Triad는 '3개로 구성된' 이라는 뜻이다. 딱히 적절한 해석이 떠오르지 않아 CIA삼각형이라고 번역했다. 아래와 같은 3각형의 특징적인 모양을 가지기 때문이다.
보안은 3가지 원소로 균형을 맞출 수 있다.
1. 기밀성 Confidentiality
2. 무결성 Integrity
3. 가용성 Availability
기밀성은 데이터가 인가되지 않은 사람에게 새어나가지 않는 것이다.
기밀성을 해치기 위한 공격은 스누핑(Snooping)과 트래픽 분석(Traffic Analysis)가 있다.
무결성은 데이터가 변조되지 않는 것이다.
무결성을 해치기 위한 공격은 변경(Modification), 가장(Masquerading), 재연(Replaying), 부인(Repudiation)이 있다.
가용성은 둘을 충족 시키면서 허용된 사람들이 데이터를 이용 할 수 있도록 하는 것이다.
가용성을 해치기 위한 공격은 대표적으로 서비스 거부(Denial of Service)가 있다.
데이터(정보)를 악용할 수 있는 방법은, 볼 수 없는 자료를 보거나, 자료를 조작하여 잘못된 결론에 이르게 하는 것으로 나눌 수 있다. 해킹 또한 몰래 데이터를 빼 가거나 정보를 조작하고 변조하는 것 2가지로 나눌 수 있다. 주로 이를 차단하는 것을 보안의 궁극적인 목표라고 생각하는 경우가 많다.
가장 쉬운 방법은 무엇인가?
데이터를 튼튼한 철제 금고에 넣고 심해 삼만리에 묻어 두면 된다.
아니면 그냥 불태워 없애버리면 된다. 누가 보거나 조작하지 못하도록.
그런데 그럴 데이터라면 왜 보호의 대상이 되는건가? 모순이다.
보안을 하는 많은 사람들이 간과하고 있는 것은, 보안이 데이터를 안전하게 지키면서 안전하게 사용할 수 있도록 해야 한다는 것이다. 이 가용성에 대해 너무나도 많이 간과한다. 보안 담당자들은 자신들이 데이터를 지키는 수호자 정도로 생각하고 무조건 '안돼!'만을 외친다. 데이터가 있는데도 도통 활용 할 수가 없다. 그럴거면 왜 지키는가? 그냥 없애버리지. 데이터는 활용 하라고 있는 것인데 말이다.
그런 현실을 반영해 주는 것이 저 CIA삼각형이다.
가용성은 보안에서 정말 중요하게 생각해야될, 적어도 33.3333%정도의 중요도를 가진 요소이다. 데이터를 못 쓰게 막기만 하는건 좋은 보안 담당자가 아니다. 안전하게 잘 사용할 수 있는 것이 진정한 보안인이다.
'IT 이론 > 정보보호' 카테고리의 다른 글
정보보호에서의 위협(Threat)과 위험(Risk) (1) | 2018.03.13 |
---|---|
보안의 3가지 대책, 기술적 관리적 물리적 대책 (0) | 2018.03.13 |
[정보보안기사] 각종 취약점, 공격 및 대응방안 (3) | 2018.03.03 |
방화벽의 동작 구분과 여러가지 구성 방법 (0) | 2018.02.24 |
ESM(Enterprise Security Management) (1) | 2018.02.18 |
댓글