º 정보보호 개념

정보보호는 정보 자산을 공개, 노출, 변조, 파괴, 지체 등의 위협으로부터 보호하여 정보의 기밀성, 무결성, 가용성을 확보하는 것이다.

CIA 3요소

정보의 훼손, 변조 유출을  방지하기 위한 관리적, 기술적 방법을 의미함

Confidentiality (기밀성): 

인가된 사람, 인가된 프로세스 만이 필요성에 의해 시스템에 접근이 가능해야 한다는 원칙이다.  <-> 노출

ex) 접근통제: id, pw 인증, 생체 인증, 암호화, Rbac등 

정보 분류 및 레이블링: 정보의 중요도에 따라 등급을 매기고, 각 등급에 맞는 보안 통제 및 접근 권한을 적용합니다. 예를 들어, "기밀", "대외비", "공개" 등으로 분류합니다. 

물리적 보안:

출입 통제: 서버실, 중요 문서 보관실 등에 대한 접근을 제한합니다.

보안 요원: 물리적인 보안을 담당하는 인력을 배치합니다.

CCTV 설치: 감시 카메라를 설치하여 무단 접근을 감시합니다.

Integrity (무결성): 

정보의 내용이 불법적으로 생성 또는 변경되거나 삭제되지 않도록 보호되어야 하는 성질이다.  <-> 변조, 위조

ex) 포렌식, 전자서명(메시지 인증) 등 

연결형: 메시지 스트림을 대상, 불법변경 보호

비연결형: 개인 메시지만들을 대상, 불법변경 보호

Availability (가용성):  

정당한 방법으로 권한이 주어진 사용자는 정보시스템의 데이터 또는 자원이 필요할 때 지체 없이 원하는 객체 또는 자원이 접근하여 사용할 수 있어야 한다. 

간단하게 필요할 때 정보자산의 접근을 보장하는 것이다.   <-> 부인 

가용성을 방해하는 요인에는 DOS 공격, 통신 방해가 있음

문제 1: 다음 중 정보보호의 CIA 3요소에 해당하지 않는 것은 무엇입니까?

1. 기밀성 (Confidentiality)

2. 무결성 (Integrity)

3. 가용성 (Availability)

4. 부인 방지 (Non-repudiation)

문제 2: 다음 상황에서 가장 심각하게 침해될 수 있는 정보보호의 요소는 무엇입니까?

한 회사의 웹 서버가 갑작스러운 트래픽 증가로 인해 마비되어 정상적인 서비스를 제공할 수 없게 되었습니다. 고객들은 웹사이트 접속에 어려움을 겪고 있으며, 업무 시스템 또한 제대로 작동하지 않고 있습니다.

1. 기밀성

2. 무결성

3. 가용성

문제 3: 다음 설명에 해당하는 정보보호의 개념은 무엇입니까?

데이터베이스에 저장된 고객 정보가 권한이 없는 외부자에 의해 유출되었습니다. 해당 정보에는 이름, 주소, 전화번호, 신용카드 정보 등이 포함되어 있습니다.

1. 무결성

2. 가용성

3. 기밀성

문제 4: 다음 중 정보의 무결성을 확보하기 위한 기술적 방법으로 가장 적절한 것은 무엇입니까?

1. 방화벽 설치

2. 침입 탐지 시스템 (IDS) 운영

3. 전자 서명 (Digital Signature)

4. 접근 통제 목록 (ACL) 설정

문제 5: 다음 시나리오에서 정보 시스템의 가용성을 저해하는 직접적인 원인은 무엇입니까?

악의적인 사용자가 특정 서버에大量의 패킷을 전송하여 서버의 자원을 고갈시키고, 정상적인 사용자의 접근을 막았습니다.

1. 정보의 변조

2. 데이터 유출

3. 분산 서비스 거부 공격 (DDoS)

4. 물리적 보안 취약점

문제 6: 다음 중 정보의 기밀성을 유지하기 위한 가장 효과적인 방법은 무엇입니까?

1. 정기적인 비밀번호 변경

2. 백신 프로그램 설치 및 업데이트

3. 중요 정보에 대한 암호화 적용

4. 출입 통제 시스템 강화

문제 7: 다음 상황에서 정보의 무결성이 훼손되었다고 볼 수 있는 경우는 무엇입니까?

1. 서버실의 온도가 과도하게 높아져 장비 작동에 오류가 발생했다.

2. 허가되지 않은 사용자가 데이터베이스에 접근하여 고객의 연락처를 임의로 수정했다.

3. 직원의 실수로 중요한 문서 파일이 삭제되었다.

4. 악성코드 감염으로 인해 시스템 성능이 저하되었다.

문제 8: 다음 설명에 가장 적합한 정보보호의 원칙은 무엇입니까?

시스템 관리자는 사용자들이 업무에 필요한 최소한의 권한만을 갖도록 계정을 설정합니다. 예를 들어, 일반 직원은 결재 권한이 있는 상사의 승인 없이 임의로 중요 데이터를 수정할 수 없습니다.

1. 가용성

2. 무결성

3. 최소 권한 원칙 (Principle of Least Privilege)

4. 심층 방어 (Defense in Depth)

문제 9: 다음 중 정보 시스템의 가용성을 높이기 위한 방안으로 적절하지 않은 것은 무엇입니까?

1. 서버 이중화 구성

2. 정기적인 데이터 백업 및 복구 훈련

3. 접근 통제 정책 강화

4. 네트워크 대역폭 증설

문제 10: 다음 시나리오에서 공격자가 가장 중요하게 생각하는 정보보호의 취약점은 무엇일까요?

공격자는 회사의 내부 직원을 속여 시스템 접근 권한을 얻었습니다. 이후, 공격자는 시스템에 침투하여 중요한 설계 도면 파일을 자신의 외부 저장 장치로 복사해 갔습니다.

1. 가용성 취약점

2. 무결성 취약점

3. 기밀성 취약점

4. 인증 및 접근 통제 취약점

문제 1: 정보통신 윤리 강령의 발표 시점은 언제입니까?

1. 2005년 6월 25일

2. 2006년 6월 25일

3. 2007년 6월 25일

4. 2008년 6월 25일

5. 
   

문제 3: 정보통신 강국으로 우뚝 선 우리나라의 위상에 걸맞지 않게 나타나는 정보 역기능 현상으로 언급된 것은 무엇입니까?

1. 정보 격차 심화

2. 디지털 기기 접근성 부족

3. 불건전 정보 유통

4. 정보 생산성 저하

문제 1: 3. 2007년 6월 25일

• 지문에 명확하게 명시되어 있습니다.

문제 3: 3. 불건전 정보 유통

• 지문에 정보 역기능 현상의 예시로 언급되어 있습니다.

보호와 보안

초점: 보호는 특정 대상 자체에 초점을 맞추는 반면, 보안은 그 대상을 위협으로부터 안전하게 유지하는 상태에 초점을 맞춥니다.

범위: 보호는 더 넓은 범위의 대상을 포괄할 수 있지만, 

보안은 주로 시스템, 정보, 시설 등 구체적인 자산에 적용되는 경우가 많습니다.

성격: 보호는 직접적인 행위를 포함할 수 있지만, 보안은 시스템 구축 및 관리를 통한 안전 확보에 더 중점을 둡니다.

비슷한 예시:

집을 보호한다: 도둑이 들지 않도록 잠금장치를 설치하고, 경비 시스템을 구축하는 것은 보안에 해당합니다. 반면, 아이를 위험한 상황에서 직접 구출하는 것은 보호에 더 가깝습니다. 하지만 집이라는 대상을 안전하게 지키는 넓은 의미에서는 둘 다 보호 행위라고 볼 수도 있습니다.

정보를 보호한다: 개인 정보가 유출되지 않도록 암호화하고, 접근 권한을 관리하는 것은 정보 보안입니다. 악의적인 댓글로부터 사용자를 지키는 행위는 보호에 더 가까울 수 있습니다.

정보보안 -> 

정보시스템의 취약성(기밀성, 무결성, 가용성 보장 안된 부분)을 찾아내고, 시스템을 위협으로부터 지키는 대책을 강구하는 것임. 궁극적으로는 사람들의 이익을 보호. 

위협이란?

정보보호와 관련된 위협은 정보시스템에 손상을 입히거나, 정보의 기밀성, 무결성, 가용성에 피해를 

줄 수 있는 가능성 있는 모든 것들을 의미한다.

1.자연에 의한 위협 -> 지진, 홍수, 벼락, 화재 등

2.인간에 의한 비의도적 위협 -> 컴퓨터 오작동, 작업자 실수 등

3.인간에 의한 의도적 위협 -> 악성코드 유포, 불법침입 등 

4.취약성의 종류 -> 방금 위에 말한 것들 포함

문제 1: 다음 중 정보 보안의 초점으로 가장 적절한 것은 무엇입니까?

1. 특정 정보 자산 자체

2. 정보 자산을 위협으로부터 안전하게 유지하는 상태

3. 모든 형태의 위험으로부터 사람들을 보호하는 행위

4. 자연 재해 발생 시 긴급 구호 활동

문제 2: 다음 중 인간에 의한 비의도적 위협의 예시로 가장 적절한 것은 무엇입니까?

1. 악성코드를 이메일에 첨부하여 유포하는 행위

2. 허가 없이 서버에 접속하여 데이터를 삭제하는 행위

3. 직원이 실수로 고객 데이터베이스의 일부 레코드를 삭제하는 행위

4. 웹사이트의 취약점을 이용하여 개인 정보를 탈취하는 행위

문제 3: 다음 중 정보 시스템의 가용성을 저해할 수 있는 자연에 의한 위협은 무엇입니까?

1. SQL 삽입 공격

2. 랜섬웨어 감염

3. 지진으로 인한 통신망 마비

4. 직원의 비밀번호 관리 소홀

문제 4: 다음 설명에 해당하는 위협의 종류는 무엇입니까?

특정 소프트웨어에 알려진 보안 결함으로 인해, 공격자가 해당 결함을 이용하여 시스템 관리자 권한을 획득할 수 있습니다.

1. 자연에 의한 위협

2. 인간에 의한 비의도적 위협

3. 인간에 의한 의도적 위협

4. 취약성

문제 5: 정보보안의 궁극적인 목표는 무엇이라고 할 수 있습니까?

1. 최신 보안 기술을 도입하여 시스템을 강화하는 것

2. 정보 시스템의 취약점을 최대한 많이 찾아내어 제거하는 것

3. 정보의 기밀성, 무결성, 가용성을 확보하는 것

4. 정보 시스템과 정보를 보호하여 사람들의 이익을 보호하는 것

문제 4: 1. 위협(Threat)

• 취약성은 위협이 발생했을 때 성공 가능성을 높이는 요인이므로, 위협과 밀접한 관련이 있습니다. 위협이 취약점을 이용하여 정보 자산에 영향을 줄 수 있습니다.

문제 5: 4. 침입 탐지

• 침입 탐지는 정보 시스템에 대한 공격을 탐지하는 보안 통제이지만, 그림의 '통제' 영역에는 운동, 예방접종, 청결 유지, 면역력 강화, 식습관, 훈련이 제시되어 있습니다.

문제 1: 그림에서 '위협(Threat)'에 해당하는 요소로 제시되지 않은 것은 무엇입니까?

1. 침입

2. 바이러스

3. 정보 유출

4. 암호화

문제 2: 그림에서 정보 자산을 보호하기 위한 '통제(Control)'에 해당하는 요소로 제시된 것은 모두 몇 가지입니까?

1. 3가지

2. 4가지

3. 5가지

4. 6가지

문제 5: 다음 중 그림의 '통제(Control)' 영역에 제시된 요소가 아닌 것은 무엇입니까?

1. 운동

2. 예방접종

3. 청결 유지

4. 침입 탐지

º 인증 방법

기본개념: 사용자와 시스템, 혹은 시스템 및 자원 간의 상호작용을 통제하는 것 

주체:  사용자, 프로그램 혹은 프로세스가 될 수 있다. 

핵심은 주체가 어떤 자원에 대해 특정한 행위(읽기, 쓰기, 실행 등)를 하려고 시도한다는 점입니다 

예를 들어, 사용자가 특정 파일을 열려고 할 때, 해당 사용자가 주체가 되고 파일이 객체가 됩니다. 접근 통제 시스템은 해당 사용자가 그 파일에 대한 읽기 권한이 있는지 확인하여 접근을 허용하거나 거부합니다. 

