정보보안(Information Security)의 주요 요소

모든 보안의 시작은 무엇을 보호할 것이며, 목적 달성을 위한 요소가 무엇인지 이해하는 것부터 출발한다.

 

- 어떤 자산을 보호해야 하는가?

- 그 자산은 어떤 위협이 존재하는가?

- 존재하는 위협에 대응하기 위해 무엇을 해야 하는가?

 

상기 질문 내용을 통해 IT 보안 관리는 중요 자산들이 비용 대비 효과적인 방법으로 충분히 보호될 수 있는 방법을 찾는 과정이다.

 

 

다음은 정보보안의 주요 요소들에 대한 설명이다.

 

1. 정보보안(Information Security, 또는 정보보호)의 정의

- 정보의 수집, 가공, 저장, 검색, 송신, 수신 중 발생할 수 있는 정보의 훼손, 변조, 유출 등을 방지하기 위한 관리적ㆍ기술적 수단을 마련하는 것 (「국가정보화 기본법」 제3조 제6항 )

- 의도적이든 비의도적이든 열람, 유출, 변조, 파괴로부터 정보를 보호하는 것

 

2. 기밀성(Confidentaility)

- 정의 : 주요 자산에 대하여 인가된 사용자만 접근·사용할 수 있도록 하는 것으로 예전에는 비밀성 이라고도 함

- 기밀성을 해치는 행위 : 스니핑(snipping), 열람, 유출 등

- 기밀성 확보를 위한 대책 : 암호화, 접근통제 등

 

3. 무결성(Integrity)

- 정의 : 송·수신되는 정보가 전송 도중에 추가, 삭제, 변경되지 않았음을 확인하는 것

- 무결성을 해치는 행위 : 스푸핑(spoofing), 변조 등

- 무결성 확보를 위한 대책 : 무결성 기법 적용(해쉬함수, MAC(메시지 인증 코드)) 등

 

4. 가용성(Availability)

- 정의 : 인가된 사용자가 필요 시 지체없이 서비스를 이용할 수 있는 것

- 가용성을 해치는 행위 : DDoS 공격, 자연재해, 장애 등

- 가용성 확보를 위한 대책 : 정보의 백업, 이중화 등

 

※ 상기 내용의 기밀성(Confidentaility), 무결성(Integrity), 가용성(Availability)을 정보보안의 3대 요소라고 하며, 짧게 CIA로 부르기도 한다.

 

5. 책임 추적성(Accountability)

- 보안사고 발생 시 누구에 의해 어떤 방법으로 발생한 것인지 확인할 수 있어야 함

- 관여하지 않은 사람에게 엉뚱한 책임을 물어 불이익을 당하지 않도록 하기 위함

- 주체의 신원을 증명하고 그들의 활동을 추적(trace)하는 능력

- Auditability과 동일한 의미

- 식별, 인증, 권한부여, 접근통제, 감사가 중요 기본 개념임

 

6. 접근 통제(Access Control)

- 시스템에서 자원의 사용 가능 여부를 결정하는 과정

- 통신 시스템과 관련된 허가되지 않은 동작들을 위협으로부터 자원을 보호

- 화이트 리스트, 블랙 리스트가 존재하며, 현재는 화이트 리스트 방식을 많이 사용하고 있음

 • 화이트 리스트(white list) : 허용할 프로그램을 목록화한 뒤 나머지는 모두 막는 방법

 • 블랙 리스트(black list) : 차단해야 할 대상을 목록화한 뒤 해당 리스트를 막는 방법

 

7. 인증(Authentication)

- 자신의 신분과 행위를 증명하는 것으로 자신이 누구라고 주장하는 사람을 확인하는 절차임

- 패스워드 방식, 공개키 이용 방식, 스마트 카드, 생체 인식도구 등이 있음

- 개체 인증과 메시지 인증이 존재함

 • 개체 인증 : 통신을 하고 있는 상대방에 대해서 정말로 그 당사자가 맞는지 확인하는 것으로 서버 인증과 클라이언트
   인증이 존재함

 • 메시지 인증 : 수신된 데이터가 정말로 데이터에 표시된 출발지로부터 온 것인지 확인하는 것

 

※ 인가(Authorization)는 원하는 정보를 얻도록 허용하는 과정으로 권한부여를 나타내며, 인증(Authentication)과는 상이함을 확인해야 한다.

 

8. 부인방지(Non-Repudiation)

- 데이터의 완전 무결성과 출처에 대해 증명하는 것으로 전자서명(Digital Signature)이 주로 사용됨

---