11장 정보보안 및 정보화사회의 윤리 11.1 정보보안의 개념 11.2 컴퓨터 악성(유해) 프로그램 및 해킹 11.3 정보보안을 위한 암호화 및 인증 11.4 정보화사회의 윤리
11.1 정보보안의 개념 정보보안의 개념 및 환경 정보보안 서비스의 유형
정보보안의 개념 및 환경 정보보안의 필요성 정보의 중요성 정보의 불법적인 접근 및 사용, 유출로 인한 피해 11.1 정보보안의 개념 정보보안의 개념 및 환경 정보보안의 필요성 정보의 중요성 정보화사회에서 정보는 중요한 역할 인터넷 상의 정보를 기반으로 더욱 유익하고 새로운 정보를 생성하여 우리 삶의 질을 높이는 결과 정보의 불법적인 접근 및 사용, 유출로 인한 피해 잘못된 정보의 관리로 인해 많은 피해 및 사회적 문제 발생 주민등록번호, 은행예금계좌, 신용카드정보 등의 중요한 정보의 유출 이를 방지하기 위해, 평소에 정보보안에 대하여 숙지 PC 및 자신이 관리하는 정보시스템을 외부의 침입자로부터 보호
정보보안의 개념 및 환경 정보보안의 환경 구축 11.1 정보보안의 개념 백신 프로그램, 스파이웨어 제거프로그램 등을 설치 => 악성(유해) 프로그램으로부터 시스템을 보호 암호화 기술과 전자서명을 사용하여 네트워크를 통해 데이터를 전송 => 해킹에 의한 데이터가 유출 방지 방화벽의 설치 => 외부에서 컴퓨터 시스템을 공격하는 행위를 차단
정보보안 서비스의 유형 정보보안 서비스의 4가지 유형 컴퓨터 시스템 보안 네트워크 보안 사용자 관리적 보안 물리적 보안 11.1 정보보안의 개념 정보보안 서비스의 유형 정보보안 서비스의 4가지 유형 컴퓨터 시스템 보안 네트워크 보안 사용자 관리적 보안 물리적 보안
정보보안 서비스의 유형 컴퓨터 시스템 보안 11.1 정보보안의 개념 바이러스나 외부의 해킹 공격으로부터 컴퓨터 시스템의 내부정보를 보호하기 위한 방어 정책 세 가지 정책: (a) 바이러스로부터의 (b) 암호화 기술의 활용 (c) 해킹 방어 기술 정보보호
정보보안 서비스의 유형 네트워크 보안 11.1 정보보안의 개념 네트워크는 정보가 이동하는 경로, 해커에 의해 불법적으로 사용될 수 있음 정보의 유출을 막기 위해서 기법 유출되더라도 이 정보를 변형시키거나 해독하지 못하게 하기 위한 암호화 기법 방화벽을 사용하여 외부에서 들어오는 패킷을 체크하고, 잠재적으로 위험한 침입자, 예를 들면 해커 등의 접속을 막는 기법 (5.4절 참조)
정보보안 서비스의 유형 사용자 관리적 정보보안 11.1 정보보안의 개념 컴퓨터 시스템을 안전하게 관리하기 위해서 정보 보호 관리 수칙이 필요 정보 보호 관리 수칙: 개인이 지켜야 할 안전수칙을 의미 사용자 패스워드를 주기적으로 교체 손상될 경우 복구할 수 있도록 컴퓨터 시스템 내의 정보를 주기적으로 백업 이러한 정보 관리 수칙으로 불의의 정보사고에 대한 예방과 피해를 최소화
정보보안 서비스의 유형 물리적 보안 11.1 정보보안의 개념 물리적인 보안은 물리적 장소에 있는 컴퓨터 시스템의 접근을 막는 방법으로, 중요한 정보가 있는 장소에 허가 받지 않은 사람의 출입을 통제하여 보호하는 방식 예) 은행의 전산실, 회사 내부 자료를 관리하는 전산실, 병원 전산실 등에 대한 출입통제 신원 확인 방식: RFID 출입증, 정맥인식, 지문인식, 눈동자 인식(홍채 인식), 얼굴인식 등 지문인식 시스템 RFID를 이용한 출입통제 시스템
