현대사회와 정보보호기말 대체 레포트(생체 인식 반응의 정보 보호)목차1. 서론1-1 사례 선정 이유1-2 사례 개요2. 바이오 생체 인식2-1 바이오 생체 인식이란?2-2 생체 인식 시스템의 구성2-3 생체인식의 조건3. 결론 및 시사점3-1 사례의 피해 및 복구상황, 대처와 개선점3-2 선택한 사례와 교재와의 연관성4. 참고문헌1. 서론1-1 사례 선정 이유정보화 사회란 산업시대의 기술을 바탕으로 정보와 지식산업이 생산과 자본의 중심이 된 사회라고 볼 수 있다. 2차 세계 대전 이후 경제적, 사회적 변동 속에서 정보화 사회는 급격하게 진행되었다. 1990년대에 인터넷은 처음 전 세계적으로 보급되었고, 인터넷 기술의 급속적인 성장에 따라 정보와 지식의 교류, 생산, 소비, 유통 또한 급격하게 증대되었다. 정보와 지식은 사회, 경제, 문화, 통신 등 모든 분야에서 핵심요소로 자리를 잡으면서 정보와 지식은 물질과 에너지 이상의 가장 중요한 자산이 된 정보화 시대를 구축하였다. 인터넷의 보편화와 기술의 발달은, 개인들은 신용카드나 휴대폰, 컴퓨터의 통신으로 상품, 신용, 금융의 거래가 가능해지는 등 일상생활의 편리성과 간편성을 가져다주었다. 이렇게 우리 사회는 일상생활, 군사, 경제, 통신, 문화 등 모든 분야가 인터넷과 컴퓨터를 이용한 네트워크로 관리와 통제된다. 이에 따라 금융 거래 정보, 개인 정보등과 같은 중요하고 민간한 정보들을 네트워크를 이용해 전송, 수집, 저장되는 일이 증가하면서 정보를 안전하게 보호하는 것이 중요한 문제로 대두되었다. 정보의 영향력이 증가함에 따라 소프트웨어의 불법 복제, 스팸, 바이러스, 해킹 등 수많은 사이버 범죄가 증가하였다. 이러한 사이버 범죄는 개인적 이익을 위한 소규모 해킹으로 시작하여 현재는 해킹 기술의 발달로 집단적, 대규모적 또 다양하게 변이되었다. 공격 방식 또한 정교해지고 복잡해져 심각하면 사회적인 마비까지 일으킬 수 있는 수준에 이르렀다. 따라서 정보를 보호하는데 고도의 보안 기술이 요구된다. 정보보호는 단순히 를 제작하여 아이폰 X를 잠금장치를 푸는 영상을 공개했다. 이들이 만든 이 특수 마스크는 3D 프린터기로 만든 플라스틱 틀에 실리콘 코, 2D로 만든 눈으로 이루어졌다. 그들은 애플의 AI방식을 작동 방식을 이해하여 보안 해킹에 성공했다고 주장했다.#사례 3생체 인증 기술은 문자열을 입력하는 방식인 비밀번호처럼 해킹될 수 있다. 해커들은 네트워크 통신을 도청하는 장치인 ‘중간자공격(MITM)’ 방식을 통해 생체 인증 과정에서 오고가는 생체 정보를 추출하여 탈취할 수 있다. 2006년 보안 콘퍼런스인 ‘블랙햇(Blackhat)‘은 이러한 해킹을 시연하였다.#사례 4는 ’10살 소년이 그의 어머니의 페이스 아이디를 잠금해제 했다’고 보도했다. 따라서 그의 부모는 기존의 데이터를 삭제 후 안면 정보를 재등록했다고 밝혔다.#사례 5영국 매체 은 실리콘 케이스를 이용하여 지문 인식을 뚫은 사례를 보도했다.‘갤럭시S10’, ‘갤럭시노트10’에는 초음파식 지문인식 센서가 탑재되어 있다. 이 두 제품의 전면에 실리콘 케이스를 씌웠더니 등록된 지문이 아닌데도 잠금이 해제되었다.#사례 62015년 미국의 연방 인사관리국(OPM)은 해킹으로 인해 미공무원 2150만 명의 개인정보와 560만 개의 지문 정보가 유출되었다.