암호학 (정보보호개념)

1. 정보보안 개념에 대한 이해
- 정보보안이란, CIA라는 정보부의 3대 요소와 자산 관리가 중요하다.
- 정보는 전자적 방식으로 표현된 모든 종류의 자료와 지식을 말하며, 법률적인 의미로 쓰여진다.
- 그리고 인포메이션 시큐리티란 자산을 보호할 필요성을 말하는데, 자산은 물론 피지컬한 물리적인 자산 외에도, 추상적인 자산의 예시로는 비밀정보, 문서, 그 회사의 이미지 등을 들 수 있다.

2. 정보부에서는 자산을 다양한 위협으로부터 보호함.
- 자산은 외부의 공격으로부터 보호되어야 함.
- 자산에는 취약점이 있으며, 그 취약점에서 위협이 발생할 수 있음.
- 위험 관리를 위해 리스크 매니지먼트에서 R(A셋, 취약점, 빌리티, 발생 가능성)가 중요한 개념이 됨.
- 자산의 기밀성, 무결성, 가용성이 유지되도록 기술적 보호조치를 강구함.

3. 자산 보호를 위해 기술적 및 관리적 보호 조치 필요
- 정보의 정의는 물리적 보호와 기술적 관리에 의해 이루어진다.
- 정보보호 산업의 법률적 정의에 따르면, 기술적 및 관리적 수단을 마련해야 한다.
- 개인정보 보호법 및 정보통신망법에도 기술적 및 관리적 보호 조치를 해야한다.
- 자산은 데이터, 문서, 소프트웨어, 하드웨어, 네트워크 장비 등을 포함하며, 이를 보호하기 위해 분류하고 위험 요소를 분석하여 대책을 만들어야 한다.
- 리스크 매니지먼트를 통해 자산 보호를 실시하고 그룹핑된 자산에 대한 대책과 정보보호 정책을 실행한다.

4.  정보 보호의 중요성
- IDS, IPS 등 기술적, 관리적, 물리적 보호 시스템이 필요하다.
- 개인정보 유출은 회사의 이미지와 주가에 영향을 미치기 때문에 정보 보호가 매우 중요하다.
- 최근에는 해커들이 개인정보를 타겟으로 삼아 팔기도 하고 이를 이용해 계좌 이체 등 다양한 범죄를 저지르기 때문에 보호가 필수적이다.
- 개인정보 유출은 회사의 이미지와 주가에 영향을 미칠 뿐 아니라, 스팸, 보이스피싱 등 피해자들에게도 큰 영향을 미친다.
- 따라서, 적극적인 정보 보호 대책이 필요하다.

5. ️자산 유형 분류와 정보보호의 의미
- 자산의 중요성에 대해 강조하며, 자산에 대한 유형의 구체적인 분류법을 이야기함.
- 특히 네트워크나 소프트웨어 분야에 관심이 있는 사람은 이를 연구하여 전문가로 발전할 수 있음.
- 법과 제도에 대한 이해도 중요하며, 정보보호와 정보보안은 보호와 안정적인 시스템 운영으로 구분됨.
- 이러한 포함된 대책을 통해 정보 보호와 안정적인 시스템 운영이 가능하므로, 정보보호 및 정보보안에 대한 광의 의미를 이해할 필요가 있음.

6. 암호학은 무결성, 가용성, 기밀성을 보장하는데 중요한 역할을 한다.
- 공학자들은 암호학 알고리즘을 이용하여 프로그램을 만들고, 수학자들은 알고리즘을 개발하는 주체이다.
- 공학자들이 암호학 알고리즘을 이용하여 SSL, TLS, IP 섹레드, SMI 등을 만들게 된다.
- 암호학은 암호화된 데이터가 무단으로 볼 수 없도록 하는 것이 목적이며, 이를 위해 권한이 없는 사람은 정보를 볼 수 없게 한다.
- 앨리스와 같은 개인키로 암호화시킨 정보는 앨리스만 볼 수 있으며, 이는 암호학이 기밀성을 제공한다는 예시가 된다.

