정보보호의 개념

정보보호 : 정보의 저장, 전달 상태에서의 허락되지 않는 접근, 수정, 훼손, 유출 등에 대해 정보를 보호하기 위한 정책 및 기법.
컴퓨터보안 : 정보보호의 한 영역으로, 컴퓨팅 환경이 관여된 모든 상황에 대한 정보보호.

정보보호의 주요 목표 CIA triad

아래는 정보보호의 핵심목표 세 가지 (CIA triad) 이다.

(1) 기밀성

정의 허락되지 않은 자가 정보에 접근할 수 없게 함

예시
은행에서 고객의 개인정보나 계좌정보 같은 기밀정보가 제 3자에게 알려지는 것을 방지

확보 방법
(1) 허락되지 않은 자가 정보에 접근하지 못하도록 함
(2) 허락되지 않은 자가 정보에 접근했더라도, 무의미한 내용만 보이도록 함 (암호화)

(2) 무결성

정의 허락되지 않은 자가 정보를 임의로 위변조할 수 없게 함

예시
DB 내 고객의 개인정보가 임으로 수정되지 않도록 보호하며
고객이 본인 정보를 조회할 때 그 전달과정에서 위변조되지 않도록 보호

확보 방법
(1) 허락되지 않은 자에 의한 수정을 방지 (2) 허락되지 않은 자에 의한 수정이 발생한 것을 빠르게 탐지하는 것

(3) 가용성

정의 허락된 자가 정보에 접근할 때 방해받지 않도록 함.
필요할 때 언제든 정보를 사용할 수 있어야 함

예시
은행의 고객이 본인의 개인정보를 확인하고자 할 때 즉시 조회가 가능하게 유지하는 것

확보 방법
(1) 허락된 정보 접근에 대해 정해진 시간 내 정보를 볼 수 있도록 서버, 네트워크 등을 정비

(4) 요약

목표 영문 설명 대상 행위
기밀성 Confidentiality 허락되지 않은 자가 정보에 접근할 수 없게 함 허락되지 않은 자 접근 거부
무결성 Integrity 허락되지 않은 자가 정보를 임의로 위변조할 수 없게 함 허락되지 않은 자 수정 거부
가용성 Availability 허락된 자가 정보에 접근할 때 방해받지 않도록 함
필요할 때 언제든 정보를 사용할 수 있어야 함
허락된 자 원활한 접근

정보보호의 부가 목표

(1) 부인방지 non-repudiation

정의 정보에 관여한 자가 이를 부인하지 못하도록 하는 것.

종류
-발신 부인방지 : 정보를 보낸 사람이 정보를 보냈다는 것을 나중에 부인하지 못하게 함.
-수신 부인방지 : 정보를 받은 사람이 정보를 받았다는 것을 나중에 부인하지 못하게 함.

구현 방법
명백한 증거를 남겨놓는 등으로 구현

(2) 인증 authentication

정의 어떤 실체가 자신이 그 실체라고 주장하는 것에 대해 확인할 수 있고, 신뢰할 수 있는 것.
실체란 정보를 이용하는 사용자, 혹은 정보 그 자체 등.

(3) 접근제어 access control

정의 정보에 대해 허락된 접근만 허용하고, 그 외의 접근은 허용하지 않는 것.

구현 방법
정보에 따라 접근 권한을 분리하거나, 사용자에 따라 접근 권한을 분리한다.
혹은 이 둘의 조합(교차)을 통해 접근 권한을 분리한다.

Reference

컴퓨터 보안 - 김진욱, 김희천, 유대현 공저