정보보안 공격·암호·접근통제 정리
보안 목표, 암호 방식, 웹 공격과 대응책을 원인·대응 관계로 학습합니다.
관련 시험 정보보안기사정보처리기사9급 컴퓨터일반
보안 목표와 인증
기밀성은 노출 방지, 무결성은 비인가 변경 방지, 가용성은 필요 시 이용 가능성을 의미합니다. 인증은 신원 확인이고 인가는 인증된 주체의 허용 행위를 결정합니다.
- 전자서명은 송신자 인증·무결성·부인방지를 제공한다.
- 해시는 일반적으로 복호화 대상이 아니다.
- Salt는 동일 비밀번호의 해시가 같아지는 문제를 줄인다.
웹 공격 구분
SQL 삽입은 입력이 SQL 구문으로 해석되는 문제, XSS는 스크립트가 사용자의 브라우저에서 실행되는 문제, CSRF는 로그인 상태를 악용해 원치 않는 요청을 보내는 문제입니다.
- SQL 삽입에는 매개변수화 쿼리가 핵심이다.
- XSS에는 문맥에 맞는 출력 인코딩이 중요하다.
- CSRF에는 토큰과 SameSite 쿠키가 도움이 된다.
접근통제
DAC는 소유자 재량, MAC은 중앙 보안 등급, RBAC은 직무 역할을 기준으로 권한을 관리합니다. 최소 권한과 직무 분리는 운영 통제의 기본 원칙입니다.
- ACL은 객체에 대한 주체별 권한 목록이다.
- 권한 검토는 퇴사·이동 등 계정 생명주기와 연결한다.
- 관리자 권한은 일상 계정과 분리하는 것이 바람직하다.
자주 틀리는 판단
- 암호화와 해시를 같은 가역 처리로 이해
- XSS와 CSRF의 실행 주체·대응책 혼동
- 인증과 인가를 같은 의미로 사용
개념을 확인했다면 실제 문제에서 판단 기준을 적용해보세요.
분야별 문제 풀기