[보안] 보안의 3대 요소 - CIA

보안의 3대 요소

보안은 기밀성(Confidentiality), 무결성(Integrity), 가용성(Availability)이라는 세 가지 속성을 알아보자.

기밀성(Confidentiality)

  • 인가(authorization) 된 사용자만 정보에 접근할 수 있다는 의미
  • 허가되지 않은 비인가자는 정보에 대한 접근이 기밀성에 의해 막혀있어야 한다.
  • 기밀성은 자물쇠로 비유되며, 그에 맞는 열쇠(키)가 있어야 정보에 접근할 수 있다.
  • 암호, 방화벽, 패스워드 등이 기밀성의 예이다.

무결성(Integrity)

  • 데이터의 정확성을 보장하는 문제를 의미한다.
  • 정확성을 보장한다는 것 = 정보의 원래 내용을 유지한다는 것
  • 데이터를 보호하고, 정상인 데이터를 유지해야 한다.
  • 기밀성이 유지되고 있더라고 원래의 내용이 변형된 상황이라면, 정보로서의 가치가 없다.
  • 정보 전달 중 조작, 데이터 누락, 인위적인 수정 등이 무결성을 위협한다.

가용성(Availability)

  • 정보를 필요로 할 때에 적절히 사용할 수 있는 상태라는 의미이다.
  • 정보는 정보 그 자체로 안전해야 하는 것도 중요하지만, 필요할 때 적절하게 사용할 수 있는 가용성이 보장되어야만 정보로서의 가치가 있다.
  • DDos 공격(서버에 한 번에 집중적으로 접속해서 서비스의 지연이나 중지를 노리는 공격)등이 가용성에 위협이 될 수 있다.

예시, 보안 방법

1

위와 같이 A와 B가 정보를 교환한다고 하자.
이때 C가 A와 B 사이에 교환하는 정보를 중간에서 갈취한다.

기밀성

우선, C가 정보를 갈취했을 때 그 정보를 C가 열어볼 수 있다면 기밀성이 지켜지지 않은 것이다.
이를 방지하기 위해 A와 B가 서로 한 키를 공유하거나 B의 공유키를 바탕으로 A가 암호를 만드는 등의 방식으로 기밀성을 지킬 수 있다.

무결성

그리고, C가 그 정보를 임의로 수정할 수 있거나, 아니면 원래의 정보를 갈취하고 다른 정보를 만들어 C에게 보낸다면 무결성이 지켜지지 않은 것이다.
이를 방지하기 위해 B의 공유키로 잠겨진 암호를 A의 비밀키로 다시 잠가서 해당 자료가 A에게서 온 것임을 확실하게 하는 방법 등이 있다.

가용성

마지막으로 해당 정보와 다른 정보를 C가 B에게 보낸다면, B는 원하는 정보를 적절한 시기에 사용할 수 없기 때문에 이는 가용성이 지켜지지 않은 것이 된다.