Professional Documents
Culture Documents
경정 4
경정 4
4장
`
Od
정보보안
'요'
뺄 장의구성
圈
소
4.1 정보보안의개요
학습
4.1 。
010
야성을 。
4.2 정보시스템에 대한 비의도적 위협 2 $
요J... O 예득늑 0 4.3 정보시스템에의 의도적 위협 상 \ i `&
4.2 0I?HO 。
4.4 정보 자원을 보호하기 위한_
。
예록득0
4.5 정보보안통재
4.3 10가지 종류의 의도적 공격을 논해보자.
4.4 세 가지 리스크 완화 전략을 설명하고 주택
율 소유한 상황에 빗대어 각감 예를 들어
보자. '
45 조직이 정보자원율 보호하기 위해 사용할
수 있는 세 가칭 주요 통낍윤형을 브인잡고
각각예를듈어보자. 노 一
-T-~-一
.,
a
•
•
• • .
..
'.
..•
•”•
_. ” ·
- - .,,..
.,
에쿠l팩스정보침해
겅영정보Al스댑
!...----120-
가 약 20만 페이지 다운로드를 받았다고 주장했다. 만약 스위팅 언(Experian; www.ex perian.com) 및 트랜스유니온(TransUrnon; www.
의 웹 사이트가 정말로 피싱 웹 사이트였다면, 훨씬 더 큰 피해를 transunion.com)율 참조하라.
입힐수있었을것이다. 에퀴팩스 위반의 영항은 사회보장번호가 한 사람의 신원율
확인하는 신뢰할 수 없는 방법이 되어가고 있다는 것율 분명히 한
결과 다. 한 개인의 사회보장번호가 한번 손상되면 너무나 많은 시스템
2018년 3월 연방 대배심은 에퀴팩스의 전 CIO인 준잉율 내부자 과 애폴리케이션이 그 번호에 의촌하기 때문에 고치기 어렵다.
거래 혐의로 기소했다. 미 법무부(DOJ; www.doj.gov) 기소장은 잉 사회보장번호 문제에 대한 해결책은 추가적인 보안 계층올
이 2015년 익스피리언의 데이터 유출이 주가에 어떤 영향율 미 활용하는 데 있율 수 있다. 예를 들어 스마트폰으로 이메일이나
쳤는지 질의하는 웹 검색을 했다고 주장했다. 이 기소는 잉이 그 문자 메시지를 통해 보안 질문 및 일회성 보안 코드가 전송되기
후 그가 사용할 수 있는 모든 스톡옵션율 행사하고 주식을 팔아 시작할 수 있다. 보안 강화의 문제는 웹, 특히 전자상거래를 통한
95만 달러 이상의 수익과 48만 달러 이상의 이익율 얻었다고 주 트랜잭션을 수행하기가 더 어렵다는 것이다.
장했다. 2019년 3월, 잉은 내부자 거래에 대해 유죄를 인정했다. 에퀴팩스 해킹으로 불안감율 느끼는 고객들이 스스로를 보
위에서 언급한 바와 같이, 3명의 다른 에퀴팩스 임원들은 유 호할 수 있는 가장 효과적인 방법인 보안 동결올 고려해 보자. 신
출 소식이 알려지기 전에 많은 양의 에퀴팩스 주식을 팔았다. 에 용평가회사에 연락해 3사 홈페이지에서 각각 할 수 있는 동결 요
퀴팩스 이사회가 구성한 특별위원회는 임원진들의 잘못을 무협 청을 하면 대줄자가 계좌 개설 과정에서 연락하연 아예 정보를
의 저리했으며, 잉에 대한 법무부의 고소장에는 이 중 한 건도 언 제공하지 말라고 지시하는 것이다. 따라서, 만약 누군가가 당신의
급되지않았다. 이름과 사회보장번호를 사용하여 새 신용카드를 발급받으려 한
보안 침해 이후 몇 년 동안 에퀴팩스는 데이터 보안 인프라에 다면, 그 신청서는 아마도 거부될 것이다. 이렇게 하면 가짜 신용
2억 달러를 투자했다. 복구 과정율 감독하기 위해 회사는 2018 카드가 사용자의 이름으로 발급되는 것율 방지할수 있다. 그것은
년 2월에 CISO(Chief Information Security Officer)를 새로 고용했다. 또한 결과적으로 미납된 정구서가 당신의 신용평가서에 기록되
그는 데이터 짐해 이전에 CISO(최고 정보 보안 책임자)는 항상 예산 고 당신의 신용이 손상되는 것을 막는다. 대출이 필요할 때는 대
율 위해 싸워야 했으며, 보안과위험 관리의 중요성을 사람들에게 줄업체에 연락해 동결을 해제하면 된다.
납득시키기 위해 노력해야했다고 지적했다. 보안 위반후, 에퀴팩 동결비용은 주법의 적용율 받는다. 그것은 보통 신원 도용 피
스 CISO의 일은 모두가 보안이 매우 중요하다는 것을 알았기 때 해자들에게 무료이다. 그렇지 않으면, 단순히 조심스러운 사람들
4장 정보보안 -121-
I
|
신용 데이터는 본질적으로 금지된다. 그러나 현 상태로는 동결과
관련된 문제들이 그 예결책율 매력적이지 않게 만들 수도 있다.
하지만. 만약 동결이 표준이 된다면. 신용평가회사는 그들의 데이
터를 보호하기 위한 더 나온 방법을 고안할 것이다. 예를 들어. 스
마트폰 업예서 섀 가지 신용 따일에 대한 액세스틀 모두 켜고 꿀
수있다.
肉론 — 1
122 - 경영정보시스뎅
r
! 정보 보안은 특히 중소기업에 중요하다. 정보 보안 문재률 경힘하는 대기업은 문제믈 해결하고
생존할 수 있는 더 큰 리소스를 보유하고 있다. 이와는 대조적으로, 소기업은 리소스가 더 적기 때
문에 데이터 침해로 인해 더 쉽게 운영이 중단될 수 있다.
정보기술은 제대로 활용될 경우 개인, 기업, 나아가 사회 전체에 크나큰 이점을 선사한다. 1장
과 2장에서는 汀가 어떻게 기업을 더 생산적이고 효율적이며 고객에 더욱 잘 옹답할 수 있도록 만
드는 다양한 방법을 읽었다. 또한 의료 및 자선 둥의 분야에서 汀가 사람의 신체적 및 정신적 건강
에 기여하는 것 또한 일아보았다. 하지만 정보기술은 악용될 수 있으며 그 결과는 참담하다. 다음
시나리오를 생각해보자.
4장 정보보안
-123 :7
I
•
과 별도로 수집되어 처리되기 때문에 신용카드 데이터가 도난당하지 않았다고
지적했다.
• 해커들은 카지노 로비에 있는 수족관에 있는 온도계불 통해 도박꾼들의
데이터베이스에 집속
했다. 범죄자들은 카지노 네트워크에 접근하기 위해 연결된 온도 조절기에 있는
취약성을 이용
했다.
• 201S년 6월 말, 한 보안 연구원은 마케팅 및 데이터 수집회사인 이그잭
티스(Exactis; www.exactis
com)가 공개적으로 접근 가능한 서버에 약 3억 4천만 개의 개별 레코드가 포함된
데이터베이스
룰 노출했다는 것을 발견했다. 유출된 정보에는 신용카드 정보나 사회보
장번호는 포함되지 않
았지만 전화번호, 집 주소, 이메일 주소, 개인 관심사는 포함되어 있었다.
4.1 정보보안의개요
보안(security~ 범죄 활동, 위험, 피해, 손실로부터의 보호 정도로
정의할 수 있다. 이 광범위한 정
의에 따라 정보보안(information security)은 조직의 정보 및 정보시
스템(IS)¾ 비인가 접속, 사용, 노출,
방해, 수정, 혹은 파괴로부터 보호하도록 하는 모든 프로세스
및 정책을 말한다. 이미 정보와 정보
시스템이 의도적 범죄 활동과 조직의 정보시스템의 정상 작동을
저해할 수 있는 각종 요인에 의해
위협받을 수 있음을 보았다.
■ 124- 겅영정보시스템
L.lu'`’,'
,"-
로
어 있다. 신용 네트워크는 일반적으로 자사 내의 내트워크를 말한다. 비신용 네트워크는 일반적으
p
~"`o
언 1'~.`t`.,'서
4장 정보보안 , - 125 -
I
하게 받아들이기 위해선 상위 경영자가 모범을 보여야 한다. 하지만 궁극적으로 하위 경영자도
흐이
더 중요할 수 있다. 이들 경영자듈은 매일 칙원과 접촉을 하며 이 때문에 직원들이 보안 절차르
코제
대로 따르고 있는지 판단하기에 더 유리한 위치에 있다.
느三-? 訓||I-·III-----
1. 정보보안율정의해보자.
인간의실수
조직 직원은 편지 분류 사원에서부터 최고경영자에 이르기까지 조직 위계와 기능영역 전체에 걸쳐
존재한다. 직원에 대한 두 가지 중요한 사실을 알아둬야 한다. 첫째로, 직원의 직위가 높을수록 정
보보안에 끼치는 위협이 더 크다. 이는 직급이 높을수록 더 큰 정보 접근 허가를 가지고 정보시스
템에 대해 더 많은 권한을 가지기 때문이다. 둘째로, 정보보안 시점에선 인적자원부서, 그리고 정보
시스템부서의 직원이 정보보안에 가장 큰 위협을 가진다. 인적자원부서 직원들은 모든 직원의 민
硏떤 개인정보에 접근권한을 가진다. 비슷하게 IS부서 직원들은 민감한 조직 정보에 접근 권한을
가질 뿐만 아니라 이 데이터를 생성, 저장, 전송, 수정할 수단까지 통제한다.
그 의 칙원엔 계약적 근로자, 컨설턴트, 청소부 및 경비원 동이 있다. 계약직 근로자, 예컨대 임
시 고용자들은 정보보안 체계에서 무시되기 일수다. 하지만 이들 직원은 많은 경우 기업의 네트위
크, 정회1스템, 그리고 정보 자산개 접근할 수 있다. 컨설턴트는 엄밀히 말하면 직원이 아니지만
기업을 위한 일을 하며 업무의 종류에 따라선 역시 기업 네트워크, 정보시스템, 정보 자산에 집근
할수있다.