‘나시르 메몬‘ 뉴욕대 교수는 8200개의 지문 패턴 분석을 통해 ‘마스터 지문’을 만들었는데, 결과적으로 스마트폰의 지문인식 시스템의 65%를 열 수 있었다고 주장했다.#사례 7미국시민자유연맹(ACLU)은 아마존의 얼굴 인식 기능을 이용해 2만5000명의 범죄자 사진과 미국 상하원 의원들의 얼굴을 대조했다. 그 결과 의원 28명이 범죄자로 지목되는 오류 현상이 발생하였다.위와 같은 사례들을 보면 현재의 스마트폰 생체인식 기술은 사용자 본인의 신체 외의 모조품이나, 닮은 사람으로도 잠금 해제된다. 또 생체 입력 시스템을 이용한 생체 정보의 탈취, 인식 오류의 문제 등도 나타나기 떄문에 생체 인식기술은 여전히 보안에 취약하다는 지적을 제기할 수 있다.2. 바이오 생체조직으로 구성되어 있다. 이 인식 시스템에는 생체 여부를 확인하는 모듈이 있다. 이 모듈은 눈의 깜박임과 빛에 따라 동공이 확대 축소하는지를 분석하여 살아있는 사람의 홍채인지를 분석한다.-적용분야: 현재 미국의 Conk country 감옥에서 사용되고 있다. 감옥에서 풀려나올 죄수의 신분확인용으로 홍채 스캔 시스템이 사용된다.-장점: 1m 떨어진 곳에서도 카메라를 통한 포착이 가능하다. 즉 비접촉적인 인식이 가능하여 지문처럼 흔적을 남기지는 않는다. 또한 홍채는 지문보다 훨씬 많은 특징 값들을 추출이 가능하다.-단점: 장님 또는 백내장 환자와 같은 사람들에게는 비효율적이다.③ 안면인식-특징: 기존에 저장된 얼굴 사진의 데이터와, 카메라에 의해 잡힌 영상과의 대조를 통해 본인 여부를 확인하는 기술이다. 얼굴 특징을 추출하는 데에는 얼굴 형태의 열상을 이용하는 방법과 3차원 측정기를 이용하는 방법이 있다. 얼굴인식 기술은 눈, 코, 입술, 눈썹, 턱등 얼굴 골격이 변하는 부위 50곳을 분석하여. 이 값들을 데이터베이스에 저장했다가 신원 확인 시에 비교한다. 본인인증을 위한 얼굴 이미지 인식 시스템은 대부분 이미지를 포착에 CCTV 카메라와 표준 카메라를 사용한다.-장단점: 특별한 동작 또는 행위의 요구가 없이 비접촉적으로 식별한다. 사용 대상의 노화, 헤어 스타일의 변화, 밝기, 조명, 수염의 유무, 방향 등에 따라 데이터의 변화가 심하여 고도의 신뢰성 보안을 요구하는 보안 분야에서는 적용이 어렵다.-적용 범위: 최근에 인공지능(AI) 카메라와 빅데이터의 얼굴 인식 기술을 이용해 미국 경찰관들은 인공 지능 카메라를 가슴에 부착하여 다닌다. 범죄 용의자나 미아를 찾아는데 이 기술을 이용한다. 수백 명의 얼굴을 동시에 인식하여 저장된 데이터베이스의 사진과 비교한다.④ 음성인식-특징: 개인마다 가진 독특한 음성 특징에 의존한 방법으로 음성은 행동적, 생리적 요소의 조화에 의해 형성된다. 이 기술은 목소리를 100분의 1초마다 샘플링한 뒤 음성 주파수의 형태로 저장하여 대상자의 생체 특징값과 데이터 저장부에 저장된 생체 정보를 대조한다. 주로 두 개의 값이 얼마나 일치하는지를 계산하여 점수로 산출한다.⑤ 결정부(decision): 비교부로부터 생체정보 점수를 받아 대상자를 식별한다. 미리 설정된 임계값과 계산된 점수를 통해 인식 결과를 “예” 또는 “아니오”의 이진값으로 출력한다.2-3 생체인식의 조건① 보편성(university): 모든 사람이 보편적으로 가진 생체의 특징이여야 한다② 유일성(uniqueness): 개개인별로 특징이 확연하게 구별되어야 한다③ 지속성(permanence): 생체 대상은 일생동안 그 특성이 변함없어야 한다④ 수집성(collectability): 특징점들을 취득이 쉬워야한다.