정보보안137 8.공통평가기준(CC) , 사회공학 기법 1,공통평가기준(CC:Common Criteria) : 정보시스템의 보안성을 평가하기 위한 기준을 정의한 국제 표준(미국: TCSEC / 유렵: ITSEC)-구성요소구성요소설명평가대상(TOE)정보시스템의 보안성 평가범위를 정의보호 프로파일(PP)평가대상(TOE) 유형별 보안 기능 요구사항을 기술한 문서보안목표 명세서(ST)평가대상(TOE)의 세부 보안 기능 요구사항과 구현 내용을 기술한 문서로 평가의 근거로 사용평가보증등급(EAL)평가대상(TOE)의 보증 수준을 판단하는 척도를 정의한 등급으로 해당 등급을 구성하는 보증 컴포넌트 패키지로 이루어짐최저등급(EAL1)부터 최고등급(EAL7)까지 7등급으로 구분됨 2,사회공학기법: 사람들 사이의 신뢰 관계를 바탕으로 사람들을 속여 정상적인 보안 절차를 무너트리.. 2025. 3. 25. 7.디지털 포렌식 - 디지털 포렌식: 침해사고 발생시 법적으로 유효한 증거를 디지털기기로부터 수집하고 분석하고, 보관하고, 제출하는 등의 일련의 과정을 다루는 과학 분야를 말한다. -디지털 포렌식의 기본원칙원칙설명정당성의 원칙디지털 증거를 수집하고 분석하는 전 과정이 '적법한 절차'에 의해 이루어져야 한다.재현성의 원칙'동일' 조건에서 디지털 포렌식을 재현하면 '항상 같은 결과' 가 나와야 한다.무결성의 원칙수집된 디지털 증거가 분석 또는 분석 과정에서 '위변조' 되지 않아야 한다.신속성의 원칙디지털 데이터는 내,외부 영향에 의해 쉽게 사라질 수 있으므로 디지털 포렌식은 가능하면 '신속하게' 진행해야 한다.연계 보관성의 원칙디지털 증거의 '수집 - 이송 - 보관 - 분석 - 법정제출' 까지의 일련의 단계에서 증거물 관리 .. 2025. 3. 25. 6.침해사고 대응 - 침해사고 정의(정보통신망법 제2조 정의) 침해사고란 해킹, 컴퓨터바이러스, 논리폭탄, 메일폭탄, 서비스거부 또는 고출력 전자기파 등에 의하여 정보통신망 또는 이와 관련된 정보시스템을 공격하는 행위로 인해 발생한 사태를 말한다. (정보통신기반보호법 제2조 정의) 침해사고란 전자적 침해행위로 인하여 발생하는 사태를 말한다. 전자적 침해행위는 다음의 방법으로 정보통신기반시설을 공격하는 행위를 말한다. - CERT(침해사고대응팀): 보안 관련 침해사고에 대응하기 위해 조직되어 사고의 접수 및 처리 지원을 비롯한 예방, 피헤복구등의 임무를 수행하는 조직을 말한다. -침해사고 대응 절차 7단계단계내용설명1사고 전 준비사고가 발생하기 전에 미리 CERT를 조직하고 조직적인 대응을 준비하는 단계2사고 탐지정보보호 .. 2025. 3. 25. 5.재해복구시스템(DRS) 유형설명장,단점RTO미러 사이트(mirror site)주센터와 동일 수준의 시스템을 원격지 사이트에 구축한 후 active 상태로 실시간 동시 서비스를 제공하는 방식으로 재해 발생시 즉시 서비스를 제공장점)1.신속한 업무재개 가능2.데이터 유실 없이 복구 가능단점)1.구축 및 유지 비용 많이 듦2.평상시 재해복구센터 운영 방안 필요즉시핫 사이트(hot site)주센터 와 동일 수준의 시스템을 원격지 사이트에 구축한 후 standby 상태로 실시간 미러링을 통해 최신 데이터를 유지하는 방식으로 재해 발생시 active 상태로 전환하여 서비스 제공장점)1.미러 사이트에 비해 저렴2.데이터를 최신상태로 유지 가능단점)1.재해시 시스템을 활성하하기 위한 복구 절차 필요2.재해시 복구작업 시간 필요수 시간 이내웜.. 2025. 3. 24. 4.위험분석 - 위험분석 절차는 1.자산 분석 2.위협 평가 3.취약점 평가 4.기존 보안대책 평가 5.위험 평가 단계로 나눌 수 있다. 1.자산 분석 단계- 자산 식별: 위험분석을 위해 가장 먼저 해야 할 작업으로 보호해야 할 자산을 식별하여 '자산 목록' 을 작성한다. 목록 작성시 중복이나 누락된 자산은 없어야 한다.- 자산 가치 평가: 자산이 식별 되면 자산별 기밀성, 무결성, 가용성 측면에서 '중요도' 를 산정하고 중요도에 따라 자산의 가치를 평가 한다.(중요도를 산정하는 이유는자산에 위험 발생시의 영향을 기밀성, 무결성, 가용성 측면에서 파악하여 자산의 가치를 평가하기 위함)- 자산 그룹핑: 유형, 중요도 등이 유사한 자산을 그룹핑하여 동일한 위험분석 및 평가 작업을 반복하지 않음으로써 시간과 비용을 최소.. 2025. 3. 24. 3.위험관리 전략 및 계획 수립 - 조직의 보안요구사항, 가용자원등을 고려하여 적절한 위험분석 접근방법을 선정한다.위험분석 접근 방법설명장,단점기준선 접근법(baseline approach)모든 자산에 대한 체크리스트 형식의 표준화된 보호대책을 이용하여 보호의 기본수준을 정하고 위험분석을 수행하는 접근법장점)1.시간과 비용이 많이 들지 않음2. 기본적으로 필요한 보호대책 선택 가능단점)1.과보호, 부족한 보호가 될 수 있음2.체크리스트 갱신하지 않으면 보안환경 변화를 적절하게 반영하기 어려움비정형 접근법(informal approach)정형화된 위험분석 방법론을 사용하지 않고 경험 또는 전문가의 지식을 기반으로 위험분석을 수행하는 접근법장점)1.작은 규모 조직에 비용 대비 효과적단점)1.수행자의 경험, 지식이 부족할 경우 위험 영역 놓.. 2025. 3. 24. 이전 1 2 3 4 ··· 23 다음