마지막으로 청소부와 경비원은 정보보안시스템에서 가장 자주 간과되는 부류이다. 많은 기업
이 청소 및 경비 업무뮬 아웃소싱한. 그러므로 임시 고용직과 마찬가지로 엄밀하게는 직원ol 아
님에도 步저고 기업을 위해 일을 힌다. 게다가 이들은 거의 모든 - 어쩌면 실로 모든 -적::
이 되근했을 때에 환동한. 그돕온 보몽 모든 사무실의 열쇠를 가지고 있으며 아무도 그들의
에 의문을 제기하지 않틴才. 심지어 기업의 심장부에 해당하는 부분에서도 말이다! 실제로 〈2伊):
- 경영정보시스템
..-
외부로부터의위협 巨
보안위협
자연재해
(홍수,폭풍등)
인간재헤
화재
정전
기타사고
''멀 LAN(민.點O
직원/
·L
부
? E_ "" xr
하드웨어적 위협
애플리케이션 프로그래머 컨설턴트, 터미널
계약직노동자,
• 요구사항과다르게 • 보안이허술한위지에
정소부등
작동하도록프로그래밍 설지
• 비인가접근
시스템프로그래머 PCS
• 절도
• 보안메커니즘우회 • 복사 • 허술한신원확인
• 보안메커니즘해제 • 인가정보의불법누줄
• 비보안시스템설지 • 바이러스{설, 기타 악성
• 소프트웨어
관리자 - ~ ~:
• 절도
• 기멀리포트복사 뎨 01 터베 01 스
-~—
시스템소프트웨어
• 비보안시스템 기동
• 비인가접근
• 기멀내용절도 • 보호메커니즘구동실패 던서
• 복사
사용자 • 정보누줄
• 절도
• 비인가 소프트웨어 설지
• 데이터입력오류
• 안전하지못한암호
내부로부터의위협
• 훈련부족
해커 쿼틀리(2600: Hacker Quarterly)〉의 한 기사는 기업에의 물리적 접근을 취득할 목적으로 청소부로
취직하는 것을 설명하였다.
직원의 실수는 나태, 부주의, 혹온 정보보안에 대한 이해도 부족에 의해 발생한다. 이 이해도
뚜루온 조직의 교육 및 훈련 노력의 부족에서 기인한다. 인간의 실수는 표 4,1이 보여주듯 다양한
형태로나타난다.
방금 전 학습한 인간의 실수는 의도하지 않았다고는 하나 오로지 직원만의 책임이다. 하지만
직원들온 공격자의 행동의 결과로 비의도적 실수를 행할 수도 있다. 공격자들은 자주 소셜 엔지니
어링을 활용해 개인이 비의도적 실수를 하고 민감한 정보를 누출하도록 유도한다.
4장 정보보안 , - 127 -
F
Emn 인간의실수
인간실수 실명라예
의심스러운이메일열기 송신자 볼명의 이메일을 열거나 메일 내부의 링크를 클릭하는 행위(표 4.2의 피싱 공격 장조)
부주의한인터넷서핑 의심스러운 웹 사이트 방문. 이러한 행위는 악성 소프트웨어와 코드가 기업의 네트워크에
---
침입하는계기가된다.
관리되지않는기기의 관리되지 않는 기기란 기업의 IT부서의 통제와 기업 보안 절차에서 벗어난 기기를 말한다.
부주의한사용 이들 장치에는 고객이나 비즈니스 파트너 소유의 컴퓨터, 호텔 비즈니스 센터에 있는 컴퓨터
들. 그리고 스타벅스. 파네라 브레드 등등에 있는 컴퓨터들이 있다.
버려진기기에대한 메모리의 완전한 삭제 없이 컴퓨터 하드웨어나 기기를 버리는 행위. 여기엔 컴퓨터, 휴대폰,
부주의 볼랙베리 장지, 디지털 복사기와 프린터가 포함된다.
환경위험요소들의 오물. 먼지. 습도, 그리고 정전기를 포함한 환경 위험요소들온 전산장비의 운용에 해가 된다.
부주의한감시
소셜엔지니어링
--128-
경영정보Al스템 _
〔확인하고넘어가기 |
1. 정보시스템에의 비의도적 위협율 정의해보자.
l 산업스파이
2. 정보강탈
3. 파괴공작 혹은 반달리즘
4. 장비 혹은 정보의 절도
5. 신원도용
6. 지적재산권침해
7. 소프트웨어공격
8. 외부소프트웨어
9. SCADA(Supervisory Control and Data Acquisition) 공격
10. 사이버 테러와 사이버 전쟁
산업스파이
선다.
정보강탈
파괴공작혹은반달리즘
4장정보보안 - 129
실을 유도허는 행동이다. 온라인 반단리즘의 한 형태로 해커 사회운동(사이버 사회운동)이 있나
이는 조직 혹은 정부 기관의 업무, 정책, 활동에 시위하는 하이테크 사회 불복종 운동이다. •
장비혹은정보의절도
컵病 장비와 저장기기는 점점 더 작아지지만 업청나게 중가한 저장용량(예: 노트북 컵퓨터, 볼리
베리, PDA, 스마트폰, 디지털카메라, 휴대용 USB 메모리, 아이팟)을 가지고 있어 여전히 더욱 강칙
해져 가고 있다. 그 결과 이들 기기는 점점 더 훔치기 쉬워지고 공격자가 정보 절도에 활용하기도
용기해지고 있다. IT와 기업사례 4.1에서 알 수 있듯이, 일부 공격은 확실히 수준이 낮은 기슭&
tech몌 의해 이루어진다.
표 4.1은 인간의 실수 중 한 부류가 바로 노트북 컴퓨터 사용 부주의임을 지적하고 있다. 실거
로 이러한 부주의 때문에 많은 노트북 컴퓨터가 도난당하고 있다. 노트북 도난의 비용은 데이터
및 지적재산의 유실, 노트북 교체 비용, 법적 및 규정상 비용, 도난 수사 비용, 그리고 생산성 감소
룰포함한다.
IT와기업사례 4.1
호텔 키카드 잠금장지 해킹
브로셔스는 오니티 잠금 해제 명령율 족발한 독특한 암호'
가 호텔의 휴대용 프로그래머가 아닌 잠금 장지 자제에 저장도10-
EE, 있다는 것을 발견했다. 그러므로 하드웨어에서 50달러만 있으만
2012년 7월 23일 미국 포브스지에서 코디 브로셔스(Cody Brocious) 누구나 자신만의 휴대용 프로그래머를 만들어 오니티 잠금장X
라는 소프트웨어 엔지니어가 오니티(Onity; www.onity.com)가 만 의 포트에 삽입하고 잠금장지의 내부 메모리에서 디지털 키를지
든 세계에서 가장 흔한 호텔 키카드 잠금장지의 심각한 보안 걸합 동으로 불러와서 잠금 에제 문율 열 수 있다. 이 이야기가 나은 지
올 폭로했다. 브로셔스는 이 쥐약점이 미국과 전 세계 호텔 객실 일주일 후, 브로셔스는 라스베이거스에서 열린 블랙햇(8Iack 印i
1,000 만개를 잠글 수 있다고 주장했다.
각 오니티 자물쇠에는 호텔 직원이 휴대용 프로그래머’라고
:; ~:;:급으E~연구 결과를 발표했다. 그리고 나서 그는
코드를공개했다.
부르는 장지를 삽입할 수 있는 구멍이 있었다. 이 장지는 죄근에
어떤 키가 어떤 문을 열었는지 읽을 수 있고 어떤 마스터 키가 어
숙객;a"\::! 캐쉬엇이라는 개인이 미국 전역의 호\:
셔스 웹 사이트에서 X:::를 사용했다. 실제로 캐쉬엇은 .-
떤 문율 열 수 있는지 설정할 수 있었다. 휴대용 프로그래머들이
스스로 마스터키 역할율 했기 때문에 모델 소유주들의 세심만 보 한 전제 튜토리얼과 | 잠금에킹 도구를 만드는 방:::
호를받았다.
오니티 자몰소l로 함께 이 코드를 잦아냈다. 그의 장치 ...
악 98%의 문을 열었다.
130 - 경영정보시스템
L甘 HH
甘U시
캐사트(Cashatt)는 회로 기판과 9볼트 배터리에 연결된 전선율 당국 관계자들의 사건이 복잡해졌다. 결국 그의 도둑질은 그를 잡
포함하는 작은 장지를 만들었다. 장치의 한쪽 끝에는 폴러그에 기 위한 다기관 경찰 작전인 "O peration Hot el Ca$h" 작전율 촉
,.
위지한 작고 등근 포트에 자신의 장치의 플러그를 꽃았다. 그리고 불행히도 캐사트는 더 큰 이야기의 한 장에 불과하다. 오니티
1p
전기 회로를 완성했다. 볼트가 뒤로 젖히고, 도어 손잡이 위로 녹 도 회사는 잠금 장지의 보안 결함율 패치하지 못했다. 사실 오니
색불이깜박였다. 티에는 잠금에 대한 업데이트 메커니즘이 없었기 때문에 어떤 소
캐사트는 호텔 방에 침입해서 그가 찾을 수 있는 모든 것율 홈 프트웨어 패치도 버그를 수정할 수 없었다. 따라서 잠금 장지 내
쳤다. 변장을 하기 위해, 그는 가발과하얀 모자를 쓰고 장갑율 꼈 부의 모든 회로 기판율 교제해야 했다. 오니티는 처음에 이러한
다. 그의 차가 주적되지 않도록 하기 위해, 그는 번호판율 훔쳤고 교제 비용을 지불하지 않을 것이라고 발표했는데 이는 호텔 자제
주기적으로그것둘을 바꿨다. 에 부담이 있음을 의미했다. 많은 호텔이 수리비 지불을 거부했으
캐사트는 호텔율 털 수 있는 시스템을 개발했다. 먼저 그는 호 며, 이는 인건비에 따라 자물쇠당 25달러 이상이었다. 다른 호텔
텔 문 밖에 있는 오니티 자물쇠를 확인했다. 그는 손님 층에 올라 들은 이 문제에 대해 무지했다.
