정보처리기사 실기 신기술동향 - 시스템 보안과 관리 분야

정보처리기사 실기 신기술동향 - 시스템 보안과 관리 분야

e-Discovery

전자적으로 저장된 정보(ESI, Electronically Stored Information)를 대상으로 한 재판에 필요한 증거나 서류를 제시하는 것 또는 과정, 절차

주로 Digital Forensic을 담당하는 조사관이 제출

SMiShing

{ 스미싱 }

휴대폰의 SMS 문자 서비스를 이용하여 바이러스와 같은 악성코드에 감염시켜 개인정보를 빼내가는 해킹 기법

SMS+Phising의 합성어

Sphere Phising

{ 스피어 피싱 }

조직 내 상급자나 관리자를 사칭하여 사원들의 개인 정보를 빼내는 해킹 기법

Sphere + Phising의 합성어

일종의 사회 공학적 기법

Cross Licensing

{ 크로스 라이선싱 }

둘 이상의 기업 간에 서로의 지적 재산권 활용을 일괄 허용하는 제도

Key Logger Attack

{ 키로거 공격 }

키보드를 통하여 사용자가 입력한 내용들을 가로채 외부에서 몰래 탐지해내는 기법

키보드 外 마우스의 입력 좌표 값을 가로채 화면 상의 정보를 유추해가는 기법도 포함

Anti-Debugging

디버깅을 통해 프로그램의 기능을 역추적하거나 이를 토대로 변조하는 것을 막는 기술

역공학(Reverse Engineering)에 의한 소프트웨어 저작권 침해를 예방하기 위해 디버깅 작업을 못하게 하는 기술

PII ? Personally Identifiable Information

{ 개인 식별 정보 }

생존하는 개인을 식별할 수 있는 모든 정보

특정 정보로부터 개인을 직접 식별할 수 없어도, 다른 정보와 결합하여 최종적으로 식별할 수 있다면

이들은 모두 개인 식별 정보로 분류

PET ? Privacy Enhancing Technology

{ 프라이버시 강화 기술 }

사용자의 개인 정보 노출을 최소화 하면서도 다양한 인터넷 서비스를 이용할 수 있도록 해주는 정보 보호 기술

DLP ? Data Leakage / Loss Prevention

{ 데이터 유출/손실 방지 }

조직 내부로부터 외부로의 정보 유출을 예방하기 위한 정보 보호 대책

총괄 모니터링, 일부 기능 통제

Exploit

{ 익스플로잇 }

컴퓨터 시스템이나 소프트웨어, 디지털 장비가 예상하지 못한 행동을 하도록 만들기 위해 이들이 가진

취약점(Vulnerability)이나 버그(Bug)를 악용하는 행위 또는 결과물

> IT 시스템 취약 사실 증명을 위해 의도적으로 기획하는 행위

> DoS, 사용자 권한 상승, 악성코드 제작 등

MC-Finder ? Malicious Code ? Finder

{ 악성 코드 탐지기 }

악성 코드가 설치되 있는 웹사이트를 찾아서 대응하는, 악성코드 자동 탐지 프로그램

Smart-Token

{ 스마트 토큰 }

보안 기능을 추가한 스마트 카드, USB의 형태

공인인증서, 보안 모듈, 은행 카드 기능 등을 담당한 IC등을 내장

e-Passport

{ 전자 여권 }

기존 여권의 위,변조 방지 및 여행자의 편의를 도모하기 위하여 세계적으로 시행하고 있는 새로운 여권

> 사진, 홍채, 지문 등을 신원 확인 자료로 보관하고 있는 칩이 내장

Convergence Security

{ 융합 보안 }

전통적인 정보 보호 영역에서 잘 다루지 않았던 물리적 보안이나 장비 보안, 국가적, 사회적, 재해, 재난 관제까지를 통합하여

다루는 진보된 보안 개념

Contents Recognition Technology

{ 콘텐츠 인식 기술 }

이미지, 동영상, 음악 등의 Data들이 가지고 있는 고유특징을 추출하고, 이를 Database에 저장한 후, 나중에 필요할 때 콘텐츠를 인식할 수 있도록 지원해 주는 기술