객체: 파일, 디렉토리, DB 

접근: 주체와 객체 사이에 정보의 흐름 

정보보호를 위한 접근 단계

1. 주체활동, 계정 ID

2. 정보를 안전하게 보호하기 위한 방법 중 하나 

비밀번호, 지문과 같은 방법 사용

3. 등급, 인증표 등의 접근 결정

4. 부여 접근 권한 설정

1. 접근 통제의 기본 개념으로 가장 적절한 것은 무엇입니까?

a) 시스템의 성능을 최적화하는 기술 b) 사용자의 편의성을 증진시키는 인터페이스 설계 c) 사용자와 시스템, 혹은 시스템 및 자원 간의 상호작용을 통제하는 것 d) 데이터의 무결성을 보장하기 위한 암호화 기술

2. 접근 통제의 주체가 될 수 없는 것은 무엇입니까?

a) 사용자 b) 프로그램 c) 프로세스 d) 네트워크

3. 접근 통제 시, 사용자가 특정 파일을 열려고 할 때 '객체'에 해당하는 것은 무엇입니까?

a) 사용자 b) 접근 통제 시스템 c) 특정 파일 d) 읽기 권한

4. 다음 중 접근 통제의 '접근'에 대한 설명으로 가장 적절한 것은 무엇입니까?

a) 주체가 객체를 물리적으로 점유하는 행위 b) 주체가 객체에 대한 소유권을 주장하는 행위 c) 주체와 객체 사이에 정보의 흐름이 발생하는 것 d) 주체가 객체의 상태를 변경하는 행위

5. 정보 보호를 위한 접근 단계 중 가장 먼저 수행되는 단계는 무엇입니까?

a) 부여된 접근 권한 설정 b) 등급 또는 인증표 등을 통한 접근 결정 c) 주체의 활동 및 계정 ID 확인 d) 비밀번호나 지문과 같은 방법 사용

type1  something you know   지식기반  --  패스워드, ID 

Type2  something you have  소유기반  --  스마트카드, 토큰, otp

Type3  something you are   존재기반  --  홍채, 지문, 정맥

type4  something you do   행동기반  --   음성, 서명 

1. 다음 중 지식 기반 인증 요소(Type 1)에 해당하지 않는 것은 무엇입니까?

a) 비밀번호 (Password) b) 사용자 ID (ID) c) OTP (One-Time Password) d) PIN (Personal Identification Number)

2. 스마트카드나 토큰과 같이 사용자가 소유하고 있는 것을 기반으로 하는 인증 방식(Type 2)은 무엇입니까?

a) 지식 기반 인증 b) 소유 기반 인증 c) 존재 기반 인증 d) 행동 기반 인증

3. 다음 중 생체 인식 기술을 활용하는 존재 기반 인증 요소(Type 3)가 아닌 것은 무엇입니까?

a) 홍채 인식 b) 지문 인식 c) 정맥 인식 d) 음성 인식

4. 음성이나 서명과 같이 사용자의 고유한 행동 패턴을 기반으로 하는 인증 방식(Type 4)은 무엇입니까?

a) 지식 기반 인증 b) 소유 기반 인증 c) 존재 기반 인증 d) 행동 기반 인증

5. 다음 인증 요소들을 유형별로 올바르게 짝지은 것은 무엇입니까?

(가) 비밀번호

(나) 스마트카드

(다) 지문

(라) 서명

a) Type 1 - (나), Type 2 - (가), Type 3 - (라), Type 4 - (다) b) Type 1 - (가), Type 2 - (나), Type 3 - (다), Type 4 - (라) c) Type 1 - (가), Type 2 - (다), Type 3 - (나), Type 4 - (라) d) Type 1 - (나), Type 2 - (라), Type 3 - (가), Type 4 - (다)

6. 보안 강화를 위해 Type 1 인증 요소와 Type 2 인증 요소를 함께 사용하는 방식을 무엇이라고 합니까?

a) 단일 요소 인증 b) 이중 요소 인증 c) 다중 요소 인증 d) 생체 인식 인증 (2단계 인증)

7. 다음 설명 중 가장 적절하지 않은 것은 무엇입니까?

a) Type 1 인증 요소는 사용자가 기억하고 있어야 하므로 잊어버릴 위험이 있다. b) Type 2 인증 요소는 사용자가 소지하고 있어야 하므로 분실하거나 도난당할 위험이 있다. c) Type 3 인증 요소는 사용자의 생체 정보에 기반하므로 복제하기 매우 어렵다. d) Type 4 인증 요소는 항상 동일한 패턴을 유지하므로 위변조가 쉽다.

1. 다음 중 지식 기반 인증 요소(Type 1)에 해당하지 않는 것은 무엇입니까?

정답: c) OTP (One-Time Password)

설명: OTP는 일회성으로 생성되는 토큰 기반의 인증 방식으로 소유 기반 인증(Type 2)에 가깝습니다. 비밀번호, 사용자 ID, PIN은 사용자가 알고 있는 지식에 기반한 인증 요소입니다.

2.스마트카드나 토큰과 같이 사용자가 소유하고 있는 것을 기반으로 하는 인증 방식(Type 2)은 무엇입니까?

정답: b) 소유 기반 인증

설명: 문제의 정의 자체가 소유 기반 인증을 설명하고 있습니다.

3.다음 중 생체 인식 기술을 활용하는 존재 기반 인증 요소(Type 3)가 아닌 것은 무엇입니까?

정답: d) 음성 인식

설명: 홍채, 지문, 정맥 인식은 신체적인 특징(존재)을 이용하는 생체 인식이며, 음성 인식은 사용자의 행동 패턴(목소리)을 분석하는 행동 기반 인증(Type 4)에 가깝습니다.

4.음성이나 서명과 같이 사용자의 고유한 행동 패턴을 기반으로 하는 인증 방식(Type 4)은 무엇입니까?

정답: d) 행동 기반 인증

설명: 문제의 정의 자체가 행동 기반 인증을 설명하고 있습니다.

5.다음 인증 요소들을 유형별로 올바르게 짝지은 것은 무엇입니까?

정답: b) Type 1 - (가), Type 2 - (나), Type 3 - (다), Type 4 - (라)

설명:

(가) 비밀번호: 지식 기반 (Type 1)

(나) 스마트카드: 소유 기반 (Type 2)

(다) 지문: 존재 기반 (Type 3)

(라) 서명: 행동 기반 (Type 4)

6.보안 강화를 위해 Type 1 인증 요소와 Type 2 인증 요소를 함께 사용하는 방식을 무엇이라고 합니까?

정답: b) 이중 요소 인증

설명: 두 가지 독립적인 인증 요소를 사용하는 것을 이중 요소 인증(2FA, Two-Factor Authentication) 또는 다중 요소 인증(MFA, Multi-Factor Authentication)이라고 합니다. 특히 Type 1과 Type 2를 함께 사용하는 경우가 대표적인 이중 요소 인증의 예시입니다.

7.다음 설명 중 가장 적절하지 않은 것은 무엇입니까?

정답: d) Type 4 인증 요소는 항상 동일한 패턴을 유지하므로 위변조가 쉽다.

설명:

a) Type 1 (지식 기반)은 기억에 의존하므로 잊어버릴 위험이 있습니다. (적절)

b) Type 2 (소유 기반)는 물리적 소유물이므로 분실이나 도난 위험이 있습니다. (적절)

c) Type 3 (존재 기반, 생체 인식)은 고유한 생체 정보를 사용하므로 복제하기 매우 어렵습니다. (적절)

d) Type 4 (행동 기반)는 사용자의 고유한 행동 패턴을 분석하므로, 동일한 패턴을 유지하기 어렵고 위변조가 어렵습니다. "위변조가 쉽다"는 설명은 적절하지 않습니다.

º 접근 제어

물리적 조치: 보안이 필요한 장소에 인가받지 않은 자가 출입하는 것을 의미함

예) 중요 시설 보호, 출입 통제, 도청 방지, 자료 백업 및 재난 복구 계획

기술적 조치: 정보적 조치, 네트워크 등에 대한 위험 요소, 취약점 분석 -> 필요한 정보기술 제공 

예) 시스템 접근, 데이터 암호화, 방화벽, 암호화

관리적 조치: 정보에 대한 보호 및 관리를 위해 보안정책을 수립

예) 인원 관리, 정보 시스템 사용 위한 절차 관리, 지침, 법 제도, 교육, 홍보, 내부 감사

1. 다음 중 물리적 보안 조치에 해당하지 않는 것은 무엇입니까?

a) 사무실 문에 잠금장치를 설치한다. b) 중요 문서 보관 구역에 출입 통제 시스템을 적용한다. c) 악성코드 감염을 방지하기 위해 백신 프로그램을 설치한다. d) 서버실의 온도를 일정하게 유지하기 위한 항온항습 장치를 운영한다.

2. 다음 설명에 해당하는 정보 보호 조치의 유형은 무엇입니까?

회사의 모든 직원은 업무용 컴퓨터에 비밀번호를 설정해야 하며, 외부로 정보를 유출하는 행위는 엄격히 금지된다. 또한, 매년 정보 보안 관련 법규 및 사내 규정에 대한 교육을 의무적으로 이수해야 한다.

a) 물리적 조치 b) 기술적 조치 c) 관리적 조치 d) 환경적 조치

3. 다음 중 기술적 보안 조치에 대한 설명으로 가장 적절한 것은 무엇입니까?

a) 정보 자산의 물리적인 파손이나 유실을 막기 위한 활동 b) 정보에 접근할 수 있는 권한을 관리하고 통제하는 정책 수립 c) 네트워크 및 정보 시스템에 대한 위협을 탐지하고 대응하기 위해 정보 기술을 적용하는 활동 d) 직원들의 정보 보안 인식을 높이기 위한 교육 및 홍보 활동

4. 다음 상황에서 가장 적절한 정보 보호 조치의 유형을 연결한 것은 무엇입니까?

• (가) 퇴근 시 중요 문서는 반드시 잠금장치가 있는 캐비닛에 보관한다.

• (나) 외부 침입자가 사내 네트워크에 접근하는 것을 차단하기 위해 방화벽을 설치한다.

• (다) 신규 입사자에게 회사의 정보 보안 정책 및 관련 규정을 교육한다.

a) (가) - 기술적 조치, (나) - 물리적 조치, (다) - 관리적 조치 b) (가) - 물리적 조치, (나) - 기술적 조치, (다) - 관리적 조치 c) (가) - 관리적 조치, (나) - 물리적 조치, (다) - 기술적 조치 d) (가) - 물리적 조치, (나) - 관리적 조치, (다) - 기술적 조치

2정답: c)관리적 조치

물리보안이란?

각종 위해로부터 인원 및 자산등의 보안 대상을 보호하기 위해 이뤄지는 물리적인 조치를 의미함

공경비: 공공의 안전을 위해 국가기관에 의해 실행되는 경비를 의미함 (대통령 등의 경호에 관한 법률, 경찰관직무집행법, 전직대통령 예우에 관한 법률)

(ex 경찰의 범죄 예방활동, 경호 업무 등)

선발경호: 경호대상자가 행사장에 도착하기 전 행사장에서 이루어지는 각종 안전활동을 말한다.

수행경호: 경호대상자 근접에서 이루어지는 경호활동임

경호기법:

격리 -> 경호대상자를 잠재적인 위해상황으로 부터 분리

중첩 -> 경호대상자를 기준으로 경호대상자를 방호해줄 수 있는 여러 요소들을 중보되게 배치

분업화 -> 경호요원들의 역할을 분담하게 하는 것

보안 -> 경호활동에 관한 사항을 다른 사람이 알지 못하게 하는 것

출입통제:

차단선 활용 -> 바리케이드와 같은 장애물

비표 이용 -> 행사장에서 출입자, 참석자, 차량 등을 식별할 수 있는 인식표

검색장비 활용 -> 금속탐지기

민간경비: 개인, 법인에 의해 영리 목적으로 실행되는 경비를 의미함 (경비업법)

민간경비 영역: 시설, 호송, 신변보호, 기계경비, 특수경비 5개의 업무 전부 또는 일부 도급받아 행하게 된다.

특수경비: 국가중요시설 대상으로 이뤄지는 경비 의미함

민간경비 운영 형태: 자체경비: 개인 및 기관, 기업이 자신들의 보호대상(시설, 사람, 물품, 정보)을 보호하기 위하여

자체적으로 경비업무를 수행할 수 있는 부서를 조직화하는 것을 의미함

용역경비: 개인 및 기관, 기업 등이 자신들의 보호대상을 보호하기 위해 경비사업자와 계약에 

의해 실시되는 경비를 의미함

청원경찰제도: 민간경비 형태로 운영되면 해당시설의 경영자, 기관의 장 등이 소요경비를 부담하는 조건으로

지방경찰청장에게 청원경찰의 배치를 신청하거나 지방경찰청장이 시설의 경영자나 기관의 장에게 청원경찰

의 배치를 요청하는 제도임

+무기 및 장비 사용

청원경찰, 특수경비원은 배치된 근무지역에서 무기를 휴대할 수 있음

지방경찰청장은 국가중요시설의 경비업무를 위해 필요한 경우 무기를 구입할 수 있음

경비원은 경적, 경봉 및 분사기를 근무 중에 휴대할 수 있는데, 분사기를 휴대하기 위해서는 

총포, 도금, 화약류 등 단속법에 의하여 분사기의 소지허가를 받아야 함 

경비업: 경비업법에 근거하여 경비회사와 시설주와의 계약에 의해 경무업무가 실행됨. 

