보안의 개념과 CIA

보안은 영어로 security 죠. 

가치있는 유무형 자산의 도난,손실,유출로부터 보호하는 것을 말합니다. 

보안은 TAVC 입니다. 

외부의 Threat (위협) 으로부터 Asset (자산)의 Vulnerability (취약점) 을 보호하기 위해 Countermeasure (보호대책) 을 세워 보호하는 것을 말합니다.

즉, S = TAVC 이다. 외워놓으면 기억하기 편합니다. 

그러면, 이 정의에서,  보안을 어떻게 구현할 수 있느냐라는 방법이 바로 나오게 됩니다. 

S = TAVC 이니깐, 

Threat 을 없애든지, 아니면 이를 줄이는 countermeasure 를 수립하는 것입니다. 

그럼 취약점은 어떻게 찾느냐? 

진단을 해봐야죠. 

진단을 해보았을 때, 소프트웨어의 결함이나 오류 등으로 공격을 유발할 가능성이 있는 부분들을 먼저, 약점 (weakness) 라고 하구요, 

이 약점들 중에서 실제로 공격이 가능한 부분들은 취약점 (vulnerability) 라고 합니다. 

그리고, 진짜 공격이 가능한지 아닌지 검증하는 과정을 PoC (Proof of Concept) 라고 합니다. 

보안의 원칙이자 목표는 무엇일까요? 

바로 CIA입니다. 

- Confidentiality 기밀성 

- Integrity: 무결성

- Availability: 가용성

을 말합니다. 

기밀성은, 정보의 내용을 함부로 알 수 없도록 하는 것입니다. 여러분의 카드비밀번호가 누구나 다 알 수 있도록 둥둥 떠다닌다면 큰일나겠죠? 

무결성은, 정보가 함부로 수정이 안되게 하는 것입니다. 나는 100만원을 계좌이체하였는데, 1000만원이 통장에서 빠져나간다면 큰일나겠죠? 

가용성은, 정보에 접근하고 싶을 때, 승인된 사용자들은 그 정보를 이용할 수 있어야한다는 것입니다. 내 계좌 잔고확인하려고 하는데, 잔고를 볼 수 없다면 큰일나겠죠?  

그리고 누가 어떤 작업을 해서 문제가 생겼는지를 추적할 수 있도록 흔적(이를 log 라고 합니다)이 남아야 합니다. 

보안과 관련한 우리나라 법은 뭐가 있을까요? 

     - 공공부문 : 국가정보화기본법, 전자정부법 등

     - 민간부문 : 정보통신망법, 전자서명법 등

     - 금융부문 : 전자금융거래법, 신용정보법 등

대충, 이렇게 있습니다. 

보안의 영역은 3가지로 분류할 수 있습니다. 

관리적 보안, 기술적 보안, 물리적 보안. 

관리적 보안은, 조직의 관리 절차 및 규정, 대책을 세우는 것을 말합니다. 보안정책/절차, 보안조직 구성/운영, 감사, 사고 조사 이런 것들 말이죠. 

기술적 보안은, 정보시스템에 기술을 적용하여 보호하는 것을 말합니다. 네트워크보안, 시스템 보안, 어플리케이션 보안, 데이터베이스 보안 등 말이죠. 

물리적 보안은, 설비/시설에 대한 물리적 위협으로부터 보호하는 것을 말합니다. 서버실 출입관리, 자산반/출입 관리 이런 것들 말이죠. 

보안 서비스 = 보안 필수조건 = 보안 요구사항는 다음과 같습니다. 

     - Authentication  (인증)        :  사용자의 진위 확인

     - Data Integrity  (무결성)      :  위변조를 할 수 없도록 데이터 무결성 유지

     - Data Confidentiality (기밀성) :  정보내용을 알 수 없도록 암호화, 기밀유지

     - Non-Repudiation (부인방지)    :  거래사실의 부인을 방지

보안 3 A라고 하는 것들은 다음과 같습니다. 

     - Accountability (책임추적성)   :  사용자 식별 및 활동 감사 추적 (Auditability)

     - Authentication (인증)         :  사용자의 진위 확인 

     - Authorization (권한부여)      :  어떤 수준의 권한과 서비스를 부여

주요 보안 메커니즘 (보안 방법)은 뭐가 있을가요? 

     - 암호화 (Cryptography)     

     - 접근제어 (Access Control) 

     - 디지털서명 (Digital Signature)

     - 데이터 무결성 (Data Integrity)

     - 인증 교환 (Authentication Exchange) 등

등이 있습니다. 

일단 이런 게 있다고만 알아두시죠. 

우리가 얘기하는 정보보호, 또는 정보보안, 컴퓨터 보안, 시스템 보안 등을 막연하게만 생각하셨다면, 

이 글이 개념을 잡는데에 조금이나마 도움이 되셨길 바라며, 

그럼~ 안뇽~!