컴퓨터 보안
Computer security시리즈의 일부 |
컴퓨터 해킹 |
---|
운영체제 |
---|
공통특징 |
컴퓨터 보안(computer security), 사이버 보안(cyber security), 디지털 보안(digital security) 또는 정보 기술 보안(information technology security)은 하드웨어, 소프트웨어 또는 데이터에 대한 무단 정보 공개, 도난 또는 손상을 초래할 수 있는 악의적인 행위자의 공격으로부터 컴퓨터 시스템 및 네트워크를 보호하는 것을 말합니다. 또한 제공하는 서비스의 중단 또는 잘못된 방향성에서 비롯됩니다.[1][2]
이 분야는 컴퓨터 시스템, 인터넷 [3]및 블루투스 및 Wi-Fi와 같은 무선 네트워크 표준에 대한 의존도 확대로 인해 중요합니다. 또한, 스마트폰, 텔레비전 및 사물 인터넷(IoT)을 구성하는 다양한 기기를 포함한 스마트 기기의 성장으로 인해. 사이버 보안은 정보 시스템과 그들이 지원하는 사회의 복잡성으로 인해 현대 세계에서 가장 중요한 문제 중 하나입니다. 보안은 전력 분배, 선거 및 재정과 같이 물리적 영향이 광범위한 대규모 시스템을 관리하는 시스템에서 특히 중요합니다.[4][5]
취약점 및 공격
취약성은 컴퓨터 또는 시스템의 설계, 구현, 작동 또는 내부 제어의 취약성입니다. 발견된 대부분의 취약성은 CVE(Common Vulnerability and Exposure) 데이터베이스에 문서화되어 있습니다.[6] 공격 취약성은 작업 중인 공격 또는 공격이 하나 이상 존재하는 취약성입니다.[7] 자동화된 도구나 사용자 지정 스크립트를 사용하여 취약점을 조사, 역설계, 추적 또는 이용할 수 있습니다.[8][9]
다양한 사람들이나 당사자들이 사이버 공격에 취약하지만, 그룹마다 다른 유형의 공격을 더 많이 경험할 가능성이 있습니다.[10]
2023년 4월 영국 과학혁신기술부는 지난 12개월 동안의 사이버 공격에 대한 보고서를 발표했습니다.[11] 그들은 2,263개의 영국 기업, 1,174개의 영국 등록 자선단체, 554개의 교육기관을 조사했습니다. 연구에 따르면 "기업의 32%와 자선단체의 24%가 지난 12개월 동안의 위반이나 공격을 전반적으로 기억한다"고 합니다. 이 수치는 "연소득 50만 파운드 이상의 중견기업(59%), 대기업(69%), 고소득 자선단체(56%)"에서 훨씬 높았습니다.[11] 그러나 중견기업이나 대기업이 피해자가 되는 경우가 더 많지만, 대기업은 일반적으로 지난 10년 동안 보안을 개선해 왔기 때문에 중소기업(SMB)도 "기업을 보호할 수 있는 고급 도구가 없는" 경우가 많아지면서 점점 더 취약해지고 있습니다.[10] 중소기업은 멀웨어의 영향을 받을 가능성이 높습니다. 랜섬웨어, 피싱, 중간자 공격 및 서비스 거부(DoS) 공격.[10]
정상적인 인터넷 사용자는 "비표적" 사이버 공격의 영향을 받을 가능성이 가장 높습니다.[12] 공격자가 가능한 한 많은 장치, 서비스 또는 사용자를 무차별적으로 목표로 삼는 곳입니다. 그들은 인터넷의 "개방성"을 이용하는 기술을 사용하여 이 작업을 수행합니다. 이러한 전략에는 대부분 피싱, 랜섬웨어, 워터 홀드 및 스캔이 포함됩니다.[12]
컴퓨터 시스템을 안전하게 보호하려면 컴퓨터 시스템에 대해 발생할 수 있는 공격을 이해하는 것이 중요하며, 이러한 위협은 일반적으로 다음과 같은 범주 중 하나로 분류할 수 있습니다.
백도어
컴퓨터 시스템의 백도어, 암호 시스템 또는 알고리즘은 정상적인 인증 또는 보안 제어를 우회하는 모든 비밀 방법입니다. 이러한 약점은 원래 디자인이나 불량한 구성을 포함한 여러 가지 이유로 존재할 수 있습니다.[13] 백도어의 특성상 개인보다는 기업과 데이터베이스가 더 큰 관심사입니다.
인증된 당사자가 일부 합법적인 액세스를 허용하도록 백도어를 추가하거나 악의적인 이유로 공격자가 추가할 수 있습니다. 범죄자는 종종 멀웨어를 사용하여 백도어를 설치하여 시스템에 대한 원격 관리 액세스를 제공합니다.[14] 사이버 범죄자들은 일단 접근권을 갖게 되면 "파일을 수정하고, 개인 정보를 훔치고, 원치 않는 소프트웨어를 설치하고, 심지어 컴퓨터 전체를 통제할 수 있습니다."[14]
백도어는 탐지하기가 매우 어려울 수 있으며, 일반적으로 응용 프로그램 소스 코드에 액세스하거나 컴퓨터 운영 체제에 대한 긴밀한 지식을 가진 사람에 의해 발견됩니다.
서비스 거부 공격
서비스 거부 공격(DoS)은 사용자가 컴퓨터나 네트워크 리소스를 사용할 수 없도록 설계되었습니다.[15] 공격자는 피해자의 계정이 잠길 정도로 의도적으로 잘못된 암호를 연속적으로 입력하는 등 개별 피해자에 대한 서비스를 거부하거나, 시스템이나 네트워크의 기능을 과부하시켜 모든 사용자를 한 번에 차단할 수 있습니다. 단일 IP 주소에서 네트워크 공격은 새로운 방화벽 규칙을 추가하여 차단할 수 있지만, 많은 형태의 DDoS(분산 서비스 거부) 공격이 가능하며, 여기서 공격은 많은 지점에서 발생합니다. 이 경우 이러한 공격을 방어하는 것은 훨씬 더 어렵습니다. 이러한 공격은 봇넷의 좀비 컴퓨터 또는 무고한 시스템이 피해자에게 트래픽을 전송하도록 속이는 분산 반사 서비스 거부(DRDoS)를 포함한 다양한 가능한 기술에서 비롯될 수 있습니다.[15] 이러한 공격의 경우 증폭 계수는 공격자가 직접 대역폭을 거의 사용하지 않아도 되기 때문에 공격을 더 쉽게 해줍니다. 공격자가 이러한 공격을 수행할 수 있는 이유를 이해하려면 '공격자 동기 부여' 섹션을 참조하십시오.
직접 접속 공격
직접 액세스 공격은 권한이 없는 사용자(공격자)가 컴퓨터에 물리적으로 액세스하는 경우로, 컴퓨터에서 데이터를 직접 복사하거나 정보를 훔칠 가능성이 가장 높습니다.[16] 또한 공격자는 운영 체제를 수정하거나 소프트웨어 웜, 키로거, 비밀 청취 장치를 설치하거나 무선 마이크를 사용하여 보안을 손상시킬 수 있습니다. 시스템이 표준 보안 조치로 보호되는 경우에도 CD-ROM 또는 기타 부팅 가능한 미디어에서 다른 운영 체제 또는 도구를 부팅하여 이러한 조치를 우회할 수 있습니다. 디스크 암호화 및 신뢰할 수 있는 플랫폼 모듈은 이러한 공격을 방지하도록 설계되었습니다.
직접 서비스 공격자는 개념적으로 공격자가 컴퓨터의 메모리에 직접 액세스할 수 있도록 하는 직접 메모리 공격과 관련이 있습니다.[17] 이 공격은 "외부 하드 드라이브, 그래픽 카드 또는 네트워크 카드와 같은 특정 장치가 컴퓨터의 메모리에 직접 액세스할 수 있도록 하는 현대 컴퓨터의 기능을 이용합니다."[17]
컴퓨터 사용자는 이러한 공격을 방지하기 위해 강력한 암호를 가지고 있는지, 컴퓨터를 사용하지 않을 때는 항상 잠겨 있는지, 여행할 때는 항상 컴퓨터를 가지고 있는지 확인해야 합니다.[17]
도청
도청은 일반적으로 네트워크의 호스트 간에 개인 컴퓨터 대화(통신)를 몰래 듣는 행위입니다. 일반적으로 사용자가 트래픽이 보안되지 않거나 암호화되지 않은 네트워크에 연결하여 중요한 비즈니스 데이터를 동료에게 전송하는 경우 공격자가 이를 이용할 수 있습니다.[18] "열린 네트워크"를 통해 전송되는 데이터를 통해 공격자는 이 취약성을 악용하여 다양한 방법을 통해 이를 차단할 수 있습니다.
악성 프로그램, 직접 액세스 공격 또는 다른 형태의 사이버 공격과 달리 도청 공격은 네트워크 또는 장치의 성능에 부정적인 영향을 미치지 않아 쉽게 알아차릴 수 없습니다.[18] 실제로 "공격자는 소프트웨어에 대한 지속적인 연결이 필요하지 않습니다. 공격자는 소프트웨어를 손상된 장치에 직접 삽입하거나 바이러스 또는 다른 악성 프로그램에 의해 삽입한 다음, 나중에 다시 돌아와 발견된 데이터를 검색하거나 결정된 시간에 데이터를 전송하도록 소프트웨어를 트리거할 수 있습니다."[19]
두 지점 사이에서 데이터를 암호화하는 가상 사설망(VPN)을 사용하는 것은 도청으로부터 보호하는 가장 일반적인 형태 중 하나입니다. 암호화되지 않은 HTTP 대신 HTTPS를 사용하는 것뿐만 아니라 무선 네트워크에서 가능한 최상의 형태의 암호화를 사용하는 것이 가장 좋습니다.[20]
미국 연방수사국(FBI)과 NSA는 육식동물(Carnivore)과 나루스 인사이트(Narus Insight)와 같은 프로그램을 인터넷 서비스 제공자들의 시스템을 도청하는 데 사용해 왔습니다. 폐쇄 시스템(즉, 외부와 접촉하지 않고)으로 작동하는 기계도 하드웨어에서 발생하는 희미한 전자기 전송을 모니터링하여 도청할 수 있습니다. TEMPEST는 NSA가 이러한 공격을 언급한 규격입니다.
멀웨어
악성 소프트웨어(멀웨어)는 "컴퓨터 시스템 또는 사용자에게 해를 끼치기 위해 의도적으로 작성된" 모든 소프트웨어 코드 또는 컴퓨터 프로그램입니다.[21] 컴퓨터에 한 번 있으면 개인 정보, 비즈니스 정보 및 암호와 같은 민감한 세부 정보가 유출되고 공격자가 시스템을 제어할 수 있으며 데이터를 영구적으로 손상시키거나 삭제할 수 있습니다.[22] 또 다른 악성코드 유형은 랜섬웨어인데, 이는 "멀웨어가 피해자의 컴퓨터에 자신을 설치하고 파일을 암호화한 후 돌아서서 사용자에게 해당 데이터를 반환하기 위해 (보통 비트코인으로) 몸값을 요구하는 것"입니다.[23]
악성 프로그램의 유형에는 다음 중 일부가 포함됩니다.
- 바이러스는 특정 유형의 악성코드이며, 일반적으로 "손상을 입히고 자신의 복사본을 퍼뜨리려는" 의도로 소프트웨어를 해킹하는 악성코드입니다. 복사본은 컴퓨터의 다른 프로그램으로 확산되는 것을 목표로 만들어집니다.[21]
- 웜은 바이러스와 비슷하지만 바이러스는 사용자가 손상된 프로그램을 실행(열었을 때)에만 작동할 수 있습니다. 웜은 사람의 상호 작용 없이 프로그램, 앱 및 장치 사이에 퍼지는 자기 복제 악성 프로그램입니다.[21]
- 트로이 목마는 도움이 되는 척하거나 원하는 또는 합법적인 소프트웨어 안에 숨어서 "사용자가 트로이 목마를 설치하도록 속이는" 프로그램입니다. RAT(원격 액세스 트로이 목마)가 설치되면 영향을 받는 장치에 비밀 백도어를 만들어 손상을 일으킬 수 있습니다.[21]
- 스파이웨어는 감염된 컴퓨터에서 비밀리에 정보를 수집하고 중요한 정보를 공격자에게 다시 전송하는 악성 프로그램의 일종입니다. 가장 일반적인 스파이웨어 중 하나는 키로거(keylogger)로 알려져 있으며, 이는 사용자의 키보드 입력/키 입력을 모두 기록하는 일종의 악성 프로그램으로 "해커가 사용자 이름, 비밀번호, 은행 계좌 및 신용카드 번호를 수집할 수 있도록" 사용됩니다.[21]
- 이름에서 알 수 있듯이, 스웨어는 사용자가 원하지 않는 소프트웨어를 구입하거나 설치하도록 조작하기 위해 소셜 엔지니어링(조작)을 사용하여 겁을 주거나 충격을 주거나 불안을 유발하거나 위협에 대한 인식을 제안하는 악성 프로그램의 한 형태입니다. 이러한 공격은 종종 "긴급한 메시지가 표시되는 갑작스러운 팝업으로 시작되는데, 일반적으로 사용자에게 법을 어겼거나 기기에 바이러스가 있음을 경고합니다."[21]
다중 벡터, 다형성 공격
2017년에 새롭게 등장한 다중 벡터[25],[24] 다형성 사이버 위협은 사이버 보안 통제를 피하기 위해 여러 유형의 공격과 변화 형태를 결합합니다.
이름에서 설명하듯이 다중 벡터 다형성 공격은 다중 벡터와 다형성 공격입니다.[26] 첫째, 다양한 공격 방법을 포함하는 단일 공격입니다. 이러한 의미에서 이들은 "다중 벡터화(즉, 공격은 웹, 이메일 및 애플리케이션을 통한 여러 전파 수단을 사용할 수 있음)"됩니다. 그러나 이들은 "네트워크에 침투하여 네트워크 내부에서 측면으로 이동할 수 있다"는 의미로 멀티스테이지(multi-stage)이기도 합니다.[26] 공격은 다형성일 수 있으며, 이는 바이러스, 웜 또는 트로이 목마와 같은 사이버 공격이 "지속적으로 변화("형태")하여 서명 기반 방어를 사용하여 탐지하는 것이 거의 불가능하다는 것을 의미합니다.[26]
피싱
피싱은 사용자를 속여 사용자로부터 직접 사용자 이름, 비밀번호, 신용카드 내역 등 민감한 정보를 취득하려는 시도입니다.[27] 피싱은 일반적으로 이메일 스푸핑, 인스턴트 메시지, 문자 메시지 또는 전화 통화로 수행됩니다. 그들은 종종 사용자가 합법적인 웹 사이트와 거의 동일한 모양과 느낌의 가짜 웹 사이트에서 세부 정보를 입력하도록 지시합니다.[28] 가짜 웹사이트는 종종 로그인 세부 정보와 비밀번호와 같은 개인 정보를 요구합니다. 그런 다음 이 정보를 사용하여 실제 웹 사이트에서 개인의 실제 계정에 액세스할 수 있습니다.
피해자의 신뢰를 바탕으로 피싱은 사회 공학의 한 형태로 분류될 수 있습니다. 공격자는 창의적인 방법을 사용하여 실제 계정에 액세스할 수 있습니다. 일반적인 사기는 공격자가 개인에게 최근에 음악, 앱 또는 기타를 구매했음을 보여주는 가짜[29] 전자 송장을 전송하고 구매가 승인되지 않은 경우 링크를 클릭하도록 지시하는 것입니다. 보다 전략적인 피싱 유형은 개인 또는 조직별 세부 정보를 활용하여 공격자가 신뢰할 수 있는 소스처럼 보이도록 하는 스피어 피싱입니다. 스피어 피싱 공격은 피싱 시도로 인한 광범위한 네트워크가 아닌 특정 개인을 대상으로 합니다.[30]
권한 상승
권한 상승은 일부 수준의 액세스가 제한된 공격자가 권한 없이 권한이나 액세스 수준을 상승시킬 수 있는 상황을 말합니다.[31] 예를 들어, 표준 컴퓨터 사용자는 시스템의 취약성을 이용하여 제한된 데이터에 액세스하거나, 루트가 되어 시스템에 완전히 제한되지 않은 액세스를 할 수 있습니다. 공격의 심각성은 단순히 요청하지 않은 이메일을 보내는 공격에서 대량의 데이터에 대한 랜섬웨어 공격에 이르기까지 다양합니다. 권한 확대는 일반적으로 사회 공학 기술, 종종 피싱으로 시작됩니다.[31]
권한 확대는 전략, 수평적 권한 확대 및 수직적 권한 확대로 구분할 수 있습니다.
- 수평적 에스컬레이션(또는 계정 탈취)은 공격자가 상대적으로 낮은 수준의 권한을 가진 일반 사용자 계정에 액세스하는 경우입니다. 이는 사용자의 사용자 이름과 암호를 도용하기 때문일 수 있습니다. 일단 액세스 권한을 갖게 되면 "발판"을 얻게 되고, 이 발판을 사용하여 공격자는 동일한 하위 수준의 사용자 네트워크를 이동하여 이와 유사한 권한의 정보에 액세스할 수 있습니다.[31]
- 그러나 수직적 에스컬레이션은 회사의 고위직 및 IT 부서의 직원과 같이 관리 권한이 더 높은 사람들을 대상으로 합니다. 이 권한 있는 계정을 사용하면 공격자가 다른 계정을 침입할 수 있습니다.[31]
사이드 채널 공격
모든 계산 시스템은 어떤 형태로든 환경에 영향을 미칩니다. 환경에 미치는 영향에는 전자파 방사에서 결과적으로 콜드 부트 공격을 가능하게 하는 RAM 셀에 대한 잔류 효과, 일반적으로 액세스할 수 없는 다른 값에 대한 액세스 및 추측을 허용하는 하드웨어 구현 장애에 이르기까지 다양한 기준이 포함됩니다. 사이드 채널 공격 시나리오에서 공격자는 시스템 또는 네트워크에 대한 이러한 정보를 수집하여 내부 상태를 추측하고 결과적으로 피해자가 안전하다고 가정한 정보에 액세스합니다.
사회공학
컴퓨터 보안의 맥락에서 소셜 엔지니어링은 예를 들어 고위 임원, 은행, 계약자 또는 고객을 사칭하여 비밀번호, 카드 번호 등의 비밀을 공개하거나 물리적 접근을 허용하도록 사용자를 설득하는 것을 목표로 합니다.[32] 이것은 일반적으로 사람들의 신뢰를 이용하고 인지적 편향에 의존하는 것을 포함합니다. 일반적인 사기에는 회계 및 재무 부서 직원에게 이메일을 보내 CEO를 사칭하고 긴급하게 조치를 요청하는 것이 포함됩니다. 사회 공학의 주요 기술 중 하나는 피싱 공격입니다.
2016년 초, FBI는 이러한 비즈니스 이메일 타협(BEC) 사기가 약 2년 동안 미국 기업들에게 20억 달러 이상의 손실을 입혔다고 보고했습니다.[33]
2016년 5월, 밀워키 벅스 NBA팀은 팀의 회장인 피터 페이긴을 사칭한 가해자와 함께 이러한 유형의 사이버 사기의 피해자가 되었고, 이로 인해 팀의 모든 직원들의 2015년 W-2 세금 양식이 넘겨졌습니다.[34]
스푸핑
스푸핑은 다른 방법으로 권한이 없는 정보 또는 리소스에 액세스하기 위해 데이터(예: IP 주소 또는 사용자 이름)의 위조를 통해 유효한 개체인 것처럼 가장하는 행위입니다. 스푸핑은 피싱과 밀접한 관련이 있습니다.[35][36] 스푸핑에는 다음과 같은 몇 가지 유형이 있습니다.
- 전자 메일 스푸핑은 공격자가 전자 메일의 발신인 또는 발신인 주소를 위조하는 곳입니다.
- IP 주소 스푸핑(IP address spoofing)은 공격자가 네트워크 패킷의 소스 IP 주소를 변경하여 자신의 신원을 숨기거나 다른 컴퓨팅 시스템을 사칭하는 것입니다.
- MAC 스푸핑은 공격자가 네트워크 인터페이스 컨트롤러의 MAC(Media Access Control) 주소를 수정하여 자신의 신원을 숨기거나 다른 사람처럼 행세하는 경우입니다.
- 생체 인식 스푸핑, 공격자가 다른 사용자로 가장하기 위해 가짜 생체 인식 샘플을 생성하는 경우.[37]
- 공격자가 스푸핑된 주소 확인 프로토콜을 로컬 영역 네트워크로 전송하여 자신의 미디어 액세스 제어 주소를 다른 호스트의 IP 주소와 연결하는 ARP(Address Resolution Protocol) 스푸핑입니다. 이로 인해 의도된 호스트가 아닌 공격자에게 데이터가 전송됩니다.