11.2 컴퓨터 악성(유해) 프로그램 및 해킹 컴퓨터 악성(유해) 프로그램 스팸 메일 컴퓨터 바이러스 인터넷 웜 트로이 목마 스파이웨어/애드웨어 스팸 메일 해킹과 크래킹(Hacking and Cracking) 악성(유해) 프로그램과 해킹으로부터 정보보호 10
컴퓨터 악성(유해) 프로그램 악성(유해)프로그램의 정의 악성 프로그램과 유해 프로그램은 프로그램의 작성 의도에 따라 분류 11.2 컴퓨터 악성(유해) 프로그램과 해킹 컴퓨터 악성(유해) 프로그램 악성(유해)프로그램의 정의 악성 프로그램과 유해 프로그램은 프로그램의 작성 의도에 따라 분류 악성 프로그램(코드): 컴퓨터 시스템 파괴 등 나쁜 의도를 가지고 작성된 프로그램 유해 프로그램: 악의를 가지고 만들어지지는 않았으나 수시로 팝업 창을 띄우거나 개인자료를 수집하는 특정 목적을 위해서 만들어져 사용자를 성가시게 만드는 프로그램 유해 프로그램은 시스템을 파괴하지는 않음 그러나 사용자에게 정신적 피해를 주기 때문에 나쁜 의도로 볼 수 있음 본 장에서는 두 가지 형태 모두 악성(유해) 프로그램으로 통일하여 사용
컴퓨터 악성(유해) 프로그램 컴퓨터 바이러스 (Computer Virus) 11.2 컴퓨터 악성(유해) 프로그램과 해킹 일단 감염되면 (컴퓨터 용어로 컴퓨터 바이러스 프로그램이 실행되면) 복제, 전파 또는 데이터 파괴가 발생 컴퓨터 바이러스는 양성 바이러스(Benign Virus)와 악성 바이러스(Malignant Virus)로 구분 양성 바이러스: 복제 후에 전파하는 기능의 전파코드만 가지고 있으며 데이터 파괴는 하지 않는 코드로 발견되지 않는 경우가 대부분 악성 바이러스: 컴퓨터 시스템에 파일의 삭제, 파일 이름의 변경, 데이터 파괴 등 과 같은 직접적인 피해를 주는 바이러스, 대부분의 파괴형 바이러스(악성바이러스)들은 특정한 날짜 또는 상황이 발생할 때까지 잠복
컴퓨터 악성(유해) 프로그램 컴퓨터 바이러스의 작동 11.2 컴퓨터 악성(유해) 프로그램과 해킹 - 바이러스는 e-메일이나 CD를 통하여 컴퓨터에 잠입(①)하여서 바이러스를 감염, 복제(②)한 후, 다른 컴퓨터로 전파(③)시킨다. 또한 일정 시간이 지거나 조건이 충족되면 시스템을 파괴(④)시킨다.
컴퓨터 악성(유해) 프로그램 인터넷 웜 (Internet Worm) 11.2 컴퓨터 악성(유해) 프로그램과 해킹 인터넷에 접속해 있는 컴퓨터를 통하여 감염되는 악성(유해) 프로그램 인터넷 웜과 일반 바이러스의 차이점 일반 바이러스: 사용자가 바이러스 프로그램을 실행시켰을 때만 바이러스에 감염 인터넷 웜: 사용 중인 프로그램을 통해서 스스로 전파할 수 있는 바이러스 예) e-메일 또는 채팅 프로그램을 통하여 사용자가 인지하지 못하는 상태에서 전파 인터넷 웜 감지 증상을 통한 감지 어느 날 갑자기 사용 중인 PC가 느려지는 경우 화면에 갑자기 시스템 종료 메시지 창이 나오면서 자동 종료가 되는 경우 일반적으로 백신프로그램을 사용하여 감지 최근 악성 프로그램 중에 가장 큰 비중을 차지하고 있으며 앞으로도 기승을 부릴 것으로 예상
컴퓨터 악성(유해) 프로그램 인터넷 웜의 작동 11.2 컴퓨터 악성(유해) 프로그램과 해킹 - 인터넷 웜의 작동 먼저 채팅, 메신저 등을 사용할 때 컴퓨터 내부에 잠입(①)하여 감염시킨다. 일단 감염되면 자신을 복제(②)하여 시스템 과부하를 발생(③)시키고 네트워크에 인터넷 웜을 전파(④)시킨다.
