IT서비스 인증 심사 종류 정리
Security
2024.09.22.
IT서비스 인증 심사 종류 정리
아는 보안 인증이 생길 때 마다 업데이트
1. 정보보호 관리체계 인증(ISMS)
정보보호를 위한 일련의 조치와 활동이 인증기준에 적합함을 인터넷진흥원 또는 인증기관이 증명하는 제도
- 정보보호 체계를 구축하여 운영하고 있는 사업자는 누구나 일정한 요건을 갖추어 인증 받는게 가능
인증 의무대상 (정보통신망법 제 47조 제2항)
- 연간 매출액이 1500억 이상이거나 정보통신서비스 부문 전년도 매출액이 100억원 이상 또는 3개월간의 일일 평균 이용자수가 100만명 이상이면 의무
- ISP, IDC 인증 의무 대상
의무 대상자는 ISMS, ISMS-P인증 중 선택해서 인증 취득이 가능
2. 정보보호 및 개인정보보호 관리체계 인증 (ISMS-P)
정보보호 및 개인정보보호를 위한 일련의 조치와 활동이 인증기준에 적합함을 인터넷진흥원 또는 인증기관이 증명하는 제도
Tip!
isms랑 isms-p랑 무슨차이인지 헷갈려서 KISA자료실 찾아봤는데 꿀자료가 있다
즉, ISMS는 정보보호 중심의 인증, ISMS-P는 정보보호를 포함한 개인정보에 더욱 특화된 관리체계
3. 클라우드 서비스 보안인증 (CSAP)
클라우드컴퓨팅서비스 사업자가 제공하는 서비스에 대해 정보보호 기준의 준수여부를 평가,인증하는 제도
- IaaS, SaaS, DaaS 존재, 유효기간 5년
- 등급은 상, 중, 하
- 매년 평가
- 갱신이 가능
- 네트워크 (18개)
- OSI 7계층에 대해 설명해주세요
OSI 7계층은 네트워크 통신을 계층적으로 나누어 설명하는 모델을 말합니다. 이렇게 나누는 이유는 통신 과정을 단계별로 파악이 가능해지고, 문제가 발생하면 해당 계층만 확인하면 되서 문제를 해결하기 용이해집니다. 1. 물리계층은 데이터가 네트워크를 통해 전송되는 물리적인 매체를 말합니다. LAN케이블이나 wifi 신호처럼 데이터를 물리적으로 전달하는 역할을 합니다. 2. 데이터 링크 계층은 물리 계층으로 송수신되는 정보를 안전하게 전달되도록 도와주는 역할을 수행합니다. mac주소를 통해 네트워크 장치간에 정확히 전달되도록 보장하고, 스위치가 해당 계층에 해당됩니다. 3. 네트워크 계층은 데이터를 목적지까지 전달하는 역할을 합니다. 라우터를 통해 이동할 경로를 선택하여 IP주소를 지정하고, 해당 경로에 따라 패킷을 전달 합니다. 라우터가 해당계층에 해당됩니다. 4. 전송계층은 데이터를 신뢰성 있게 전송하는 계층입니다. TCP, UDP가 사용됩니다. 5. 세션 계층은 데이터가 통신하기 위한 논리적인 연결을 담당합니다. tcp/ip 세션을 만들고 없애는 책임을 가지고 있습니다. API나 Socket이 해당됩니다. 6. 표현 계층은 데이터의 형식 변환을 담당하는 계층입니다. JPEG나 MPEG포맷이 있습니다. 7. 응용 계층은 사용자가 직접 접하는 계층으로 응용프로그램들이 네트워크상에서 동작할 수 있도록 도와줍니다. 웹브라우저, 이메일 클라이언트 등이 해당되고 HTTP, FTP, SMTP같은 프로토콜이 사용됩니다. - TCP/IP 4계층에 대해 설명해주세요
(네인전응) 기존 OSI 7계층에 1,2계층이 네트워크 접근 계층 3계층이 인터넷 계층 4계층은 전송계층 나머지 5,6,7계층이 응용 계층입니다. 먼저 응용계층에서는 HTTP, FTP와 같은 프로토콜이 사용자의 요청을 처리합니다. 다음 전송계층에서는 TCP나 UDP를 통해 데이터 전송의 신뢰성을 관리합니다. 네트워크 계층에서는 IP주소를 기반으로 데이터를 목적지 까지 전달하는 경로를 설정하고 마지막으로 네트워크 인터페이스 계층에서는 이더넷 등 물리적인 전송을 통해 장치 간 데이터를 주고 받습니다. - URL을 치고 검색했을 때 과정에 대해 설명해주세요
