주요정보통신기반시설 기술적 취약점 분석,평가 방법 상세가이드

기본적으로 모의해킹을 하는데 웹 부분을 많이들 봅니다. 이유는 네트워크를 타고 해킹을 시작하고 그다음에 웹 서버 해킹 그리고, 시스템 해킹 이런 식으로 해킹이 진행이 되기 때문에 많이들 웹 해킹 쪽으로 시작을 하곤 합니다. 그래서 저도 공부하기도 할 겸해서 웹 부분을 먼저 정리하려고 합니다. 

위에 있는 표 안에 있는 항목 중요도를 보시면 전부 다 상으로 표시가 되어 있습니다. 무엇 하나 빠짐없이 다 중요하고, 그 영향이 높다는 것을 알 수가 있습니다. 이 중에서 하나라도 보안이 되어 있지 않다면 해킹이 시작되고 나면 서버까지 점령이 되어 많은 중요정보들을 노출될 수 있다는 점입니다. 

나쁜 쉐이들......

 

그전에 알아야 할 중요 개념이 있습니다. 취약점, 위협 그리고 위험 이렇게 세가지 개념이 있어야 합니다.

 

왜냐하면 저희는 공부를 해서 아는 개념이지만 다른 사람들에게 얼마나 위험한지 설명하기 위해 제대로 알고 있어야 합니다. 

 

그리고 가장 헷갈리기도 해서 제대로 알아두어야 합니다. 

 

가장 처음으로 시작되는 개념은 취약점이라고 생각합니다.(이것은 지극히 제 개인적인 생각이니까 무시하셔도 무방합니다.)

 

그럼 취약점이 무엇이냐?

취약점 정의 

이렇게 정의가 되어 있네요

 

저희는 이제 이것을 it의 입장으로 다시 봅시다. 

 

취약점(vulnerability)은 공격자가 시스템의 정보 보증을 낮추는데 사용되는 약점이다. 취약점은 세 요소의 교집합이다. 시스템 민감성 또는 결함, 공격자가 결함에 대한 접근 그리고 공격자가 결함에 대한 익스플로잇 가능성. [1] 취약점을 익스플로잇 하기 위해서, 공격자는 반드시 시스템의 약점에 접속할 수 있는 적어도 하나의 툴이나 기법을 가져야 한다. 이 경우에, 취약점은 또한 공격 영역이라고도 불린다.

공격 영역 만들기 - 위키백과, 우리 모두의 백과사전

 

 

아........ 뭔 소리야.......???

그냥 한 마디로 공격자가 공격할 무기가 있고, 그리고 공격할 대상 중에 약한 부분이 있다고 판단되는 부분이 있고, 그리고 다가갈 길이나 환경이 만족해야 된다. 

 

솔직히 이런 거 상관없이 어??? 저기로 공격하면 될 듯!!!! 이런 생각이 들면 취약점임

 

자 이제 취약점을 알았으니 그다음은 위협을 알아보자

위협의 정의

사전적인 정의는 이렇게 나옵니다 그러면 이제 다시 it 쪽에서의 정의를 봐야겠죠?

 

실이나 손상의 원인이 될 가능성의 제공하는 환경을 말한다.

위협에 대한 예는, 취약점, 해커의 존재, 공격 대상이 될 수 있는 중요 자산 등이 있다.

출처: https://raisonde.tistory.com/entry/정보보호에서의-위협Threat과-위험Risk [지식잡식]

 

뭐 이런 식으로 정의한다고 하는데 정확하게는 정의가 블로그나 책마다 다른 거 같아서 아... 이런 의미구나 하면서 넘어가도 괜찮을 거 같습니다. 나중에 추후에 찾아보면서 정확한 정의가 있다면 수정하도록 하겠습니다.

위험의 정의

정보보호학에서 위험은 일반적으로 자산, 위협, 취약점의 세 가지 요소로 구성된다. [2] 간단히 설명하면 자산은 가치를 갖는 모든 것이고, 위협은 자산에 부정적 영향을 주는 직/간접적인 요인이며, 취약점은 위협이 발생할 수 있는 결함 혹은 상황이라고 볼 수 있다. 그리고 종합적으로 취약점을 통해 자산에 위협이 발생할 가능성이 위험으로 정의된다.

정보는 자산이고, 따라서 그에 걸맞은 위험관리를 해주어야 한다. 위험을 감당할 수 없는 자산의 소유가 독이 되어 그냥 처분해 버리는 등 다양한 위험 처리가 가능하다.

 

 

이게 또 무슨 말이냐???????????????????

 

자산, 위협, 취약점 이렇게 구성이 되어 있다고는 하는데 전부다 위험적인 측면으로 바라보겠다는 말입니다.

 

좀 더 쉽게 생각하면 내 집이 공격을 당하는데 가장 안전하게 공격을 당하지 않는 방법은 무엇인가요? 바로 공격할 대상이 되는 것을 제가 가지고 있지 않으면 된다. 이런 말입니다. 그냥 집이 없으면 된다. 이러면 내가 공격을 당할 가치도 없겠지요????????????

 

그다음으로는 취약점 자체가 없으면 그 만큼 위험이 사라지겠지요??

 

그 다음으로는 공격 하는 사람이 없으면 그 만큼 위험이 사라지겠지요????

 

뭐 이렇게 생각하면 됩니다. 

 

위험 = 자산*취약점*위협 

 

이렇게 계산을 합니다. 뭐든지 많으면 많을 수록 더 가지고 있는 자는 위험에 빠지기 마련 이니깐요

 

이렇게 오늘 글은 이렇게 용어 설명으로 간단하게 끝낼려고 합니다. 그래도 정보통신기반시설을 설명하다가 보면 이런 용어가 나올거 같아 설명을 먼저 했습니다. 그럼 나중에 또 봐요