가면 가정부의 카트에서 방 목록을 꺼내 어떤 방에 투숙객이 있 보안 결함이 저음 공개된 지 4개월 후인 2012년 12월, 오니
는지, 어떤 방이 비어 있는지 알아보곤 했다. 그리고 그 혹은 파트 티는 메리어트(Marriott), 하얏트(Hyatt), 인터컨티넨탈 호텔 그룹
너는 예약된 방들 중 하나를 노크하곤 했다. 누군가 전화를 받으 (Interconti nental Hotel G~oup)을 비롯한 일부 주요 호텔 제인과 계약
면 가능한 다른 방으로 이동했다. 그렇지 않다면, 그들은 자물쇠 율 맺어 쥐약한 자물쇠를 완전히 교제하는 비용의 전부 또는 일
를 해킹할 것이다. 투숙객의 소지풍을 모두 가지고 떠나기 전, 캐 부를 중당했다. 호텔 보험 회사인 페트라 리스크 매니지먼트(Petra
샤트는 목록에 있는 다른 예약한 방에 전화를 걸어 비어 있는 객 Risk Management)는 가족이 운영하는 소규모 호텔 프랜차이즈 중
실을찾아그다음방으로침입했다. . 일부가 여전히 오니티 잠금 쥐약점에 대해 알지 못했을 수 있으
수많은 절도후, 캐사트온 문제에 봉작했다. 오니티는 호텔 고 므로 오늘날에도 오래된 결함이 있는 잠금을 사용하고 있을 수
객들에게 무료 수정을 배포하기 시작했다. 수정 사항은 전제 리콜 있다고밝혔다. ‘
4장 정보보안 -131
,
신원도용
신원 도용identity 由eftn?:- 의도적으로 타인의 신원 정보를 이용해 자신의 신원을 위장하는 것이다,
이는 일반적으로 도용대상의 금융정보에 접근하거나 범죄 누명을 씌우기 위해서 행해진다. 개인정
보를불법적으로습득하는기법의 예는다음과같다.
지적재산권짐혜
올의미한다.
기업기밀(trade seer라은 기업이 기밀로 유지중인 지적 결과물(보통 사업 계획)이며 공공 정보에
바랑하고 있지 않다. 예로는 기업 전략계획이 있다. 특허(patenth::" 발명이나 절차에 대해 전체 공개
를 대가로 한 20년간의 독점허가이다. 저작권(copyright>.e:- 지적재산의 생산자에게 생산자의 생애에
70년을 더한 기간 동안의 해당 지적재산에 대한 소유권을 부여하는 권리이다. 저작권자는 지적재
산을 복제하고자 하는 누구에게서나 요금을 거둘 수 있다. 이것이 미국 법률에 따른 정의라는 것
울 아는 것온 중요하다. 저작권과 특허에 대한 국제 표준화가 이루어지고 있지만, 전체적으로는 럽
댜 그러므로 미국과 다론 나라 사이에 불일치가 있다.
JT에 관련된 가장 혼한 지적재산권온 소프트웨어와 관련된 것이다. 미 연방 컴퓨터 소프트셉
어 저작권법(J万)k封온 컴퓨터 소프트웨어의 소스 코드와 오브젝트 코드뮬 보호하지만 법령엔 무엇
이 보호뮬 받을 수 있는지 정확히 언급되어 있지 않다. 예뮬 들어서 저작권법은 비슷한 개념, 기눙,
그리고 일반적인 특징, 예컨대 풀다운 메뉴나 색상, 아이콘 둥에 대해선 보호뮬 해주지 않는다. ?
러나 친구의 컴船1에 설치하기 위하여 친구에게 디스크뮬 주는 것을 포함하여 저작권자에케 dl
경영정보시스템
--132-
I 4
r
용의 지불 없이 소프트웨어를 복제하는 행위는 저작권법 위반이다. 당연하게도 이 행위, 죽 불법복
f 제(pi『acy)는 소프트웨어 판매자에게 큰 문재이다. BSA(www.bsa.org) 글로벌 불법복제 연구에 의하면
무웨어 절도의 상업적 가치는 연간 합계하여 수십억 달러에 이른다고 한다.
소프트웨어공격
E 소프트웨어공격유형
I 유형 설명 |
(1) 사용자 행위를 필요르 하는 원격 공격들 :
.,'-,'.-
바이러스(virus) 타 프로그램에 삽입되어 악의적인 결과를 내는 컴퓨터 코드
사용
스피어피싱 피싱이 대증을 상대로 실시되는 한편 스피어 피싱은 개인에 대한 인적 정보를 수집하여
합으로써 특정 개인에 대한 피싱 성공 가능성을 높이려고 한다.
4장 정보보안 -133-
대학 보안요원들은 캠퍼스 네트워크에서 이상한 활동을
감지하게 되어 학생을 체포했다. 학교
宁온 n>주소를 통해 그 활동에 사용된 컴퓨터를
확인했다. 문제의 학생이 가지고 있던 컴퓨터어
서 대학당국은 계획을 상세히 기록하고 있는 파워
포인트를 발견했다. 대학당국은 또한 그 학생의
컴퓨터에서 `선거 조작방법꽈 ‘키로거 수감시간과 같은
내용을 담고 있는 조사 자료를 발견했다.
대학이 계획을 세우지마자 학생온 곤란한 상황에
서 빠져나오기 위하여 해킹을 시도했다. 그는
실제 다른 학생이름으로 페이스북에 새로운 계정
을 계설하고 비난에서 벗어나기 위해 계정 사이에
가짜 대화를 시도하였다. 그러한 행동으로 1년형
을 선고받게 되었고, 학생이 유죄를 인정하고 집행
유예를 요청한 후에도 판사는 형을 부과했
다.
매일 더 많은 종류의 소프트웨어 공격이 발생하고
있다. 특히 위험한 두 가지 공격은 랜섬웨어
와 웨일링(Whaling) 공격이다. 이 두 공격 모두 스피
어 피싱의 일종을 사용한다. IT와 기업사례 4.2어
凶
보듯이, 웨일링 공격은 매우 빠르게 큰 문제
가 되었다.
__
L
"‘ -
옐
경영정락떄
’
CFO(최고 재무 책임자)를 대상으로 하고 25% 가 HR 전자메일 받은 스냅쳇 2016년 조, 소셜 미디어 앱 스냅챗(www. snapchat.com)
편지함율 대상으로 하기 때문에 재무, 급여 및 인사 부서에서 웨 은 성공적인 웨일링 공격의 회생자였다. 한 사이버 범죄자가 스냅
일링 공격에 대해 경계하는 것이 특히 중요하다. 챗 대표를 사칭해 직원 급여 정보를 공개하도록 속은 다른 고위직
불행히도 웨일링 공격의 예는 많다. 여기서는 이러한 공격 중 직원에게 이메일율 보냈다.
다섯가지를살펴본다.
씨게이트. 2016 년 3월, 저장 회사인 씨게이트(www.seagate.
다크호뺄 그를. 2007년부터 활동해온 다크호텔 그룹(Darkhotel com)의 한 임원은 전현직 직원들에게 W-2 양식율 요청하는 포경
Group)은 고위급 비즈니스 여행객율 대상으로 한 사이버 범죄로 이메일에 자신도 모르게 답장율 보냈다. 이 사건으로 시게이트의
알려져 있다. 사이버 범죄자들은 전통적으로 지식재산권이나 소 전현직 직원 1 만여명에 대한 소득세 데이터가 위반되어 소득세
스 코드와 같은 민감한 회사 정보에 접근할 수 있는 CEO, 개발자, 환급 사기 등 신분 도용에 쥐약해졌다.
기업 연구원과 같은 고위 비즈니스 사용자를 대상으로 삼았다.
FACC 오퍼레이션스 GmbH. FACC 오퍼레이션스
이 단제는 선별된 피해자들에게 악성코드를 전달하기 위해 호텔
GmbH(FACC Opera tions GmbH; ww.facc.com/en)는 주요 항공기 제
와이파이(wi-fi) 핫스팟올 손상시켰다. 핫스팟율 손상시키는 정확
조업제를 위한 예비 부품을 생산하는 오스트리아의 회사이다.
한 방법은 아직 불확실하지만 사이버 보안 전문가들은 공격자가
2016년 1 월, 이 회사는 웨일링 공격의 희생자가 되었다고 밝혔
서버 소프트웨어의 쥐약점을 원격으로 이용하거나 호텔 서버에
다. 이 손실로 인해 제조사의 이익은 1 년 동안 모두 사라졌고 주
물리적으로 접근하기 위해 호텔에 짐투한 것으로보고 있다.
가가 즉시 17% 하락했댜 그 공격에 대응하여, FACC는 CEO와
이 단제는 지속적으로 전술율 발전시켜 왔으며 기업 연구개
CFO를해고했다.
발 인력, CEO 및 기타 기업 고위 관계자들에게 스파이 활동율 하
불행하게도, 이러한 공격은 계속 성공하고 있다. 2013년 이
기 위해 포경 및 사회공학 기술율 악성코드에 통합해 왔다. 2017
후 전 세계 거의 8만 개 회사의 임원들이 웨일링 공격의 성공으로
년 가율, 다크호텔은 정지적 목표를 공격하기 위해 이넥스마르
120억 달러 이상율사기꾼들에게 잘못보냈다.
(lnexsmar)라는 새로운 형태의 악성 프로그램을 사용하여 전략을
줄저: Compiled from D. Disparte. "Whal ing Wars: A S12 Billion Fi nancial
다시 변경했다. 보안 분석가들은 누가 이번 선거운동의 표적이 되
Dragnet Targeti ng CFOs," Forbes, December 6, 2018: L. Irwin, "Whal ing
고 있는지 확신하지 못하고 있다. Attacks Increased by 200% in 2017," IT Governance, March 8, 2018; E. Ben-
Meir, "New Whal ing and Phish ing Techniques Include Weaponisi ng Google
다크호텔의 공격은 목표물율 홍미롭고 설득하기 위해 개별적 Docs," scmagazineuk.com, Februa ry 2, 2018; M. Phillips, "Extreme Ph ishing:
으로 고안된 고급 웨일링 이메일에서 시작된다. 이 공격의 사회공 Cybercrooks Take Scams to the Next Level," /ntheB/ack, January 18, 2018; N.
Giandomen ico, "What Is a Whaling Attack? Defining and Identifying Whafing
학적인 부분은 한 번에 한 사람을 목표로 한 매우 세심하게 조작 Attacks," Digital Guardian, July 27, 2017; C. Smith, • Hackers Are Targeting
된 웨일링 이메일을 포함한다 Hotel Wi-Fi with Parti cularly Evil Malware," BGR.com, July 23, 2017; P. Paganini.
"DarkHotel APT Group Leverages New Methods to Target Politicians,· Security
웨일링 이메일은 악성코드를 포함하고 있댜 이 악성코드 A ffairs, Jul y 21, 2017; C. Cimpanu, "New Version of DarkHotel Malware
는 피해자의 의심율 불러일으키지 않기 위해 .2016년 9월 RC- Spotted Going after Political Fig ures," 8/eepingCompu ter, July 21, 2017; D.
Palmer, "Hackers Are Using Hotel Wi-Fi to Spy on Guests. Steal Data.· ZDNet.