컴퓨터 악성(유해) 프로그램 트로이목마(Trojan) 11.2 컴퓨터 악성(유해) 프로그램과 해킹 몰래 컴퓨터 시스템에 숨어 들어와서 백도어(뒷문)를 만드는 악성(유해) 프로그램으로 일반적으로 해킹의 도구로 사용 해커는 백도어로 시스템에 침투하여서 불법 접근에 성공한 뒤 자료삭제, 정보 탈취 등의 행위를 하게 됨 트로이 목마의 원래 개념은 시스템을 관리하거나 소프트웨어를 개발하는 유용한 프로그램으로써 개발자들이 사용하는 프로그램으로 분류되기도 함 트로이목마의 전파는 보통 이메일의 첨부 파일, 애니메이션 파일이나 이미지 파일을 내려받기할 때 감염. 또한 채팅, 인스턴트 메시지 사용 시 FTP 사이트, CD 등을 통해서 감염될 수 있음
컴퓨터 악성(유해) 프로그램 트로이목마(Trojan) 11.2 컴퓨터 악성(유해) 프로그램과 해킹 - 트로이 목마는 컴퓨터 시스템에 숨어 들어와서 (①) 백도어(뒷문) 를 만든다 (②). 해커는 백도어로 시스템에 침투하여서 (③) 불법 접근에 성공한 뒤 자료삭제, 정보 탈취 등의 행위를 한다 (④).
컴퓨터 악성(유해) 프로그램 스파이웨어 및 애드웨어 (Spyware and Adware) 스파이웨어(Spyware) 11.2 컴퓨터 악성(유해) 프로그램과 해킹 컴퓨터 악성(유해) 프로그램 스파이웨어 및 애드웨어 (Spyware and Adware) 스파이웨어(Spyware) ‘스파이’와 ‘소프트웨어’의 합성어, 컴퓨터에 몰래 숨어 있다가 정보를 빼가는 악성(유해) 프로그램 주로 개인 및 시스템정보, 인터넷의 사용습관 등을 수집하는 목적 2005년에 개인이 사용하는 PC의 약 81%가 스파이웨어에 감염 스파이웨어가 주는 피해: 원하지 않는 광고를 팝업 형태로 노출시키고 특정 사이트 방문을 유도 애드웨어(Adware) 애드웨어란 ‘애드버타이즈’(광고: Advertise)와 ‘소프트웨어’의 합성어로 프리웨어나 일정 금액으로 제품을 구매해야 하는 쉐어웨어(Shareware)를 광고 보는 것을 전제로 무료로 사용이 허용되는 프로그램 마케팅 목적을 위해 데이터를 수집하는 정당한 사용 목적이 있는 프로그램
컴퓨터 악성(유해) 프로그램 스파이웨어 및 애드웨어의 작동 11.2 컴퓨터 악성(유해) 프로그램과 해킹 - 프리웨어 등의 소프트웨어를 다운하면, 악성(유해) 프로그램이 쿠키 형태로 컴퓨터 내부에 들어와서 (①), 쿠키를 이용하여 컴퓨터 내부에 있는 각종 데이터를 수집하여 (②) 외부로 보낸다 (③).
