Information Technology

정보 보안 개념과 정보 보안의 3대 CIA(기밀성, 무결성, 가용성) 요소

coinAA 2021. 6. 16.

 

목차

    인사말

    이 글에선 정보보안의 개념을 포함한 정보보안의 3대(CIA) 요소를 쉽게 설명해 놓았습니다.

    정보보안의 개념

    정보보안 개요

    정보의 수집, 가공, 저장, 검색, 송신, 수신 도중에 정보의 훼손, 변조, 유출 등을 방지하기 위한 관리적 (정책, ISMS, PIMS), 기술적 방법(암호화, 접근통제, 데이터 백업)을 의미이다.

    정보보안 정의

    정보보안의 정의는 출처에 따라 다양하다.

    • ISO / IEC 27000 : 2009, 영국
      • 정보의 기밀성(Confidentiality)
      • 무결성(Integrity), 가용성(Availability)
      • 추가적으로 진정성(authenticity)
      • 책임성(accountability)
      • 부인방지(non-repudiation)
      • 신뢰성(reliability)

     

    공급자 측면

    내, 외부의 위협(취약점) 요인들로부터 네트워크, 시스템 등의 하드웨어 데이터베이스, 통신 및 전산 시설 등 정보자산(유형, 무형)을 안전하게 보호∙운영하기 위한 일련의 행위이다.

     

    사용자 측면

    개인 정보 유출, 남용을 방지하기 위한 일련의 행위이다.

     

    정보보안의 3대 요소

    기밀성(Confidentiality)

    인가된 사용자만 정보 자산에 접근할 수 있는 것으로, 방화벽(Firewall), 암호, 패스워드 등이 대표적인 예시이다.

     

    무결성(Integrity)

    적절한 권한을 가진 사용자가 인가한 방법으로만 정보를 변경할 수 있도록 하여 접근 통제하는 것을 의미한다.

     

    가용성(Availability)

    필요한 시점에 정보 자산에 대한 접근이 가능하도록 하는 것인데 대표적으로 백업이 있다.

     

    정보보안의 특성

    • 정보보안은 100% 완벽하게 달성할 수 없다.
    • 정보보안 대책의 설치 시 필요성을 확신할 수 없다.
    • 정보보안 대책의 효과성은 실패율에 의해 측정된다.

    부인 방지

    부인 봉쇄(否認封鎖)라고도 불린다.
    정보를 보낸 사람이 나중에 정보를 보냈다는 것을 부인하지 못하도록 송신, 수신을 명확히 한다.

     

    보안등급 분류

    보호할 대상을 중요성에 따라 분류해, 각각의 중요도에 따라 보호 방법에 차등을 두는 것을 말한다.
    일반적으로 기업의 경우 공개자료, 대외비, 기밀 등으로 구분되며 최근에 개인정보를 취급하는 기업의 경우 개인정보를 포함한다.

     

    위험관리

    위험요소의 발견에서부터 위험요소의 최소화 및 제거를 위한 모든 관리체제를 말한다.

    • 위험 정의(자산, 취약점, 위협, CIA)
    • 위험 수준 분류
    • 위험요소 발견 시 제거를 위한 위험의 수준별 처리시간
    • 위험 신고에서 제거까지의 정보공유 방법 및 절차
    • 위험 기록

     

    접근 제한

    보호할 대상에 대해 인가된 접근을 허용하고 비인가된 접근 시도를 차단하여 통제하고 제어하는 것을 말한다.

     

    정보보안의 방법

    정보 보안을 위해서는 물리적인 방법과 비 물리적인(소프트웨어적인) 방법이 사용될 수 있다.

     

    대표적인 물리적인 방법

    자물쇠의 사용이나 보초의 활용 등을 들 수 있다.

     

     대표적인 비 물리적인 방법

    대칭 또는  비대칭 암호학 기술을 사용하는 것이 있다.

    댓글