레이어드 시큐리티
"오늘의AI위키"의 AI를 통해 더욱 풍부하고 폭넓은 지식 경험을 누리세요.
1. 개요
레이어드 시큐리티(Layered security)는 여러 독립적인 보안 방법을 계층적으로 적용하여 시스템을 보호하는 정보 보안 전략이다. 미국 국가안보국(NSA)에서 제안한 포괄적인 접근 방식으로, 군사 전략인 심층 방어에서 영감을 얻었다. 레이어드 시큐리티는 정보의 생성부터 폐기까지의 전 과정에서 물리적, 기술적, 관리적 통제를 통해 정보를 보호하며, 하나의 보안 조치가 실패하더라도 다른 조치가 보호 기능을 유지하도록 설계된다. 시스템 및 애플리케이션 보안, 네트워크 보안, 물리적 보안 등의 다양한 방법들을 활용하며, 산업 시스템에서는 ICS-CERT에서 제시하는 다층 방어 방식을 적용할 수 있다.
더 읽어볼만한 페이지
| 레이어드 시큐리티 | |
|---|---|
| 개요 | |
| 이름 | 심층 방어 |
| 분야 | 컴퓨터 보안 |
| 유형 | 정보 보안 전략 |
| 목적 | 공격의 영향 감소 |
| 특징 | 다중 보안 제어 계층 |
| 상세 내용 | |
| 설명 | 심층 방어(Defense in Depth, DiD)는 공격에 대한 시스템의 복원력을 높이는 데 사용되는 정보 보안 접근 방식이다. 여러 보안 계층(제어)을 전략적으로 배치하여 단일 제층에 결함이 있거나 악용될 경우 공격을 지연시키거나 완전히 막아 시스템을 보호한다. |
| 핵심 원리 | 단일 보안 조치에 의존하지 않음 여러 계층의 보안을 통해 공격자가 시스템에 침투하기 어렵게 만듬 공격자가 하나의 보안 계층을 우회하더라도 다른 계층에 의해 저지될 가능성이 높음 |
| 전략 | |
| 목표 | 단일 실패 지점 제거 |
| 주요 방법 | 다양한 보안 기술 및 정책 적용 물리적 보안, 기술적 보안, 관리적 보안 조치 결합 각 계층은 독립적으로 작동하며 서로 보완 |
| 보안 계층 예시 | 물리적 보안: 출입 통제, 감시 시스템 네트워크 보안: 방화벽, 침입 탐지 시스템 애플리케이션 보안: 접근 통제, 암호화 데이터 보안: 백업, 데이터 마스킹 |
| 장점 | |
| 보안 강화 | 단일 공격에 대한 복원력 증가 |
| 위험 감소 | 잠재적 손실 최소화 |
| 유연성 | 다양한 위협에 대한 적응성 |
| 규정 준수 | 산업 및 정부 규정 준수 용이 |
| 고려 사항 | |
| 복잡성 증가 | 구현 및 관리의 어려움 |
| 자원 소모 | 추가적인 비용 및 자원 필요 |
| 완벽한 방어 불가능 | 모든 공격을 막을 수 없음 |
| 심층 방어의 중요성 | |
| 결론 | 심층 방어는 완벽한 보안을 보장하지는 않지만, 정보 보안 위험을 효과적으로 관리하기 위한 필수적인 전략이다. |
2. 배경
심층 방어 개념은 군사 전략에서 유래되었으며, 국가안보국(NSA)이 정보 및 전자 보안에 대한 포괄적인 접근 방식으로 제안하였다.[2][3][4] 초기에는 단순히 여러 계층의 보안 통제를 의미했지만, 사이버 공격의 복잡성과 지능화에 따라 각 계층이 독립적으로 작동하며 서로를 보완하는 형태로 발전하였다.[9]
심층 방어는 크게 물리적, 기술적, 관리적 통제로 구성된다.[14] 이 세 가지 통제는 심층 방어 전략을 구축하는 기반이 된다.[10]
3. 구성 요소
