DIKW pyramid
Data->Wisdom : value up
Wisdom->Data : meaning up
Data : 관찰을 측정하여 사실을 나열한 것, 가공되지 않음
Information : 데이터 전처리 후 의미있어진 것
Knowledge : 가치있는 정보
Wisdom : 적절한 경험을 통한 미래 예측
Information Security
정보나 정보 시스템을 허가받지 않은 접근/사용, 유출 등의 것으로부터 지키고 기밀성, 무결성, 가용성을 제공해주는 것
정보보안(Information Security) : 보호하기 위한 절차/구체적인 방법, 관리적/기술적/물리적
정보보호(Information Protection) : 특정 대상을 보호하는 것, 단일 객체 위주(개인정보 보호 등), HW/SW
인증(Authentication) : 사용자가 맞는지 확인
인가(Authorization) : 사용자의 권한을 제어하는 것
CIA Triad
기밀성 : Confidentiality(데이터가 비밀/비공개로 유지되고 사적으로 임의로 사용되지 않도록 보호하는 것)
무결성 : Integrity(데이터의 신뢰성을 보장해주는 것)
가용성 : Availablity(특정 정보에 대해 접근할 수 있는 권한을 가진 사용자에게 정보를 제공하는 것)
보안 시스템 개발에 있어서의 일반적인 목표(모델), 시스템이 안전한지 평가할 수 있는 기준
ex.
헬스케어
- 환자의 전자 의무 기록은 암호화로 저장
- 의료진이 로그인할 땐 다중 인증으로 무단 접근 차단
- 진료기록 변경은 변경자/시간/변경내역이 자동 기록, 추적 가능
- 처방전/의무기록에 디지털 서명을 붙여 원본 여부 확인
- 의료 정보는 즉시 접근이 가능하도록 24/7 가용성을 위한 이중화
- 랜섬웨어 공격에 대비해 정기적 백업과 부하분한 시스템 적용
금융
- 온라인 뱅킹 로그인 때 MFA를 요구해 계좌 정보 탈취 방지
- 고객 카드번호/계좌번호 등 중요 데이터는 암호화 저장
- 금융 거래 내역은 디지털 서명/이중 서명을 통해 위변조 방지
- 송금 시 종단 간 암호화를 통해 네트워크 중간 탈취 차단
- 24/7 거래를 지원하기 위해 부하 분산과 자동 장애 조치
정부
- 공무원은 다양한 인증으로 행정망 로그인
- 개인정보나 국가 기밀 문서 열람은 보안 등급별 권한 분리
- 주민등록/세금/긴급재난 시스템은 24/7를 위해 이중화
- 재난/전시 상황에서도 시스템 작동하도록
- 전자정부 민원 시스템은 부하분산, 대국민 서비스 안정화 장치 적용
Cybersecurity
정보, 통신시스템이 외부로부터의 공격으로 인한 손상/변조/악용하는 것으로부터 보호되는 활동/과정/능력 - 예방 및 복구
컴퓨터/시스템/서비스 등으로 이루어진 사이버공간 내에서 정보를 포함하고 있다.
이 정보를 침입에서 막고, 보호하고, 잘 저장하여 CIA triad + 인증 + 부인방지
사이버공간 : CIA + 인증 + 부인방지 만족
위 사이버공간을 보장해주는 것이 사이버보안
정보보안 : CIA 만족
-> 정보보안에서는 인증/부인방지는 안 다루냐?
--> ㄴㄴ 그저 최소조건일 뿐
부인방지(Nonrepudiation) : 부인하는 것을 방지해줌, ex. 악성메일 작성자가 자신이 메일을 썼음을 부정할 수 없음
검증(Verification) : 만들 때 공정의 기초 과정을 올바르게 수행하였는가, 과정, 개발 과정 중 수행
확인(Validation) : 제대로 기능을 하도록 만들어졌는가, 결과, 개발 완료 혹은 후반부에 수행
사이버보안 용어 변화
물리 보안 -> 통신 보안 -> 컴퓨터 보안 -> 정보 보안 -> 정보 보증 -> 사이버보안
사이버보안의 구성요소
- 네트워크 : Internet, LANs, Private networks
- HW : servers, computers, mobile devices
- SW : App, OS, Security tool
- Data : 개인/공공 데이터
'정보보안 > 사이버보안' 카테고리의 다른 글
| 사이버 공격의 가장 흔한 타입들 (2) | 2025.10.17 |
|---|---|
| Passive & Active Attacks (0) | 2025.10.17 |
| Identity & Access Management (0) | 2025.10.15 |
| 사이버보안 기초_2 (0) | 2025.10.15 |
