정보 보안 개론 14 장

이 장에서 다룰 내용이 장에서 다룰 내용

보안 전문가로 성장하기 위한 방법을 모색한다 .1

보안 전문가로 성장하기 위해 배워야 할 것을 알아본다 .2

자신에게 적합한 보안 및 IT 관련 자격증에는 무엇이 있는지 파악한다 .3

1

2

3

올바른 보안 전문가의 요건

컴퓨터를 좋아해야 한다 .

컴퓨터와 관련한 다양한 분야를 이해해야 한다 .

체계적인 교육으로 인문 /사회적인 분야에 대한 기본 소양을 갖춘다 .

Section 01 보안 전문가가 갖추어야 할 소양

기본 역량➊ HTTP 프로토콜을 통한 서버와 클라이언트의 통신 방식에 대한 이해

➋ HTML 에 대한 이해 및 프로그래밍 능력

➌ ASP, JSP, PHP 에 대한 이해 및 프로그래밍 능력

➍ 자바 스크립트에 대한 이해 및 프로그래밍 능력

➎ XML 에 대한 이해 및 프로그래밍 능력

➏ WEB, WAS, DB 서버간의 데이터 연동 방식에 대한 이해

확장 역량➐ 네트워크에 대한 기본적인 이해

➑ 자바 애플릿 및 Active X 에 대한 디버깅 능력

웹 해커가 갖추어야 할 소양

기본 역량➊ OSI 7 계층에 대한 이해

➋ ARP 프로토콜에 대한 완벽한 이해

➌ TCP/IP 프로토콜에 대한 완벽한 이해

➍ 패킷 구조 분석 능력

➎ 네트워크 장비에 대한 충분한 이해

➏ 보안 시스템 대한 충분한 이해

➐ 유닉스 및 윈도우 시스템에 대한 충분한 이해

확장 역량➑ C 언어 ( 또는 C++) 를 이용한 네트워크 프로그래밍 능력

네트워크 해커가 갖추어야 할 소양

기본 역량➊ C, C++, 자바에 대한 프로그래밍 능력

➋ 컴파일러에 대한 이해

➌ 디컴파일러에 대한 이해

➍ 윈도우와 유닉스 시스템의 하위 구조에 대한 이해

➎ 기계어 및 어셈블리어에 대한 이해

➏ CPU 레지스터에 대한 이해

➐ 바이너리 코드 디버깅 능력해

코드 해커가 갖추어야 할 소양

CISSP(Certified Information Systems Security Professional) 보안에 관련한 대표적인 자격증으로 10 가지 도메인에 대해 시험을 치른다 .

SIS( 정보보호 전문가 , Specialist for Information Security) 보안에 관련된 실질적인 기술을 테스트하는 시험으로 1 급과 2 급이 있다 .

CISA(Certified Information Systems Auditor) 정보시스템 지배 , 통제 , 보안 및 감사 분야의 공인 전문 자격증이다 .

CIA(Certified Internal Auditor) 내부감사사 전문 자격증으로 업무 프로세스 , 조직 등에 관련한 시험을 치른

다 . 기타

마이크로소프트 , 시스코 , 썬 , 오라클과 같은 벤더별 자격증

Section 02 보안 및 IT 관련 자격증 소개

가장 대표적인 보안 관련 자격증 정보보호 전문가 자격증 개발에 관심있는 국제단체들이 컨소시엄을 형성하여 1989

년에 설립한 ISC2( 국제정보보호 자격증 컨소시엄 ) 에서 CISSP 를 만듦 . 컨소시엄에 참가한 단체들은 ISSA 와 CSI·DPMA·SIG-CS·IFIP 등과 미국 · 캐나다의

정부기관 , 아이다호 주립대학교 등 . 우리나라에는 2000 년에 도입됨 .

CISSP(Certified Information Systems Security Professional

CISSP 는 다음의 10 가지 도메인에 대해 6 시간 동안 시험을 치름

➊ 시스템 접근통제 및 방법론 (Access Control Systems & Methodology) ➋ 통신망 및 네트워크 보안 (Telecommunications, Network & Internet

Security) ➌ 보안 관리 (Security Management Practices) ➍ 물리적 보안 (Physical Security) ➎ 응용프로그램 및 시스템 개발 (Applications & Systems Development) ➏ 암호학 (Cryptography) ➐ 보안 아키텍처 및 모델 (Security Architecture & Models) ➑ 시스템 운영 보안 (Operations Security) ➒ 사업지속계획 및 비상복구계획 (Business Continuity Planning) ➓ 관련 법률 · 사고조사기법 · 윤리 (Law, Investigation & Ethics)

CISSP(Certified Information Systems Security Professional

SIS 는 정보보호 진흥원 (KISA) 에서 인증해주는 자격증으로서 국내에서 개발됨 . 시험은 보안 전문가로서 갖추어야 할 기술적인 사항을 물음 .

