보안 기초 요약 Security Basics
사이버 보안 기본 사항 Cybersecurity Fundamentals 요약 정리
정보 보안과 사이버 보안이란 무엇인가?
What is information security and cybersecurity?
물리적 보안은 건물, 보안 카메라, 장비, 재산 등의 자산을 도난, 파괴 행위, 화재, 자연 재해 등의 물리적 위협으로부터 물리적으로 보호
Physical security is the practice of physically protecting assets like buildings, security cameras, equipment, and property from physical threats such as theft, vandalism, fire, and natural disasters.
사이버보안은 모든 유형의 악의적인 사이버 공격으로부터 네트워크, 장치, 프로그램을 보호하고 복구
Cybersecurity is the practice of protecting and recovering networks, devices, and programs from any type of malicious cyber attack.
CIA 삼각형을 사용한 정보 보안 목표
Objectives of information security, using the CIA triad
정보 보안의 목표는 종종 CIA 삼각형을 시작점으로 정의됩니다. CIA는 기밀성(Confidentiality), 무결성(Integrity), 가용성(Availability)이라는 세 가지 목표를 나타내는 기억법입니다.
information security’s objectives are often defined using the CIA triad as a good starting point. CIA is a mnemonic for the three objectives: Confidentiality, Integrity, and Availability.
기밀성- 정보를 비공개합니다.
Confidentiality- Information is private
무결성- 정보는 변경되지 않습니다.
Integrity- Information has not been altered
가용성- 정보는 필요할 때 활용/접근 할수 있습니다.
Availability- Information can be accessed when required
사이버 보안의 핵심 요소
Key elements of cybersecurity
사람들 People
사람들은 사이버 보안에서 가장 중요한 요소입니다. 사람들은 디지털 시스템의 최종 사용자이자 설계 및 유지 관리 담당자입니다.
People are the most crucial part of cybersecurity. They are both the end-users and the designers and maintainers of digital systems.
과정(프로세스) Process
비즈니스 활동은 명확하게 정의된 단계를 따릅니다. 좋은 프로세스는 명확하고 접근 가능하며 일관성이 있어야 합니다.
Business activities follow clearly defined steps. Good processes should be clear, accessible, and consistent.
기술 Technology
기술은 모든 인프라의 핵심입니다. 사이버 보안 기술에는 장치 암호화, 네트워크 경계 방어, 맬웨어 방지 등이 포함됩니다.
Technology is the backbone of all infrastructure. Cybersecurity technology includes device encryption, network perimeter defense, and malware prevention.
위험과 위험 관리 방법
Risk and the methods to manage risk
위험 평가
Risk valuation
위험 가치 = 결과 x 가능성
Risk value = Consequence x Likelihood
결과는 영향과 관련 피해입니다.
Consequence is the impact and associated damages.
가능성은 위험 영향이 얼마나 자주 발생하는지 나타냅니다.
Likelihood is how often the risk impact occurs.
가능성 = 적의 능력 x 적의 동기 x 취약성 심각도
Likelihood = Adversary capability x Adversary motivation x Vulnerability severity
취약성은 시스템을 손상시키기 위해 악용될 수 있는 시스템 내의 잠재적인 약점입니다. 예를 들어, 취약성은 사용자를 올바르게 인증하지 않는 웹페이지일 수 있습니다.
Vulnerabilities are potential weaknesses within a system that could be exploited to compromise it. For instance, a vulnerability could be a webpage that does not authenticate a user correctly.
위험 대응
Risk response
수용
조직은 현재 형태의 위험을 수용합니다. 이는 조직 내의 고위 개인, 즉 "위험 소유자"가 내리는 결정입니다.
Accept
The organization accepts the risk in its current form. This is a decision that will be made by a senior individual within the organization, referred to as a “risk owner”.
줄이기
Reduce
조직은 위험이 너무 커서 수용할 수 없다고 결정하고 어떤 방식으로든 위험을 줄이는 것을 목표로 할 수 있습니다. 이는 가능성 또는 결과를 줄이는 것을 통해 이루어질 수 있습니다.
The organization could decide a risk is too large to accept and aim to have it reduced in some fashion. This could either be through reducing the likelihood or consequence.
이동
조직은 스스로 위험을 감수하는 대신 제3자가 위험이나 위험의 일부를 감수하기를 원할 수 있습니다. 이는 보험을 통해 이루어집니다.
Transfer
The organization may want a third party to accept the risk, or part of it, instead of accepting it themselves. This is done via insurance.
거부
조직은 위험이 너무 높다고 판단하고 그 영향을 받지 않기로 결정할 수 있습니다. 이는 사이트를 폐쇄하거나 시장을 피하는 것과 같은 상당한 사업적 영향을 미칠 것입니다.
Reject
The organization could decide a risk is too high and may withdraw from being affected by it. This will have significant business impacts such as shutting down sites or avoiding markets.
사이버 보안 산업에 대한 일반적인 오해
Common misconceptions about the cybersecurity industry
-국문
사이버 보안분야에 일하는 사람들은 모두 IT분야 출신이 아닙니다.
모든 해커는 범죄자가 아닙니다.
사이버보안은 교육과 훈련을 통해 여러사람 및 누구나 할수 있습니다.
일에 있어서 나이가 많거나 적거나는 문제가 되지 않습니다.
사이버 보안 산업에 대한 법률과 윤리적 고려 사항의 중요성
Importance of laws and ethical considerations for the cybersecurity industry
-
끝!