청원경찰보다 비용, 책임부분에 있어 유리한 점이 있어 민간경비 선호도 높아지는 중임

특수경비: 국가중요시설의 경비, 도난, 화재 그 밖의 위험발생을 방지하는 업무를 수행함

(항만, 공항, 원자력발전소, 국가기관, 방송국, 전력시설, 교통시설, 교정시설, 수원지 등)  -> 국민의 일상생활의 영향을 주고, 마비될 경우 개인과 기업, 국내외적으로 상당한 손실을 유발함

인력경비: 사람에 의해 경비 실행

기계경비: 경비기기나 시스템에 의해 경비 실행

cctv, 감지기, RFID, 문 잠금장치 등 

CCTV: 

화소 ->화면을 구성하는 최소단위의 점을 의미함

화각 -> 영상을 잡을 수 있는 범위의 각도

해상도 -> 피사체 세밀한 부분이 어느 정도까지 재현 가능한가를 나타냄

구경비 -> 입사렌지 직경(D)과 초점거리(F)와의 비(D:F)를 말하면 입사렌즈의

직경이 25mm이고 초점거리가 50mm인 경우 1:2로 표시함

신호대 잡음비

초점거리

주사

감지기:

도플러 효과 -> 

초전효과 -> 온도의 변화에 의해 전압이 발생하는 효과를 말함

압전효과 -> 

광기전력효과 ->

문 잠금장치:

스트라이트 방식 -> 솔레노이드에 의해 스트라이크를 결합하고 해제하여 문을 잠그고 해제하는 방식

데드볼트 -> 솔레노이드에 의해 문과 문틀에 있는 구멍에 볼트를 넣고 빼는 방식으로 문을 잠그고 해제하는 방식

전기적 방식 -> 전기적 자성에 의해 문과 문틀  에 설치된 자성체를 붙이고 떨어지는 형태로 문을 잠그고 해제하는 방식 

RFID:

RFID의 구성 -> RFID태그의 정보를 인식하는 기능을 수행하는 RFID 리더로 구성 -> 태그로부터 읽어들인

정보를 처리하는 호스트 컴퓨터(서버), 응표소프트웨어 및 네트워크로 구성된다.

스피드게이트 -> 여러 사람이 동시에 출입할 수 있게 설계된 출입문의 형태로 일정한 경계구역을 형성 ->

인가되지 않은 사람이 시설로 들어가려는 것을 물리적으로 통제함

침입감지시스템:

침입상황과 같은 이상상황을 현장에 설치된 센서가 감지하여 그 정보를

경보형태로 제공하는 시스템을 의미함. 

구성:

제어부, 전원부, 조작부, 출력부, 경보수신장치로 이루어져 있다.

방법용 감지기:

자력의 변화에 의해 회로가 작동 -> 경보신호를 발생시키는데, 전원이 필요없어 구조가 간단함

ex) 출입문이나 창문이 열리는 것을 감지

적외선감지기:

적외선 감지기는 적외선 빔을 발생하는 송신기와 이를 받아들이는 수신기로 구성되며,

침임자에 의해 송신기와 수신기 사이에 빔이 차단될 때 -> 경보신호를 발생시킨다.

(안개, 눈, 비, 먼지 등에 의해 오작동을 유발)

열선 감지기:

온도변화나 기류변화에 의해 경보 신호를 발생함 -> 주위 환경변화에 빈감함 

따라서 침입자를 거의 빈틈없이 감지할 수 있으므로, 벽이나 천장에 많이 부작하여 사용한다. 

(장애물에 취약함)

마이크로웨이브 감지기: 

마이크로웨이브 빔이 침입자에 의해 차단될 때

경보신호를 발생시킨다

유리파손 감지기:

유리가 깨지는 것을 감지하기 위해 유리를 부착 -> 유리가 꺠질 때 발생하는 탄성파나 진동을 감지하는

방법과 유리창 정면과 천장이나 벽면에 설치하여 유리가 

깨질 때 발생하는 일정한 음파를 감지하여 경보신호를 발생함

진동 감지기:

범인의 움직임으로 인해 발생하는 진동을 감지하여 경보신호를 발생시킴 -> 바람이 심하게 불거나

문을 두드릴 경우에는 오경보신호가 발생할 수 있음

울타리 감지기:

광케이블 감지기: 

심선에 발생하는 변형에 의해 심서을 통해 한쪽에서 투광하고 다른 쪽에서

수광하는 빛의 양이 달라지는 것을 감지함 ->수명이 길고 설치 용이하지만, 비용 많이 소요됨

(비, 바람, 동식물에 의한 장애 적음)

광망감지:

광섬유로 그물을 만들어 사용하는 감지기로 울타리 및 담장 위 등에 설치하여 광섬유 심선에 적외선 

레이로 레이저광을 수신하고 있다가 담장을 

침입할 때 끊어지기 쉬운 광섬유를 절단하게 되면 -> 경보 발생

전계감지:

고주파 에너지 가하고, 감지전선 사이에 흐르는 전류가 변하게 되면서 경보 발생

(설치 용이, 비, 바람 환경변화에 강함 ; 동식물에 의한 오경보 많음, 낙뢰에 약함)

지진동 감지기: 지하의 지진동에 의한 음향을 감지하는 감지기 

압력 감지기:

지하에 액체를 내장하는 가소상 관을 매설 -> 지상에서 압력을 가할 때 그 압력을 전달하여

경보신호를 발생시킴

화재감지기:

차동식 감지기: 주변 온도의 상승률 일정 수준 이상으로 올라가면 감지 

주위 온도의 완만한 상승을 구분함

정온식 감지기: 주변온도가 일정온도 이상이 되는 것을 감지, 설정해놓은 일정 온도를 초과할 때까지 

작동하지 않는다.

보상식 감지기: 차동식과 정온식의 특징과 기능을 함께 갖춘 것으로, 주위 온도가 급격히 상승한 경우 -> 차동식

완만하게 상승한 경우 -> 정온식과 같은 특성으로 작동함

연기감지기

(1) 광전식

내부에 발광소자와 수광소자 가지고 있어 발광소자의 광이 산란 또는 감쇠되는 것을 감지하며,

연소 중 발생한 연기입자에 의해 광선의 진행이 방해받을 때 경보가 발생함

이온식: 미량의 방사선 물질로 공기를 이온화 하여 이온 전류의 변화를 감지함

화염감지기

(1) 적외선식 감지기: 필터와 렌즈로 구성되어 불필요한 파장을 걸러 내어 화염에 포함된 2.5~2.8헥타르 또는

4.2~4.5 범위의 적외선을 감지한다.

(2) 자외선식 감지기: 화염에 포함된 자외선을 감지하며 0.17~0.3 범위의 파장에서 작동하는데, 태양광과

인공조명에서는 작동하지 않는 범위이다. 

복합식 감지기: 하나의 감지기에서 복수의 감지기능을 가진 감지기를 말한다. 

º 정보보호 대책

예방통제: 

발생가능한 잠재적인 문제들을 식별하여 사전에 대처하는 능동적인 개념의 통제이다. 

탐지통제: 

예방통제를 우회하여 발생한 문제들을 찾아내기 위한 통제 -> 탐지 통제임

ex) ids 

교정통제: 

문제의 원인, 영향을 분석하고 이를 교정하기 위한 조치를 의미함

ex) 서버 데이터 백업

최소 권한: 한 사람이나 조직이 업무에 필요한 권한 이상을 부여받으면 안된다는 개념

직무 분리: 하나의 업무 절차를 두 사람이 수행하도록 업무를 분리하는 것

접근통제: 

자원의 비인가적인 접근을 감시하고, 접근을 요구하는 이용자의 식별 및 권한 검증 등을 수행하며, 정해진 보안 정책에 근거, 비인가자의 접근을 통제함으로 -> 자원을 보호함

강제적 접근통제(Mandatory Access Control ; MAC)

군이나 정부에서 많이 쓰인다.  (중앙 집중적인 보안체계)

모든 객체에 대한 비밀성 근거하여

보안라벨이 주어진다. 주체의 권한에 따라 객체에 접근을 제한함. 

임의적 접근통제(Discretionary Access Control ; DAC)

임의적 접근통제는rwx처럼 사용자의 접근권한을 기반으로 접근통제를 수행하는 것을 

의미한다. 

즉, 누가 어떤 객체에 어떤 방식으로 접근할 수 있는지를 객체의 소유자 또는 권한을 가진 사용자가 자유롭게 결정할 수 있다.

역할기반 접근통제(Role Based Access Control ; RBAC)

(Non-DAC ; Non-Discretionary Access Control)이라고도 부름

잦은 부서이동 조직에 접합한 모델임

역할에 따라 접근통제 가능함.  -> 사용자에게 역할을 할당하는 방식

장점: 굳이 개별 사용자마다 접근권한 설정할 필요 없음 -> 사용자 많고 접근권한 자주 변경되는 환경에서 좋다.

단점: 사용자(주체)와 자원(객체) 각각에 대한 접근권한 설정 어려움 

º 시스템과 관련된 보안 조치

세션 관리:

사용자와 시스템 또는 두 시스템 간의 활성화된 접속에 대한 관리

일정 시간이 지날 경우 적절히 세션을 종료하고, 비-인가자에 의한 세션 가로채기를 통제

접근 제어:

 시스템이 네트워크 안에서 다른 시스템으로부터 적절히 보호될 수 있도록 네트워크 관점에서 접근을 통제

권한 관리: 

시스템의 각 사용자가 적절한 권한으로 적절한 정보 자산에 접근할 수 있도록 통제

로그 관리:

시스템 내부 혹은 네트워크를 통한 외부에서 시스템에 어떤 영향을 미칠 경우 해당 사항을 기록

취약점 관리: 

시스템은 계정과 패스워드 관리, 세션관리, 접근 제어, 권한 관리 등을 충분히 잘 갖추고도 보안적인 문제가 발생할 수 있음.

이는 시스템 자체의 결함에 의한 것으로, 이 결함을 체계적으로 관리하는 것이 취약점 관리이다. 

패스워드: 길이가 너무 짧거나(null)인 패스워드

사전에 나오는 단어나 조합: ilove you, password

키보드 자판의 배열: qwer

사용자 계정 정보 유추 가능한 단어: ID myaccount, PW: myaccount

telnet, rlogin

xinted 사용 

telnet

cat/etc/securetty

----

pts

----

pts옵션 있는지 확인

rlogin

 안되게 하려면 disable 옵션 -> yes로 변경

rlogin 

/etc/xinetd.d/rsh, rlogin, rexec 

----

disable = yes로 변경

---

cat/etc/services 

#rlogin

#rsh같이 

r에 #주석 표시

위에 제시된 A 기업의 문제점들을 해결하고 정보보호 수준을 향상시키기 위해, 제시된 "정보보호 대책" 및 "시스템과 관련된 보안 조치" 개념들을 활용하여 구체적인 해결 방안을 제시하고 설명하시오.

1. 문제점 1 (신규 입사자 B의 불필요한 권한): 어떤 접근통제 모델을 적용하는 것이 가장 적합하며, 그 이유는 무엇입니까?

2. 문제점 2 (데이터베이스 관리자 C의 독점적인 업무): 어떤 정보보호 대책을 적용하여 보안성을 강화할 수 있습니까? 해당 대책을 적용했을 때의 기대 효과는 무엇입니까?

3. 문제점 3 (퇴사자 D의 잔여 권한): 어떤 시스템 관련 보안 조치를 통해 이러한 문제를 예방하고 관리할 수 있습니까?

4. 문제점 4 (시스템 관리자 E의 telnet 사용): telnet 사용의 보안적 취약점을 설명하고, 이를 해결하기 위한 구체적인 보안 조치는 무엇입니까? 제시된 정보를 바탕으로 /etc/securetty 파일과 관련된 조치를 설명하시오.

