ITPE * JackerLab

FIDO 2.0

개요FIDO 2.0(Fast Identity Online 2.0)은 사용자 인증에서 비밀번호를 제거하고, 공개키 기반 생체 인증 또는 보안 장치를 통해 안전하고 간편한 로그인 환경을 제공하는 차세대 인증 기술입니다. FIDO Alliance와 W3C가 협력하여 개발한 FIDO 2.0은 WebAuthn과 CTAP 프로토콜을 기반으로 하며, Microsoft, Google, Apple 등 글로벌 기업들이 채택하고 있는 국제 표준입니다.1. 개념 및 정의FIDO 2.0은 기존의 비밀번호 기반 인증의 취약점을 해결하기 위해 탄생한 인증 프레임워크입니다. 사용자의 생체 정보 또는 하드웨어 키를 기반으로 공개키 암호화 방식을 활용하여 인증을 수행하며, 인증정보는 로컬 장치에만 저장되어 서버에 전송되지 않음으로써 피..

Chinese Wall 모델

개요Chinese Wall 모델은 기업 내에서 발생할 수 있는 이해 충돌(Conflict of Interest) 상황을 방지하기 위해 설계된 동적 접근 제어 모델입니다. 주로 금융, 회계, 법률, 컨설팅 산업 등에서 사용되며, 사용자가 특정 기업의 민감 정보를 열람한 이후, 경쟁사의 정보에 접근하지 못하도록 제한하는 방식으로 정보 보안과 윤리 기준을 동시에 실현합니다.1. 개념 및 정의Chinese Wall 모델은 사용자에게 최초에는 어떤 정보든 접근할 수 있도록 허용하지만, 일단 특정 회사(이해 상충 그룹)의 민감 정보에 접근하면, 같은 그룹 내의 다른 경쟁사 정보에는 접근할 수 없도록 제한하는 방식으로 작동합니다. 이 모델은 정보 분리 장벽(Wall)을 동적으로 형성하여, 이해 충돌을 사전에 차단하는..

Take-Grant 모델

개요Take-Grant 모델은 컴퓨터 보안에서 권한의 생성, 이전, 위임을 수학적으로 모델링한 그래프 기반의 접근 제어 모델입니다. 특히 시스템 내 객체 간의 **권한 흐름(Authorization Flow)**을 시각화하고, 권한이 어떻게 확산될 수 있는지를 정형적으로 분석할 수 있도록 설계되었습니다. 이는 보안 정책의 설계, 검증 및 분석에 활용됩니다.1. 개념 및 정의Take-Grant 모델은 시스템 내의 **주체(Subject)**와 **객체(Object)**를 노드로, 접근 권한을 엣지로 표현하는 그래프 구조를 사용합니다. 모델의 핵심은 ‘take(획득)’와 ‘grant(위임)’라는 두 가지 연산을 중심으로 권한 이동 경로를 정의하는 것으로, 권한이 특정 주체에게 어떻게 도달하는지를 명확히 분석..

Lattice Model

개요Lattice 모델은 컴퓨터 보안에서 주체(사용자)와 객체(데이터) 간의 정보 흐름을 수학적으로 구조화하여 표현하는 보안 모델입니다. 특히 다중 보안 등급(Multi-Level Security, MLS) 환경에서 정보의 비인가 유출이나 변조를 방지하기 위해 활용되며, 군사 및 정부 시스템에서 많이 채택됩니다. 이 모델은 정보의 기밀성과 무결성을 동시에 통제하는 데 강점을 갖고 있습니다.1. 개념 및 정의Lattice 모델은 **격자(Lattice)**라는 수학적 구조를 기반으로, 주체와 객체에 할당된 보안 등급 및 범주를 이용해 허용된 정보 흐름을 정의합니다. 주체는 자신의 보안 등급과 범주에 따라 상위 또는 하위 객체에 접근이 제한되며, 이는 정보 유출 또는 불필요한 정보 노출을 방지하는 데 사용됩..

HBR 모델(Hirsch-Bishop-Ruzzo Model)

개요HBR 모델(Hirsch-Bishop-Ruzzo Model)은 시스템 내 주체(Subject)가 객체(Object)에 접근할 수 있는 권한을 동적으로 제한하는 최소 권한 원칙(Principle of Least Privilege) 기반의 접근 제어 모델입니다. 이 모델은 전통적인 정적 권한 제어 방식의 한계를 극복하고자 설계되었으며, 특히 **사용자의 작업 맥락(Context)**에 따라 권한을 정밀하게 관리할 수 있도록 지원합니다.1. 개념 및 정의HBR 모델은 사용자(주체)가 어떤 **프로그래밍 환경(Execution Context)**에서, 특정 **객체(리소스)**에 접근을 시도할 때, 해당 주체가 속한 **권한 집합(Rights Set)**을 평가하여 접근을 허용 또는 거부합니다. 이를 통해 ..