스팸 메일 11.2 컴퓨터 악성(유해) 프로그램과 해킹 불특정 다수에게 동일한 내용을 대량으로 보내는 e-메일 문제점 네트워크의 통신 양을 급격하게 증가/경제적인 손실 또한 증가 스팸 메일을 통한 악성(유해) 프로그램의 확산 스팸(SPAM)의 유래: 스팸이란 단어는 한 햄 제조회사가 상품 광고를 위해 엄청난 양의 광고를 사용한 것에서 유래 피해 규모 미국 내에서 2004년 약 210억 달러 ==> 2007년에 2000억 달러 피해액(10배/3년) 2007년에 미국에서는 약 900억 개의 스팸 메일이 발송
스팸 메일 11.2 컴퓨터 악성(유해) 프로그램과 해킹 스팸 메일 발신자들은 채팅사이트, 해킹, 바이러스 등에 의해서 불법적으로 수집된 주소록 리스트를 사용 스팸 메일 방지 방법: e-메일 필터링 유틸리티 프로그램을 사용하여서 스팸 메일을 걸러냄 유해 사이트 방문을 자제하고 멤버쉽의 가입을 자제하여서 자신의 e-메일 주소가 불법적으로 악용되지 않도록 주의
해킹과 크래킹 해킹과 크래킹의 차이점 해커는 네트워크의 취약점을 이용하여 시스템에 불법침입 11.2 컴퓨터 악성(유해) 프로그램과 해킹 해킹과 크래킹 해킹과 크래킹의 차이점 - 해킹은 크래킹이라는 용어와는 원래는 다른 의미를 가짐 크래킹: 범죄 행위에 사용될 경우 해킹: 시스템의 취약 부분을 점검하기 위한 목적으로 사용될 경우 그러나, 통상적으로 해킹과 크래킹은 같은 의미로 사용되고 있으며 해킹으로 통합하여서 사용되고 있음 해커는 네트워크의 취약점을 이용하여 시스템에 불법침입
해킹과 크래킹 서비스 거부공격(DoS: Denial of Service) 11.2 컴퓨터 악성(유해) 프로그램과 해킹 최근에 사회적으로 문제가 되고 있는 해킹 기법 인터넷을 통한 서비스를 일시적으로 중지시킴 바이러스와 같이 시스템을 파괴하지는 않으나 정보 시스템의 정상적인 수행을 정지시킴으로써 사용자에게 불편을 줌 예) 해커는 네트워크에 연결된 다수의 컴퓨터를 불법으로 이용하여 공격목표가 되는 서비스 서버에 접속을 동시 다발적으로 시도. 이 때, 한꺼번에 많은 컴퓨터로부터 접속이 시도되면 순간적으로 서비스 서버는 부하가 걸리게 되며 이로 인하여 특정 사이트가 마비되는 사태가 발생 좀비(Zombie) 해커는 DoS 공격에 보안이 취약한 컴퓨터를 불법적으로 사용하는데 이 때 사용된 컴퓨터를 좀비(Zombie)라고 함 최근 몇 년 사이에 특정 유명 회사의 사이트들인 Microsoft, Yahoo, eBay, Amazon 등이 좀비의 공격을 받아서 서비스가 일시적으로 정지되는 사태가 발생
11.2 컴퓨터 악성(유해) 프로그램과 해킹 해킹과 크래킹 서비스 거부공격(DoS)와 좀비의 작동
해킹과 크래킹 피싱(Phishing) 11.2 컴퓨터 악성(유해) 프로그램과 해킹 개인의 정보(사용자 계정, 패스워드, 신용카드 번호)를 불법으로 취득하여서 범죄에 사용하는 해킹기술 피싱의 대표적인 유형으로 ID 도용을 들 수 있음 예) eBay, 온라인 쇼핑, 온라인 뱅킹 등의 위조 사이트를 개설한 뒤, 개인의 주민등록번호, 신용카드번호, 패스워드의 정보를 불법으로 수집하여 수집된 정보로 가짜 ID를 발급받아서 물건을 구매하거나 신용카드를 발급
