정보보안 개요

정보보호 정의

• 기업이 가진 자산에는 '사람(인재)', '물건(설비, 시설)', '금전(자금)', '정보'가 있다.
• 정보 자신은 구체적으로 고객 정보, 영업 정보, 지적 재산 관련 정보, 인사 정보, 재무 정보 등이 포함되어 있다.
• 정보 자산은 컴퓨터로 관리하는 전자적인 정보 뿐 아니라 종이에 쓰인 정보도 포함된다.
• 기업의 정보 자산을 지키는 것이 정보 보호다.

 

 

 

 

정보보호 3대 요소

 

기밀성

• 정보 자산에 접근할 수 있도록 인가된 사람이나 프로그램만이 권한의 범위 내에서 정보에 접근할 수 있도록 하는 것을 '기밀성(Confidentiality'이라고 한다. .비공개 누구나 열람할 수 있다면 그것은 기밀성이 손상된 상태다. 기밀성을 보장하기 위해 인증을 통한 접근 권한 설정 등의 방법을 사용한다.

 

무결성

• 정보 자산이 손상되지 않았는지, 일관성, 완전성을 유지하고 있는지를 '무결성(Integrity)'이라고 한다. 전송된 데이터가 중간에 손실되거나 파손된다면 무결성을 잃은 것이다. 무결성을 보장하기 위해 암호화를 도입하거나 디지털 서명을 이용한다.

가용성

• 사용자가 언제든지 정보 자산에 접근할 수 있는 것을 '가용성(Availability)'이라고 한다. 웹 사이트가 과부화로 인해 오류가 발생해 사용할 수 없는 상태가 되거나 서버 구축이 잘못돼 처리가 오래 걸리는 문제가 생긴다면 가용성이 손상된 상태다. 가용성을 보장하기 위해 다중화 등을 통한 시스템 자원(CPU : 처리 능력, 메모리 대역폭)을 확보해야 한다.

 

보안과 위험

• 예측 가능한 위험을 줄임으로써 보안 수준을 높일 수 있다.
• 위험을 완벽하게 없애는 것은 불가능하다.
• 보안에서 중요한 것은 손실의 우려가 있는 정보와 정보 자산을 위협하는 '위험', 위협에 의해 보안 문제가 발생하는 '취약점(Security Hall)'이 겹칠 때 위험이 표면화 된다.
• 위험을 줄이기 위해 위협의 존재를 파악하고 취약점을 발생하지 않게 하며, 취약점이 발생했을 때 점차 제거하는 것이 중요하다.
• 위협을 줄일 수 없지만 어떤 위협이 있는지 알아내 취약점을 하나씩 제거해 나가면 정보 보호의 수준은 높아진다.