꿈을달려라.

보안 읽어주는 남자

최종 정리

Securityplus Union Academy

학 습 개 요

오늘은스터디의 목표 를 되돌아보고,

학습 주요내용 을 다시 짚어 봅니다.

1. 스터디의 목표

위험은자신이무엇을하는지

모르는데서온다.

-아인슈타인

우리가 공부해야 할 보안은 어떠한 것들이 있을까?

보안은 어디서부터 어떻게 공부하면 될까?

내가 뭘 잘하는 지 모르겠어.. 무엇에 집중해야 되지?

가장좋은그릇보다내게맞는그릇을찾아야합니다.

방향성 보안입문

웹시스템네트워크프로그래밍

ISMS법

보안전문가개발자 경영자

전문용어를쉽게

모호한것을명확하게

보안전문가는법적인 규제를 이해하고, 비용 효율적인 기업의 대책을 마련해야 한다.

또한 대책의 이행을 위하여경영자와 기업의 인식을바꿔야 하기 때문에사람과 조직을 이해하려는노력도 필요하다.

- Richard

2. 학습 주요 내용

10

우리 스터디의 범위를 확인해봅니다.

정보보호관리체계 스터디에서 다룬 주제를 한 번 볼까요?

스터디범위

ISMS(정보보호관리체계)

구성 (5개 분야)

- 정보보호정책수립

- 경영진, 조직 구성

- 위험관리

- 정보보호대책구현

- 사후관리

PIMS(개인정보보호관리체계)

구성 (3개 분야)

- 개인정보관리과정

- 개인정보보호대책

- 개인정보생명주기

스터디범위

ISO27001(정보보호국제표준)

구성 (11개 분야)

- 정보보호정책

- 정보보호조직

- 자산관리

- 인적자원보안

- 물리적 보안

- 통신 및 운영 관리 등

스터디범위

법(일반법과특별법)

구성

-개인정보보호법

-정보통신망법

-신용정보보호법

-전자거래법

-위치정보법

-전기통신사업법

-기타 회사에 따라..

일반법

특별법

스터디범위

CISSP(국제정보보호전문가)

구성 (10개 분야)

- 접근통제

- 암호학

- 운영보안

- 통신, 네트워크 보안

- 물리적 보안

- 법 등

스터디범위

정보보호 관리체계범위에 대해 살펴보았습니다.

각 도메인의

핵심 내용 만

간단하게 되짚어봅니다.

2-1. 접근통제

18

접근통제

자원에 대한 식별과 접근 통제 기법에 대해 살펴봅니다.

접근통제와통제

Access Control

물리보안경비원LocksCCTVToken

관리보안보안 정책보안 인식자산 분류직무 분리

기술보안암호화

접근 통제 S/W인증 매커니즘

백신

Control (Access Control을보완한다)

예방통제 탐지통제 교정통제

방화벽보안인식교육정책/절차“Inhibit”

(저지하다)

침입탐지시스템임계치/클리핑레벨감사증적/로그“Identify”(확인하다)

허니팟BCP/DRP

백업“Diminish”

(줄이다)

보안의설계

Cost

Overlap

Work Factor

Defense-in-Depth (Multi-level Security)

Open Design

시스템 설계는 공개가 가능해야 한다.

“보안은 암호학적키의비밀성에의존해야한다.”

인증분류

인증구분 설명 기반 종류

Type 1 인증 Something you know 지식기반 패스워드, PIN

Type 2 인증 Something you have 소유기반 스마트카드, 토큰

Type 3 인증 Something you are 존재기반 홍채, 지문, 정맥

Type 4 인증 Something you do 행동기반 음성, 서명

다중체계인증 (서로Type 달라야한다.)

침입탐지시스템

자료수집위치에 따른분류

* H-IDS : 호스트자원사용실태를분석하여탐지.* N-IDS : 네트워크패킷을분석하고캡쳐함으로써공격을탐지.

