정보보호기초

▶ 정보보호 용어 정리 

 

공격자 관점

• 보안 자산 : 조직에서 보유하고 있는 "가치가 있는 모든 것" 
                    Ex) 데이터, SW, 물리적 서버...
• 취약점 : 시스템을 "위협의 영향에 노출"시키는 시스템의 "약점"
• 약점 : 공격에 "활용될 수 있는 오류" → 아직 공격에 사용X
• 위협원 : 어떤 목적을 가지고 "위협"을 가하거나, 원인이 될 수 있는 활동을 하는 사람 or 조직
• 위협 행동 : "피해를 입힐 의도"를 가지고 목표에 취하는 모든 행위
• 위험 : 위협 요소로 부터 발생할 수 있는 피해
• 위협 : 위험을 일으킬 수 있는 요소
• 보안 조치 : 취약점을 제거하여 위험을 줄이는 조치

 

약점 vs 취약점

→ 약점 : 시스템 상에 존재하는 오류, 버그 등을 일으킬 수 있는 근본 원인

→ 취약점 : 약점이 실제 공격에 사용되어 구체화된 경우

 

위협 vs 위험

→ 위협 : 위험을 일으킬 수 있는 요소 (관리가 불가능)

→ 위험 : 위협을 통해 발생할 수 있는 피해 (관리가 가능 → 보안 조치를 통해)

 

따라서,

1. 약점 or 취약점을 빠르게 찾아내서
2. 이에 따른 보안 조치를 취하는 것을 통해
3. 위험을 조절할 수 있다.

 

방어자 관점

• 보안 목적 : 정보 보호 시스템을 통해
                     "궁극적으로 달성하고자 하는 최종 보안 요구사항" → CIA
• 보안 요구사항 : "보안 목적을 달성하기 위한" 자세한 기능적 / 비기능적 사양
• 보안 조치 : CIA에 발생할 손실을 막기위한 기술적 메커니즘 or 대책

 

보안 수칙 4단계

1. 보안 목적 식별
2. 보안 요구사항 도출
3. 보안 조치 정의
4. 1-3번을 반복

 

하나의 보안 조치가 발생 → 다른 보안 목적 / 요구사항이 발생 가능