2018년, 사이버 보안 회사 트렐릭스는 의료 산업에서 스푸핑의 생명을 위협하는 위험에 대한 연구를 발표했습니다.[38]
변조
변조는 데이터의 악의적인 수정 또는 변경을 설명합니다. 의도적이지만 승인되지 않은 행위로 인해 시스템, 시스템 구성 요소, 의도된 동작 또는 데이터가 수정됩니다. 이른바 이블메이드 공격과 보안 서비스를 통해 라우터에 보안 감시 기능을 심는 것이 그 예입니다.[39]
HTML 밀수
HTML 밀수를 통해 공격자는 특정 HTML이나 웹 페이지 내에서 악성 코드를 "밀수"할 수 있습니다.[40] HTML 파일은 콘텐츠 필터를 물리치기 위해 페이로드를 양성 비활성 데이터로 숨겨둘 수 있습니다. 이 페이로드는 필터의 다른 면에 재구성할 수 있습니다.[41]
대상 사용자가 HTML을 열면 악성 코드가 활성화됩니다. 그런 다음 웹 브라우저가 스크립트를 "디코딩"하여 대상 장치에 악성 코드를 실행합니다.[40]
정보보안 업무
직원의 행동은 조직의 정보 보안에 큰 영향을 미칠 수 있습니다. 문화적 개념은 조직의 다양한 부문이 효과적으로 작동하거나 조직 내 정보 보안을 위해 효과적으로 작동하는 데 도움이 될 수 있습니다. 정보 보안 문화란 "...모든 종류의 정보 보호에 기여하는 조직 내 행동 패턴의 총체"[42]입니다.
Andersson과 Reimers(2014)는 직원들이 자신을 조직의 정보 보안 노력의 일부로 생각하지 않고 조직 변화를 방해하는 행동을 취하는 경우가 많다는 것을 발견했습니다.[43] 실제로 3,950건의 보안 위반을 조사한 Verizon Data Breach Investigations Report 2020은 사이버 보안 사고의 30%가 기업 내 내부 행위자와 관련된 것으로 나타났습니다.[44] 연구에 따르면 정보 보안 문화는 지속적으로 개선되어야 합니다. "분석에서 변화로 이어지는 정보 보안 문화"에서 저자들은 "그것은 결코 끝나지 않는 과정이며, 평가와 변화 또는 유지보수의 주기"라고 평했습니다. 정보보안 문화를 관리하기 위해서는 사전평가, 전략기획, 운영기획, 실행, 사후평가 등 5단계를 거쳐야 합니다.[45]
- 사전 평가: 직원들의 정보보안에 대한 인식을 파악하고 현재 보안정책을 분석합니다.
- 전략적 계획: 더 나은 인식 프로그램을 마련하려면 명확한 목표를 설정해야 합니다. 숙련된 전문가 팀을 구성하는 것이 이를 달성하는 데 도움이 됩니다.
- 운영 계획: 내부 커뮤니케이션, 경영진 인수, 보안 인식 및 교육 프로그램을 기반으로 우수한 보안 문화를 구축할 수 있습니다.[45]
- 구현: 정보 보안 문화를 구현하기 위해서는 4단계를 사용해야 합니다. 그들은 다음과 같습니다.
- 경영진의 헌신
- 조직 구성원과의 커뮤니케이션
- 모든 조직 구성원을 위한 과정
- 종업원의[45] 헌신
- 사후평가: 계획 및 구현의 성공 여부를 평가하고 해결되지 않은 관심 분야를 식별합니다.
컴퓨터 보호(대책)
컴퓨터 보안에서 대책은 위협, 취약성 또는 공격을 제거하거나 방지함으로써 위협, 취약성 또는 공격을 감소시키는 조치, 장치, 절차 또는 기법으로 발생할 수 있는 피해를 최소화하거나 이를 발견하고 보고하여 시정 조치를 취할 수 있도록 합니다.[46][47][48]
몇 가지 일반적인 대책은 다음 섹션에 나열되어 있습니다.
설계에 의한 보안
설계에 의한 보안 또는 설계에 의한 보안은 소프트웨어가 처음부터 안전하도록 설계되었다는 것을 의미합니다. 이 경우 보안이 주요 기능으로 간주됩니다.
영국 정부의 국가 사이버 보안 센터는 안전한 사이버 설계 원칙을 다음과 같은 5개의 섹션으로 구분하고 있습니다.[49]
- 보안 시스템을 생성하거나 업데이트하기 전에 기업은 생성하려는 시스템의 기본 사항과 맥락을 이해하고 시스템의 일부 취약점을 식별해야 합니다.
- 기업은 데이터나 시스템을 공격하는 것을 본질적으로 더 어렵게 만드는 기술과 방어를 중심으로 보안을 설계하고 집중해야 합니다.
- 기업은 기술에 의존하는 핵심 서비스를 보호하여 기술을 항상 사용할 수 있도록 해야 합니다.
- 다수의 공격으로부터 안전한 시스템을 만들 수 있지만, 그렇다고 해서 공격이 시도되지 않는 것은 아닙니다. 보안에도 불구하고 모든 회사의 시스템은 발생 즉시 공격을 감지하고 탐지하여 가장 효과적인 대응을 보장하는 것을 목표로 해야 합니다.
- 기업은 "성공적인" 공격이 손실 심각성을 갖도록 설계된 보안 시스템을 만들어야 합니다.
설계에 의한 보안의 이러한 설계 원칙에는 다음과 같은 몇 가지 기술이 포함될 수 있습니다.
- 시스템의 각 부분이 해당 기능에 필요한 권한만 갖는 최소 권한의 원리입니다. 이렇게 하면 공격자가 해당 부분에 대한 액세스 권한을 얻더라도 전체 시스템에 대한 액세스 권한은 제한적입니다.
- 중요한 소프트웨어 하위 시스템의 정확성을 증명하는 자동 정리.
- 공식적인 정확성 증명이 불가능한 모듈을 보다 안전하게 만들기 위한 코드 검토 및 단위 테스트, 접근 방식.
- 시스템의 무결성과 시스템이 보유하고 있는 정보를 손상시키기 위해 둘 이상의 하위 시스템을 위반해야 할 정도로 설계된 심층 방어.
- 기본 보안 설정 및 안전하지 않은 상태가 아닌 안전하지 않은 상태에서 안전하지 못한 상태로 설계합니다(안전 공학과 동등한 항목은 안전 안전 안전 참조). 이상적으로, 안전한 시스템은 안전하지 않게 하기 위해 합법적인 당국의 의도적이고 의식적이며 지식이 풍부하며 자유로운 결정을 필요로 합니다.
- 감사 추적은 보안 위반이 발생했을 때 시스템 활동을 추적하여 위반의 메커니즘과 범위를 확인할 수 있도록 합니다. 감사 추적을 원격으로 저장하면 감사 추적에만 추가할 수 있으므로 침입자가 추적을 차단할 수 있습니다.
- 버그가 발견되었을 때 취약성 창이 최대한 짧게 유지되도록 모든 취약성을 완전히 공개합니다.
보안 아키텍처
보안 아키텍처는 "보안 목표를 달성하기 위해 컴퓨터 시스템을 설계하는 관행"으로 정의할 수 있습니다.[50] 이러한 목표는 "시스템의 초기 타협을 어렵게 한다", "모든 타협의 영향을 제한한다" 등 위에서 살펴본 "설계에 의한 보안"의 원칙과 겹칩니다.[50] 실제로 보안 설계자의 역할은 시스템의 구조가 시스템의 보안을 강화하고 새로운 변경 사항이 안전하고 조직의 보안 요구 사항을 충족하는지 확인하는 것입니다.[51][52]
마찬가지로 Techopedia는 보안 아키텍처를 "특정 시나리오 또는 환경과 관련된 필수 요소 및 잠재적 위험을 해결하는 통합 보안 설계"로 정의합니다. 또한 보안 제어를 적용할 시기와 장소도 지정합니다. 디자인 프로세스는 일반적으로 재현 가능합니다." 보안 아키텍처의 주요 속성은 다음과 같습니다.[53]
- 서로 다른 구성 요소들의 관계와 그것들이 서로에게 어떻게 의존하는지.
- 위험 평가, 모범 사례, 재정 및 법적 사항에 기초한 통제의 결정.
- 제어의 표준화
보안 아키텍처를 활용하면 조직에서 비즈니스, IT 및 보안 문제를 체계적으로 해결할 수 있는 올바른 기반을 제공할 수 있습니다.
보안대책
컴퓨터 보안 상태는 위협 예방, 탐지 및 대응의 세 가지 프로세스를 사용하여 달성하는 개념적 이상입니다. 이러한 프로세스는 다음을 포함하는 다양한 정책 및 시스템 구성 요소를 기반으로 합니다.
- 사용자 계정 액세스 제어를 사용하고 암호화를 사용하는 개인의 액세스를 제한하면 시스템 파일과 데이터를 각각 보호할 수 있습니다.
- 방화벽은 (적절하게 구성된 경우) 내부 네트워크 서비스에 대한 액세스를 차단하고 패킷 필터링을 통해 특정 종류의 공격을 차단할 수 있기 때문에 네트워크 보안 관점에서 가장 일반적인 예방 시스템입니다. 방화벽은 하드웨어와 소프트웨어 기반이 될 수 있습니다. 방화벽은 컴퓨터 네트워크의 송수신 트래픽을 모니터링하고 제어하며 신뢰할 수 있는 네트워크와 신뢰할 수 없는 네트워크 사이에 장벽을 설정합니다.[54]
- 침입 탐지 시스템(IDS) 제품은 진행 중인 네트워크 공격을 탐지하고 공격 후 포렌식을 지원하도록 설계되었으며 감사 추적 및 로그는 개별 시스템에 대해 유사한 기능을 수행합니다.
- 대응은 개별 시스템의 평가된 보안 요구사항에 의해 반드시 정의되며, 단순한 보호 업그레이드에서 법적 당국의 통보, 반격 등의 범위를 포함할 수 있습니다. 일부 특수한 경우에는 모든 손상된 리소스가 탐지되지 않을 수 있으므로 손상된 시스템을 완전히 파괴하는 것이 좋습니다.
- 사이버 위협 및 공격에 대처하기 위한 사이버 보안 인식 교육.[55]
- 순방향 웹 프록시 솔루션을 사용하면 클라이언트 컴퓨터에 다운로드하기 전에 클라이언트가 악성 웹 페이지를 방문하여 콘텐츠를 검사하는 것을 방지할 수 있습니다.
오늘날 컴퓨터 보안은 주로 방화벽이나 탈출 절차와 같은 예방 조치로 구성됩니다. 방화벽은 호스트 또는 네트워크와 인터넷과 같은 다른 네트워크 사이의 네트워크 데이터를 필터링하는 방법으로 정의할 수 있습니다. 이들은 실시간 필터링 및 차단 기능을 제공하기 위해 네트워크 스택(또는 리눅스와 같은 대부분의 UNIX 기반 운영 체제의 경우 운영 체제 커널에 내장됨)에 연결되어 기계에서 실행되는 소프트웨어로 구현될 수 있습니다.[54] 또 다른 구현은 네트워크 트래픽을 필터링하는 별도의 시스템으로 구성된 소위 물리적 방화벽입니다. 방화벽은 인터넷에 영구적으로 연결된 시스템에서 일반적입니다.
일부 조직에서는 Apache Hadoop과 같은 빅 데이터 플랫폼으로 전환하여 고급 지속 위협을 탐지하기 위한 데이터 액세스 및 머신 러닝을 확장하고 있습니다.[56]
적절한 보안을 보장하기 위해서는 CIA 트라이어드로 더 잘 알려진 네트워크의 기밀성, 무결성 및 가용성이 보호되어야 하며 정보 보안의 기초로 간주됩니다.[57] 이러한 목표를 달성하기 위해서는 관리, 물리적, 기술적 보안 조치가 채택되어야 합니다. 자산에 제공되는 담보 금액은 자산의 가치를 알 수 있을 때만 결정할 수 있습니다.[58]
취약점관리
취약점 관리는 특히 소프트웨어 및 펌웨어의 취약점을 확인,[59] 수정 또는 완화하는 주기입니다. 취약점 관리는 컴퓨터 보안과 네트워크 보안에 필수적입니다.
취약성 스캐너를 사용하여 취약성을 발견할 수 있습니다. 이 스캐너는 열린 포트, 안전하지 않은 소프트웨어 구성, 악성 프로그램에 대한 취약성 [60]등 알려진 취약성을 찾아 컴퓨터 시스템을 분석합니다. 이러한 툴을 효과적으로 사용하려면 공급업체에서 출시하는 새로운 업데이트마다 최신 상태를 유지해야 합니다. 일반적으로 이러한 업데이트는 최근에 도입된 새로운 취약성을 검색합니다.
취약성 검사 외에도 많은 조직이 외부 보안 감사관과 계약하여 시스템에 대한 정기적인 침투 테스트를 실행하여 취약성을 식별합니다. 일부 부문에서는 이것이 계약상의 요구 사항입니다.[61]
취약점 감소
일반적으로 사이버 공격에 대한 취약성을 평가하고 줄이는 행위를 정보 기술 보안 평가라고 합니다. 그들은 시스템의 위험성을 평가하고 취약성을 예측하고 테스트하는 것을 목표로 합니다. 컴퓨터 시스템의 정확성에 대한 공식적인 검증은 가능하지만 [62][63]아직 일반적이지는 않습니다. 공식적으로 검증된 운영 체제로는 seL4와 [64]SYSGO의 Pike가 있습니다.OS[65][66] – 하지만 이러한 OS는 시장에서 매우 적은 비율을 차지합니다.
보안 패치 및 업데이트를 통해 시스템을 최신 상태로 유지하거나 보안에 대한 전문 지식을 갖춘 인력을 채용함으로써 공격자의 가능성을 줄일 수 있습니다. 심각한 위협을 받고 있는 대기업은 보안 운영 센터(SOC) 분석가를 고용할 수 있습니다. 이들은 "위협 분석을 수행하는 것부터 새로운 문제에 대한 보고서를 조사하는 것, 재해 복구 계획을 준비하고 테스트하는 것"에 이르기까지 다양한 역할을 하는 사이버 방어 전문가들입니다.[67]
어떤 조치도 공격의 예방을 완전히 보장할 수는 없지만 이러한 조치는 가능한 공격의 피해를 완화하는 데 도움이 될 수 있습니다. 세심한 백업과 보험 처리를 통해 데이터 손실/손상의 영향도 줄일 수 있습니다.
공식적인 평가 외에도 다양한 취약성을 줄이는 방법이 있습니다. 두 요소 인증은 시스템 또는 민감한 정보에 대한 무단 액세스를 완화하기 위한 방법입니다.[68] 비밀번호나 PIN, 카드, 동글, 휴대폰, 또는 다른 하드웨어가 필요합니다. 권한이 없는 사람이 액세스 권한을 얻기 위해 이 두 가지를 모두 필요로 하기 때문에 보안이 강화됩니다.
사회 공학 및 직접적인 컴퓨터 액세스(물리적) 공격으로부터 보호하는 것은 정보의 민감도에 비해 컴퓨터가 아닌 수단으로만 발생할 수 있으며, 이는 강제하기 어려울 수 있습니다. 훈련은 사람들이 자신을 보호하는 방법에 대한 지식을 향상시키고 위협에 대한 사람들의 인식을 높임으로써 이러한 위험을 완화하는 데 도움이 되는 경우가 많습니다.[69] 그러나 고도로 훈련된 환경(예: 군사 조직)에서도 사회 공학적 공격은 여전히 예측하고 예방하기 어려울 수 있습니다.
접종 이론에서 파생된 접종은 유사하거나 관련된 시도에 대한 노출을 통해 설득 시도에 대한 내성을 심어줌으로써 사회 공학 및 기타 부정적인 속임수 또는 함정을 방지하려고 합니다.[70]
하드웨어 보호 메커니즘
하드웨어 기반 또는 보조 컴퓨터 보안은 소프트웨어 전용 컴퓨터 보안에 대한 대안도 제공합니다. 동글, 신뢰할 수 있는 플랫폼 모듈, 침입 인식 사례, 드라이브 잠금, USB 포트 비활성화 및 모바일 사용 액세스와 같은 장치 및 방법을 사용하면 물리적 액세스(또는 정교한 백도어 액세스)로 인해 더 안전하다고 간주될 수 있습니다. 이들 각각은 아래에서 더 자세히 설명됩니다.
- USB 동글은 일반적으로 소프트웨어 라이센스 방식에서 소프트웨어 기능을 잠금 해제하는 [citation needed]데 사용되지만 컴퓨터나 다른 장치의 소프트웨어에 대한 무단 액세스를 방지하는 방법으로도 볼 수 있습니다. 동글 또는 키는 기본적으로 소프트웨어 응용 프로그램과 키 사이에 안전한 암호화 터널을 만듭니다. AES(Advanced Encryption Standard)와 같은 동글의 암호화 방식은 네이티브 소프트웨어를 단순히 다른 시스템에 복사하여 사용하는 것보다 동글을 해킹하고 복제하기가 어렵기 때문에 더 강력한 보안 수단을 제공한다는 원칙입니다. 동글에 대한 또 다른 보안 애플리케이션은 클라우드 소프트웨어 또는 VPN(Virtual Private Networks)과 같은 웹 기반 콘텐츠에 액세스하는 데 사용하는 것입니다.[71] 또한 USB 동글을 구성하여 컴퓨터를 잠그거나 잠금 해제할 수 있습니다.[72]
- 신뢰할 수 있는 플랫폼 모듈(TPM)은 마이크로프로세서(microprocessor) 또는 이른바 컴퓨터 온 어 칩(computer-on-a-chip)을 사용하여 액세스 장치에 암호화 기능을 통합하여 장치를 보호합니다. 서버 측 소프트웨어와 함께 사용되는 TPM은 하드웨어 장치를 감지하고 인증하는 방법을 제공하여 무단 네트워크 및 데이터 액세스를 방지합니다.[73]
- 컴퓨터 케이스 침입 탐지는 일반적으로 컴퓨터 케이스가 열리는 시점을 탐지하는 장치(일반적으로 푸시 버튼 스위치)를 말합니다. 펌웨어 또는 BIOS는 다음 번에 컴퓨터가 부팅될 때 작업자에게 경고를 표시하도록 프로그래밍됩니다.
- 드라이브 잠금 장치는 기본적으로 하드 드라이브를 암호화하는 소프트웨어 도구이므로 도둑이 액세스할 수 없습니다.[74] 외부 드라이브를 암호화하기 위한 도구도 특별히 존재합니다.[75]
- USB 포트를 비활성화하면 보안 컴퓨터에 대한 무단 및 악의적인 액세스를 방지할 수 있는 보안 옵션이 됩니다. 방화벽 내부의 컴퓨터에서 네트워크에 연결된 감염된 USB 동글은 잡지 Network World에서 컴퓨터 네트워크가 직면한 가장 일반적인 하드웨어 위협으로 간주됩니다.
- 사용하지 않는 주변 장치(카메라, GPS, 이동식 저장소 등)의 연결을 해제하거나 해제합니다.[76]
- 휴대전화의 유비쿼터스 특성으로 인해 모바일이 가능한 액세스 장치가 인기를 끌고 있습니다. 블루투스, 최신 블루투스 저전력 에너지(LE), 비 iOS 기기의 근거리 통신(NFC), 지문 판독기와 같은 생체 인증과 같은 내장 기능은 물론 모바일 기기용으로 설계된 QR 코드 판독기 소프트웨어를 통해 휴대폰이 액세스 제어 시스템에 연결할 수 있는 새롭고 안전한 방법을 제공합니다. 이러한 제어 시스템은 컴퓨터 보안을 제공하며 보안 건물에 대한 액세스를 제어하는 데 사용할 수도 있습니다.[77]
- IOMMU는 직접 메모리 액세스 보호 기능을 활용하여 모바일 및 데스크톱 컴퓨터의 구성 요소를 하드웨어 기반으로 샌드박스화할 수 있습니다.[78][79]
- PUF(Physical Unclonable Functions)는 디지털 지문이나 집적 회로 및 하드웨어의 고유 식별자로 사용할 수 있으므로 사용자가 시스템으로 들어가는 하드웨어 공급망을 안전하게 보호할 수 있습니다.[80][81]
보안 운영 체제
컴퓨터 보안이라는 용어의 한 가지 사용은 보안 운영 체제를 구현하는 데 사용되는 기술을 말합니다. 보안 운영 체제를 사용하는 것은 컴퓨터 보안을 보장하는 좋은 방법입니다. 외부 보안 감사 기관의 인증을 획득한 시스템으로, 가장 인기 있는 평가는 CC(Common Criteria)입니다.[82]
시큐어코딩
소프트웨어 공학에서 보안 코딩은 보안 취약점의 우발적인 도입을 방지하는 것을 목표로 합니다. 처음부터 안전하게 설계된 소프트웨어를 만드는 것도 가능합니다. 이러한 시스템은 설계상 안전합니다. 이 외에도 공식적인 검증은 시스템의 기반이 되는 알고리즘의 정확성을 증명하는 것을 목표로 합니다.[83] 예를 들어 암호 프로토콜에 중요합니다.
기능 및 액세스 제어 목록
컴퓨터 시스템 내에서 권한 분리를 시행할 수 있는 두 가지 주요 보안 모델은 액세스 제어 목록(ACL)과 역할 기반 액세스 제어(RBAC)입니다.
ACL(Access-Control List)은 컴퓨터 파일 시스템과 관련하여 개체와 관련된 권한 목록입니다. ACL은 개체에 대한 액세스 권한이 부여된 사용자 또는 시스템 프로세스와 지정된 개체에 대해 허용된 작업을 지정합니다.
역할기반 접근통제는 인가된 사용자에 대한 시스템 접근을 제한하는 접근방식으로,[84][85][86] 500인 이상 기업의 대다수가 사용하고 있으며,[87] 의무적 접근통제(MAC) 또는 재량적 접근통제(DAC)를 구현할 수 있습니다.
또 다른 접근 방식인 능력 기반 보안은 대부분 연구 운영 체제로 제한되어 왔습니다. 그러나 언어 수준에서도 기능을 구현할 수 있으므로 기본적으로 표준 객체 지향 설계를 개선한 프로그래밍 스타일로 이어집니다. 이 분야의 오픈 소스 프로젝트는 E 언어입니다.
