정보보호의 3요소 (기밀성, 무결성, 가용성)

 

CIA 정보보호의 3요소에는 기밀성, 무결성, 가용성 등이 있다. 이 포스트에서는 정보보호 3요소의 특징에 대해서 정리해보겠다.

 

 

기밀성(Confidentiality)이란?

기밀성이란 인가된 사용자나 시스템만 접근을 허용하여, 비인가자로부터 중요한 데이터를 보호하고 노출을 예방한다.

 

기밀성을 유지하는 방법에는 접근통제, 암호화, 보안등급 설정 등이 있다. 몇 년 사이 해커 피해가 자주 발생하면서 우리가 사용하는 게임이나 어플은 암호 외에도 OTP, 생체인식 등의 암호방식을 지원한다. 이렇게 보안 등급을 올리는 것도 기밀성과 관련이 있다.

 

또한 송,수신되는 데이터를 암호화해서 전달하면 만약 해커에 의해 데이터가 노출되더라도 해당 데이터를 읽을 수 없으므로 암호화 역시 기밀성 유지에 중요한 기술이다.

 

기밀성을 위협하는 요소 중에는 가로채기(Interception) 방식이 있다. 비인가된 사용자가 전송 중인 정보를 몰래 열람하거나 도청하는 행위를 말한다. 이는 허가되지 않은 자에게 정보가 노출되었으므로 기밀성을 위협했다고 볼 수 있다.

 

 

무결성(Integrity)이란?

무결성이란 정보의 내용이 불법적으로 위·변조되지 않도록 하여 정보의 정확성과 일치성을 유지한다.

 

무결성을 유지하는 방법에는 전자서명이 있다. 해커들은 중간자(Man in the Middle) 공격을 통해 전송 중이던 데이터에 개입해서 정보의 내용을 변경할 수 있다. 이를 방지하기 위해 데이터 원본에 전자서명을 넣어서 데이터 변조 시 알아차릴 수 있게 한다.

 

무결성을 위협하는 요소에는 변조(Modification)와 위조(Fabrication)가 있다. 변조는 원래 전달하려는 데이터를 다른 내용으로 바꾸는 행위를 말하며, 위조는 마치 다른 송신자로부터 데이터가 전송된 것처럼 속이거나, 허위 자료를 만들어서 정확한 정보인 것처럼 속이는 행위를 말한다. 이들은 시스템에 불법적으로 접근하여 데이터를 조작하였으므로 무결성을 위협했다고 볼 수 있다.

 

 

가용성(Availability)이란?

가용성이란 허가된 사용자라면 언제든 시스템 자원에 접근할 수 있도록 한다.

 

가용성을 유지하는 방법에는 이중화가 있다. 정보는 언제든 사용이 가능해야 한다. 하지만 재해나 특정 공격으로 인해 정보를 볼 수 없다면 의미가 없다. 최근 자주 들리는 DDoS 공격이나 카카오 데이터센터 화재가 가용성의 대표적인 예시다. DDoS 공격을 받거나 데이터센터(서버실)에 재해가 발생하면 서비스가 마비되면서 사용을 못 하게 되는데, 이를 방지하기 위한 대책이 바로 이중화(가용성)이다. 즉, 서버가 죽더라도 사용자가 정보를 사용할 수 있도록 준비하는 기법이다.

 

가용성을 위협하는 요소에는 차단(Interruption)이 있다. 차단은 정보의 흐름을 차단하여 송·수신이 원활하지 못하도록 막는 행위를 말한다.