정보 보안

보안

정보 보안에서는 공격자로부터의 네트워크를 통한 침투, 물리적인 침투 등으로부터

자산, 데이터를 보호하는 것을 말합니다.

 

 정보 보안의 3 요소 (CIA)

정보 보안은 크게 기밀성, 무결성, 가용성  구분 됩니다.

 

• 기밀성 (Confidentiality):
  정보에 대한 접근 권한이 있는 사람만 정보에 접근할 수 있도록 보호하는 것. 예로는 비밀번호 보호, 암호화, 접근 제어 등이 있습니다.
• 무결성 (Integrity):
  정보가 허가 없이 변경되거나 손상되지 않도록 보장하는 것. 이를 통해 데이터의 정확성과 일관성을 유지합니다. 예로는 체크섬, 데이터 백업, 접근 제어 메커니즘 등이 있습니다.
• 가용성 (Availability):
  정보와 시스템이 필요할 때 적절히 사용 가능하도록 보장하는 것. 이를 위해 시스템의 중단 없이 안정적인 작동을 유지하고, 네트워크 공격이나 자연재해로부터 보호합니다. 예로는 서버 중복화, 장애 복구 계획, DDoS 방어 등이 있습니다.

 

 

보안 공격방식

정보를 탈취하기 위해 보안을 위협하는 방식은 다양합니다.

보안 공격은 크게 4가지 범주로 구분되며 도청, 방해, 변조, 위조가 있습니다.

 

• 도청: 승인되지 않은 사용자가 데이터나 응용 프로그램 등 민감한 환경에 접근하는 행위입니다. 주로 기밀성에 영향을 미칩니다.
• 방해: 자산을 일시적 또는 영구적으로 사용 불가능하게 만드는 행위로, 주로 가용성과 무결성에 영향을 미칠 수 있습니다.
• 변조: 자산에 대해 허가되지 않은 변경을 가하는 행위로, 주로 무결성과 가용성에 영향을 미칠 수 있습니다.
• 위조: 데이터를 생성하거나, 프로세스, 통신, 또는 유사한 시스템을 조작하는 행위로, 주로 무결성과 가용성에 영향을 미칩니다.

 

식별(Identification)

주체가 자신이 누구인지 주장하는 것을 의미하며, 이는 시스템이 네트워크 상에서

자신을 무엇으로 주장하는 것과도 관련됩니다. 식별 정보는 일반적으로 변경 가능한 항목입니다.

 

사람들은 다양한 방법으로 자신을 식별할 수 있으며, 예로는 이름, 별명, 계좌번호, 신분증, 지문, DNA 샘플 등이 있습니다. 그러나 이러한 식별 방법 중 유일하다고 여겨지는 지문조차도 복제될 위험이 있습니다.

 

인가

인가는 식별과 인증이 완료된 후에 이루어지는 단계입니다.

이는 주체가 인증된 후, 그 주체에게 정확히 어떤 권한을 부여하고 어떤 행동을 허용할지를 결정하는 과정입니다.

즉, 인가는 사용자가 시스템에서 수행할 수 있는 작업과 접근할 수 있는 자원들을 제어하는 것을 의미합니다.