⑤ 성능(performance): 개인 식별이 우수 해야한다.⑥ 수용성(acceptance): 생체인식 과정에서 대상자가 거부감을 갖지 않아야 한다⑦ 위/변조 가능성(circumvention): 위조와 변조가 불가능 해야 한다3. 결론 및 시사점3-1 사례의 피해 및 복구상황, 대처와 개선점위의 1, 2, 4, 5번의 사례들은 생체의 모조품이나, 닮은 사람등으로 스마트폰의 잠금장치가 해제된 경우이다. 현재 스마트폰의 생체 인식 보안이 해제되어 문제가 제기된 사례는 많지만 아직은 이로 인한 직접적인 피해 사례는 보도되지 않았다. 삼성과 애플 기업에서는 생체 모조품등으로 보안장치가 풀린 것에 대해서 ‘닮은 사람에 의해 잠금 장치가 풀릴 확률은 매우 희박하다’, ‘해당 문제를 조만간 업데이트 하겠다’, ‘사례에서 모조품 형성에 쓰인 적외선 카메라는 일반 사람들은 구하기 어렵다’로만 주장하고 있다. 6번 사례를 보면, 2015년 미국 연방 인사관리국(OPM)은 해킹을 당하여 공무원 560만 개의 지문정보와 개인정보가 유출되었다. 시스템 인증 방식이 지문으로만 이루어지지는 않아서 다행히 큰 피해는 없었다.각 기업들은 이러한 생체 정보의 취약점을 개선하기 위해 다양한 방안을 도입하였다. 애플의 경우, 강력한 보안을 위해 face ID는펴보면, 기업들은 제3자에 의해 위조, 변조된 생체 정보가 처리되지 않도록 보안 조치를 취하며 전송구간을 암호화하며 안전한 영역에서 정보를 처리해야 한다. 생체 원본 정보는 특징정보가 생성된 경우 복구 또는 재생되지 않도록 파기하며, 예외적으로 원본 정보를 보관하는 경우에는 다른 개인정보와 분리해 저장, 관리해야 한다.생체 인식 시스템은 개인의 신체적, 행위적 특징을 기반으로 한 개인 식별 방법으로, 생체 정보는 유일성, 고유성, 지속성을 갖는다. 이 정보는 건강상태, 유전 내력까지도 알아낼 수 있고, 한번 유출되면 해당 정보를 더 이상 활용할 수 없게 되어 어떠한 보안키보다 민감하다. 그러한 이유들을 나열해 보자면 첫째로, 생체 정보는 외부에 공개되어 있다. 둘째, 생체 정보는 변경이 불가능하다. 비밀번호는 주기적으로 변경이 가능하지만, 신체는 변경이 불가능하기 때문에 생체정보의 변경은 불가능하여 개인에게 회복 불가능한 피해를 입힐 수 있다.생체정보는 편리성과 간편성을 가지며 도난이나 분실당할 확률이 적다는 점 때문에 많은 장점을 가지지만, 한번 유출되면 회복의 어려움이 크기 때문에 각 기관과 개인들은 정보 보안에 더욱 유의해야한다. 현재 우리나라는 생체 정보의 수집, 제공, 이용에 대해 개인정보보호 관련 법령에만 의존하고, 생체 정보의 보안법에 대한 별도의 보호 장치는 마련되어 있지 않다. 따라서 정부는 개인 정보 보호법보다 더 강화한 정책을 마련하여 보호 대상과 범위를 제시해야 한다. 예를 들어 미국의 법을 참고해보자면, 미국에서는 생체정보를 상업적으로 이용할 시에 개인들에게 정보들이 어떻게 사용될 것이고 어떤 위험 요소가 존재하는지를 의무적으로 알려야한다. 한국 정부는 또한 개인 정보 보호법을 위반한 기업에게 패털티를 강화해야 한다. 또한 생체 인식 시스템이 악용하여 개인들이 인권침해를 입지 않도록 한다. 현대의 생체 정보 보호법은 취약점이 다양하므로 이를 개선하기 위해서 각 기업들은 생체 모조품(예: 위조지문)등을 검출하는 방법들을 개발, 발전시켜야하다.
