[아이티쓸잡] 보안#1

안녕하세요! 보안코치 제로썬이에요 :)

 

[아이티쓸잡]IT에 쓸만한 잡학사전에서는 다양한 IT 전문용어 등을 요약해서 설명하는 페이지입니다!!

 

자~~~~반복해서 익숙해질 때까지 계속 보고 이해 해보아요~~

 

01.정보보안
02.암호
03.네트워크에 사용 되는 프로토콜 (암호화)

 

01. 정보보안

정보보안(information security)은 말 그대로 정보를 다양한 공격 위협으로부터 보호하는 것을 뜻한다.

여기서 말하는 정보는 수집, 가공, 저장, 검색, 송신, 수신 도중에 정보의 훼손, 변조, 유출 등을 방지하기 위한 관리적, 기술적 방법을 의미한다.

 

정보보안

정보 보호란 정보를 제공하는 공급자 측면과 사용자 측면에서 이해할 수 있다.

• 공급자 측면 :
  • 내∙외부의 위협요인들로부터 네트워크, 시스템 등의 하드웨어 데이터베이스, 통신 및 전산시설 등 정보자산을 안전하게 보호∙운영하기 위한 일련의 행위
• 사용자 측면 :
  • 개인 정보 유출, 남용을 방지하기 위한 일련의 행위.

컴퓨터 시스템이나 이에 사용되는 자료에 대해 사용 권한이 부여된 사람들만이 사용할 수 있도록 통제하고 제어하는 작업을 의미하며, 보안에는 외부에서의 침입과 데이터 파괴로부터 지키는 외부 보안, 컴퓨터 시스템 내에서 데이터를 보호하는 내부 보안, 아이디와 비밀번호에 의해 사용자를 인증하는 사용자 인증 등이 있다.

 

정보보안 목표

정보에 대한 위협이란 허락되지 않은 접근, 수정, 노출, 훼손, 파괴 등이다. 정보위협의 주체는 외부의 해커가 될 수도 있고, 내부인이 될 수도 있다. 정보에 대한 위협은 나날이 늘어가고 있기 때문에 모든 위협을 나열할 수는 없으나, 전통적으로 다음의 세가지가 정보 보안의 주요한 목표이다. 

 

정보보안의 3요소는

• 기밀성(Confidentiality)
• 무결성(Integrity)
• 가용성(Availability)

정보보안 특성

• 정보보안은 100% 완벽하게 달성할 수 없다.
• 정보보안 대책의 설치시 필요성을 확신할 수 없다.
• 정보보안 대책의 효과성은 실패율에 의해 측정된다.
• 2가지 이상의 대책을 동시에 사용하면 위험을 크게 줄일 수 있다.

<출처 : 위키백과>

 

02.암호

암호

비밀 인증 데이터의 한 형식으로 어떠한 자원에 대한 접근을 제어하는데 사용(비밀번호/패스워드)

암호는 허용되지 않는 접근으로부터 비밀을 보호하며, 접근권을 얻으려는 사람들에게 암호를 물어서 접근 여부 결정한다.

 

암호학

평문을 다른 사람이 알아볼 수 없는 형태의 암호문으로 만들고 특정한 비밀키를 알고 있는 사람만 다시 평문으로 복원시킬수 있도록 하는 암호기술과 이를 제3자가 해독하는 방법을 분석하는 암호해독에 관하여 연구하는 학문

암호...매트릭스 아님..

암호의 필요성

- 암호화를 통해 제공되는 기능

1. 기밀성(Confidentiality)

허락 되지 않은 사용자 또는 객체가 정보의 내용을 알 수 없도록 하는 것이다. 비밀 보장이라고 할 수도 있다. 원치 않는 정보의 공개를 막는다는 의미에서 프라이버시 보호와 밀접한 관계가 있다.

• 자산이 인가된 당사자에 의해서만 접근 보장하며 정보를 오직 인가된 사람들에게만 공개 하는 것
• 전송되는 데이터의 내용을 보호하여 비인가자가 정보의 실제 내용에 접근하는 것을 방지
• 기밀성의 위협 요소 : 도청, 사회공학 등
• 키가 있는 사용자만이 내용을 볼 수 있으므로 기밀성 제공된다.

2. 인증성(Authentication)

그 사람이 인가된 사람이 맞는지 또는 데이터가 원하는 데이터가 맞는지 확인하는 매커니즘을 사용합니다. 연결 지향 통신에서 연결되어 있을 때 송신자 또는 수신자에게 인증이 필요할 수 있으며, 비연결 지향 통신에서는 그 데이터의 출처를 인증이 필요할 수 있다.

