정보 보안의 3대 목표

1. 기밀성

말 그대로 기밀 정보를 보호해야 한다는 의미이다.

인가된 사용자만이 정보 자산에 접근할 수 있다는 것을 보장하는 것으로 방화벽이나 패스워드를 이용하여 기밀성을 보장해야 한다.

기밀성을 위협하는 공격에는 스누핑과 트래픽 분석이 있다.

• 스누핑: 데이터에 무단으로 접근하거나 데이터를 가로채는 것을 의미한다.
• 트래픽 분석: 트래픽을 모니터링하여 송신자나 수신자의 전자우편 주소 등을 얻는 것

2. 무결성

적절한 권한을 가진 사용자만이 인가된 방법으로만 정보를 변경할 수 있도록 하는 것

정보의 내용이 비인가자에 이해 훼손되지 않도록 무결성이 필요함.

무결성을 위협하는 공격에는 변경, 위장, 재연, 부인 등이 있다.

• 변경: 정보를 차단하거나 접근한 후 자신에게 이득이 되는 정보로 변경하는 것을 말한다
• 위장: 사용자의 PIN을 훔쳐 해당 사용자인 척 하거나, 은행 사이트를 가장하는 등이 공격
• 재연: 사용자가 보내는 메시지의 사본을 얻어 나중에 다시 전송한다.
• 부인: 공격이라기보단 송신자나 수신자가 자신의 행동을 부인하면서 발생하는것이다. 예를 들어, 송신자가 제 3자에게 돈을 보내도록 은행에 요청했는데 은행이 나중에 사실확인을 요청했을 때 송신자가 그 사실을 부인하는 경우를 말한다

3. 가용성

인증된 개체(사용자)는 적절한 시간에 정보에 접근이 가능해야 한다, 즉 필요할 때 데이터에 접근 가능해야 한다.

가용성을 위협하는 공격에는 익히 알고 있는 서비스 거부(Dos), 분산 서비스 거부 (DDos)가 있다.