#정보보호의핵심목표 #정보보호의개념 #기밀성 #무결성 #가용성 #부인방지 #인증 #접근제어
정보보호의 개념
- 정보를 여러 가지 위협으로부터 보호하기 위한 정책 및 기법
- 위협 : 허락되지 않은 접근, 수정, 훼손, 유출 등
- 정보는 다양한 형태로 존재할 수 있으며, 그 중 컴퓨팅 환경에 관여된 정보보호가 컴퓨터 보안
- 정보의 상태는 저장과 전달이 있으며, 이 모든 상태에 대한 보안을 고려해야 함
정보보호의 목표
정보보호의 핵심목표 CIA triad
기밀성 (Confidentiality)
- 허락되지 않은 자가 정보의 내용을 알 수 없도록 하는 것
- e.g. 은행에서 고객 개인정보, 계좌정보 등의 기밀정보를 당사자가 아닌 3자에게 알려지는 것을 방지
- 보안방법1 : 허락되지 않은 자가 정보에 접근을 아예 못하게 함.
- 보안방법2 : 정보에 접근하더라도 무의미한 내용만 보이도록 함.
- 기밀성을 지키는 가장 필수적인 기술이 바로 암호화다. (접근해도 무의미한 내용)
무결성 (Integrity)
- 허락되지 않은 자가 정보를 임의로 수정할 수 없도록 하는 것
- e.g. DB 내 고객 개인정보가 임의로 수정되지 않도록 보호
- e.g. 고객 본인이 자신의 개인정보를 조회할 때, DB -> 고객 전달 과정 중 위변조되지 않도록 보호
- 보안방법1 : 허락되지 않은 자에 의한 수정 발생시, 이를 (빠르게) 확인할 수 있도록 함
- 메시지에 대한 무결성 확인은 메시지 인증
가용성 (Availability)
- 허락된 자가 정보에 접근하고자 할 때 방해받지 않도록 하는 것
- 접근권한이 있는 자는 필요할 때 언제든 정보를 사용할 수 있어야 함
- e.g. 고객인 본인 개인정보를 확인하고자 할 때 즉시 조회가 가능함
- e.g. “서버 점검중” 과 같이 접근 불가한 것은 가용성이 떨어지는 것
- 보안방법1 : 정해진 시간 내에 정보를 볼 수 있도록 보장해야 한다.
그 외의 정보보호 목표
부인방지 non-repudiation
- 정보에 관여한 자가 이를 부인하지 못하도록 하는 것
- 보안방법 : 명백한 증거를 남겨놓음으로써 구현할 수 있다.
| 종류 | 설명 |
|---|---|
| 발신 부인방지 | 정보를 보낸 사람이 나중에 정보를 보냈다는 것을 부인하지 못하도록 함 |
| 수신 부인방지 | 정보를 받은 사람이 나중에 이를 부인하지 못하도록 함 |
인증 (authentication)
- 어떤 실체가 정말 자신이 주장하는 실체가 맞는지 확인할 수 있고, 이 확인을 신뢰할 수 있는 것
- 실체 : 정보 자체, 정보 이용자 등
접근제어 (access control)
- 정보에 대해 허락된 접근만 허용, 그 외의 접근은 허용하지 않는것.
- 접근권한이 있는 자와 없는 자를 구분해야 하며, 이에 따라 제어가 되어야 한다.
- 접근권한은 정보에 따라, 사용자에 따라 다양하게 부여될 수 있다.
정보화 환경과 역기능
새로운 수법의 지속적인 등장
- 과거 이메일을 이용하던 피싱은 -> 보이스 피싱과 스미싱 등으로 다양화 됨
- 랜섬웨어처럼 암호 알고리즘을 악용한 수법도 등장
- 국내에서는 정보통신망 관련, 개인정보 보호법 등을 거쳐 2020년 데이터 3법 개정
- 데이터 3법 : 정보통신망법, 개인정보 보호법, 신용정보법 등 + 가명정보 개념 도입
Comments