CIA Triad
정보 보안의 핵심 개념인 CIA Triad는 기밀성, 무결성, 가용성의 약자로 정보 보안에서 필수적으로 고려해야함
이들 요소는 상호 보완적인 관계를 가지며, 하나라도 소홀히 여겨서는 안 됨
다만, 어느 요소가 더 중요한지에 대해서는 상황에 따라 달라질 수 있음
📌 기밀성이 중요한 조직에서는 기밀성을 최우선으로 고려하고, 그다음으로 무결성, 가용성을 중요시한다.
반면, OT 환경(운영기술 환경)에서는 가용성이 최우선이며, 그다음으로 무결성과 기밀성을 고려하는 순서가 바뀔 수 있다.
1) 기밀성 (Confidentiality)
기밀성은 “허가받지 않은 자가 정보에 접근할 수 없도록 보호하는 것”을 의미
개인의 은행 계좌 정보가 외부에 노출되지 않도록 보호해야 하는데, 이를 실현하기 위한 대표적인 방법은 `암호화`
📌 암호화는 데이터를 다른 형태로 변환하여, 허가받지 않은 자가 이해할 수 없게 만드는 기술
또한, `접근 통제`도 중요한 기밀성 확보 수단
금고에 중요한 문서를 보관하고, 그 금고에 접근할 수 있는 자격을 제한하는 방식처럼, 정보 시스템에서도 사용자별로 접근 권한을 제한함으로써 기밀성을 유지할 수 있음
예시: 기업에서는 직급별, 부서별로 권한을 세분화하여 개발자가 회계 데이터를 함부로 열람하지 못하거나, 법무팀이 보관하는 계약서를 타 부서에서 볼 수 없도록 관리!
2) 무결성 (Integrity)
무결성은 “정보가 허가받지 않은 방식으로 변경되거나 삭제되지 않도록 보호하는 것”을 의미
은행의 거래 내역이 임의로 조작되지 않도록 보호하는 것이 무결성의 대표적인 사례로,
무결성을 유지하기 위해서는 `변경 금지 정책`이나, 필요한 경우 `변경 시 승인`을 받는 절차가 必
또한, 변경 작업이 발생하면 그에 대한 로그 기록을 남겨, 문제가 발생했을 때 추적할 수 있어야 함
이러한 로그는 사후 분석에 중요한 역할을 하며, 문제 해결의 단서를 제공
3) 가용성 (Availability)
가용성은 “허가받은 사용자가 적시에 원하는 정보를 접근할 수 있도록 하는 것”을 의미
이는 정보 시스템이 언제든지 사용 가능하도록 유지하는 것을 목표로 하며, 백업과 재난 복구 시스템을 통해 실현
데이터 손실에 대비해 정기적으로 데이터를 백업하거나, 2차 데이터센터를 구축해 시스템 장애 시 신속하게 복구할 수 있도록 하며, 정기적인 복구 테스트를 통해 예상치 못한 상황에 대비하는 것이 중요
❓ 인증과 인가
인증 (Authentication)
사용자의 신원을 입증하는 과정을 인증이라고 함
예시: 사용자가 사이트에 로그인할 때 누구인지 확인하는 과정
인가 (Authorization)
인가는 사이트의 특정 부분에 접근할 수 있는지 권한을 확인하는 작업
예시: 관리자는 관리자 페이지에 들어갈 수 있으나, 일반 사용자는 관리자 페이지에 접근 불가
해시 (Hash)
해시는 임의 길이의 데이터를 고정된 길이의 데이터(해시 값, 해시 코드, 요약 등)로 변환하는 단방향 함수
원본 데이터를 추정할 수 없도록 설계되며, 같은 입력에 대해서는 항상 같은 출력을 보장
| 용어 | 설명 |
| 해시 | 다양한 길이 데이터를 고정 길이 데이터로 매핑한 값 |
| 해싱 | 임의의 데이터를 해시로 바꾸는 일 |
| 해시 함수 | 임의의 데이터를 해시로 바꾸는 함수 |