정보보호

덤프버전 : r20240101

[ 펼치기 · 접기 ]
기반 학문
수학 (해석학 · 이산수학 · 수리논리학 · 선형대수학 · 미적분학 · 미분방정식 · 대수학 (환론 · 범주론) · 정수론) · 이론 컴퓨터 과학 · 암호학 · 전자공학 · 언어학 (형태론 · 통사론 · 의미론 · 화용론 · 음운론) · 인지과학
SoC · CPU · GPU(그래픽 카드 · GPGPU) · ROM · RAM · SSD · HDD · 참조: 틀:컴퓨터 부품
기술
기계어 · 어셈블리어 · C(C++ · C\#) · Java · Python · BIOS · 절차적 프로그래밍 · 객체 지향 프로그래밍(디자인 패턴) · 해킹 · ROT13 · OTP · IoT · 와이파이 · GPS · 임베디드 · 인공신경망 · OpenGL · EXIF · 마이크로아키텍처 · ACPI · UEFI · NERF · gRPC · 리버스 엔지니어링 · HCI · UI · UX · 대역폭 · DBMS · NoSQL · 해시(SHA · 브루트 포스 · 레인보우 테이블 · salt · 암호화폐) · RSA 암호화
연구및 기타 문서
논리 회로(보수기 · 가산기 · 논리 연산 · 불 대수 · 플립플롭) · 정보이론 · 임베디드 시스템 · 디자인 패턴 · 데이터베이스 · 프로그래밍 언어{컴파일러(어셈블러 · JIT) · 인터프리터 · 유형 이론} · 메타데이터 · 기계학습 · 빅데이터 · 폰노이만 구조 · 양자컴퓨터 · 행위자 모델 · 인코딩(유니코드 · MBCS) · 네트워크 · 컴퓨터 보안 · OCR · 슈퍼컴퓨터 · 튜링 머신 · FPGA · 딥러닝 · 컴퓨터 구조론 · 컴퓨터 비전 · 컴퓨터 그래픽스 · 인공지능 · 시간 복잡도(최적화) · 소프트웨어 개발 방법론 · 정보처리이론 · 재귀 이론 · 자연 언어 처리(기계 번역 · 음성인식)
}}}




1. 개요
2. 정의
3. 위험관리
4. 기술적 보호
5. 주요 기관
6. 논란
7. 관련 문서


1. 개요[편집]


정보보호(, Information Security)란, 정보를 보호하고 보안을 유지하는 것을 말한다. 정보보안과 동의어로 쓰이고는 한다.[1][2] 정보의 흐름 전체의 보호를 망라하는 개념이다. 범주로 나누어 물리적 보호, 기술적 보호, 관리적 보호로 나눌 수 있다.


2. 정의[편집]


대개 정보보호라고 하면 ISACA:2008의 정의를 많이 채용한다. 그 정의는 아래와 같다.

인가된 사용자만(기밀성), 완전하고 정확한 정보에(무결성), 필요로 할 때마다 접근할 수 있도록 하는 것(가용성)


"정보보호"를 정의하려면 당연히 "정보"와 그 가치의 정의가 선행되어야 한다. 그래서 그런지 문서에 따라 엄청나게 많은 정의가 존재한다. 또한 "보호"라는 용어는 위험관리 측면에서 정의해야 하므로, 가볍게 정의할 수 있는 것은 아니라고 한다.

대부분의 문서에서 인정하는 필수적인 성질은 기밀성, 무결성, 가용성이다. 볼 자격이 없으면 안 보여주고, 틀린 정보는 취급하지 않으며, 볼 자격이 있는 사람이 보여달라고 하면 보여주는 것이다. 이 개념 자체는 고대 로마에도 있었다. 하지만 이런 정의로는 정보 유출에 대한 책임 등을 회피할 수 있다는 등의 많은 단점이 있다.

이외에도 '암호학', 컴퓨터 시스템(운영체제)를 보호하는 '시스템 보안', 소프트웨어 단위를 보호하는 '애플리케이션 보안', ' 보안', 인터넷, 통신망을 보호하는 '네트워크 보안', 실제 물리적인 보안에 대비하는 물리보안 등으로 분류할 수 있다.

사실상 해킹, 크래킹과 반대 개념이며 해킹, 크래킹을 '사이버 침해', '사이버 침투' 등의 용어로도 사용한다. 물론 정보보호를 전문적으로 공부하려면 해킹 기술에 대해 어느정도 이해가 필요하다. 또한 모의해킹 등의 업무도 중요해지고 있다.

3. 위험관리[편집]


정보보호학에서 위험은 일반적으로 자산, 위협, 취약점의 세 가지 요소로 구성된다.[3] 간단하게 설명하면 자산은 가치를 갖는 모든 것이고, 위협은 자산에 부정적 영향을 주는 직/간접적인 요인이며, 취약점은 위협이 발생할 수 있는 결함 혹은 상황이라고 볼 수 있다. 그리고 종합적으로 취약점을 통해 자산에 위협이 발생할 가능성이 위험으로 정의된다.

정보는 자산이고, 따라서 그에 걸맞는 위험관리를 해주어야 한다. 위험을 감당할 수 없는 자산의 소유가 독이 되어 그냥 처분해 버리는 등 다양한 위험 처리가 가능하다.

4. 기술적 보호[편집]


해커들의 주무대. 사이버 공격에 대한 방어를 주제로 한다.

수준에 따른 분류로 데이터, 응용프로그램, 호스트, 네트워크로 나눌 수 있다.



  • 응용프로그램 보호





5. 주요 기관[편집]


아래는 국내 주요 기관, 협단체이며, 단순히 정보를 보호하는 기술 및 개념에서 최근에는 국방(국가보안) 개념까지 확대되는 듯 하다.




6. 논란[편집]


정보보호관리평가는 정보의 정의에 따라 정보의 자산가치를 평가하고 그에 어울리는 관리 및 절차가 적용되고 있는지를 평가하는 것이다. 하지만 기업 입장에서는 침해를 입어도 손해 볼 종류가 아닌 위협에 대해서는 보호할 필요가 없다. 자산가치의 평가는 '담당자와의 인터뷰를 통해 결정하는 것'이 기본 원칙으로, 윤리적인 요소가 개입할 여지가 없다.


7. 관련 문서[편집]



파일:크리에이티브 커먼즈 라이선스__CC.png 이 문서의 내용 중 전체 또는 일부는 2023-12-16 07:53:19에 나무위키 정보보호 문서에서 가져왔습니다.

[1] 엄밀히 따지면 정보보호는 정보처리정책인 반면 정보보안은 접근제어정책에 가깝다는 의견이 많다. 그래서 그런지 KISA 등의 정부기관이나 관련 업체들의 인사말 등을 보아도 정보보안이라는 말은 찾아보기 힘들다.[2] CISSP CBK로 살펴본 정보보호와 정보보안 - https://www.boannews.com/media/view.asp?idx=50125[3] 문서 또는 논문에 따라 위험 관리를 위한 정보보호대책이 추가 구성 요소로 포함되기도 한다.