정보체계론 행정학과 정철현 교수
제19장 정보윤리 정보윤리의 이해 사생활 침해 사이버 범죄 정보보호 정보보호 기술 동향
정보윤리의 정의 정보윤리의 필요성 - 개인 정보윤리의 부재로 신용정보 및 개인정보의 유출이 계속됨 - 정보유출과 불법정보변조, 해킹이나 스팸메일 등 불법적 행위 사례들은 IT를 활용하여 정보를 이용하고 관리하는 사람들의 윤리의식의 확립을 요구 정보윤리의 정의 - 정보윤리는 정보사회에서 야기되고 있는 윤리적 문제들을 해결하기 위한 규범체계 - 단순히 정보통신기기를 다루는 데 있어서 뿐만 아니라 정보 사회를 살아가는데 있어 옳고 그름, 윤리적인 것과 비윤리적인 것을 판단하여 행동하는데 필요한 기준체계
정보윤리의 기본원칙 존중(respect): 정보화 사회를 살고 있는 자신에 대한 존중과 함께 타인에 대한 존중을 의미 책임(responsibility): 내가 어떤 사건 전에 주의를 기울여야 할 책임(예상적 책임)과 내가 행위자로서 나에게 원인이 있는 사건이나 결과들에 대해 지는 책임(소급적 책임) 정의(justice): 진실성, 비편향성, 완전성, 공정한 표현을 추구 해악금지(non-maleficence): 사이버 공간을 이용하는 모든 사람이 함께 살아간다는 공동체 의식을 함양하여 타인의 복지를 증진시키는 방향으로 행동
정보윤리의 문제 지적재산권 침해 (소프트웨어 무단복제) 전산자원에 불법적 접근 및 오 남용 (해킹) 정보유출 및 변조 (핵심 IT기술 유출) 컴퓨터 범죄와 인터넷 범죄 (컴퓨터 바이러스 유포) 표현의 자유 침해 (허위정보 유포) 청소년 보호 (음란 폭력 정보의 유통) 사생활 침해 (스팸메일)
정보윤리 대응방안 적법한 규범체제 정비 인터넷 윤리교육의 실시 인터넷 상에서의 실명제 요소의 확대 개인정보유출과 사생활보호 대책 및 방안 표현의 자유와 역기능 차단 방안 지적 재산권 보호대책 스팸메일에 대한 대책
유해정보 심의제도 정보통신윤리위원회는 1995년 4월부터 지속적으로 인터넷상의 각종 불법 청소년유해정보에 대한 자체 모니터링 및 신고접수를 통하여 심의 불법통신 근절 및 건전정보 유통 활성화를 위하여 유무선 인터넷, 실시간 전화정보서비스, PC통신, 이동통신, 위성통신 등 전기통신회선을 통하여 일반에게 공개를 목적으로 유통되는 정보에 대한 심의 및 시정요구
유해정보 심의제도 제1분과 위원회: 사회질서 위반 정보 심의 제2분과 위원회: 미풍양속 저해 정보 심의 심의안건의 유형에 따라 3개의 전문위원회로 구성 제1분과 위원회: 사회질서 위반 정보 심의 제2분과 위원회: 미풍양속 저해 정보 심의 제3분과 위원회: 무선인터넷, 게임정보, 전화 PC통신, 위성통신을 통한 정보 심의 및 시정요구
청소년 유해매체물 표시제도 청소년 유해매체물 표시제도는 청소년보호법에 근거하여 각종 청소년유해환경으로부터 청소년을 보호 및 구제하여 청소년이 건전한 인격체로 성장할 수 있도록 하기 위한 법적 장치
인터넷 내용등급제 Internet Contents Rating System 정보제공자가 객관적 등급기준에 따라 자신이 제공하는 정보에 자율적으로 등급을 표시하면, 학부모, 교사 등 정보이용자가 내용선별 S/W를 이용하여 청소년 수준에 맞는 정보를 선택할 수 있는 서비스
개인정보 분쟁 조정제도 ① 사업자가 이용자의 동의 없이 개인정보를 수집하여 발생하는 분쟁 ② 개인정보를 특정인이 도용・침해・훼손함으로써 발생하는 피해 ③ 개인정보가 정보주체의 동의 없이 제3자에게 제공됨으로써 발생하는 피해 ④ 사업자가 서비스 이용을 조건으로 과다한 개인정보를 요구하여 발생하는 피해 ⑤ 가입한 웹사이트에서 회원탈퇴가 되지 않아 발생하는 피해 ⑥ 사업자가 이용자의 개인정보 열람・정정 등의 요구에 불응하여 발생하는 분쟁 ⑦ 개인정보침해와 관련하여 분쟁 상대방이 지나치게 과다 또는 과소한 보상 또는 배상을 요구하여 발생하는 분쟁 ⑧ 기타 개인정보와 관련하여 발생한 피해에 대한 각종 분쟁
제19장 정보윤리 정보윤리의 이해 사생활 침해 사이버 범죄 정보보호 정보보호 기술 동향
프라이버시의 정의 소극적 프라이버시: 사생활 침해 받지 않을 권리 적극적 프라이버시: 자신의 정보를 관리 통제할 권리 프라이버시와 표현의 자유
인터넷 프라이버시 침해 개인신상정보가 본래의 목적과 달리 인터넷상에 유포
인터넷 프라이버시 침해 개인 자유의 제한 사생활 침해
인터넷 프라이버시 보호방안 정부 강제규제와 시장의 자율규제 법제도의 정비 전자상거래 소비자 보호 암호화 기술의 발전 정부기구의 설치
제19장 정보윤리 정보윤리의 이해 사생활 침해 사이버 범죄 정보보호 정보보호 기술 동향
사이버 범죄의 정의 사이버 범죄란 컴퓨터와 가상공간에서 발생하는 모든 유형의 불법행위를 말한다.
