[USG]위험 관리를 위한 사이버보안 기초 #1, 2

University System of Georgia 에서 제공하는 Cybersecurity Risk Management Frameworks Specialization 과정은 총 4개의 시리즈로 제공되며, 첫 번째 시리즈는 위험 관리를 위한 사이버보안 기초가 되겠다. 사실 대부분은 이미 아는 내용인데, 그래도 놓칠 수 있는 내용이 있을까 싶어 기초와 관련된 강의를 수강하게 됐다.

[2주차] 사이버보안 서론

학습목표

1. 핵심 사이버 보안 용어의 정의를 학습한다.
2. 정보 자산 및 위험 관리와 관련된 몇 가지 주요 개념의 정의를 학습한다.
3. 정보의 중요한 특성과 관련된 몇 가지 주요 개념의 정의를 학습한다.

[2-1] C.I.A

CIA 트라이앵글

기밀성

기밀성은 정보에 대한 접근을 필요한 사람에게만 허용하고, 그렇지 않은 사람의 접근을 막는 것을 의미한다. 권한이 없는 개인이나 시스템이 정보를 볼 수 있을 때 기밀성은 침해되는 것이다. 정보의 기밀성을 보호하기 위해 다음을 포함한 여러 가지 조치가 사용된다.
① 정보 분류
② 안전한 문서 및 데이터 저장
③ 일반적인 보안정책의 적용
④ 정보 관리자 및 최종 사용자 교육
⑤ 암호문(암호화)

 

기밀성은 이 장에서 나중에 논의할 정보의 또 다른 핵심 특성인 개인정보 보호와 밀접한 관련이 있다. 이 두 특성 사이의 복잡한 관계는 나중에 자세히 살피도록 한다. 다시 돌아와서, 조직에서 정보의 기밀성은 직원, 고객 또는 특수하게는 환자에 대한 개인 정보는 특히 중요하다. 사람들은 조직이 그러한 정보를 면밀히 보호하기를 원한다. 해당 조직이 정부 기관이든, 상업적 기업이든, 비영리 자선 단체이든 상관없이, 조직이 기밀 정보를 노출할 때는 문제가 발생한다. 정보의 노출은 의도적으로 또는 실수로 발생할 수 있을 것이다. 예를 들어, 기밀 정보는 조직 내부의 사람이 아닌, 조직 외부의 누군가에게 잘못 이메일로 전송될 수 있을 것이다. 또는, 직원이 중요한 정보를 포함하는 문서를 파기하기보다는 폐기하는 과정에서 발생할 수 있다. 또는, 해커가 웹 기반 조직의 내부 데이터베이스에 성공적으로 침입하여 이름, 주소, 신용 카드 정보와 같은 고객에 대한 민감한 정보를 훔칠 수도 있을 것이다.

 

인터넷에 연결된 시스템의 새로운 세계에서 우리가 부지런하고 적절한 예방 조치를 취하기를 기대하는 조직조차도 대규모 데이터 유출 후에 책임을 지고 있는 것을 발견할 수 있다. 미국 연방 기관들이 원치 않는 데이터 공개를 초래한 적도 있으니 말이다. 2015년 7월에 발생한 2,150만개의 연방 진원 조사 파일 유출이 있었으며, 이후에도 유출 사건은 끊이질 않고 있다.

 

무결성

정보가 손상, 피해, 파괴 또는 기타 실제 상태의 중단에 노출되면 정보의 무결성 또는 완전성이 위협을 받는다. 정보가 입력, 저장 또는 전송되는 동안 손상이 발생할 수 있다. 예를 들어, 많은 컴퓨터 바이러스와 웜은 데이터를 손상시키도록 설계되었다. 이러한 이유로, 바이러스나 웜이 파일 시스템에 무결성 오류를 일으켰는지 여부를 탐지하는 핵심 방법은 파일의 크기나 더 발전된 운영 체제에서는 해시 값 또는 체크섬과 같은 파일 상태의 변화를 찾는 것이다. 파일 손상이 항상 의도적인 공격의 결과인 것은 아니다. 프로그래밍에 오류가 있거나 전송 채널 또는 매체의 노이즈까지도 발생하면, 데이터의 무결성을 잃을 수 있다. 예를 들어, 디지털 비트(1 또는 0)를 전송하는 신호의 저전압 상태로 인해 수신 시스템이 데이터를 잘못 기록할 수 있다. 시스템은 정보의 무결성에 대한 내외부의 위협을 보완하기 위해 리던던시 비트와 체크 비트를 사용하는 것을 포함한 다양한 오류 제어 기술을 사용한다. 각 전송 중에 알고리즘, 해시 값 및 오류 수정 코드는 정보의 무결성을 보장한다. 이러한 방식으로 검증되지 않은 데이터는 재전송되거나, 그렇지 않으면 복구된다. 정보의 무결성을 검증할 수 없는 경우, 정보의 가치가 없거나 사용되지 않기 때문에 정보 무결성은 정보보안의 초석인 것이다.

