[CISA 요약정리] Domain 5. 정보자산의 보호 | 1장. 정보 보안의 성공 요소 & 2장. 논리적 접근 노출

1. 정보 보안의 성공 요소
    (1) 정보 보안의 목적
         1) 정보 보안 거버넌스(Information Security Governance): 기업 거버넌스의 일부로서 이사회와 고위 경영진에 책임
         2) 정보 보안 프로그램: 구축하고 운영할 궁극적 책임은 고위 경영진과 CISO(정보 보안 최고 임원)
              ** 우선적으로 회사 정보보호정책 선언 채택이 필요: 이사회 수준
              ** 정보 보안 프로그램은 정보 보안 관리 체계(ISMS: Information Security Management System)라고도 함

         3) 정보 보안 관리의 목적 (준거성 없음)
            - 기밀성(Confidentiality)
            - 무결성(Integrity): 원천의 진정성(Authenticity)/정확성(Accuracy)/완전성(Completeness)/일관성(Consistency)을 포함
            - 가용성(Availability): 신뢰성(Reliability)과 유지보수성(Maintainability)를 포함
            - 책임추적성(Accountability) = 감사가능성(auditability)
            - 보증성(Assurance)
    (2) 정보 보안 관리의 성공 요소
         1) 경영진의 지원과 솔선: 이사회는 정보 보안의 전략적 방향과 기대 수준을 제시 [1순위]
              ** 경영진 지원 지표: 보안관리자와 경영진 간의 Hot Line이 존재하여야 함
         2) 보안 의식(Security awareness): 보안 관리자는 보안 의식 프로그램(Security awareness program)을 개발하고 운영
              ** 보안 의식 프로그램의 효과성 측정 방법
              -> IS 감사인 입장: 샘플링 후 인터뷰
              -> 보안관리자 입장: 직원 테스트 수행
         3) 정책/절차의 문서화: 경영진은 보안 정책과 절차를 수립, 문서화, 배포, 교육, 감시, 징계, 주기적 갱신 [2순위]
              ** 가장 효과적인 보안 정책 교육 방법: 준수에 따른 보상과 경쟁 유도
              ** 보안정책 개정 시 보안관리자는 관련 부서를 식별하고 개정의 필요성에 대해 공감대 형성
            - 접근 철학: 알 필요성(Need to know) 및 수행 필요성(Need to do)이 있을 때 접근 권한을 허가
              ** 역할기반 접근통제: 직무순환이 잦고 임시직원이 많은 조직일수록 적합
            - 접근 권한의 부여: 데이터 소유자 및 관리자가 문서로 권한을 허가
            - 접근 권한의 검토: 보안 관리자는 최소 연 1 회 접근 권한을 주기적으로 검토
            - 책임 추적성: 정보 보안과 관련한 조직원들의 역할과 책임을 규정
              ** 보안 정책은 보안 상 민감한 내용을 포함해서는 안 됨
              ** 보안 정책 수준에서 비용 문제가 언급되지 않음: 우선 관련 요소 고려 후 자원 제약 고려
         4) 역할 및 책임의 정의와 할당: 정보 보안의 궁극적 책임은 이사회와 경영진
            - 이사회와 경영진: 보안정책의 수립/배포/교육/갱신
            - 최종 사용자: 보안정책/보안규정/보안절차 숙지 및 준수
            - 소유자: 정보 자산 보호에 대한 궁극적 책임-> 데이터의 완전성과 정확성 감시
              ① 접근 허가/구입/폐기에 대한 권한
              ② 자산 보호 상태 주기적 검토
              ③ 보안정책 개발 감독 -> 관리인을 지정하고 관리지침을 제공
              ** 관리인: 정보보안 실무를 수행
            - 정보보안 위원회: 이해관계 대립 조정 (IT 전략 위원회=이사회 수준)
            - 보안관리자: 보안인식교육프로그램 개발 및 제공/보안정책의 실행 및 감시(보안정책 수립: 이사회 책임)
              ** 품질보증 담당자와 겸임 가능
         5) 가치 및 위험 기반 보안 투자
            - 기준선(Baseline) 접근법: 자산 가치에 대한 고려 없이 무조건 동일한 보안 기준을 적용
            - 가치(위험)기반 접근법: 자산의 가치 및 위험의 크기에 비례하여 차등적인 보안 기준을 적용
            - 등급(class)기반 접근법: 기준선 접근법과 가치 기반 접근법이 결합
         6) 정보 자산 식별 및 분류 [By 데이터 소유자]
            - 정보 자산 목록 제작 후 정보 자산 별 소유자 지정
            - 정보보안관리자는 정보 자산 분류 체계 제시
            - 소유자는 정보 자산을 민감성(Sensitivity)과 중요성(Criticality)에 따라 분류하고 보호 등급을 부여
         7) 위험 분석 및 평가: 관련 위협(Threat)과 취약점(Vulnerability) 식별, 예상손실(Loss) 규모와 발생 가능성(Likelihood) 평가
              ** 주기적으로 수행되어야 함
         8) 수명 주기 전체에서의 보호
         9) 조직 문화와의 결합
         10) 주기적 감시와 검토
         11) 사고 처리 대응 능력: 사고 처리 전담반을 조직하고 BC/DR 활동과 연계