항목 Misuse Detection Anomaly Detection

동일용어 시그니쳐(지식)기반 통계(행동) 기반

탐지방법 패턴매칭 임계치초과

적용원리 전문가시스템 인공지능

장점 오탐율낮음 Zero-day 공격탐지가능

단점 알려진공격만탐지 에러율높음

침입탐지방식에따른분류

접근통제정리

공격기법 및 IDS접근 통제를 우회할 수 있는 공격기법과 IDS의 탐지 원리에 대해 학습.

접근 통제 모델(보안 모델)접근 통제 모델과 이에 기반한 보안 모델에 대하여 학습.

인 증인증 수단의 종류와 원리에 대해 학습.

접근통제접근 통제의 원리와 개념에 대해 학습.

2-2. 보안 관리

25

보안 관리

관리체계의 수립, 수행, 점검, 개선에 대해 살펴봅니다.

보안관리과정

통제대책

취약점

위험

자산

위협원

위협

소유자

도입

인지 경감

가치부여최소화

경감

탐색 발생

기인기인손상

발생

보안기본원칙

NIST에서말하는핵심원칙사이의의존관계

정보보호원칙들간의관계

기밀성

무결성

기밀성 무결성

가용성

무결성

기밀성

기밀성 무결성

책임추적성

보안인식교육

항목 보안인식 활동 보안 훈련 보안 교육

관점 무엇을 WHAT 어떻게 HOW 왜 WHY

교육 수준 정보 제공 지식 제공 통찰력 제공

교육 목적 인지 기술 이해

교육 방법매체 이용

(비디오, 뉴스레터)실질적 교육

(강의, 워크샵)이론적 교육

(토론, 세미나)

평가 척도 배운 내용 확인 배운 내용 응용 배운 내용 설명

교육 영향 단기 중기 장기

교육 ?

훈련 ?

“사람 안에 있는 것을 끄집어 내는 것”“주입 반복을 통해 그 사람에게 입력 시키는 것”

위험관리

위험 관리의 목표

위험을 수용 가능한 수준 으로 감소시키는 것

위험 식별

정성적 분석

정량적 분석위험대응계획

위험 모니터및 보고

보안관리정리

인사 보안사람에 대한 고용과 사회공학에서의 위협을 학습.

위험 관리위험 분석의 목표와 정량적, 정성적 분석 방법 및 대책을 학습.

보안 프로그램보안정책, 보안 인식 교육의 목적과 방법을 학습.

데이터 등급자산 분류를 위한 데이터 등급 분류의 목적과 방법을 학습.

2-3. 암호학

32

암호학

암호 방식과 알고리즘, 암호문 공격에 대해 살펴봅니다.

암호학의중요성

가장 중요한 핵심기술

초기 암호는메시지 보안

하지만, 인증 및 서명 등을 포함시킴

보안 솔루션 운영에 추가적으로암호화 가 사용

중요한 메커니즘 의 이해

암호학분류

암호학(Cryptology)

암호화(Cryptography)

암호 프로토콜(Cryptographic Protocol)

공개키 암호(Asymmetric Key Cipher)

암호해독(Cryptanalysis)

암호시스템(Cryptosystem)

대칭키 암호(Symmetric Key Cipher)

블록 암호(Block Cipher)

스트림 암호(Stream Cipher)

암호학정리

암호화 활용이메일 보안, 인터넷 보안 등의 활용에 대하여 학습.

암호해독 공격암호 해독 공격의 종류와 특징에 대하여 학습.

암호 알고리즘블록 기반 암호화 방식과 암호 알고리즘, 키 관리 등에 대해 학습.

암호화 방식암호화의 구분 및 암호시스템의 구분 기준과 특징에 대하여 학습.

2-4. 물리 보안

37

물리 보안

시설, 화재, 전력 관리 등 물리 보안에 대해 살펴봅니다.

