티스토리 뷰
728x90
반응형
SMALL
정보보안의 핵심 요소는 기밀성(Confidentiality), 무결성(Integrity), 가용성(Availability)으로, 이를 CIA 트라이애드(CIA Triad)라고 합니다. 이 세 가지 요소는 정보보안의 기본적인 원칙을 나타내며, 모든 보안 정책과 시스템 설계의 기본이 됩니다. 여기에 더해, 인증(Authentication), 인가(Authorization), 부인방지(Non-repudiation) 등의 추가적인 요소도 포함될 수 있습니다.
이번 포스팅에서는 정보보안의 핵심 요소들에 대해 설명하고자 합니다.
1. 기밀성(Confidentiality)
- 정의: 정보에 대한 접근 권한이 있는 사람만이 그 정보에 접근할 수 있도록 보장하는 것입니다. 민감한 정보나 데이터를 보호하여, 인가되지 않은 사람이 해당 정보에 접근하지 못하게 하는 것이 기밀성의 목표입니다.
- 예시: 암호화, 접근 제어, 사용자 인증 등의 방법을 통해 기밀성을 유지합니다. 예를 들어, 은행 시스템에서 고객의 계좌 정보는 허가된 사람만이 볼 수 있어야 합니다.
- 위협: 데이터 유출, 스누핑(Snooping), 무단 접근.
2. 무결성(Integrity)
- 정의: 정보가 인가되지 않은 방법으로 변경, 손상, 삭제되지 않도록 보장하는 것입니다. 무결성은 데이터의 정확성과 일관성을 유지하는 것을 의미하며, 정보가 전송 중이거나 저장 중에도 변조되지 않아야 합니다.
- 예시: 디지털 서명, 체크섬, 해시 함수 등을 통해 무결성을 유지할 수 있습니다. 예를 들어, 금융 거래 중 발생하는 데이터는 변조되지 않고 정확히 처리되어야 합니다.
- 위협: 데이터 변조, 악의적인 삭제, 불법 수정.
3. 가용성(Availability)
- 정의: 정보와 시스템이 필요할 때 적절한 시간에 사용 가능해야 함을 보장하는 것입니다. 가용성은 합법적인 사용자가 필요할 때 정보나 시스템에 접근할 수 있도록 하는 것이 목표입니다.
- 예시: 시스템 백업, 중복성, 장애 복구 시스템을 통해 가용성을 높일 수 있습니다. 예를 들어, 온라인 뱅킹 서비스는 24시간 사용 가능해야 하며, 네트워크 공격(예: DDoS)이나 시스템 장애로 인해 중단되지 않아야 합니다.
- 위협: DDoS 공격, 자연재해, 시스템 과부하.
4. 인증(Authentication)
- 정의: 사용자가 주장하는 신원이 실제로 그 사람임을 확인하는 절차입니다. 인증은 시스템에 접근하려는 사용자가 신뢰할 수 있는 사용자임을 보장하는 과정입니다.
- 예시: 패스워드, 생체인식(지문, 얼굴 인식), 이중 인증(2FA), 인증서 등을 통해 인증이 이루어집니다. 로그인 시 사용자 이름과 비밀번호를 입력하는 것이 대표적인 예입니다.
- 위협: 무차별 대입 공격(Brute Force Attack), 피싱(Phishing), 인증 정보 도난.
5. 인가 또는 권한 관리(Authorization)
- 정의: 인증을 받은 사용자가 시스템이나 데이터에 접근할 수 있는 권한을 부여하는 과정입니다. 권한 관리는 인증 후에 이루어지며, 사용자가 할 수 있는 작업 범위를 결정합니다.
- 예시: 예를 들어, 시스템 관리자는 파일을 수정하거나 삭제할 수 있지만, 일반 사용자는 읽기만 가능하도록 권한을 설정할 수 있습니다.
- 위협: 권한 오용, 권한 상승 공격.
6. 부인방지 또는 비가역성(Non-repudiation)
- 정의: 정보를 송신한 주체가 자신의 행위를 부인할 수 없도록 보장하는 것입니다. 이는 송신자와 수신자 모두가 트랜잭션을 부인할 수 없게 하여, 후에 발생할 수 있는 법적 문제를 방지합니다.
- 예시: 디지털 서명과 로그 기록을 통해 비가역성을 유지할 수 있습니다. 예를 들어, 전자 계약에서 계약 당사자가 서명한 후 해당 계약을 부인할 수 없게 만드는 것이 비가역성의 예입니다.
- 위협: 메시지 위조, 트랜잭션 부인.
7. 책임 추적성(Accountability)
- 정의: 시스템 상에서 누가 어떤 행동을 했는지를 추적하고 기록할 수 있는 능력입니다. 시스템이나 데이터에 대한 접근 및 행동을 추적하여, 문제가 발생했을 때 누구의 책임인지 명확히 알 수 있게 합니다.
- 예시: 로그 기록을 통해 사용자의 행위를 기록하고, 이후에 이를 분석하여 불법 행위를 추적할 수 있습니다.
- 위협: 로그 조작, 기록 삭제.
결론
정보보안은 CIA 트라이애드를 중심으로, 정보의 기밀성, 무결성, 가용성을 보장하는 것을 목표로 하며, 추가적으로 인증, 인가(권한 관리), 부인방지(비가역성), 책임 추적성 등의 요소도 중요하게 다뤄집니다. 정보보안은 다양한 기술과 정책을 통해 정보와 시스템을 안전하게 보호하는 데 필수적인 역할을 합니다.
728x90
반응형
LIST
'IT정보 > 정보보호' 카테고리의 다른 글
대칭키 암호화의 종류와 장단점 (8) | 2024.09.16 |
---|---|
정보보안과 정보보호의 차이점 (35) | 2024.09.15 |
개인정보 처리방침 작성 컨설팅 신청자 모집중 (42) | 2024.09.12 |
제로 트러스트? (16) | 2024.09.02 |
개인정보처리방침 평가 기준 및 지표 (0) | 2024.07.09 |
공지사항
최근에 올라온 글
최근에 달린 댓글
글 보관함