정보보호의 개념
정보보호 : 정보의 저장, 전달 상태에서의 허락되지 않는 접근, 수정, 훼손, 유출 등에 대해 정보를 보호하기 위한 정책 및 기법.
컴퓨터보안 : 정보보호의 한 영역으로, 컴퓨팅 환경이 관여된 모든 상황에 대한 정보보호.
정보보호의 주요 목표 CIA triad
아래는 정보보호의 핵심목표 세 가지 (CIA triad) 이다.
(1) 기밀성
정의 허락되지 않은 자가 정보에 접근할 수 없게 함
예시
은행에서 고객의 개인정보나 계좌정보 같은 기밀정보가 제 3자에게 알려지는 것을 방지
확보 방법
(1) 허락되지 않은 자가 정보에 접근하지 못하도록 함
(2) 허락되지 않은 자가 정보에 접근했더라도, 무의미한 내용만 보이도록 함 (암호화)
(2) 무결성
정의 허락되지 않은 자가 정보를 임의로 위변조할 수 없게 함
예시
DB 내 고객의 개인정보가 임으로 수정되지 않도록 보호하며
고객이 본인 정보를 조회할 때 그 전달과정에서 위변조되지 않도록 보호
확보 방법
(1) 허락되지 않은 자에 의한 수정을 방지
(2) 허락되지 않은 자에 의한 수정이 발생한 것을 빠르게 탐지하는 것
(3) 가용성
정의
허락된 자가 정보에 접근할 때 방해받지 않도록 함.
필요할 때 언제든 정보를 사용할 수 있어야 함
예시
은행의 고객이 본인의 개인정보를 확인하고자 할 때 즉시 조회가 가능하게 유지하는 것
확보 방법
(1) 허락된 정보 접근에 대해 정해진 시간 내 정보를 볼 수 있도록 서버, 네트워크 등을 정비
(4) 요약
| 목표 | 영문 | 설명 | 대상 | 행위 |
|---|---|---|---|---|
| 기밀성 | Confidentiality | 허락되지 않은 자가 정보에 접근할 수 없게 함 | 허락되지 않은 자 | 접근 거부 |
| 무결성 | Integrity | 허락되지 않은 자가 정보를 임의로 위변조할 수 없게 함 | 허락되지 않은 자 | 수정 거부 |
| 가용성 | Availability | 허락된 자가 정보에 접근할 때 방해받지 않도록 함 필요할 때 언제든 정보를 사용할 수 있어야 함 |
허락된 자 | 원활한 접근 |
정보보호의 부가 목표
(1) 부인방지 non-repudiation
정의 정보에 관여한 자가 이를 부인하지 못하도록 하는 것.
종류
-발신 부인방지 : 정보를 보낸 사람이 정보를 보냈다는 것을 나중에 부인하지 못하게 함.
-수신 부인방지 : 정보를 받은 사람이 정보를 받았다는 것을 나중에 부인하지 못하게 함.
구현 방법
명백한 증거를 남겨놓는 등으로 구현
(2) 인증 authentication
정의
어떤 실체가 자신이 그 실체라고 주장하는 것에 대해 확인할 수 있고, 신뢰할 수 있는 것.
실체란 정보를 이용하는 사용자, 혹은 정보 그 자체 등.
(3) 접근제어 access control
정의 정보에 대해 허락된 접근만 허용하고, 그 외의 접근은 허용하지 않는 것.
구현 방법
정보에 따라 접근 권한을 분리하거나, 사용자에 따라 접근 권한을 분리한다.
혹은 이 둘의 조합(교차)을 통해 접근 권한을 분리한다.