Office_Coordi nation_Association.docx·라는 신중하게 조 July 20, 2017; "DarkHotel 2.0: lnexsmar Attack Targets Politicians vi a Target-
Specific Phish ing Emails," The Inquirer, July 19, 2017; E. Kovacs, "DarkHotel
작된 유인 워드 문서를 연다. 이 문서에는 FAO, UNDP, UNICEF,
APT Uses New Methods to Target Politicians," SecuriryWeek, July 19, 2017;
WFP와 같은 단제와 함께 북한에서 접족할 것으로 주정되는 사 "Two Major U.S. Technology Firms 'Tricked Ou t of SlOOM,'" BBCNews, March
22, 2017; P. Gil, "W園 lsW園ing? (Phishing Attack)" LtfeW1re, March 22, 2017;
람들의 목록이 나와 있다. 이 운서에는 스팸 발송자에 대한 경고 T. R函e, "CEO Sacked after Airc『aft Company Grounded byWha ling Attack. •
도 포함되어 있어 보다 합법적으로 보이도록 하기 위해서이다. SC Magazine, May 27, 2016; L. Kel ion, "DarkHotel Hackers Target Company
Bosses in Hot el Rooms," BBC, November 11, 2014; K. Ze tter. "DarkHo tel:
A Sophisticated New Hacking Attack Targets H1 gh-Prof1le Gues ts.· W,red,
구글과뻬이스북. 2017년 조, 구글과페이스북이 웨일링 공격
November 10, 2014; D. Goodin, "DarkHotel Uses Bogus Crypto Cer t1f1cates to
율 통해 1 억 달러를 잃었다는 것율 보도되었다. 리투아니아 사이 Snare Wi-Fi-Connec ted Execs," Ars Technica, November 10, 2014; and "The
DarkHotel APT: A Slory of Unusual Hospitality," Kaspersky Lab, November 10,
버 범죄자가 두 기술 회사의 작원들을 속여 자신의 통제 하에 있는 2014.
은행 계좌로 돈율 송금하게 했다. 그는 라트비아에 아시아계 컵퓨
터 하드웨어 제조업제와 같은 이름을 가진 회사를 등록했고, 여러 질문
은행에 이 회사 명의로 다양한 계좌를 개설한 것으로 알려졌다. 그 1. 피싱, 스피어 피싱, 웨일링 공격의 자이점은 무엇인가? 답변
리고 나서 그는 구글과 패이스북 직원들에게 아시아 회사의 직원 율 지지할 수 있는 구제적인 예를 제시해보자.
들과 에이전트들로부터 온 것으로 주정되는 사기성 이메일올 보냈 2. 웨일링 공격율 방어하기 위에 단제들은 어떤 조지를 쥐해야
다. 직원들온 정기적으로 가짜 회사와 수백만 달러의 거래를 했다. 하는가? 웨일링 공격에 대한 방어수단이 피싱과 스피어 피싱
미 법무부는 범인이 죄소 2013년부터 2015년까지 두 회사를 모 공격에 대한 방어수단과 다른가? 만약 그렇다면, 그들은 어
두 속였다고 밝혔다. 그는 결국 2017년 3월 리투아니아에서 제포 떻게다른가?
되었다. 그두 회사는 훔진 돈의 많은 부분을 가까스로 되잦았다.
4장 정보보안 - 135 -
후도 안 되는 것으로 추산하고 있다. 보안
분석가들은 랜섭웨어로 인해 피해를 본 기업
이상기 몸값을 지불한다는 전에 주목하고 의 절반
있다. 임원 중 S챗마 중요한 파일을 복구하기
을 지불했다고 보고하고 있다. 한 병원은 위해 몸값
데이터가 완전히 백업되었음에도 불구하고
값을
임원들이 몸
지불했기 때문에 조금 다른 입장을
보였다.
2018년 1월 11일 인디애나주에 있는 핸콕
지역 병원은 그들의 컴퓨터가 샘 랜섬웨어
것을 발견했다. 병원이 삼삼 암호화 데이 에 감염된
터를 모두 백업했음에도 임원들은 4비트코
S-OJ- 5,000달러澄 지급하기로 했다 인 몸값(당시 악
. 핸콕의 CE야즌 그들이 가능한 한 빨리
그들의 시스템을 회복하
고 환자들을 다른 병원으로 우회시키는 것을 피하기를
원했다고 진술하였다.
공격 방법. 랜섬웨어 공격의 가장 혼한 방법온 스피
어 피싱이다. 직원들은 매일 수백 통의
을 수신히며, 그들의 역할 중 많은 이메일
부분이 첨부 파일을 다운로드하고
열도록 요구한다. 그래서 많
온 칙원들이 자동으로그렇게 한다. 알려지지 않은 발신자의
첨부 파일을 열어보려는 직원들의
지가 사이버 범최자들이 랜섬웨어 의
캠페인을 성공적으로 운영할 수 있도
록 하고 있다. 사이버 범죄
자들은 금융 보너 스 재공 가짜 온라인 구매 영수
중 예비 직원들의 입사 지원서
동 다양한 함정을
사용히여 목표물이 랜섬웨어
이메일을 열도록 장려한다. 스피
어 피싱 이메일은 최대한 설득
보이 도록 세심하게 맞춤 제작되어 력 있게
피해자가 받을 수 있는 다른 이메
일과 다룰 바 없어 보인다.
랜섬웨어는 안드로이드 모바
일 기기, 애플 컴퓨터, 윈도우
기반 개인용 컴퓨터를 공격할
다. 사실, 인터넷에 연결된 어떤 수있
장치도 랜섬웨어의 잠재적인
목표이다. 랜섬웨어는 이미
레비전을감염시켰 스마트 텔
다.
사물인터넷 기기는 이미 보안
에 대한 평판이 좋지 않다. 탑재
되는 기기가 늘어나면서 사이
범죄자가 공략할 수 있는 새로 버
운 기기를 수십억대 제공한다.
그 결과 해커들이 연결된 집이
된 자동차를 인질 나 연결
로 잡을 수 있다. 심지어 해커들이
의료기기를 감염시켜 생명을 직접
에 빠뜨릴 수 있는 가능성도 적으로 위험
있다.
랜섬웨어 뒤에 있는 범죄자들이
정기적으로 탐지되지 않도록 코드
를 변경하기 때문에 랜섬웨
어는 계속해서 진화하고 있다. 그들
의 업데이트에서, 그들은 여러 언어
로 몸값을 요구할 수 있는눙
력을 포함한 새로운 기능을 추가하여
범죄자들이 전 세계의 희생자들을 더
뿌록 돕는가. 어떤 종류의 랜섬웨어 쉽게 목표로 삼을 수
는 희생자들이 그들의 파일을 식별하기
파일이름을뒤섞는다. 더 어렵게 하기 약세
조
`T·
"‘- 경영결다젝
?戶 國圖
」
일부 사이버 범죄자들온 암호화된 데이터를 삭제하겠다고 위협하기보다는 대중에게 공개하겠
다고 위협하기 시작하고 있는데, 이는 신상털기 (doxxing라고 알려진 전략이다. 금융 서비스, 병원 및
로펌과 같이 개인적이고 민감한 고객 데이터를 다투는 조칙에게 이러한 공격은 심각한 결과를 초
래할 수 있다. 브랜드 평판에 미치는 영향뿐만 아니라 HIPAA(Health Information Portability and Accountability
표와 같은 규정에는 고객 알림 및 수십만 달러에 달하는 기타 활동이 필요하다다. 다른 산업 부
~l 비해 개인 건강 정보는 다크웹의 금융 정보보다 50배 이상 가치가 높댜
랜섭웨어의 비용. 조칙의 규모에 상관없이 시간은 돈이다. 따라서 맬웨어로 인해 네트워크와 데
이터를 사용할 수 없는 시간이 길어질수록 조직에 더 많은 비용이 든댜 랜섭웨어는 대부분의 피
해자들을 최소 1주일 동안 오프라인 상태로 만들고, 일부 조직들은 몇 달 동안 오프라인 상태를
유지한다.
나이
• 아마도 가장 중요한 것은 사용자들이 스피어 피싱 공격을 인지하고 의심스러운 이메일이
메일의 링크롤 클릭하지 않도록 모든 조직이 교육과 훈련을 제공하는 것이 필수적이댜-
실수를
• 이러한 인식을 제공하기 위해 일부 조직에서는 직원들이 안전한 환경에서 운영하면서
터 배울 수 있도록 지원하고 있다. 한 회사는 직원들이 일련의 사건에 대한 결정을 내린 다
음 언순기 끝날 때 이러한 결정의 결과를 알 수 있는 대화형 비디오 경험을 개발했다. 이 과정
온그들이 실제적인 결과를 겪지 않고 실수로부터 배울 수 있게 해준다.
• 최신 버전의 소프트웨어를 설치하고 해당 소프트웨어가 죽시 패치되었는지 확인하라.
스토
• 조칙에서는 중요한 데이터와 정보를 지주 백업해야 하며, 특히 암호화된 클라우드 기반
한다. 예를
病 회샤+ 완牧 백업 서비스를 통해 운영 체제와 데이터의 복사본을 만들어야
온라인 백업
들거 이이드라이브..(iDrive; www.idrive.com), 크래시플랜(CrashPlan; www.crash plan.com), SOS
(www.sosonlinebackup.com) 및 카:!iLl-0 1트(carbonite; www.carbonite.com)7} 있다. 중요: 백업 데이터 저장
외부소프트웨어
경영정보시스템
온 광고윤 큘릭하게 된다. 이는 인터넷 광고업개에서 대단히 높은 정공윤이다.
138- i
IT와기업사례 4.3 강력한 공격이었다. 깃허브는 탐지 시스템이 자사의 디도스 완화
4장 정보보안 • • • • 139 -
스파이웨어(spyware)는 사용자의 동의 없이 개인정보믈 수집하고 송신하는 프로그램으로 키로
거와 화면캡처 장치가 있다.
키로거(keylogger)라 불리는 'I<eysti"Oke Logger’는 키보드에 입력되는 문자열과 인터넷 검색 히스
토리를 기록한다. 이 프로그램의 목적은 범죄성(비밀번호 및 신용카드 번호 둥의 민감한 정보의 절
묘에서부터 짜증 유발성(인터넷 검색 히스토리를 통한 개인 특화 광고)까지 다양하다.
