Computer Science Suan Lee - Computer Science - 09 정보보안 1
09 정보보안 - Computer Science - 09 정보보안 2
목차 1. 정보보안의개요 2. 악성코드 3. 해킹 4. 정보보안기술 5. 컴퓨터범죄와정보윤리 - Computer Science - 09 정보보안 3
2011 년농협전산망해킹사고 - Computer Science - 09 정보보안 4
정보보안의개념과목표 정보보안의개념 정보를수집하여가공하고저장한후송수신하는과정에서발생하는정보의불법훼손및변조, 유출등을방지하기위한관리적, 기술적방법 정보보안의목표 기밀성 : 허가되지않은사용자또는객체가해당정보의내용을알수없도록비밀을보장하는것 무결성 : 허가되지않은사용자또는객체가정보를함부로수정할수없게하는것 가용성 : 허가된사용자또는객체가정보에접근하면언제든지사용할수있게하는것 - Computer Science - 09 정보보안 5
정보보안을위협하는공격형태 정상적인정보의통신과정 정보보안을위협하는공격형태 정보가로막기 정보가로채기 정보수정 정보위조 - Computer Science - 09 정보보안 6
정보보안을위협하는공격형태 정보가로막기 - Computer Science - 09 정보보안 7
정보보안을위협하는공격형태 정보가로채기 - Computer Science - 09 정보보안 8
정보보안을위협하는공격형태 정보수정 - Computer Science - 09 정보보안 9
정보보안을위협하는공격형태 정보위조 - Computer Science - 09 정보보안 10
정보보안을위한서비스 인증 정보시스템에서송신자및수신자의신분을확인하는서비스 접근제어 허가되지않은사용자가정보에접근할수없도록막는서비스 부인방지 송신자또는수신자가정보를송신또는수신한후그사실에대해부인하지못하도록하는서비스 - Computer Science - 09 정보보안 11
악성코드의개념과종류 개념 컴퓨터에악영향을끼칠수있는모든소프트웨어 웹페이지를검색하거나 P2P 서비스를이용하거나셰어웨어를사용하거나불법복제프로그램을사용하거나전자메일에첨부된파일을열때침투 주요증상으로는네트워크트래픽발생, 시스템성능저하, 파일삭제, 전자메일자동발송, 개인정보유출등이있음 종류 컴퓨터바이러스 웜 트로이목마 - Computer Science - 09 정보보안 12
컴퓨터바이러스 개념 사용자컴퓨터내부에있는프로그램이나실행가능한데이터에자신또는변형된자신을복사하는명령어들의조합 감염경로 불법복제한 CD 를사용하거나여러사람이공동으로사용하는컴퓨터에서작업한 USB 를통해감염 인터넷으로자료를주고받을때감염되기도함 주요증상 컴퓨터가구동되지않거나구동되더라도평소보다시간이오래걸림 자동으로하드디스크가포맷됨 특정프로그램이실행되지않거나실행되더라도평소보다오래걸림 메모리나하드디스크용량이줄어듬 파일이열리지않거나파일이름이나크기가변경됨 컴퓨터화면에이상한글자가나타나거나프로그램의크기가달라짐 - Computer Science - 09 정보보안 13
컴퓨터바이러스 - Computer Science - 09 정보보안 14
웜 개념 독립적으로자기복제를실행해번식하는컴퓨터프로그램또는실행가능한코드 감염경로 증상 네트워크를통해스스로감염됨 보통전자메일에첨부되어상대방컴퓨터에전송됨 컴퓨터시스템에무리를줌 특정파일을 0바이트로만듦 하드디스크포맷 인터넷속도가느려짐 사용자의정보를빼냄 - Computer Science - 09 정보보안 15
트로이목마 개념 정상적인프로그램으로가장하여숨어있다가프로그램이실행될때활성화되어자료삭제, 정보탈취등의도하지않은기능을수행하는프로그램또는실행가능한코드 - Computer Science - 09 정보보안 16
트로이목마 감염경로 증상 전자메일이나소프트웨어에숨어있다가인터넷을통해특정컴퓨터가감염되면, 해커가감염된컴퓨터의정보를탈취 해커가악의적인목적으로컴퓨터의자료를빼내갈수있음 예를들어사용자가누른자판정보를외부에알려주기때문에신용카드번호나비밀번호등이유출될수있음 - Computer Science - 09 정보보안 17
