보안 사고 사례, 공격자 관점, 방어자 관점

공격자 관점: 보안 자산, 취약점, 약점, 위협, 위험

방어자 관점: 보안 목적, 보안 요구사항, 보안 조치

보안의 3요소: 기밀성, 무결성, 가용성

 

공격자 관점

 

보안자산: 정보(데이터), 소프트웨어(컴퓨터 소프트웨어 등), 물리적 자산(서버 등), 서비스, 인력 등 조직에서 보유하고 있는 가치가 있는 모든 것을 말함

- 보안 자산은 제품의 이해 관계자에게 가치가 있는 것을 뜻함

- 보안 자산은 유형 무형의 상태를 가짐

- 유형 자산의 예: 현금, 장비, 하드웨어

- 무형 자산의 예: 소프트웨어, 영업권 및 지적 재산권 등

 

키리스 엔트리 시스템 보안 자산

- 자동차, 통신 데이터

 

취약점(Vulnerability)

- 시스템을 위협의 영향에 노출시키는 시스템의 약점

- 사용자 및 관리자의 부주의나 사회공학 기법에 의한 약점 포함

 

키리스 엔트리 시스템 취약점

- 통신 데이터 인증 결여

 

약점(weakness)

- 공격에 활용될 여지가 있는 오류

취약점(vulnerability)

- 실제로 공격 구현이 가능한 오류

 

위협원(Threat Agent)

- 어떤한 목적을 가지고 위협을 수행하거나 그 원인이 될 수 있는 활동을 수행, 지원하는 사람이나 조직. 경쟁 기업, 사내 임직원, 해커, 테러리스트 등

 

위협 행동(Threat Action)

- 피해를 입힐 의도로 목표 대상에 취한 모든 조치, 공격자가 자신의 목표를 달성하기 위한 전력

 

키리스 엔트리 시스템 위협 행동

- 공격자의 시그널 복제

 

위험(Risk)

- 외부의 위협이 내부의 취약성을 이용하여 보유한 각종 자산에 피해를 입힐 수 있는 잠재적인 가능성

 

키리스 엔트리 시스템 위험

- 통신데이터 재사용, 차량 탈취

 

위협

- 위험을 일으킬 소지가 다분한 요소

- 제어가 되지 않음

위험

- 위협 요소가 일으킬 수 있는 피해

- 관리 가능

 

취약점(약점)은 조치가 가능, 무엇인지 찾아내고 없애는게 중요

 

보안 조치를 통해 취약점을 제거하고 보안 위험을 줄일 수 있다

 

Moving Target Defense

- 데이터의 보존, 어플리케이션의 실행환경, 플랫폼의 구성, OS의 환경, 네트워크 토폴로지 등이 스스로 이동(Moving), 분산(Distribution), 랜덤화(Randomization), 다중 변형(Multi-variation)하여 사이버 공격을 근본적으로 예방할 수 있는 능동적 사전 보안(Proactive) 기술

- Dynamic Network

- IP Moving

 

 

방어자 관점

보안 목적(Security Objectives)

- 정보 보호 시스템을 통하여 궁극적으로 달성하고자 하는 최종 보안 요구사항, 기밀성 무결성 가용성 등

- 보안 목적 정의는 보호 대상에 적용하려는 보안 개념의 기초를 설정하는 매우 중요한 단계

 

키리스 엔트리 시스템 보안 목적

- 통신 데이터 인증

 

보안 요구사항(Security Requirement)

- 보안 목적을 달성하기 위한 매우 자세한 기능적/비기능적 사양

- ex. MAC, 챌린지-리스폰스..

 

키리스 엔트리 시스템 보안 요구사항

- 메시지 인증 코드 사용

 

보안 조치(Security Measure)

- 기밀성, 무결성 또는 가용성의 손실을 예방, 탐지 및 복구하는 기술적인 메커니즘 또는 조직적인 대책

 

키리스 엔트리 시스템 보안 조치

- HMAC 사용

 

 

1. 보안 목적 식별

2. 보안 요구사항 도출

3. 보안 조치 정의

4. 1~3 반복

 

하나의 보안 조치는 새로운 보안 목적과 요구사항 발생 가능

 

요약

정보 보호 기본 개념 6가지

- 보안 자산, 위협, 위험, 보안 목적, 보안 요구사항, 보안 조치