Clark-Wilson Model

개요Clark-Wilson 모델은 기업 환경에서 정보의 무결성(Integrity) 보장을 중심으로 설계된 보안 모델로, 단순한 등급 기반 제어가 아닌 업무 흐름(workflow) 기반의 정책을 중심으로 접근 통제를 정의합니다. 상업적 비즈니스 환경에서 발생할 수 있는 데이터 조작이나 사기 행위를 방지하기 위해 현실적인 제어 메커니즘을 제안하는 것이 특징입니다.1. 개념 및 정의Clark-Wilson 모델은 데이터의 정확성과 일관성을 보장하기 위해 업무 분리(separation of duty), 인증된 접근(authenticated access), 무결성 제약(integrity constraints) 등의 원칙을 적용합니다. 단순한 사용자-파일 접근 모델을 넘어서, 허가된 프로그램을 통해서만 데이터를 수정..

Biba Model

개요Biba 모델은 정보 시스템에서 무결성(Integrity) 보장을 목적으로 설계된 대표적인 형식 보안 모델로, Bell-LaPadula 모델이 기밀성에 초점을 맞춘 것과는 반대로 정보의 정확성, 일관성, 신뢰성을 보장하는 데 중점을 둡니다. 금융, 제조, 의료와 같이 데이터 변조나 위조가 치명적인 분야에서 활용도가 높은 접근 통제 모델입니다.1. 개념 및 정의Biba 모델은 1977년 Kenneth J. Biba가 제안한 것으로, 주체(사용자)와 객체(데이터)에 **무결성 등급(Integrity Level)**을 부여하여, 주체가 하위 무결성 데이터를 수정하거나 상위 무결성 데이터에 영향을 미치지 못하도록 설계된 보안 모델입니다. 주요 목적은 데이터의 신뢰성 유지입니다.2. 특징 특징 설명 비고 ..

Bell-LaPadula Model

개요Bell-LaPadula 모델은 컴퓨터 시스템 내에서 정보의 기밀성(Confidentiality) 보장을 목적으로 설계된 **형식적 보안 모델(Formal Security Model)**로, 군사 및 정부 기관 등 보안 등급이 중요한 환경에서 널리 사용되어 왔습니다. 사용자와 데이터 간의 접근을 수학적으로 통제함으로써 민감한 정보의 유출을 방지하는 데 특화된 보안 모델입니다.1. 개념 및 정의Bell-LaPadula(BLP) 모델은 1970년대 미국 MITRE 연구소에서 개발되었으며, 보안 주체(사용자)와 객체(데이터)에 **보안 등급(Security Level)**을 부여하고, 이를 기반으로 접근 제어를 수행합니다. 핵심은 데이터의 기밀성 보호로, 무단 열람(Read)을 방지하는 데 중점을 둡니다...

정보보호 준비도 평가(Information Security Readiness Assessment)

개요정보보호 준비도 평가는 기업이나 기관이 사이버 위협에 얼마나 대비되어 있는지를 진단하는 평가 제도로, 정보보호 관리체계(ISMS) 수준의 항목을 기반으로 구성됩니다. 이를 통해 보안 리스크를 사전에 파악하고 대응 역량을 강화함으로써, 실질적인 보안 투자와 체계적인 개선 전략 수립이 가능합니다.1. 개념 및 정의정보보호 준비도 평가는 조직의 정보보호 체계 전반을 진단하여 현재 수준을 수치화하고, 취약 영역을 도출해 개선 방향을 제시하는 체계적인 진단 도구입니다. 보안 인프라뿐 아니라 정책, 조직, 교육, 기술, 사고 대응 등 전반적인 항목을 평가하며, 주로 자가 진단 또는 외부 전문가에 의해 수행됩니다.2. 특징 특징 설명 비고 전반적 진단정책부터 기술까지 모든 보안 영역 평가ISMS 항목 기반 구..

정보보호공시제도(Information Security Disclosure System)

개요정보보호공시제도는 기업이나 기관이 자사의 정보보호 활동 및 수준을 외부에 자율적으로 공개함으로써 보안 역량을 투명하게 알리고, 이용자 및 투자자에게 신뢰를 제공하는 제도입니다. 이는 정보보호를 경영의 중요한 요소로 인식하게 하고, 보안 투자 유도 및 기업 간 선의의 경쟁을 촉진하는 효과를 기대할 수 있습니다.1. 개념 및 정의정보보호공시제도는 기업이 정보보호 관련 정책, 조직, 예산, 사고 대응 현황 등을 자율적으로 작성하여 공시하는 제도로, 정부(과학기술정보통신부)가 지정한 포털을 통해 공개됩니다. 이 제도는 기업의 보안 성숙도를 객관적으로 파악하고, 이해관계자에게 정보 접근권을 보장하는 것을 목적으로 합니다.2. 특징 특징 설명 비고 자율 공시 기반법적 강제성 없이 자발적으로 공개민간 중심의 ..