보안 전략
CIA 3요소
| 요소 |
설명 |
| 기밀성 (Confidentiality) |
정보 접근 및 노출 제한, 개인 프라이버시 보호 |
| 무결성 (Integrity) |
부적절한 변경/파괴로부터 보호, 부인방지·진위성 보증 |
| 가용성 (Availability) |
적절하고 신뢰성 있는 접근과 사용 보증 |
핵심 용어
| 용어 |
설명 |
| 취약성 |
보안 정책을 위반할 수 있는 설계/구현/운영 상의 오류 |
| 위협 |
취약점을 악용해 손해를 가져올 수 있는 잠재적 상황 |
| 공격 |
위협을 이행하는 행위 |
| 대응 |
위협 탐지·보고·제거하는 행위/기법 |
취약성 → 위협 → 공격
취약성 범주:
- 오류 (무결성 상실)
- 유출 (기밀성 상실)
- 작동 불가 (가용성 상실)
공격 분류
소극적 vs 적극적
| 구분 |
특징 |
예시 |
| 소극적 공격 |
시스템 자원에 영향X, 탐지 어려움 |
도청, 트래픽 분석 |
| 적극적 공격 |
시스템 자원에 영향O, 예방 어려움 |
위장, 재전송, 메시지 변조, DoS |
위협의 결과
| 위협 |
침해 요소 |
공격 행위 |
| 비인가 노출 |
기밀성 |
도청, 간섭, 침입 |
| 기만 |
무결성 |
매스커레이드, 변조, 부인 |
| 분열 |
가용성·무결성 |
무력화, 오염, 방해 |
| 횡령 |
무결성·기밀성 |
전용, 오용 |
컴퓨터·네트워크 자산별 위협
| 자산 |
가용성 |
기밀성 |
무결성 |
| 하드웨어 |
장비 도난, 불능 |
- |
- |
| 소프트웨어 |
프로그램 삭제, 접근 거부 |
불법복제 |
프로그램 실행 중 변경 |
| 데이터 |
파일 삭제, 접근 거부 |
불법도청, 통계적 분석 |
파일 수정, 위조 |
| 통신라인 |
메시지 삭제, 네트워크 불통 |
도청, 트래픽 패턴 관찰 |
수정, 지연, 재정렬, 복제 |
보안 전략
명세서/정책 → 무엇을 할 것인가
구현/메커니즘 → 어떻게 할 것인가
정확성/확실성 → 잘 동작하고 있는가
4가지 보안 구현 기술
| 기술 |
설명 |
| 예방 |
공격 전, 암호화 알고리즘 적용 |
| 탐지 |
침입 탐지, 공격 부인 탐지 |
| 대응 |
탐지 후 공격 중지, 추가 손실 방지 |
| 복구 |
백업, 공격 후 손실 복구 |
관련 개념