기타유해프로그램 개념 컴퓨터바이러스처럼악의적인목적으로사용자에게피해를주는것은아니지만, 컴퓨터이용에불편을주거나다른악성코드에의해악용될수있는프로그램 스파이웨어 (spyware) 사용자의동의없이설치되어광고나마케팅용정보를수집하거나개인정보를몰래훔쳐가는프로그램 키로거 (key logger) 키보드로부터정보를수집하여저장하고, 필요한경우특정전자메일로저장된정보를전송하는프로그램 조크 (joke) 악의적인목적없이사용자의심적동요나불안을조장하는가짜컴퓨터바이러스 - Computer Science - 09 정보보안 18
해킹 개념 종류 다른사람의컴퓨터또는정보시스템에침입하여정보를빼내는행위 도스 디도스 스푸핑 스니핑 XSS 피싱 - Computer Science - 09 정보보안 19
도스 도스 Denial of Service 의약자로 서비스거부공격 이라고도함 공격자가좀비컴퓨터를이용하여공격대상컴퓨터나네트워크에과도한데이터를보내시스템의성능을급격히저하시킴 - Computer Science - 09 정보보안 20
디도스 Distributed Denial of Service 의약자로 분산서비스거부 또는 분산서비스거부공격 이라고함 공격자는여러대의좀비컴퓨터를분산배치하여동시에공격대상컴퓨터나네트워크를공격 - Computer Science - 09 정보보안 21
스푸핑 공격자가 MAC 주소, IP 주소, 전자메일주소등자신의정보를위장하여정상적인사용자나시스템이위장된가짜사이트를방문하도록유도한뒤정보를빼가는수법 - Computer Science - 09 정보보안 22
스니핑 네트워크에서주고받는데이터를도청하여사용자의 ID, 비밀번호, 전자메일내용, 쿠키 (cookie) 등을가로채는수법 - Computer Science - 09 정보보안 23
XSS 공격자가게시판에악성스크립트가포함된글을등록하면사용자가게시물을열람하고, 그순간악성스크립트가실행되어사용자의정보가공격자에게전달됨 - Computer Science - 09 정보보안 24
피싱 공격자가금융기관등으로위장하여개인정보를알아낸뒤이를이용하는사기수법 - Computer Science - 09 정보보안 25
모바일디바이스해킹 방식 피해 특정앱의업데이트를사칭해악성앱링크를문자메시지로보냄. 사용자가앱링크를클릭하면자신도모르는사이에악성앱이설치됨 지하철, 커피숍등에서쓰이는공용와이파이를이용해타인의스마트폰을훔쳐봄 QR 코드로악성코드를유포 스마트폰에저장된주소록, 문자메시지, 금융정보등의개인정보를빼내악용 스마트폰카메라나마이크를의도적으로작동시켜사생활염탐 스마트폰의 GPS 위치정보를활용해사용자의위치추적 스마트폰을좀비스마트폰으로만들어해당지역통신사기지국을공격하는해킹도구로사용 - Computer Science - 09 정보보안 26
모바일디바이스해킹 예방 스마트폰비밀번호를항상설정해두기 블루투스같은무선네트워크는사용할때만켜기 중요한정보는스마트폰에저장하지않기 문자메시지나 SNS 로수신된의심스러운 URL 은클릭하지말고, 알수없는파일은설치하지않기 모바일백신을최신버전으로업데이트하고실시간감시기능을켜놓기 - Computer Science - 09 정보보안 27
모바일디바이스해킹 예방 - Computer Science - 09 정보보안 28
정보보안기술의개념 개념 컴퓨터범죄를억제하고정보자산을보호하기위한기술및시스템 크게암호화기술, 인증기술, 네트워크보안기술로나뉨 - Computer Science - 09 정보보안 29
암호화기술 암호화 (encryption) 암호를사용해평문 (plain text) 을암호문 (cipher text) 으로변환하는것 복호화 (decryption) 암호문을원래의평문으로복원하는것 - Computer Science - 09 정보보안 30
암호화기술 대체암호 - Computer Science - 09 정보보안 31
암호화기술 전치암호 - Computer Science - 09 정보보안 32
