보안관리 목표 3 요소, 보안관리대상 3가지

정보보안에서 기본적으로 많이 회자되는 용어들이 있다.

먼저, 

보안관리 목표를 얘기해 보면, 여러가지 요소를 얘기할 수 있지만,

대표적으로 기밀성, 무결성, 가용성을 보안 3요소로 얘기를 한다.

 

기밀성은 임의의 불상자에게 정보가 공개되거나 노출 되지 않도록 관리하는 것이다.

예를들어, 데이터를 전송할 때 비 인가자가 데이터를 열어보지 못하도록 하는 것이다.

이것은 회선을 암호화 하거나, 컨텐츠 자체를 암호화 하여 인가받지 않은 불상자가

알 수 없도록 하는 것이다.

 

무결성은 관리하고 있는 정보자산이 변조나 파괴되지 않도록 유지하는 것이다.

몇년전 해커들이 웹페이지를 해킹하여 해골그림등을 올려서 웹페이지를 변조하곤 하였는데 

이것은 시스템에 결점이 생긴 상황으로, 그렇게 되지 않도록, 

즉, 시스템 결점이 발생하지 않도록 보안환경을 유지하는 것이다.

 

가용성은 정보자산이 보안위협으로 부터 보호되어 지속적으로 사용할 수 있도록 하는 것이다.

2011년 농협 해킹 사건에서 해커가 시스템을 아예 마비시켜서 은행 업무를 못하게 한 경우가 있는데,

이 사건이 해커가 시스템의 가용성을 해친 경우이다.

 

이외에, 이러한 3요소를 유지 시키기 위한 방법일 수도 있고 관리대상이기도 한 보안 3요소가 있다.

 

그것이 물리적보안, 기술적보안, 관리적보안 요소이다.

 

물리적보안은 주로 건물 등에 적용되는 보안이다.

2016년 1월 인천공항에서 물리적 보안이 뚫린 사건이 있었다.

중국인 부부가 보안검색장을 뚫고 밀입국한 사건이 발생한 경우가 있으며, 

<http://www.yonhapnews.co.kr/bulletin/2016/01/25/0200000000AKR20160125071951004.HTML>

1주일 후인 2016년 1월말 베트남인이 공항에서 보안이 취약한 곳을 이용하여  밀입국한 사례가 있었다.

<http://imnews.imbc.com/replay/2016/nwdesk/article/3870357_19842.html>

같은해 2월에는 정보종합청사가 20대 공무원 준비생이 다른 사람 출입증을 가지고, 몰래 한달 동안 

들락날락 거린적이 있었다.

<http://www.yonhapnews.co.kr/bulletin/2016/04/07/0200000000AKR20160407145800004.HTML>

 

위와 같은 사건들이 물리적 보안이 뚫린 사례들이라 할 수 있다.

보안은 한번 구축해서 끝나는 것이 아니라 지속적으로 취약점을 점검해야 하는데, 

출입자 동선 체크가 지속적으로 점검이 되지 않은 사례들이라 할 수 있다.

 

 

기술적보안은 각종 서버나 네트워크 시스템 보안등 기술적인 요소가 가미되는 것을 말한다.

 

관리적인 보안은 어떻게 보면 제일 기본적이고 중요한 요소일 것이다. 

주로 사람에 관한 보안이다. 각 종 지켜야 할 관리 규정, 절차, 그리고 구성원에 대한 보안의식 고취 활동이다.

 

정보보안의 어떠한 영역이라도 위 3+3범위를 벗어날 수 가 없다.

 

이 유형 구분안에서 어느 한 분야가 좀 더 구체적으로 들어갈 뿐이지, 

정보 보안은 업무영역에 상관없이 보안 활동은 대체로 유사하다 할 수 있다.