출처 : KISIA&KDCA, 2013 국내지식정보보안산업 실태조사(2013)

물리보안의위협

구 분 내 용

자연 환경적 위협홍수, 지친, 폭풍, 화재, 고온, 누수, 습도, 먼지시스템 내 지나친 고/저온 현상, 전압변동 및 손실 등

악의적 위협물리적 공격, 도난, 비 인가된 접근, 공공시설 파괴방화, 도난, 파업, 폭동, 시민 불복종, 폭탄, 테러사기 절취 등

사고적 위협승인 받지 않은 접근, 직원의 실수, 단순한 사고보안 의무사항의 간과, 시스템 운영 미숙 등

Life Safety Goal

물리적보안프로그램의절차

ARL 설정

팀 구성

지속적평가

영향 평가

Baseline설정

요구성능정의

보안대책구현

성과지표재평가

물리보안정리

경계 보안경계 보안의 유형과 세부 내용에 대하여 학습.

전력 및 화재예방주요 전기 용어 및 화재의 탐지 및 진압 방법에 대하여 학습.

시설 관리주요 시설의 부지 선정 및 설계 시 고려사항에 대하여 학습.

물리적 보안 개요물리적 보안의 목표와 통제 기법, 보안 프로그램에 대하여 학습.

2-5. 보안구조

43

보안구조

보안 아키텍처와 보안 제품 평가방법에 대해 살펴봅니다.

보안아키텍처의필요성

가이드라인 제공자

비즈니스와 보안 결정의 전략적 연계

보안 관련된 안내

보안의 최상의 사례 적용

보안 구역 정의

좋은보안아키텍처의특징

전략- 새로운 기술의 채택을 위해 자세하진 않음

전체론- IT 중심에서 비즈니스 중심으로의 보안 프로세스 이동

다중 구현- 유연성은 비즈니스 요구를 해결하는 데 필요함

보안모델

SecurityModel

유 형 MAC DAC RBAC

권한부여 SYSTEM Data Owner Central Autority

접근결정 Security Level 신분 ROLE

정책 경직 유연 유연

보안구조정리

보안 제품 평가방법보안 아키텍처를 활용한 보안 제품 평가방법에 대하여 학습.

보안 아키텍처보안 아키텍처의 종류 및 각각의 특징에 대하여 학습.

컴퓨터 아키텍처와 일반적 아키텍처보안의 대상이 되는 컴퓨터와 비즈니스의 아키텍처에 대하여 학습.

보안 구조와 설계보안 아키텍처의 구성요소와 필요성에 대하여 학습.

2-6. BCP&DRP

49

BCP&DRP

재난 발생 시 위협과 복구 방안 수립에 대해 살펴봅니다.

BCP&DRP 프로세스

BIA 수행

비상계획개발

비상계획정책수립

계획유지관리

예방통제식별

복구전략개발

테스트

훈련경험

BIA(비즈니스영향분석)

보고데이터수집

리소스식별

취약점식별

대상자선정

기능식별

MTD 산출

기능위험산정

시설물복구의유형

유 형 설 명 RTO 장점 단점

미러사이트

운영-운영실시간 동시 서비스

즉시데이터 최신성높은 안정성

신속한 업무재개

높은 초기투자비용높은 유지보수비용데이터 업데이트과부하 초래

핫사이트

운영-대기최신 상태 유지

수시간

데이터 최신성높은 안정성

신속한 업무재개높은 가용성

높은 초기투자비용높은 유지보수비용

웜사이트

중요성이 높은 정보기술 자원만 보유

수일구축 및 유지 비용이 핫사이트에 비해 저렴

데이터 다소 손실초기 복구 수준 부

분적

콜드사이트

데이터만 최소한으로 보관

수주구축 및 유지 비용 가장

저렴

데이터 손실 발생복구시간 김

복구 신뢰성 낮음

상호협정

유사 환경을 가진기업 간 계약

즉시대체 사이트 선택보다

저렴계약 이행 강제력

없음

BCP&DRP 정리

데이터 복구와 회복긴급한 데이터의 복구와 회복 방법에 대하여 학습.

전략 개발 단계식별된 재난 발생 시 위협과 복구 방안 수립에 대하여 학습.

