보안 기초 지식을 쌓고 싶은 주니어 담당자, 요즘 세대 눈높이에서 보안을 알고 싶은 시니어 담당자, 보안을 갑자기 맡게 된 실무 담당자를 위해 정보 보안 개념을 최대한 쉽게 문과적으로 설명해드립니다.
이번 주제는 정보 보안의 태권도 1장 같은 존재 ‘정보 보안 3요소’ 입니다.
정보 보안 3요소는 기밀성(Confidentiality), 무결성(Integrity), 가용성(Availability)으로 구성됩니다. 쉽게 기억하기 위해서 영어 앞글자만 따서 C.I.A.라고도 부릅니다. 개인적으로는 기.무.사.(기밀성, 무결성, 사용성이라 쓰고 가용성으로 읽는다)로 연상하면 기억하기 쉽습니다. 이들 요소는 정보보호에서 가장 기본이되는 개념으로, 정보의 안전성과 신뢰성을 보장합니다.
정보보안 3요소는 정보 접근 ‘승인’을 기준으로 살펴볼 수 있습니다.
기밀성 (機密, Confidentiality)
“승인되지 않은 사람이 정보를 열람할 수 없게 한다.”
기밀이라는 단어 뜻 그대로 정보를 ‘아주 중요한 비밀’로 취급하자는 의미입니다. ‘비밀’은 남에게 ‘정보를 알리지 않고 숨기는 일’입니다. 정보보안에서 정보는 기본적으로 남(외부 사람)이 함부로 볼 수 없어야 합니다. 유식한 말로는 ‘인가 된 사용자만 정보에 접근할 수 있게 한다.’ 라고 합니다. 허가된 사용자만 정보에 접근할 수 있게 되어 있을수록 ‘기밀성’이 높다고 합니다.
🔴위협 형태 : 정보 유출
🔵관련 솔루션: 문서암호화, 문서중앙화
무결성 (無缺, Integrity)
“승인되지 않은 사람이 정보를 수정할 수 없게 한다.”
‘무결성’은 정보가 변형되거나 손상되지 않아야 한다는 의미입니다. ‘무결’ 단어를 쪼개보면 없을 무(無), 이지러질 결(缺)으로 결점, 결함이 없다는 뜻입니다. 결(缺)의 어원은 ‘도자기가 깨지다’라는 뜻이었지만, 점차 파생되어 ‘모자라다’, ‘불완전하다’ 같은 다른 의미도 생겼습니다. 정보 보안 관점에서 무결성은 정보가 완전하다는 의미입니다. 그래서 무결성을 완전성이라고도 합니다.
‘정보가 완전하다’는 정보(데이터)가 위변조가 되지 않은 상태라는 뜻입니다. 정보 무결성을 결(缺) 어원에서 설명한 도자기로 생각해보겠습니다. 보관 중인 도자기(정보)에 누군가 함부로 다른 그림을 덧칠 하거나 긁어서 무늬를 넣어 버리면 그 도자기(정보)는 가치를 잃게 됩니다. 다른 말로는 ‘도자기(정보)의 무결성이 훼손되었다’고 합니다. 뉴스에서 종종 등장하는 성적서나 학위,증명서를 위조하는 경우가 대표적인 무결성 훼손 사례입니다. 무결성을 위해서는 승인 받지 않은 사람이 정보를 무단으로 변경할 수 없게 해야 합니다. 정보가 무단으로 변조, 손실 되지 않아야 ‘무결성’이 유지되었다고 봅니다.
🔴위헙 형태: 정보 위변조
🔵관련 솔루션: 위변조방지, 방화벽
가용성 (可用, Availability)
“승인된 사람이 정보가 필요할 때 사용할 수 있게 한다”
(=“승인되지 않은 사람이 정보를 삭제할 수 없게 한다.”)
앞서 살펴본 기밀성, 무결성은 승인되지 않은 사람이 정보 접근, 변형을 하지 못하게 했다면, 가용성은 승인된 사람이 필요 할 때, 필요한 정보를 사용할 수 있어야 한다는 뜻입니다. 기밀성과 무결성이 유지되고 있어도, 필요할 때 자료를 사용할 수 없으면 아무 소용이 없기 때문입니다. 가용성에서 말하는 정보 사용은 정보가 무단으로 삭제되지 않아야 한다는 의미에 가깝지만, 시스템적인 문제로 정보가 존재하지만 사용하지 못하는 상황도 있기 때문에 가용성이라는 단어를 사용합니다.
예를 들어 내 컴퓨터에 있는 파일은 내가 언제든 사용할 수 있으니 가용성이 있습니다. 하지만 나도 모르게 내 컴퓨터에 있던 파일이 모두 삭제됐다면? 갑자기 컴퓨터가 켜지질 않는다면? 정보 가용성이 없어진 상태입니다. 가용성을 위해서는 시스템 접근이 (불법적으로)차단 되거나 정보가 삭제 되는 것을 방지하고 만약을 위해 백업을 해둬야 합니다.
🔴위협 형태: 정보 삭제, 서버 다운
🔵관련 솔루션: 백업, 클라우드 동기화
한 줄 정리
정보보안 3요소는 기밀성, 무결성, 가용성 각각을 정보 열람, 수정, 삭제와 연결 지어 ‘정보는 아무나 열람, 수정, 삭제할 수 없어야 한다‘ 라고 이해 하시면 쉽습니다. (기밀성 — 열람 // 무결성 — 수정 // 가용성 — 삭제)
보안 기초 지식을 쌓고 싶은 주니어 담당자, 요즘 세대 눈높이에서 보안을 알고 싶은 시니어 담당자, 보안을 갑자기 맡게 된 실무 담당자를 위해 정보 보안 개념을 최대한 쉽게 문과적으로 설명해드립니다.
