정보 보호 3원칙(CIA Triad)란, 조직 내 정보 보안 정책을 설명하기 위해 설계된 모델로서 CIA는
- Confidentiality(기밀성)
- Integrity(무결성)
- Availability(가용성)
세 단어의 앞 글자를 따서 만들어진 단어이다.
1. 기밀성 (Confidentiality)
오직 인가(승인받은) 된 사용자만 해당 정보에 접근할 수 있는 성질을 뜻한다. 가장 일반적인 보안의 개념으로 정보에 대한 접근 권한, 열쇠를 나눠 가진다는 점에서 자물쇠와 유사하다.
1-1. 범위
① Role 기반 (Access Control)
가장 흔한 의미로서 권한(Role)을 부여받아 특정 기능/리소스의 접근을 허용하는 것이다.
ex) 게시판 쓰기 = ROLE_USER, 관리자 페이지 접근 = ROLE_ADMIN, OAuth2.0의 엑세스 토큰의 scope 클레임
② 세션(Session) 기반
세션 키(Session ID)를 보유한 사용자가 서버에 접근시, 서버에 저장된 세션이 유효하다면 "인가"된 상태로 간주하는 것이다. 보통 세션 쿠키로, 권한이 필요한 요청시에 자동으로 전달된다.
③ 암호키(Key) 기반
키 소유 여부 자체가 "인가"의 근거가 된다.
2. 무결성 (Integrity)
기밀성 장치의 접근 권한이 적절한 것인지 완전성과 정확성을 보장하는 성질이다. 데이터의 위변조를 검증하고, 자격 보유 주체만이 변경할 수 있도록 하는 원칙이다.
3. 가용성 (Availability)
복잡한 보안절차가 있음에도 인가된 사용자는 언제든 적절한 때에 정보에 접근할 수 있는 성질을 의미한다. 가용성의 반대 개념은 DoS(Denial of Service)라고 하는데, 시스템 사용자가 자신이 필요로 하는 자원을 사용할 수 없는 상태를 의미한다.
3-1. DoS (Denial of Service)
"정상 이용자가 서비스를 사용하지 못하게 만든다"를 목적으로, 가용성의 반대 개념처럼 살명된다. 대량의 트래픽으로 서버의 자원을 고갈(DDos)시키거나, DB 락/Deadlock을 통해 응답 불가능 상태를 만든다.