비즈니스 영향 분석업무 중단이 조직에 끼치는 영향과 위험성에 대하여 학습.

BCP 프로세스비즈니스 연속성 계획의 정의와 프로세스에 대하여 학습.

2-7. 운영 보안

55

운영 보안

핵심 정보의 식별과 운영 보안 대책에 대해 살펴봅니다.

운영보안의 3요소

자산

나? 위협!

운영보안정리

보안 감사감사 증적의 관리 및 모니터링 기법에 대하여 학습.

TESEC에 따른 운영보안운영 보증 활동과 신뢰 기반 운영보안에 대하여 학습.

운영 보안 통제 대책행정, 기술, 물리적 운영 보안 통제에 대하여 학습.

운영 보안핵심정보와 핵심정보 통제의 식별에 대하여 학습.

2-8. 소프트웨어 개발 보안

59

소프트웨어 개발 보안

어플리케이션 환경의 위협 및 대응방안에 대해 살펴봅니다.

소프트웨어개발보안정리

SDLC에 따른 보안관리소프트웨어 개발 생명주기에 따른 보안관리에 대하여 학습.

데이터베이스의 보안위협 및 대응방안데이터베이스의 보안위협 및 대응방안에 대하여 학습.

서버의 보안위협 및 대응방안서버의 보안위협 및 대응방안에 대하여 학습.

클라이언트 보안위협 및 대응방안클라이언트 보안위협 및 대응방안에 대하여 학습.

2-9. 통신 및 네트워크 보안

62

통신 및 네트워크 보안

유,무선 네트워크 환경의 보안 위협에 대해 살펴봅니다.

http://channel.pandora.tv/channel/video.ptv?c1=01&ch_userid=majjol&prgid=32695007&ref=na

통신및네트워크보안정리

무선 위협무선 네트워크 환경의 보안 위협에 대하여 학습.

네트워크 보안 위협네트워크 환경의 보안 위협에 대하여 학습.

OSI 7 LayerOSI 7 Layer의 개념 및 레이어 별 프로토콜에 대하여 학습.

2-10. 법

65

법

컴퓨터 범죄 관련 법 유형과 사고 대응에 대해 살펴봅니다.

법정리

윤리보안 지침 및 OECD 프라이버시 8대 원칙에 대하여 학습.

포렌식컴퓨터 관련 법적 증거를 수집, 분석, 보존하는 기술에 대하여 학습.

사고처리 대응컴퓨터 범죄에 대응하여 피해복구 및 사고예방 방법에 대하여 학습.

컴퓨터 범죄와 법컴퓨터 범죄의 정의와 법의 유형에 대하여 학습.

맺음말Basic –기본에집중하세요.

Detail –영역별전문가가되세요.

Logical –논리적인사고력을배우세요.

Field –경험을쌓으세요.

CPPG 스터디 예고

모집안

Securityplus Union Academy

개 요

지금부터 CPPG 에 대한 시험 소개와

스터디 모집 요강 을 살펴봅니다.

CPPG 시험을 준비하시는 분들을 위한 팁

1. 개인정보보호법과 정보통신망법의 차이점은 확실히 숙지

2. 사례를 통한 법의 적용(KISA 개인정보보호법 상담 사례집)

3. 포인트가 되는 숫자들은 확실하게 암기(벌금, 적용인원 등)

4. 기출문제, 시나공 문제집의 예상문제 보다는

6. 지문의 길이도 상당히 긴 편이라

대한 이해도 필요.

모 집 개 요

- 목표 : 8월 24일(일) CPPG 자격시험 응시/취득

- 스터디 모임(10회) : 6월 4째주 ~ 8월 3째주 (투표)

- 스터디 장소 : 고려대 과학도서관 (무료 임대 가능)

- 회비 : 3만원 (70% 이상 참석 시, 100% 환불)

- 지각비 : 10분 당 1,000원 (30분 이상은 결석)

- 결석비 : 3,000원

- 프리패스 : 3회 제공 (지각/결석비 면제)