5. 문제점 5 (보안 시스템 F의 미흡한 대응): 보안 시스템 F의 한계를 극복하고 A 기업의 전체적인 정보보호 통제 수준을 높이기 위해, 어떤 통제 개념을 추가적으로 도입해야 합니까?

6. 문제점 6 (취약한 패스워드 사용): 패스워드 보안을 강화하기 위한 구체적인 방안을 제시하시오. 제시된 정보를 바탕으로 '패스워드' 항목의 내용을 활용하여 설명하시오.

7. 문제점 7 (방대한 로그 기록): 로그 관리의 효율성을 높이고 비정상적인 접근 시도를 효과적으로 파악하기 위한 방안은 무엇입니까?

A 기업의 정보보호 문제점들을 해결하기 위한 구체적인 방안은 다음과 같습니다.

1. 문제점 1 (신규 입사자 B의 불필요한 권한) 해결 방안

신규 입사자 B의 경우처럼 잦은 부서 이동과 함께 각 사용자의 업무 역할이 명확한 환경에서는 역할기반 접근통제(RBAC) 모델을 적용하는 것이 가장 적합합니다.

이유:

• 효율성: 개별 사용자마다 접근 권한을 설정할 필요 없이, 영업 부서, 마케팅 부서 등과 같은 역할을 정의하고 해당 역할에 필요한 시스템 접근 권한을 부여할 수 있습니다. B에게는 '영업 부서원' 역할을 할당하되, 특정 고객 정보 시스템 접근 권한이 없는 '영업 지원'과 같은 하위 역할을 부여하여 불필요한 권한을 제한할 수 있습니다.

• 관리 용이성: 사용자 수가 많고 접근 권한이 자주 변경되는 A 기업의 환경에서 RBAC는 권한 관리를 훨씬 용이하게 합니다. B가 다른 부서로 이동하더라도 단순히 역할만 변경하면 되므로 관리 부담을 줄일 수 있습니다.

2. 문제점 2 (데이터베이스 관리자 C의 독점적인 업무) 해결 방안

데이터베이스 관리자 C의 독점적인 업무 처리는 단일 실패 지점(Single Point of Failure)이 될 수 있으며, 내부자에 의한 위협에 취약합니다. 이를 해결하기 위해 직무 분리 정보보호 대책을 적용해야 합니다.

적용 방안:

• 데이터베이스 관리(DBA) 업무를 여러 단계로 나누고, 각 단계를 서로 다른 사람이 수행하도록 합니다. 예를 들어, 데이터베이스 운영과 데이터 백업 및 복구 업무를 별도의 담당자에게 부여하거나, 두 명의 DBA가 교차 검증하도록 합니다.

• 핵심 데이터베이스에 대한 접근 권한을 최소화하고, 모든 접근 내역을 로그 관리 시스템을 통해 기록하고 주기적으로 감사합니다.

기대 효과:

• 내부 통제 강화: 한 사람이 모든 권한을 가지고 업무를 처리하는 것을 방지하여, 오류나 고의적인 정보 유출의 위험을 줄일 수 있습니다.

• 보안성 향상: 업무 절차가 투명해지고 교차 확인이 가능해지므로 전체적인 보안 수준이 향상됩니다.

• 업무 연속성 확보: 특정 담당자의 부재 시에도 업무 공백이 발생하지 않도록 합니다.

3. 문제점 3 (퇴사자 D의 잔여 권한) 해결 방안

퇴사자 D의 잔여 권한 문제는 권한 관리와 접근통제의 미흡으로 발생합니다. 이를 예방하고 관리하기 위한 시스템 관련 보안 조치는 다음과 같습니다.

해결 방안:

• 퇴사자 계정 비활성화 및 권한 회수 절차 강화: 퇴사 시 시스템 계정을 즉시 비활성화하고, 해당 계정과 연결된 모든 접근 권한을 자동으로 회수하는 절차를 수립하고 강제합니다. 특히 특정 디렉토리나 공유 자원에 대한 접근 권한도 놓치지 않고 제거해야 합니다.

• 정기적인 권한 감사: 주기적으로 시스템의 사용자 권한을 검토하고, 불필요하거나 과도하게 부여된 권한이 없는지 확인합니다. 이는 최소 권한 원칙을 시스템적으로 구현하는 방법입니다.

4. 문제점 4 (시스템 관리자 E의 telnet 사용) 해결 방안

telnet은 데이터 전송 시 암호화되지 않은 평문으로 통신하기 때문에 중간에 통신 내용을 가로챌 경우 사용자 계정 정보(ID, 패스워드)를 포함한 모든 데이터가 그대로 노출되는 심각한 보안 취약점을 가지고 있습니다.

해결 방안:

• telnet 대신 SSH(Secure Shell) 사용: SSH는 telnet과 동일하게 원격 접속을 지원하지만, 모든 통신 내용을 암호화하여 보안성이 뛰어납니다. 시스템 관리자 E는 반드시 SSH를 사용하여 서버에 접속하도록 강제해야 합니다.

• /etc/securetty 파일 조치: telnet 서비스 자체를 비활성화하는 것이 가장 이상적이지만, 부득이하게 사용해야 할 경우 /etc/securetty 파일에서 pts 옵션을 제거하거나 주석 처리하여 원격 터미널 접속을 제한할 수 있습니다. telnet 서비스가 pts (pseudo-terminal slave)를 통해 접속하는 것을 허용하는 설정을 변경하여, 보안이 강화된 환경에서만 접속이 가능하도록 제한하는 것입니다. 다만, 이는 임시방편적인 조치이므로 근본적으로는 SSH로 전환해야 합니다.

5. 문제점 5 (보안 시스템 F의 미흡한 대응) 해결 방안

보안 시스템 F(IDS)는 탐지통제의 역할을 수행하지만, 탐지된 공격에 대한 즉각적인 대응이나 예방 조치가 미흡합니다. A 기업의 전체적인 정보보호 통제 수준을 높이기 위해 다음 통제 개념을 추가적으로 도입해야 합니다.

• 예방통제 강화: 침입이 발생하기 전에 사전에 방지하는 능동적인 통제를 강화해야 합니다. 예를 들어, 방화벽(Firewall)을 통해 비인가된 네트워크 접근을 차단하거나, 최신 보안 패치 적용 및 시스템 설정을 강화하여 알려진 취약점을 사전에 제거하는 것이 여기에 해당합니다.

• 교정통제 도입: 침입이 탐지되거나 보안 사고가 발생했을 때 그 원인을 분석하고 영향을 최소화하며 시스템을 정상 상태로 복구하는 교정통제를 도입해야 합니다. 예를 들어, 침입 탐지 시 자동으로 의심스러운 IP를 차단하거나, 서버 데이터 백업 시스템을 구축하여 데이터 손실에 대비하는 것이 교정통제의 좋은 예시입니다.

6. 문제점 6 (취약한 패스워드 사용) 해결 방안

취약한 패스워드 사용은 시스템 보안의 가장 기본적인 구멍입니다. 패스워드 보안을 강화하기 위한 구체적인 방안은 다음과 같습니다.

해결 방안:

• 패스워드 정책 강화:

  • 최소 길이 제한: 패스워드 길이를 최소 8~10자 이상으로 설정하고, 더 길수록 좋습니다.

  • 복잡성 요구: 숫자, 특수문자, 대문자, 소문자 등 4가지 문자 종류 중 3가지 이상을 조합하도록 강제합니다.

  • 사전 단어, 유추 가능 단어, 키보드 배열 사용 금지: iloveyou, password, qwer 등 사전이나 사용자 계정 정보에서 쉽게 유추 가능한 단어의 사용을 시스템적으로 제한합니다.

  • 이전 패스워드 재사용 금지: 일정 기간 동안 이전에 사용했던 패스워드를 재사용할 수 없도록 이력 관리를 합니다.

• 정기적인 패스워드 변경 의무화: 사용자들에게 주기적인 패스워드 변경을 의무화하고, 변경 주기를 적절히 설정합니다.

• 다단계 인증(MFA) 도입: 패스워드 외에 추가적인 인증 수단(예: OTP, 지문 인식 등)을 도입하여 보안을 강화합니다.

7. 문제점 7 (방대한 로그 기록) 해결 방안

방대한 로그 기록 속에서 비정상적인 접근 시도를 효과적으로 파악하기 위해서는 로그 관리의 효율성을 높여야 합니다.

해결 방안:

• 중앙 집중식 로그 관리 시스템 구축: 각 시스템에서 생성되는 로그를 하나의 중앙 서버로 모아 통합 관리합니다. 이를 통해 전체 시스템의 활동을 한눈에 파악하고 분석할 수 있습니다.

• 로그 분석 및 모니터링 자동화: SIEM(Security Information and Event Management)과 같은 로그 분석 도구를 도입하여 비정상적인 패턴이나 임계치 초과 이벤트를 자동으로 탐지하고 관리자에게 경고를 보냅니다.

• 로그 필터링 및 정규화: 불필요한 로그는 필터링하고, 다양한 형식의 로그를 표준화하여 분석 효율성을 높입니다.

• 정기적인 로그 감사: 보안 담당자가 주기적으로 로그를 검토하고 분석하여 잠재적인 위협을 식별합니다.

문제 1. 다음 그림은 리눅스 운영체제의 계정 정보를 나타냅니다. 각 번호에 해당하는 설명으로 옳지 않은 것은?

(그림: root : x : 0 : 0 : root : /root : /bin/bash)

(1) root는 사용자 이름이다.

(2) x는 패스워드가 암호화되어 shadow 파일에 저장되어 있음을 나타낸다.

(3) 첫 번째 0은 사용자의 그룹 번호(GID)이다.

(4) /root는 사용자의 홈 디렉터리이다.

문제 2. 리눅스 운영체제의 사용자 번호(UID)와 관련된 설명으로 가장 적절한 것은?

a) 관리자 계정(root)은 UID를 부여받지 않는다. b) 일반 사용자 계정의 UID는 0번으로 고정된다. c) UID는 사용자를 식별하는 고유한 번호이며, 관리자 계정의 UID는 0번이다. d) UID는 패스워드 암호화 방식에 따라 달라진다.

문제 3. 다음 중 리눅스 계정 정보와 관련된 설명으로 옳지 않은 것은?

a) 사용자의 셸은 로그인 시 실행되는 기본 명령 인터프리터를 정의한다. b) shadow 파일에는 사용자의 패스워드가 평문으로 저장되어 있다. c) 사용자의 이름(설명) 필드는 시스템 설정에 영향을 주지 않는다. d) 홈 디렉터리는 사용자의 개인 파일들이 저장되는 기본 공간이다.

문제 4. 리눅스 계정 정보에서 root : x : 0 : 0 : root : /root : /bin/bash라는 문자열을 확인했을 때, 이 계정에 대한 설명으로 가장 거리가 먼 것은?

a) 이 계정의 사용자 이름은 root이다. b) 이 계정의 패스워드는 shadow 파일에 암호화되어 저장되어 있다. c) 이 계정은 일반 사용자 권한을 가지고 있으며, UID는 0번이다. d) 이 계정의 홈 디렉터리는 /root이며, 기본 셸은 /bin/bash이다.

문제 1. 다음 그림은 리눅스 운영체제의 계정 정보를 나타냅니다. 각 번호에 해당하는 설명으로 옳지 않은 것은?

정답: 3 해설: 제시된 이미지에 따르면 root : x : 0(사용자 번호 UID) : 0(그룹 번호 GID) : root(사용자 이름) : /root(홈 디렉터리) : /bin/bash(셸) 순서로 정보가 나열됩니다. 따라서 첫 번째 0은 사용자 번호(UID)를 나타내며, 그룹 번호(GID)는 두 번째 0입니다.

문제 2. 리눅스 운영체제의 사용자 번호(UID)와 관련된 설명으로 가장 적절한 것은?

정답: c 해설: 이미지 하단에 명시된 바와 같이 리눅스에서 관리자(root)는 UID 0번을 부여받고, 일반 사용자는 보통 500번 이상의 UID를 부여받습니다. UID는 사용자를 식별하는 고유한 번호입니다.

a) 관리자 계정(root)도 UID 0번을 부여받습니다.

b) 일반 사용자 계정의 UID는 500번 이상이 부여됩니다. 0번은 관리자 계정의 고유 UID입니다.

d) UID는 사용자를 식별하는 번호이며, 패스워드 암호화 방식과는 무관합니다.

문제 3. 다음 중 리눅스 계정 정보와 관련된 설명으로 옳지 않은 것은?

