정보보호개론] 1. 정보보호의 정의와 목표

1. 정보보호의 정의와 목표

◦ 정보보호(information security) 
정보의 수집, 가공, 저장, 검색, 송신, 수신 중에 정보의 훼손, 변조, 유출 등을 방지하기 위한 관리적, 기술적 수단 또는 그러한 수단으로 이루어지는 행위(정보화촉진기본법 2조)

◦ 정보  
자연인 또는 법인이 특정목적을 위하여 광 또는 전자적 방식으로 처리하여 부호, 문자, 음성, 음향 및 영상 등으로 표현한 모든 종류의 자료 또는 지식

◦ 정보보호의 필요성
- 전자상거래, 전자정부 등 사이버 공간에서의 활동 증가에 따른 정보의 안전성, 신뢰성 확보
  (프라이버시, 정보범죄)
- 글로벌화에 따른 국내 정보유출
- 정보테러
- 정보화사회의 필수

◦ 정보보호 목표(속성) - 정보보호의 요구사항은 처리대상인 정보의 속성에 따라 구분
   (정보보호 3대 기본 목표 : 비밀성,무결성,가용성)

  ① 비밀성(기밀성)(confidentiality)
   - 인가된 사람, 기관에만 공개되고, 허가된 시간이나 허가된 방법에 의해서만 처리
    · 정보의 노출없이 전달
    · 암호화하여 수동적 공격에서 보호
    · 비밀성 보장 -> 공개키, 비밀키 암호시스템과 접근통제 메커니즘 사용
    · 접근통제 - 물리적 수준, 운영체제 수준, 네트워크 수준에서의 접근통제

  ② 무결성(integrity) 
     - 비인가된 자에 의한 정보의 변경, 삭제 등으로부터 보호하여 정보의 정확성, 완전성이 보장되어야
    · 외부 침입자를 막고, 필요한 업무의 성질에 따라 내부 사용자의 권리를 제한함으로 부주의하거나 의도적 
            위험으로부터 시스템 보호
       · 무결성 통제 -> 물리적 통제와 접근통제, 해쉬함수 사용(복구메커니즘도 필요)

  ③ 가용성(availability) 
    - 정식인가된 사용자에게 적절한 방법으로 정보 서비스를 요구시 언제든지 해당 서비스를 제공가능함
    · 정보시스템 하드웨어와 소프트웨어는 항시 효율적으로 작동해야
    · 재난 발생시 신속하게 복구 가능해야
    · 가용성 유지 -> 데이터 백업, 중복성 유지, 물리적 위협요소로부터의 보호 매커니즘 적용

  ④ 인증(신뢰성)(authentication) 
    - 송수신자의 신원 확인
    · what you know(password, pass phrase, pin)
      - 원거리 가능, BUT 망각, 추측가능, 남에게 유출 가능

    · what you have(열쇠, 카드, 신분증)
      - 아주 긴 암호키도 저장 가능 BUT 분실, 도난, 복제

    · what you are(지문, 망막, DNA, 목소리, 서명)
      - 분실 및 대여의 위험 없음 BUT 오류발생가능, 높은 가격

  ⑤ 부인방지(non-repudiation)
    - 전송부인, 수신부인 등 방지
    · 부인방지 -> 통신프로토콜에 디지털서명등의 메커니즘 적용

  ⑥ 접근제어(access control)
    - 호스트 시스템과 응용간의 액세스 제한
    · 비인가자 접근 통제, 자기에게 주어진 권한만 사용
    · 접근제어 -> 액세스를 얻기 위해 각 실체를 식별, 인증