CIA 트라이어드(기밀성, 무결성, 가용성)

1. 기밀성(Confidentiality) - C

• 인가된 주체만이 시스템에 접근해야 한다는 원칙
• 정보의 소유자가 원하는 대로 정보의 비밀이 유지되어야 함
• 사례 : 도청(스누핑), 트래픽 분석, 도난, 부정 접속 등
• 해결 : 암호화, 접근 제어 등을 통해 기밀성을 보장

 

2. 무결성(Integrity) - I

• 정보는 정해진 절차와 권한에 따라 변경되야 한다는 원칙
• 정보는 항상 일관성을 유지해야하며, 인가 받은 방법에 의해서만 변경되어야 함
• 사례 : 가장(스푸핑), 변조, 재연(재전송), 부인, 시스템 장애로 인한 데이터 누락 등
• 해결 : 해싱, 접근 제어 등을 통해 무결성을 보장, 백업을 통해 사후 대처

 

3. 가용성(Availability) - A

• 정당한 방법으로 권한이 부여된 사용자에게 정보를 제공하는 것을 거부하면 안된다는 원칙
• 사례 : Dos(네트워크를 마비시켜 가용성을 침해), 장비 고장, 정전 등
• 해결 : 백업, 물리적 위협으로부터의 보호

 

이거 말하는 거 아님!!

 

Bonus. 인증성(Authentication)

• 사용자의 신원을 확인 및 신뢰할 수 있어야 한다는 원칙
• 사례 : 전자 서명 탈취
• 해결 : TLS를 통한 전자 서명 유효성 확인

 

Bonus. 책임추적성(Accountability)

• 보안 목적으로 개체의 행동을 추적해서 찾아낼 수 있어야 한다는 원칙
• 포렌식(forensic) 분석을 통해 보안 침해에 대한 추적이 가능해야함.
• 사례 : 사용자 계정 미발급, 우회 등
• 해결 : 부인 방지를 통한 데이터의 송수신 결과에 대한 무결성 확보