1주차(4) - 2022/02/10 정보보안개론

사회공학 기법

• 컴퓨터 기반의 사회공학 기법
• 인간 기반의 사회공학 기법
  • 직접적인 접근
  • 도청
  • 어깨너머로 훔쳐보기
  • 휴지통 뒤지기
  • Piggybacking
  • 피싱 
  • 파밍 : 적법한 소유자의 도메인을 탈취하거나 도메인 네임 서버나 프록시 서버에서 IP 주소를 변조해 가짜 사이트를 실 사이트로 보이게 가장하여 정보 습득

 

KISA-ISMS에서는 정보보호 관리체계의 관리메돌로 PDCA 모델 기반으로 한 SPDCA 프로세스를 제시하고 있다

• 정보보호 정책 수립 및 범위 설정
  • 정보보호 정책 구조
    • 정책 > 규정 > 지침 > 절차 (피라미드 구조)
• 경영진 책임 및 조직 구성
  • 조직 구성
    • CEO - CISO/CPO(정보보호 총괄책임자) - 정보보호 위원회 - 정보보호 관리자 - 정보보호 담당자 - 정보보호 실무협의회
• 위험관리
  • 정보자산 가치평가
    
    • 기밀성
    • 무결성
    • 가용성
    • 침해사고 피해규모
    • 장애복구 목표시간
  • 취약점 평가
    • 매우 취약
    • 비교적 취약
    • 보통
    • 취약하지 않음
  • 우려사항 = 우려도, 관심도, 중요도
    • 위협은 취약점을 이용하여 자산에 영향을 끼치고 있으므로, 위협과 취약점을 구분하지 않고 일련의 시나리오의 형태로 도출 가능하며 이를 우려사항이라고 함
  • 정보보호 대책 수립 관점
    • Transfer - 위험 전가
    • Avoid - 위험 회피/제거
      • 직접적으로 보호대책 수립할 수 없는 서비스 자체나 여건의 한계로 구조 변경, 서비스 종료등을 통해 발생위험 낮춤
    • Reduce - 위험 감소
      • DoA(Degree of Assurance) : 위험분석 결과 나타난 위험에 대해 조직이 수용가능한 위험도의 수준을 결정하는 것
      • DoA 이하로 위험 떨어뜨리기 위해 보안대책 수립
    • Accept - 위험 수용
      • DoA 이하인 위험에 대해서 보호대책 수립하지 않고 지속적인 모니터링을 토앻 위험으로 발전됨 감시
• 정보보호 대책구현
• 사후관리

 

국내 인증 제도

• ISMS-P(정보보호 관리체계 인증 + 정보보호 및 개인정보보호 관리체계 인증)
  • 2018.11.7 기존에 있던 ISMS와 PIMS가 병합된 형태로 ISMS-P 개정
  • ISP
  • IDC
  • 다음 조건 중 하나라도 해당하는 자
    • 연간 매출액 또는 세입이 1,500억원 이상인 자 중에서 다음에 해당되는 경우
• ISMS(정보보호 관리체계 인증) : 대상자 의무
  • 정보통신망법 제 47조 2항에 따라 ISMS 인증 의무 대상자 무조건 수행

 

국외 인증 제도

• ISO/IEC 27001(정보보호 관리체계 국제 표준) : 구 BS7799
• BS10012(개인정보보호경영시스템)

 

국외 법령 이슈

• GDPR(EU의 개인정보보호 법령) - General Data Protection Regulation

 

+ 기초수학