기업들은 키로거에 대항하기 위해 신원 확인에 다른 입력장치를 동원하였다. 예를 들어 여러
분 모두 한 번쯤은 이상하게 뒤틀린 문자열을 읽고 이를 빈칸에 입력하는 보안 절차를 겪어 보았
올 것이다. 이는 'CAPTCHA’라고 하며, 컴퓨터 프로그램이 (아직까지는) 이해할 수 없는 뒤틀린 문
자를 이해함으로써 자신이 스패머 둥의 제쪼}가 운영하는 소프트웨어가 아니라 사람임을 중명하
는 시험이다. 이에 대응하여 공격자들은 화면캡처 프로그램을 사용한다. 이 프로그램은 키보드 입
력만 기록하는 것이 아니라 화면을 영상으로 캡처하여 공격자에게 발송한다.
스팸웨어(spamware)는 사용자의 컴퓨터를 스패밍 기반으로 악용하기 위한 외부 소프트웨어이
다. 스댑(spam)은 원하지 않는 이메일로 주로 제품이나 서비스의 광고를 위해 동원된다. 이러한 방
법에 여러분의 컴퓨터가 사용된 경우 수신자에겐 스팸메일의 송신자가 여러분으로 표기된다. 심지
어 여러분의 이메일 주소록에 있는 모든 계정에게 해당 스팸메일이 발신될 것이다.
스팸온 짜증의 원인일 뿐만 아니라 시간과 돈의 낭비이기도 하다. 스팸은 미국 기업들에게 매
년 2백억 달러의 지출의 원인이다. 이 비용은 생산성 감소, ·이메일시스템 마비, 추가 저장 용량 사
용자 지원, 그리고 스팸 방지 소프트웨어 둥으로 발생한다. 스팸은 또한 바이러스와 웜을 옮길 수
있어 위험성이 더 커져 간다.
쿠키(cookies)는 웹 사이트에서 사용자의 컵퓨터에 임시 혹온 비영구적으로 저장되는 작은 크기
의 정보이다. 많은 경우 쿠키는 유용하며 악의가 없다. 예를 들어서 몇몇 쿠키는 한 웹 사이트에 집
속 중 계속 ID와 비밀번호를 반복적으로 칠 필요가 없도록 해당 정보를 저장한다. 또한 쿠키는 많
은 인터넷 몰어因 장바구니 정보를 저장하는데 쓰이기 때문에 온라인 쇼핑에 필수적이다.
그러나 추적쿠키는 다르댜 이 쿠키는 사용자가 웹 사이트를 통과하면서 지나온 경로, 보낸 시
간 방러한 링크, 그리고 그외 여러 정보를 기록한다. 이는 주로 기업에서 광고 목적으로 사용한다.
추적쿠키는 위 정보를 이름, 구입정보, 신용카드 정보, 그리고 다른 신상정보와 조합하여 사용자의
뀝행태에 대한 프라이버시 침범에 해당하는 자세한 프로필을 작성할 수 있게 한댜
대부분의 쿠키는 쿠키를 작성한 사람만 읽을 수 있다. 하지만 온라인 배너 광고를 운영하는 몇
몇 기업온 사실상 쿠키를 공유하는 모임이다. 이들 기업은 어떤 페이지를 열었으며 어떤 광고를 클
릭했는지에 대한 사용자 정보를 추적할 수 있다• 그 뒤 이들온 몇 천 개가 될지 모르는 다른 고객
웹 사이트에 이 정보를 재공한다.
SCADA 공격
. - 140 - 경영정타|스댑
l
도 하수도 처리 시설, 전기발전기, 그리고 핵분열 발전소 동이 있다.
SCADA시스템은 수많은 센서와 중앙제어컵퓨터 그리고 동신 안프라로 구성되어 있다. 센서들
은 실제 장비에 연결되어 있다. 이들은 여러 변수, 예를 들어 밸브 개패 여부, 압력, 흐름, 전압, 전류
동을 관측한다. 그리고 연결된 장비에 신호률 보냄으로써 센서는 해당 장비를 통제한다. 죽 밸브를
여닫거나 펌프의 속도를 조절하는 것이다. 센서들은 모두 네트워크로 연결되어 있으며 각 센서는
일반적으로 인터넷 주소를 가지고 있다(IP 주소는 @k에서 논의된다). 만약 공격자가 이 네트워크
에 침입하게 되면 넓은 범위에 걸쳐 전력을 끊거나 커다란 화학 공장이나 핵발전소의 작동을 방해
繼 것과 같은 중요한 손상을 일으킨다. 그러한 행동은 치명적인 결과를 초래할 수 있다.
한 예로 2017\빈 8월 사우디아라비아의 석유화학공장에 SCADA 공격이 있었다. 보안 전문가들
온 이번 공격이 시설에 폭발을 일으키기 위한 의도였다고 판단했다.
공격자들은 발전소의 안전 시스템을 장악하기 위해 트리톤이라고 불리는 정교한 악성코드를
사용했다. 이러한 물리적 제어기 및 관련 소프트웨어는 위험한 조건을 감지하여 프로세스를 안전
한 수준으로 되돌리거나 차단 밸브 및 압력 방출 메커니즘을 통해 프로세스를 종료할 경우 활성
화되도록 설계되었다. 공격자의 컴퓨터 코드에 오류가 있어서 이 공격이 실패했다.
약 1년 후, 공격자들온 또 다른 공격을 개시하기 위해 트리톤 소프트웨어를 사용했다. 이번에
,.--- ---...
공격자들은 사우디 아라비아 공장의 또 다른 안전 시스템에 접근할 수 있게 되었다. 2019년 7월, 공
격에 대한 자세한 내용은 공개되지 않았지만 보안 분석가들은 이 발전소에 물리적 손상이 있었을
수있다고생각한다.
보안 전문가들은 이러한 공격으로부터 많은 것을 배웠다. 기본적으로 개별 공격자와 지원 국
가는 2019년 7월 현재 알려지지 않았지만 공격자가 정부의 지원을 받고 있음을 나타내는 정교한
수준을보여준다.
본질적으로, 그 공격은 사우디 아라비아에 대한 전쟁 행위이다. 미국 외교관계위원회의 중동전
략 전문가는 이번 공격이 두자자들이 사우디 아라비아에 관여하는 것을 단념시키기 위한 시도일
가능성이 높다고 말했다.
사이버 테러와사이버 전쟁
샤뻐 테리(cyberterrorism까 사이버 전쟁(cyberwarfare,,g. 종종 정치적인 목적을 위하여 특히 인터넷
올 통해 물리적이고 가시적인 피해나 심각한 혼란을 초래하기 위하여 공격자가 대상(목표)의 컴퓨
터 시스템을 사용하는 악의적인 행동이다. 미국정부는 2015년 초에 일어난, 그렇지만 중명되지 않
는 소니 해킹온 북한에 의해 저질러진 사이버 전쟁의 일례로 간주하고 있다. 이 활동은 데이터 수
집에서부터 중요한 인프라스트럭처를 공격하기(예: SCADA시스템을 경유한 공격)7J}지 다양하다. 비
록 사이버 테러가 전형적으로 개인이나 그룹에 의해 수행되고 반면에 사이버 전쟁은 국가에 의해
수행되지만 여기서는 두 가지 유형의 공격을 유사한 것으로 간주한다.
4장 정보보안 • • • • 1"
===굽- l|I . ―거
1. 컴퓨팅 장치의 도난이 시간이 지남에 따라 더욱 십각해지는 이유는 무엇인가?
2. 세 가지 유형의 소프트웨어 공격율 설명해보자.
3. 외부 소프트웨어를 정의하고 왜 심각한 문제인가를 설명해보자.
4. SCADA시스템올 설명하고 SCADA시스템에 대한 공격이 왜 파국적인 결과를 가질 수 있는가?
,
_-i一.-
겅영정보시스뎀
142-
I
’'
鬱
I
운영되었다. 웹 사이트 방문자들은 비트코인과 같은 디지털 화패률 사용하여 지불했다.
-Wuu'_
• 2017년 7월, 러시아인 마크 바르타냔Mark Vartanyan)은 컵퓨터 사기 협의로 유죄률 인정한 후 미
J
국 지방법원에서 징역 5년을 선고받았다. 온라인 핸들이 콜립토였던 바르타냔온 전 세개 1,100
E 만 대의 컴퓨터를 감염시켜 수백만 달러를 훔치는 데 사용된 시타델 악성코드를 개발, 개선, 유
지하는 데 도움을 준 것으로 추정된다.
위협의 영향을 규명하고, 통제하며 최소화하는 것이다. 다른 말로 리스크 관리는 리스크를 허용가
능한 수준으로 줄이는 것이다. 리스크 관리는 리스크 분석, 리스트 완화, 그리고 제어평가라는 세
가지 프로세스로 구성된다.
조직은 조직의 정보시스템 보안 프로그램이 비용대비 효과적인가를 보장하기 위하여 리스크
관리를 수행한다. 리스크 분석(risk analysis~ 다음 3단계로 이루어진다. (1) 보호되는 자사의 가치를
평가하고, (2) 자산이 손상될 확률을 추정하고, (3) 손상된 자산의 비용과 그 자산의 보호비용을
비교하는 것이다. 그때 조직은 리스크를 어떻게 중화시킬 것인가를 고려한다.
랴프 완화"sic mitigation)에서 기업은 리스크에 대해 실질적인 대옹을 한다. 리스크 완화는 두
가지 기능을 가진다. (1) 발견, 확인된 위협이 실제 발생하지 않도록 하는 제어 방책의 설치, (2) 위협
이 실현될 경우 복구를 위한 수단의 입수가 그것이다. 기업이 적용할 수 있는 리스트 완화 전략엔
여러 종류가 있다. 가장 혼한 세 전략은 리스크 인정, 리스크 제한, 그리고 리스크 전가가 있다.
l확인하고 넘어가기 一」
1. 정보자원을 보호하기 몇 가지 어려운 이유를 설명해보자.
2. 리스크 관리와 리스크 분석을 비교하고 대조해보자.
4.5 정보보안통재
정보 자산을 보호하기 위해 기업은 통제(controls遷· 적용한다. 통제는 다른 말로 방어 메커니즘 또
는 대응책이라고도 한다. 보안 통제는 정보시스템의 모든 요소, 예컨대 데이터, 소프트웨어, 하드웨
어, 그리고 네트워크를 보호한다. 위협이 너무나도 다양하기에 기업은 통제를 여러 충으로 준비하
여 겉겹의 방어를 구축한다.
통제는 사고에 의한 피해를 줄이고 고의적 피해를 막으며 문제 발생 시 최대한 빨리 발견하고
피해 복구를 촉진하고 약점을 보수하는 것이 목적이다. 통제에 대해 자세히 들어가기 전에 사용자
교육 및 훈련이 그 어떤 방책보다 효과적임을 강조한다. 효과적이고 지속적인 교육은 정보보안의
치명적인 중요성을 조직 구성원 모두가 인식하게 만드는 것이다.
