경영학과, 경제학, 경영정보 등 경영정보시스템 요점 정리 66. 정보시스템 보안의 이해

66. 정보시스템 보안의 이해

1) 정보시스템 보안 개념과 필요성

(1) 정보시대 보안의 중요성

(2) 정보시스템 보안 개념
●  위험요소들로부터 데이터 및 정보시스템을 보호 관리하는 활동
●  비 승인된 접근 사용 공개 변조 조사 기록 혹은 훼손으로부터 시스템 보호
●  정보시스템 통제는 보안을 실행하기 위한 수단

(3) 보안 관련 용어
●  위협 : 시스템이나 노출되는 어떠한 위험도 포함
●  노출 : 위협에 의해 정보 자원이 기능이 저하 또는 마비되는 경우에 따라오는
결함, 손실 혹은 피해
●  취약성 : 시스템이 위협에 의해 문제를 겪을 가능성

(4) IS 보안의 필요성
●  오늘날 기업들은 IT 의존도가 점차 증가함
●  정보시스템의 전략적 중요성이 그 어느 때보다도 더 높음
●  시스템의 의도적 혹은 비의도적 침해는 기업에 큰 손실을 가져올 수 있음
⇨ 따라서 시스템 침해의 위협요인을 사전에 예방하고 사후에도 신속한 침해복구 능력을
갖추도록 보안이 절대 요구됨

2) 정보보안 정책

(1) 개인 차원
●  개개인의 역할과 기능에 따라 정보보안정책이 달라져야 함
●  개인들은 정보보안의 중요성 인식, 대비책을 스스로 찾아야 함

 

(2) 조직 차원
●  다양한 주체와 조직의 협력활동에 의해서 가능

(3) 네트워크 차원
●  정보보안은 네트워크 환경에서 지속적인 상호작용의 과정에서 발생하는 의도된 위험
●  네트워크로 형성된 공동체의 모든 구성원들이 보안문제에 책임 공유

(4) 정부 차원 (security as policy) 
●  법 제도적 · 기반 마련 안전과 / , 관련한 조직 재정비 능력제고
●  기존의 제반 법 제도에 , 대한 평가

(5) 사회 환경 차원 (security as social environment) 
●  사회,  문화적, 과학, 기술적, 보안기반
●  보안 문제에 대한 연구개발을 촉진하는 지원책 마련
●  정보보호 산업을 지원할 수 있는 방안 개발

 

3) 정보시스템 보안의 주요 위협요인

 

(1) 천재지변 및 인재사고
●  천재지변
- 인간의 힘으로 막을 수 없는 자연재해
- 지진, 폭우, 대홍수, 회오리바람
●  인재사고
- 보안 대책의 부재로 사전예방에 실패해 발생한 침해 사고
- 화재, 테러 공격, 정전사고, 냉방장치 불량, 하드웨어 결함 등

(2) 비의도적인 행위
●  인간의 오류
- . 인간의 착오가 침해사고 발생의 직접적인 원인이 될 수 있음
- 프로그램 설계 프로그래밍 데이터 입력 프로그램 오작동 컴퓨터 조작 등
●  제 3자 침입행위의 비의도적 방조
- 사람과 사람 사이에 존재하는 기본적인 신뢰를 역이용해 특정행위를 하도록 만들거나 민
감한 정보를 취득하는 행위

(3) 의도적 행위
●  해킹행위
- 주어진 권한을 벗어나 정보를 열람 복제 변경 가능하게 하는 행위
-  비 승인된 접속 /사용: 적절한 권한이 없이 정보를 접속하거나 유출시키는 행위
- 비 승인된 변조: 적절한 권한이 없이 정보를 변조시키는 행위
- 비 승인된 삭제: 적절한 권한이 없이 정보를 삭제시키는 행위
- 서비스 거부 (DoS) 공격: 네트워크 서버나 웹 서버에 대해 가상적인 트래픽을 발생시켜
마비되도록 해 접속을 불능화시키는 해킹행위
●  악의적 소프트웨어
- 컴퓨터 운영의 중단, 민감한 정보의 수집, 혹은, 컴퓨터시스템에 비 승인된 접근을 하도록
만들어진 소프트웨어
- 바이러스 (Virus) 
●  응용프로그램이나 데이터 파일에 첨부되어 사용자의 일상 작업 도중 은연중에
실행되는 프로그램
- 워엄 (Worm) 
●  파일을 변조하거나 삭제하지는 않지만 관련 , 파일들을 계속 복제시켜 시스템을
마비시키는 프로그램
- 트로이 목마  (Trojan horse)
●  다른 프로그램 내에 숨어 있다가 사용자가 특정 작업을 하는 순간 시스템장애를
일으키는 프로그램

- 스파이웨어
●  사용자의 동의 없이 컴퓨터에 잠입해 인터넷이용과 관련한 개인적인 정보를 수집하는
컴퓨터소프트웨어
- 애드웨어
●  어플리케이션 소프트웨어를 설치해 사용하는 동안 자동으로 광고물을 다운로드,
재생 혹은 , 표시하는 소프트웨어
- 에일리언 소프트웨어
●  속임수를 이용하여 컴퓨터에 은밀히 설치되는 소프트웨어
●  신분도용
- 공격자가 의도적으로 자신을 다른 개인의 신분으로 가장해 시스템 접근을 획득하는 행위
- 신분 도용 후, 개인정보를 유출하거나, 타인 소유의 게임 아이템의 탈취 등 금전적 이익을
취할 수 있음

● 사이버 테러리즘과 사이버 전쟁
- 공격자들이 물리적으로 실질적 손해나 심각한 붕괴를 일으키거나 혹은 대개 정치적 목적
을 달성하기 위해 표적의 인터넷을 기반으로 한 컴퓨터시스템을 공격하는 악의적 행동