[CISA 요약정리] Domain 5. 정보자산의 보호 | 3장. 사회 공학과 컴퓨터 범죄 & 4장. 논리적 접근 통제

3. 사회 공학과 컴퓨터 범죄
    (1) 사회 공학
         1) 사회  공학(Social engineering): 대중의 태도나 행동에 영향력을 행사하는 효과적 방법을 연구하는 분야

         2) 관련 기법(IS 감사인이 물리적 보안감사를 수행하는 수단이기도 함)
             - 협박(Blackmail): 개인 약점, 안전 등을 볼모로 특정 행위나 이익을 요구
             - 설문  메일(Mail Out): 설문 조사를 가장하여 개인 신상이나 가족 관계 등의 정보를 획득
             - 훔쳐보기(숄더  서핑, Shoulder Surfing): 패스워드나 PIN(개인식별번호)를 입력할 때 몰래 엿보는 행위 

             - (물리적) 피기백킹(Piggybacking): 인증을 거치고 출입하는 사용자의 동의를 구하고 뒤따라 감
             - 꼬리물기(Tailgating): 정당한 사용자를 동의 없이 뒤따라 감 ** 대책: 맨트랩, 턴스틸 + 경비원, 인증 장치가 결합된 회전문
             - 덤스터  다이빙(Dumpster Diving): 버려진 문서에서 가치 있는 정보를 획득하는 행위 ** = 가비지  피킹(Garbage picking), 스키핑(Skipping)
             - 피싱(Phishing): 공신력 있는 기관을 사칭하는 이메일을 보내어 개인 정보를 획득

             - 보이스  피싱(Voice Phishing): 이메일 대신 전화를 사용
             - 스미싱(Smishing): 스마트 폰에 악성 코드 설치를 유도하는 문자 메시지를 보내어 스마트 폰을 해킹 

             - 파밍(Pharming): 사용자가 가짜 사이트에 접속해 개인 정보를 입력하도록 유도
             - APT(Advanced Persistent Threat, =지능적  지속적  위협)
             - 역  사회  공학(Reverse social engineering): 먼저 공격 대상의 장비에 손상을 가한 후 이를 해결 -> 신뢰 획득

         3) 대응 방안(사회역공학: Social Re-engineering)
             - 지속적인 사용자 인식(Awareness) 교육: 사회공학 대응 방안으로 가장 효과적인 방법 

             - 수상한 이메일은 열기 전에 바이러스 검사를 하고 링크를 함부로 클릭하지 않도록 방지

             - 아부/협박을 통한 예외적 정보 요청 시 책임자 보고
             - 사회 공학 기법으로 침투 테스트를 수행하고 주기적으로 감사

             
    (2) 컴퓨터 범죄

         1) 컴퓨터  범죄(Computer Crime): 컴퓨팅 자원을 사용/매개/대상으로 한 모든 형태의 범죄를 통칭범죄의 위협

         2) 주요 법규 준수 방안
             - 지적 재산권: 지적재산권 보호정책 수립/실행 - 프라이버시:
               ①   관련 법규 확인
               ②   조직이 보유한 정보 식별
               ③   불필요한 정보 삭제
               ④   필요한 정보는 동의 득한 후 목적에 맞게 사용⑤   적절한 보호대책
             - 정보의 해외전송 시 국경을  넘는  정보  흐름(Transboarder information flow) 관련 법규 확인 예) Safe Harbor 법규: 개인 데이터가 다른 나라에서 유통되는 것을 규제하는 국제 규약

         3) 컴퓨터 범죄 수사 

             - 문서화 및 사진 촬영:
             - 메모리  덤프: 휘발성(Volatility)이 높은 정보를 가장 먼저 수집
             - 디스크  이미징: 하드디스크에 담긴 물리적 비트 스트림 정보를 그대로 복제한 이미지를 생성 -> 휘발성 데이터 보존 ** 증거는 증거보존용과 복원용 최소 2개의 이미징을 만들어야 함
             - 해시 값 비교: 원본과 사본의 내용이 일치함을 검증/증명하기 위하여 각각의 해시 값(Hash value)을 계산하여 비교 - 식별 및 목록 작성: 각각 증거에 식별 라벨(Identification label)을 붙여야 하며 증거 수집 목록 등재
             - 증거의  보관  사슬(Chain of custody): 증거의 수명 주기(수집/보관/분석/제출/폐기)에 관여자 기록
             - 보존기간: 법적조치(Prosecution)/데이터 수명(Data retention)/비용(Cost)에 의하여 결정 -> 의미: 보존기간 동안 삭제 X - 증거의 처분: 원래의 소유자에게 반환하거나 국가가 몰수하거나 폐기하게 되며 이로써 증거의 수명 주기 종료
             - 증거의 폐기 과정
               ①   폐기 장소까지 안전하게 운반
               ②   두 명 이상이 폐기 과정을 참여/관찰
               ③   폐기 과정을 비디오 카메라로 녹화

 

