ABOUT ME

    -

    Today
    -
    Yesterday
    -
    Total
    -
    • 네트워크 보안 - 1 | 보안의 기본개념과 CIA
      컴퓨터 공학/보안 2022. 9. 10. 15:42

      정보보안이란?

      역사적으로 정보라는 것은, 그 존재만으로도 중요한 가치를 가진 경우가 많았다. 따라서 서로 자격이 있는 사람들끼리만 정보를 공유하고, 다른 사람의 귀에는 들어가지 않도록 보안을 신경 쓰는 행위는, 너무나도 당연하게 동반되는 행동이었다.

       

      이를 위해 옛사람들은 특정 정보가 담긴 문서들을 한데 모아 찾을 수 없는 공간에 숨겨두거나, 열쇠와 자물쇠와 같은 물리적인 도구들을 이용해 접근 자체를 막는 방법을 사용하였다. 또는 정보를 담은 글 자체를 제삼자가 이해하지 못할 암호문으로 작성하여, 해당 암호의 구조를 이해하고 있는 사람만 정보를 확인할 수 있도록 하는 방식을 사용하기도 하였다.

       

      이러한 정보에 대한 보안은, 무선통신의 발전에 의해 여러 중요한 정보들이 굉장히 먼 거리까지 빠르게 전달되는 시대가 오면서 정보들이 원하지 않는 공격자에 의해 탈취될 가능성 역시 높아졌기 때문에, 훨씬 더 중요한 요소가 되었다.

      정보보안의 3요소 - CIA

      특정 정보를 보호하기 위한 방법은 이론적으로는 간단하다. 바로 정보를 탈취하려는 입장에서 시도할만한 방법을 모두 사전에 방지할 수 있도록 대비책을 마련하면 된다.

       

      하지만 현실적으로 이를 모두 방지하는 것은 사실상 불가능에 가깝다. 최대한 완벽하게 보안을 설계했다고 해도, 언젠가는 시스템의 취약점을 찾아내 공격하는 공격자가 나오기 마련이다. 따라서 모든 보안 공격의 방법을 염두에 두고 하나하나 대비책을 마련하는 것은 비효율적이고 미련한 방식일 수 있다.

       

      따라서 정보보안을 위해서 사람들은 모든 부분을 대비하는 대신에, 크게 3가지의 요소를 생각하기로 했다.

      이를 정보보안의 3요소인 CIA라고 한다. (여기서 말하는 CIA는 미국 중앙정보국이 아니다.)

      Confidentiality (기밀성)

      Confidentiality
      Prevent unauthorized reading of information

      먼저 C는 Confidentiality로 기밀성을 나타내는데, 이는 특정 정보에 대해 허가받지 않는 읽기를 금지한다는 것이다.

      특정 정보를 수정하지 않고, 단순히 읽기만 하더라도 이는 보안에 굉장히 큰 영향을 끼친다.

      따라서 정보보안을 위해서는 허가받지 않는 읽기에 대해서 항상 대비할 수 있는 대책이 있어야 한다.

       

      이를 위해 허가받지 않는 접근에 대해서는 통제를 하거나, 설령 보안에 문제가 생겨 접근을 허용했다고 하더라도, 공격자가 정보를 이해하지 못하도록 암호화를 하는 방법이 있다.

      Integrity (무결성)

      Integrity
      Detect unauthorized writing of information

      다음으로 I는 Integrity로 무결성을 나타낸다. 이는 정보의 허가받지 않은 쓰기를 발견할 수 있어야 한다는 것이다.

      여기서 중요한 것은 허가받지 않은 변조를 발견한다는 것이다. 정보보안에서 정보가 변경되었다는 것을 알아채는 것만으로도 보안에 굉장히 중요한 도움이 될 수 있다.

      따라서 해당 무결성을 잘 유지할 수 있다면, 정보가 변경되는 즉시 이를 감지하여 복구하거나 보안 침입을 막을 수 있다.

       

      이를 위해 허가받지 않은 수정에 대해서는 통제를 하거나, 설령 변조가 일어났다 하더라도 이를 바로 알아채고 복구할 수 있는 방법이 준비되어 있어야 한다. 암호화 또한 해당 부분에서 굉장히 중요한 역할을 한다.

      Availability (가용성)

      Availability
      Data is available in a timely manner when needed

      마지막으로 A는 Availability로 가용성을 나타낸다. 이는 정보가 필요할 때 해당 정보를 사용할 수 있어야 한다는 것이다.

      과거에는 해당 부분에 대한 중요성이 그렇게 크지 않았다. 하지만 시대가 발전함에 따라 여러 정보를 이용해 특정 서비스를 제공하는 서비스업이 많아지게 되고, 따라서 자연스럽게 사용자들이 해당 서비스를 원하는 순간에 사용할 수 있어야 한다는 것이 중요하게 다가오게 되었다.

       

      따라서 사용자가 원하는 순간에 서비스를 이용하지 못하는 것 또한 정보보안에 실패했다고 할 수 있다. 시스템이 본래 제공하려던 목적에 맞게 제대로 동작하지 못하도록 방해받았기 때문이다. 예를 들어 DoS 공격과 같은 공격이 이러한 가용성을 방해하려는 공격의 한 종류라고 볼 수 있다.

       

      이러한 가용성에 대한 공격은 방어하기가 굉장히 어려운 편에 속하기 때문에, 지속적인 연구와 피해자료 수집 등이 동반되어야 한다.

      관련글 관련글 더보기

      댓글

    티스토리툴바