현대사회와 정보보호기말 대체 레포트(생체 인식 반응의 정보 보호)목차1. 서론1-1 사례 선정 이유1-2 사례 개요2. 바이오 생체 인식2-1 바이오 생체 인식이란?2-2 생체 인식 시스템의 구성2-3 생체인식의 조건3. 결론 및 시사점3-1 사례의 피해 및 복구상황, 대처와 개선점3-2 선택한 사례와 교재와의 연관성4. 참고문헌1. 서론1-1 사례 선정 이유정보화 사회란 산업시대의 기술을 바탕으로 정보와 지식산업이 생산과 자본의 중심이 된 사회라고 볼 수 있다. 2차 세계 대전 이후 경제적, 사회적 변동 속에서 정보화 사회는 급격하게 진행되었다. 1990년대에 인터넷은 처음 전 세계적으로 보급되었고, 인터넷 기술의 급속적인 성장에 따라 정보와 지식의 교류, 생산, 소비, 유통 또한 급격하게 증대되었다. 정보와 지식은 사회, 경제, 문화, 통신 등 모든 분야에서 핵심요소로 자리를 잡으면서 정보와 지식은 물질과 에너지 이상의 가장 중요한 자산이 된 정보화 시대를 구축하였다. 인터넷의 보편화와 기술의 발달은, 개인들은 신용카드나 휴대폰, 컴퓨터의 통신으로 상품, 신용, 금융의 거래가 가능해지는 등 일상생활의 편리성과 간편성을 가져다주었다. 이렇게 우리 사회는 일상생활, 군사, 경제, 통신, 문화 등 모든 분야가 인터넷과 컴퓨터를 이용한 네트워크로 관리와 통제된다. 이에 따라 금융 거래 정보, 개인 정보등과 같은 중요하고 민간한 정보들을 네트워크를 이용해 전송, 수집, 저장되는 일이 증가하면서 정보를 안전하게 보호하는 것이 중요한 문제로 대두되었다. 정보의 영향력이 증가함에 따라 소프트웨어의 불법 복제, 스팸, 바이러스, 해킹 등 수많은 사이버 범죄가 증가하였다. 이러한 사이버 범죄는 개인적 이익을 위한 소규모 해킹으로 시작하여 현재는 해킹 기술의 발달로 집단적, 대규모적 또 다양하게 변이되었다. 공격 방식 또한 정교해지고 복잡해져 심각하면 사회적인 마비까지 일으킬 수 있는 수준에 이르렀다. 따라서 정보를 보호하는데 고도의 보안 기술이 요구된다. 정보보호는 단순히 를 제작하여 아이폰 X를 잠금장치를 푸는 영상을 공개했다. 이들이 만든 이 특수 마스크는 3D 프린터기로 만든 플라스틱 틀에 실리콘 코, 2D로 만든 눈으로 이루어졌다. 그들은 애플의 AI방식을 작동 방식을 이해하여 보안 해킹에 성공했다고 주장했다.#사례 3생체 인증 기술은 문자열을 입력하는 방식인 비밀번호처럼 해킹될 수 있다. 해커들은 네트워크 통신을 도청하는 장치인 ‘중간자공격(MITM)’ 방식을 통해 생체 인증 과정에서 오고가는 생체 정보를 추출하여 탈취할 수 있다. 2006년 보안 콘퍼런스인 ‘블랙햇(Blackhat)‘은 이러한 해킹을 시연하였다.#사례 4는 ’10살 소년이 그의 어머니의 페이스 아이디를 잠금해제 했다’고 보도했다. 따라서 그의 부모는 기존의 데이터를 삭제 후 안면 정보를 재등록했다고 밝혔다.#사례 5영국 매체 은 실리콘 케이스를 이용하여 지문 인식을 뚫은 사례를 보도했다.‘갤럭시S10’, ‘갤럭시노트10’에는 초음파식 지문인식 센서가 탑재되어 있다. 이 두 제품의 전면에 실리콘 케이스를 씌웠더니 등록된 지문이 아닌데도 잠금이 해제되었다.#사례 62015년 미국의 연방 인사관리국(OPM)은 해킹으로 인해 미공무원 2150만 명의 개인정보와 560만 개의 지문 정보가 유출되었다.