 

2. 논리적 접근 노출
    (1) 논리적 접근(Logical access): 네트워크를 통한 접근
    (2) 논리적 접근 위반
         1) 일반적으로 논리적 접근 위반은 비의도적이며 우발적인 경우가 대부분 (오류와 누락)
         2) 가장 심각한 영향을 주는 논리적 접근 위반자: 조직 구성원
         3) 집권화(Centralization): 일관성과 효율이 증가/분권화(Decentralization): 지역의 필요가 더 잘 반영
    (3) 논리적 접근 경로
         1) 운영자 콘솔: 물리적 접근 통제와 활동 로그 검토 등이 필요
         2) 온라인 터미널: 인증, 패스워드 통제 및 접근 통제 소프트웨어가 필요
         3) 배치 작업 처리: 거래의 수집, 입력, 처리 간 철저한 직무 분리 필요
         4) 다이얼-업 포트(공중 전화망: MODEM): 다이얼 백 회선(=콜 백 절차), 인증 및 접근 통제 소프트웨어가 필요
              ** 다이얼 백 회선은 자동 착신 전환으로 우회가능
         5) 통신 네트워크: 암호화, 전자 서명, 인증, 방화벽, 침입 탐지 시스템 등이 필요
         6) Person to person 인터페이스(P2P)
            - 관찰 및 관리측면에서 보안 및 통제가 약해질 수 있음 -> 스파이웨어 주요 전파 수단
            - 승인되지 않은 민감자료의 노출 가능성 증대: 가장 중요한 위험 -> 데이터 유출 위험 > 바이러스 감염 위험
    (4) 논리적 접근 노출 및 사회 공학
         1) 도청(Eavesdropping): 전화, 팩스, 이메일 등 사적 통신 내용을 동의 없이 가로채는 행위
         2) 회선도청(Wiretapping): 통신 회선에 장비를 연결하여 도청
         3) 스니핑(Sniffing, 도청): 브로드캐스트되는 모든 패킷을 수신함(방지: VPN)
         4) 스누핑(Snooping): 원격에서 타인의 컴퓨터를 훔쳐봄
         5) 스푸핑(Spoofing): 위법 주소를 패킷에 삽입하여 패킷 출처(원천, 송신자)를 속이는 것 -> 원천지 NIC주소와 IP주소
              ** NAT(Network Address Translation): 스푸핑 억제
         6) 트래픽 분석(Traffic Analysis): 호스트 간 트래픽 흐름의 성격을 판별하여 통신 유형을 짐작
         7) Tempest Attack: 컴퓨터 모니터에서 방출되는 전자기장 감지-> 도청(고비용 기법)
         8) 네트워크 분석(Network Analysis): 공격 대상 조직의 다양한 시스템 및 네트워크 정보를 수집
            - 정찰(Reconnaissance)/풋프린팅(Foot-printing): 기본 정보(위치, 연락처, 도메인 네임, IP 주소 등)를 수집
            - 스캐닝(Scanning): 세부적인 IP 주소, 운영 체제, 시스템 구조, 열린 포트(= 사용 가능 서비스) 등의 정보를 수집
            - 열거(Enumeration): 사용자 계정 명, 권한, 디렉터리, 라우팅 테이블, 접근 통제 정책 등 구체적 정보를 정리
            - 브라우징(Browsing): 수작업으로 수행하는 열거 공격
         9) 접속 지점 탐색
            - 워 다이얼링(War Dialing) = 다이얼인 침투(Dial-in penetration) 공격
            - 워 드라이빙(War Driving): GPS 등을 탑재한 차를 타고 무선 접속 지점을 찾아내려는 시도
            - 워 워킹(War Walking): 휴대용 장비로 무선 접속 지점을 찾음
            - 워 초킹(War Chalking): 무선 접속 지점을 찾아 분필로 표시
         10) 물리적 접근에 근거한 단순 공격
            - 데이터 속임(Data Diddling) = 입력 탬퍼링(Input tampering): 입력 전이나 입력 중에 허가 없이 데이터 변경 (요용)
              ** 보완통제만 있을 뿐 뚜렷한 예방통제가 없음
            - 데이터 누설(Data Leakage): 컴퓨터에 있는 정보는 외부로 빼돌리거나 유출
              ** DLP(Data Leakage Prevention) 솔루션: 데이터 이동을 감시/통제하여 데이터 누설 예방
         11) 자금 횡령
            - 반내림(Rounding Down): 특정 단위 이하 금액을 반올림에 영향이 없을 만큼 횡령하는 기법
