01 정보보안

정보보안(Information Security)

정보 및 정보 시스템을 허가되지 않은 접근, 사용, 공개, 손상, 변경, 파괴 등으로부터 보호함으로써 무결성, 기밀성, 가용성을 제공하는 것

 

(3) The term "information security" means protecting information and information system from unauthorized access, use, disclosure, disruption, modification, or destruction in order to provide—

(A) integrity, which means guarding against improper information modification or destruction, and includes ensuring information nonrepudiation and authenticity;

(B) confidentiality, which means preserving authorized restrictions on access and disclosure, including means for protecting personal privacy and proprietary information; and

(C) availability, which means ensuring timely and reliable access to and use of information.

 

https://www.law.cornell.edu/uscode/text/44/3552

44 U.S. Code § 3552 - Definitions

048 보안의 3대 요소 

무결성(integrity)

• 적절한 권한을 가진 사용자가 인가된 방법으로만 정보를 변경할 수 있도록 하는 것
• 공격 유형 : 변경(메시지 수정, modification), 가장(masquerading), 재연(재전송, replaying), 부인(repudiation)
• 통제 유형 : 해싱, 설정 관리, 변경 통제, 물리적/기술적 접근 통제, 소프트웨어 디지털 서명, 전송 CRC 기능 등

기밀성(confidentiality)

• 인가된 사용자만 정보 자산에 접근할 수 있도록 하는 것
• 공격 유형: 스누핑(snooping), 트래픽분석(traffic analysis)
• 통제 유형: 저장 데이터 암호화, 전송 데이터 암호화, 물리적/기술적 접근 통제

가용성(availability)

• 필요한 시점에 정보 자산에 대한 접근이 가능하도록 하는 것
• 공격 유형: 서비스 거부(Denial of Service)
• 통제 유형: RAID, 클러스터링, 로드밸런싱, 중복 데이터 및 전원 선, 소프트웨어 및 데이터 백업, 디스크 쉐도잉, 코로케이션과 오프사이트 시설, 롤백 기능, 대체 작동 설정

 

049 보안 전문가의 자격 요건 

기본 소양 (윤리 의식)

• 정보통신윤리위원회에서 2007년6월25일에 발표한 정보통신 윤리 강령

우리는 정보통신 기술의 발달로 시간과 공간을 넘어서 세계가 하나 된 시대에 살고 있다. 정보통신 기술은 우리의 생활을 편리하게 하고 창조적 지식정보의 창출을 도와 새로운 가능성과 밝은 미래를 열어주고 있다. 

우리는 그동안 다함께 뜻을 모으고 힘을 기울여 정보통신 강국으로 우뚝 서게 되었다. 하지만 그 위상에 걸맞지 않게 우리 사회에는 불건전 정보 유통, 사이버 명예훼손, 개인 정보 침해, 인터넷 중독 등 정보 역기능 현상이 나타나고 있다. 최고의 정보통신 인프라와 함께 건전한 정보이용 문화가 확립될 때에 비로소 세계를 선도하는 진정한 정보통신 강국이 될 것이다.  

우리 모두는 지식정보사회의 주인으로서 인류의 행복과 높은 이상이 실현되는 사회를 만들어 나가야 할 사명이 있다.  

우리는 정보를 제공하고 이용할 때에 서로의 인권을 존중하고 법과 질서를 준수함으로써 타인에 대한 배려가 넘치는 따뜻한 디지털 공동체를 만들어 나가야 한다. 또한 개인의 사생활과 지적 재산권은 보호하고 유용한 정보는 함께 가꾸고 나누는 건전한 정보 이용 문화를 확산해 나가야 한다. 

우리는 궁극적으로 모두의 행복과 자유, 평등을 추구하며 인류가 정보통신 기술의 혜택을 고루 누릴 수 있도록 정보통신윤리를 지켜 나가야 한다는 데 뜻을 모으고 이 뜻이 실현되도록 성실하게 노력할 것을 다짐한다. 

- 우리는 타인의 자유와 권리를 존중한다.  
- 우리는 바른 언어를 사용하고 예절을 지킨다. 
- 우리는 건전하고 유익한 정보를 제공하고 올바르게 이용한다. 
- 우리는 청소년의 성장과 발전에 도움이 되도록 노력한다. 
- 우리 모두는 따뜻한 디지털 세상을 만들기 위하여 서로 협력한다. 

 

• 컴퓨터윤리기관(computer ethics institute)의 윤리 강령 10계명

1. 컴퓨터를 타인을 해치는 데 사용하지 않는다.
2. 타인의 컴퓨터 작업을 발해하지 않는다.
3. 타인의 컴퓨터 파일을 염탐하지 않는다.
4. 컴퓨터를 절도해서 사용하지 않는다.
5. 거짓 증거로 컴퓨터를 사용하지 않는다.
6. 소유권 없는 소프트 웨어를 사용하거나 불법 복제하지 않는다.
7. 승인이나 적절한 보상 없이 타인의 컴퓨터를 사용하지 않는다.
8. 타인의 지적 재산권을 침해하지 않는다.
9. 자신이 만든 프로그램이나 시스템으로 인한 사회적 결과에 책임을 진다.
10. 동료를 고려하고 존중하는 방식으로 컴퓨터를 사용한다.

 

• 인터넷활동협회(IAB-internet activities board)가 지정한 비윤리적인 행동

1. 고의적으로 허가받지 않고 인터넷 자원에 접근하려는 행위
2. 인터넷의 이용을 막는 행위
3. 의도적으로 시스템과 네트워크의 자원을 낭비하는 행위
4. 컴퓨터 기반 정보의 무결성을 파괴하는 행위
5. 타인의 사생활을 침해하는 행위
6. 인터넷 전반의 실험에 있어서의 과실

 

지식 소양(다양한 분야의 전문성)

• 운영체제, 네트워크, 프로그래밍, 서버, 보안 시스템, 모니터링 시스템, 암호, 정책과 절차 등의 분야에 전문성을 갖춰야 함

 

055 보안 관련 법

정보통신망 이용촉진 및 정보보호 등에 관한 법률

http://www.law.go.kr/lsInfoP.do?lsiSeq=111970#0000

정보통신과 관련된 가장 광범위한 법률로 안전한 정보통신망 환경을 조성하는 것이 목적

 

정보통신기반 보호법

ISP(인터넷 서비스 사업자)나 통신사와 같은 주요 정보통신 기반 시설에 대한 보호법

http://www.law.go.kr/법령/정보통신기반%20보호법

 

개인정보 보호법

개인 정보 관련 사항을 통합하여 규정한 법으로 2011년부터 시행

http://www.law.go.kr/법령/개인정보%20보호법

 

통신비밀보호법

통신 비밀을 보호하고 통신의 자유를 신장하기 위해 1993년에 처음 제정

http://www.law.go.kr/법령/통신비밀보호법

 

저작권법

저작자의 권리와 인접 권리의 보호 및 저작물의 공정한 이용을 목적으로 2006년에 제정

http://www.law.go.kr/법령/저작권법