악성 프로그램과 해킹으로부터 정보보호 악성 제거 프로그램 OS 패치 프로그램의 설치 악성 프로그램 방지를 위한 개인정보 수칙 11.2 컴퓨터 악성(유해) 프로그램과 해킹 악성 프로그램과 해킹으로부터 정보보호 악성 제거 프로그램 OS 패치 프로그램의 설치 바이러스 백신 프로그램 스파이웨어 제거 프로그램 OS 패치 프로그램 악성 프로그램 방지를 위한 개인정보 수칙 부팅 시 주의 e-mail 첨부파일 확인 불필요한 웹사이트 회원 가입 자제 신뢰성 있는 프로그램만 다운 해킹으로부터 개인정보 보호를 위한 안전수칙 비밀번호 10자리 이상 사용, 자주 변경 개인 또는 공용 인증 시스템 사용 방화벽 설치 무선인터넷 사용시 사용자 비밀번호 설정
11.3 정보보안을 위한 암호화 및 인증 암호화 기술 인증 (Authentication) 27
암호화 기술 컴퓨터 암호화란? 11.3 정보화 보안을 위한 암호화및 인증 글자의 배열 순서를 바꾸거나 특정한 키 값(Key)을 설정하여 문자의 조합을 혼합시켜서 암호화하는 기법을 의미 복호화: 암호화 된 정보를 키 값을 이용하여 원래의 정보로 바꾸는 과정 이러한 방식은 메시지 정보를 암호화시켜서 메시지가 타인에게 유출 되더라도 해독하지 못하게 하고 오직 암호화 키 값을 소지한 사용자만 복호화 하도록 할 수 있음 대표적으로 대칭키(Symmetric Key) 암호 방식과, 공개키(Public Key)암호 방식이 있음 28
암호화 기술 대칭키 암호화 방식 11.3 정보화 보안을 위한 암호화및 인증 대칭키 암호화 방식: 송신 측과 수신 측 컴퓨터에서 동일한 암호키를 이용하여 암호화 가령, 보내려는 메시지의 각 글자를 2자씩 뒤의 글자로 변환하여 암호화하는 경우 이러한 사실을 수신 측 컴퓨터에서도 사전에 알고 있다면 이를 복호화 할 수 있음 송신 측에서 암호화 한 키를 그냥 수신 측에 전송한다면 해커에 의해 유출될 수 있기 때문에 키의 전송이나 생성의 방법이 중요함 29
암호화 기술 공개키(Public Key) 암호화 방식 11.3 정보화 보안을 위한 암호화및 인증 공개키와 개인키(Private Key)라는 두 비대칭적인 키를 이용하여 메시지를 암호화하는 방식 공개키는 모두에게 알려져 있으며 메시지를 암호화하는데 쓰임 이렇게 암호화된 메시지는 개인키를 가진 사람만이 복호화 하여 열어볼 수 있음 송신자는 수신자의 공개키로 메시지를 암호화하여 전송하면 수신자는 자신의 개인키로 암호화된 내용을 복호화 할 수 있음 30
암호화 기술 e-메일 암호화와 인증 11.3 정보화 보안을 위한 암호화및 인증 e-메일의 보안을 가장 확실하게 유지할 수 있는 방법은 e-메일 자체를 공개키 암호화 방식을 사용하여 암호화 송수신자 모두 공개키를 가지고 있고 도착한 e-메일을 사전에 약속한 공개키로만 송수신한다면 안전하게 메일을 전달 가능 단점: e-메일이 암호화 되어있을 경우 첨부파일의 분리나 바이러스 검사를 할 수 없음 따라서 신뢰하지 못하는 e-메일은 복호화 시도를 하지 말고 제거하는 것이 안전함 31