              예) $436.75 중 $0.25 혹은 $436.20 중 $0.20를 횡령
            - 살라미 기법(Salami Technique): 특정 단위 이하 금액 전체를 잘라 내어 소액을 횡령하는 기법
              예) $436.75 중 $0.75 또는 $436.20 중 $0.20를 횡령
         12) 권한의 악용
            - 트랩 도어(Trap Door) = 백도어: 정식 인증 절차를 우회하여 시스템에 접근(꼭, 악의적 의도로 만들어지는 것은 아님)
              ** 해커가 불법적 접근 시도하여 루트권한 획득 후, 스니퍼를 설치하고, 백도어를 설치(가장 마지막 행위)
            - 루트킷(Rootkit): 루트(즉 관리자) 권한 획득 후 설치한 악의적 프로그램을 통칭
              ** Superzapping: 시스템 복구를 가장하여 중요한 정보를 훔침
              ** 루트가 훼손된 시스템: 심각한 위험 -> 처음부터 시스템 재설치 필요
         13) 신분 위조, 재전송, 개입
            - 이메일 스푸핑: 이메일의 송신자 주소를 속임
            - DNS 스푸핑: 도메인 이름과 IP 주소의 연관 관계를 속임
            - IP 스푸핑: 메시지의 송신자 IP 주소를 속임
            - 재전송(Replay): 도청한 메시지를 그대로 또는 변조하여 다시 전송 (남아 있는 생체정보를 이용하는 것도 재전송)
            - (논리적) 피기백킹(Piggybacking): 승인된 사용자 접속을 통해 시스템 연결 ** 물리적 피기백킹도 존재
            - 중간자 공격(Man in the Middle): 스니핑/스푸핑 및 재전송(2요인 인증 우회 방법) -> 방지책: VPN
         14) 악의적 소프트웨어: 모두 광의적 의미의 Virus
            - 바이러스(Virus): 악성코드, 숙주(Host)에 기생, 자기 복제, 의존적으로 실행(메크로 기능 이용, 기능이 없다면 피해 X))
              ** 확산 방지책: 공유서버 백신 설치
            - 웜(Worm): 독립적으로 자기 복제, 네트워크를 전제, 자기 증식을 통해 가용성을 침해(위해 행위 X, 통신자원 잠식)
              ** 최초 발견 시: 네트워크를 인터넷으로부터 분리(서비스가 비활성화가 되면 안됨)
            - 트로이 목마(Trojan Horse): 스파이웨어/애드웨어라고도 하며 악성 루틴(승인받지 않은 코드)을 포함
            - 논리 폭탄(Logic Bomb): 특정 조건이 갖춰지면 유해한 행위를 하는 악의적 프로그램(적발이 매우 어려움)
         15) 가용성을 제약하는 기법
            - 컴퓨터 셧다운: 강력한 권한을 가진 관리자의 로그온 ID를 도용하거나 시스템에 과부하를 걸어 컴퓨터 정지를 유발
            - 서비스 거부(Denial of Service, DOS): 네트워크/시스템이 정당한 서비스 요청에 대응하지 못하게 함
            - 분산 서비스 거부(DDOS, 분산 도스 공격): 공격자와 피해자 사이에 복수의 공격 계층이 개입
              ** 좀비: 트로이 목마에 감염되어 피해자를 공격하는 호스트
              ** 봇넷(Botnet): 수많은 좀비들로 이루어진 집합체 -> 봇넷 확장: SQL 인잭션 취약점 이용
              ** 죽음의 Ping 공격(Ping Of Death)
            - 영구적 서비스 거부(PDOS)
            - 버퍼 오버플로 공격(Buffer overflow attack): 응용 수준의 홍수 공격 (허술한 코드 이용)
            - 스팸(Spam): 다량으로 발송되는 광고성 이메일
            - 이메일 폭격(Email Bombing): 피해자의 이메일 수신함에 오버플로를 발생
         16) 패스워드 크랙킹: 최선의 해법 -> 사용자의 이름을 추적하기 어렵게 구성(관리자 계정을 감추기)
            - 전수 조사 공격(Brute Force Attack): 무차별 공격(=소모적(Exhaustive) 공격)
            - 사전 공격(Dictionary Attack)
         17) 변조 공격(해시 값 대조를 통해 무결성 손상을 탐지하여야 함)
            - 프로그램 변조: 프로그램의 소스 코드를 승인 없이 변조하여 무결성을 손상
            - 메시지 변조: 포착한 메시지의 내용이나 순서를 승인 없이 변경