이 절에서는 물리적 통제, 접속 통제, 통신 제어라는 세 가지 주요 통제유형을 학습하게 될 것
이다. 그림 4.2는 이들 통제를 예시하고 있다. 통제 적용과 함께 조직온 재앙이 있을 시 기업 지속
성을 위한 계획을 세우며, 잠재적 위협을 감지하기 위해 정보 자원에 대해 정기적 감사를 단행한
다. 이들 주제에 대해서도 이 절에서 학습하게 된다.
물리적통재
街니적 통제(physical controlsX::" 허가 없이 제쪼}가 기업 건물 내부로 들어오는 것을 막는다. 일반적
인 물리적 방책으론 벽, 문, 울타리, 외부 출입구 자물쇠, 출입중 경비원, 그리고 침입자 경계시스텐
흥1 있다. 더 세련된 물리적 방책으론 압력 감지기, 온도 감지기, 움직입 감지기 동이 있다. 물리져
방책의 단점온 직원에게 대단히 불편하다는 것이다•
경비원의 업무는 최소 두 가지 이유로 대단히 어렵다. 첫째, 그듈의 일상 업무는 지무하고 반복
적이며, 일반적으로 급여가 좋지 않다. 둘째, 입을 옅십히 합 경우 다른 직원들이 이들을 괴롭힌다.
이는 성실한 보안점차 수행에 따라 직원돕의 건물 출입이 느려질 경우 특히 그라하다•
기업온 이 외에도 다븐 난리적 보안 고려사항옵 생각해야 한다. 이리한 보안방책은 사용자들
이 허용된 로그인 시간 및 장소에서먄 네트위크에 접속합 수 있도록 한다. 또한 로그인 실패 시 재
시도 횟수게도 제한윤 접고, 모든 직원표이 뵈근합 때 네트워크로부터 로그아웃하도록 강재한다.
~
"4 • • • 경영정.!V-1스템
广二二:며
g판‘i
f훌~
巨四四 방어 메커니즘의 위지
물리적퉁재
一\
i『
*---
...
방화벽
E--느죠=국
〉i::축늘봅
= `·덕i._=fi;· lD시스템 Dos 보호
원거리의 암호화 짐입감지시스템
직원혹은 접근암호 안티바이러스
공격자
접근통재 통신재어
접근통제
이러한 방책
접근 틍제(access controls)는 허가 없이 제3자가 정보 자원을 사용하는 것을 막는다.
)은 접속하려
은 두 주요 기능을 담으며 이는 신원 확인과 권한 부여이다. 신원 확인(authentication
권한 부여
는 사용자가 허가를 받은 자인지 확인한다. 신원이 확인된 뒤 다음 단계가 진행된다.
기업은
(authorization)는 확인된 사용자의 허가에 알맞게 행동 허가, 권리, 그리고 특권을 부여한다.
사용자의
신원 확인에 여러 수단을 동원할 수 있다. 이런 수단엔 사용자의 특징, 사용자의 소지품
행동 그리고 사용자의 지식이 포함된다. 이를 더 자세히 살펴보자.
신원 확인. 인가를 받온 사람의 신원을 확인하기 위하여 조직은 다음의 방법들 중에서 하나 이
실행하는
상의 방법을 사용할 수 있다. 사용자가 무엇이며 사용자가 가지고 있는 것과 사용자가
것 그리고 사용자가 알고 있는 것이다.
측정하
생체인식(biometric)이라고도 불리는 자용자가 무엇’은 대상자의 타고난 물리적 특징을
있
는 신원 확인 방법이다. 일반적인 생체인식엔 지문 손바닥지문, 망막, 홍채, 그리고 안면 인식이
다. 이중에선 지邑 망막, 홍채 인식이 가장 확실한 인식 수단이다.
4장 정보보안 • • • • 145
裁공적인 생체인층 방식은 사용자가 말하기, 스캐너 가까이 손가락이나 눈을 갖다 대는 등의 조
치를 취해 검증 과정에 물리적으로 참여해야 한다. 이 방법은 생체 인식 시스템에 둥록해야 한다.
활성 생체 인식의 예로는 음성 인식, 안면 인식, 지문 스캔, 망막 스캔, 홍채 스캔 둥이 있다. DNA
분석과 걸음걸이 인식을 포함한 새로운 활성 방법이 둥장하고 있다.
따인 생체인층 방식은 적극적인 참여 없이도 사람을 식별할 수 있다. 수동적 생체 인식의
예로는 음성 인식과 행동 식별이 있다. 예를 들어 고객이 은행에 전화를 걸면 계좌번호나 비밀번호
를 묻는 대신 은행 에이전트는 “오늘 무엇을 도와드릴까요“라고만 묻는다. 배경에서·시스템은 고객
에게 듣고、 그 혹은 그녀의 목소리를 파일의 음성 인쇄물과 비교한다. 또한 모바일 뱅킹 애플리케이
션은 터이핑, 스위핑 패턴, 지리적 위치 둥과 같은 사용자 행동을 추적하여 지속적인 인중올 제공
할수있다.
생체 인식의 사용이 중가하는 홍미로운 예들이 있다. 예를 들어 1T와 기업사례 3.4 및 다음을
참조하라.
여줄수있다.
。 E四미 베이징의 한 기차역은 승객들의 얼굴올 스캔함으로써 승객들의 표를 정부에서 발
급한 신분중과 일치시킨다. 그들의 얼굴이 신분중 사진과 일치하면, 시스템은 그들의 티켓
을 검증하고 역 게이트가 열린다.
0 항저우의 지하철 시스템은 범죄 용의자를 찾기 위해 얼굴을 인식할 수 있는 감시 카메라
률 사용한다. 사람들이 사진으로 시스템을 속이는 것을 피하기 위해 Face++ 앱온 사용자
가 말하거나 머리를 움직여야 하는 쟁존성 테스트틀 수행한다.
0 중국의 많은 경찰서는 법죄자들을 추적하기 위해 페이스++률 사용하고 있다. 2018년 중국
남동부에서는 팝 콘서트에 참석한 5만 명의 군중 속에서 안면인식 기술이 그의 신원을 확
인하는 데 도움을 주자 경찰이 탄주법을 체포했다.
o 중국온 소선미디어 픕랫폼에 사용자의 게시몹욥 허용하기 전에 신원을 확인할 것을 요구
하고 있으며, 많온 픕랫폼듈이 이뮬 위해 패이스++뮬 구축하고 있다.
1146-
경영정보시스템
j/
--
• mli미 2018년 3월, 루프트한자는 로스앤젤레스 국제공항에서 생체 인식 탑승 시스템을 테스
트했다. 이 항공사의 시스템은 얼굴 인식 카메라가 내장된 셀프 탑승 게이트를 사용했는데, 이
게이트는 이미지를 세관 및 국경 순찰 데이터베이스와 실시간으로 상호 참조했다. 루프트한자
는 생체인식 시스템을 통해 탑승권이나 여권을 보여주지 않아도 되는 350명의 승객을 2야간 만
에 A380 항공기에 탑승할 수 있었다.
• 匡떼 보안 요원들이 은행 지점에서 활동을 지켜보고 있었다. 생체인식센서는 계좌개설을 위
해 들어온 신규 고객들의 특이한 심장박동과 체온 패턴을 감지했다. 이 ‘고객들은 며칠 전 다
른 나라에서 온 배에 인적 화물로 미국에 입국한 것으로 밝혀졌다. 범죄조직이 금융사기를 조
직하기 위해 그들을 이용하고 있었다. 이 센서는 스트레스 징후를 감지하여 은행 직원들에게
사기 미수에 대해 경고하였다.
'l 급한가. 첫째, 그것들온 쉽게 도난당하거나 해킹당해서 쉽게 잊혀진다. 둘째, 보안은 매우 허술하고
동시에 끔찍한 고객경험을 제공한다.
공격자는 비밀번호가 아무리 강력해도 우리의 비밀번호를 얻기 위해 다양한 전략을 사용한
I 4장 정보보안 • • • • 147
다. 그들은 그것들을 추측하거나, 훔치거나(피싱이나 스피어 피싱 공격으로), 무차별적인 계산을 통
해 그것들을 해킹하거나, 온라인에서 얻을 수 있다. 비밀번호와 관련된 이러한 문제들을 고려할 미,
사용자와 기업은 무엇을 해야 하는가?
인중된 사용자률 보다 효율적이고 효과적으로 식별하기 위해 조직은 멀티액터 인증이라고 일
려진 전략인 두 가지 이상의 인중 유형을 구현하고 있다. 이 시스템은 사용자가 원격지에서 로그인
할때특히중요하다.
어진 업계 컨소시엄이다.
FilX)의 기본 개념은 사람의 지문 홍채 스캔, USB 장치나 비접촉식 링의 고유 식별자와 같은
식별자가 인터넷을 통해 전송되지 않는다는 것이다. 오히려, 그것들은 현지에서 확인될 것이다. 인
터넷을 통해 전송되는 데이터는 사람의 신분을 도용할 수 있도록 역설계할 수 없는 암호키뿐이다.
생체 인식을 사용하는 보안 시스템의 예를 살펴보자.
. . . 148-
경영정보시스뎀
l
전반적인 껀뢰 점수에 기여한다. 그 프로그램은 사용자의 행동을 지속적으로 감시하기 위해
전화기의 센서를 사용하여 안드로이드 폰의 배경에서 실행될 것이다. 신뢰 점수가 특정 임계값
아래로 떨어지면 사용자에게 추가 인중을 제공하라는 메시지가 표시될 수 있다.
암호를 사용해야 하는 경우 해커가 발견하기 더 어려운 강력한 암호를 만들어야 한다. 하지만,
미국 국립표준기술연구소(NIST)의 전직 직원이자 그 표준을 처음 공표한 책임자인 빌 버(Bill Burr)에 따
르면, 우리가 암호의 강도를 결정하기 위해 사용하는 대부분의 표준들은 잘못되었다고 한다.
2017년 8월 인터뷰에서 버는 자신이 만든 많은 암호 규칙이 특별히 도움이 되지 않는다는 것
을 인정했다. 예를 들어 문자§ 숫자f 대문자 및 특수 문자를 사용하는 것은 유용하지 않으며 90일마
다 암호를 변경하는 것도 권장되지 않는다. 대신, 버는 길고 기억하기 쉬운 문구가 가장 가치 있다
고 주장했다. 구체적으로, 공백 없이 47~의 임의의 단어를 포함하는 비밀번호는 그의 이전 지침을
따르는 비밀번호보다 기억하기 쉽고 해독하기 어려울 것이다.
