정보 보안 개론

Chapter 01 정보 보안의 세계
01 해킹과 보안의 역사 o25
1 1950년대 이전 o25
2 1960년대 o28
3 1970년대 o30
4 1980년대 o32
5 1990년대 o42
6 2000년대 o44
7 2010년대 o47
02 보안의 3대 요소 o49
1 기밀성 o49
2 무결성 o50
3 가용성 o50
03 보안 전문가의 자격 요건 o51
1 윤리 의식 o52
2 다양한 분야에 대한 전문성 o54
04 보안 관련 법 o58
1 정보통신망 이용촉진 및 정보보호 등에 관한 법률 o58
2 정보통신 기반 보호법 o59
3 개인정보 보호법 o60
4 통신비밀 보호법 o61
5 저작권법 o61
요약 o63
연습문제 o65
현장의 목소리 : 사이버 戰의 전주곡 : 3.20 금융/방송사 사이버 공격 o67

Chapter 02 시스템 보안
01 시스템 보안에 대한 이해 o71
02 계정과 패스워드 관리 o74
1 운영체제의 계정 관리 o75
2 데이터베이스의 계정 관리 o80
3 응용 프로그램의 계정 관리 o80
4 네트워크 장비의 계정 관리 o81
5 패스워드 관리 o81
03 세션 관리 o84
04 접근 제어 o87
1 운영체제의 접근 제어 o87
2 데이터베이스의 접근 제어 o89
3 응용 프로그램의 접근 제어 o90
4 네트워크 장비의 접근 제어 o90
05 권한 관리 o91
1 운영체제의 권한 관리 o91
2 데이터베이스의 권한 관리 o94
3 응용 프로그램의 권한 관리 o96
06 로그 관리 o97
1 운영체제의 로그 관리 o98
2 데이터베이스의 로그 관리 o103
3 응용 프로그램의 로그 관리 o107
4 네트워크 장비의 로그 관리 o111
07 취약점 관리 o113
1 패치 관리 o113
2 응용 프로그램별 고유 위험 관리 o114
3 응용 프로그램을 통한 정보 수집 제한 o114
요약 o116
연습문제 o120

Chapter 03 네트워크 보안
01 네트워크에 대한 이해 o125
1 물리 계층(1계층) o126
2 데이터 링크 계층(2계층) o128
3 네트워크 계층(3계층) o132
4 전송 계층(4계층) o137
5 세션 계층(5계층) o142
6 표현 계층(6계층) o143
7 응용 프로그램 계층(7계층) o143
02 서비스 거부(DoS) 공격 o144
1 취약점 공격형 o145
2 자원 고갈 공격형 o147
3 분산 서비스 거부(DDoS) 공격 o153
0 3 스니핑 공격 o157
1 스니핑의 원리 o157
2 스위치 재밍 공격 o159
3 SPAN 포트 태핑 공격 o159
4 스니퍼의 탐지 o159
0 4 스푸핑 공격 o162
1 ARP 스푸핑 공격 o162
2 IP 스푸핑 공격 o165
3 ICMP 리다이렉트 공격 o167
4 DNS 스푸핑 공격 o168
5 세션 하이재킹 공격 o172
0 6 무선 네트워크 공격과 보안 o174
1 AP 보안 o176
2 무선 랜 통신 암호화 o178
3 EAP와 802.1x의 암호화 o180
요약 o182
연습문제 o186
현장의 목소리 : 합법적인 해킹?! o188

