본문 바로가기
반응형

정보보안(산업)기사105

2023.11.09 (목) 생명의 삶 QT : 진실함과 성실함으로 자기 집을 세우는 사람 (잠언 14:1-16) [ 생명의 삶 ] 진실함과 성실함으로 자기 집을 세우는 사람 (잠언 14:1-16) 세우는 자와 허무는 자 14:1~9 1 지혜로운 여인은 자기 집을 세우되 미련한 여인은 자기 손으로 그것을 허느니라 2 정직하게 행하는 자는 여호와를 경외하여도 패역하게 행하는 자는 여호와를 경멸하느니라 3 미련한 자는 교만하여 입으로 매를 자청하고 지혜로운 자의 입술은 자기를 보전하느니라 4 소가 없으면 구유는 깨끗하려니와 소의 힘으로 얻는 것이 많으니라 5 신실한 증인은 거짓말을 아니하여도 거짓 증인은 거짓말을 뱉느니라 6 거만한 자는 지혜를 구하여도 얻지 못하거니와 명철한 자는 지식 얻기가 쉬우니라 7 너는 미련한 자의 앞을 떠나라 그 입술에 지식 있음을 보지 못함이니라 8 슬기로운 자의 지혜는 자기의 길을 아는 것.. 2023. 11. 9.
[정보보안기사] 3.접근통제 - 벨-라파듈라 보안 모델(Bell-LaPadula Security Model) 벨-라파듈라 보안 모델(Bell-LaPadula Security Model)은 무엇인가요? 벨-라파듈라 보안 모델은 컴퓨터 보안 분야에서 가장 잘 알려진 보안 모델 중 하나입니다. 이 모델은 기밀성을 중점으로 하는 접근 제어 모델로, 정보의 비밀성을 보장하기 위해 설계되었습니다. 벨-라파듈라 모델은 주로 다음 세 가지 주요 개념에 기반을 두고 있습니다. 첫째, '정보의 기밀성'은 보안 모델이 지켜야 할 가장 중요한 속성입니다. 이는 정보에 대한 접근이 제한되어야 함을 의미합니다. 둘째, '증식'(Simple Security)은 정보의 흐름을 제어하기 위해 사용됩니다. 이는 보안 수준이 낮은 주체가 보안 수준이 높은 정보에 접근하는 것을 방지합니다. 즉, 보안 수준이 낮은 주체는 동등한 또는 더 낮은 보안.. 2023. 11. 9.
[정보보안기사] 3.접근통제 - RBAC(Role-Based Access Control, 역할 기반 접근 제어) RBAC(Role-Based Access Control,역할 기반 접근 제어)은 무엇인가요? RBAC(Role-Based Access Control)은 역할 기반 접근 제어라고 불리는 접근 제어 모델입니다. 이 모델은 사용자의 역할에 따라 시스템의 자원에 대한 접근 권한을 부여하고 제어하는 방식을 의미합니다. RBAC은 사용자, 역할, 자원 세 가지 주요 구성 요소로 구성됩니다. 사용자는 시스템에 접근하는 개별 개체를 나타내며, 역할은 사용자 그룹을 나타냅니다. 자원은 시스템 내에서 보호되어야 하는 데이터, 파일, 서비스 등을 의미합니다. RBAC 모델에서는 역할에 따라 사용자에게 권한을 할당합니다. 예를 들어, "관리자"라는 역할은 시스템의 모든 자원에 대한 완전한 접근 권한을 가질 수 있지만, "사용.. 2023. 11. 8.
[정보보안기사] 3.접근통제 - DAC(Discretionary Access Control, 임의 접근 제어) DAC(Discretionary Access Control,임의 접근 제어)은 무엇인가요? DAC(Discretionary Access Control, 임의 접근 제어)은 컴퓨터 시스템에서 사용자가 자원에 대한 접근 권한을 결정할 수 있는 접근 제어 메커니즘입니다. 이는 사용자가 자신이 소유한 자원에 대한 접근 권한을 설정하고 제어할 수 있는 시스템을 의미합니다. DAC은 보안 모델 중 하나로, 자원에 대한 접근 권한을 소유자가 임의로 설정할 수 있기 때문에 "임의 접근 제어"라고 불립니다. 이는 소유자가 자원에 대한 접근 권한을 다른 사용자에게 부여하거나 제한하는 데에 자유롭게 권한을 설정할 수 있다는 것을 의미합니다. DAC에서는 사용자, 파일, 디렉토리 등 모든 자원에 대해 액세스 권한이 정의됩니다.. 2023. 11. 7.