 

-끝-

 

참고할 점!
- 요즘은 IS라고 안하고 IT라고 하는게 일반적임. CISA가 업데이트가 늦음. IS를 IT라고 생각하면 더 익숙하게 느껴져요!
- 블로그 내용 참고도 좋지만 직접 한번 더 정리하고, 문제 풀이하면서 요약집에 없는 내용을 적절한 domain, 챕터에 지속적으로 업데이트해서 꼼꼼히 읽기를 추천드립니다..! (그저 추천입니다...)

참고한 내용!
- 동료 PTW 회계사님이 친히 작성해주신 정리글 일부를 참고하였습니다~ (회계사님 CISA없어도 CISA이시고.. 이번에 CISA 취득하실거에요! 감사해요!)
- 동료 LYJ 선생님이 작성해주신 정리글도 일부 참고하였습니다~ 시간되시는 분 블로그 놀러가세요! (감사감사!)
Link : https://unvertige123.wordpress.com

Codes and Things

- 아래 블로그도 참고하였습니다.
Link :https://33cram.tistory.com/category/CISA/1.%20IS%20%EA%B0%90%EC%82%AC%20%ED%94%84%EB%A1%9C%EC%84%B8%EC%8A%A4

'CISA/1. IS 감사 프로세스' 카테고리의 글 목록