정보보호

1 개요

정보를 보호하고 보안을 유지하는 것을 말하며 정보보안과 동의어로 쓰이곤 한다. ^[1] 정보의 흐름 전체의 보호를 망라하는 개념이다. 범주로 나누어 물리적 보호, 기술적 보호, 관리적 보호로 나눌 수 있다.

2 정의

대개 정보보호라고 하면 ISACA:2008의 정의를 많이 채용한다. 그 정의는 아래와 같다.

인가된 사용자만, 완전하고 정확한 정보에, 필요로 할 때마다 접근할 수 있도록 하는 것

"정보보호"를 정의하려면 당연히 "정보"와 그 가치의 정의가 선행되어야 한다. 그래서 그런지 문서에 따라 엄청나게 많은 정의가 존재한다. 또한 "보호"라는 용어는 위험관리 측면에서 정의해야하므로, 가볍게 정의할 수 있는 것은 아니라고 한다.
대부분의 문서에서 인정하는 필수적인 성질은 기밀성, 무결성, 가용성이다. 볼 자격이 없으면 안 보여주고, 틀린 정보는 취급하지 않으며, 볼 자격이 있는 사람이 보여달라고 하면 보여주는 것. 이 개념 자체는 고대 로마에도 있었다. 하지만 이런 정의로는 정보 유출에 대한 책임 등을 회피할 수 있다는 등의 많은 단점이 있다.

3 위험관리

정보는 자산이고, 따라서 그에 걸맞는 위험관리를 해주어야 한다. 위험을 감당할 수 없는 자산의 소유가 독이 되어 그냥 처분해 버리는 등 다양한 위험 처리가 가능하다.

4 기술적 보호

해커들의 주무대. 사이버 공격에 대한 방어를 주제로 한다.
수준에 따른 분류로 데이터, 응용프로그램, 호스트, 네트워크로 나눌 수 있다.

데이터 보호

응용프로그램 보호
- 클라이언트 보안
- 서버 보안
- 드라이버#s-3

호스트 보호
- 운영체제
- 펌웨어

네트워크 보호
- 보안 네트워크 모델
- 기반 구조 모델
- 보안 프로토콜
- 프로토콜 보안
  - FTP

공격 방법도 무궁무진해서, 조금만 생각해 보면 고개를 끄덕일만한 공격부터 도무지 천재라고 생각할 수 밖에 없는 공격까지 다양하다. IT는 그만큼 발전과 적용이 빠른 분야이다. ~~공부할 게 늘어난다~~ ~~IT가 그렇지 뭐~~

5 논란

정보보호관리평가는 정보의 정의에 따라 정보의 자산가치를 평가하고 그에 어울리는 관리 및 절차가 적용되고 있는지를 평가하는 것이다. 하지만 기업 입장에서는 침해를 입어도 손해 볼 종류가 아닌 위협에 대해서는 보호할 필요가 없다. 자산가치의 평가는 '담당자와의 인터뷰를 통해 결정하는 것'이 기본 원칙으로, 윤리적인 요소가 개입할 여지가 없다.

↑ 엄밀히 따지면 정보보호는 정보처리정책인 반면 정보보안은 접근제어정책에 가깝다는 의견이 많다. 그래서 그런지 KISA 등의 정부기관이나 관련 업체들의 인사말 등을 보아도 정보보안이라는 말은 찾아보기 힘들다. ~~그런데 자격증은 왜 정보보안기사일까~~

[1] 엄밀히 따지면 정보보호는 정보처리정책인 반면 정보보안은 접근제어정책에 가깝다는 의견이 많다. 그래서 그런지 KISA 등의 정부기관이나 관련 업체들의 인사말 등을 보아도 정보보안이라는 말은 찾아보기 힘들다. ~~그런데 자격증은 왜 정보보안기사일까~~

[1]