정보보호

'''Information Security'''

1. 개요

---

정보를 보호하고 보안을 유지하는 것을 말하며 정보보안과 동의어로 쓰이곤 한다.[1] 정보의 흐름 전체의 보호를 망라하는 개념이다. 범주로 나누어 물리적 보호, 기술적 보호, 관리적 보호로 나눌 수 있다.

2. 정의

---

대개 정보보호라고 하면 ISACA:2008의 정의를 많이 채용한다. 그 정의는 아래와 같다.

'''인가된 사용자만, 완전하고 정확한 정보에, 필요로 할 때마다 접근할 수 있도록 하는 것'''

"정보보호"를 정의하려면 당연히 "정보"와 그 가치의 정의가 선행되어야 한다. 그래서 그런지 문서에 따라 엄청나게 많은 정의가 존재한다. 또한 "보호"라는 용어는 위험관리 측면에서 정의해야 하므로, 가볍게 정의할 수 있는 것은 아니라고 한다.
대부분의 문서에서 인정하는 필수적인 성질은 기밀성, 무결성, 가용성이다. 볼 자격이 없으면 안 보여주고, 틀린 정보는 취급하지 않으며, 볼 자격이 있는 사람이 보여달라고 하면 보여주는 것이다. 이 개념 자체는 고대 로마에도 있었다. 하지만 이런 정의로는 정보 유출에 대한 책임 등을 회피할 수 있다는 등의 많은 단점이 있다.

3. 위험관리

---

정보보호학에서 위험은 일반적으로 자산, 위협, 취약점의 세 가지 요소로 구성된다.[2] 간단히 설명하면 자산은 가치를 갖는 모든 것이고, 위협은 자산에 부정적 영향을 주는 직/간접적인 요인이며, 취약점은 위협이 발생할 수 있는 결함 혹은 상황이라고 볼 수 있다. 그리고 종합적으로 취약점을 통해 자산에 위협이 발생할 가능성이 위험으로 정의된다.
정보는 자산이고, 따라서 그에 걸맞는 위험관리를 해주어야 한다. 위험을 감당할 수 없는 자산의 소유가 독이 되어 그냥 처분해 버리는 등 다양한 위험 처리가 가능하다.

4. 기술적 보호

---

해커들의 주무대. 사이버 공격에 대한 방어를 주제로 한다.
수준에 따른 분류로 데이터, 응용프로그램, 호스트, 네트워크로 나눌 수 있다.

• 데이터 보호
  • 암호학
  • 하드웨어
  • 부채널 분석

• 응용프로그램 보호
  • 클라이언트 보안
  • 서버 보안
  • 드라이버#s-2

• 호스트 보호
  • 운영체제
  • 펌웨어

• 네트워크 보호
  • 보안 네트워크 모델
  • 기반 구조 모델
  • 보안 프로토콜
  • 프로토콜 보안
    • FTP

5. 논란

---

정보보호관리평가는 정보의 정의에 따라 정보의 자산가치를 평가하고 그에 어울리는 관리 및 절차가 적용되고 있는지를 평가하는 것이다. 하지만 기업 입장에서는 침해를 입어도 손해 볼 종류가 아닌 위협에 대해서는 보호할 필요가 없다. 자산가치의 평가는 '담당자와의 인터뷰를 통해 결정하는 것'이 기본 원칙으로, 윤리적인 요소가 개입할 여지가 없다.