• 참이라는 근거가 있는 무언가를 확인하거나 확증하는 행위
• 객체를 인증하는 것은 이에 대한 출처를 확인하는 것을 뜻하는 반면, 사람을 인증하는 것은 사람의 신분을 구성하는 것
• 키의 소유 여부로 메시지의 출처가 명확해진다.

3. 무결성(Imtegrity)

허락 되지 않은 사용자 또는 객체가 정보를 함부로 수정할 수 없도록 하는 것이다. 다시 말하면, 수신자가 정보를 수신했을 때, 또는 보관돼 있던 정보를 꺼내 보았을 때 그 정보가 중간에 수정 또는 첨삭되지 않았음을 확인할 수 있도록 하는 것이다.

• 정보가 원 그대로 변형되지 않고 전달되는 성질
• 원래의 정보 또는 신호가 전송/저장/변환 중에 또는 그 후에도 동일함을 유지하는 것
• 해쉬 알고리즘으로 계산된 값을 전송함으로써 위/변조 시 내용 변경을 인지할 수 있다.

4. 부인방지(Non-Repudiation)

데이터의 송신자가 전송한 데이터가 맞다는 사실 또는 수신자가 데이터를 수신 사실을 거부할 수 없게 만드는 보안 서비스이다. 예를 들어 메시지의 송수신이나 교환 후 또는 통신이나 처리가 실행된 후에 그 사실을 사후에 증명함으로써 사실 부인을 방지한다.

• 발신 부인 방지 : 정보를 보낸 사람이 나중에 이를 부인하지 못하도록 함
• 수신 부인방지 : 정보를 받은 사람이 나중에 이를 부인하지 못하도록 함
• 키의 소유로 해당 메시지를 송신한 자가 부인할 수 없게 된다.

로그인 페이지, 아이디/비밀번호

서비스를 제공하기 위해서 당사자가 누군지 식별하기 위해 회원가입를 받게 하죠. 저희가 너무 익숙하게 사용하고 있는 로그인 페이지에서 아이디와 비밀번호를 입력해서 접근하게 됩니니다.  인증(사람을 인증하는 것은 사람의 신분을 구성하는 것)을 통해 말이죠

• 아이디(identification number) : 컴퓨터를 사용할 때 사용자(등록자)를 식별하기 위한 식별 기호
• 비밀번호(Password) : 기기 또는 기타 접근 할 권리를 가진 이용자를 식별하기 위한 문자열이나 코드번호

 

03.네트워크에 사용 되는 프로토콜 (암호화)

네트워크에서 사용되는 프로토콜 중 암호화를 이용한 프로토콜과 암호화를 하지 않은 프로토콜로 구분되어 사용됩니다.

1. HTTP(80) : HyperText Transfer Protocol

• 월드 와이드 웹에서 정보를 주고받을 수 있는 프로토콜이다. 주로 HTML 문서를 주고 받을 때 사용

2. HTTPS(443) : Hypertext Transfer Protocol over Secure Socket Layer

• 월드 와이드 웹 통신 프로토콜인 HTTP의 보안이 강화된 버전이다
• SSL이나 TLS 프로토콜을 통해 세션 데이터를 암호화(소켓 통신에서 일반 텍스트를 이용하는 대신)

3. FTP(20(데이터 전송)/21(제어)) : File Transfer Protocol

• TCP/IP 프로토콜을 가지고 서버와 클라이언트 사이의 파일 전송을 하기 위한 프로토콜
• 파일 전송 프로토콜은 TCP/IP 프로토콜 테이블의 응용 계층에 속하며, 역사는 오래 되었지만 지금도 인터넷에서 자주 사용된다.

4. SFTP(22) : Secure File Transfer Protocol

• 신뢰할 수 있는 데이터 스트림을 통해 파일 접근, 파일 전송, 파일 관리를 제공하는 네트워크 프로토콜

5. TELNET(23) 

• 인터넷이나 로컬 영역 네트워크 연결에 쓰이는 네트워크 프로토콜

6. SSH(22) : Secure Shell

• 네트워크상의 다른 컴퓨터에 로그인하거나 원격 시스템에 명령을 실행하는 프로토콜

생각날때 마다 자주 보시고 자신이 용어, 개념, 정의를 말할 수 있어야 합니다!

 

오늘도 좋은 하루 되세요 :)

다음 글이 궁금하다면 밑에 링크로 보시면 됩니다 :)

↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓

https://zerotrust.tistory.com/23

[아이티쓸잡] 보안 용어#2