심기보 숭실대학교 정보과학대학원 교수
▲ 심기보 숭실대학교 정보과학대학원 교수
제5회 정보보안관리
정보보안이란
IT인프라스트럭처의 보호는 기계의 고장이나 소프트웨어 오류와 같은 장애에서만 필요한 것은 아니다. IT서비스의 정상적인 가동을 방해하는 큰 요인은 정보보안상의 위협이다.
정보보안 정의는 '정보의 기밀성, 완전성 및 가용성을 유지하는 것. 또한 진정성, 책임추적성, 부인방지성 및 신뢰성과 같은 특성을 유지하는 것을 포함해도 좋다.'정보는 기업에게 있어 중요한 자산이다. 그래서 정보에 대한 보안을 강화하고 정보자산을 지키기 위한 각종 대책을 행할 필요가 있다. 이러한 것들의 대책을 총칭해 '정보보안'이라 한다.
일반적으로 정보보안이라 하면 컴퓨터 네트워크상에 있는 정보누설의 위험성에 초점이 모아진다. 하지만 기업이 지켜야 할 정보자산은 컴퓨터 내부에 보존돼 있는 전자적 정보만은 아니다.
정보를 인쇄한 종이나 전화에서의 대화 내용 등도 포함된다. 즉 물리적인 보안과 인적인 보안의 양방을 고려할 필요가 있다고 할 수 있다.
정보보안 요소
ISMS(Information Security Management System)에서는 정보보안을 '정보의 기밀성, 완전성 및 가용성을 유지하는 것'으로 정의하고 있다. 여기서 말하는 기밀성, 완전성 및 가용성이란 다음과 같다.
•기밀성(Confidentiality) : 정보가 외부로 새지 않게 하는 것
•완전성(Integrity) : 정보가 부정으로 개찬되거나 파괴되거나 하지 않는 것
•가용성(Availability) : 필요할 때 필요한 정보에 액세스할 수 있는 것
이것들은 3가지 약자를 따 'CIA'로 표현되는 경우도 있다. 또한 ISMS에서는 4가지 항목을 '정보보안의 정의에 포함해도 좋다'고 설명하고 있다.
옵션적인 취급이기는 하지만 모두 중요한 요소이다.
•진정성(Authenticity) : 이용자나 정보, 정보를 보관하고 있는 시스템, 자원원 등이 주장대로인 것을 보증하는것
•책임추궁성(Accountability) : 정보에서 그 정보원에 이르는 행적을 추적할 수 있는 것을 보증하는 것
•부인방지성(Non-Repudiation) : 과거의 조작을 부인할 수 없도록 하는 것
•신뢰성(Reliability) : 동작과 결과에 정합성이 있는 것
정보보안대책 분류
구체적인 정보보안대책의 방법은 다방면에 걸친다. 여기서는 그 보안대책을 몇 가지 방법으로 분류한다. 중요한 것은 이것들의 분류 중 어떤 대책을 강구하는 것이 가장 효과적인지 비용대비효과가 높은지를 음미하고 정보보안 대책에 힘쓰는 것이다.
(1) 기능면에서 분류
정보보안대책을 그 기능면에서 분류하면 다음과 같이 분류할 수 있다.
① 제어기능
리스크를 사전에 제어하는 기능이다. 이 단계에서 리스크를 미연에 억제하는 것이야말로 정보보안대책의 본래의 목적이다.
② 방지기능
리스크가 발생했을 때의 영향을 최소화하기 위한 직접적인 대응기능이다. 리스크는 발생하는 것이라고 인식하고 그 리스크가 현재화한 경우에 대비해 차선책을 취해 두려는 어프로치이다.
③ 감지기능
리스크발생을 사전에 혹은 발생 후 바로 감지하는 기능이다. 보통은 방지기능과 일체로 동작한다.
④ 회복기능
리스크가 발생하고 나서 최대한 신속히 정상적인 상태로 복구하기 위한 기능이다.
<이하 상세 내용은 컴퓨터월드 7월 호 참조>