브라우저가 URL에 적힌 값을 파싱해서 HTTP Request Message를 만들고, OS에 전송 요청을 합니다. 그리고 DNS LookUp을 수행합니다. DNS 룩업 과정은 크롬의 경우 브라우저, hosts파일, DNS Cache의 순서로 도메인에 해당되는 IP를 찾습니다. 이 요청은 프로토콜 스택이라는 OS에 내장된 네트워크 제어용 소프트웨어에 의해 패킷에 담기고 패킷에 제어정보를 덧붙여 LAN 어댑터로 전송 LAN 어댑터는 이를 전기신호로 변환시켜 송출합니다. 패킷은 스위치, 허브 들을 거쳐 인터넷으로 이동합니다. 목적지 LAN에 도착하면 방화벽이 패킷을 검사한 후 웹서버에 도착합니다. 웹서버에 도착한 패킷은 메시지를 복원하고 웹서버 어플리케이션에 넘겨집니다. - TCP 3way handshake에 대해 설명해보세요
TCP 3way handshake는 가상회선을 수립하는 단계입니다. 클라이언트와 서버가 서로 요청과 응답을 전송할 수 있는지 확인합니다. (가상회선 - 논리적으로 설정된 데이터 통신 경로) -> 통신할 준비가 되어있는지, 주고받을 수 있는 상태인지 확인 - TCP 4way handshake에 대해 설명해보세요
TCP연결을 해제하는 단계로 클라이언트는 서버에게 연결해제를 통지하고, 서버가 이를 확인하고 클라이언트에게 이를 받았음을 전송해 연결이 해제됩니다. - TCP와 UDP의 차이점에 대해 설명해보세요
TCP와 UDP의 차이는 크게 3가지 입니다. 첫번째는 TCP는 연결 지향형이라 3-way handshake과정을 통해 가상회선을 만들고, udp는 비연결형이라 바로 데이터를 빠르게 보냅니다. 둘째는 TCP는 신뢰성을 보장해줘서 데이터를 제대로 보내지 않으면 다시 보냅니다. UDP는 보내지 않습니다. 즉, TCP는 느리지만 안전하고 UDP는 빠르지만 데이터 손실이 있을 수 있습니다. TCP는 웹 브라우저나 이메일같이 정확한 데이터가 중요한 곳에서 UDP는 게임이나 스트리밍처럼 속도가 더 중요한 곳에서 사용됩니다. - HTTP란 무엇인가요?
HTTP는 웹서버와 클라이언트 간의 문서를 교환하기 위한 통신 규약입니다. 웹에서만 사용하는 프로토콜로 TCP/IP기반으로 서버와 클라이언트 간의 요청과 응답을 전송합니다. 단방향성이고 비연결을 지향합니다. - HTTP와 HTTPS차이점에 대해 설명해보세요
HTTP는 패킷이 암호화 되지 않고 전송됩니다. 그에 비해 HTTPS는 암호화 계층을 거쳐서 패킷을 암호화합니다. - HTTPS에 대해 설명하고 SSL Handshake에 대해 설명해보세요
HTTPS는 HTTP에 보안계층을 추가한 것입니다. 클라이언트는 TCP 3way Handshake를 수행한 이후 client Hello를 전송합니다 서버는 인증서를 보냅니다. 클라이언트는 받은 인증서를 신뢰하기 위해 등록된 인증기관에 확인합니다. 이 인증서는 인증기관의 개인키로 암호화 되어 있으며 공개키로 검증이 가능합니다. 클라이언트는 사이트의 정보, 서버의 공개키, 공개키 암호화 방법을 알 수 있습니다. 서버의 공개키로 통신에 사용할 비밀키(handshake과정에서 주고받은 난수 조합)를 암호화해서 서버에 전송합니다. 서버는 이를 개인키로 복호화 해서 공유된 비밀키로 암호화 통신을 합니다. - GET과 POST의 차이점에 대해 설명해보세요