사용자보안교육
최종 사용자는 보안 체인에서[88] 가장 약한 링크로 널리 인식되고 있으며 보안 사고 및 침해의 90% 이상이 일종의 인간 오류를 수반하는 것으로 추정됩니다.[89][90] 가장 흔하게 기록되는 오류와 오판의 형태로는 비밀번호 관리 부실, 민감한 데이터와 첨부 파일이 포함된 이메일을 잘못된 수신자에게 보내는 것, 오해의 소지가 있는 URL을 인식할 수 없고 가짜 웹사이트와 위험한 이메일 첨부 파일을 식별할 수 없는 것 등이 있습니다. 사용자가 저지르는 일반적인 실수는 사용자 ID/비밀번호를 브라우저에 저장하여 은행 사이트에 쉽게 로그인할 수 있도록 하는 것입니다. 이것은 어떤 방법으로 기계에 접근한 공격자에게 주는 선물입니다. 위험은 2요인 인증을 사용함으로써 완화될 수 있습니다.[91]
사이버 위험의 인적 요소는 조직이 직면한 전 세계적인 사이버 위험을[92] 결정하는 데 특히 관련이 있기 때문에, 모든 수준의 보안 인식 훈련, 규제 및 업계의 의무사항을 공식적으로 준수할 뿐만 아니라 사이버 위험을 줄이고 대다수의 사이버 위협으로부터 개인과 기업을 보호하는 데 필수적이라고[93] 여겨집니다.
최종 사용자에 대한 초점은 전통적으로 사이버 보안을 기술적인 관점에서만 접근하여 조직 내 사이버 인식 문화를 발전시키기 위해 주요 보안 센터에서[94] 제안한 방식을 따라 이동하는 많은 보안 실무자들에게 심오한 문화적 변화를 나타냅니다. 보안 인식 사용자가 사이버 공격에 대한 중요한 방어 라인을 제공한다는 것을 인식합니다.
디지털 위생
최종 사용자 훈련과 관련하여 디지털 위생 또는 사이버 위생은 정보 보안과 관련된 기본 원칙이며, 개인 위생과 유사하게 사이버 위협의 위험을 최소화하기 위한 단순한 일상적 조치를 수립하는 것과 같습니다. 양호한 사이버 위생 관행은 네트워크 사용자에게 또 다른 보호 계층을 제공하여 한 취약한 노드가 특히 일반적인 사이버 공격으로부터 공격을 마운트하거나 다른 노드 또는 네트워크를 손상시키는 데 사용될 위험을 줄일 수 있다는 가정입니다.[95] 사이버 위생은 또한 군사 용어인 사전 예방적 사이버 방어로 오해해서는 안 됩니다.[96]
가장 일반적인 디지털/사이버 위생 작업에는 악성 프로그램 보호, 클라우드 백업, 암호 업데이트, 제한된 관리자 권한 및 네트워크 방화벽 보장 등이 포함될 수 있습니다.[97] 위협에 대한 순수한 기술 기반의 방어와는 달리, 사이버 위생은 대부분 기술적으로 구현이 간단하고 대부분[98] 규율이나 교육에 의존하는 일상적인 조치를 고려합니다.[99] 개인 및/또는 집단 디지털 보안에 긍정적인 영향을 미치는 것으로 입증된 팁 또는 조치의 추상적인 목록으로 생각할 수 있습니다. 따라서 이러한 조치는 단순히 보안 전문가가 아닌 일반인이 수행할 수 있습니다.
사이버 위생은 컴퓨터 바이러스가 생물학적 바이러스(또는 병원체)와 관련됨에 따라 개인 위생과 관련이 있습니다. 그러나 컴퓨터 바이러스라는 용어가 최초의 작동하는 컴퓨터 바이러스의 생성과 거의 동시에 만들어졌지만,[100] 사이버 위생이라는 용어는 훨씬 더 늦은, 아마도 인터넷 선구자 Vint Cerf에 의해 2000년에[101] 만들어진 발명입니다. 이후 미국 의회와[102] 상원,[103] FBI,[104] EU 기관[95] 및 국가원수들이 채택하고 있습니다.[96]
위반사항에 대한 대응의 어려움
시도되는 보안 위반에 대한 대응은 다음과 같은 다양한 이유로 매우 어려운 경우가 많습니다.
- 공격자가 프록시, 임시 익명 전화 접속 계정, 무선 연결 및 기타 익명화 절차를 통해 작동할 수 있으므로 공격자를 식별하는 것이 어렵습니다. 이 절차는 역추적을 어렵게 하고 종종 다른 관할구역에 위치하기 때문입니다. 보안 위반에 성공하면 종종 로그를 삭제하여 추적을 보호할 수 있는 관리 액세스 권한도 얻을 수 있습니다.
- 자동화된 취약성 스캐너와 컴퓨터 웜에 의한 공격 시도 횟수가 너무 많아서 조직은 이를 추적하는 데 시간을 들일 수 없습니다.
- 법 집행관은 종종 공격자를 추적할 기술, 관심 또는 예산이 부족합니다. 또한 네트워크 전체에서 공격자를 식별하려면 네트워크의 다양한 지점과 여러 국가의 로그가 필요할 수 있으며 이를 얻기가 어렵거나 시간이 많이 소요될 수 있습니다.
공격이 성공하고 위반이 발생하는 경우 많은 국가에서 보안 위반 알림 의무화법을 시행하고 있습니다.
보안 및 개인 정보 보호 유형
위험에 처한 시스템
컴퓨터 시스템 수의 증가와 개인, 기업, 산업 및 정부의 컴퓨터 시스템 의존도 증가는 위험에 처한 시스템의 수가 증가하고 있음을 의미합니다.
금융시스템
미국 증권 거래 위원회, SWIFT, 투자 은행, 상업 은행과 같은 금융 규제 기관과 금융 기관의 컴퓨터 시스템은 시장을 조작하고 불법 이득을 취하는 데 관심이 있는 사이버 범죄자들의 주요한 해킹 대상입니다.[105] 신용카드 번호, 중개 계좌 및 은행 계좌 정보를 받아들이거나 저장하는 웹 사이트 및 앱도 중요한 해킹 대상이 되는데, 이는 암시장에서 돈을 송금하거나 구매하거나 정보를 판매함으로써 즉각적인 금전적 이익을 얻을 수 있기 때문입니다.[106] 매장 내 결제 시스템과 ATM도 고객 계정 데이터와 PIN을 수집하기 위해 변경되었습니다.
UCLA 인터넷 보고서: 디지털 미래를 조사하다(2000)는 개인 데이터의 프라이버시가 온라인 판매에 장벽을 조성하고 인터넷 사용자 10명 중 9명 이상이 신용카드 보안에 대해 다소 또는 매우 우려하고 있는 것으로 나타났습니다.[107]
브라우저와 웹사이트 간의 보안을 개선하기 위한 가장 일반적인 웹 기술은 SSL(Secure Sockets Layer)로 명명되며, 그 후속 기술인 TLS(Transport Layer Security), 신원 관리 및 인증 서비스, 도메인 이름 서비스는 기업과 소비자가 안전한 통신과 상거래에 참여할 수 있도록 합니다. SSL 및 TLS의 여러 버전은 오늘날 웹 브라우징, 전자 메일, 인터넷 팩스, 인스턴트 메시징 및 VoIP(Voice-over-IP)와 같은 응용 프로그램에서 일반적으로 사용됩니다. 이러한 기술의 상호 운용 가능한 구현에는 오픈 소스인 적어도 하나의 구현이 포함되어 있습니다. 오픈 소스를 사용하면 누구나 애플리케이션의 소스 코드를 보고 취약점을 찾고 보고할 수 있습니다.
신용카드 회사인 비자와 마스터카드는 신용카드에 내장된 보안 EMV 칩을 개발하기 위해 협력했습니다. 추가 개발에는 은행이 고객에게 휴대용 카드 리더기를 제공하여 온라인 보안 거래를 수행할 수 있는 칩 인증 프로그램이 포함됩니다. 이 분야의 다른 발전은 은행을 대신하는 쇼핑몰 키오스크가 관심 있는 고객에게 현장에서 신용카드를 발급할 수 있도록 한 인스턴트 발행과 같은 기술의 발전을 포함합니다.
유틸리티 및 산업 장비
컴퓨터는 전기 통신, 전력망, 원자력 발전소 및 수도 및 가스 네트워크의 밸브 개폐 조정을 포함한 많은 유틸리티에서 기능을 제어합니다. 인터넷은 연결되어 있으면 그러한 기계의 잠재적인 공격 벡터이지만, 스턱스넷 웜은 인터넷에 연결되어 있지 않은 컴퓨터가 제어하는 장비도 취약할 수 있음을 보여주었습니다. 2014년 국토안보부 산하 컴퓨터 비상대비팀은 에너지 기업에서 발생한 79건의 해킹 사건을 조사했습니다.[108]
항공
항공 산업은 공격을 받을 수 있는 일련의 복잡한 시스템에 매우 의존하고 있습니다.[109] 한 공항의 단순 정전은 전 세계적으로 파장을 일으킬 수 있고,[110] 시스템의 대부분은 전파 전송에 의존하여 중단될 수 있으며,[111] 해상에서 항공기를 제어하는 것은 레이더 감시 범위가 175~225마일 밖에 되지 않기 때문에 특히 위험합니다.[112] 또한 항공기 내에서 공격 가능성이 있습니다.[113]
유럽에서는 범유럽 네트워크 서비스(Pan-European Network Service)[114]와 NewPens로,[115] 미국에서는 NextGen 프로그램으로 [116]항공 내비게이션 서비스 제공업체들이 자체 전용 네트워크를 구축하려는 움직임을 보이고 있습니다.
많은 현대 여권은 이제 이름, 성별, 생년월일과 같은 개인 정보와 디지털화된 사진을 저장하는 내장 마이크로 칩을 포함하는 생체 인식 여권입니다. 또한, 신원 관련 사기를 줄이기 위해 안면 인식 기술을 도입하는 국가가[which?] 늘고 있습니다. ePassport의 도입은 국경 관리자들이 여권 소지자의 신원을 확인하는 데 도움을 주어 신속한 승객 처리를 가능하게 했습니다.[117] 미국, 영국, 호주 등에서 망막과 지문 인식 기술을 모두 갖춘 스마트 게이트 키오스크를 도입하는 계획이 진행 중입니다.[118] 항공 산업은 전통적인 종이 항공권의 사용에서 전자 항공권(e-ticket)의 사용으로 이동하고 있습니다. 이는 항공사와 제휴하여 온라인 신용 카드 거래의 발전으로 가능해졌습니다. 장거리 버스 회사들도[which?] 오늘날 전자티켓 거래로 전환하고 있습니다.
성공적인 공격의 결과는 기밀성의 손실에서부터 시스템 무결성의 손실, 항공 교통 관제의 중단, 항공기의 손실, 심지어 생명의 손실까지 다양합니다.
컨슈머 디바이스
데스크톱 컴퓨터와 노트북은 일반적으로 암호나 금융 계정 정보를 수집하거나 봇넷을 구성하여 다른 대상을 공격하는 것을 목표로 합니다. 스마트폰, 태블릿 컴퓨터, 스마트 워치 및 활동 추적기와 같은 정량화된 셀프 장치와 같은 기타 모바일 장치에는 카메라, 마이크, GPS 수신기, 나침반 및 가속도계와 같은 센서가 있어 이를 악용할 수 있으며 민감한 건강 정보를 포함한 개인 정보를 수집할 수 있습니다. 이러한 장치의 WiFi, Bluetooth 및 휴대폰 네트워크를 공격 벡터로 사용할 수 있으며 성공적으로 침입한 후 센서가 원격으로 활성화될 수 있습니다.[119]
네스트 온도 조절 장치와 같은 가정 자동화 장치의 증가도 잠재적인 목표입니다.[119]
헬스케어
오늘날 많은 의료 공급자와 의료 보험 회사들은 향상된 제품과 서비스를 제공하기 위해 인터넷을 사용합니다. 예를 들어, 원격 건강을 사용하여 의료 서비스에 대한 더 나은 품질과 접근성을 제공하거나 보험료를 낮추기 위해 피트니스 추적기를 사용합니다.
의료 회사인 Humana는 WebMD, Oracle Corporation, EDS 및 Microsoft와 제휴하여 구성원이 의료 기록에 액세스할 수 있도록 지원하고 의료 계획에 대한 개요를 제공합니다.[120] 환자 기록이 점점 더 안전한 사내 네트워크에 배치되어 추가 저장 공간이 필요하지 않습니다.[121]
대기업
대기업은 일반적인 대상입니다. 많은 경우에 공격은 신원 도용을 통한 금전적 이익을 목적으로 하며 데이터 침해를 수반합니다. 그 예로는 홈디포,[122] 스테이플스,[123] 타겟 코퍼레이션,[124] 에퀴팩스 등이 수백만 명의 고객의 신용카드 및 재무 정보를 분실한 경우가 있습니다.[125]
진료 기록은 일반적으로 도난, 건강 보험 사기, 환자 사칭 등을 식별하여 레크리에이션 목적이나 재판매 목적으로 처방약을 입수하는 것이 대상이 되었습니다.[126] 사이버 위협이 지속적으로 증가하고 있지만, 전체 조직의 62%가 2015년 비즈니스를 위한 보안 교육을 늘리지 않았습니다.[127]
하지만 모든 공격이 재정적으로 동기부여가 된 것은 아닙니다. 보안업체 HBGary Federal은 2011년 회사의 CEO가 자신들의 그룹에 잠입했다고 주장한 것에 대한 보복으로 해킹 운동 단체인 Anonymous로부터 심각한 일련의 공격을 받았습니다.[128][129] 그리고 Sony Pictures는 2014년에 해킹을 당했는데, 이는 데이터 유출을 통해 회사를 당황하게 만들고 워크스테이션과 서버를 닦음으로써 회사를 무력화하려는 명백한 이중의 동기에서 비롯되었습니다.[130][131]
자동차
많은 모델에서 엔진 타이밍, 크루즈 컨트롤, 잠금 방지 브레이크, 안전 벨트 텐셔너, 도어 잠금 장치, 에어백 및 첨단 운전자 보조 시스템이 장착되어 차량이 점점 더 전산화되고 있습니다. 또한 연결된 자동차는 WiFi 및 블루투스를 사용하여 온보드 소비자 장치 및 휴대폰 네트워크와 통신할 수 있습니다.[132] 자율주행차는 더욱 복잡해질 것으로 예상됩니다. 이러한 모든 시스템은 일부 보안 위험을 안고 있으며 이러한 문제는 광범위한 관심을 받고 있습니다.[133][134][135]
위험의 간단한 예로는 악성 콤팩트 디스크가 공격 벡터로 사용되고 있으며,[136] 자동차의 내장 마이크가 도청에 사용되고 있습니다. 그러나 자동차의 내부 컨트롤러 영역 네트워크에 액세스할 수 있는 경우 위험은 훨씬 더[132] 커집니다. 2015년 널리 공개된 테스트에서 해커들은 10마일 떨어진 곳에서 차량을 원격으로 카잭하여 도랑으로 몰아넣었습니다.[137][138]
제조업체들은 2016년 테슬라가 자동차의 컴퓨터 시스템에 보안 수정 사항을 도입하는 등 다양한 방식으로 반응하고 있습니다.[139] 자율주행차 분야에서는 2016년 9월 미국 교통부가 일부 초기 안전기준을 발표하고 각 주들이 통일된 정책을 마련할 것을 요구했습니다.[140][141][142]
또한 e-Drivers의 라이센스도 동일한 기술을 사용하여 개발되고 있습니다. 예를 들어, 멕시코의 라이센싱 당국(ICV)은 스마트 카드 플랫폼을 사용하여 누에보 레온(Nuevo Leon)주의 몬테레이(Montrey)시에 최초의 e-Drivers 라이센스를 발급했습니다.[143]
배송.
해운 회사들은[144] RFID(Radio Frequency Identification) 기술을 효율적인 디지털 보안 추적 장치로 채택했습니다. 바코드와 달리 RFID는 최대 20피트 떨어진 곳에서도 판독이 가능합니다. RFID는 FedEx와[145] UPS에서 사용합니다.[146]
정부
정부와 군용 컴퓨터 시스템은 일반적으로[147][148][149] 활동가들과 외국 권력에 의해 공격을 받습니다.[150][151][152][153] 학생부뿐만 아니라 신호등 통제, 경찰 및 정보 기관 통신, 인사 기록과 같은 지역 및 지역 정부 인프라입니다.[154]
FBI, CIA, 국방부는 모든 건물에 안전하게 통제된 액세스 기술을 사용합니다. 그러나 이러한 형태의 기술 사용은 기업가 세계로 확산되고 있습니다. 점점 더 많은 회사들이 디지털 보안 제어 액세스 기술의 발전을 이용하고 있습니다. 예를 들어 GE의 ACUVision은 액세스 제어, 경보 모니터링 및 디지털 기록을 위한 단일 패널 플랫폼을 제공합니다.[155]
사물 인터넷 및 물리적 취약성
사물 인터넷(IoT)은 전자, 소프트웨어, 센서 및 네트워크 연결이 내장된 장치, 차량 및 건물과 같은 물리적 사물의 네트워크로 데이터를 수집하고 교환할 수 있습니다.[156] 이는 관련된 보안 문제에 대한 적절한 고려 없이 개발되고 있다는 우려가 제기되었습니다.[157][158]
사물인터넷은 물리적 세계를 컴퓨터 기반 시스템에 보다 직접적으로 통합할 수 있는 기회를 제공하지만 [159][160]오용의 기회도 제공합니다. 특히 사물인터넷이 널리 퍼지면서 사이버 공격은 점점 더 물리적인 (단순히 가상적인) 위협이 될 가능성이 높습니다.[161] 현관문 잠금장치가 인터넷에 연결되어 있고 전화기에서 잠금/잠금 해제가 가능한 경우 도난 또는 해킹된 전화기의 버튼을 누르면 범죄자가 집에 들어올 수 있습니다. 사람들은 사물인터넷이 가능한 기기에 의해 통제되는 세상에서 신용카드 번호보다 훨씬 더 많은 것을 잃을 수 있습니다. 도둑들은 또한 인터넷이 연결되지 않은 호텔 문 잠금 장치를 피하기 위해 전자적인 수단을 사용했습니다.[162]
물리적 인프라 및/또는 사람의 생명을 대상으로 하는 공격을 사이버 운동 공격이라고도 합니다. IoT 기기와 어플라이언스가 통화를 획득함에 따라 사이버 키네틱 공격이 만연하고 피해가 크게 발생할 수 있습니다.
의료 시스템
의료 기기는 병원 내 진단 장비와[163] 심박조율기[164] 및 인슐린 펌프를 포함한 이식된 기기를 모두 포함하여 성공적으로 공격되었거나 잠재적으로 치명적인 취약성이 입증되었습니다.[165] There are many reports of hospitals and hospital organizations getting hacked, including ransomware attacks,[166][167][168][169] Windows XP exploits,[170][171] viruses,[172][173] and data breaches of sensitive data stored on hospital servers.[174][167][175][176] 2016년 12월 28일, 미국 식품의약국은 의료기기 제조업체가 인터넷 연결 기기의 보안을 유지해야 하는 방법에 대한 권고사항을 발표했지만, 시행을 위한 구조는 없었습니다.[177][178]
에너지부문
Daily Energy Insider에 따르면, 분산형 발전 시스템에서 사이버 공격의 위험은 현실적입니다. 공격은 장기간 동안 넓은 지역에서 전력 손실을 일으킬 수 있으며 이러한 공격은 자연 재해만큼 심각한 결과를 초래할 수 있습니다. 컬럼비아 특별구는 도시 내에 분산 에너지 자원(DER) 기관을 설립하는 것을 고려하고 있으며, 고객이 자신의 에너지 사용에 대해 더 많은 통찰력을 가질 수 있도록 하고 지역 전력 회사인 Pepco에 에너지 수요를 더 잘 추정할 수 있는 기회를 제공하는 것을 목표로 하고 있습니다. 그러나 D.C.의 제안은 "제3자 공급업체가 수많은 에너지 분배 지점을 만들 수 있도록 허용할 것이며, 이는 잠재적으로 사이버 공격자가 전력망을 위협할 수 있는 더 많은 기회를 만들 수 있습니다."[179]
텔레커뮤니케이션즈
아마도 가장 널리 알려진 디지털 보안 통신 장치는 SIM(Subscriber Identity Module) 카드일 것입니다. SIM(Subscriber Identity Module)은 서비스를 얻기 전에 전 세계 대부분의 셀룰러 장치에 내장된 장치입니다. SIM 카드는 디지털 보안 환경의 시작에 불과합니다.
SCWS(Smart Card Web Servers Draft Standard)는 스마트 카드의 HTTP 서버에 대한 인터페이스를 정의합니다.[180] 휴대전화와 휴대전화에서 OTA(Over-the-air) 결제 및 신용카드 정보를 확보하기 위한 테스트가 진행되고 있습니다. 조합형 SIM/DVD 장치는 일반 SIM 카드의 카드 본체에 DVD 호환 광 디스크를 내장하는 Smart Video Card 기술을 통해 개발되고 있습니다.
디지털 보안과 관련된 다른 통신 개발에는 내장된 SIM 카드를 사용하여 법적 구속력이 있는 전자 서명을 생성하는 모바일 서명이 포함됩니다.