> 저작권 침해 여부 판단 가능

Secure OS

{ 보안 운영 체제 }

컴퓨터 운영체제의 보안 결함으로 인하여 발생 가능한 각종 해킹으로부터 컴퓨터 시스템을 보호하기 위하여 기존의 운영체제

내에 관리자 인증 보안 기능을 추가한 운영 체제

> 서버의 보호, 시스템 접근 제한, 시스템 관리자에 의한 권한 남용 제한, 사용자의 권한 내 정보 접근 허용, 버그를 악용한 공격으로부터 보호

NAC ? Network Admission Control

{ 네트워크 승인 보호 }

보안 정책에 부합된 단말기만, 네트워크에 연결할 수 있도록 함

사설 망의 보안을 강화하는 방식

NAC ? Network Access Control

{ 네트워크 접근 통제 }

전체 네트워크에 대한 접근제어를 수행

사전에 결정된 조직 내 보안 정책을 지키지 않는 사용자에게 네트워크 접속을 제한

1. 접속 단말에 대한 보안 평가

2. 보안 문제에 대한 대응

3. 네트워크 접근 허용

4. 보안 정책 준수에 대한 지속적인 모니터링

5. 대응 업무 순환 절차

PMS ? Patch Management System

{ 패치 관리 시스템 }

Software(특히 OS)의 해당 패치들을 신속하게 다운로드 받아 설치하고, 관리하는 프로그램

Smart Upgrade를 체계적으로 지원

UTM ? Unified Threat Management

{ 통합 위협 관리 }

다양한 보안 솔루션 기능을 하나로 통합한 보안 솔루션

비용, 공간, 인력 감소 목적으로 보안 솔루션 들을 묶어 운영하는 기술

ESM ? Enterprise Security Management

{ 통합 보안 관리 시스템 }

방화벽(Firewall), 가상 사설망(VPN), 침입 탐지 시스템(IDS)등의 다양한 보안 솔루션 들을 통합하여, 연동하여 관리하는 시스템

기존 통합 관리 수준에서 벗어나, 시스템 자원 관리(SMS), 네트워크 자원관리(NMS) 등 종합 자원 관리 시스템으로 확대

> 보안 솔루션 하나가 제공하는 보안 능력보다 더 많은 능력을 다른 보안 솔루션과 연계하여 얻을 수 있다

SSO ? Single Sign On

{ 싱글 사인 온 }

한번의 로그인으로 각종 업무 시스템이나 인터넷 서비스에 여러 번의 로그인 과정 없이 접속하여 이용할 수 있게 해주는 보안 응용 솔루션

> 사용자 편의성 상승, 사용자 인증 등 관리 수월

> 공개키 기반 구조 사용(PKI, Public Key Infrastructure)

CCL ? Creative Contents License

저작권의 부분적 공유를 목적으로 2002年 만들어진 저작물 이용 허락 관련 표준 약관

> 저작자표시(BY), 비영리(NC), 변경금지(ND), 동일조건 변경 허락(SA)등 항목

WPKI ? Wireless PKI

{ 무선 공개키 기반 구조 }

PKI기술의 핵심인 비밀성, 무결성, 신원 확인, 부인 방지 등 서비스를 무선 환경에서 구현

Directory System ? DS

PKI에서 유통되는 인증서, 사용자 정보 등을 모아서 관리하는 시스템

Tunneling

{ 터널링 }

인터넷 상에서 눈에 보이지 않는 통로를 만들어 두 지점간 통신을 지원

하위 Protocol을 패킷으로 상위 Protocol의 패킷으로 Capsulation

Pharming

{ 파밍 }

합법적으로 소유하던 사용자의 도메인을 탈취하는 기술

DNS 변조를 통해 유령 페이지로의 접속 유도 후 개인 정보 수집

DoS ? Denial of Service

{ 서비스 거부 공격 }

시스템이 정상적으로 서비스를 제공할 수 없도록 만드는 인터넷 상의 공격행위의 일종

TCP SYN Flooding, Email Bomb 등

분산 Agent 이용 > DDos(Distributed Dos)

Botnet

악의적인 목적을 가지고 독립적으로 설치되어 행동하는 봇(Software Robot)들간 통신 네트워크

> CNC(Command & Control)에 의해 작동됨

Open Source Software

{ 오픈 소스 소프트웨어 }

소스 코드가 공개되어 타인들이 사용할 수 있도록 허용한 Software

> 저작권 포기, 무상 사용의 의미가 아님

GNU ? GNU's Not Unix

유닉스(Unix)의 상업적 확산에 반발하여 무료로 개발/배포하고 있는 유닉스 호환 운영체제 또는 이와 관련된 정보 공유 프로젝트

> '모든 프로그램은 무료이어야 하며, 프로그램의 사용, 복제, 수정, 재분배에 대한 제한이 있어서는 안된다'

GNU License

1. GPL(General Public License) 대표적인 오픈 라이선스

2. LGPL(Lesser General Public License) 약간의 상용화를 허용

3. GFDL(GNU Free Documentation License) 책/매뉴얼 등에 대한 GPL

BS7799 ? ISO17799(1999年)