GET은 데이터를 가져올 때, POST는 데이터를 전송하거나 수정할 때 주로 사용됩니다. GET은 짧은 데이터를 URL에 담아 전송하고, POST는 본문에 담기 때문에 많은 양과 민감한 정보를 전송할 때 적합합니다. GET은 캐시가 되고, POST는 캐시가 되지 않습니다. - HTTP 메서드와 이것이 하는 역할에 대해 설명해보세요
HTTP 메서드는 클라이언트와 서버간의 통신 방식을 정의하는데 각각의 메서드는 특정한 역할을 합니다. 총 7개의 메서드가 있습니다. GET = 조회 POST = 서버로 데이터 전송 PUT = 서버 리소스 업데이트 PATCH = 서버 리소스 일부 수정 DELETE = 서버 리소스 삭제 HEAD = 헤더 정보 요청, 요청한 리소스의 메타 정보 확인 OPTIONS = 서버가 지원하는 메서드 목록 확인 - HTTP Status Code에 대해 말해보세요
1xx : 서버가 요청을 수신했고, 처리중인 정보를 보냅니다. 2xx : 서버가 요청을 성공적으로 받았음을 알려줍니다. 3xx : 리다이렉션 4xx : 클라이언트에서 요청을 잘못해 서버가 요청을 해결할 수 없는 경우 5xx : 서버측에서 처리하지 못할 때 발생 - CORS란 무엇이며 이것에 대해 설명해보세요
Cross-Origin Resource Sharing의 약자로, 서로 다른 도메인간에 자원을 공유하는 것을 뜻합니다. 대부분의 브라우저에서는 이를 기본적으로 차단하며, 서버측에서 헤더를 통해서 사용가능한 자원을 알려줍니다. OPTIONS 메서드로 요청해 CORS를 허용하는지 확인하고, CORS가 허용된 웹서버라면 사용 가능한 리소스를 헤더에 담아 응답합니다. - 로드밸런싱이란 무엇인가요?
로드밸런싱이란 여러 서버에 걸리는 트래픽을 효율적으로 분산시켜 하나의 서버에 과부하가 걸리지 않도록 하는 기술입니다. 서버의 자원을 최적화하고 서비스 가용성과 성능을 높이는데 중요한 역할을 합니다. (로드밸런서란) - 프로토콜이란 무엇인가요?
프로토콜이란 컴퓨터나 네트워크 장치들이 서로 데이터를 주고 받을 때 따라야 할 규칙이나 약속의 집합입니다. 이 규칙을 통해 장치들 간의 통신이 원활하게 이루어 지며, 서로 다른 시스템이 이해할 수 있는 방식으로 데이터를 주고 받을 수 있습니다. 예를 들어 HTTP는 웹브라우저와 웹서버간의 통신 규칙을 정의한 프로토콜 입니다. TCP는 데이터를 신뢰성 있게 전송하기 위한 규칙을 제공하고 IP는 목적지 까지 전달하는 규칙을 정의합니다. - 웹서버는 OSI 7계층 중 어디서 작동하는지 설명해보세요
- 웹서버의 서버 간 라우팅기능은 OSI 7계층 중 어디서 작동하는지 설명해보세요
- 쿠기와 세션의 차이를 말해보세요
HTTP는 비상태 프로토콜로 상태정보를 유지하지 않습니다. 그렇기 때문에 사용자에 대한 상태값이 필요한데 사용자 측에 저장되는 값이 쿠키이고, 서버측에 저장되는 값이 세션입니다. 쿠키의 특징으로는 한 도메인당 20개, 하나의 쿠키당 4KB로 크기를 제한해두었습니다.
- OSI 7계층에 대해 설명해주세요
4. 정보보호 등급제
인증기관(KISA)에서 정보보호 관리체계(ISMS)를 유지하는 기업 대상으로 정보보호 수준을 측정하여 ‘우수’, ‘최우수’ 등급을 부여하는 제도
네이버 클라우드는 어떤 인증 받았나 궁금해서 찾아보니 아래 인증을 받았다고 친절하게 설명 되어있다.
GDPR관련된 인증 - DPIA
(위 두개는 볼일 생기면 찾아보자)