‘나시르 메몬‘ 뉴욕대 교수는 8200개의 지문 패턴 분석을 통해 ‘마스터 지문’을 만들었는데, 결과적으로 스마트폰의 지문인식 시스템의 65%를 열 수 있었다고 주장했다.#사례 7미국시민자유연맹(ACLU)은 아마존의 얼굴 인식 기능을 이용해 2만5000명의 범죄자 사진과 미국 상하원 의원들의 얼굴을 대조했다. 그 결과 의원 28명이 범죄자로 지목되는 오류 현상이 발생하였다.위와 같은 사례들을 보면 현재의 스마트폰 생체인식 기술은 사용자 본인의 신체 외의 모조품이나, 닮은 사람으로도 잠금 해제된다. 또 생체 입력 시스템을 이용한 생체 정보의 탈취, 인식 오류의 문제 등도 나타나기 떄문에 생체 인식기술은 여전히 보안에 취약하다는 지적을 제기할 수 있다.2. 바이오 생체조직으로 구성되어 있다. 이 인식 시스템에는 생체 여부를 확인하는 모듈이 있다. 이 모듈은 눈의 깜박임과 빛에 따라 동공이 확대 축소하는지를 분석하여 살아있는 사람의 홍채인지를 분석한다.-적용분야: 현재 미국의 Conk country 감옥에서 사용되고 있다. 감옥에서 풀려나올 죄수의 신분확인용으로 홍채 스캔 시스템이 사용된다.-장점: 1m 떨어진 곳에서도 카메라를 통한 포착이 가능하다. 즉 비접촉적인 인식이 가능하여 지문처럼 흔적을 남기지는 않는다. 또한 홍채는 지문보다 훨씬 많은 특징 값들을 추출이 가능하다.-단점: 장님 또는 백내장 환자와 같은 사람들에게는 비효율적이다.③ 안면인식-특징: 기존에 저장된 얼굴 사진의 데이터와, 카메라에 의해 잡힌 영상과의 대조를 통해 본인 여부를 확인하는 기술이다. 얼굴 특징을 추출하는 데에는 얼굴 형태의 열상을 이용하는 방법과 3차원 측정기를 이용하는 방법이 있다. 얼굴인식 기술은 눈, 코, 입술, 눈썹, 턱등 얼굴 골격이 변하는 부위 50곳을 분석하여. 이 값들을 데이터베이스에 저장했다가 신원 확인 시에 비교한다. 본인인증을 위한 얼굴 이미지 인식 시스템은 대부분 이미지를 포착에 CCTV 카메라와 표준 카메라를 사용한다.-장단점: 특별한 동작 또는 행위의 요구가 없이 비접촉적으로 식별한다. 사용 대상의 노화, 헤어 스타일의 변화, 밝기, 조명, 수염의 유무, 방향 등에 따라 데이터의 변화가 심하여 고도의 신뢰성 보안을 요구하는 보안 분야에서는 적용이 어렵다.-적용 범위: 최근에 인공지능(AI) 카메라와 빅데이터의 얼굴 인식 기술을 이용해 미국 경찰관들은 인공 지능 카메라를 가슴에 부착하여 다닌다. 범죄 용의자나 미아를 찾아는데 이 기술을 이용한다. 수백 명의 얼굴을 동시에 인식하여 저장된 데이터베이스의 사진과 비교한다.④ 음성인식-특징: 개인마다 가진 독특한 음성 특징에 의존한 방법으로 음성은 행동적, 생리적 요소의 조화에 의해 형성된다. 이 기술은 목소리를 100분의 1초마다 샘플링한 뒤 음성 주파수의 형태로 저장하여 대상자의 생체 특징값과 데이터 저장부에 저장된 생체 정보를 대조한다. 주로 두 개의 값이 얼마나 일치하는지를 계산하여 점수로 산출한다.⑤ 결정부(decision): 비교부로부터 생체정보 점수를 받아 대상자를 식별한다. 미리 설정된 임계값과 계산된 점수를 통해 인식 결과를 “예” 또는 “아니오”의 이진값으로 출력한다.2-3 생체인식의 조건① 보편성(university): 모든 사람이 보편적으로 가진 생체의 특징이여야 한다② 유일성(uniqueness): 개개인별로 특징이 확연하게 구별되어야 한다③ 지속성(permanence): 생체 대상은 일생동안 그 특성이 변함없어야 한다④ 수집성(collectability): 특징점들을 취득이 쉬워야한다.