경영학 — 정보보안·사이버 공격 유형(피싱·스니핑·DoS·랜섬웨어)

판시사항

정보보안(Information Security)은 정보 자산을 비인가된 접근·사용·공개·파괴·변조·손상으로부터 보호하는 활동이다. 정보보안의 3대 원칙(CIA): ① 기밀성(Confidentiality): 인가된 자만 정보에 접근, ② 무결성(Integrity): 정보가 비인가된 방법으로 변경되지 않음, ③ 가용성(Availability): 인가된 사용자는 필요 시 언제든 접근 가능. 주요 사이버 공격 유형: ① 피싱(Phishing): 신뢰할 수 있는 기관으로 위장한 이메일·문자·웹사이트로 개인정보(아이디·비밀번호·금융정보)를 편취하는 사회공학적 공격. 스피어피싱(Spear Phishing)은 특정 개인·조직을 표적으로 한 정밀 피싱. ② 스니핑(Sniffing): 네트워크상 전송 중인 패킷을 가로채어 도청하는 공격. 암호화되지 않은 통신에서 효과적. ③ DoS(Denial of Service, 서비스 거부 공격): 서버·네트워크 자원을 과부하 상태로 만들어 정상 사용자의 접근을 차단하는 공격. 여러 컴퓨터를 동시에 동원하면 DDoS(분산 서비스 거부 공격). ④ 랜섬웨어(Ransomware): 피해자 컴퓨터의 파일을 암호화한 후 복호화 키를 제공하는 대가로 금전(암호화폐)을 요구하는 악성코드. ⑤ SQL 인젝션(SQL Injection): 웹 입력 필드에 악의적 SQL 코드를 삽입해 DB를 비인가 조회·변조하는 공격. ⑥ 사회공학(Social Engineering): 기술이 아닌 심리적 조작으로 정보를 획득. 보안 대응책: 방화벽(Firewall)·침입탐지시스템(IDS)·암호화·백신·다중인증(MFA)·보안정책 수립.