서문 ... ⅴ 제1장 정보 전쟁 ... 1 1. 산업기밀 유출과 사이버 범죄 ... 3 1) 사례들 ... 4 2) 산업기밀 유출 관련 설문조사 결과 ... 21 3) 정보 유출 경로 및 현황 ... 26 2. 웜ㆍ바이러스 등 악성코드에 의한 피해 ... 32 3. 결론-사이버 세계의 공격자들 ... 38 제2장 사이버 세계에서의 위협들 ... 49 1. 사이버 세계에 대한 공격의 속성 ... 51 1) 변하지 않는 공격의 속성 ... 51 2) 변하는 공격의 속성 ... 53 2. 사이버 세계에서 공격의 유형과 목적 ... 58 1) 범죄적 공격(criminal attacks) ... 59 2) 사생활 침해(privacy violations) ... 66 3) 명성을 얻기 위한 공격(publicity attacks) ... 70 3. 사이버 공격과 정보보안의 목표 ... 71 1) 기밀성 보장 ... 73 2) 무결성 보장 ... 74 3) 가용성 보장 ... 75 4. 사이버 공격에 사용되는 수단과 기법들 ... 76 1) 컴퓨터 시스템에 대한 공격 ... 79 2) 네트워크에 대한 공격 ... 100 3) 새로운 공격 기법-사회공학적 기법 ... 110 4) 악성코드들의 개발 속도 ... 113 5. 사이버 공격의 종류와 정보보안 목표 훼손 여부 ... 114 6. 결론-사이버 범죄에 대한 법 제도 개선의 필요성 ... 115 제3장 정보보안을 위한 대응 기술 ... 123 1. 대응책들 간의 연관관계 ... 125 1) 공통 지원 기술 ... 128 2) 예방 기술 ... 130 3) 탐지 및 복구 기술 ... 132 2. 암호 기술 ... 134 1) 암호 요소 기술 ... 134 2) 네트워크상에서 암호 기술의 활용 ... 139 3. 대응 솔루션들 ... 143 1) 정보보안을 위한 솔루션 및 관련 기술들 ... 144 2) 정보보안 솔루션들의 비교 ... 170 4. 취약점 vs. 공격 방법 vs. 대응 기술 비교 ... 176 1) 인증 관련 예 ... 176 2) 프로그램 오류 관련 예 ... 176 3) 메시지 기밀성 관련 예 ... 179 4) 메시지 무결성 관련 예 ... 180 5) 네트워크 가용성 관련 예 ... 182 5. 기술들의 사용 분포에 대한 설문 결과 ... 183 6. 결론-보안 대응책 도입 방안 ... 186 제4장 정보보안에 대한 오해와 현실적 접근법 ... 189 1. 정보보안에 대한 오해 ... 189 1) 암호 키 길이에 대한 오해 ... 191 2) 암호 알고리듬에 대한 오해 ... 193 3) 암호 프로토콜에 대한 오해 ... 194 4) 암호 알고리듬과 프로토콜의 선택 시 오해 ... 196 5) 네트워크 보안에 대한 오해 ... 198 6) 암호화와 네트워크 보안에 대한 오해 ... 200 7) 보안 시스템 구축에 대한 오해 및 교훈 ... 202 2. 정보보안을 위한 현실적 접근 방법 ... 205 1) 취약점 분포 특성 ... 205 2) 정보보안 대응책 마련을 위한 순환적 개선 절차 ... 206 3. 결론 ... 209 제5장 정보보안 위험 관리를 위한 정보보안 아키텍처 수립 ... 211 1. 정보보안 아키텍처의 구성 요소 ... 213 2. 보안 아키텍처 수립을 위한 표준 관리 항목 ... 219 3. 보안 아키텍처 수립을 통한 위험 관리 ... 221 1) 정보보안 위험 관리에 관한 공통 절차 ... 222 2) ISO/IEC 17799:2005 ... 224 3) GMITS ... 227 4. 위험 관리 방법론(methodology for risk management) ... 227 1) 위험도 평가(risk assessment) ... 230 2) 위험도 완화(risk mitigation) ... 261 5. 기업 보안 추진 체계 ... 269 1) 기업 보안을 위한 추진 프레임워크 ... 269 2) 기업 보안 구축 사례 ... 276 6. 결론 ... 285 제6장 정량적 보안 위험 관리 방법 ... 295 1. 정보 자산에 대한 피해 유형 및 관련 비용 ... 301 1) 정보 자산에 대한 피해 유형 ... 