⑤ 성능(performance): 개인 식별이 우수 해야한다.⑥ 수용성(acceptance): 생체인식 과정에서 대상자가 거부감을 갖지 않아야 한다⑦ 위/변조 가능성(circumvention): 위조와 변조가 불가능 해야 한다3. 결론 및 시사점3-1 사례의 피해 및 복구상황, 대처와 개선점위의 1, 2, 4, 5번의 사례들은 생체의 모조품이나, 닮은 사람등으로 스마트폰의 잠금장치가 해제된 경우이다. 현재 스마트폰의 생체 인식 보안이 해제되어 문제가 제기된 사례는 많지만 아직은 이로 인한 직접적인 피해 사례는 보도되지 않았다. 삼성과 애플 기업에서는 생체 모조품등으로 보안장치가 풀린 것에 대해서 ‘닮은 사람에 의해 잠금 장치가 풀릴 확률은 매우 희박하다’, ‘해당 문제를 조만간 업데이트 하겠다’, ‘사례에서 모조품 형성에 쓰인 적외선 카메라는 일반 사람들은 구하기 어렵다’로만 주장하고 있다. 6번 사례를 보면, 2015년 미국 연방 인사관리국(OPM)은 해킹을 당하여 공무원 560만 개의 지문정보와 개인정보가 유출되었다. 시스템 인증 방식이 지문으로만 이루어지지는 않아서 다행히 큰 피해는 없었다.각 기업들은 이러한 생체 정보의 취약점을 개선하기 위해 다양한 방안을 도입하였다. 애플의 경우, 강력한 보안을 위해 face ID는펴보면, 기업들은 제3자에 의해 위조, 변조된 생체 정보가 처리되지 않도록 보안 조치를 취하며 전송구간을 암호화하며 안전한 영역에서 정보를 처리해야 한다. 생체 원본 정보는 특징정보가 생성된 경우 복구 또는 재생되지 않도록 파기하며, 예외적으로 원본 정보를 보관하는 경우에는 다른 개인정보와 분리해 저장, 관리해야 한다.생체 인식 시스템은 개인의 신체적, 행위적 특징을 기반으로 한 개인 식별 방법으로, 생체 정보는 유일성, 고유성, 지속성을 갖는다. 이 정보는 건강상태, 유전 내력까지도 알아낼 수 있고, 한번 유출되면 해당 정보를 더 이상 활용할 수 없게 되어 어떠한 보안키보다 민감하다. 그러한 이유들을 나열해 보자면 첫째로, 생체 정보는 외부에 공개되어 있다. 둘째, 생체 정보는 변경이 불가능하다. 비밀번호는 주기적으로 변경이 가능하지만, 신체는 변경이 불가능하기 때문에 생체정보의 변경은 불가능하여 개인에게 회복 불가능한 피해를 입힐 수 있다.생체정보는 편리성과 간편성을 가지며 도난이나 분실당할 확률이 적다는 점 때문에 많은 장점을 가지지만, 한번 유출되면 회복의 어려움이 크기 때문에 각 기관과 개인들은 정보 보안에 더욱 유의해야한다. 현재 우리나라는 생체 정보의 수집, 제공, 이용에 대해 개인정보보호 관련 법령에만 의존하고, 생체 정보의 보안법에 대한 별도의 보호 장치는 마련되어 있지 않다. 따라서 정부는 개인 정보 보호법보다 더 강화한 정책을 마련하여 보호 대상과 범위를 제시해야 한다. 예를 들어 미국의 법을 참고해보자면, 미국에서는 생체정보를 상업적으로 이용할 시에 개인들에게 정보들이 어떻게 사용될 것이고 어떤 위험 요소가 존재하는지를 의무적으로 알려야한다. 한국 정부는 또한 개인 정보 보호법을 위반한 기업에게 패털티를 강화해야 한다. 또한 생체 인식 시스템이 악용하여 개인들이 인권침해를 입지 않도록 한다. 현대의 생체 정보 보호법은 취약점이 다양하므로 이를 개선하기 위해서 각 기업들은 생체 모조품(예: 위조지문)등을 검출하는 방법들을 개발, 발전시켜야하다.
