2024년 1월 정보보안 스터디 01. 1차시

정보보안은 주로 해커나 사이버 전사에만 국한되는 이미지가 그려진다. 그러나 개발자조차도 특히 웹 개발자라면 보안에 대해서 무지할 수 없다.

 

사이버 보안이 대두된 이유가 무엇인지 생각해보면, 단순히 컴퓨터가 홀로 존재하며 계산만 하던 시절을 넘어 네트워크로 연결된 상태가 된지 오래되었기 때문이다.  이러한 상황에서 모두가 네트워크라는 그물에 연결되면서 오히려 해킹과 같은 범죄가 증가하게 되는 것이다.

 

아무도 살지 않는 오지의 농촌보다 인구밀도가 높은 도심에서 슬럼가가 발생할 확률이 더 높은 것과 유사하다.

 

그렇다면 어느 정도까지 알아야 할까? 모든 사람이 경찰로 일할 것은 아니지만 그러나 모두 자신의 몸과 가정, 재산을 지키기 위한 방어책 정도는 마련해 놓는 것이 당연하듯이 웹 상에서 개발을 하는 개발자 역시 정보보안이라는 개념에 대해 지식을 가지고 있어야 한다는 것이다.

 

정보보안 3요소

- 기밀성

- 무결성

- 사용성

 

접근제어 요소

- 식별

- 인증

- 승인

- 책임추적성

 

정보보안에는 ISMS-P라는 인증기준이 존재한다. 자세한 내용은 해당 인증기준 안내서에 자세하게 나와있다. 이와 관련해서 인증심사원이 별도로 존재한다. 

계층화된 보안: 네트워크 접근제어와 애플리케이션 접근제어

네트워크 접근 제어(NAS)

- 네트워크 접근제어는 네트워크 접점에 제어 장비 설치 후 접근을 제한하는 방법을 의미한다.

- IP 주소, MAC 주소 등으로 차단, 허가의 여부를 결정한다.

 

애플리케이션 접근 제어(AAS)

- 애플리케이션에서 정보 등을 통해 사용자를 식별하는 과정

- 대표적으로 지문을 통해 은행 어플에 들어가거나 일정 시간이 지나면 다시 로그인하게 하는 과정 등이 있다.

 

OSI 7계층

- L7 : 응용 계층 / HTTPS, SSL

- L6 : 표현 계층 

- L5 : 세션 계층 

-------------------------

- L4 : 전송 계층 / TCP, UDP 포트 

-------------------------

- L3 : 네트워크 계층 / IP주소 / VPN(ip protocol 이용하여 기밀성, 무결성 보장)

-------------------------

- L2 : 데이터 링크 계층 / 16진수 12자리 MAC주소 / NIC

- L1 : 물리 계층

 

데이터 손실 방지

- 워터마크나 군대 지통실에서 USB 포트 못 꽂게 하는 원시?적인 방법부터

- 정규식, 암호화 기술 이용하는 다양한 방법 존재

 

개인정보 가명화

- 난수 생성

- 암호화 기법

 

컴퓨팅 자원의 발달은 빅데이터 경제사회라는 문명의 이기를 꽃피웠지만 역설적으로 거의 모든 장치가 네트워크와 연결되면서 그만큼 보안이 허술해지는 악영향이 나타났다.