암호화기술 비밀키암호화 - Computer Science - 09 정보보안 33
암호화기술 공개키암호화 - Computer Science - 09 정보보안 34
인증기술 개념 컴퓨터로주고받는문서에대한작성자의신원을보증하고문서내용을인증하는데사용되는기술 - Computer Science - 09 정보보안 35
인증기술 전자서명 전자문서에기존의서명또는인감과동일한역할을하는서명을하는것 - Computer Science - 09 정보보안 36
인증기술 디지털서명 메시지인증과사용자인증을포함하는개념 - Computer Science - 09 정보보안 37
인증기술 공인인증서 공인인증기관 (CA, Certification Authority) 이발행하는전자정보형태의사이버거래용인감증명서 - Computer Science - 09 정보보안 38
인증기술 공인인증서 우리나라의최상위인증기관 : 한국인터넷진흥원 (KISA) - Computer Science - 09 정보보안 39
네트워크보안기술 개념 외부의공격으로부터내부시스템을보호하는기술로, 소프트웨어와하드웨어를총망라함 - Computer Science - 09 정보보안 40
네트워크보안기술 방화벽 외부의공격으로부터시스템을보호하고내부의중요한정보가유출되지않도록차단하는하드웨어및소프트웨어 - Computer Science - 09 정보보안 41
네트워크보안기술 방화벽 패킷필터링방식 - Computer Science - 09 정보보안 42
네트워크보안기술 방화벽 응용게이트웨이방식 - Computer Science - 09 정보보안 43
네트워크보안기술 침입탐지시스템 악의를가진숙련된해커에의한공격을탐지하는시스템 건물에비유하면방화벽은건물에들어가기전입구에설치된경비시스템이고, IDS 는건물곳곳에설치된감시카메라에해당 - Computer Science - 09 정보보안 44
네트워크보안기술 허니팟 실제로공격을당하는것처럼보이게하여해커를추적하고정보를수집 해커를유인하는함정을꿀단지 (honey pot) 에비유한것 - Computer Science - 09 정보보안 45
컴퓨터범죄사례 디도스공격사례 7.7 디도스사건 2009 년 7 월 7 일에발생 정부기관, 언론사, 금융기관, 교육기관등사회의중추적인역할을담당하는기관을대상으로공격감행 악성코드에감염된좀비컴퓨터가계획된시각에지정된사이트를공격 3.4 디도스사건 2011 년 3 월 4 일에발생 네이버, 다음, 옥션등포털사이트와청와대, 국가정보원, 국방부등정부기관, 그리고금융기관등총 40 여개의기관을대상으로공격감행 7.7 디도스공격보다한층더진화된공격방식을사용 - Computer Science - 09 정보보안 46
컴퓨터범죄사례 소셜네트워크와모바일기기를이용한범죄사례 가짜초대 : 가짜초청장을발송해스팸웹사이트로유도 사진댓글 : 사진댓글알림창을만들어스팸웹사이트로유도 가짜설문 : 설문조사를위장한메시지를전송해스팸웹사이트로유도 애플리케이션정보 : 인기게임등의애플리케이션을알려준다고위장 악성코드유포 : 다운로드안내메시지등으로악성코드를퍼뜨리는스팸메시지발송 사생활보호및보안업데이트위장 : 개인정보관리실태파악중이라고속여개인정보요구 - Computer Science - 09 정보보안 47
정보윤리 정보윤리실태조사 ( 한국정보화진흥원 2010 년자료 ) 정보예절 : 부정적언어사용에대한문제점을인식하고있음 정보규범 : 인터넷이용자들의일탈행동을말하는것, 일탈자 10 명중 4 명은 의도적일탈자 온라인신뢰 : 이용자절반이상이정부, 지자체등공공기관사이트와포털사이트를신뢰, 민간사이트및정보콘텐츠에대한신뢰는낮음 - Computer Science - 09 정보보안 48
정보윤리 인터넷불법유해정보실태조사 ( 방송통신심의위원회 2014 년자료 ) 정보윤리강화방안 정부, 교육기관, 민간단체가범국민적인정보윤리교육실시 인터넷콘텐츠사업자의책임감강화 - Computer Science - 09 정보보안 49