 

가용성

정보의 가용성은 사용자, 사람 또는 다른 시스템의 사용자가 사용 가능한 형식으로 정보에 접근할 수 있다는 것을 의미한다. 가용성은 정보가 어떤 사용자에게도 접근할 수 있다는 것을 의미하는 것이 아니라, 권한 있는 사용자가 필요할 때 접근할 수 있다는 것을 의미한다. 그러니까 도서관 전체 또는 특정 컬렉션에 대한 액세스를 위해 신원 확인이 필요한 연구 도서관의 경우를 떠올릴 수 있다. 도서관 후원자는 컬렉션에 액세스하기 전에 필요한 신원을 제시해야 한다. 일단 액세스가 허용되면, 후원자는 적절한 언어와 형식으로 리소스를 찾고 액세스할 수 있기를 기대할 것이다.

[2-2] 사이버보안의 정의

정보는 조직의 생명줄이며, 인간의 생명, 건강 및 복지를 제외하고는 조직이 가지고 있는 가장 중요한 자산으로 여겨진다. 정보가 조직 내부와 외부의 다양한 대상 간에 흐르지 못하면, 효과적인 비즈니스 의사 결정을 내릴 수 없고, 필요한 정보 없이는 비즈니스를 운영할 수 없다. 비즈니스가 복잡해짐에 따라, 정보는 더 빠르고 안정적으로 이동해야 한다. 다국적 기업의 세계에서 조직의 지부들이 더 멀리 떨어져 있을수록, 빠른 속도로 이동하는 정보에 대한 의존도는 더욱 중요해진다. 효과적이고 시의적절한 비즈니스 의사 결정을 내리기 위해 조직이 자체 부서 및 외부 그룹 내에서 효과적으로 정보를 공유할 수 있는 것이 매우 중요하기 때문에, 정보가 보호되고 정보가 정확하다고 신뢰될 수 있다는 것도 중요하다. 이것이 사이버 보안의 목적이다. 보안을 제공하기 위해, 우리의 정보 자산에 대한 위해나 위험으로부터 자유로운 상태를 의미한다. 사실 사이버보안이라는 말은 정말 많이 들어왔다. 우리는 보통 컴퓨터 보안, 정보 기술 보안, 정보 시스템 보안, 정보 보안 및 기타 변형과 같은 용어와 함께 사이버 보안이라는 용어를 들어왔다. 그리고 대부분의 경우, 이 분야의 진화에 관한 것이다. 사이버 보안은 컴퓨터 보안으로 시작되었다. 컴퓨팅 초기에는 컴퓨터가 거대한 구조물이었고 엄청나게 비쌌다. 그 당시 조직은 컴퓨터 하드웨어 보호에 가장 신경을 썼다. 사람들의 시간은 저렴했지만, 컴퓨터 시간은 비쌌다. 조직 전체에 컴퓨터가 하나밖에 없을 수도 있고 직원들이 컴퓨터를 사용하기 위해 줄을 서야 했다. 그러나 얼마 못가 상황은 뒤집혔다. 컴퓨터 시간은 저렴하지만 사람들의 시간은 비싸진 것이다. 그래서 컴퓨터 보안이라는 원래 용어인 컴퓨터와 그 내용을 보호하는 것이 정보 기술 또는 IT 보안으로 발전했는데, 대부분의 조직에서 컴퓨터가 IT 부서의 책임이었기 때문이다. 결국 이 용어는 보안이 정보가 어디에 있든 보호하는 것이라는 것을 더 잘 나타내기 위해 단순히 정보 보안으로 짧아지게 됐다. 컴퓨터를 보호하는 것은 여전히 중요하지만, 컴퓨터에 포함된 정보를 대체하는 비용에 비해 상대적으로 저렴하다. 오늘날 사이버 보안이라는 용어는 산업 표준이 되었다. 사이버 보안의 기원은 공상과학 이야기의 일부이지만, 일반적으로 사이버 보안은 정보가 어디에 있든 좋은 보안 관행을 적용하여 보호하는 것이라고 이해하고 받아들이는 것이다. 사이버 보안에 대한 보다 자세한 정의는 정책, 교육 및 인식과 기술의 적용을 통해 전송, 처리 또는 저장에 있어 정보의 기밀성, 무결성 및 가용성을 보호하는 것이다. 보안 정책은 조직의 정보 또는 정보 자산을 사용할 때 직원의 행동을 규제하는 데 사용되는 문서라 할 수 있다. 직원이 자산을 사용할 수 있거나 할 수 없는 것을 알려주는 문서가 없으면, 직원이 다른 직원에게 사용되는 것을 오용, 손상, 파괴 또는 방지하여 조직에 사실상 쓸모 없게 만들 수 있다. 정책 없이는 직원의 잘못된 행동에 대해 처벌할 수도 없을 것이다. 보안 교육 및 인식 프로그램은 직원에게 정보 자산에서 조직의 정보를 잘 관리하도록 가르치는 방법이다. 사실 이 부분은 직원들이 정말 싫어하는 영역이겠지만, 보안담당자에게 있어서는 늘 고민해야 하는 중요 영역이다. 또한, 뉴스레터, 포스터, 사내 공지와 같은 인식 활동을 통해 직원에게 해당 자산을 보호할 책임이 있음을 정기적으로 상기시킨다. 마지막으로, 우리는 보안 기술을 구현하여 교육에 명시된 행동을 시행하고 인식을 통해 상기시킨다. 일부 기술은 조직 외부에서 조직의 정보 자산에 대한 액세스를 규제하기 위해 IT 직원이 배포하기 때문에 사용자가 볼 수 없다. 보안 기술에는 암호를 변경해야 하는 빈도, 암호가 어떻게 보여야 하는지, 조직 시스템을 통해 얻을 수 있는 정보와 얻을 수 없는 정보를 규정하는 소프트웨어 구성과 같은 도구도 포함된다.