이러한 접근 방식은 심층 방어를 세 개의 계층 또는 평면으로 개념화할 수 있게 한다.[11] 양파 모델에 비유하면, 데이터는 양파의 핵심에, 사람은 다음 외부 계층에, 네트워크 보안, 호스트 기반 보안 및 응용 프로그램 보안은 가장 바깥쪽 계층을 형성하는 것으로 볼 수 있다.[12]
산업 시스템의 ICS-CERT에서는 다음과 같은 다층 방어 방안을 제안하고 있다.[15]
| 항목[16] | 대책 예시[16] |
|---|---|
| 위험 관리 | 위협 특정, 위험 파악, 자산 목록 작성 및 유지 관리 |
| 사이버 보안 아키텍처 | 표준·권장 대책, 정책, 절차 |
| 물리적 보안 | 현장 장비 잠금, 제어 센터 접근 제어, 원격 거점 카메라 감시, 접근 제어, 울타리 |
| ICS 네트워크 아키텍처 | 공통 아키텍처별 구역 분할, DMZ, VLAN |
| ICS 네트워크 경계 보안 | 방화벽·단방향 게이트웨이, 원격 접근·인증, 점프 서버·호스트 |
| 호스트 보안 | 패치, 취약점 관리, 현장 장비, VM |
| 보안 감시 | IDS, 보안 감사 로그 획득, 보안 인시던트·이벤트 감시 |
| 벤더 관리 | 공급망 관리, 매니지드 서비스·아웃소싱, 클라우드 서비스 활용 |
| 인적 보안 | 정책, 절차, 훈련·의식 향상 |
3. 1. 물리적 통제
물리적 통제[3]는 IT 시스템에 대한 접근을 물리적으로 제한하거나 방지하는 모든 것을 의미한다. 여기에는 울타리, 경비원, 경비견, CCTV 시스템 등이 해당된다.산업 시스템의 ICS-CERT에서는 다음과 같은 다층 방어를 제안하고 있다.[15]
3. 2. 기술적 통제
기술적 통제는 시스템과 자원을 보호하기 위한 하드웨어 또는 소프트웨어이다. 기술적 통제의 예로는 디스크 암호화, 파일 무결성 소프트웨어, 인증 등이 있다. 하드웨어 기술적 통제는 물리적 통제와 달리 물리적 시스템 자체에 대한 접근을 막는 것이 아니라 시스템 내용에 대한 접근을 막는다.[15]
산업 시스템의 ICS-CERT에서는 다음과 같은 다층 방어를 제안하고 있다.[15]
| 항목[16] | 대책 예시[16] |
|---|---|
| ICS 네트워크 아키텍처 | 공통 아키텍처별 구역 분할, DMZ, VLAN |
| ICS 네트워크 경계 보안 | 방화벽·단방향 게이트웨이, 원격 접근·인증, 점프 서버·호스트 |
| 호스트 보안 | 패치, 취약점 관리, 현장 장비, VM |
| 보안 감시 | IDS, 보안 감사 로그 획득, 보안 인시던트·이벤트 감시 |
3. 3. 관리적 통제
관리적 통제는 조직의 보안 정책 및 절차를 의미한다. 이는 보안과 관련하여 적절한 지침이 제공되고 규정이 충족되도록 보장하는 것을 목표로 한다. 여기에는 채용 관행, 데이터 처리 절차, 보안 요구 사항, 보안 교육 및 훈련 등이 포함된다.[15]산업 시스템의 ICS-CERT에서는 다음과 같은 다층 방어를 제안하고 있다.[15]
4. 방법
심층 방어는 여러 계층의 보안 방법을 결합하여 시스템을 보호하는 전략이다. 산업 시스템의 ICS-CERT에서는 다음과 같은 다층 방어 방안을 제시하고 있다.[15]
이 외에도 물리적 보안, ICS 네트워크 아키텍처, ICS 네트워크 경계 보안, 호스트 보안, 보안 감시 등의 다양한 방법이 활용될 수 있다.
