정보보안 주요 요소 개념 정리

CIA

 

기밀성(Confidentaility)

 

무결성(Integrity)

 

가용성(Availability)

 

위 세 요소를 정보보안의 3대 요소라고 하며, 각 요소 맨 앞 알파벳을 따와 짧게 CIA라고 한다

 

 

기밀성(Confidentaility)

인가된 사용자만 정보자산에 접근할 수 있도록 하는 것

 

기밀성을 해치는 공격

• 스니핑(Sniffing): 네트워크 트래픽을 도청하는 과정 (스니핑을 할 수 있도록 도와주는 도구를 '스니퍼-Sniffer' 라고 함)

 

기밀성 유지를 위한 기술

• 암호화: 데이터를 암호화하여, 해커가 스니핑을 통해 패킷에 접근하더라도 내부 데이터를 들여다볼 수 없도록 하는것

 

 

무결성(Integrity)

송/수신된 정보가 전송 도중에 위/변조 되지 않도록 하는 것

-> 인가된 사용자에 의해, 인가된 방법으로만 변경되어야 함

 

무결성을 해치는 공격

• 스푸핑(Spoofing): 네트워크 트래픽을 가로챈 뒤, 인가된 사용자인척 신분을 속여 시스템에 접근하는 행위

 

무결성 유지를 위한 기술

• 해시함수: 원본데이터를 정해진 길이의 문장으로 축약한 뒤, 진위 여부를 검증하는 기술로. 중간에 변조된다면 진위 여부 단계에서 무결성 침해 확인 가능

 

 

가용성(Availability)

인가된 사용자가 필요 시 지체없이 서비스를 이용할 수 있는 것

 

가용성을 해치는 공격

• DDoS: 서비스 중단을 목적으로 표적 서버, 서비스 또는 네트워크에 인터넷 트래픽을 대량으로 보내려고 시도하는 악의적인 사이버 공격

 

가용성 유지를 위한 기술

• 이중화: 같은 서비스를 수행하는 시스템을 이중으로 구축하여 한 시스템이 다운되어도 다른 시스템을 활용해 가용성 보장

 

 

그 외 요소들

 

인증(Authentication)

• 객체의 신분이나 행위에대한 자격을 확인하는 절차
• 패스워드, 공개키, 스마트카드, 생체인식 등이 있음
• 개체인증: 통신을 하고 있는 상대방에 대해 정말 그 당사자가 맞는지 확인하는 것으로 서버 인증과 클라이언트
• 메시지인증: 수신된 데이터가 정말 데이터에 표시된 출발지로부터 온 것인지 확인하는 것

 

책임 추적성(Accountability)

• 보안사고 발생 시 누구에 의해 어떤 방법으로 발생한 것인지 확인할 수 있어야 함
• 관여하지 않은 사람에게 엉뚱한 책임을 물어 불이익을 당하지 않도록 하기 위함
• 주체의 신원을 증명하고 그들의 행동을 추적해서 찾아낼 수 있어야 함 

 

접근 통제(Access Control)

• 시스템에서 자원의 사용 가능 여부를 결정하는 과정
• 화이트리스트: 허용할 프로그램을 목록화한 뒤 나머지는 모두 막는 방법
• 블랙리스트: 차단해야 할 대상을 목록화 한뒤 해당 리스트를 막는 방법

 

부인방지(Non-Repudiation)

• 데이터의 완전 무결성과 출처에 대해 증명하는 것
• 송/수신자가 송/수신 사실에 대한 행동을 부인할 수 없도록 하는 것
• 전자서명이 주로 사용됨