04. [정보보안개론] Chapter 01. 정보 보안의 세계

Chapter 01 정보 보안의 세계

01. 해킹과 보안의 역사

01. 1950 년대 이전
02. 1960 년대
03. 1970 년대
04. 1980 년대
05. 1990 년대
06. 2000 년대
07. 2010 년대

02. 보안의 3대 요소

01. 기밀성
02. 무결성
03. 가용성

03. 보안 전문가의 자격 요건

01. 윤리 의식
02. 다양한 분야에 대한 전문성

04. 보안 관련 법

01. 정보통신망 이용촉진 및 정보보호 등에 관한 법률
02. 정보통신 기반 보호법
03. 개인정보 보호법
04. 통신비밀 보호법
05. 저작권법

Chapter 01 정보 보안의 세계

요약

1. 해킹의 정의
    - 남의 컴퓨터 시스템에 침입하여 장난이나 범죄를 저지르는 일
    - 컴퓨터 조작을 즐기기, 무엇이나 숙고하지 않고 실행하기
    - 해킹은 디자이너가 의도하지 않았던 방법으로 시스템의 특성이나 규칙을 이용한 창조적인 사용법을 찾는 것

2. 해킹과 보안의 역사
    - 1950 년대 이전: 암호화 기계 애그니마, 최초의 컴퓨터 콜로서스, 콜로서스의 발명자이자 최초의 해커인 알란 튜링, TMRC에서 해킹의 의미로 처음 단어를 사용
    - 1960 년대: 최초의 미니 컴퓨터 PDP-1, 최초의 컴퓨터 연동망(네트워크) ARPA, 유닉스 운영체제의 개발, 전화망 침입을 통한 무료 장거리 전화 해킹
    - 1970 년대: 최초의 이메일 전송, 마이크로소프트의 설립, 최초의 데스크톱 솔, 애플 컴퓨터의 탄생, C언어의 개발
    - 1980 년대: 베이직과 도스의 개발, 네트워크 해킹의 시작, 카오스 컴퓨터 클럽, GNU, 리처드 스톨만, 해커 잡지 PHRACK과 2600, 케빈 미트닉, 모리스 웜, 해커 선언문 등
    - 1990 년대: 해킹 대회 데프콘, 리눅스 0.01, 윈도우 NT 3.1, 리눅스 FreeBSD 1.0, 인터넷 브라우저 넷스케이프, 트로이 목마, 백 오리피스 등
    - 2000 년대: 야후, CNN, 아마존 등의 사이트 마비, 2003년 슬래머 웜으로 인한 인터넷 대란, 베이글 웜, 마이둠 웜, 넷스카이 웜, 개인정보 유출과 도용, 전자상거래 교란, 금융 해킹 등
    - 2010 년대: 농협 사이버테러, 지능적 지속 위협(APT) 공격, 해킹 도구이자 해킹의 대상인 스마트폰

3. 보안의 3대 요소
    - 기밀성(Confidentiality): 인가(authorization)된 사용자만이 정보 자산에 접근할 수 있도록 하는 것
    - 무결성(Integrity): 적절한 권한을 가진 사용자에 의해 인가된 방법으로만 정보를 변경할 수있도록 하는 것
    - 가용성(Availability): 정보 자산에 대해 필요한 시점에 접근 가능하도록 하는 것

4. 보안 전문가가 갖춰야 할 기초 소양: 윤리 의식
    - 진정한 정보 보안 전문가는 올바른 윤리 의식을 반드시 가지고 있어야 한다.

5. 보안 전문가의 자격 요건: 다양한 분야에 대한 전문성
    - 운영체제:
        보안 전문가가 갖춰야 할 가장 기본적인 지식이다.
    - 네트워크:
        TCP/IP 프로토콜의 동작에 대해 깊이 정확하게 이해할 필요가 있다.
    - 프로그래밍:
        C 언어 프로그래밍과 객체 지향 프로그래밍의 개념과 HTML에 대한 이해가 필요하다.
    - 서버:
        웹, 데이터베이스, WAS, FTP, SSH, Telnet 등의 설치와 기본적인 설정, 인증 및 접근 제어, 암호화 수준과 여부를 이해해야 한다.
    - 보안 시스템:
        방화벽, 침입 탐지 시스템, 침입 방지 시스템, 단일 사용자 승인(SSO), 네트워크 접근제어 시스템(NAC), 백신의 기본 보안 통제와 적용 원리, 네트워크상에서 구성, 운영 목적등을 이해해야 한다.
    - 암호:
        암호와 해시의 차이, 대칭키 알고리즘과 비대칭키 알고리즘의 종류와 강도, 공개키 기반 구조에 대한 이해가 필요하다.
    - 정책과 절차:
        조직적인 보안 관리를 위해 정책과 업무 절차, 보안 거버넌스(Governance)와 같은 주제를 이해해야 한다.

6. 보안 관련 법률
    - 정보통신망 이용촉진 및 정보보호 등에 관한 법률: 안전한 정보통신망 환경을 조성하는 것을 목적으로 하는 법률로서 정보통신과 관련한 법률
    - 정보통신 기반 보호법: 국가의 주요 정보통신 기반시걸의 안전을 위해 만들어진 법
    - 개인정보 보호법: 여러 법에 나누어 규정되던 개인정보 보호와 관련된 사항을 하나로 모아 만든 법안(개인정보의 수집, 이용, 제공 등에 대한 내용)
    - 통신비밀 보호법: 음성 통화 및 데이터 통신 관련 비밀 보호법
    - 저작권법: 저작자의 권리와 이에 인접하는 권리를 보호하고 저작물의 공정한 이용을 위한 목적으로 제정된 법

연습문제