사이버 범죄의 유형 금전적 도난 정보도난 정보변경 S/W 도난 S/W 파괴 서비스 도용 해킹
해킹과 크래킹 해킹 (Hacking) 네트워크에 연결되어 있는 컴퓨터에 불법적인 침입을 하는 것 허가받은 범위를 벗어나서 컴퓨터 내의 자원에 대한 접근을 하는 것 크래킹(Cracking) 컴퓨터에 침입해 들어가 고의적으로 경제적인 이득을 취하거나 하드웨어를 마비시키고 소프트웨어를 훔치거나 데이터를 파괴
해킹 방법 암호 해독 암호 파일을 크래킹 소프트웨어를 사용하여 해독 트로이 목마(trojan horse) - 일반 프로그램을 악의적으로 변경시켜 그 프로그램을 사용할 때 프로그램 본래의 기능이 아닌 예상하지 못했던 기능을 수행 - 컴퓨터 사용자가 모르게 특정 용도의 프로그램을 설치하여 정보를 빼내는 것 - 사용자가 키보드로 입력하는 모든 정보를 네트워크를 통해 알아낼 수 있는 수준
해킹 방법 스푸핑(spoofing) 허가 받지 않은 사람이 마치 신뢰성 있는 사람이 네트워크를 통해 데이터를 보낸 것처럼 네트워크 상의 데이터를 변조하여 접속을 시도하는 침입 형태 스니퍼(sniffer) 네트워크상에서 전송중인 데이터를 가로채는 프로그램 위장 채널(covert channel) 컴퓨터 시스템의 내부 특성을 이용하여 불법적으로 네트워크를 이용한 통신 채널을 생성시켜 정보를 유출 기타 방법 - 서비스 거부공격(DoS : Denial of Service) - 스팸(spam) 메일 공격
사이버 범죄의 특징 행위자의 측면: 전문가, 내부자 젊은이, 초범 죄의식 미약 금전적 이익 목적
사이버 범죄의 특징 행위의 측면: 영속성과 자동성 피해의 광역성 증거수집의 어려움 고의 입증의 어려움
사이버 범죄에 대한 대책 시스템 안전대책: 물리적 대책 (안전조치) 관리적 대책 (접근제한) 기술적 대책 (전자서명) 시스템 안전대책: 물리적 대책 (안전조치) 관리적 대책 (접근제한) 기술적 대책 (전자서명) 법제도적 대책: 특별법 제정, 형법 보완 형사정책 (사이버 경찰대) 사회문화적 대책: 윤리의식 고양 사전예방 안전교육과 윤리교육
제19장 정보윤리 정보윤리의 이해 사생활 침해 사이버 범죄 정보보호 정보보호 기술 동향
정보보호의 정의 우연히 혹은 의도적인 정보의 허가 받지 않은 유출, 전송, 변경, 파괴 등으로부터의 보호
정보보호의 필요성 전자상거래, 전자 정부 등 사이버 공간에서의 활동 증가에 따른 안전 신뢰성 해결 개인 프라이버시 보장 정보 범죄의 차단 글로벌화에 따른 국내 정보 유출 우려 국제 해커 및 적성국에 의한 정보 테러 차단 정보화된 국가 중요 기반에 대한 보호 필요 정보화 사회 완성의 필수 불가결한 요소
정보보호의 필요성 인터넷의 성장과 보안 침해사고의 증가 http://www.netsizer.com 보안 침해사고 증가 침입시도가 매년 3배씩 증가 인터넷의 급속한 성장 1초당 1대의 호스트 증가 보안대책 미비 크래킹 기술의 발달 http://www.netsizer.com 취약점 증가 공격기술의 발달
정보보호의 필요성 침입 시도 불법 침입 자료 유출 자료 변조·삭제 불법자원 사용 홈페이지 변조 시스템 파괴 서비스 거부 시스템 오류 사용자 도용 S/W 보안 오류 구성·설정 오류 악성 프로그램 프로토콜 취약점 E-mail 관련 공격 사회 공학위협
정보보호의 발전 제1단계: 메인프레임 시대는 정보기술자가 정보보호 책임 제2단계: 인터넷과 전자상거래 시대는 조직과 조직의 장 그리고 정보보호 정책을 통해 정보보호 제3단계: 제도화와 정보보호 국제적 표준화를 통해 정보보호 Level 5 Level 4 Optimized Level 3 Managed Level 2 Processes have been refined to a level of best practice, based on the results of continuous improvement and maturity modeling