이번 주제는 정보 보안의 태권도 1장 같은 존재 ‘정보 보안 3요소’ 입니다.
정보 보안 3요소는 기밀성(Confidentiality), 무결성(Integrity), 가용성(Availability)으로 구성됩니다. 쉽게 기억하기 위해서 영어 앞글자만 따서 C.I.A.라고도 부릅니다. 개인적으로는 기.무.사.(기밀성, 무결성, 사용성이라 쓰고 가용성으로 읽는다)로 연상하면 기억하기 쉽습니다. 이들 요소는 정보보호에서 가장 기본이되는 개념으로, 정보의 안전성과 신뢰성을 보장합니다.
정보보안 3요소는 정보 접근 ‘승인’을 기준으로 살펴볼 수 있습니다.
기밀성 (機密, Confidentiality)
“승인되지 않은 사람이 정보를 열람할 수 없게 한다.”
기밀이라는 단어 뜻 그대로 정보를 ‘아주 중요한 비밀’로 취급하자는 의미입니다. ‘비밀’은 남에게 ‘정보를 알리지 않고 숨기는 일’입니다. 정보보안에서 정보는 기본적으로 남(외부 사람)이 함부로 볼 수 없어야 합니다. 유식한 말로는 ‘인가 된 사용자만 정보에 접근할 수 있게 한다.’ 라고 합니다. 허가된 사용자만 정보에 접근할 수 있게 되어 있을수록 ‘기밀성’이 높다고 합니다.
🔴위협 형태 : 정보 유출
🔵관련 솔루션: 문서암호화, 문서중앙화
무결성 (無缺, Integrity)
“승인되지 않은 사람이 정보를 수정할 수 없게 한다.”
‘무결성’은 정보가 변형되거나 손상되지 않아야 한다는 의미입니다. ‘무결’ 단어를 쪼개보면 없을 무(無), 이지러질 결(缺)으로 결점, 결함이 없다는 뜻입니다. 결(缺)의 어원은 ‘도자기가 깨지다’라는 뜻이었지만, 점차 파생되어 ‘모자라다’, ‘불완전하다’ 같은 다른 의미도 생겼습니다. 정보 보안 관점에서 무결성은 정보가 완전하다는 의미입니다. 그래서 무결성을 완전성이라고도 합니다.
‘정보가 완전하다’는 정보(데이터)가 위변조가 되지 않은 상태라는 뜻입니다. 정보 무결성을 결(缺) 어원에서 설명한 도자기로 생각해보겠습니다. 보관 중인 도자기(정보)에 누군가 함부로 다른 그림을 덧칠 하거나 긁어서 무늬를 넣어 버리면 그 도자기(정보)는 가치를 잃게 됩니다. 다른 말로는 ‘도자기(정보)의 무결성이 훼손되었다’고 합니다. 뉴스에서 종종 등장하는 성적서나 학위,증명서를 위조하는 경우가 대표적인 무결성 훼손 사례입니다. 무결성을 위해서는 승인 받지 않은 사람이 정보를 무단으로 변경할 수 없게 해야 합니다. 정보가 무단으로 변조, 손실 되지 않아야 ‘무결성’이 유지되었다고 봅니다.
🔴위헙 형태: 정보 위변조
🔵관련 솔루션: 위변조방지, 방화벽
가용성 (可用, Availability)
“승인된 사람이 정보가 필요할 때 사용할 수 있게 한다”
(=“승인되지 않은 사람이 정보를 삭제할 수 없게 한다.”)
앞서 살펴본 기밀성, 무결성은 승인되지 않은 사람이 정보 접근, 변형을 하지 못하게 했다면, 가용성은 승인된 사람이 필요 할 때, 필요한 정보를 사용할 수 있어야 한다는 뜻입니다. 기밀성과 무결성이 유지되고 있어도, 필요할 때 자료를 사용할 수 없으면 아무 소용이 없기 때문입니다. 가용성에서 말하는 정보 사용은 정보가 무단으로 삭제되지 않아야 한다는 의미에 가깝지만, 시스템적인 문제로 정보가 존재하지만 사용하지 못하는 상황도 있기 때문에 가용성이라는 단어를 사용합니다.
예를 들어 내 컴퓨터에 있는 파일은 내가 언제든 사용할 수 있으니 가용성이 있습니다. 하지만 나도 모르게 내 컴퓨터에 있던 파일이 모두 삭제됐다면? 갑자기 컴퓨터가 켜지질 않는다면? 정보 가용성이 없어진 상태입니다. 가용성을 위해서는 시스템 접근이 (불법적으로)차단 되거나 정보가 삭제 되는 것을 방지하고 만약을 위해 백업을 해둬야 합니다.
🔴위협 형태: 정보 삭제, 서버 다운
🔵관련 솔루션: 백업, 클라우드 동기화
한 줄 정리
정보보안 3요소는 기밀성, 무결성, 가용성 각각을 정보 열람, 수정, 삭제와 연결 지어 ‘정보는 아무나 열람, 수정, 삭제할 수 없어야 한다‘ 라고 이해 하시면 쉽습니다. (기밀성 — 열람 // 무결성 — 수정 // 가용성 — 삭제)