1. 정보보호의 개념
정보를 여러 가지 위협으로부터 보호하기 위한 정책 및 기법이다.
- 정보의 상태 : 저장, 전달
- 위협의 종류 : 허락되지 않은 접근, 수정, 훼손, 유출 등
2. 컴퓨터보안의 개념
컴퓨터 보안은 정보보호에 포함된다. 컴퓨터 환경이 관여된 모든 상황에 대한 정보보호다.
컴퓨팅 환경에 저장되거나 처리되는 정보를 다양한 위협으로부터 보호하기 위한 정책 및 기법이다.
3. 정보보호의 목포
1) 기밀성(Confidentiality)
기밀성은 허가되지 않은 사람이 데이터와 개체에 무단으로 접근할 수 없도록 보호하는 것을 의미한다.
- 정보에 접근을 못하게 만든다
- 정보에 접근하더라도 무의미한 내용만 보이게 한다.
ex) 비밀번호
2) 무결성(Integrity)
데이터를 신뢰할 수 있도록 정확하게 유지하기 위해 무단으로 변형하는 것을 막는 것이다.
이 때 변형이 발생하면 로그가 남는 등 수정사항을 확인할 수 있는 방안을 마련해야 한다.
해시함수를 통해 무결성을 보장하고 수정시 이력을 남기는 경우가 있다.
ex) 계좌번호, 입출금정보
3) 가용성(Availability)
승인된 사용자가 필요한 시스템과 자원에 접근할 때 이것이 방해받지 않도록 하는 것이다.
정보에 대한 접근 권한이 있는 사람은 필요할 때 언제든지 정보를 사용할 수 있어야 한다.
정해진 시간 내에 정보를 볼 수 있음을 보장받아야 한다.
ex) 서버, 자동화기기, 네트워크
4) 그 외의 목표
- 부인방지(non-repudiation)
- 인증(authentication)
- 접근제어(access control)
등이 있다.
예시)
의료 데이터를 관리하는 병원 시스템의 경우 고객 정보 보호 의무가 강하기 때문에 수준높은 보안을 요구한다.
의료 데이터를 통해 기밀성과 무결성, 가용성에 대해 알아보자
- 기밀성
의료 데이터는 질병과 신체적 특징, 성생활 등의 정보가 수집되어 있다. 따라서 보호되어야 할 개인정보들 중에서도 가장 민감한 정보에 속하기 때문에 유출되었을 때 개인의 사회생활에 심각한 문제가 발생할 수 있다.
법적으로도 가장 강력한 개인정보 보호법이 적용되고 있으며 의료 서비스 제공자가 환자의 개인 정보를 보호해야 한다.
- 무결성
의료 데이터가 함부로 수정된다면 의사는 적절한 진단을 내릴 수 없게 된다. 잘못된 진단으로 환자의 건강상의 위해가 가해질 수 있기 때문에 반드시 무결성이 유지돼야 한다.
- 가용성
환자가 병원에 내원했을 때나 위급상황 시 환자에 대한 기존 의료 데이터를 확인할 수 없다면 불필요한 검사를 중복으로 하게 될 수도 있고 처방했던 약을 중복으로 처방하는 문제가 생길 수 있다.
혹은 이전의 데이터를 통해 기존 병력, 알러지 등을 확인하여 환자의 개인별 특성에 따라 위험요소를 사전에 예방하는 등 안전도를 높일 수 있다.
4. 암호의 개념
1) 암호의 정의
두 사람이 안전하지 않은 채널을 통하여 정보를 주고받더라도 관련 없는 제 3자는 해당 정보의 내용을 알 수 업도록 만다는 것이다.
* 핵심용어
- 평문(plaintext): 원래의 메시지
- 암호문(ciphertext): 코드화된 메시지
- 암호화(encryption): 평문-> 암호문
- 복호화(decryption): 암호문 -> 평문
2) 키(key)
암호화를 복호화 하기 위한 열쇠다.
3) 용도
암호는 기밀성을 보장하기 위한 필수적인 기술이다.
댓글