정보보안을 유지하기 위한 Security Services를 알아보도록 합시다
1. 기밀성(Confidentiality)
기밀성은 정보가 인가된 사용자에게만 제공되는 것을 의미합니다.
예를들면 학교홈페이지를 쓰려면 그 학교에 다니고 있는 학생들 혹은 교직원들이 사용할 수 있겠죠.
이러한 정보들은 무단 접근이나 유출로부터 보호되어야하며 암호화, 접근통제 등의 기술적 보호조치가 필요합니다.
2. 무결성(Integrity)
무결성은 정보가 정확하고 완전하게 유지되는 것을 의미합니다.
A와 B라는 사람이 있는데 A가 B에게 동전 3개를 준다고 가정했을 때 이 동전이 3개 정확히 B에게 전달이 되어야한다는 것입니다. 전달하려고 봤는데 동전이 한개가 없어졌다던가 그런 사건들이 발생한다면 무결성이 지켜지지 않았다는 것이죠.
정보가 변경되거나 손상되는 것으로부터 보호되어야 하며, 이를 위해서는 데이터 검증, 백업 및 회복 등의 보호조치가 필요합니다.
3. 인증(Authentication)
인증은 정보가 신뢰할 수 있는 출처에서 유래되었음을 보장하는 것을 의미합니다.
학교사이트 등 로그인을 할 때 그 사람이 데이터에 저장된 본인이 맞는지 인증을 해야하는 것입니다. 다른 사람이 아이디와 비밀번호를 알고 그 사이트에 접속을 해서 어떤 행동을 할지는 아무도 모르는 것이죠
정보의 출처 및 변조 여부 등을 확인할 수 있어야 하며, 이를 위해서는 전자 서명, 디지털 인증서 등의 보호조치가 필요합니다.
4. 접근통제(Access Control)
접근통제는 인가된 사용자만이 정보에 접근할 수 있도록 보호하는 것을 의미합니다.
학교 시스템에 로그인을 하는데 교수는 교수용 권한을 가지고 있을 것이고 학생은 학생용 권한을 가지고 있을 것입니다. 학생이 교수용 권한을 가지고 성적을 주거나 하는 일은 있으면 안되겠죠
사용자 인증 및 권한 부여, 감사 추적 등의 보호조치가 필요합니다.
5. 부인봉쇄(Non-repudiation)
부인방지는 특정 행위의 진실성이나 존재 여부를 증명할 수 있는 것을 의미합니다.
A와 B라는 사람이 있을 때 A가 B에게 빵을 샀습니다. 이 때 A는 B에게 1000원을 결제 했지만 제 3자인 은행에게 나는 빵을 산적이 없다라고 하면서 B에게 돈을 주지 말라고 할 때 필요한 것이 증명입니다.
이러한 이유 때문에 전자 서명과 같은 메커니즘이 필요합니다. 결제 할 때 서명을 하는 이유가 이러한 부인 봉쇄를 만족 시키기 위함입니다.
6. 가용성(Availability)
가용성은 정보가 필요한 사용자에게 적절할 시간에 제공되는 것을 의미합니다.
저희가 현재 한국에 거주하지만 24시간 언제든 저기 지구 반대편에 있는 인터넷에 접속을 해서 필요한 정보를 꺼낼 수 있고 사용할 수 있게 하는 것이 바로 가용성입니다.
서비스 거부 공격 또는 시스템 장애로부터 보호되어야 하며, 이를 위해서는 백업 및 회복, 재해 복구 계획 등의 보호 조치가 필요합니다.
위의 총 6가지 요구사항을 충족시켜야 안전하게 정보보안이 유지되고 있다라고 설명할 수 있습니다.
Icon made by Freepik from www.flaticon.com