SIS( 정보보호 전문가 , Specialist for Information Security)

시험 내용은 다음과 같음

SIS( 정보보호 전문가 , Specialist for Information Security)

구분 내용

필기 시스템 보안 •운영체제 , 클라이언트 보안 , 서버 보안

네트워크 보안 •네트워크 일반 , 네트워크 활용 , 네트워크 기반 공격의 이해 , 각종 네트워크 장비를 이용한 보안 기술 , 최근 경향 및 추세

어플리케이션 보안 •인터넷 응용 보안 , 전자상거래 보안 , 기타 어플리케이션 보안

정보보호론 •정보보호론 암호학 , 정보보호관리 , 관련법규

실기 단답형 문제 •정보보호분야의 이론적인 지식을 기반으로 질문에 대한 명확한 핵심문장 ( 단어 ) 을 기술하여야 한다 .

서술형 문제 •정보보호 분야의 전문적 지식을 응용하여 질문에 대해 문장 형태로 서술하여야 한다 .

실무형 문제 •정보보호 분야의 실무경험을 통하여 배울 수 있는 지식과 기술을 검정한다 . 주어진작업을 처리하기 위한 단계별 작업 서술 , 해당 작업의 핵심기술 서술 , 설정 방법과 관련 분야 언어 구사 능력 등을 측정한다 .

미국에 국제 본부를 둔 정보시스템감사통제협회 (ISACA) 가 1978년부터 일정한 자격 요건을 갖춘 사람들에게 부여하는 ' 정보시스템 지배 , 통제 , 보안 및 감사 분야의 공인 전문 자격증

CISA(Certified Information Systems Auditor)

CISA 는 다음의 6 개 영역으로 구성됨

CISA(Certified Information Systems Auditor)

시험 영역 내용

IS 감사 업무 프로세스 (IS Audit Process)

•기초적인 IS 감사 절차 , 지침 및 기준•증거요건 , 샘플링 , CAAT•감사 보고서의 내용 및 후속 조치

IT 지배 (IT Governance) •조직을 위한 IT 전략 , 정책 , 표준• IOS, 아웃소싱 , ISO9000, CMM, SPICE• IS 조직 설계 및 성과 평가

시스템 및 IT 기반 구조의 수명주기 관리 (Systems and infrastructure Lifecycle Management)

•프로젝트 관리 , 통제• IS 개발 방법론 및 대체 접근법•객체지향기술 , 각종 테스트 기법•시스템 개발 및 구현 , 유지보수

IT 서비스 제공 및 지원(IT Service Delivery and Support)

•서비스 수준 관리 및 IT 지원•하드웨어 및 소프트웨어 아키텍처•DB, IOS/OSI 7 계층 , LAN/WAN, 인터넷

정보 자산의 보호(Protection of Information Assets)

•물리적 보안 및 환경 통제•보안 설계 , 구현 및 감시•기술적 노출 , 컴퓨터 범죄 , 바이러스•암호화 /디지털서명 , 바이오메트릭 , 인증

업무 연속성 (Business Continuity and Disaster Recovery)

• IS 의 중요성 평가 , 재해등급 분류•재해복구 /업무연속성 계획 및 테스트•재해복구를 위한 업무 분장

미국 플로리다에 국제 본부를 둔 IIA 에서 공인하는 내부감사사 전문 자격증 .

전 세계적으로 65,000 명 (2006 년 10월 기준 ) 이 넘는 CIA 가 활동 , 국내 에는 271 명 (2006 년 11월 시험 후 기준 ) 의 CIA 가 활동하고 있음 .

CIA(Certified Internal Auditor)

CIA 시험은 다음과 같은 과목으로 이루어져 있음 . 얼핏 보면 보안과 관련성이 낮아 보이지만 기술적 보안이 아닌 관리적 보안에 관심있는 사람에게는 꽤 메리트가 있는 자격증임 . 관리적 보안을 원활히 수행하기 위해서는 회사의 조직 및 업무에 대한 이해도가 많이 필요하기 때문임 .