보안 위반으로 인한 비용 및 영향
보안 위반으로 인해 심각한 재정적 피해가 발생했지만, 사고 비용을 추정하는 표준 모델이 없기 때문에 사용 가능한 유일한 데이터는 관련 조직에서 공개하는 것입니다. "여러 컴퓨터 보안 컨설팅 회사는 바이러스 및 웜 공격과 일반적인 적대적인 디지털 행위로 인해 전 세계적으로 총 손실을 추산하고 있습니다. 이들 기업의 2003년 손실 추정치는 130억 달러(웜 및 바이러스만 해당)에서 2,260억 달러(모든 형태의 은밀한 공격에 해당)에 이릅니다. 이러한 추정치의 신뢰성에 문제가 있는 경우가 많습니다. 기본적인 방법론은 기본적으로 일화적인 것입니다."[181]
그러나 보안 위반으로 인한 재정적 비용을 합리적으로 추정하면 실제로 조직이 합리적인 투자 의사 결정을 내리는 데 도움이 될 수 있습니다. 정보 보안에 대한 최적의 투자 수준을 분석하는 고전적인 Gordon-Loeb Model에 따르면, 기업이 정보를 보호하기 위해 지출하는 금액은 일반적으로 예상 손실의 작은 부분(즉, 사이버/정보 보안 침해로 인한 손실의 예상 가치)에 불과해야 한다는 결론을 내릴 수 있습니다.[182]
공격자 동기부여
물리적 보안과 마찬가지로 컴퓨터 보안 위반의 동기는 공격자마다 다릅니다. 어떤 사람들은 스릴을 추구하거나 파괴하는 사람들이고, 어떤 사람들은 활동가들이고, 다른 사람들은 재정적인 이익을 추구하는 범죄자들입니다. 국가가 후원하는 공격자는 이제 일반적이고 자원이 풍부하지만 Cuckoo's Egg에서 Clifford Stoll이 언급한 바와 같이 KGB를 위해 해킹한 Markus Hess와 같은 아마추어로부터 시작되었습니다.
공격자의 동기는 기쁨에서 정치적 목표에 이르기까지 모든 공격 유형에 따라 다를 수 있습니다.[15] 예를 들어, "핵심주의자"는 자신이 동의하지 않는 활동을 수행하는 회사나 조직을 대상으로 할 수 있습니다. 이것은 웹사이트가 다운됨으로써 회사에 나쁜 홍보를 만드는 것입니다.
종종 더 큰 지원 또는 국가 후원을 받는 고성능 해커는 재정 지원자의 요구에 따라 공격할 수 있습니다. 이러한 공격은 더 심각한 공격을 시도할 가능성이 높습니다. 더 심각한 공격의 예로는 2015년 우크라이나 전력망 해킹이 있었는데, 이 해킹은 스피어 피싱, 파일 파괴, 서비스 거부 공격을 이용하여 전체 공격을 수행한 것으로 알려졌습니다.[183][184]
또한 최근의 공격 동기는 정치적 이익을 얻거나 사회적 의제를 방해하려는 극단주의 조직으로 거슬러 올라갈 수 있습니다.[185] 인터넷, 모바일 기술 및 저렴한 컴퓨팅 장치의 성장으로 인해 성능이 향상되었을 뿐만 아니라 운영에 필수적인 것으로 간주되는 환경에 대한 위험도 증가했습니다. 모든 중요한 목표 환경은 타협하기 쉬우며, 이러한 유형의 행위자들의 동기를 고려하여 위험을 마이그레이션하는 방법에 대한 일련의 사전 연구로 이어졌습니다. 해커의 동기와 이념적 선호에 따라 공격하려는 국가 행위자의 동기 사이에는 몇 가지 극명한 차이가 존재합니다.[186]
특정 시스템에 대한 위협 모델링의 표준 부분은 해당 시스템에 대한 공격에 동기를 부여할 수 있는 요소와 이를 위반할 동기를 부여할 수 있는 대상을 식별하는 것입니다. 주의사항의 수준과 세부사항은 확보할 시스템에 따라 달라질 것입니다. 가정용 개인용 컴퓨터, 은행 및 기밀 군사 네트워크는 사용 중인 기본 기술이 유사한 경우에도 매우 다른 위협에 직면합니다.[187]
컴퓨터보안사고관리
컴퓨터 보안 사고 관리는 컴퓨터 보안 사고의 여파를 해결하고 관리하거나 침해를 방지하거나 사이버 공격을 차단하는 것을 목표로 타협하는 조직적인 접근 방식입니다. 일반적으로 침입 시에 식별되고 관리되지 않는 사고는 데이터 침해나 시스템 장애와 같은 더 큰 피해를 입히는 사건으로 확대됩니다. 컴퓨터 보안 사고 대응 계획의 의도된 결과는 사고를 억제하고, 피해를 제한하며, 비즈니스 복구를 지원하는 것입니다. 손상에 신속하게 대응하면 악용되는 취약성을 완화하고 서비스 및 프로세스를 복원하며 손실을 최소화할 수 있습니다.[188] 사고 대응 계획을 통해 조직은 침입이 손상을 입히기 전에 이를 중지할 수 있는 일련의 모범 사례를 수립할 수 있습니다. 일반적인 사고 대응 계획에는 사이버 공격에 대한 조직의 대응을 개략적으로 설명하는 일련의 서면 지침이 포함되어 있습니다. 문서화된 계획이 없다면, 조직은 침입이나 타협을 성공적으로 감지하지 못할 수 있으며, 이해 관계자들은 에스컬레이션 중에 자신의 역할, 프로세스 및 절차를 이해하지 못해 조직의 대응 및 해결 속도가 느려질 수 있습니다.
컴퓨터 보안 사고 대응 계획에는 다음과 같은 네 가지 주요 구성 요소가 있습니다.
- 작성: 컴퓨터 보안사고 및 침해사고 처리절차에 대한 이해관계자 작성
- 탐지 및 분석: 보안사고 확인을 위한 의심스러운 활동 파악 및 조사, 영향에 따른 대응 우선순위 결정 및 사고 통보 조정
- 억제, 박멸 및 복구: 영향을 받는 시스템을 격리하여 에스컬레이션 방지 및 영향 제한, 사고의 발생 원인 파악, 악성 프로그램, 영향을 받는 시스템 및 불량 행위자를 환경에서 제거, 위협이 더 이상 남아 있지 않을 때 시스템 및 데이터 복원
- 사고 후 활동: 사고 대응 계획 및 향후 [189]대응 노력을 개선할 목적으로 사고와 그 근본 원인 및 조직의 대응에 대한 사후 분석
주목할 만한 공격 및 침해
다양한 유형의 컴퓨터 보안 위반에 대한 몇 가지 예시가 아래에 나와 있습니다.
로버트 모리스와 최초의 컴퓨터 웜.
1988년에는 60,000대의 컴퓨터가 인터넷에 연결되었고 대부분은 메인프레임, 미니컴퓨터, 전문 워크스테이션이었습니다. 1988년 11월 2일, 많은 사람들이 속도를 늦추기 시작했는데, 그 이유는 프로세서 시간을 요구하는 악성 코드를 실행하기 때문이었고, 그 코드가 다른 컴퓨터로 확산되었기 때문입니다. 이것은 최초의 인터넷 컴퓨터 웜입니다.[190] 이 소프트웨어는 "인터넷에 연결된 기계의 수를 세고 싶었다"고 말한 23세의 코넬 대학 대학원생 로버트 태판 모리스의 것으로 거슬러 올라갑니다.[190]
로마 연구소
1994년, 미 공군의 주요 지휘 및 연구 시설인 로마 연구소에 정체불명의 크래커들에 의해 백 건이 넘는 침입이 이루어졌습니다. 트로이 목마를 이용해 해커들은 로마의 네트워킹 시스템에 무제한으로 접근할 수 있었고 그들의 활동 흔적을 제거할 수 있었습니다. 침입자들은 항공 임무 명령 시스템 데이터와 같은 기밀 파일을 얻을 수 있었고, 더 나아가 미국 항공우주국의 고다드 우주 비행 센터, 라이트-패터슨 공군 기지, 일부 국방 계약자 및 기타 민간 부문 조직의 연결된 네트워크에 침투할 수 있었습니다. 신뢰할 수 있는 로마 센터 사용자인 것처럼 행세함으로써.[191]
TJX고객신용카드내역
2007년 초, 미국의 의류 및 가정용품 회사 TJX는 그것이 무단 컴퓨터 시스템 침입의[192] 피해자이며 해커들이 신용카드, 직불카드, 수표 및 상품 반품 거래에 대한 데이터를 저장하는 시스템에 액세스했다고 발표했습니다.[193]
스턱스넷 공격
2010년에 스턱스넷으로 알려진 컴퓨터 웜은 이란의 핵 원심분리기의 거의 5분의 1을 파괴한 것으로 알려졌습니다.[194] 표적 공격에서 산업용 프로그래밍 가능 논리 컨트롤러(PLC)를 방해함으로써 이를 수행했습니다. 이것은 일반적으로 이스라엘과 미국이 이란의 핵 프로그램을[195][196][197][198] 중단시키기 위해 시작한 것으로 믿어지고 있습니다. 그러나 둘 다 이것을 공개적으로 인정하지는 않았습니다.
글로벌 감시 정보 공개
2013년 초, 에드워드 스노든이 제공한 문서들이 워싱턴 포스트와 가디언에[199][200] 의해 공개되어 NSA의 전세계적인 감시의 대규모 규모를 폭로했습니다. NSA가 암호화를 위해 NIST 표준에 백도어를 삽입했을 수 있다는 징후도 있었습니다.[201] 이 기준은 나중에 광범위한 비판으로 인해 철회되었습니다.[202] NSA도 구글의 데이터센터 간 연결고리를 도청한 것으로 드러났습니다.[203]
타겟 및 홈 디포 위반
2013년에는 레스케이터로 알려진 우크라이나 해커가 타겟 코퍼레이션 컴퓨터에 침입하여 약 4천만 장의 신용 카드를 훔쳤고,[204] 2014년에는 홈 디포 컴퓨터가 5천 3백만에서 5천 6백만 장의 신용 카드 번호를 훔쳤습니다.[205] 두 회사 모두 경고가 전달되었지만 무시되었습니다. 셀프 계산기를 사용한 물리적 보안 위반이 큰 역할을 한 것으로 판단됩니다. 보안 기술 회사인 McAfee의 위협 인텔리전스 운영 책임자인 Jim Walter는 "활용된 악성 프로그램은 완전히 정교하지 않고 흥미롭지 않습니다."라고 말합니다. 즉, 관리자가 경고에 응답했더라면 기존 바이러스 백신 소프트웨어로 쉽게 공격자를 막을 수 있었을 것입니다. 도난 사건의 규모는 주 당국과 연방 정부의 큰 관심을 불러 일으켰고 수사는 계속되고 있습니다.
인사처 자료 유출
2015년 4월 인사혁신처는 1년여 전에 데이터 유출로 해킹을 당했다는 사실을 밝혀냈고, 이로 인해 해당 사무소에서 처리한 약 2,150만 건의 인사 기록이 도난당했습니다.[206] 인사관리국 해킹은 미국 역사상 가장 큰 정부 데이터 침해 사건 중 하나로 연방 공무원들에 의해 설명되어 왔습니다.[207] 위반 대상이 된 데이터에는 정부 신원 조사를 받은 사람뿐만 아니라 전·현직 공무원의 주민등록번호, 이름, 생년월일, 주소, 지문 등 개인 식별이 가능한 정보가 포함되었습니다.[208][209] 해킹은 중국 해커들에 의해 자행된 것으로 추정됩니다.[210]
애슐리 매디슨 사건
2015년 7월, The Impact Team으로 알려진 해커 그룹은 Avid Life Media가 만든 혼외 관계 웹사이트 Ashley Madison을 성공적으로 해킹했습니다. 이 단체는 회사 데이터뿐만 아니라 사용자 데이터도 가져갔다고 주장했습니다. 위반 후, The Impact Team은 회사의 CEO가 보낸 이메일을 폐기하고, 그들의 주장을 입증하기 위해 웹사이트를 영구적으로 철거하지 않으면 고객 데이터를 폐기하겠다고 위협했습니다.[211] Avid Life Media가 사이트를 오프라인으로 전환하지 않았을 때 그룹은 9.7개의 압축 파일을 두 개 더 공개했습니다.GB와 두 번째 20GB입니다. 두 번째 데이터 덤프 이후, Avid Life Media의 CEO Noel Biderman은 사임했지만, 웹사이트는 여전히 작동하고 있습니다.
콜로니얼 파이프라인 랜섬웨어 공격
2021년 6월, 사이버 공격은 미국에서 가장 큰 연료 파이프라인을 무너뜨리고 동부 해안 전역에서 부족 사태로 이어졌습니다.[212]
법적 쟁점과 글로벌 규제
사이버 공격의 국제법적 문제는 본질적으로 복잡합니다. 사이버 범죄와 사이버 범죄자를 판단하고 처벌할 공통된 규칙의 글로벌 기반은 없습니다. 그리고 보안 회사나 기관이 특정 악성 프로그램이나 사이버 공격 형태를 만든 배후에 사이버 범죄자를 위치시키는 경우, 종종 기소할 법이 없기 때문에 지역 당국이 조치를 취할 수 없습니다.[213][214] 사이버 범죄와 사이버 공격의 귀속을 증명하는 것도 모든 사법 기관의 주요 문제입니다. "컴퓨터 바이러스는 한 국가에서 다른 국가로, 한 관할 지역에서 다른 관할 지역으로 전환됩니다. 이와 같은 전 세계적인 경찰 활동을 수행할 능력이 없다는 사실을 이용하여 전 세계로 이동합니다. 그래서 인터넷은 마치 누군가가 전 세계의 모든 온라인 범죄자들에게 무료 비행기 티켓을 준 것과 같습니다."[213] 동적 DNS, 고속 플럭스 및 총알 방지 서버와 같은 기술을 사용하면 조사 및 시행의 어려움이 가중됩니다.
정부의 역할
정부의 역할은 기업과 조직이 사이버 공격으로부터 시스템, 인프라 및 정보를 보호할 뿐만 아니라 국가 전력망과 같은 자체 국가 인프라를 보호하도록 강제하는 규정을 만드는 것입니다.[215]
사이버 공간에서 정부의 규제 역할은 복잡합니다. 일부 사람들에게 사이버 공간은 오늘날 많은 자유주의 블록체인 및 비트코인 논의에서 볼 수 있듯이 정부의 개입으로부터 자유로울 수 있는 가상 공간으로 여겨졌습니다.[216]
많은 정부 관계자들과 전문가들은 정부가 더 많은 일을 해야 하며 주로 민간 부문이 사이버 보안 문제를 효율적으로 해결하지 못했기 때문에 규제 개선이 매우 필요하다고 생각합니다. R. Clarke는 샌프란시스코에서 열린 RSA Security Conference에서 패널 토론 중에 "업계는 규제를 위협할 때만 대응한다"고 말했습니다. 업계가 (위협에) 대응하지 않으면 끝까지 따라가야 합니다."[217] 반면, 민간 부문의 경영진들은 개선이 필요하다는 데는 동의하지만, 정부의 개입이 효율적인 혁신 능력에 영향을 미칠 것으로 생각합니다. 다니엘 R. McCarthy는 이러한 사이버 보안에 대한 민관 협력을 분석하고 정치 질서의 광범위한 구성에서 사이버 보안의 역할을 성찰했습니다.[218]
2020년 5월 22일, 유엔 안전보장이사회는 국제 평화에 대한 사이버 도전에 초점을 맞추기 위해 사이버 안보에 관한 두 번째 비공식 회의를 열었습니다. 안토니우 구테흐스 유엔 사무총장에 따르면, 새로운 기술은 권리를 침해하기 위해 너무 자주 사용된다고 합니다.[219]
국제행동
다음과 같은 다양한 팀과 조직이 존재합니다.
- 사고 대응 및 보안 팀 포럼(Forum of Incident Response and Security Teams, FIRST)은 국제적인 CIRT 협회입니다.[220] US-CERT, AT&T, Apple, Cisco, McAfee, Microsoft는 모두 이 국제 팀의 일원입니다.[221]
- 유럽평의회는 사이버범죄협약을 통해 전 세계 사회를 사이버범죄의 위협으로부터 보호할 수 있도록 지원하고 있습니다.[222]
- MAAWG(Messaging Anti-Abuse Working Group)의 목적은 메시징 업계가 협력적으로 협력하고 스팸, 바이러스, 서비스 거부 공격 및 기타 메시징 악용과 같은 다양한 형태의 메시징 악용을 성공적으로 해결하는 것입니다.[223] 프랑스 텔레콤, 페이스북, AT&T, 애플, 시스코, 스프린트는 MAAWG의 일부 회원입니다.[224]
- ENISA: European Network and Information Security Agency (ENISA)는 유럽 연합의 네트워크 및 정보 보안을 개선하기 위한 목적을 가진 유럽 연합의 기관입니다.
유럽
2016년 4월 14일, 유럽 의회와 유럽 연합 이사회는 일반 데이터 보호 규정(GDPR)을 채택했습니다. 2018년 5월 25일 발효된 GDPR은 유럽연합(EU)과 유럽경제지역(EEA) 내 개인에게 개인정보 보호권을 부여합니다. 이 규정은 개인 데이터를 처리하는 모든 엔티티가 설계 및 기본적으로 데이터 보호를 통합하도록 요구합니다. 또한 특정 조직에서는 DPO(Data Protection Officer)를 임명해야 합니다.
국민행동
컴퓨터 비상대책반
대부분의 국가에는 네트워크 보안을 보호하기 위한 자체 컴퓨터 비상 대응 팀이 있습니다.
캐나다
2010년부터 캐나다는 사이버 보안 전략을 가지고 있습니다.[225][226] 이 문서는 중요 인프라에 대한 국가 전략 및 실행 계획의 대응 문서로 기능합니다.[227] 이 전략에는 정부 시스템 확보, 중요한 민간 사이버 시스템 확보, 캐나다 국민들의 온라인 보안 지원 등 세 가지 주요 축이 있습니다.[226][227] 사이버 사고 발생 시 조정된 대응을 제공하는 사이버 사고 관리 프레임워크도 있습니다.[228][229]
Canadian Cyber Incident Response Center(CCCIRC)는 캐나다의 중요한 인프라와 사이버 시스템에 대한 위협을 완화하고 대응하는 역할을 담당합니다. 사이버 위협을 완화하기 위한 지원, 표적 사이버 공격에 대응하고 복구하기 위한 기술 지원, 캐나다의 중요 인프라 부문 구성원을 위한 온라인 도구를 제공합니다.[230] 정기적인 사이버 보안 게시판을[231] 게시하고 개인 및 조직에서 사이버 사건을 보고할 수 있는 온라인 보고 도구를 운영합니다.[232]
일반 대중에게 온라인으로 자신을 보호하는 방법을 알리기 위해 Public Safety Canada는 STOP과 제휴를 맺었습니다.생각해.비영리·민간·정부기관 연합 '커넥트(CONNECT)'[233]가 사이버 안보 협력 프로그램을 시작했습니다.[234][235] 그들은 또한 캐나다 시민들을 위한 GetCyberSafe 포털과 10월 동안 사이버 보안 인식의 달을 운영하고 있습니다.[236]
공공 안전 캐나다는 2015년 초에 캐나다의 사이버 보안 전략에 대한 평가를 시작하는 것을 목표로 하고 있습니다.[227]
호주.
호주 연방정부는 중소기업의 사이버 보안 복원력을 강화하고 사이버 위협에 대응하는 역량을 강화하기 위해 1,820만 달러를 투자한다고 발표했습니다. 이러한 재정적 지원은 곧 공개될 2023-2030 호주 사이버 보안 전략의 필수 요소이며, 이번 주 내에 출시될 예정입니다. 자발적인 사이버 건강 점검 프로그램의 구축을 위해 720만 달러의 상당한 예산이 배정되어 기업들이 사이버 보안 향상 기술에 대한 종합적이고 맞춤화된 자체 평가를 수행할 수 있도록 지원합니다.
이 아방가르드한 건강 평가는 기업이 호주의 사이버 보안 규정의 견고성을 확인할 수 있는 진단 도구로 사용됩니다. 또한 교육 리소스 및 자료 저장소에 액세스할 수 있도록 하여 사이버 보안 강화 태세에 필요한 기술 습득을 촉진합니다. 이 획기적인 계획은 클레어 오닐 사이버 보안부 장관과 줄리 콜린스 중소기업부 장관이 공동으로 발표했습니다.
미국.
이번 국가 사이버 계획 발표로 미국은 15년 만에 처음으로 완전한 사이버 계획을 수립하게 되었습니다.[238] 이 정책에서 미국은 그렇게 할 것이라고 말합니다: 네트워크, 시스템, 기능, 데이터를 안전하게 유지함으로써 나라를 보호하고, 강력한 디지털 경제를 구축하고 강력한 국내 혁신을 장려함으로써 미국의 부를 증진하고, 미국이 사람들이 나쁜 일에 컴퓨터 도구를 사용하는 것을 쉽게 막을 수 있도록 함으로써 평화와 안전을 지켜야 합니다. 이를 위해 친구 및 파트너와 협력하고, 개방적이고 안전하며 신뢰할 수 있으며 호환 가능한 인터넷 이면의 주요 아이디어를 지원하기 위해 전 세계에 미국의 영향력을 증대시킵니다.[239] 미국의 새로운 사이버 전략은[240] 사이버 공간에서 책임 있는 행동을 촉진함으로써 그러한 우려를 일부 완화하고, 국가들이 국제법과 자발적인 표준을 통해 일련의 규범을 준수하도록 촉구합니다. 또한 2015년 6월 미국 인사관리국(OPM)에 침입하여 약 420만 명의 전·현직 공무원의 기록을 손상시킨 사건과 같이 공격으로부터 미국 정부 네트워크를 강화하기 위한 구체적인 조치를 요구하고 있습니다. 그리고 이 전략은 미국이 경제 제재와 외교적 압력을 사용함과 동시에, 가능한 한 공격을 공개적으로 요구하면서, 나쁜 사이버 행위자들을 계속 지명하고 망신을 주자는 것을 요구하고 있습니다.[241]
인디아
사이버 보안에 대한 일부 조항은 2000년 정보 기술법에 따라 구성된 규칙에 통합되었습니다.[242]
국가사이버보안정책 2013은 사이버 공격으로부터 공공 및 민간 인프라를 보호하고 "(웹 사용자의) 개인 정보, 금융 및 은행 정보 및 국가 데이터 등의 정보"를 보호하는 것을 목표로 하는 전자정보기술부(MeitY)의 정책 프레임워크입니다. CERT-In은 국가의 사이버 위협을 감시하는 노드 기관입니다. 총리실에도 국가사이버안보조정관 자리가 생겼습니다.