[2-3] 사이버보안의 핵심 용어 #1

앞서 CIA 트라이앵글에 대해 학습했다. 이러한 개념은 컴퓨터 보안이 시작된 이래로 존재해 왔으며, 보안의 기본 3요소로 여겨진다. 최소한 우리는 우리의 정보 자산이 기밀한지 확인하고 싶다. 데이터가 권한 없는 개인이나 시스템에 노출되지 않도록 보호되는 방법을 설명하는 정보의 속성인 것이다. 그 정보를 보고 싶은 개인만이 그 정보에 접근할 수 있어야 한다. 예시로, 은행 정보는 아무하고도 공유하는 것이 아니다. 우리는 그 정보를 기밀로 유지하고 싶어한다. 정보가 더 이상 기밀이 아닌 경우, 우리는 정보 자산이 의도적이거나 의도하지 않은 방식으로 권한 없는 당사자에게 유출된다고 말한다. 다음으로, 우리는 우리의 정보가 완전하고 손상되지 않은 상태를 설명하는 정보의 속성인 무결성을 갖기를 원한다. 우리는 데이터가 정확하고, 그 안에 우리가 배치한 가치가 있다는 것을 알기 위해 우리의 데이터를 신뢰할 수 있어야 한다. 보통 우리가 은행 데이터가 정확하다고 신뢰하는 것처럼 말이다. 만약 예금 잔액이 부정확하다? 정말 끔찍한 일이다. 다음으로, 우리는 언제든 정보를 이용하기를 원한다. 어떠한 방해 없이 사용할 수 있도록 데이터가 어떻게 접근 가능하고 올바르게 포맷되었는지를 설명하는 정보의 속성이다. 이는 우리가 필요로 할 때 우리에게 가치 있는 형태로 존재한다. 우리가 언제든 은행 계좌에 있는 돈을 사용할 수 있는 것처럼 말이다.

