📝 정보보안의 기본 3원칙
CIA란, 정보보안의 기본 3원칙을 말하며
각각 기밀성(Confidentiality), 무결성(Integrity), 가용성(Availability)를 뜻한다.
이 3요소는 기업 운영에 있어서도 매우 중요하며, 하나의 아이디어를 세 가지의
초점으로 구분해 보안이 우려되는 상황을 고려하기 때문에
다양한 방법을 파악하는데 도움을 준다.
이상적으로 이 세 가지 기준을 모두 충족할 경우 조직의 보안이 더욱 강화되고
위협적인 사고를 처리하는 데 있어 더 잘 대처할 수 있다.
📌Confidentiality
첫 번째 요소인 기밀성(Confidentiality)은 어떤 조직에 대한 데이터를
필요한 사람들에게는 제공해주며, 악의적인 사용자는 접근할 수 없도록
비밀을 유지하고 비공개로 설정해두는, 즉 하나의 액세스 제어를 뜻한다.
특정 정보에 대해 조직의 관리자는 액세스할 수 있어야 하고, 그 외의 다른 직원은
액세스 권한을 부여하지 않아야 한다. 이러한 정책이 준수되기 위해서는
누가 무엇을 볼 수 있는지 제한하는 엄격한 규칙이 정해져 있어야 한다.
제한된 데이터를 분류하고 레이블을 지정하여 액세스 정책을 활성화하는 것이
중요하며, 데이터를 암호화하여 중간자 공격(MITM)과 같은 기술에 대비해야 한다.
추가로 다중 요소 인증(MFA) 시스템 또한 추가로 사용할 수 있다.
공격자가 의도를 가지고 공격하지 않아도 직원의 실수나 불충분한 보안 제어에 의해
기밀성이 위반될 수 있기에 모든 구성원이 위험을 인식하고 이를 지키는 데
필요한 교육과 지식을 갖추는 것이 좋다.
📌Integrity
우리가 어떠한 정보를 주고받을 때, 그 정보가 실제 보내는 사람으로 부터 온
위조되거나 변조되지 않은 정보임을 보장하는 것은 매우 중요하다.
이러한 특징을 무결성(Integrity)라 한다.
무결성은 해싱(Hashing) 기술을 통해 보장할 수 있는데, 데이터를 보낼 때,
원문과 원문을 해시함수로 변환하여 나온 해시값을 같이 보낸다.
데이터를 받으면 해시값을 통해 원문과 비교하여 이 값이 변조되지 않음을
확인할 수 있다.
송신자를 보장하기 위해선 비대칭 암호화의 전자서명 기술을 사용하여
보낸 사람이 실제 그 사람이 맞음을 확인할 수 있다. 여기에 인증서 인증 기술을
추가하여 다른 기기간 정보를 주고받을 때 그 장치나 사람이 유효함을 확인할 수 있다.
추가로 부인 방지(Non-repudiation)기술이란 메시지의 송수신이나
교환, 통신, 처리등이 이루어진 사실을 증명하여 사실 부인을 방지하는 것을 말하며,
이는 송수신자가 주고받은 정보의 무결성을 보장하여 부인을 막는 기술 중 하나이다.
📌Availability
정보가 안전하게 지켜지고 있더라도 필요할 때 받아서 사용할 수 없으면 의미가 없다.
가용성(Availability)은 사람들이 원하는 정보에 빠르고 정확한
액세스를 할 수 있도록 보장하는 것을 말한다.
시스템의 중복성(Redundancy)을 이용한 결함 감내 시스템(Fault tolerance)은
이러한 가용성을 보장하기 위해, 일부 부품에서 결함 또는 고장이 발생하여도
정상적으로 기능을 수행할 수 있도록 한다.
주기적으로 시스템을 업데이트 및 패치하여 시스템 전체에 안정성을 부여하고
재난 상황이나 대규모 공격에 대비하여 필요한 정보에 끊김없이 액세스를 제공하기
위해 노력해야한다.
References
The CIA Triad - Professor Messer
CIA Triad - Fortinet Article