정답: b 해설: 제시된 이미지에서 x는 "패스워드가 암호화되어 shadow 파일에 저장되어 있음"을 나타낸다고 명시되어 있습니다. shadow 파일은 보안을 위해 패스워드를 암호화된(해시된) 형태로 저장합니다. 평문으로 저장되지 않습니다.

a) 셸은 사용자가 로그인했을 때 실행되는 명령어를 처리하는 프로그램입니다. (O)

c) 사용자의 이름(설명) 필드는 사용자에게 편의상 부여하는 이름일 뿐, 시스템의 동작이나 설정에 직접적인 영향을 주지 않습니다. (O)

d) 홈 디렉터리는 사용자가 로그인했을 때 기본적으로 위치하는 디렉터리이며, 사용자의 개인 파일들을 저장하는 공간입니다. (O)

문제 4. 리눅스 계정 정보에서 root : x : 0 : 0 : root : /root : /bin/bash라는 문자열을 확인했을 때, 이 계정에 대한 설명으로 가장 거리가 먼 것은?

정답: c 해설: 이미지에 명시된 바와 같이 UID 0번은 관리자(root) 계정에 부여되는 번호입니다. 따라서 UID가 0번인 이 계정은 일반 사용자 권한이 아닌 관리자(root) 권한을 가지고 있습니다.

a) 첫 번째 필드는 사용자 이름이며 root입니다. (O)

b) 두 번째 필드 x는 패스워드가 shadow 파일에 암호화되어 저장되어 있음을 의미합니다. (O)

d) 여섯 번째 필드는 홈 디렉터리(/root)이고, 일곱 번째 필드는 셸(/bin/bash)입니다. (O)

º 보안관제 개념

보안관제(Security Monitoring)이란?

컴퓨터 프로그램 수행 중에 일어날 수 있는 여러 오류에 대비하기 위한 

감시 활동이다. 

국가, 공공기관, 기업에서 수행하고 있는 관제 업무는 다음과 같다

1. pc, 서버에 저장되어 있는 정보 자료나 시스템 정보의 절취를 노리고 해킹을 탐지, 차단 하는 것이다.

2. 홈페이지에 네트워크 마비, 장애를 유발시켜 인터넷 서비스등 정보통신의 정상적인 운영을 방해하는

공격 행위를 탐지, 차단하는 것이다.

3. 악성코드를 채증, 분석하여 탐지 기술을 제작, 관제 시스템에 적용함 -> 사이버 공격 탐지, 차단하는 것이다.

원격감지: 일부 단위 안시스템의 운영 및 관리를 위탁하는 방식 -> 일반 기업

파견관제: 자체 구축한 보안 관제 시스템의 운영 및 관리를 위탁하는 방식 -> 공공기관, 금융기관

자체관제: 자체 보안 관제시스템의 운영 및 관리를 자체적으로 수행 -> 정보기관, 경찰청

정규직, 계약직 보안인력을 통한 관제 업무 수행

사고대응팀

자연재해, 업무 운영 중단 같은 위기사고에 대비 대응하는 그룹임

대표적으로 CERT가 있다.

1. 중앙 사고 대응팀: 하나의 사고 대응팀 -> 모든 사고 다룸(소규모 조직, 근거리 집중 조직에서 주로 구성)

2.분산 사고 대응팀: 여러개의 사고 대응팀 -> 파트별로 나누어서 역할 분담

3.조정 사고대응팀: 중앙팀 -> 정책, 표준 개발 ; 분산팀 -> 지침, 훈련 이행

4.외주 사고대응팀: 사고대응팀의 업무를 완전히 OR 부분적으로 외부 조직에서 담당함 

보안사고 개념 및 분류

개념: 보안사고는 보안정책이나 지침을 위반하거나 위반의 가능성이 있는 위협을 가르킨다. 

다양한 사건의 보고가 발생하면, 우선순위를 정하여 시기 적절하게 대응할 수 있도록

보안사고 분류를 해야 한다.

DDOS, 악성코드, 비인가접근, 부정사용 등이 있음. 

보안사고 모니터링

시스템 관리자는 정보보안 사고 발생 시, 추정성 확보를 위해 주요 정보시스템의 로그를 남기고

보관해야 한다. 로그로 기록해야 할 사항은 

P.175 ~ P.177을 참고하도록!

보안사고 표시기

보안사고 발생하였는지 알려주는 event알림이 있어야 함. 

1.침입가능 표시기(Possible Indicators): 낯선 파일, 프로그램등이 이에 해당

2.의사침입 침입표시기(Probable Indicators): 실행시키지 않은 행위 -> 시스템에서 실행되는 경우

3.침입 표시기(Definite Indicators): 해킹 신고 접수, 가용성, 성능저하 초래된 것을 확인한 경우 

침입탐지 방법

특별한 장소, 행위로부터 접속에 대한 로그파일을 조사

setuid, setgid 파일을 조사

cron, at으로 수행되는 모든 파일을 조사

인가받지 않은 서비스 조사

/etc/passwd파일을 조사하여 변경된 부분이 있는지 확인

시스템에 숨겨지거나 '.'으로 시작하는 파일이 있는지 확인

의사소통의 중요성

1.보안사고 공지가 사고처리를 방해해서는 안된다.

2.외부의 불필요한 간섭이 없도록 해야 한다. 

*누가, 언제, 어떻게 왜 공지할 것인지 사전에 결정되어야 함

조직 내부 의사소통

1.사고대응팀은 보안사고가 발생했을 때 초동조치를 해야 함

상호 연락이 매우 중요하면 항상 연락 가능한 비상연락망을 유지해야 함

2.내부 정보 공유 사고와 관련된 정보는 간결, 정확, 양질의 정보여야 함.

사고대응팀 구성되어 있으면 모든 팀 구성원이 정보를 공유해야 함

3.조치사항보고. 보안사고 조치 완료 후 -> 부분별 보안담당자가 보안사고 보고서 양식에 따라 보안 책임자에게 보고해야 함.

1.보안사고 유형 (ex해킹, 바이러스, 웜)

2. 보안사고 등급(사건의 등급을 판단 -> 적합한 보안사고 등급을 지정함)

3.사고발생 일시

4.조치완료 시각

5.사고 대상이된 자산, 정보자산 목록의 내용을 참고하여 기록

6.사고 영향범위

7.사고내용

8.사고원인

9.조치내용, 일시, 결과

10.사후대책

11.기타 보안사고와 관련된 다양한 증적 

언론공개

만약 공공과 관련된 부서(홍보과, 공보담당자)가 존재한다면, 언론가의 접촉은 이 부서를 이용하는 

것이 중요하다. 공공과 관련된 부서는 정보의 형식과 용어를 신중하게 선택해야 한다.

만약, 공공관련 부서를 이용할 수 없다면, 언론에 배포할 보도자료 내용을 충분히 

검토해야 한다. 민감한 정보는 언론에 최소 또는 개요만을 제공하는것이 유리하다.

*공개지침

1.아주 낮은 기술적인 수준을 제공해야 함

2.언론보도는 추측의 범위를 넘어설 수 있음에 유의

3. 증거를 보존하기 위해 변호사와 상의

4. 준비가 되기 전에 언론 인터뷰에 응하지 않는다

º 복구대책

보안사고 범위의 확산을 위한 넘버 원은 정보시스템의 가동을 중지하는 것이다. 

1.사고범위 결정

2. 공격의 접근 차단(Firewall)

3.악성 프로세스 중단(백신)

제어권 회복

시스템을 파괴하기 이전상태로 복구하여 기밀성이 유지되는 상태로 유지되는 것을 의미함

1.비밀번호 변경

2.서비스 중지: 침투에 이용된 특정 서비스 중지하여 사용 제한시켜야 함

3.백도어 제거

4.활동감시 

사고 복구

시스템을 원상태로 되돌리고 가용성을 복원하는 과정

(1) 우선순위 설정, 서비스의 위협에 대한 비용 이해하고 있어야 함

(2) 취약성 관리

ㄱ. 패치: 특정 취약성 보완 위한 소프트웨어

ㄴ. 서비스 보완: 취약성이 보완된 서비스

ㄷ. 절차 변경: ex)_업무 상태, 법률, 보안관 관련된 기술 검토 및 변경

º 재발 방지

후석 처리에서 가장 중요한 사항은 처리를 기록하는 과정임

사고의 문서화

(1) 후속처리 보고서에 포함될 대부분의 정보는 시간대별 상황 문서로 수집되어 있어야 한다.

(2) 기술적 요약서: 처리과정에 대한 능력을 향상시키고 최선의 대응을 위한 기초가 된다.

(3) 관리적 요약서: 사고의 범위, 크기, 영향을 이해하는데 필요한 내부적인 관점을 제공함 

사고평가

사고가 수습되는 동안의 관리과정을 재검토하고, 대책을 보완하는 시기임

(1) 위험분석: 어떤 요소가 손실에 많이 영향을 미치고, 관리과정에서 중요한지 결정할 수 있도록 해줌

(2)업무영향 분석: 보안사고가 조직에서 차지하는 재정적 영향을 판단하는 것임

복구전략 수행하는 데 필요한 추정비용과 관련비용을 포함시킴 -> 업무 영향 개선에 도움을 줌 

사고분석

정확하게 언제 무엇이 발생하였는가?

직원은 얼마나 잘 대응하였는가?

직원에게 필요한 정보는 무엇이었으며, 얼마나 신속하게 대응할 수 있었는가?

다음 사건에는 무엇이 달라져야 하는가? 등

분석 과정에서 보안사고에서 수집된 모든 정보와 이벤트를 발생 순서대로 정리해야 함

º 법적 조치

형사: 시스템을 삭 이전으로 복구하는 데 소요되는 시간, 노력 손해배상에 산정해야 함

민사: 손해를 배상받을 수 있도록 손해를 항목화 시켜야 함 

-------------------------------------------------------------- 정보보호 개념  ------------------------------------

-------------------------------------------------------------- 방화벽 --------------------------------------------

º 방화벽이란?

ip 패킷을 검사하여 차단 또는 허용 

방화벽의 4가지 종류

1. 패킷 필터링(Packet filtering): 네트워크 계층의 출발지/목적지 Ip주소,  목적지/ port번호 프로토콜 등의

기반으로 방화벽 정책에 따라 필터링(허용/차단등)을 수행하는 방화벽임.

2. 상태 검사(State Inspection): 프르토콜별 세션정보(연결상태)를 추적하여 패킷 필터링을 수행하는 방화벽임.

3. 응용 방화벽(Application Gateway): 응용 계층(HTTP, SSH, FTP)등에 대한 중계 역할(프록시)을 하면서 방화벽 정책에 따라 서비스 제어, 사용자 인증, 로깅 및 감사 기능을 수행하는 방화벽으로 응용 계층 프로토콜 별로 프록시 기능이 필요하다. 

+ 클라이언트와 서버 사이에 프록시 서버가 위치함으로써 

내부 네트워크의 실제 IP 주소와 구조를 외부로부터 숨길 수 있습니다. 이는 공격자가 내부 시스템에 직접 접근하는 것을 어렵게 만듬. 

4. 회선 게이트웨이 방화벽(Circuit Gateway): 전송 계층 트래픽(TCP, UDP등)에 대한 중계 역할(프록시)을 하면서 방화벽 정책에 따라 연결제어, 추적, 로깅등의 기능을 수행하는 방화벽으로 

전송계층에서 동작함. *응용 서비스 계층에 대한 제어는 X 

+ 택배를 보낸다고 생각해 봅시다.

내가(클라이언트)이 직접 친구(서버)에게 택배를 보내는 거임. 

중간에 누가 있는지, 어떤 경로로 가는지 잘 모르지.

회선 게이트웨이 방화벽: 마치 중간에 있는 택배 회사(방화벽)다~

나(클라이언트) -  택배 회사(방화벽) -  친구(서버)

• 1. 여러분은 택배 회사에 물건을 맡깁니다. (연결 요청)

  2. 택배 회사는 여러분의 정보와 보낼 곳의 정보를 확인하고, 가짜(익명의 이름, or 위장 회사 ) 송장(가상 회선)을 만들어요.

  3. 택배 회사는 그 가짜 송장(익명의 이름, or 위장 회사 )을 가지고 친구에게 물건을 전달합니다. (실제 데이터 전송)

  4. 친구도 마찬가지로 택배 회사를 통해 여러분에게 답장을 보냅니다.

왜 택배 회사가 필요할까요?

누가 주고받는지 확인: 택배 회사는 누가 보내고 누가 받는지 기록하고(로깅), 이상한 사람이 보내는 택배는 받지 않도록 할 수 있어요(정책 제어).

내 집 주소 숨기기: 친구는 여러분의 진짜 집 주소를 알 필요 없이 택배 회사의 주소만 알게 돼요. (내부 네트워크 정보 은닉)

연결 상태 확인: 택배 회사는 택배가 제대로 출발했는지, 도착했는지 등을 계속 확인하고 관리해요(연결 추적).