Chapter 04 웹 보안
01 웹에 대한 이해 o191
02 HTTP에 대한 이해 o193
1 HTTP 프로토콜 o193
2 HTTP Request o194
3 HTTP Response o196
03 웹 서비스에 대한 이해 o197
1 HTML o197
2 SSS o198
3 CSS o198
04 웹 해킹에 대한 이해 o200
1 웹 취약점 스캐너를 통한 정보 수집 o200
2 웹 프록시를 통한 취약점 분석 o201
3 구글 해킹을 통한 정보 수집 o209
05 웹의 주요 취약점 10가지 o213
1 명령 삽입 취약점 o213
2 XSS 취약점 o219
3 취약한 인증 및 세션 관리 o222
4 직접 객체 참조 o224
5 CSRF 취약점 o231
6 보안 설정 취약점 o232
7 취약한 정보 저장 방식 o233
8 URL 접근 제한 실패 o233
9 인증 시 비암호화 채널 사용 o234
10 부적절한 오류 처리 o234
06 웹의 취약점 보완 o235
1 특수문자 필터링 o235
2 서버 측 통제 적용 o237
3 지속적인 세션 관리 o238
요약 o239
연습문제 o242

Chapter 05 코드 보안
01 시스템과 프로그램에 대한 이해 o247
1 시스템 메모리의 구조 o248
2 프로그램의 실행 구조 o251
3 셸 o259
4 프로세스 권한과 SetUID o261
02 버퍼 오버플로우 공격 o264
1 버퍼 오버플로우 공격의 개념 o264
2 버퍼 오버플로우 공격의 원리 o265
3 버퍼 오버플로우 공격에 대한 대응책 o271
03 포맷 스트링 공격 o273
1 포맷 스트링 공격의 개념 o273
2 포맷 스트링 공격의 원리 o274
요약 o279
연습문제 o282
현장의 목소리 : 아는 것이 힘이다 o284

Chapter 06 악성코드
01 악성코드 o287
1 악성코드의 역사 o287
2 악성코드의 분류 o290
02 바이러스 o292
1 1세대 : 원시형 바이러스 o292
2 2세대 : 암호형 바이러스 o296
3 3세대 : 은폐형 바이러스 o296
4 4세대 : 다형성 바이러스 o297
5 5세대 : 매크로 바이러스 o297
6 차세대 바이러스 o299
03 웜 o300
1 MASS Mailer형 웜 o300
2 시스템 공격형 웜 o301
3 네트워크 공격형 웜 o302
04 기타 악성코드 o304
1 백도어와 트로이 목마 o304
2 인터넷 악성코드 o305
3 스파이웨어 o306
05 악성코드 탐지 및 대응책 o307
1 네트워크의 상태 점검하기 o308
2 정상적인 프로세스와 비교하기 o310
3 백도어의 실질적인 파일 확인하기 o314
4 시작 프로그램과 레지스트리 확인하기 o316
5 백도어 제거하기 o317
요약 o319
연습문제 o321

Chapter 07 모바일 보안
0 1 모바일 운영체제의 역사 o325
1 팜 OS o325
2 윈도 CE o325
3 블랙베리 OS o326
4 iOS o327
5 안드로이드 o327
02 모바일 운영체제의 보안과 취약점 o329
1 iOS의 보안과 취약점 o329
2 안드로이드의 보안과 취약점 o333
03 모바일 기기 보안의 문제점 o337
1 이동성으로 인한 문제점 o337
2 블루투스의 취약점과 위협 o338
요약 o340
연습문제 o342

Chapter 08 암호에 대한 이해
01 암호의 발전사 o345
1 최초의 암호 o346
2 전치법 o346
3 대체법 o347
02 대칭 암호화 방식 o355
1 DES 알고리즘 o355
2 트리플 DES 알고리즘 o358
3 AES 알고리즘 o358
4 SEED 알고리즘 o359
5 ARIA 알고리즘 o359
6 기타 대칭형 알고리즘 o360
03 비대칭 암호화 방식 o361
1 비대칭 암호화 방식의 발견 o361
2 RSA 알고리즘 o363
3 비대칭 암호화의 구조 o364
4 비대칭 암호화의 기능 o365
04 해시 o369
1 해시의 특징 o369
2 해시의 역할 o370
3 해시의 종류 o372
요약 o375
연습문제 o377