2013년 인도 회사법은 인도 이사의 입장에서도 사이버법과 사이버 보안 의무를 도입했습니다. 사이버 보안에 대한 일부 조항은 2013년 정보 기술법 2000 업데이트에 따라 구성된 규칙에 통합되었습니다.[243]
대한민국.
정부, 뉴스 미디어, 텔레비전 방송국 및 은행 웹사이트가 손상된 2013년 상반기의 사이버 공격 이후, 정부는 2017년까지 5,000명의 새로운 사이버 보안 전문가 양성에 전념했습니다. 한국 정부는 2009년, 2011년,[244] 2012년에 발생한 사건들과 이러한 공격들에 대해 북한의 책임을 돌렸지만, 북한은 혐의를 부인하고 있습니다.[245]
미국
입법
1986년 18년 미국 § 1030, 컴퓨터 사기 및 남용에 관한 법률이 핵심 입법입니다. § 1030(e)(2)에 정의된 바와 같이 보호되는 컴퓨터의 무단 액세스 또는 손상을 금지합니다. 다른 다양한 조치들이 제안되었지만[246][247], 성공한 것은 하나도 없습니다.
2013년에는 중요 인프라스트럭처 사이버 보안 개선 행정 명령 13636이 체결되었으며, 이로 인해 NIST 사이버 보안 프레임워크가 탄생하게 되었습니다.
식민지 파이프라인 랜섬웨어 공격에[248] 대응하여 조 바이든 대통령은 2021년 5월 12일 정부에 판매하기 위한 소프트웨어 보안 표준을 높이고, 기존 시스템에 대한 탐지 및 보안을 강화하며, 정보 공유 및 훈련을 개선하고, 사이버 안전 검토 위원회를 설립하는 행정 명령 14028에[249] 서명했습니다. 사고 대응 능력을 향상시킵니다.
표준화된 정부 테스트 서비스
GSA(General Services Administration)는[when?] 침투 테스트 서비스를 사전에 검증된 지원 서비스로 표준화하여 잠재적인 취약성을 신속하게 해결하고 미국 연방, 주 및 지방 정부에 영향을 미치기 전에 적을 막습니다. 이러한 서비스를 일반적으로 HACS(High Adaptive Cyber Security Services)라고 합니다.
대행사
국토안보부는 미국의 사이버 보안에 대한 대응 체계, 위험 관리 프로그램 및 요구 사항을 담당하는 국가 사이버 보안 부서라고 불리는 전담 부서를 두고 있습니다.[250][251] 이 부서는 미국-CERT 작전과 국가 사이버 경보 시스템의 본거지입니다.[251] 국가 사이버 보안 및 통신 통합 센터는 컴퓨터 네트워크와 네트워크 기반 시설의 보호를 담당하는 정부 조직을 하나로 묶습니다.[252]
FBI의 세 번째 우선순위는 "사이버 기반 공격과 첨단 기술 범죄로부터 미국을 보호하라"[253]는 것입니다. 이들은 국립 화이트 칼라 범죄 센터(NW3C), 사법 지원국(BJA)과 함께 IC3라고도 알려진 다중 기관 태스크 포스인 인터넷 범죄 고발 센터의 일부입니다.[254]
FBI는 자체적인 특수 임무 외에도 InfraGard와 같은 비영리 단체와 함께 참여합니다.[255][256]
컴퓨터 범죄 및 지적 재산권 섹션(CCIPS)은 미국 법무부 형사과에서 운영됩니다. CCIPS는 컴퓨터 범죄와 지적재산권 범죄의 조사를 담당하며 컴퓨터와 네트워크에서 디지털 증거의 검색과 압수를 전문으로 합니다.[257] 2017년 CCIPS는 조직이 "인증된 취약성 공개 및 발견 행위를 명확하게 설명할 수 있도록 온라인 시스템을 위한 취약성 공개 프로그램 프레임워크"를 발표했습니다. 따라서 이러한 기술된 활동이 컴퓨터 사기 및 남용에 관한 법률(18 U.S.C. § 1030)에 따라 민사 또는 형사상 법 위반으로 이어질 가능성을 상당히 낮춥니다."[258]
미국 사이버사령부(USCYBERCOM)는 "국내외 파트너들과 협력하여 국익을 수호하고 증진하기 위해 사이버 공간 계획 및 운영을 지시, 동기화 및 조정하는 임무를 수행합니다."[259] 민간 네트워크 보호에는 아무런 역할이 없습니다.[260][261]
사이버 보안에서 미국 연방 통신 위원회의 역할은 중요한 통신 인프라의 보호를 강화하고, 재해 시 네트워크의 신뢰성을 유지하는 데 도움을 주고, 재해 후 신속한 복구를 지원하며, 최초 대응자가 효과적인 통신 서비스에 액세스할 수 있도록 보장하는 것입니다.[262]
식품의약품안전청은 의료기기 안내를 내렸고,[263] 도로교통안전청은[264] 자동차 사이버 보안에 신경을 쓰고 있습니다. 정부 책임국의 비난을 받고,[265] 공항에 대한 공격이 성공하고 비행기에 대한 공격이 주장되자, 연방항공청은 민간 제조업체의 비행기에 탑재된 시스템과 항공기 통신 주소 지정 및 보고 시스템을 확보하는 데 자금을 투입했습니다.[266] 미래의 차세대 항공 교통 시스템에 대한 우려도 제기되고 있습니다.[267]
2004년 미국 국방부(DoD)는 DoD Directive 8140에 의해 보완된 DoD Directive 8570을 발표했습니다. 네트워크 인프라 방어와 관련된 모든 DoD 직원과 모든 DoD 계약 담당자는 다양한 산업 정보 기술(IT) 인증을 획득하고 유지하여 네트워크 인프라 방어와 관련된 모든 DoD 직원이 최소한의 IT 산업 인정 지식을 갖추도록 요구합니다. 기술과 능력(KSA) Andersson과 Reimers(2019)는 이러한 인증 범위가 Comp사에서 보고합니다.ICS2.org 의 CISSP 등을 통해 TIA의 A+와 Security+.
컴퓨터비상대비반
컴퓨터 비상 대응팀은 컴퓨터 보안 사고를 처리하는 전문가 그룹에 붙여진 이름입니다. 미국에는 두 개의 별개의 조직이 존재하지만, 그들은 긴밀하게 협력합니다.
- US-CERT: 미국 국토안보부의 국가 사이버 보안 부서의 일부.[269]
- CERT/CC: 국방 고등 연구 프로젝트 기관(DARPA)이 만들고 소프트웨어 공학 연구소(SEI)가 운영합니다.
미국 NRC, 10 CFR 73.54 사이버 보안
미국 원자력 발전소의 맥락에서, 미국 원자력 규제 위원회(NRC)는 10 CFR Part 73, 특히 §73.54에 따른 사이버 보안 요구 사항을 설명합니다. 이 섹션은 안전, 보안, 비상 대비 및 지원 시스템과 관련된 디지털 장비와 컴퓨터 및 통신 시스템에 대해 라이센스 계약자가 사이버 공격에 대한 높은 보증을 제공하도록 규정하고 있습니다. 면허인은 사이버 보안 계획을 제출하고 종합적인 사이버 보안 프로그램을 수립하며 사이버 위협으로부터 보호하기 위한 방어 심층 전략을 구현해야 합니다. 계획에는 사이버 공격에 대한 사고 대응 및 복구 조치(예: 컨틴전시 플랜, 전력망 컨틴전시 플랜)도 포함되어야 합니다. 자세한 내용은 10 CFR 73.54, 디지털 컴퓨터 및 통신 시스템 및 네트워크 보호에서 확인할 수 있습니다.
NEI 08-09: 원자력 발전소 사이버 보안 계획
원자력 연구소의 NEI 08-09 문서인 "원자력 원자로에 대한 보안 계획"은 원자력 산업의 사이버 보안에 대한 포괄적인 틀을 제시하고 있습니다. 미국 NRC의 의견을 토대로 작성된 이 지침은 면허인이 사이버 위협으로부터 원자력 발전소의 디지털 컴퓨터와 장비 및 통신 시스템의 강력한 보호를 의무화하는 연방 규정(CFR) 제10편 제73.54조(10 CFR 73.54)를 준수하는 데 도움이 됩니다. NEI 08-09는 사이버 보안에 대한 구조화된 접근 방식을 제공하며, 사이버 보안 계획의 작성, 기술 및 관리 보안 통제의 구현, 그리고 이러한 계획을 전체 물리적 보호 프로그램에 통합하는 것과 같은 측면을 포괄합니다. 원자력 시설에서의 물리적 보안 프로그램 및 기타 일반적인 핵 보안 프로그램). 사이버 공격으로부터 중요 디지털 자산(CDA)(즉, 중요 자산, 비즈니스 중요 자산, 안전 중요 자산)을 보호하기 위해 계층화된 보안 조치를 사용하여 원자력 운영의 안전성과 무결성을 보장하는 심층 방어 전략을 강조합니다. 자세한 내용은 NEI 08-09를 참조하십시오.
현대전
사이버 공간이 차세대 전쟁의 장이 될 것이라는 우려가 커지고 있습니다. 크리스천 사이언스 모니터의 마크 클레이튼이 2015년 "새로운 사이버 무기 경주"라는 제목의 기사에서 다음과 같이 썼습니다.
앞으로 전쟁은 단순히 총을 든 군인이나 폭탄을 투하하는 비행기로 싸우는 것이 아닙니다. 그들은 또한 유틸리티, 운송, 통신 및 에너지와 같은 중요한 산업을 방해하거나 파괴하는 신중하게 무기화된 컴퓨터 프로그램을 방출하는 반세계 떨어진 곳에서 마우스 클릭으로 싸울 것입니다. 그러한 공격은 또한 군대의 이동, 제트 전투기의 이동, 군함의 지휘와 통제를 통제하는 군사 네트워크를 무력화시킬 수 있습니다.[270]
이는 사이버 전쟁과 사이버 테러와 같은 새로운 용어로 이어졌습니다. 미국 사이버사령부는 2009년에[271] 창설되었고 다른 많은 나라들도 비슷한 세력을 가지고 있습니다.
사이버 보안이 알려진 것만큼 중대한 위협인지에 대해 의문을 제기하는 비판적인 목소리가 몇 가지 있습니다.[272][273][274]
경력들
사이버 보안은 빠르게 성장하는 IT 분야로 조직의 해킹이나 데이터 유출 위험을 줄이는 데 도움이 됩니다.[275] 엔터프라이즈 전략 그룹의 연구에 따르면 2016년 사이버 보안 기술이 '문제적으로 부족하다'고 응답한 조직이 46%로 2015년 28%보다 증가했습니다.[276] 상업, 정부 및 비정부 기관은 모두 사이버 보안 전문가를 고용합니다. 사이버 보안 종사자에 대한 수요가 가장 빠르게 증가하는 것은 금융, 의료 및 소매와 같은 점점 더 많은 양의 소비자 데이터를 관리하는 산업 분야입니다.[277] 그러나 사이버 보안이라는 용어의 사용은 정부 직무 설명에서 더 널리 사용됩니다.[278]
일반적인 사이버 보안 직업 제목 및 설명은 다음과 같습니다.[279]
보안 분석가
- 인프라(소프트웨어, 하드웨어, 네트워크)의 취약성을 분석 및 평가하고, 사용 가능한 도구 및 대응 조치를 사용하여 탐지된 취약성을 해결하고 솔루션 및 모범 사례를 권장합니다. 보안 사고로 인한 데이터/인프라의 손상을 분석 및 평가하고, 사용 가능한 복구 툴 및 프로세스를 검토하며, 솔루션을 추천합니다. 보안 정책 및 절차 준수 여부를 테스트합니다. 보안 솔루션의 생성, 구현 또는 관리에 도움이 될 수 있습니다.
보안기사
- 보안 모니터링, 보안 및 데이터/로그 분석, 포렌식 분석을 수행하여 보안 사고를 감지하고 사고 대응을 마운트합니다. 새로운 기술과 프로세스를 조사하고 활용하여 보안 기능을 강화하고 개선 사항을 구현합니다. 또한 코드를 검토하거나 다른 보안 공학 방법론을 수행할 수 있습니다.
보안 설계자
- 보안 시스템 또는 보안 시스템의 주요 구성 요소를 설계하고, 새로운 보안 시스템을 구축하는 보안 설계 팀을 이끌 수 있습니다.[280]
최고 정보 보안 책임자(CISO)
- 전체 정보 보안 부서/직원을 담당하는 고위 관리직입니다. 그 자리에는 실습 기술 작업이 포함될 수 있습니다.[281]
최고 보안 책임자(CSO)
- 전체 보안 부서/직원을 담당하는 고위 관리직입니다. 이제 보안 위험이 증가함에 따라 새로운 직책이 필요한 것으로 간주됩니다.
데이터 보호 책임자(DPO)
- DPO는 영국 GDPR 및 기타 데이터 보호 법률, 당사의 데이터 보호 정책, 인식 제고, 교육 및 감사의 준수 여부를 모니터링하는 임무를 수행합니다.[282]
보안 컨설턴트/전문가/지능
- 컴퓨터, 네트워크, 소프트웨어, 데이터 또는 정보 시스템을 바이러스, 웜, 스파이웨어, 악성 프로그램, 침입 탐지, 무단 액세스, 서비스 거부 공격으로부터 보호하는 임무를 수행하는 하나 또는 모든 다른 역할 또는 제목을 포함하는 광범위한 제목, 그리고 개인이나 조직적인 범죄나 외국 정부의 일원으로 활동하는 해커들의 공격 목록이 계속 늘어나고 있습니다.
사이버 보안 분야에서 경력을 시작하는 데 관심이 있는 사람들을 위한 학생 프로그램도 이용할 수 있습니다.[283][284] 한편, 웹캐스트를 포함한 온라인 보안 교육은 모든 경험 수준의 정보 보안 전문가들이 계속 공부할 수 있는 유연하고 효과적인 옵션입니다.[285][286] 다양한 인증 과정도 제공됩니다.[287]
영국에서는 창업과 혁신을 장려하고 영국 정부에 의해 확인된 기술[289] 격차를 해결하기 위해 정부의 사이버 보안[288] 전략에 의해 지원되는 영국 사이버 보안 포럼이라고 알려진 전국적인 사이버 보안 포럼이 설립되었습니다.
싱가포르에서는 사이버 보안국이 싱가포르 운영 기술(OT) 사이버 보안 역량 프레임워크(OTCCF)를 발표했습니다. 이 프레임워크는 운영 기술의 새로운 사이버 보안 역할을 정의합니다. OTCCF는 IMDA(Infocomm Media Development Authority)의 승인을 받았습니다. 다양한 OT 사이버 보안 직업과 필요한 기술 기술 및 핵심 역량을 설명합니다. 또한 수직 및 측면 진출 기회를 포함하여 사용 가능한 많은 진로를 묘사합니다.[290]
용어.
컴퓨터 보안과 관련하여 사용되는 다음 용어는 다음과 같습니다.
- 액세스 권한은 인증 시스템을 사용하여 사용자 그룹에 대한 컴퓨터 액세스를 제한합니다. 이러한 시스템은 대화형 로그인 화면을 통해 컴퓨터 전체를 보호하거나 FTP 서버와 같은 개별 서비스를 보호할 수 있습니다. 비밀번호, 신분증, 스마트카드, 생체 인식 시스템 등 사용자를 식별하고 인증하는 많은 방법이 있습니다.
- 안티바이러스 소프트웨어는 컴퓨터 바이러스 및 기타 악성 소프트웨어(멀웨어)를 식별, 차단 및 제거하려는 컴퓨터 프로그램으로 구성됩니다.
- 애플리케이션은 실행 가능한 코드이므로 일반적인 기업 관행은 사용자가 애플리케이션을 설치할 수 있는 권한을 제한하거나 차단하는 것입니다. 예를 들어, 필요성이 입증된 경우에만 애플리케이션을 설치할 수 있습니다. 할당을 수행하는 데 필요한 소프트웨어), 평판이 좋은 것으로 알려진 것만 설치하는 것(응용 프로그램을 만드는 데 사용되는 컴퓨터 코드에 대한 액세스 권한을 갖는 것이 prefer일 수 있으며, 가능한 한 적게 설치하여 공격 표면을 줄이는 것). 일반적으로 릴리스된 보안 패치 또는 업데이트를 식별, 테스트 및 설치할 수 있는 강력한 프로세스를 통해 최소한의 권한으로 실행됩니다.
- 예를 들어 프로그램을 개별 사용자의 계정에 설치할 수 있으므로 프로그램의 잠재적 액세스가 제한될 뿐만 아니라 정책에 대한 특정 예외가 있는 사용자를 제어할 수 있습니다. Linux], FreeBSD, OpenBSD 및 기타 유닉스 계열 운영 체제에서는 chroot 또는 다른 방법으로 응용 프로그램을 자체 '샌드박스'로 제한하는 옵션이 있습니다. 예를들면. 리눅스는 네임스페이스를 제공하고 C그룹은 응용프로그램의 시스템 리소스 액세스를 더욱 제한합니다.
- SELinux 또는 AppArmor와 같은 일반화된 보안 프레임워크는 관리자가 액세스를 제어하는 데 도움이 됩니다.
- 자바 바이트 코드로 컴파일되어 자바 가상 머신에서 실행되는 자바 및 기타 언어는 가상 머신 레벨에서 다른 애플리케이션에 대한 액세스를 제어할 수 있습니다.
- 일부 소프트웨어는 자신의 시스템 라이브러리 세트를 제공할 수 있는 소프트웨어 컨테이너에서 실행될 수 있으며, 이는 소프트웨어 또는 이를 제어하는 모든 사용자가 서버의 라이브러리 버전에 액세스할 수 있도록 제한합니다.
- 인증 기술을 사용하여 통신 엔드포인트가 자신이 말하는 것인지 확인할 수 있습니다.
- 자동화된 정리 증명 및 기타 검증 도구를 사용하여 보안 시스템에서 사용되는 중요한 알고리즘 및 코드를 수학적으로 증명하여 사양을 충족할 수 있습니다.
- 백업은 중요한 컴퓨터 파일을 보관하는 하나 이상의 복사본입니다. 일반적으로 여러 복사본은 다른 위치에 보관되므로 복사본이 도난당하거나 손상된 경우 다른 복사본이 여전히 존재합니다.
- 권한 분리 및 의무 액세스 제어를 보장하기 위해 기능 및 액세스 제어 목록 기법을 사용할 수 있습니다. 기능 대 ACL은 이들의 사용에 대해 논의합니다.
- 신뢰의 체인 기법을 사용하여 로드된 모든 소프트웨어가 시스템 설계자에 의해 정품 인증을 받았는지 확인할 수 있습니다.
- 기밀은 다른 권한이 있는 사람을 제외하고 정보를 비공개하는 것입니다.[291]
- 암호화 기술을 사용하여 시스템 간 전송 중인 데이터를 방어할 수 있으므로 시스템 간 데이터 교환이 차단되거나 수정될 가능성이 줄어듭니다.
- 사이버 전쟁은 정보와 정보 시스템에 대한 정치적 동기의 공격을 포함하는 인터넷 기반의 분쟁입니다. 예를 들어, 이러한 공격은 공식 웹 사이트 및 네트워크를 비활성화하고, 필수 서비스를 중단 또는 비활성화하고, 기밀 데이터를 훔치거나 변경하며, 금융 시스템을 무력화할 수 있습니다.
- 데이터 무결성은 저장된 데이터의 정확성과 일관성으로, 데이터 레코드의 두 업데이트 사이에 데이터에 변경 사항이 없음을 나타냅니다.[292]
- 암호화는 메시지의 기밀성을 보호하는 데 사용됩니다. 암호학적으로 안전한 암호는 암호를 깨기 위한 실용적인 시도가 불가능하도록 설계되었습니다. 대칭키 암호는 공유키를 이용한 대량 암호화에 적합하며, 디지털 인증서를 이용한 공개키 암호화는 사전에 키가 공유되지 않을 때 안전하게 통신하는 문제에 대한 실질적인 해결책을 제공할 수 있습니다.
- 엔드포인트 보안 소프트웨어는 랩톱, 모바일 장치 및 USB 드라이브와 같은 감염 가능성이 있는 장치의 보급으로 인해 취약해진 네트워크 진입 지점에서 악성 프로그램 감염 및 데이터 도난을 방지하는 데 네트워크를 지원합니다.[293]
- 방화벽은 정의된 규칙과 일치하는 트래픽만 허용하는 네트워크 간 게이트키퍼 시스템 역할을 합니다. 여기에는 종종 상세 로깅이 포함되며 침입 탐지 및 침입 방지 기능이 포함될 수 있습니다. 이들은 회사 로컬 지역 네트워크와 인터넷 간에 거의 범용적이지만 네트워크 분할이 구성된 경우 네트워크 간 트래픽 규칙을 부과하는 데 내부적으로 사용할 수도 있습니다.
- 해커는 방어를 뚫고 컴퓨터 시스템이나 네트워크의 약점을 이용하려고 하는 사람입니다.