CIA(Certified Internal Auditor)

시험 영역 내용

지배 , 위험 및 통제상의 내부 감사 부서의 역할(The Internal Audit Activity’s Role in Governance, Risk, and Control)

• 내부 감사 부서의 역할 , 책임 및 구비 사항에 관한 포괄적인 지식과 기술을 측정한다 .• IIA 일반 기준 (Attribute Standards) 의 준수• 내부 감사 부서의 우선순위 결정을 위한 위험 기반 계획수립• 조직 지배상의 내부 감사 부서의 역할에 대한 이해• 기타 내부 감사의 역할과 책임의 수행• 지배 , 위험 및 통제 관련 지식 요소

내부감사 용역의 수행(Conducting the Internal Audit Engagement)

• 용역 유형별 성격과 특징 , 용역 수행에 필요한 도구 및 기법에 대한 숙련도를 측정한다 .• 용역의 수행 및 용역 산출물 감시• 정보시스템 (IS) 감사 (LAN/WAN, 접근통제 , DB, BCP)• 특수 용역 ( 품질 감사 , 실사 (DD), 벤치마킹 , 시스템 개발 )• 부정 적발 감사• 용역 수행 도구 ( 샘플링 , CSA, 범용감사소프트웨어 )

업무 분석 및 정보기술(Business Analysis and Information Technology)

• 업무 프로세스 분석 , 정보기술의 전략적 활용 방안 및 정보 보안에 대한 숙련도를 측정한다 .• 업무 프로세스 (TQM, ISO 프레임워크 , BSC)• 업무 환경 ( 회계 , 재무 , 경제 , 규제 , 법률 )• 정보시스템 (IS) 통제 모형 (COBIT, SAC)• 정보기술 (IT) 의 전략적 활용 (ERP, BPR, EC/EDI)• 정보 보안 ( 암호화 , 바이러스 통제 , 정보 보호 체계 )

경영 관리 기술(Business Management Skills)

• 역동적인 경영 환경에 적응할 수 있는 효과적이고 효율적인 조직 설계 및 조직 관리 능력을 측정한다 .• 전략적 경영 ( 산업 환경 , 전략적 결정 , 제품 수명 주기 )• 국제 경영 환경 ( 정치 /문화 /경제 /재무 환경 )• 조직 행위 ( 동기부여 /의사소통 /성과 /조직 구조 )

MCP(Microsoft Certified Professional) 가장 기본적인 자격증으로 마이크로소프트사의 아무 시험이나 합격하면

주어짐 . MCSA(Microsoft Certified Systems Administrator)

마이크로소프트 윈도우즈 서버 운영체제 기반의 네트워크 및 시스템 환경을 구현 , 괸리 및 유지ㆍ보수할 수 있는 IT 전문가임을 인증한다 . 세 과목의 필수 시험과 한 과목의 선택 시험을 취득해야 함 .

MCDBA(Microsoft Certified Database Administrator) 마이크로소프트 SQL 서버 2000 데이터베이스를 성공적으로 구현하고

관리할 수 있는 IT 전문가임을 보여주는 최고의 인증임 . 세 과목의 필수 시험과 한 과목의 선택 시험을 취득해야 함 .

MCSE(Microsoft Cerified System Engineer) 마이크로소프트 윈도우즈 서버 2003 운영체제 기반의 네트워크 인프라 ,

Active Directory 기반 인프라 및 클라이언트 배포를 성공적으로 설계 , 계획 및 구현할 수 있는 전문가임을 보여주는 최고의 인증임 . 5 과목의 필수 시험과 두 과목의 선택 시험을 취득해야 함 .

마이크로소프트의 자격증

SCSA(Sun Certified System Administrator) 솔라리스 운영체제의 운영과 관련된 두 과목의 시험에 합격하면 되는데 ,

유닉스와 관련된 일반 운영 사항에 대한 지식을 확인할 수 있는 자격증임 . 서버에서 운영되는 시스템 관리 업무를 수행하거나 , 솔라리스 운영체제에서

운영되는 네트워크 서버 관리 책임을 지고 있는 기술 애플리케이션 지원 직원과 같은 시스템 관리자를 대상으로 하고 있음 .

SCNA(Sun Certified Network Administrator) 네트워크 관리 업무와 관련되어 3년 이상의 실무 경험을 보유한 사람을

대상으로 함 . 선수조건으로 SCSA 를 취득한 사람에 한하여 응시가 가능함 .