7. ️암호화 기술 - CIA : Confidentiality, Integrity, Availability
- 정보 부에서 가장 중요한 3가지 요소는 '기밀 보장(confidentiality)', '무결성 관리(integrity)', '가용성 보장(availability)'입니다.
- 그리고 이 중 기밀 보장, 무결성 관리를 위해 사용하는 것이 '암호화 기술(cryptography)'입니다.
- '사이퍼텍스트 암호문(ciphertext)'은 이 암호화 기술로 데이터를 암호화한 결과물입니다.
- 암호화된 데이터는 해독하지 않는 한 읽을 수 없으며, 이런 이유로 암호학을 보안 분야에서 많이 사용합니다.

8. 앨리스와 밥의 공개키를 이용한 암호화의 원리
- 앨리스의 개인 키를 이용해 암호화하면, 허가되지 않은 사람은 복호화할 수 없다.
- 앨리스의 공개 키를 이용해 암호화하면, 개인 키를 가진 사람만 해당 정보를 볼 수 있다.
- *도청*이나 *스니핑*을 통해 정보를 가로챌 위험이 있으므로, 평문으로 파일을 주고받는 것보다는 암호화하는 것이 중요하다.

9. 암호화학에서 무결성 보호를 위해 사용되는 해시 기술
- 평문을 암호문으로 전환함으로써 평문의 의미 없는 숫자로 만들어져 도청해도 무의미한 결과가 나오므로 반드시 키를 알아야 함.
- 해시를 이용해 무결성을 보호함. 해시를 사용해 파일 위변조를 방지하며, 전자서명 등에 활용됨.
- 해시값을 개인키로 암호화하여 전자서명을 함으로써 위변조를 방지함.
- 위변조로부터 보호하는 것은 무결성이며, 암호화학에서는 몰이용의 해쉬를 사용함.

10. ️CIA 3조에서 정보보안요소 3가지 중 가용성을 유지하기 위해 안정성을 높이는 것이 중요함.
- 가용성은 항상 허가된 사용자가 데이터에 접근 가능하도록 유지하는 것을 말하는데, IDS, IPS 등을 놓으면 접근 제어로 인해 가용성이 떨어질 수 있다.
- 안정성을 높여서 가용성을 항상 유지시키기 위해서는, DDoS나 해킹과 같은 네트워크 위협에 대비할 수 있는 다양한 방안이 필요하다.
- 하지만 안정성이 높아질수록 결함성이 떨어지게 되기 때문에, 둘 사이에는 적절한 밸런스가 필요하다.
- 무결성과 비밀성도 중요하지만, 가용성을 유지하기 위해서는 안정성 강화가 더 중요하다.
- 이러한 보안 대책에는 기술적, 관리적, 물리적 대책이 모두 필요하다.

11. ️데이터 무결성과 가용성의 중요성
- 데이터 무결성과 가용성이 중요함.
- 무결성은 데이터 변조를 막는 것이고, 가용성은 항상 자원을 이용할 수 있는 것을 말함.
- 예를 들어, 자료가 변조되어 내용이 파괴되면 의미가 없어짐.
- 또한 DDoS 공격이나 해킹으로 인해 자원을 할당하지 못해, 자산에 접근 불가능한 상황이 벌어지면 가용성도 떨어짐.

12. ️‍️정보의 중요성, 인증과 허가의 필요성
- 인증성은 사용자의 신원을 검증하는데, 중간자 공격을 통해 데이터의 정직성을 확인해야 함.
- 정보의 출처를 확인하는 것이 중요하며, 메시지의 위변조로 인한 위협이 있을 수 있음.

13. 인증, 오스트라이제이션, 추적성
- 오스트라이제이션은 허가된 사용자에게만 접근 권한을 부여하는 것이며, 인증된 사용자도 모든 파일을 읽을 수 없다.
- 추적성은 보안사고 발생 시 추적과 책임 소재를 명확히 하기 위해 로그를 남기는 것이며, 부인 방지에도 사용된다.
- 앨리스가 보낸 데이터를 부인하는 것처럼, 자신이 한 행동을 부인하는 것을 부인 방지라 한다.