[정보보안기사] 3.접근통제 - MAC(Mandatory Access Control,강제적 접근 제어) MAC(Mandatory Access Control,강제적 접근 제어)은 무엇인가요? MAC (Mandatory Access Control, 강제적 접근 제어)은 컴퓨터 시스템에서 사용자나 프로세스의 접근을 제어하는 보안 메커니즘입니다. MAC는 시스템의 데이터나 자원에 대한 접근 권한을 미리 정의된 보안 정책에 따라 강제적으로 제어합니다. MAC는 일반적으로 시스템 관리자나 보안 정책 결정자가 설정하는 보안 정책을 기반으로 작동합니다. 이 보안 정책은 데이터의 중요도나 민감도에 따라 접근 권한을 부여하고, 사용자나 프로세스가 이러한 권한을 초과하여 접근하려 할 때는 차단하는 역할을 합니다. MAC는 다른 접근 제어 메커니즘인 DAC (Discretionary Access Control, 자율적 접근 제.. 2023. 11. 6.
[정보보안기사] 3.접근통제 - 커버로스(Kerberos) 커버로스(Kerberos)란 무엇인가요? 커버로스(Kerberos)는 네트워크 인증 프로토콜입니다. 이 프로토콜은 사용자와 서비스 간의 안전한 인증을 제공하기 위해 설계되었습니다. 주로 로그인 과정에서 사용되며, 클라이언트와 서버 간의 상호작용을 보호하고 인증 정보를 안전하게 전달합니다. 커버로스는 클라이언트, 티켓 발급 서버(Ticket Granting Server, TGS), 서비스 서버로 구성됩니다. 사용자는 커버로스를 통해 인증을 받고 티켓을 발급받은 후, 이 티켓을 사용하여 다양한 서비스에 접근할 수 있습니다. 이 프로토콜은 대칭키 암호화를 사용하여 클라이언트와 서버 간의 통신을 보호합니다. 클라이언트는 사용자의 비밀 정보를 입력하여 티켓을 요청하고, TGS는 이를 검증하여 티켓을 발급합니다. .. 2023. 11. 3.
[정보보안기사] 3.접근통제 - IAM(Identity and Access Management,식별/접근 관리) IAM(Identity and Access Management,식별/접근 관리)이란 무엇인가요? IAM(Identity and Access Management, 식별/접근 관리)은 조직 내에서 사용자의 신원을 식별하고, 사용자에게 필요한 시스템 및 데이터에 대한 접근 권한을 제어하는 보안 관리 프레임워크입니다. IAM은 기업이나 조직 내에서 사용자의 계정, 그룹, 역할 등을 관리하고, 사용자에게 필요한 리소스에 대한 권한을 할당하며, 권한 부여 및 변경, 권한 제거 등을 통해 보안을 강화합니다. 이를 통해 조직은 데이터와 시스템에 대한 접근을 통제하고, 불법적인 접근이나 보안 위협으로부터의 위험을 최소화할 수 있습니다. IAM은 다양한 기능을 제공하는데, 주요 기능으로는 사용자 계정의 생성, 비밀번호 관.. 2023. 11. 2.
[정보보안기사] 3.접근통제 - EAM(Extranet Access Management,엑스트라넷 접근 관리) EAM(Extranet Access Management,엑스트라넷 접근 관리)이란 무엇인가요? EAM(Extranet Access Management, 엑스트라넷 접근 관리)은 기업이 외부 사용자에게 제한적인 네트워크 접근 권한을 부여하고 관리하는 시스템입니다. 엑스트라넷은 기업의 내부 네트워크와 외부 사용자나 파트너 간의 안전하고 제한된 접근을 가능하게 해주는 통신망입니다. 이는 기업이 외부와의 협업, 공급망 관리, 고객 지원 등 다양한 비즈니스 활동을 수행할 수 있도록 돕습니다. EAM은 이러한 엑스트라넷 환경에서 외부 사용자의 접근을 효율적으로 관리하기 위해 사용됩니다. EAM 시스템은 다양한 보안 기능을 제공하여 외부 사용자의 인증, 권한 관리, 접근 제어 등을 관리합니다. 이를 통해 기업은 외부.. 2023. 11. 1.