with other organizations. Defined Level 1 It is possible to monitor &measure compliance with procedures and to take action where processes appear not to be working effectively. Repeatable Level 0 Procedures have been standardized and documented, and communicated through training. Initial Processes have developed to the stage where similar procedures are followed by different people undertaking the same task. Non -Existent The organization has recognized the issues exist and need to be addresses. No standardized processes Complete lack of any recogniz -able processes
정보보호의 목적 기밀성 (Confidentiality) 허가 받은 자 외 누구에게도 정보 접근을 허용하지 않는 것 (아이디와 비밀번호 사용) 무결성 (Integrity) 정당한 권한을 갖지 않은 자에 의한 정보의 변경, 삭제, 생성 등으로부터 정보 보호 가용성(Availability) 사고 및 재앙이 발생하더라도 신속하고 완전하게 복구될 수 있는 특성
정보보호의 목적 인증(Authentication) 어떤 사람이나 객체가 주장하는 것이 실제 일치하는지를 결정하는 처리 컴퓨터 네트워크 환경에서 인증은 일반적으로 로그온(logon) 암호를 통해서 수행 인터넷 비즈니스에서는 디지털 인증서(digital certificate) 사용
정보보호의 목적 부인방지(Non-repudiation) 데이터의 수신자에게 그 데이터의 기원이 누구인지를 증명하는 증거 제공 생성자가 데이터를 전송하지 않았다고 거짓으로 부인하려는 시도에 대해 수신자 보호 수신자가 데이터를 받았다는 증거를 제공하거나 수신했음에도 불구하고 거짓으로 부인하려는 것에 대해 데이터 생성자 보호
정보보호의 목적 접근통제(Access Control) 시스템이나 통신장비의 사용을 허용할 것인지 거부할 것인지를 구별 물리적 수준에서의 접근통제: 시스템이 설치되어 있는 건물이나 사무실에 자물쇠를 설치하여 정당한 열쇠를 가진 자만이 시스템에 접근 가능 운영체제 수준에서의 접근통제: 시스템에 일단 인가된 방식으로 로그인 한 상태에서 자신에게 허가되지 않은 파일이나 장치에 접근하지 못하도록 통제 네트워크 수준에서의 접근통제: 네트워크를 통하여 원격 접속할 때 외부 네트워크에서 내부 네트워크로 인가된 접근만을 허용 6. 정보보호의 목적
정보보호의 목적
정보보호의 목적
정보보호의 대상 논리적 대상 물리적 대상
물리적 보안대상 프로그래밍 지역 컴퓨터실 운영자 콘솔 및 터미널 테이프 저장실 입출력 통제실 통신 설비 전원 장치
물리적 보안통제 출입문 잠금 장치 출입자 기록 사진 신분증 비디오 카메라 경비원 안내원 통제하의 방문객 접근 컴퓨터 단말기 잠금 장치
논리적 보안대상 조직 재무 관련 정보 고객 및 영업 정보 전문 기술 관련 정보 제조 관련 정보 시스템 접근 계정 및 패스워드 정보 시스템/네트워크 구성 관련 정보 특허 관련 정보
논리적 보안통제 내부 보안 정책 및 조직 구성 암호화 계정 권한 관리 보안 서약 및 보안 관련 교육 실시 보안 감사 및 보안 증거에 의한 추적 기능 보유 보안 상황 상시 모니터링 시스템 가동
정보보호의 특성 100% 달성할 수 없다. 성능에 도움을 주지 못한다. 대책 준비시 필요성을 확신할 수 없다. 2가지 이상의 대책을 동시에 사용할 때 위험을 크게 줄일 수 있다.
