"정보보호란 정보의 수집·가공·저장·검색·송신·수신중에
정보의 훼손·변조·유출 등을 방지하기 위한 관리적·기술적 수단, 또는 그러한 수단으로 이루어지는 행위이다."
CIA란 기밀성(Confidentiality), 무결성(Integrity), 가용성(Availability)의 첫 문자를 따서 조합한 용어로서 보안의 기본 항목이며 기밀 정보의 보안 위험성을 측정하고 적절한 보안 정책을 수립하는 기준이 되는 보안의 기본 요소이다.
기밀성 (Confidentiality)
- 인가된 사용자만이 정보에 접근할 수 있는 것
- 정보가 허가되지 않은 사용자에게 노출되지 않는 것을 보장하는 보안원칙
[대처방안] 기밀성을 보장하기 위해서는 각종 접근통제(Access Control)를 실시하고 전산자료에 대한 암호화 대책을 강구해야 한다.
무결성 (Integrity)
- 정보가 권한이 없는 사용자의 악의적 또는 비악의적인 접근에 의해 변경되지 않는 것을 보장하는 보안원칙
[대처방안] 무결성을 확보하기 위해서는 접근통제가 필요하고, 정보가 이미 변경되었거나 변경 위험이 있을 때 변경 사실을 즉시 감시하여 복구할 수 있는 매커니즘이 필요하다. 무결성을 확인하는 가장 대표적인 방법은 해시함수(Hash Function)이다.
가용성 (Availability)
- 인가된 사용자가 언제나 신뢰할 수 있는 자산에 접근할 수 있는 것
- 서비스가 원할하게 제공되는 것
[대처방안] 가용성을 확보하기 위한 통제 수단으로는 자료 파괴, 장애 유발 시를 대비한 복구대책은 물론 위협 요소로부터의 예방 대책이 요구되며 또한 정당한 방법으로 권한이 주어진 사용자에게는 보안 대상 정보의 접근이 절차에 따라 완전하게 허락되어야 한다. 디스크, 네트워크, 서버를 이중화하며 RAID, DRS를 사용한다.
| 보안의 3요소 | 정의 | 공격 예시 |
| 기밀성 (Confidentiality) | 인가된 사용자만이 정보에 접근할 수 있는 것. | 스니핑, 스푸핑 |
| 무결성 (Integrity) | 비인가 사용자가 정보를 변조하거나 파괴할 수 없게 하는 것. | 트로이목마, 바이러스 |
| 가용성 (Availability) | 인가된 사용자가 언제나 신뢰할 수 있는 자산에 접근할 수 있는 것. | DOS, DDOS |
'보안' 카테고리의 다른 글
| OWASP TOP10 애플리케이션 보안 위험 - 2017 (0) | 2023.03.30 |
|---|
댓글