정보보호

(정보보안에서 넘어옴)

Information Security

1 개요

정보를 보호하고 보안을 유지하는 것을 말하며 정보보안과 동의어로 쓰이곤 한다. [1] 정보의 흐름 전체의 보호를 망라하는 개념이다. 범주로 나누어 물리적 보호, 기술적 보호, 관리적 보호로 나눌 수 있다.

2 정의

대개 정보보호라고 하면 ISACA:2008의 정의를 많이 채용한다. 그 정의는 아래와 같다.

인가된 사용자만, 완전하고 정확한 정보에, 필요로 할 때마다 접근할 수 있도록 하는 것

"정보보호"를 정의하려면 당연히 "정보"와 그 가치의 정의가 선행되어야 한다. 그래서 그런지 문서에 따라 엄청나게 많은 정의가 존재한다. 또한 "보호"라는 용어는 위험관리 측면에서 정의해야하므로, 가볍게 정의할 수 있는 것은 아니라고 한다.
대부분의 문서에서 인정하는 필수적인 성질은 기밀성, 무결성, 가용성이다. 볼 자격이 없으면 안 보여주고, 틀린 정보는 취급하지 않으며, 볼 자격이 있는 사람이 보여달라고 하면 보여주는 것. 이 개념 자체는 고대 로마에도 있었다. 하지만 이런 정의로는 정보 유출에 대한 책임 등을 회피할 수 있다는 등의 많은 단점이 있다.

3 위험관리

정보는 자산이고, 따라서 그에 걸맞는 위험관리를 해주어야 한다. 위험을 감당할 수 없는 자산의 소유가 독이 되어 그냥 처분해 버리는 등 다양한 위험 처리가 가능하다.

4 기술적 보호

해커들의 주무대. 사이버 공격에 대한 방어를 주제로 한다.
수준에 따른 분류로 데이터, 응용프로그램, 호스트, 네트워크로 나눌 수 있다.

  • 응용프로그램 보호
  • 네트워크 보호
    • 보안 네트워크 모델
    • 기반 구조 모델
    • 보안 프로토콜
    • 프로토콜 보안

공격 방법도 무궁무진해서, 조금만 생각해 보면 고개를 끄덕일만한 공격부터 도무지 천재라고 생각할 수 밖에 없는 공격까지 다양하다. IT는 그만큼 발전과 적용이 빠른 분야이다. 공부할 게 늘어난다 IT가 그렇지 뭐

5 논란

정보보호관리평가는 정보의 정의에 따라 정보의 자산가치를 평가하고 그에 어울리는 관리 및 절차가 적용되고 있는지를 평가하는 것이다. 하지만 기업 입장에서는 침해를 입어도 손해 볼 종류가 아닌 위협에 대해서는 보호할 필요가 없다. 자산가치의 평가는 '담당자와의 인터뷰를 통해 결정하는 것'이 기본 원칙으로, 윤리적인 요소가 개입할 여지가 없다.
  1. 엄밀히 따지면 정보보호는 정보처리정책인 반면 정보보안은 접근제어정책에 가깝다는 의견이 많다. 그래서 그런지 KISA 등의 정부기관이나 관련 업체들의 인사말 등을 보아도 정보보안이라는 말은 찾아보기 힘들다. 그런데 자격증은 왜 정보보안기사일까