 

보다 최근에는 정보 자산에 대한 보안 우려를 나타내는 특성으로 정보의 추가 속성이 추가되었다. 이제 우리는 개인정보 보호, 소유 및 효용과 같은 것들이 CIA 트라이앵글에 추가되는 것을 확인할 수 있다. 사이버 보안의 맥락에서 개인정보 보호는 개인이나 그룹이 무단 액세스로부터 자신과 정보를 보호하여 기밀성의 확장을 제공하는 권리다. 우리는 의료 및 금융 부문에서 많은 개인 정보보호 규정을 확인할 수 있다. 사이버 보안은 고객과 직원의 개인정보를 보호하기 위해 필요하다. 개인정보 보호에 대한 가장 큰 위협 중 하나는 정보 집성(aggregation)이다. 이와 요약된 정보를 혼동해서는 안 된다. aggregation은 다양한 출처의 정보를 집합한 것이다. aggregation은 누군가가 많은 정보를 조립하여 훨씬 더 복잡하고 중요한 정보를 얻어내는 것이고, 이를 이용해 우리의 신원에 위협이 생길 수 있다. 그리고 유틸리티는 사이버 보안의 맥락에서 자산이 가치 또는 유용성을 가지고 있다는 것을 의미한다. 각 정보는 각기 다른 유용성을 가지고 있다. 일부 데이터는 많은 직원에게 매우 유용하지만 다른 데이터는 덜 유용할 수 있다. 다음으로 소유, 소유는 가용성뿐만 아니라 기밀성과 관련이 있다. 데이터가 소유자의 소유가 아니라면, 그것은 사용될 수 없다. 그러나 소유의 손실이 자동으로 기밀성 위반으로 이어지는 것은 아니다. 암호화된 파일이 손실되면, 소유자는 소유권을 잃게 되지만 기밀성도 잃는 것은 아니기 때문이다. 식별은 리소스에 대한 액세스를 추구하는 검증되지 않은 개체에 의해 이름 또는 레이블이 제공되는 것이다. 이름 또는 레이블은 시스템에 대해 알려진 것이다. 그렇기에 우리는 시스템에 진술한다. 우리에게 시스템에 있는 정보에 액세스할 수 있는 권리가 있다는 것이 기본 가정이다. 즉, 우리는 계정을 갖고 있는 것이다. 인증은 인증되지 않은 개체의 신원(Identity)에 대한 검증이다. 우리는 스스로가 맞다고 주장하고, 인증은 다른 사람들에게 당신이 진실을 말하고 있다고 확신시키는 것이다. 인증은 인증된 개체가 정보 자산 및 해당 액세스 수준의 목록에 일치하는 것을 나타낸다. 그리고 액세스할 수 있는 것과 어느 정도에 대해 액세스하고자 하는지는 시스템의 소유자가 미리 결정하는 것이다. 시스템의 모든 것을 읽을 수 있는가? 아니면 단지 그 정보의 일부만 읽을 수 있는가? 또한 시스템에 새로운 정보를 복사, 수정, 삭제 또는 추가할 수 있는가? 여기서의 개념은 승인이다. 마지막으로, 책임은 승인되거나 승인되지 않은 시스템의 모든 동작이 인증된 신원에 귀속되도록 보장하는 접근 통제 메커니즘이다. 그것은 우리의 정보 시스템에서 무슨 일이 일어나는지 추적하는 능력이다. 일반적으로 시스템 로그와 관련되어 있는데, 이것은 컴퓨터가 어떤 사용자의 동작과 함께 데이터 입력 및 출력을 추적하는 능력이다. 일반적으로 예상치 못한 동작이 발생하지 않으면 로그는 수집, 검토 및 저장된다. 어떤 일이 발생하면 로그는 무슨 일이 일어났는지에 대한 기록 역할을 하며, 시스템 소유자가 다시는 이러한 일이 발생하지 않도록 하거나, 시스템 내에서 승인되지 않은 동작을 수행한 사람을 기소하는 데 도움을 줄 수 있다. 이 네 가지 동작은 건물에 대한 물리적 액세스든 컴퓨터에 대한 가상 액세스든 액세스 제어의 초석을 형성한다.

[2-4] 사이버보안의 핵심 용어 #2

약 2,500년 전에 쓰여진, 중국의 '전쟁의 기술'이라는 책이 있다. 지피지기면 백전백승이라는 내용이 담긴 책이다. 이것이 사이버보안에서는 기본이라 할 수 있는 것이다.