301 2) 정보보안 사고와 관련된 비용 ... 302 3) 정보보안 사고 발생 확률 ... 305 2. 정량적 위험 분석을 위한 기본 시스템 모델 ... 314 1) 시스템 모델 정의 ... 314 2) 보안 공격에 대한 방어 확률 ... 317 3) 보안 공격으로 인한 예상손실 산정 ... 321 3. 다양한 피해 유형을 고려한 정량적 위험도 산출의 예 ... 325 4. 효과적인 보안 시스템 선택 ... 329 5. 결론 ... 334 제7장 투자비용 최적화를 위한 회계학적 모델 ... 337 1. 정보보안에 관련된 투자비용의 성격 ... 343 2. 연간 예상손실액: ALE(Annual Loss Expectancy) ... 346 3. 투자비용 대비 편익 관련 메트릭 ... 350 1) Return on Investment(ROI) ... 352 2) Net Present Value(NPV) 모델 ... 356 3) Internal Rate of Return(IRR) 모델 ... 358 4) ROI, NPV, IRR의 비교 ... 359 4. 회계학적 방법에 기반을 둔 최적 투자액 계산 ... 361 1) 최적 투자량 결정 방법에 대한 일반적 이론 ... 362 2) 투자 시점과 편익 계산 시점이 다른 경우의 최적 투자액 산정법 ... 364 3) NPV 계산법에 의한 대응 방안 선택의 예 ... 366 4) IBR 계산법에 의한 대응 방안 선택의 예 ... 375 5) 추가 조건들이 주어진 경우의 최적 투자량 계산 예 ... 377 6) NPV 방식에 대한 첨언 ... 381 5. 생산성 분석에 따른 ALE 및 RM 계산법 ... 383 6. 결론 및 향후 전망 ... 389 제8장 최적 투자에 관한 이론적 모델 ... 391 1. Gordon and Loeb 모델 ... 395 1) 최적 투자량 결정 방법 ... 395 2) Gordon and Loeb 모델의 문제점 ... 401 2. 위험 관리 기법을 이용한 투자량 결정 방법 ... 402 1) Soo Hoo의 선택 다이어그램 ... 403 2) Soo Hoo 모델의 한계 ... 409 3. IIM에 기반한 투자량 계산법 ... 410 1) IIM(Inoperability Input-Output Model)의 개요 ... 412 2) IIM의 기본구조 ... 413 3) IIM을 이용한 위험관리 예제 ... 417 4) IIM의 한계 ... 426 4. 보안투자 모델의 활용 방안 ... 427 5. 시뮬레이션에 의한 최적 투자량 계산법 ... 429 1) 몬테카를로 시뮬레이션 기법을 이용한 예제 ... 432 2) 몬테카를로 시뮬레이션 기법의 유용성 ... 442 6. 결론 ... 443 제9장 게임 이론에 기반을 둔 투자 모델 ... 445 1. 게임 이론 응용의 예 ... 445 2. 게임 이론을 이용한 최적 보안투자량 예측 ... 449 1) 적절한 보안투자량을 구하는 문제 ... 449 2) 보안사고에 따른 반사이익과 투자 상관관계 ... 455 3. 결론 ... 463 [부록] 게임 이론에 대한 소개 ... 464 A1. 게임 이론의 기초 ... 464 A2. 게임의 표현 방법 ... 470 A3. 게임의 해를 구하는 방법 ... 475 제10장 사전 예방적 보안과 사후 대응적 보안의 상관관계 ... 481 1. 정보보안 투자결정 과정 및 유관 인자들 ... 483 2. 정보보안에 대한 수행 전략 ... 489 3. 사전 예방적 구축과 사후 대응적 구축 전략의 상관관계 ... 492 1) 보안 수준 함수에 대한 정의 ... 492 2) 책정된 예산 한도 내에서 보안 수준을 최대한으로 높이는 경우 ... 498 3) 주어진 보안 수준에서 비용을 최소한으로 줄이는 경우 ... 499 4) 가격의 변동이 사전 예방전략 및 사후 대응전략에 미치는 영향 ... 500 5) 사전 예방전략 및 사후 대응전략 선택 절차 ... 502 4. 사전 예방을 위한 최적 전략 선택 방안 ... 502 5. 결론 ... 506 제11장 보안 경영에 대한 제언 및 결언 ... 507 참고문헌 ... 513 찾아보기 ... 521 Abstract ... 529