보안 이란, 3 요소

여러 복잡한 보안 공격에 대한 방어 수단으로는 어떠한 방법이 있는지 살펴보기 전에 보안이란 어떤 특성을 가지고

있는지 먼저 알고 정의해야하고 꼭 기억해야 한다.

이 개념을 정확히 이해해야 보안과 관련된 대책을 수립할 수 있다.

 

< 보안을 이루는 3가지 요소 >

1. 기밀성 (Confidentiality)

2. 무결성 (Integrity)

3. 가용성 (Availability)

 

 

< 기밀성 >

기밀성은 오직 인가된 사용자에게만 허가하는 것을 말한다. 여기서 말하는 정보라는 것은 개인정보나 지적 재산권 등을 포함한 어떤 가치 있는 정보를 말한다. 만약 기업이라면 기업이 보유한 핵심 기술이 될 수 있을 것이고, 행정 기관이라고 한다면 민원인들에 대한 개인 정보 등이 기밀성의 대상이 되는 정보가 될 수 있다. 기밀성은 이러한 중요 정보가 권한이 없는 일반인들에게 공개되거나 혹은 접근되지 않도록 제한을 가한다는 의미를 포함한다.

 

< 무결성 >

 무결성은 부적절한 정보의 변경이나 파기 없이 정확하고 완전하게 보존된 것을 말한다. 즉 , 원래 저장된 정보에 변경이 발생하여 다른 정보와 일치하지 않는 부분이 있으면 이는 무결성이 깨진 상태가 된다. 무결성을 구선하는 3가지 세부 요소로 [정확성], [완전성], [일관성]이 있다.

이 중 정확성은 틀린 내용이 있으면 안 된다는 것이며 완전성은 내용 중에 빠짐이 있어서는 안 된다는 것이며 일관성은 다른 정보와 일치하는지를 말하는 것이다.

 

<가용성>

마지막 가용성은 시기적절하면서 신뢰할 수 있는 정보로의 접근과 사용을 의미한다. 즉, 갑자기 pc가 느려져서 정상적으로 pc사용이 어렵다든지 혹은 인터넷이 갑자기 느려져서 정상적으로 인터넷 뱅킹을 사용할 수 없는 경우가 이러한 가용성이 위배된 경우가 된다. 참고로 최근의 보안 추세는 기밀성보다는 무결성이, 무결성보다는 가용성이 더 관심을 받고 있다.

 

이러한 기밀성, 무결성, 가용성을 살펴보면 다음과 같다. 먼저, 업데이트 서버가 해킹된 것은 웹 서버의 기밀성이 손상된 경우가 된다. 왜냐하면, 정상적인 관리자가 아닌 외부 해커에 의해 서버가 접근되었기 때문이다. 또한, 정상적인 업데이트 파일이 아니라 악성코드가 포함된 파일로 교체된 것은 무결성의 위배가 발생한 것이다. 왜냐하면, 원래의 업데이트 파일에 다른 정보, 즉 악성코드가 포함되었기 때문이다. 이러한, 악성코드에 의해 데이터베이스 관리자의 pc가 해킹당한 것도 기밀성이  훼손된 상황에 해당한다.

즉, 데이터베이스 접근 ID와 암호가 노출되었기 때문이다. 

마지막으로 데이터베이스에서 부적절한 권한을 가진 해커에게 정보가 유출된 것도 기밀성의 위배에 해당한다. 

다만, 이 보안 사고의 경우에는 개인정보 유출 사고만 해당하기 때문에 가용성의 위배는 발생하지 않았다고 생각할 수 있다.