본질적으로, 버는 패스프레이즈(passphrase)의 사용을 권장한다. 암호 구문은 암호보다 길지만
외우기 쉬운 일련의 문자이다. 암호 구문의 예로는 ‘‘언제나 너와 함께 하길(maytheforcebewithyoualways)"
과 “이보다 더 좋을 순 없다(thisasgoodasitgets)“가 있다.
커뮤니케이션제어
커뮤니케이션 제어(communications controls)(네트워크 제어(network controls)로도 불린다)는 네트워크상
의 데이터의 이동을 통제한다. 커뮤니케이션 제어는 방화벽, 악성 프로그램 퇴치시스템, 화이트리스
트, 블랙리스트, 침입 감지시스템, 암호화, 가상사설땅VPN), 보안소켓계층(SSL), 그리고 취약성 관리시
4장 정보보안 - 149 -
됴 가정 PC
(a)
.-~
( 인터;)_,.--=-
\ :& 溫
(b)
경영정보Al스템
-150-
”
조직은 악성 소프트웨어 방지 시스템에만 의존해서는 안 된다. 그 이유는 새로운 유형의 악성
뚜가 너무 빠르게 나타나서 그러한 시스템이 보조물 맞추지 못하기 때문이다. 실재로 사이버보
안업체 맥아피(www.mcafee.com는 매초 4종의 새로운 악성코드가 나타난다고 보고하고 있다. 이 발
견은 다단계 인중의 중요성을 강조한다.
4장 정보보안
-151_
둘
공JH31
R,4
암호화작업 O 한나는 해리슨에게 암호화된 메시지를 보내려고 한다
한나는 메시지를 가지고 있다.
해리슨은 2개의 잠금키 상자(암호화 방법)와
잠금키 및 잠금 해제키를 가지고 있다.
메시지
L시지
i노`
I
장궁’l
。
. 1-1
-
-152-
겅영정보시스뎅
’
r
``기
_
O 소니가 엘에 인증 목적으로
전자인증서제시
巳¥m
'/ Jt상사설망과
터널링
인터넷
널
기업파트너의
조직의
인
· 인트라것
4장 정보보안 • • • • 153
1-.....
下떠 URL 주소는 'htt\)://가 아니라 'https://로 시작하는 것으로 표기되며 웹 브라우저의 상
태 막대에 작은 자물쇠로 표시된다. 자물쇠로 115의 사용을 표시하는 것은 과거 특정 웹 브라우저
의 유물이며, 여러 다른 브라우저는 다른 아이콘(예: 부러졌거나 부러지지 않은 열쇠虐― 사용한다.
- 1
보안 누출 원인인 직원 실수로부터 능동적으로 보호하려고 하고 있다. 여기에 사용되는 것이 바로
직원 갑시시스템(employee monito ri n g systems)이다. 이 시스템은 직원의 컴퓨터, 이메일 활동, 인터넷
서핑 둥을 감시한다. 이러한 제품은 개인적인 이유로 인터넷 서핑 시간이 지나치게 긴 직원이나 의
심스러운 사이트에 접속하는 직원, 음원을 불법적으로 다운로드 받는 직원 둥을 발견하는 데 큰
도움이 된다. 이런 소프트웨어를 판매하는 업체로는 베리아토(Veriato; www.veriato.com펴: 포스포인트
터Point; www.f아cepoint.com) 둥이 있다.
비즈니스연속성계획
- 1S4 - 경영정타1스뎅
정보시스템감사
이러한 질문은 독립적이고 객관적인 관찰자에 의해 답해질 필요가 있다. 이러한 관찰자는 정
보시스템 감사를 실시한다. IS 환경에서 감사(audit~ 정보시스템과 정보시스템의 입출력 및 연산의
검사를말한다.
4장 정보보안 - 155 -
\:.'ll?,!표.―=
1. 조직의정보보안통제중가장중요한것은무엇인가?
----,
2. 신원 학인과 권한 부여를 비교 설명해보자. 어느 것이 먼저 수행되는 절차인가?
3. 화이트리스트와 블랙리스트를 비교 대조해보자.
E四 회계관리 전공을 위한 정보기술 이터 보호에 실패시 심각한 PR 문제는 물론 고객의 분노, 다수의
법정 소송, 그리고 경쟁자로의 고객 유실을 유발한다. CRM 업무
회사와 회사의 회계사와 감사자는 상당한 정보보안책임을 가진
와 고객의 온라인 구매 습관의 주적은 수집된 데이터의 악용 (암
댜 회계사들은 이제 일반적으로 인정되는 회계원칙(GAAP)에 따
호화되지 않았을 시) 혹은 프라이버시 침해로 이어질 수 있다.
라 리스크 관리. 법규 준수. 횡령 방지. 그리고 거래의 투명성 증
진 등에 대해 직업적 책임을 지게 되어 있다. SEC와 공기업회계
四靈 생산운영관리 전공을 위한 정보기술
감독위원회(PCAOB) 및 기타 규제 기관은 정보보안, 횡령 감지 및
방지.그리고 재무 보고의 내부 보고를 요구하고 있다. 정보보안 기업 업무의 모든 프로세스, 예컨대 재고 구매, 제품 입수, 품질
과 회계의 결합인 법의학 회계는 오늘날 회계에서 가장 빠른 속 관리, 제품 제조, 제품 운송 등은 모두 정보기술 보안 누출이나
도로성장하는분야이댜 기업 파트너 측에서의 |T 보안 누줄로 방해 받을 수 있다, 공급망
관리나 전사적 자원관리시스템 상의 약점은 전제 공급망을 위험
曰 재무관리 전공을 위한 정보기술 에 빠트린다. 기업은 타 기업에 영향을 주는 IT 보안 누줄에 대해
책임을질수있다.
정보보안은 오늘날 조직의 성공에 필수적인 요소기에 더 이
상 CIO만의 걱정이 아니댜 세계 곳곳의 관련 규정과 미국의
Sarbanes-Oxley법의 통과로 인해 정보보안의 책임은 CEO와
曰표 인적자원관리 전공을 위한 정보기술 I
CFO에게도 있다. 이로 인해 보안 감사, 특히 정보 및 정보시스템 HR 경영자는 기일 직원 데이터의 보안을 유지할 책임을 가진다.
보안과 관련한 감사의 모든 부분이 재무 경영자의 핵심 관심사에 또한 모든 직원이 기업의 정보보안 정책과 절자를 이해하는지 확
인할 의무를 역시 가지고 있다.
포함된다,
또한 CFO와 재무관은 나날이 정보기술 투자와 연관되고 있 |
'-
- 156 - 경영정보시스템 i
r `
요약
4.1 정보자원의 증가하는 쥐약성에 기여하는 다섯 가지 요소를 도하는 의도적 행위이다.
설명하고 각각의 구제적 예를 들어보자. • 장비 및 정보 절도: 컴퓨터 기기와 저장 기기가 작아지고 더
예: 넷북 컴퓨터, 휴대용 USB 메모리, 아이패드 를 입수하거나 범죄의 누명율 씌우는등에 활용하는행위이다.
• 컴퓨터 해킹에 필요한 기술지식 수준의 감소 • 지적재산권 짐해 지적재산권 보호는 지식 분야에 종사하는
사람들에게 핵심적 이슈가 되고 있다. 지적재산권은 이 재산
예: 인터넷에서 유통되는 정보시스템 해킹 프로그램
이 디지털 형태를 쥐할 때 특히나보호하기 힘들다.
• 국제 범죄조직의 사이버 범죄 장악
• 소프트웨어 공격: 악성 프로그램이 조직의 컴퓨터시스템에
예: 국제 범죄조직은 국가를 초월한 사이버 범죄 카르텔을 형
침입할 때 발생한다. 오늘날 이러한 공격은 이윤을 노리고 행
성하였다. 사이버 공격이 어디서 실시되었는지 알아내기가
해지며웹기반이다.
어려우므로 이 카르텔의 처벌은 상당히 힘들다.
• 외부 소프트웨어: 규정 외 수단을 통해 여러분의 컴퓨터에 설
• 경영지원의부재
지되는 은밀히 작동하는 소프트웨어이다. 바이러스, 웜, 트로
예: 어떤 기업이 작년 정보보안 대응책에 전만 달러를 투자했 I
이목마 등보다는 덜 악성적이지만 중요한 시스템 자원을 소
고 정보 자원에 대한 공격이 단 한 번도 성공한 적이 없다고
모하곤한다.
가정해보자. 근시안적인 경영진은 이듬해에 투자를 줄이고
• SCADA 공격: SCADA는 대형 분산 즉정 및 제어 시스템을
같은 결과를 얻을수 있다고 생각하였다. 이는 착각이다.
말한다. SCADA는 화학적, 물리적, 운송 프로세스 등을 감독
하는 데 활용된다. SCADA 공격은 이러한 시스템의 작동을
4.2 인간의 실수와 소셜 엔지니어링을 비교 대조하고 각각 구재
방해해 시스템이 제어하는 물리적 프로세스에 피해를 주는
적예를들어보자.
것율목적으로한다.
인간의 실수는 의도하지 않은 실수이다. 하지만 직원둘은 공격자 사이버 테러와 사이버 전쟁: 공격자가 대상의 컴퓨터시스템
•
가 행하는 행동, 예컨대 소셜 엔지니어링의 결과로서 실수를 할 율 특히 인터넷을 통해 공격해 주로 정지적 목적을 위해 물리
수 있다. 소셜 엔지니어링온 공격자가 사회적 기술율 이용해 실제 적 피해를 입히고 심각한 장애를 발생시키는 것이다.
직원들이 기멀 기업 정보를 제공하도록 속이거나 조작하는 것을
말한다. 4 .4 리스크 완화 전략 3개를 설명하고 주택을 소유한 상황에 빗
인간의 실수 중 하나의 예가 테일게이팅이다. 공격자가 근로 대어 각각의 구제적 예를들어보자.
자에게 전화를 걸어 회사의 상급자로 명의를 도용하는 것은 소셜
세 가지 리스크 완화 전략은 다음과 같다.
엔지니어링의예다.
• 리스크 포용: 조직이 잠재적 리스크를 받아들이고 아무런 통
4.3 의도적 공격의 10가지 종류를 논해보자. 제 없이 업무를 지속하며 발생하는 피해를 모두 받아들이는
것을 말한다. 집율 소유할 경우 보험을 들지 않는 것이 해당한
다음은 10가지의 의도적 공격의 예다.
다.명백히실수다.