4. 1. 시스템 및 애플리케이션 보안
백신 소프트웨어, 인증 및 비밀번호 보안, 암호화, 해싱 비밀번호, 로깅 및 감사, 다단계 인증, 취약점 스캐너, 샌드박스, 침입 탐지 시스템(IDS)을 활용하여 시스템 및 애플리케이션을 보호한다.산업 시스템의 ICS-CERT에서는 다음과 같은 다층 방어를 제안하고 있다[15]:
| 항목[16] | 대책 예시[16] |
|---|---|
| 사이버 보안 아키텍처 | 표준·권장 대책, 정책, 절차 |
| ICS 네트워크 아키텍처 | 공통 아키텍처별 구역 분할, DMZ, 가상 LAN |
| ICS 네트워크 경계 보안 | 방화벽·단방향 게이트웨이, 원격 접근·인증, 점프 서버·호스트 |
| 호스트 보안 | 패치, 취약점 관리, 현장 장비, 가상 머신 |
| 보안 감시 | IDS, 보안 감사 로그 획득, 보안 인시던트·이벤트 감시 |
4. 2. 네트워크 보안
방화벽(하드웨어 또는 소프트웨어), DMZ(DMZ, 비무장 지대), 가상 사설망(VPN)은 네트워크 보안에 사용되는 주요 기술이다. 산업 시스템의 ICS-CERT에서는 다음과 같은 다층 방어를 제안하고 있다[15]| 항목[16] | 대책 예시[16] |
|---|---|
| ICS 네트워크 아키텍처 | 공통 아키텍처별 구역 분할, DMZ, 가상 LAN |
| ICS 네트워크 경계 보안 | 방화벽·단방향 게이트웨이, 원격 접근·인증, 점프 서버·호스트 |
4. 3. 물리적 보안
생체 인식, 데이터 중심 보안, 물리적 보안(예: 데드볼트 잠금장치) 등을 통해 물리적 접근을 통제한다.[15]산업 시스템의 ICS-CERT에서는 다음과 같은 다층 방어를 제안하고 있다.[16]
| 항목 | 대책 예시 |
|---|---|
| 물리적 보안 |
5. 산업 시스템에서의 심층 방어 (ICS-CERT)
산업 시스템의 경우, ICS-CERT에서는 다음과 같은 다층 방어를 제안하고 있다[15].
참조
[1]
웹사이트
Schneier on Security: Security in the Cloud
https://www.schneier[...]
[2]
웹사이트
Some principles of secure design. Designing Secure Systems module Autumn PDF Free Download
https://docplayer.ne[...]
2020-12-12
[3]
웹사이트
Defense in Depth: A practical strategy for achieving Information Assurance in today’s highly networked environments.
https://web.archive.[...]
[4]
웹사이트
OWASP CheatSheet: Defense in depth
https://cheatsheetse[...]
[5]
간행물
Residents Must Protect Their Private Information
1998-05-06
[6]
간행물
Group Wisdom Support Systems: Aggregating the Insights of Many Through Information Technology
2008
[7]
간행물
INTERDEPENDENCIES OF INFORMATION SYSTEMS
http://dx.doi.org/10[...]
IT Governance Publishing
2021-05-29
[8]
간행물
Managing Network Security
http://dx.doi.org/10[...]
Auerbach Publications
2021-05-29
[9]
서적
Computer and Information Security Handbook
Elsevier
[10]
간행물
Administrative Controls
http://dx.doi.org/10[...]
CRC Press
2021-05-29
[11]
간행물
Processing vertical size disparities in distinct depth planes
http://dx.doi.org/10[...]
2012-08-17
[12]
서적
Applied Network Security Monitoring
Elsevier
2021-05-29
[13]
간행물
Metabolomics Provides Valuable Insight for the Study of Durum Wheat: A Review
http://dx.doi.org/10[...]
2021-05-29
[14]
서적
CISSP (ISC)2 Certified Information Systems Security Professional Official Study Guide
https://books.google[...]
John Wiley & Sons
2015
[15]
웹사이트
ICS-CERT:多層防御による制御システムセキュリティの強化 概要
https://www.ipa.go.j[...]
정보처리추진기구
2016-11-22
[16]
문서
IPA2016
본 사이트는 AI가 위키백과와 뉴스 기사,정부 간행물,학술 논문등을 바탕으로 정보를 가공하여 제공하는 백과사전형 서비스입니다.
모든 문서는 AI에 의해 자동 생성되며, CC BY-SA 4.0 라이선스에 따라 이용할 수 있습니다.
하지만, 위키백과나 뉴스 기사 자체에 오류, 부정확한 정보, 또는 가짜 뉴스가 포함될 수 있으며, AI는 이러한 내용을 완벽하게 걸러내지 못할 수 있습니다.
따라서 제공되는 정보에 일부 오류나 편향이 있을 수 있으므로, 중요한 정보는 반드시 다른 출처를 통해 교차 검증하시기 바랍니다.
문의하기 : help@durumis.com