현대사회와 정보보호 6주차 chapter51. What is risk management? Why is the identification of risks, by listing assets and their vulnerabilities, so important to the risk management process?-> risk management(리스크 관리)는 취약성을 나타내는 리스크를 조직의 정보 자산과 인프라에 식별하고, 이러한 리스크를 수용 가능한 수준으로 줄이는 과정이다.이것이 중요한 이유는 조직의 정보 기술의 안전과 보안을 줄일 수 있기 때문이다.3. Who is responsible for risk management in an organization? Which community of interest usually takes the lead in information security risk management?조직 내 모든 구성원이 책임감을 가지고 위험 관리의 중요성에 대해 생각해야한다.→ Information security community.7. What information attribute is often of great value for local networks that use static addressing?static addressing(정적 주소지정)을 사용하는 네트워크에서 IP주소는 고정되어있어서 (변경되지 않기 때문에) 하드웨어 자산을 식별하는데 유용하다.10. What are vulnerabilities? How do you identify them?-> vulnerabilities(취약점)은 어떤 위협이 정보 자산을 공격하기 위해 이용될 수 있는 방법이다. 그것들은 정보 자산, 보안 절차, 설계 또는 통제의 결함 또는 약점이며, 우발적으로 또는 고의로 보안 침해에 악용될 수 있다.-> 정보시스템의 모든 구성 요소를 분석하고 각각의 구성요소의 위험을 평가하여 취약점을 확인해야한다.11. What is competitive disadvantage? Why has it emerged as a factor?-> competitive disadvantage(경쟁 단점): 다른 조직보다 열등하다고 인식되는 제품이나 서비스를 공급하는 조직이 잃어버린 지렛대.효과적인 IT 지원 조직들은 경쟁 우위를 확보하거나 유지하기 위해서가 아니라, 오늘날의 시장에서 요구되는 높은 대응력을 유지할 수 없는 서비스들로 인한 시장 점유율의 손실을 피하기 위해 지금 떠오르는 기술을 빠르게 흡수한다.경쟁을 능가하기 위한 혁신적인 사업모델, 방법, 기법, 자원, 기술의 구현과 채택이다. 거의 모든 조직이 IT 시스템을 갖고 있다. 따라서 조직들은 뒤떨어지는 것을 막기 위해 그들의 IT 시스템을 개선할 필요가 있다.경쟁단점은 경쟁부분에서 이러한 경쟁을 뛰어넘기 위하여 여러 사업방법 모델 등 기술의 구현하며 채택하는것이며 이러한 것은 대부분 네트워크를 사용하기에 때문이며 이러한 경쟁에 접근 하려면 이러한 네트워크의 개선과 접근은 필수적이다.12. What are the strategies for controlling risk as described in this chapter?(1) Defend : 취약점의 악용을 방지한다.(2) Transfer : 다른 자산, 다른 프로세스, 다른 조직으로 위험을 이동시킨다.