brunch

라이킷 1 댓글

You can make anything
by writing

C.S.Lewis

계정을 잊어버리셨나요?

by 정동근 변호사 Jul 25. 2019

정보보안의 3요소

정보보안의 개념

정보보안이란 정보 및 정보 시스템을 허가되지 않은 접근, 사용, 공개, 손상, 변경, 파괴 등으로부터 보호함으로써 무결성, 기밀성, 가용성을 제공하는 것을 뜻합니다.

USC Title 44, Chapter 35, USC Title 44, Chapter 35, §3542 The term “information security” means protecting information and information systems from unauthorized access, use, disclosure, disruption, modification, or destruction in order to provide integrity, confidentiality, and availability.

1. 무결성(Integrity)

정보가 인가된 사람에 의해서 만이 접근 또는 변경 가능하다는 확실성을 뜻합니다. 무결성 대책은 네트워크 단말기와 서버의 물리적 환경 통제, 데이터 접근 억제 등의 엄격한 인가 관행을 유지하는 것입니다.

한편, 데이터 무결성은 열, 먼지, 전기적 서지(surge)와 같은 환경적 해이에 의해 위협받을 수 있는데, 데이터 무결성의 물리적 환경 대책은 네트워크 관리자만의 서버 접근, 케이블 혹은 콘넥터와 같은 전송선의 외부 접촉 방지 대책, 전력선 서지, 정전기 방전, 자력으로부터 하드웨어와 저장 장치들을 보호하는 것을 말하며, 데이터 무결성의 네트워크 관리 대책은 현재의 인가 수준을 모든 사람에게 유지시키고, 시스템 관리 절차, 관리 항목, 유지보수 사항을 문서화하며, 정전과 서버 장애, 바이러스 공격과 같은 불시의 재난에 대한 대비책을 세우는 것을 말합니다.

위와 같은 조치를 통해 정확하고 완전한 데이터 값을 유지하는 것을 목표로 하는 것입니다. 쉽게 말해 무결성은 정보가 정확해야 한다는 것을 뜻하는 데, 정보가 허가 없이는 수정될 수 없도록 해야 하겠죠?

특히 전자거래에서 무결성은 표시된 의사의 내용적 완전성에 관하여 의미가 있습니다. 표의자가 애초에 표시한 것과 동일한 내용으로 상대방에게 그 의사 내용이 도달하는지가 보장되지 않는다면 거래안전이 확보지 않을 뿐만 아니라 많은 법적 분쟁이 발생하기 때문입니다. 전자거래에 있어서 누구라도 손쉽게 타인이 작성한 전자적 형태의 기록에 접근하여 이를 수정할 가능성이 상존하고 있고, 일반 종이문서와는 달리 이의 수정 여부를 객관적으로 확인할 방법이 사실상 존재하고 있어 무결성 보장은 매우 중요한 문제입니다.

의도적인 침입에 의해 데이터가 변경 또는 삭제되거나 컴퓨터 바이러스 등에 의해 데이터가 손상되는 경우에 무결성이 손상되었다고 표현할 수 있습니다. 무결성을 확보하기 위해 일반적으로 해쉬 함수(hash function), 디지털 서명, 암호 알고리즘 등의 방법이 이용되고 있습니다.

2. 기밀성(Confidentiality)

허락 되지 않은 사용자 또는 객체가 정보의 내용을 알 수 없도록 하는 것을 뜻합니다. 비밀 보장이라고 할 수도 있습니다. 원치 않는 정보의 공개를 막는다는 의미에서 프라이버시 보호와 밀접한 관계가 있는 특성이라고 할 수 있습니다.

보통 사람들이 생각하는 정보보호는 기밀성에 한정되어 있는 경우가 많습니다. 일상적인 예로 문자 메시지 내용이 공개되었거나 도청을 당했을 때 기밀성이 확보되지 않았다고 말할 수 있습니다. 쉽게 말해 기밀성이란 허가받지 않은 대상에게는 정보가 제공되어서는 안 된다는 것을 의미합니다.

환자의 의료기록, 변호인과 사건 의뢰인 간에 교환된 의견, 웹사이트 이용자가 제출한 개인정보 등은 그 기밀성의 보장이 법적인 의무로까지 규정되어 있습니다. 특히 신용카드번호와 같이 전자거래에 있어서 대금지급수단으로 작용하는 매우 민감한 정보의 취급은 기밀성 보장이 매우 중요한 문제입니다.