SUN 마이크로시스템즈의 자격증

CCNA(Cisco Certified Network Associate) 시스코 네트워크 자격증의 선수 과정이라고 볼 수 있는 자격증으로 SOHO 시장에

필요한 초급 단계의 네트워킹 지식을 갖고 있음을 의미하는 자격증 . CNA 인증을 가진 전문가는 노드수 100 개 이하의 소규모 네트워크에 IP, IGRP, IPX,

Serial, Apple Talk, Frame Relay, IP RIP, VLAN, RIP, Etherner, Access List 등을 비롯한 LAN, WAN, 다이얼 액세스 서비스를 설치 /구성 /운영하는 것을 배우게 됨 .

CCNP(Cisco Certified Network Professional) CCNA 취득 후에 시험을 보아야 취득할 수 있으며 , 4 과목으로 진행된다 . 노드수 100 개에서 500 개 이상 규모의 네트워크를 갖춘 조직에 IP, IGRP, IPZ,

Async Routing, Apple alk, Extended Access Lists, IP RIP, Route Redistribution, RIP, Route Summarizatio, OSPF, VLSM, BGP, Serial, Frame Relay, ISDN, ISL, FDDI 등을 비롯한 LAN, WAN, 다이얼 액세스 서비스를 설치 /구성 /운영하는 자격증임 .

CCIE(Cisco Certified Internetwork Expert) CCIE 는 시스코 네트워크 자격증 중 가장 수준이 높은 자격증으로 인정받고 있으며 ,

필기와 실기로 나뉨 .

시스코 네트워크 자격증

OCP(Oracle Certified Professional) 오라클 제품 사용자의 관련 업무별 전문 기술 지식 정도를 측정하여

대내외적으로 증명해 주며 , 오라클의 제품과 최신 기술을 활용하여 최적의 솔루션을 설계 , 개발 , 응용하는 데 필요한 인력의 역량을 인증 . 데이터베이스 운영과 관련된 총 4개의 시험을 합격하여야 함 .

오라클 자격증

웹 해커가 갖추어야 할 소양① HTTP 프로토콜을 통한 서버와 클라이언트의 통신 방식에 대한 이해 ② HTML 에 대한 이해 및 프로그래밍 능력 ③ ASP, JSP, PHP 에 대한 이해 및 프로그래밍 능력 ④ 자바 스크립트에 대한 이해 및 프로그래밍 능력 ⑤ XML 에 대한 이해 및 프로그래밍 능력

⑥ WEB, WAS, DB 서버간의 데이터 연동 방식에 대한 이해 ⑦ 네트워크에 대한 기본적인 이해 ⑧ 자바 애플릿 및 Active X 에 대한 디버깅 능력

네트워크 해커가 갖추어야 할 소양① OSI 7 계층에 대한 이해 ② ARP 프로토콜에 대한 완벽한 이해

③ TCP/IP 프로토콜에 대한 완벽한 이해 ④ 패킷 구조 분석 능력 ⑤ 네트워크 장비에 대한 충분한 이해 ⑥ 보안 시스템 대한 충분한 이해 ⑦ 유닉스 및 윈도우 시스템에 대한 충분한 이해

⑧ C 언어 ( 또는 C++) 를 이용한 네트워크 프로그래밍 능력

요약

코드 해커가 갖추어야 할 소양① C, C++, 자바에 대한 프로그래밍 능력 ② 컴파일러에 대한 이해 ③ 디컴파일러에 대한 이해 ④ 윈도우와 유닉스 시스템의 하위 구조에 대한 이해 ⑤ 기계어 및 어셈블리어에 대한 이해

⑥ CPU 레지스터에 대한 이해 ⑦ 바이너리 코드 디버깅 능력

주요 보안 관련 자격증 ① CISSP : 보안에 관련한 대표적인 자격증으로 10 가지 도메인에 대해 시험을 치른다 . ② SIS : 보안에 관련된 실질적인 기술을 테스트하는 시험으로 1 급과 2 급이 있다 . ③ CISA : 정보시스템 지배 , 통제 , 보안 및 감사 분야의 공인 전문 자격증이다 . ④ CIA : 내부감사사 전문 자격증으로 업무 프로세스 , 조직 등에 관련한 시험을 치른다 . ⑤ 기타 : 마이크로소프트 , 시스코 , 썬 , 오라클과 같은 벤더별 자격증이 있다 .

요약

정보 보안 개론 14 장 끝

22