(3) Mitigate : 계획과 준비를 통해 취약점의 악용으로 인한 영향을 줄인다.(4) Accept : 취약점 보호를 위한 조치를 취하지 않고, 결과를 받아들인다.(5) Terminate : 통제 불능인 상황을 막기 위해 기능을 정지시킨다.13. Describe the “defend” strategy. List and describe the three common methods.-> defend control strategy는 취약성의 개발을 방지한다. 이것은 가장 선호되는 접근방식이며, 위협 대응, 자산으로부터의 취약성 제거, 자산에 대한 접근 제한, 보호 안전장치 추가 등의 방법으로 이루어진다-> three common methods: (1) Application of policy 정책 적용, (2) Education and training 교육 훈련, (3) Application of technology 기술의 응용14. Describe the “transfer” strategy. Describe how outsourcing can be used for this purpose.-> the transfer strategy는 위험을 다른 자산, 다른 프로세스, 다른 조직으로 이동하는 방식이다. 이것은 서비스가 제공되는 방식을 다시 생각, 배포 모델 수정, 다른 조직에 위탁(아웃소싱), 보험에 가입, 제공업체와 서비스 계약을 이행함으로써 달성될 수 있다.→ 아웃소싱을 통해 조직은 복잡한 시스템 관리와 위험요소를 다룰 줄 아는 다른 기업에게 위탁하는 것이다. 아웃소싱의 장점은 복구 작업이 필요할 때 서비스 제공자도 복구에 대한 책임이 있다는 것이다.15. Describe the “mitigate” strategy. What three planning approaches are discussed in the text as opportunities to mitigate risk?-> the mitigate strategy는 계획과 준비를 통해 취약점의 악용으로 인한 영향을 줄이는 방식이다.-> three planning approaches: (1) Incident response plan, (2) Disaster recovery plan, (3) Business continuity plan.16. How is an incident response plan different from a disaster recovery plan?사고대응계획 IR plan은 사고의 식별, 분류, 대응 및 복구를 해결한다. 재해복구계획 DR plan은 재해의 준비 및 복구를 해결한다. IR은 사업에 영향을 주지 않는 작은 문제들을 다루며, DR은 큰 위험에 대한 복구나 이러한 위험 이후의 운영 방안을 제시하는 계획이다.17. What is risk appetite? Explain why risk appetite varies from organization to organization.-> risk appetite는 완벽한 보안과 무제한 접근성 사이의 절충점으로, 조직이 기꺼이 받아들일 위험의 양과 성격이다.-> 정부에 규제를 받는 회사는 자사의 정보 자산을 보호하기 위해 모든 합리적인 통제와 침습적인 통제를 적용하려고 한다. 반면, 비규제조직은 무결성의 상실과 관련된 부정적인 홍보를 피하자 할 것이다. 따라서 risk appetite가 조직마다 다르다.
현대사회와 정보보호 기말대체 에이쁠
