1. 개요
정보보호(Information Security)란, 정보의 수집ㆍ가공ㆍ저장ㆍ검색ㆍ송신ㆍ수신 과정에서 정보가 훼손되거나 변조되고 유출되는 것을 방지하기 위한 관리적ㆍ기술적 수단 또는 그러한 수단으로 이루어지는 행위를 말한다.
인터넷과 정보보호는 아주 밀접한 관계이다. 인터넷은 전 세계에 개방된 컴퓨터 네트워크 시스템으로, 인터넷이 처음 개발되었던 시기에는 보안 관련 기능을 포함하지 않았다. 하지만 인터넷의 인기가 매우 높아지면서 개인정보 탈취 등 인터넷을 이용한 범죄 또한 자주 발생하게 되고, 이를 예방하기 위한 정보보호의 필요성이 더욱 높아지게 되었다.
2. 정보보호 서비스의 종류
ㄱ. 기밀성(Confidentiality)
▶ 허가되지 않은 사용자가 정보를 탈취하더라도 그 내용을 모르도록 한다.
예) 고객의 계좌 정보는 다른 사람이 볼 수 없도록 한다.
ㄴ. 무결성(Integrity)
▶ 정보가 의도하지 않은 방법으로 변조되지 않도록 보장한다.
▶ 혹은 정보의 변조 여부를 쉽게 파악할 수 있어야 한다.
예) 고객이 정당한 방법으로 입ㆍ출금할 때에만 잔액이 변경되어야 한다.
ㄷ. 가용성(Availability)
▶ 허가된 사용자가 필요에 따라 정보에 접근하고 변경할 수 있도록 한다.
예) 고객은 자신이 원할 때 계좌에서 돈을 출금할 수 있어야 한다.
ㄹ. 인증(Authentication)
▶ 정보의 주체가 실제로 본인인지 확인한다.
예) 갑은 통신 상대의 웹서버가 진짜 을의 서버라는 것을 확인하고 싶다.
ㅁ. 부인방지(Non-repudiation)
▶ 데이터를 송수신한 사람이 자신의 행위를 부인하지 못하도록 증명한다.
▶ ‘부인봉쇄’라고도 한다.
예) 을이 웹서버에 접근하지 않았다고 부인했지만, 갑은 을이 접근했음을 증명했다.
★ CIA Triad (정보보호 주요 3원칙)
기밀성(Confidentiality), 무결성(Integrity), 가용성(Availability)
위 3가지를 묶어 ‘CIA Triad’ 또는 ‘정보보호 주요 3원칙’이라고 부른다.
3. 사회공학
보안에서 사회공학(Social Engineering)은 기술적인 방법이 아닌, 사람의 취약점을 노려 비밀 정보를 획득하는 기법을 말한다. 사회공학적 해킹 사례는 다음과 같다.
① 접근 권한이 있는 담당자와 신뢰를 쌓고 경계심을 없앤 후 정보 획득
② 정보의 가치를 몰라서 보안을 소홀히 하는 무능함을 이용
③ 이메일이나 메신저, SNS를 이용한 악성코드 유포
4. 정보보호의 대상
정보보호의 대상에는 소프트웨어, 하드웨어, 데이터, 네트워크, 절차 등 기술적인 요소뿐만 아니라 인적 요소도 포함된다. 인터넷의 상용화 이후 사회공학적 해킹 사례가 갈수록 증가하고 있다. 따라서 정보보호를 위해서는 정보를 취급하는 관리자와 사용자에 대한 교육 및 훈련을 주기적으로 시행해야 한다. 무엇보다도 개개인이 정보보호의 필요성을 인지하며 인터넷을 사용하고 정보를 취급하는 것이 가장 중요하다.
'Computer Science > 정보보호' 카테고리의 다른 글
| [정보보호] 여러 가지 암호 기술과 역할 (1) | 2022.10.04 |
|---|---|
| [정보보호] 공개 키 암호, 하이브리드 암호 (1) | 2022.10.03 |
| [정보보호] 블록 암호, 블록 암호 모드 (0) | 2022.10.03 |
| [정보보호] 대칭 키 암호 (0) | 2022.10.03 |
| [정보보호] 에니그마 암호 기계 (0) | 2022.10.03 |