4. 논리적 접근 통제: 데이터 분류 및 소유권 보호
    (1) 접근 통제 소프트웨어의 기능: 접근 통제(Access control) = 식별 + 인증 + 권한 부여 + 책임 추적 ** 시스템 소프트웨어 수준에서 사용될 때 가장 효과적

 

    (2) 인증(Authentication)

         1) 3 가지 인증 요소
             - 식별: 사용자가 사용자 ID 나 계정 명(User name)으로 시스템에 자기 신분을 밝히는 것 예) 단말기 식별 

             - 인증: 시스템이 사전에 공유한 지식을 근거로 사용자 신분을 검증(Verification)하는 것
             - 인증  기법: 이질적 인증 요소를 중복하는 다중 요소 인증 사용 시 인증 강도 향상
               ①   지식: What you know
                  i.      재사용 패스워드(Reusable Password): 비용대비 효과 높음
                  ii.      일회용 패스워드(One-time Password): 가장안전한 방법
               ②   소유물: What you have(사용자의 정당한 권리를 증명하는 객체) 예) 메모리 토큰(Memory Token) 등
               ③   개인 특성: What you are -> 바이오 메트릭스
                  i.      행위적 생체인식(Behavioral Biometrics)
                  ii.      생물학적 생체인식(Physiological Biometrics): 긍정적(적극적) 인증 ** 홍채: 가장 높은 정확성, 그러나 수용성이 낮음

         2) 패스워드 통제
             - 문법(Syntax): 패스워드 포맷 제한 -> 유효성 체크(가장 중요한 PW 감사절차) 

             - 패스워드 부여 절차
               ①   사용자가 직접 생성/수정할 경우 2 번 입력(즉, 키 검증)하게 함
               ②   보안 관리자가 최초 일괄 부여(개인기반 부여, 그룹기반 부여 X)할 경우 최초 로그인 시 사용자가 PW 변경
               ③   재부여는 질문과 답변, 상관 확인 후 보안 관리자가 부여
             - 저장: 일방향(One-way) 암호화하여 해시 값을 저장(가장 위험을 잘 방지함) 

             - 변경: 주기적으로 변경하도록 인증 루틴을 설계
             - 인증 실패 관리: 3 번(Three-Strike-Out) 또는 5 번(Five-Strike-Out) 넘게 인증 실패하면 더 이상 계정을 비활성화 ** 클리핑(Clipping) 수준: 최대한 허용되는 인증 오류 횟수- 추가 기능: 
               ① 일정 기간 아무런 조작이 없으면 자동 로그아웃 (단말기 접근 통제의 일환)
               ②   패스워드 입력 시 숨김(Suppression) 기능을 적용

         3) 싱글  사인온(SSO): 인증 절차를 집권화하여 인증을 간소화 ** 단일실패지점 발생: 패스워드 노출 시 Risk 증가

         4) 생체인식 제품의 성능: For 등록품질 향상 -> 영향 요인(부면)에 대한 전파 필요

             - FRR(False Rejection Rate): 1종오류  또는 위양성(False positive) 오류
             - FAR(False Acceptance Rate): 2종오류  또는  위음성(False negative) 오류
             - EER(Equal Error Rate) = CER(Crossover Error Rate): FRR 과 FAR 이 같을 때의 오류 비율 -> 낮은 제품 선택 

             - 시스템 보완수준: FAR이 낮을수록, FRR이 높을수록, 시스템 보완수준은 높음(역의 관계)

 

    (3) 허가(Authentication)

         1) 대원칙: 할 필요성(Need to do)와 알아야 할 필요성(Need to know)에 따라 접근 최소권한(Least privilege)만을 부여

         2) 방식
             - MAC(Mandatory Access Control): 강제적 접근 통제(엄격한 규칙에 근거)
             - DAC(Discretionary Access Control): 임의적 접근통제(사용자 신분에 근거) -> 데이터 소유자가 접근권한 변경 가능 

             - RBAC(Role-Based AC): 역할기반 접근 통제(담당 직무나 역할에 근거)

         3) 허가 권한 종류
             - 읽기 전용(Read only): 데이터에 대한 가장 낮은 수준의 접근 권한 

             - 실행 전용(Execute only): 응용에 대한 사용자 권한

         4) 접근 통제 시스템: 현실에서 부여된 권한을 기록 

             - 접근 통제 매트릭스
             - 접근 통제 리스트(ACL: Access Control Matrix) 

             - 역량 리스트(Capability list)

 

    (4) 책임추적(Accounting)

         1) 인증을 거치고 허가 받은 사용자라도 시스템에서의 모든 활동을 기록/감시(원칙적 적발통제)

         2) 사용자 활동 로그는 법적 요구사항 및 해당 부서 요구사항을 반영한 보존 정책에 따라 보존/유지 ** 이메일에도 이메일 보관 정책 필요

         3) 사용자 활동 로그는 삭제되지 않도록 WORM(Write Once Read Many)에 저장

         4) 사용자 활동 로그는 시기적절히 검토하고 예외 사항에 대해 해명

         5) 책임 추적성이 확립될 때 접근 통제가 완성되며 논리적 접근 위반을 억제 가능(예방 통제 기능)