Chapter 09 암호를 이용한 전자상거래
01 전자상거래에 대한 이해 o381
1 전자상거래의 시작 o381
2 전자상거래의 보안 요건 o383
02 공개키 기반 구조 o385
1 공개키 기반 구조의 개념 o385
2 공인인증서에 대한 이해 o387
03 전자서명과 전자봉투 o392
1 전자서명 o392
2 전자봉투 o395
04 전자결재 o397
1 SET o397
2 Cyber Cash o402
3 First Virtual o402
4 스마트카드 o403
05 암호화 통신 o410
1 전자우편의 암호화 o410
2 네트워크 암호화 o413
06 컨텐츠 보안 o416
1 스테가노그래피 o416
2 워터마크 o416
요약 o417
연습문제 o422
현장의 목소리 : 은행, 안전한 금고인가? o424

Chapter 10 보안 시스템
01 인증 시스템 o427
1 Something You Know o427
2 Something You Are o428
3 Something You Have o431
4 Somewhere You Are o432
5 SSO o433
02 방화벽 o436
1 방화벽의 주요 기능 o437
03 침입 탐지 시스템 o439
1 침입 탐지 시스템의 주요 기능 o440
2 칩임 탐지 시스템의 설치 위치 o442
04 침입 방지 시스템 o444
1 침입 방지 시스템의 개발 o444
2 침입 방지 시스템의 동작 o445
3 침입 방지 시스템의 설치 o446
0 5 VPN o447
0 6 출입 통제 및 모니터링 장비 o450
1 감시 카메라 o450
2 엑스레이 검사기 o450
3 금속 탐지기 o451
4 보안 스티커 o451
0 7 기타 보안 솔루션 o452
1 NAC o452
2 보안 운영체제 o454
3 백신 o455
4 PC 방화벽 o455
5 스팸 필터 솔루션 o457
6 DRM o458
요약 o460
연습문제 o463

Chapter 11 침해 대응과 포렌식
0 1 침해 대응 o467
1 사전 대응 o468
2 사고 탐지 o470
3 대응 o472
4 제거 및 복구 o472
5 후속 조치 및 보고 o473
02 포렌식에 대한 이해 o474
1 증거에 대한 이해 o475
2 증거 개시 제도 o476
3 포렌식의 기본 원칙 o476
4 포렌식 수행 절차 o478
5 사이버 수사 기구 o480
03 증거 수집 o483
1 네트워크의 증거 수집 o483
2 시스템(PC)에서의 증거 수집 o484
3 데이터 및 응용 프로그램에서의 증거 수집 o491
요약 o493
연습문제 o495

Chapter 12 사회공학
0 1 사회공학에 대한 이해 o499
1 사회공학에 취약한 조직 o500
2 사회공학 대상 o501
02 사회공학 기법 o502
1 인간 기반 사회공학 기법 o502
2 컴퓨터 기반 사회공학 기법 o505
03 사회공학에 대한 대응책 o510
요약 o511
연습문제 o513
현장의 목소리 : 정보보호 패러다임과 정보보호 관리 o514

Chapter 13 보안 관리
0 1 정보 보안 거버넌스 o517
1 정보 보안 거버넌스 구현의 어려움 o517
2 정보 보안 거버넌스의 구현 요건 o518
3 정보 보안 거버넌스의 점검 사항 o519
02 보안 프레임워크 o521
1 ISO 27001 o521
2 ISMS o522
3 보안 조직 o525
04 보안 정책과 절차 o530
1 영미권의 보안 정책 o530
2 국내의 보안 정책 o532
3 보안 정책서 서식 o536
05 접근 제어 모델 o538
1 임의적 접근 제어 모델 o538
2 강제적 접근 제어 모델 o538
3 RBAC o541
06 내부 통제 o543
1 최소 권한 o543
2 직무 분리 o544
07 보안 인증 o546
1 TCSEC o546
2 ITSEC o549
3 CC o549
08 개인정보 보호 o551
요약 o553
연습문제 o557

Appendix 부록
0 1 실습 환경 구축하기 o560
0 2 보안 관련 법 o567
0 3 ISO 27001의 11가지 분야 o581
찾아보기o591