- 허니팟은 크래커의 공격에 의도적으로 취약하게 방치된 컴퓨터입니다. 크래커를 잡고 기술을 식별하는 데 사용할 수 있습니다.
- 침입 탐지 시스템은 악의적인 활동이나 정책 위반이 있는지 네트워크나 시스템을 모니터링하는 장치나 소프트웨어 응용 프로그램입니다.
- 마이크로커널(microkernel)은 운영 체제 설계에 대한 접근 방식으로, 가장 권한이 있는 수준에서 실행되는 최소한의 코드만 가지고 있으며, 장치 드라이버, 프로토콜 스택 및 파일 시스템과 같은 운영 체제의 다른 요소를 안전하고 권한이 적은 사용자 공간에서 실행합니다.
- 핑핑. 표준 핑 애플리케이션을 사용하여 IP 주소가 사용 중인지 테스트할 수 있습니다. 그런 경우 공격자는 노출되는 서비스를 탐지하기 위해 포트 검색을 시도할 수 있습니다.
- 포트 검색은 열린 포트에 대한 IP 주소를 조사하여 액세스 가능한 네트워크 서비스 및 응용 프로그램을 식별하는 데 사용됩니다.
- 키 로거는 사용자가 컴퓨터 키보드에 입력한 각 키 입력을 자동으로 캡처하고 저장하는 스파이웨어입니다.
- 소셜 엔지니어링은 개인이 보안을 침해하도록 조작하기 위해 속임수를 사용하는 것입니다.
- 로직 폭탄은 합법적인 프로그램에 추가된 악성 프로그램의 일종으로 특정 이벤트에 의해 트리거될 때까지 휴면 상태에 있습니다.
- 제로 트러스트 보안은 네트워크 내부 또는 외부에서 기본적으로 아무도 신뢰하지 않는다는 것을 의미하며, 네트워크의 리소스에 액세스하려는 모든 사용자의 검증이 필요합니다.
역사
최근 몇 년 동안 인터넷이 등장하고 디지털 전환이 시작된 이후 사이버 보안 개념은 우리의 직업 생활과 개인 생활 모두에서 친숙한 주제가 되었습니다. 사이버 보안과 사이버 위협은 기술 변화의 지난 60년 동안 지속적으로 존재해 왔습니다. 1970년대와 1980년대에 컴퓨터 보안은 인터넷이 개념화되기 전까지 주로 학계에 국한되었으며, 여기서 연결성이 증가하면서 컴퓨터 바이러스와 네트워크 침입이 시작되었습니다. 1990년대 바이러스 확산 이후 2000년대는 분산서비스 거부 등 조직적 공격이 제도화되는 시기를 맞았습니다.[294] 이로 인해 사이버 보안이 전문 분야로 공식화되었습니다.[295]
Willis Ware가 1967년 4월 춘계 합동 컴퓨터 회의에서 조직한 세션과 이후 Ware Report를 발간한 것은 컴퓨터 보안 분야의 역사에서 중요한 순간이었습니다.[296] Ware의 작업은 물질적, 문화적, 정치적, 사회적 관심사의 교차점에 걸쳐 있었습니다.[296]
1977년 NIST 간행물에는[297] CIA의 기밀성, 무결성 및 가용성 3가지 항목이 주요 보안 목표를 명확하고 간단하게 기술하는 방법으로 소개되어 있습니다.[298] 여전히 관련이 있지만, 그 이후로 더 정교한 프레임워크가 제안되었습니다.[299][300]
그러나 1970년대와 1980년대에는 컴퓨터와 인터넷이 여전히 발전하고 있었고 보안 위협을 쉽게 식별할 수 있었기 때문에 심각한 컴퓨터 위협은 없었습니다. 민감한 문서 및 파일에 무단으로 액세스하는 악의적인 내부자로부터 위협이 발생하는 경우가 더 많았습니다. 악성코드와 네트워크 위반이 초기에 존재했지만, 재정적 이익을 위해 이를 사용하지는 않았습니다. 1970년대 후반까지 IBM과 같은 기성 컴퓨터 회사들은 상업적인 접근 제어 시스템과 컴퓨터 보안 소프트웨어 제품을 제공하기 시작했습니다.[301]
컴퓨터 네트워크에 대한 공격의 가장 초기 예 중 하나는 1971년에 ARPANET을 통해 전파된 BBN의 밥 토마스에 의해 쓰여진 컴퓨터 웜 크리퍼입니다.[citation needed] 이 프로그램은 순수하게 실험적이었으며 악의적인 탑재물을 탑재하지 않았습니다. 이후 프로그램인 Reaper는 1972년 Ray Tomlinson에 의해 만들어졌고 크리퍼를 파괴하는데 사용되었습니다.[citation needed]
1986년 9월에서 1987년 6월 사이에 독일 해커 그룹이 사이버 스파이 행위의 첫 번째 문서화된 사건을 수행했습니다.[citation needed] 이 단체는 미국 방산업체, 대학, 군사기지 네트워크를 해킹해 수집된 정보를 소련 KGB에 판매했습니다. 이 단체는 1987년 6월 29일 체포된 마르쿠스 헤스가 이끌었습니다. 그는 1990년 2월 15일 간첩 혐의로 유죄 판결을 받았습니다.
1988년, 모리스 웜이라고 불리는 최초의 컴퓨터 웜 중 하나가 인터넷을 통해 배포되었습니다. 주류 언론의 주목을 많이 받았습니다.[citation needed]
1993년 넷스케이프는 NCSA(National Center for Supercomputing Applications)가 최초의 웹 브라우저인 모자이크 1.0을 출시한 직후 프로토콜 SSL 개발을 시작했습니다.[citation needed] 넷스케이프는 1994년 SSL 버전 1.0을 준비했지만 많은 심각한 보안 취약점으로 인해 일반에 공개되지 않았습니다. 이러한 취약성에는 재생 공격과 해커가 사용자가 보낸 암호화되지 않은 통신을 변경할 수 있는 취약성이 포함되었습니다. 그러나 1995년 2월 넷스케이프는 버전 2.0을 출시했습니다.[302]
미국 국가안보국(NSA)은 미국 정보 시스템의 보호와 외국 정보 수집을 담당합니다.[303] 이 기관은 일반적으로 사용되는 소프트웨어 및 시스템 구성을 분석하여 보안 결함을 찾아내고, 이를 통해 미국의 경쟁업체에 대한 공격적인 목적으로 사용할 수 있습니다.[304]
NSA 계약자들은 클릭 앤 슛 공격 도구를 만들어 미국 기관들과 가까운 동맹국들에게 판매했지만, 결국 이 도구들은 외국의 적들을 향해 나아갔습니다.[citation needed] 2016년에는 NSA 자체 해킹 도구가 해킹당해 러시아와 북한이 사용해왔습니다.[citation needed] NSA의 직원들과 계약자들은 사이버 전쟁에서 경쟁하고 싶어하는 적대자들에 의해 높은 연봉으로 고용되었습니다.[citation needed] 2007년 미국과 이스라엘은 마이크로소프트 윈도 운영체제의 보안 결함을 이용해 이란에서 핵물질 정제에 사용되는 장비를 공격하고 손상시키기 시작했습니다. 이란은 미국을 상대로 사용하기 시작한 자국의 사이버 전쟁 능력에 막대한 투자를 함으로써 대응했습니다.[304]
저명한 학자들
참고 항목
- 공격 트리 – 자산 또는 대상이 어떻게 공격을 받을 수 있는지를 보여주는 개념도
- 자전거 공격 – 암호 길이를 검색하는 방법
- 캡차 – 사용자가 사람인지 여부를 확인하는 테스트
- 인터넷 보안 센터 – 사이버 보안에 중점을 둔 비영리 단체
- 클라우드 컴퓨팅 보안 – 클라우드 기반 자산을 보호하는 데 사용되는 방법
- 바이러스 백신 소프트웨어 비교
- 컨텐츠 군축 및 재구성 – 정책에 기반한 구성요소 제거
- 콘텐츠 보안 정책 – 사이트 간 스크립팅 및 관련 공격을 방지하기 위한 컴퓨터 보안 표준
- 대책(컴퓨터) – 보안 위협을 줄이기 위한 프로세스
- 사이버보험 – 정보기술위험보험
- 사이버 자기 방어 – 사이버 공격에 대한 자기 방어
- 사이버 바이오 보안 – 컴퓨터 보안의 신흥 분야
- 사이버보안정보기술목록
- 춤추는 돼지 – IT 보안에 대한 사용자의 무시
- 데이터 보안 – 디지털 데이터 보호
- 방어 전략(컴퓨팅) – 컴퓨터 보안 위험을 줄이기 위한 개념
- 내결함성 – 구성 요소 고장 또는 오류에 대한 시스템의 복원력
- 하드웨어 보안 – 하드웨어로 구현된 보안 아키텍처
- 인간-컴퓨터 상호작용(보안) – 컴퓨터 시스템과 사용자 간의 관계를 연구하는 학문적 학문적 학문적 학문 방향 하는 페이지
- 신원 관리 – 사용자에게 적절한 액세스를 제공하는 기술 및 정책 시스템
- ID 기반 보안 – 인증된 ID에 의한 액세스 제어
- 정보 보안 인식 – 빠르게 진화하는 형태의 정보와 그에 따른 위협의 잠재적 위험에 대한 인식을 높이는 데 중점을 둔 정보 보안의 일부 하는 페이지
- 인터넷 개인 정보 보호 – 인터넷에 관한 개인 정보 보호의 권리 또는 의무
- 인터넷 안전 – 인터넷의 안전 및 보안 위험 인식
- 인터넷 보안 – 컴퓨터 보안 분야
- IT 위험 – 정보 기술과 관련된 모든 위험
- IT 보안 표준 – 기술 표준 및 기법 한 설명을 하는 페이지
- 킬 체인 – 공격 순서에 대한 군사 개념
- 컴퓨터 보안 인증 목록
- 사이버전 부대 목록
- 오픈 보안 – 컴퓨터 보안에 대한 오픈 소스 접근 방식
- 컴퓨터 보안 개요 – 컴퓨터 보안 개요 및 주제 가이드
- OWASP – 컴퓨터 보안 조직
- 물리적 정보 보안 – 물리적 및 정보 보안의 공통 기반
- 개인정보 보호 소프트웨어 – 사용자의 개인정보 보호를 위한 계층
- 무명을 통한 보안 – 보안을 위해 설계 또는 구현 비밀 유지
- 보호와 보안의 분리 – Mechanism 대 정책 설계 선택
- 소프트웨어 정의 경계 – 미국 국방 정보 시스템청의 컴퓨터 보안 접근 방식
참고문헌
- ^ Schatz, Daniel; Bashroush, Rabih; Wall, Julie (2017). "Towards a More Representative Definition of Cyber Security". Journal of Digital Forensics, Security and Law. 12 (2). ISSN 1558-7215.
- ^ æ 브리태니커 백과사전의 컴퓨터 보안
- ^ Tate, Nick (7 May 2013). "Reliance spells end of road for ICT amateurs". The Australian.
- ^ Kianpour, Mazaher; Kowalski, Stewart; Øverby, Harald (2021). "Systematically Understanding Cybersecurity Economics: A Survey". Sustainability. 13 (24): 13677. doi:10.3390/su132413677. hdl:11250/2978306.
- ^ Stevens, Tim (11 June 2018). "Global Cybersecurity: New Directions in Theory and Methods" (PDF). Politics and Governance. 6 (2): 1–4. doi:10.17645/pag.v6i2.1569. Archived (PDF) from the original on 4 September 2019.
- ^ "About the CVE Program". www.cve.org. Retrieved 12 April 2023.
- ^ Zlatanov, Nikola (3 December 2015). Computer Security and Mobile Security Challenges. Tech Security Conference At: San Fransisco, CA.
- ^ "Ghidra". nsa.gov. 1 August 2018. Archived from the original on 15 August 2020. Retrieved 17 August 2020.
- ^ Larabel, Michael (28 December 2017). "Syzbot: Google Continuously Fuzzing The Linux Kernel". www.phoronix.com/. Retrieved 25 March 2021.
- ^ a b c "Cyber attacks on SMBs: Current Stats and How to Prevent Them". crowdstrike.com. Retrieved 30 November 2023.
- ^ a b "Cyber security breaches survey 2023". GOV.UK. Retrieved 30 November 2023.
- ^ a b "How cyber attacks work". www.ncsc.gov.uk. Retrieved 30 November 2023.
- ^ "What is a backdoor attack? Definition and prevention NordVPN". nordvpn.com. 30 November 2023. Retrieved 3 January 2024.
- ^ a b "What is a backdoor attack?". McAfee. 4 December 2023. Retrieved 4 December 2023.
- ^ a b c "Denial of Service (DoS) guidance". www.ncsc.gov.uk. Retrieved 4 December 2023.
- ^ "Computer Security". www.interelectronix.com. Retrieved 30 November 2023.
- ^ a b c "What Is a DMA Attack? Analysis & Mitigation". Kroll. Retrieved 4 December 2023.
- ^ a b "What Are Eavesdropping Attacks?". Fortinet. Retrieved 5 December 2023.
- ^ York, Dan (1 January 2010), York, Dan (ed.), "CHAPTER 3 - Eavesdropping and Modification", Seven Deadliest Unified Communications Attacks, Boston: Syngress, pp. 41–69, ISBN 978-1-59749-547-9, retrieved 5 December 2023
- ^ "What Are Eavesdropping Attacks & How To Prevent Them". Verizon Enterprise. Retrieved 5 December 2023.
- ^ a b c d e f "What is Malware? IBM". www.ibm.com. Retrieved 6 December 2023.
- ^ Bendovschi, Andreea (2015). "Cyber-Attacks – Trends, Patterns and Security Countermeasures". Procedia Economics and Finance. 28: 24–31. doi:10.1016/S2212-5671(15)01077-1.
- ^ "What is malware?". McAfee. Retrieved 30 November 2023.
- ^ "Multi-Vector Attacks Demand Multi-Vector Protection". MSSP Alert. 24 July 2017.
- ^ Millman, Renee (15 December 2017). "New polymorphic malware evades three-quarters of AV scanners". SC Magazine UK.
- ^ a b c Tounsi, Wiem (15 May 2019), Tounsi, Wiem (ed.), "What is Cyber Threat Intelligence and How is it Evolving?", Cyber-Vigilance and Digital Trust (1 ed.), Wiley, pp. 1–49, doi:10.1002/9781119618393.ch1, ISBN 978-1-78630-448-3, S2CID 187294508, retrieved 6 December 2023
- ^ "Identifying Phishing Attempts". Case. Archived from the original on 13 September 2015. Retrieved 4 July 2016.
- ^ "Protect yourself from phishing - Microsoft Support". support.microsoft.com. Retrieved 6 December 2023.
- ^ Lazarus, Ari (23 February 2018). "Phishers send fake invoices". Consumer Information. Retrieved 17 February 2020.
- ^ "Email Security". Trellix. 17 May 2022. Archived from the original on 22 May 2022. Retrieved 24 October 2022.
- ^ a b c d "What is Privilege Escalation? - CrowdStrike". crowdstrike.com. Retrieved 7 December 2023.
- ^ Arcos Sergio. "Social Engineering" (PDF). upc.edu. Archived (PDF) from the original on 3 December 2013. Retrieved 16 April 2019.
- ^ Scannell, Kara (24 February 2016). "CEO email scam costs companies $2bn". Financial Times. No. 25 February 2016. Archived from the original on 23 June 2016. Retrieved 7 May 2016.
- ^ "Bucks leak tax info of players, employees as result of email scam". Associated Press. 20 May 2016. Archived from the original on 20 May 2016. Retrieved 20 May 2016.
- ^ "What is Spoofing? – Definition from Techopedia". techopedia.com. Archived from the original on 30 June 2016. Retrieved 16 January 2022.
- ^ Butterfield, Andrew; Ngondi, Gerard Ekembe, eds. (21 January 2016). "spoofing". A Dictionary of Computer Science. Oxford University Press. doi:10.1093/acref/9780199688975.001.0001. ISBN 978-0199688975. Retrieved 8 October 2017.
- ^ Marcel, Sébastien; Nixon, Mark; Li, Stan, eds. (2014). Handbook of Biometric Anti-Spoofing: Trusted Biometrics under Spoofing Attacks. Advances in Computer Vision and Pattern Recognition. London: Springer. doi:10.1007/978-1-4471-6524-8. ISBN 978-1447165248. ISSN 2191-6594. LCCN 2014942635. S2CID 27594864.
- ^ "80 to 0 in Under 5 Seconds: Falsifying a Medical Patient's Vitals". www.trellix.com. Retrieved 9 February 2023.
- ^ Gallagher, Sean (14 May 2014). "Photos of an NSA "upgrade" factory show Cisco router getting implant". Ars Technica. Archived from the original on 4 August 2014. Retrieved 3 August 2014.
- ^ a b Intelligence, Microsoft Threat (11 November 2021). "HTML smuggling surges: Highly evasive loader technique increasingly used in banking malware, targeted attacks". Microsoft Security Blog. Retrieved 7 December 2023.
- ^ "Obfuscated Files or Information: HTML Smuggling, Sub-technique T1027.006 - Enterprise MITRE ATT&CK®". attack.mitre.org. Retrieved 22 February 2023.
- ^ Lim, Joo S.; Chang, Shanton; Maynard, Sean; Ahmad, Atif (2009). "Exploring the Relationship between Organizational Culture and Information Security Culture". Proceedings of the 7th Australian Information Security Management Conference. Security Research Institute (SRI), Edith Cowan University. Perth: 1st to 3rd December 2009. doi:10.4225/75/57B4065130DEF.
- ^ Reimers, Karl; Andersson, David (2017). Post-secondary Education Network Security: the End User Challenge and Evolving Threats. ICERI2017 Proceedings. Vol. 1. IATED. pp. 1787–1796. doi:10.21125/iceri.2017.0554. ISBN 978-84-697-6957-7. ISSN 2340-1095.
- ^ Verizon Data Breach Investigations Report 2020 (PDF). verizon.com (Report). Archived (PDF) from the original on 19 May 2020. Retrieved 17 September 2021.
- ^ a b c Schlienger, Thomas; Teufel, Stephanie (2003). "Information security culture-from analysis to change". South African Computer Journal. 31: 46–52. hdl:10520/EJC27949.
- ^ Internet Security Glossary. doi:10.17487/RFC2828. RFC 2828.
- ^ "CNSS Instruction No. 4009" (PDF). 26 April 2010. Archived from the original (PDF) on 27 February 2012.
- ^ "InfosecToday Glossary" (PDF). Archived (PDF) from the original on 20 November 2014.
- ^ "Cyber security design principles". www.ncsc.gov.uk. Retrieved 11 December 2023.
- ^ a b "How the NCSC thinks about security architecture". www.ncsc.gov.uk. Retrieved 18 December 2023.
- ^ "Secure System Architecture and Design". UK Cyber Security Council. 2024. Retrieved 4 January 2024.
- ^ "security architecture - Glossary CSRC". csrc.nist.gov. Retrieved 18 December 2023.
- ^ Jannsen, Cory. "Security Architecture". Techopedia. Janalta Interactive Inc. Archived from the original on 3 October 2014. Retrieved 9 October 2014.
- ^ a b Oppliger, Rolf (1 May 1997). "Internet security: firewalls and beyond". Communications of the ACM. 40 (5): 92–102. doi:10.1145/253769.253802. ISSN 0001-0782.
- ^ "How to Increase Cybersecurity Awareness". ISACA. Retrieved 25 February 2023.
- ^ Woodie, Alex (9 May 2016). "Why ONI May Be Our Best Hope for Cyber Security Now". Archived from the original on 20 August 2016. Retrieved 13 July 2016.
- ^ Walkowski, Debbie (9 July 2019). "What Is The CIA Triad?". F5 Labs. Retrieved 25 February 2020.
- ^ "Knowing Value of Data Assets is Crucial to Cybersecurity Risk Management SecurityWeek.Com". www.securityweek.com. 3 December 2018. Retrieved 25 February 2020.
- ^ Foreman, Park (26 August 2009). Vulnerability Management. Boca Raton, Fla.: Auerbach Publications. p. 1. ISBN 978-1-4398-0150-5.
- ^ Johnson, A. (2018). CCNA Cybersecurity Operations Companion Guide. Cisco Press. ISBN 978-0135166246.
- ^ Calder, Alan; Williams, Geraint (2014). PCI DSS: A Pocket Guide (3rd ed.). IT Governance Limited. ISBN 978-1849285544.
network vulnerability scans at least quarterly and after any significant change in the network
- ^ Harrison, J. (2003). Formal verification at Intel. 18th Annual IEEE Symposium of Logic in Computer Science, 2003. Proceedings. pp. 45–54. doi:10.1109/LICS.2003.1210044. ISBN 978-0769518848. S2CID 44585546.
- ^ Umrigar, Zerksis D.; Pitchumani, Vijay (1983). Formal verification of a real-time hardware design. Proceeding DAC '83 Proceedings of the 20th Design Automation Conference. IEEE Press. pp. 221–227. ISBN 978-0818600265.
- ^ "Abstract Formal Specification of the seL4/ARMv6 API" (PDF). Archived from the original (PDF) on 21 May 2015. Retrieved 19 May 2015.
- ^ Baumann, Christoph; Beckert, Bernhard; Blasum, Holger; Bormer, Thorsten. Ingredients of Operating System Correctness? Lessons Learned in the Formal Verification of PikeOS (PDF). Embedded World Conference, Nuremberg, Germany. Archived from the original (PDF) on 19 July 2011.
- ^ Ganssle, Jack. "Getting it Right". Archived from the original on 4 May 2013.