 

    (5) 추가 고려 사항

         1) 보안 우회 기능에 대한 통제: 보안 우회 기능에 접근 가능한 사람을 최소화하고 사용 기록을 남기고 검토 

             - 라벨  우회  처리(Bypass Label Processing): 내부 레이블에 포함된 인증 절차를 우회할 수 있음
             - 시스템 출구(System Exit): 시스템 유지보수를 위한 시스템 소프트웨어 유틸리티, 보안 기능에 구애 X, 활동 기록 X 

             - 특수 시스템 로그온 ID: 벤더가 제공하는 강력한 권한을 가지는 로그온 ID, 설치를 마치면 패스워드를 바로 변경함

         2) 기타 사항
             - 단말기 사용 제한: 단말기 수를 제한하는 터미널 보안 기능 or 단말기 물리적 통제(열쇠, 카드 등)
             - 다이얼  백  절차: 접근 요청 전화번호에 콜 백 절차 수행 (자동  착신  전환(Automatic call forwarding)을 통해 우회 가능) 

             - 명명  규칙(명명  관계): 보안관리자의 지원을 받아 자원의 소유자가 수립 -> 적용해야 할 보안 규칙의 수를 현격히 감소
               ** 데이터베이스 관리자가 아님에 주의
             - EUC(End User Computing) 통제: 적절한 문서화, 데이터 백업 및 암호화, 접근 통제 등이 필요

 

    (6) 바이러스 통제 

         1) 의의
             - 협의의 바이러스: 프로그램이나 데이터 파일에 기생하며 하드 디스크에 자기 복제(매크로)를 하여 해를 끼치는 프로그램

             - 광의의 바이러스: 웜, 트로이 목마, 논리 폭탄도 포함

         2) 바이러스의 통제
             - 바이러스 정책과 절차를 수립하고 정기적인 교육 시행
             - 안티  바이러스  소프트웨어를 설치하고 모든 저장 매체와 파일을 정기적으로 스캐닝 & 이메일 첨부문서 전수 스캐닝 ** 안티 바이러스 소프트웨어: 예방통제(적발/교정 통제가 아님에 유의)
             - 시그니쳐  파일  또는 정의(Definition) 파일이라고도 불리는 바이러스 DB를 주기적 갱신 

             - 바이러스 검사를 마친 원본 마스터 파일에서만 부팅
             - 하드웨어 적인 바이러스 통제 대책
               ①   펌웨어 기반의 부트 바이러스 방지 기능을 설치
               ②   원격 부팅
               ③   하드웨어 기반 암호화 기능을 사용(실행 파일의 암호화: 절차적 통제임)
               ④   플로피 디스크 없는 워크스테이션
               ⑤   플로피 디스크 쓰기 방지 탭

         3) 바이러스 탐지 기법
             - 스캐너(Scanner): 바이러스에서 발견되는 전형적 비트 열(시그니처)을 검색, 정기적으로 바이러스 정보를 추가필요 

             - 활성  감시기(Active Monitor): 디스크 포맷, 파일 삭제 등 위험 활동 시 사용자 확인(일반 활동과 구별이 어려움) 

             - 무결성  검사기(Integrity Checker): 프로그램의 CRC를 사전 계산된 CRC와 정기적으로 비교, 가장 효과적 SW
             - 행위  차단기(Behavior Blocker): 부트 섹터 쓰기 등 비일상적이고 유해성 있는 행동을 차단(하드웨어 기반) 

             - 면역제(Immunizer): 파일에 부착되어 바이러스에 의한 파일 변경을 탐지

 

 

-끝-

 

참고할 점!
- 요즘은 IS라고 안하고 IT라고 하는게 일반적임. CISA가 업데이트가 늦음. IS를 IT라고 생각하면 더 익숙하게 느껴져요!
- 블로그 내용 참고도 좋지만 직접 한번 더 정리하고, 문제 풀이하면서 요약집에 없는 내용을 적절한 domain, 챕터에 지속적으로 업데이트해서 꼼꼼히 읽기를 추천드립니다..! (그저 추천입니다...)

참고한 내용!
- 동료 PTW 회계사님이 친히 작성해주신 정리글 일부를 참고하였습니다~ (회계사님 CISA없어도 CISA이시고.. 이번에 CISA 취득하실거에요! 감사해요!)
- 동료 LYJ 선생님이 작성해주신 정리글도 일부 참고하였습니다~ 시간되시는 분 블로그 놀러가세요! (감사감사!)
Link : https://unvertige123.wordpress.com

Codes and Things

- 아래 블로그도 참고하였습니다.
Link :https://33cram.tistory.com/category/CISA/1.%20IS%20%EA%B0%90%EC%82%AC%20%ED%94%84%EB%A1%9C%EC%84%B8%EC%8A%A4

'CISA/1. IS 감사 프로세스' 카테고리의 글 목록