공부중

  정보보호(Information Security)의 목표는 기밀성, 무결성, 가용성을 보장하는 것이다. 기밀성(Confidentiality)이란, 인가된 사람, 시스템, 프로세스만 시스템에 접근 가능하게 하는 것을 의미한다. 기밀성은, 접근제어와 암호화 같은 방법으로 보장할 수 있다. 무결성(Integrity)이란, 정보의 내용이 의도치 않게 변하지 않도록 변조 없게 하는 것을 의미한다. 네트워크를 통해서 전달되는 정보들이 불법적으로 변조될 수 있는데, 이를 방지하여 무결성을 보장해야 한다. 해킹이나 악의적인 행위에 의해서만 무결성이 침해되는 것은 아니다. 갑자기 서버의 파워가 나가는 경우에도 무결성은 침해될 수 있다. 무결성은, 접근제어, 메시지 인증, 침입 탐지, 백업 등의 방법으로 보장할 수 있다. 가용성이(Availability)란, 합법적인 사용자가 서비스를 사용 가능하도록 하는 것을 의미한다. 가용성을 위해서 백업 기술이나 중복 운영 기술이 사용된다. 기밀성(Confidentiality), 무결성(Integrity), 가용성(Availability)의 영어 앞 글자를 따서 CIA라고 부르기도 한다.

 
  정보보호 관리(Information Security Management)란, 조직의 정보를 위험으로부터 보호하기 위한 활동을 의미한다. 정보보호 관리에는 기술적, 물리적, 관리적 측면의 보호대책들이 있다. 기술적 보호대책은 가장 기본적인 보호대책으로써, 접근통제, 암호기술, 보안성이 높은 소프트웨어들을 사용하는 활동 등을 예로 들 수 있다. 물리적 보호대책은, 태풍, 화재, 지진 같은 물리적인 자연재해로부터 정보들(정보들이 위치한 정보처리 시설)을 보호하는 대책으로써, 정보처리 시설의 출입 통제, 잠금장치 등을 예로 들 수 있다. 관리적 보호대책은 제도를 만들고 보안 계획을 세워 운영함으로써 위험으로부터 정보를 보호하는 대책이다.

 
  위험, 위협, 취약점 모두 비슷해 보이지만 의미가 다르다. 위험(Risk)이란, 비정상적이고 기대하지 않았던 상황이 발생했을 때 생기는 손실의 기대치를 의미한다. 위협(Threat)이란, 손실의 원인을 제공하는 것들을 의미한다. 즉, 위험은 위협 요소가 일으킬 수 있는 피해를 말하는 것이다. 취약점(Vulnerability)이란, 위협의 이용 대상으로써, 관리적, 물리적, 기술적 약점들을 의미하는 것으로 실제로 공격 구현이 가능하다. 정리하면, 위협이 취약점을 이용하여 위험을 만드는 것이라고 볼 수 있다. Jack Jahran에 따르면 위협은 보통 제어가 되지 않고 통제권 밖에 있는 편이라고 한다. 반면에 위험은 줄일 수 있으며 취약점은 조치가 가능하다고 한다. 참고로 잔여 위험(Residual Risk)이란, 정보보호 관리 대책들을 모두 구현한 뒤에도 남아있는 위험을 의미한다.
 
  보안 공격(Security Attack)은 보안의 목표 CIA(Confidentiality, Integrity, Availability)를 위협한다. 보안 공격의 종류는 크게 두 가지로 나눌 수 있다. 적극적 공격(Active Attack)과 소극적 공격(Passive Attack)이다. 적극적 공격은, 무결성과 가용성을 공격하는 것을 말한다. 데이터를 변경하거나 재전송해서 무결성을 깨뜨릴 수 있다. 신분을 위장하거나 메시지의 송, 수신을 부인하는 것도 무결성을 깨뜨린다. 그리고 가용성은, DDos 공격 등을 통해서 위협될 수 있다. 소극적 공격은, 기밀성을 공격하는 것을 말한다. 기밀성을 공격하기 때문에 데이터의 변경은 없지만, 정보를 원하지 않는 대상에게 노출시키게 된다. 주로 스누핑(snooping, 데이터에 대한 비인가된 접근 혹은 탈취), 도청이나 트래픽 분석을 통해서 소극적 공격이 이루어진다. 소극적 공격은 적극적 공격에 비해서 탐지가 어렵다는 특징이 있다. 데이터가 변경되거나, 서비스의 사용이 어려워지게끔 하는 것이 아니기 때문이다. 소극적 공격은 정보를 획득하는 목표만 가지고 있다.
 
  통제(Control)란, 취약점을 감소시키기 위해서 사용되는 메커니즘을 의미한다. 통제에는 예방통제, 탐지 통제, 교정통제가 있다. 예방통제(Preventive Control)란, 위협과 취약점을 사전에 대처하는 통제를 말한다. 탐지 통제(Detective Control)란, 위협을 탐지하는 통제를 말한다. 교정통제(Corrective Control)란, 이미 탐지된 위협이나 취약점을 대처하거나 감소시키는 통제이다.