정보보호 대책 물리적 보안 대책 관리적 보안대책 기술적 보안 대책
정보보호의 대책 관리적 대책 - 조직 : 보안 전담 조직 구성 - 규정 : 정책, 표준, 지침, 정차, 법, 제도 - 보안의식 : 교육, 홍보 - 기타 : 감시, 내부 감사 물리적 대책 - 중요 시설 보호, 출입 통제, 도청방지 - 자료 백업 및 재난 복구 계획 기술적 대책 - 시스템 보호 : 인증 도구, 침입탐지 도구, 보 안 점검 도구 등 - 네트워크 보호 : 패킷 필터링, 방화벽 등 - 기타타 : 암호화 등
제19장 정보윤리 정보윤리의 이해 사생활 침해 사이버 범죄 정보보호 정보보호 기술 동향
웹 보안 여러분이 인터넷에 연결되어 있을때, IP주소가 여러분 컴퓨터의 신원을 확인하기 위해 사용됩니다. 따라서 스파이웨어, 부적절한 웹 컨텐트, 피싱, 스팸, 알려진 바이러스로부터 컴퓨터를 보호하는 웹 보안이 필요 인터넷 게이트웨이에서 해킹방지, 바이러스 침입 방지, 전자우편 프라이버시 서버에서 스팸메일 차단 네트워크에서 스파이웨어, 애드웨어 차단 P2P (Peer-to-Peer Filesharing): ftp같은 파일서버 없이 시스템간 파일공유가 가능한 소프트웨어 파일공유는 저작권, 스파이웨어, 애드웨어, 바이러스 등 문제 발생
정보보호 기술 Encryption Hashing Digital signatures Digital certificates Secure communication Authentication Authorization Firewalls
암호 대칭키 암호는 하나의 키로 데이터를 암호화하고 복호화한다. 따라서 빠르고 효율적이다. 비대칭키 암호는 2개의 수학적 관련 있는 키를 사용한다. 예를 들면 공개키로 암호화하고 비밀키로 복호화한다. 비대칭키는 보다 안전하지만 느리고 비효율적이다.
비대칭키의 해시함수
전자서명의 해시함수
전자인증 digital cetificates
통신 보안 secure communication
IPsec IP Security의 준말로 네트워크 계층의 IP 패킷 보호를 위한 인터넷 표준 방식이다. IPSec을 이용하여 공용망에서 암호화, 인증등의 기능을 구현하여 가상으로 사설 네트워크를 구축한 것과 같은 효과를 내게 된다.
SSL Secure Socket Layer의 약자로 인터넷상에서 교환되고 있는 각종 데이터를 암호화하여 제3자에게 데이터가 노출이 되더라도 판독이 불가능하도록 만드는 통신기술
인증 Authentication 인증이란 거래 당사자간에 상대의 신분을 검증하는 것 또는 교환되는 정보가 위변조되지 않은 것을 검증하는 것을 말한다. 최근에는 공개키 기반구조의 일부인 인증기관에 의해 발급되고 검증된 디지털 증명의 사용이 인터넷 상에서 인증을 수행하는 표준적인 방법이 되고 있다.
권한부여 Authorization 권한부여(authorization)는 가고 싶은 곳으로 가도록 혹은 원하는 정보를 얻도록 허용하는 과정이다. 인증이 있는 사람이 서비스나 데이터에 접근할 수 있는 권한을 갖추도록 한다.
방화벽 firewalls 외부 사용자(WAN) 들이 내부 네트웍(LAN)에 접근하지 못하도록 하는 일종의 내부 네트웍 방어도구 2의 네트워크 사이에서 접근제어 정책을 구현할 수 있도록 하 는 시스템이나 시스템들의 집합
전자우편 보안 전자서명의 암호
비밀번호 청와대 내 모든 컴퓨터는 보안상 '부팅'과 함께 화면보호기가 작동되는데, 'CTRL+ALT+DEL' 키를 동시에 누른 뒤 비밀번호를 입력해야 정상 화면에 '진입'할 수 있다. 문제는 정작 '최종 결재권자'인 대통령에게 이같은 사용법과 비밀번호가 제대로 전달되지 않았다는 점이다.
비밀번호 보안 Passwords are like Underwear! Don’t’ leave yours lying around. Don’t share them with friends The longer the better Change yours often Be mysterious
요점정리 정보윤리의 필요성: 신용정보와 개인정보 유출 반복 유해정보심의제도, 청소년유해매체물표시제도, 인터넷 등급제 사생활 침해: 소극적 프라이버시와 적극적 프라이버시 인터넷 프라이버시 보호방안 사이버 범죄: 컴퓨터와 가상공간에서 발생하는 모든 유형의 불법행위 (해킹, 크래킹, 트로이목마, 스푸핑, 스니퍼, 위장채널) 사이버 범죄에 대한 대책 정보보호의 목적: 무결성, 가용성, 기밀성, 부인방지, 인증, 접근통제 물리적 보호와 논리적 보호 정보보호기술: Encryption, Hashing, Digital signatures, Digital certificates, Secure communication, Authentication, Authorization, Firewalls