정보 보안

위키백과, 우리 모두의 백과사전.
이동: 둘러보기, 검색

정보 보안(情報保安, information security, 정보 보호)는 정보를 여러가지 위협으로부터 보호하는 것을 뜻한다.

개요[편집]

정보의 수집, 가공, 저장, 검색, 송신, 수신 도중에 정보의 훼손, 변조, 유출 등을 방지하기 위한 관리적, 기술적 방법을 의미한다. 정보 보호란 정보를 제공하는 공급자 측면과 사용자 측면에서 이해할 수 있다.

  • 공급자 측면 : 내∙외부의 위협요인들로부터 네트워크, 시스템 등의 하드웨어, 데이터베이스, 통신 및 전산시설 등 정보자산을 안전하게 보호∙운영하기 위한 일련의 행위
  • 사용자 측면 : 개인 정보 유출, 남용을 방지하기 위한 일련의 행위

정의[편집]

정보보안의 정의는 출처에 따라 다양하다. 주요한 예시들은 아래와 같다.

1. "정보의 기밀성, 무결성, 가용성의 보존. 추가적으로 진정성(authenticity), 책임성(accountability), 부인방지(non-repudiation), 그리고 신뢰성(reliability)와 관계가 있을 수 있다." (ISO/IEC 27000:2009)

2. "인가되지 않은 접근, 사용, 폭로, 붕괴, 수정, 파괴로부터 정보와 정보 시스템을 보호해 기밀성, 무결성, 가용성을 제공하는 것." (CNSS, 2010)

3. "인가된 사용자만이(기밀성) 정확하고 완전한 정보로(무결성) 필요할 때 접근할 수 있도록(가용성) 하는 일련의 작업." (ISACA, 2008)

4. "조직의 지적 자산을 보호하는 절차." (Pipkin, 2000)

5. "...정보보안은 위험 관리 규율로, 사업의 정보 위험 가치를 관리하는 작업이다." (McDermott and Geer, 2001)

개념[편집]

정보 보안의 주요 목표[편집]

정보에 대한 위협이란 허락되지 않은 접근, 수정, 노출, 훼손, 파괴 등이다. 정보에 대한 위협은 나날이 늘어가고 있기 때문에 모든 위협을 나열할 수는 없으나, 전통적으로 다음의 세가지가 정보 보안의 주요한 목표이다. (때로는 정보 보안만이 아닌 보다 넓은 보안의 목표로 이야기되기도 한다.)

  • 기밀성

허락 되지 않은 사용자 또는 객체가 정보의 내용을 알 수 없도록 하는 것이다. 비밀 보장이라고 할 수도 있다. 원치 않는 정보의 공개를 막는다는 의미에서 프라이버시 보호와 밀접한 관계가 있다.

  • 무결성

허락 되지 않은 사용자 또는 객체가 정보를 함부로 수정할 수 없도록 하는 것이다. 다시 말하면, 수신자가 정보를 수신했을 때, 또는 보관돼 있던 정보를 꺼내 보았을 때 그 정보가 중간에 수정 또는 첨삭되지 않았음을 확인할 수 있도록 하는 것이다.

  • 가용성

허락된 사용자 또는 객체가 정보에 접근하려 하고자 할 때 이것이 방해받지 않도록 하는 것이다. 최근에 네트워크의 고도화로 대중에 많이 알려진 서비스 거부 공격(DoS 공격, Denial of Service Attack)이 이러한 가용성을 해치는 공격이다.

부인 방지[편집]

부인 봉쇄(否認封鎖)라고도 한다. 정보를 보낸 사람이 나중에 정보를 보냈다는 것을 발뺌(부인)하지 못하도록 하는 것이다

보안등급 분류[편집]

보호할 대상을 중요성에 따라 분류해, 각각의 중요도에 따라 보호방법에 차등을 두는 것을 말한다. 일반적으로 기업의 경우 공개자료,대외비,기밀등으로 구분되며 최근에 개인정보를 취급하는 기업의 경우 개인정보를 포함한다.

위험관리[편집]

위험요소의 발견에서부터 위험요소의 최소화 및 제거를 위한 모든 관리체제를 말한다. 주로 다음과 같은 항목을 정의한다

  • 위험의 정의
  • 위험의 수준 분류
  • 위험요소 발견시 제거를 위한 위험의 수준별 처리시간
  • 위험의 신고에서 제거까지의 정보공유방법 및 절차
  • 위험의 기록

접근제한[편집]

보호할 대상에 대해 인가된 접근을 허용하고 비인가된 접근시도를 차단하는 것.

신분증명[편집]

개개인을 식별할 수 있는 정보

  • 아이디
  • 주민등록증,주민등록번호
  • 여권
  • 출입카드

인증[편집]

인증에는 실체 인증(개체 인증으로도 표현함)과 출처 인증이 있다.

실체 인증[편집]

어떤 실체가 정말 주장하는 실체가 맞는지 확인하는 것이다. 특정방법으로 약속된 정보를 인가된 자와 교환한 후 해당 정보를 제시하는 경우에 한해 접근을 허용하는 것을 말한다.

  • 로그인(아이디와 암호)
  • 부대의 암구어
  • 자물쇠와 열쇠
출처 인증[편집]

메시지 또는 자료의 출처가 정말 주장하는 출처가 맞는지 확인하는 것이다. 인가된 자에게만 있는 중복되지 않은 정보에 대한 인가목록을 만든 후 인가목록에서 확인된 자에 한해 접근을 허용하는 것을 말한다

  • 지문인식

암호화[편집]

암호화한 정보를 전달과정에서 인가되지 않은 사람이 취득한 경우 암호화하기 이전 정보를 취득하지 못하게 하는 방법.

  • 양방향암호화

암호화한 정보를 복호화하여 암호화하기 이전의 정보를 취득하는 암호화 방식

  • 단방향암호화

중복되지 않는 유일한 정보를 암호화한 이후 해당 정보에 해당하는 유일한 값으로 변환함. 복호화하여 이전 정보를 취득할 수 없다. 원본 데이터의 재사용을 염두에 둔 방식이 아니라 암호화 된 데이터를 원본데이터와 함께 전달함으로써 원본 데이터가 변조 되었는지 여부를 사용하는데 사용한다.

정보 보안의 방법[편집]

정보 보안을 위해서는 물리적인 방법과 비물리적인(소프트웨어적인) 방법이 사용될 수 있다. 물리적인 방법 중 대표적인 것은 자물쇠의 사용이나 보초의 활용 등을 들 수 있다. 비물리적인 방법 중 대표적인 것은 암호학 기술을 사용하는 것이다.