Brain
Science
root
/
학습 노트
/
Study Note
/
9: 정보 보안 (Security)
/
1. 보안 개요 및 기본 원칙
1. 보안 개요 및 기본 원칙
1. 정보보안 3요소 — CIA (기밀성·무결성·가용성)
2023-10-24
2. 기밀성 (Confidentiality) — 암호화, 접근 제어, DRM, 분류
2023-10-24
3. 무결성 (Integrity) — 해시, 전자서명, MAC, HMAC, 체크섬
2023-10-24
4. 가용성 (Availability) — HA 설계, RAID, 부하 분산, DDoS 방어, SLA
2023-10-24
5. 인증성 (Authenticity) — 신원 확인, PKI, 디지털 서명, 메시지 인증
2023-10-24
6. 부인방지 (Non-repudiation) — 전자서명, 타임스탬프, 로그, 감사 추적
2026-03-26
7. 책임추적성 (Accountability) — 감사 로그, 감사 기록, 사용자 행동 추적
2026-03-26
8. 개인정보보호 3요소 — 기밀성·무결성·접근성 (ISO 27701)
2026-03-26
9. 정보보안 6요소 — CIA + 인증성 + 부인방지 + 책임추적성
2026-03-26
10. 최소 권한 원칙 (Principle of Least Privilege) — 필요 알 권리
2026-03-25
11. 직무 분리 원칙 (Separation of Duties) — 4눈 원칙, 분산 통제
2026-03-25
12. 다단계 인증 원칙 (Defense in Depth) — 심층 방어
2026-03-25
13. 알 필요성 원칙 (Need-to-Know) — 정보 접근 제한
2026-03-25
14. 단순 보안 원칙 (Simplicity) — 불필요한 복잡성 제거
2026-03-25
15. 공개 설계 원칙 (Open Design) — 키 은닉,而非 算法 은닉
2026-03-25
16. 실패 안전 원칙 (Fail-Safe) — 기본값 거부, 오류 시 안전 상태
2025-02-24
17. 완전한 중재 원칙 (Complete Mediation) — 모든 접근 경로 검사
2025-02-24
18. 경제적 설계 원칙 (Economy of Mechanism) — 최소 구현
2025-02-24
19. 완전한 통제 원칙 (Open Platform for Security) — 분리 보호
2025-02-24
20. Least Common Mechanism — 메커니즘 공유 최소화
2025-02-24
21. 심리적 사용성 원칙 (Psychological Acceptability) — 보안이 사용성을 해치면 안 됨
2026-04-02
22. 정보보안 정책 — 최고 경영진 승인, 문서화된 규칙
2026-04-02
23. 정보보안 표준 — 정책實施 위한 구체적 기준
2026-04-02
24. 정보보안 지침 — 표준 적용 방법론
2026-04-02
25. 정보보안 절차 — 구체적 작업 지침
2026-04-02
26. 위험 관리 프로세스 — 식별/분석/평가/대응/모니터링/보고
2026-04-05
27. 위험 식별 (Risk Identification) — 자산·위협·취약점 목록화
2026-04-05
28. 정량적 위험 분석 — ALE = ARO × SLE, MTBF, MTTF, MTTR
2026-04-05
29. 정성적 위험 분석 — High/Medium/Low 매트릭스
2026-04-05
30. SLE (Single Loss Expectancy) — 단일 사고 예상 손실
2026-04-05
31. ARO (Annual Rate of Occurrence) — 연간 발생 확률
2026-04-05
32. ALE (Annual Loss Expectancy) — 연간 예상 손실
2026-04-05
33. 위험 대응 전략 4가지 — 회피/전가/완화/수용
2026-04-05
34. 위험 회피 (Risk Avoidance) — 위험 원천 제거
2026-04-05
35. 위험 전가 (Risk Transfer) — 보험, 외주, 계약 조항
2026-04-05
36. 위험 완화 (Risk Mitigation) — 통제措施 도입으로 위험 감소
2026-04-05
37. 위험 수용 (Risk Acceptance) —管理层 승인 하에
2026-04-05
38. 잔여 위험 (Residual Risk) — 통제 후 남은 위험
2026-04-05
39. 검출 위험 (Detected Risk) vs 미검출 위험 (Undetected Risk)
2026-04-05
40. inherited Risk — 상속된 위험
2026-04-05
042. SABSA (Sherwood Applied Business Security Architecture)
2026-04-05
043. OSA (Open Security Architecture)
2026-04-05
044. TOGAF (The Open Group Architecture Framework)
2026-04-05
045. NIST CSF 2.0 — Identify/Protect/Detect/Respond/Recover + Govern
2026-04-05
046. 제로 트러스트 (Zero Trust) — "Never Trust, Always Verify", NIST SP 800-207
2026-04-05
047. ZTA (Zero Trust Architecture) — NIST 4단계 구현 로드맵
2026-04-05
048. SDP (Software Defined Perimeter) — 소프트웨어 정의 경계
2026-04-05
049. 마이크로 세그멘테이션 — 워크로드별 격리, 측면 이동 차단
2026-04-05
050. East-West 트래픽 통제 — 내부 세그멘테이션
2026-04-05
51. North-South 트래픽 통제 — 경계 방어
2026-04-05
52. 보안 통제 3가지 유형 — 관리적/기술적/물리적
2026-04-05
53. 예방 통제 (Preventive Controls) — 사전 차단
2026-04-05
54. 탐지 통제 (Detective Controls) — 이상 징후 발견
2026-04-05
55. 교정 통제 (Corrective Controls) — 사고 후 복구
2026-04-05
056. 억제 통제 (Deterrent Controls) — 위협 행동 억제
2026-04-05
057. 보완 통제 (Compensating Controls) — 기존 통제 우회 조치
2026-04-05
058. 내재적 보안 (Security by Design) — 설계 단계 보안 고려
2026-04-05
059. 사후 보안 (Bolt-on Security) — 완성 후 보안 추가
2026-04-05
060. Privacy by Design 7대 기본 원칙 — 사전 보호, 기본값 프라이버시 등
2026-04-05
061. Secure by Default — 기본적으로 안전한 기본값
2026-04-05
062. Secure Coding — 안전한 소프트웨어 개발
2026-04-05
063. Threat Modeling — STRIDE, DREAD, MITRE ATT&CK 맵핑
2026-04-05
064. DREAD 모델 — Damage/Reproducibility/Exploitability/Affected Users discoverability
2026-04-05
065. STRIDE 모델 — Spoofing/Tampering/Repudiation/Information Disclosure/DoS/Elevation
2026-04-05
066. PASTA (Process for Attack Simulation and Threat Analysis) — 7단계 위협 모델링
2026-04-05
067. Attack Surface Analysis — 공격 표면 관리
2026-04-05
Brain