[정보보안기사] 3.접근통제 - SSO(Single Sign-On) SSO(Single Sign-On)이란 무엇인가요? SSO (Single Sign-On)은 하나의 인증 정보로 여러 애플리케이션 및 서비스에 로그인할 수 있는 인증 방식입니다. 보통 기업 내부 시스템에서 많이 사용되며, 사용자가 한 번 로그인하면, 같은 인증 정보로 여러 가지 다른 시스템에 로그인할 수 있습니다. SSO를 사용하면 사용자가 따로 로그인 정보를 입력하지 않아도 되므로, 사용자 경험이 좋아지고, 보안도 향상됩니다. 또한, SSO 시스템은 사용자 계정을 중앙에서 관리하므로, 사용자 이용 관리 및 보안 측면에서도 이점을 가집니다. SSO 사용 방법은 어떻게 되나요? SSO를 사용하려면, SSO 시스템을 구성해야 합니다. 구성 방법은 다음과 같습니다. 1. 인증서버 구성 SSO 시스템에서는 인증을.. 2023. 8. 16.
[정보보안기사] 3.접근통제 - 은닉채널(covert channel) 은닉채널(covert channel)이란 무엇인가요? 은닉 채널(covert channel)은 컴퓨터 보안에서 사용되며, 보안 메커니즘을 우회하여 보호되는 정보를 비밀리에 전송하거나 수신하는 방법입니다. 일반적으로 우리는 컴퓨터 시스템에서 정보를 주고 받을 때, 명확하게 데이터가 전송되고 받아지는 채널을 사용합니다. 그러나 은닉 채널은 이러한 명시적인 채널 외 부수적인 수단으로 정보를 주고 받을 수 있어 보안적으로 위험합니다. 예를 들어, 공격자가 하나의 시스템에 침입하여, 쉘(Shell) 명령어 등의 수단을 사용하여 은닉 채널을 만들어 낼 수 있습니다. 이후, 공격자는 은닉 채널을 통해 기밀 정보를 탈취하여 외부로 전송할 수 있습니다. 따라서, 기업 및 조직에서는 은닉 채널을 탐지하고 방어하기 위해 보.. 2023. 8. 15.
[정보보안기사] 3.접근통제 - 스미싱(SMishing) 스미싱(SMishing) 이란 무엇인가요? 스미싱(SMishing)은 SMS 문자 메시지를 통해 개인정보를 빼내는 사기 기술 중 하나입니다. 이름은 SMS와 Phishing의 합성어로, 이메일을 통해 정보를 빼내는 "피싱(Phishing)"과 유사한 방법을 통해 개인 정보를 탈취합니다. 스미싱 공격자는 보통 개인정보를 노린 금융사기를 시도합니다. 예를 들어, 스미싱 문자를 받은 피해자는 보통 은행이나 카드사에서 온 리콜, 결제 확인서 등으로 속이는 내용의 문자를 받게 됩니다. 이 문자에 들어 있는 링크를 클릭하면 피싱 사이트로 유도되며, 흔히 사용자 이름과 비밀번호를 요구하는 방식으로 개인정보를 빼내게 됩니다. 스미싱은 모바일 시대에 맞추어 발전한 사기기술이라고 할 수 있으며, 개인정보 유출 사고를 예방.. 2023. 8. 14.
[정보보안기사] 3.접근통제 - 피싱(Phishing) 피싱(Phishing) 이란 무엇인가요? 피싱(Phishing)은 범죄자가 정식 기관이나 기업, 개인 등을 가장하여 개인정보나 비밀번호, 은행 계좌 정보 등을 빼내는 인터넷 상의 사기 기법입니다. 일반적으로 이메일, 문자 메시지, 소셜 미디어 등을 이용하여 미리 파레트맵핑을 해놓거나 타깃의 신뢰를 받을 수 있는 마케팅 및 금융 기관의 로고나 사이트와 유사한 사이트를 만들어서 피해자를 유인합니다. 이러한 방법으로 개인정보 등을 빼내기 위해 사용되는 마치 미끼와 같은 메시지를 '피싱 메일'이라고 합니다. 따라서, 인터넷 이용자는 의심스러운 이메일이나 사이트를 확인할 때에는 주소를 꼭 확인하고, 소스를 확인하여 출처를 파악하는 등의 신중한 대응이 필요합니다. 피싱으로 인한 피해 사례가 있나요? 피싱으로 인한 .. 2023. 8. 11.
반응형

티스토리툴바