SE 01) 1. 정보화 사회화의 정보 보호

1) 정보의 가용성과 안정성(보안성)

  ① 정보의 가용성과 보안 측면에서 보면, 정보 보호란 「정보의 활용과 정보의 통제 사이에서 균형 감각을 갖는 행위」라고 할 수 있다.

  ② 사람들이 필요로 하는 사용 가능한 자원을 쉽게 얻을 수 있으면서도 정보에 위협이 되는 요소를 최소화 하는 균형점을 찾는 것이다.

  ③ 정보의 활용은 정보의 가용성을 극대화 하자는 뜻이며, 정보의 통제는 위협 요소를 줄이고 안정성을 확보하기 위해 최대한 통제를 하자는 의미 이다.

 

2) 정보 보호의 목표

 (A) 기밀성 (비밀성, Confidentiality) 

  ① 오직 인가된 사람, 인가된 프로세스, 인가된 시스템만이 알 필요성(Need-to-know)에 근거하여 시스템에 접근해야 한다는 원칙이다.

  ② 즉, 정보의 소유자가 원하는 대로 정보의 비밀이 유지되어야 한다는 원칙이다. 정보는 소유자의 인가를 받은 사람만이 접근할 수 있어야 하며, 인가되지 않은 정보의 공개는 반드시 금지 되어야 한다.

  ③ 기밀성을 보장하기 위한 보안 기술에는 접근 제어, 암호화 등이 있다.

 

 (B) 무결성 (Integrity)

  ① 정보는 정해진 절차에 따라, 그리고 주어진 권한에 의해서만 변경되어야 한다는 것이다. 정보는 항상 정확성을 일정하게 유지하여야 하며, 인가 받은 방법에 의해서만 변경 되어야 한다.

  ② 무결성을 보장하기 위한 정책에는 정보 변경에 대한 통제 뿐만 아니라, 오류나 태만 등으로부터의 예방도 포함되어야 한다. 즉, 정보는 의도적이든, 우발적이든 간에 허가 없이 변경되어서는 안 된다.

  ③ 무결성을 보장하기 위한 보안 기술에는 접근 제어, 메시지 인증 등이 있으며, 정보가 이미 변경되었거나 변경 위험이 있을 때에는 이러한 변경을 탐지하여 복수할 수 있는 침입 탐지, 백업 등의 기술이 필요하다.

 

 (C) 가용성 (Availability)

  ① 정보 시스템은 적절한 방법으로 작동 되어야 하며, 정당한 방법으로 권한이 주어진 사용자에게 정보 서비스를 거부하여서는 안 된다는 것이 가용성이다. 사용자가 소유하고 있는 정보를 적시에 적절하게 사용할 수 없다면 그 정보는 이미 소유의 의미를 잃게 되거나 정보 자체의 가치를 상실하게 된다.

  ② 정보는 지속적으로 변화하고, 인가된 자가 접근할 수 있어야 함을 의미한다. 정보의 비용성은 조직에 있어 기밀성이나 무결성의 부족 만큼이나 해롭다.

  ③ 가용성을 확보하기 위해서는 데이터의 백업, 중복성 유지, 물리적 위협 요소로부터의 보호 등의 보안 기술을 적용해야 한다.

 

 (D) 인증성 (인증, Authenticity, Authentication)

  ① 진짜라는  성질을 확인할 수 있고, 확인 및 신뢰할 수 있다는 것을 의미한다. 그리고 전송 메시지, 메시지 출처 유효성에 대한 확신이다.

  ② 사용자가 정말 그 사용자인지와 시스템에 도착한 자료가 정말로 신뢰할 수 있는 출처에서 온 것인지를 확인할 수 있는 것을 의미한다.

 

 (E) 책임 추척성 (책임성, Accountability) 

  ① 보안 목적에는 개체의 행동을 유일하게 추적해서 찾아낼 수 있어야 한다는 사항이 포함되어야 한다. 여기에는 부인 봉쇄*, 억제, 결함 분리, 침입탐지 예방, 사후 복구와 법적인 조치 등이 포함 된다.

  ② 진정으로 안전한 시스템을 만든다는 것은 불가능하기 때문에, 보안 침해에 대한 책임이 있는 곳까지 추적할 수 있어야만 한다.

  ③ 시스템은 반드시 이들의 활동 사항을 기록하고 나중에 포렌식 분석을 하여 보안 침해를 추적할 수 있거나 전송과 관련된 분쟁을 해결할 수 있도록 해야 한다.

 

* 부인 봉쇄 (부인 방지) 메시지의 송수신이나 교환 후, 또는 통신이나 처리가 실행된 후에 그 사실을 사후에 증명함으로써 사실 부인을 방지하는 보안 기술.

* CIA Triad(삼각형) : 가용성(Acailability), 무결성(Integrity), 기밀성(Confidentiality)