| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | 2 | |||||
| 3 | 4 | 5 | 6 | 7 | 8 | 9 |
| 10 | 11 | 12 | 13 | 14 | 15 | 16 |
| 17 | 18 | 19 | 20 | 21 | 22 | 23 |
| 24 | 25 | 26 | 27 | 28 | 29 | 30 |
| 31 |
- 면접을위한CS전공지식노트
- 앱개발공부
- react
- 플러터
- ReactNative
- 하단탭바알림
- Flutter공부
- 플러터앱개발
- 웹해킹
- 플러터공부
- 선언형프로그래밍
- 화면이동
- RectQuery
- BottomTabBarNavigator
- date-fns
- OpenWeatherApi
- tabBarBadge
- 딥러닝
- BottomTabNavigation
- 날짜포맷팅
- 모두의딥러닝
- 정보보호
- Object~
- 데이터베이스의기본
- Flutter
- 명령형프로그래밍
- 플러터앱개발공부
- Navigation
- 앱개발
- 알고리즘
- Today
- Total
기록하기
[정보보호] 정보보호 수업 내용 필기 (2023.03.08) 본문
정보보호에서 가장 중요한 것은 정보 보호 윤리입니다. 그럼 보안은 무슨 뜻일까요? 보안이란 안전을 유지하고, 사회의 안녕과 질서를 유지하는 것을 뜻합니다. 그럼 보안 철학의 '철학'은 자신의 경험에서 얻은 인생관, 세계관, 신조 따위를 이르는 말입니다.
드라마나 영화에서 해커들을 자주 봤을겁니다. 드라마에서 주로 나오는 해커들은 나쁜 짓을 하여 정보를 뺏고 악의 적인 일들을 합니다. 하지만 해커에도 여러 종류가 있습니다. 좋은 목적, 긍정적인 목적으로 해킹을 하는 화이트 해커 그리고 우리가 드라마에서 자주 봤던 해커가 있습니다. 그리고 해커들은 의식과 사명감을 가지고 해킹을 하죠!
여기서 의식은 인식하는 작용을 뜻합니다.
의식은 판단이 되고,
사명감은 신념, 책임감(주어진 임무), 스스로가 정한 철학이 됩니다.
그럼 해커가 공격자인가요??
해커의 공격 수준의 종류도 여러가지 입니다.
1. Lamer : 해커는 되고 싶지만 경험도 기술도 없는 이들
2. Script kiddies : 약간의 기술, 알려진 도구를 사용하는 학생들
3. Developed kiddes : 해킹 기법을 잘 알고 새로운 취약점을 모르는 이들
4. Semi-elite : 특정 취약점을 알고 공격하며 언론에 대부분 보도 되는 이들
5. Elite : 취약점을 알고 해킹을 성공하며 공격 흔적을 감추는 이들(언론에 보도 되지 않음!)
* 해커의 수준과 보안 수준은 비례해서 올라갑니다 *
그럼 5단계 Elite들을 국내 회사에서 제외하는 이유는 무엇일까요?
방법이 일단 없습니다. Elite 수준에 도달하면 잡히질 않을 정도의 해커들을 잡으려면 시간과 돈 등 필요한게 너무나 많습니다. 그리고 회사에서 다 털리겠다고 생각을 합니다. 그래서 딱히 고용하지 않습니다.
왜 사이버 보안 공격이 빈번할까?
미국의 기숙사 안에서 실험을 했었습니다. 책상 위에 돈과 콜라를 놔두고 학생들이 무엇을 가져갈지에 대한 실험을 했었습니다. 저는 당연히 돈이 사라졌을거라고 생각했는데 결과는 달랐습니다. 바로 콜라가 사라진 것이죠. 콜라와 돈을 사이버 범죄와 일반 범죄로 바꿔서 생각해보겠습니다. 그럼 사람들은 사이버 범죄보다 일반 범죄가 더 어렵다고 인식합니다. 그래서 콜라를 가져가지 않았을까요..? ㅎ...
해커가 해킹을 하는 이유는?
1. 재미 있어서
2. 해커의 판단 기준
3. 해킹을 할 때 이득과 손실을 파악합니다. 그리고 가치와 위험을 비교합니다.
- 위험도가 높으면 해킹을 안 하고, 위험도가 낮고 가치가 높으면 해킹을 시도합니다!
인간은 합리적인 행동만 할까?
해커들은 해킹을 할때 획득가치 X 유출 용이성 VS 충격 X 제도적 상태를 판단합니다. 그리고 심리에 의한 부정행위도 생각하죠. 예를 들어 불쾌감 : 비도덕적 행위를 합리화 하기 쉽고, 작은 무정이 큰 부정을 초래한다, 다른 사람들이 지키지 않으면 나도 안 지킨다! -> 남들이 해킹을 하면? 나도 해야지~ 라는 둥..
인간은 꼭 합리적이라고 할 순 없다고 생각합니다.
그럼 보안 교육은 효과가 있을까?
미국의 한 심리학 실험에서 문제를 풀때마다 돈을 준다는 실험을 했습니다. 총 6문제를 줬지만 6문제 중 2문제는 풀 수 없는 문제였죠. 한 그룹은 문제를 푼 결과를 확인할 수 있도록 했고, 다른 그룹은 확인을 안 하도록 했습니다. 실험이 끝난 후 각 그룹에게 몇개의 문제를 풀었는지 물어봤을때 결과를 알고 있는 그룹은 사실대로 4개를 풀었다고 말했고, 결과를 모르는 그룹은 6개를 풀었다고 거짓말을 쳤죠.
실험 이후 윤리 교육을 실행했습니다.
윤리 교육이 끝난 후 또 똑같은 실험을 진행 했지만? 결과를 아는 그룹은 4개, 결과를 모르는 그룹은 6개라고 또 거짓말을 했죠. 달라진게 없습니다.
교육 방식이 문제였을까요? ㅋㅋㅋ
그리고 3번째 실험에선 실험을 진행하기 전 거짓말을 하지 않겠다고 서약을 했습니다. 결과는 다음과 같았습니다.
결과를 아는 그룹 : 4개
결과를 확인 안 한 그룹 : 4개
드디어 거짓말을 하지 않네요...
결론! 윤리 교육은 쓸모 없다.
수업 후기
정보보안, 보호를 배운건 처음인데 수업을 하기 전 이해하기 어려울 것 같아서 걱정이 가득 했는데 생각보다 재미있었고 수업을 듣는데 흥미가 있었습니다. 다음 수업에는 해커들이 사용하는 웹을 통해 실습을 해본다고 했는데 너무 기대가 됩니다!!
'정보보호' 카테고리의 다른 글
| [정보보호] 시스템 보안 (0) | 2023.06.15 |
|---|---|
| SQL Injection에 대해 알아보잣! (0) | 2023.04.27 |
| [웹해킹] Challenge 3 문제 풀기 (0) | 2023.04.23 |
| Dreamhack csrf-2 문제 풀이 (0) | 2023.04.06 |
| Webhacking old-01 문제 풀이 (0) | 2023.03.30 |
