정보보호 (r20200302판)

직무의 종류
생산직	사무직	마케팅	보안	시설관리
리스크	전략기획	재무	정보보호	법무
비서	공정설계	구매	환경안전	총무
IT	생산관리	영업	연구개발	인사
물류	품질관리	홍보	CS	노무

Information Security

1. 개요

---

정보를 보호하고 보안을 유지하는 것을 말하며 정보보안과 동의어로 쓰이곤 한다.[1] 정보의 흐름 전체의 보호를 망라하는 개념이다. 범주로 나누어 물리적 보호, 기술적 보호, 관리적 보호로 나눌 수 있다.

2. 정의

---

대개 정보보호라고 하면 ISACA:2008의 정의를 많이 채용한다. 그 정의는 아래와 같다.

인가된 사용자만, 완전하고 정확한 정보에, 필요로 할 때마다 접근할 수 있도록 하는 것

"정보보호"를 정의하려면 당연히 "정보"와 그 가치의 정의가 선행되어야 한다. 그래서 그런지 문서에 따라 엄청나게 많은 정의가 존재한다. 또한 "보호"라는 용어는 위험관리 측면에서 정의해야 하므로, 가볍게 정의할 수 있는 것은 아니라고 한다.
대부분의 문서에서 인정하는 필수적인 성질은 기밀성, 무결성, 가용성이다. 볼 자격이 없으면 안 보여주고, 틀린 정보는 취급하지 않으며, 볼 자격이 있는 사람이 보여달라고 하면 보여주는 것이다. 이 개념 자체는 고대 로마에도 있었다. 하지만 이런 정의로는 정보 유출에 대한 책임 등을 회피할 수 있다는 등의 많은 단점이 있다.

3. 위험관리

---

정보는 자산이고, 따라서 그에 걸맞는 위험관리를 해주어야 한다. 위험을 감당할 수 없는 자산의 소유가 독이 되어 그냥 처분해 버리는 등 다양한 위험 처리가 가능하다.

4. 기술적 보호

---

해커들의 주무대. 사이버 공격에 대한 방어를 주제로 한다.
수준에 따른 분류로 데이터, 응용프로그램, 호스트, 네트워크로 나눌 수 있다.

• 데이터 보호
  • 암호학
  • 하드웨어
  • 부채널 분석

• 응용프로그램 보호
  • 클라이언트 보안
  • 서버 보안
  • 드라이버#s-2

• 호스트 보호
  • 운영체제
  • 펌웨어

• 네트워크 보호
  • 보안 네트워크 모델
  • 기반 구조 모델
  • 보안 프로토콜
  • 프로토콜 보안
    • FTP

공격 방법도 무궁무진해서, 조금만 생각해 보면 고개를 끄덕일만한 공격부터 도무지 천재라고 생각할 수 밖에 없는 공격까지 다양하다. IT는 그만큼 발전과 적용이 빠른 분야이다. 공부할 게 늘어난다. IT가 그렇지 뭐.

5. 논란

---

정보보호관리평가는 정보의 정의에 따라 정보의 자산가치를 평가하고 그에 어울리는 관리 및 절차가 적용되고 있는지를 평가하는 것이다. 하지만 기업 입장에서는 침해를 입어도 손해 볼 종류가 아닌 위협에 대해서는 보호할 필요가 없다. 자산가치의 평가는 '담당자와의 인터뷰를 통해 결정하는 것'이 기본 원칙으로, 윤리적인 요소가 개입할 여지가 없다.