인증 (Authentication) 11.3 정보화 보안을 위한 암호화및 인증 - 인증이란 컴퓨터 간에 교환되는 정보의 위변조 및 사용자의 진위 여부를 확인하는 과정을 의미 인증에는 사용자인증 과 메시지인증 사용자인증 방식: 비밀번호설정, RFID나 스마트 카드 등을 활용한 카드 인증, 생체의 특수부분 (예, 지문, 눈동자, 음성)을 인식하여 사용자 진위를 확인하는 생체인식 방법 등 메시지인증 방식: 전자 서명이 사용되고 있는데 전자 문서에 서명한 사람이 누구인지 그리고 서명한 전자 문서가 변조되지 않았는지 여부를 알 수 있음 패스워드 지문인식 마우스 전자서명 32
11.4 정보화사회의 윤리 사이버 공간과 윤리문제 컴퓨터 범죄 33
사이버 공간과 윤리문제 사이버 공간상의 문제 11.4 정보화사회의 윤리 인터넷은 기존 인간의 생활반경인 물리적인 공간 이외에 새로운 생활공간인 사이버 공간을 탄생 이러한 사이버 공간은 우리에게 편리하고 무한한 가능성을 열어주고 있지만, 사이버 공간이라는 새로운 문명의 공간은 동시에 각종 문제점과 이로 인한 피해가 발생 정보의 범람으로 인하여 인터넷상의 정보의 진실성을 판단하기 어렵게 되었으며, 각종 자료를 불법으로 복제, 추출하거나 편집하는 지적 재산권의 침해 사례 등도 심각한 문제로 대두 청소년에게 위험한 성인 사이트, 범죄 사이트, 도박 사이트, 테러 사이트 등 불법 사이트의 등장은 우리 사회의 안녕과 질서를 파괴 34
사이버 공간과 윤리문제 11.4 정보화사회의 윤리 윤리의식의 확산을 위해 사이버 공간에서의 예의를 지키도록 항상 노력해야 함 사이버 폭력을 경험했을 때 어떻게 대응해야 하는지, 사이버 공간에서의 위협으로부터 어떻게 보호받을 수 있는지에 대한 교육도 같이 병행 컴퓨터를 처음 접하는 시기부터 사이버 윤리교육을 강화. 초등학교 부터 정보윤리에 대한 중요성을 가르치도록 해야 함 가정과 어린 학생이 사용하는 컴퓨터에는 반드시 청소년 유해 사이트 접근을 막기 위하여 유해 사이트 차단 프로그램을 반드시 설치 35
사이버 공간과 윤리문제 네티켓과 윤리 강령 11.4 정보화사회의 윤리 네티켓(Netiquette)이란 사이버스페이스에서 ‘해야 할 의무 사항’과 ‘하지 말아야 할 금지 사항’을 담고 있는 네트워크 에티켓(Network Etiquette) 정보통신 윤리위원회에서 제정한 정보통신 윤리강령 ① 사이버 공간의 주체는 인간이다. ② 사이버 공간은 공동체의 공간이다. ③ 사이버 공간은 누구에게나 평등하며 열린 공간이다. ④ 사이버 공간은 네티즌 스스로 건전하게 가꾸어 나간다. 사이버 공간 상에서 타인의 인권과 사생활을 존중하고 보호하고, 불건전한 정보의 사용을 억제하고 유포하지 않아야 하며, 타인의 정보를 보호하여야 한다는 기본 골격을 토대로 제정 36
컴퓨터 범죄 1) 사이버 테러형 범죄 2) 사이버 일반형 범죄 11.4 정보화사회의 윤리 해킹, 바이러스 제작유포, 메일 폭탄 같은 행위로 정보 통신망이나 컴퓨터시스템을 공격하는 범죄를 의미 또한 불특정 다수의 인터넷 사용자에게 컴퓨터 바이러스를 유포하는 행위도 이러한 범죄에 속함 2) 사이버 일반형 범죄 일반적인 불법행위로써 사이버 도박, 사이버 스토킹과 성폭력, 사이버 명예훼손과 협박, 전자 상거래 사기, 개인정보 유출 등의 행위와 같은 범죄를 의미 정보 통신망을 공격하지는 않지만, 인권침해, 정신적 피해와 막대한 경제적 손실을 야기하기 때문에 이에 대한 원천적인 방지가 필요 피해자만 있고 가해자 없는 사이버스페이스 37