핵심:

회선 게이트웨이 방화벽은 여러분과 서버 사이의 연결 자체를 중간에서 관리하는 택배 회사 같은 거예요. 

직접 연결하는 대신 방화벽이라는 중간 다리를 거치면서 누가 연결하는지 확인하고, 연결 상태를 계속 주시하면서 보안 기능을 수행하는 거죠. 패킷의 내용물까지 뜯어보는 건 아니고, '누가 누구와 연결하려고 하는가?' 와 '연결이 잘 유지되고 있는가?' 를 주로 확인한다고 생각하시면 됩니다.

-

출입구에서 신분증을 확인하고 내부로 출입을 허가 또는 금지하듯이 방화벽도 내부에 시스템이 접근하는 패킷을 검사하여 접근 또는 차단을 허용한다. 

방화벽의 기능은 보안의 기본을 생각하면 된다. 

접근제어, 로깅, 감사 기능 

접근제어:  통과 패킷의 기준을 정해두고 접근 제어 규칙에 따라 허용 or 차단을 시킴. 

로깅: 허가 또는 거부된 접근에 대한 기록 보관

감사: 추후 보안 문제 발생 시 감사 추적 기능

방식: 패킷 필터링 방식, 프록시(Proxy)방식

방화벽의 또 다른 기능에는 암호화 기능이 있습니다. 

송신자 방화벽에서 암호화를 하면 수신자 측 방화벽에서 복호화를 하는 방식입니다. 

ModSecurity

Lvam Ristic이 개발한 아치 웹 서버용 공개 웹 방화벽 

php injection 공격 등 아파치 웹 서버의 주요 공격을 차단한다.

WebKnight

AQTRONIX에서 개발한 IIS웹 서버용 공개 웹 방화벽으로 

SQL 인젝션등 IIS웹 서버에 대한 공격을 차단하는 방화벽임

방화벽의 한계

바이러스를 막을 수 없다. 

악의적인 내부 사용자의 공격을 막을 수 없다. 

새로운 형태의 보안 공격은 방어가 어렵다.

방화벽을 통과하지 않는 통신은 제어 불가능하다. 

NIDS, HIDS, IPS 와 같은 보완 방법을 소개

대표적으로

외부 -> 내부: 군인, 국경수비대가 방어 (방화벽)

내부 -> 내부: 경찰이 담당(침입 탐지)

침입 탐지, 데이터 수집, 필터링 축약, 책임 추적성 대응

snort: 오픈 소스 기반의 NIDS임 

NIDS: 네트워크에 설치한 IDS 입니다.

( Intrusion Detection System)

스니핑 기술 적용 - 감시 카메라와 같은 역할을 합니다. 

NIDS는 모니터링만 하기 때문에 탐지할 수는 있지만 침입을 막을 수는 없습니다. 

PC의 통신을 감시

호스트 기반 탐지 시스템

HIDS는 호스트(컴퓨터)에 설치하는 IDS로 집에 설치하는 홈 보안 센서와 같은 역할을 한다고 생각하면 이해가 쉽습니다. 

HIDS는 개별 컴퓨터에 설치되기 때문에 운영 부담은 크지만 탐지할 수 있는 것이 많아집니다. 

정확한 탐지,즉탐 가능함. 

내부로 들어오기 전에 일시적으로 연결할 수 있는 검역 네트워크를 이용해서 격리를 하고 안전을 확인한 후 내부 네트워크에 연결합니다. 

외부 -> 보안 검사 -> 내부 

         OS 업데이트, 바이러스 검사 등             

MAC 주소 필터링으로 등록되지 않은 MAC 주소를 가진 기기는 접속이 제한되는 기능입니다. MAC 주소와 SSID로는 보안의 안정성을 높이는 데는 한계가 있기 때문에 여러 가지 보안 기법을 혼합해서 사용하는 것으로 알고 있습니다.  

EX) MAC 주소를 등록을 한다. -> 아이디와 비밀번호를 치고 내 계정에 접근한다 -> 공인인증서로 다시 한번 로그인한다. -> 일정 시간이 지나면 자동으로 내 계정에서 로그아웃 된다. 

웹어플리케이션 연구단체임

보안상 영향을 줄 수 있는 취약점 10개를 owasp top 10으로 선정하고 있음

1.인젠션: 

SQL, OS LADP인젝션과 같은 인젝션 결함은 신뢰할 수 없는 데이터가 명령어나 질의어의 일부분으로서 인터프리터에 보내질 때 발생한다. 

공격자의 악의적인 데이터는 예기치 않은 명령실행이나 권한 없는 데이터에 접근하도록 인터프리터를 속일 수 있다.

2.XSS: 

공격자가 피해자의 브라우저 내에서 스크립트의 실행을 허용함으로서 사용자의 세션을 탈취 ,웹사이트 변조, 악의적인 사이트로 사용자를 리다이렉트 할 수 있다.

3.취약한 인증 및: 

인증 및 세션 관리와 연관된 어플리케이션 기능은 종종 올바르게 구현되지 않는다.

 XSS (Cross-Site Scripting)는 웹 클라이언트(사용자의 웹 브라우저) 쪽에 악성 스크립트를 심는 공격 방식입니다.

공격자가 악성 스크립트를 웹 페이지에 삽입하면, 해당 웹 페이지를 방문하는 다른 사용자들의 브라우저에서 그 스크립트가 실행됩니다. 이 스크립트는 주로 JavaScript 코드가 사용됩니다.

XSS 공격의 핵심:

공격자: 악성 스크립트(주로 JavaScript)를 만듭니다.

웹 서버(취약점): 입력 값 검증이나 출력 값 인코딩이 제대로 이루어지지 않아, 공격자가 삽입한 스크립트를 웹 페이지 내용의 일부로 인식하고 사용자에게 그대로 전달합니다.

피해 사용자: 웹 페이지를 방문하면, 사용자의 브라우저는 웹 서버가 보낸 웹 페이지 내용과 함께 공격자가 심어놓은 스크립트를 자신의 권한으로 실행합니다.

피해: 스크립트가 실행되면서 사용자의 브라우저 환경에서 다양한 악성 행위가 일어날 수 있습니다.

XSS 공격을 통해 주로 노리는 것들:

쿠키 탈취 (Session Hijacking): 사용자의 로그인 세션 정보를 담고 있는 쿠키를 탈취하여, 공격자가 사용자 계정을 도용하여 로그인할 수 있습니다.

세션 하이재킹: 탈취한 쿠키를 사용하여 사용자의 세션을 가로채는 것입니다.

피싱 (Phishing): 가짜 로그인 폼을 띄워 사용자에게 아이디와 비밀번호를 입력하게 유도하여 정보를 탈취합니다.

악성코드 다운로드 유도: 사용자의 인지 없이 악성 파일을 다운로드하게 하거나, 다른 악성 웹사이트로 리다이렉트 시킵니다.

웹 페이지 변조: 웹 페이지의 내용을 임의로 변경하여 사용자에게 잘못된 정보를 보여주거나 혼란을 야기합니다.

XSS 공격의 종류:

반사(Reflected) XSS: 공격 스크립트가 URL 파라미터 등을 통해 웹 서버로 전송되고, 웹 서버가 이 스크립트를 즉시(반사적으로) 웹 페이지 응답에 포함시켜 사용자 브라우저로 보내는 방식입니다. (일회성 공격)

저장(Stored) XSS: 공격 스크립트가 웹 서버의 데이터베이스, 게시판, 댓글 등에 저장되고, 해당 내용이 포함된 웹 페이지를 방문하는 모든 사용자에게 지속적으로 스크립트가 실행되는 방식입니다. (영구적 공격)

DOM 기반(DOM-based) XSS: 서버와의 상호작용 없이, 클라이언트 측 스크립트(JavaScript)가 DOM(Document Object Model)을 조작하는 과정에서 발생하는 취약점을 이용하는 방식입니다.

4.CSRF: 

사용자가 자신의 의지와는 무관하게 공격자가 의도한 행위를 특정 웹사이트에 요청하게 하는 공격 기법임. XSS는 악성 스크립트를 이용 -> 사용자 클라이언트에서 발생

CSRF -> 다른 사람의 권한 이용 -> 서버에 부정적인 요청 일으킴

사용자가 위조된 요청을 포함한 페이지(예: 악성 웹사이트, 이메일, 게시판 글 등)에 접속하면, 사용자의 브라우저는 해당 웹사이트에 대한 인증 정보(쿠키, 세션 등)를 자동으로 포함하여 공격자가 위조한 요청을 서버로 보냅니다. 

당신은 은행 웹사이트에 로그인해서 송금 기능을 이용할 수 있습니다.

공격자가 "무료 영화 감상" 이라는 링크를 이메일로 보냅니다.

당신이 이 링크를 클릭하면, 링크는 사실 "당신의 계좌에서 공격자 계좌로 10만원 송금"이라는 명령을 은행 웹사이트로 보내도록 위조되어 있습니다.

당신의 브라우저는 은행 웹사이트에 로그인된 상태였기 때문에, 당신의 쿠키(로그인 정보)를 자동으로 요청에 포함시켜 보냅니다.

은행 서버는 당신이 직접 송금 요청을 한 것으로 착각하고 송금을 처리합니다. 당신은 영화를 보려 했을 뿐인데 돈이 빠져나가는 거죠.

CSRF 공격의 특징:

피해자는 직접적으로 악성 스크립트를 실행하지 않습니다. (XSS와 다름)

피해자는 단순히 공격자가 유도한 링크를 클릭하거나, 악성 페이지를 방문하는 것만으로도 공격에 노출될 수 있습니다.

공격 성공의 핵심은 피해자가 공격 대상 웹사이트에 로그인되어 있는 상태여야 한다는 것입니다.

5.파일업로드:

공격자 웹사이트에서 제공하는 자료실, 게시판 등 파일 업로드가 가능한 곳을 이용 -> 시스템 내부 명령을 실행할 수 있는 웹 프로그램 제작 하여 파일을 업로드 -> 웹브라우저 통해 공격 프로그램 접근하면 -> 시스템 내부 명령어를 실행 시키는 형태의 공격 방법임. (게시판 등을 이용한 파일 업로드시에 파일 확장자를 체크하거나 특정 확장자 이름을 가진 파일만 업로드가 가능하도록 설정해야 함 (ex jpg, png 등)

I. 네트워크 보안 (ch05.네트워크+보안_v1.1.pdf 기반)

1. 다음 중 사용자 이외의 비-인가자에 의한 세션 가로채기를 통제하고, 일정 시간이 지나면 세션을 적절히 종료시키는 보안 기능은 무엇인가요? a) 계정과 패스워드 관리 b) 세션 관리 c) 접근 제어 d) 로그 관리

2. WEP 암호화 세션 생성 과정에서 클라이언트가 전달받은 IV(Initial Vector)를 본인이 알고 있는 WEP 키로 암호화하여 AP에 전송할 때 사용하는 암호화 알고리즘은 무엇인가요? a) AES b) RSA c) RC4 d) SHA-256

3. WEP 암호화 방식의 주요 보안 취약점으로 인해 통신 과정에서 IV(Initial Vector)의 반복적인 사용을 초래하는 IV의 길이는 몇 비트인가요? a) 8비트 b) 16비트 c) 24비트 d) 32비트

II. 웹 보안 (ch06.웹_보안_v1.0.pdf 기반)

4. OSI 7계층 모델에서 'IP 주소를 통해 원거리 시스템 간 통신을 가능하게' 하는 역할과 'Path Determination'을 수행하는 계층의 이름은 무엇인가요? a) Physical Layer b) Data Link Layer c) Network Layer d) Transport Layer

5. 웹 해킹의 기본적인 형태 중 하나인 '인수 조작'에서, 예외적인 실행을 유발시키기 위해 일반적으로 포함하는 문자의 종류는? a) 숫자 b) 한글 c) 영문자 d) 특수문자

6. 웹 공격 방어 시, XSS(Cross-Site Scripting) 공격을 막기 위해 본문에 포함되는 주요 특수문자 <를 웹 페이지에서 안전하게 표시하기 위해 변환하는 HTML 엔터티는 무엇인가요? a) &gt; b) &lt; c) &amp; d) &quot;

7. 웹 해킹 공격 중 SQL 삽입 공격에 주로 사용되는 특수 문자로, ', --, ; 등과 함께 사용될 수 있는 것은 무엇인가요? a) $ b) * c) # d) @

