정보보호 정의
"정보의 수집, 가공, 저장, 검색, 송신, 수신 중에 발생하는 정보의 훼손, 변조, 유출 등을 방지하기 위한 관리적, 기술적 수단 또는 그러한 수단으로 이루어지는 행위"
=> 기밀성, 무결성, 가용성, 인증성, 부인방지를 보장하기 위하여 기술적, 물리적, 관리적 보호 대책을 강구하는 것
정보보호의 목표 - NIST의 컴퓨터 보안 정의
정보시스템의 지원(하드웨어, 소프트웨어, 펌웨어, 정보/데이터, 통신)의 무결성, 가용성, 기밀성을 보전하고자 하는 목표 달성을 위해 자동화된 정보 시스템에 제공하는 보호
-> 컴퓨터 보안에 있어서 가장 핵심이 되는 3가지 주요 목표 : 기밀성, 무결성, 가용성
정보보호의 목적/목표
: 기밀성, 무결성, 가용성, 인증성, 부인방지
1. 기밀성 (Confidentiality)
=> 오직 인가된 사람, 프로세스, 시스템 만이 알 필요성에 근거하여 시스템에 접근해야 한다는 원칙
- 데이터 처리의 모든 접속점 -> 필요한 수준의 비밀 엄수가 강제되어야함
- 허가 받지 않은 정보 유출을 예방하는 것을 보장
=> 데이터가 네트워크 내의 시스템과 장비에 보관되어 있을 때 + 데이터가 전송 될 때 + 데이터가 목적지에 도달한 이후 = 기밀성이 유지 되어야 한다.
- 기밀성을 보장하기 위한 보안 기술 : 접근제어, 암호학 등
2. 무결성(Integrity)
=> 네트워크를 통하여 송, 수신되는 정보의 내용이 불법적으로 생성, 변경, 삭제 되지 않도록 보호되어야 하는 성질
- 무결성 왜곡 -> 항상 악의적인 행동의 결과는 아니다. (ex) 전력차단으로 인한 시스템 중단-> 예기치 못한 변형
- 무결성을 보장하기 위한 보안 기술 : 접근제어, 메시지 인증 등
- 정보의 변경/변경 위험 있을 때 -> 변경을 탐지하여 복구할 수 있는 침입탐지, 백업 등의 기술이 필요
3. 가용성(Availability)
=> 시스템이 지체없이 동작하도록 하고, 합법적 사용자가 서비스 사용을 거절 당하지 않도록 하는 것이다.
- 정보는 지속적으로 변화하고, 인가된 자가 접근 할 수 있어야 함을 의미 -> 정보의 비가용성은 조직에 있어 기밀성/무결성 부족만큼 해롭다
- 가용성 확보 = 데이터의 백업, 중복성 유지, 물리적 위협 요소로부터의 보호 등의 보안 기술 적용
4. 인증성(인증, Authenticity, Authentication)
=> 진짜라는 설정을 확인할 수 있고, 확인 및 신뢰할 수 있다는 것 + 전송 메시지, 메시지 출처 유효성에 대한 확신
- 사용자가 정말 그 사용자인지, 시스템에 도착한 자료가 신뢰할 수 있는 출처에서부터 온 것인지를 확인할 수 있는 것을 의미
5. 책임추적성(책임성, Accountability)
=> 보안 목적에는 개체의 행동을 유일하게 추적해서 찾아낼 수 있어야한다는 사항이 포함되어야 한다.
- 부인봉쇄 : 메시지의 송수신이나 교환 후, 또는 통신이나 처리가 실행된 후에 그 사실을 사후에 증명함으로써 사실 부인을 방지하는 보안 기술
- 시스템 -> 활동상황 기록, 이후 포렌식 분석하여 보안 침해 추적, 전송관련 분쟁 해결
정보보호 관리 시스템
: 정보 통신 서비스 제공자가 정보통신망의 안정성 및 신뢰성을 확보하여 정보 자산의 기밀성, 무결성, 가용성을 실현하기 위한 관리적, 기술적 수단과 절차 및 과정을 체계적으로 관리운영하는 체계.
- 2010년부터 행정기관은 정보보호관리 시스템(ISMS)인증을 의무적으로 받아야한다.