- ^ "Everything you need for a career as a SOC analyst". www.cybersecurityjobsite.com. Retrieved 19 December 2023.
- ^ "Turn on 2-step verification (2SV)". www.ncsc.gov.uk. Retrieved 19 December 2023.
- ^ "NCSC's cyber security training for staff now available". www.ncsc.gov.uk. Retrieved 19 December 2023.
- ^ Treglia, J.; Delia, M. (2017). Cyber Security Inoculation. NYS Cyber Security Conference, Empire State Plaza Convention Center, Albany, NY, 3–4 June.
- ^ "Token-based authentication". SafeNet.com. Archived from the original on 20 March 2014. Retrieved 20 March 2014.
- ^ "Lock and protect your Windows PC". TheWindowsClub.com. 10 February 2010. Archived from the original on 20 March 2014. Retrieved 20 March 2014.
- ^ James Greene (2012). "Intel Trusted Execution Technology: White Paper" (PDF). Intel Corporation. Archived (PDF) from the original on 11 June 2014. Retrieved 18 December 2013.
- ^ "SafeNet ProtectDrive 8.4". SCMagazine.com. 4 October 2008. Archived from the original on 20 March 2014. Retrieved 20 March 2014.
- ^ "Secure Hard Drives: Lock Down Your Data". PCMag.com. 11 May 2009. Archived from the original on 21 June 2017.
- ^ Souppaya, Murugiah P.; Scarfone, Karen (2013). "Guidelines for Managing the Security of Mobile Devices in the Enterprise". National Institute of Standards and Technology. Special Publication (NIST SP). Gaithersburg, MD. doi:10.6028/NIST.SP.800-124r1.
- ^ "Forget IDs, use your phone as credentials". Fox Business Network. 4 November 2013. Archived from the original on 20 March 2014. Retrieved 20 March 2014.
- ^ "Direct memory access protections for Mac computers". Apple. Retrieved 16 November 2022.
- ^ "Using IOMMU for DMA Protection in UEFI Firmware" (PDF). Intel Corporation. Archived (PDF) from the original on 9 December 2021. Retrieved 16 November 2022.
- ^ Babaei, Armin; Schiele, Gregor; Zohner, Michael (26 July 2022). "Reconfigurable Security Architecture (RESA) Based on PUF for FPGA-Based IoT Devices". Sensors. 22 (15): 5577. Bibcode:2022Senso..22.5577B. doi:10.3390/s22155577. ISSN 1424-8220. PMC 9331300. PMID 35898079.
- ^ Hassija, Vikas; Chamola, Vinay; Gupta, Vatsal; Jain, Sarthak; Guizani, Nadra (15 April 2021). "A Survey on Supply Chain Security: Application Areas, Security Threats, and Solution Architectures". IEEE Internet of Things Journal. 8 (8): 6222–6246. doi:10.1109/JIOT.2020.3025775. ISSN 2327-4662. S2CID 226767829.
- ^ "The Most Secure OS: What is the Safest OS Available?". Tech.co. Retrieved 19 December 2023.
- ^ Sanghavi, Alok (21 May 2010). "What is formal verification?". EE Times_Asia.
- ^ Ferraiolo, D.F. & Kuhn, D.R. (October 1992). "Role-Based Access Control" (PDF). 15th National Computer Security Conference: 554–563.
- ^ Sandhu, R; Coyne, EJ; Feinstein, HL; Youman, CE (August 1996). "Role-Based Access Control Models" (PDF). IEEE Computer. 29 (2): 38–47. CiteSeerX 10.1.1.50.7649. doi:10.1109/2.485845. S2CID 1958270.
- ^ Abreu, Vilmar; Santin, Altair O.; Viegas, Eduardo K.; Stihler, Maicon (2017). A multi-domain role activation model (PDF). 2017 IEEE International Conference on Communications (ICC). IEEE Press. pp. 1–6. doi:10.1109/ICC.2017.7997247. ISBN 978-1467389990. S2CID 6185138.
- ^ A.C. O'Connor & R.J. Loomis (March 2002). Economic Analysis of Role-Based Access Control (PDF). Research Triangle Institute. p. 145.
- ^ "Studies prove once again that users are the weakest link in the security chain". CSO Online. 22 January 2014. Retrieved 8 October 2018.
- ^ "The Role of Human Error in Successful Security Attacks". IBM Security Intelligence. 2 September 2014. Retrieved 8 October 2018.
- ^ "90% of security incidents trace back to PEBKAC and ID10T errors". Computerworld. 15 April 2015. Retrieved 8 October 2018.
- ^ "Protect your online banking with 2FA". NZ Bankers Association. 7 October 2018. Retrieved 7 September 2019.
- ^ "IBM Security Services 2014 Cyber Security Intelligence Index" (PDF). 2014. Retrieved 9 October 2020.[영구적 데드링크]
- ^ Caldwell, Tracey (12 February 2013). "Risky business: why security awareness is crucial for employees". The Guardian. Retrieved 8 October 2018.
- ^ "Developing a Security Culture". CPNI - Centre for the Protection of National Infrastructure. Archived from the original on 9 October 2018. Retrieved 8 October 2018.
- ^ a b "Cyber Hygiene – ENISA". Retrieved 27 September 2018.
- ^ a b Kaljulaid, Kersti (16 October 2017). "President of the Republic at the Aftenposten's Technology Conference". Retrieved 27 September 2018.
- ^ "Cyber security breaches survey 2023". GOV.UK. Retrieved 27 December 2023.
- ^ Kuchler, Hannah (27 April 2015). "Security execs call on companies to improve 'cyber hygiene'". Financial Times. Archived from the original on 10 December 2022. Retrieved 27 September 2018.
- ^ "From AI to Russia, Here's How Estonia's President Is Planning for the Future". WIRED. Retrieved 28 September 2018.
- ^ "Professor Len Adleman explains how he coined the term "computer virus"". WeLiveSecurity. 1 November 2017. Retrieved 28 September 2018.
- ^ "Statement of Dr. Vinton G. Cerf". www.jec.senate.gov. Retrieved 28 September 2018.
- ^ 2017년 좋은 사이버 위생법 추진 Congress.gov
- ^ "Analysis The Cybersecurity 202: Agencies struggling with basic cybersecurity despite Trump's pledge to prioritize it". The Washington Post. Retrieved 28 September 2018.
- ^ "Protected Voices". Federal Bureau of Investigation. Retrieved 28 September 2018.
- ^ Lin, Tom C. W. (3 July 2017). "The New Market Manipulation". Emory Law Journal. 66: 1253. SSRN 2996896.
- ^ Lin, Tom C. W. (2016). "Financial Weapons of War". Minnesota Law Review. SSRN 2765010.
- ^ Cole, Jeffrey I.; Suman, Michael; Schramm, Phoebe; van Bel, Daniel; Lunn, B.; Maguire, Phyllisane; Hanson, Koran; Singh, Rajesh; Aquino, Jedrix-Sean; Lebo, Harlan (2000). The UCLA Internet report: Surveying the digital future (PDF). ccp.ucla.edu (Report). Archived from the original (PDF) on 23 April 2003. Retrieved 15 September 2023.
- ^ Pagliery, Jose (18 November 2014). "Hackers attacked the U.S. energy grid 79 times this year". CNN Money. Cable News Network. Archived from the original on 18 February 2015. Retrieved 16 April 2015.
- ^ Neumann, P. G. (1997). Computer Security in Aviation: Vulnerabilities, Threats, and Risks. International Conference on Aviation Safety and Security in the 21st Century, White House Commission on Safety and Security.
- ^ Dillingham, Gerald L. (20 September 2001). Aviation security : terrorist acts demonstrate urgent need to improve security at the nation's airports (Report). United States. General Accounting Office.
- ^ "Air Traffic Control Systems Vulnerabilities Could Make for Unfriendly Skies [Black Hat] – SecurityWeek.Com". 27 July 2012. Archived from the original on 8 February 2015.
- ^ "Hacker Says He Can Break into Airplane Systems Using In-Flight Wi-Fi". NPR. 4 August 2014. Archived from the original on 8 February 2015. Retrieved 19 March 2020.
- ^ Jim Finkle (4 August 2014). "Hacker says to show passenger jets at risk of cyber attack". Reuters. Archived from the original on 13 October 2015. Retrieved 21 November 2021.
- ^ "Pan-European Network Services (PENS) – Eurocontrol.int". Archived from the original on 12 December 2016.
- ^ "Centralised Services: NewPENS moves forward – Eurocontrol.int". 17 January 2016. Archived from the original on 19 March 2017.
- ^ "NextGen Data Communication". FAA. Archived from the original on 13 March 2015. Retrieved 15 June 2017.
- ^ "e-Passports Homeland Security". www.dhs.gov. Retrieved 3 February 2023.
- ^ "The Australian ePassport. Australian Government Department of Foreign Affairs and Trade website". Archived from the original on 9 January 2015. Retrieved 1 May 2023.
- ^ a b "Is Your Watch Or Thermostat A Spy? Cybersecurity Firms Are On It". NPR. 6 August 2014. Archived from the original on 11 February 2015.
- ^ Humana Inc. (15 November 2000). "Humana Web Site Named Best Interactive Site by eHealthcare Strategy & Trends; re LOUISVILLE, Ky., Nov. 15 PRNewswire". prnewswire.com.
- ^ Kruse, CB; Smith, B; Vanderlinden, H; Nealand, A (21 July 2017). "Security Techniques for the Electronic Health Records". Journal of Medical Systems. 41 (8): 127. doi:10.1007/s10916-017-0778-4. PMC 5522514. PMID 28733949.
- ^ Melvin Backman (18 September 2014). "Home Depot: 56 million cards exposed in breach". CNNMoney. Archived from the original on 18 December 2014.
- ^ "Staples: Breach may have affected 1.16 million customers' cards". Fortune.com. 19 December 2014. Archived from the original on 21 December 2014. Retrieved 21 December 2014.
- ^ "Target: 40 million credit cards compromised". CNN. 19 December 2013. Archived from the original on 1 December 2017. Retrieved 29 November 2017.
- ^ Cowley, Stacy (2 October 2017). "2.5 Million More People Potentially Exposed in Equifax Breach". The New York Times. Archived from the original on 1 December 2017. Retrieved 29 November 2017.
- ^ Jim Finkle (23 April 2014). "Exclusive: FBI warns healthcare sector vulnerable to cyber attacks". Reuters. Archived from the original on 4 June 2016. Retrieved 23 May 2016.
- ^ Seals, Tara (6 November 2015). "Lack of Employee Security Training Plagues US Businesses". Infosecurity Magazine. Archived from the original on 9 November 2017. Retrieved 8 November 2017.
- ^ Bright, Peter (15 February 2011). "Anonymous speaks: the inside story of the HBGary hack". Arstechnica.com. Archived from the original on 27 March 2011. Retrieved 29 March 2011.
- ^ Anderson, Nate (9 February 2011). "How one man tracked down Anonymous – and paid a heavy price". Arstechnica.com. Archived from the original on 29 March 2011. Retrieved 29 March 2011.
- ^ Palilery, Jose (24 December 2014). "What caused Sony hack: What we know now". CNN Money. Archived from the original on 4 January 2015. Retrieved 4 January 2015.
- ^ James Cook (16 December 2014). "Sony Hackers Have Over 100 Terabytes Of Documents. Only Released 200 Gigabytes So Far". Business Insider. Archived from the original on 17 December 2014. Retrieved 18 December 2014.
- ^ a b Timothy B. Lee (18 January 2015). "The next frontier of hacking: your car". Vox. Archived from the original on 17 March 2017.
- ^ Tracking & Hacking: Security & Privacy Gaps Put American Drivers at Risk (PDF) (Report). 6 February 2015. Archived (PDF) from the original on 9 November 2016. Retrieved 4 November 2016.
- ^ "Cybersecurity expert: It will take a 'major event' for companies to take this issue seriously". AOL.com. 5 January 2017. Archived from the original on 20 January 2017. Retrieved 22 January 2017.
- ^ "The problem with self-driving cars: who controls the code?". The Guardian. 23 December 2015. Archived from the original on 16 March 2017. Retrieved 22 January 2017.
- ^ Stephen Checkoway; Damon McCoy; Brian Kantor; Danny Anderson; Hovav Shacham; Stefan Savage; Karl Koscher; Alexei Czeskis; Franziska Roesner; Tadayoshi Kohno (2011). Comprehensive Experimental Analyses of Automotive Attack Surfaces (PDF). SEC'11 Proceedings of the 20th USENIX conference on Security. Berkeley, California, US: USENIX Association. p. 6. Archived (PDF) from the original on 21 February 2015.
- ^ Greenberg, Andy (21 July 2015). "Hackers Remotely Kill a Jeep on the Highway – With Me in It". Wired. Archived from the original on 19 January 2017. Retrieved 22 January 2017.
- ^ "Hackers take control of car, drive it into a ditch". The Independent. 22 July 2015. Archived from the original on 2 February 2017. Retrieved 22 January 2017.
- ^ "Tesla fixes software bug that allowed Chinese hackers to control car remotely". The Telegraph. 21 September 2016. Archived from the original on 2 February 2017. Retrieved 22 January 2017.
- ^ Kang, Cecilia (19 September 2016). "Self-Driving Cars Gain Powerful Ally: The Government". The New York Times. Archived from the original on 14 February 2017. Retrieved 22 January 2017.
- ^ "Federal Automated Vehicles Policy" (PDF). Archived (PDF) from the original on 21 January 2017. Retrieved 22 January 2017.
- ^ "Vehicle Cybersecurity". nhtsa.gov. Retrieved 25 November 2022.
- ^ "Thales supplies smart driver license to 4 states in Mexico". Thales Group.
- ^ "4 Companies Using RFID for Supply Chain Management". atlasRFIDstore. Retrieved 3 February 2023.
- ^ "The Cutting Edge of RFID Technology and Applications for Manufacturing and Distribution". Supply Chain Market.
- ^ Rahman, Mohammad Anwar; Khadem, Mohammad Miftaur; Sarder, MD. Application of RFID in Supply Chain System. Proceedings of the 2010 International Conference on Industrial Engineering and Operations Management Dhaka, Bangladesh, January 9 – 10, 2010. CiteSeerX 10.1.1.397.7831.
- ^ "Gary McKinnon profile: Autistic 'hacker' who started writing computer programs at 14". The Daily Telegraph. London. 23 January 2009. Archived from the original on 2 June 2010.
- ^ "Gary McKinnon extradition ruling due by 16 October". BBC News. 6 September 2012. Archived from the original on 6 September 2012. Retrieved 25 September 2012.
- ^ Mckinnon V Government of The United States of America and Another (House of Lords, 2008년 6월 16일) ("15. ... 총 70만 달러 이상"), Text.
- ^ "Fresh Leak on US Spying: NSA Accessed Mexican President's Email". SPIEGEL ONLINE. 20 October 2013. Archived from the original on 6 November 2015.
- ^ Sanders, Sam (4 June 2015). "Massive Data Breach Puts 4 Million Federal Employees' Records at Risk". NPR. Archived from the original on 5 June 2015. Retrieved 5 June 2015.
- ^ Liptak, Kevin (4 June 2015). "U.S. government hacked; feds think China is the culprit". CNN. Archived from the original on 6 June 2015. Retrieved 5 June 2015.
- ^ Sean Gallagher. "Encryption "would not have helped" at OPM, says DHS official". Archived from the original on 24 June 2017.
- ^ Davis, Michelle R. (19 October 2015). "Schools Learn Lessons From Security Breaches". Education Week. Archived from the original on 10 June 2016. Retrieved 23 May 2016.
- ^ "GE's Introduces ACUVision as a Single Panel Solution". www.securityinfowatch.com. Security Info Watch. 11 August 2005. Retrieved 24 September 2019.
- ^ "Internet of Things Global Standards Initiative". ITU. Archived from the original on 26 June 2015. Retrieved 26 June 2015.
- ^ Singh, Jatinder; Pasquier, Thomas; Bacon, Jean; Ko, Hajoon; Eyers, David (2015). "Twenty Cloud Security Considerations for Supporting the Internet of Things" (PDF). IEEE Internet of Things Journal. 3 (3): 269–284. doi:10.1109/JIOT.2015.2460333. S2CID 4732406.
- ^ Chris Clearfield. "Why The FTC Can't Regulate The Internet Of Things". Forbes. Archived from the original on 27 June 2015. Retrieved 26 June 2015.
- ^ "Internet of Things: Science Fiction or Business Fact?" (PDF). Harvard Business Review. Archived (PDF) from the original on 17 March 2015. Retrieved 4 November 2016.
- ^ Ovidiu Vermesan; Peter Friess. "Internet of Things: Converging Technologies for Smart Environments and Integrated Ecosystems" (PDF). River Publishers. Archived (PDF) from the original on 12 October 2016. Retrieved 4 November 2016.
- ^ Clearfield, Chris (20 June 2013). "Rethinking Security for the Internet of Things". Harvard Business Review. Archived from the original on 20 September 2013.
- ^ "Hotel room burglars exploit critical flaw in electronic door locks". Ars Technica. 26 November 2012. Archived from the original on 14 May 2016. Retrieved 23 May 2016.
- ^ "Hospital Medical Devices Used As Weapons in Cyberattacks". Dark Reading. 6 August 2015. Archived from the original on 29 May 2016. Retrieved 23 May 2016.
- ^ Jeremy Kirk (17 October 2012). "Pacemaker hack can deliver deadly 830-volt jolt". Computerworld. Archived from the original on 4 June 2016. Retrieved 23 May 2016.
- ^ "How Your Pacemaker Will Get Hacked". The Daily Beast. Kaiser Health News. 17 November 2014. Archived from the original on 20 May 2016. Retrieved 23 May 2016.
- ^ Leetaru, Kalev. "Hacking Hospitals And Holding Hostages: Cybersecurity In 2016". Forbes. Archived from the original on 29 December 2016. Retrieved 29 December 2016.
- ^ a b "Cyber-Angriffe: Krankenhäuser rücken ins Visier der Hacker". Wirtschafts Woche. 7 December 2016. Archived from the original on 29 December 2016. Retrieved 29 December 2016.
- ^ "Hospitals keep getting attacked by ransomware – Here's why". Business Insider. Archived from the original on 29 December 2016. Retrieved 29 December 2016.
- ^ "MedStar Hospitals Recovering After 'Ransomware' Hack". NBC News. 31 March 2016. Archived from the original on 29 December 2016. Retrieved 29 December 2016.
- ^ Pauli, Darren. "US hospitals hacked with ancient exploits". The Register. Archived from the original on 16 November 2016. Retrieved 29 December 2016.
- ^ Pauli, Darren. "Zombie OS lurches through Royal Melbourne Hospital spreading virus". The Register. Archived from the original on 29 December 2016. Retrieved 29 December 2016.
- ^ "Hacked Lincolnshire hospital computer systems 'back up'". BBC News. 2 November 2016. Archived from the original on 29 December 2016. Retrieved 29 December 2016.
- ^ "Lincolnshire operations cancelled after network attack". BBC News. 31 October 2016. Archived from the original on 29 December 2016. Retrieved 29 December 2016.
- ^ "Legion cyber-attack: Next dump is sansad.nic.in, say hackers". The Indian Express. 12 December 2016. Archived from the original on 29 December 2016. Retrieved 29 December 2016.
- ^ "Former New Hampshire Psychiatric Hospital Patient Accused Of Data Breach". CBS Boston. 27 December 2016. Archived from the original on 29 September 2017. Retrieved 29 December 2016.
- ^ "Texas Hospital hacked, affects nearly 30,000 patient records". Healthcare IT News. 4 November 2016. Archived from the original on 29 December 2016. Retrieved 29 December 2016.
- ^ Becker, Rachel (27 December 2016). "New cybersecurity guidelines for medical devices tackle evolving threats". The Verge. Archived from the original on 28 December 2016. Retrieved 29 December 2016.
- ^ "Postmarket Management of Cybersecurity in Medical Devices" (PDF). Food and Drug Administration. 28 December 2016. Archived (PDF) from the original on 29 December 2016. Retrieved 29 December 2016.
- ^ Brandt, Jaclyn (18 June 2018). "D.C. distributed energy proposal draws concerns of increased cybersecurity risks". Daily Energy Insider. Retrieved 4 July 2018.
- ^ "Current Releases - The Open Mobile Alliance". openmobilealliance.org.
- ^ Cashell, B.; Jackson, W. D.; Jickling, M.; Webel, B. (2004). The Economic Impact of Cyber-Attacks (PDF) (Report). Washington DC: Congressional Research Service, Government, and Finance Division. RL32331.
- ^ Gordon, Lawrence; Loeb, Martin (November 2002). "The Economics of Information Security Investment". ACM Transactions on Information and System Security. 5 (4): 438–457. doi:10.1145/581271.581274. S2CID 1500788.
- ^ Sanger, David E.; Barnes, Julian E. (20 December 2021). "U.S. and Britain Help Ukraine Prepare for Potential Russian Cyberassault". The New York Times. ISSN 0362-4331. Retrieved 4 December 2023.
- ^ "Cyber-Attack Against Ukrainian Critical Infrastructure CISA". www.cisa.gov. 20 July 2021. Retrieved 4 December 2023.
- ^ Han, Chen; Dongre, Rituja (2014). "Q&A. What Motivates Cyber-Attackers?". Technology Innovation Management Review. 4 (10): 40–42. doi:10.22215/timreview/838. ISSN 1927-0321.
- ^ Chermick, Steven; Freilich, Joshua; Holt, Thomas (April 2017). "Exploring the Subculture of Ideologically Motivated Cyber-Attackers". Journal of Contemporary Criminal Justice. 33 (3): 212–233. doi:10.1177/1043986217699100. S2CID 152277480.
