1. What is Information Security?
정보 보안의 정의는 다음과 같습니다.
허가되지 않은 접근, 사용, 손상, 변경 등으로부터 정보 및 정보 시스템을 보호함으로써 무결성, 기밀성, 가용성을 제공하는 것.
정보 보안의 정의에서 눈여겨 살펴볼 것이 무결성, 기밀성, 가용성인데요.
이는 정보 보안의 3요소로
정보 보안을 통해 이루고자 하는 목표라고도 할 수 있습니다.
2. Information Security 3 Principles
기밀성 confidentiality
접근이 인가된 사람만 정보에 접근할 수 있도록 보장하는 것을 말합니다.
아무나 정보를 열람해서는 안됩니다. 환자의 의료기록, 변호인과 의뢰인간 주고 받은 의견 등은 기밀성이 지켜도록 법률적으로 제정되어 있습니다.
무결성 integrity
정보와 정보처리 방식의 정확성과 완전성을 보장하는 것으로써, 데이터나 소프트웨어가 마지막으로 인가된 상태 그대로 유지되어 있는 것을 말합니다.
가용성 availability
인가된 사용자가 필요할 때에는 정보에 접근 할 수 있는 것이 보장되는 것을 말합니다. 어떤 사이트에 접속자 수가 몰려 접근하기 어려울 때 가용성이 훼손되었다고 표현합니다.
3. Threats, Vulnerabilities, Attacks
정보보안의 위험요소도 3가지가 존재합니다.
Threats
위협이란 자산에 해를 끼칠 수 있는 잠재적인 발생을 뜻합니다.
Vulnerabilities
취약점이란 위협을 가능하게 만드는 약점입니다. 설계를 잘못했거나 적절하지 않은 코딩기술에 기인합니다.
Attacks
취약점을 이용하거나 위협을 일으키게 하는 것을 공격이라고 합니다. 악의적인 입력을 앱에 보내거나 하는 행위들이 이에 속합니다.
이렇게 정보보안에 위협을 일으키는 주체로는 해커, 산업 스파이 등의 외부인과
내부 직원 등의 내부인으로 나눌 수 있는데 실제로 정보시스템에 주된 위협을 주는 경우는 내부인에 의한 것이 많습니다.
4. Security Control
Access Control
접근 통제란 인가된 사람만 접근을 허용하고 인가하지 않은 사람에게는 접근을 허용하지 않는 것을 말합니다.
정보 시스템에 신체적인 접근을 통제하는 물리적 접근 통제 방식과
정보 시스템에 접속을 통제하는 접근 통제 방식 둘로 나뉘는데
인터넷 네트워크가 발달하기 전에는 물리적 통제 방식이 매우 효과적이었으나 현재는 접속을 통제하는 접근 통제가 중요한 이슈가 되고 있습니다.
Encryption
또 하나의 중요한 통제 방안은 암호법입니다.
접근 통제 기능이 뚫렸을 경우에도 정보를 보호할 수 있는 기술로서 불법적으로 정보를 습득한 사람이 해독하지 못하도록 하기 위함입니다.
Internal Control
내부 통제로는 접근 통제와 더불어 적절한 교육과 훈련 등이 있습니다.
간만에 찬준 하셨네요 ^^