• 집보 혹은 집입:'허가를 받지 않은 개인이 조적 정보에 대에 • 리스크 제한: 위협의 영향을 조1소화하는 제어를 적용하여 리
비인가 접근을 시도할 경우 발생한다. 스크를 제한하는 전락이다. 집을 소유할 경우 집입자 경보시
• 정보 협박: 공격자가 정보틀 기업으로부터 홈지겠다고 위협 스템을 설지하고 집 근저 악한 나무를 미리 잘라내는 것이 애
하거나 실제로 홈질 경우 발생한다. 공격자는 정보를 흡지지 당된다.
않거나 홈진 정보를 돌려주거나 공개하지 않는 조건으로 돈 • 리스크 전도: 피에를 메우는 다론 방법, 예컨대 보험 가입 등
율요구만다. 율 튬애 리스크를 전도하는 것. 자택 소유자의 절대적 다수는
• 파괴공작 및 반달리즘: 기업의 웹 사이트를 망가뜨리는 등의 집을 포합한 각종 소유몰에 보험을 들어 리스크를 전도한다.
행등을 포합하는 기업의 이미지 실주 및 고객 신뢰 감소를 유
4장 정보보안 - 157 -
4.5 조직이 정보자원을 보호하기 위헤 사용할 수 있는 세 가지 의 신원율 확인하는 것으로, 한 예로 바이오메트릭 장지가 있
주요 롱재 유형을 확인하고 각각 예를 들어 보자. 다. 신원이 확인된 후의 절차가 권한 부여다. 권한 부여는 식
• 울리적 제어는 히가 받지 않은 개인이 기업 시설에 접근하는 별된 개인에게 어떠한 행동 히가, 권리, 혹은 특권이 있는지
판단하는 것이다. 권한 부여는 대제로 최소필요권한의 원직
것을 막는다. 흔한 물리적 제어 수단으론 벽, 문, 울타리, 울타
으로이루어진다.
리 문. 자물쇠. 출입증 경비원. 침입자 경보시스템 등이 있다.
• 통신 (네트워크) 통제는 네트워크상 데이터의 이동율 보호한
더 세련된 울레적 제어는 압럭 센서, 온도 센서, 모선 센서 등
다. 통신 제어는 방화벽, 악성 프로그램 퇴치시스템, 화이트
이있다.
리스트 및 블랙리스트, 암호화, VPN, SSL, 그리고 쥐악접 관
• 접근 재어는 허가 받지 않은 개인이 정보 자원을 사용하는 것
리시스템 등으로 이루어진다.
올 막는다. 이러한 제어는 두 주요 기능을 가지며 이는 신원
학인과 권한 부여다. 신원 확인은 접근 허가를 요청하는 사람
토의문제
,. 컴퓨터시스템이 이토록 쥐약한 이유는 무엇인가? 6. 국제적 사이버 범죄가 급속도로 확장하는 이유가 무엇인가?
가능한해결책을 논의해보자.
2. 경영진에게 정보보안이 주요고려사항인 이유는무엇인가?
7. 여러분의 대학이나 직장에서 어떠한 신원 확인 장지가 활용
3. 보안은 기술적 문제인가, 경영적 문제인가? 둘 다인가? 답의
되고 있는가? 이러한 수단이 효과적이라 생각되는가? 만일
근거를제시해보자.
더 높은 수준의 확인 수단이 적용된다연 어찌 될 것 같은가?
4. 조직의 정보보안을 주택 보험과 비교해보자.
가지가 있을 것인가, 생산성을 감소시킬 것인가?
5. 신원 학인과 권한 부여가 전자상거래에 중요한 이유는 무엇
8. 미 연방 정부가 SCADA 공격에 그토록 심각하게 걱정하는
인가?
이유’卜무엇인?卜?
문제해결활동
1. 기업이 개인 데이터를 보호하는데 있어 주요 문제는 어디까 b. 한 보험사가 여러분의 시설을 연 25,000달러에 보험 보
지 법적책임이 있는가를 결정하는 것이다. 완벽한 보안은 존 증해줄 의사가 있다고 한다. 이 제안을 분석하고 수락할
재하지 않기 떄문에(언제나 더 강하게 보호할 수 있다) 이 질 지 하지 않을지 결정해보자.
158 - 강영정보시스뎀
~
사려l
워너크라이. 페티야. 샘샘 및 로빈후드의 랜섬웨어 화한 사이버 공격율 경험했다. 이에 병원은 감염이 확산되는
160 - 강영정타|스뎀
鬪
불행하게도, 볼티모어는 사이버 공격의 비용율 충당할 보험 ZDNet, July 6, 2017; D. Palmer, "A Massive Cyberattack Is Hitting Organizations
around the World," ZDNet, June 27, 2017; M. Reilly, "The WannaCry
이 없었다. 따라서, 시민들은 공격으로부터 복구하기 위해 1,800 Ransomware Attack Could've Been a Lot Worse," Mrr Technology Review, May
만 달러 이상의 비용율 부담하게 될 것이다. 15, 2017; D. Palmer, "WannaCrypt Ransornware: Microsoft Issues Emergency
Patch for Windows XP," ZDNet, May 13, 2017; S. Ranger, "Raonsomware
Attacks Spread Worldwide," ZDNet, May 12, 2017; D. Palmer, "Hospitals
줄쟈 CompiIed from K. Eiten, "BaItimore Ransomware Attack: City |nches
across the UK Hit by WannaCrypt Ransomware Cyberattack, Systems Knocked
CIoser to NormaI Operation," CBS 8altimore, June 12, 2019; N. Chokshi,
Offline," ZDNet, May 12, 2017; D. Palmer, "Ransornware: An Executive Guide
"Had<ers Are Ho|din9 8a|timore Hostage: H畑 They Struck and What's Next,"
to One of the Biggest Menaces on the Web," ZDNet, March 7, 2017; D.
成 New Yo永 T;mes, May 22. 2019; S. Ga|Ia9her, "Ba|timore Ransomware
Palmer, "The Real Cost of Ransomware: Attacks Take Most Victims Offline for
Nightmare Cou1d Last for Weeks More. with BIg Consequences,” Ars Technica.
at Least a Week," ZDNet, February 27, 2017; L. Nf!,N(nan, "Ransornware Turns
May 20, 2019; J. Fingas. "At|anta Ransomware Attack May Cost Another
to Big Targets-with Even Bigger Fallout," Wired, February 1, 2017; J. Stf!,Nart,
59.5 MiIIion to FiX." Engadget, June 6, 2018; B. Freed. "AtIanta's Ransomware "SF's Transit Hack Could've Been Way Worse-an d Cities Must Prepare,"
Attack Destroyed Y효rs of PoIice Dashboard Camera Footage, " State Scoop, Wired, November 2B, 2016; B. Krebs, "Ransornware Getting More Targeted,
June 4, 2018; R. Walters. "Lessons from the AtIanta Hack: Ransomware,
Expensive," Krebs on Security, September 20, 2016; D. Palmer, "Tw硏hirds
Bitcoin, and Denia『 Godaddy.com. May 4, 2018; K. Townsend, "City of
of Companies Pay Ransornware Demands: But Not Everyone Gets Their Data
Atlanta Ransomware Attack Proves DisastrousIy Expensive, " Secun.ty Week,
Back," ZDNet, September 7, 2016; A. Chandler, "How Ransomware Became a
April 23, 2018; L. Kearney•• With Paper and Phones. AtIanta Stru99les to
Billion-Dollar Nightmare for Businesses," The Atlantic, September 3, 2016; D.
Recove『 from Cyber Attack,” Reuters, March 31, 2018; A. BIake, "At|anta Palmer, "Now Ransomware Is Taking Aim at Business Networks," ZDNet, July
Warned RepeatedIy of Security Risks before Ransomware Infection," 15, 2016; M. Orcutt, "Hollywood Hospital's Run-In with Ransomware Is Part of
i
Washing!on Ti~'. _M_arch 30, 2018; S. Deere and D. Klepa l, "Ema l;·Sh~~ an Alarming Trend in Cybercrime," MITTechnologyReview, Februa ry 18, 2016.
AtIanta Received Mu1tipIe AIerts about Cyber Threats," At/anta Journal-
c@on , ApriI 29, 2018; l. Bogost, "One of the Biggest and Most Boring
~~ratta~ against an_ Am~rican City Yet,· The Atl~~tic, March 28,-2-01 8;
—
"Atlanta_ Government Was Comprom ised in April 2017 We|I before Last
질문
Week's Ransomware Attack," Renditionln fosec, March 27, 2018; A. Blind~; 1. 랜섬웨어가 왜 그렇게 심각한 글로벌 문제가 되었는가?
~~d -~- ~e:lroth'. "_A_Cyberattack Hobbles At lanta, and Security Experts
t
Shudder," New York Times, March 27, 2018; M. Heller, D. McCalliste~. "A lanta
2. 애틀랜타와 볼티모어 랜섬웨어 공격에서 가해자들은 두 도
Worlcing 'around the Clock' to Fight off Ransomware Attack,• NPR, March 시가 복구하기 위해 지불한 금액보다 훨씬 적은 금액을 요구
27, 2018; L Kearney, "Atlanta Ransomware Attack Throws City Services into
Disa rray," Reuters, March 23, 2018; D. Palmer, "NotPetya Cyber Attack on 했다. 두 도시가 몸값을 지불했다면 돈과 시간이 절약되지 않
TNT Express Cost FedEx $300M," ZDNet, September 20, 2017; B. Vigliarolo,
았을까? 왜 각 도시는 몸값을 지불하지 않았는가? 잘한 결정
"Report: 22% of SMBs Hit by Ransomware Cease Operation; TechRepublic,
July 2B, 2017; C. Osborne, " No More Ransom Project Helps Thousands of 이었는가? 랜섬웨어 공격이 성공하면 조직에 영향을 미칠 수
Ransomware Victims," ZDNet, July 27, 2017; D. Palmer, "Petya Ransomware:
Companies Are Still Dealing with Aftermath of Global Cyberattack,• ZDNet, 있다. 조직은 몸값을 지불해야하는가?
July 24, 2017; L Dignan, "FedEx Said TNT Petya Attack Fi nancia l Hit Will Be 3. 개인 디지털 파일이 제대로 백업하고 있는가? 백업하는 이유
Material, Some Systems Won't Come Back," ZDNet, July 17, 2017; D. Palmer,
"Petya Ransomware: Companies Count the Cost of Massive Cyber Attack,· 는 무엇이고, 하지 않는 이유는 무엇인가?
‘I'
三,'
,..
’· 4장정보보안 - 161