정보보안이란?

정보보안이란?

정보의 수집, 가공, 저장, 검색, 송신, 수신 도중에 정보의 훼손, 변조, 유출 등을 방지하기 위한 관리적, 기술적 방법을 의미합니다.

 

 

정보보안의 주요 목표 - CIA

C : Confidentiality 기밀성

허락되지 않은 사용자 또는 객체가 정보의 내용을 알 수 없도록 하는 것을 의미합니다. 원치 않는 정보의 공개를 막는다는 의미에서 프라이버시 보호와 밀접한 관계가 있습니다.

▶기밀성 침해 예시) 학생 A의 거주 주소를 노출

I : Integrity 무결성

허락되지 않은 사용자 또는 객체가 정보를 함부로 수정할 수 없도록 하는 것을 의미합니다. 즉, 수신자가 정보를 수신하거나 보관되어있는 정보를 꺼내 보았을 때, 그 정보가 중간에 수정 또는 첨삭되지 않았음을 확인할 수 있도록 하는 것입니다.
 
▶무결성 침해 예시 ) 학생 A의 학점을 임의로 수정

A : Acountability 가용성

허락된 사용자 또는 객체가 정보에 접근하려고 할 때, 이것이 방해받지 않도록 하는 것을 의미합니다. 최근에 네트워크의 고도화로 대중에게 많이 알려진 서비스 거부 공격(DDoS : Distributed Denial of Service Attack)이 이러한 가용성을 해치는 공격 중 하나입니다.

▶가용성 침해 예시 ) 관리자 계정으로 서비스 셧다운(shutdown)

 

(추가)

• 책임성(accountability) : 추후 분석을 위해 시스템이 동작 기록을 추적 관리(보안 침해의 추적, 문제 발생 시 원인 파악)
• 인증성(authenticity) : 시스템의 각 개체들이 진짜임을 확인 가능(ex. 접속한 사용자가 A라는 사용자인지 검증)

 

정보보안에서의 GRC

GRC는 Governance, Risk, Compliance의 약자로 조직의 전반적인 통제 구조와 리스크 관리, 규제 준수 활동을 다르는 전략을 의미합니다.

 

• G : 위험 및 규제 관리를 위한 의사결정 및 통제구조로 조직이 따라야 할 전략적 방향
• R : 주요 위험을 식별하고, 평가는 프로세스로 발생하게 될 위험과 잠재적인 영향 분석
• C : 규제에 대응하여 위험을 최소화하기 위한 규정 및 절차를 의미

 

정보보안은 자산의 CIA(기밀성, 무결성, 가용성)을 보호/보장하기 위한 보안 대책을 구축하는 활동으로, 적합한 보안 대책을 마련하기 위한 위험 관리(Risk Management)가 필수적입니다.

 

위험관리 절차

1. Risk Analysis : 우려사항, 위험도 도출
2. Risk Assessment : 정량적, 정성적 평가
3. Risk Treatment : DoA(Degree of Assurance, 수용가능위험) 결정 -> 위험 수용, 감소, 회피, 전가 중 비용대비 효과적인 보호대책을 선택
4. Plan : 보호대책 구현 및 적용, 잔존 위험관리 : 위험의 변화대응 -> GAP 분석