I. 네트워크 보안 (ch05.네트워크+보안_v1.1.pdf 기반)

1. 시스템 보안의 6가지 기능 중, 시스템의 각 사용자가 적절한 권한으로 적절한 정보 자산에 접근할 수 있도록 통제하는 기능은 무엇인가요? a) 세션 관리 b) 접근 제어 c) 권한 관리 d) 취약점 관리

2. WPA(Wi-Fi Protected Access) 방식이 WEP보다 강화된 보안성을 제공하는 주된 이유는 무엇인가요? a) WPA 키의 길이가 WEP 키보다 짧기 때문 b) IV(Initial Vector)의 길이가 24비트에서 48비트로 확장되어 재사용 확률이 낮아졌기 때문 c) 클라이언트와 AP 간의 상호 인증 절차가 간소화되었기 때문 d) RC4 알고리즘 대신 AES 알고리즘만 사용하기 때문

3. WPA2(Wi-Fi Protected Access 2)에서 사용되는 새로운 암호화 표준으로, 더 높은 보안성을 제공하는 것은 무엇인가요? a) RC4 b) TKIP c) AES (Advanced Encryption Standard) d) MD5

II. 웹 보안 (ch06.웹_보안_v1.0.pdf 기반)

4. OSI 7계층 중, 시스템 내의 응용 프로그램 간 통신을 포트를 이용하여 가능하게 하는 계층은? a) Network Layer b) Data Link Layer c) Transport Layer d) Session Layer

5. 웹 해킹 방어를 위해 < 문자를 &lt;로, > 문자를 &gt;로 변환하는 것과 같이, 특수문자를 웹 페이지에서 안전하게 표시하기 위한 과정은 무엇이라고 할 수 있나요? a) 인코딩 (Encoding) b) 암호화 (Encryption) c) 복호화 (Decryption) d) 해싱 (Hashing)

6. SQL 삽입 공격에 사용될 수 있는 특수 문자 중, 주석 처리를 위해 사용될 수 있는 것은 무엇인가요? a) * b) . c) -- d) "

7. 웹 해킹 방어 시, XSS 공격을 막기 위해 필터링해야 하는 주요 특수문자 중 하나로, HTML 태그의 시작과 끝을 나타내는 문자는 무엇인가요? a) & b) ? c) < d) '

1. OSI 7계층 중 MAC 주소를 사용하는 계층은 어디인가?
A. 물리 계층
B. 전송 계층
C. 데이터 링크 계층
D. 응용 계층
 

2. 아래 중 3계층(네트워크 계층)에 해당하는 장비는?
A. 리피터
B. 스위치
C. 라우터
D. 허브
 

3. 다음 중 다중 인증 체계(Type 2)에 해당하는 것은?
A. 지문
B. 스마트카드
C. 패스워드
D. 음성
 

4. SYN Flooding 공격은 어떤 계층의 취약점을 이용한 것인가?
A. 응용 계층
B. 전송 계층
C. 물리 계층
D. 표현 계층
 

5. Ping of Death 공격에 대한 설명으로 옳은 것은?
A. 잘못된 URL 요청을 반복하여 서버를 마비시킨다.
B. 과도한 크기의 Ping 패킷을 전송하여 시스템을 다운시킨다.
C. IP를 위조하여 접근 권한을 우회한다.
D. 세션 쿠키를 탈취하여 접근한다.
 

6. 다음 중 POST 방식에 대한 설명으로 옳지 않은 것은?
A. URL에 파라미터를 포함하지 않는다.
B. 데이터 전송에 보안성이 높다.
C. 주로 검색 결과를 조회할 때 사용된다.
D. 데이터 크기에 제한이 없다.
 

7. OWASP TOP10의 목적은 무엇인가?
A. 글로벌 보안 침해 사례를 기록하는 것
B. 웹 해킹 실습 툴을 배포하기 위한 것
C. 주요 웹 애플리케이션 취약점을 표준화하여 제공하기 위한 것
D. 웹 호스팅 서비스를 비교하기 위한 것
 

8. 웹 프록시 도구의 주된 역할은?
A. SQL Injection 자동 방어
B. HTTP 요청과 응답을 분석 및 수정
C. 비밀번호 복호화
D. DNS 스푸핑 탐지
 

9. 다음 중 웹 클라이언트 측에서 실행되는 스크립트는 무엇인가?
A. JSP
B. ASP
C. JavaScript
D. PHP
 

10. HTTP 상태 코드 중 ‘404 Not Found’는 어떤 의미인가?
A. 서버 내부 오류
B. 요청한 리소스를 찾을 수 없음
C. 요청이 성공적으로 완료됨
D. 인증 실패
 

I. 네트워크 보안 (ch05.네트워크+보안_v1.1.pdf 기반)

1. 다음 중 사용자 이외의 비-인가자에 의한 세션 가로채기를 통제하고, 일정 시간이 지나면 세션을 적절히 종료시키는 보안 기능은 무엇인가요? b) 세션 관리

2. WEP 암호화 세션 생성 과정에서 클라이언트가 전달받은 IV(Initial Vector)를 본인이 알고 있는 WEP 키로 암호화하여 AP에 전송할 때 사용하는 암호화 알고리즘은 무엇인가요? c) RC4

3. WEP 암호화 방식의 주요 보안 취약점으로 인해 통신 과정에서 IV(Initial Vector)의 반복적인 사용을 초래하는 IV의 길이는 몇 비트인가요? c) 24비트

II. 웹 보안 (ch06.웹_보안_v1.0.pdf 기반)

4. OSI 7계층 모델에서 'IP 주소를 통해 원거리 시스템 간 통신을 가능하게' 하는 역할과 'Path Determination'을 수행하는 계층의 이름은 무엇인가요? c) Network Layer

5. 웹 해킹의 기본적인 형태 중 하나인 '인수 조작'에서, 예외적인 실행을 유발시키기 위해 일반적으로 포함하는 문자의 종류는? d) 특수문자

6. 웹 공격 방어 시, XSS(Cross-Site Scripting) 공격을 막기 위해 본문에 포함되는 주요 특수문자 <를 웹 페이지에서 안전하게 표시하기 위해 변환하는 HTML 엔터티는 무엇인가요?

 b) &lt;

7. 웹 해킹 공격 중 SQL 삽입 공격에 주로 사용되는 특수 문자로, ', --, ; 등과 함께 사용될 수 있는 것은 무엇인가요?

 c) #

I. 네트워크 보안 (ch05.네트워크+보안_v1.1.pdf 기반)

1. 시스템 보안의 6가지 기능 중, 시스템의 각 사용자가 적절한 권한으로 적절한 정보 자산에 접근할 수 있도록 통제하는 기능은 무엇인가요? c) 권한 관리

2. WPA(Wi-Fi Protected Access) 방식이 WEP보다 강화된 보안성을 제공하는 주된 이유는 무엇인가요? b) IV(Initial Vector)의 길이가 24비트에서 48비트로 확장되어 재사용 확률이 낮아졌기 때문

3. WPA2(Wi-Fi Protected Access 2)에서 사용되는 새로운 암호화 표준으로, 더 높은 보안성을 제공하는 것은 무엇인가요? c) AES (Advanced Encryption Standard)

II. 웹 보안 (ch06.웹_보안_v1.0.pdf 기반)

4. OSI 7계층 중, 시스템 내의 응용 프로그램 간 통신을 포트를 이용하여 가능하게 하는 계층은? c) Transport Layer

5. 웹 해킹 방어를 위해 < 문자를 &lt;로, > 문자를 &gt;로 변환하는 것과 같이, 특수문자를 웹 페이지에서 안전하게 표시하기 위한 과정은 무엇이라고 할 수 있나요? a) 인코딩 (Encoding)

6. SQL 삽입 공격에 사용될 수 있는 특수 문자 중, 주석 처리를 위해 사용될 수 있는 것은 무엇인가요? c) --

7. 웹 해킹 방어 시, XSS 공격을 막기 위해 필터링해야 하는 주요 특수문자 중 하나로, HTML 태그의 시작과 끝을 나타내는 문자는 무엇인가요? c) <

1. 정답: C

2.  정답: C

3. 정답: B

4. 정답: B

5. 정답: B

6. 정답: C

7. 정답: C

8. 정답: B

9. 정답: C

10. 정답: B

샌드박스란?

보호된 영역 내에서 프로그램을 실행시키는 것으로, 아이들이 그네를 타다 넘어져도 모래밭에서 다시 일어설 수 있도록 만든 것이 유래라고 함. 

피싱 사이트란? 진짜 웹사이트인 것처럼 위장하여 사용자의 입력된 ID와 비밀번호를 탈취하는 기법. 

금융기관, SNS 등 다양한 분야에서 사용중임. 

파밍이란? URL에 해당하는 IP주소를 조작하는 기법을 의미합니다. 

원래 사이트 -> 피싱 사이트로 유도

대응 방안: IPS에서 해당 IP 차단

DDOS 공격의 유형

네트워크 스캐닝 대응 방안:  

1. 네트워크 장비에서 ACL을 이용한 필터링

2. IDS, IPS와 연계하여 해당 IP 차단

3. 불필요하게 오픈 된 포트 차단

스푸핑 (Spoofing)

스니핑 (Sniffing)

네트워크 보안 기술의 종류

VPN

IDS

방화벽

VALN(가상 구내 네트워크)

TCP / IP 네트워크에서 클라이언트와 서버 간의 암호화를 통한 보안 통로를 제공

보안 솔루션

DRM(Digital Rights Management):

ebook, 영화, 비디오, 게임, 이미지, 동영상등 각종 디지털 콘텐츠를 불법복제로부터 보호함.

지불, 결제기능 , 소프트웨어와 보안기술 등이 모두 포함된다.

ex) 워터마킹, 핑커프린팅, trm 

DLP(Data Loss Prevention):

정보유출방지 솔루션으로 이메일, 메신저 등 기업 내 다양한 정보유출 경로와 매체를 감시, 통제함

광범위한 보안 프로세스를 onestep으로 제공함. ex) db보안, 스팸 차단, 메신저 보안 등

NAC(Network Access Control):

PC, 노트북 등 네트워크 접근 시도시 사용자가 정당한 사용자인지 보안정책을 준수했는지 여부를 검사해

네트워크 접속을 통헤하는 통합보안 관리 솔루션임

(1) 네트워크 기반 nac: 방화벽, ips/ids, qkdlfjtm dnjf emd 

(2) 호스트 기반 nac: spes, pms

인프라스트럭쳐기반 nac: 사용자 단말의 에이전트, 네트워크 장비를 통한 구현

º 산업재해

일반적으로 근로자가 업무상의 이유로 사망 또는 부상당하거나 질병에 걸려 장애가 생기는 것을 의미함

재해발생 형태의 종류

단순자극형(집중형)

여러 가지 재해발생의 원인이 상호작용하여 순간적으로 재해를 발생시키는 유형

연쇄형(사슬형)

하나의 요인이 원인이 되어 다른 요인을 연쇄적으로 발생시켜 재해를 일으키는 형태

복합형

단순자극형, 연쇄형의 복합적인 발생유형이다.

안전재해 관리이론

하인리히의 도미노이론

1:29:300

대형사고 1건이 나기 전에 관련된 소형사고가 29회 발생하며, 이상 징후는 300회가

나타난다는 이론이다.

사고 발생의 연쇄성을 강조하며 도미노 게임에서 하나의 골패를 무너뜨리면 연쇄적으로

도미노가 쓰러지는 현상과 비교한 도미노 이론을 통해 산업재해 발생원리에 대해 규정함.

하인리히는 재해발생과정을 5단계로 정리하였음. 

1단계: 사회적 환경 결함

2단계: 인간의 결함

3단계: 인적 원인, 물적 원인 문제

4단계: 사고

5단계: 재해

버드의 수정 도미노이론

1:10:30:600

중상1건 발생하기 전에 경상 10건,무상해 사고 30건, 무상해 무사고 고장이 600건 비율로

사고가 발생한다는 이론임 

하인리히 이론을 수정함

버드는 사고 전에 발생할 전조가 나타난다고 보고 있음

Men, Machine , Media(작업 정보, 방법 환경 등의 요인)이 주된 불안전 상태를 유발한다고 봄.

리즌의 스위스 치즈 이론

리즌은 산업구조가 복잡해짐에 따라 발생한 조직의 관리체계 속에서 재해의 발생원인을 파악하였음

사고는 보통 휴먼 에러에 의해 발생하는 게 일반적이다. 