정보 보안 경영 시스템에 대한 개발과 수립 및 문서화에 대한 요구사항들을 안내한 국제 인증 규격

1995年 영국 표준

CSO ? Chief Security Officer

{ 최고 보안 책임자 }

정보 보안 대책 수립과 집행을 책임지고 기술적 대책과 법률적 대응까지 총괄하는 기업 내 최고 임원

= 최고 정보 보안 책임자(CISO, Chief Information Security Officer)

P3P ? Platform for Privacy Preferences

W3C에서 개발한 개인 정보 보호 표준 플랫폼

> 이용자가 미리 설정한 정보 공개 수준과 웹사이트가 제공하는 정보 요구 수준이 일치할 경우 접속 가능

> 이용자가 직접 자신의 개인 정보 수준 통제 가능

JCA ? Java Cryptography Achitecture

{ 자바 암호 구조 }

Sun Micro System 社 개발. 자바개발키트(JDK)에서 제공하는 암호 구조.

특정 알고리즘을 사용자가 쉽게 이용할 수 있는 환경 제공

> 알고리즘 교체 용이, 특정 포맷/운영 방식에 제한 받지 않는 구조

Water Marking

{ 워터 마킹 }

디지털 콘텐츠의 저작권을 보호하기 위하여 암호나 코드 등의 마크를 은닉, 삽입하는 기술

불법 복제의 증거, 불법 변조 예방

IPSEC ? IP SECurity

Packet처리에 관련된 Layer 보안 기술

인터넷 애플리케이션과는 독립으로 네트워크 상에서 보안이 가능하도록 함

> AH(Authentication Header)와 ESP(Encapsulation Security Payload)를 제공

> IPv6에서의 정보 보안 서비스로 인증, 무결성, 비밀성을 만족시키는 서비스 제공

Cookie

{ 쿠키 }

인터넷의 특성인 비연결성(Connectionless)을 극복하기 위하여 사용하는 정보 보관소

Grayware

{ 그레이웨어 }

인터넷 사용자가 어쩔 수 없이 자신의 컴퓨터에 설치하도록 유도 후, 설치된 후에는 사용자의 기대와 다른 동작을 하여 시스템 성능을 악화시키거나 사용 불편을 초래하는 소프트웨어 총칭

Spyware

{ 스파이웨어 }

사용자의 컴퓨터에 설치되어 사용자의 개인 정보를 몰래 유출하는 소프트웨어

애드웨어에서 출발

Adware

{ 애드웨어 }

인터넷 광고를 효과적으로 수행하기 위해 사용자의 컴퓨터에 설치된 독립 프로그램

AMR ? Automatic Meter Reading

{ 원격 검침 }

사용한 전기, 수도, 가스 등의 사용량을 원격에서 검침 Data를 읽을 수 있도록 한 System

> 수요자의 소비 패턴 분석, 요금 고지서 자동 발급 지원

CLMS ? Copyright License Management System

{ 저작권 라이선스 관리 시스템 }

다양한 분야의 디지털 컨텐츠에 대한 저작권을 체계적으로 통합 관리하기 위한 시스템

모든 디지털 컨텐츠에 대한 사용계약 체결 사항, 사용 내역에 걸쳐 체계적 관리를 할 수 있도록, 정부와 저작권 관련 단체가 추진하고 있는 시스템

Cyber Stalking

{ 사이버 스토킹 }

이메일, 게시판, 이동통신 등의 정보 통신망을 이용하여 상대방에게 불안감이나 공포감을 지속적으로 유발하는 범죄 행위

G-PIN ? Government Personal Identification Number

{ 정부 개인 인식 번호 }

정부에서 제공하는 인터넷 상의 개인 식별 번호. 숫자와 알파벳 13자로 구성

i-PIN ? internet Personal Identification Number

실제 주민등록 번호 대신 사용할 수 있는 인터넷 주민등록번호

i-PIN유출 의심의 경우, 새로운 발급 가능

USIM ? Universal Subscriber Identity Module

{ 범용 가입자 식별 모듈 }

인증을 목적으로 휴대 전화 소유자의 개인 정보를 저장하는 모듈

휴대 전화 분실/교체 시 소유자의 개인 정보 유지, 보호 가능

DRM ? Digital Rights Management

{ 디지털 저작권 관리 }

기업의 디지털 자산에 대한 저작권을 보호하고 관리하는 기술

> 콘텐츠 자체 보안, 저작권 보호, 생성, 유통, 사용, 관리 전반에 걸친 모든 프로세스 지원

> 기본적으로 불법 복제 및 배포 예방

Keypair

공개키 암호화 알고리즘(PKI)에 사용되는 개인키(Private Key)와 공개키(Public Key)쌍을 지칭

Copyleft 운동

소프트웨어 저작권(Copyright)에 반대하는 운동

GNU 프로젝트 중심에서 최근 Linux 중심으로 활용

1980년대 MIT대학의 리처드 스톨만 교수에 의해 시작