- ^ Anderson, Ross (2020). Security engineering : a guide to building dependable distributed systems (3rd ed.). Indianapolis, IN: John Wiley & Sons. ISBN 978-1119642817. OCLC 1224516855.
- ^ "The Leading Cloud Recruiting Software". iCIMS. Retrieved 13 March 2021.
- ^ Wilcox, S. and Brown, B. (2005) '보안 사고에 대한 대응 – 조만간 시스템이 손상될 것입니다', 의료 규정 준수 저널, 7(2), 페이지 41-48
- ^ a b 조나단 지트레인, '인터넷의 미래', 펭귄북스, 2008
- ^ 2016년 3월 6일 Wayback Machine에서 정보 보안 보관. 미국 국방부, 1986
- ^ "The TJX Companies, Inc. Victimized by Computer System Intrusion; Provides Information to Help Protect Customers" (Press release). The TJX Companies, Inc. 17 January 2007. Archived from the original on 27 September 2012. Retrieved 12 December 2009.
- ^ Wayback Machine에서 2007년 9월 28일까지 최대 고객 정보 유출 증가 마이폭스 트윈시티, 2007년 3월 29일
- ^ "The Stuxnet Attack On Iran's Nuclear Plant Was 'Far More Dangerous' Than Previously Thought". Business Insider. 20 November 2013. Archived from the original on 9 May 2014.
- ^ Reals, Tucker (24 September 2010). "Stuxnet Worm a U.S. Cyber-Attack on Iran Nukes?". CBS News. Archived from the original on 16 October 2013.
- ^ Kim Zetter (17 February 2011). "Cyberwar Issues Likely to Be Addressed Only After a Catastrophe". Wired. Archived from the original on 18 February 2011. Retrieved 18 February 2011.
- ^ Chris Carroll (18 October 2011). "Cone of silence surrounds U.S. cyberwarfare". Stars and Stripes. Archived from the original on 7 March 2012. Retrieved 30 October 2011.
- ^ John Bumgarner (27 April 2010). "Computers as Weapons of War" (PDF). IO Journal. Archived from the original (PDF) on 19 December 2011. Retrieved 30 October 2011.
- ^ Greenwald, Glenn (6 June 2013). "NSA collecting phone records of millions of Verizon customers daily". The Guardian. Archived from the original on 16 August 2013. Retrieved 16 August 2013.
Exclusive: Top secret court order requiring Verizon to hand over all call data shows scale of domestic surveillance under Obama
- ^ Seipel, Hubert. "Transcript: ARD interview with Edward Snowden". La Foundation Courage. Archived from the original on 14 July 2014. Retrieved 11 June 2014.
- ^ Newman, Lily Hay (9 October 2013). "Can You Trust NIST?". IEEE Spectrum. Archived from the original on 1 February 2016.
- ^ "NIST Removes Cryptography Algorithm from Random Number Generator Recommendations". National Institute of Standards and Technology. 21 April 2014.
- ^ "New Snowden Leak: NSA Tapping Google, Yahoo Data Centers" 2014년 7월 9일 Wayback Machine, 2013년 10월 31일, Lorenzo Franceschi-Bicchierai, mashable.com
- ^ Michael Riley; Ben Elgin; Dune Lawrence; Carol Matlack (17 March 2014). "Target Missed Warnings in Epic Hack of Credit Card Data – Businessweek". Businessweek.com. Archived from the original on 27 January 2015.
- ^ "Home Depot says 53 million emails stolen". CNET. CBS Interactive. 6 November 2014. Archived from the original on 9 December 2014.
- ^ "Millions more Americans hit by government personnel data hack". Reuters. 9 July 2017. Archived from the original on 28 February 2017. Retrieved 25 February 2017.
- ^ Barrett, Devlin (4 June 2015). "U.S. Suspects Hackers in China Breached About four (4) Million People's Records, Officials Say". The Wall Street Journal. Archived from the original on 4 June 2015.
- ^ Risen, Tom (5 June 2015). "China Suspected in Theft of Federal Employee Records". U.S. News & World Report. Archived from the original on 6 June 2015.
- ^ Zengerle, Patricia (19 July 2015). "Estimate of Americans hit by government personnel data hack skyrockets". Reuters. Archived from the original on 10 July 2015.
- ^ Sanger, David (5 June 2015). "Hacking Linked to China Exposes Millions of U.S. Workers". The New York Times. Archived from the original on 5 June 2015.
- ^ Mansfield-Devine, Steve (1 September 2015). "The Ashley Madison affair". Network Security. 2015 (9): 8–16. doi:10.1016/S1353-4858(15)30080-5.
- ^ Turton, W.; Mehrotra, K. (4 June 2021). "Hackers Breached Colonial Pipeline Using Compromised Password". Bloomberg L.P. Retrieved 3 December 2023.
- ^ a b "Mikko Hypponen: Fighting viruses, defending the net". TED. Archived from the original on 16 January 2013.
- ^ "Mikko Hypponen – Behind Enemy Lines". Hack in the Box Security Conference. Archived from the original on 25 November 2016.
- ^ "Ensuring the Security of Federal Information Systems and Cyber Critical Infrastructure and Protecting the Privacy of Personally Identifiable Information". Government Accountability Office. Archived from the original on 19 November 2015. Retrieved 3 November 2015.
- ^ King, Georgia (23 May 2018). "The Venn diagram between libertarians and crypto bros is so close it's basically a circle". Quartz.
- ^ Kirby, Carrie (24 June 2011). "Former White House aide backs some Net regulation / Clarke says government, industry deserve 'F' in cyber security". The San Francisco Chronicle.
- ^ McCarthy, Daniel (11 June 2018). "Privatizing Political Authority: Cybersecurity, Public-Private Partnerships, and the Reproduction of Liberal Political Order". Politics and Governance. 6 (2): 5–12. doi:10.17645/pag.v6i2.1335.
- ^ "It's Time to Treat Cybersecurity as a Human Rights Issue". Human Rights Watch. 26 May 2020. Retrieved 26 May 2020.
- ^ "FIRST Mission". FIRST. Retrieved 6 July 2018.
- ^ "FIRST Members". FIRST. Retrieved 6 July 2018.
- ^ "European council". Archived from the original on 3 December 2014.
- ^ "MAAWG". Archived from the original on 23 September 2014.
- ^ "MAAWG". Archived from the original on 17 October 2014.
- ^ "Government of Canada Launches Canada's Cyber Security Strategy". Market Wired. 3 October 2010. Archived from the original on 2 November 2014. Retrieved 1 November 2014.
- ^ a b "Canada's Cyber Security Strategy". Public Safety Canada. Government of Canada. Archived from the original on 2 November 2014. Retrieved 1 November 2014.
- ^ a b c "Action Plan 2010–2015 for Canada's Cyber Security Strategy". Public Safety Canada. Government of Canada. Archived from the original on 2 November 2014. Retrieved 3 November 2014.
- ^ "Cyber Incident Management Framework For Canada". Public Safety Canada. Government of Canada. Archived from the original on 2 November 2014. Retrieved 3 November 2014.
- ^ "Action Plan 2010–2015 for Canada's Cyber Security Strategy". Public Safety Canada. Government of Canada. Archived from the original on 2 November 2014. Retrieved 1 November 2014.
- ^ "Canadian Cyber Incident Response Centre". Public Safety Canada. Archived from the original on 8 October 2014. Retrieved 1 November 2014.
- ^ "Cyber Security Bulletins". Public Safety Canada. Archived from the original on 8 October 2014. Retrieved 1 November 2014.
- ^ "Report a Cyber Security Incident". Public Safety Canada. Government of Canada. Archived from the original on 11 November 2014. Retrieved 3 November 2014.
- ^ "Government of Canada Launches Cyber Security Awareness Month With New Public Awareness Partnership". Market Wired. Government of Canada. 27 September 2012. Archived from the original on 3 November 2014. Retrieved 3 November 2014.
- ^ "Cyber Security Cooperation Program". Public Safety Canada. Archived from the original on 2 November 2014. Retrieved 1 November 2014.
- ^ "Cyber Security Cooperation Program". Public Safety Canada. 16 December 2015. Archived from the original on 2 November 2014.
- ^ "GetCyberSafe". Get Cyber Safe. Government of Canada. Archived from the original on 11 November 2014. Retrieved 3 November 2014.
- ^ "호주 연방정부, 중소기업 사이버 보안 지원 발표""2023-2030 Australian Cyber Security Strategy". Retrieved 22 November 2023.
- ^ White, House (March 2023). "National security strategy" (PDF). No. March 2032. white house. US gov.
- ^ Adil, Sajid. "Do You Know About Biggest Cybersecurity Threats In 2023?". Cybernexguard. Adil Sajid. Retrieved 18 December 2023.
- ^ Adil, Sajid. "National Cyber Strategy of the United States of America". University Libraries UNT Digital Library. Retrieved 18 December 2023.
- ^ Adil, Sajid. "Do You Know About Biggest Cybersecurity Threats In 2023?". University Libraries UNT Digital Library. Retrieved 18 December 2023.
- ^ "Need for proper structure of PPPs to address specific cyberspace risks". Archived from the original on 13 November 2017.
- ^ "National Cyber Safety and Security Standards(NCSSS)-Home". www.ncdrc.res.in. Archived from the original on 19 February 2018. Retrieved 19 February 2018.
- ^ "South Korea seeks global support in cyber attack probe". BBC Monitoring Asia Pacific. 7 March 2011.
- ^ Kwanwoo Jun (23 September 2013). "Seoul Puts a Price on Cyberdefense". The Wall Street Journal. Dow Jones & Company, Inc. Archived from the original on 25 September 2013. Retrieved 24 September 2013.
- ^ 국제 사이버 범죄 보고 및 협력법 Congress.gov
- ^ "Home Homeland Security & Governmental Affairs Committee". www.hsgac.senate.gov. Archived from the original on 20 January 2012.
- ^ "Biden Adviser On Cyber Threats And The New Executive Order To Combat Them". NPR.
- ^ 국가 사이버 보안 개선 행정명령 (전문)
- ^ "National Cyber Security Division". U.S. Department of Homeland Security. Archived from the original on 11 June 2008. Retrieved 14 June 2008.
- ^ a b "FAQ: Cyber Security R&D Center". U.S. Department of Homeland Security S&T Directorate. Archived from the original on 6 October 2008. Retrieved 14 June 2008.
- ^ AFP-지지, "미국, 사이버 보안 센터 부팅", 2009년 10월 31일
- ^ "Federal Bureau of Investigation – Priorities". Federal Bureau of Investigation. Archived from the original on 11 July 2016.
- ^ "Internet Crime Complaint Center (IC3) – Home". Archived from the original on 20 November 2011.
- ^ "Infragard, Official Site". Infragard. Archived from the original on 9 September 2010. Retrieved 10 September 2010.
- ^ "Robert S. Mueller, III – InfraGard Interview at the 2005 InfraGard Conference". Infragard (Official Site) – "Media Room". Archived from the original on 17 June 2011. Retrieved 9 December 2009.
- ^ "CCIPS". 25 March 2015. Archived from the original on 23 August 2006.
- ^ "A Framework for a Vulnerability Disclosure Program for Online Systems". Cybersecurity Unit, Computer Crime & Intellectual Property Section Criminal Division U.S. Department of Justice. July 2017. Retrieved 9 July 2018.
- ^ "Mission and Vision". www.cybercom.mil. Retrieved 20 June 2020.
- ^ William J. Lynn, III (12 November 2009). Remarks at the Defense Information Technology Acquisition Summit (Speech). Washington D.C. Archived from the original on 15 April 2010. Retrieved 10 July 2010.
- ^ Shachtman, Noah (23 September 2010). "Military's Cyber Commander Swears: "No Role" in Civilian Networks". brookings.edu. Archived from the original on 6 November 2010.
- ^ "FCC Cybersecurity". FCC. Archived from the original on 27 May 2010. Retrieved 3 December 2014.
- ^ "Cybersecurity for Medical Devices and Hospital Networks: FDA Safety Communication". Food and Drug Administration. Archived from the original on 28 May 2016. Retrieved 23 May 2016.
- ^ "Automotive Cybersecurity – National Highway Traffic Safety Administration (NHTSA)". Archived from the original on 25 May 2016. Retrieved 23 May 2016.
- ^ Air Traffic Control: FAA Needs a More Comprehensive Approach to Address Cybersecurity As Agency Transitions to NextGen (Report). U. S. Government Accountability Office. 14 April 2015. Archived from the original on 13 June 2016. Retrieved 23 May 2016.
- ^ Aliya Sternstein (4 March 2016). "FAA Working on New Guidelines for Hack-Proof Planes". Nextgov. Archived from the original on 19 May 2016. Retrieved 23 May 2016.
- ^ Bart Elias (18 June 2015). "Protecting Civil Aviation from Cyberattacks" (PDF). Archived (PDF) from the original on 17 October 2016. Retrieved 4 November 2016.
- ^ Anderson, David; Reimers, Karl (2019). CYBER SECURITY EMPLOYMENT POLICY AND WORKPLACE DEMAND IN THE U.S. GOVERNMENT. EDULEARN19 Proceedings. Vol. 1. IATED. pp. 7858–7866. doi:10.21125/edulearn.2019.1914. ISBN 978-84-09-12031-4. ISSN 2340-1117.
- ^ Verton, Dan (28 January 2004). "DHS launches national cyber alert system". Computerworld. IDG. Archived from the original on 31 August 2005. Retrieved 15 June 2008.
- ^ Clayton, Mark (7 March 2011). "The new cyber arms race". The Christian Science Monitor. Archived from the original on 16 April 2015. Retrieved 16 April 2015.
- ^ Nakashima, Ellen (13 September 2016). "Obama to be urged to split cyberwar command from NSA". The Washington Post. Archived from the original on 12 October 2016. Retrieved 15 June 2017.
- ^ Overland, Indra (1 March 2019). "The geopolitics of renewable energy: Debunking four emerging myths". Energy Research & Social Science. 49: 36–40. doi:10.1016/j.erss.2018.10.018. ISSN 2214-6296.
- ^ Maness, Ryan C.; Valeriano, Brandon (11 June 2018). "How We Stopped Worrying about Cyber Doom and Started Collecting Data". Politics and Governance. 6 (2): 49–60. doi:10.17645/pag.v6i2.1368. ISSN 2183-2463.
- ^ Maness, Ryan C.; Valeriano, Brandon (25 March 2015). "The Impact of Cyber Conflict on International Interactions". Armed Forces & Society. 42 (2): 301–323. doi:10.1177/0095327x15572997. ISSN 0095-327X. S2CID 146145942.
- ^ Bullard, Brittany (2016). Style and Statistics: The Art of Retail Analytics. Wiley. doi:10.1002/9781119271260.ch8. ISBN 978-1119270317.
- ^ Oltsik, Jon (18 March 2016). "Cybersecurity Skills Shortage Impact on Cloud Computing". Network World. Archived from the original on 23 March 2016. Retrieved 23 March 2016.
- ^ Robinson, Terry (30 May 2018). "Why is a Degree in Cyber Security one of the Best?". DegreeQuery.com. Archived from the original on 10 October 2021. Retrieved 10 October 2021.
- ^ de Silva, Richard (11 October 2011). "Government vs. Commerce: The Cyber Security Industry and You (Part One)". Defence IQ. Archived from the original on 24 April 2014. Retrieved 24 April 2014.
- ^ "Department of Computer Science". Archived from the original on 3 June 2013. Retrieved 30 April 2013.
- ^ "About Cyber Security architect". cisa.gov. 1 August 2021. Retrieved 1 January 2022.
- ^ "How to become a Chief Information Security Officer (CISO)?". cybersecuritycareer.org. 1 August 2021. Retrieved 4 January 2022.
- ^ "Data Protection Officers". ico.org.uk. January 2021.
- ^ "Student Cybersecurity Resources". NICCS (US National Initiative for Cybercareers and Studies). Archived from the original on 5 November 2020.
- ^ "Current Job Opportunities at DHS". U.S. Department of Homeland Security. Archived from the original on 2 May 2013. Retrieved 5 May 2013.
- ^ "Cybersecurity Training & Exercises". U.S. Department of Homeland Security. 12 May 2010. Archived from the original on 7 January 2015. Retrieved 9 January 2015.
- ^ "Cyber Security Awareness Free Training and Webcasts". MS-ISAC (Multi-State Information Sharing & Analysis Center). Archived from the original on 6 January 2015. Retrieved 9 January 2015.
- ^ "DoD Approved 8570 Baseline Certifications". iase.disa.mil. Archived from the original on 21 October 2016. Retrieved 19 June 2017.
- ^ "The UK Cyber Security Strategy: Report on Progress and Forward Plans December 2014" (PDF). United Kingdom Cabinet Office. Archived (PDF) from the original on 18 April 2018. Retrieved 20 August 2021.
- ^ "Cyber skills for a vibrant and secure UK". GOV.UK.
- ^ "Singapore Operational Technology (OT) Cybersecurity Competency Framework". Cyber Security Agency (Press release). 8 October 2021. Archived from the original on 16 October 2021. Retrieved 23 October 2021.
- ^ "Confidentiality". Retrieved 31 October 2011.
- ^ "Data Integrity". Archived from the original on 6 November 2011. Retrieved 31 October 2011.
- ^ "Endpoint Security". 10 November 2010. Archived from the original on 16 March 2014. Retrieved 15 March 2014.
- ^ "A Brief History of the Cybersecurity Profession". ISACA. Retrieved 13 October 2023.
- ^ "One step ahead in computing security". RIT. Retrieved 13 October 2023.
- ^ a b Misa, Thomas J. (2016). "Computer Security Discourse at RAND, SDC, and NSA (1958-1970)". IEEE Annals of the History of Computing. 38 (4): 12–25. doi:10.1109/MAHC.2016.48. S2CID 17609542.
- ^ A. J. Neumann, N. Statland and R. D. Webb (1977). "Post-processing audit tools and techniques" (PDF). nist.gov. US Department of Commerce, National Bureau of Standards. pp. 11–3–11–4. Archived (PDF) from the original on 10 October 2016. Retrieved 19 June 2020.
- ^ Irwin, Luke (5 April 2018). "How NIST can protect the CIA triad, including the often overlooked 'I' – integrity". www.itgovernanceusa.com. Retrieved 16 January 2021.
- ^ Perrin, Chad (30 June 2008). "The CIA Triad". techrepublic.com. Retrieved 31 May 2012.
- ^ Stoneburner, G.; Hayden, C.; Feringa, A. (2004). Engineering Principles for Information Technology Security (PDF) (Report). csrc.nist.gov. doi:10.6028/NIST.SP.800-27rA. Archived (PDF) from the original on 12 October 2004. 참고: 이 문서는 이후 버전으로 대체되었습니다.
- ^ Yost, Jeffrey R. (April 2015). "The Origin and Early History of the Computer Security Software Products Industry". IEEE Annals of the History of Computing. 37 (2): 46–58. doi:10.1109/MAHC.2015.21. ISSN 1934-1547. S2CID 18929482.
- ^ "Web Design Museum - Netscape Navigator 2.0". Retrieved 4 December 2023.
- ^ Nakashima, Ellen (26 January 2008). "Bush Order Expands Network Monitoring: Intelligence Agencies to Track Intrusions". The Washington Post. Retrieved 8 February 2021.
- ^ a b Nicole Perlroth (7 February 2021). "How the U.S. Lost to Hackers". The New York Times. Archived from the original on 28 December 2021. Retrieved 9 February 2021.
더보기
라이브러리 리소스 정보 컴퓨터 보안 |
- Branch, Jordan (24 September 2020). "What's in a Name? Metaphors and Cybersecurity". International Organization. Cambridge University Press (CUP). 75 (1): 39–70. doi:10.1017/s002081832000051x. ISSN 0020-8183. S2CID 224886794.
- Costigan, Sean; Hennessy, Michael (2016). Cybersecurity: A Generic Reference Curriculum (PDF). NATO. ISBN 978-9284501960. Archived (PDF) from the original on 10 March 2017.
- Fuller, Christopher J (11 June 2018). "The Roots of the United States' Cyber (In)Security" (DOC). Diplomatic History. Oxford University Press (OUP). 43 (1): 157–185. doi:10.1093/dh/dhy038. ISSN 0145-2096.
- Bob, Yonah Jeremy (21 August 2021). "Ex-IDF cyber intel. official reveals secrets behind cyber offense". The Jerusalem Post.
- Kim, Peter (2014). The Hacker Playbook: Practical Guide To Penetration Testing. Seattle: CreateSpace Independent Publishing Platform. ISBN 978-1494932633.
- Lee, Newton (2015). Counterterrorism and Cybersecurity: Total Information Awareness (2nd ed.). Springer. ISBN 978-3319172439.
- Montagnani, Maria Lillà; Cavallo, Mirta Antonella (2018). "Cybersecurity and Liability in a Big Data World". Market and Competition Law Review. Elsevier BV. 2 (2): 71–98. doi:10.2139/ssrn.3220475. ISSN 1556-5068. S2CID 216704215. SSRN 3220475.
- Shariati, Marzieh; Bahmani, Faezeh; Shams, Fereidoon (2011). "Enterprise information security, a review of architectures and frameworks from interoperability perspective". Procedia Computer Science. Elsevier BV. 3: 537–543. doi:10.1016/j.procs.2010.12.089. ISSN 1877-0509.
- Singer, P. W.; Friedman, Allan (2014). Cybersecurity and Cyberwar: What Everyone Needs to Know. Oxford University Press. ISBN 978-0199918119.
- Wu, Chwan-Hwa (John); Irwin, J. David (2013). Introduction to Computer Networks and Cybersecurity. Boca Raton: CRC Press. ISBN 978-1466572133.