인간은 완벽하지 않기에, 치즈의 구멍과 같은 결함이 있을 수 있고,

이러한 구멍으로 재해가 이어진다는 것임

따라서 리즌은 재해 예방을 위해 근무환경, 조직의 업무체계에 대한 개선을

우선적으로 고려해야 한다고 주장.

p.269 23, ; p.316  01 , 12, 21, 22 ; p. 343 19  ;  376 11, 15,  17, 18,  

º 보안 관리

중요한 자산을 인식

보호하기 위한 관리체계를 수립 및 수행

점검 및 개선을 꾀하는 것

위험 수준을 0으로 만들지는 못함!

정보보안의 목적은 잔여 위험을

수용가능한 수준으로 맞추는 것!

정보보안 거버넌스란? 

조직의 보안을 달성하기 위한 구성원들간의 지배구조를 뜻함

정보보안 거버넌스 구성의 어려움

의사결정 구조 과정에서 보안 조직을 어떻게 구성할지 해답을 찾기 어려움

ex) cso, cto/cio를 밑에 둘 것인지, cto/cio와 동등하게 두는 것이 효율적인지

정보보안 조직을 중앙 집중적으로 체계화하는 게 나을 것인지 등

성과 측적의 어려움

보안에는 상당한 금액이 들어가고,  보안 사고가 일어나지 않는 한 투자의 성과를 측정하기가 어려움 

경영진과 조직의 무관심

보안에 무관심한 경영진과 조직 구성원으로 인해 보안 거버넌스를 끌어내기 어려움

문제 1. 다음 중 정보보안의 목적에 대한 설명으로 가장 적절한 것은?

a) 조직의 모든 위험을 0으로 만드는 것이다. b) 보안 사고 발생 시 책임을 회피하는 것이다. c) 정보보안 투자를 통해 최대한의 이윤을 창출하는 것이다. d) 잔여 위험을 수용 가능한 수준으로 맞추는 것이다.

문제 2. 정보보안 거버넌스(Information Security Governance)에 대한 설명으로 가장 거리가 먼 것은?

a) 조직의 정보보안 목표를 달성하기 위한 구성원들 간의 지배구조를 의미한다. b) 보안 조직의 역할과 책임, 의사결정 과정을 포함한다. c) 모든 보안 위협을 원천적으로 차단하여 완벽한 보안 환경을 구축하는 것을 목표로 한다. d) 중요한 자산을 인식하고 보호하기 위한 관리체계를 수립하고 수행하는 활동을 포함한다.

문제 3. 다음 중 정보보안 거버넌스를 구축하고 운영하는 데 있어 겪는 어려움으로 옳지 않은 것은?

a) 의사결정 구조 과정에서 보안 조직 구성에 대한 해답을 찾기 어렵다. b) 보안 투자의 성과를 측정하기 어렵다. c) 보안 사고가 자주 발생하여 오히려 투자의 필요성을 명확히 인식시킨다. d) 경영진과 조직 구성원의 무관심이 보안 거버넌스 구축을 어렵게 만든다.

문제 4. A 기업은 최근 정보보안 강화를 위해 노력하고 있으나, 보안 투자 대비 가시적인 성과를 보여주기 어려워 경영진의 이해를 얻는 데 어려움을 겪고 있다. 또한, 보안 관련 의사결정 과정에서 CSO(Chief Security Officer)의 위상이 모호하여 효율적인 업무 진행에 한계가 있다. 이러한 A 기업이 겪고 있는 어려움은 주로 어떤 개념과 관련이 깊은가?

a) 예방 통제 b) 탐지 통제 c) 교정 통제 d) 정보보안 거버넌스

문제 1. 정답: d) 해설: 정보보안의 목적은 위험 수준을 0으로 만드는 것이 아니라, "잔여 위험을 수용 가능한 수준으로 맞추는 것"입니다.

문제 2. 정답: c) 해설: 정보보안 거버넌스는 위험을 수용 가능한 수준으로 관리하는 것을 목표로 하며, 모든 보안 위협을 원천적으로 차단하여 완벽한 보안 환경을 구축하는 것은 현실적으로 불가능하고 정보보안의 목적과도 다릅니다.

문제 3. 정답: c) 해설: "보안 사고가 자주 발생하여 오히려 투자의 필요성을 명확히 인식시킨다."는 언뜻 맞아 보일 수 있지만, 이는 어려움이 아니라 보안 투자의 필요성을 강조하는 요인입니다. 문제에서는 정보보안 거버넌스 "구축 및 운영의 어려움"을 묻고 있으므로, 보안 사고 발생 유무와 관계없이 투자의 성과 측정의 어려움 자체가 문제가 됩니다. 제시된 정보에 따르면, 보안 사고가 발생하지 않는 한 투자의 성과를 측정하기 어렵다는 것이 어려움으로 언급되었습니다.

문제 4. 정답: d) 해설: 문제에서 언급된 '보안 투자 대비 가시적인 성과 측정의 어려움', 'CSO의 위상 모호', '효율적인 의사결정의 한계' 등은 모두 정보보안 거버넌스 구성 및 운영의 어려움에 해당합니다. 예방/탐지/교정 통제는 보안 대책의 종류이지, 조직 구조나 성과 측정, 의사결정 과정과 직접적으로 관련된 개념은 아닙니다.

전략적 연계: 

비즈니스 it목표 및 정보보안 전략이 서로 연계되어야 함

위험 관리: 

적합한 위험 관리 체계를 수립 -> 지속적으로 관리하여 수용 가능한 수준으로 위험 낮춰야 함.

자원관리: 

효과적이고 효율적인 정보 보안 지식과 자원을 관리하기 위해 중요 정보 자산과 인프라를 포함하는 정보보안 아키텍쳐

성과 관리:

 모니터링, 보고 및 평가에 따른 성과 평가 체계를 운영

가치 전달: 

정보보안의 중요성과 가치를 교육함.

관련 구제표준을 기반으로 정보 보안 관리 체계를 갖추어 운영함. 

it 거버넌스 + 정보보호 거버넌스

위험 감소 (적절한 수준)

정보보호 투자 보증(적절한 방향)

정보보호 프로그램 효과성(경영진에게 제공)

ISO/IEC 27001

영국의 BSI에서 제정한 BS 7799를 기반으로 구성

일종의 보안 인증이자 보안프레임 워크임

문제 1. 다음 중 정보보안 거버넌스의 주요 요소에 대한 설명으로 가장 적절하지 않은 것은?

a) 전략적 연계: 비즈니스 목표와 관계없이 오직 정보보안 목표만을 달성하는 데 집중해야 한다. b) 위험 관리: 조직의 위험을 지속적으로 관리하여 수용 가능한 수준으로 낮춰야 한다. c) 자원 관리: 정보 보안 지식과 중요 정보 자산, 인프라를 효과적으로 관리해야 한다. d) 성과 관리: 정보보안 활동에 대한 모니터링, 보고 및 평가 체계를 운영해야 한다.

문제 2. 정보보안 거버넌스가 추구하는 주요 목표 중, '정보보안 투자 보증'이 의미하는 바는 무엇인가?

a) 정보보안에 대한 투자를 최소화하여 비용을 절감하는 것 b) 정보보안 투자가 비즈니스 목표와 무관하게 이루어지는 것을 보증하는 것 c) 정보보안 투자가 조직의 목표와 전략에 부합하는 적절한 방향으로 이루어지도록 보증하는 것 d) 정보보안 투자를 통해 즉각적인 금전적 수익을 보증하는 것

문제 3. 다음 중 정보보안의 중요성과 가치를 조직 구성원들에게 전달하고, 관련 국제표준을 기반으로 정보보안 관리 체계를 갖추어 운영하는 정보보안 거버넌스 요소는?

a) 전략적 연계 b) 위험 관리 c) 성과 관리 d) 가치 전달

문제 4. A 기업은 최근 정보보안 관리 시스템 구축을 위해 국제 표준 기반의 인증을 획득하고자 한다. 이 기업이 고려할 수 있는 국제적인 보안 인증이자 보안 프레임워크는 무엇인가?

a) ITIL (Information Technology Infrastructure Library) b) COBIT (Control Objectives for Information and Related Technologies) c) ISO/IEC 27001 d) GDPR (General Data Protection Regulation)

문제 1. 정답: a) 해설: '전략적 연계'는 비즈니스 IT 목표 및 정보보안 전략이 서로 연계되어야 함을 의미합니다. 비즈니스 목표와 무관하게 보안 목표만을 달성하는 것은 올바른 방향이 아닙니다.

문제 2. 정답: c) 해설: 정보보안 거버넌스의 '정보보안 투자 보증'은 투자가 비즈니스와 정보보안 목표에 부합하는 올바른 방향으로 이루어지도록 보증하는 것을 의미합니다.

문제 3. 정답: d) 해설: '가치 전달'은 정보보안의 중요성과 가치를 교육하고, 국제표준을 기반으로 관리 체계를 운영하는 것을 포함하는 정보보안 거버넌스 요소입니다.

문제 4. 정답: c) 해설: 제시된 정보에 따르면, "ISO/IEC 27001"이 영국의 BSI에서 제정한 BS 7799를 기반으로 구성된 국제적인 보안 인증이자 보안 프레임워크입니다.

ITIL은 IT 서비스 관리 프레임워크입니다.

COBIT은 IT 거버넌스 프레임워크입니다.

GDPR은 유럽 연합의 개인정보 보호 규정입니다.

º 정보보호 정책

문제 1: 대한민국의 법률 체계에서 가장 최상위 규범에 해당하는 것은 무엇입니까?

법률

명령

헌법

조례/규칙

문제 2: 다음 중 법률의 하위 규범에 해당하지 않는 것은 무엇입니까?

명령 (시행령, 시행규칙)

행정 규칙 (훈령, 예규, 고시 등)

조례/규칙 (지방 의회 의결)

국회 동의

문제 3: 정보 보안과 관련된 법률을 제정할 수 있는 권한을 가진 기관은 어디입니까?

대통령

행정안전부

국회

법원

문제 4: 정보 보안 관련 법규 위반 시 처벌의 근거가 될 수 있는 것은 법률 체계 중 어디에 해당할 가능성이 가장 높습니까?

관습법

판례

법률 또는 하위 법규 (명령, 조례/규칙 등)

행정 규칙

문제 5: 정보 보안 정책 수립 및 시행의 근거가 될 수 있는 행정부 내부 규정은 법률 체계 중 어디에 해당할 수 있습니까?

헌법

법률

명령 또는 행정 규칙

조례/규칙

정책: 

정보보호에 대한 상위 수준의 목표 및 방향 제시

표준: 

정보보호 정책과 마찬가지로 반드시 지켜야 하는 요구사항에 대한 규정, 

구체적인 사항이나 양식을 규정함

지침: 

반드시 지켜야 하는 것은 아님. 권고적인 내용 -> 융통성 있게 적용할 수 있는 내용

절차: 

정책을 만족하기 위해 수행해야 하는 사항을 순서에 따라 단계적으로 설명함. 

p.274  8, 14   p.326  1, 

º 개인정보 보호법 

개인정보 침해로 인한 국민의 피해를 규제하여 사생활을 보호하고, 개인정보에 대한 국민의 권리와 이익보장을 위해 2011년 09월 30일 시행하였음.

개인정보 보호의 정의

[개인정보 보호법] 제2조 1항

"개인정보란" 살아 있는 개인에 관한 정보로서 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보, 다른 정보와 쉽게 결합하여 알아볼 수 있는 것을 포함한다.

용어 설명:

# 살아있는:  생존자만 보호대상이 된다. 사자의 정보는 제외된다.

#개인: 생존하는 사람에 해당함(법인, 단체는 포함하지 않음)

#정보: 정보의 종류 형태를 제한하지 않음 

#알아볼 수 있는: 특정 개인을 다른 사람과 구분하여 알아볼 수 있는 정보

#다른 정보와 결합: 합리적인 비용과 시간을 통해 결합 가능한 경우 

수집, 이용 / 제공, 위탁 / 개인정보안전 관리 / 정보주체 권익보호 등으로 나뉘어져 있음.

개인정보란? 

개인을 식별할 수 있는, 생존하는 자연인에 관한 일체의 정보를 의미함. 

ex) 위치, 영상정보, 빅데이터 등

일반적 정보: 주민등록번호, 이름, 주소, 가족, 전화번호, 생년월일 등이 있음

교육 및 훈련 정보: 주민번호, 면허번호

병역정보: 군번, 계급, 주특기, 근무부대

사회적 정보: 교육 정보, 근로 정보, 자격 정보가 있음

개인의 성향: 기호, 신념, 사상

통신 위치정보: ip주소, 화상정보, gps 등의 정보가 있음

재산적 정보: 개인 금융정보, 신용정보

신체적 정보: 의료, 건강정보, 혈액형

개인정보 사이클

수집 -> 이용 -> 제3자 제공 -> 처리위탁 -> 보관 -> 파기