 

첫째로, 정보 보안과 사이버 보안은 전쟁이라는 개념을 강요한다. 우리에게 정보 자산이 있다면, 그것을 노리고 공격하는 공격자가 존재하기 마련이며, 이는 결코 수동적인 위협이 아니다. 그들은 우리의 정보를 훔치기를 원한다. 둘째로, 그것은 우리가 보호하고 있는 것이 무엇인지를 알고 있다는 것을 의미한다. 우리의 적을 알고 있다는 것은 그 자산이 직면한 위협을 알고 있다는 것을 의미한다.

 

보통 조직의 내부자가 위협 요소가 되는 경우가 정말 많기야 하다만, 우리가 위협 요소를 떠올릴 때 가장 먼저 생각나는 것은 아무래도 해커일 것이다. 그렇다면 해커는 무엇일까? 사이버 보안에서 해커는 허가 없이 그리고 자주 불법적으로 시스템과 정보에 접근하는 사람을 의미한다. 해커들의 기술에 따라, 두 가지 범주의 해커가 있다. 물론, 사이버 보안 전문가들이 가장 두려워하는 것은 전문가 해커다. 시스템과 정보에 무단으로 접근하기 위해 컴퓨터 하드웨어와 소프트웨어의 내부 작동에 대한 광범위한 지식을 사용하는 해커인 것이다. 일부 전문가 해커들은 불법 활동을 경력으로 삼고 전문 해커가 되기로 결정한다. 그들이 개인적으로 금전적 이익을 위해 또는 범죄 조직이나 외국 정부를 위해 공격을 수행하는 해커일까? 그렇다. 해외에는 다른 국가의 시스템과 그들의 사업을 해킹하여 국가적인 이익을 얻으려는 국가 지원 범죄 단체가 있다. 해커라는 용어는 시스템 액세스를 시도할 수 있는 권한을 가진 사이버 보안 전문가인 침투 테스터와 혼동되어서는 안 된다. 이러한 시스템의 취약성을 확인하고 해결책을 추천하기 위한 노력의 일환으로, 핵심적인 차이점은 '허가'다. 테스터는 이러한 취약성을 찾기 위해 고용되고, 그들을 고용하는 조직에 일련의 사항을 보고한다. 사이버 보안 전문가들이 우려하는 한 분야는 전문가 해커들이 그들의 기술을 사용하여 경험이 적은 다른 해커들이 사용할 자동화된 익스플로잇, 스크립트 및 도구를 만드는 것이다. 이것은 스크립트 키디로 알려진 일련의 워너비 해커를 만들었다. 소프트웨어를 사용하여 시스템을 공격하는 제한된 기술의 해커인 것이다. 그들은 또한 스키드, 스키디 또는 스크립트 버니로 알려져 있다. 패킷 몽키즈라고 불리는 그룹도 있다. 자동화된 공격을 사용하여 서비스 거부 공격을 수행하는 스크립트 키디다. 또한 들어봤음직한 다른 해커 용어로는 크래커가 있다. 의도적으로 소프트웨어 저작권 보호를 제거하거나 우회하는 해커, 즉 이-북과 같은 영화 및 기록된 지적 재산권에서 흔히 볼 수 있는 무단 복제 또는 사용을 방지하기 위해 고안된 해커다. 공중전화 시스템을 조작하여 무료 통화를 하거나 공중전화 수를 극적으로 줄임으로써 서비스를 방해하는 해커인 프리커는 이제는 덜 일반적이게 되었다. 일부 사람들은 침투 테스트기의 다른 이름인 화이트햇 해커와 같은 다른 종류의 해커가 있을 수 있다고 주장한다. 그리고 누가봐도 100% 나쁜 존재인 블랙햇 해커도 있다. 물론 그레이햇 해커도 있다. 중간에 있는 존재로, 결국 둘의 중간 지점에 있는 존재인 것이다. 불법적으로 해킹을 자행한 후, 너희 이런 이런 문제가 있다고 회사에 알려 돈을 벌려고 하는 존재가 그런 그레이햇 해커인데, 이미 불법적 공격을 자행했다는 점에서 이들을 마냥 좋게만 볼 수는 없을 것이다.