정보 보호의 목표

정보 보호의 목표

정보 보호의 목표는 기본적으로 CIA라 불리는 3가지 요인에 추가적으로 AAA로 불리는 3가지를 더해 총 6가지를 가지고 있다.

 

각 목표를 나열하면 다음과 같다.

• Confidentiality: 기밀성
• Integrity: 무결성
• Availability: 가용성
• Assurance: 보증
• Authenticity: 인증성
• Anonymity: 익명성

 

하나하나 무엇인지 알아보자.

Confidentiality - 기밀성

기밀성은 허가되지 않은 정보 누출을 피하는 것이다.

 

기밀성은 데이터의 보호를 포함하여, 권한이 있는 사람만 접근을 허용하고 권한이 없는 사람에게는 콘텐트의 존재를 알 수 없게 한다.

기밀성을 위한 도구

• 암호화: 암호화 키를 사용하여 정보를 변환하고, 복호화 키를 사용하여 변환된 정보를 원래대로 되돌린다.
• 접근 제어: 기밀 정보를 알 필요가 있는 대상으로만 접근을 제한하는 규칙과 정책이다.
• 인증: 누군가 가진 역할이나 신원을 결정한다.
• 권한 부여: 사람이나 시스템이 접근 제어 정책에 의해 리소스에 접근할 수 있는 것을 결정한다.
• 물리적 보안: 보호된 컴퓨팅 자원에 제한적으로 접근할 수 있도록 물리적 방호 시설을 세우는 것이다.

Integrity - 무결성

무결성은 허가되지 않은 방법으로 데이터가 변하지 않았음을 나타내는 속성이다.

무결성을 위한 도구

• 백업: 주기적으로 데이터를 보관한다.
• 체크섬: 파일의 콘텐츠를 수치 값으로 변환한다. 작은 변화에도 값이 크게 바뀌도록 한다.
• Data correcting codes: 데이터의 사소한 변화도 쉽게 감지하고 자동적으로 수정될 수 있도록 데이터를 보관하는 방법이다.

Availability - 가용성

가용성은 권한을 가진 대상이 빠르게 정보에 접근하고 수정할 수 있는 속성이다.

가용성을 위한 도구

• 물리적 보호: 어떤 물리적 재해에도 정보의 가용성을 유지하는 인프라스트럭쳐이다.
• 계산 중복성: 문제가 발생할 경우 대체 역할을 하는 컴퓨터나 저장 장치이다.

Assurance - 보증

보증은 컴퓨터 시스템에서 신뢰가 제공되고 관리되는 방식을 나타낸다.

신뢰 관리의 요소

• 정책: 사람이나 시스템이 자신과 다른 대상에게 갖는 행동 기대치를 지정
• 권한: 사람이나 시스템과 상호작용하는 에이전트가 허용되는 동작들
• 보호: 정책과 권한을 강제하도록 하는 메커니즘

Authenticity - 인증성

인증성은 사람이나 시스템이 발행한 진술(statements), 정책, 허가가 진실한지 결정하는 능력이다.

주요 도구: 디지털 서명(Digital Signatures)

디지털 서명은 개인이나 시스템이 부인 방지를 달성하는 고유한 방식으로 문서의 인증성을 보장하는 암호화 계산이다.

 

일부 개인이나 시스템이 발행한 진술을 거부할 수 없는 속성을 지닌다.

Anonymity - 익명성

특정한 기록이나 거래(transaction)가 어떤 개인에 속하지 않도록 하는 속성이다.

익명성을 위한 도구

• Aggregation: 공개된 합이나 평균이 어느 개인에게 연결(tie)되지 않도록 결합하는 것이다.
• Mixing: 어떤 개인도 추적할 수 없는 방식으로 거래, 정보, 통신을 결합하는 것이다.
• Proxies: 개인을 추적할 수 없는 방식으로 개인을 위한 작업에 참여할 수 있는 에이전트이다.
• Pseudonyms: 통신이나 거래에 실제 신원 대신 사용할 수 있는 가상 신원이다. 이 가상 신원은 신뢰할 수 있는 엔터티에게만 알려진다.