정보 보호
[include(틀:직무)]
[목차]
Information Security
개요
정보를 보호하고 보안을 유지하는 것을 말하며 정보보안과 동의어로 쓰이곤 한다. [* 엄밀히 따지면 정보보호는 정보처리정책인 반면 정보보안은 접근제어정책에 가깝다는 의견이 많다. 그래서 그런지 KISA 등의 정부기관이나 관련 업체들의 인사말 등을 보아도 정보보안이라는 말은 찾아보기 힘들다. ~~그런데 자격증은 왜 정보보안기사일까~~] 정보의 흐름 전체의 보호를 망라하는 개념이다. 범주로 나누어 물리적 보호, 기술적 보호, 관리적 보호로 나눌 수있다.
정의
대개 정보보호라고 하면 ISACA:2008의 정의를 많이 채용한다. 그 정의는 아래와 같다. >인가된 사용자만, 완전하고 정확한 정보에, 필요로 할 때마다 접근할 수 있도록 하는 것
"정보보호"를 정의하려면 당연히 "정보"와 그 가치의 정의가 선행되어야 한다. 그래서 그런지 문서에 따라 엄청나게 많은 정의가 존재한다. 또한 "보호"라는 용어는 위험관리 측면에서 정의해야하므로, 가볍게 정의할 수 있는 것은 아니라고 한다. 대부분의 문서에서 인정하는 필수적인 성질은 기밀성, 무결성, 가용성이다. 볼 자격이 없으면 안 보여주고, 틀린 정보는 취급하지 않으며, 볼 자격이 있는 사람이 보여달라고 하면 보여주는 것. 이 개념 자체는 고대 로마에도 있었다. 하지만 이런 정의로는 정보 유출에 대한 책임 등을 회피할 수 있다는 등의 많은 단점이 있다.
위험관리
정보는 자산이고, 따라서 그에 걸맞는 위험관리를 해주어야 한다. 위험을 감당할 수 없는 자산의 소유가 독이 되어 그냥 처분해 버리는 등 다양한 위험 처리가 가능하다.
기술적 보호
해커들의 주무대. 사이버 공격에 대한 방어를 주제로 한다. 수준에 따른 분류로 데이터, 응용프로그램, 호스트, 네트워크로 나눌 수 있다.
* 데이터 보호 * 암호학 * 하드웨어 * 부채널 분석
* 응용프로그램 보호 * 클라이언트 보안 * 서버 보안 * 드라이버#s-2
* 호스트 보호 * 운영체제 * 펌웨어
* 네트워크 보호 * 보안 네트워크 모델 * 기반 구조 모델 * 보안 프로토콜 * 프로토콜 보안 * FTP
공격 방법도 무궁무진해서, 조금만 생각해 보면 고개를 끄덕일만한 공격부터 도무지 천재라고 생각할 수 밖에 없는 공격까지 다양하다. IT는 그만큼 발전과 적용이 빠른 분야이다. ~~공부할 게 늘어난다~~ ~~IT가 그렇지 뭐~~
논란
정보보호관리평가는 정보의 정의에 따라 정보의 자산가치를 평가하고 그에 어울리는 관리 및 절차가 적용되고 있는지를 평가하는 것이다. 하지만 기업 입장에서는 침해를 입어도 손해 볼 종류가 아닌 위협에 대해서는 보호할 필요가 없다. 자산가치의 평가는 '담당자와의 인터뷰를 통해 결정하는 것'이 기본 원칙으로, 윤리적인 요소가 개입할 여지가 없다.